Dataskyddsförordningen

Från Wikipedia
Hoppa till navigering Hoppa till sök
Europeiska flaggan Europeiska unionens förordningar
Dataskyddsförordningen
Europaparlamentets och rådets förordning (EU) 2016/679
av den 27 april 2016
om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)

Aktnummer Förordning (EU) nr 2016/679
Offentliggjort i EUT L 119, 4.5.2016, s. 1–88
Rättslig form Förordning
Rättsligt bindande Yes check.svg Ja
Direkt tillämpligt Yes check.svg Ja
Tillämpas av Europeiska unionen, Island, Liechtenstein, Norge
Utfärdat av Europaparlamentet och Europeiska unionens råd
Rättslig grund Art. 16 FEUF

Relaterad lagstiftning
Nuvarande och tidigare gällande lagstiftning
Förordning (EU) nr 2016/679
Utfärdat Trätt i kraft Tillämpligt Upphävt
2016-04-27 2016-05-24 2018-05-25

Dataskyddsförordningen, allmänna dataskyddsförordningen, DSF eller GDPR efter engelskans General Data Protection Regulation, är en europeisk förordning med syftet att stärka och harmonisera skyddet för levande, fysiska personer inom Europeiska unionen vid hantering av personuppgifter. Förordningen antogs den 27 april 2016 och började gälla fullt ut den 25 maj 2018. Den ersatte då dataskyddsdirektivet (95/46/EG) från 1995.[1]

Den fullständiga benämningen är Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).[1]

Till skillnad från ett EU-direktiv kräver en EU-förordning inte att nationella lagar skapas, utan den gäller direkt i alla medlemsstater och ersätter tidigare nationella bestämmelser. Varje enskild medlemsstat har dock rätten att komplettera förordningen med nationella regler i viss omfattning, till exempel gällande hur ett myndighetsbeslut kan överklagas.[2]

I Sverige ersatte dataskyddsförordningen den äldre personuppgiftslagen (PUL) och den kompletteras i Sverige av den nya dataskyddslagen.[3][4]

Översikt över lagstiftningen[redigera | redigera wikitext]

Dataskyddsförordningen omfattar många bestämmelser, speciellt när det gäller hur företag och andra organisationer som verkar inom Europeiska unionen och övriga EES behandlar och lagrar personuppgifter.

En personuppgift är information som kan knytas till och identifiera en fysisk person som är i livet. Exempel på så kallad vanlig personuppgift är ett personnamn eller ett personnummer, och ibland även ett fotografi, en e-postadress, en IP-adress, en postadress, en webbkaka eller en karaktärsbeskrivning som kan identifiera en individ. Särskilda kategorier av personuppgifter som inte får registreras, utom vid särskilda undantag, är individens etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa, sexualliv eller sexuell läggning samt sådana genetiska och biometriska uppgifter som syftar till att identifiera individen. Med behandling av personuppgift avses exempelvis insamling, registrering, organisering, lagring, bearbetning, ändring, läsning, överföring, spridning, radering eller förstöring.

Personuppgifter får bara behandlas om det har ett tydligt redovisat syfte enligt någon av sex rättsliga grunder: samtycke, avtal, rättslig förpliktelse, intresseavvägning, uppgift av allmänt intresse eller myndighetsutövning samt grundläggande intresse.[5] I de fall individens samtycke behövs ska samtycket dokumenteras, specificera ett tydligt ändamål, vara frivilligt, tidbegränsat, lätt att förstå och kunna tas tillbaka.

Det tidigare svenska undantaget från skydd av behandling av personuppgift i ostrukturerad form, exempelvis i löpande text, finns inte kvar i GDPR.[6] Många företag och organisationer behöver utse ett särskilt dataskyddsombud. De som bryter mot förordningens regler riskerar böter på upp till 4 % av sin globala omsättning, eller upp till 20 miljoner euro.[7]

Processer ska finnas för att minimera mängden behandlade personuppgifter, exempelvis genom att införa pseudonymer såsom hashfunktioner, och för att gallra lagrade personuppgifter om och när de inte längre behövs. Organisationen är skyldig att upprätta ett register över behandlingar av personuppgifter med ändamål.[8] Privatpersoner har särskilda rättigheter enligt GDPR[9], bland annat rätten att bli glömd under vissa villkor, det vill säga att begära att känsliga lagrade personuppgifter raderas, eller att användningen av personuppgifter begränsas. Rätten att bli glömd kan dock begränsas av andra lagar eller krav enligt rättslig förpliktelse.[10]

Myndigheter[redigera | redigera wikitext]

En myndighet får behandla personuppgifter utan individens samtycke när det krävs för fullgörande av lagstadgad myndighetsutövning, exempelvis arkivering av uppgifter som enligt svensk lag är allmän handling och skyldighet att sprida information om verksamheten till allmänheten.

Baserat på GDPR i kombination med olika specialregler får europeiska myndigheter överföra personuppgifter till servrar i annat land, exempelvis molnbaserad e-post och andra molntjänster, utan samtycke med individen om servrarna är geografiskt placerade inom EES och om organisationen har kontroll över servrarna. Eventuellt får överföring till tredjeland (utanför EES) ske utan samtycke om avtal finns om adekvat skyddsnivå (exempelvis amerikanska företag som har anslutit sig till EU–US Privacy Shield-avtalet[11]) och om detta avtal håller juridiskt vid EU-kommissionens återkommande granskning.[12] Många myndigheter har som policy att begära medgivande inför fotopublicering på sociala medier, som i allmänhet lagras på servrar i USA, men ibland har myndigheten rätt att hävda att publiceringen krävs för att myndigheten ska uppfylla sin lagstadgade skyldighet att informera om verksamheten.

I sammanhanget bör nämnas att information som är säkerhetsskyddad, i Sverige enligt offentlighets- och sekretesslagen och som rör rikets säkerhet, inte får lagras okrypterad på servrar som hanteras av stater som Sverige inte har internationellt säkerhetsskyddsavtal med, och till vilka personal som inte har genomgått svensk säkerhetsutbildning har tillträde.

Följder[redigera | redigera wikitext]

Ett fåtal sajter stängde ned helt eller blockerade sina tjänster för kunder som använder europeiska IP-adresser med hänvisning till GDPR:s införande eller oklarheter i tolkningen av GDPR. Detta gäller exempelvis ett antal dagstidningar,[13] annonsplattformar,[14] onlinespel[15] och sajter för DNA-baserad släktforskning.[16]

TV4 vägrade gå med på Googles krav att det ska stå i användaravtalet att TV4:s användare ska godkänna att TV4 skulle sälja uppgifter till Google och deras kunder. Det gör att TV4 inte får använda Googles mycket använda annonsplattform.[17]

Synliga följder av förordningen för vanliga användare är ett stort antal e-postmeddelanden från olika webbplatser som informerar om villkor eller begär användarens medgivande, och att det på många nätsajter kommer upp fönster där man ska godkänna ett avtal eller läsa mer information, och vid tryck på den senare knappen kan man, ibland ganska krångligt, få avstå från att bli registrerad.

Referenser[redigera | redigera wikitext]

  1. ^ [a b] ”Europaparlamentets och rådets förordning (EU) 2016/679” (Noia 64 mimetypes pdf.png PDF). Europeiska unionens officiella tidning. http://eur-lex.europa.eu/legal-content/SV/TXT/PDF/?uri=CELEX:32016R0679&rid=1. Läst 23 mars 2017. 
  2. ^ ”EU:s nya dataskyddsförordning”. Regeringen.se. http://www.regeringen.se/pressmeddelanden/2016/02/eus-nya-dataskyddsforordning/. Läst 27 mars 2017. 
  3. ^ ”Introduktion till dataskyddsförordningen”. Datainspektionen. https://www.datainspektionen.se/dataskyddsreformen/. Läst 23 mars 2017. 
  4. ^ SFS 2018:218 (lagen.nu)
  5. ^ ”Rättslig grund för personuppgiftsbehandling”. Datainspektionen. https://www.datainspektionen.se/lagar--regler/dataskyddsforordningen/rattslig-grund/. Läst 23 maj 2018. 
  6. ^ ”Samma regler för alla – Missbruksregeln försvinner”. Datainspektionen. https://www.datainspektionen.se/lagar--regler/dataskyddsforordningen/samma-regler-for-alla/. Läst 23 maj 2018. 
  7. ^ ”Artikel 83, Paragraf 5 & 6”. http://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32016R0679#d1e6226-1-1. Läst 11 december 2017. 
  8. ^ ”Föra register över behandling”. Datainspektionen. https://www.datainspektionen.se/lagar--regler/dataskyddsforordningen/fora-register-over-behandling/. Läst 29 maj 2018. 
  9. ^ ”De registrerades rättigheter”. Datainspektionen. https://www.datainspektionen.se/lagar--regler/dataskyddsforordningen/de-registrerades-rattigheter/. Läst 23 maj 2018. 
  10. ^ ”De registrerades rättigheter: Rätt till radering”. Datainspektionen. https://www.datainspektionen.se/lagar--regler/dataskyddsforordningen/de-registrerades-rattigheter/. Läst 23 maj 2018. 
  11. ^ Lista över amerikanska företaget som har anslutit sig till EU–US Privacy Shield
  12. ^ https://www.datainspektionen.se/lagar--regler/dataskyddsforordningen/tredjelandsoverforing/hur-vet-vi-om-ett-tredje-land-har-adekvat-skyddsniva/
  13. ^ https://www.marketwatch.com/story/chicago-tribune-la-times-go-dark-in-europe-after-gdpr-fail-2018-05-25 Chicago Tribune and LA Times go dark in Europe after GDPR fail], Marketwatch 2018-04-25
  14. ^ Annonsplattformar som stänger ned i Europa på grund av GDPR, Dagens analys 2018-04-19
  15. ^ Spelbolag stänger ner i Euopa inför GDPR, Dagens industri 2018-05-16
  16. ^ Svenska haplogruppsdatabasen: "På grund av oklarheter vad som gäller med de nya EU-reglerna rörande GDPR (General Data Protection Regulation) har SHD tills vidare stängt. Läst 2018-05-28.
  17. ^ TV4 om GDPR: "Vi hämtar inte in samtycke åt Google"
Europeiska unionens flagga EU-portalen – temasidan för Europeiska unionen på svenskspråkiga Wikipedia.