GDPR & Dataskydd

I samband med samhällets digitalisering har behandlingen av personuppgifter blivit en förutsättning – och ett självständigt värde – för företags, myndigheters och andra organisationers verksamheter. Parallellt med detta har kraven på att skydda anställdas och kunders integritet ökat väsentligt.

EU har världens strängaste regelverk för personuppgiftsbehandling och det fortsätter att utvecklas genom ny lagstiftning och domstolspraxis. Lindahl har lång och gedigen erfarenhet av dataskydd och följer rättsutvecklingen nära. Vi bistår våra klienter på ett praktiskt och konkret sätt att omsätta kraven på dataskydd i klientens specifika miljö och verksamhet och utifrån klientens förutsättningar.

"High skills, strong competence within the organisation and lengthy experience within privacy law."

The Legal 500

  


Lindahl har en mycket lång och bred erfarenhet av rådgivning inom dataskydd. Vi biträder klienter löpande i dataskyddsfrågor med allt från personuppgiftsbiträdesavtal, integritetspolicyer till legal opinions. Vi biträder som ombud vid såväl kontakter med Integritetsskyddsmyndigheten (IMY) som i rättsliga processer vid domstol.

Vi erbjuder rådgivning avseende överföring av personuppgifter till tredje land där koncernanpassade lösningar är tillämpliga men även större implementeringsåtgärder som upprättandet av bindande företagsbestämmelser.

Vi utreder och ger råd i komplexa frågor som berör Life Science och medicinsk forskning, gränsdragningar mellan GDPR och svensk grundlag inom exempelvis tryckfrihetsområdet, och utför konsekvensbedömningar av kameraövervakning.

På våra klienters uppdrag genomför vi särskilda granskningar (due diligence) av företagens hantering av personuppgifter och andra integritetskänsliga uppgifter och hjälper till att säkerställa att hanteringen sker i enlighet med gällande regler.

Genom vår långa och breda kunskap kan vi erbjuda våra klienter en unik kombination av affärsförståelse och juridiskt kunnande för att skapa affärsnytta.

 

Vanliga frågor

Vems ansvar är det att dataskyddsförordningen (GDPR) efterlevs?

Beträffande företag och andra organisationer är det den personuppgiftsansvarige som har ett ansvar för att GDPR efterlevs inom verksamheten. I regel är det företaget i sig som är personuppgiftsansvarig, men det kan även vara någon annan som har det faktiska inflytandet avseende de ändamål och medel som är tillämpliga på personuppgiftsbehandlingen. Det går även att anlita ett personuppgiftsbiträde som på den personuppgiftsansvariges vägnar ger tillräckliga garantier om att GDPR följs. I ett sådant fall krävs ett personuppgiftsbiträdesavtal. Den personuppgiftsansvarige och personuppgiftsbiträdet ska under vissa förutsättningar även utnämna ett dataskyddsombud. Den myndighet som i Sverige utövar tillsyn över GDPR:s efterlevnad är Integritetsskyddsmyndigheten (IMY).


Om vi bara behandlar krypterade personuppgifter gäller väl inte GDPR?

GDPR gäller för alla uppgifter som kan identifiera en levande fysisk person. För att regelverket inte ska vara tillämpligt, krävs således att uppgifter anonymiseras innan de behandlas. Vad som utgör korrekt anonymisering enligt GDPR kräver ofta en djupare analys av personuppgifterna och behandlingen i det enskilda fallet.


Vilka är de grundläggande principerna för dataskydd?

För att få behandla personuppgifter måste den som är personuppgiftsansvarig ha ett lagligt stöd i GDPR; ofta beskrives det som en princip om laglighet, korrekthet och öppenhet, som bland annat innebär att behandlade personuppgifter ska vara riktiga, liksom det ska finnas en transparens med avseende på vilka uppgifter som behandlas och enligt vilka principer. Vidare gäller en princip om ändamålsbegränsning, som innebär att den som samlar in och behandlar personuppgifter endast får göra det för specifika, särskilt angivna och berättigade ändamål. Behandlingen ska inte avse fler personuppgifter än vad som behövs för ändamålen (principen om uppgiftsminimering). Personuppgifter ska raderas när de inte längre behövs (principen om lagringsminimering). Den som enligt GDPR är ansvarig för personuppgifterna ska även se till att personuppgifterna skyddas från att obehöriga får tillgång till dem eller att de förloras eller förstörs (principen om integritet och konfidentialitet). Ytterst behöver den personuppgiftsansvarige kunna visa hur denne lever upp till kraven enligt GDPR.


Kan vi överföra personuppgifter till vårt dotterbolag i USA?

Tidigare gällde den s k Privacy Shield för överföring av personuppgifter från EU till en mottagare i USA. Genom den så kallade Schrems II-domen sommaren 2021 ogiltigförklarades dessa riktlinjer. EU-domstolen konstaterade att EU-kommissionens dåvarande standardavtalsklausuler kan användas för att säkerställa laglig grund för tredjelandsöverföringar, men att dessa kan behöva kompletteras med ytterligare skyddsåtgärder. Mottagarlandet måste nämligen tillförsäkra en väsentligt likvärdig skyddsnivå för personuppgifterna som den som gäller inom EU/EES. Efter Schrems II-domen har EU-kommissionen tagit fram nya standardavtalsklausuler för att rätta till tidigare brister.

Du kan även läsa mer om Schrems II-domen i vår artikel här.


Om vi inte uppfyller GDPR:s krav, kan vi drabbas av några sanktioner?

Integritetsskyddsmyndigheten (IMY) kan utfärda varningar, reprimander, förelägganden, begränsningar, förbud och administrativa sanktionsavgifter mot en aktör som bryter mot GDPR. Sanktionerna ska enligt GDPR vara effektiva, proportionerliga till överträdelsen och ha en avskräckande effekt. Sanktionsnivåerna har enligt praxis från Integritetsskyddsmyndigheten och andra tillsynsmyndigheter runt om i Europa satts relativt högt, oftast baserat på det sanktionsdrabbade företagets årsomsättning. Den, vars personuppgifter blivit otillbörligt behandlade, kan även rikta ett skadeståndsanspråk mot det företag som behandlar personuppgifterna.


Hur länge får vi spara personuppgifter?

Personuppgifter får sparas så länge det är nödvändigt med hänsyn till ändamålen med behandlingen. När sådana ändamål inte längre finns, ska uppgifterna raderas eller avidentifieras. Notera även att andra lagar och regler, såsom regler om bokföringsskyldighet, kan påkalla en längre lagringstid av vissa uppgifter.


Vilka skyldigheter har vi gentemot personer som besöker vår hemsida där vi använder oss av cookies?

Enligt GDPR har den som behandlar personuppgifter en skyldighet att informera den registrerade om att personuppgifterna samlas in, även om dessa är en del av s k cookies på hemsidan. Det innebär att det är lämpligt att undersöka vilka cookies och ”cookiesliknande tekniker” som används på hemsidan idag, samt analysera dessa ur ett dataskyddsperspektiv och informera om dem på rätt sätt. Cookies är även föremål för andra regelverk än GDPR.

Du kan även läsa mer om cookies i vår artikel här.

 

Påminnelse: Nya standardavtalsklausuler från EU-kommissionen

Den 4 juni 2021 antog EU-kommissionen nya standardavtalsklausuler (SCCs) för överföring av personuppgifter till länder utanför EU/EES. Dessa SCCs ersätter EU-kommissionens tidigare standardavtalsklausuler, vilket kräver åtgärder när nya avtal ingås, men även för befintliga avtal.

Besök sidan

Cookies – en snabbguide

Webbkakor, kakfiler, flash cookies, pixels eller web beacons. Nästan alla hemsidor använder sig av dem. Samtidigt finns många missuppfattningar kring vad som egentligen gäller vid användning av cookies.

Besök sidan

Relaterat

Kontakt

Vissa kakor är nödvändiga för webbplatsens funktionalitet, andra hjälper oss att förbättra din upplevelse genom att ge insikt i hur webbplatsen används. För mer information, besök vår cookiepolicy.

Nödvändiga cookies

Dessa cookies är nödvändiga för webbplatsens funktionalitet och kan inte inaktiveras.

Analytics cookies

Vi använder Analytics-kakor för att samla information och ge oss inblick i hur besökare använder vår webbplats. Vi anonymiserar IP-adresser i Google Analytics. Genom att klicka på Neka så kommer vi inte att spara dessa cookies.

Vi använder cookies för att undersöka hur vår hemsida används och ge våra besökare bästa möjliga upplevelse