De allra flesta har nog hört talas om GDPR. Men vet du hur dataskyddsförordningen kan vara bra för dig? Och vet du vart du vänder dig om dina personuppgifter missbrukas? Här får du bättre pejl på läget.
I maj 2018 trädde den nya dataskyddsförordningen, GDPR, i kraft. Syftet med GDPR är att det ska vara lätt för dig som privatperson att ta kontroll över hur dina uppgifter används på nätet. Förordningen gäller i hela EU och ger dig bland annat rätt att veta i vilka syften dina uppgifter kommer att användas och hur länge de kommer att lagras.
Innan närmare förklaringar kring vad GDPR innebär för dig som internetanvändare kan det vara bra att ha koll på ett par nyckelbegrepp:
Två viktiga ord
Personuppgifter är inte bara det vi först kanske har i åtanke, som namn och personnummer, utan all information som på något sätt kan kopplas till dig som person, till exempel en bild, en ljudinspelning, registreringsnumret på din bil eller din dators ip-adress.
Med behandling menas att på något sätt samla in, registrera, spara eller använda en uppgift som kan kopplas till en viss person.
Fyra fördelar med GDPR för dig som privatperson
1. Du får större kontroll över vem som hanterar dina uppgifter
Enligt GDPR måste alla som behandlar personuppgifter ha en så kallad rättslig grund för att göra det. Utan rättslig grund är det helt enkelt olagligt att behandla uppgifterna. En rättslig grund kan vara att du har ingått ett avtal med företaget eller organisationen eller att du lämnat ditt samtycke till att dina personuppgifter används av företaget. Det kan också vara så att behandlingen av personuppgifter behöver göras på grund av att företaget eller myndigheten har andra lagar att följa som väger tyngre än GDPR, mer om det längre fram.
Läs mer om rättslig grund på Integritetsskyddsmyndigheten, IMYs, webbplats.
2. Du har rätt att veta vad uppgifterna ska användas till
Den som behandlar dina personuppgifter måste ge dig tydlig information om vad uppgifterna ska användas till, hur de ska användas, hur länge de sparas och om uppgifterna kommer att delas med någon annan part. Du har också rätt att veta vilken information som samlas in om dig och hur du gör för att ta tillbaka ditt samtycke om det är så att du tidigare godkänt att uppgifter samlas in. Den som samlar in uppgifterna får heller inte använda dem till något annat än till det syfte som de en gång samlades in för.
– Användarvillkoren är dock ofta långa och svårbegripliga och många godkänner dem utan att ha läst igenom dem ordentligt. Det är också vanligt att man upplever att man inte har något annat val än att acceptera villkoren. Det urholkade samtycket är ett problem som diskuteras allt mer, säger Ellen Pettersson, jurist på Internetstiftelsen.
Läs mer om de registrerades rättigheter på IMYs webbplats.
3. Du har rätt att bli bortglömd
En uppmärksammad regel i GDPR är rätten att bli bortglömd. Den innebär att du under vissa villkor har rätt att få dina personuppgifter raderade. Till exempel om du har tagit tillbaka ditt samtycke, om dina uppgifter hanterats på ett sätt som bryter mot GDPR, om personuppgifterna används i direktmarknadsföringssyfte trots att du inte vill, eller om de inte längre behövs för det de en gång samlades in för.
– Google har till exempel plockat ned miljontals länkar efter förfrågningar från främst privatpersoner. Länkarna som tagits bort har innehållit information som antingen är felaktig, irrelevant eller överdriven, säger Ellen Pettersson.
Läs mer om rätten att bli bortglömd på IMYs webbplats.
4. Du har rätt att veta om ett beslut som rör dig fattats automatiskt
Idag blir det vanligare att våra personuppgifter används för att få fram automatiska beslut i olika ärenden. Det kan till exempel vara när du ansöker om ett banklån via bankens webbplats – och sedan direkt får ett lånelöfte eller ett avslag. Eller att du får ett automatiskt nej från ett jobb du sökt via en e-tjänst utan personlig kontakt. Enligt GDPR måste du då få information om att beslutet är ett så kallat automatiserat beslut. Du ska också ges möjlighet att bestrida beslutet.
Läs mer om vilka riktlinjer och rättigheter som gäller i dokumentet "Riktlinjer om automatiserat individuellt beslutsfattande och profilering enligt förordning (EU) 2016/679" på IMYs webbplats.
Dyrt att inte följa GDPR
Att bryta mot GDPR kan innebära rejäla sanktionsavgifter. För företag är den maximala avgiften som kan tas ut fyra procent av dess globala omsättning eller 20 miljoner euro, beroende på vilket belopp som är högst. För mindre allvarliga överträdelser är siffran 10 miljoner euro eller 2 procent av den globala årsomsättningen.
I och med att GDPR också gäller för myndigheter kan de också behöva betala straffavgifter om de skulle bryta mot regelverket. Hur höga avgifterna blir beror på hur allvarlig överträdelsen är, hur stor skada den inneburit för den drabbade och om den skett medvetet.
– Det är tydligt att det ska svida ordentligt för de företag som inte följer förordningen. I ett uppmärksammat fall gav den franska myndigheten för dataskydd Google en straffavgift på hela 50 miljoner euro efter att sökjätten brustit i att informera användarna om hur deras uppgifter används, säger Ellen Pettersson.
Läs mer om vad det kan innebära att bryta mot GDPR om bestämmelserna i dataskyddsförordningen inte följs på IMYs webbplats.
Så gör du om dina uppgifter missbrukats
I första hand kan du vända dig direkt till företaget eller myndigheten som du upplever har missbrukat dina personuppgifter. Om det inte hjälper kan du vända dig till Integritetsskyddsmyndigheten (tidigare Datainspektionen), som har i uppgift att kontrollera att GDPR följs. Efter din anmälan tar Integritetsskyddsmyndigheten ett beslut om att inleda tillsyn eller inte. Myndigheten har ingen skyldighet att utreda alla anmälningar utan gör prioriteringar. Om felet är återkommande och systematiskt eller om bristerna är särskilt allvarliga är det till exempel större chans att din anmälan leder till tillsyn.
Undantag från GDPR
I vissa fall får GDPR stå tillbaka för att andra lagar väger tyngre. Myndigheter behöver till exempel förhålla sig till offentlighetsprincipen. Och en vårdgivare har patientdatalagen att ta hänsyn till – en lag som är överordnad GDPR.
Det är tydligt att det ska svida ordentligt för de företag som inte följer förordningen.
Ellen Pettersson
Dessutom har Sverige en del kompletterande bestämmelser till GDPR som finns i Dataskyddslagen. Förutom GDPR finns också lagen om elektronisk kommunikation som ska skydda dina personuppgifter och din personliga integritet när du använder tjänster för kommunikation, till exempel pratar i mobilen, sms:ar eller mejlar.
När integritetsskyddet krockar med yttrandefriheten
Ibland hamnar skyddet för den personliga integriteten i konflikt med reglerna för yttrandefrihet. Det innebär bland annat att medier får rapportera om nyheter om det "allmänna intresset" är tillräckligt stort, och då kan den personliga integriteten eller en persons privatliv få stå tillbaka. Det kan till exempel handla om avslöjanden där en politiker åkt dit för rattfylla eller porrsurfning.
Men eftersom sajterna har utgivningsbevis är möjligheterna att få sina personuppgifter borttagna ytterst begränsade.
Ellen Pettersson
För att få använda sig av det starka grundlagsskyddet kan medier och sajter ansöka om ett utgivningsbevis och utse en ansvarig utgivare. Under senare år har digitala aktörer och söktjänster lyckats få samma skydd som traditionella mediehus genom att skaffa utgivningsbevis. Via den här typen av söktjänster kan man till exempel få veta känslig information som vilka personer inom ett visst bostadsområde som är dömda för brott eller vilka som genomgått en skilsmässa.
– I Integritetsskyddsmyndighetens nationella integritetsrapport från 2019 kan man läsa att nästan en tredjedel av klagomålen till Integritetsskyddsmyndigheten rör sajter som Eniro, Hitta, Lexbase, Mr Koll, Ratsit och Merinfo. Men eftersom sajterna har utgivningsbevis är möjligheterna att få sina personuppgifter borttagna ytterst begränsade, säger Ellen Pettersson.
Så kan du få bort känsliga uppgifter
Om du vill ha bort känsliga uppgifter om dig som finns tillgängliga på en sajt med utgivningsbevis kan du vända dig till Justitiekanslern, JK. För att JK ska väcka åtal mot sajten krävs att vissa särskilda skäl är uppfyllda och det vara svårt för en enskild person att få rätt. Däremot kan du alltid välja att väcka enskilt åtal, då är det du som skickar in en stämningsansökan till tingsrätten och samlar bevis för det du utsatts för. Skulle du förlora i rätten tvingas du betala både dina egna kostnader och den du stämmer.
Om det är en tidning eller annan media som du upplever har hanterat dina uppgifter felaktigt och de som publicerat uppgifterna är anslutna till det pressetiska systemet kan du vända dig till Allmänhetens pressombudsman, PO, som då prövar ditt ärende och kan kräva att mediet publicerar en rättelse och tar bort vissa uppgifter. Mediet får också betala en expeditionsavgift till PO.
När en annan person utsätter dig för brott
GDPR gäller inom all slags verksamhet och oavsett vem som utför själva personuppgiftsbehandlingen. Den gäller företag, föreningar, organisationer, myndigheter och privatpersoner. GDPR gäller dock inte när personuppgifter används för privat bruk. I de fall när en annan person har publicerat känsliga uppgifter om dig, med syfte att skada dig, gäller annan lagstiftning. Det kan till exempel vara den nya lagen olaga integritetsintrång. Mer om brott mot den personliga integriteten kan du läsa här.