Verksamhet
Dataskydd Innovationsportalen Är det ni tänkt göra förenligt med GDPR?Är det ni tänkt göra förenligt med GDPR?
Dataskyddet och GDPR behöver beaktas och vävas in i den digitala utvecklingen från början. Det kan bli kostsamt och tidskrävande att börja tänka på GDPR när man redan startat ett projekt som innebär personuppgiftsbehandling.
Här ger vi förslag på hur ni kan beakta dataskyddet tidigt i utvecklingsprocessen. Du kan också läsa om de grundläggande begreppen i GDPR längre ner på sidan.
Vår guide i sex steg beskriver det stegvisa arbete ni behöver göra för att leva upp till reglerna i GDPR. Det är viktigt att komma ihåg att arbetet kan behöva upprepas när förutsättningarna ändras.
Sex steg för att få koll på GDPR
Vi guidar dig- Steg 1: Fundera först på vad ni vill göra och varför
- Steg 2: Bestäm ändamål
- Steg 3: Behandla personuppgifter som har tydlig koppling till era ändamål
- Steg 4: Hitta rättslig grund för varje personuppgiftsbehandling
- Steg 5: Skydda personuppgifter och förebygga risker
- Steg 6: Planera för att tillgodose enskildas rättigheter
Grundläggande begrepp i GDPR
Känner du dig osäker på grunderna i GDPR? Här är en genomgång av de mest grundläggande begreppen.
Alla verksamheter som hanterar personuppgifter måste följa GDPR (dataskyddsförordningen) som är ett regelverk som finns till för att skydda personuppgifter. Reglerna gäller i hela EU. Vid sidan om GDPR finns nationella regler som kompletterar dataskyddsförordningen. Ett exempel är Patientdatalagen som reglerar hur personuppgifter får hanteras inom hälso- och sjukvården.
Mer om reglerna på dataskyddsområdet och hur de hänger samman
GDPR gäller inte allt det som kallas för data, utan endast data som omfattar personuppgifter. Därför är det bra att veta om ens datasamling innehåller personuppgifter.
Vad är då det?
Jo, med personuppgifter menas varje upplysning som avser en identifierad eller identifierbar fysisk person. Avgörande är att uppgiften, enskilt eller i kombination med andra uppgifter, kan knytas till en levande person.
Inte bara namn, adress och personnummer, eller foton på personer, utan även ljud- och filminspelningar och GPS-positioner, kan vara personuppgifter om uppgifterna kan knytas till en levande person. Biometriska uppgifter, uppgifter med fysiska eller beteendemässiga kännetecken, som till exempel DNA, fingeravtryck och rörelsemönster kan vara personuppgifter.
Personuppgiftsbehandling är allting man gör när man hanterar personuppgifter: samlar in, sparar, delar (till exempel vid datadelning), sorterar, publicerar, lagrar, förmedlar, raderar och så vidare.
Utifrån benämningen personuppgiftsansvarig kan man förledas att tro att det alltid är en fysisk person som är ansvarig, men så är det ganska sällan. Personuppgiftsansvarig är den som bestämmer för vilka ändamål som personuppgifterna får hanteras och hur den hanteringen ska gå till. Hantering av personuppgifter kallas som beskrivits ovan personuppgiftsbehandling i GDPR.
Personuppgiftsansvarig kan till exempel vara ett aktiebolag, en stiftelse, en förening eller en myndighet. Det är alltså inte chefen på en arbetsplats eller en anställd som är personuppgiftsansvarig. Även en fysisk person kan vara personuppgiftsansvarig, vilket till exempel är fallet för enskilda firmor. Om två eller flera parter tillsammans bestämmer över en viss behandling är de gemensamt personuppgiftsansvariga. Den som är personuppgiftsansvarig kan överlåta den faktiska behandlingen av personuppgifter, som förvaring av personuppgifterna, till någon annan men personuppgiftsansvaret kan aldrig avtalas bort. Den som bestämmer över behandlingen är ansvarig.
Personuppgiftsbiträde är den som behandlar personuppgifter på uppdrag av en personuppgiftsansvarig. Ett personuppgiftsbiträde finns alltid utanför den personuppgiftsansvarigas egen organisation. Ett personuppgiftsbiträde kan vara en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ. Exempelvis är ofta molntjänstföretag eller andra externa leverantörer av IT-tjänster personuppgiftsbiträden när de lagrar personuppgifter på uppdrag av en personuppgiftsansvarig. Ett personuppgiftsbiträde skulle exempelvis kunna vara en som tillhandahåller en dataplattform för så kallad maskininlärning.
Ett personuppgiftsbiträde och dess personal får bara behandla personuppgifter enligt instruktioner från den personuppgiftsansvariga och avtal mellan parterna måste finnas, ett så kallat personuppgiftsbiträdesavtal.
Metodstöd för dataskydd vid innovation
Myndigheten för digital förvaltning (Digg) och IMY har tagit fram ett gemensamt metodstöd om dataskydd och integritet, riktat till offentliga aktörer som arbetar med innovation.
Metodstöd för dataskydd vid innovation
Myndigheten för digital förvaltning (Digg) och IMY har tagit fram ett gemensamt metodstöd om dataskydd och integritet, riktat till offentliga aktörer som arbetar med innovation.
Kunskapsfilmer om GDPR
Vill du lära dig mer om GDPR? I våra kunskapsfilmer på IMY play får du en snabb genomgång av de viktigaste delarna i dataskyddsförordningen.
Till IMY play
Kunskapsfilmer om GDPR
Vill du lära dig mer om GDPR? I våra kunskapsfilmer på IMY play får du en snabb genomgång av de viktigaste delarna i dataskyddsförordningen.
Till IMY play