Dataskyddsförordningen (GDPR)
Dataskyddsförordningen, eller GDPR som den också kallas, innehåller regler om hur man får behandla personuppgifter.
Förordningen började gälla den 25 maj 2018 och ersätter därmed Personuppgiftslagen (PuL).
———-
Syftet med Personuppgiftslagen, förkortas PuL,är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. En viktig utgångspunkt i PuL är därför att det är den enskilde själv som ska få bestämma vilka personuppgifter som får behandlas om honom eller henne.
Lagen gäller för all behandling av personuppgifter och berör myndig- heter, företag och enskilda personer.
Något som är viktigt att komma ihåg är att andra lagar och förordningar som avviker från PuL har företräde. PuL gäller inte heller om behandling av person- uppgifter uteslutande görs för privata ändamål.
För företagare är den del av lagen som handlar om samtycke särskilt viktig. Utgångspunkten är att det enbart är tillåtet att behandla personuppgifter om den registrerade har lämnat sitt samtycke. En hel del undantag finns dock från denna huvudregel.
PuL gäller behandling av personuppgifter.
Med personuppgifter avses all slags information som direkt och indirekt kan hänföras till en fysisk person som är i livet.
(Tänk på att en bild och en bildtext också kan vara information som direkt eller indirekt kan hänföras till fysisk person.)
Med behandling avses varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insam- ling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring.
För att kunna förstå lagen är det viktigt att veta vad följande beteckningar har för betydelse:
Blockering (av personuppgifter). En åtgärd som vidtas för att personuppgifterna skall vara förknippade med information om att de är spärrade och om anledningen till spärren och för att personuppgifterna inte skall lämnas ut till tredje man annat än med stöd av 2 kap. tryckfrihetsförordningen.
Mottagare. Den till vilken personuppgifter lämnas ut. När personuppgifter lämnas ut för att en myndighet skall kunna utföra sådan tillsyn, kontroll eller
revision som den är skyldig att sköta, anses dock inte myndigheten som mottagare.
Personuppgiftsansvarig. Den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter.
(Normalt en juridisk person t.ex. aktiebolag, stiftelse eller förening. Kan också vara en myndighet. En enskild näringsidkare är personuppgiftsansvarig och därmed personligt ansvarig för att PuL följs.)
Personuppgiftsbiträde. Den som behandlar personuppgifter för den person- uppgiftsansvariges räkning.
Personuppgiftsombud. Den fysiska person som, efter förordnande av den personuppgiftsansvarige, självständigt skall se till att personuppgifter behandlas på ett korrekt och lagligt sätt.
Den registrerade. Den som en personuppgift avser.
Samtycke. Varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av person- uppgifter som rör honom eller henne.
Tillsynsmyndigheten. Den myndighet som regeringen utser för att utöva tillsyn.
Tredje land. En stat som inte ingår i Europeiska unionen eller är ansluten till Europeiska ekonomiska samarbetsområdet.
Tredje man. Någon annan än den registrerade, den personuppgiftsansvarige,
personuppgiftsombudet, personuppgiftsbiträdet och sådana personer som
under den personuppgiftsansvariges eller personuppgiftsbiträdets direkta
ansvar har befogenhet att behandla personuppgifter.
Tillämpningsområde
I lagens 4 § beskrivs vilket det territoriella tillämpningsområdet är.
”Denna lag gäller för sådana personuppgiftsansvariga som är etablerade i Sverige.
Lagen tillämpas också när den personuppgiftsansvarige är etablerad i tredje land men för behandlingen av personuppgifter använder sig av utrustning som finns i Sverige. Vad som nu sagts gäller dock inte om utrustningen bara används för att överföra uppgifter mellan ett tredje land och ett annat sådant land.”
Behandling av personuppgifter som omfattas av lagen
”5 § Denna lag gäller för sådan behandling av personuppgifter som helt eller delvis är automatiserad.
Lagen gäller även för annan behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.”
Grundläggande krav på behandlingen av personuppgifter
Den personuppgiftsansvarige ska se till att följande punkter ur den 9 § följs
- personuppgifter behandlas bara om det är lagligt
- personuppgifter alltid behandlas på ett korrekt sätt och i enlighet med god sed
- personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål
- personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in
- de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen
- inte fler personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen
- de personuppgifter som behandlas är riktiga och, om det är nödvändigt, aktuella
- alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen
- personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen
När behandling av personuppgifter är tillåten – samtycke
I PuL:s 10 § står när personuppgifter får behandlas. Det får bara ske om den registrerade har lämnat sitt samtycke till behandlingen eller om behandlingen är nödvändig för att
- ett avtal med den registrerade skall kunna fullgöras eller åtgärder som den registrerade begärt skall kunna vidtas innan ett avtal träffas
- den personuppgiftsansvarige skall kunna fullgöra en rättslig skyldighet
- vitala intressen för den registrerade skall kunna skyddas
- en arbetsuppgift av allmänt intresse skall kunna utföras
- den personuppgiftsansvarige eller en tredje man till vilken personuppgifter lämnas ut skall kunna utföra en arbetsuppgift i samband med myndighetsutövning
- ett ändamål som rör ett berättigat intresse hos den personuppgifts- ansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut skall kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten
Datainspektionens vägledning och tolkning är att ett samtycke ska vara
- individuellt
- frivilligt
- särskilt
- otvetydigt
- informerat
Innebörden av att det ska vara individuellt innebär att det är den registrerade som genom sin viljeyttring godtar behandlingen av personuppgifter. Som exempel får inte en förening för sina medlemmars räkning godta behandling av personuppgifter.
Vad avser frivilligt, ska personen ifråga själv få avgöra om hans heller hennes personuppgifter ska få behandlas. Nu är det dock så att det ”frivilliga” får stå tillbaka i många fall. För att få en vara eller en tjänst kan kravet vara att vissa personuppgifter måste registreras – accepteras inte detta erhålls inte varan eller tjänsten. Frivilligheten ligger här i att man kan avstå från varan eller tjänsten. För myndighetsregister som används i syfte att tillhandahålla samhälleliga tjänster är frivilligheten naturligtvis mycket begränsad.
Att ett samtycke ska vara särskilt innebär att det inte går att ha ett generellt samtycke till behandling av personuppgifter. Ändamålet med behandlingen måste vara preciserat.
Samtycket ska vara en otvetydlig viljeyttring. Med detta menas att den inte ska råda några tveksamheter till att den registrerade har gett sin tillåtelse till att hans eller hennes personuppgifter (preciserade) får behandlas. Bevisbördan ligger hos den personuppgiftsansvarige.
För att samtycket ska vara giltigt måste den registrerade ha fått tillräcklig information om behandlingen av hans eller hennes personuppgifter. Det går inte att behandla annat än just det som den registrerade fått information om.
Hur ett samtycke går till
Det normala är att den personuppgiftsansvarige och den tilltänkt registrerade kommunicerar med varandra – via telefon, skriftligen etc. Den personuppgifts- ansvarige lämnar nödvändig information och den tilltänkt registrerade samtycker.
Samtycke kan också ske genom konkludent handlande. Detta handlande innebär att personen ifråga lämnar önskvärda uppgifter efter att ha fått fullständig information om den tilltänkta behandlingen, att uppgiftslämnandet är frivilligt och att lämnandet av uppgifterna betraktas som ett samtycke. Ett exempel på detta är att en person fyller i en talong och skickar till företaget för att få en katalog. Ett annat exempel kan vara att på företagets webbplats fylla i vissa personuppgifter för att få tillgång till nyhetsbrev, komma åt information etc.
Ett samtycke behöver inte vara skriftligt. Men eftersom bevisbördan ligger hos den personuppgiftsansvarige är det lämpligt med ett skriftligt samtycke.
Hur ett givet samtycke återkallas
Den registrerade rätt att när som helst återkalla ett lämnat samtycke. Ytterligare personuppgifter om den registrerade får därefter inte behandlas.
Observera detta med ytterligare uppgifter. Det innebär att behandlingen av redan insamlade uppgifter får fortsätta. De kan däremot inte kompletteras eller uppdateras.
Samtycke behövs ej då ett avtal med den registrerade skall kunna
fullgöras
Det är alltså tillåtet att behandla personuppgifter utan den registrerades samtycke om det är nödvändigt för att kunna fullgöra ett avtal med den registrerade eller för att kunna utföra något som personen har begärt.
När det gäller kundregister skriver Datainspektionen följande:
”Sådan behandling av personuppgifter som normalt har samband med kundadministration är alltså tillåten. Samma gäller för personer som har bett att fortlöpande få information samt kontaktpersoner hos kundföretag och leverantörer.”
”Ett kundregister får innehålla namn och adress samt övriga uppgifter som är relevanta för kundförhållandet. Personnummer får registreras i kundsamman- hang om det behövs vid kreditgivning eller liknande. Med kreditgivning har man likställt försäljning av varor mot faktura. Det är inte tillåtet att utan den registrerades samtycke använda personnumret som ett generellt kundnummer som används i olika sammanhang.”
”Någon information om hur personuppgifter kommer att behandlas behövs inte så länge uppgifter enbart används för normal kundadministration som kunden kan förvänta sig. Däri ingår t.ex. att skicka reklam till befintliga kunder som företaget har ett etablerat kundförhållande med. Om man vill behandla uppgifterna för andra ändamål än kunderna antas känna till, måste kunderna informeras om detta.”
”Personuppgifter får inte bevaras längre än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Det innebär att uppgifter om avslutande kundförhållanden måste gallras fortlöpande. Det kan finnas krav i annan lagstiftning som innebär att uppgifterna måste sparas en viss tid, t.ex. för bokförings- och arkivändamål.”
Direkt marknadsföring
”11 § Personuppgifter får inte behandlas för ändamål som rör direkt marknads- föring, om den registrerade hos den personuppgiftsansvarige skriftligen har anmält att han eller hon motsätter sig sådan behandling.”
Som exempel kan ges SPAR. Härifrån hämtar många företag adresser till olika utskick. Den registrerade kan (skriftligen) begära att uppgifter om honom eller henne inte lämnas ut för att användas vid direkt marknadsföring.
Förbud mot behandling av känsliga personuppgifter
Det är förbjudet att behandla personuppgifter (i PuL betecknade som känsliga personuppgifter) som avslöjar eller rör
- ras eller etniskt ursprung
- politiska åsikter
- religiös eller filosofisk övertygelse
- medlemskap i fackförening
- hälsa
- sexualliv
Undantag från förbudet mot behandling av känsliga personuppgifter
”15 § Känsliga personuppgifter får behandlas, om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt offentliggjort
uppgifterna.
16 § Känsliga personuppgifter får behandlas om behandlingen är nödvändig för att
a) den personuppgiftsansvarige skall kunna fullgöra sina skyldigheter eller utöva sina rättigheter inom arbetsrätten,
b) den registrerades eller någon annans vitala intressen skall kunna skyddas och den registrerade inte kan lämna sitt samtycke, eller
c) rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras.”
Uppgifter om lagöverträdelser m.m.
”21 § Det är förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.”
Behandling av personnummer
22 § Uppgifter om personnummer eller samordningsnummer får utan
samtycke behandlas bara när det är klart motiverat med hänsyn
till
a) ändamålet med behandlingen,
b) vikten av en säker identifiering, eller
c) något annat beaktansvärt skäl. Lag (1999:1059).
Information till den registrerade, rättelse och säkerhets-
åtgärder
”26 § Den personuppgiftsansvarige är skyldig att till var och en som ansöker om det en gång per kalenderår gratis lämna besked om personuppgifter som rör den sökande behandlas eller ej. Behandlas sådana uppgifter skall skriftlig information lämnas också om
a) vilka uppgifter om den sökande som behandlas,
b) varifrån dessa uppgifter har hämtats,
c) ändamålen med behandlingen, och
d) till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut.”
En ansökan måste vara skriftligen och undertecknad av den sökande. Svaret, informationen, ska lämnas inom en månad efter det att ansökan gjordes.
”28 § Den personuppgiftsansvarige är skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med denna lag eller föreskrifter som har utfärdats med stöd av lagen. Den personuppgiftsansvarige skall också underrätta tredje man till vilken uppgifterna har lämnats ut om åtgärden, om den registrerade begär det eller om mera betydande skada eller olägenhet för den registrerade skulle kunna undvikas genom en underrättelse. Någon sådan underrättelse behöver dock inte lämnas, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.”
”31 § Den personuppgiftsansvarige skall vidta lämpliga tekniska och organisa- toriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av
a) de tekniska möjligheter som finns,
b) vad det skulle kosta att genomföra åtgärderna,
c) de särskilda risker som finns med behandlingen av
personuppgifterna, och
d) hur pass känsliga de behandlade personuppgifterna är.”
Skadestånd
”48 § Den personuppgiftsansvarige skall ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med denna lag har orsakat.
Ersättningsskyldigheten kan i den utsträckning det är skäligt jämkas, om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne.”
Läs mer om Personuppgiftslagen, PuL
Hela Personuppgiftslagen
Hos Datainspektionen finns mer att läsa om PuL.
Läs mer om:
Marknadsföringslagen
Prisinformationslagen
Produktsäkerhetslagen
Produktansvarslagen
Lag om distansavtal och avtal utanför affärslokaler
Konsumentköplagen
Konsumenttjänstlagen
Konsumentkreditlagen
Konkurrenslagen
Köplagen
Avtal