Den 25 maj 2018 började EU:s dataskyddsförordning, ofta kallad GDPR (General Data Protection Regulation), att gälla i Sverige och resten av EU. Syftet med den nya förordningen är att skapa enhetliga regler inom hela EU gällande skydd och hantering av personuppgifter.
Tidigare var det personuppgiftslagen (1998:204), förkortad PuL, som reglerade hur personuppgifter fick behandlas och lagras. Många av dessa regler återfinns även i dataskyddsförordningen men det finns också en hel del skillnader där förordningen förtydligar och förstärker skyddet för den enskilde individen. Med den nya förordningen blir också skyldigheterna och ansvaret för den som behandlar personuppgifter tydligare och den som behandlar personuppgifter kan tvingas betala höga sanktionsavgifter om man bryter mot det nya regelverket.
Dataskyddsförordningen omfattar mer eller mindre all behandling av personuppgifter, både automatiserad och manuell, oavsett vilken slags verksamhet det handlar om eller vem det är som behandlar personuppgiften. Undantag görs dock för privatpersoner som behandlar personuppgifter helt och hållet i privat syfte utan koppling till affärsmässig verksamhet. Exempel på det kan vara en adressbok eller en lista med inbjudna gäster.
Alla företag och organisationer är enligt förordningen ålagda att kartlägga och sammanställa ett register som beskriver de olika sätt som man hanterar personuppgifter på och detta register måste hållas uppdaterat. Av registret ska det tydligt framgå vem som internt är ansvarig för ett visst register eller IT-system, vad registret/systemet används till, vilka typer av personer förekommer i registret/systemet, vilka typer av personuppgifter som finns och med vilken rättslig grund uppgifterna hanteras.
Personuppgifter
En personuppgift är en uppgift som på något sätt kan kopplas till en identifierad enskild person, t.ex. namn, adress, personnummer men också foton på personer, en bil som kan kopplas till en enskild individ, o.s.v. Vissa personuppgifter anses vara särskilt känsliga, exempelvis en persons etniska ursprung, politiska åsikter, religionsåskådning, sexuella läggning, hälsouppgifter och facktillhörighet. Utgångspunkten är att denna typ av personuppgifter inte får behandlas men om de ändå måste behandlas ställs strängare krav på säkerhet och man måste ha väldigt tydliga anledningar till varför dessa uppgifter måste behandlas.
Behandling
Med behandling av personuppgifter menar man en rad typer av åtgärder som t.ex. insamling, registrering, lagring, bearbetning, spridning, justering, radering, osv. Inom löneområdet förekommer många personuppgifter och många olika typer av behandling.
Grundläggande principer för behandling av personuppgifter
Behandling av personuppgifter får ske med utgångspunkt i ett antal grundläggande principer som kortfattat beskrivs nedan.
Laglighet, korrekthet och öppenhet
All behandling av personuppgifter måste ha stöd i dataskyddsförordningen som anger sex rättsliga grunder för behandling. Observera att privata företag och offentlig verksamhet kan stödja sig på olika rättsliga grunder.
Samtycke: betyder att den registrerade uttryckligen har godkänt personuppgiftsbehandlingen. Observera dock att det kan vara svårt att bevisa att samtycke lämnats eller att samtycket är helt och hållet frivilligt. Det är därför klokt att, så långt det är möjligt, se om man kan stödja personuppgiftsbehandlingen på någon av de andra rättsliga grunderna.
Avtal: Den registrerade har ett avtal eller ska ingå ett avtal med den personuppgiftsansvarige, t.ex. anställningsavtal.
Intresseavvägning: Den personuppgiftsansvarige får behandla personuppgifter utan den registrerades samtycke om den personuppgiftsansvariges intressen väger tyngre än den registrerades och om behandlingen är nödvändig för det aktuella ändamålet.
Rättslig förpliktelse: lagar eller regler som gör att den personuppgiftsansvarige måste behandla vissa personuppgifter i sin verksamhet.
Myndighetsutövning och uppgift av allmänt intresse: Den personuppgiftsansvarige måste behandla personuppgifter för att utföra sina myndighetsuppgifter eller för att utföra en uppgift av allmänt intresse.
Grundläggande intresse: Den personuppgiftsansvarige måste behandla personuppgifter för att skydda en registrerad som inte kan lämna samtycke, till exempel om den är medvetslös.
Ändamålsbegränsning
Personuppgifter får bara samlas in för tydligt specificerade och berättigade ändamål och den registrerade ska också informeras om varför en personuppgift har samlats in och hur den kommer att behandlas.
Uppgiftsminimering
Endast personuppgifter som verkligen behövs för ändamålet med behandlingen ska samlas in, d.v.s. man får inte samla in en uppgift bara för att det ”kan vara bra att ha”.
Korrekthet
Personuppgifter som behandlas ska vara korrekta och uppdateras vid behov.
Lagringsminimering
När personuppgifterna inte längre behövs ska de gallras och raderas såvida det inte finns någon rättslig skyldighet som kräver att uppgiften även fortsättningsvis ska sparas.
Integritet och konfidentialitet
Personuppgifterna ska skyddas, tekniskt och med hjälp av tydliga rutiner så att de inte förloras, förstörs eller kommer i orätta händer.
Ansvarsskyldighet
Den som ansvarar för behandling av personuppgifter måste kunna visa att man vidtagit åtgärder för att uppfylla dataskyddsförordningens krav och regler och att dessa åtgärder efterlevs.
Personuppgiftsansvarig
Den bestämmer syftet med behandlingen av personuppgifter kallas för personuppgiftsansvarig och är normalt en juridisk person, t.ex. aktiebolag, stiftelse eller förening eller en myndighet.
Den personuppgiftsansvarige kan överlåta arbetet med behandlingen av personuppgifter men personuppgiftsansvaret kan aldrig överlåtas och det är alltid den personuppgiftsansvarige som ytterst svarar för att dataskyddsförordningen följs.
Personuppgiftsbiträde
Den som behandlar personuppgifter för den personuppgiftsansvariges räkning kallas för personuppgiftsbiträde. Ett personuppgiftsbiträde finns alltid utanför den egna organisationen och ett exempel är servicebyråer som erbjuder tjänster inom lönehantering. Den personuppgiftsansvarige bör teckna avtal med personuppgiftsbiträdet för att tydliggöra för personuppgiftsbiträdet hur personuppgifterna ska behandlas utifrån de ändamål som den personuppgiftansvarige har.
Personuppgiftsbiträdet är skyldigt att säkerställa att personuppgifterna hanteras enligt givna instruktioner och att säkerhetsnivån är tillräcklig för att uppfylla dataskyddsförordningens krav.
Individers rättigheter
Dataskyddsförordningen förtydligar ett antal rättigheter som de registrerade har. Dessa rättigheter innebär i korthet att de registrerade ska få information om när, hur och varför deras personuppgifter behandlas och hur länge de kommer att sparas. Den registrerade ska också ges möjlighet till kontroll över sina egna uppgifter och därmed, i vissa fall, ha rätt att få sina uppgifter rättade, raderade eller blockerade, eller att få ut eller flytta sina uppgifter. Jämfört med den tidigare personuppgiftslagen har de registrerade i dataskyddsförordningen fått utökade, förstärkta och tydliggjorda rättigheter.