Vad innefattar gdpr
Vad är GDPR? En guide till GDPR i Sverige
Dataskyddsförordningeneller allmänna dataskyddsförordningen DSF [ 2 ]mest känd som GDPR engelska : General Data Protection Regulationär en europeisk förordning som reglerar behandlingen av personuppgifter och det fria flödet av sådana uppgifter inom Europeiska unionen. Förordningen utgör grunden vad innefattar gdpr skyddet för fysiska personers integritet vid behandling av personuppgifter inom unionen, en grundläggande rättighet enligt stadgan om de grundläggande rättigheterna.
Den utfärdades av Europaparlamentet och Europeiska unionens råd den 27 april och trädde i kraft den 24 majmen blev tillämplig först den 25 maj Förordningen ersatte dataskyddsdirektivet samt de nationella lagar som hade införlivat detta direktiv, till exempel personuppgiftslagen PUL i Sverige. Dataskyddsförordningen innehåller en rad bestämmelser gällande behandlingen av personuppgifter.
En grundläggande princip är att personuppgifter endast får behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. Behandlingen är laglig endast om den grundar sig på någon av de tillåtna rättsliga grunder som anges i förordningen, till exempel genom samtycke av den registrerade. Förordningen är direkt tillämplig inom hela Europeiska unionen.
Dataskyddsförordningen omfattar många bestämmelser, och framför allt hur företag och andra organisationer som vad innefattar gdpr inom Europeiska unionen och övriga EES får behandla och lagra personuppgifter. Förordningen och dess rättigheter samt skyldigheter aktualiseras enligt artikel 2 endast när personuppgifter förekommer, varför omfattningen av begreppet personuppgifter är av central betydelse.
En personuppgift är enligt artikel 4. Med behandling av personuppgift avses insamling, registrering, organisering, lagring, bearbetning, ändring, läsning, överföring, spridning, radering eller förstöring. Exempel på så kallad vanlig personuppgift är ett personnamn eller ett personnummer, och ibland även ett fotografi, en e-postadress, en IP-adress, en postadress, en webbkaka eller en karaktärsbeskrivning som kan identifiera en individ.
Särskilda kategorier av personuppgifter som inte får registreras, utom vid särskilda undantag, är individens etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa exempelvis allergiersexualliv eller sexuell läggning samt sådana genetiska och biometriska uppgifter som syftar till att identifiera individen.
Exempel på sådant undantag är att den registrerade har lämnat samtycke till behandling av uppgiften. Personuppgifter får bara behandlas om det har ett tydligt redovisat syfte enligt någon av sex rättsliga grunder: samtyckeavtal, rättslig förpliktelse, intresseavvägning, uppgift av allmänt intresse eller myndighetsutövning samt grundläggande intresse.
Skriv upp dig på vårt nyhetsbrev!
Webbplatser som har frivilligt utgivningsbevis skyddas av tryckfrihetsförordningen och är enligt den svenska yttrandefrihetsgrundlagen undantagna från Dataskyddsförordningen. Processer ska finnas för att minimera mängden behandlade personuppgifter, exempelvis genom att avidentifiera uppgifterna, och för att gallra lagrade personuppgifter om och när de inte längre behövs.
Organisationen är skyldig att upprätta ett register över behandlingar av personuppgifter med ändamål. Den 4 juli presenterade Europeiska kommissionen ett förslag till ytterligare förfaranderegler avseende verkställighet av dataskyddsförordningen i fall där fysiska personer från flera olika medlemsstater berörs. Syftet är att vad innefattar gdpr en enhetlig tillämpning av dataskyddsförordningen vid gränsöverskridande situationer.
Förslaget måste godkännas av Europaparlamentet och Europeiska unionens råd innan det kan träda i kraft. Det tidigare svenska undantaget från skydd av behandling av personuppgift i ostrukturerad form, exempelvis löpande text såsom e-post eller enkla listor, finns inte kvar i GDPR. Många företag och organisationer behöver utse ett särskilt dataskyddsombud.
Privatpersoner har särskilda rättigheter enligt GDPR [ 18 ]bland annat rätten att bli bortglömd under vissa villkor, det vill säga att begära att känsliga lagrade personuppgifter raderas, eller att användningen av personuppgifter begränsas. Rätten att bli bortglömd kan dock begränsas av andra lagar eller krav enligt rättslig förpliktelse.
Vanliga frågor och svar om Dataskyddsförordningen (GDPR)
Det räcker inte att bara informera om webbkakan och erbjuda möjlighet att avstå opt-outsom äldre lagstiftning krävde, i Sverige lagen om elektronisk kommunikation från Undantag från detta krav är webbkakor som är nödvändiga för att tillhandahålla den funktion användaren begär, exempelvis för att kunna koppla samman webbvisningar som hör till samma användarsession ett köp med en betalning, eller möjliggöra elektroniska meddelanden [ 21 ]eller som företaget har ett berättigat intresse av att lagra.
Dessa kräver inte samtycke, utan enbart att användaren informeras. En myndighet får behandla personuppgifter utan individens samtycke när det krävs för fullgörande av lagstadgad myndighetsutövning, exempelvis arkivering av uppgifter som enligt svensk lag vad innefattar gdpr allmän handling och skyldighet att sprida information om verksamheten till allmänheten. Myndigheten är ändå skyldig att redovisa syftet.
Vad är GDPR?
Baserat på GDPR i kombination med olika specialregler får europeiska myndigheter överföra personuppgifter till servrar i annat land, exempelvis vad innefattar gdpr e-post och andra molntjänsterutan samtycke med individen om servrarna är geografiskt placerade inom EES och om organisationen har kontroll över servrarna. I sammanhanget bör nämnas att information som är säkerhetsskyddadi Sverige enligt offentlighets- och sekretesslagen och som rör rikets säkerhet, inte får lagras okrypterad på servrar som hanteras av stater som Sverige inte har internationellt säkerhetsskyddsavtal med, och till vilka personal som inte har genomgått svensk säkerhetsutbildning har tillträde.
Överföring kan ske till servrar i tredjeland utanför EES utan att samtycke om avtal finns om adekvat skyddsnivå, och om avtalet håller juridiskt vid EU-kommissionens återkommande granskning. Många myndigheter har som policy att begära medgivande inför fotopublicering på sociala mediersom i allmänhet lagras på servrar i USA. Flera webbsidor, företrädesvis utomeuropeiska sådana, stängde ned helt eller blockerade sina tjänster för kunder som använder europeiska IP-adresser med hänvisning till GDPR:s införande eller oklarheter i tolkningen av GDPR.
Detta gäller exempelvis ett antal dagstidningar, [ 32 ] annonsplattformar, [ 33 ] [ 34 ]bloggsajter [ 35 ] [ 36 ]onlinespel [ 37 ] och sajter för DNA-baserad släktforskning. TV4 vägrade gå med på Googles krav att det ska stå i användaravtalet att TV4:s användare ska godkänna att TV4 skulle sälja uppgifter till Google och deras kunder.
Det gör att TV4 inte får använda Googles mycket använda annonsplattform. Synliga följder av förordningen för vanliga användare är ett stort antal e-postmeddelanden våren från olika webbplatser som informerar om villkor eller begär användarens medgivande. På många nätsajter kom det under införandet upp fönster där man ska godkänna ett avtal eller läsa mer information.
Redan enligt tidigare europeisk lagstiftning, i Sverige enligt Lagen om vad innefattar gdpr kommunikation LEKkrävs att webbplatser informerar om och ger möjlighet till opt-out vid webbkakormen i spåren av GDPR har fler webbplatser, även utanför Europa, börjat informera om webbkakor, och även börjat begära medgivande opt-in vid webbkakor. Ärenden och meddelanden som har skickats i e-tjänsten Bakgrunden till sanktionsavgiften var att en gymnasieskola i kommunen på prov använt ansiktsigenkänning via kamera för att registrera elevers närvaro på lektionerna.