Dataskyddsförordningen

Från Wikipedia
Hoppa till navigering Hoppa till sök
Europeiska flaggan Europeisk unionsrätt
Dataskyddsförordningen
Förordning om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)

(Text av betydelse för EES)

Aktnummer Förordning (EU) 2016/679
Celexnummer 32016R0679
Offentliggjort i EUT L 119, 4.5.2016, s. 1–88
Rättslig form Förordning
Rättsligt bindande Yes check.svg Ja
Direkt tillämpligt Yes check.svg Ja
Tillämpas av Europeiska unionen samt Island, Liechtenstein, Norge, Storbritannien[1]
Utfärdat av Europaparlamentet och Europeiska unionens råd
Rättslig grund Art. 16 FEUF[2]

Relaterad lagstiftning
Nuvarande och tidigare gällande lagstiftning
Förordning (EU) 2016/679
Utfärdat Trätt i kraft Tillämpligt Upphävt
2016-04-27 2016-05-24 2018-05-25
Direktiv 95/46/EG
Utfärdat Trätt i kraft Tillämpligt Upphävt
1995-10-24 1995-12-13 1998-10-24 2018-05-25

Dataskyddsförordningen (DSF), eller allmänna dataskyddsförordningen (engelska: General Data Protection Regulation, GDPR), är en europeisk förordning som reglerar behandlingen av personuppgifter och det fria flödet av sådana uppgifter inom Europeiska unionen. Förordningen utgör grunden för skyddet för fysiska personer vid behandling av personuppgifter inom unionen, en grundläggande rättighet enligt stadgan om de grundläggande rättigheterna. Den utfärdades av Europaparlamentet och Europeiska unionens råd den 27 april 2016 och trädde i kraft den 24 maj 2016, men blev tillämplig först den 25 maj 2018. Förordningen ersatte dataskyddsdirektivet samt de nationella lagar som hade införlivat detta direktiv, till exempel personuppgiftslagen (PUL) i Sverige.[3][4]

Dataskyddsförordningen innehåller en rad bestämmelser gällande behandlingen av personuppgifter. En grundläggande princip är att personuppgifter endast får behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. Behandlingen är laglig endast om den grundar sig på någon av de tillåtna rättsliga grunder som anges i förordningen, till exempel genom samtycke av den registrerade.

Förordningen är direkt tillämplig inom hela Europeiska unionen. Därutöver är den även tillämplig i Island, Liechtenstein och Norge genom EES-avtalet.[5] Storbritannien omfattas av förordningen under en övergångsperiod fram till och med den 31 december 2020 i enlighet med avtalet om Storbritanniens utträde ur Europeiska unionen.

Översikt över lagstiftningen[redigera | redigera wikitext]

Dataskyddsförordningen omfattar många bestämmelser, speciellt när det gäller hur företag och andra organisationer som verkar inom Europeiska unionen och övriga EES behandlar och lagrar personuppgifter.

En personuppgift är information som kan knytas till och identifiera en fysisk person som är i livet. Med behandling av personuppgift avses insamling, registrering, organisering, lagring, bearbetning, ändring, läsning, överföring, spridning, radering eller förstöring.

Exempel på så kallad vanlig personuppgift är ett personnamn eller ett personnummer, och ibland även ett fotografi, en e-postadress, en IP-adress, en postadress, en webbkaka eller en karaktärsbeskrivning som kan identifiera en individ. Särskilda kategorier av personuppgifter som inte får registreras, utom vid särskilda undantag, är individens etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa (exempelvis allergier), sexualliv eller sexuell läggning samt sådana genetiska och biometriska uppgifter som syftar till att identifiera individen. Exempel på sådant undantag är att den registrerade har lämnat samtycke till behandling av uppgiften.

Personuppgifter får bara behandlas om det har ett tydligt redovisat syfte enligt någon av sex rättsliga grunder: samtycke, avtal, rättslig förpliktelse, intresseavvägning, uppgift av allmänt intresse eller myndighetsutövning samt grundläggande intresse.[6] I de fall individens samtycke behövs ska samtycket dokumenteras, specificera ett tydligt ändamål, vara frivilligt, tidsbegränsat, lätt att förstå och kunna tas tillbaka.

Webbplatser som har frivilligt utgivningsbevis skyddas av tryckfrihetsförordningen och är enligt svensk lag undantagna från Dataskyddsförordningen.[7]

Processer ska finnas för att minimera mängden behandlade personuppgifter, exempelvis genom att avidentifiera uppgifterna, och för att gallra lagrade personuppgifter om och när de inte längre behövs. Organisationen är skyldig att upprätta ett register över behandlingar av personuppgifter med ändamål.[8] De personuppgifter som lagras ska skyddas, till exempel med interna riktlinjer, behörighetsstyrning, säkerhetskopiering, kryptering eller pseudonymisering.[9]

Exempel på skillnader mot personuppgiftslagen[redigera | redigera wikitext]

Det tidigare svenska undantaget från skydd av behandling av personuppgift i ostrukturerad form, exempelvis löpande text såsom e-post eller enkla listor, finns inte kvar i GDPR.[10]

Många företag och organisationer behöver utse ett särskilt dataskyddsombud. De som bryter mot förordningens regler riskerar böter på upp till 4 % av sin globala omsättning, eller upp till 20 miljoner euro.[11] Incidenter ska anmälas inom 72 timmar, i Sverige till Datainspektionen.[12]

Privatpersoner har särskilda rättigheter enligt GDPR[13], bland annat rätten att bli bortglömd under vissa villkor, det vill säga att begära att känsliga lagrade personuppgifter raderas, eller att användningen av personuppgifter begränsas. Rätten att bli bortglömd kan dock begränsas av andra lagar eller krav enligt rättslig förpliktelse.[14] Den registrerade har rätt till dataportabilitet, det vill säga att få överföra egna personuppgifter till andra tjänsteleverantörer.[15]

Myndigheter[redigera | redigera wikitext]

En myndighet får behandla personuppgifter utan individens samtycke när det krävs för fullgörande av lagstadgad myndighetsutövning, exempelvis arkivering av uppgifter som enligt svensk lag är allmän handling och skyldighet att sprida information om verksamheten till allmänheten. Myndigheten är ändå skyldig att redovisa syftet.

Baserat på GDPR i kombination med olika specialregler får europeiska myndigheter överföra personuppgifter till servrar i annat land, exempelvis molnbaserad e-post och andra molntjänster, utan samtycke med individen om servrarna är geografiskt placerade inom EES och om organisationen har kontroll över servrarna. Eventuellt får överföring till tredjeland (utanför EES) ske utan samtycke om avtal finns om adekvat skyddsnivå (exempelvis amerikanska företag som har anslutit sig till EU–US Privacy Shield-avtalet[16]) och om detta avtal håller juridiskt vid EU-kommissionens återkommande granskning.[17] Många myndigheter har som policy att begära medgivande inför fotopublicering på sociala medier, som i allmänhet lagras på servrar i USA, men ibland har myndigheten rätt att hävda att publiceringen krävs för att myndigheten ska uppfylla sin lagstadgade skyldighet att informera om verksamheten.

I sammanhanget bör nämnas att information som är säkerhetsskyddad, i Sverige enligt offentlighets- och sekretesslagen och som rör rikets säkerhet, inte får lagras okrypterad på servrar som hanteras av stater som Sverige inte har internationellt säkerhetsskyddsavtal med, och till vilka personal som inte har genomgått svensk säkerhetsutbildning har tillträde.

Följder[redigera | redigera wikitext]

Flera webbsidor stängde ned helt eller blockerade sina tjänster för kunder som använder europeiska IP-adresser med hänvisning till GDPR:s införande eller oklarheter i tolkningen av GDPR. Detta gäller exempelvis ett antal dagstidningar,[18] annonsplattformar,[19][20], bloggsajter[21][22], onlinespel[23] och sajter för DNA-baserad släktforskning.[24]

TV4 vägrade gå med på Googles krav att det ska stå i användaravtalet att TV4:s användare ska godkänna att TV4 skulle sälja uppgifter till Google och deras kunder. Det gör att TV4 inte får använda Googles mycket använda annonsplattform.[25]

Synliga följder av förordningen för vanliga användare är ett stort antal e-postmeddelanden våren 2018 från olika webbplatser som informerar om villkor eller begär användarens medgivande. På många nätsajter kom det under införandet upp fönster där man ska godkänna ett avtal eller läsa mer information. Redan enligt tidigare europeisk lagstiftning, i Sverige enligt Lagen om elektronisk kommunikation (LEK), krävs att webbplatser informerar om och ger möjlighet till opt-out vid webbkakor, men i spåren av GDPR har fler webbplatser, även utanför Europa, börjat informera om webbkakor, och även börjat begära medgivande (opt-in) vid webbkakor.

Ärenden och meddelanden som har skickats i e-tjänsten 1177.se gallras efter två år så att användaren inte kan läsa sina egna meddelanden.[26] I september 2019, 16 månader efter att lagen trätt i kraft, tilldelade datainspektionen den första administrativa sanktionsavgiften till Skellefteå kommun. Bakgrunden till sanktionsavgiften var att en gymnasieskola i kommunen på prov använt ansiktsigenkänning via kamera för att registrera elevers närvaro på lektionerna. Avgiften var på 200.000 SEK[27]

Territoriellt tillämpningsområde[redigera | redigera wikitext]

Dataskyddsförordningen omfattar alla Europeiska unionens medlemsstater. Den trädde i kraft den 24 maj 2016, men blev direkt tillämplig inom hela unionen först den 25 maj 2018. Genom EES-avtalet omfattas även Island, Liechtenstein och Norge av förordningen.[5] Storbritannien omfattas av förordningen under en övergångsperiod fram till och med den 31 december 2020 i enlighet med avtalet om Storbritanniens utträde ur Europeiska unionen.

Se även[redigera | redigera wikitext]

Referenser[redigera | redigera wikitext]

Noter[redigera | redigera wikitext]

  1. ^ Storbritannien omfattas av förordningen i enlighet med avtalet om Storbritanniens utträde ur Europeiska unionen.
  2. ^ ”Artikel 16 i fördraget om Europeiska unionens funktionssätt”. EUT C 202, 7.6.2016, s. 55. EUR-Lex. https://eur-lex.europa.eu/legal-content/SV/TXT/PDF/?uri=OJ:C:2016:202:FULL. 
  3. ^ ”Introduktion till dataskyddsförordningen”. Datainspektionen. https://www.datainspektionen.se/dataskyddsreformen/. Läst 23 mars 2017. 
  4. ^ SFS 2018:218 (lagen.nu)
  5. ^ [a b] ”Gemensamma EES-kommitténs beslut nr 154/2018 av den 6 juli 2018 om ändring av bilaga XI (Elektronisk kommunikation, audiovisuella tjänster och informationssamhället) och protokoll 37 (med den förteckning som avses i artikel 101) till EES-avtalet”. EUT L 183, 19.7.2018, s. 23-26. EUR-Lex. http://eur-lex.europa.eu/legal-content/SV/TXT/PDF/?uri=CELEX:22018D1022. 
  6. ^ ”Rättslig grund för personuppgiftsbehandling”. Datainspektionen. https://www.datainspektionen.se/lagar--regler/dataskyddsforordningen/rattslig-grund/. Läst 23 maj 2018. 
  7. ^ ”Datainspektionen” (på en). www.datainspektionen.se. https://www.datainspektionen.se/vagledningar/for-dig-som-privatperson/utgivningsbevis/. Läst 20 maj 2019. 
  8. ^ ”Föra register över behandling”. Datainspektionen. https://www.datainspektionen.se/lagar--regler/dataskyddsforordningen/fora-register-over-behandling/. Läst 29 maj 2018. 
  9. ^ ”Dataskyddsförordningens grundläggande principer”. Datainspektionen. https://www.datainspektionen.se/lagar--regler/dataskyddsforordningen/grundlaggande-principer/. Läst 4 juli 2018. 
  10. ^ ”Samma regler för alla – Missbruksregeln försvinner”. Datainspektionen. https://www.datainspektionen.se/lagar--regler/dataskyddsforordningen/samma-regler-for-alla/. Läst 23 maj 2018. 
  11. ^ ”Dataskyddsförordningen (GDPR) - Artikel 83, punkt 5 och 6”. www.datainspektionen.se. https://www.datainspektionen.se/lagar--regler/dataskyddsforordningen/dataskyddsforordningen---fulltext/#83. Läst 30 november 2018. 
  12. ^ ”Dataskyddsförordningen (GDPR) - Artikel 33”. www.datainspektionen.se. https://www.datainspektionen.se/lagar--regler/dataskyddsforordningen/dataskyddsforordningen---fulltext/#33. Läst 30 november 2018. 
  13. ^ ”De registrerades rättigheter”. Datainspektionen. https://www.datainspektionen.se/lagar--regler/dataskyddsforordningen/de-registrerades-rattigheter/. Läst 23 maj 2018. 
  14. ^ ”De registrerades rättigheter: Rätt till radering”. Datainspektionen. https://www.datainspektionen.se/lagar--regler/dataskyddsforordningen/de-registrerades-rattigheter/. Läst 23 maj 2018. 
  15. ^ ”Dataskyddsförordningen (GDPR) - Artikel 20”. www.datainspektionen.se. https://www.datainspektionen.se/lagar--regler/dataskyddsforordningen/dataskyddsforordningen---fulltext/#20. Läst 30 november 2018. 
  16. ^ Lista över amerikanska företaget som har anslutit sig till EU–US Privacy Shield
  17. ^ https://www.datainspektionen.se/lagar--regler/dataskyddsforordningen/tredjelandsoverforing/hur-vet-vi-om-ett-tredje-land-har-adekvat-skyddsniva/
  18. ^ Chicago Tribune and LA Times go dark in Europe after GDPR fail, Marketwatch 2018-04-25
  19. ^ Annonsplattformar som stänger ned i Europa på grund av GDPR, Dagens analys 2018-04-19
  20. ^ Hifimagasinet Arkiverad 26 juni 2018 hämtat från the Wayback Machine.: "EU:s nya datalagstiftning GDPR har inneburit mycket huvudbry för oss och vi har kommit fram till att vi inte kan fortsätta att driva Hifimagasinet efter den 25 maj 2018" Läst 2018-06-26
  21. ^ Bloggsajten stängs ner på grund av nya lagen, Aftonbladet 2018-05-22
  22. ^ ”Mindre forum som till exempel Linuxportalen.se hänvisar till GDPR och inaktiverar webbsidan”. http://linuxportalen.se/. 
  23. ^ Spelbolag stänger ner i Euopa inför GDPR, Dagens industri 2018-05-16
  24. ^ Svenska haplogruppsdatabasen Arkiverad 29 maj 2018 hämtat från the Wayback Machine.: "På grund av oklarheter vad som gäller med de nya EU-reglerna rörande GDPR (General Data Protection Regulation) har SHD tills vidare stängt. Läst 2018-05-28.
  25. ^ TV4 om GDPR: "Vi hämtar inte in samtycke åt Google"
  26. ^ ”Så skyddas och hanteras dina uppgifter när du är inloggad - 1177 Vårdguiden”. www.1177.se. https://www.1177.se/stockholm/om-1177-vardguiden/e-tjanster-pa-1177-vardguiden/support-och-tekniska-krav-for-e-tjansterna/sa-skyddas-och-hanteras-dina-uppgifter-nar-du-ar-inloggad/. Läst 22 maj 2019. 
  27. ^ Jonasson, Fredrik (21 augusti 2019). ”Sveriges första sanktionsavgift för GDPR kring ansiktsigenkänning”. GDPR.se. https://gdpr.se/sveriges-forsta-sanktionsavgift-for-gdpr-kring-ansiktsigenkanning/. Läst 17 september 2019. 
Europeiska flaggan EU-portalen – temasidan för Europeiska unionen på svenskspråkiga Wikipedia.