9789152356340

Page 1

pas av de flesta organisationer: stora och små företag, föreningar, myndigheter och kommuner. I vissa fall kan också privatpersoner bli personuppgiftsansvariga. Boken kombinerar juridik och management och är uppdelad i tre delar: Del 1 och 3 fokuserar på det juridiska regelverket. Del 2 ger konkreta tips på hur du kan arbeta rent praktiskt med personuppgifter. Denna andra upplaga är grundligt genomarbetad och innehåller ännu fler konkreta tips och lättbegripliga checklistor, avtalsmallar, faktarutor och andra slags visualiseringar. De juridiska delarna har fördjupats med genomgång av rättsfall och analyser av de komplexa regelverken. Flera nya avsnitt har tillkommit, bland annat överföringar till tredjeland, konsekvensbedömningar och samråd. Nyskrivna specialavsnitt om sociala medier, forskning, upphandling samt ideell sektor och bostadsrättsföreningar gör boken ännu mer användbar. Dataskyddsförordningen GDPR. Förstå och tillämpa i praktiken är nödvändig för säkerhetsansvariga, dataskyddsombud, HR-specialister, upphandlare, kommunikatörer och IT-experter. Den är även ett måste för styrelser och ledningsgrupper, vilka är ytterst ansvariga.

ISBN 978-91-523-5634-0

9 789152 356340

DATASKYDDSFÖRORDNINGEN

N

GDPR

Foto: Fredrika Wendleby

GA

Dataskyddsförordningen GDPR · Förstå och tillämpa i praktiken

Dataskyddsförordningen, eller GDPR som den ofta kallas, ska tilläm-

Monika Wendleby · Dag Wetterberg

Hur ska man hantera biträdesavtal och inbördes arrangemang? Vad ingår i dataskyddsombudets arbetsuppgifter och hur ska man utföra dem? Hur ska man hantera incidenter, rättigheter och gallring?

UPPL

Förstå och tillämpa i praktiken

Monika Wendleby • Dag Wetterberg

A

Monika Wendleby är en kvalificerad jurist (har bland annat arbetat många år som ordinarie domare i förvaltningsdomstol) med stor praktisk erfarenhet av dataskyddsförordningen. Hon har hjälpt många olika kunder med att hantera både juridik och kvalitet, bland annat som externt dataskyddsombud. Som partner i managementbolaget Passacon AB arbetar hon även i andra avseenden med att förbättra kundernas verksamhet. Många av de metoder och verktyg som beskrivs i boken har tagits fram av henne och framgångsrikt använts ute hos kunder. Foto: Jonas Olsson

Dag Wetterberg är advokat och grundare av Wetterberg Advokatbyrå som är en affärsjuridisk advokatbyrå med specialisering inom immaterialrätt, IT- rätt, GDPR, marknadsrätt, yttrandefrihet samt rättsprocesser inom dessa områden. Vid sidan av Dags advokatverksamhet undervisar han i IT-rätt vid Stockholms universitet och han fungerar som expert hos InsureSec rörande utveckling av utbildningsfrågor i GDPR. Dag sitter i ett antal bolagsstyrelser och han har genomgått kursen Rätt fokus i styrelsearbetet för att bli certifierad styrelseledamot (Styrelseakademien). Monika och Dag är erfarna utbildare och håller både tillsammans och var för sig många uppskattade utbildningar om dataskyddsförordningen.


SANOMA UTBILDNING Postadress: Box 30091, 104 25 Stockholm Besöksadress: Alströmergatan 12, Stockholm Webbplats: www.sanomautbildning.se E-post: info@sanomautbildning.se Order/Läromedelsinformation Telefon: 08-587 642 10 Telefax: 08-587 642 02 Förläggare: Amanda Schött Franzén Redaktör: Anne Laurella Grafisk form och omslag: Typ & Design Illustrationer: Jonny Hallberg Dataskyddsförordningen, GDPR. Förstå och tillämpa i praktiken ISBN 978-91-523-5634-0 © 2019 Monika Wendleby, Dag Wetterberg och Sanoma Utbildning AB, Stockholm Andra upplagan Första tryckningen Kopieringsförbud Detta verk är skyddat av lagen om upphovsrätt. Kopiering utöver lärares rätt att kopiera för undervisningsbruk enligt Bonus Copyright Access, är förbjuden. Sådant avtal tecknas mellan upphovsrättsorganisationer och huvudman för utbildningsanordnare, t.ex. kommuner/universitet. För information om avtalet hänvisas till utbildningsanordnares huvudman eller Bonus Copyright Access. Den som bryter mot lagen om upphovsrätt kan åtalas av allmän åklagare och dömas till böter eller fängelse i upp till två år samt bli skyldig att erlägga ersättning till upphovsman/rättsinnehavare. Tryck: xxx, 2019


Innehåll Förord till andra upplagan ��������������������������������������������������������������������8 Inledning ������������������������������������������������������������������������������������������������� 11

Del 1  DATASKYDDETS INNEHÅLL 19 1. Dataskydds­förordningen ���������������������������������������������������������������21 1.1 Inledning  21 1.2 Vem är ansvarig?  26 1.3 Teknikneutral förordning   31 1.4 Sanktionsavgifter  32 1.5 Personlig integritet  33 1.6 Sammanfattning  34 2. Personuppgifter ������������������������������������������������������������������������������38 2.1 Inledning  38 2.2 Subjektiva och objektiva uppgifter   40 2.3 Personnummer och samordningsnummer  41 2.4 Avlidna personer och juridiska personer  42 2.5 Anonymiserade och pseudonymiserade uppgifter  43 2.6 Integritetskänsliga uppgifter  47 2.7 Datakakor och profildata   50


2.8 Bilder, filmer och ljud  56 2.9 Sammanfattning  58 3. Behandling av personuppgifter �����������������������������������������������������61 3.1 Inledning  61 3.2 De lagliga grunderna  63 3.3 Övergripande principer för all behandling  66 3.4 Behandling på grund av samtycke  70 3.5 Behandling på grund av avtal  76 3.6 Behandling på grund av en rättslig förpliktelse  80 3.7 Behandling på grund av allmänt intresse  83 3.8 Behandling vid myndighetsutövning  84 3.9 Behandling på grund av berättigat intresse  85 3.10 Behandling av integritetskänsliga personuppgifter  88 3.11 Arkivering, gallring och statistik  104 3.12 Sammanfattning  124 4. Den registrerades rättigheter �����������������������������������������������������129 4.1 Inledning  129 4.2 Rätten till information  130 4.3 Rätten att få tillgång till information (registerutdrag)   136 4.4 Rätten till rättelse  138 4.5 Rätten till radering  139 4.6 Rätten till begränsning  142 4.7 Rätten till dataportabilitet  143 4.8 Rätten att invända  146 4.9 Rättigheter vid automatiserade beslut och profilering  147 4.10 Sammanfattning  157 5. Organisatoriska krav �������������������������������������������������������������������� 160 5.1 Inledning  160 5.2 Personuppgiftsansvariga och personuppgiftsbiträden  161 5.3 Dataskyddsombud  176 5.4 Register över behandlingar   189 5.5 Konsekvensbedömningar och förhandssamråd   193


5.6. Uppförandekoder och certifieringar  208 5.7 Sammanfattning  210 6. Speciella frågor ���������������������������������������������������������������������������� 214 6.1 Inledning  214 6.2 Barns integritet  215 6.3 Yttrandefrihet och journalistiskt, akademiskt, konstnärligt eller litterärt skapande  224 6.4 Överföringar till land utanför EU/EES  237 6.5 Forskning  242 6.6 Sammanfattning  254

Del 2  DET PRAKTISKA ARBETET 259 7. Att ta sig an dataskydds­förordningen ���������������������������������������261 7.1 Inledning  261 7.2 Att ständigt bli bättre – det inbyggda dataskyddet  262 7.3 Arbete på strategisk nivå  265 7.4 Tydliggör organisationens processer  274 7.5 Få med sig medarbetarna  282 7.6 Skapa struktur  285 7.7 Sammanfattning  290 8. Genomgång, kontroll och revision ��������������������������������������������292 8.1 Inledning  292 8.2 Organisationens status  294 8.3 Grundläggande principer för behandling  322 8.4 Den registrerades rättigheter  347 8.5 Integritetspolicy på nätet  364 8.6 Statistik och pseudonymisering  371 8.7 Arkivering och gallring  374 8.8 Sammanfattning  375


9. Strategi, risker och planering ���������������������������������������������������� 377 9.1 Inledning  377 9.2 Vision, mål och strategi  378 9.3 Risker och dokumentation  380 9.4 Resurser  384 9.5 Prioritering  386 9.6 Sammanfattning  387 10. Speciella frågor ��������������������������������������������������������������������������� 388 10.1 Inledning  388 10.2 E-post  389 10.3 Webbsidor och sociala medier  393 10.4 HR-frågor  398 10.5 Marknadsföring  411 10.6 Ideell sektor och bostadsrättsföreningar   417 10.7 Upphandling  424 10.8 Sammanfattning  434

Del 3  NÄR NÅGOT GÅR FEL 437 11. Person­uppgifts­incidenter ��������������������������������������������������������� 439 11.1 Inledning  439 11.2 Vad är en personuppgiftsincident?  440 11.3 Anmälan av en personuppgiftsincident  442 11.4 Hantering vid personuppgiftsincident  450 11.5 Sammanfattning  455 12. Sanktionsavgifter och skadestånd ��������������������������������������������457 12.1 Inledning  457 12.2 Sanktionernas storlek och utformning  458 12.3 Förfarande när sanktion beslutas  470 12.4 Administrativa sanktionsavgifter för myndigheter  473 12.5 Skadestånd   475 12.6 Sammanfattning  479


13. Befogenheter och processuella regleringar �������������������������� 484 13.1 Inledning  484 13.2 Datainspektionens befogenheter  485 13.3 Överklagande av myndighetsbeslut  491 13.4 Skadeståndstalan  504 13.5 Sammanfattning  506 Begrepp och förkortningar ������������������������������������������������������������� 509 Källor och lästips ���������������������������������������������������������������������������������517 Register ������������������������������������������������������������������������������������������������524


Förord till andra upplagan Hur boken kom till Idén till den här bokens första upplaga väcktes i samtal mellan Dag och förläggaren Amanda Schött Franzén på Sanoma Utbildning. Ungefär samtidigt tog Monika kontakt med Dag för att diskutera ett utbildningssamarbete om dataskyddsförordningen. Under en tid var detta två separata spår, men när arbetet med utbildningen fördjupades bjöds Monika in i arbetet, eftersom det blev mer och mer tydligt att deras olika perspektiv kompletterade varandra. Eftersom den svenska lagstiftningen inte var helt klar vid tidpunkten då första upplagan blev färdig bestämde vi att boken skulle uppdateras relativt snabbt. Vi har dessutom under året som gått fått feedback från de många läsarna av den första upplagan som stärkt oss i arbetet. De har berättat att boken varit värdefull i det dagliga arbetet och att de med spänning inväntar en ny upplaga som uppdaterats beträffande både juridik och praktiska metoder. Det är därför du nu har andra upplagan i din hand. Den är i många delar helt omarbetad och många viktiga nya avsnitt och illustrationer har tillkommit utifrån den erfarenhet vi fått och de önskemål våra läsare framfört. Eftersom vi jobbat igenom allt i grunden innebär det att andra upplagan egentligen är en helt ny bok! 8


Dag har i sitt dagliga arbete som advokat och dataskyddsombud i ett flertal företag stor vana att omvandla komplicerade lagtexter till praktisk hantering. Han har hjälpt både företag, myndigheter och andra organisationer att hantera arbetet genom att bland annat upprätta rutiner för hur olika policyer ska utformas, vad ett personuppgiftsbiträdesavtal ska innehålla och hur gallring av personuppgifter ska göras. Många gånger har det handlat om att genomföra komplicerade juridiska analyser och utvärderingar och kommunicera dessa med klienter som inte är jurister själva. Monika är både kvalificerad jurist och utbildad inom kvalitet och management. Hon arbetar bland annat som dataskyddsombud för flera organisationer och har i det arbetet med sig tidigare kunskap hon förvärvat i olika roller, bland annat som domare och som utredningssekreterare när en registerlagstiftning togs fram. Monika har en bred erfarenhet av både offentlig och ideell sektor. Hon har också i många år suttit i ledningsgruppen för en stor svensk myndighet och i styrelsen för Lean Forum, en ideell förening som arbetar med modern verksamhetsutveckling. Med stöd av båda sina kompetenser (juridik och management) har hon utvecklat visuella och kreativa verktyg för arbetet som hon använder ute hos kunder både när hon stödjer dem i komplexa juridiska frågor och när hon arbetar med stöd att förbättra kvalitet och effektivitet i verksamheter. De flesta metoderna som beskrivs i bokens andra del har utvecklats av henne och har framgångsrikt använts ute hos många av hennes kunder.

Vårt arbete med boken och våra tack Nu är andra upplagan klar. Även i den har vår ambition varit att på ett praktiskt sätt ge organisationer och andra intresserade ett verktyg och stöd för att förstå en komplicerad lagstiftning. Vi står tillsammans bakom alla texter i boken, men har delat upp skrivandet utifrån vad vi trott vara bäst för boken. Det är ett medvetet Förord till andra upplagan

9


val att skilja de mer juridiska och praktiska delarna åt, eftersom boken är tänkt att ge en grundläggande förståelse för dataskyddsreformen samtidigt som den ska ge läsaren en idé om hur man kan arbeta praktiskt med dataskyddsreformen i organisationen. Vi har tillsammans skrivit del 1 och 3, medan Monika haft huvudansvaret för del 2, eftersom den också innehåller texter och bilder baserade på den senaste kvalitetsforskningen. Författarnas olika erfarenheter har använts när de juridiska texterna formulerats, vilket ger boken ett större djup. Monika har lämnat idéer till alla visualiseringar och andra illustrationer i boken, som sedan förvaltats väl av förlaget och blivit de fina bilderna som finns i boken. Vi hade inte kunnat lyckas i vår satsning utan stöd från förlaget (förläggare, redaktör och illustratör har varit fantastiska) samt våra nära och kära – såväl Dags fru Linda som Monikas man Björn, och döttrarna Fredrika och Louise har läst och kommit med värdefulla kommentarer till första upplagan. Vi har också haft stor nytta av att bolla tankar med Kerstin Hermanson, som vi genomfört utbildningar tillsammans med. Vi vill tacka våra vänner, kollegor och kunder som inspirerat oss och kommit med positiv feedback. Genom den undervisning vi under åren hållit tillsammans och var för sig, har praktiska frågor dykt upp på vägen som delvis fångas upp i denna bok, och vi vill tacka alla er som gått på våra kurser och som deltagit i diskussioner och frågeövningar. Vi vill också tacka alla läsare av bokens första upplaga för den feedback vi fått från er. Den har gjort skrivandet i andra upplagan både roligare och enklare, eftersom vi då burit med oss att det är så många som uppskattar vårt arbete och har nytta av det. Vi tackar för allt ert stöd, ingen nämnd, ingen glömd – utan er hade boken inte blivit lika bra! Stockholm i januari 2019 Monika Wendleby 10

Förord till andra upplagan

Dag Wetterberg


Inledning Bakgrunden till dataskyddsförordningen/GDPR Dataskyddsförordningen, eller GDPR som den ofta kallas, efter förkortningen av den engelska titeln General Data Protection Regulation, började tillämpas den 25 maj 2018. Dataskyddsförordningen har kommit i en tid när den tekniska utvecklingen går allt snabbare och påverkar människors vardag. Sociala medier används i stor utsträckning och i mobilen har de flesta av oss appar som både underlättar vardagen och roar. Webbplatser som verksamt.se och appar som Mitt vårdval gör det enklare att komma i kontakt med den offentliga sektorn och få sina ärenden hanterade. Det finns således mycket positivt i utvecklingen, men också många faror. En del människor känner sig övervakade av all riktad reklam som skräddarsytts för dem. De är inte bekväma med alla nya lösningar och känner att deras möjlighet att säga ifrån är för liten. Skriverier kring Facebooks hantering av personuppgifter under 2017–2018 visar hur problemen kring integritet är en fråga som rör var och en och som varje organisation måste lära sig hantera för att inte förlora sitt förtroendekapital. Dessutom känner många sig oroade när de läser om virusattacker eller drabbas av olika intrång. Många oroas också av att säkerhetstänkandet rörande personuppgifter inte verkar vara så högt överallt och att till och med myndigheter ibland verkar 11


ta lätt på frågan (till exempel Transportstyrelseaffären under sommaren 2017 och E-hälsomyndighetens haveri hösten 2018). Det är mot den här bakgrunden vi vill att du ska se dataskyddsförordningen. Den syftar till att ge individer starkare skydd och respekt för sin integritet. Den syftar också till att ge människor större makt över sina personuppgifter, att själva i större utsträckning kunna bestämma vad de tycker är okej och inte okej. EU:s sätt att göra detta är en förordning med ett regelverk som ska gälla på samma sätt i alla medlemsstater. För att understryka frågans vikt har kraftfulla sanktioner införts, det finns på det sättet en piska i dataskyddsförordningen. Den tänkta moroten är att organisationer ska få tydliga spelregler: med samma regelverk i hela EU kan personuppgifter flöda mer fritt inom unionen, givet att alla anpassat sig till regelverket. Man behöver som organisation inte heller oroa sig för nationella särregler, vilket bör gynna till exempel handel och näringsverksamhet. EU har också säkerställt att dataskyddsförordningen inte blir en hämsko för det fria tankeutbytet. Texter som omfattas av yttrandefrihet omfattas därför inte av dataskyddsförordningen. En annan intressant sak med dataskyddsförordningen är att den uppmanar organisationer att hela tiden bli bättre. Genom det som kallas ”inbyggt dataskydd” uppmanas organisationer att vara öppna för ny teknik och fortlöpande se över sin tillämpning. Det finns ett krav på att ständigt försöka förbättra sig, vilket är intressant också från ett verksamhetsutvecklingsperspektiv. Om man tar kravet på allvar kan det också leda till andra positiva effekter: nöjdare kunder som känner sig tryggare och effektivare arbetssätt. Så även om utmaningen att bemästra alla regler känns stor är det bra att ha med sig att arbetet på sikt kan leverera fler värden än ”bara” inbyggt dataskydd. Det är för att hjälpa till i den processen som den här boken har skrivits. Den ska ge dig bra verktyg, både för att förstå dataskyddsförordningens komplexa juridik och för att kunna omsätta detta i praktiken. 12

Inledning


Vem riktar sig boken till? Dataskyddsförordningen gäller i princip all verksamhet som behandlar enskilda levande individers personuppgifter. Den blir därför något som både privata organisationer och offentlig sektor behöver förhålla sig till. Alla, från stora multinationella koncerner till mindre ideella föreningar, omfattas av regelverket. Boken är skriven för att underlätta för olika typer av organisationer att förstå och tillämpa regelverket. Den har många användningsområden och vi berättar om några av dem nedan. Det är en god idé för en organisation att åtminstone månadsvis eller kvartalsvis granska sitt nuläge för att se vad som går att göra bättre. I det arbetet är de praktiska metoder som beskrivs i bokens andra del användbara. Organisationen bör även löpande göra stickprovskontroller för att se att de kan efterleva de rigorösa reglerna om utlämnande av uppgifter om vilken behandling som gjorts rörande en registrerad. Har organisationen ett dataskyddsombud kan kontrollerna genomföras av hen. Förutom detta finns också flera speciella fall då boken kan vara särskilt nyttig, till exempel dessa: • Boken är ett utmärkt utbildningsmaterial som kan användas i alla situationer när personal behöver utbildas. Den praktiska delen medger också möjlighet till reflektion på teamnivå, vilket kan vara ett bra sätt att fördjupa sig i olika områden. Om en organisation upptäcker att det finns brister i tillämpningen är det på det sättet också lätt att utbilda lokalt. Vidare kan den läsas av nyanställda som en del av ett introduktionspaket. Den fungerar förstås också utmärkt som läromedel i olika utbildningar. • Boken ger en god introduktion för ledamöter i styrelser och centrala ledningsgrupper. Den passar på så sätt bra som utbildningsmaterial och uppslagsbok för sådana läsare. Det är viktigt för personer i sådana roller att förstå hur genomInledning

13


gripande dataskyddsförordningen är, bland annat eftersom man som ledamot i en styrelse delar på det yttersta ansvaret. • Boken är vidare användbar för dataskyddsombudet och funktioner som internrevision som vill gå igenom situationen i organisationen och revidera tillämpningen. På samma sätt kan den också vara ett stöd för externa revisorer. Genom att tillföras kunskap och redskap för analys får sådana funktioner en god möjlighet att göra ordentliga kontroller och revisioner. • Boken utgör också ett gott stöd för personal som arbetar med upphandling och inköp; principen om inbyggt dataskydd innebär att man hela tiden måste leta efter ny teknik och nya organisatoriska lösningar. Detta behöver bli en naturlig del i kravställandet i inköpsarbetet. I den andra upplagan har vi tagit fram konkreta avsnitt rörande just upphandlingsverksamhet. • Boken kan vidare användas som stöd i projektarbete. De flesta projekt – självklart IT-projekt, men också många verksamhetsprojekt – kommer att behöva ha god kännedom om dataskyddsförordningen och ha verktyg för att hantera den. Den är användbar, till exempel när nya affärsmodeller ska utvecklas och processer ses över. • Eftersom flera komplexa frågor rör HR, ges flera praktiska exempel utifrån HR-området. Boken kan därför vara ett värdefullt stöd för HR-funktioner både i det dagliga arbetet (hantering av rekrytering, sjukskrivning med mera) och i policyarbetet. • Många juridiska frågor kommer att dyka upp efter hand; då kan det vara tryggt att luta sig tillbaka på beskrivningarna av regelverket i del 1 och 3. Boken är därför självfallet en bra handbok för dataskyddsombud och juristfunktioner i organisationen. Det finns mycket matnyttigt juridiskt i texterna som utgångspunkt för fördjupade studier. Den praktiskt in14

Inledning


riktade delen av boken bör också fördjupa juristfunktionens förståelse för hur verksamheten ser ut, vilket kan underlätta den stödjande rollen. Dataskyddsombud kan använda den delen som praktisk hjälp i tillsynsarbetet. • Organisationer utvecklas över tid och vid ett förvärv av ett annat företag krävs att en due diligence (inventering) görs av det företagets efterlevnad av dataskyddsförordningen. Dataskyddsförordningen har lett till att ägare och styrelser är ännu noggrannare i sitt arbete vid förvärv för att undvika sanktionsavgifter och affärer som kan hota varumärket. • Även vid inköp av personuppgifter (såväl personuppgifter i text som adressuppgifter och i bilder) behöver organisationer göra noggranna överväganden rörande laglig grund, för undvikande av sanktioner. • I andra upplagan har vi också med ett avsnitt kopplat till forskningsfrågor. Även de som arbetar med sådana frågor kan ha nytta av boken. • Slutligen har nya domar från EU-domstolen gjort hanteringen av sociala medier och annan kommunikation mer komplex. Boken har därför uppdaterats med mer fakta om profildata, liksom fakta om gränsdragningen mellan yttrandefrihet och dataskyddsförordningen. Funktioner som arbetar med kommunikation och reklam kan därför ha stor nytta av boken.

Bokens struktur Vi har kombinerat en juridisk handbok med en managementhandbok för att göra det titeln utlovar: hjälpa organisationer både att förstå och att tillämpa dataskyddsförordningen i praktiken. Boken är uppdelad i tre delar: Inledning

15


1. Den första delen är en juridisk handledning där centrala delar av regelverket gås igenom. Varvat med beskrivande juridiska texter finns konkreta exempel på hur man kan arbeta med de juridiska frågorna (bland annat med exempel från olika branscher och med visualiseringar). Texterna bygger främst på dataskyddsförordningen och vad som framgår av kompletterande svenskt lagstiftningsarbete, men exempel ges också utifrån tillämpningen av dataskyddsförordningens föregångare: personuppgiftslagen. Vi har också beaktat flera riktlinjer från Artikel 29-gruppen, eftersom dessa riktlinjer har antagits som tolkningar av Europeiska dataskyddsstyrelsen och därför är viktiga tolkningsdata. Vi har också beaktat relevanta rättsfall på området. Varje kapitel avslutas med en sammanställning av vilka artiklar och beaktandesatser (skäl) i dataskyddsförordningen som vi använt oss av samt svenska lagrum som är relevanta. Vi har utöver att återge relevanta källor också gjort egna analyser av regelverket, vilket förhoppningsvis ska hjälpa läsaren att se oklarheter och möjliga lösningar på problem. Då det ännu inte finns så mycket rättspraxis är det svårt att lämna facit, men vi tror att våra tolkningar kan hjälpa dig framåt i ditt eget analysarbete, 2. Den andra delen ger stöd i det praktiska arbetet. Den ger tips inte bara i de juridiska frågorna, utan också hur man kan hantera frågorna utifrån ett modernt verksamhetsutvecklingsperspektiv. Delen beskriver tydligt fortlöpande uppföljning, strategi och råd för det praktiska arbetet. Några frågor som gås igenom är: Hur arbetar man strategiskt och operativt med dataskyddsförordningen? Hur säkerställer man kontinuerligt lärande och aktiv medverkan från medarbetarna? Hur kopplar man arbetet till verksamhetsprocesserna? Vad ska man tänka på i sitt vardagliga arbete? I många avsnitt fördjupas också den juridiska analysen som görs i de andra delarna genom att praktiska tillämpningstips ges. 16

Inledning


I andra delen finns också flera värdefulla visualiseringar och checklistor som hjälper organisationen att bryta ner den komplexa juridiken och göra den hanterbar. Detta är kanske den allra största utmaningen i organisationens arbete: det går ju inte att stanna upp och göra en rättsutredning varje gång en personuppgift behandlas, utan arbetsprocesserna måste utformas så att de kan hantera komplexiteten. Tanken är att ge organisationen hjälp att reflektera och lära sig på djupet, att ge verktyg som gör att dataskyddsförordningen på sikt kan bli en del av organisationens DNA. Här får organisationen möjlighet att utveckla sig på ett djupare plan än att enbart säkerställa efterlevnad av dataskyddsförordningen: organisationen kan med hjälp av verktygen skapa större kundnöjdhet och nå högre effektivitet. De här delarna är förstås också mycket användbara redskap vid uppföljningar, till exempel av internrevisorer och dataskyddsombud, och de kan också vara nyttiga vid upphandling. 3. Den tredje delen fokuserar på juridiken om olyckan är framme och organisationen hamnar i ett tillsynsärende och kanske i domstol. Regelverket beskrivs på ett tydligt sätt, vilket kommer att underlätta i sådana situationer. Avsnittet är också bra att sätta sig in i proaktivt för till exempel dataskyddsombud samt för funktioner som arbetar med att förebygga personuppgiftsincidenter och att göra konsekvensutredningar och samråda med Datainspektionen. Med djupare kunskap ökar förmågan att arbeta förebyggande. Också i del 3 gör vi egna analyser av regelverket och pekar på oklarheter och möjliga tolkningar. Även kapitlen i den här delen avslutas med en lista över artiklar, skäl och andra lagrum. Delarna är skrivna så att de kan läsas var för sig, men läsaren får självklart en större förståelse om alla delar gås igenom. För att underlätta läsningen – och se sambandet mellan avsnitten – görs fortlöpande kopplingar mellan delarna genom nyttiga avsnittsInledning

17


hänvisningar i marginalen. Vi har också ett bra sökordsregister och en lista med viktiga begrepp i slutet av boken. Allt detta för att göra den optimalt användbar för våra läsare. Vår förhoppning med boken är att den på flera sätt ska stimulera och underlätta i arbetet med dataskyddsförordningen. Ett bra arbete med dataskyddsförordningen innebär att den enskildes integritet och valfrihet säkerställs, vilket är kärnan i det dataskyddsförordningen vill åstadkomma. Vi tycker båda att integritet är en viktig mänsklig rättighet och genom boken vill vi bidra till att värna om den.

18

Inledning


DEL 1 Dataskyddets innehåll Den första delen av boken beskriver hur dataskyddsförordningen styr människors rätt till privatliv och vad detta innebär för olika organisationer. En genomgång görs rörande centrala begrepp i dataskyddsförordningen samt deras betydelser och funktioner. Det görs bland annat en grundlig genomgång av vad personuppgifter är för något. En central del i dataskyddsförordningen är begreppet ”behandling”, varför vi också noga går igenom vad begreppet innebär samt de lagliga grunderna för behandling. Vi går också igenom vad personuppgiftsansvaret innebär, bland annat vad det innebär att ha ett personuppgiftsbiträde och ett dataskyddsombud. I delen beskrivs också vad kraven på behandlingsregister och konsekvensbedömning innebär. Vi avslutar med några specialområden: barns integritet, yttrandefrihet, överföringar till tredjeland och forskning.


pas av de flesta organisationer: stora och små företag, föreningar, myndigheter och kommuner. I vissa fall kan också privatpersoner bli personuppgiftsansvariga. Boken kombinerar juridik och management och är uppdelad i tre delar: Del 1 och 3 fokuserar på det juridiska regelverket. Del 2 ger konkreta tips på hur du kan arbeta rent praktiskt med personuppgifter. Denna andra upplaga är grundligt genomarbetad och innehåller ännu fler konkreta tips och lättbegripliga checklistor, avtalsmallar, faktarutor och andra slags visualiseringar. De juridiska delarna har fördjupats med genomgång av rättsfall och analyser av de komplexa regelverken. Flera nya avsnitt har tillkommit, bland annat överföringar till tredjeland, konsekvensbedömningar och samråd. Nyskrivna specialavsnitt om sociala medier, forskning, upphandling samt ideell sektor och bostadsrättsföreningar gör boken ännu mer användbar. Dataskyddsförordningen GDPR. Förstå och tillämpa i praktiken är nödvändig för säkerhetsansvariga, dataskyddsombud, HR-specialister, upphandlare, kommunikatörer och IT-experter. Den är även ett måste för styrelser och ledningsgrupper, vilka är ytterst ansvariga.

ISBN 978-91-523-5634-0

9 789152 356340

DATASKYDDSFÖRORDNINGEN

N

GDPR

Foto: Fredrika Wendleby

GA

Dataskyddsförordningen GDPR · Förstå och tillämpa i praktiken

Dataskyddsförordningen, eller GDPR som den ofta kallas, ska tilläm-

Monika Wendleby · Dag Wetterberg

Hur ska man hantera biträdesavtal och inbördes arrangemang? Vad ingår i dataskyddsombudets arbetsuppgifter och hur ska man utföra dem? Hur ska man hantera incidenter, rättigheter och gallring?

UPPL

Förstå och tillämpa i praktiken

Monika Wendleby • Dag Wetterberg

A

Monika Wendleby är en kvalificerad jurist (har bland annat arbetat många år som ordinarie domare i förvaltningsdomstol) med stor praktisk erfarenhet av dataskyddsförordningen. Hon har hjälpt många olika kunder med att hantera både juridik och kvalitet, bland annat som externt dataskyddsombud. Som partner i managementbolaget Passacon AB arbetar hon även i andra avseenden med att förbättra kundernas verksamhet. Många av de metoder och verktyg som beskrivs i boken har tagits fram av henne och framgångsrikt använts ute hos kunder. Foto: Jonas Olsson

Dag Wetterberg är advokat och grundare av Wetterberg Advokatbyrå som är en affärsjuridisk advokatbyrå med specialisering inom immaterialrätt, IT- rätt, GDPR, marknadsrätt, yttrandefrihet samt rättsprocesser inom dessa områden. Vid sidan av Dags advokatverksamhet undervisar han i IT-rätt vid Stockholms universitet och han fungerar som expert hos InsureSec rörande utveckling av utbildningsfrågor i GDPR. Dag sitter i ett antal bolagsstyrelser och han har genomgått kursen Rätt fokus i styrelsearbetet för att bli certifierad styrelseledamot (Styrelseakademien). Monika och Dag är erfarna utbildare och håller både tillsammans och var för sig många uppskattade utbildningar om dataskyddsförordningen.