Vanliga frågor om EU:s dataskyddsförordning

GDPR är en förkortning av General Data Protection Regulation (allmän dataskyddsförordning). Dataskyddsförordningen reglerar behandlingen av personuppgifter och har tillämpats i alla EU-länder från och med 25.5.2018.

GDPR förbättrar skyddet för dina personuppgifter och ger dig fler metoder för att styra behandlingen av dina uppgifter.

Läs mer på EUR-Lexs webbplats:
EU:s allmänna dataskyddsförordning

Lagstiftningen syftar till

• bättre skydd för personuppgifter
• fler metoder för att administrera egna uppgifter
• tackla utmaningar inom dataskyddet som digitaliseringen medför
• utveckling av EU:s digitala inre marknad.

Du har rätt att

• veta vilka personuppgifter en organisation har om dig
• veta hur och för vilka syften dina personuppgifter behandlas
• begära att felaktiga, inexakta och bristfälliga personuppgifter rättas till
• begära att personuppgifter raderas
• motsätta dig behandling av dina personuppgifter
• begära att behandlingen av dina personuppgifter begränsas
• överföra dina uppgifter till en annan organisation
• inte bli föremål för automatiskt beslutsfattande utan orsak.

Läs mer:
Känn till dina rättigheter (för privatpersoner)
Den registrerades rättigheter (för organisationer)

Du kan fråga om organisationen har personuppgifter om dig. Du har rätt att få en bekräftelse av att dina personuppgifter inte behandlas. Om ett företag har personuppgifter om dig har du rätt att

• få tillgång till uppgifterna
• få ytterligare information till exempel om syften för vilka de används.

Organisationen ska lämna ut uppgifterna i allmänt använd elektronisk form, såvida du inte begär något annat. Organisationen behöver dock inte lämna en kopia av dina uppgifter, om det skadar andras rättigheter och friheter.

Läs mer:
Har du underrättats om behandlingen av dina personuppgifter
När du vill granska dina uppgifter

Du kan be organisationen rätta till dina uppgifter, om du märker att de är felaktiga, bristfälliga eller inexakta. I vissa situationer har du rätt att komplettera bristfälliga personuppgifter. Organisationen ska svara på begäran inom en månad.

Läs mer:
När du vill rätta dina uppgifter

Du kan begära att personuppgifter raderas till exempel när uppgifterna inte längre behövs eller om de använts olagligt. Organisationen ska radera dina uppgifter om den saknar laglig grund för att behandla dem. 

Läs mer:
När du vill avlägsna dina uppgifter

Personuppgifter är alla uppgifter som anknyter till en identifierad eller identifierbar person.

Exempel på personuppgifter är

• hemadress
• e-postadress, till exempel [email protected]
• personkortets nummer
• bilens registreringsnummer
• positioneringsuppgifter
• uppgifter om far- och morföräldrars genetiska sjukdomar.

Läs mer:
Vad är en personuppgift?

Du får behandla personuppgifter om det finns en lagstadgad grund för det.

Grunden kan vara

• ett samtycke av den registrerade
• ett avtal
• en rättslig förpliktelse för den personuppgiftsansvarige
• skydd av vitala intressen
• ett allmänt intresse och offentlig makt
• ett berättigat intresse hos den registeransvariga eller en tredje part.

Lagen och dataskyddsprinciperna ska alltid iakttas vid behandlingen av personuppgifter. Känsliga uppgifter får endast behandlas i undantagsfall.

Läs mer:
När får personuppgifter behandlas?

En dataskyddsombud ska utnämnas om

• ni i stor omfattning behandlar känsliga uppgifter
• ni följer människor i stor omfattning, regelbundet och systematiskt
• er organisation är en aktör inom den offentliga förvaltningen (exkl. domstolar).

Dataskyddsombuden är organisationens interna expert på dataskyddsfrågor och kontaktperson för registrerade och dataskyddsmyndigheter.

Läs mer:
Dataskyddsombud

Om organisationen har över 250 anställda ska den grunda ett register över behandlingen.

Om organisationen har mindre än 250 anställda ska ett register över behandlingen grundas när

• behandlingen av personuppgifter inom organisationen inte är tillfällig
• behandlingen av personuppgifter inom organisationen sannolikt orsakar risk relaterad till registrerades rättigheter och friheter, eller
• organisationen behandlar känsliga uppgifter.

Läs mer:
Register över behandling

Meddela öppet och tydligt åtminstone

• organisationens namn, kontaktuppgifter och kontaktuppgifter för eventuell dataskyddsombud
• vilka uppgifter organisationen kommer att behandla
• för vilket syfte organisationen behandlar personuppgifter
• rättslig grund för behandling av personuppgifter
• hur länge uppgifter förvaras
• vilken annan organisation eller person kan få tillgång till uppgifterna
• överförs personuppgifter utanför EU
• personers dataskyddsrättigheter
• rätt att lämna in klagomål till dataskyddsmyndigheten
• rätt att när som helst återkalla samtycke, om behandlingen baserar sig på samtycke
• information om automatiskt beslutsfattande och behandlingens logik.

Läs mer:
Berätta om behandlingen för den registrerade

Enligt dataskyddsprinciperna ska personuppgifter

• behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade.
• behandlas konfidentiellt och säkert
• insamlas och behandlas i ett visst, uttryckligt och lagligt syfte
• insamlas endast i den grad som de behövs med tanke på syftet med behandlingen av personuppgifter
• alltid uppdateras vid behov ‒ inexakta och felaktiga personuppgifter ska raderas eller rättas utan dröjsmål
• förvaras i en form som möjliggör identifiering av den registrerade endast så länge som är nödvändigt för de ändamål för vilka personuppgifterna behandlas.

Dataskyddsprinciperna ska iakttas i alla faser i behandlingen av personuppgifter. Registeransvarig ska kunna visa att dataskyddsprinciperna iakttas.

Läs mer:
Dataskyddsprinciper