{"id":19214,"date":"2024-09-19T08:00:00","date_gmt":"2024-09-19T06:00:00","guid":{"rendered":"https:\/\/cleura.com\/?p=19214"},"modified":"2026-02-05T09:41:48","modified_gmt":"2026-02-05T08:41:48","slug":"gdpr-och-molnet-en-introduktion","status":"publish","type":"post","link":"https:\/\/cleura.com\/sv\/molnguiden\/guide\/gdpr-och-molnet-en-introduktion\/","title":{"rendered":"GDPR och molnet &#8211; en introduktion"},"content":{"rendered":"\n<p><em>F\u00f6rfattare: Arman Borghem, Regulatory and Compliance Advisor p\u00e5 Cleura<\/em><\/p>\n\n\n\n<p>Som leverant\u00f6r av molninfrastruktur med fokus p\u00e5 regelefterlevnad vet vi p\u00e5 Cleura att en del verksamheter kan bli \u00f6verv\u00e4ldigade av vad som kr\u00e4vs f\u00f6r att f\u00f6lja GDPR i molnet.<\/p>\n\n\n\n<p>H\u00e4r introduceras d\u00e4rf\u00f6r n\u00e5gra av dataskyddsf\u00f6rordningens (GDPR) viktigaste delar. Varje del har dessutom ett avsnitt om \u00f6verv\u00e4ganden vi ser som s\u00e4rskilt relevanta f\u00f6r att verksamheter ska f\u00f6lja GDPR vid anv\u00e4ndning av molntj\u00e4nster.<\/p>\n\n\n\n<p>Vi hoppas att du tycker att artikeln \u00e4r anv\u00e4ndbar.<\/p>\n\n\n\n<p>\u00c4ven om artikeln h\u00e4nvisar till EU s\u00e5 g\u00e4ller GDPR i hela EES, som omfattar EU samt Island, Lichtenstein och Norge.<\/p>\n\n\n\n<div style=\"height:40px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"h-gdpr-s-huvudsyften\">GDPR:s huvudsyften<\/h2>\n\n\n\n<p>Dataskyddsf\u00f6rordningen har tv\u00e5 huvudsyften:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Skydda fysiska personers grundl\u00e4ggande r\u00e4ttigheter och friheter, s\u00e4rskilt deras r\u00e4tt till skydd av personuppgifter.<\/li>\n\n\n\n<li>Underl\u00e4tta det fria fl\u00f6det av personuppgifter inom EU genom en konsekvent till\u00e4mpning av samma regler i hela EU.<\/li>\n<\/ul>\n\n\n\n<p>Grundl\u00e4ggande r\u00e4ttigheter \u00e4r s\u00e4rskilt viktiga i EU:s r\u00e4ttsordning.<\/p>\n\n\n\n<p>Det fria fl\u00f6det av personuppgifter kan ses som en del av EU:s m\u00e5l f\u00f6r den inre marknaden, genom att undanr\u00f6ja hinder f\u00f6r ekonomisk verksamhet.<\/p>\n\n\n\n<p>GDPR \u00e4r EU-lagstiftning, och har d\u00e4rf\u00f6r f\u00f6retr\u00e4de framf\u00f6r eventuell motstridig nationell lagstiftning.<\/p>\n\n\n\n<p><strong><em>Bra att veta vid anv\u00e4ndning av molntj\u00e4nster<\/em><\/strong><\/p>\n\n\n\n<p>I takt med att tekniken utvecklas, inklusive molntj\u00e4nster och AI, s\u00e5 f\u00f6rblir GDPR:s huvudsyften viktigare \u00e4n n\u00e5gonsin.<\/p>\n\n\n\n<p>P\u00e5 Cleura anser vi att en h\u00f6g skyddsniv\u00e5 f\u00f6r grundl\u00e4ggande r\u00e4ttigheter fr\u00e4mjar tilliten till modern teknik och \u00e4r avg\u00f6rande f\u00f6r att vi ska bibeh\u00e5lla v\u00e5r m\u00e4nsklighet i den digitala tids\u00e5ldern.<\/p>\n\n\n\n<p>Moderna molntj\u00e4nster \u00e4r gr\u00e4ns\u00f6verskridande. En verksamhet i t.ex. Frankrike kan enkelt anv\u00e4nda en molntj\u00e4nst som levereras fr\u00e5n Sverige. D\u00e4rf\u00f6r \u00e4r det viktigt att EU:s h\u00f6ga skyddsniv\u00e5 f\u00f6r grundl\u00e4ggande r\u00e4ttigheter till\u00e4mpas p\u00e5 ett enhetligt s\u00e4tt i hela EU. GDPR syftar till att uppn\u00e5 detta. Om vissa l\u00e4nder hade mindre str\u00e4nga regler, eller ut\u00f6vade en mindre strikt tillsyn \u00f6ver GDPR, s\u00e5 skulle det undergr\u00e4va den h\u00f6ga skyddsniv\u00e5n f\u00f6r grundl\u00e4ggande r\u00e4ttigheter.<\/p>\n\n\n\n<p>Detsamma kan s\u00e4gas om \u00f6verf\u00f6ring av personuppgifter utanf\u00f6r EU\/EES. Om verksamheter i EU kunde undvika sitt ansvar genom att \u00f6verf\u00f6ra personuppgifter till molnservrar i tredjeland skulle det undergr\u00e4va v\u00e5ra grundl\u00e4ggande r\u00e4ttigheter.<\/p>\n\n\n\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"h-nyckeldefinitioner\">Nyckeldefinitioner<\/h2>\n\n\n\n<p>Alla definitioner i GDPR finns i sin helhet i <a href=\"https:\/\/www.imy.se\/verksamhet\/dataskydd\/det-har-galler-enligt-gdpr\/introduktion-till-gdpr\/dataskyddsforordningen-i-fulltext\/#A4\" target=\"_blank\" rel=\"noreferrer noopener\">artikel 4<\/a>. F\u00f6r att f\u00f6rst\u00e5 dem fullt ut b\u00f6r de l\u00e4sas tillsammans med de tillh\u00f6rande sk\u00e4len i dataskyddsf\u00f6rordningen samt r\u00e4ttspraxis fr\u00e5n EU-domstolen.<\/p>\n\n\n\n<p>H\u00e4r f\u00f6ljer en kortfattad och f\u00f6renklad sammanfattning av n\u00e5gra nyckeltermer som \u00e4r relevanta f\u00f6r de flesta verksamheter:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>Personuppgifter<\/strong>. Detta \u00e4r varje upplysning som direkt eller indirekt avser en identifierad eller identifierbar person som \u00e4r i livet. Definitionen av personuppgifter tolkas brett. Observera att det r\u00e4cker med att informationen relaterar till en <em>identifierbar<\/em> person f\u00f6r att det ska vara fr\u00e5ga om en personuppgift. Det inneb\u00e4r att en verksamhet kan behandla information om en person utan att i nul\u00e4get k\u00e4nna till dennes specifika identitet (i betydelsen deras namn etc.), men det kan \u00e4nd\u00e5 r\u00e4knas som behandling av personuppgifter om verksamheten lagligen <em>kan<\/em> koppla ihop informationen med annan information som identifierar personen.<\/li>\n\n\n\n<li><strong>Registrerad<\/strong>. N\u00e4r personuppgifter avser en fysisk person som \u00e4r i livet definierar GDPR en s\u00e5dan person som en \u201dregistrerad\u201d. I den h\u00e4r artikeln undviker vi det ordet och anv\u00e4nder ist\u00e4llet mer vardagliga ord som personer eller individer.<\/li>\n\n\n\n<li><strong>Behandling<\/strong>. Praktiskt taget allt som g\u00f6rs med personuppgifter r\u00e4knas som behandling. Insamling, h\u00e4mtning, bearbetning, \u00e4ndring, radering, tillhandah\u00e5llande av personuppgifter &#8211; till och med helt passiv lagring &#8211; \u00e4r alla <em>exempel<\/em> p\u00e5 personuppgiftsbehandling. GDPR omfattar automatiserad behandling, exempelvis med en dator. Icke-automatiserad behandling av personuppgifter, t.ex. med papper och penna, omfattas ocks\u00e5 av GDPR om personuppgifterna ing\u00e5r i ett register eller \u00e4r avsedda att ing\u00e5 i ett register.<\/li>\n\n\n\n<li><strong>Personuppgiftsansvarig<\/strong>. En verksamhet \u00e4r personuppgiftsansvarig f\u00f6r en behandling om verksamheten i praktiken best\u00e4mmer <em>\u00e4ndam\u00e5len<\/em> och <em>medlen<\/em> &#8211; det vill s\u00e4ga <em>varf\u00f6r<\/em> och <em>hur<\/em> &#8211; personuppgifterna behandlas. EU:s tillsynsmyndigheter anser att vissa mer praktiska aspekter av <em>huret<\/em> (s.k. \u201dicke-v\u00e4sentliga medel\u201d), t.ex. vilken specifik h\u00e5rdvara och programvara som ska anv\u00e4ndas f\u00f6r behandlingen, kan delegeras till personuppgiftsbitr\u00e4den att besluta om.<\/li>\n\n\n\n<li><strong>Personuppgiftsbitr\u00e4de<\/strong>. En verksamhet \u00e4r ett personuppgiftsbitr\u00e4de n\u00e4r den behandlar personuppgifter f\u00f6r en personuppgiftsansvarigs r\u00e4kning. Ett personuppgiftsbitr\u00e4de behandlar personuppgifter f\u00f6r att uppn\u00e5 den personuppgiftsansvariges \u00e4ndam\u00e5l med behandlingen, i enlighet med den personuppgiftsansvariges instruktioner. Ett personuppgiftsbitr\u00e4de kan fatta vissa beslut om praktiska aspekter av hur uppgifterna behandlas (\u201dicke-v\u00e4sentliga medel\u201d), t.ex. vilken specifik h\u00e5rdvara och programvara som ska anv\u00e4ndas f\u00f6r behandlingen. Ett personuppgiftsbitr\u00e4de fattar dock inga egna beslut om \u00e4ndam\u00e5len med behandlingen av personuppgifterna.<\/li>\n<\/ol>\n\n\n\n<p>Det \u00e4r ocks\u00e5 bra att k\u00e4nna till att <strong>GDPR inte g\u00e4ller<\/strong> n\u00e4r en person behandlar personuppgifter som ett led i verksamhet av <em>rent<\/em> privat natur eller som har samband med personens hush\u00e5ll.<\/p>\n\n\n\n<p><strong><em>Bra att veta vid anv\u00e4ndning av molntj\u00e4nster<\/em><\/strong><\/p>\n\n\n\n<p>En verksamhet som anv\u00e4nder molntj\u00e4nster ses vanligtvis som <em>personuppgiftsansvarig<\/em> enligt GDPR, medan en molntj\u00e4nstleverant\u00f6r ses som ett <em>personuppgiftsbitr\u00e4de<\/em>. Det \u00e4r ofta korrekt, \u00e4ven om situationen ibland \u00e4r <a href=\"https:\/\/cleura.com\/sv\/molnguiden\/guide\/hur-fordelas-personuppgiftsansvar-vid-anvandning-av-molntjanster\/\">mer nyanserad<\/a>.<\/p>\n\n\n\n<p>Rollen som personuppgiftsansvarig eller personuppgiftsbitr\u00e4de g\u00e4ller endast enskilda <em>behandlingar<\/em> av personuppgifter. N\u00e4r vi talar om en personuppgiftsansvarig verksamhet s\u00e5 talar vi allts\u00e5 om en verksamhet som \u00e4r <em>personuppgiftsansvarig f\u00f6r specifika behandlingar av personuppgifter<\/em>.<\/p>\n\n\n\n<p>Samma verksamhet kan <em>dessutom<\/em> eller <em>alternativt<\/em> vara ett personuppgiftsbitr\u00e4de, <em>om<\/em> den utf\u00f6r behandlingar f\u00f6r n\u00e5gon annans r\u00e4kning. Rollen som personuppgiftsansvarig eller personuppgiftsbitr\u00e4de \u00e4r allts\u00e5 alltid knuten till en eller flera identifierbara <em>behandlingsaktiviteter<\/em>.<\/p>\n\n\n\n<p>En molntj\u00e4nstleverant\u00f6r, s\u00e4rskilt en leverant\u00f6r av en SaaS-l\u00f6sning, \u00e4r ofta personuppgiftsbitr\u00e4de f\u00f6r sina kunders r\u00e4kning, men kan ocks\u00e5 vara personuppgiftsansvarig i viss m\u00e5n.<\/p>\n\n\n\n<p>En molntj\u00e4nstleverant\u00f6r blir personuppgiftsansvarig f\u00f6r behandlingar av personuppgifter som den utf\u00f6r f\u00f6r sina egna \u00e4ndam\u00e5l. Dessa \u00e4ndam\u00e5l kan vara ber\u00e4ttigade, t.ex. n\u00e4r en SaaS-leverant\u00f6r loggar en begr\u00e4nsad m\u00e4ngd uppgifter som beh\u00f6vs f\u00f6r att h\u00e5lla molntj\u00e4nsten s\u00e4ker.<\/p>\n\n\n\n<p>I andra fall kan situationen &#8211; \u00e5tminstone enligt v\u00e5r uppfattning &#8211; vara mer eller mindre tveksam. Ett exempel skulle kunna vara en molntj\u00e4nstleverant\u00f6r som till\u00e5ter sig att anv\u00e4nda vitt skilda typer av personuppgifter f\u00f6r otydliga \u00e4ndam\u00e5l som att f\u00f6rb\u00e4ttra tj\u00e4nsten, utan ytterligare konkretion. Ett annat skulle kunna vara om molntj\u00e4nstleverant\u00f6ren i detalj analyserar enskilda individers anv\u00e4ndning av molntj\u00e4nsten f\u00f6r att utifr\u00e5n detta ber\u00e4kna provision till molntj\u00e4nstleverant\u00f6rens s\u00e4ljare.<\/p>\n\n\n\n<p>Den som \u00e4r personuppgiftsansvarig f\u00f6r viss behandling &#8211; s\u00e5som en molntj\u00e4nstleverant\u00f6r som behandlar personuppgifter f\u00f6r egna \u00e4ndam\u00e5l &#8211; m\u00e5ste enligt <a href=\"https:\/\/www.imy.se\/verksamhet\/dataskydd\/det-har-galler-enligt-gdpr\/introduktion-till-gdpr\/dataskyddsforordningen-i-fulltext\/#A12\" target=\"_blank\" rel=\"noreferrer noopener\">artikel 12<\/a> i GDPR informera de personer vars personuppgifter behandlas. Det g\u00f6rs ofta genom ett s\u00e5 kallat integritetsmeddelande (privacy notice), vilket ibland (n\u00e5got felaktigt) ben\u00e4mns integritetspolicy (privacy policy).<\/p>\n\n\n\n<p>En verksamhet som \u00f6verv\u00e4ger att anv\u00e4nda en molntj\u00e4nst b\u00f6r d\u00e4rf\u00f6r noggrant granska om och hur molntj\u00e4nstleverant\u00f6ren behandlar personuppgifter f\u00f6r sina egna \u00e4ndam\u00e5l, det vill s\u00e4ga i vilken utstr\u00e4ckning molntj\u00e4nstleverant\u00f6ren \u00e4r personuppgiftsansvarig. Verksamheten b\u00f6r d\u00e4rtill granska om och hur molntj\u00e4nstleverant\u00f6ren informerar om detta i enlighet med kraven i GDPR. Resultatet av granskningen kan sedan ing\u00e5 i verksamhetens bed\u00f6mning av om molntj\u00e4nstleverant\u00f6rens anv\u00e4nder personuppgifter p\u00e5 ett godtagbart s\u00e4tt och om molntj\u00e4nstleverant\u00f6ren uppfyller sina skyldigheter som personuppgiftsansvarig.<\/p>\n\n\n\n<p>N\u00e4r molntj\u00e4nstleverant\u00f6ren behandlar personuppgifter f\u00f6r sina kunders r\u00e4kning, det vill s\u00e4ga som personuppgiftsbitr\u00e4de, ska denna behandling beskrivas i ett personuppgiftsbitr\u00e4desavtal mellan molntj\u00e4nstleverant\u00f6ren och respektive kund.<\/p>\n\n\n\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"h-gdpr-s-territoriella-tillampningsomrade\">GDPR:s territoriella till\u00e4mpningsomr\u00e5de<\/h2>\n\n\n\n<p><a href=\"https:\/\/www.imy.se\/verksamhet\/dataskydd\/det-har-galler-enligt-gdpr\/introduktion-till-gdpr\/dataskyddsforordningen-i-fulltext\/#A3\" target=\"_blank\" rel=\"noreferrer noopener\">Artikel 3<\/a> i GDPR fastst\u00e4ller f\u00f6rordningens territoriella till\u00e4mpningsomr\u00e5de.<\/p>\n\n\n\n<p>F\u00f6ljande verksamheter m\u00e5ste efterleva GDPR:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Personuppgiftsansvariga och personuppgiftsbitr\u00e4den som <strong>\u00e4r etablerade i EU<\/strong> och vars verksamhet omfattar behandling av personuppgifter, oavsett om behandlingen sker i EU eller inte.<\/li>\n\n\n\n<li>Personuppgiftsansvariga och personuppgiftsbitr\u00e4den som <strong>inte \u00e4r etablerade i EU<\/strong> och som behandlar personuppgifter som r\u00f6r personer i EU, d\u00e4r behandlingen avser:\n<ul class=\"wp-block-list\">\n<li>utbjudande av varor eller tj\u00e4nster till personer inom EU, oavsett om betalning kr\u00e4vs, eller<\/li>\n\n\n\n<li>\u00f6vervakning av beteendet hos personer i EU, s\u00e5 l\u00e4nge beteende sker inom EU.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n<p><em><strong>Bra att veta vid anv\u00e4ndning av molntj\u00e4nster<\/strong><\/em><\/p>\n\n\n\n<p>Verksamheter i EU b\u00f6r s\u00e4rskilt komma ih\u00e5g den f\u00f6rsta punkten: EU-verksamhet som omfattar behandling av personuppgifter omfattas ocks\u00e5 av GDPR, oavsett om sj\u00e4lva <em>personuppgiftsbehandlingen<\/em> sker <em>inom eller utanf\u00f6r EU<\/em>.<\/p>\n\n\n\n<p>En verksamhet i EU kan t.ex. f\u00f6rlita sig p\u00e5 en molntj\u00e4nstleverant\u00f6r med servrar i Schweiz (ett land utanf\u00f6r EU\/EES) d\u00e4r personuppgifterna lagras och bearbetas. I ett s\u00e5dant fall g\u00e4ller GDPR fortfarande f\u00f6r verksamheten i EU, och beh\u00f6ver uppfyllas \u00e4ven n\u00e4r personuppgifterna behandlas p\u00e5 servrarna i Schweiz.<\/p>\n\n\n\n<p>Vissa molntj\u00e4nstleverant\u00f6rer ger sig sj\u00e4lva l\u00f6sa tyglar att \u00f6verf\u00f6ra personuppgifter till i stort sett vilket tredjeland (land utanf\u00f6r EU\/EES) som helst, vid vilken tidpunkt som helst. Det riskerar att ber\u00f6va kundverksamheten kontroll \u00f6ver vart personuppgifterna tar v\u00e4gen och hur v\u00e4l de skyddas. Det kan d\u00e5 vara sv\u00e5rt eller om\u00f6jligt f\u00f6r en kund att bed\u00f6ma respektive tredjeland innan \u00f6verf\u00f6ringar sker, trots att verksamheten formellt sett har godk\u00e4nt \u00f6verf\u00f6ringarna i f\u00f6rv\u00e4g.<\/p>\n\n\n\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"h-den-grundlaggande-ratten-till-dataskydd\">Den grundl\u00e4ggande r\u00e4tten till dataskydd<\/h2>\n\n\n\n<p>Regelverket kallas <strong>dataskydd<\/strong>sf\u00f6rordningen, eller General <strong>Data Protection<\/strong> Regulation. S\u00e5 vad inneb\u00e4r egentligen <em>dataskydd<\/em>?<\/p>\n\n\n\n<p>F\u00f6r det f\u00f6rsta \u00e4r det endast uppgiftstypen <em>personuppgifter<\/em> som omfattas av GDPR. Enkelt uttryckt \u00e4r det all information som direkt eller indirekt kan h\u00e4nf\u00f6ras till en identifierad eller identifierbar person som \u00e4r i livet.<\/p>\n\n\n\n<p>F\u00f6r det andra \u00e4r det l\u00e4tt att tro att begreppet <em>skydd<\/em> i dataskydd endast tar sikte p\u00e5 s\u00e4kerhet, men det ger l\u00e5ngt ifr\u00e5n hela bilden. Enligt EU-lagstiftningen inneb\u00e4r skydd av personuppgifter mycket mer \u00e4n bara informationss\u00e4kerhet i traditionell mening.<\/p>\n\n\n\n<p>I artikel 8 i <a href=\"https:\/\/eur-lex.europa.eu\/eli\/treaty\/char_2012\/oj\" target=\"_blank\" rel=\"noreferrer noopener\">Europeiska unionens stadga om de grundl\u00e4ggande r\u00e4ttigheterna<\/a> fastst\u00e4lls r\u00e4tten till skydd av personuppgifter. I den artikeln st\u00e5r det:<\/p>\n\n\n\n<div class=\"wp-block-group\"><div class=\"wp-block-group__inner-container is-layout-constrained wp-block-group-is-layout-constrained\">\n<p><em><strong>Skydd av personuppgifter<\/strong><\/em><\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><em>Var och en har r\u00e4tt till skydd av de personuppgifter som r\u00f6r honom eller henne.<\/em><\/li>\n\n\n\n<li><em>Dessa uppgifter ska behandlas lagenligt f\u00f6r best\u00e4mda \u00e4ndam\u00e5l och p\u00e5 grundval av den ber\u00f6rda personens samtycke eller n\u00e5gon annan legitim och lagenlig grund. Var och en har r\u00e4tt att f\u00e5 tillg\u00e5ng till insamlade uppgifter som r\u00f6r honom eller henne och att f\u00e5 r\u00e4ttelse av dem.<\/em><\/li>\n\n\n\n<li><em>En oberoende myndighet ska kontrollera att dessa regler efterlevs.<\/em><\/li>\n<\/ol>\n<\/div><\/div>\n\n\n\n<p>Det \u00e4r s\u00e4rskilt relevant att granska punkt nummer tv\u00e5. D\u00e4r f\u00e5r vi veta att personuppgifter m\u00e5ste:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li>Behandlas lagenligt, eller snarare <em>korrekt <\/em>eller <em>r\u00e4ttvist<\/em> (i den engelska versionen <em>fairly<\/em>).<\/li>\n\n\n\n<li>F\u00f6r <em>best\u00e4mda \u00e4ndam\u00e5l<\/em>.<\/li>\n\n\n\n<li>P\u00e5 en <em>legitim och lagenlig grund<\/em>.<\/li>\n<\/ol>\n\n\n\n<p>Vi f\u00e5r ocks\u00e5 veta att var och en har en grundl\u00e4ggande r\u00e4tt att:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li>F\u00e5 <em>tillg\u00e5ng<\/em> till de uppgifter som har samlats in om en sj\u00e4lv.<\/li>\n\n\n\n<li>R\u00e4tt att f\u00e5 personuppgifter om sig sj\u00e4lv <em>r\u00e4ttade<\/em> (korrigerade).<\/li>\n<\/ol>\n\n\n\n<p>Eftersom de grundl\u00e4ggande r\u00e4ttigheterna i EU:s stadga \u00e4r en del av <a href=\"https:\/\/eur-lex.europa.eu\/SV\/legal-content\/summary\/the-european-union-s-primary-law.html\" target=\"_blank\" rel=\"noreferrer noopener\">EU:s prim\u00e4rr\u00e4tt<\/a> ska GDPR tolkas i linje med dessa r\u00e4ttigheter.<\/p>\n\n\n\n<p>Grundl\u00e4ggande r\u00e4ttigheter har en stark st\u00e4llning i EU:s r\u00e4ttsordning, men de \u00e4r inte absoluta. De grundl\u00e4ggande r\u00e4ttigheterna kan allts\u00e5 begr\u00e4nsas. Varje inskr\u00e4nkning beh\u00f6ver dock f\u00f6reskrivas i lag och uppfylla vissa strikta krav.<\/p>\n\n\n\n<p>Europeiska unionens domstol (EU-domstolen) kan ses som en h\u00f6gsta domstol n\u00e4r det g\u00e4ller EU-r\u00e4tten. EU-domstolen \u00e4r den sista instans som kan tolka r\u00e4ckvidd och till\u00e5tna begr\u00e4nsningar av EU:s grundl\u00e4ggande r\u00e4ttigheter och GDPR. EU-medlemsl\u00e4ndernas nationella domstolar \u00e4r bundna av EU-domstolens tolkningar och avg\u00f6randen.<\/p>\n\n\n\n<p><strong><em>Bra att veta vid anv\u00e4ndning av molntj\u00e4nster<\/em><\/strong><\/p>\n\n\n\n<p>Anv\u00e4ndning av molntj\u00e4nster kan ibland framst\u00e5 som en rent teknisk exercis, som inte p\u00e5verkar m\u00e4nniskors grundl\u00e4ggande r\u00e4ttigheter j\u00e4mf\u00f6rt med att anv\u00e4nda lokalt installerad programvara. N\u00e4r en verksamhet anv\u00e4nder molntj\u00e4nster f\u00f6r att behandla personuppgifter kan respekten f\u00f6r grundl\u00e4ggande r\u00e4ttigheter emellertid vara avg\u00f6rande f\u00f6r regelefterlevnaden.<\/p>\n\n\n\n<p>Det ber\u00f6mda Schrems II-m\u00e5let om tredjelands\u00f6verf\u00f6ringar enligt GDPR \u00f6kade medvetenheten om de problem som kan f\u00f6rknippas med molntj\u00e4nster som tillhandah\u00e5lls av f\u00f6retag baserade i USA.<\/p>\n\n\n\n<p>M\u00e5let handlade i slut\u00e4ndan inte om en tolkning av GDPR, utan om en tolkning av EU-stadgan. EU-domstolen pr\u00f6vade n\u00e4rmare best\u00e4mt om USA:s \u00f6vervakningslagstiftning uppfyllde EU-stadgans krav p\u00e5 de grundl\u00e4ggande r\u00e4ttigheterna till privatliv, skydd av personuppgifter och ett effektivt r\u00e4ttsmedel inf\u00f6r en domstol. En s\u00e5dan bed\u00f6mning \u00e4r kanske inte det f\u00f6rsta som kommer till \u00e5tanke f\u00f6r en verksamhet som \u00f6verv\u00e4ger att anv\u00e4nda molnet!<\/p>\n\n\n\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"h-gdpr-s-principer-for-dataskydd\">GDPR:s principer f\u00f6r dataskydd<\/h2>\n\n\n\n<p>GDPR tar avstamp i den grundl\u00e4ggande r\u00e4tten till skydd av personuppgifter, adderar ytterligare r\u00e4ttigheter f\u00f6r personer och skyldigheter f\u00f6r verksamheter samt konkretiserar dessa i 99 artiklar och 173 beaktandesatser.<\/p>\n\n\n\n<p>Som tur \u00e4r finns alla GDPR:s huvudprinciper samlade i en enda artikel &#8211; <a href=\"https:\/\/www.imy.se\/verksamhet\/dataskydd\/det-har-galler-enligt-gdpr\/introduktion-till-gdpr\/dataskyddsforordningen-i-fulltext\/#A5\" target=\"_blank\" rel=\"noreferrer noopener\">artikel 5<\/a> i GDPR.<\/p>\n\n\n\n<p>I denna artikel anges <em>sex principer f\u00f6r behandling av personuppgifter<\/em> samt en sjunde princip om att kunna p\u00e5visa efterlevnad av de andra sex principerna.<\/p>\n\n\n\n<p>H\u00e4r f\u00f6ljer en kortfattad och f\u00f6renklad sammanfattning av vad GDPR:s principer f\u00f6r dataskydd inneb\u00e4r f\u00f6r personuppgiftsansvariga verksamheter.<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>Laglighet, korrekthet och \u00f6ppenhet<\/strong>. Verksamheter m\u00e5ste 1) ha en <em>laglig grund<\/em> f\u00f6r att behandla personuppgifter, 2) anv\u00e4nda uppgifterna p\u00e5 ett <em>korrekt s\u00e4tt<\/em> (eller <em>r\u00e4ttvist s\u00e4tt<\/em> &#8211; p\u00e5 engelska anv\u00e4nds ordet \u201cfairly\u201c) samt 3) <em>informera<\/em> individer om behandlingen p\u00e5 ett tydligt och koncist s\u00e4tt.<\/li>\n\n\n\n<li><strong>\u00c4ndam\u00e5lsbegr\u00e4nsning<\/strong>. Verksamheter f\u00e5r endast samla in personuppgifter f\u00f6r s\u00e4rskilda, uttryckligt angivna och ber\u00e4ttigade \u00e4ndam\u00e5l, och f\u00e5r inte senare anv\u00e4nda uppgifterna p\u00e5 ett s\u00e4tt som \u00e4r of\u00f6renligt med de ursprungliga \u00e4ndam\u00e5len.<\/li>\n\n\n\n<li><strong>Uppgiftsminimering<\/strong>. Verksamheter f\u00e5r endast samla in och anv\u00e4nda de typer och m\u00e4ngder av personuppgifter som faktiskt \u00e4r n\u00f6dv\u00e4ndiga i f\u00f6rh\u00e5llande till verksamhetens angivna syften med behandlingen &#8211; inte mer.<\/li>\n\n\n\n<li><strong>Riktighet<\/strong>. Verksamheter m\u00e5ste vidta alla rimliga \u00e5tg\u00e4rder f\u00f6r att se till att de utan dr\u00f6jsm\u00e5l raderar eller r\u00e4ttar felaktiga personuppgifter.<\/li>\n\n\n\n<li><strong>Lagringsminimering<\/strong>. Verksamheter f\u00e5r endast lagra personuppgifter s\u00e5 l\u00e4nge som det \u00e4r n\u00f6dv\u00e4ndigt f\u00f6r att uppn\u00e5 de angivna \u00e4ndam\u00e5len med behandlingen &#8211; inte l\u00e4ngre.<\/li>\n\n\n\n<li><strong>Integritet och konfidentialitet<\/strong>. Verksamheter m\u00e5ste s\u00e4kerst\u00e4lla l\u00e4mplig s\u00e4kerhet f\u00f6r personuppgifterna, inbegripet skydd mot obeh\u00f6rig eller otill\u00e5ten anv\u00e4ndning av personuppgifterna och mot oavsiktlig f\u00f6rlust, f\u00f6rst\u00f6relse eller skada.<\/li>\n\n\n\n<li><strong>Ansvarsskyldighet<\/strong>. Verksamheter \u00e4r ansvariga f\u00f6r och m\u00e5ste kunna visa att de f\u00f6reg\u00e5ende sex principerna efterlevs.<\/li>\n<\/ol>\n\n\n\n<p>Som synes \u00e4r det fr\u00e4mst en princip (nummer sex) som handlar om traditionell informationss\u00e4kerhet.<\/p>\n\n\n\n<p>F\u00f6r att uppfylla dataskyddsprinciperna i GDPR m\u00e5ste en personuppgiftsansvarig verksamhet allts\u00e5 \u00e4ven definiera \u00e4ndam\u00e5len med sin behandling, endast samla in och anv\u00e4nda personuppgifter som \u00e4r n\u00f6dv\u00e4ndiga f\u00f6r att uppn\u00e5 dessa \u00e4ndam\u00e5l och endast under den tid som kr\u00e4vs, g\u00f6ra korrekta r\u00e4ttsliga bed\u00f6mningar av laglig grund f\u00f6r behandlingen samt tillhandah\u00e5lla individer tydlig och koncis information om behandlingen.<\/p>\n\n\n\n<p>H\u00e4r b\u00f6r ocks\u00e5 n\u00e4mnas det som brukar kallas principerna om <strong>inbyggt dataskydd och dataskydd som standard<\/strong> enligt <a href=\"https:\/\/www.imy.se\/verksamhet\/dataskydd\/det-har-galler-enligt-gdpr\/introduktion-till-gdpr\/dataskyddsforordningen-i-fulltext\/#A25\" target=\"_blank\" rel=\"noreferrer noopener\">artikel 25<\/a> i GDPR. Principen om inbyggt dataskydd inneb\u00e4r att n\u00e4r en personuppgiftsansvarig anv\u00e4nder t.ex. en molnl\u00f6sning ska anv\u00e4ndningen tillgodose de ovann\u00e4mnda 6+1 dataskyddsprinciperna. Dataskydd som standard kr\u00e4ver implementering av standardinst\u00e4llningar (t.ex. standardinst\u00e4llningar i en SaaS-l\u00f6sning) som respekterar principerna om uppgiftsminimering, lagringsminimering och konfidentialitet.<\/p>\n\n\n\n<p>S\u00e5 gott som samtliga GDPR-skyldigheter som en verksamhet st\u00e4lls inf\u00f6r kan i n\u00e5gon form knytas till en av de ovan n\u00e4mnda GDPR-principerna. Att \u00e5terv\u00e4nda till dessa principer kan d\u00e4rf\u00f6r vara till stor hj\u00e4lp i en verksamhets GDPR-arbete.<\/p>\n\n\n\n<p><strong><em>Bra att veta vid anv\u00e4ndning av molntj\u00e4nster<\/em><\/strong><\/p>\n\n\n\n<p>En del molntj\u00e4nstleverant\u00f6rer som f\u00e5r fr\u00e5gor om GDPR framh\u00e5ller g\u00e4rna sitt traditionella informationss\u00e4kerhetsarbete. Ett s\u00e5dant arbete kan ge ett effektivt skydd mot intr\u00e5ng, \u00e4ven om ocks\u00e5 detta ibland <a href=\"https:\/\/cleura.com\/sv\/molnguiden\/perspektiv\/ar-amerikanska-molntjanster-sakra\/\" target=\"_blank\" rel=\"noreferrer noopener\">har ifr\u00e5gasatts<\/a>, dock utan p\u00e5visad f\u00f6rst\u00e5else f\u00f6r \u00f6vriga GDPR-krav.<\/p>\n\n\n\n<p>Som GDPR:s dataskyddsprinciper visar handlar GDPR om mer \u00e4n bara s\u00e4kerhet. N\u00e4r en verksamhet anv\u00e4nder en molntj\u00e4nst m\u00e5ste den s\u00e4kerst\u00e4lla att alla GDPR:s principer efterlevs. Anv\u00e4nder till exempel molntj\u00e4nstleverant\u00f6ren personuppgifter f\u00f6r sina egna tvivelaktiga syften? Ger molntj\u00e4nstleverant\u00f6ren sig sj\u00e4lv tillst\u00e5nd att i hemlighet \u00f6verf\u00f6ra personuppgifter fr\u00e5n EU till myndigheter i tredje land utan en giltig r\u00e4ttslig grund, och i strid med sina skyldigheter enligt <a href=\"https:\/\/www.imy.se\/verksamhet\/dataskydd\/det-har-galler-enligt-gdpr\/introduktion-till-gdpr\/dataskyddsforordningen-i-fulltext\/#A32\" target=\"_blank\" rel=\"noreferrer noopener\">artikel 32<\/a>.4?<\/p>\n\n\n\n<p>Det \u00e4r ocks\u00e5 relevant att unders\u00f6ka hur en molntj\u00e4nst har implementerat principerna om inbyggt dataskydd och dataskydd som standard, s\u00e4rskilt om det \u00e4r en SaaS-l\u00f6sning. G\u00f6r l\u00f6sningen t.ex. integritetsk\u00e4nslig information om anv\u00e4ndare tillg\u00e4nglig f\u00f6r administrat\u00f6rer, \u00e4ven om det inte beh\u00f6vs av administrativa eller s\u00e4kerhetsrelaterade sk\u00e4l? \u00c4r molntj\u00e4nsten utformad f\u00f6r att tillgodose behovet av att kunna exportera, r\u00e4tta och radera personuppgifter p\u00e5 ett praktiskt s\u00e4tt, utan att g\u00f6ra n\u00e4raliggande information v\u00e4rdel\u00f6s? Den personuppgiftsansvarige b\u00e4r ett ansvar f\u00f6r detta, \u00e4ven n\u00e4r verksamheten anv\u00e4nder en SaaS-l\u00f6sning som designats av n\u00e5gon annan. Personuppgiftsansvariga verksamheter b\u00f6r d\u00e4rf\u00f6r s\u00e4kerst\u00e4lla att deras potentiella personuppgiftsbitr\u00e4den har byggt sina l\u00f6sningar p\u00e5 ett s\u00e4tt som g\u00f6r det m\u00f6jligt f\u00f6r den personuppgiftsansvarige att uppfylla sina skyldigheter enligt GDPR.<\/p>\n\n\n\n<p>H\u00e4r kan <a href=\"https:\/\/www.edpb.europa.eu\/our-work-tools\/our-documents\/guidelines\/guidelines-42019-article-25-data-protection-design-and_sv\" target=\"_blank\" rel=\"noreferrer noopener\">EDPB:s riktlinjer 4\/2019 om artikel 25 inbyggt dataskydd och dataskydd som standard<\/a> vara till hj\u00e4lp.<\/p>\n\n\n\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"h-rattslig-grund-for-behandling\">R\u00e4ttslig grund f\u00f6r behandling<\/h2>\n\n\n\n<p>En personuppgiftsansvarig verksamhet m\u00e5ste kunna \u00e5beropa en eller flera giltiga r\u00e4ttsliga grunder enligt GDPR f\u00f6r var och en av sina behandlingsaktiviteter.<\/p>\n\n\n\n<p>Det finns sex r\u00e4ttsliga grunder, dessa anges i <a href=\"https:\/\/www.imy.se\/verksamhet\/dataskydd\/det-har-galler-enligt-gdpr\/introduktion-till-gdpr\/dataskyddsforordningen-i-fulltext\/#A6\" target=\"_blank\" rel=\"noreferrer noopener\">artikel 6<\/a> i GDPR.<\/p>\n\n\n\n<p>F\u00f6r de flesta verksamheter tror vi att f\u00f6ljande fyra r\u00e4ttsliga grunder sannolikt \u00e4r de vanligaste. De \u00e5terges i n\u00e5got f\u00f6renklad form.<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>Fullg\u00f6ra en r\u00e4ttslig f\u00f6rpliktelse<\/strong>, enligt artikel 6.1 c i GDPR. Anv\u00e4nds om det \u00e4r n\u00f6dv\u00e4ndigt att behandla vissa personuppgifter f\u00f6r att uppfylla en r\u00e4ttslig f\u00f6rpliktelse som fastst\u00e4lls i EU-lagstiftning eller i en EU\/EES-medlemsstats nationella r\u00e4tt. Exempel p\u00e5 anv\u00e4ndning: en verksamhet m\u00e5ste behandla personuppgifter f\u00f6r att fullg\u00f6ra sin r\u00e4ttsliga f\u00f6rpliktelse att rapportera sina anst\u00e4lldas l\u00f6ner till skattemyndigheten.<\/li>\n\n\n\n<li><strong>Fullg\u00f6rande av ett avtal med den person vars personuppgifter behandlas<\/strong>, enligt artikel 6.1 b i GDPR. Anv\u00e4nds om det \u00e4r n\u00f6dv\u00e4ndigt att behandla vissa personuppgifter f\u00f6r att fullg\u00f6ra ett avtal med den person vars uppgifter behandlas. Exempel p\u00e5 anv\u00e4ndning: en verksamhet m\u00e5ste betala ut l\u00f6ner f\u00f6r att fullg\u00f6ra sina anst\u00e4llningsavtal, och det kan i sin tur g\u00f6ra det n\u00f6dv\u00e4ndigt att samla in de anst\u00e4lldas bankkontonummer.<\/li>\n\n\n\n<li><strong>Intresseavv\u00e4gning mellan \u00e5 ena sidan den egna verksamhetens eller en tredje parts intressen, och \u00e5 andra sidan intresset hos ber\u00f6rda personer att slippa f\u00e5 sina personuppgifter behandlade<\/strong>, enligt artikel 6.1 f i GDPR. Anv\u00e4nds om det \u00e4r n\u00f6dv\u00e4ndigt att behandla vissa personuppgifter f\u00f6r att tillgodose ett ber\u00e4ttigat intresse hos den egna verksamheten eller en tredje part samt att detta intresse v\u00e4ger tyngre \u00e4n ber\u00f6rda personers intresse av att slippa f\u00e5 sina personuppgifter behandlade. Vid en s\u00e5dan bed\u00f6mning &#8211; en intresseavv\u00e4gning &#8211; beh\u00f6ver verksamheten s\u00e4rskilt beakta personernas rimliga f\u00f6rv\u00e4ntningar p\u00e5 varf\u00f6r och hur deras personuppgifter skulle behandlas. Exempel p\u00e5 anv\u00e4ndning: en verksamhet och dess anst\u00e4llda kan ha ett ber\u00e4ttigat intresse av att verksamheten lagrar kontaktuppgifter f\u00f6r n\u00f6dsituationer avseende sina anst\u00e4llda. Integritetsintr\u00e5nget som det medf\u00f6r f\u00f6r dessa kontaktpersoner b\u00f6r vara relativt litet. Det b\u00f6r ocks\u00e5 ligga inom ramen f\u00f6r de anst\u00e4lldas och kontaktpersonernas rimliga f\u00f6rv\u00e4ntningar.<\/li>\n\n\n\n<li><strong>Samtycke<\/strong>, enligt artikel 6.1 a i GDPR. Anv\u00e4nds om en person frivilligt l\u00e4mnar sitt samtycke till behandling av sina personuppgifter f\u00f6r ett eller flera \u00e4ndam\u00e5l. En verksamhet m\u00e5ste uppfylla flera krav f\u00f6r att erh\u00e5lla ett giltigt samtycke enligt GDPR, bland annat att samtycket \u00e4r informerat, genuint frivilligt och att det n\u00e4r som helst kan \u00e5terkallas. Exempel p\u00e5 anv\u00e4ndning: samtycke l\u00e4mnas av en person som anm\u00e4ler sig f\u00f6r att f\u00e5 ett nyhetsbrev via e-post.<\/li>\n<\/ol>\n\n\n\n<p>N\u00e4r en verksamhet avg\u00f6r vilken av dessa r\u00e4ttsliga grunder som eventuellt kan anv\u00e4ndas anser vi att det kan vara l\u00e4mpligt att bed\u00f6ma dem i ovan angiven ordning.<\/p>\n\n\n\n<p>Offentliga myndigheter och andra verksamheter som utf\u00f6r uppgifter av allm\u00e4nt intresse eller som ett led i myndighetsut\u00f6vning har en annan r\u00e4ttslig grund att \u00e5beropa n\u00e4r de utf\u00f6r behandling som \u00e4r n\u00f6dv\u00e4ndig f\u00f6r dessa uppgifter. Denna r\u00e4ttsliga grund finns i artikel 6.1 e i GDPR och skulle passa in mellan den andra och den tredje punkten ovan vid en bed\u00f6mning av r\u00e4ttsliga grunder. N\u00e4r offentliga myndigheter utf\u00f6r sina uppgifter m\u00e5ste de anv\u00e4nda denna r\u00e4ttsliga grund i st\u00e4llet f\u00f6r intresseavv\u00e4gning, eftersom offentliga myndigheter inte kan f\u00f6rlita sig p\u00e5 en intresseavv\u00e4gning n\u00e4r de utf\u00f6r sina uppgifter.<\/p>\n\n\n\n<p>Slutligen finns det en r\u00e4ttslig grund f\u00f6r behandling av personuppgifter som \u00e4r n\u00f6dv\u00e4ndig f\u00f6r att skydda intressen som \u00e4r \u201cav grundl\u00e4ggande betydelse\u201c f\u00f6r en person (p\u00e5 engelska en persons \u201cvital interests\u201c). Denna person kan vara den person vars personuppgifter behandlas, eller en annan person. I b\u00e5da fallen m\u00e5ste behandlingen vara n\u00f6dv\u00e4ndig f\u00f6r att skydda ett intresse som \u00e4r <em>av avg\u00f6rande betydelse f\u00f6r personens liv<\/em>. Verksamheter f\u00e5r endast anv\u00e4nda denna r\u00e4ttsliga grund om det \u00e4r uppenbart att behandlingen inte kan ha en annan r\u00e4ttslig grund. Denna r\u00e4ttsliga grund finns i artikel 6.1 d i GDPR, men \u00e4r endast s\u00e4llan relevant.<\/p>\n\n\n\n<p><strong><em>Bra att veta vid anv\u00e4ndning av molntj\u00e4nster<\/em><\/strong><\/p>\n\n\n\n<p>En SaaS-leverant\u00f6r skulle kunna beskriva sin egen bed\u00f6mning av vilken r\u00e4ttslig grund som deras kunder kan f\u00f6rlita sig p\u00e5 n\u00e4r de anv\u00e4nder SaaS-leverant\u00f6rens molntj\u00e4nst. S\u00e5dana bed\u00f6mningar kan vara en anv\u00e4ndbar utg\u00e5ngspunkt f\u00f6r en personuppgiftsansvarig verksamhets egen analys.<\/p>\n\n\n\n<p>Den personuppgiftsansvariga verksamheten \u00e4r dock alltid ansvarig f\u00f6r att g\u00f6ra sin egen bed\u00f6mning av vilken r\u00e4ttslig grund som ska \u00e5beropas f\u00f6r varje behandling av personuppgifter. Det g\u00e4ller \u00e4ven n\u00e4r behandlingen utf\u00f6rs med hj\u00e4lp av en molntj\u00e4nst. I vissa fall kan en verksamhet dra slutsatsen att ingen r\u00e4ttslig grund passar f\u00f6r en viss behandling, vilket inneb\u00e4r att behandlingen inte \u00e4r m\u00f6jlig. \u00c4ven om verksamheten kan identifiera en giltig r\u00e4ttslig grund b\u00f6r p\u00e5minnas om att \u00f6vriga skyldigheter enligt GDPR fortfarande g\u00e4ller, s\u00e5som principerna f\u00f6r dataskydd.<\/p>\n\n\n\n<p>En verksamhet b\u00f6r vara s\u00e4rskilt f\u00f6rsiktig n\u00e4r en potentiell molntj\u00e4nstleverant\u00f6r vill samla in personuppgifter fr\u00e5n sina kunder och anv\u00e4nda uppgifterna f\u00f6r molntj\u00e4nstleverant\u00f6rens egna syften. I ett s\u00e5dant fall skulle kundverksamheten, i egenskap av personuppgiftsansvarig, i praktiken l\u00e4mna ut personuppgifter till molntj\u00e4nstleverant\u00f6ren, som sedan agerar som en separat personuppgiftsansvarig. Kundverksamhetens utl\u00e4mnande \u00e4r i sig en behandling av personuppgifter. Det inneb\u00e4r att kundverksamheten m\u00e5ste bed\u00f6ma att den har en giltig r\u00e4ttslig grund f\u00f6r utl\u00e4mnandet. Om molntj\u00e4nstleverant\u00f6ren avser anv\u00e4nda personuppgifterna f\u00f6r vaga eller tvivelaktiga \u00e4ndam\u00e5l kan det vara sv\u00e5rt eller om\u00f6jligt f\u00f6r kundverksamheten att fastst\u00e4lla att den har en s\u00e5dan giltig r\u00e4ttslig grund f\u00f6r utl\u00e4mnandet. Detta analyseras djupare i artikeln <a href=\"https:\/\/cleura.com\/sv\/molnguiden\/guide\/hur-fordelas-personuppgiftsansvar-vid-anvandning-av-molntjanster\/\">Hur f\u00f6rdelas personuppgiftsansvar vid anv\u00e4ndning av molntj\u00e4nster?<\/a><\/p>\n\n\n\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"h-sarskilda-kategorier-och-andra-kansliga-personuppgifter\">S\u00e4rskilda kategorier och andra k\u00e4nsliga personuppgifter<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-sarskilda-kategorier-av-personuppgifter\">S\u00e4rskilda kategorier av personuppgifter<\/h3>\n\n\n\n<p>Som utg\u00e5ngspunkt f\u00f6rbjuder GDPR behandling av vissa typer av s\u00e4rskilt k\u00e4nsliga personuppgifter. Dessa framg\u00e5r av <a href=\"https:\/\/www.imy.se\/verksamhet\/dataskydd\/det-har-galler-enligt-gdpr\/introduktion-till-gdpr\/dataskyddsforordningen-i-fulltext\/#A9\" target=\"_blank\" rel=\"noreferrer noopener\">artikel 9<\/a> i GDPR och kallas <em>s\u00e4rskilda kategorier av personuppgifter<\/em>. Det \u00e4r personuppgifter som r\u00f6r en persons:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>h\u00e4lsa,<\/li>\n\n\n\n<li>genetik,<\/li>\n\n\n\n<li>ras eller etniska ursprung,<\/li>\n\n\n\n<li>medlemskap i fackf\u00f6rening,<\/li>\n\n\n\n<li>sexualliv eller sexuella l\u00e4ggning,<\/li>\n\n\n\n<li>politiska \u00e5sikter, religi\u00f6sa eller filosofiska \u00f6vertygelser, eller<\/li>\n\n\n\n<li>biometriska uppgifter f\u00f6r att entydigt identifiera en person.<\/li>\n<\/ul>\n\n\n\n<p>GDPR har dock vissa undantag fr\u00e5n det f\u00f6rbud som g\u00e4ller som huvudregel. Kan en verksamhet anv\u00e4nda ett s\u00e5dant undantag blir det till\u00e5tet att lagligen anv\u00e4nda s\u00e4rskilda kategorier av personuppgifter.<\/p>\n\n\n\n<p>F\u00f6rbudet framg\u00e5r av artikel 9.1. Undantagen anges i sin helhet i artikel 9.2.<\/p>\n\n\n\n<p>F\u00f6renklat kan undantagen anv\u00e4ndas n\u00e4r:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>den registrerade uttryckligen har l\u00e4mnat sitt samtycke till den planerade behandlingen, och EU-lagstiftning eller lagstiftning i en EU-medlemsstat inte hindrar att samtycke ges f\u00f6r s\u00e5dan behandling,<\/li>\n\n\n\n<li>behandlingen \u00e4r n\u00f6dv\u00e4ndig f\u00f6r att den personuppgiftsansvarige eller den registrerade ska kunna fullg\u00f6ra sina skyldigheter eller ut\u00f6va sina s\u00e4rskilda r\u00e4ttigheter inom arbetsr\u00e4tten och p\u00e5 omr\u00e5dena social trygghet och socialt skydd, i den m\u00e5n det \u00e4r till\u00e5tet enligt nationell r\u00e4tt eller ett kollektivavtal,<\/li>\n\n\n\n<li>behandlingen \u00e4r n\u00f6dv\u00e4ndig f\u00f6r att skydda den registrerades eller en annan fysisk persons grundl\u00e4ggande intressen n\u00e4r den registrerade \u00e4r fysiskt eller r\u00e4ttsligt f\u00f6rhindrad att ge sitt samtycke,<\/li>\n\n\n\n<li>behandlingen utf\u00f6rs hos en stiftelse, f\u00f6rening eller annat icke vinstdrivande organ med ett politiskt, filosofiskt, religi\u00f6st eller fackligt syfte. Vidare ska behandlingen enbart avse organets medlemmar eller tidigare medlemmar eller personer som p\u00e5 grund av organets \u00e4ndam\u00e5l har regelbunden kontakt med det. Dessutom f\u00e5r personuppgifterna inte l\u00e4mnas ut utanf\u00f6r det organet utan den registrerades samtycke.<\/li>\n\n\n\n<li>behandlingen r\u00f6r personuppgifter som p\u00e5 ett tydligt s\u00e4tt har offentliggjorts av den registrerade,<\/li>\n\n\n\n<li>behandlingen \u00e4r n\u00f6dv\u00e4ndig f\u00f6r att fastst\u00e4lla, g\u00f6ra g\u00e4llande eller f\u00f6rsvara r\u00e4ttsliga anspr\u00e5k, eller som en del av domstolarnas d\u00f6mande verksamhet,<\/li>\n\n\n\n<li>behandlingen \u00e4r n\u00f6dv\u00e4ndig av h\u00e4nsyn till ett viktigt allm\u00e4nt intresse, p\u00e5 grundval av EU-lagstiftning eller lagstiftningen i en EU-medlemsstat,<\/li>\n\n\n\n<li>behandlingen \u00e4r n\u00f6dv\u00e4ndig f\u00f6r f\u00f6rebyggande h\u00e4lso- och sjukv\u00e5rd och yrkesmedicin, bed\u00f6mningen av en arbetstagares arbetskapacitet, medicinska diagnoser, tillhandah\u00e5llande av h\u00e4lso- och sjukv\u00e5rd, behandling, social omsorg eller f\u00f6rvaltning av h\u00e4lso- och sjukv\u00e5rdstj\u00e4nster och social omsorg&nbsp;och av deras system,<\/li>\n\n\n\n<li>behandlingen \u00e4r n\u00f6dv\u00e4ndig av sk\u00e4l av allm\u00e4nt intresse p\u00e5 folkh\u00e4lsoomr\u00e5det, s\u00e5som att skydda mot allvarliga gr\u00e4ns\u00f6verskridande hot mot h\u00e4lsan eller att s\u00e4kerst\u00e4lla h\u00f6ga kvalitets- och s\u00e4kerhetsnormer f\u00f6r v\u00e5rd och l\u00e4kemedel eller medicintekniska produkter,<\/li>\n\n\n\n<li>behandlingen \u00e4r n\u00f6dv\u00e4ndig f\u00f6r arkiv\u00e4ndam\u00e5l av allm\u00e4nt intresse, vetenskapliga eller historiska forsknings\u00e4ndam\u00e5l eller statistiska \u00e4ndam\u00e5l.<\/li>\n<\/ul>\n\n\n\n<p>Undantagen beskrivs h\u00e4r i f\u00f6renklad form. F\u00f6r att helt f\u00f6rst\u00e5 varje undantag \u00e4r det n\u00f6dv\u00e4ndigt att l\u00e4sa hela artikel 9 i GDPR. Observera ocks\u00e5 att GDPR till\u00e5ter EU:s medlemsl\u00e4nder att ytterligare begr\u00e4nsa anv\u00e4ndningen av genetiska data, biometriska data eller data som r\u00f6r h\u00e4lsa.<\/p>\n\n\n\n<p>En verksamhet som vill behandla s\u00e4rskilda kategorier av personuppgifter m\u00e5ste ha <em>b\u00e5de<\/em> en r\u00e4ttslig grund enligt <a href=\"https:\/\/www.imy.se\/verksamhet\/dataskydd\/det-har-galler-enligt-gdpr\/introduktion-till-gdpr\/dataskyddsforordningen-i-fulltext\/#A6\" target=\"_blank\" rel=\"noreferrer noopener\">artikel 6<\/a> i GDPR <em>och<\/em> ett till\u00e4mpligt undantag enligt artikel 9.2 i GDPR.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-personuppgifter-som-ror-fallande-domar-i-brottmal-samt-lagovertradelser-som-innefattar-brott\">Personuppgifter som r\u00f6r f\u00e4llande domar i brottm\u00e5l samt lag\u00f6vertr\u00e4delser som innefattar brott<\/h3>\n\n\n\n<p>Behandling av personuppgifter relaterade till brottm\u00e5lsdomar och lag\u00f6vertr\u00e4delser \u00e4r ocks\u00e5 strikt reglerat i GDPR. Precis som med s\u00e4rskilda kategorier av personuppgifter \u00e4r identifieringen av en r\u00e4ttslig grund enligt artikel 6 i GDPR bara b\u00f6rjan.<\/p>\n\n\n\n<p>Enligt <a href=\"https:\/\/www.imy.se\/verksamhet\/dataskydd\/det-har-galler-enligt-gdpr\/introduktion-till-gdpr\/dataskyddsforordningen-i-fulltext\/#A10\" target=\"_blank\" rel=\"noreferrer noopener\">artikel 10<\/a> i GDPR f\u00e5r behandling av personuppgifter som r\u00f6r f\u00e4llande domar i brottm\u00e5l och lag\u00f6vertr\u00e4delser som innefattar brott \u201cendast utf\u00f6ras under kontroll av en myndighet eller d\u00e5 behandling&nbsp;\u00e4r till\u00e5ten enligt unionsr\u00e4tten eller medlemsstaternas nationella r\u00e4tt, d\u00e4r l\u00e4mpliga skydds\u00e5tg\u00e4rder f\u00f6r de registrerades r\u00e4ttigheter och friheter fastst\u00e4lls.\u201c<\/p>\n\n\n\n<p>De flesta verksamheter beh\u00f6ver d\u00e4rf\u00f6r kunna peka p\u00e5 en specifik del av EU-r\u00e4tten eller en EU-medlemsstats nationella r\u00e4tt, som till\u00e5ter verksamheten att behandla s\u00e5dana personuppgifter. Exempelvis har den svenska tillsynsmyndigheten med st\u00f6d i svensk lag utf\u00e4rdat f\u00f6reskrifter (<a href=\"https:\/\/www.imy.se\/globalassets\/dokument\/foreskrifter\/difs-2018-2.pdf\" target=\"_blank\" rel=\"noreferrer noopener\">DIFS 2018:2 F\u00f6reskrifter om behandling av personuppgifter som r\u00f6r lag\u00f6vertr\u00e4delser<\/a>), som i vissa sammanhang till\u00e5ter behandling av uppgifter om f\u00e4llande domar i brottm\u00e5l och lag\u00f6vertr\u00e4delser som innefattar brott.<\/p>\n\n\n\n<p><strong><em>Bra att veta vid anv\u00e4ndning av molntj\u00e4nster<\/em><\/strong><\/p>\n\n\n\n<p>GDPR till\u00e5ter behandling av s\u00e4rskilda kategorier av personuppgifter fr\u00e4mst genom att kr\u00e4va att <em>n\u00e5got av ett antal angivna sk\u00e4l<\/em> f\u00f6religger.<\/p>\n\n\n\n<p>Behandling av uppgifter om f\u00e4llande domar i brottm\u00e5l och lag\u00f6vertr\u00e4delser som innefattar brott, f\u00f6ruts\u00e4tter samtidigt i de flesta fall att verksamheten kan peka p\u00e5 n\u00e5gon del av EU-r\u00e4tten eller en EU-medlemsstats nationella r\u00e4tt som till\u00e5ter den aktuella behandlingen.<\/p>\n\n\n\n<p>Det \u00e4r l\u00e4tt att inse att l\u00e4ckor eller missbruk av s\u00e4rskilda kategorier av personuppgifter, eller uppgifter om brottm\u00e5lsdomar eller lag\u00f6vertr\u00e4delser, potentiellt kan f\u00e5 allvarliga konsekvenser f\u00f6r den som drabbas.<\/p>\n\n\n\n<p>GDPR:s regler om s\u00e4kerhet f\u00f6r behandling g\u00f6r sig d\u00e4rf\u00f6r s\u00e4rskilt p\u00e5minda. Dessa regler kr\u00e4ver att verksamheter skyddar personuppgifter med en s\u00e4kerhetsniv\u00e5 som \u00e4r l\u00e4mplig i f\u00f6rh\u00e5llande till risken. Verksamheter m\u00e5ste ta h\u00e4nsyn till olika aspekter som behandlingens art och riskerna f\u00f6r individer. Ju k\u00e4nsligare data, desto h\u00f6gre s\u00e4kerhetsniv\u00e5 kr\u00e4vs.<\/p>\n\n\n\n<p>Detta g\u00e4ller givetvis vid behandling av s\u00e4rskilda kategorier av personuppgifter eller uppgifter om brottm\u00e5lsdomar och lag\u00f6vertr\u00e4delser, men lika v\u00e4l andra typer av k\u00e4nsliga personuppgifter. Till exempel kan information om en persons ekonomiska situation, eller var en person befunnit sig \u00f6ver tid, vara mycket k\u00e4nslig \u00e4ven om uppgifterna inte ben\u00e4mns som s\u00e4rskilda kategorier av personuppgifter eller uppgifter om brottm\u00e5lsdomar och lag\u00f6vertr\u00e4delser. Personuppgifter m\u00e5ste skyddas p\u00e5 ett l\u00e4mpligt s\u00e4tt oavsett om de har s\u00e4rskild status enligt artikel 9 eller 10 i GDPR.<\/p>\n\n\n\n<p>En personuppgiftsbehandlings k\u00e4nslighetsgrad \u00e4r relevant ocks\u00e5 vid GDPR-\u00f6vertr\u00e4delser som r\u00f6r annat \u00e4n s\u00e4kerhet. Till exempel fick ett f\u00f6retag en <a href=\"https:\/\/www.euractiv.com\/section\/data-privacy\/news\/dutch-data-protection-authority-hits-uber-with-e290-million-fine-for-violating-eu-data-protection-rules\/\">sanktionsavgift p\u00e5 290 miljoner euro<\/a> efter att ha \u00f6verf\u00f6rt olika typer av mer eller mindre k\u00e4nsliga personuppgifter till USA utan en giltig \u00f6verf\u00f6ringsmekanism. Detta trots att f\u00f6retaget inte n\u00f6dv\u00e4ndigtvis hade brutit mot GDPR:s regler kring <em>l\u00e4mplig s\u00e4kerhet<\/em> f\u00f6r personuppgifterna.<\/p>\n\n\n\n<p>D\u00e4rf\u00f6r \u00e4r det viktigt att verksamheter s\u00e4kerst\u00e4ller att de hanterar k\u00e4nsliga personuppgifter korrekt enligt GDPR, oavsett om det \u00e4r ur s\u00e4kerhetssynpunkt eller andra sk\u00e4l som r\u00f6r regelefterlevnad. Detta inte minst n\u00e4r en verksamhet anv\u00e4nder molntj\u00e4nster som aktualiserar en rad aspekter, fr\u00e5n s\u00e4kerhet till skydd mot tredjelands\u00e5tkomst, till dataskyddsprinciperna.<\/p>\n\n\n\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"h-individuella-rattigheter\">Individuella r\u00e4ttigheter<\/h2>\n\n\n\n<p>GDPR ger personer ett antal r\u00e4ttigheter som medf\u00f6r skyldigheter f\u00f6r personuppgiftsansvariga. Dessa inbegriper:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>R\u00e4tten till information<\/strong>. Personuppgiftsansvariga m\u00e5ste informera de personer vars uppgifter behandlas, exempelvis om behandlingens syften, r\u00e4ttsliga grund och om det f\u00f6rekommer \u00f6verf\u00f6ringar till tredje land. <a href=\"https:\/\/www.imy.se\/verksamhet\/dataskydd\/det-har-galler-enligt-gdpr\/introduktion-till-gdpr\/dataskyddsforordningen-i-fulltext\/#A12\" target=\"_blank\" rel=\"noreferrer noopener\">Artikel 12<\/a> kr\u00e4ver att personuppgiftsansvariga tillhandah\u00e5ller denna information \u201ci en koncis, klar och tydlig, begriplig och l\u00e4tt tillg\u00e4nglig form, med anv\u00e4ndning av klart och tydligt spr\u00e5k, i synnerhet f\u00f6r information som \u00e4r s\u00e4rskilt riktad till barn\u201c. <a href=\"https:\/\/www.imy.se\/verksamhet\/dataskydd\/det-har-galler-enligt-gdpr\/introduktion-till-gdpr\/dataskyddsforordningen-i-fulltext\/#A13\" target=\"_blank\" rel=\"noreferrer noopener\">Artikel 13<\/a> anger den information som ska l\u00e4mnas till en person n\u00e4r personuppgifter samlas in fr\u00e5n densamme. <a href=\"https:\/\/www.imy.se\/verksamhet\/dataskydd\/det-har-galler-enligt-gdpr\/introduktion-till-gdpr\/dataskyddsforordningen-i-fulltext\/#A14\" target=\"_blank\" rel=\"noreferrer noopener\">Artikel 14<\/a> anger den information som ska l\u00e4mnas till en person n\u00e4r personuppgifterna har erh\u00e5llits fr\u00e5n en annan k\u00e4lla \u00e4n personen sj\u00e4lv.<\/li>\n\n\n\n<li><strong>R\u00e4tten till tillg\u00e5ng<\/strong>. Personuppgiftsansvariga ska tillhandah\u00e5lla en kopia av de personuppgifter som behandlas om en person, om personen beg\u00e4r det. P\u00e5 engelska kallas detta ofta DSAR, vilket st\u00e5r f\u00f6r Data Subject Access Request. <a href=\"https:\/\/www.imy.se\/verksamhet\/dataskydd\/det-har-galler-enligt-gdpr\/introduktion-till-gdpr\/dataskyddsforordningen-i-fulltext\/#A15\" target=\"_blank\" rel=\"noreferrer noopener\">Artikel 15<\/a> f\u00f6rklarar denna r\u00e4ttighet.<\/li>\n\n\n\n<li><strong>R\u00e4tten till r\u00e4ttelse<\/strong>. Personuppgiftsansvariga m\u00e5ste r\u00e4tta (korrigera) felaktiga personuppgifter om en person som beg\u00e4r r\u00e4ttelse. <a href=\"https:\/\/www.imy.se\/verksamhet\/dataskydd\/det-har-galler-enligt-gdpr\/introduktion-till-gdpr\/dataskyddsforordningen-i-fulltext\/#A16\" target=\"_blank\" rel=\"noreferrer noopener\">Artikel 16<\/a> f\u00f6rklarar denna r\u00e4ttighet. Personuppgiftsansvariga har dessutom ett separat ansvar enligt artikel 5.1 d att vidta alla rimliga \u00e5tg\u00e4rder f\u00f6r att s\u00e4kerst\u00e4lla att personuppgifter som \u00e4r felaktiga i f\u00f6rh\u00e5llande till de \u00e4ndam\u00e5l f\u00f6r vilka de behandlas, raderas eller r\u00e4ttas utan dr\u00f6jsm\u00e5l.<\/li>\n\n\n\n<li><strong>R\u00e4tten till radering<\/strong>, eller \u201cr\u00e4tten att bli bortgl\u00f6md\u201c. Personuppgiftsansvariga m\u00e5ste under vissa f\u00f6ruts\u00e4ttningar radera personuppgifter om en person som beg\u00e4r radering. <a href=\"https:\/\/www.imy.se\/verksamhet\/dataskydd\/det-har-galler-enligt-gdpr\/introduktion-till-gdpr\/dataskyddsforordningen-i-fulltext\/#A17\" target=\"_blank\" rel=\"noreferrer noopener\">Artikel 17<\/a> f\u00f6rklarar denna r\u00e4ttighet.<\/li>\n\n\n\n<li><strong>R\u00e4tten till begr\u00e4nsning<\/strong>. Under vissa f\u00f6ruts\u00e4ttningar m\u00e5ste personuppgiftsansvariga begr\u00e4nsa hur de behandlar personuppgifter som r\u00f6r en person som beg\u00e4r begr\u00e4nsningen. Om en personuppgiftsansvarig verksamhet exempelvis inte l\u00e4ngre beh\u00f6ver vissa personuppgifter om en person och d\u00e4rf\u00f6r normalt skulle ha raderat uppgifterna, s\u00e5 kan personen beg\u00e4ra att den personuppgiftsansvarige beh\u00e5ller uppgifterna om det \u00e4r n\u00f6dv\u00e4ndigt f\u00f6r att personen ska kunna fastst\u00e4lla, g\u00f6ra g\u00e4llande eller f\u00f6rsvara r\u00e4ttsliga anspr\u00e5k. <a href=\"https:\/\/www.imy.se\/verksamhet\/dataskydd\/det-har-galler-enligt-gdpr\/introduktion-till-gdpr\/dataskyddsforordningen-i-fulltext\/#A18\" target=\"_blank\" rel=\"noreferrer noopener\">Artikel 18<\/a> f\u00f6rklarar denna r\u00e4ttighet.<\/li>\n\n\n\n<li><strong>R\u00e4tten till dataportabilitet<\/strong>. Om en person tillhandah\u00e5ller personuppgifter om sig sj\u00e4lv till en personuppgiftsansvarig baserat p\u00e5 den r\u00e4ttsliga grunden samtycke eller avtal, och den personuppgiftsansvarige behandlar dessa uppgifter p\u00e5 ett automatiserat s\u00e4tt, s\u00e5 ska den personuppgiftsansvarige f\u00f6rse personen med personuppgifterna i ett strukturerat, allm\u00e4nt anv\u00e4nt och maskinl\u00e4sbart format, och personen har r\u00e4tt att \u00f6verf\u00f6ra uppgifterna till en annan personuppgiftsansvarig utan att den ursprungliga personuppgiftsansvarige hindrar detta. <a href=\"https:\/\/www.imy.se\/verksamhet\/dataskydd\/det-har-galler-enligt-gdpr\/introduktion-till-gdpr\/dataskyddsforordningen-i-fulltext\/#A20\" target=\"_blank\" rel=\"noreferrer noopener\">Artikel 20<\/a> f\u00f6rklarar denna r\u00e4ttighet.<\/li>\n\n\n\n<li><strong>R\u00e4tten att inv\u00e4nda<\/strong>. Om en personuppgiftsansvarig verksamhet behandlar personuppgifter om en person f\u00f6r att verksamheten ska utf\u00f6ra en uppgift av allm\u00e4nt intresse eller som ett led i myndighetsut\u00f6vning, eller baserat p\u00e5 en intresseavv\u00e4gning, s\u00e5 kan personen inv\u00e4nda mot behandlingen av sk\u00e4l som h\u00e4nf\u00f6r sig till personens specifika situation. Den personuppgiftsansvarige ska d\u00e5 sluta behandla personuppgifterna s\u00e5vida denne inte kan p\u00e5visa avg\u00f6rande ber\u00e4ttigade sk\u00e4l f\u00f6r behandlingen som v\u00e4ger tyngre \u00e4n personens intressen, r\u00e4ttigheter och friheter eller om det sker f\u00f6r fastst\u00e4llande, ut\u00f6vande eller f\u00f6rsvar av r\u00e4ttsliga anspr\u00e5k. Om behandlingen var f\u00f6r direkt marknadsf\u00f6ring m\u00e5ste den personuppgiftsansvarige upph\u00f6ra med behandlingen oavsett. <a href=\"https:\/\/www.imy.se\/verksamhet\/dataskydd\/det-har-galler-enligt-gdpr\/introduktion-till-gdpr\/dataskyddsforordningen-i-fulltext\/#A21\" target=\"_blank\" rel=\"noreferrer noopener\">Artikel 21<\/a> f\u00f6rklarar denna r\u00e4ttighet.<\/li>\n<\/ol>\n\n\n\n<p>Det \u00e4r viktigt att f\u00f6rst\u00e5 att dessa r\u00e4ttigheter inte \u00e4r absoluta. Faktum \u00e4r att GDPR begr\u00e4nsar dem p\u00e5 flera viktiga s\u00e4tt.<\/p>\n\n\n\n<p>Exempelvis g\u00e4ller en persons r\u00e4tt till tillg\u00e5ng till en kopia av sina personuppgifter endast i den m\u00e5n det inte drabbar andras r\u00e4ttigheter och friheter. Det kan betyda att en verksamhet f\u00e5r tillhandah\u00e5lla en kopia av inspelat material fr\u00e5n en \u00f6vervakningskamera till en person som beg\u00e4r det, men f\u00f6rst efter att materialet har maskats s\u00e5 att det bara visar den beg\u00e4rande personen och inte andra. P\u00e5 samma s\u00e4tt kommer en person som beg\u00e4r att f\u00e5 en kopia av en logg inte f\u00e5 hela loggen, utan endast de delar d\u00e4r den beg\u00e4rande personen f\u00f6rekommer i loggen. Om personen fr\u00e5gar om dessa loggposter tidigare har granskats och i s\u00e5 fall av vem, s\u00e5 kan verksamheten upplysa om n\u00e4r dess personal granskade relevanta delar av loggen (om \u00e4ven denna information loggats), men troligen inte identiteten p\u00e5 de personer som granskade loggen (jfr EU-domstolen m\u00e5l nr <a href=\"https:\/\/curia.europa.eu\/juris\/document\/document.jsf?text=&amp;docid=274867&amp;pageIndex=0&amp;doclang=SV&amp;mode=lst&amp;dir=&amp;occ=first&amp;part=1&amp;cid=5316978\">C-579\/21 Pankki S<\/a>, s. 83).<\/p>\n\n\n\n<p>Ett annat exempel p\u00e5 en begr\u00e4nsad r\u00e4tt \u00e4r den ofta missf\u00f6rst\u00e5dda r\u00e4tten till radering, \u00e4ven kallad r\u00e4tten att bli bortgl\u00f6md. I de flesta fall aktualiseras denna r\u00e4tt n\u00e4r en verksamhet \u00e4nd\u00e5 skulle ha beh\u00f6vt radera personuppgifterna. Det beror p\u00e5 att GDPR som utg\u00e5ngspunkt kr\u00e4ver att en organisation slutar behandla personuppgifter om den inte l\u00e4ngre beh\u00f6ver uppgifterna. Om organisationen d\u00e4remot har en l\u00e4mplig och laglig anledning att beh\u00e5lla vissa personuppgifter har r\u00e4tten till radering ofta inte f\u00f6retr\u00e4de.<\/p>\n\n\n\n<p>Mer information om hur varje r\u00e4ttighet begr\u00e4nsas finns i den fullst\u00e4ndiga artikeltexten f\u00f6r varje r\u00e4ttighet, l\u00e4nkad ovan.<\/p>\n\n\n\n<p><strong><em>Bra att veta vid anv\u00e4ndning av molntj\u00e4nster<\/em><\/strong><\/p>\n\n\n\n<p>En personuppgiftsansvarig verksamhet ansvarar f\u00f6r att tillgodose m\u00e4nniskors r\u00e4ttigheter enligt GDPR, \u00e4ven n\u00e4r verksamheten anv\u00e4nder en molntj\u00e4nstleverant\u00f6r som agerar som personuppgiftsbitr\u00e4de. Verksamheter b\u00f6r d\u00e4rf\u00f6r unders\u00f6ka de molnl\u00f6sningar som verksamheterna \u00f6verv\u00e4ger att anv\u00e4nda, s\u00e4rskilt SaaS-l\u00f6sningar, f\u00f6r att klarg\u00f6ra hur organisationen skulle uppfylla t.ex. en beg\u00e4ran om \u00e5tkomst, r\u00e4ttelse, radering eller dataportabilitet. Det \u00e4r klokt att inte utg\u00e5 ifr\u00e5n att alla it-l\u00f6sningar st\u00f6djer uppfyllelse av dessa GDPR-r\u00e4ttigheter p\u00e5 ett praktiskt s\u00e4tt.<\/p>\n\n\n\n<p>M\u00f6jligg\u00f6r exempelvis en SaaS-l\u00f6sning som utv\u00e4rderas att personuppgifter r\u00e4ttas och raderas? Kan det g\u00f6ras fr\u00e5n ett anv\u00e4ndargr\u00e4nssnitt eller kr\u00e4ver det att molntj\u00e4nstleverant\u00f6ren redigerar en databasfil manuellt? Om det finns exportverktyg, ger det verkligen en kopia av alla relevanta personuppgifter i ett tillg\u00e4ngligt format? Om inte, hur mycket ytterligare manuellt arbete kan f\u00f6rv\u00e4ntas f\u00f6r att hitta och exportera ut de uppgifter som \u00e5terst\u00e5r?<\/p>\n\n\n\n<p>Olika molnl\u00f6sningar kan i olika utstr\u00e4ckning st\u00f6dja en organisations skyldighet att tillgodose dessa GDPR-r\u00e4ttigheter.<\/p>\n\n\n\n<div style=\"height:40px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"h-sakerhet\">S\u00e4kerhet<\/h2>\n\n\n\n<p><a href=\"https:\/\/www.imy.se\/verksamhet\/dataskydd\/det-har-galler-enligt-gdpr\/introduktion-till-gdpr\/dataskyddsforordningen-i-fulltext\/#A32\" target=\"_blank\" rel=\"noreferrer noopener\">Artikel 32<\/a>.1 i GDPR kr\u00e4ver att organisationer implementerar l\u00e4mpliga tekniska och organisatoriska \u00e5tg\u00e4rder f\u00f6r att s\u00e4kerst\u00e4lla en s\u00e4kerhetsniv\u00e5 som \u00e4r l\u00e4mplig f\u00f6r risken. De ska g\u00f6ra detta genom att ta h\u00e4nsyn till:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>den senaste utvecklingen,<\/li>\n\n\n\n<li>genomf\u00f6randekostnaderna,<\/li>\n\n\n\n<li>behandlingens art, omfattning, sammanhang och \u00e4ndam\u00e5l, och<\/li>\n\n\n\n<li>riskerna, av varierande sannolikhetsgrad och allvar, f\u00f6r personers r\u00e4ttigheter och friheter.<\/li>\n<\/ul>\n\n\n\n<p>Vid bed\u00f6mningen av vad som \u00e4r en l\u00e4mplig s\u00e4kerhetsniv\u00e5 ska verksamheter s\u00e4rskilt ta h\u00e4nsyn till risken f\u00f6r oavsiktlig eller olaglig f\u00f6rst\u00f6ring, f\u00f6rlust, \u00e4ndring, obeh\u00f6rigt r\u00f6jande av eller tillg\u00e5ng till de personuppgifter som behandlas.<\/p>\n\n\n\n<p>Artikel 32.1 anger ett antal tekniska och organisatoriska \u00e5tg\u00e4rder som ska vidtas vid behov:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>pseudonymisering och kryptering av personuppgifter,<\/li>\n\n\n\n<li>f\u00f6rm\u00e5gan att fortl\u00f6pande s\u00e4kerst\u00e4lla konfidentialitet, integritet, tillg\u00e4nglighet och motst\u00e5ndskraft hos behandlingssystemen och -tj\u00e4nsterna,<\/li>\n\n\n\n<li>f\u00f6rm\u00e5gan att \u00e5terst\u00e4lla tillg\u00e4ngligheten och tillg\u00e5ngen till personuppgifter i rimlig tid vid en fysisk eller teknisk incident, och<\/li>\n\n\n\n<li>ett f\u00f6rfarande f\u00f6r att regelbundet testa, unders\u00f6ka och utv\u00e4rdera effektiviteten hos de tekniska och organisatoriska \u00e5tg\u00e4rder som ska s\u00e4kerst\u00e4lla behandlingens s\u00e4kerhet.<\/li>\n<\/ul>\n\n\n\n<p>Denna syn p\u00e5 risk, och verktygsl\u00e5da av \u00e5tg\u00e4rder, kommer till viss del att vara bekant f\u00f6r verksamheter som redan arbetar systematiskt med informationss\u00e4kerhet. Vad som kan vara obekant till en b\u00f6rjan \u00e4r att GDPR kr\u00e4ver att verksamheter ser bortom sitt egenintresse.<\/p>\n\n\n\n<p>I ett traditionellt ledningssystem f\u00f6r informationss\u00e4kerhet best\u00e4mmer en verksamheter sina egna prioriteringar och m\u00e5l. Om inte dessa prioriteringar och m\u00e5l ses \u00f6ver och f\u00f6rtydligas kanske de inte tar h\u00e4nsyn till riskerna f\u00f6r personers r\u00e4ttigheter och friheter p\u00e5 det s\u00e4tt som kr\u00e4vs enligt GDPR.<\/p>\n\n\n\n<p>Det kan d\u00e4rf\u00f6r vara s\u00e4rskilt nyttigt f\u00f6r en verksamhet att involvera personer som kan se saker fr\u00e5n perspektivet hos de personer vars personuppgifter ska behandlas. Det g\u00f6r det m\u00f6jligt att beakta den bredd av risker som dessa m\u00e4nniskor kan uts\u00e4ttas f\u00f6r samt de konsekvenser som kan drabba dem. Dessa konsekvenser kan ta formen av s\u00e5v\u00e4l materiell som icke-materiell skada, vilket kan inbegripa rent k\u00e4nslom\u00e4ssig skada.<\/p>\n\n\n\n<p><strong>GDPR:s riskbaserade tillv\u00e4gag\u00e5ngss\u00e4tt<\/strong> (s.k. \u201crisk-based approach\u201c)<\/p>\n\n\n\n<p>Beroende p\u00e5 deras karakt\u00e4r kan personuppgiftsincidenter orsaka allvarliga integritetskr\u00e4nkningar och f\u00e5 omfattande konsekvenser f\u00f6r de personer som drabbas. S\u00e4kerhet f\u00e5r mycket uppm\u00e4rksamhet i samband med personuppgifter, och av goda sk\u00e4l. Alla personuppgiftsincidenter \u00e4r dock inte likadana.<\/p>\n\n\n\n<p><a href=\"https:\/\/www.imy.se\/verksamhet\/dataskydd\/det-har-galler-enligt-gdpr\/introduktion-till-gdpr\/dataskyddsforordningen-i-fulltext\/#A32\" target=\"_blank\" rel=\"noreferrer noopener\">Artikel 32<\/a>.1 i GDPR kr\u00e4ver en <em>s\u00e4kerhetsniv\u00e5 som \u00e4r l\u00e4mplig i f\u00f6rh\u00e5llande till risken<\/em>. Som tidigare n\u00e4mnts kan de risker som ska beaktas vara mer omfattande \u00e4n vad vissa organisationer \u00e4r vana vid. Det betyder dock inte att riskerna alltid \u00e4r desamma eller att de alltid \u00e4r lika allvarliga.<\/p>\n\n\n\n<p>S\u00e4kerhets<em>risker<\/em> av olika tyngd kommer d\u00e4rf\u00f6r att beh\u00f6va m\u00f6tas med s\u00e4kerhets<em>\u00e5tg\u00e4rder<\/em> av olika tyngd. Dessa kallas ofta tekniska och organisatoriska \u00e5tg\u00e4rder, eller TOMs p\u00e5 engelska. GDPR anger att en verksamhet ska ta h\u00e4nsyn till ett antal faktorer n\u00e4r den vidtar s\u00e4kerhets\u00e5tg\u00e4rder, inklusive den senaste utvecklingen och genomf\u00f6randekostnaderna. Artikel 32.1 i GDPR kr\u00e4ver med andra ord inte perfekt s\u00e4kerhet \u2013 det anses generellt vara om\u00f6jligt.<\/p>\n\n\n\n<p>M\u00f6jligen kan det v\u00e4cka f\u00f6rv\u00e5ning p\u00e5 vissa h\u00e5ll att en verksamhet kan drabbas av en personuppgiftsincident utan att det \u00e4r ett brott mot GDPR. Fr\u00e5gan \u00e4r snarare om verksamheten hade vidtagit en niv\u00e5 av s\u00e4kerhets\u00e5tg\u00e4rder som var l\u00e4mpliga i f\u00f6rh\u00e5llande till risken. Naturligtvis kan en verksamhet inte godtyckligt best\u00e4mma att en minimal s\u00e4kerhetsniv\u00e5 r\u00e5kar vara l\u00e4mpligast. Ju k\u00e4nsligare uppgifter och behandlingen, och ju mer sannolika och allvarliga riskerna \u00e4r, desto h\u00f6gre m\u00e5ste s\u00e4kerhetsniv\u00e5n vara. Men det inneb\u00e4r inte ett krav p\u00e5 perfektion.<\/p>\n\n\n\n<p>Denna niv\u00e5 av relativ frihet att bed\u00f6ma risker och tillh\u00f6rande \u00e5tg\u00e4rder, som kommer till uttryck i det s\u00e5 kallade riskbaserade tillv\u00e4gag\u00e5ngss\u00e4ttet, g\u00e4ller f\u00f6r artikel 32.1 i GDPR. I andra delar av GDPR \u00e4r tolkningsmarginalerna mer sn\u00e4va. I vissa fall identifieras i sj\u00e4lva GDPR en risk samt behovet av \u00e5tg\u00e4rder f\u00f6r att s\u00e4kerst\u00e4lla att risken inte f\u00f6rverkligas. L\u00e4ngre ner kommer vi att unders\u00f6ka ett s\u00e5dant exempel i artikel 32.4 i GDPR.<\/p>\n\n\n\n<p><strong><em>Bra att veta vid anv\u00e4ndning av molntj\u00e4nster<\/em><\/strong><\/p>\n\n\n\n<p><strong>ISO 27001-certifiering<\/strong><\/p>\n\n\n\n<p>Verksamheter som \u00f6verv\u00e4ger att anv\u00e4nda molntj\u00e4nster f\u00f6rlitar sig ofta p\u00e5 en molnleverant\u00f6rs ISO 27001-certifiering som en del i att p\u00e5visa uppfyllelse av GDPR:s s\u00e4kerhetskrav. H\u00e4r b\u00f6r n\u00e5gra saker h\u00e5llas i \u00e5tanke.<\/p>\n\n\n\n<p>F\u00f6r det f\u00f6rsta, n\u00e4r en verksamhet anv\u00e4nder en SaaS-molntj\u00e4nst involverar det ofta 2\u20133 niv\u00e5er av akt\u00f6rer: den direkta SaaS-leverant\u00f6ren, SaaS-leverant\u00f6rens infrastrukturleverant\u00f6r (IaaS), samt infrastrukturleverant\u00f6rens datacenterleverant\u00f6r. Bara f\u00f6r att en av dessa akt\u00f6rer har en ISO 27001-certifiering betyder det inte att de andra akt\u00f6rerna ocks\u00e5 \u00e4r certifierade. Verksamheter b\u00f6r bed\u00f6ma p\u00e5 vilka av dessa leverant\u00f6rsniv\u00e5er certifiering beh\u00f6vs med tanke p\u00e5 typen av SaaS-tj\u00e4nst och behandling.<\/p>\n\n\n\n<p>F\u00f6r det andra b\u00f6r verksamheter unders\u00f6ka omfattningen p\u00e5 den relevanta leverant\u00f6rens ISO 27001-certifiering f\u00f6r att verifiera att den omfattar tillhandah\u00e5llande av den relevanta tj\u00e4nsten. Det kan vara av begr\u00e4nsat v\u00e4rde att uppt\u00e4cka att en leverant\u00f6rs ISO 27001-certifiering endast omfattar verksamhetens HR-avdelning.<\/p>\n\n\n\n<p>F\u00f6r det tredje kan det vara relevant att se \u00f6ver vilken version av ISO 27001 en leverant\u00f6r f\u00f6ljer eller \u00e4r certifierad mot. Till exempel adderades till ISO 27001:2022-versionen av standarden integritets- och kontinuitets-\u00e5tg\u00e4rder. Anv\u00e4nder leverant\u00f6ren den versionen eller f\u00f6rlitar den sig fortfarande p\u00e5 en \u00e4ldre version?<\/p>\n\n\n\n<p>F\u00f6r det fj\u00e4rde, \u00e4ven om en ISO 27001-certifierad leverant\u00f6r har ett systematiskt f\u00f6rh\u00e5llningss\u00e4tt till informationss\u00e4kerhet, garanterar det inte n\u00f6dv\u00e4ndigtvis att leverant\u00f6rens riskbed\u00f6mning \u00e4r i linje med sina kunders. Inte minst vid s\u00e4rskilt k\u00e4nslig behandling kan det vara l\u00e4mpligt att diskutera med leverant\u00f6ren vilka typer av s\u00e4kerhetsrisker den har identifierat som relevanta, och vilka typer av s\u00e4kerhets\u00e5tg\u00e4rder (s\u00e5 kallade <em>controls<\/em> p\u00e5 ISO 27001-spr\u00e5k) den har implementerat f\u00f6r att hantera riskerna.<\/p>\n\n\n\n<p><strong>Skydd mot extraterritoriell lagstiftning fr\u00e5n tredje land<\/strong><\/p>\n\n\n\n<p>En annan s\u00e4kerhetsaspekt av GDPR, som \u00e4r s\u00e4rskilt relevant f\u00f6r molntj\u00e4nster, r\u00f6r GDPR:s regler f\u00f6r att f\u00f6rhindra utl\u00e4mnanden av personuppgifter till myndigheter i tredje land.<\/p>\n\n\n\n<p>Medan det riskbaserade tillv\u00e4gag\u00e5ngss\u00e4ttet i <a href=\"https:\/\/www.imy.se\/verksamhet\/dataskydd\/det-har-galler-enligt-gdpr\/introduktion-till-gdpr\/dataskyddsforordningen-i-fulltext\/#A32\">artikel 32<\/a>.1 i GDPR kr\u00e4ver att verksamheter sj\u00e4lva bed\u00f6mer risker och om \u00e5tg\u00e4rder beh\u00f6vs, g\u00f6r artikel 32.4 en s\u00e5dan bed\u00f6mning \u00e5t dem. Enligt artikel 32.4 ska verksamheter vidta \u00e5tg\u00e4rder f\u00f6r att s\u00e4kerst\u00e4lla att deras personal inte \u00f6verf\u00f6r personuppgifter till myndigheter i tredje land.<\/p>\n\n\n\n<p>Specifikt anger artikel 32.4 i GDPR: \u201cDen personuppgiftsansvarige och personuppgiftsbitr\u00e4det ska vidta \u00e5tg\u00e4rder f\u00f6r att s\u00e4kerst\u00e4lla att varje fysisk person som utf\u00f6r arbete under den personuppgiftsansvariges eller personuppgiftsbitr\u00e4dets \u00f6verinseende, och som f\u00e5r tillg\u00e5ng till personuppgifter, endast behandlar dessa p\u00e5 instruktion fr\u00e5n den personuppgiftsansvarige, <em>om inte unionsr\u00e4tten eller medlemsstaternas nationella r\u00e4tt \u00e5l\u00e4gger honom eller henne att g\u00f6ra det<\/em>.\u201c (Cleuras betoning)<\/p>\n\n\n\n<p>Det m\u00f6jligg\u00f6r exempelvis att en molntj\u00e4nstleverant\u00f6rs personal tillgodoser ett r\u00e4ttsligt korrekt krav p\u00e5 personuppgifter fr\u00e5n polismyndigheten i en EU-medlemsstat. Kravet i artikel 32.4 inneb\u00e4r dock att molntj\u00e4nstleverant\u00f6ren m\u00e5ste vidta \u00e5tg\u00e4rder f\u00f6r att <em>s\u00e4kerst\u00e4lla<\/em> att dess personal inte l\u00e4mnar ut uppgifter som grundar sig i krav fr\u00e5n tredjelands lagar, s\u00e5som FISA 702. <a href=\"https:\/\/www.imy.se\/verksamhet\/dataskydd\/det-har-galler-enligt-gdpr\/introduktion-till-gdpr\/dataskyddsforordningen-i-fulltext\/#A29\" target=\"_blank\" rel=\"noreferrer noopener\">Artikel 29<\/a> i GDPR uttrycker ett krav med samma syfte.<\/p>\n\n\n\n<p>Denna fr\u00e5ga \u00e4r h\u00f6gst relevant f\u00f6r molntj\u00e4nster som tillhandah\u00e5lls av amerikanska leverant\u00f6rer, eftersom USA \u00e4r ett tredjeland. Amerikanska molntj\u00e4nstleverant\u00f6rer har upprepade g\u00e5nger beskrivit sina rigor\u00f6sa rutiner f\u00f6r hur de uppfyller kraven p\u00e5 att l\u00e4mna ut data till amerikanska myndigheter i enlighet med amerikansk lag. Med andra ord s\u00e4kerst\u00e4ller amerikanska molnleverant\u00f6rer <em>motsatsen<\/em> till GDPR:s krav att de vidtar \u00e5tg\u00e4rder f\u00f6r att s\u00e4kerst\u00e4lla att s\u00e5dana utl\u00e4mnanden inte sker. Vi h\u00e4vdar att detta hindrar s\u00e5dana leverant\u00f6rer fr\u00e5n att anlitas som personuppgiftsbitr\u00e4den enligt artikel 28.1 i GDPR. Det beror p\u00e5 att amerikanska molntj\u00e4nstleverant\u00f6rer uppenbarligen inte ger de personuppgiftsansvariga tillr\u00e4ckliga garantier f\u00f6r att uppfylla GDPR:s krav, inklusive de som f\u00f6ljer av artikel 28.3 a, 29 och 32.4, och de s\u00e4kerst\u00e4ller inte skyddet av personers r\u00e4ttigheter.<\/p>\n\n\n\n<p>Cleura har tagit fram en f\u00f6rdjupad rapport om GDPR:s krav f\u00f6r att skydda personuppgifter fr\u00e5n att l\u00e4mnas ut till myndigheter i tredje land. Rapporten f\u00f6rklarar ocks\u00e5 varf\u00f6r dessa GDPR-krav g\u00e4ller oavsett EU-US Data Privacy Framework (DPF) och det tillh\u00f6rande beslutet om adekvat skyddsniv\u00e5. L\u00e4s mer i rapporten <a href=\"https:\/\/cleura.com\/sv\/molnguiden\/rapport\/vad-din-verksamhet-behover-veta-om-det-tredje-adekvansbeslutet\/\">Vad din organisation beh\u00f6ver veta om det tredje l\u00e4mplighetsbeslutet<\/a>.<\/p>\n\n\n\n<div style=\"height:40px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"h-personuppgiftsincidenter\">Personuppgiftsincidenter<\/h2>\n\n\n\n<p>GDPR definierar en personuppgiftsincident som en s\u00e4kerhetsincident som leder till oavsiktlig eller olaglig f\u00f6rst\u00f6ring, f\u00f6rlust, \u00e4ndring, obeh\u00f6rigt r\u00f6jande av eller obeh\u00f6rig \u00e5tkomst till de personuppgifter som \u00f6verf\u00f6rts, lagrats eller p\u00e5 annat s\u00e4tt behandlats.<\/p>\n\n\n\n<p>Det inneb\u00e4r att ett personuppgiftsintr\u00e5ng m\u00e5ste inneb\u00e4ra en s\u00e4kerhetsincident av n\u00e5got slag, och som inbegriper personuppgifter. En stulen b\u00e4rbar dator som inneh\u00e5ller personuppgifter, eller ett intr\u00e5ng av hackare som kopierar en databas med personuppgifter, \u00e4r tv\u00e5 exempel p\u00e5 personuppgiftsincidenter.<\/p>\n\n\n\n<p>Om en personuppgiftsincident intr\u00e4ffar kr\u00e4ver <a href=\"https:\/\/www.imy.se\/verksamhet\/dataskydd\/det-har-galler-enligt-gdpr\/introduktion-till-gdpr\/dataskyddsforordningen-i-fulltext\/#A33\" target=\"_blank\" rel=\"noreferrer noopener\">artikel 33<\/a>.5 i GDPR att personuppgiftsansvariga dokumenterar omst\u00e4ndigheterna kring incidenten, dess effekter och de korrigerande \u00e5tg\u00e4rder som vidtagits.<\/p>\n\n\n\n<p>Dessutom m\u00e5ste vissa personuppgiftsincidenter anm\u00e4las till tillsynsmyndigheten, och en delm\u00e4ngd av dessa m\u00e5ste kommuniceras till ber\u00f6rda personer. Dessa skyldigheter g\u00e4ller beroende p\u00e5 hur allvarliga riskerna \u00e4r f\u00f6r de personer som ber\u00f6rs av incidenten.<\/p>\n\n\n\n<p><em>Om det \u00e4r osannolikt att en personuppgiftsincident medf\u00f6r en risk f\u00f6r personers r\u00e4ttigheter och friheter<\/em> beh\u00f6ver den personuppgiftsansvarige <em>inte<\/em> anm\u00e4la intr\u00e5nget till tillsynsmyndigheten. \u00d6vriga \u00f6vertr\u00e4delser ska anm\u00e4las till tillsynsmyndigheten utan on\u00f6digt dr\u00f6jsm\u00e5l och, d\u00e4r s\u00e5 \u00e4r m\u00f6jligt, senast 72 timmar efter att den personuppgiftsansvarige f\u00e5tt k\u00e4nnedom om \u00f6vertr\u00e4delsen.<\/p>\n\n\n\n<p>Om en personuppgiftsincident sannolikt leder till en h\u00f6g risk f\u00f6r personers r\u00e4ttigheter och friheter, ska den personuppgiftsansvarige informera ber\u00f6rda personer om incidenten utan on\u00f6digt dr\u00f6jsm\u00e5l. Andra \u00f6vertr\u00e4delser beh\u00f6ver inte kommuniceras till ber\u00f6rda personer.<\/p>\n\n\n\n<p><strong><em>Bra att veta vid anv\u00e4ndning av molntj\u00e4nster<\/em><\/strong><\/p>\n\n\n\n<p>N\u00e4r en verksamhet f\u00f6rlitar sig p\u00e5 en molntj\u00e4nstleverant\u00f6r kan det vara relevant att g\u00e5 igenom sina rutiner f\u00f6r att hantera personuppgiftsincidenter.<\/p>\n\n\n\n<p>Vet verksamheten till exempel hur molntj\u00e4nstleverant\u00f6ren skulle informera verksamheten om en personuppgiftsincident? \u00d6vervakar verksamheten den kanalen p\u00e5 ett l\u00e4mpligt s\u00e4tt? Skickas informationen fr\u00e5n en e-postadress som inte tar emot svar, och i s\u00e5 fall, finns det n\u00e5gon annan \u00f6verenskommen kanal d\u00e4r verksamheten kan st\u00e4lla uppf\u00f6ljande fr\u00e5gor och f\u00f6ra en dialog?<\/p>\n\n\n\n<p>Andra f\u00f6rberedelser kan ocks\u00e5 vara till hj\u00e4lp, oavsett om verksamheten anv\u00e4nder molntj\u00e4nster. Har verksamheten f\u00f6rm\u00e5ga att inom angivna tidsramar bed\u00f6ma om en personuppgiftsincident m\u00e5ste anm\u00e4las till tillsynsmyndigheten respektive kommuniceras till ber\u00f6rda personer? Vet verksamheten hur man anm\u00e4ler en incident till tillsynsmyndigheten och finns det en plan f\u00f6r hur man ska kommunicera en incident till ber\u00f6rda personer?<\/p>\n\n\n\n<p>Den h\u00e4r typen av f\u00f6rberedelser kan g\u00f6ra att verksamheten f\u00f6rebygger f\u00f6rseningar och undviker oordning n\u00e4r klockan tickar och sinneslugn beh\u00f6vs.<\/p>\n\n\n\n<div style=\"height:40px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"h-behandlingsregister-ropa\">Behandlingsregister (ROPA)<\/h2>\n\n\n\n<p>Verksamheter som syssels\u00e4tter 250 eller fler personer \u00e4r skyldiga att f\u00f6ra ett <em>behandlingsregister<\/em>, eller register \u00f6ver behandlingar. Registret ska inneh\u00e5lla vissa obligatoriska uppgifter om de olika typer av personuppgiftsbehandlingar som verksamheten utf\u00f6r. P\u00e5 engelska kallas registret ofta ROPA, som st\u00e5r f\u00f6r Record of Processing Activities. P\u00e5 svenska f\u00f6rekommer ben\u00e4mningen <a href=\"https:\/\/www.imy.se\/verksamhet\/dataskydd\/det-har-galler-enligt-gdpr\/introduktion-till-gdpr\/dataskyddsforordningen-i-fulltext\/#A30\" target=\"_blank\" rel=\"noreferrer noopener\">artikel 30<\/a>-register.<\/p>\n\n\n\n<p>F\u00f6r verksamheter som syssels\u00e4tter f\u00e4rre \u00e4n 250 personer omfattar registerskyldigheten endast:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>behandling som <em>inte \u00e4r tillf\u00e4llig<\/em>,<\/li>\n\n\n\n<li>behandling som <em>sannolikt kommer att medf\u00f6ra en risk<\/em> f\u00f6r personers r\u00e4ttigheter och friheter, och<\/li>\n\n\n\n<li>behandling av vissa <em>k\u00e4nsliga uppgifter<\/em> som omfattas av artiklarna 9 och 10 i GDPR.<\/li>\n<\/ul>\n\n\n\n<p>Ett behandlingsregister beskriver de <em>typer av<\/em> behandlingar som en verksamhet utf\u00f6r som personuppgiftsansvarig. Det \u00e4r inte ett register d\u00e4r noteringar g\u00f6rs varje g\u00e5ng personuppgifter behandlas. Ett behandlingsregister m\u00f6jligg\u00f6r f\u00f6r en verksamhet att f\u00e5 en \u00f6verblick \u00f6ver hur verksamheten anv\u00e4nder personuppgifter, vilket \u00e4r till stor hj\u00e4lp i andra delar av GDPR-arbetet.<\/p>\n\n\n\n<p>F\u00f6r de typer av behandlingar som en verksamhet utf\u00f6r som personuppgiftsansvarig ska registret inneh\u00e5lla:<\/p>\n\n\n\n<p><em>a) Namn och kontaktuppgifter f\u00f6r den personuppgiftsansvarige, samt i till\u00e4mpliga fall gemensamt personuppgiftsansvariga, den personuppgiftsansvariges f\u00f6retr\u00e4dare samt dataskyddsombudet.<br>b) \u00c4ndam\u00e5len med behandlingen.<br>c) En beskrivning av kategorierna av registrerade och av kategorierna av personuppgifter.<br>d) De kategorier av mottagare till vilka personuppgifterna har l\u00e4mnats eller ska l\u00e4mnas ut, inbegripet mottagare i tredjel\u00e4nder eller i internationella organisationer.<br>e) I till\u00e4mpliga fall, \u00f6verf\u00f6ringar av personuppgifter till ett tredjeland eller en internationell organisation, inbegripet identifiering av tredjelandet eller den internationella organisationen och, vid s\u00e5dana \u00f6verf\u00f6ringar som avses i artikel 49.1 andra stycket, dokumentationen av l\u00e4mpliga skydds\u00e5tg\u00e4rder.<br>f) Om m\u00f6jligt, de f\u00f6rutsedda tidsfristerna f\u00f6r radering av de olika kategorierna av uppgifter.<br>g) Om m\u00f6jligt, en allm\u00e4n beskrivning av de tekniska och organisatoriska s\u00e4kerhets\u00e5tg\u00e4rder som avses i artikel 32.1.<\/em><\/p>\n\n\n\n<p>Om en verksamhet \u00e4r ett personuppgiftsbitr\u00e4de, som behandlar personuppgifter f\u00f6r en personuppgiftsansvarigs r\u00e4kning, s\u00e5 m\u00e5ste personuppgiftsbitr\u00e4det f\u00f6ra ett behandlingsregister \u00e4ven f\u00f6r dessa behandlingar. Det behandlingsregistret ska inneh\u00e5lla:<\/p>\n\n\n\n<p><em>a) Namn och kontaktuppgifter f\u00f6r personuppgiftsbitr\u00e4det eller personuppgiftsbitr\u00e4dena och f\u00f6r varje personuppgiftsansvarig f\u00f6r vars r\u00e4kning personuppgiftsbitr\u00e4det agerar, och, i till\u00e4mpliga fall, f\u00f6r den personuppgiftsansvariges eller personuppgiftsbitr\u00e4dets f\u00f6retr\u00e4dare samt dataskyddsombudet.<br>b) De kategorier av behandling som har utf\u00f6rts f\u00f6r varje personuppgiftsansvariges r\u00e4kning.<br>c) I till\u00e4mpliga fall, \u00f6verf\u00f6ringar av personuppgifter till ett tredjeland eller en internationell organisation, inbegripet identifiering av tredjelandet eller den internationella organisationen och, vid s\u00e5dana \u00f6verf\u00f6ringar som avses i artikel 49.1 andra stycket, dokumentationen av l\u00e4mpliga skydds\u00e5tg\u00e4rder.<br>d) Om m\u00f6jligt, en allm\u00e4n beskrivning av de tekniska och organisatoriska s\u00e4kerhets\u00e5tg\u00e4rder som avses i artikel 32.1.<\/em><\/p>\n\n\n\n<p><strong><em>Bra att veta vid anv\u00e4ndning av molntj\u00e4nster<\/em><\/strong><\/p>\n\n\n\n<p>En situation d\u00e4r det \u00e4r anv\u00e4ndbart att ha ett uppdaterat behandlingsregister \u00e4r n\u00e4r en personuppgiftsansvarig verksamhet vill anv\u00e4nda en molntj\u00e4nstleverant\u00f6r som personuppgiftsbitr\u00e4de. Det kr\u00e4ver att parterna ing\u00e5r ett personuppgiftsbitr\u00e4desavtal.<\/p>\n\n\n\n<p>Enligt <a href=\"https:\/\/www.imy.se\/verksamhet\/dataskydd\/det-har-galler-enligt-gdpr\/introduktion-till-gdpr\/dataskyddsforordningen-i-fulltext\/#A28\" target=\"_blank\" rel=\"noreferrer noopener\">artikel 28<\/a>.3 i GDPR ska ett personuppgiftsbitr\u00e4desavtal inneh\u00e5lla vissa uppgifter. En personuppgiftsansvarig med ett behandlingsregister kommer redan att ha m\u00e5nga av dessa uppgifter l\u00e4ttillg\u00e4ngliga, vilket g\u00f6r det mycket smidigare att ing\u00e5 personuppgiftsbitr\u00e4desavtalet.<\/p>\n\n\n\n<div style=\"height:40px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"h-tillsyn\">Tillsyn<\/h2>\n\n\n\n<p>Varje EU-medlemsstat har en tillsynsmyndighet som ansvarar f\u00f6r att ut\u00f6va tillsyn s\u00e5 att verksamheter f\u00f6ljer GDPR. I Sverige \u00e4r det <a href=\"https:\/\/www.imy.se\/\">Integritetsskyddsmyndigheten<\/a> (IMY) som \u00e4r tillsynsmyndighet.<\/p>\n\n\n\n<p>Enligt <a href=\"https:\/\/www.imy.se\/verksamhet\/dataskydd\/det-har-galler-enligt-gdpr\/introduktion-till-gdpr\/dataskyddsforordningen-i-fulltext\/#A58\" target=\"_blank\" rel=\"noreferrer noopener\">artikel 58<\/a> i GDPR har tillsynsmyndigheter ett antal utredningsbefogenheter. Befogenheterna inbegriper m\u00f6jligheten att f\u00f6rel\u00e4gga verksamheter att tillhandah\u00e5lla information, genomf\u00f6ra revisioner samt att f\u00e5 tilltr\u00e4de till lokaler och utrustning.<\/p>\n\n\n\n<p>En tillsynsmyndighets \u201ckorrigerande befogenheter\u201c inbegriper bland annat att kunna:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>f\u00f6rel\u00e4gga en verksamhet att pausa eller stoppa specifik behandling av personuppgifter,<\/li>\n\n\n\n<li>f\u00f6rel\u00e4gga en verksamhet att \u00e4ndra hur den behandlar personuppgifter,<\/li>\n\n\n\n<li>f\u00f6rel\u00e4gga en verksamhet att informera om en personuppgiftsincident,<\/li>\n\n\n\n<li>f\u00f6rel\u00e4gga en verksamhet att avbryta \u00f6verf\u00f6ringar till ett tredjeland,<\/li>\n\n\n\n<li>f\u00f6rel\u00e4gga en verksamhet att radera personuppgifter,<\/li>\n\n\n\n<li>utf\u00e4rda administrativa sanktionsavgifter,<\/li>\n\n\n\n<li>utf\u00e4rda reprimander.<\/li>\n<\/ul>\n\n\n\n<p>Befogenheten att utf\u00e4rda administrativa sanktionsavgifter har f\u00e5tt stor uppm\u00e4rksamhet p\u00e5 grund av maximiniv\u00e5n p\u00e5 dessa sanktionsavgifter. \u00d6vertr\u00e4delser av vissa best\u00e4mmelser i GDPR kan leda till sanktionsavgifter p\u00e5 upp till 20 000 000 euro, eller om det g\u00e4ller ett f\u00f6retag upp till 4 % av den totala globala \u00e5rsoms\u00e4ttningen under f\u00f6reg\u00e5ende r\u00e4kenskaps\u00e5r, beroende p\u00e5 vilket som \u00e4r h\u00f6gst. F\u00f6r \u00f6vriga \u00f6vertr\u00e4delser \u00e4r motsvarande maximiniv\u00e5er 10 000 000 euro eller upp till 2 %. Observera att f\u00f6r offentliga myndigheter kan maximiv\u00e4rdet vara betydligt l\u00e4gre. Webbplatsen <a href=\"https:\/\/www.enforcementtracker.com\/\">GDPR Enforcement Tracker<\/a> publicerar en databas med sanktionsavgifter som kan sorteras efter beloppsstorlek och filtreras efter land. Den st\u00f6rsta sanktionsavgiften i databasen g\u00e4ller \u00f6verf\u00f6ringar till tredjeland.<\/p>\n\n\n\n<p>\u00c4ven om maximiniv\u00e5n f\u00f6r sanktionsavgifter kan verka h\u00f6g, s\u00e5 kr\u00e4ver GDPR att varje sanktionsavgift \u00e4r <em>effektiv<\/em>, <em>proportionerlig<\/em> och <em>avskr\u00e4ckande<\/em>. Sanktionsavgifterna m\u00e5ste vara tillr\u00e4ckligt stora f\u00f6r att g\u00f6ra avtryck och inte vara s\u00e5 l\u00e5ga att det blir mer f\u00f6rm\u00e5nligt att bryta mot reglerna \u00e4n att f\u00f6lja dem. Kravet p\u00e5 proportionalitet inneb\u00e4r dock att en sanktionsavgift inte ska vara st\u00f6rre \u00e4n vad som \u00e4r n\u00f6dv\u00e4ndigt f\u00f6r att uppn\u00e5 sanktionsavgiftens \u00e4ndam\u00e5l. EU:s tillsynsmyndigheter uppger att de \u00f6verv\u00e4ger b\u00e5de hur allvarlig en \u00f6vertr\u00e4delse \u00e4r och f\u00f6retagets storlek f\u00f6r att s\u00e4kerst\u00e4lla att en sanktionsavgift \u00e4r proportionerlig. Ett f\u00f6retag med h\u00f6gre oms\u00e4ttning b\u00f6r d\u00e4rf\u00f6r typiskt sett f\u00e5 en st\u00f6rre sanktionsavgift \u00e4n ett f\u00f6retag med mindre oms\u00e4ttning, om b\u00e5da f\u00f6retagen har brutit mot GDPR p\u00e5 samma s\u00e4tt och med samma allvarsgrad.<\/p>\n\n\n\n<p>N\u00e4r en tillsynsmyndighet utf\u00e4rdar en administrativ sanktionsavgift, eller vidtar andra korrigerande \u00e5tg\u00e4rder, kan en verksamhet som \u00e4r f\u00f6rem\u00e5l f\u00f6r \u00e5tg\u00e4rden \u00f6verklaga tillsynsmyndighetens beslut till domstol. En tillsynsmyndighets befogenheter \u00e4r allts\u00e5 inte absoluta. Om deras beslut \u00f6verklagas \u00e4r det ytterst domstolarna som avg\u00f6r en sanktionsavgifts giltighet och storlek.<\/p>\n\n\n\n<p><strong><em>Bra att veta vid anv\u00e4ndning av molntj\u00e4nster<\/em><\/strong><\/p>\n\n\n\n<p><a href=\"https:\/\/www.edpb.europa.eu\/edpb_sv\">Europeiska dataskyddsstyrelsen<\/a> (p\u00e5 engelska European Data Protection Board, EDPB) bidrar inte bara till att tillsynsmyndigheterna ut\u00f6var tillsyn p\u00e5 ett enhetligt s\u00e4tt. EDPB publicerar ocks\u00e5 riktlinjer och rekommendationer. I EDPB ing\u00e5r:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>de tillsynsmyndigheter som ut\u00f6var tillsyn \u00f6ver GDPR i varje EU-medlemsstat, och<\/li>\n\n\n\n<li>Europeiska datatillsynsmannen (p\u00e5 engelska European Data Protection Supervisor, EDPS), som \u00e4r den tillsynsmyndighet som ut\u00f6var tillsyn \u00f6ver dataskyddslagstiftningen f\u00f6r EU:s egna institutioner, s\u00e5som EU-kommissionen.<\/li>\n<\/ul>\n\n\n\n<p>EDPB-v\u00e4gledning som kan vara s\u00e4rskilt anv\u00e4ndbar i f\u00f6rh\u00e5llande till molntj\u00e4nster inbegriper:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/www.edpb.europa.eu\/our-work-tools\/our-documents\/guidelines\/guidelines-072020-concepts-controller-and-processor-gdpr_sv\">Riktlinjer 07\/2020 ang\u00e5ende begreppen personuppgiftsansvarig och personuppgiftsbitr\u00e4de i GDPR<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/www.edpb.europa.eu\/our-work-tools\/our-documents\/guidelines\/guidelines-42019-article-25-data-protection-design-and_sv\">Riktlinjer 4\/2019 om artikel 25 inbyggt dataskydd och dataskydd som standard<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/www.edpb.europa.eu\/our-work-tools\/our-documents\/guidelines\/guidelines-92022-personal-data-breach-notification-under_sv\">Guidelines 9\/2022 on personal data breach notification under GDPR<\/a> och <a href=\"https:\/\/www.edpb.europa.eu\/our-work-tools\/our-documents\/guidelines\/guidelines-012021-examples-regarding-personal-data-breach_sv\">Riktlinjer 01\/2021 om exempel p\u00e5 anm\u00e4lan av personuppgiftsincidenter<\/a><\/li>\n<\/ul>\n\n\n\n<p>Dessutom har Integritetsskyddsmyndighetens webbplats ytterligare v\u00e4gledning som \u00e4r relevant f\u00f6r molnet, exempelvis p\u00e5 sidan <a href=\"https:\/\/www.imy.se\/privatperson\/dataskydd\/informationssakerhet\/saker-anvandning-av-molntjanster\/\">S\u00e4ker anv\u00e4ndning av molntj\u00e4nster<\/a>.<\/p>\n\n\n\n<div style=\"height:40px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"h-klagomal-till-tillsynsmyndigheten\">Klagom\u00e5l till tillsynsmyndigheten<\/h2>\n\n\n\n<p>Av <a href=\"https:\/\/www.imy.se\/verksamhet\/dataskydd\/det-har-galler-enligt-gdpr\/introduktion-till-gdpr\/dataskyddsforordningen-i-fulltext\/#A77\" target=\"_blank\" rel=\"noreferrer noopener\">artikel 77<\/a> i GDPR framg\u00e5r att en person som anser att en verksamhet behandlar personens personuppgifter i strid med GDPR, kan l\u00e4mna in ett klagom\u00e5l till tillsynsmyndigheten.<\/p>\n\n\n\n<p>N\u00e4r en tillsynsmyndighet utreder ett klagom\u00e5l kan det leda till att tillsynsmyndigheten anv\u00e4nder sina korrigerande befogenheter, som att f\u00f6rel\u00e4gga om radering av personuppgifter eller utf\u00e4rdande av en administrativ sanktionsavgift (se det f\u00f6reg\u00e5ende avsnittet Tillsyn).<\/p>\n\n\n\n<p>Om en tillsynsmyndighet fattar ett s\u00e5dant r\u00e4ttsligt bindande beslut utifr\u00e5n en persons klagom\u00e5l, men personen inte h\u00e5ller med om tillsynsmyndighetens beslut, kan personen \u00f6verklaga beslutet till domstol. En klagande kan ocks\u00e5 v\u00e4nda sig till domstol om tillsynsmyndigheten inte hanterar personens klagom\u00e5l, eller inte inom tre m\u00e5nader uppdaterar personen om hur arbetet med klagom\u00e5let fortskrider eller om arbetets resultat.<\/p>\n\n\n\n<p><strong><em>Bra att veta vid anv\u00e4ndning av molntj\u00e4nster<\/em><\/strong><\/p>\n\n\n\n<p>Om en personuppgiftsansvarig verksamhet inte uppfyller sina GDPR-skyldigheter p\u00e5 grund av att en molntj\u00e4nst som verksamheten anv\u00e4nder inte designats p\u00e5 r\u00e4tt s\u00e4tt, s\u00e5 kan den personuppgiftsansvariga verksamheten fortfarande h\u00e5llas ansvarig.<\/p>\n\n\n\n<p>L\u00e5t oss exempelvis t\u00e4nka oss en molntj\u00e4nst som aldrig utformats f\u00f6r att l\u00e5ta den personuppgiftsansvariga verksamheten f\u00f6rse personer med en kopia av sina uppgifter, eller radera eller begr\u00e4nsa behandling. D\u00e5 kan en drabbad person fortfarande l\u00e4mna in ett klagom\u00e5l till tillsynsmyndigheten mot den personuppgiftsansvariga verksamhet som anv\u00e4nder molntj\u00e4nsten.<\/p>\n\n\n\n<p><\/p>\n","protected":false},"excerpt":{"rendered":"<p>F\u00f6rfattare: Arman Borghem, Regulatory and Compliance Advisor p\u00e5 Cleura Som leverant\u00f6r av molninfrastruktur med fokus p\u00e5 regelefterlevnad vet vi p\u00e5 Cleura att en del verksamheter kan bli \u00f6verv\u00e4ldigade av vad som kr\u00e4vs f\u00f6r att f\u00f6lja GDPR i molnet. H\u00e4r introduceras d\u00e4rf\u00f6r n\u00e5gra av dataskyddsf\u00f6rordningens (GDPR) viktigaste delar. Varje del har dessutom ett avsnitt om \u00f6verv\u00e4ganden vi ser som s\u00e4rskilt relevanta &#8230; <\/p>\n<div><a href=\"https:\/\/cleura.com\/sv\/molnguiden\/guide\/gdpr-och-molnet-en-introduktion\/\" class=\"more-link\">Read More<\/a><\/div>\n","protected":false},"author":10,"featured_media":19432,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[740],"tags":[559,515,661,541,392,402],"class_list":["post-19214","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-guide","tag-compliance-sv-2","tag-dataskydd-2","tag-dataskyddsforordningen","tag-gdpr-sv","tag-molnet","tag-regelefterlevnad"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.3 (Yoast SEO v27.3) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>GDPR och molnet - en introduktion - Cleura<\/title>\n<meta name=\"description\" content=\"En omfattande guide till hur, varf\u00f6r och vilka aspekter av GDPR som \u00e4r relevanta n\u00e4r en organisation vill anv\u00e4nda molntj\u00e4nster.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/cleura.com\/sv\/molnguiden\/guide\/gdpr-och-molnet-en-introduktion\/\" \/>\n<meta property=\"og:locale\" content=\"sv_SE\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"GDPR och molnet - en introduktion\" \/>\n<meta property=\"og:description\" content=\"En omfattande guide till hur, varf\u00f6r och vilka aspekter av GDPR som \u00e4r relevanta n\u00e4r en organisation vill anv\u00e4nda molntj\u00e4nster.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/cleura.com\/sv\/molnguiden\/guide\/gdpr-och-molnet-en-introduktion\/\" \/>\n<meta property=\"og:site_name\" content=\"Cleura\" \/>\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/CleuraCloud\" \/>\n<meta property=\"article:published_time\" content=\"2024-09-19T06:00:00+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2026-02-05T08:41:48+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/cleura.com\/wp-content\/uploads\/2024\/09\/Untitled-6.png\" \/>\n\t<meta property=\"og:image:width\" content=\"896\" \/>\n\t<meta property=\"og:image:height\" content=\"512\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/png\" \/>\n<meta name=\"author\" content=\"Arman\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:creator\" content=\"@cleuracloud\" \/>\n<meta name=\"twitter:site\" content=\"@cleuracloud\" \/>\n<meta name=\"twitter:label1\" content=\"Skriven av\" \/>\n\t<meta name=\"twitter:data1\" content=\"Arman\" \/>\n\t<meta name=\"twitter:label2\" content=\"Ber\u00e4knad l\u00e4stid\" \/>\n\t<meta name=\"twitter:data2\" content=\"36 minuter\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\\\/\\\/schema.org\",\"@graph\":[{\"@type\":\"NewsArticle\",\"@id\":\"https:\\\/\\\/cleura.com\\\/sv\\\/molnguiden\\\/guide\\\/gdpr-och-molnet-en-introduktion\\\/#article\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/cleura.com\\\/sv\\\/molnguiden\\\/guide\\\/gdpr-och-molnet-en-introduktion\\\/\"},\"author\":{\"name\":\"Arman\",\"@id\":\"https:\\\/\\\/cleura.com\\\/sv\\\/#\\\/schema\\\/person\\\/8f8dd15233a72d7c7255b4be5dc70ab5\"},\"headline\":\"GDPR och molnet &#8211; en introduktion\",\"datePublished\":\"2024-09-19T06:00:00+00:00\",\"dateModified\":\"2026-02-05T08:41:48+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\\\/\\\/cleura.com\\\/sv\\\/molnguiden\\\/guide\\\/gdpr-och-molnet-en-introduktion\\\/\"},\"wordCount\":10029,\"publisher\":{\"@id\":\"https:\\\/\\\/cleura.com\\\/sv\\\/#organization\"},\"image\":{\"@id\":\"https:\\\/\\\/cleura.com\\\/sv\\\/molnguiden\\\/guide\\\/gdpr-och-molnet-en-introduktion\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/cleura.com\\\/wp-content\\\/uploads\\\/2024\\\/09\\\/Untitled-6.png\",\"keywords\":[\"Compliance\",\"Dataskydd\",\"Dataskyddsf\u00f6rordningen\",\"GDPR\",\"Molnet\",\"Regelefterlevnad\"],\"articleSection\":[\"Guide\"],\"inLanguage\":\"sv-SE\"},{\"@type\":\"WebPage\",\"@id\":\"https:\\\/\\\/cleura.com\\\/sv\\\/molnguiden\\\/guide\\\/gdpr-och-molnet-en-introduktion\\\/\",\"url\":\"https:\\\/\\\/cleura.com\\\/sv\\\/molnguiden\\\/guide\\\/gdpr-och-molnet-en-introduktion\\\/\",\"name\":\"GDPR och molnet - en introduktion - Cleura\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/cleura.com\\\/sv\\\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\\\/\\\/cleura.com\\\/sv\\\/molnguiden\\\/guide\\\/gdpr-och-molnet-en-introduktion\\\/#primaryimage\"},\"image\":{\"@id\":\"https:\\\/\\\/cleura.com\\\/sv\\\/molnguiden\\\/guide\\\/gdpr-och-molnet-en-introduktion\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/cleura.com\\\/wp-content\\\/uploads\\\/2024\\\/09\\\/Untitled-6.png\",\"datePublished\":\"2024-09-19T06:00:00+00:00\",\"dateModified\":\"2026-02-05T08:41:48+00:00\",\"description\":\"En omfattande guide till hur, varf\u00f6r och vilka aspekter av GDPR som \u00e4r relevanta n\u00e4r en organisation vill anv\u00e4nda molntj\u00e4nster.\",\"breadcrumb\":{\"@id\":\"https:\\\/\\\/cleura.com\\\/sv\\\/molnguiden\\\/guide\\\/gdpr-och-molnet-en-introduktion\\\/#breadcrumb\"},\"inLanguage\":\"sv-SE\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\\\/\\\/cleura.com\\\/sv\\\/molnguiden\\\/guide\\\/gdpr-och-molnet-en-introduktion\\\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"sv-SE\",\"@id\":\"https:\\\/\\\/cleura.com\\\/sv\\\/molnguiden\\\/guide\\\/gdpr-och-molnet-en-introduktion\\\/#primaryimage\",\"url\":\"https:\\\/\\\/cleura.com\\\/wp-content\\\/uploads\\\/2024\\\/09\\\/Untitled-6.png\",\"contentUrl\":\"https:\\\/\\\/cleura.com\\\/wp-content\\\/uploads\\\/2024\\\/09\\\/Untitled-6.png\",\"width\":896,\"height\":512,\"caption\":\"En omfattande guide till GDPR\"},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\\\/\\\/cleura.com\\\/sv\\\/molnguiden\\\/guide\\\/gdpr-och-molnet-en-introduktion\\\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Hem\",\"item\":\"https:\\\/\\\/cleura.com\\\/sv\\\/cleura-det-europeiska-molnet\\\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"GDPR och molnet &#8211; en introduktion\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\\\/\\\/cleura.com\\\/sv\\\/#website\",\"url\":\"https:\\\/\\\/cleura.com\\\/sv\\\/\",\"name\":\"Cleura\",\"description\":\"Freedom to innovate\",\"publisher\":{\"@id\":\"https:\\\/\\\/cleura.com\\\/sv\\\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\\\/\\\/cleura.com\\\/sv\\\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"sv-SE\"},{\"@type\":\"Organization\",\"@id\":\"https:\\\/\\\/cleura.com\\\/sv\\\/#organization\",\"name\":\"Cleura\",\"url\":\"https:\\\/\\\/cleura.com\\\/sv\\\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"sv-SE\",\"@id\":\"https:\\\/\\\/cleura.com\\\/sv\\\/#\\\/schema\\\/logo\\\/image\\\/\",\"url\":\"https:\\\/\\\/cleura.com\\\/wp-content\\\/uploads\\\/2022\\\/04\\\/Cleura-Logotyp-Svart.png\",\"contentUrl\":\"https:\\\/\\\/cleura.com\\\/wp-content\\\/uploads\\\/2022\\\/04\\\/Cleura-Logotyp-Svart.png\",\"width\":1000,\"height\":237,\"caption\":\"Cleura\"},\"image\":{\"@id\":\"https:\\\/\\\/cleura.com\\\/sv\\\/#\\\/schema\\\/logo\\\/image\\\/\"},\"sameAs\":[\"https:\\\/\\\/www.facebook.com\\\/CleuraCloud\",\"https:\\\/\\\/x.com\\\/cleuracloud\",\"https:\\\/\\\/www.linkedin.com\\\/company\\\/cleura\",\"https:\\\/\\\/www.youtube.com\\\/c\\\/Cleura\"]},{\"@type\":\"Person\",\"@id\":\"https:\\\/\\\/cleura.com\\\/sv\\\/#\\\/schema\\\/person\\\/8f8dd15233a72d7c7255b4be5dc70ab5\",\"name\":\"Arman\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"sv-SE\",\"@id\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/91fad1e47ea4f9c065d4d3eb955c2c26cce7c53dee69f2f9555c4fbc4a3a97c4?s=96&d=mm&r=g\",\"url\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/91fad1e47ea4f9c065d4d3eb955c2c26cce7c53dee69f2f9555c4fbc4a3a97c4?s=96&d=mm&r=g\",\"contentUrl\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/91fad1e47ea4f9c065d4d3eb955c2c26cce7c53dee69f2f9555c4fbc4a3a97c4?s=96&d=mm&r=g\",\"caption\":\"Arman\"}}]}<\/script>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"GDPR och molnet - en introduktion - Cleura","description":"En omfattande guide till hur, varf\u00f6r och vilka aspekter av GDPR som \u00e4r relevanta n\u00e4r en organisation vill anv\u00e4nda molntj\u00e4nster.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/cleura.com\/sv\/molnguiden\/guide\/gdpr-och-molnet-en-introduktion\/","og_locale":"sv_SE","og_type":"article","og_title":"GDPR och molnet - en introduktion","og_description":"En omfattande guide till hur, varf\u00f6r och vilka aspekter av GDPR som \u00e4r relevanta n\u00e4r en organisation vill anv\u00e4nda molntj\u00e4nster.","og_url":"https:\/\/cleura.com\/sv\/molnguiden\/guide\/gdpr-och-molnet-en-introduktion\/","og_site_name":"Cleura","article_publisher":"https:\/\/www.facebook.com\/CleuraCloud","article_published_time":"2024-09-19T06:00:00+00:00","article_modified_time":"2026-02-05T08:41:48+00:00","og_image":[{"width":896,"height":512,"url":"https:\/\/cleura.com\/wp-content\/uploads\/2024\/09\/Untitled-6.png","type":"image\/png"}],"author":"Arman","twitter_card":"summary_large_image","twitter_creator":"@cleuracloud","twitter_site":"@cleuracloud","twitter_misc":{"Skriven av":"Arman","Ber\u00e4knad l\u00e4stid":"36 minuter"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"NewsArticle","@id":"https:\/\/cleura.com\/sv\/molnguiden\/guide\/gdpr-och-molnet-en-introduktion\/#article","isPartOf":{"@id":"https:\/\/cleura.com\/sv\/molnguiden\/guide\/gdpr-och-molnet-en-introduktion\/"},"author":{"name":"Arman","@id":"https:\/\/cleura.com\/sv\/#\/schema\/person\/8f8dd15233a72d7c7255b4be5dc70ab5"},"headline":"GDPR och molnet &#8211; en introduktion","datePublished":"2024-09-19T06:00:00+00:00","dateModified":"2026-02-05T08:41:48+00:00","mainEntityOfPage":{"@id":"https:\/\/cleura.com\/sv\/molnguiden\/guide\/gdpr-och-molnet-en-introduktion\/"},"wordCount":10029,"publisher":{"@id":"https:\/\/cleura.com\/sv\/#organization"},"image":{"@id":"https:\/\/cleura.com\/sv\/molnguiden\/guide\/gdpr-och-molnet-en-introduktion\/#primaryimage"},"thumbnailUrl":"https:\/\/cleura.com\/wp-content\/uploads\/2024\/09\/Untitled-6.png","keywords":["Compliance","Dataskydd","Dataskyddsf\u00f6rordningen","GDPR","Molnet","Regelefterlevnad"],"articleSection":["Guide"],"inLanguage":"sv-SE"},{"@type":"WebPage","@id":"https:\/\/cleura.com\/sv\/molnguiden\/guide\/gdpr-och-molnet-en-introduktion\/","url":"https:\/\/cleura.com\/sv\/molnguiden\/guide\/gdpr-och-molnet-en-introduktion\/","name":"GDPR och molnet - en introduktion - Cleura","isPartOf":{"@id":"https:\/\/cleura.com\/sv\/#website"},"primaryImageOfPage":{"@id":"https:\/\/cleura.com\/sv\/molnguiden\/guide\/gdpr-och-molnet-en-introduktion\/#primaryimage"},"image":{"@id":"https:\/\/cleura.com\/sv\/molnguiden\/guide\/gdpr-och-molnet-en-introduktion\/#primaryimage"},"thumbnailUrl":"https:\/\/cleura.com\/wp-content\/uploads\/2024\/09\/Untitled-6.png","datePublished":"2024-09-19T06:00:00+00:00","dateModified":"2026-02-05T08:41:48+00:00","description":"En omfattande guide till hur, varf\u00f6r och vilka aspekter av GDPR som \u00e4r relevanta n\u00e4r en organisation vill anv\u00e4nda molntj\u00e4nster.","breadcrumb":{"@id":"https:\/\/cleura.com\/sv\/molnguiden\/guide\/gdpr-och-molnet-en-introduktion\/#breadcrumb"},"inLanguage":"sv-SE","potentialAction":[{"@type":"ReadAction","target":["https:\/\/cleura.com\/sv\/molnguiden\/guide\/gdpr-och-molnet-en-introduktion\/"]}]},{"@type":"ImageObject","inLanguage":"sv-SE","@id":"https:\/\/cleura.com\/sv\/molnguiden\/guide\/gdpr-och-molnet-en-introduktion\/#primaryimage","url":"https:\/\/cleura.com\/wp-content\/uploads\/2024\/09\/Untitled-6.png","contentUrl":"https:\/\/cleura.com\/wp-content\/uploads\/2024\/09\/Untitled-6.png","width":896,"height":512,"caption":"En omfattande guide till GDPR"},{"@type":"BreadcrumbList","@id":"https:\/\/cleura.com\/sv\/molnguiden\/guide\/gdpr-och-molnet-en-introduktion\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Hem","item":"https:\/\/cleura.com\/sv\/cleura-det-europeiska-molnet\/"},{"@type":"ListItem","position":2,"name":"GDPR och molnet &#8211; en introduktion"}]},{"@type":"WebSite","@id":"https:\/\/cleura.com\/sv\/#website","url":"https:\/\/cleura.com\/sv\/","name":"Cleura","description":"Freedom to innovate","publisher":{"@id":"https:\/\/cleura.com\/sv\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/cleura.com\/sv\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"sv-SE"},{"@type":"Organization","@id":"https:\/\/cleura.com\/sv\/#organization","name":"Cleura","url":"https:\/\/cleura.com\/sv\/","logo":{"@type":"ImageObject","inLanguage":"sv-SE","@id":"https:\/\/cleura.com\/sv\/#\/schema\/logo\/image\/","url":"https:\/\/cleura.com\/wp-content\/uploads\/2022\/04\/Cleura-Logotyp-Svart.png","contentUrl":"https:\/\/cleura.com\/wp-content\/uploads\/2022\/04\/Cleura-Logotyp-Svart.png","width":1000,"height":237,"caption":"Cleura"},"image":{"@id":"https:\/\/cleura.com\/sv\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.facebook.com\/CleuraCloud","https:\/\/x.com\/cleuracloud","https:\/\/www.linkedin.com\/company\/cleura","https:\/\/www.youtube.com\/c\/Cleura"]},{"@type":"Person","@id":"https:\/\/cleura.com\/sv\/#\/schema\/person\/8f8dd15233a72d7c7255b4be5dc70ab5","name":"Arman","image":{"@type":"ImageObject","inLanguage":"sv-SE","@id":"https:\/\/secure.gravatar.com\/avatar\/91fad1e47ea4f9c065d4d3eb955c2c26cce7c53dee69f2f9555c4fbc4a3a97c4?s=96&d=mm&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/91fad1e47ea4f9c065d4d3eb955c2c26cce7c53dee69f2f9555c4fbc4a3a97c4?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/91fad1e47ea4f9c065d4d3eb955c2c26cce7c53dee69f2f9555c4fbc4a3a97c4?s=96&d=mm&r=g","caption":"Arman"}}]}},"_links":{"self":[{"href":"https:\/\/cleura.com\/sv\/wp-json\/wp\/v2\/posts\/19214","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cleura.com\/sv\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cleura.com\/sv\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cleura.com\/sv\/wp-json\/wp\/v2\/users\/10"}],"replies":[{"embeddable":true,"href":"https:\/\/cleura.com\/sv\/wp-json\/wp\/v2\/comments?post=19214"}],"version-history":[{"count":24,"href":"https:\/\/cleura.com\/sv\/wp-json\/wp\/v2\/posts\/19214\/revisions"}],"predecessor-version":[{"id":30309,"href":"https:\/\/cleura.com\/sv\/wp-json\/wp\/v2\/posts\/19214\/revisions\/30309"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cleura.com\/sv\/wp-json\/wp\/v2\/media\/19432"}],"wp:attachment":[{"href":"https:\/\/cleura.com\/sv\/wp-json\/wp\/v2\/media?parent=19214"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cleura.com\/sv\/wp-json\/wp\/v2\/categories?post=19214"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cleura.com\/sv\/wp-json\/wp\/v2\/tags?post=19214"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}