Inbyggt dataskydd, privacy by design, handlar om att designa verksamheten utifrån alla perspektiv så att integriteten respekteras. Målet är att det ska ske när rutiner och strukturer utformas och inte i efterhand. Den personuppgiftsansvarige ska genomföra lämpliga organisatoriska åtgärder som till exempel ett dataskyddsombud med tillräcklig kunskap, utbildning av personal och strategier för dataskyddsarbetet. Den personuppgiftsansvarige ska även genomföra lämpliga tekniska säkerhetsåtgärder som till exempel kryptering och pseudonymisering. Därutöver ska den personuppgiftsansvarige i allt arbete se till att de grundläggande principerna för behandling efterlevs.

För att ständigt utveckla sin tekniska och organisatoriska nivå bör organisationen ha i åtanke den senaste utvecklingen, genomförandekostnader och behandlingens art, omfattning, sammanhang och ändamål samt riskerna för fysiska personers rättigheter och friheter.

Känsliga personuppgifter är uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, eller medlemskap i fackförening och uppgifter om hälsa, en persons sexualliv eller sexuella läggning, genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en person. Uppgifter om hälsa kan vara till exempel sjukfrånvaro, graviditet och läkarbesök.

Det är förbjudet att behandla denna typ av personuppgifter om inte något undantag gäller. Därutöver krävs det att den lever upp till grundläggande principer och har stöd i en rättslig grund som till exempel ifall den är nödvändig för att den personuppgiftsansvariga eller den registrerade ska kunna fullgöra sina skyldigheter eller utöva sina särskilda rättigheter inom arbetsrätten.

Dataskyddsförordningen reglerar ett likvärdigt skydd för personuppgifter och personlig integritet inom EU och EES-länderna. Således finns det inga begränsningar vad gäller överföring av personuppgifter inom detta område. Däremot finns inte motsvarande reglering utanför EU/EES. Således har dataskyddsförordningen specifika regler om under vilka förutsättningar det är tillåtet att föra över personuppgifter i länder utanför EU/EES.

EU-kommissionen kan besluta om att ett land har en tillräckligt hög skyddsnivå och i det fallet får ni föra över personuppgifter dit utan något särskilt tillstånd. I dataskyddsförordningen kallas det att land har en adekvat skyddsnivå. Sådana beslut kan även gälla ett visst territorium, internationell organisation eller sektorer i ett tredje land. Här kan ni hitta en uttömmande lista vad gäller länder med adekvat skyddsnivå.

Därutöver om ni har tagit till lämpliga skyddsåtgärder som till exempel bindande företagsbestämmelser eller standardavtalsklausuler är det tillåtet med tredjelandsöverföring.

I det uppmärksammade målet som avgjordes av EU-domstolen (Schrems II-domen) ogiltigförklarades Privacy Shield som brukar användas som en laglig grund för överföring av personuppgifter till USA. Således är det inte längre tillåtet att använda detta som grund och rättsläget är väldigt osäkert vad gäller överföring av personuppgifter till USA. Domstolen ansåg att amerikansk nationell lagstiftning inte gav tillräckligt skydd för personuppgifter vilket betyder att även med standardavtalsklausuler kan det föreligga ett osäkert läge.

En konsekvensbedömning ska påbörjas innan personuppgiftsbehandlingen startats. Dock finns det situationer som kräver att en konsekvensbedömning görs för en befintlig personuppgiftsbehandling som till exempel har ökade risker på grund av ändringar i utförandet av personuppgiftsbehandlingen.

Det finns fyra grundläggande krav som ni ska följa i er konsekvensbedömning:

• En systematisk beskrivning av den planerade behandlingen och dess syfte
• En utvärdering av om behandlingen är nödvändig och proportionerlig till dess syfte
• En utvärdering av vilka risker som kan föreligga för de registrerades rättigheter och friheter
• Vilka åtgärder som ska genomföras för att hantera riskerna och för att visa att dataskyddsförordningen efterlevs

Därutöver måste ni redogöra med ert dataskyddsombud samt ta in synpunkter från de registrerade eller deras företrädare när det är möjligt.

Främst kan ni överväga ifall behandlingen är nödvändig och proportionerlig i förhållande till dess syfte. Det kan finnas andra sätt ni kan uppnå syftet med behandlingen som innebär mindre risker. Det är även viktigt att ni från start inkorporerar konsekvensbedömningen i era arbetsrutiner som i till exempel era projektplaner.

En konsekvensbedömning räcker inte alltid utan ibland kan personuppgiftsbehandlingen förändras på ett sätt som medför mer risker som till exempel att ni samlar in fler personuppgifter än tidigare och således bör ni ompröva bedömningen.

ICO har en mall som man kan följa i sin konsekvensbedömning.

Om ni har tänkt att göra en behandling av personuppgifter som föranleder en hög risk för de registrerade måste ni göra en konsekvensbedömning avseende dataskydd. Det går ut på att arbeta proaktivt, förebygga risker och således skydda de registrerades fri-och rättigheter. Syftet är att minska riskerna vid behandlingar av personuppgifter som utgör en hög risk.

Säkerhetsåtgärderna varierar beroende på personuppgiftsbehandlingens omfattning och hur komplext arbetet är. Främst handlar det om minimering och hantering av risker som kan uppstå. Syftet är att skydda enskildas grundläggande rättigheter och friheter och vägen dit kan se väldigt olika ut.

Exempel på tekniska säkerhetsåtgärder:

• inloggning
• kryptering
• säkerhetskopiering
• brandväggsskydd

Organisatoriska säkerhetsåtgärder gäller det administrativa åtgärderna som till exempel tilldelning av åtkomsträttigheter, interna rutiner, instruktioner och riktlinjer.

För att bedöma vilka säkerhetsåtgärder som ska användas bör utgå ifrån en riskanalys och vilken typ av information det är som ska skyddas. Även behandling av känsliga personuppgifter kan ha olika risknivå beroende på i vilken kontext behandlingen förekommer, dess omfattning och på vilket sätt det implementeras.

• Vilka uppgifter som registreras och vart informationen är inhämtad ifrån som till exempel email-adress när en person registrerar sig för att använda en online-tjänst.
• Ändamålet med uppgiftsbehandlingen som till exempel insamling av användardata till syfte att utvärdera och utveckla nya funktioner till en tjänst.
• Den rättsliga grunden med behandlingen som till exempel ett företag använder sig av berättigat intresse för att samla in vissa data till marknadsföring.
• Vem/vilka har tillgång till personuppgifterna som till exempel tjänsteleverantörer kopplade till företaget.
• Var lagras uppgifterna rent fysiskt som till exempel i ett CRM-system som har sin bas i ett visst land.
• Under hur lång tid lagras uppgifterna vilket kan vara ett specifikt tidsspann eller till exempel under tiden som du använder dig av en viss tjänst.
• Information om kontrollåtgärder som till exempel implementering av olika policyer, inklusive pseudonymisering, kryptering samt policyer angående tillgång och lagringstid för att skydda mot obehörig åtkomst.
• Kontaktinformation till ansvariga för behandlingen av personuppgifter som till exempel en mejl-adress till deras dataskyddsombud.

Ett personuppgiftsbiträde är ett företag, en organisation eller annan person som behandlar personuppgifter för en personuppgiftsansvarigs räkning. Personuppgiftsbiträdet behandlar personuppgifterna enligt den personuppgiftsansvariges instruktioner och angivna syfte.

Vanligtvis är det den juridiska person (till exempel aktiebolag, förening eller myndighet) som fastlägger vilka personuppgifter som ska behandlas i verksamheten och varför. Det betyder att själva organisationen som arbetsgivare är personuppgiftsansvarig och inte en enskild person som till exempel chefen eller en anställd. Dock kan en enskild person vara personuppgiftsansvarig, när det gäller till exempel en enskild firma.

I dataskyddsförordningen regleras två situationer då ett biträdesavtal blir aktuellt.

Första situationen framgår av artikel 28.3 och behandlar avtal mellan en personuppgiftsansvarig och ett personuppgiftsbiträde:

När ett personuppgiftsbiträde behandlar personuppgifter åt den personuppgiftsansvariga, ska behandlingen regleras genom avtal (eller annan rättsakt). Avtalet ska vara bindande för den personuppgiftsansvariga och personuppgiftsbiträdet. Det kan vara till exempel att ett företag anlitar en molntjänstleverantör som lagrar och analyserar personuppgifter åt företaget.

Andra situationen framgår av artikel 28.4 och behandlar avtal mellan ett personuppgiftsbiträde och underbiträden:

När ett personuppgiftsbiträde anlitar ett underbiträde som ska utföra en specifik behandling, på den personuppgiftsansvarigas vägnar, måste det finnas ett avtal (eller annan rättsakt) mellan personuppgiftsbiträdet och underbiträdet. Ett exempel är att företaget köper en molnbaserad lagringstjänst. Därefter anlitar molntjänstleverantören ett it-företag som ansvarar för den tekniska supporten av servrarna.

Alla myndigheter och andra offentliga organ måste utse ett dataskyddsombud. Företag och andra privata aktörer måste utse ett dataskyddsombud i det fallet kärnverksamheten består av behandling som kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning vilket kan vara en följd av behandlingens karaktär, omfattning och/eller ändamål eller om kärnverksamheten består av behandling av känsliga personuppgifter och personuppgifter avseende fällande domar i brottmål. Det som avgör är vilken kategori av personuppgifter som behandlas och i vilken omfattning som personuppgiftsbehandling sker. Några exempel på regelbunden och systematisk övervakning är spårning och profilering på internet, positionsspårning och kameraövervakning. IMY har en guide som ni kan följa för att se ifall ni behöver ett dataskyddsombud.

Som personuppgiftsansvarig eller personuppgiftsbiträde är ni skyldiga att föra ett register över era behandlingar av personuppgifter. Registret ska upprättas skriftligen, finnas tillgänglig i elektronisk format och hållas uppdaterad.

Hos en personuppgiftsansvarig ska registret innehålla:

1. namn och kontaktuppgifter för den personuppgiftsansvariga, den personuppgiftsansvarigas företrädare samt dataskyddsombudet
2. ändamålen med behandlingen. Ändamålen måste vara specifika och konkreta. Det räcker till exempel inte att ange ”kontroller” som ändamål för loggning och övervakning, utan syftet med kontrollen ska också anges. Syftet med kontrollen kan vara övervakning av säkerhets- eller tekniska skäl eller uppföljning av interna regler.
3. en beskrivning av kategorierna av registrerade som till exempel anställda, kunder eller medlemmar och kategorierna av personuppgifter som till exempel namn, kön, inkomst eller personnummer.
4. de kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut som till exempel en leverantör eller myndigheter.
5. i tillämpliga fall, överföringar av personuppgifter till ett tredjeland eller en internationell organisation
6. vid möjlighet, de förutsedda tidsfristerna för radering av de olika kategorierna av uppgifter
7. vid möjlighet, en allmän beskrivning av tekniska och organisatoriska säkerhetsåtgärder.

Hos ett personuppgiftsbiträde ska registret innehålla:

1. namn och kontaktuppgifter för personuppgiftsbiträdet, för varje personuppgiftsansvarig för vars räkning personuppgiftsbiträdet agerar, för den personuppgiftsansvarigas och personuppgiftsbiträdets företrädare samt för personuppgiftsbiträdets dataskyddsombud
2. de typer av behandlingar som har utförts för varje personuppgiftsansvarigs räkning som till exempel ärendehantering
3. i tillämpliga fall, överföringar av personuppgifter till ett tredjeland eller en internationell organisation
4. om möjligt, en allmän beskrivning av tekniska och organisatoriska säkerhetsåtgärder.

Det finns sex rättsliga grunder:

• Samtycke
• Avtal
• Intresseavvägning
• Rättslig förpliktelse
• Myndighetsövning
• Uppgift av allmänt intresse och grundläggande intresse

Samtycke: Den registrerade har sagt ja till personuppgiftsbehandlingen. Samtycke kan användas till exempel när man ska skicka ut nyhetsbrev till prenumeranter.

Det är oftast inte lämpligt eller ens möjligt att använda samtycke som rättslig grund. Tänk alltid över de andra rättsliga grunderna först!

Avtal: Den registrerade har ett avtal eller ska sluta ett avtal med den personuppgiftsansvariga. Avtal kan användas till exempel när en arbetsgivare behandlar personuppgifter om en anställd för att kunna uppfylla anställningsavtalet eller för att behandla personuppgifter som behövs för att administrera en beställning vid köp av vara.

Intresseavvägning: Den personuppgiftsansvarige får behandla personuppgifter om den personuppgiftsansvariges intressen väger tyngre än den registrerades och om behandlingen är nödvändig för att uppnå det aktuella ändamålet. Intresseavvägning kan användas till exempel i direkt marknadsföring, kvalitetsutveckling och statistikföring.

Rättslig förpliktelse: Det finns lagar eller regler som gör att den personuppgiftsansvariga måste behandla vissa personuppgifter i sin verksamhet. Några exempel är bankers skyldighet att föra register över sina kunder, bokföringsskyldighet som anges i bokföringslagen eller arbetsgivares skyldighet att redovisa skatter och sociala avgifter beträffande sina arbetstagare.

Myndighetsutövning och uppgift av allmänt intresse: Den personuppgiftsansvariges behandling är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Ett exempel är för att tillhandahålla hälso-och sjukvård.

Grundläggande intresse: Den personuppgiftsansvariges behandling är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn. Denna rättsliga grund används främst inom sjukvården när det till exempel skulle behövas för att rädda en persons liv genom att ta del av känsliga personuppgifter som blodgrupp.

Vid behandling av personuppgifter i er verksamhet, måste ni följa dataskyddsförordningen (GDPR). Ett krav är att ni måste stödja er på någon av de sex rättsliga grunderna. Utan en rättslig grund, blir behandlingen av personuppgifter olaglig.