EU:s dataskyddsförordning 2016/679 (GDPR, The General Data Protection Regulation) Not 1 trädde i kraft den 25 maj 2018 och samtidigt upphävdes personuppgiftslagen (1998:204) (PuL).
I Sverige gäller också lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning.
Förordning
Förordning (2018:219) med kompletterande bestämmelser till EU:s dataskyddsförordning
Föreskrifter
Datainspektionens föreskrifter om personuppgiftslagen
Syfte: (artikel 1 i GDPR)
Att skapa en enhetlig och likvärdig nivå för skyddet av personuppgifter så att det fria flödet av uppgifter inom Europa inte hindras. Förordningen ska också skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter.
Tillämplighet: (artikel 2-3)
Dataskyddsförordningen gäller i princip för all automatiserad behandling av personuppgifter och i vissa fall även manuell behandling av personuppgifter. Personuppgifter är varje upplysning som avser en identifierad eller identifierbar fysisk person.
GDPR gäller i princip inom all slags verksamhet och oavsett vem som utför personuppgiftsbehandlingen. Den gäller således för företag, föreningar, organisationer, myndigheter och privatpersoner. Det finns undantag, bland annat för privatpersoners egna privata behandling av personuppgifter.
Huvudregler:
Grundläggande principer (artikel 5-11)
I dataskyddsförordningen finns ett antal grundläggande principer som kan sägas vara kärnan i förordningen.
Principerna innebär bland annat att personuppgiftsansvariga:
- måste ha stöd i dataskyddsförordningen för att få behandla personuppgifter. I dataskyddsförordningen finns sex rättsliga grunder, varav en ska vara uppfylld för varje personuppgiftsbehandling.
- bara får samla in personuppgifter för specifika, särskilt angivna och berättigade ändamål
- inte ska behandla fler personuppgifter än vad som behövs för ändamålen
- ska se till att personuppgifterna är riktiga
- ska radera personuppgifterna när de inte längre behövs
- ska skydda personuppgifterna, till exempel så att inte obehöriga får tillgång till dem och så att de inte förloras eller förstörs
- ska kunna visa att och hur man lever upp till dataskyddsförordningen.
Läs mer på Datainspektionens hemsida Dataskyddsförordningens grundläggande principer.
Information av registrerade samt rätt till rättelse och radering (artikel 13-22)
Det ska vara klart och tydligt för de registrerade hur deras personuppgifter behandlas. De ska alltså veta att de samlas in, varför de samlas in och hur de används.
De registrerade ska också veta vad de har för rättigheter, till exempel hur de kan begära registerutdrag, hur de kan få fel rättade och hur de kan få personuppgifter raderade.
De registrerade måste därför få information om ovanstående.
En annan grundregel är att personuppgifter inte får behandlas utan samtycke från dem som registreras. Undantag gäller bland annat för behandling som är nödvändig för arbetsuppgift i samband med myndighetsutövning (framgår av 2 kap 2 § lag med kompletterande bestämmelser till EU:s dataskyddsförordning).
Läs mer på Datainspektionens hemsida De registrerades rättigheter.
Personuppgiftsansvarig och personuppgiftsbiträde (artikel 24-31)
Den som behandlar personuppgifter är antingen personuppgiftsansvarig eller personuppgiftsbiträde.
Personuppgiftsansvarig är den som bestämmer för vilka ändamål uppgifterna ska behandlas och hur behandlingen ska gå till. Personuppgiftsansvarig är den organisation (till exempel aktiebolag, stiftelse, förening eller myndighet som bestämmer för vilka ändamål uppgifterna ska behandlas och hur behandlingen ska gå till. Det är alltså inte chefen på en arbetsplats eller en anställd som är personuppgiftsansvarig.
Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning.
Läs mer på Datainspektionens hemsida Personuppgiftsansvariga och personuppgiftsbiträden.
Säkerhet för personuppgifter (artikel 32-36)
Informationssäkerhet handlar framför allt om att hindra information från att läcka ut, förvanskas och förstöras. Läs mer på Datainspektionens sida Informationssäkerhet.
Dataskyddsombud (artikel 37-39)
Den som behandlar personuppgifter måste i vissa fall utse ett dataskyddsombud. Det gäller bland annat om behandlingen genomförs av en myndighet eller ett offentligt organ. Dataskyddsombudets kontaktuppgifter ska skickas till Datainspektionen.
Ombudets roll är att kontrollera att dataskyddsförordningen (GDPR) följs inom organisationen genom att till exempel utföra kontroller och informationsinsatser.
Läs mer på Datainspektionens sida Dataskyddsombud.
Tillsyn
Datainspektionen är tillsynsmyndighet enligt 3 § i förordning med kompletterande bestämmelser till EU:s dataskyddsförordning.
Mer information:
Dataskyddsförordningen (GDPR) (Datainspektionen)