Öppna huvudmenyn

Dataskyddsförordningen

europeisk förordning med syftet att stärka skyddet för personer inom EU vid hantering av personuppgifter
Europeiska flaggan Europeiska unionens förordningar
Dataskyddsförordningen
Europaparlamentets och rådets förordning (EU) 2016/679
av den 27 april 2016
om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)

Aktnummer Förordning (EU) nr 2016/679
Offentliggjort i EUT L 119, 4.5.2016, s. 1–88
Rättslig form Förordning
Rättsligt bindande Yes check.svg Ja
Direkt tillämpligt Yes check.svg Ja
Tillämpas av Europeiska unionen, Island, Liechtenstein, Norge
Utfärdat av Europaparlamentet och Europeiska unionens råd
Rättslig grund Art. 16 FEUF

Relaterad lagstiftning
Nuvarande och tidigare gällande lagstiftning
Förordning (EU) nr 2016/679
Utfärdat Trätt i kraft Tillämpligt Upphävt
2016-04-27 2016-05-24 2018-05-25

Dataskyddsförordningen (DSF) eller allmänna dataskyddsförordningen, mer känd som GDPR efter engelskans General Data Protection Regulation, är en europeisk förordning med syftet att stärka och harmonisera skyddet för levande, fysiska personer inom Europeiska unionen vid hantering av personuppgifter. Den hindrar organisationer från att databehandla personuppgifter utan rättslig grund, till exempel samtycke. Förordningen antogs den 27 april 2016 och började gälla fullt ut den 25 maj 2018. Den ersatte då dataskyddsdirektivet (95/46/EG) från 1995.[1]

Den fullständiga benämningen är Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).[1]

Till skillnad från ett EU-direktiv kräver en EU-förordning inte att nationella lagar skapas, utan den gäller direkt i alla medlemsstater och ersätter tidigare nationella bestämmelser. Varje enskild medlemsstat har dock rätten att komplettera förordningen med nationella regler i viss omfattning, till exempel gällande hur ett myndighetsbeslut kan överklagas.[2]

I Sverige ersatte dataskyddsförordningen den äldre personuppgiftslagen (PUL) och den kompletteras i Sverige av den nya lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning.[3][4]

Översikt över lagstiftningenRedigera

Dataskyddsförordningen omfattar många bestämmelser, speciellt när det gäller hur företag och andra organisationer som verkar inom Europeiska unionen och övriga EES behandlar och lagrar personuppgifter.

En personuppgift är information som kan knytas till och identifiera en fysisk person som är i livet. Med behandling av personuppgift avses insamling, registrering, organisering, lagring, bearbetning, ändring, läsning, överföring, spridning, radering eller förstöring.

Exempel på så kallad vanlig personuppgift är ett personnamn eller ett personnummer, och ibland även ett fotografi, en e-postadress, en IP-adress, en postadress, en webbkaka eller en karaktärsbeskrivning som kan identifiera en individ. Särskilda kategorier av personuppgifter som inte får registreras, utom vid särskilda undantag, är individens etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa (exempelvis allergier), sexualliv eller sexuell läggning samt sådana genetiska och biometriska uppgifter som syftar till att identifiera individen. Exempel på sådant undantag är att den registrerade har lämnat samtycke till behandling av uppgiften.

Personuppgifter får bara behandlas om det har ett tydligt redovisat syfte enligt någon av sex rättsliga grunder: samtycke, avtal, rättslig förpliktelse, intresseavvägning, uppgift av allmänt intresse eller myndighetsutövning samt grundläggande intresse.[5] I de fall individens samtycke behövs ska samtycket dokumenteras, specificera ett tydligt ändamål, vara frivilligt, tidsbegränsat, lätt att förstå och kunna tas tillbaka.

Webbplatser som har frivilligt utgivningsbevis skyddas av tryckfrihetsförordningen och är enligt svensk lag undantagna från Dataskyddsförordningen.[6]

Processer ska finnas för att minimera mängden behandlade personuppgifter, exempelvis genom att avidentifiera uppgifterna, och för att gallra lagrade personuppgifter om och när de inte längre behövs. Organisationen är skyldig att upprätta ett register över behandlingar av personuppgifter med ändamål.[7] De personuppgifter som lagras ska skyddas, till exempel med interna riktlinjer, behörighetsstyrning, säkerhetskopiering, kryptering eller pseudonymisering.[8]

Exempel på skillnader mot personuppgiftslagenRedigera

Det tidigare svenska undantaget från skydd av behandling av personuppgift i ostrukturerad form, exempelvis löpande text såsom e-post eller enkla listor, finns inte kvar i GDPR.[9]

Många företag och organisationer behöver utse ett särskilt dataskyddsombud. De som bryter mot förordningens regler riskerar böter på upp till 4 % av sin globala omsättning, eller upp till 20 miljoner euro.[10] Incidenter ska anmälas inom 72 timmar, i Sverige till Datainspektionen.[11]

Privatpersoner har särskilda rättigheter enligt GDPR[12], bland annat rätten att bli glömd under vissa villkor, det vill säga att begära att känsliga lagrade personuppgifter raderas, eller att användningen av personuppgifter begränsas. Rätten att bli glömd kan dock begränsas av andra lagar eller krav enligt rättslig förpliktelse.[13] Den registrerade har rätt till dataportabilitet, det vill säga att få överföra egna personuppgifter till andra tjänsteleverantörer.[14]

MyndigheterRedigera

En myndighet får behandla personuppgifter utan individens samtycke när det krävs för fullgörande av lagstadgad myndighetsutövning, exempelvis arkivering av uppgifter som enligt svensk lag är allmän handling och skyldighet att sprida information om verksamheten till allmänheten.

Baserat på GDPR i kombination med olika specialregler får europeiska myndigheter överföra personuppgifter till servrar i annat land, exempelvis molnbaserad e-post och andra molntjänster, utan samtycke med individen om servrarna är geografiskt placerade inom EES och om organisationen har kontroll över servrarna. Eventuellt får överföring till tredjeland (utanför EES) ske utan samtycke om avtal finns om adekvat skyddsnivå (exempelvis amerikanska företag som har anslutit sig till EU–US Privacy Shield-avtalet[15]) och om detta avtal håller juridiskt vid EU-kommissionens återkommande granskning.[16] Många myndigheter har som policy att begära medgivande inför fotopublicering på sociala medier, som i allmänhet lagras på servrar i USA, men ibland har myndigheten rätt att hävda att publiceringen krävs för att myndigheten ska uppfylla sin lagstadgade skyldighet att informera om verksamheten.

I sammanhanget bör nämnas att information som är säkerhetsskyddad, i Sverige enligt offentlighets- och sekretesslagen och som rör rikets säkerhet, inte får lagras okrypterad på servrar som hanteras av stater som Sverige inte har internationellt säkerhetsskyddsavtal med, och till vilka personal som inte har genomgått svensk säkerhetsutbildning har tillträde.

FöljderRedigera

Flera webbsidor stängde ned helt eller blockerade sina tjänster för kunder som använder europeiska IP-adresser med hänvisning till GDPR:s införande eller oklarheter i tolkningen av GDPR. Detta gäller exempelvis ett antal dagstidningar,[17] annonsplattformar,[18][19], bloggsajter[20][21], onlinespel[22] och sajter för DNA-baserad släktforskning.[23]

TV4 vägrade gå med på Googles krav att det ska stå i användaravtalet att TV4:s användare ska godkänna att TV4 skulle sälja uppgifter till Google och deras kunder. Det gör att TV4 inte får använda Googles mycket använda annonsplattform.[24]

Synliga följder av förordningen för vanliga användare är ett stort antal e-postmeddelanden våren 2018 från olika webbplatser som informerar om villkor eller begär användarens medgivande. På många nätsajter kom det under införandet upp fönster där man ska godkänna ett avtal eller läsa mer information. Redan enligt tidigare europeisk lagstiftning, i Sverige enligt Lagen om elektronisk kommunikation (LEK), krävs att webbplatser informerar om och ger möjlighet till opt-out vid webbkakor, men i spåren av GDPR har fler webbplatser, även utanför Europa, börjat informera om webbkakor, och även börjat begära medgivande (opt-in) vid webbkakor.

Ärenden och meddelanden som har skickats i e-tjänsten 1177.se gallras efter två år så att användaren inte kan läsa sina egna meddelanden.[25] I september 2019, 16 månader efter att lagen trätt i kraft, tilldelade datainspektionen den första administrativa sanktionsavgiften till Skellefteå kommun. Bakgrunden till sanktionsavgiften var att en gymnasieskola i kommunen på prov använt ansiktsigenkänning via kamera för att registrera elevers närvaro på lektionerna.. Avgiften var på 200.000 SEK[26]

Se ävenRedigera

ReferenserRedigera

  1. ^ [a b] ”Europaparlamentets och rådets förordning (EU) 2016/679” (  PDF). Europeiska unionens officiella tidning. http://eur-lex.europa.eu/legal-content/SV/TXT/PDF/?uri=CELEX:32016R0679&rid=1. Läst 23 mars 2017. 
  2. ^ ”EU:s nya dataskyddsförordning”. Regeringen.se. http://www.regeringen.se/pressmeddelanden/2016/02/eus-nya-dataskyddsforordning/. Läst 27 mars 2017. 
  3. ^ ”Introduktion till dataskyddsförordningen”. Datainspektionen. https://www.datainspektionen.se/dataskyddsreformen/. Läst 23 mars 2017. 
  4. ^ SFS 2018:218 (lagen.nu)
  5. ^ ”Rättslig grund för personuppgiftsbehandling”. Datainspektionen. https://www.datainspektionen.se/lagar--regler/dataskyddsforordningen/rattslig-grund/. Läst 23 maj 2018. 
  6. ^ ”Datainspektionen” (på en). www.datainspektionen.se. https://www.datainspektionen.se/vagledningar/for-dig-som-privatperson/utgivningsbevis/. Läst 20 maj 2019. 
  7. ^ ”Föra register över behandling”. Datainspektionen. https://www.datainspektionen.se/lagar--regler/dataskyddsforordningen/fora-register-over-behandling/. Läst 29 maj 2018. 
  8. ^ ”Dataskyddsförordningens grundläggande principer”. Datainspektionen. https://www.datainspektionen.se/lagar--regler/dataskyddsforordningen/grundlaggande-principer/. Läst 4 juli 2018. 
  9. ^ ”Samma regler för alla – Missbruksregeln försvinner”. Datainspektionen. https://www.datainspektionen.se/lagar--regler/dataskyddsforordningen/samma-regler-for-alla/. Läst 23 maj 2018. 
  10. ^ ”Dataskyddsförordningen (GDPR) - Artikel 83, punkt 5 och 6” (på sv). www.datainspektionen.se. https://www.datainspektionen.se/lagar--regler/dataskyddsforordningen/dataskyddsforordningen---fulltext/#83. Läst 30 november 2018. 
  11. ^ ”Dataskyddsförordningen (GDPR) - Artikel 33” (på sv). www.datainspektionen.se. https://www.datainspektionen.se/lagar--regler/dataskyddsforordningen/dataskyddsforordningen---fulltext/#33. Läst 30 november 2018. 
  12. ^ ”De registrerades rättigheter”. Datainspektionen. https://www.datainspektionen.se/lagar--regler/dataskyddsforordningen/de-registrerades-rattigheter/. Läst 23 maj 2018. 
  13. ^ ”De registrerades rättigheter: Rätt till radering”. Datainspektionen. https://www.datainspektionen.se/lagar--regler/dataskyddsforordningen/de-registrerades-rattigheter/. Läst 23 maj 2018. 
  14. ^ ”Dataskyddsförordningen (GDPR) - Artikel 20” (på sv). www.datainspektionen.se. https://www.datainspektionen.se/lagar--regler/dataskyddsforordningen/dataskyddsforordningen---fulltext/#20. Läst 30 november 2018. 
  15. ^ Lista över amerikanska företaget som har anslutit sig till EU–US Privacy Shield
  16. ^ https://www.datainspektionen.se/lagar--regler/dataskyddsforordningen/tredjelandsoverforing/hur-vet-vi-om-ett-tredje-land-har-adekvat-skyddsniva/
  17. ^ Chicago Tribune and LA Times go dark in Europe after GDPR fail, Marketwatch 2018-04-25
  18. ^ Annonsplattformar som stänger ned i Europa på grund av GDPR, Dagens analys 2018-04-19
  19. ^ Hifimagasinet Arkiverad 26 juni 2018 hämtat från the Wayback Machine.: "EU:s nya datalagstiftning GDPR har inneburit mycket huvudbry för oss och vi har kommit fram till att vi inte kan fortsätta att driva Hifimagasinet efter den 25 maj 2018" Läst 2018-06-26
  20. ^ Bloggsajten stängs ner på grund av nya lagen, Aftonbladet 2018-05-22
  21. ^ ”Mindre forum som till exempel Linuxportalen.se hänvisar till GDPR och inaktiverar webbsidan”. http://linuxportalen.se/. 
  22. ^ Spelbolag stänger ner i Euopa inför GDPR, Dagens industri 2018-05-16
  23. ^ Svenska haplogruppsdatabasen Arkiverad 29 maj 2018 hämtat från the Wayback Machine.: "På grund av oklarheter vad som gäller med de nya EU-reglerna rörande GDPR (General Data Protection Regulation) har SHD tills vidare stängt. Läst 2018-05-28.
  24. ^ TV4 om GDPR: "Vi hämtar inte in samtycke åt Google"
  25. ^ ”Så skyddas och hanteras dina uppgifter när du är inloggad - 1177 Vårdguiden”. www.1177.se. https://www.1177.se/stockholm/om-1177-vardguiden/e-tjanster-pa-1177-vardguiden/support-och-tekniska-krav-for-e-tjansterna/sa-skyddas-och-hanteras-dina-uppgifter-nar-du-ar-inloggad/. Läst 22 maj 2019. 
  26. ^ Jonasson, Fredrik (21 augusti 2019). ”Sveriges första sanktionsavgift för GDPR kring ansiktsigenkänning” (på sv-SE). GDPR.se. https://gdpr.se/sveriges-forsta-sanktionsavgift-for-gdpr-kring-ansiktsigenkanning/. Läst 17 september 2019. 
  EU-portalen – temasidan för Europeiska unionen på svenskspråkiga Wikipedia.