Vikten av dataskyddsförordningen
Dataskyddsförordningen, mest känd som GDPR, är kanske en av de viktigaste lagarna i ditt digitala liv – oavsett om du surfar på nätet, handlar online, använder appar eller jobbar i ett företag som hanterar personuppgifter. Den trädde i kraft i hela EU den 25 maj 2018 och har sedan dess styrt hur personliga uppgifter får samlas in, lagras och användas. Den gäller alla företag, myndigheter och organisationer som hanterar uppgifter om individer i Europa – även om de själva är baserade utanför EU. Här får du en tydlig och lättsmält genomgång av hur dataskyddsförordningen fungerar i praktiken, varför den finns och vad du själv behöver känna till för att ha koll på dina digitala rättigheter.
Vad är egentligen en personuppgift?
En personuppgift är alla typer av uppgifter som går att koppla till dig som individ – och det är betydligt fler saker än bara ditt namn eller personnummer. En IP-adress, ett kundnummer, en mejladress, en bild eller till och med ett citat från en text du skrivit kan räknas som personuppgift om det går att koppla till dig som fysisk person. Det spelar ingen roll om uppgiften är direkt identifierande eller indirekt – så länge någon kan härleda den till dig räknas det.
Ibland används även så kallade känsliga personuppgifter, till exempel uppgifter om din hälsa, politiska åsikter, religion eller sexuella läggning. Dessa får bara hanteras i mycket specifika fall, ofta med ditt uttryckliga samtycke. Det gör det extra viktigt att du som individ vet vilka uppgifter du delar med dig av – och hur de får användas.
Därför finns dataskyddsförordningen
Dataskyddsförordningen finns för att ge dig kontroll över dina personuppgifter. Den ska skydda din integritet och se till att ingen behandlar dina uppgifter utan att följa tydliga regler. Tidigare hade varje EU-land sina egna regler – i Sverige gällde personuppgiftslagen (PUL) – men GDPR skapades för att samordna skyddet i hela EU och stärka individens rättigheter.
Bakgrunden är att digitaliseringen har gjort det möjligt att samla in enorma mängder information om individer, ofta utan att du ens vet om det. GDPR kom till för att stoppa den här utvecklingen från att spåra ur. I stället tvingas företag och myndigheter ta ansvar och visa exakt hur de hanterar dina uppgifter.
Det handlar alltså inte bara om att undvika spam – det handlar om att du ska kunna känna dig trygg i att din personliga data hanteras med respekt.
Rättsliga grunder – När är det okej att spara dina uppgifter?
Företag, organisationer och myndigheter får inte behandla personuppgifter hur som helst. De måste kunna peka på en rättslig grund för att det är tillåtet. Det finns sex tydligt definierade rättsliga grunder som måste uppfyllas. Om ingen av dessa grunder finns får personuppgifterna inte behandlas.
De sex grunderna är:
- Du har lämnat samtycke till behandlingen
- Behandlingen är nödvändig för att fullgöra ett avtal du är del av
- Det finns en rättslig förpliktelse, exempelvis bokföringsskyldighet
- Behandlingen skyddar någons grundläggande intressen, som liv eller hälsa
- Den sker som en del av myndighetsutövning
- Det finns ett berättigat intresse, som väger tyngre än din rätt till integritet
Företag måste vara transparenta med vilken grund de lutar sig på och kunna visa att den faktiskt är giltig.
Vad gäller för cookies och spårning på nätet?
Du har säkert lagt märke till att nästan alla webbplatser numera ber dig godkänna cookies. Det är ett direkt resultat av dataskyddsförordningen. Cookies – eller webbkakor – används för att lagra information om dig när du besöker en sida, till exempel vad du klickar på, vilka sidor du varit inne på och vad du lägger i varukorgen.
Det finns olika typer av cookies, men bara de som är tekniskt nödvändiga är undantagna från kravet på samtycke. Alla andra – till exempel de som används för marknadsföring eller analys – kräver att du uttryckligen godkänner dem. Det räcker inte med ett meddelande längst ner på sidan som säger ”genom att surfa vidare godkänner du…” – du måste klicka ja aktivt.
Många tycker det är störande med alla dessa pop-ups, men det är faktiskt en del av din rätt att själv avgöra hur dina uppgifter används.
Dataskyddsförordningen i praktiken
För företag innebär dataskyddsförordningen ett stort ansvar. De får inte samla in fler uppgifter än nödvändigt, måste ha tydliga interna rutiner och får inte spara information längre än vad som krävs. De är också skyldiga att skydda uppgifterna mot intrång eller obehörig åtkomst.
Här är några exempel på vad företag måste göra:
- Ha ett register över alla personuppgifter de behandlar
- Dokumentera varför uppgifterna samlas in och hur de skyddas
- Radera uppgifter som inte längre behövs
- Säkerhetskopiera och kryptera känslig information
- Utse ett dataskyddsombud om verksamheten hanterar känsliga uppgifter i stor omfattning
Dessutom måste eventuella incidenter, till exempel dataintrång, anmälas till Integritetsskyddsmyndigheten inom 72 timmar.
Vad betyder ”rätten att bli bortglömd”?
Du har enligt dataskyddsförordningen rätt att be en organisation radera dina uppgifter – den så kallade rätten att bli bortglömd. Det kan till exempel vara om du avslutar ett kundförhållande, eller om du inte längre vill att dina uppgifter ska finnas kvar hos ett företag som inte längre behöver dem.
Men det finns också undantag. I vissa fall väger andra lagar tyngre. Myndigheter måste till exempel spara vissa uppgifter enligt arkivlagstiftning eller offentlighetsprincipen. Men så länge det inte finns något lagkrav, så har du alltid rätt att få dina uppgifter raderade.
Det här är en viktig del i att ge dig kontroll över ditt digitala liv.
Så påverkas myndigheter av dataskyddsförordningen
Myndigheter har ofta en särskild roll i samhället, och de får behandla personuppgifter även utan ditt samtycke, om det krävs för att de ska kunna utföra sina uppgifter. Men även här gäller tydliga regler – syftet måste vara dokumenterat, och uppgifterna får inte användas för andra ändamål än det angivna.
När myndigheter använder molntjänster, som exempelvis e-post eller dokumentlagring, måste de se till att uppgifterna lagras inom EES eller på servrar med adekvat skyddsnivå. Känslig information, som kan röra rikets säkerhet, får dessutom inte lagras på servrar i länder som inte har säkerhetsavtal med Sverige.
Internationell dataöverföring och GDPR:s begränsningar
En fråga som blivit allt mer aktuell är hur personuppgifter får överföras till länder utanför EES. I praktiken betyder det att om ett svenskt företag använder en molntjänst där servrarna finns i exempelvis USA, så måste det finnas ett avtal som garanterar att dina uppgifter skyddas enligt EU-standard.
EU har godkänt 16 länder som har tillräckligt skydd för att uppgifterna ska få överföras dit utan särskilt tillstånd. Det inkluderar bland annat Japan, Schweiz, Storbritannien och Uruguay. I juli 2023 godkändes dessutom ett nytt avtal med USA – men det gäller bara vissa typer av organisationer.
Vad du har rätt till som individ
Dataskyddsförordningen stärker dig som individ. Den ger dig makt att själv påverka hur dina uppgifter används. Det är inte längre företaget som bestämmer allt – du har både insyn och kontroll.
Du har rätt att:
- Få veta vilka uppgifter som finns om dig
- Begära att de rättas eller tas bort
- Överföra dina uppgifter till en annan tjänst
- Säga nej till viss behandling av uppgifterna
- Få information om hur uppgifterna används och varför
Allt det här gör att du som användare kan känna dig tryggare, även i en värld där information flödar ständigt.
Vanliga missförstånd om dataskyddsförordningen
Det finns många missförstånd kring vad GDPR faktiskt innebär. Ett av de vanligaste är att det alltid krävs samtycke för att behandla personuppgifter – vilket inte stämmer. I många fall finns det andra rättsliga grunder som räcker.
Ett annat missförstånd är att GDPR bara gäller digitala uppgifter, men faktum är att även pappersdokument omfattas, så länge de innehåller personuppgifter. Det gäller alltså även en handskriven lista med namn och telefonnummer på ett personalmöte.
Många tror också att GDPR bara gäller stora företag, men även små föreningar och ideella organisationer måste följa lagen om de behandlar personuppgifter.
Så märker du av dataskyddsförordningen i vardagen
Du har säkert redan märkt effekterna av GDPR – från alla mejl om nya användarvillkor till pop-up-fönster som frågar om du godkänner cookies. Många sajter utanför Europa blockerar till och med användare med europeiska IP-adresser, eftersom de inte vill anpassa sig till de strikta kraven.
Samtidigt har lagen gjort att fler människor blivit medvetna om sina rättigheter och börjat ifrågasätta hur deras uppgifter hanteras. Det är kanske den största vinsten med dataskyddsförordningen.