9789152351314 by Smakprov Media AB

Boken kombinerar juridik och mangagement och är uppdelad i tre delar: Del 1 och 3 fokuserar på det juridiska regelverket. Del 2 ger konkreta tips hur du kan arbeta rent praktiskt med personuppgifter – från nulägesanalys till strategi. Författarna förklarar det komplexa regelverket utifrån tydliga exempel, checklistor, avtalsmallar, faktarutor och andra slags visualiseringar. Dataskyddsförordningen, GDPR. Förstå och tillämpa i praktiken är nödvändig för säkerhetsansvariga, dataskyddsombud, HR-specialister och IT-experter. Den är även ett måste för styrelser och ledningsgrupper, vilka är ytterst ansvariga för verksamheten och för tillämpningen av dataskyddsförordningen.

ISBN 978-91-523-5131-4

9 789152 351314

Dataskyddsförordningen GDPR · Förstå och tillämpa i praktiken

Dataskyddsförordningen, eller GDPR som den ofta kallas, gäller i Sverige från och med den 25 maj 2018 och har förenats med kännbara sanktioner. Alla organisationer – stora och små företag, föreningar, myndigheter och kommuner – som samlar in personuppgifter behöver anpassa sig till de nya kraven.

MONIKA WENDLEBY · DAG WETTERBERG

Vad är en personuppgift? När behöver samtycke inhämtas? Vad gäller kring registerutdrag och gallring av personuppgifter?

Foto: Louise Wendleby

DATASKYDDSFÖRORDNINGEN

GDP GD GDPR PR Förstå och tillämpa i praktiken

Monika Wendleby • Dag Wetterberg

Monika Wendleby är jurist och arbetar i dag som managementkonsult på Passacon AB där hon hjälper kunder med allt från ledarskap och kommunikation till visioner, strategier, organisation, kultur och värderingar. Hon har tagit fram flera metoder, verktyg och utbildning rörande dataskyddsförordningen. Monika har i många tidigare roller (bl.a. som domare, utredningssekreterare på Regeringskansliet och i ledningen för en stor myndighet) också arbetat med bl.a. dataskyddsfrågor. Foto: Ateljé Uggla

Dag Wetterberg är advokat och grundare av Wetterberg Advokatbyrå som är en affärsjuridisk advokatbyrå med specialisering inom immaterialrätt, IT-rätt, GDPR, marknadsrätt, yttrandefrihet samt rättsprocesser inom dessa områden. Dag är expert hos InsureSec rörande utveckling av utbildningsfrågor i GDPR. Dag föreläser vid Stockholms universitet, Fakultetskurser, Blendow samt hos klientbolag. Monika och Dag håller tillsammans kursen ”GDPR – förstå och tillämpa den nya dataskyddsförordningen” hos branschorganisationen FAR.

SANOMA UTBILDNING Postadress: Box 30091, 104 25 Stockholm Besöksadress: Alströmergatan 12, Stockholm Webbplats: www.sanomautbildning.se E-post: info@sanomautbildning.se Order/Läromedelsinformation Telefon: 08-587 642 10 Telefax: 08-587 642 02 Förläggare: Amanda Schött Franzén Redaktör: Anne Laurella Grafisk form och omslag: Måns Björkman / Typ & Design Illustrationer: Jonny Hallberg Dataskyddsförordningen, GDPR. Förstå och tillämpa i praktiken ISBN 978-91-523-5131-4 © 2018 Monika Wendleby, Dag Wetterberg och Sanoma Utbildning AB, Stockholm Första upplagan Första tryckningen Kopieringsförbud Detta verk är skyddat av lagen om upphovsrätt. Kopiering utöver lärares rätt att kopiera för undervisningsbruk enligt Bonus Copyright Access, är förbjuden. Sådant avtal tecknas mellan upphovsrättsorganisationer och huvudman för utbildningsanordnare, t.ex. kommuner/universitet. För information om avtalet hänvisas till utbildningsanordnares huvudman eller Bonus Copyright Access. Den som bryter mot lagen om upphovsrätt kan åtalas av allmän åklagare och dömas till böter eller fängelse i upp till två år samt bli skyldig att erlägga ersättning till upphovsman/rättsinnehavare. Tryck: Livonia Print, Lettland 2018

Innehåll Förord . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 Inledning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

DEL 1 DET NYA DATASKYDDET

Intervju: Elisabeth Jildebrand, Datainspektionen . . . . . . . . . . . . . 20 1. En ny dataskyddsförordning . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 1.1 Inledning 23 1.2 Den personuppgiftsansvarige 28 1.3 Sanktionsavgifter 30 1.4 Personlig integritet 31 1.5 Internationella överenskommelser 32 1.6 Sammanfattning 33 2. Personuppgifter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 2.1 Inledning 35 2.2 Personnummer och samordningsnummer 37 2.3 Avlidna personer och juridiska personer 38 2.4 Pseudonymiserade uppgifter 38 2.5 Känsliga personuppgifter 41

2.7 Sammanfattning 41 3. Behandling av personuppgifter ��43 3.1 Inledning 43 3.2 De lagliga grunderna 44 3.3 Övergripande principer för all behandling 49 3.4 Inhämtande av samtycke 51 3.5 Behandling på grund av avtal 55 3.6 Behandling på grund av en rättslig förpliktelse 58 3.7 Behandling på grund av allmänt intresse 59 3.8 Behandling vid myndighetsutövning 61 3.9 Behandling på grund av berättigat intresse 62 3.10 Behandling av känsliga personuppgifter 63 3.11 Arkivering och gallring 75 3.12 Sammanfattning 87 4. Den registrerades rättigheter ��91 4.1 Inledning 91 4.2 Rätten till information 92 4.3 Rätten att få tillgång till information 95 4.4 Rätten till rättelse 96 4.5 Rätten till radering 96 4.6 Rätten till begränsning av behandling 99 4.7 Rätten till dataportabilitet 99 4.8 Rätten att invända 101 4.9 Rättigheter vid automatiserade beslut 102 4.10 Sammanfattning 103 5. Personuppgiftsbiträde och dataskyddsombud �� 105 5.1 Inledning 105 5.2 Personuppgiftsbiträde 106 5.3 Dataskyddsombud 113 5.4 Sammanfattning 121 6. Speciella frågor ��123 6.1 Inledning 123

6.2 Barns integritet 124 6.3 Journalistiskt, akademiskt, konstnärligt eller litterärt skapande 136 6.4 Sammanfattning 140

DEL 2 DET PRAKTISKA ARBETET

143

Intervju: Tomas Franzén, Bonnier . . . . . . . . . . . . . . . . . . . . . . . . . . 144 7. Att ta sig an dataskyddsförordningen . . . . . . . . . . . . . . . . . . . 149 7.1 Inledning 149 7.2 Att ständigt bli bättre – det inbyggda dataskyddet 150 7.3 Arbete på strategisk nivå 153 7.4 Förberedelser på operativ nivå 163 7.5 Tydliggör organisationens processer 164 7.6 Sammanfattning 171 8. Inventering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .172 8.1 Inledning 172 8.2 Organisationens status 173 8.3 Grundläggande principer för behandling 193 8.4 Den registrerades rättigheter 217 8.5 Marknadsföring, profilering och automatiserade beslut 233 8.6 Statistik och pseudonymisering 238 8.7 Arkivering och gallring 240 8.8 Sammanfattning 241 9. Strategi och planering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243 9.1 Inledning 243 9.2 Vision, mål och strategi 244 9.3 Risker 246 9.4 Resursläget 249 9.5 Prioritering 250

9.6 Sammanfattning

253

10. Det fortsatta arbetet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254 10.1 Inledning 254 10.2 Få med sig medarbetarna 255 10.3 Städa och skapa struktur 261 10.4 E-post 267 10.5 Kommunikation och integritetspolicy på nätet 269 10.6 HR-frågor 276 10.7 Marknadsföring 286 10.8 Sammanfattning 291

DEL 3 NÄR NÅGOT GÅR FEL

295

Intervju: Inga-Lill Askersjö, justitieråd . . . . . . . . . . . . . . . . . . . . . . 296 11. Personuppgiftsincidenter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303 11.1 Inledning 303 11.2 Vad är en personuppgiftsincident? 304 11.3 Anmälan av en personuppgiftsincident 306 11.4 Hantering vid personuppgiftsincident 309 11.5 Sammanfattning 312 12. Sanktionsavgifter och skadestånd . . . . . . . . . . . . . . . . . . . . . . 314 12.1 Inledning 314 12.2 Sanktionernas storlek 315 12.3 Förfarande när sanktion beslutas 322 12.4 Administrativa sanktionsavgifter för myndigheter 324 12.5 Skadestånd till den enskilde 327 12.6 Sammanfattning 330 13. Processuella regleringar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333 13.1 Inledning 333 13.2 Dataskyddsförordningens reglering 334 13.3 Dataskyddslagen 336

13.4 Platsundersökningar 343 13.5 Överklagande av myndighetsbeslut 344 13.6 Skadeståndstalan 348 13.7 Ombud 349 13.8 Sammanfattning 350 Begrepp och förkortningar ��355 Källor och lästips �� 367 Register �� 374

Förord Hur idén till boken kom till Idén till den här boken väcktes i samtal mellan Dag och förläggaren Amanda Schött Franzén på Sanoma Utbildning. Ungefär samtidigt tog Monika kontakt med Dag för att diskutera ett utbildningssamarbete om dataskyddsförordningen. Under en tid var detta två separata spår men när arbetet med utbildningen fördjupades bjöds Monika in i arbetet, eftersom det blev mer och mer tydligt att deras olika perspektiv kompletterade varandra. Dag har i sitt dagliga arbete som advokat och personuppgiftsombud i ett flertal företag stor vana att omvandla komplicerade lagtexter till praktisk hantering. Han har hjälpt både företag, myndigheter och andra organisationer att hantera arbetet genom att bland annat upprätta rutiner för hur olika policyer ska utformas, vad ett personuppgiftsbiträdesavtal ska innehålla och hur gallring av personuppgifter ska göras. Många gånger har det handlat om att genomföra komplicerade juridiska analyser och utvärderingar och kommunicera dessa med klienter som inte är jurister själva. Monika är också jurist. Hon har en bred erfarenhet av offentlig sektor och har i olika roller kommit i kontakt med lagstiftning om personuppgifter (bland annat som domare och som utredare när en registerlagstiftning togs fram). Hon har också i många år suttit i ledningsgruppen för en stor svensk myndighet och i styrelsen för Lean Forum, en ideell förening som arbetar med modern verksamhetsutveckling. Med stöd av den erfarenheten 8

har hon sadlat om och arbetar i dag heltid med att stödja organisationer när de vill utveckla verksamhet, styrning och ledarskap. När hon förstod hur komplext många organisationer tyckte det var att arbeta med dataskyddsförordningen började hon utveckla verktyg för arbetet som hon använder ute hos kunder.

Vårt arbete med boken och våra tack Det har varit intensivt och energirikt att arbeta med boken. Vår ambition har varit att stödja organisationer i arbetet redan under införandefasen och därför har det varit viktigt att kunna leverera en bra produkt på så kort tid som möjligt. Vi har fått ett fantastiskt stöd av förlaget i det arbetet av både vår förläggare Amanda Schött Franzén och vår redaktör Anne Laurella. Vi står tillsammans bakom alla texter i boken men har delat upp skrivandet utifrån vad vi trott vara bäst för boken. Det är ett medvetet val att skilja de mer juridiska och praktiska delarna åt, eftersom boken är tänkt att ge en grundläggande förståelse för dataskyddsreformen samtidigt som boken ska ge läsaren en idé om hur man kan arbeta praktiskt med dataskyddsreformen i organisationen. Dag har haft huvudansvar för del 1 och 3 medan Monika haft huvudansvaret för del 2. Deras olika erfarenheter har använts när de juridiska texterna formulerats, vilket ger boken ett större djup. Monika har lämnat idéer på de flesta visualiseringar och andra illustrationer i boken. Dag har genomfört intervjuerna i boken och vi är tacksamma för att Elisabeth Jilderyd, Tomas Franzén och Inga-Lill Askersjö ställde upp, vilket förhoppningsvis ger läsaren en djupare förståelse för dataskyddsförordningens komplexitet. Vi hoppas att intervjuerna ska bidra till värdeskapandet för läsaren. Vi hade inte kunnat lyckas i vår satsning utan stöd från våra nära och kära – såväl Dags fru Linda som Monikas man Björn, FÖRORD

och döttrarna Fredrika och Louise har läst och kommit med värdefulla kommentarer. Vi har också haft nytta av att bolla tankar med Kerstin Hermanson, som vi genomför utbildningar tillsammans med. Vi vill också tacka våra vänner och kollegor som inspirerat oss och kommit med positiv feedback. Genom den undervisning vi håller tillsammans och var för sig har praktiska frågor dykt upp på vägen som delvis fångas upp i denna bok, och vi vill tacka alla er som gått på våra kurser och som deltagit i diskussioner och frågeövningar. Vi tackar för allt ert stöd, ingen nämnd, ingen glömd – utan er hade boken inte blivit lika bra! Stockholm i januari 2018 Monika Wendleby

FÖRORD

Dag Wetterberg

Inledning Bakgrunden till dataskyddsförordningen/GDPR Dataskyddsförordningen, eller GDPR som den ofta kallas efter förkortningen av den engelska titeln General Data Protection Regulation, ska börja tillämpas i maj 2018. Dataskyddsförordningen kommer i en tid där den tekniska utvecklingen går allt snabbare och påverkar människors vardag. Sociala medier används i stor utsträckning och i mobilen har de flesta av oss appar som både underlättar vardagen och roar. Webbplatser som verksamt.se och appar som Mitt vårdval gör det enklare att komma i kontakt med den offentliga sektorn och få sina ärenden hanterade. Det finns således mycket positivt i utvecklingen, men också många faror. En del människor känner sig övervakade av all riktad reklam som skräddarsytts för dem. De är inte bekväma med alla nya lösningar och känner att deras möjlighet att säga ifrån är för liten. Dessutom känner många sig oroade när de läser om virusattacker eller drabbas själva av olika intrång. Många oroas också av att säkerhetstänkandet rörande personuppgifter inte verkar vara så högt överallt och att till och med myndigheter ibland verkar ta lätt på frågan (till exempel Transportstyrelseaffären under sommaren 2017). Det är mot den här bakgrunden vi vill att du ska se dataskyddsförordningen. Den syftar till att ge individer starkare 11

skydd och respekt för sin integritet. Den syftar också till att ge människor större makt över sina personuppgifter, att själva i större utsträckning kunna bestämma vad de tycker är okej och inte okej. EU:s sätt att göra detta är att införa en förordning med ett regelverk som ska gälla på samma sätt i alla medlemsstater. För att understryka frågans vikt har kraftfulla sanktioner införts, det finns på det sättet en piska i dataskyddsförordningen. Den tänkta moroten är att organisationer ska få tydliga spelregler: med samma regelverk i hela EU kan personuppgifter flöda mer fritt inom unionen givet att alla anpassat sig till regelverket. Man behöver som organisation inte heller oroa sig för nationella särregler, vilket bör gynna till exempel handel och näringsverksamhet. EU har också säkerställt att dataskyddsförordningen inte blir en hämsko för det fria tankeutbytet. Texter som omfattas av yttrandefrihet omfattas därför inte av dataskyddsförordningen. En annan intressant sak med dataskyddsförordningen är att den uppmanar organisationer att hela tiden bli bättre. Genom det som kallas ”inbyggt dataskydd” uppmanas organisationer att vara öppna för ny teknik och fortlöpande se över sin organisering. Det finns ett krav på att ständigt försöka förbättra sig, vilket är intressant också från ett verksamhetsutvecklingsperspektiv. Om man tar kravet på allvar kan det också leda till andra bra effekter: nöjdare kunder (som känner sig tryggare) och effektivare arbetssätt. Så även om utmaningen känns stor i början, kan arbetet på sikt leverera fler värden än ”bara” inbyggt dataskydd. Det är för att hjälpa till i den processen som den här boken har skrivits. Den ska ge dig bra verktyg, både att förstå dataskyddsförordningens komplexa juridik och kunna omsätta detta i praktiken.

INLEDNING

Vem riktar sig boken till? Dataskyddsförordningen gäller i princip all verksamhet som behandlar enskilda levande individers personuppgifter. Den blir därför något som både privata företag och offentlig sektor behöver förhålla sig till. Alla, från stora multinationella koncerner till mindre ideella föreningar, omfattas av regelverket. Boken är skriven för att underlätta för olika typer av organisationer att förstå och tillämpa regelverket. Eftersom många organisationer just nu (i början av 2018) påbörjat eller står i startgroparna att börja sitt genomförandearbete har boken utformats för att konkret hjälpa till i det arbetet. Men användningsområdet är inte begränsat till detta, tanken bakom det inbyggda dataskyddet är inte att man ”inför” något och sedan är man klar med det. Tvärtom kräver inbyggt dataskydd att man ständigt reflekterar över sin verksamhet. Organisationer utvecklas över tid och vid ett förvärv av ett annat företag krävs att en due diligence (inventering) görs av det företagets efterlevnad av dataskyddsförordningen. Detta kommer att bli viktigare i samband med införandet av dataskyddsförordningen då ägare och styrelser kommer att bli ännu noggrannare i detta arbete för att undvika sanktionsavgifter. Det är även troligt att det vid inköp av listor med personuppgifter kommer att göras noggrannare överväganden av de företag som vill nyttja sådana listor för undvikande av sanktioner. Myndigheters kommersiella hantering av personuppgifter (Bolagsverket m.fl.) kommer behöva ses över eftersom den grund som kan ha använts – berättigat intresse – inte kommer kunna användas. Även för privata företag blir grunderna för behandling snävare, till exempel på marknadsföringsområdet. Ett företag kommer dock fortfarande att till exempel kunna inhämta samtycke och/eller genom avtal erhålla rättigheter att kontakta den registrerade (enskilda individer). Det är en god idé för en organisation att åtminstone månadsINLEDNING

vis eller kvartalsvis granska sitt nuläge för att se vad som går att göra bättre. I det arbetet är de praktiska metoder som beskrivs i bokens andra del lika användbara som i genomförandearbetet. Organisationen bör även löpande göra stickprovskontroller för att se att de kan efterleva de rigorösa reglerna om utlämnande av uppgifter om vilken behandling som gjorts rörande en registrerad. Förutom de allmänna användningsområdena som beskrivs ovan finns också flera speciella fall då boken kan vara särskilt nyttig, till exempel dessa: • Boken är ett utmärkt utbildningsmaterial som kan användas i alla situationer när personal behöver utbildas. Den praktiska delen medger också möjlighet till reflektion på teamnivå, vilket kan vara ett bra sätt att lära sig området. Om en organisation upptäcker att det finns brister i tillämpningen är det på det sättet också lätt att utbilda lokalt. Vidare kan den läsas av nyanställda som en del av ett introduktionspaket. • Boken ger en bra introduktion till ledamöter i styrelser och centrala ledningsgrupper. Den passar på så sätt bra som utbildningsmaterial och uppslagsbok för sådana läsare. Det är viktigt att förstå hur genomgripande dataskyddsförordningen är i den rollen, bland annat eftersom man som ledamot i en styrelse delar på det yttersta ansvaret. • Boken är vidare användbar för funktioner som internrevision som vill gå igenom situationen i organisationen och revidera tillämpningen. Genom att tillföras kunskap och redskap för analys får sådana funktioner bra möjlighet att göra ordentliga revisioner. • Boken utgör också ett bra stöd för personal som arbetar med upphandling och inköp; principen om inbyggt dataskydd innebär att man hela tiden måste leta efter ny teknik och nya

INLEDNING

organisatoriska lösningar. Detta behöver bli en naturlig del i kravställandet i inköpsarbetet. • Boken kan vidare användas som stöd i projektarbete. De flesta projekt – självklart IT-projekt men också många verksamhetsprojekt – kommer att behöva ha god kännedom om dataskyddsförordningen och ha verktyg för att hantera den. Den är användbar, till exempel när nya affärsmodeller ska utvecklas och processer ses över. • Eftersom flera komplexa frågor rör HR, ges flera praktiska exempel utifrån HR-området. Boken kan därför vara ett värdefullt stöd för HR-funktioner både i det dagliga arbetet (hantering av rekrytering, sjukskrivning med mera) och i policyarbetet. • Många juridiska frågor kommer att dyka upp efter hand, då kan det vara tryggt att luta sig tillbaka på beskrivningarna av regelverket i del 1 och 3. Boken är självfallet därför en bra handbok för dataskyddsombud och juristfunktioner i organisationen. Det finns mycket matnyttigt juridiskt i texterna som utgångspunkt för fördjupade studier. Den praktiskt inriktade delen av boken bör också fördjupa juristfunktionens förståelse för vad som krävs i införandet vilket kan underlätta den stödjande rollen. Dataskyddsombud kan använda den delen som praktisk hjälp i tillsynsarbetet.

Bokens struktur Vi har kombinerat en juridisk handbok med en managementhandbok för att göra det titeln utlovar: hjälpa organisationer både att förstå och att tillämpa dataskyddsförordningen i praktiken.

INLEDNING

Boken är uppdelad i tre delar: 1. Den första delen är en juridisk handledning där hela regelverket gås igenom. Varvat med beskrivande juridiska texter finns konkreta exempel på hur man kan arbeta med de juridiska frågorna (exempel ges från olika branscher). Texterna bygger främst på dataskyddsförordningen och vad som framgår av kompletterande svensk lagstiftningsarbete, men exempel ges också utifrån tillämpningen av dataskyddsförordningens föregångare: personuppgiftslagen. Vi har också beaktat flera riktlinjer från Artikel 29-gruppen, en arbetsgrupp inom EU-kommissionen. 2. Den andra delen ger stöd i det praktiska arbetet. Den ger tips inte bara i de juridiska frågorna, utan också hur man kan hantera frågorna utifrån ett modernt verksamhetsutvecklingsperspektiv. Delen beskriver tydligt inventering, strategi och fortsatt arbete. Några frågor som gås igenom är: Hur arbetar man strategiskt och operativt med dataskyddsförordningen? Hur säkerställer man kontinuerligt lärande och aktiv medverkan från medarbetarna? Hur kopplar man arbetet till verksamhetsprocesserna? Vad ska man tänka på i det fortsatta arbetet? I andra delen finns också flera värdefulla visualiseringar och checklistor som hjälper organisationen att bryta ner den komplexa juridiken och göra den hanterbar. Detta kanske är den allra största utmaningen i organisationens arbete: det går ju inte att stanna upp och göra en rättsutredning varje gång en personuppgift behandlas, utan arbetsprocesserna måste utformas så att de kan hantera komplexiteten. Tanken är att ge organisationen hjälp att reflektera och lära sig på djupet, ge verktyg som gör att dataskyddsförordningen på sikt kan bli en del av organisationens DNA. Här får organisationen möjlighet att utveckla sig på ett djupare plan än att enbart säkerställa dataskyddsförordningen: organisationen 16

INLEDNING

kan med hjälp av verktygen skapa större kundnöjdhet och nå bättre effektivitet. 3. Den tredje delen fokuserar på juridiken om olyckan är framme och organisationen hamnar i ett tillsynsärende och kanske i domstol. Regelverket beskrivs på ett tydligt sätt, vilket kommer att underlätta i sådana situationer. Avsnittet är också bra att sätta sig in i proaktivt för till exempel dataskyddsombud samt för funktioner som arbetar med att förebygga personuppgiftsincidenter och att göra konsekvensutredningar och samråda med Datainspektionen. Med djupare kunskap ökar förmågan att arbeta förebyggande. Delarna är skrivna så att de kan läsas var för sig, men läsaren får självklart en större förståelse om alla delar gås igenom. För att underlätta läsningen – och se sambandet mellan avsnitten – görs fortlöpande kopplingar mellan delarna genom nyttiga avsnittshänvisningar i marginalen. Varje del presenteras med en kort intervju med en intressant person: Elisabeth Jilderyd, jurist på Datainspektionen, inför del 1, Tomas Franzén, koncernchef på Bonnier, inför del 2 och IngaLill Askersjö, justitieråd och särskild utredare i Dataskyddsutredningen, inför del 3. Tanken är att intervjuerna ska vara aptitretare för det som beskrivs i de olika delarna. De är också valda för att de ger olika perspektiv på frågan: både det mer juridiska (Elisabeth Jilderyd och Inga-Lill Askersjö) och det mer praktiskt strategiska (Tomas Franzén). Vår förhoppning med boken är att den på flera sätt ska stimulera och underlätta i arbetet med dataskyddsförordningen. Ett bra arbete med dataskyddsförordningen innebär att den enskildes integritet och valfrihet säkerställs, vilket är kärnan i det dataskyddsförordningen vill åstadkomma.

INLEDNING

ISBN 978-91-523-5131-4

9 789152 351314

Dataskyddsförordningen GDPR · Förstå och tillämpa i praktiken

MONIKA WENDLEBY · DAG WETTERBERG

Vad är en personuppgift? När behöver samtycke inhämtas? Vad gäller kring registerutdrag och gallring av personuppgifter?

Foto: Louise Wendleby

DATASKYDDSFÖRORDNINGEN

GDP GD GDPR PR Förstå och tillämpa i praktiken

Monika Wendleby • Dag Wetterberg