GDPR och hälsodata

Vad är GDPR och hur påverkar det hälsodata?

Om ditt företag hanterar hälsodata inom EU måste du följa GDPR (General Data Protection Regulation). GDPR skyddar personuppgifter och gäller för alla företag, oavsett storlek. Hälsodata är särskilt känsliga personuppgifter och omfattas av strängare regler.

Hälsodata omfattar information om en individs fysiska eller psykiska hälsa, t.ex. medicinska diagnoser, biometriska data och genetisk information. Artikel 9 i GDPR förbjuder i regel behandling av hälsodata, men vissa undantag finns, t.ex.:

  • Patienten har gett uttryckligt samtycke (artikel 9.2 a).
  • Behandlingen är nödvändig för medicinsk vård (artikel 9.2 h).
  • Behandlingen skyddar viktiga intressen (artikel 9.2 c).

Vem är ansvarig för GDPR-efterlevnad?

Om ditt företag hanterar hälsodata är du antingen:

  • Personuppgiftsansvarig – Du bestämmer hur och varför uppgifterna behandlas.
  • Personuppgiftsbiträde – Du behandlar uppgifter på uppdrag av en annan organisation.

Personuppgiftsansvariga har det huvudsakliga ansvaret för att GDPR följs.

Grundprinciper för hantering av hälsodata

Enligt Artikel 5 i GDPR måste all hantering av hälsodata följa dessa sex principer:

  • Laglighet, korrekthet och öppenhet – Uppgifter får bara behandlas lagligt och transparent.
  • Ändamålsbegränsning – Uppgifter får endast användas för specificerade ändamål.
  • Uppgiftsminimering – Samla in och lagra endast nödvändiga uppgifter.
  • Korrekthet – Uppgifter måste vara korrekta och uppdaterade.
  • Lagringsminimering – Uppgifter får inte lagras längre än nödvändigt.
  • Integritet och konfidentialitet – Skydda uppgifter mot obehörig åtkomst och intrång.

Säkerhetskrav enligt GDPR

Artikel 32 i GDPR kräver att hälsodata skyddas med lämpliga säkerhetsåtgärder, exempelvis:
✅ Kryptering av lagrade och överförda uppgifter.
✅ Pseudonymisering – Ersätt identifierbara uppgifter med kodade referenser.
✅ Behörighetskontroll – Begränsa åtkomst till känsliga data.
✅ Incidenthantering – Rapportera dataintrång till Integritetsskyddsmyndigheten (IMY) inom 72 timmar.

Vilken rättslig grund kan du använda?

För att behandla hälsodata krävs en rättslig grund enligt Artikel 6 i GDPR, till exempel:

  • Samtycke från den registrerade.
  • Lagkrav (t.ex. patientjournalföring enligt svensk lag).
  • Allmänt intresse, t.ex. folkhälsa eller forskning.
  • Rättigheter för de registrerade

De registrerades rättigheter

Dina kunder har rätt att:

✔ Begära tillgång till sina uppgifter.
✔ Få felaktiga uppgifter rättade.
✔ Begära radering av sina uppgifter.

Du måste svara på sådana förfrågningar inom en månad.

Fördjupning om GDPR och hälsodata

Vill du lära dig mer om GDPR och hälsodata? Läs vidare!

Disposition

  • Tillämpningsområde
  • Personuppgiftsansvar
  • Vad är personuppgifter?
  • Dataskyddsprinciper
  • Laglig behandling
  • Uppgifter om hälsa är känsliga personuppgifter
  • Den registrerades rättigheter
  • Inbyggt dataskydd och dataskydd som standard
  • Informationssäkerhet
  • Tekniska och organisatoriska säkerhetsåtgärder
  • Vad måste du göra om personuppgifter läcks?
  • Konsekvensbedömning
  • Förhandssamråd med Integritetsskyddsmyndigheten
  • Tredjelandsöverföringar
  • Tillsynsmyndighetens befogenheter
  • Sanktionsavgifter och skadestånd

När den hälsodata som behandlas är personuppgifter och behandlingen sker inom EU regleras detta inom ramen för den allmänna dataskyddsförordningen, GDPR. GDPR, ersatte det tidigare dataskyddsdirektivet och började tillämpas 2018. Den är bindande och direkt tillämplig i alla medlemsstater inom EU. GDPR kompletteras på nationell svensk nivå, av lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, den så kallade dataskyddslagen.

GDPR innehåller övergripande regler, principer och rättigheter som är relevanta vid personuppgiftsbehandling om hälsa. Det finns som nämnts även mer specifik lagstiftning på hälsoområdet, som kompletterar GDPR, till exempel patientdatalagen, biobanklagen och lagen om hälsodataregister.

Tillämpningsområde

Tillämpningsområdet för GDPR har dels en materiell sida, dels en territoriell.

På det materiella planet tar GDPR sikte på helt eller delvis automatiserad personuppgiftsbehandling avseende levande fysiska personer.

Territoriellt är GDPR avgränsat till personuppgiftsbehandling inom EU. Det spelar ingen roll om den sker i ett tredje land, så länge som behandlingen har viss anknytning till EU.

GDPR gäller i stort sett all slags verksamhet, såväl privat som offentlig, med vissa undantag.

Personuppgiftsansvar

Om du behandlar personuppgifter om hälsa är du antingen personuppgiftsansvarig eller personuppgiftsbiträde. Som personuppgiftsansvarig bestämmer du ändamålen och medlen med behandlingen. Personuppgiftsansvaret ska tolkas vidsträckt enligt EU-domstolen. Det innebär bland annat att även flera aktörer kan bedömas som gemensamt personuppgiftsansvariga. Ansvaret vilar normalt på organisationen, till exempel ett aktiebolag eller en myndighet, inte på de anställda eller kunderna. Är du personuppgiftsbiträde behandlar du personuppgifter för den personuppgiftsansvariges räkning.

Vad är personuppgifter?

För att avgöra om GDPR är tillämplig måste du först ställa dig frågan om det är personuppgifter som du ska behandla.

Definitionen av personuppgift framgår av 4.1 GDPR:

”varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller ett eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.”

Av denna definition framgår att GDPR endast är tillämplig på levande fysiska personer och därför t.ex. inte avlidna personer. I detta avseende skiljer sig GDPR från Offentlighets- och sekretesslagen och Patientdatalagen som även omfattar avlidna personer (1 kap 1 §, st. 2). Förordningen är tillämplig på både direkta personuppgifter, såsom ett namn eller personnummer, och indirekta personuppgifter, t.ex. ett diarienummer eller en viss IP-adress.

Anonymiserade uppgifter utgör inte heller personuppgifter. För det krävs att det inte längre går att härleda uppgiften till en enskild individ vilket kan vara svårt att åstadkomma i praktiken. Användning av syntetiska data kan vara ett bra alternativ från integritetsskyddssynpunkt, så länge som det inte går att spåra till någon enskild individ eller det innebär andra risker. Avidentifiering av personuppgifter genom pseudonymisering kan stärka säkerheten vid behandlingen, men innebär alltjämt att en individ kan kopplas till uppgiften. Pseudonymiserade personuppgifter utgör därför personuppgifter i GDPR:s mening och GDPR är tillämplig på sådana uppgifter.

Dataskyddsprinciper

Bedömningen om vad som utgör en tillåten personuppgiftsbehandling tar sin utgångpunkt i dataskyddsprinciperna som stadgas i art. 5 GDPR. Fråga är inte om konkreta bestämmelser utan övergripande rättsliga principer som ska genomsyra tillämpningen av GDPR, d.v.s. en sorts bindande värdegrunder. Dessa principer är emellertid inte alltid tillämpliga fullt ut i vård- och omsorgssammanhang, beroende på områdesspecifik lagstiftning, där andra avvägningar kan vara nödvändiga, t.ex. rörande läkarjournaler och forskningsdata.

Dataskyddsprinciperna är emellertid grundläggande för dataskyddet även på dessa områden. Är du personuppgiftsansvarig är det ditt ansvar att se till att principerna efterlevs.

Den första principen tar sikte på laglighet, korrekthet och öppenhet i förhållande till den registrerade. Personuppgiftsbehandlingen gentemot en enskilde måste ha en rättslig grund, för att vara laglig och riktig samt ge tillräcklig insyn.

Den andra principen innebär att det måste finnas ett bestämt och berättigat ändamål med en aktuell personuppgiftsinsamling, den s.k. principen om ändamålsbegränsning. I detta ligger också ett krav på att uppgifter som samlats in för ett bestämt ändamål i efterhand inte utan vidare får användas för andra ändamål än detta. För personuppgiftsansvariga som utför en uppgift som avser ett allmänt intresse eller är ett led i en myndighetsutövning, såsom vård och omsorg, behöver normalt inte ett specifikt ändamål anges.

En konsekvens av principen om ändamålsbegränsning är att uppgifter som samlats in för ett visst syfte inte får användas för ett annat syfte, vilket ger uttryck för den så kallade finalitetsprincipen. Finalitetsprincipen hindrar därför normalt samkörningar av personuppgifter. Det finns emellertid undantag där behandling utanför ändamålet kan ske om det handlar om att fullgöra en uppgift av allmänt intresse för t.ex. vetenskapliga- och arkivändamål. En motsvarighet finns i 2 kap. 5 § PDL, som säger att personuppgifter som behandlas inom hälso- och sjukvården får behandlas för andra ändamål under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.

Den tredje principen, om uppgiftsminimering, innebär att de personuppgifter som samlas in måste vara adekvata, relevanta och hålla sig inom ramen för ändamålet med insamlingen.

Den fjärde principen handlar om korrekthet. Det innebär att alla personuppgifter som registrerats felaktigt, måste rättas eller raderas. Detta kommer även till uttryck mer specifikt i art. 16 avseende den enskildes rätt till rättelse och radering. 

Den femte principen är lagringsminimering. Med lagringsminimering menas att uppgifter inte får förvaras under längre tid än vad som är nödvändigt med beaktande av det aktuella ändamålet. Så snart uppgifterna inte längre behövs ska de tas bort. I det här avseendet kan behovet av att gallra uppgifter av integritetsskyddsskäl stå i konflikt med handlingsoffentlighet eller andra allmänna intressen. Det finns därför ett undantag om arkivering för allmänt intresse. Detta gäller t.ex. patientjournaler, som förutom att ge insyn för patienten, förs i syfte att säkerställa en god och säker vård samt utgöra ett instrument för kontroll och tillsyn samt ansvarsutkrävande, vilket i sammanhanget anses väga tyngre.

Den sjätte principen handlar om integritet och konfidentialitet. Integritet innebär i detta sammanhang ”riktighet” och avser inte den personliga integriteten. Denna princip hänger samman med kravet på att skydda personuppgifter från förvanskning eller radering av obehöriga, vilket är helt centralt inom hälso- och sjukvård samt omsorg. Den personuppgiftsansvarige måste därför upprätthålla viss nivå av informationssäkerhet. I GDPR finns det därför särskilda krav på att personuppgiftsansvariga ska vidta nödvändiga tekniska och organisatoriska åtgärder för att säkerställa skyddet för de personuppgifter som hanteras i verksamheten, vilket framgår av art. 24 och art. 32. I art. 32 uppställs mer specifika krav på hur säkerhetsarbetet för tryggandet av personuppgifter ska bedrivas.

Laglig behandling

För att en personuppgiftsbehandling ska vara laglig krävs inte bara att den uppfyller dataskyddsprinciperna. Det måste också föreligga en rättslig grund för behandlingen.

I artikel 6 GDPR regleras på vilka rättsliga grunder en personuppgiftsbehandling kan ske.

  1. Samtycke från den registrerade (art. 6.1.a)
    1. För att fullgöra avtal (6.1.b)
    2. För att fullgöra en rättslig förpliktelse (6.1.c, skäl 45).
    3. För att skydda intressen av grundläggande betydelse för den registrerade eller för en annan fysisk person (6.1.d, skäl 46).
    4. För att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (6.1.e, skäl 45).
    5. För ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn (intresseavvägningen, 6.1.f, skäl 47).

Rättslig grund för personuppgiftsbehandling inom vård och omsorg brukar hänföras till två huvudsakliga grunder. Den första stadgas i art. 6.1c som stipulerar att en personuppgiftsbehandling kan vara laglig om den kan anses nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. En förtydligande bestämmelse har införts i 2 kap. 1 § dataskyddslagen om att det är fråga om rättsliga förpliktelser som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning.

Den andra framgår av art. 6.1e GDPR som anger att en rättslig grund kan föreligga om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Bestämmelsen omfattar inte bara offentliga organ, utan även privata aktörer inom vården och omsorgen, som utför fastställda uppgifter av allmänt intresse. I vård och omsorgssammanhang fastställs ”uppgift av allmänt intresse” i t.ex. Hälso- och sjukvårdslagen och Socialtjänstlagen.

Vad som närmare avses med dessa rättsliga grunder framgår vidare av beaktandesatserna till GDPR i skäl 45, som inte är bindande, men som har betydelse för tolkningen. Innebörden är att en behandling som grundar sig på en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller som krävs för att utföra en uppgift av allmänt intresse eller som ett led i en myndighetsutövning, bör ha en grund i unionsrätten eller en medlemsstats nationella rätt. Detta innebär inte något krav på att ha en särskild lag för varje enskild behandling, utan det räcker med en lag som grund för flera behandlingar som bygger på dessa rättsliga grunder. Sådan lagstiftning måste också reglera om en personuppgiftsansvarig som utför en uppgift av allmänt intresse eller som ett led i en myndighetsutövning ska vara en offentlig myndighet eller någon annan fysisk eller juridisk person som omfattas av offentligrättslig lagstiftning. I den i 2 kap. 2 § dataskyddslagen anges att behandling kan ske om den följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning.

Vad som avses med begreppet ”allmänt intresse” i GDPR definieras inte, men i skäl 45 anges uttryckligen att detta inbegriper hälso- och sjukvårdsändamål, såsom folkhälsa och socialt skydd, förvaltning av hälso- och sjukvårdstjänster o.s.v.

Samtycke är ett centralt begrepp inom vård- och omsorg, men detta ska inte sammanblandas med samtycke som rättslig grund för personuppgiftsbehandling enligt art. 6.1a. Möjligheten att etablera av ett verkligt samtycke vid förhållanden mellan t.ex. en myndighet och en enskild, en läkare och patient eller vid andra förhållanden där parterna inte är jämbördiga kan starkt ifrågasättas och är svår att föra i bevis.

Uppgifter om hälsa är känsliga personuppgifter

Uppgifter om hälsa är känsliga personuppgifter, vilket i GDPR anges som särskilda kategorier av personuppgifter. I art. 9.1 stadgas att:

”Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska vara förbjuden.”

Det finns emellertid viktiga undantag i art. 9.2. som gör det möjligt att behandla uppgifter om hälsa inom t.ex. vård och omsorg. Behandling av sådana uppgifter kan utöver kravet på en rättslig grund enligt artikel 6, sägas ställa krav på ännu en rättslig grund för behandlingen av särskilt skyddsvärda uppgifter, såsom uppgifter om hälsa.

Ett av de i sammanhanget viktigaste undantagen finns i art. 9.2h:

” Behandlingen är nödvändig av skäl som hör samman med förebyggande hälso- och sjukvård och yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet, medicinska diagnoser, tillhandahållande av hälso- och sjukvård, behandling, social omsorg eller förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system, på grundval av unionsrätten eller medlemsstaternas nationella rätt eller enligt avtal med yrkesverksamma på hälsoområdet och under förutsättning att de villkor och skyddsåtgärder som avses i punkt 3 är uppfyllda.”

Av art. 9.3 framgår att personuppgifter som avses för de ändamål som anges i 9.2h får behandlas av yrkesutövare som omfattas av tystnadsplikt enligt unionsrätten eller nationell rätt. Det innebär att det krävs lagstadgad tystnadsplikt. Det räcker därför inte med ett avtal om tystnadsplikt. Detta kan i vissa skapa problem för privata aktörer. Ett praktiskt exempel på detta är det så kallade Conscriptorfallet från 2014, där två regioner hade ingått avtal om journalföring med ett företag som tillhandahöll tjänster där läkarsekreterare utförde digital journalhantering på distans. Justitieombudsmannen fann inte att detta var förenligt med de krav som ställs enligt hälso- och sjukvårdssekretessen enligt offentlighets- och sekretesslagen. Numera finns lagen (2020:914) om tystnadsplikt vid utkontraktering av teknisk bearbetning och lagring av uppgifter, som avser tjänster som utförs anses utgöra teknisk bearbetning eller lagring, den så kallade tystnadspliktslagen. Det innebär att t.ex. tjänstepersoner på IT-företag som utför teknisk bearbetning eller lagring till en offentlig vårdgivare omfattas av lagstadgad tystnadsplikt. Det är emellertid oklart om läkarsekreterarna i Conscriptorfallet skulle omfattas av lagen.

Den registrerades rättigheter

De registrerade har särskilda rättigheter enligt GDPR, vilket framgår av artiklarna 16-20 GDPR, som du som är personuppgiftsansvarig måste beakta. Det handlar t.ex. om rätten till information, rätt till tillgång samt rätt till rättelse och radering, även kallad rätten att bli bortglömd. Den registrerade kan ha rätt att få till stånd en begränsning av personuppgiftsbehandlingen att få tillbaka personuppgifter som denne tidigare har lämnat, så kallad dataportabilitet.

Det finns emellertid undantag till de rättigheter som registrerade har enligt art. 23 GDPR. Dessa rättigheter är till exempel inte i alla delar tillämpliga i vården och omsorgen, eftersom det kan finnas tungt vägande allmänna intressen att inte tillåtna rättelser och radering i annat än begränsade fall. Det finns särskilda bestämmelser om rättelse och radering i Patientdatalagen.

Som innovatör gäller det att ta höjd för detta. Det kan t.ex. vara nödvändigt att bygga in detta rättighetsskydd på olika sätt i de system som du använder och skapa bra rutiner för att hantera den här typen av frågor från t.ex. dina kunder. Du kan också behöva tänka på hur du informerar dina kunder om deras rättigheter och hur du arbetar för att tillgodose dessa.

Inbyggt dataskydd och dataskydd som standard

Det är som nämnts viktigt att hantera problem innan de uppstår. Detta är också ett tydligt inslag i GDPR, som innehåller flera krav på proaktiva åtgärder, till exempel kravet på inbyggt dataskydd och dataskydd som standard i art. 25 GDPR. Det handlar i stort om att du som personuppgiftsansvarig och innovatör kan vara skyldig att utarbeta och använda metoder och funktioner som säkerställer skyddet för personuppgifter i olika applikationer och system. Det kan handla om alltifrån förenklade gränssnitt till tekniska metoder som kryptering.

Informationssäkerhet            

En säker behandling är en förutsättning för ett effektivt dataskydd. Detta framgår inte minst i av dataskyddsprincipen om integritet och konfidentialitet, som innebär ett krav på att skydda personuppgifter från förvanskning eller radering av obehöriga.

Tekniska och organisatoriska säkerhetsåtgärder

I GDPR finns bestämmelser med särskilda krav på att såväl personuppgiftsansvariga som deras biträden ska vidta nödvändiga tekniska och organisatoriska åtgärder. Det innebär att det inte enbart handlar om att finna tekniska lösningar för att upprätthålla en god informationssäkerhet, utan också om åtgärder, som behörighetskontroll, utbildning och informationssäkerhetskultur.

I artikel 32 uppställs mer specifika krav och rekommendationer på hur säkerhetsarbetet för tryggandet av personuppgifter ska bedrivas. En viktig utgångspunkt är att söka uppnå en säkerhetsnivå som är lämplig i förhållande till risken.

I artikel 32 pekas olika tekniker ut som kan användas för att minska risken för intrång i dataskyddet, såsom anonymisering och pseudonymisering. Eftersom det inte alltid är möjligt att åstadkomma anonymisering, kan avidentifiering genom pseudonymisering användas, vilket t.ex. kan ske genom att man försöker ersätta t.ex. en patients eller brukares namn och personnummer med en kod, så att det inte längre är möjligt att utläsa vem som uppgiften avser utan kodnyckel. Eftersom det fortfarande är möjligt att identifiera en person vars uppgifter blivit pseudonymiserade genom avkodning, är det alltjämt fråga om indirekta personuppgifter enligt GDPR.

För den som har personuppgiftsansvar är det också nödvändigt att hålla till exempel sina system uppdaterade och motståndskraftiga samt rutiner för kontroll och utvärdering. Betydelsen av en kontinuitetsplanering, en plan B, kan inte nog understrykas. Det är därför viktigt att du som företag utvecklar en metod för hur din verksamhets förmåga att leverera säkerställs även om den utsätts för till exempel någon form av cyberattack.

Exempel på vad som inte är tillräckliga tekniska och organisatoriska skyddsåtgärder kan utläsas i rättspraxis (Medhelp m.fl.)

Vad måste du göra om personuppgifter läcks?

Om verksamheten utsätts för någon form av attack eller läcka, en personuppgiftsincident, måste detta rapporteras till Integritetsskyddsmyndigheten inom 72 timmar från det att du fått vetskap om detta.

Är det fråga om en allvarlig läcka, som innebär en hög risk för de registrerade, kan du bli tvungen att informera dem om personuppgiftsincidenten.

Konsekvensbedömning

I GDPR finns det också bestämmelser om hur informationssäkerheten ska förebyggas i verksamheten genom en så kallad konsekvensbedömning. Den personuppgiftsansvariga är skyldig att göra en konsekvensbedömning om verksamheten planerar att göra en ny behandling av personuppgifter som kan antas innebära en hög risk för de registrerade, till exempel om hälsodata ska behandlas i stor omfattning. Detta kan vara tidskrävande, men kan å andra sidan bidra till ett bättre skydd för verksamheten om något skulle gå fel. Det kan också vara ett viktigt arbete för att säkerställa en önskvärd bevissituation.

En lämplig arbetsprocess kan därför vara att:

  • Klargöra vilken personuppgiftsbehandling som behövs och för vilket syfte den ska ske?
  • Identifiera risker med den aktuella personuppgiftsbehandlingen
  • Utarbeta rutiner och identifiera åtgärder för att hantera dessa risker.
  • Redogöra för förenligheten med GDPR.
  • Följa upp och utvärdera.
Förhandssamråd med Integritetsskyddsmyndigheten

Om ni planerar för en högriskbehandling av personuppgifter, vilket ofta är fallet när uppgifter om hälsa ska behandlas, finns det en möjlighet att begära ett förhandssamråd med Integritetsskyddsmyndigheten (IMY).

Ni kan därför få råd från IMY om hur ni genomföra den aktuella högriskbehandlingen, vilket är ett sätt att gardera sig mot framtida risker.

Tredjelandsöverföringar

Överföringar av personuppgifter till länder utanför EU, tredjelandsöverföringar, kan ske utan tillstånd om det tredjelandet har en adekvat skyddsnivå. Frågan om en adekvat skyddsnivå beslutas av EU-kommissionen vilket sker mot bakgrund av hur personuppgiftsskyddet m.m. ser ut i landet.

De senaste åren har det förelegat vissa problem rörande överföring av personuppgifter till USA, som är hem för många stora teknikföretag och inte minst plattformar för sociala medier och molntjänstbolag med många europeiska användare. Denna problematik hade sin upprinnelse i Snowden-läckan 2013 som avslöjade amerikansk massövervakning avseende individer inom EU. Därefter har olika överenskommelser mellan EU och USA, såsom ”Safe Harbour” och ”Privacy Shield” underkänts av EU-domstolen i målen Schrems I och II (Mål C-362/14, Schrems I, mål C-311/18, Schrems II), vilka drevs av den österrikiske juristen Maximilian Schrems.

Grunden till problemet är säkerheten för personuppgifter. Det handlar emellertid inte om säkerhet i teknisk mening utan i juridisk mening. Säkerheten när personuppgifter överförs från EU till USA kan inte garanteras eftersom den amerikanska underrättelsetjänsten kan begära ut sådana uppgifter av amerikanska företag och EU-medborgare saknar rättigheter när så sker. EU-medborgare har till exempel ingen rätt till ett effektivt rättsmedel, det vill säga inga möjligheter att överklaga en sådan hantering av amerikanska underrättelsetjänsten och inte heller någon rätt att få skadestånd om deras rättigheter kränks.

I mars 2022 uppnåddes en ny överenskommelse mellan EU och USA, Transatlantic Data Privacy Framework. Denna efterföljdes av en så kallade Executive Order från Biden-administrationen enligt vilken bl.a. en Data Protection Review Court, vilket ska garantera en rätt till domstolsprövning. EU-kommissionen utfärdade härefter ett beslut om adekvat skyddsnivå som för närvarande gäller. Frågan är om det är tredje gången gillt eller om en ny Schrems III-dom är att vänta, vilket har aviserats av Schrems själv på hans organisations NOYB hemsida.

Rättsläget är därför fortsatt osäkert, vilket skapar problem t.ex. vid användningen av molntjänster, som kan tillhandahållas av amerikanska bolag samt utbyte av forskningsdata inom medicinsk forskning mellan EU och USA. Därutöver kan regimskiftet i USA under 2025 också snabbt förändra rättsläget om till exempel Biden-administrationens Executive Orders dras tillbaka.

Tillsynsmyndighetens befogenheter

Integritetsskyddsmyndigheten, IMY är tillsynsmyndighet och vakar över att GDPR följs. För detta ändamål har IMY olika befogenheter: utredande befogenheter, korrigerande befogenheter och befogenhet att påföra sanktionsavgift.

IMY har därför utredande befogenheter enligt såväl GDPR som Dataskyddslagen att göra kontroller i form av till exempel en dataskyddstillsyn hos dig som behandlar personuppgifter (artikel 58.1).

Värt att notera är att IMY:s beslut att inte utreda ett klagomål vidare eller beslut att avsluta ett tillsynsärende utan åtgärd är överklagbara. Detta har klarlagts i praxis från såväl Högsta förvaltningsdomstolen som EU-domstolen med stöd av artikel 78.1 om rätten till ett effektivt rättsmedel (HFD 2023 ref. 54 I och II samt Mål C-26/22 & C-64/22, SCHUFA II).

För de fall det förekommer brister hos dig som behandlar personuppgifter har IMY korrigerande befogenheter i form av varningar, reprimander, förelägganden, begränsningar, förbud och påförande av sanktionsavgifter (artikel 58.2).

IMY kan som ett första led utfärda en varning om att en planerad eller pågående behandling sannolikt utgör en överträdelse av GDPR. Det är alltså inte nödvändigt att en behandling ännu har påbörjats för att denna form av korrigerande befogenhet ska kunna användas.

Reprimander används för mindre allvarliga former av överträdelser och innebär att du som behandlar personuppgifter inte agerat i enlighet med GDPR får en tillrättavisning.

IMY kan också utfärda förelägganden till exempel för att förmå dig som behandlar personuppgifter att tillgodose den registrerades rätt att utöva sina rättigheter, såsom att se till att en kund får sina uppgifter raderade.

IMY kan också förbjuda dig att behandla personuppgifter eller begränsa viss behandling av personuppgifter hos dig.

Sanktionsavgifter och skadestånd

Om det kan konstateras att du har agerat i strid med GDPR kan IMY besluta att du påförs sanktionsavgifter enligt artikel 83 GDPR och 6 kap. 2-7 §§ dataskyddslagen.

De sanktionsavgifter som kan utgå är kännbara. Hur stora de blir beror på hur allvarlig överträdelsen är. Det föreligger också vissa skillnader mellan myndigheter och företag.

Maxtaket för myndigheter är 10 miljoner kronor, emedan detsamma för juridiska personer är 20 miljoner Euro. När det gäller företag kan avgift även utgå med maximalt fyra procent av den globala årsomsättningen.

Beslut om sanktionsavgift kan överklagas till förvaltningsdomstol enligt 7 kap. 3 § dataskyddslagen.

Det kan också bli aktuellt att betala skadestånd till de registrerade. Skadestånd. Av artikel 82 framgår att varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av denna förordning ska ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan (se även 7 kap. 1 § dataskyddslagen.

Innehåll

Index