EU:s dataskyddsförordning reglerar behandlingen av personuppgifter i alla EU-länder. Svenska författningar kompletterar förordningen. Ett viktigt undantag finns: brottsbekämpande myndigheter ska tillämpa annan lagstiftning när behandlingen av personuppgifter sker i brottsbekämpande syfte.
Dataskydd är ett begrepp som används för att ange skyddet för den personliga integriteten i de regelverk som ska tillämpas vid behandling av personuppgifter.
Dataskyddsreformen består av två delar:
Förordningen gäller som lag direkt i EU:s alla medlemsstater och har ersatt EU:s dataskyddsdirektiv från 1995. Det innebär bl.a. att personuppgiftslagen har upphört att gälla.
Varje land har möjlighet att komplettera dataskyddsförordningens bestämmelser i nationell lag. I Sverige gäller den kompletterande dataskyddslagen och den kompletterande dataskyddsförordningen. De s.k. särskilda registerförfattningar som gäller för Skatteverkets olika verksamhetsgrenar gäller fortfarande. Innehållet i författningarna har anpassats till EU:s dataskyddsförordning på så sätt att de kompletterar EU:s dataskyddsförordning och ska tillämpas om de avviker från den kompletterande dataskyddslagen och tillhörande förordning som är subsidiära.
EU:s dataskyddsförordning gäller inte för brottsbekämpande myndigheter, t.ex. Skatteverkets skattebrottsenhet, SBE. Dess behandling av personuppgifter kommer i stället omfattas av EU:s dataskyddsdirektiv. I Sverige har EU:s dataskyddsdirektiv genomförts av en allmän brottsdatalag. Den lagen är en ramlag som anger gemensamma bestämmelser för sådan typ av verksamhet. I de fall bestämmelserna avviker i någon av de särskilda registerförfattningar som finns för de olika brottsbekämpande myndigheterna, ska de tillämpas istället för brottsdatalagen.
Ett av syftena med EU:s dataskyddsförordning är att skydda enskildas grundläggande fri- och rättigheter, särskilt deras rätt till skydd av personuppgifter. Rätten till privatliv har kommit till uttryck i den Europeiska konventionen för skydd av de mänskliga rättigheterna och grundläggande friheterna. Även EU:s stadga om grundläggande rättigheter uttrycker rätten till respekt för familjeliv och privatliv. Stadgan innehåller en bestämmelse om rätt till skydd för personuppgifter.
I Sverige är rätten till skydd för den personliga integriteten i samband med behandling av personuppgifter reglerad i grundlag. Var och en är gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildas personliga förhållanden (2 kap. 6 § andra stycket RF). Denna rättighet får begränsas genom lag (2 kap. 20–22 § RF). Behandlingen av personuppgifter i Skatteverkets olika verksamhetsgrenar är därför vanligtvis reglerad i s.k. särskilda registerförfattningar.
EU:s dataskyddsförordning har också till syfte att skapa ett enhetligt skydd för personuppgifter inom EU så att det fria flödet av uppgifter inom unionen inte hindras.
EU:s dataskyddsförordning gäller inte när någon behandlar personuppgifter i samband med utövande av sin yttrande- eller informationsfrihet. Enligt artikel 85 i förordningen ska undantag för yttrande- och informationsfrihet göras i nationell rätt. I Sverige har sådana undantag gjorts i 1 kap. 7 § den kompletterande dataskyddslagen. Enligt paragrafen ska varken EU:s dataskyddsförordning eller den kompletterande lagen tillämpas om tillämpningen skulle strida mot bestämmelserna i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen.
Även behandling av personuppgifter som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande undantas från de flesta av bestämmelserna i dataskyddsförordningen.
EU:s dataskyddsförordning innehåller olika krav på säkerhetsåtgärder vid behandling av personuppgifter. Behovet av säkerhetsåtgärder ska löpande ses över och vid behov uppdateras (artikel 24 och 32 EU:s dataskyddsförordning).
Det finns krav på säkerhet även i andra författningar, t.ex. i arkivlagen. Den lagen och andra författningar om arkiv reglerar kraven på säkerhet för allmänna handlingar, d.v.s. kraven omfattar mer än enbart personuppgifter. Krav på informationssäkerhet finns också i bl.a. säkerhetsskyddslagen (1996:627) och förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap.
Med personuppgifter avses varje uppgift som avser en identifierad eller identifierbar fysisk, levande person (artikel 4.1 EU:s dataskyddsförordning). Exempel på personuppgifter är
Namn och personnummer är exempel på direkta personuppgifter.
En personuppgift kan knytas till en person antingen direkt eller indirekt. Telefonnummer, registreringsnummer på fordon, diarienummer och ip-adress är exempel på uppgifter som kan knytas till en fysisk person indirekt. För att kunna göra det behövs ytterligare information såsom t.ex. uppgift om vem som är ägare till ett fordon med ett visst registreringsnummer. Det är alltså fråga om personuppgifter så länge någon någonstans kan knyta en uppgift till en levande fysisk person.
Uppgifter om avlidna eller ännu inte födda är inte personuppgifter i EU:s dataskyddsförordnings mening. Uppgifter om levande anhöriga till avlidna eller ännu inte födda är dock personuppgifter.
Även om uppgifter om avlidna inte omfattas av begreppet personuppgift i EU:s dataskyddsförordning kan det i särskilda registerförfattningar finnas bestämmelser om hur sådana uppgifter får behandlas. Sådana bestämmelser finns t.ex. för behandling av uppgifter i folkbokföringsverksamheten (1 kap. 1 § FdbL) och i beskattningsverksamheten (1 kap. 1 § SdbL).
Uppgifter om juridiska personer är inte personuppgifter i EU:s dataskyddsförordnings mening. Uppgifter om en enskild firma är dock en personuppgift eftersom det är en enda fysisk person som innehar firman.
Även om uppgifter om juridiska personer inte omfattas av begreppet personuppgift i EU:s dataskyddsförordning kan det i särskilda registerförfattningar finnas bestämmelser om hur sådana uppgifter får behandlas. Sådana bestämmelser finns t.ex. för behandling av uppgifter i beskattningsverksamheten (1 kap. 1 § SdbL).
Vissa personuppgifter anses vara extra känsliga ur integritetssynpunkt. De kallas i EU:s dataskyddsförordning för särskilda kategorier av personuppgifter (artikel 9 EU:s dataskyddsförordning). I den kompletterande dataskyddslagen kallas uppgifterna känsliga personuppgifter (3 kap. 1 § den kompletterande dataskyddslagen).
Känsliga personuppgifter är
Exempel på känsliga personuppgifter är uppgifter om
Utgångspunkten enligt EU:s dataskyddsförordning är att känsliga personuppgifter inte alls får behandlas. Förordningen tillåter dock att behandling kan få ske enligt vissa angivna förutsättningar. I nationell rätt har det kommit till uttryck i bestämmelser om behandling av känsliga personuppgifter som anges i särskilda registerlagstiftningar, samt för det fall någon särreglering inte finns, i särskilda bestämmelser i den kompletterande dataskyddslagen (3 kap. 2 – 8 §§ den kompletterande dataskyddslagen).
Det finns särskilda bestämmelser för om och i så fall hur personuppgifter om lagöverträdelser får behandlas. Med uttrycket personuppgifter om lagöverträdelser menas personuppgifter som handlar om brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.
Exempel på personuppgifter om lagöverträdelser är uppgifter om
Med behandling av personuppgifter menas all hantering som görs med personuppgifter, oavsett om det sker elektroniskt eller på annat sätt. Det kan t.ex. vara att man
Även utlämnande av personuppgifter som behandlas elektroniskt är en behandling oavsett av om utlämnandet görs muntligen, på papper eller i elektronisk form (SOU 1997:39 och SOU 2003:40).
EU-domstolen har uttalat att det är en ”behandling av personuppgifter som helt eller delvis företas på automatisk väg” när man nämner olika personer på en webbplats, med namn eller på annat sätt, t.ex. med telefonnummer eller med uppgifter om deras arbetsförhållanden och fritidsintressen (C-101/01, Bodil Lindqvist).
EU:s medlemsstater får närmare bestämma villkoren för behandling av nationella identifikationsnummer och andra vedertagna sätt för identifiering. Det krävs då att förordningens bestämmelser om de registrerades rättigheter och friheter iakttas. (artikel 87 EU:s dataskyddsförordning).
Skatteverket får behandla personnummer och samordningsnummer utan samtycke bara när det är klart motiverat med hänsyn till någon av följande förutsättningar (3 kap. 10 § den kompletterande dataskyddslagen):
I vissa av de särskilda registerförfattningar som gäller för Skatteverkets olika verksamheter finns bestämmelser som tillåter behandling av personnummer.
Skatteverket ska ha minst ett dataskyddsombud.
Dataskyddsombudet måste ha god kunskap om dataskyddslagstiftning och om organisationens verksamhet. Dataskyddsombudet måste också ha kunskap om organisationens it-system, datasäkerhet och dataskyddsbehov. EU:s dataskyddsförordning anger att den personuppgiftsansvarige eller personuppgiftsbiträdet ska offentliggöra dataskyddsombudets kontaktuppgifter och meddela dessa till tillsynsmyndigheten (artikel 37 EU:s dataskyddsförordning).
Dataskyddsombudet ska ha en självständig ställning. Dataskyddsombudet får inte avsättas eller bli föremål för sanktioner av den personuppgiftsansvarige eller personuppgiftsbiträdet för att ha utfört sina uppgifter (artikel 38 EU:s dataskyddsförordning).
Skatteverkets dataskyddsombud ska övervaka att verket följer EU:s dataskyddsförordning, författningar som kompletterar förordningen, interna styrdokument m.m. Dataskyddsombudet ska också ge information och råd inom organisationen.
Dataskyddsombudet ska alltid vara delaktigt när Skatteverket gör, eller överväger att göra, en konsekvensbedömning för behandling av personuppgifter (artikel 38 EU:s dataskyddsförordning).
Dataskyddsombudet ska vara lätt att nå och är kontaktperson för
Dataskyddsombudet ska också samarbeta med Datainspektionen, t.ex. vid inspektioner.