Dataskyddsförordningen

Europeiska flaggan Europeisk unionsrätt
Dataskyddsförordningen
Förordning om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)

(Text av betydelse för EES)

AktnummerFörordning (EU) 2016/679
Celexnummer32016R0679
Offentliggjort iEUT L 119, 4.5.2016, s. 1–88
Rättslig formFörordning
Rättsligt bindande Ja
Direkt tillämpligt Ja
Tillämpas avEuropeiska unionen samt Island, Liechtenstein, Norge
Utfärdat avEuropaparlamentet och Europeiska unionens råd
Rättslig grundArt. 16 FEUF[1]

Relaterad lagstiftning
Nuvarande och tidigare gällande lagstiftning
Förordning (EU) 2016/679
UtfärdatTrätt i kraftTillämpligtUpphävt
2016-04-272016-05-242018-05-25
Direktiv 95/46/EG
UtfärdatTrätt i kraftTillämpligtUpphävt
1995-10-241995-12-131998-10-242018-05-25

Dataskyddsförordningen, eller allmänna dataskyddsförordningen (DSF[2]), mest känd som GDPR (engelska: General Data Protection Regulation), är en europeisk förordning som reglerar behandlingen av personuppgifter och det fria flödet av sådana uppgifter inom Europeiska unionen. Förordningen utgör grunden för skyddet för fysiska personers integritet vid behandling av personuppgifter inom unionen, en grundläggande rättighet enligt stadgan om de grundläggande rättigheterna. Den utfärdades av Europaparlamentet och Europeiska unionens råd den 27 april 2016 och trädde i kraft den 24 maj 2016, men blev tillämplig först den 25 maj 2018. Förordningen ersatte dataskyddsdirektivet samt de nationella lagar som hade införlivat detta direktiv, till exempel personuppgiftslagen (PUL) i Sverige.[3][4]

Dataskyddsförordningen innehåller en rad bestämmelser gällande behandlingen av personuppgifter. En grundläggande princip är att personuppgifter endast får behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. Behandlingen är laglig endast om den grundar sig på någon av de tillåtna rättsliga grunder som anges i förordningen, till exempel genom samtycke av den registrerade.

Förordningen är direkt tillämplig inom hela Europeiska unionen. Därutöver är den även tillämplig i Island, Liechtenstein och Norge genom EES-avtalet.[5] Storbritannien omfattades av förordningen under en övergångsperiod fram till och med den 31 december 2020 i enlighet med avtalet om Storbritanniens utträde ur Europeiska unionen.

Översikt över lagstiftningen

Dataskyddsförordningen omfattar många bestämmelser, och framför allt hur företag och andra organisationer som verkar inom Europeiska unionen och övriga EES får behandla och lagra personuppgifter. Förordningen och dess rättigheter samt skyldigheter aktualiseras enligt artikel 2 endast när personuppgifter förekommer, varför omfattningen av begreppet personuppgifter är av central betydelse.[6][7] Förordningen har enligt dess angivna skäl till syfte att upprätthålla rätten till skydd för personuppgifter som stadgas i artikel 8.1 i Europeiska unionens stadga om de grundläggande rättigheterna.

En personuppgift är enligt artikel 4.1 varje upplysning som avser en identifierad eller identifierbar fysisk person.[6] En fysisk person måste vara vid liv. Med behandling av personuppgift avses insamling, registrering, organisering, lagring, bearbetning, ändring, läsning, överföring, spridning, radering eller förstöring.

Exempel på så kallad vanlig personuppgift är ett personnamn eller ett personnummer, och ibland även ett fotografi, en e-postadress, en IP-adress, en postadress, en webbkaka eller en karaktärsbeskrivning som kan identifiera en individ. Särskilda kategorier av personuppgifter som inte får registreras, utom vid särskilda undantag, är individens etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa (exempelvis allergier), sexualliv eller sexuell läggning samt sådana genetiska och biometriska uppgifter som syftar till att identifiera individen. Exempel på sådant undantag är att den registrerade har lämnat samtycke till behandling av uppgiften.

Personuppgifter får bara behandlas om det har ett tydligt redovisat syfte enligt någon av sex rättsliga grunder: samtycke, avtal, rättslig förpliktelse, intresseavvägning, uppgift av allmänt intresse eller myndighetsutövning samt grundläggande intresse.[8] I de fall individens samtycke behövs ska samtycket dokumenteras, specificera ett tydligt ändamål, vara frivilligt, tidsbegränsat, lätt att förstå och kunna tas tillbaka.

Webbplatser som har frivilligt utgivningsbevis skyddas av tryckfrihetsförordningen och är enligt den svenska yttrandefrihetsgrundlagen undantagna från Dataskyddsförordningen.[9] EU-rätt som GDPR har emellertid företräde framför svensk grundlag, och rättsinstanser prövar (2024) om rättsdatabaser som Verifiera AB får samla och sälja särskilt känsliga uppgifter om tvångsvård för psykisk ohälsa och missbruk.[10]

Processer ska finnas för att minimera mängden behandlade personuppgifter, exempelvis genom att avidentifiera uppgifterna, och för att gallra lagrade personuppgifter om och när de inte längre behövs. Organisationen är skyldig att upprätta ett register över behandlingar av personuppgifter med ändamål.[11] De personuppgifter som lagras ska skyddas, till exempel med interna riktlinjer, behörighetsstyrning, säkerhetskopiering, kryptering eller pseudonymisering.[12]

Den 4 juli 2023 presenterade Europeiska kommissionen ett förslag till ytterligare förfaranderegler avseende verkställighet av dataskyddsförordningen i fall där fysiska personer från flera olika medlemsstater berörs. Syftet är att säkerställa en enhetlig tillämpning av dataskyddsförordningen vid gränsöverskridande situationer. Förslaget måste godkännas av Europaparlamentet och Europeiska unionens råd innan det kan träda i kraft.[13][14]

Exempel på skillnader mot personuppgiftslagen

Det tidigare svenska undantaget från skydd av behandling av personuppgift i ostrukturerad form, exempelvis löpande text såsom e-post eller enkla listor, finns inte kvar i GDPR.[15]

Många företag och organisationer behöver utse ett särskilt dataskyddsombud. De som bryter mot förordningens regler riskerar böter på upp till 4 % av sin globala omsättning, eller upp till 20 miljoner euro.[16] Incidenter ska anmälas inom 72 timmar, i Sverige till Integritetsskyddsmyndigheten.[17]

Privatpersoner har särskilda rättigheter enligt GDPR[18], bland annat rätten att bli bortglömd under vissa villkor, det vill säga att begära att känsliga lagrade personuppgifter raderas, eller att användningen av personuppgifter begränsas. Rätten att bli bortglömd kan dock begränsas av andra lagar eller krav enligt rättslig förpliktelse.[19] Den registrerade har rätt till dataportabilitet, det vill säga att få överföra egna personuppgifter till andra tjänsteleverantörer.[20]

Webbkakor

För att få lagra icke-nödvändiga webbkakor (cookies) på användarens dator måste ett företag ha fått samtycke i förväg (opt-in) av användaren. Det räcker inte att bara informera om webbkakan och erbjuda möjlighet att avstå (opt-out), som äldre lagstiftning krävde, i Sverige lagen om elektronisk kommunikation från 2003. Undantag från detta krav är webbkakor som är nödvändiga för att tillhandahålla den funktion användaren begär, exempelvis för att kunna koppla samman webbvisningar som hör till samma användarsession (ett köp med en betalning, eller möjliggöra elektroniska meddelanden[21]), eller som företaget har ett berättigat intresse av att lagra. Dessa kräver inte samtycke, utan enbart att användaren informeras.[22]

Myndigheter

En myndighet får behandla personuppgifter utan individens samtycke när det krävs för fullgörande av lagstadgad myndighetsutövning, exempelvis arkivering av uppgifter som enligt svensk lag är allmän handling och skyldighet att sprida information om verksamheten till allmänheten. Myndigheten är ändå skyldig att redovisa syftet.

Baserat på GDPR i kombination med olika specialregler får europeiska myndigheter överföra personuppgifter till servrar i annat land, exempelvis molnbaserad e-post och andra molntjänster, utan samtycke med individen om servrarna är geografiskt placerade inom EES och om organisationen har kontroll över servrarna. I sammanhanget bör nämnas att information som är säkerhetsskyddad, i Sverige enligt offentlighets- och sekretesslagen och som rör rikets säkerhet, inte får lagras okrypterad på servrar som hanteras av stater som Sverige inte har internationellt säkerhetsskyddsavtal med, och till vilka personal som inte har genomgått svensk säkerhetsutbildning har tillträde.

Överföring till länder utanför EES

Överföring kan ske till servrar i tredjeland (utanför EES) utan att samtycke om avtal finns om adekvat skyddsnivå, och om avtalet håller juridiskt vid EU-kommissionens återkommande granskning. Många amerikanska företag hade anslutit sig till avtalet EU–US Privacy Shield(en)[23] – dock är detta avtal ogiltigförklarat sedan den 16 juli 2020 i och med EU-domstolens dom i Schrems_II-målet(en). I många andra OECD-länder är dock skyddsnivån tillräckligt hög enligt EU-kommissionens beslut.[24][25] I juli 2023 antog kommissionen ett nytt beslut om överföring av personuppgifter mellan EU och USA.[26][27][28]

Många myndigheter har som policy att begära medgivande inför fotopublicering på sociala medier, som i allmänhet lagras på servrar i USA.[källa behövs] I december 2022 presenterade Europeiska kommissionen ett förslag om att ge USA status som ett tredjeland med adekvat skyddsnivå.[29] Innan beslutet kan träda i kraft måste det granskas av Europeiska dataskyddsstyrelsen och godkännas av en kommitté bestående av företrädare för medlemsstaterna.[30]

Totalt finns 16 beslut om adekvat skyddsnivå och som omfattar Andorra, Argentina, Kanada (för kommersiella organisationer), Färöarna, Guernsey, Israel, Isle of Man, Japan, Jersey, Nya Zeeland, Schweiz, Storbritannien, Sydkorea, Uruguay och USA (för kommersiella organisationer under ramen för dataskydd mellan EU och USA).[31]

Följder

Flera webbsidor, företrädesvis utomeuropeiska sådana, stängde ned helt eller blockerade sina tjänster för kunder som använder europeiska IP-adresser med hänvisning till GDPR:s införande eller oklarheter i tolkningen av GDPR. Detta gäller exempelvis ett antal dagstidningar,[32] annonsplattformar,[33][34], bloggsajter[35][36], onlinespel[37] och sajter för DNA-baserad släktforskning.[38]

TV4 vägrade gå med på Googles krav att det ska stå i användaravtalet att TV4:s användare ska godkänna att TV4 skulle sälja uppgifter till Google och deras kunder. Det gör att TV4 inte får använda Googles mycket använda annonsplattform.[39]

Synliga följder av förordningen för vanliga användare är ett stort antal e-postmeddelanden våren 2018 från olika webbplatser som informerar om villkor eller begär användarens medgivande. På många nätsajter kom det under införandet upp fönster där man ska godkänna ett avtal eller läsa mer information. Redan enligt tidigare europeisk lagstiftning, i Sverige enligt Lagen om elektronisk kommunikation (LEK), krävs att webbplatser informerar om och ger möjlighet till opt-out vid webbkakor, men i spåren av GDPR har fler webbplatser, även utanför Europa, börjat informera om webbkakor, och även börjat begära medgivande (opt-in) vid webbkakor.

Ärenden och meddelanden som har skickats i e-tjänsten 1177.se gallras efter två år så att användaren inte kan läsa sina egna meddelanden.[40] I september 2019, 16 månader efter att lagen trätt i kraft, tilldelade datainspektionen den första administrativa sanktionsavgiften till Skellefteå kommun. Bakgrunden till sanktionsavgiften var att en gymnasieskola i kommunen på prov använt ansiktsigenkänning via kamera för att registrera elevers närvaro på lektionerna. Avgiften var på 200.000 SEK[41]

Fram till maj 2023 – fem år efter att dataskyddsförordningen hade trätt i kraft – hade böter motsvarande totalt 2,5 miljarder euro utdömts av de nationella tillsynsmyndigheterna för avvikelser från förordningens bestämmelser.[42]

I december 2023 konstaterade EU-domstolen att det krävs vållande för att administrativa sanktionsavgifter ska påföras genom dataskyddsförordningen, antingen genom uppsåtlig handling eller genom oaktsamhet.[43]

Territoriellt tillämpningsområde

Dataskyddsförordningen omfattar alla Europeiska unionens medlemsstater. Den trädde i kraft den 24 maj 2016, men blev direkt tillämplig inom hela unionen först den 25 maj 2018. Genom EES-avtalet omfattas även Island, Liechtenstein och Norge av förordningen.[5] Storbritannien omfattades av förordningen under en övergångsperiod fram till och med den 31 december 2020 i enlighet med avtalet om Storbritanniens utträde ur Europeiska unionen.

Se även

Referenser

Noter

  1. ^ ”Artikel 16 i fördraget om Europeiska unionens funktionssätt”. EUT C 202, 7.6.2016, s. 55. EUR-Lex. https://eur-lex.europa.eu/legal-content/SV/TXT/PDF/?uri=OJ:C:2016:202:FULL. 
  2. ^ ”CURIA - Documents”. curia.europa.eu. https://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=SV&mode=lst&dir=&occ=first&part=1&cid=3895469. Läst 5 september 2023. 
  3. ^ ”Introduktion till dataskyddsförordningen”. Datainspektionen. Arkiverad från originalet den 23 februari 2017. https://web.archive.org/web/20170223222821/http://www.datainspektionen.se/dataskyddsreformen/. Läst 23 mars 2017. 
  4. ^ SFS 2018:218 (lagen.nu)
  5. ^ [a b] ”Gemensamma EES-kommitténs beslut nr 154/2018 av den 6 juli 2018 om ändring av bilaga XI (Elektronisk kommunikation, audiovisuella tjänster och informationssamhället) och protokoll 37 (med den förteckning som avses i artikel 101) till EES-avtalet”. EUT L 183, 19.7.2018, s. 23-26. EUR-Lex. http://eur-lex.europa.eu/legal-content/SV/TXT/PDF/?uri=CELEX:22018D1022. 
  6. ^ [a b] ”L_2016119SV.01000101.xml”. eur-lex.europa.eu. https://eur-lex.europa.eu/legal-content/SV/TXT/HTML/?uri=CELEX%3A32016R0679. Läst 4 september 2023. 
  7. ^ Granskog, David (2021). Personuppgifter i EU:s dataskyddsrätt : En rättslig analys av personuppgiftsrekvisitet i EU:s dataskyddsförordning. http://www.diva-portal.org/smash/get/diva2:1613111/FULLTEXT01.pdf. Läst 4 september 2023 
  8. ^ ”Rättslig grund för personuppgiftsbehandling”. Datainspektionen. https://www.datainspektionen.se/lagar--regler/dataskyddsforordningen/rattslig-grund/. Läst 23 maj 2018. 
  9. ^ ”Datainspektionen” (på engelska). www.datainspektionen.se. https://www.datainspektionen.se/vagledningar/for-dig-som-privatperson/utgivningsbevis/. Läst 20 maj 2019. 
  10. ^ William Eriksson (28 februari 2024). ”Besked idag: Högsta förvaltningsdomstolen prövar Verifiera-målet”. Dagens Juridik. https://www.dagensjuridik.se/nyheter/besked-idag-hfd-provar-verifiera-malet/. Läst 28 februari 2024. 
  11. ^ ”Föra register över behandling”. Datainspektionen. https://www.datainspektionen.se/lagar--regler/dataskyddsforordningen/fora-register-over-behandling/. Läst 29 maj 2018. 
  12. ^ ”Dataskyddsförordningens grundläggande principer”. Datainspektionen. https://www.datainspektionen.se/lagar--regler/dataskyddsforordningen/grundlaggande-principer/. Läst 4 juli 2018. 
  13. ^ [1]
  14. ^ [2]
  15. ^ ”Samma regler för alla – Missbruksregeln försvinner”. Datainspektionen. Arkiverad från originalet den 24 maj 2018. https://web.archive.org/web/20180524151310/https://www.datainspektionen.se/lagar--regler/dataskyddsforordningen/samma-regler-for-alla/. Läst 23 maj 2018. 
  16. ^ ”Dataskyddsförordningen (GDPR) - Artikel 83, punkt 5 och 6”. www.datainspektionen.se. https://www.datainspektionen.se/lagar--regler/dataskyddsforordningen/dataskyddsforordningen---fulltext/#83. Läst 30 november 2018. 
  17. ^ ”Dataskyddsförordningen (GDPR) - Artikel 33”. www.datainspektionen.se. https://www.datainspektionen.se/lagar--regler/dataskyddsforordningen/dataskyddsforordningen---fulltext/#33. Läst 30 november 2018. 
  18. ^ ”De registrerades rättigheter”. Datainspektionen. https://www.datainspektionen.se/lagar--regler/dataskyddsforordningen/de-registrerades-rattigheter/. Läst 23 maj 2018. 
  19. ^ ”De registrerades rättigheter: Rätt till radering”. Datainspektionen. https://www.datainspektionen.se/lagar--regler/dataskyddsforordningen/de-registrerades-rattigheter/. Läst 23 maj 2018. 
  20. ^ ”Dataskyddsförordningen (GDPR) - Artikel 20”. www.datainspektionen.se. https://www.datainspektionen.se/lagar--regler/dataskyddsforordningen/dataskyddsforordningen---fulltext/#20. Läst 30 november 2018. 
  21. ^ https://webbriktlinjer.se/riktlinjer/20-upplys-hur-juridisk-information-och-kakor-hanteras/
  22. ^ https://gdpr.se/samtycke-eller-bara-information-till-anvandaren/
  23. ^ Lista över amerikanska företaget som har anslutit sig till EU–US Privacy Shield
  24. ^ ”Datainspektionen” (på engelska). www.datainspektionen.se. https://www.datainspektionen.se/lagar--regler/dataskyddsforordningen/tredjelandsoverforing/sa-har-paverkar-schrems-ii-domen-overforingar-till-tredje-land/. Läst 5 november 2020. 
  25. ^ https://www.datainspektionen.se/lagar--regler/dataskyddsforordningen/tredjelandsoverforing/hur-vet-vi-om-ett-tredje-land-har-adekvat-skyddsniva/
  26. ^ [3]
  27. ^ [4]
  28. ^ [5]
  29. ^ [6]
  30. ^ [7]
  31. ^ [8]
  32. ^ Chicago Tribune and LA Times go dark in Europe after GDPR fail, Marketwatch 2018-04-25
  33. ^ Annonsplattformar som stänger ned i Europa på grund av GDPR Arkiverad 29 maj 2018 hämtat från the Wayback Machine., Dagens analys 2018-04-19
  34. ^ Hifimagasinet Arkiverad 26 juni 2018 hämtat från the Wayback Machine.: "EU:s nya datalagstiftning GDPR har inneburit mycket huvudbry för oss och vi har kommit fram till att vi inte kan fortsätta att driva Hifimagasinet efter den 25 maj 2018" Läst 2018-06-26
  35. ^ Bloggsajten stängs ner på grund av nya lagen, Aftonbladet 2018-05-22
  36. ^ ”Mindre forum som till exempel Linuxportalen.se hänvisar till GDPR och inaktiverar webbsidan”. http://linuxportalen.se/. 
  37. ^ Spelbolag stänger ner i Euopa inför GDPR, Dagens industri 2018-05-16
  38. ^ Svenska haplogruppsdatabasen Arkiverad 29 maj 2018 hämtat från the Wayback Machine.: "På grund av oklarheter vad som gäller med de nya EU-reglerna rörande GDPR (General Data Protection Regulation) har SHD tills vidare stängt. Läst 2018-05-28.
  39. ^ TV4 om GDPR: "Vi hämtar inte in samtycke åt Google"
  40. ^ ”Så skyddas och hanteras dina uppgifter när du är inloggad - 1177 Vårdguiden”. www.1177.se. https://www.1177.se/stockholm/om-1177-vardguiden/e-tjanster-pa-1177-vardguiden/support-och-tekniska-krav-for-e-tjansterna/sa-skyddas-och-hanteras-dina-uppgifter-nar-du-ar-inloggad/. Läst 22 maj 2019. 
  41. ^ Jonasson, Fredrik (21 augusti 2019). ”Sveriges första sanktionsavgift för GDPR kring ansiktsigenkänning”. GDPR.se. https://gdpr.se/sveriges-forsta-sanktionsavgift-for-gdpr-kring-ansiktsigenkanning/. Läst 17 september 2019. 
  42. ^ [9]
  43. ^ För att administrativa sanktionsavgifter ska kunna påföras för en överträdelse av EU:s allmänna dataskyddsförordning krävs att överträdelsen har begåtts uppsåtligen eller av oaktsamhet
Europeiska flagganEU-portalen – temasidan för Europeiska unionen på svenskspråkiga Wikipedia.

Media som används på denna webbplats

Flag of Europe.svg
The Flag of Europe is the flag and emblem of the European Union (EU) and Council of Europe (CoE). It consists of a circle of 12 golden (yellow) stars on a blue background. It was created in 1955 by the CoE and adopted by the EU, then the European Communities, in the 1980s.

The CoE and EU are distinct in membership and nature. The CoE is a 47-member international organisation dealing with human rights and rule of law, while the EU is a quasi-federal union of 27 states focused on economic integration and political cooperation. Today, the flag is mostly associated with the latter.

It was the intention of the CoE that the flag should come to represent Europe as a whole, and since its adoption the membership of the CoE covers nearly the entire continent. This is why the EU adopted the same flag. The flag has been used to represent Europe in sporting events and as a pro-democracy banner outside the Union.
Yes check.svg
Yes check (slightly gradiented)