Vad det är
GDPR (förordning EU 2016/679) är EU:s förordning om skydd för fysiska personer vid behandling av personuppgifter och om det fria flödet av sådana uppgifter. Den trädde i kraft maj 2018 och är direkt tillämplig i alla medlemsstater. GDPR är ett centralt regelverk som många andra måste förhålla sig till — och fortfarande det som skapar mest friktion i systemutveckling, datadelning och innovationsprojekt.
Grundlogiken är att behandling av personuppgifter kräver rättslig grund, att den registrerade har rättigheter som måste respekteras, och att den som behandlar uppgifter har ett ansvar som inte kan avtalas bort, även om behandling utförs av andra.
Vem berörs
GDPR gäller för all behandling av personuppgifter som utförs av organisationer etablerade i EU, oavsett var behandlingen faktiskt sker. Den gäller även för organisationer utanför EU som erbjuder varor eller tjänster till personer i EU, eller som övervakar beteenden som äger rum inom EU. Tillämpningsområdet är med andra ord geografiskt brett och funktionellt vitt.
Förordningen gör åtskillnad mellan personuppgiftsansvariga, som bestämmer ändamål och medel för behandlingen, och personuppgiftsbiträden, som behandlar uppgifter på uppdrag av den ansvarige. Ansvarsfördelningen mellan dessa är central och måste regleras i ett skriftligt biträdesavtal.
Rättsliga grunder för behandling
Behandling av personuppgifter kräver alltid en rättslig grund. Förordningen anger sex möjliga grunder: samtycke, avtal, rättslig förpliktelse, skydd av grundläggande intressen, uppgift av allmänt intresse samt berättigat intresse. Valet av rättslig grund är inte en formalitet — det påverkar den registrerades rättigheter och organisationens skyldigheter i övrigt. Samtycke är den grund som oftast missbrukas och är i praktiken svårare att förlita sig på än det kan verka, bland annat på grund av kraven på frivillighet, specificitet och möjlighet att återkalla.
Känsliga personuppgifter, däribland uppgifter om hälsa, etniskt ursprung, politiska åsikter och biometriska data för identifiering, omfattas av ett förbud mot behandling enligt artikel 9, med ett begränsat antal undantag.
Grundläggande principer
Förordningen bygger på ett antal principer som genomsyrar alla krav. Uppgifter ska samlas in för specifika, uttryckliga och berättigade ändamål och inte behandlas på ett sätt som är oförenligt med dessa. Endast de uppgifter som är nödvändiga för ändamålet får behandlas. Uppgifterna ska vara korrekta och hållas aktuella. Lagring ska begränsas till vad som är nödvändigt. Lämpliga tekniska och organisatoriska säkerhetsåtgärder ska vidtas. Och den personuppgiftsansvarige ska kunna visa att dessa principer efterlevs — det som kallas ansvarsskyldighet.
Den registrerades rättigheter
Den registrerade har ett antal rättigheter som organisationen aktivt måste kunna tillgodose. Rätten till information innebär att den registrerade ska få tydlig information om hur uppgifter behandlas. Rätten till tillgång innebär att den registrerade kan begära ut sina uppgifter. Rätten till rättelse, rätten till radering, rätten till begränsning av behandling och rätten till dataportabilitet kompletterar bilden. Rätten att göra invändningar mot behandling baserad på berättigat intresse eller allmänt intresse är särskilt relevant i marknadsförings- och profileringssammanhang.
Överföring till tredjeland
Överföring av personuppgifter till länder utanför EU och EES kräver att en av förordningens överföringsmekanismer är på plats, eller att ett undantag enligt artikel 49 är tillämpligt. EU-kommissionen kan besluta om adekvansbeslut för ett land, vilket innebär att överföring är tillåten utan ytterligare åtgärder. I avsaknad av adekvansbeslut kan standardavtalsklausuler, bindande företagsbestämmelser eller andra godkända mekanismer användas. Överföringar till USA har varit föremål för återkommande rättslig prövning och det aktuella ramverket, EU-US Data Privacy Framework, antogs 2023 men är föremål för pågående granskning.
Incidenthantering
Personuppgiftsincidenter ska anmälas till tillsynsmyndigheten utan onödigt dröjsmål och om möjligt inom 72 timmar från det att den ansvarige fått kännedom om incidenten, om incidenten sannolikt medför risker för fysiska personers rättigheter och friheter. Om incidenten sannolikt medför hög risk ska även de berörda registrerade informeras direkt. Tidsramen sammanfaller delvis med NIS2:s rapporteringskrav, men skyldigheternas exakta innehåll och mottagare skiljer sig åt.
Koppling till andra regelverk
GDPR är ett centralt regelverk som många andra måste förhålla sig till. AI-system som behandlar personuppgifter måste uppfylla GDPR:s krav parallellt med AI Acts krav på transparens och dokumentation. En konsekvensbedömning avseende dataskydd, DPIA, kan krävas under GDPR för AI-system med hög risk för den registrerades rättigheter, och AI Acts krav på riskbedömning för hög-risk-system kan delvis överlappa med denna skyldighet utan att vara identiska. NIS2:s incidentrapportering och GDPR:s incidentanmälan kan utlösas av samma händelse med delvis olika krav och tidsramar. CLOUD Act kan skapa spänningar mot GDPR när data lagras hos amerikanska molnleverantörer, eftersom amerikanska myndigheters möjlighet att begära ut data kan kollidera med GDPR:s krav på skydd även vid överföring till tredjeland.
Tillsyn och sanktioner
Tillsyn utövas av nationella dataskyddsmyndigheter. I Sverige är det Integritetsskyddsmyndigheten, IMY. Myndigheter samarbetar inom en konsistensmekanism för gränsöverskridande ärenden, där den ledande tillsynsmyndigheten typiskt är den i landet där organisationens huvudsakliga etablering finns inom EU.
Sanktionerna är differentierade i två nivåer. Överträdelser av grundläggande principer, rättsliga grunder och den registrerades rättigheter kan leda till böter på upp till 20 miljoner euro eller 4 procent av global årsomsättning. Övriga överträdelser, exempelvis brister i biträdesavtal eller incidentrapportering, kan leda till böter på upp till 10 miljoner euro eller 2 procent av global årsomsättning.
Primärkällor
Förordningstexten finns på EUR-Lex: EU 2016/679. IMY publicerar vägledningar och tillsynsbeslut på imy.se. Europeiska dataskyddsstyrelsen, EDPB, publicerar riktlinjer och rekommendationer på edpb.europa.eu. För frågor om internationella överföringar är EDPB:s vägledningar om standardavtalsklausuler och tredjelandsöverföringar särskilt relevanta.