Kameraövervakningslagens syfte är att se till så att kameraövervakning kan användas där så behövs samtidigt som enskilda människor skyddas mot otillbörliga intrång i den personliga integriteten. Som ett allmänt krav för kameraövervakning av alla typer av platser gäller att övervakningen ska bedrivas lagligt, enligt god sed och med hänsyn till enskildas personliga integritet.

Kameraövervakningslagens syfte är att se till så att kameraövervakning bara används när övervakningsintresset väger tyngre än integritetsintresset. Som ett allmänt krav för kameraövervakning av alla typer av platser gäller att övervakningen ska bedrivas lagligt, enligt god sed och med hänsyn till enskildas personliga integritet.

Enligt en särskild definition i förordningen definieras begreppet personuppgiftsincident som en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring av de personuppgifter som behandlas. Det kan också vara fråga om en personuppgiftsincident om en säkerhetsincident leder till obehörigt röjande av eller obehörig åtkomst till de behandlade personuppgifterna.
 

Ja, i en del fall. Enligt dataskyddsförordningen måste vissa organisationer, exempelvis myndigheter, utse ett dataskyddsombud. Se mer under nästa fråga. Den som vill får utse ett dataskyddsombud även i andra fall.
 

Ja, förordningen innehåller regler om personuppgiftsansvarig och personuppgiftsbiträde precis som förut. I förordningen finns dessutom många fler regler som uttryckligen riktar sig mot personuppgiftsbiträden. Ett av syftena med dataskyddsreformen har varit att göra det tydligare vilket ansvar och vilka skyldigheter de som behandlar personuppgifter har.
 

Den reformerade dataskyddslagstiftningen består av två delar: en EU-förordning som gäller alla utom polisen (och andra brottsbekämpande myndigheter) och ett EU-direktiv som bara gäller polisen (och andra brottsbekämpande myndigheter).
 

I mitten av 2018 ska den nya dataskyddsförordningen börja tillämpas. Dataskyddsförordningen kommer att gälla som lag i Sverige och ersätta personuppgiftslagen. Syftet med förordningen är att skapa enhetliga dataskyddsregler inom hela EU vilket underlättar för företag att verka på hela unionens inre marknad. Dataskyddsförordningen kommer att medföra stora förändringar för de som behandlar personuppgifter.

Denna vägledning tar upp 13 frågor som ni som behandlar personuppgifter bör ta ställning till redan nu för att förbereda er inför införandet av den nya dataskyddsförordningen som ska börja tillämpas i mitten av 2018.

Dataskyddsförordningen hindrar inte den personuppgiftsbehandling som är nödvändig för att myndigheter ska kunna uppfylla skyldigheten att lämna ut allmänna handlingar enligt offentlighetsprincipen.

För överföring av personuppgifter till länder utanför EU och EES (så kallad tredjelandsöverföring) gäller särskilda regler. Dataskyddsförordningen innebär att alla EU:s medlemsstater har ett likvärdigt skydd för personuppgifter och personlig integritet. Detta gäller även EES-länderna Norge, Island och Liechtenstein. Därför kan personuppgifter föras över fritt inom detta område utan begränsningar. Eftersom det inte finns några generella regler som ger motsvarande garantier utanför EU och EES har man ansett att överföring till sådana länder bara får ske under särskilda förutsättningar.

De som behandlar personuppgifter kan ansluta sig till en uppförandekod för att visa att de följer bestämmelserna i dataskyddsförordningen. En uppförandekod är riktlinjer som särskilt beskriver hur en viss verksamhet, bransch eller samhällssektor ska behandla personuppgifter i enlighet med förordningen. En uppförandekod ska förutom riktlinjer innehålla bestämmelser om hur efterlevnaden av uppförandekoden ska säkerställas.

Den som behandlar personuppgifter måste i vissa fall utse ett dataskyddsombud. Ombudets roll är att kontrollera att dataskyddsförordningen följs inom organisationen genom att till exempel utföra kontroller och informationsinsatser. Dataskyddsombudet ska även vara en kontaktpunkt för tillsynsmyndigheten och de registrerade. Dataskyddsombudet ska vara väl insatt i de lagar som gäller för personuppgiftsbehandling och ha en självständig roll i förhållande till ledningen. Ett ombud kan vara anställd inom den personuppgiftsansvariges eller personuppgiftsbiträdets egna organisation men det är också möjligt att anlita någon utanför organisationen.

Innan man inleder en behandling av personuppgifter som kan leda till en hög risk för integritetsintrång till exempel ett omfattande register med känsliga personuppgifter, måste man bedöma konsekvenserna för de registrerade (konsekvensbedömning). Om man bedömer att behandlingen skulle leda till en hög risk om inte den personuppgiftsansvarige vidtar åtgärder för att minska risken måste man samråda med Datainspektionen (förhandssamråd).
 

Om det inträffar en säkerhetsincident som rör personuppgifter, till exempel ett dataintrång eller en oavsiktlig förlust av personuppgifter, måste man dokumentera incidenten och anmäla den till Datainspektionen inom 72 timmar. Man kan också behöva informera de registrerade till exempel om det finns risk för id-stöld eller bedrägeri. För att kunna leva upp till de nya skyldigheterna enligt förordningen är det viktigt att organisationer som behandlar personuppgifter har tillräckliga rutiner på plats för att kunna upptäcka, rapportera och utreda personuppgiftsincidenter. Denna skyldighet är en nyhet i dataskyddsförordningen.
 

Den som behandlar personuppgifter måste se till att ha en lämplig säkerhetsnivå för uppgifterna, både tekniskt och organisatoriskt. Vad som är en lämplig säkerhetsnivå beror på bland annat riskerna med behandlingen, vilken typ av uppgifter som behandlas, på de tekniska möjligheter som finns och på kostnaderna.

Både personuppgiftsansvariga och personuppgiftsbiträden är enligt dataskyddsförordningen skyldiga att föra ett register över sina behandlingar av personuppgifter. Vad som ska finnas med i förteckningen framgår uttryckligen i förordningen, till exempel ändamålen med behandlingen, beskrivning av kategorierna av registrerade och kategorierna av personuppgifter, eventuella externa mottagare av personuppgifterna och om uppgifter förs över till tredjeland.

Inbyggt dataskydd (privacy by design) innebär att man tar hänsyn till integritetsskyddsreglerna redan när man utformar it-system och rutiner. Det är ett sätt att se till att kraven i dataskyddsförordningen uppfylls och att den registrerades rättigheter skyddas.

Personuppgiftsbiträde är den som behandlar personuppgifter för en personuppgiftsansvarigs räkning. Ett personuppgiftsbiträde finns alltid utanför den personuppgiftsansvariges organisation. Ett personuppgiftsbiträde kan vara en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ.

Personuppgiftsansvarig är den organisation (till exempel aktiebolag, stiftelse, förening eller myndighet som bestämmer för vilka ändamål uppgifterna ska behandlas och hur behandlingen ska gå till. Det är alltså är inte chefen på en arbetsplats eller en anställd som är personuppgiftsansvarig. Även en fysisk person kan vara personuppgiftsansvarig vilket till exempel är fallet för enskilda firmor.

Den som behandlar personuppgifter är antingen personuppgiftsansvarig eller personuppgiftsbiträde. Personuppgiftsansvarig är den som bestämmer för vilka ändamål uppgifterna ska behandlas och hur behandlingen ska gå till. Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning.