Den allmänna dataskyddsförordningen (GDPR)

En guide från Stripe om förändringarna i den europeiska dataskyddslagstiftningen

Inledning

Senast uppdaterad den 25 september 2020 för att återspegla EU-domstolens beslut i Schrems II-målet.

En översikt över de nya personuppgiftsbehandlings- och dataskyddslagarna som träder i kraft den 25 maj 2018 och några bästa praxis-processer för att uppfylla kraven i GDPR.

Dataskyddsförordningen (GDPR) är den viktigaste förändringen av dataskyddslagstiftningen på decennier. Företag är nu i färd med att genomföra omfattande förändringar av sina system och kontrakt. De som bedriver sin verksamhet på plattformar som redan tar hänsyn till integritet och efterlever kraven har ett stort försprång. Den här guiden syftar till att hjälpa våra användare att förstå dataskyddsförordningens omfattande konsekvenser, möjligheterna att förbättra databehandlingen samt hur man efterlever – och fortsätter efterleva – GDPR.

Det finstilta: Denna guide till dataskyddsförordningen (GDPR) tillhandahålls enbart i informationssyfte. Guiden utgör inte juridisk rådgivning. Kontakta din juridiska rådgivare för att få skräddarsydd vägledning om hur GDPR kan påverka ditt företag.

Vad är GDPR?

Den allmänna dataskyddsförordningen (GDPR) är en ny EU-lagstiftning om personuppgiftsbehandling och dataskydd. Den kräver ett mer detaljerat personuppgiftsskydd i en organisations system, mer nyanserade dataskyddsavtal samt mer konsumentvänliga och detaljerade upplysningar om en organisations personuppgiftsbehandlings- och dataskyddspraxis.

Dataskyddsförordningen ersätter EU:s nuvarande rättsliga ramverk för dataskydd från 1995 (allmänt känd som dataskyddsdirektivet). Dataskyddsdirektivet krävde införlivande i medlemsstaternas nationella lagstiftning, vilket ledde till en fragmenterad tillämpning av dataskyddslagstiftning i EU. GDPR är en EU-förordning med direkt rättsverkan i alla EU:s medlemsstater, dvs. den behöver inte införlivas i nationell lagstiftning för att bli bindande. Detta kommer att leda till en mer enhetlig och konsekvent tillämpning av lagen i EU.

Dataskyddsförordningen kan gälla för organisationer utanför EU

Till skillnad från dataskyddsdirektivet är GDPR relevant för alla företag med global verksamhet, inte bara de med hemvist inom EU. Enligt GDPR kan organisationer omfattas om (i) organisationen har sin hemvist inom EU, eller (ii) organisationen inte har sin hemvist inom EU men databehandlingen avser EU-medborgare och hänför sig till tillhandahållandet av varor och tjänster till dessa eller övervakning av dessas konsumtionsbeteende.

Behandling av personuppgifter är ett brett begrepp enligt dataskyddsförordningen

GDPR styr hur personuppgifter om EU-medborgare kan behandlas inom organisationer. ”Personuppgifter” och ”behandling” är termer som ofta används i lagstiftningen och att förstå deras specifika betydelse enligt GDPR belyser den verkliga räckvidden av denna lagstiftning:

  • **Personuppgifter ** är all information som avser en identifierad eller identifierbar person. Detta är ett mycket brett begrepp eftersom det avser all information som kan användas enskilt, eller i kombination med andra uppgifter, för att identifiera en person. Personuppgifter är inte bara en persons namn eller e-postadress. De kan även omfatta uppgifter såsom ekonomisk information eller, i vissa fall, till och med en IP-adress. Dessutom tillskrivs vissa kategorier av personuppgifter en högre nivå av dataskydd på grund av deras känsliga karaktär. Dessa kategorier av uppgifter innefattar information om en persons ras och etniska ursprung, politiska åsikter, religion och filosofiska övertygelser, medlemskap i fackföreningar, genetiska uppgifter, biometriska uppgifter, uppgifter om hälsa, information om en persons sexualliv eller sexuella läggning samt belastningsregisterinformation.

  • Behandling av personuppgifter är den specifika åtgärd som utlöser skyldigheter enligt GDPR. Behandling avser en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring. I praktiken betyder det att alla processer som lagrar eller använder personuppgifter anses vara ”behandling”.

Nyckelbegrepp: personuppgiftsansvarig och personuppgiftsbiträde

I EU:s dataskyddslagstiftning finns det två typer av enheter som kan behandla personuppgifter: den personuppgiftsansvarige och personuppgiftsbiträdet.

Personuppgiftsansvarig är den enhet som ensam eller tillsammans med andra bestämmer ändamålet och medlen för behandlingen av personuppgifter. Personuppgiftsbiträde är den enhet som behandlar personuppgifter för den personuppgiftsansvariges räkning.

Det är viktigt att avgöra om enheten som behandlar personuppgifter för varje personuppgiftsbehandlingsåtgärd är en personuppgiftsansvarig eller ett personuppgiftsbiträde. Denna kartläggning gör det möjligt för en organisation att förstå vilka rättigheter och skyldigheter som varje databehandlingsåtgärd innebär.

Stripe utför vissa personuppgiftsbehandlingsåtgärder där företaget fungerar som personuppgiftsansvarig, och andra där man fungerar som ett personuppgiftsbiträde. En bra illustration av denna dubbla roll är när Stripe behandlar kreditkortstransaktioner. För att förmedla en transaktion krävs behandling av personuppgifter, t.ex. kortinnehavarens namn, kreditkortsnummer, kreditkortets utgångsdatum samt CVC-kod. Kortinnehavarens uppgifter skickas från Stripe-användaren till Stripe via Stripes API (eller via någon annan integrationsmetod, t.ex. Stripe Elements). Stripe använder sedan uppgifterna för att slutföra transaktionen inom kreditkortsnätverkens system, vilket är en åtgärd som Stripe utför i egenskap av personuppgiftsbiträde. Å andra sidan använder Stripe även uppgifterna för att uppfylla sina lagstadgade skyldigheter avseende t.ex. kundkännedom eller bekämpning av penningtvätt. I denna egenskap är Stripe personuppgiftsansvarig.

Rättslig grund för behandling av personuppgifter enligt dataskyddsförordningen

Nästa steg är att avgöra om en viss behandling uppfyller kraven i GDPR eller inte. Enligt GDPR måste varje databehandlingsåtgärd, utförd som personuppgiftsansvarig eller ett personuppgiftsbiträde, ha en rättslig grund. GDPR erkänner totalt sex rättsliga grunder för behandling av EU-medborgares personuppgifter (i GDPR kallas EU-medborgare för ”den registrerade”). Dessa sex rättsliga grunder, i enlighet med GDPR artikel 6, avsnitt 1 a–f, är följande:

  1. Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.

  2. Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är en part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.

  3. Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.

  4. Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade.

  5. Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.

  6. Behandlingen är nödvändig för ändamål som rör enhetens berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter.

Det finns vissa likheter mellan dataskyddsförordningens lista över tillåten personuppgiftsbehandling och listan i dataskyddsdirektivet. Men det finns också betydande skillnader.

Den mest omdiskuterade ändringen som GDPR innebär jämfört med dataskyddsdirektivet är skärpningen av samtyckeskravet (punkt 1 i listan ovan). Kraven på samtycke i GDPR omfattar bland annat (i) kravet att man kan visa att samtycke lämnats, (ii) begäran om samtycke måste tydligt kunna skiljas från andra frågor, och (iii) den registrerade måste informeras om sin rätt att återkalla sitt samtycke. Det är också viktigt att vara medveten om att ett ännu högre krav på samtycke (”uttryckligt samtycke”) ställs vid behandling av känsliga uppgifter.

En annan viktig sak att belysa är berättigat intresse (punkt 6 i listan ovan). När man förlitar sig på ett berättigat intresse som stöd för behandlingen av personuppgifter måste organisationen vara medveten om kraven som ingår i balanstestet när man bedömer berättigat intresse för denna rättsliga grund. För att uppfylla ansvarsprincipen enligt GDPR måste en organisation dokumentera att den uppfyller kraven i balanstestet, i vilket ingår dess tillvägagångssätt samt de argument som övervägdes innan slutsatsen drogs att kraven i balanstestet var uppfyllda.

Den registrerades rättigheter enligt GDPR

Enligt dataskyddsdirektivet garanterades personer endast vissa grundläggande rättigheter vad gällde deras personuppgifter. Enskilda personers rättigheter fortsätter att skyddas i GDPR, men med vissa förtydligande ändringar. Tabellen nedan jämför enskilda personers rättigheter enligt dataskyddsdirektivet och GDPR.

Persons rättighet Dataskyddsdirektivet GDPR
Begäran om tillgång till personuppgifter Den registrerade har rätt att få veta om hens personuppgifter behandlas, vilka personuppgifter som behandlas och hur, samt vilka de specifika databehandlingsåtgärderna är. Omfattningen av denna rättighet har utökats i GDPR. Till exempel måste en registrerad som begär tillgång till sina personuppgifter tillhandahållas ytterligare information, inklusive information om deras ytterligare dataskyddsrättigheter enligt GDPR, som inte fanns tidigare, till exempel rätten till dataportabilitet.
Rätt att invända En person kan förbjuda vissa databehandlingar när han eller hon kan påvisa tvingande berättigade skäll. En person kan också invända mot behandling av sina personuppgifter för direkt marknadsföring. GDPR har utökat omfattningen av denna rättighet i jämförelse med dataskyddsdirektivet.
Rätt till rättelse eller radering Den registrerade kan begära att ofullständiga uppgifter kompletteras eller att felaktiga uppgifter rättas för att säkerställa att behandlingen av personuppgifter överensstämmer med tillämpliga dataskyddsprinciper. Utgångspunkten för GDPR är väsentligen densamma som för dataskyddsdirektivet, men vissa rättssäkerhetsgarantier har utökats i GDPR.
Rätt till begränsning av behandling Ingen rätt att begränsa behandlingen. Dataskyddsdirektivet ger emellertid personer rätt att begära blockering av sina personuppgifter, om behandlingen inte följer dataskyddsprinciperna, till exempel när uppgifterna är ofullständiga eller felaktiga. GDPR ger den registrerade rätt att begära begränsning av behandlingen av deras personuppgifter under vissa omständigheter, t.ex. när den registrerade ifrågasätter om uppgifterna är korrekta.
Rätt till radering (”rätten att bli bortglömd”) En person har rätt att begära radering av sina personuppgifter om behandlingen inte har överensstämt med dataskyddsprinciperna. Därför kan man säga att denna rätt är mycket snäv. GDPR har utökat denna rätt avsevärt. Till exempel kan rätten till radering utövas när personuppgifter inte längre är nödvändiga i förhållande till de ändamål för vilka de samlades in, eller om den registrerade återkallar sitt samtycke till behandlingen och det inte finns någon annan rättslig grund för fortsatt behandling.
** Rätt till dataportabilitet** Dataskyddsdirektivet nämner inte uttryckligen ”dataportabilitet” som den registrerades rättighet. Individuella nationella lagar i EU:s medlemsstater kan ha infört ytterligare rättigheter som liknar rätten till dataportabilitet. Den registrerade kan begära att själv få de personuppgifter som innehas av en personuppgiftsansvarig eller att dessa tillhandahålls en annan personuppgiftsansvarig.

Internationella dataöverföringar.

Internationella dataflöden har varit ett aktuellt tema i flera år och det har förekommit mycket debatt och lagändringar inom området. Det är även så gott som säkert att lagstiftningen som reglerar internationella dataflöden kommer att genomgå förändringar de närmsta åren. Enligt EU:s nuvarande dataskyddslagstiftning måste vissa krav vara uppfyllda innan EU-medborgares personuppgifter kan överföras utanför EU, såvida inte organisationen som tar emot personuppgifterna finns i en jurisdiktion som är godkänd (läs mer här om jurisdiktioner som uppfyller kraven).

GDPR gör internationella dataöverföringar till ett utmanande ämne att hantera eftersom lagen fortsätter att utvecklas och det bara finns en handfull olika tillgängliga metoder för dataöverföring. Även om detta är utmanande måste organisationer hålla jämna steg med utvecklingen eftersom ett dataflöde som uppfyller regelkraven är fundamentalt för alla teknikföretag.

Vi använder inte längre Privacy Shield för dataöverföring eftersom Privacy Shield EU–USA och Privacy Shield Schweiz–USA inte längre är giltiga efter EU-domstolens beslut den 16 juli 2020 i Schrems II-fallet. Vi fortsätter dock att tillämpa principerna i Privacy Shield-ramverket, eftersom det fortfarande kan skydda användarnas integriget. Av denna anledning fortsätter vi att hänvisa till Privacy Shield i riktlinjer och avtal.

Mer allmänt tillämpar Stripe olika åtgärder för att efterleva reglerna för internationella dataöverföringar och dessa gäller i alla Stripes globala enheter som behandlar personuppgifter från EU-medborgare. Dessa åtgärder är baserade på EU:s standardavtalsklausuler (SCC).

Som nämnts ovan är internationella dataflöden ett område som sannolikt kommer att omfattas av framtida lagreformer. Av denna anledning följer vi den rättsliga utvecklingen kring efterlevnadsförfaranden vid internationella dataöverföringar mycket noga och vidtar alla tillgängliga åtgärder för att säkerställa att den internationella överföringen av personuppgifter från registrerade i EU uppfyller alla regelkrav. Detta innebär också att vi, i största möjliga utsträckning, har redundanser i vårt efterlevnadsprogram för dataöverföring. Vi vill även utöka dessa med de verktyg som finns tillgängliga för Stripe enligt GDPR.

Bristande regelefterlevnad

Den mest omnämnda konsekvensen av bristande efterlevnad av GDPR är det högsta bötesbelopp som kan utkrävas av en organisation som inte uppfyller kraven i förordningen. Det högsta bötesbelopp som kan utkrävas är 4 % av företagets globala intäkter eller 20 miljoner euro, beroende på vilket som är högst. Vissa andra typer av överträdelser medför böter på högst 2 % av de globala intäkterna, eller 10 miljoner euro, beroende på vilket som är högst.

Mindre ofta hänvisar man till tillsynsmyndigheternas eller dataskyddsmyndigheternas befogenheter enligt artikel 58 i GDPR. Dessa befogenheter innefattar datatillsynsmyndigheternas möjlighet att utkräva korrigerande åtgärder, till exempel en tillfällig eller slutgiltig begränsning av databehandlingen, inklusive ett fullständigt förbud mot databehandling, eller att beordra avstängning av dataflöden till en mottagare i ett tredje land.

Stripe och dataskyddsförordningen (GDPR)

På Stripe är integritet, dataskydd och datasäkerhet fundamentalt för allt vi gör. Vi arbetar kontinuerligt med att höja ribban för oss själva inom säkerhets- och datasskyddsområdet, och vi ser GDPR som en möjlighet för hela branschen att samarbeta och förbättra sig.

Stripe började sitt arbete med GDPR-efterlevnad redan 2016 och vi arbetar för att säkerställa att våra tjänster uppfyller kraven i GDPR när lagstiftningen träder i kraft den 25 maj 2018.

Efterlevnad av GDPR är ett mångfacetterat projekt. Bland annat uppdaterar vi vår dokumentation och våra avtal för att anpassa oss till kraven i GDPR. Vi reviderar även våra interna riktlinjer och rutiner så att de också är förenliga med GDPR.

De flesta förändringar som en organisation gör för att efterleva GDPR sker ”under huven”, eftersom de handlar om hur en organisation behandlar personuppgifter. Nedan följer några av de steg som Stripe och andra plattformar genomför för sina användare (och sig själva) i väntan på GDPR:

  • Utföra analyser av luckor mellan kraven i dataskyddsdirektivet och GDPR enligt behoven för företaget.

  • Granska och uppdatera interna verktyg, förfaranden och riktlinjer vid behov.

  • Kontrollera datakartläggning och datainventeringspraxis och uppdatera vid behov, för uppfylla kraven på uppgiftslagring enligt GDPR.

  • Utföra en särskild analys av luckor hos integritets- och dataskyddsgranskningsverktyg för att uppfylla kraven avseende konsekvensbedömning för dataskydd.

  • Uppdatera strategierna för internationella dataöverföringar.

  • Uppdatera avtal för att återspegla artikel 28 av GDPR avseende skyldigheter vad gäller företagets avtalspartners.

  • Granska och vid behov omarbeta relationerna med leverantörer för att uppfylla kraven i GDPR och säkerställa att dessa tredje parter erhåller och behandlar personuppgifter på ett lagenligt sätt.

  • Uppdatera företagets efterlevnadsprogram för integritet med kontinuerlig utbildning av medarbetare för att återspegla de förändringar som måste genomföras inför GDPR.

Ansvarsprincipen

Stripe rekommenderar sina användare att rådfråga sina jurister för att förstå hela omfattningen av efterlevnadsskyldigheterna enligt GDPR. I allmänhet gäller att om ni är en organisation med hemvist inom EU, eller om organisationen behandlar personuppgifter från EU-medborgare, så gäller GDPR för er.

En väsentlig princip i GDPR är ansvarsprincipen. Ansvarsprincipen stipulerar att den personuppgiftsansvarige måste kunna visa att behandlingen överensstämmer med dataskyddsprinciperna enligt GDPR. Det enklaste sättet att bevisa efterlevnad är att dokumentera och kommunicera era strategier och metoder för att efterleva GDPR.

På Stripe har efterlevnad varit resultatet av ett samarbete mellan många medarbetare i vår organisation, bl.a. från User Operations, försäljning, IT, säkerhet och juridiska avdelningen. Enligt vår erfarenhet bidrar tvärfunktionella samarbeten och lättläst dokumentation avsevärt till den övergripande GDPR-efterlevnadsprocessen.

En GDPR-checklista för företag

Med bara några veckor kvar till den 25 maj 2018 kan små och medelstora organisationer komma att ställas inför särskilda utmaningar för att förbereda sig inför ikraftträdandet av dataskyddsförordningen. Med detta i åtanke har vi sammanställt några av nyckelelementen i ett efterlevnadsprogram i form av en checklista för användare.

Prata ihop er: Lyssna på och diskutera med era tekniska, juridiska och kundsupportskollegor för att snabbt lära er om GDPR och hur den kommer att påverka er organisation.

Skaffa fram en tydlig bild av vad som händer med personuppgifter inom organisationen: En datakartläggning kan hjälpa er att förstå hur personuppgifter lagras och behandlas av era system. Följande frågeställningar kan fungera som en vägledning:

  • Vilka typer av personuppgifter behandlar ni? (t.ex. finansinformation, hälsouppgifter, marknadsföringsrelaterad information, etc.)
  • Vilka personkategorier behandlar ni personuppgifterna för? (t.ex. kortinnehavare, barn, patienter etc.)
  • Vad är anledningen till att denna information behandlas?
  • Hur och varför samlade ni in dessa uppgifter?
  • Hur skyddas dessa data?
  • Mottar någon tredje part denna information? I sådana fall, offentliggör ni sådana tredjepartsmottagare i integritetspolicyn eller i andra former av meddelanden? Vet ni vilka dessa tredjeparter är? Hur länge behåller ni informationen om enskilda individer?

Kartläggning av rättslig grund: Analysera de 6 rättsliga grunderna som nämns ovan. Varje uppgiftsbehandling som identifieras i datakartläggningen ska länkas tillbaka den till en rättslig grund. Denna koppling kommer att ge en karta över de rättsliga grunderna.

Lär er hur man uppfyller förfrågningar från personer som utövar sina rättigheter:

  • Se till att ni kan använda informationen från datakartläggningen för att besvara en begäran om att få tillgång till uppgifterna från den registrerade.
  • Använd datakartläggningen för att veta var i systemet personuppgifterna finns (och hur dessa är kopplade till andra system) för att tillmötesgå en begäran om borttagning, ändring eller radering.
  • Var medveten om vilka dataformat era system använder och ta reda på hur man kan svara på förfrågningar om dataportabilitet.

** Dataintrång och beredskap på incidenter:** I samtalen med kollegor i organisationens tekniska eller säkerhetsavdelningar är det viktigt att se till att du förstår beredskapsplanen för incidenter. Genomför några teoretiska övningar så att alla som är inblandade i beredskapshanteringen vet vad de ska göra om en säkerhetsincident inträffar.

Det finns många fler moment som kan läggas till i den här checklistan och det är viktigt att man samarbetar med interna experter och externa rådgivare för att komma fram till en lista som är anpassad till företagets specifika behov. Till exempel kan man behöva göra konsekvensanalyser av dataskyddet, utse ett dataskyddsombud, hantera och granska marknadsförings- och annan kommunikation som företaget använder, samt omvärdera leverantörshanteringen och företagets avtalsprocesser, för att bara nämna några saker.

Om ni lägger en solid grund genom att kartlägga företagets databehandling ger ni er själva en stor fördel inför alla potentiella efterföljande frågor avseende efterlevnad av GDPR.

Nedan hittar ni några ytterligare resurser som vi har använt oss av och funnit praktiska, så vi hoppas att de också kommer att vara användbara för er.

Ytterligare resurser

GDPR omnämns på många olika platser, och det är svårt att hålla reda på alla de användbara resurser som finns tillgängliga online. Här följer några resurser som vi använt oss av för att hålla jämna steg med utvecklingen av GDPR:

  • Allt börjar med lagtexten: Den fullständiga dataskyddsförordningen (GDPR) finns här och dataskyddsdirektivet är länkat här.

  • Tillsynsmyndigheten: Varje medlemsland har en tillsynsmyndighet för dataskyddsförordningen och många av dem har publicerat användbara riktlinjer för implementeringen av GDPR. Du hittar en lista över tillsynsmyndigheter här.

  • Artikel 29-gruppen (WP29), snart Europeiska dataskyddsstyrelsen (EDPB): WP29 är ett rådgivande organ bestående av en representant från varje medlemslands tillsynsmyndighet, Europeiska dataskyddstillsynsmannen och Europeiska kommissionen. Från och med den 25 maj 2018 blir WP29 EDPB. EDPB kommer att omfatta generaldirektörerna för tillsynsmyndigheten för varje medlemsstat samt den Europeiska datatillsynsmannen.

    WP29 har utfärdat hundratals riktlinjer och synpunkter, dessutom har de öppnat upp flera ämnesområden för samråd. De senaste riktlinjerna och synpunkterna fokuserar på hur man bäst implementerar GDPR:s grundsatser i en organisations regelefterlevnadsorganisation. WP29:s nyhetsrum finns här.

    Artikel 29-gruppens gamla webbplats hade många ytterligare resurser som tyvärr inte är lika lättillgängliga nu med den nya webbplatsen. Den arkiverade gamla webbplatsen med ytterligare material finns tillgänglig här.

  • Vissa tillsynsmyndigheter, advokatbyråer, dataskyddsorganisationer såsom IAPP och många andra organisationer, icke-statliga organisationer samt företag fungerar som värdar för evenemang om GDPR. Det är mycket troligt att andra organisationer hanterar liknande frågor som ni kanske också har avseende implementering av GDPR. Dessa evenemang erbjuder oss fantastiska möjligheter få kontakt med andra som arbetar med GDPR och tillsammans arbeta igenom dessa frågor.

Tillbaka till guider
You’re viewing our website for Sweden, but it looks like you’re in the United States.