Introduktion till GDPR
Inledning
Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG, även känd som GDPR.
Förordningen har direkt tillämpning i EU:s medlemsstater, se artikel 288 FEUF och har ersatt dataskyddsdirektivet.
Grundtanken bakom dataskyddsförordningen är att en person ska få bestämma hur andra använder information om honom eller henne. Det ska utgöra ett skydd för den personliga integriteten.
Det finns vissa kompletterade nationella författningar, se lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) samt förordning (2018:2019) med kompletterande bestämmelser till EU:s dat skyddsförordning.
Materiell och geografisk tillämpning
Det materiella tillämpningsområdet regleras i artikel 2 i GDPR. Förordningen tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatiskt väg samt på annan behandling. Det finns också undantag, bl.a. behandling av personuppgifter som en fysisk person utför som ett led i verksamhet av rent privat natur eller har samband med hans eller hennes hushåll. Det territoriella tillämpningsområdet i artikel 4 är vidsträckt.
Laglig behandling av personuppgifter
Grundläggande principer om behandling av personuppgifter finns i artikel 5(1). Som regel förbjuds inte behandling av personuppgifter, det krävs bara att man har en laglig grund för sin behandling. Behandling ska ske på ett lagligt, korrekt och öppet sätt. Uppgiftsbehandlingen ska vara ändamålsbegränsad och tillämpa uppgiftsminimering.
Vid lagring måste man kunna rättfärdiga sin behandling i någon av de följande punkterna:
- Samtycke: Bör endast användas om inga av de övriga grunderna är tillämpliga. Krävs frivillighet och att vederbörande är informerad.
- Avtal: t.ex. vid anställningsförhållanden. Behandling av personuppgifter är nödvändigt för att avtalet ska fullgöras.
- Rättsliga krav: t.ex. krav enligt bokföringslagen.
- Grundläggande intresse hos den vars personuppgifter behandlas: tillämpas framförallt inom vården, t.ex. vid akut vård.
- För att kunna göra en arbetsuppgift av allmänt intresse eller myndighetsutövning.
- Den personuppgiftsansvarigas intresse väger tyngre än den enskildes intresse: s.k. intresseavvägning.
Enskildes rättigheter
Den registrerade personen har rätt att få information om behandlingen, se artikel i 13-14 GDPR.
En intressant bestämmelse om rätten att bli glömd finns i artikel 17 i GDPR. Den registrerade har rätt att begränsa behandlingen enligt artikel 18.
Sen finns det skyldigheter och krav på personuppgiftsansvarige.
Särskilda bestämmelser finns om tillsyn och kontroll. Det är den svenska integritetsskyddsmyndighet som är tillsynsmyndighet.
En verksamhet som inte följer förordningens bestämmelser kan påläggas en sanktionsavgift enligt artikel 58 och 83 i GDPR. Det finns dessutom möjligheter för den enskilde att begära ersättning från personuppgiftsansvarig eller personuppgiftsbiträde.