Vad är dataskydd?

Dataskydd handlar om att skydda personuppgifter

Dataskydd är ett begrepp som används för att ange skyddet för den personliga integriteten i de regelverk som ska tillämpas vid behandling av personuppgifter.

Dataskyddsreformen

Dataskyddsreformen består av två delar:

• en EU-förordning som gäller för alla utom de brottsbekämpande myndigheterna
• ett EU-direktiv som enbart gäller de brottsbekämpande myndigheterna inklusive Skatteverkets skattebrottsenhet.

EU:s dataskyddsförordning

Förordningen gäller som lag direkt i EU:s alla medlemsstater och har ersatt EU:s dataskyddsdirektiv från 1995. Det innebär bl.a. att personuppgiftslagen har upphört att gälla.

Kompletterande svensk lag

Varje land har möjlighet att komplettera dataskyddsförordningens bestämmelser i nationell lag. I Sverige gäller den kompletterande dataskyddslagen och den kompletterande dataskyddsförordningen. De s.k. särskilda registerförfattningar som gäller för Skatteverkets olika verksamhetsgrenar gäller fortfarande. Innehållet i författningarna har anpassats till EU:s dataskyddsförordning på så sätt att de kompletterar EU:s dataskyddsförordning och ska tillämpas om de avviker från den kompletterande dataskyddslagen och tillhörande förordning som är subsidiära.

Dataskyddsdirektivet för brottsbekämpande myndigheter

EU:s dataskyddsförordning gäller inte för brottsbekämpande myndigheter, t.ex. Skatteverkets skattebrottsenhet, SBE. Dess behandling av personuppgifter kommer i stället omfattas av EU:s dataskyddsdirektiv. I Sverige kommer EU:s dataskyddsdirektiv att genomföras av en allmän brottsdatalag. Den lagen är avsedd att vara en ramlag som anger gemensamma bestämmelser för sådan typ av verksamhet. I de fall bestämmelserna avviker i någon av de särskilda registerförfattningar som finns för de olika brottsbekämpande myndigheterna, ska de tillämpas istället för brottsdatalagen.

Syftet med EU:s dataskyddsförordning

Ett av syftena med EU:s dataskyddsförordning är att skydda enskildas grundläggande fri- och rättigheter, särskilt deras rätt till skydd av personuppgifter. Rätten till privatliv har kommit till uttryck i den Europeiska konventionen för skydd av de mänskliga rättigheterna och grundläggande friheterna. Även EU:s stadga om grundläggande rättigheter uttrycker rätten till respekt för familjeliv och privatliv. Stadgan innehåller en bestämmelse om rätt till skydd för personuppgifter.

I Sverige är rätten till skydd för den personliga integriteten i samband med behandling av personuppgifter reglerad i grundlag. Enligt 2 kap. 6 § andra stycket regeringsformen (RF) Var och en är gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildas personliga förhållanden (2 kap. 6 § andra stycket RF). Denna rättighet får begränsas genom lag (2 kap. 20–22 § RF). Behandlingen av personuppgifter i Skatteverkets olika verksamhetsgrenar är därför vanligtvis reglerad i s.k. särskilda registerförfattningar.

EU:s dataskyddsförordning har också till syfte att skapa ett enhetligt skydd för personuppgifter inom EU så att det fria flödet av uppgifter inom unionen inte hindras.

Förhållandet till yttrandefrihet och tryckfrihet

EU:s dataskyddsförordning gäller inte när någon behandlar personuppgifter i samband med utövande av sin yttrande- eller informationsfrihet. Enligt artikel 85 i förordningen ska undantag för yttrande- och informationsfrihet göras i nationell rätt. I Sverige har sådana undantag gjorts i 1 kap. 7 § den kompletterande dataskyddslagen. Enligt paragrafen ska varken EU:s dataskyddsförordning eller den kompletterande lagen tillämpas om tillämpningen skulle strida mot bestämmelserna i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen.

Även behandling av personuppgifter som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande undantas från de flesta av bestämmelserna i dataskyddsförordningen.

Säkerhet för personuppgifter och skydd av information

EU:s dataskyddsförordning innehåller olika krav på säkerhetsåtgärder vid behandling av personuppgifter. Behovet av säkerhetsåtgärder ska löpande ses över och vid behov uppdateras (artikel 24 och 32 EU:s dataskyddsförordning).

Det finns krav på säkerhet även i andra författningar, t.ex. i arkivlagen. Den lagen och andra författningar om arkiv reglerar kraven på säkerhet för allmänna handlingar, d.v.s. kraven omfattar mer än enbart personuppgifter. Krav på informationssäkerhet finns också i bl.a. säkerhetsskyddslagen (1996:627) och förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap.

Personuppgifter är uppgifter som kan identifiera en fysisk levande person

Med personuppgifter avses varje uppgift som avser en identifierad eller identifierbar fysisk, levande person (artikel 4.1 EU:s dataskyddsförordning). Exempel på personuppgifter är

• namn
• personnummer
• fotografi
• ljudinspelning
• telefonnummer
• registreringsnummer på fordon
• diarienummer
• ip-adress
• kakor (cookies).

Namn och personnummer är exempel på direkta personuppgifter.

Telefonnummer, registreringsnummer på fordon, diarienummer och ip-adress är exempel på uppgifter som kan knytas till en fysisk person. För att kunna göra det behövs ytterligare information såsom t.ex. uppgift om vem som är ägare till ett fordon med ett visst registreringsnummer. Det är alltså fråga om personuppgifter så länge någon någonstans kan knyta en uppgift till en levande fysisk person.

Uppgifter som inte är personuppgifter

Det finns uppgifter som inte är personuppgifter i EU:s dataskyddsförordnings mening.

Avlidna och ännu inte födda

Uppgifter om avlidna eller ännu inte födda är inte personuppgifter i EU:s dataskyddsförordnings mening. Uppgifter om levande anhöriga till avlidna eller ännu inte födda är dock personuppgifter.

Även om uppgifter om avlidna inte omfattas av begreppet personuppgift i EU:s dataskyddsförordning kan det i särskilda registerförfattningar finnas bestämmelser om hur sådana uppgifter får behandlas. Sådana bestämmelser finns t.ex. för behandling av uppgifter i folkbokföringsverksamheten (1 kap. 1 § FdbL) och i beskattningsverksamheten (1 kap. 1 § SdbL).

Juridiska personer

Uppgifter om juridiska personer är inte personuppgifter i EU:s dataskyddsförordnings mening. Uppgifter om en enskild firma är dock en personuppgift eftersom det är en enda fysisk person som innehar firman.

Även om uppgifter om juridiska personer inte omfattas av begreppet personuppgift i EU:s dataskyddsförordning kan det i särskilda registerförfattningar finnas bestämmelser om hur sådana uppgifter får behandlas. Sådana bestämmelser finns t.ex. för behandling av uppgifter i beskattningsverksamheten (1 kap. 1 § SdbL).

Känsliga personuppgifter

Vissa personuppgifter anses vara extra känsliga ur integritetssynpunkt. De kallas i EU:s dataskyddsförordning för särskilda kategorier av personuppgifter (artikel 9 EU:s dataskyddsförordning). I den kompletterande dataskyddslagen kallas uppgifterna känsliga personuppgifter (3 kap. 1 § den kompletterande dataskyddslagen).

Känsliga personuppgifter är

• ras eller etniskt ursprung
• politiska åsikter
• religiös eller filosofisk övertygelse
• medlemskap i en fackförening
• genetiska uppgifter
• biometriska uppgifter
• uppgifter om hälsa
• uppgifter om en fysisk persons sexualliv och sexuell läggning.

Exempel på känsliga personuppgifter är uppgifter om

• en persons medlemskap i ett trossamfund
• att en person har lämnat bidrag till ett politiskt parti
• att en person har skadat sin fot
• att en person är sjukskriven.

Det finns särskilda bestämmelser för om och i så fall hur känsliga personuppgifter får behandlas.

Personuppgifter om lagöverträdelser

Det finns särskilda bestämmelser för om och i så fall hur personuppgifter om lagöverträdelser får behandlas.

Med uttrycket personuppgifter om lagöverträdelser menas personuppgifter som handlar om brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.

Det finns särskilda bestämmelser för om och i så fall hur personuppgifter om lagöverträdelser får behandlas.

Exempel på personuppgifter om lagöverträdelser är uppgifter om

• att egendom har tagits i beslag från en person
• att en person har dömts för brott
• att en person har eller kan ha begått ett brott, även om det inte finns någon dom om brottet
• att en person har varit föremål för tvångsvård enligt lagen (1988:870) om vård av missbrukare i vissa fall.

Behandling av personuppgifter

Med behandling av personuppgifter menas allt som görs med personuppgifter oavsett om det sker elektronisk eller på annat sätt. Det kan t.ex. vara att man

• samlar in personuppgifter
• registrerar personuppgifter
• använder personuppgifter
• lagrar personuppgifter
• bearbetar personuppgifter
• sammanställer personuppgifter
• samkör personuppgifter
• skriver ut personuppgifter
• sprider personuppgifter
• förstör personuppgifter.

Även utlämnande av personuppgifter som behandlas elektroniskt är en behandling oavsett av om utlämnandet görs muntligen, på papper eller i elektronisk form (SOU 1997:39 och SOU 2003:40).

Rättsfall: behandling av personuppgifter på en webbplats

EU-domstolen har uttalat att det är en ”behandling av personuppgifter som helt eller delvis företas på automatisk väg” när man nämner olika personer på en webbplats, med namn eller på annat sätt t.ex. med telefonnummer eller med uppgifter om deras arbetsförhållanden och fritidsintressen (C-101/01, Bodil Lindqvist).

Personnummer och samordningsnummer

EU:s medlemsstater får närmare bestämma villkoren för behandling av nationella identifikationsnummer och andra vedertagna sätt för identifiering. Det krävs då att förordningens bestämmelser om de registrerades rättigheter och friheter iakttas. (artikel 87 EU:s dataskyddsförordning).

Skatteverket får behandla personnummer och samordningsnummer utan samtycke bara när det är klart motiverat med hänsyn till någon av följande förutsättningar (3 kap. 10 § den kompletterande dataskyddslagen):

• ändamålet med behandlingen
• vikten av en säker identifiering
• något annat beaktansvärt skäl.

I vissa av de särskilda registerförfattningar som gäller för Skatteverkets olika verksamheter finns bestämmelser som tillåter behandling av personnummer.

Dataskyddsombud

Skatteverket ska ha ett dataskyddsombud.

Dataskyddsombudet måste ha god kunskap om dataskyddslagstiftning och om organisationens verksamhet. Dataskyddsombudet måste också ha kunskap om organisationens it-system, datasäkerhet och dataskyddsbehov. Den personuppgiftsansvarige eller personuppgiftsbiträdet ska offentliggöra dataskyddsombudets kontaktuppgifter och meddela dessa till tillsynsmyndigheten (artikel 37 EU:s dataskyddsförordning).

Dataskyddsombudet ska ha en självständig ställning. Dataskyddsombudet får inte avsättas eller bli föremål för sanktioner av den personuppgiftsansvarige eller personuppgiftsbiträdet för att ha utfört sina uppgifter (artikel 38 EU:s dataskyddsförordning).

Dataskyddsombudets arbetsuppgifter

Skatteverkets dataskyddsombud ska övervaka att verket följer EU:s dataskyddsförordning, författningar som kompletterar förordningen, interna styrdokument m.m. Dataskyddsombudet ska också ge information och råd inom organisationen.

Dataskyddsombudet ska alltid vara delaktigt när Skatteverket gör, eller överväger att göra, en konsekvensbedömning för behandling av personuppgifter (artikel 38 EU:s dataskyddsförordning).

Dataskyddsombudet ska vara lätt att nå och är kontaktperson för

• de registrerade om t.ex. frågor om utövandet av deras rättigheter enligt EU:s dataskyddsförordning
• Skatteverkets personal, som kan vilja veta om de gör rätt när de behandlar personuppgifter
• för tillsynsmyndigheten.

Dataskyddsombudet ska också samarbeta med tillsynsmyndigheten, t.ex. vid inspektioner.