Europeiska unionen beslutade om en ny förordning som tar sikte på regler kring hantering av personuppgifter, det vill säga uppgifter om namn, personnummer, e-postadresser, bilder eller andra uppgifter som går att hänföra till en särskild fysisk person. Förordningen innehåller regler om hur man får behandla personuppgifter. Förordningen började gälla den 25 maj 2018 och kallas dataskyddsförordningen eller GDPR (General Data Protection Regulation). Förordningen gäller direkt i alla EU:s medlemsländer och ersätter nationella regler, som till exempel den tidigare gällande personuppgiftslagen (PuL) i Sverige. GDPR kompletteras av nationella regler. I Sverige kallas den kompletterande lagen populärt för ”dataskyddslagen” (2018:218) och det finns i en förordning (2018:219) även kompletterande bestämmelser till den lagen och till dataskyddsförordningen. internationella avtal som rör överföring av personuppgifter till tredjeländer eller internationella organisationer vilka avtal ingicks av medlemsstaterna före den 24 maj 2016 ska dock fortsätta att gälla tills dess de ändras, ersätts eller återkallas.

Sverige och övriga EU fick således i maj 2018 en gemensam lagstiftning som reglerar bland annat företags behandling av personuppgifter. De som bryter mot bestämmelserna i dataskyddsförordningen kan drabbas av sanktioner, närmare bestämt avgifter.

Ett syfte med dataskyddsförordningens nya regler är att betona att det företag, den myndighet eller den organisation som behandlar personuppgifter, aktivt måste ta ansvar för att se till att förordningens regler följs. Förordningen innebär en förstärkning av de enskildas rättigheter och utgör även ett tydliggörande av skyldigheterna för den som behandlar personuppgifter, samt en harmonisering av reglerna kring personuppgifter innebärande att samma rättigheter och skyldigheter gäller i hela EU/EES.

När och för vem gäller dataskyddsförordningen?

Dataskyddsförordningen gäller för alla som behandlar personuppgifter, både när man själv bestämmer över behandlingen som personuppgiftsansvarig och när man utför den på uppdrag av någon annan i sin egenskap av personuppgiftsbiträde.

Tillämpningsområde

En personuppgift är en upplysning som avser en identifierad eller identifierbar fysisk person. Dataskyddsförordningen gäller nästan för all automatiserad behandling av personuppgifter, även manuell behandling av personuppgifter i vissa fall.

Förordningen gäller för behandling av personuppgifter som har anknytning till Europeiska unionen. Det kan avse personuppgifter som behandlas av person som är etablerad inom EU eller när någon utanför EU erbjuder tjänster och varor inom EU.

Dataskyddsförordningen gäller i princip inom all slags verksamhet, till exempel för företag, myndigheter, organisationer och privatpersoner så länge det avser behandling av personuppgifter. Den gäller oavsett vem som utför personuppgiftsbehandlingen. Vissa undantag finns från tillämpningsområdet, nämligen för privatpersoners egna privata behandling av personuppgifter. Förordningen gäller heller inte när någon behandlar personuppgifter i samband med utövande av sin yttrande- eller informationsfrihet.

Dataskyddsförordningens regler liknar de regler som fanns i personuppgiftslagen. Alltjämt får personuppgifter behandlas om man har samtycke från den registrerade. Även för att uppfylla ett avtal eller efter en intresseavvägning är det möjligt att behandla personuppgifter. De registrerade har rätt att få information om personuppgiftsbehandlingen. Den som behandlar personuppgifter ska ha tillräckliga säkerhetsåtgärder för att uppgifterna skyddas på ett tillförlitligt sätt. Särskilt höga krav på säkerhet ställs på uppgifter om hälsa, etniskt ursprung, politisk uppfattning eller religiös tro.

Behandling i anställningsförhållanden

Medlemsstaterna får i lag eller i kollektivavtal fastställa mer specifika regler för att säkerställa skyddet av rättigheter och friheter vid behandling av anställdas personuppgifter i anställningsförhållanden. Denna möjlighet gäller särskilt vid rekrytering, genomförande av anställningsavtalet, inklusive befrielse från i lag eller kollektivavtal stadgade skyldigheter, ledning, planering och organisering av arbetet, jämställdhet och mångfald i arbetslivet, hälsa och säkerhet på arbetsplatsen samt skydd av arbetsgivarens eller kundens egendom. Det gäller också att såväl kollektivt som individuellt utöva och komma i åtnjutande av rättigheter och förmåner som är knutna till anställningen samt att avsluta anställningsförhållandet.

Dataskyddsförordningen ersätter personuppgiftslagen

De flesta regler som gällde enligt personuppgiftslagen finns kvar i motsvarande bestämmelser i dataskyddsförordningen. Dock innehåller vissa bestämmelser högre krav än tidigare, till exempel krav avseende giltigt samtycke till personuppgiftsbehandling. Individens rättigheter har utökats och förstärkts genom förordningen och kraven på informationssäkerhet vid behandling av personuppgifter har ökat genom att nya krav och hårdare sanktioner för brott mot förordningen har införts. Detta är tänkt att medföra att reglerna efterlevs i större utsträckning än hur reglerna i personuppgiftslagen efterlevdes.

Missbruksregeln har upphört

I personuppgiftslagen fanns en förenklad regel för behandling av personuppgifter i löpande text och enkla listor. Den innebar att man fick behandla uppgifter i vissa situationer så länge det inte var kränkande för någon. Den regeln försvann när dataskyddsförordningen trädde i kraft. Borttagandet av regeln innebar att det blev samma regler för personuppgifter i databaser och ärendehanteringssystem, som skrivs i till exempel e-post. Borttagandet av missbruksregeln medförde att den som behandlar personuppgifter ska ta hänsyn till fler regler än tidigare för att vara säker på att denne gör rätt i hanteringen av personuppgifter.

Inför dataskyddsförordningen ikraftträdande kartlade många arbetsgivare vilka personuppgifter som man hanterade med stöd av missbruksregeln. Kontroll av tydliga rutiner och instruktioner i organisationen var och är nödvändiga att göra om vad som gäller för publiceringar av personuppgifter.

Närmare om dataskyddsförordningens innebörd

Den registrerade har rätt att få ut de uppgifter som lämnats för att föra över dem till en annan tjänst. Detta kallas för dataportabilitet, och gäller när uppgifter behandlas med stöd av samtycke eller för att uppfylla ett avtal.

Innan personuppgiftsbehandling utförs ska en bedömning göras av vilka konsekvenser behandlingen kan få och vilka åtgärder som behövs för att minska riskerna för de enskilda. Detta kallas för konsekvensbedömning. Om en säkerhetsincident inträffar ska en anmälan göras till Integritetsskyddsmyndigheten inom 72 timmar. Detta kallas för att göra en anmälan om personuppgiftsincident.

Vissa organisationer och myndigheter som behandlar känsliga uppgifter eller uppgifter som innebär en kartläggning av enskildas beteende ska utse en person i organisationen som ska bevaka dataskyddsfrågor. Denna person benämns dataskyddsombud.

Integritetsskyddsmyndigheten har möjlighet att ålägga den som bryter mot förordningens regler en sanktionsavgift. En bedömning ska vid bestämmandet av avgiftens storlek göras utifrån hur allvarlig överträdelsen är, om det skett avsiktligt eller inte, vilka åtgärder som har vidtagits för att minska skadan, om man tjänat ekonomiskt på överträdelsen och andra försvårande eller förmildrande omständigheter.

Territoriellt tillämpningsområde

Dataskyddsförordningen tillämpas på behandlingen av personuppgifter inom ramen för den verksamhet som bedrivs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som är etablerad i EU, oavsett om behandlingen utförs inom unionen eller inte.

Förordningen tillämpas även på behandling av personuppgifter som avser registrerade som befinner sig i unionen och som utförs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som inte är etablerad i EU, om behandlingen har anknytning till utbjudande av varor eller tjänster inom EU.

Med ”personuppgift” avses: varje upplysning som avser en identifierad eller identifierbar fysisk person (registrerad). Med detta avses en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller så kallad online-identifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. Kort sagt det mesta som kan leda till att en person kan identifieras av någon annan.

Med ”behandling” avses: en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring. Det innebär att så gott som all befattning av personuppgifter omfattas av begreppet behandling.

Principer för behandling av personuppgifter

Personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. Uppgifterna ska samlas in för särskilda, uttryckligt angivna ändamål och får inte senare behandlas på ett sätt som är oförenligt med ändamålen. Uppgifterna ska vara adekvata samt relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. De ska även vara korrekta och uppdaterade. För gamla och ouppdaterade uppgifter får således inte behandlas.

Uppgifterna får inte förvaras i en form som gör det möjligt till identifiering av den registrerade under en längre tid än vad som är nödvändigt för det angivna syftet. Personuppgifterna får endast sparas under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av till exempel allmänt eller vetenskapligt intresse.

Uppgifterna ska behandlas på ett säkert och lämpligt sätt, skyddade mot obehörig eller otillåten behandling och mot förlust, förstörelse eller skada.

Laglig behandling av personuppgifter

En behandling av personuppgifter är laglig endast om den registrerade har lämnat sitt samtycke till att personuppgifterna behandlas.

Det är även lagligt att behandla personuppgifter om:

  • behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade,

  • behandlingen är nödvändig för att fullgöra en rättslig förpliktelse,

  • behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person,

  • behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning, eller om

  • behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen.

Villkor för samtycke

Den personuppgiftsansvarige ska visa att den registrerade har samtyckt till behandling av sina personuppgifter. Om den registrerades samtycke lämnas i en skriftlig förklaring som också rör andra frågor, ska begäran om samtycke läggas fram på ett sätt som klart och tydligt kan särskiljas från de andra frågorna i en begriplig och lättillgänglig form. Om en del av förklaringen innebär en överträdelse av förordningen, ska den delen inte vara bindande. Den registrerade ska ha rätt att när som helst återkalla sitt samtycke. Återkallandet av samtycket ska dock förstås inte påverka lagligheten av behandling som grundar sig på samtycke, innan samtycket återkallas.

Vid bedömning av huruvida samtycke är frivilligt ska största hänsyn bland annat tas till om genomförandet av ett avtal, inbegripet tillhandahållandet av en tjänst, har gjorts beroende av samtycke till sådan behandling av personuppgifter som inte är nödvändig för genomförandet av det avtalet.

Behandling av särskilda kategorier av personuppgifter

Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska vara förbjuden.

Det är dock tillåtet om den registrerade uttryckligen har lämnat sitt samtycke till behandlingen av dessa personuppgifter för ett eller flera specifika ändamål, eller exempelvis om behandlingen är nödvändig för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och/eller inom områdena social trygghet och socialt skydd.

Behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder får utföras under kontroll av myndighet eller då behandling är tilllåten enligt unionsrätten eller medlemsstaternas nationella rätt.

Om flera personuppgiftsansvariga fastställer ändamålen för behandlingen ska de vara gemensamt personuppgiftsansvariga.

Om en typ av behandling leder till en hög risk för att fysiska personers rättigheter och friheter kränks eller inskränks, ska den personuppgiftsansvarige utföra en bedömning av den planerade behandlingens eventuella konsekvenser för skyddet av personuppgifter.

Uppförandekoder

Samtliga medlemsstater, tillsynsmyndigheter, styrelser och kommissioner ska uppmuntra arbetet av s.k. uppförandekoder (policyer) för att bidra till att dataskyddsförordningen genomförs korrekt.

Sammanslutningar som företräder kategorier av personuppgiftsansvariga eller personuppgiftsbiträden får utarbeta sådana uppförandekoder i syfte att specificera tillämpningen av förordningen.

Överföring på grundval av ett beslut om adekvat skyddsnivå

Personuppgifter får överföras till ett tredjeland eller till en internationell organisation om kommissionen har beslutat att tredjelandet säkerställer en adekvat skyddsnivå. Det ska inte krävas något särskilt tillstånd för en sådan överföring.

Överföring som omfattas av lämpliga skyddsåtgärder

I avsaknad av ett beslut får en personuppgiftsansvarig eller ett personuppgiftsbiträde bara överföra personuppgifter till ett tredjeland eller en internationell organisation efter att ha vidtagit lämpliga skyddsåtgärder, och på villkor att lagstadgade rättigheter för registrerade och effektiva rättsmedel för registrerade finns tillgängliga.

Dock får lämpliga skyddsåtgärder ta form utan att det krävs något särskilt tillstånd från en övervakningsmyndighet. Det kan till exempel vara ett rättsligt bindande och verkställbart instrument mellan offentliga myndigheter eller organ, bindande företagsbestämmelser eller standardiserade dataskyddsbestämmelser som antas av kommissionen.

Undantag i särskilda situationer

Om det inte föreligger något beslut om adekvat skyddsnivå eller om lämpliga skyddsåtgärder, får en överföring eller uppsättning av överföringar av personuppgifter till ett tredjeland eller en internationell organisation endast ske om något av följande villkor är uppfyllt:

  • den registrerade har uttryckligen samtyckt till att uppgifterna får överföras,

  • överföringen är nödvändig för att fullgöra ett avtal mellan den registrerade och den personuppgiftsansvarige,

  • överföringen är nödvändig för att ingå eller fullgöra ett avtal mellan den personuppgiftsansvarige och en annan fysisk eller juridisk person i den registrerades intresse,

  • överföringen är nödvändig av viktiga skäl som rör allmänintresset,

  • överföringen är nödvändig för att kunna fastställa, göra gällande eller försvara rättsliga anspråk,

  • överföringen är nödvändig för att skydda den registrerades eller andra personers grundläggande intressen, när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke, eller när

  • överföringen görs från ett register som enligt unionsrätten eller medlemsstaternas nationella rätt är avsett att ge allmänheten information och som är tillgängligt antingen för allmänheten eller för var och en som kan styrka ett berättigat intresse, men endast i den utsträckning som de i unionsrätten eller i medlemsstaternas nationella rätt angivna villkoren för tillgänglighet uppfylls i det enskilda fallet.

Internationellt samarbete för skydd av personuppgifter

När det gäller tredjeländer och internationella organisationer ska kommissionen och tillsynsmyndigheterna vidta lämpliga åtgärder för att utveckla rutiner för det internationella samarbetet, för att underlätta en effektiv tillämpning av lagstiftningen om skydd av personuppgifter.

Tillsynsmyndighet

Varje medlemsstat ska föreskriva att en eller flera offentliga myndigheter ska vara ansvariga för att övervaka tillämpningen av förordningen. Detta sker i syfte att skydda fysiska personers grundläggande rättigheter och friheter i samband med behandling, samt att underlätta det fria flödet av sådana uppgifter inom EU. Tillsynsmyndigheten ska vara fullständigt oberoende i utförandet av sina uppgifter och utövandet av sina befogenheter i enlighet med denna förordning.

Varje tillsynsmyndighet ska vara behörig att utföra de uppgifter och utöva de befogenheter som tilldelas. Tillsynsmyndigheterna ska inte vara behöriga att utöva tillsyn över domstolar som behandlar personuppgifter i sin dömande verksamhet. Utan att det påverkar de andra uppgifter som föreskrivs i förordningen, ska varje tillsynsmyndighet ansvara för övervakningen och verkställa tillämpningen av dataskyddsförordningen på sitt territorium.

Tillsynsmyndigheten ska ha olika utredningsbefogenheter, till exempel att kunna beordra den personuppgiftsansvarige eller personuppgiftsbiträdet att lämna myndigheten all den information som myndigheten behöver för att kunna fullgöra sina uppgifter.

Varje tillsynsmyndighet ska årligen upprätta en rapport om sin verksamhet. Rapporten kan omfatta en förteckning över olika typer av anmälda överträdelser och olika typer av åtgärder som vidtagits.

Tillsynsmyndigheterna samarbetar med varandra och med kommissionen.

Integritetsskyddsmyndigheten

Den 1 januari 2021 bytte Datainspektionen namn till Integritetsskyddsmyndigheten (IMY), främst med anledning av det förändringsarbete som pågått på myndigheten sedan införandet av dataskyddsförordningen, GDPR.

Myndigheten har dock samma uppdrag som tidigare, att fortsatt arbeta för att skydda medborgarnas personuppgifter. Det kan vara uppgifter om hälsa och ekonomi och myndighetens arbete ska se till så att uppgifterna hanteras korrekt.

Tänk på

Namnbytet innebär att arbetsgivare som hänvisar till myndigheten på exempelvis hemsidor eller i blanketter behöver ändra från Datainspektionen till Integritetsskyddsmyndigheten.

Europeiska dataskyddsstyrelsen

Europeiska dataskyddsstyrelsen inrättas som ett unionsorgan. Den ska ha ställning som juridisk person. Styrelsen ska bestå av chefen för en tillsynsmyndighet per medlemsstat och av Europeiska datatillsynsmannen eller deras respektive företrädare. Styrelsen ska vara oberoende vid fullgörandet av sina uppgifter eller vid utövandet av sina befogenheter. Styrelsen ska se till att förordningen tillämpas enhetligt. Styrelsen har som uppgift att bland annat övervaka och säkerställa korrekt tillämpning av förordningen ge kommissionen råd i alla frågor som gäller skydd av personuppgifter inom unionen, inklusive råd om eventuella förslag till ändring av förordningen.

Rätt att lämna in klagomål till en tillsynsmyndighet

Varje registrerad som anser att behandlingen av personuppgifter som avser henne eller honom strider mot dataskyddsförordningen har rätt att lämna in ett klagomål till en tillsynsmyndighet, särskilt i den medlemsstat där den registrerade har sin hemvist eller sin arbetsplats eller där det påstådda intrånget begicks. Den tillsynsmyndighet till vilken klagomålet har ingetts ska underrätta den enskilde om hur arbetet med klagomålet fortskrider och vad resultatet blir, inbegripet möjligheten till rättslig prövning.

Ansvar och rätt till ersättning

Varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av dataskyddsförordningen, har rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan.

Varje personuppgiftsansvarig som medverkat vid behandlingen ska ansvara för skada som orsakats av behandling som strider mot denna förordning. Ett personuppgiftsbiträde ska ansvara för skada uppkommen till följd av behandlingen endast om denne inte har fullgjort de skyldigheter i förordningen som specifikt riktar sig till personuppgiftsbiträden. Den personuppgiftsansvarige eller personuppgiftsbiträdet kan undgå ansvar om denne visar att denne inte på något sätt är ansvarig för den händelse som orsakade skadan.

Sanktioner

Varje medlemsstat ska fastställa regler om sanktioner för överträdelser av förordningen. Medlemsstaterna ska även vidta alla nödvändiga åtgärder för att säkerställa att de genomförs. Sanktionerna ska vara effektiva, proportionella och avskräckande.

Befintliga bestämmelser om dataskydd inom kyrkor och religiösa samfund

Om kyrkor och religiösa samfund eller gemenskaper i en medlemsstat vid tidpunkten för ikraftträdandet av förordningen tillämpar övergripande bestämmelser om skyddet av fysiska personer i samband med behandling, får sådana befintliga bestämmelser fortsätta att tillämpas under förutsättning att de görs förenliga med denna förordning.

Tänk på

Reglerna ska tillämpas även inom anställningsförhållanden. Det ger ett stärkt skydd för de anställda, jämfört med den tidigare personuppgiftslagen (PuL).

Lagrum

dataskyddslagen (2018:218)

dataskyddsförordningen 2016/679/EU (GDPR)