Säkerställ ditt företag, din organisations eller din förenings personuppgifter enligt nya dataskyddsförordningen, GDPR.

frågor och svar

Kortfattat är GDPR är en EU-förordning som träder i kraft 25 maj 2018. I Sverige kallas den dataskyddsförordning, medan GDPR (General Data Protection Regulation) är samlingsnamnet inom EU.
Förordningen gäller i alla EU:s medlemsländer och ersätter nationella regler, som till exempel personuppgiftslagen (PUL) i Sverige.


Läs mer om hur vi kan hjälpa dig med hela GDPR-processen

GDPR gäller för alla organisationer och branscher som på något sätt hanterar personlig information om anställda eller kunder. Det kräver nya rutiner och processer för säker hantering av register samt ställer krav på ansvariga i ledningsnivå. Omvänd bevisbörda gäller, vilket innebär dokumentationstvång.

Läs mer om GDPR-processen

  • Möta teknikens förändringar
  • Stärker individens integritet, skydd och tillgänglighet till sina uppgifter
  • Sätter fokus på gallring av uppgifter
  • Tydligare samtycke krävs av alla personer
  • Fri rörlighet av personuppgifter inom EU
 
Läs mer hos datainspektionen, ansvarig myndighet i Sverige
och hos FAR för deras tydliga rekommendationer
All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet räknas enligt personuppgiftslagen som personuppgifter. Även bilder (foton) och ljudupptagningar på individer som behandlas i dator kan vara personuppgifter även om inga namn nämns. Krypterade uppgifter och olika slags elektroniska identiteter, som exempelvis IP-nummer, räknas som personuppgifter om de kan kopplas till fysiska personer.

Källa: Datainspektionen

Personuppgiftsansvarig är normalt den juridiska person (till exempel aktiebolag, stiftelse eller förening) eller den myndighet som behandlar personuppgifter i sin verksamhet och som bestämmer vilka uppgifter som ska behandlas och vad uppgifterna ska användas till.

Exempel om ett aktiebolag för ett kundregister är det bolaget som är personuppgiftsansvarigt för behandlingen. Det är bolaget som har bestämt att ett kundregister skall inrättas och för vilka ändamål det ska föras, därmed blir bolaget ansvarig för det. Att en anställd inom bolaget har beslutat att det skall inrättas ett kundregister kan aldrig göra personen i fråga till personuppgiftsansvarig. En person som är systemansvarig inom ett bolag eller en myndighet blir inte heller personuppgiftsansvarig.

Om flera juridiska personer bestämmer över en viss behandling kan de vara gemensamt personuppgiftsansvariga. Detsamma gäller för databaser som myndigheter använder gemensamt (om inte något annat anges i lag eller förordning).

Den som behandlar personuppgifter för egen räkning (utanför en eventuell anställning) blir däremot själv personuppgiftsansvarig för den behandlingen. Ett exempel på personer som själva blir personuppgiftsansvariga för behandlingar av personuppgifter är enskilda näringsidkare (kallas ibland enskild firma). Ett företag som drivs på detta sätt är inte en juridisk person och näringsidkaren är personligt ansvarig för att personuppgifter behandlas enligt personuppgiftslagen.

Personuppgiftsansvaret i en kommun ligger normalt hos de kommunala nämnder som är så självständiga att de är förvaltningsmyndigheter. En kommunal nämnd som är förvaltningsmyndighet är således personuppgiftsansvarig för de behandlingar av personuppgifter som nämnden har att utföra.

Vem som är personuppgiftsansvarig för en viss behandling kan också särskilt anges i lag eller förordning, till exempel i särskilda registerlagar.

Källa: Datainspektionen

Alla former av åtgärder med personuppgifter är personuppgiftsbehandling, till exempel insamling, registrering, organisering, strukturering, lagring, bearbetning, ändring, framtagning, läsning, användning, utlämning, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

Källa: Datainspektionen

En förordning är en typ av bindande unionsakt som kan antas av Europeiska unionens institutioner. Förordningar utgör den kraftfullaste typen av unionsakt, och används för att införa enhetliga och direkt tillämpliga bestämmelser inom unionen. Förordningar har allmän giltighet och är till alla delar bindande och direkt tillämpliga i alla medlemsstater. De kan åberopas inför en nationell domstol likt en nationell lag, utan krav på att en medlemsstat har vidtagit några genomförandeåtgärder. Huvudsyftet med en förordning är att fastställa enhetliga bestämmelser. Alla förordningar måste ha en rättslig grund i unionens fördrag. Förordningar som antas i enlighet med ett lagstiftningsförfarande utgör lagstiftningsakter. Om Europeiska konstitutionen hade trätt i kraft skulle ”förordning” ha ersatts med ”europeisk lag”.

Vitaprivata GDPR-certifiering är ett verktyg för att hantera och underlätta efterlevnaden av den nya dataskyddsförordningen, GDPR. GDPR-certifiering kan användas av såväl företag, föreningar, organisationer och myndigheter.

I GDPR-certifieringen finns möjlighet att strukturera upp företagets personuppgifter på ett överskådligt sätt. Det går att föra in obegränsat med kategorier av personuppgifter i ett konto. Även personuppgiftsbiträden och uppdrag går att dokumentera. Verktyget ger en bra översikt över personuppgiftshanteringen och god hjälp med att organisera upp biträdeavtal, ta fram incidentrapporter till enskild och incidentrapporter till tillsynsmyndigheten, samt underlag för att kommunicera i enlighet med informationsplikten till era registrerade. Dessutom har GDPR-certifieringen en hel meny med funktioner gällande tekniska säkerhetsåtgärder och hur man arbetar med dessa.

När du skapar ett konto under Mina sidor och påbörjar verksamhetens GDPR-process så betalar du en abonnemangsavgift på 99 kr per månad, startavgiften är 4 000 kr och avser en engångskostnad. Det ger dig tillgång till verksamhetens konto på Mina sidor under abonnemangsperioden, du debiteras månadsvis 99 kr (initialt minst tre månader). På så vis kan du hela tiden uppdatera dina dokument under Mina sidor.

Startavgiften och första månadens abonnemangsavgift kan du välja att få fakturerad via Vitaprivata eller genom ert kredit/betalkortsföretag.

Väljer du faktureringsalternativet så gäller kvartalsfakturering, det vill säga du betalar för tre månader direkt.

Det finns ingen bindningstid över hur länge du måste ha ditt GDPR-konto aktivt, men vi rekommenderar att du abonnerar på tjänsten så du kan uppdatera ert GDPR-konto löpande.

Vid avslutande av abonnemanget gäller en uppsägningstid på tre månader, du betalar under uppsägningstiden, och du har tillgång till kontot under hela uppsägningsperioden. Om du behöver ditt GDPR-konto efter uppsägningstiden kommer du att behöva göra om hela processen igen och betala en ny startavgift.

Din data förvaras på servrar som ägs av Vitaprivata AB i Göteborg

Via våra tilläggstjänster kan vi hjälpa dig med samtliga frågor. Vissa direkt hos Vitaprivata andra via ett externt konsultföretag, Maxagon Konsult AB, som kan hjälpa dig med hela processen och certifieringen.

Läs mer om vår experthjälp