EU:s dataskyddsförordning (GDPR)

Dataskyddsförordningen började tillämpas som lag den 25 maj 2018. Samtidigt upphävdes landskapslagen om behandling av personuppgifter (personuppgiftslagen) och EU-direktivet 95/46/EG. 

Förordningen innehåller 99 artiklar och 173 ingresspunkter. Dessa artiklar kan för ökad förståelse läsas tillsammans med de beaktandesatser (skäl) som hör till respektive artikel. Skälen finns i den första delen av förordningen. EU-domstolens praxis och nationell rättspraxis gällande EU-direktivet om dataskydd, artikel 29-gruppens rekommendationer samt tillsynsmyndigheternas allmänna råd kan ge ytterligare vägledning i hur förordningen ska tolkas.

Vad blir nytt med förordningen?

  • Registrerade får förstärkta rättigheter då mera information ska lämnas. Därtill ges möjlighet till radering av uppgifter i vissa fall.
  • Av myndigheter och andra organisationer krävs proaktiva åtgärder genom att konsekvensbedömning avseende dataskydd behöver göras, register över personuppgiftsbehandling upprättas, dataskyddombud utses samt krav på notifiering av personuppgiftsincidenter.
  • Krav på att dataskyddet är inbyggt och gäller som standard.
  • Personuppgiftsbiträden har direkta skyldigheter (och ansvar).
  • Tillsynsmyndigheterna samordnar i vissa fall sin tillsyn.

Vem gör vad i lagstiftningsprocessen?

Ålands landskapsregering bereder för närvarande den nationella lagstiftning som kompletterar EU-förordningen. I beredningen innefattas en översyn av gällande registerförfattningar. För närvarande behandlas den kompletterande landskapslagen om kompletterande dataskydd inom landskaps- och kommunalförvaltningen i Ålands lagting. 

Läs mer om lagstiftningsbehandlingen på lagtinget.ax 

Rikdagen behandlar motsvarande kompletterande rikslagstiftning.

Läs mer om lagstiftningsbehandlingen hos riksdagen  

Vad är egentligen en personuppgift?

Personuppgifter är all slags information som kan knytas till en fysisk person som är i livet. Typiska personuppgifter är personbeteckningar, namn och adress. Även foton på personer klassas som personuppgifter. Till och med ljudinspelningar som lagras elektroniskt kan vara personuppgifter även om det inte nämns några namn i inspelningen. Registernumret på en bil kan vara en personuppgift om det går att knyta till en fysisk person medan registernumret till en bil som ägs av en myndighet eller annan organisation och används av flera kanske inte är en personuppgift.

När får personuppgifter samlas in?

Personuppgifter får bara samlas in för ”särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål”. Det betyder således att uppgifter som samlas in för ett visst syfte, får inte användas i ett senare skede för andra syften.

För att hantera personuppgifter måste det finnas stöd i förordningen. De viktigaste grunderna för behandling är att det finns en rättslig förbindelse, ett avtal eller ett samtycke.

Ett alternativ är att inbegära samtycke. Ett samtycke är ”varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne”. Således ska information om vilka uppgifter som samlas in och vad de ska användas till ges för att samtycket ska anses giltigt.

Inventera befintlig behandling av personuppgifter

Inom verksamheten kan lämpligen frågan ställas om vad som får behandlas och på vilka grunder behandlingen får ske. Vilka behandlingar av personuppgifter sker, behandlas känsliga personuppgifter, vilken information lämnas till de registrerade, används registerbiträden, hur ser avtalen med registerbiträdena ut, vilka säkerhetsrutiner finns och lämnas personuppgifter till tredje land?