Dataskyddsförordningen

Du bestämmer ändamålen och medlen för behandling av personuppgifter. På ren svenska: du bestämmer varför och hur personuppgifter används. Om det var du som sa 'vi samlar in e-postadresser till vårt nyhetsbrev', grattis — du är personuppgiftsansvarig.

Dina skyldigheter

• Fastställ en rättslig grund för varje behandlingsaktivitet (art. 6) — 'för att vi kan' är inte en av dem
• Upprätta ett register över behandlingsaktiviteter (RoPA) som dokumenterar vad du behandlar och varför (art. 30)
• Genomför konsekvensbedömningar (DPIA) vid högriskbehandling — som profilering eller storskalig övervakning (art. 35)
• Rapportera personuppgiftsincidenter till din tillsynsmyndighet inom 72 timmar (art. 33) — helger och helgdagar inkluderade
• Säkerställ att registrerade kan utöva sina rättigheter: tillgång, rättelse, radering ('rätten att bli glömd'), dataportabilitet och invändning (art. 15–22)
• Vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa datasäkerhet (art. 32) — en Post-it-lapp med databaslösenordet kvalificerar inte
• Utse ett dataskyddsombud (DPO) om det krävs (art. 37)
• Anlita enbart biträden som ger tillräckliga garantier — och formalisera detta i ett personuppgiftsbiträdesavtal (art. 28)

Nyckelartiklar

Du behandlar personuppgifter på uppdrag av en personuppgiftsansvarig. Tänk: molntjänstleverantör, lönehanteringsföretag, e-postmarknadsföringsplattform. Du bestämmer inte vad som ska göras med uppgifterna — du gör det den ansvarige säger åt dig. Som en mycket välbetald assistent med strikta instruktioner.

Dina skyldigheter

• Behandla uppgifter enbart enligt den ansvariges dokumenterade instruktioner (art. 28) — att frilansmässigt hantera personuppgifter uppskattas inte
• Upprätta ett eget register över behandlingsaktiviteter (art. 30.2)
• Vidta lämpliga säkerhetsåtgärder (art. 32)
• Underrätta den ansvarige utan onödigt dröjsmål vid en incident (art. 33.2) — 'jag var på semester' är inte onödigt dröjsmål
• Bistå den ansvarige med DPIA och registrerades förfrågningar vid behov (art. 28.3)
• Anlita underbiträden enbart med den ansvariges förhandsgodkännande (art. 28.2)
• Radera eller återlämna alla personuppgifter när behandlingsrelationen upphör (art. 28.3g)

Nyckelartiklar

Du är organisationens oberoende dataskyddsexpert. Du ger råd, övervakar efterlevnad och fungerar som kontaktpunkt för tillsynsmyndigheten. Du rapporterar direkt till högsta ledningen, och ingen kan tala om för dig vad du ska komma fram till. Du är i princip dataskyddets revisor — ingen favorit på fester, men alla ringer dig när saker går fel.

Dina skyldigheter

• Informera och ge råd till den ansvarige/biträdet om deras GDPR-skyldigheter (art. 39.1a)
• Övervaka efterlevnaden av GDPR och interna dataskyddspolicyer (art. 39.1b)
• Ge råd om konsekvensbedömningar och övervaka deras genomförande (art. 39.1c)
• Fungera som kontaktpunkt för tillsynsmyndigheten (art. 39.1d–e)
• Säkerställa din oberoende ställning — du får inte ta emot instruktioner om hur du ska utföra dina uppgifter (art. 38.3)
• Upprätthålla expertkunskap inom dataskyddsrätt och -praxis (art. 37.5)
• Vara tillgänglig för registrerade som vill ta upp frågor (art. 38.4)

Nyckelartiklar

Du är en levande människa vars personuppgifter behandlas. Det är allt — ingen certifiering krävs. Om en organisation har ditt namn, din e-post, din IP-adress eller ens dina cookie-preferenser, är du en registrerad. Vilket innebär att du har rättigheter. Ganska många, faktiskt.

Dina skyldigheter

• Du har rätt att få tillgång till dina personuppgifter och få en kopia (art. 15) — fråga artigt, men du behöver inte
• Du kan begära rättelse av felaktiga uppgifter (art. 16) — ditt namn är inte 'Uppskattad kund'
• Du kan begära radering av dina uppgifter — den berömda 'rätten att bli glömd' (art. 17)
• Du kan begränsa behandling i vissa situationer (art. 18)
• Du har rätt till dataportabilitet — ta dina uppgifter och flytta dem (art. 20)
• Du kan invända mot behandling, inklusive profilering och direktmarknadsföring (art. 21) — ja, du kan avprenumerera
• Du har rätt att inte bli föremål för enbart automatiserat beslutsfattande, inklusive profilering (art. 22)
• Du kan lämna in klagomål till en tillsynsmyndighet om dina rättigheter kränks (art. 77)

Nyckelartiklar

Tillgängliga verktyg

• Register över behandlingsaktiviteter (RoPA) — dokumentera varje behandlingsaktivitet med inbyggda mallar
• DPIA med riskmatris — bedöm och poängsätt risker i 7 dimensioner
• Incidenthantering — spåra incidenter med automatiska 72-timmarsdeadline-påminnelser
• Registrerades rättigheter — hantera tillgångs-, raderings- och portabilitetsförfrågningar från början till slut
• Samtyckehantering — spåra samtyckesinsamling, återkallande och granskningsspår
• Datamappning — visualisera dataflöden mellan system och tredje parter
• Personuppgiftsbiträdesavtal — hantera biträdesrelationer och underbiträden
• Rättslig grundbedömning — dokumentera och granska rättslig grund per behandlingsaktivitet
• Överföringsanalys (TIA) — utvärdera internationella dataöverföringar

AI-assisterade funktioner

• Konsultationsvizard (gdpr_readiness) — 5-stegs guidad bedömning med AI-analys per steg och artikelreferenser
• AI-genererat efterlevnadsutlåtande: compliant / villkorligt compliant / non-compliant
• Semantisk sökning i GDPR-artiklar, EDPB-riktlinjer och praxis