ARTIKEL 29 - ARBETSGRUPPEN FÖR UPPGIFTSSKYDD
|
|
- Anders Lundberg
- för 8 år sedan
- Visningar:
Transkript
1 ARTIKEL 29 - ARBETSGRUPPEN FÖR UPPGIFTSSKYDD 11118/02/SV/slutlig WP 65 Arbetsdokument om svarta listor Antaget den 3 oktober 2002 Arbetsgruppen har inrättats genom artikel 29 i direktiv 95/46/EG. Arbetsgruppen är EU:s oberoende rådgivande instans för uppgiftsskydd och skydd för privatlivet. Dess arbetsuppgifter framgår av artikel 30 i direktiv 95/46/EG och artikel 14 i direktiv 97/66/EG. Gruppens sekretariat finns hos: Europeiska kommissionen, GD Inre marknaden, Direktorat E Fri rörlighet för information. Datasäkerhet. B-1049 Bryssel Belgien Kontor C100-6/136 Direktanknytning (32-2) , växel: , fax: (32-2) Internet:
2 SVARTA LISTOR ARBETSGRUPPEN FÖR SKYDD AV ENSKILDA MED AVSEENDE PÅ BEHANDLINGEN AV PERSONUPPGIFTER inrättad genom Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober , har antagit detta arbetsdokument med beaktande av artiklarna 29, 30.1 a och 30.3 i detta direktiv, och med beaktande av sin arbetsordning, särskilt artiklarna 12 och 14 i denna. Arbetsgruppen erinrar för det första om att den enskildes rätt till skydd för sina personuppgifter är en grundläggande rättighet som fastställs i artikel 8 i Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna. Denna rättighet är även inskriven i Europeiska unionens stadga om de grundläggande rättigheterna och utvecklas närmare i direktiven 95/46/EG och 97/66/EG om skydd av personuppgifter. Den grundläggande rättigheten till skydd av personuppgifter är en fristående rättighet som är oberoende av rätten till privatliv eller rätten till kommunikationshemlighet. I praktiken utgör denna rättighet därmed både en startpunkt och en förnyelse för våra samhällen. Eftersom man måste göra den rätta avvägningen mellan denna och andra grundläggande rättigheter å ena sidan, och andra legitima allmänna och privata intressen med återverkningar för enskilda och det allmänna å den andra i kombination med de omfattande och betydelsefulla tekniska framsteg som vi nu bevittnar och som gör det möjligt att sprida, lagra och behandla ofantliga mängder information på kort tid och till en försumbar kostnad är det nödvändigt att behandla en mycket viktig aspekt på ställningen för ett stort antal medborgare i situationer som kan ge upphov till konflikter (nästan alla oönskade) i affärsmässiga, finansiella, yrkesmässiga eller privata förbindelser. Att föra in enskilda personer i databaser, så att de kan identifieras med en viss situation eller vissa fakta, utgör ett intrång. Detta fenomen blir allt vanligare och går för närvarande under benämningen svarta listor. Av flera anledningar är de svåra att definiera, för även om man bortser från svårigheten att göra en enhetlig bestämning av begreppet svarta listor och deras karaktär, måste man också beakta de skillnader som beror på olika lagar och skiljaktiga rättsliga och konstitutionella traditioner i varje medlemsstat 2. 1 Europeiska gemenskapernas officiella tidning L 281, , s. 31, finns tillgänglig på: 2 Det bör även påpekas att lagstiftning till skydd av personuppgifter även är tillämplig på juridiska personer i vissa medlemsstater. 2
3 Om vi ser mera allmänt på vad som skulle kunna vara en grundläggande definition kan man säga att en svart lista innebär att man samlar in och sprider specifika uppgifter om en specifik grupp av personer och som sammanställs enligt specifika kriterier, beroende på vilken sorts svart lista det handlar om. I allmänhet får detta ogynnsamma och menliga följder för de enskilda personer som förs upp på en sådan lista och kan diskriminera en grupp av personer genom att avstänga dem från en viss tjänst eller skada deras anseende. Varje åtgärd eller serie av åtgärder som rör personuppgifter, oavsett om de databehandlas eller inte, definieras som behandling av personuppgifter enligt direktiv 95/46/EG och omfattas således av de nationella bestämmelserna för genomförande av detta direktiv i respektive medlemsstat. För att dessa så kallade svarta listor skall anses lagliga måste de därför omfattas av de principer som gör att uppgiftsbehandling kan tillåtas enligt detta direktiv samt upprätthålla de rättigheter som detta ger medborgarna, såvida de inte faller under något av de undantag som anges i direktivet. Detta dokument har utarbetats på grundval av information som lämnats av tillsynsmyndigheterna i Europeiska unionens medlemsstater, efter internt samråd mellan ledamöterna av artikel 29-arbetsgruppen då man identifierade de viktigaste kategorierna eller slagen av svarta listor och deras mest utmärkande egenskaper. Samrådet visade att vissa slag av reglerade svarta listor är vanligt förekommande. Det rör sig om skuldsättnings- och brottsregister eller register för att förebygga bedrägerier och de har samtliga någon form av rättslig grund i det nationella regelverket. Det finns även andra slag av svarta listor, mindre vanliga än de ovannämnda, och de bestämmelser som reglerar dem är långt ifrån enhetliga. De viktigaste rör administrativa överträdelser, yrkesmässiga försummelser, anställningsregister eller register som innehåller uppgifter om visst individuellt uppträdande som i vissa sociala kretsar anses otillbörligt. Gäldenärsregister och soliditets- och kreditupplysningstjänster Detta slags register är kanske den svarta lista som har störst betydelse för många medborgare och finns i varje medlemsstat. Behandling av personuppgifter är i allmänhet det som ger upphov till det största antalet klagomål till europeiska tillsynsmyndigheter för dataskydd. Det första som bör sägas om dessa register är att varje medlemsstat har olika bestämmelser. I vissa fall ingår dessa i den lagstiftning som genomför direktiv 95/46/EG, medan de i andra återfinns i bestämmelserna för affärs- eller finanssektorn. Syftet med detta dokument är inte att fastställa eller bedöma om dessa register är lagliga, de har ju som sagt en rättslig grund i respektive medlemsstat, utan att försöka analysera hur bestämmelserna utnyttjas och hanteras i praktiken. Denna typ av register upprättas genom att enskilda företag samarbetar, i allmänhet genom ett centralt organ, för att samla kunduppgifter som har direkt och signifikant betydelse för affärsvillkor eller villkor för tjänster. De lagar som reglerar dessa förteckningar grundar sig på företagens behov av information som gör det möjligt för dem att göra en riskbedömning när de går med på att tillhandahålla en tjänst eller leverera varor på kredit och har således en stabiliserande och reglerande funktion på affärstransaktioner. 3
4 En tydlig åtskillnad bör göras mellan de register som betecknas som soliditets- och kreditupplysningar och de som skall tillhandahålla uppgifter om brott mot ekonomiska skyldigheter. De förstnämnda är till för att bedöma en persons ekonomiska och finansiella förmåga att ikläda sig ett framtida kreditåtagande. De senare lagrar uppgifter om uppfyllelse av eller brott mot tidigare ekonomiska skyldigheter i syfte att fastställa huruvida en enskild person eventuellt inte har uppfyllt tidigare åtaganden, vilket självfallet skulle vara förenat med en negativ värdering för framtida krediter. När det gäller register med positiva uppgifter om en persons betalningar (som är förbjudna i vissa medlemsstater, eftersom det faktum att en gäldenär uppfyller sina åtaganden inte utgör någon som helst risk för det finansiella systemets stabilitet och eftersom denna information i princip inte heller är nödvändig för att parterna skall kunna träffa avtal) bör gemensamma register med sådana uppgifter ha stöd i lagstiftning som medger detta (till exempel för att behöriga finansmyndigheter skall kunna bedöma den allmänna risk som finansföretag åtar sig) eller i den registrerades frivilliga, entydiga, specifika och informerade samtycke. Vi vill ändå nämna den typen av register här, för även om sådana positiva bakgrundsregister inte förs med någon avsikt att stämpla en viss grupp av människor till skillnad från svarta listor, skulle de, om de var vanligt förekommande, få samma effekt genom ett slags positiv diskriminering (alla som är med på listan är bra, alla som inte är med på listan är dåliga, eller åtminstone misstänkta). En åtskillnad bör även göras mellan två slag av register om brott mot ekonomiska skyldigheter: Det första är ett kreditregister, med uppgifter om en viss gäldenärs samtliga betalningar och har sin grund i borgenärens avtalsförhållande med gäldenären. Det andra är ett så kallat gemensamt register, vars registeransvarige är ett organ som tillhandahåller uppgifter om betalningsförmåga och kreditvärdighet, vilka kommer från borgenären. Dessa brukar kallas register över osäkra fordringar. Det vanliga är att flera organ (ibland inom en enda sektor, ibland täcker de ett större område) ingår ett avtal med ett tredje företag där de åtar sig att tillhandahålla uppgifter om kunder som försummar sina lånebetalningar till detta företag. Därefter införlivas dessa uppgifter i det gemensamma gäldenärsregistret, vilket den registeransvarige gör tillgängligt för avtalsparterna, så att de kan använda dem i sina i bedömningar av olika kreditmöjligheter. Detta slags register utgör en verklig svart lista över personer som någon gång har försummat sina tidigare ekonomiska åtaganden och är särskilt relevant eftersom det samlar, centraliserar och tillhandahåller uppgifter till de deltagande enheterna eller företagen. Det tillåtliga i att föra in uppgifter i ett sådant register måste grundas antingen på att det finns särskilda avtalsklausuler som bemyndigar borgenären att lämna ut uppgifter om utestående skulder till ett gemensamt register eller och detta är grundläggande på den registeransvariges berättigade intresse av uppgifter om att någon som ansöker om kredit har försummat att betala tillbaka ett tidigare lån. 4
5 Det är således detta berättigade intresse av det finansiella systemets skydd och stabilitet som motiverar att sådana uppgifter lämnas ut till tredje man. Detta förfaringssätt får dock allvarliga ogynnsamma effekter för den registrerade och måste användas utan att principerna i direktivet förloras ur sikte, och det måste finnas särskilda skyddsåtgärder för att trygga den registrerades legitima rättigheter. För en avvägning mellan dessa olika intressen måste spridning av uppgifter som kan ha ogynnsamma effekter för registrerade omfattas av en serie krav och skyddsåtgärder, som anges i direktivet och i medlemsstaternas lagstiftning. a) För det första måste principerna om uppgifternas kvalitet i direktivets artikel 6 följas. I grund och botten innebär detta att en viss förfallen skuld måste ha förblivit obetald och att den gäldenär som ansvarar för att uppfylla detta åtagande måste ha fått en betalningspåminnelse där han uppmanas betala. Uppgifterna i registret måste vara riktiga och aktuella. Därför är det högst relevant om en notering beträffande en specifik skuld finns kvar eller raderas när skulden har betalats. Man kan se en antydan till ett kriterium i kravet på att begränsa den tid under vilken negativa uppgifter får finnas kvar i dessa register, men det bör betonas att det inte finns någon enhällig åsikt om hur lång denna period bör vara och medlemsstaterna har också löst problemet på olika sätt. I några stater får noteringen inte finnas kvar när skulden har betalats, även om det sker för sent, medan andra stater tillåter att uppgifterna står kvar i registret under en maximiperiod, vars längd skiftar från ett land till ett annat 3. Trots dessa skillnader är det tydligt att principen om att uppgifterna skall hållas aktuella medför en förpliktelse att tydligt markera att skulden har betalats, även om noteringen om utebliven betalning finns kvar efter datum för full återbetalning. b) Eftersom registrerade personer inte själva meddelar att skulden skall föras in i det gemensamma registret, måste de förses med den information som avses i artikel 11 i direktivet så snart deras personuppgifter förs in i det gemensamma registret. För att dessa uppgifter skall vara riktiga måste alla rimliga åtgärder vidtas för att säkerställa att den registrerade blir underrättad. Denna underrättelse tryggar deras rätt att försvara sig och tjänar således till att undvika fel (till exempel när det gäller den registrerades identitet eller skulder som den registrerade inte betalar därför att han bestrider beloppet eller den tillhandahållna tjänsten). c) En annan aspekt av avgörande betydelse är nödvändigheten att garantera medborgarnas samtliga rättigheter att få tillgång till uppgifterna i dessa register och deras rätt att få dem rättade eller raderade om uppgifterna innehåller felaktigheter eller inte borde finnas med i registret. Att hindra eller neka dessa rättigheter (till exempel genom att skicka medborgare från den ena registeransvarige till den andre eller ge dem obegriplig information) är ett oacceptabelt bruk som hindrar nödvändig insyn i hanteringen av dessa register. När en medborgare underrättas om att hans personuppgifter förs in i ett register bör därför en enda kontaktperson utses som kan lämna all relevant information och bemöta registrerade personer som utövar sina rättigheter. 3 Ibland anges även en arkiveringstid i avtalet mellan borgenären och gäldenären, men den får inte överstiga denna maximiperiod. 5
6 d) En annan viktig aspekt av detta slags register gäller databehandlade beslut, som avses i artikel 15 i direktivet. Med tanke på det allmänna bruket av datorprogram för att bedöma enskildas kreditvärdighet ( kreditbedömning ) är det absolut nödvändigt att påminna om de skydd som anges i artikel 15. Dessa skyddsåtgärder stärker en persons rätt att inte bli föremål för sådana beslut på annat sätt än som föreskrivs i lagstiftningen, om inte beslutet fattades på begäran av den registrerade när denne ingick eller fullgjorde ett avtal, eller om det inte finns bestämmelser som gör det möjligt för honom att försvara sina berättigade intressen, till exempel möjligheten att göra sin uppfattning gällande. När det gäller den här typen av beslut bör det även erinras om att artikel 12 i direktivet fastställer medborgarnas rätt att få kännedom om den logik som används när uppgifter behandlas automatiskt för sådana beslut. Lagöverträdelser Enligt artikel 8.5 och 8.6 i direktiv 95/46/EG får behandling av uppgifter om lagöverträdelser eller brottmålsdomar 4 i allmänhet endast utföras under kontroll av en myndighet, om inte medlemsstaterna inför undantag. Dessa undantag måste dock innehålla tillfredsställande skyddsåtgärder så att de inte inverkar på medborgarnas grundläggande rättigheter och skall dessutom anmälas till Europeiska kommissionen. Att det är tillåtet att föra sådana register som innehåller uppgifter om lagöverträdelser har sin grund i myndigheternas förpliktelse att upprätthålla säkerhet och allmän ordning. Denna princip rättfärdigar utan tvivel sådana register, förutsatt att de begränsningar som anges i föregående stycke iakttas, enligt vad som föreskrivs i artikel 7 e i direktivet. De flesta medlemsstater har register med personuppgifter om lagöverträdelser som står under insyn av en myndighet. Trots detta har flera tillsynsmyndigheter upptäckt att sådana register skapas och hanteras privat i deras respektive länder. De har i huvudsak pekat på register som förs av stora snabbköp eller företag för uthyrning av fordon. När tillsynsmyndigheter har upptäckt fall av att personuppgifter om icke önskvärda kunder samlas in och behandlas av snabbköp, stormarknader eller varuhus, har de instruerat den registeransvarige att upphöra med denna verksamhet, eftersom det är otillåtet för privata företag att föra sådana register. Den här typen av registerhantering måste alltid uppfylla direktivets principer om uppgifternas kvalitet, särskilt att uppgifterna skall vara korrekta och aktuella. På samma sätt måste man lägga särskild vikt vid rätten till rutinmässig eller automatisk rättelse och radering av uppgifterna om en registrerad person, så snart den av lagen föreskrivna tiden 4 Artikel 8 i direktiv 95/46/EG: (...) 5. Behandling av uppgifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder får utföras endast under kontroll av en myndighet eller om lämpliga skyddsåtgärder finns i nationell lag med förbehåll för de ändringar som medlemsstaterna kan tillåta med stöd av nationella bestämmelser som innehåller lämpliga och specifika skyddsåtgärder. Ett fullständigt register över brottmålsdomar får dock föras endast under kontroll av en myndighet. Medlemsstaterna får föreskriva att uppgifter som rör administrativa sanktioner eller avgöranden i tvistemål också skall behandlas under kontroll av en myndighet. 6. De undantag från punkt 1 som anges i punkterna 4 och 5 skall anmälas till kommissionen. 6
7 har gått till ända. Man bör därför slå samman de olika mekanismer som gör detta möjligt, för att göra det enklare och snabbare, eftersom personuppgifter som finns kvar i register längre än tillåtet kan få menliga följder. Detta är av särskild betydelse när det gäller friande utslag, ansvarsbegränsning eller avslutande av konkurs. Det kan inte finnas någon mening med att behålla sådana uppgifter. Det bör påpekas att de flesta medlemsstater reglerar dessa frågor i respektive straffrätt, och att kriterierna för detta skiljer sig åt. En annan grundläggande punkt som måste beaktas gäller tillgång till information, det vill säga vilka personer eller institutioner som har rätt att få tillgång till uppgifterna i dessa register. Dessutom måste registrerade personer alltid ha rätt till tillgång till uppgifter om dem i ett register. Denna bestämmelse om tillgång kan ge upphov till tämligen komplicerade och problematiska situationer, till exempel om den registrerade söker arbete och en arbetsgivare som ett led i urvalsprocessen skulle kunna be den sökande att visa upp innehållet i ett intyg från ett straffregister utfärdat av registeransvarig myndighet, i de medlemsstater där detta är tillåtet. Den sökande skulle kunna få fram ett sådant intyg som kan innehålla uppgifter om eventuella brottmålsdomar eller andra säkerhetsåtgärder. Arbetsgivaren får således tillgång till innehållet i vissa uppgifter som inte är direkt rättsligt erkända. Detta hypotetiska fall skulle kunna bli än mer komplicerat i situationer som kan uppstå om arbetsgivaren använder sig av denna information i ett senare skede, eftersom det i princip inte strider mot bestämmelserna i artikel 8.5 i direktivet att bara ta del av de uppgifter som den sökande tillhandahåller under urvalsprocessen, medan varje form av manuell eller automatisk behandling av dessa uppgifter skulle kunna göra det. Bedrägeribekämpning I vissa sektorer av ekonomin, i första hand försäkringssektorn, kan bedrägeriförsök vara så vanliga och ha en sådan betydelse för företagens verksamhet att de har fått företag att inrätta källor för meddelande av uppgifter genom gemensamma register, som kan vara till hjälp för att bekämpa bedrägeriknep och därigenom sänka företagens driftskostnader. Gemensamma eller centraliserade register som matas med uppgifter från företagen 5 används för att tillkännage uppgifter om utbetalningar till kunder som misstänks för bedrägeri eller brott mot de gällande bestämmelserna för sektorn i fråga 6. 5 Se andra stycket i avsnittet om Gäldenärsregister och soliditets- och kreditupplysningstjänster. 6 I några länder centraliserar försäkringsföretag även uppgifter om kunder som anses utgöra särskilda risker, med hjälp av kriterier som antalet skador för en kund under en viss period, utan att alltid ta hänsyn till kundens ansvar för skadan. Försäkringsföretagens försvar är att ett sådant antal skador, även om kunden inte är ansvarig, kan anses utgöra en fingervisning om förmodat bedrägeri. Några dataskyddsmyndigheter har påpekat att vissa aspekter på denna sorts databehandling strider mot lagstiftningen om skydd av personuppgifter, försåvitt den nationella lagstiftningen inte innehåller rättsliga bestämmelser som anger tillräckliga garantier. 7
8 Med tanke på likheterna (centraliserade register, överföring av uppgifter från tredje man, spridning av uppgifter mellan parterna i systemet osv.) är både problemen och de skyddsåtgärder som bör införas liknande de som rör register om brott mot ekonomiska skyldigheter eller register över osäkra fordringar som granskades ovan 7. Den rättsliga ramen för dessa listor måste stämma överens med bestämmelserna om skydd av personuppgifter: utövande av rätten till tillgång, underrättelse till den registrerade att han förts in i registret 8, att uppgifterna bevaras under en period som står i rimlig proportion till de ändamål för vilka de samlas in och en skyldighet att radera uppgifter när de inte längre behövs för de ändamål för vilka de sammanställdes. En annan viktig fråga gäller vikten av att föreskriva mekanismer för att undvika fel när det gäller identifiering av enskilda personer som förs in i ett register (detta är särskilt relevant när det gäller registrerade med vanliga namn), införande av felaktiga skulder (till exempel skulder som är föremål för diskussioner med den registrerade) samt skuldbelopp och misstag vid uppdatering av dessa i händelse av senare betalning osv. 9 Varje fel av detta slag måste omedelbart rättas till så snart det upptäcks, vilket förutsätter att rigorösa kontrollinstrument inrättas. I de flesta länder är register av detta slag privata och när det gäller interna bestämmelser i de olika medlemsstaterna bör det påpekas att registrerade vanligtvis informeras så snart de har förts in i ett register, i enlighet med tillämpliga bestämmelser, även om den information som lämnas till den registrerade inte alltid är fullständig och det ibland kan vara svårt att utöva rätten till tillgång, på grund av de svårigheter den registrerade kan ställas inför. Andra kategorier av svarta listor Vi har kort gått igenom de kategorier av svarta listor som är vanligast förekommande och som är reglerade i medlemsstaterna, och om vilka det därför finns mest information. Det är dock minst lika viktigt att granska en annan typ av listor, som även om den hittills inte har varit så allmänt förekommande och reglerad, inte är mindre viktig med tanke på de oerhörda konsekvenser de kan få för de registrerade personernas liv. Register som förtjänar att framhållas i denna kategori är sådana som innehåller negativa uppgifter om anställda eller arbetssökande eller har att göra med hälsoproblem, socialt eller politiskt uppträdande och yrkesmässiga försummelser. Det rör sig bland annat om de svarta listor som bygger på insamling och spridning av uppgifter som omfattas av ett särskilt skydd, eftersom de har störst betydelse för de registrerades intressen, och det förefaller som att det vanligtvis är dessa som tillsynsmyndigheterna måste befatta sig med. 7 Principerna för tillåtlighet är likartade: att det finns ett allmänintresse att bekämpa bedrägerier, det finansiella systemets stabilitet, att reglera och skydda affärstransaktioner osv. eller att den registeransvarige har ett berättigat intresse, om inte den registrerades intressen eller rättigheter och friheter anses viktigare. 8 Ett sätt att undvika fel och problem skulle kunna vara att fastställa en rimlig period från det den registrerade underrättas tills dess uppgiften verkligen förs in i det gemensamma registret. Detta förfarande skulle även kunna tillämpas på register över brott mot ekonomiska skyldigheter. 9 Detta kan även tillämpas på de kategorier av svarta listor som analyseras i detta arbetsdokument, med hänsyn till de utmärkande egenskaperna för varje kategori. 8
9 Dessa listor regleras av direktiv 95/46/EG, artiklarna 8 10, 13 och I enlighet med direktivet förbjuder de flesta medlemsstaterna behandling av särskilda kategorier av personuppgifter utan den registrerades uttryckliga samtycke. Några stater medger behandling av detta slags uppgifter om det är tillåtet enligt lag eller om berättigade allmänna intressen eller affärsintressen står på spel 12, eftersom direktivet föreskriver att medlemsstater får besluta om andra undantag som ger grund för behandling av särskilt skyddade uppgifter under förutsättning av lämpliga skyddsåtgärder 13. På liknande sätt har några medlemsstater ett uttryckligt förbud i lagen för sammanställande av svarta listor över anställda. I några medlemsstater har domstolarna faktiskt förbjudit sammanställande av register med uppgifter om politiska åsikter, medlemskap i fackförening, etiska frågor eller uppgifter om anställdas hälsa. Det har hänt att domstolar har riktat kritik mot sådana register även då de, i de nämnda fallen, endast skulle skapas inom ett företag. 10 Artikel 8 i direktiv 95/46/EG: 1. Medlemsstaterna skall förbjuda behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, samt uppgifter som rör hälsa och sexualliv. 2. Punkt 1 gäller inte om a) den registrerade har lämnat sitt uttryckliga samtycke till en sådan behandling, utom när det enligt medlemsstatens lagstiftning anges att förbudet i punkt 1 inte kan upphävas genom den registrerades samtycke, eller behandlingen är nödvändig för att fullgöra de skyldigheter och särskilda rättigheter som åligger den registeransvarige inom arbetsrätten, i den omfattning detta är tillåtet enligt en nationell lagstiftning som föreskriver lämpliga skyddsåtgärder, eller c) behandlingen är nödvändig för att skydda den registrerades eller någon annan persons grundläggande intressen när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke, eller, [...]; 3. Punkt 1 gäller inte när behandlingen av uppgifterna är nödvändig med hänsyn till förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälso- eller sjukvård eller när dessa uppgifter behandlas av någon som är yrkesmässigt verksam på hälso- och sjukvårdsområdet och som enligt nationell lagstiftning eller bestämmelser som antagits av behöriga nationella organ är underkastad tystnadsplikt eller av en annan person som är ålagd en liknande tystnadsplikt. 11 Artikel 15 i direktiv 95/46/EG: Databehandlade beslut 1. Medlemsstaterna skall ge varje person rätten att inte bli föremål för ett beslut som har rättsliga följder för honom eller som märkbart påverkar honom och som enbart grundas på automatisk behandling av uppgifter som är avsedda att bedöma vissa personliga egenskaper hos honom, exempelvis hans arbetsprestationer, kreditvärdighet, pålitlighet och uppträdande. 2. Om inte annat följer av övriga bestämmelser i detta direktiv skall medlemsstaterna föreskriva att en person får bli föremål för ett beslut av det slag som avses i punkt 1 om beslutet a) fattas som ett led i ingåendet eller fullgörandet av ett avtal, förutsatt att den registrerades begäran om ingående eller fullgörande av avtalet har bifallits eller att det vidtas lämpliga åtgärder för att skydda hans berättigade intressen, exempelvis möjligheten för honom att göra sin uppfattning gällande, eller b) tillåts i lagstiftning som innehåller bestämmelser till skydd för den registrerades berättigade intressen. 12 Se artikel 8.2 b i direktiv 95/46/EG. 13 Artikel 8.4 i direktiv 95/46/EG: Under förutsättning av lämpliga skyddsåtgärder och av hänsyn till ett viktigt allmänt intresse får medlemsstaterna antingen i sin nationella lagstiftning eller genom ett beslut av tillsynsmyndigheten besluta om andra undantag än de som nämns i punkt 2. 9
10 När det gäller svarta listor som innehåller något annat slag av särskilt skyddade uppgifter, till exempel hälsouppgifter, bör det påpekas att register av detta slag i huvudsak sammanställs i samband med livförsäkringar som erbjuds av företag inom den sektorn. I avsaknad av rättsliga bestämmelser om lämpliga skyddsåtgärder får dessa register endast sammanställas med den registrerades frivilliga, specifika, uttryckliga och väl underbyggda samtycke, vilket han har rätt att återkalla. Även då måste man emellertid ta hänsyn till artikel 6 i direktivet och särskilt att dessa register måste stå i proportion till ändamålet. Det är även nödvändigt att fastställa att det inte finns särskilda bestämmelser i den berörda medlemsstaten som förbjuder detta bruk även när den registrerade har lämnat sitt samtycke. Man bör komma ihåg de begränsningar för databehandlade beslut som föreskrivs i artikel 15 i direktiv 95/46/EG. Ett specifikt exempel på åtgärder som vidtagits med avseende på detta slag av svarta listor är att nationella tillsynsmyndigheter har klandrat gemensamma register, centraliserade av en sammanslutning av försäkringsföretag, som innehöll uppgifter om personer som vägrats teckna livförsäkring på grund av deras hälsoproblem. Tillsynsmyndigheten förordnade att dessa måste raderas eller göras tillåtliga enligt direktivet, eftersom man inte ansåg det tillräckligt att dessa uppgifter skulle vara tillgängliga för respektive företag som hade livförsäkringsavtal med registrerade för vilka avtalsförhållandets karaktär skulle kunna utgöra giltigt skäl för att inneha dessa uppgifter. Svarta listor som innehåller särskilt skyddade uppgifter om vissa aktiviteter med sociala eller politiska återverkningar är endast tillåtna, och existerar faktiskt även i några medlemsstater (förteckningar eller offentliga register över personer vars uppträdande anses farligt), om de rättsliga bestämmelserna för att sammanställa dem även anger skyddsåtgärder och begränsningar för tillgång till uppgifterna. Trots att det råder bred enighet bland tillsynsmyndigheterna om att dessa förteckningar inte är lagenliga, anser några medlemsstater på ett liknande sätt att det finns konflikter mellan rätten till privatliv för de enskilda som figurerar i dessa register och yttrandefriheten för dem som tillhandahåller dessa register. Domstolar har anslutit sig till den senare ståndpunkten i ett antal specifika fall i några medlemsstater och ogillat den i andra. Avsikten med detta dokument är inte att analysera rättsliga beslut eller utfärda ett kategoriskt utslag om hur avvägningen mellan dessa rättigheter bör göras, men det är nödvändigt att erinra om att yttrandefriheten även om den i mycket speciella fall och i kraft av rättsliga och konstitutionella traditioner ges en mycket vid tolkning inte utgör något hinder för att respektera principerna om räckvidd, proportionalitet, aktuella uppgifter samt rätten att få tillgång till uppgifter och att få dem rättade och raderade. Om detta förvägras kommer tillsynsmyndigheterna med all säkerhet att yttra sig. 10
11 SLUTSATSER OCH REKOMMENDATIONER Som sägs i inledningen syftar detta arbetsdokument till att belysa fenomenet med svarta listor inom Europeiska unionen genom att beskriva den befintliga situationen mot bakgrund av den information som lämnats av tillsynsmyndigheterna i Europeiska unionens medlemsstater, efter internt samråd bland ledamöterna av artikel 29- arbetsgruppen. Denna analys leder fram till två grundläggande slutsatser: detta slag av gemensamma register förekommer och har menliga följder och konsekvenser för enskildas privata (och samhälleliga) liv; det finns tydliga skillnader i regleringen och användningen av sådana register i medlemsstaterna. I stort sett är det därför viktigt att betona argumenten för enhetliga, harmoniserade kriterier 14 för den behandling av personuppgifter som kallas för svarta listor, kriterier som föreskriver garantier för att registrerade kan utöva de rättigheter som erkänns i bestämmelserna till skydd för privatliv och personuppgifter. Mot bakgrund av detta dokument är en sådan harmonisering särskilt relevant med avseende på följande frågor. Det är viktigt att fastställa mekanismer som tydligt och öppet definierar det slag av personuppgifter som troligen kommer att behandlas, ändamålet för vilket de behandlas och skyddsåtgärder för de registrerade (dvs. att inrätta kontrollsystem för de uppgifter som behandlas) och de omständigheter och förhandsvillkor som gör sådana register tillåtliga. Detta bör åstadkommas inom ramen för de principer i artikel 7 i direktiv 95/46/EG som gör att uppgiftsbehandling kan tillåtas. Det är också av grundläggande betydelse att uppgifterna uppdateras 15. Det skulle vara mycket användbart att försöka definiera generella parametrar för en standardisering av de tidsperioder under vilka uppgifter i registren får bevaras eller spärras. Bristen på insyn när det gäller direktivets princip om uppgifternas kvalitet kan innebära att de registrerade lämnas helt utan skydd eftersom det saknas mekanismer som kan gottgöra den orsakade skadan (dvs. om uppgifter överförs till tredje man utan den registrerades vetskap). En insats för att uppnå största möjliga harmonisering i denna fråga skulle vara ett steg på vägen för att avskaffa de skiljaktiga kriterier som för närvarande finns i de flesta medlemsstater, och underlätta arbetet för ekonomiska aktörer inom ramen för konkurrenslagstiftningen, i linje med skäl 7 i direktiv 95/46/EG Inom ramen för direktiv 95/46/EG och respektive nationella lagstiftning. Artikel 6.1 d i direktiv 95/46/EG: Principer om uppgifternas kvalitet: 1. Medlemsstaterna skall föreskriva att personuppgifter [...] skall vara riktiga och, om nödvändigt, aktuella. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga eller ofullständiga i förhållande till de ändamål för vilka de samlades in eller för vilka de senare behandlas, utplånas eller rättas, Se Gäldenärsregister och soliditets- och kreditupplysningstjänster ovan. 16 Skillnaden i skyddsnivå mellan medlemsstater vad gäller enskilda personers fri- och rättigheter, särskilt rätten till privatliv med avseende på behandling av personuppgifter, kan hindra översändande av sådana uppgifter från en medlemsstats territorium till en annans. Denna skillnad kan därför utgöra ett hinder för att utöva en rad ekonomiska aktiviteter på gemenskapsnivå, snedvrida konkurrensen och 11
12 En annan viktig aspekt är rätten för registrerade att bli informerade om behandling av deras personuppgifter. Brott mot denna väsentliga princip lämnar medborgarna i en utsatt situation, då de själva inte känner till att deras personuppgifter har förts in på en svart lista eftersom uppgifterna samlats in från en annan källa, vilket hindrar dem att effektivt utöva rätten till tillgång, rätten att erhålla rättelse, rätten att få uppgifter raderade och rätten att göra invändningar 17. Vederbörlig reglering av förfarandet för att underrätta registrerade är av avgörande betydelse, bland annat kriterier för att information skall lämnas i god tid och på lämpligt sätt och ett tydligt meddelande om vilka förutsättningar som gäller för spridning av uppgifter till tredje man 18. Man skulle även kunna föreskriva mekanismer som inkluderar information som lämnas till den registrerade när han nekas en viss tjänst och eventuella bestämmelser om senare kontroller av den registrerade (inom ramen för de skyddsåtgärder som avses ovan). Direktivet erkänner faktiskt den registrerades rätt att inte bli föremål för ett beslut som har rättsliga följder för honom eller som märkbart påverkar honom och som enbart grundas på automatisk behandling av uppgifter som är avsedda att bedöma vissa personliga egenskaper hos honom 19. Det finns även skäl för att bedöma argumenten för att inrätta mekanismer som gör det möjligt för den registrerade att ingripa och, om han kan anföra giltiga skäl i en tvist, kräva att lämplig information som intygar hans ståndpunkt förs in i registret. hindra myndigheterna att fullgöra de skyldigheter som åligger dem enligt gemenskapsrätten. Denna skillnad i skyddsnivå beror på olikheter i nationella lagar och andra författningar Artikel 11 i direktiv 95/46/EG: Information när uppgifterna inte har samlats in från den registrerade 1. Om uppgifterna inte har samlats in från den registrerade, skall medlemsstaterna föreskriva att den registeransvarige eller hans företrädare vid tiden för registreringen av personuppgifter eller, om utlämnande till en tredje man kan förutses, inte senare än vid den tidpunkt då uppgifterna först lämnas ut, skall ge den registrerade åtminstone följande information, utom när den registrerade redan känner till informationen: a) Den registeransvariges och dennes eventuella företrädares identitet. b) Ändamålen med behandlingen. c) All ytterligare information, exempelvis de kategorier av uppgifter som behandlingen gäller, mottagarna eller de kategorier som mottar uppgifterna, förekomsten av rättigheter att få tillgång till och att erhålla rättelse av de uppgifter som rör honom, i den utsträckning som den ytterligare informationen med hänsyn till de särskilda omständigheter under vilka uppgifterna samlas in är nödvändig för att tillförsäkra den registrerade en korrekt behandling. 2. Bestämmelserna i punkt 1 skall inte gälla när det särskilt i samband med behandling för statistiska ändamål eller historiska eller vetenskapliga forskningsändamål visar sig omöjligt eller innebära en oproportionerligt stor ansträngning att ge information eller om registrering eller utlämnande uttryckligen föreskrivs i författning. I sådana fall skall medlemsstaterna föreskriva lämpliga skyddsåtgärder. Se detta dokument beträffande Gäldenärsregister och soliditets- och kreditupplysningstjänster. Man bör komma ihåg de fall då uppgifterna har samlats in från den registrerade. Se artikel 11.1 i direktiv 95/46/EG Information när uppgifterna inte har samlats in från den registrerade. Artikel 15 i direktiv 95/46/EG Databehandlade beslut. 12
13 En annan nyckelfråga när det gäller gemensamma och delade centraliserade register är registeransvarigas förpliktelse att införa och genomföra lämpliga tekniska och organisatoriska säkerhetsåtgärder och villkoren för tillgång till sådana register 20. Såsom anförts, och mot bakgrund av att de register med svarta listor som finns i vissa bestämda sektorer som tillhandahåller viktiga tjänster (som finanssektorn och telekommunikationssektorn) berör ett större antal medborgare, önskar därför arbetsgruppen för skydd av enskilda med avseende på behandlingen av personuppgifter öka medvetenheten i gemenskapens samtliga institutioner om hur viktigt det är att gå vidare i den riktning som anges i slutsatserna och framhålla behovet av gemensamma kriterier, riktlinjer eller handlingslinjer på detta område, inom ramen för och i enlighet med direktiv 95/46/EG och medlemsstaternas lagar. Utfärdat i Bryssel den 3 oktober 2002 På arbetsgruppens vägnar Ordförande Stefano Rodota 20 Artikel 17 i direktiv 95/46/EG Säkerhet vid behandling. 13
Blankett 8A Standardavtalsklausuler
Blankett 8A Standardavtalsklausuler STANDARDAVTALSKLAUSULER i enlighet med artikel 26 punkt 2 i direktivet 95/46/EG för överföring av personuppgifter till tredje land som inte säkerställer adekvat skyddsnivå
Läs mer12. Klar och tydlig information och kommunikation samt klara och tydliga villkor för utövandet av den registrerades rättigheter
1 Avsnitt 1 Insyn och villkor 12. Klar och tydlig information och kommunikation samt klara och tydliga villkor för utövandet av den registrerades rättigheter 1. Den personuppgiftsansvarige ska vidta lämpliga
Läs merARTIKEL 29 Arbetsgruppen för skydd av personuppgifter
ARTIKEL 29 Arbetsgruppen för skydd av personuppgifter 00065/2010/SV WP 174 Yttrande 4/2010 över FEDMA:s europeiska uppförandekodex för användning av personuppgifter i direkt marknadsföring Antaget den
Läs merFÖRSLAG TILL BETÄNKANDE
Europaparlamentet 2014-2019 Utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor 27.4.2018 2018/2062(INI) FÖRSLAG TILL BETÄNKANDE om avsikten att inleda förhandlingar om kommissionens
Läs merData Protection, harmoniserade dataskyddsregler inom EU för vem och varför? Svenska Försäkringsföreningen. 12 november 2015
Data Protection, harmoniserade dataskyddsregler inom EU för vem och varför? Svenska Försäkringsföreningen 12 november 2015 1 Historik och processen mot en dataskyddsförordning Datalagen från 1973. Dataskyddsdirektivet
Läs merSvensk författningssamling
Svensk författningssamling Brottsdataförordning Utfärdad den 20 juni 2018 Publicerad den 27 juni 2018 Regeringen föreskriver 1 följande. 1 kap. Allmänna bestämmelser 1 I denna förordning finns kompletterande
Läs merArbetsgrupp för skydd av enskilda med avseende på behandlingen av personuppgifter
EUROPEISKA KOMMISSIONEN GENERALDIREKTORAT XV Inre marknad och finansiella tjänster Fri rörlighet för informationstjänster. Bolagsrätt och finansiell information. Fri rörlighet för information, datasäkerhet
Läs merPERSONUPPGIFTSLAGEN (PUL)
1 (6) PERSONUPPGIFTSLAGEN (PUL) Lagens ikraftträdande PUL trädde ikraft den 24 oktober 1998 och genom PUL:s införande upphävdes 1973-års datalag. För behandling av personuppgifter, som påbörjats före den
Läs merAllmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)
Kommunledningsförvaltningen STYRDOKUMENT Godkänd/ansvarig 1(5) Beteckning Riktlinjer behandling personuppgifter Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL) 1.
Läs merDenna policy gäller för Fordonsmäklarna (kallad Fordonsmäklarna eller "vi") behandling av kunders personuppgifter.
Kundsekretesspolicy Omfattning och syfte Denna policy gäller för Fordonsmäklarna (kallad Fordonsmäklarna eller "vi") behandling av kunders personuppgifter. Syftet med denna policy är att ge våra nuvarande,
Läs merArbetsgruppen för skydd av enskilda med avseende på behandlingen av personuppgifter (Artikel 29)
Arbetsgruppen för skydd av enskilda med avseende på behandlingen av personuppgifter (Artikel 29) 02318/09/SV WP167 Yttrande 8/2009 Om skydd av personuppgifter insamlade och behandlade av skattefria butiker
Läs merSvensk författningssamling
Svensk författningssamling Personuppgiftslag; SFS 1998:204 utfärdad den 29 april 1998. Enligt riksdagens beslut 1 föreskrivs 2 följande. Allmänna bestämmelser Syftet med lagen 1 Syftet med denna lag är
Läs mer10/01/2012 ESMA/2011/188
Riktlinjer och rekommendationer Samarbete, inbegripet delegering, mellan Esma, behöriga myndigheter och behöriga sektorsmyndigheter enligt förordning (EU) nr 513/2011 om kreditvärderingsinstitut 10/01/2012
Läs merVården och reglerna om dataskydd
Vården och reglerna om dataskydd 2016-09-21 Katarina Tullstedt Enhetschef Enheten för myndigheter, vård och utbildning Datainspektionen Rätten till privatliv Europakonventionen EU:s stadga om de grundläggande
Läs merOmfattning och syfte Denna policy gäller för Volvo Cars-koncernens (kallad Volvo Cars eller vi ) behandling av kunders personuppgifter.
Kundsekretesspolicy Omfattning och syfte Denna policy gäller för Volvo Cars-koncernens (kallad Volvo Cars eller vi ) behandling av kunders personuppgifter. Syftet med denna policy är att ge våra nuvarande,
Läs merAtt. GDPR Humlegårdsgatan , Stockholm. Besök oss gärna på
INTEGRITETSPOLICY Advokatfirman Titov & Partners KB, organisationsnummer 969784-0099 ( Titov & Partners, vi eller oss ) värnar om din personliga integritet och strävar därför efter att all insamling och
Läs merFastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY
Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY Inledning Dataskyddsförordningen 1 började tillämpas den 25 maj 2018 i hela EU. Den är därför
Läs merSidan 3: Vägledande översikt: Jämförelse mellan förslagen till artiklar om medlemskap i unionen och de befintliga fördragen
EUROPEISKA KONVENTET SEKRETARIATET Bryssel den 2 april 2003 (3.4) (OR. fr) CONV 648/03 NOT från: till: Ärende: Presidiet Konventet Avdelning X: Medlemskap i unionen Innehåll: Sidan 2: Huvudinslag Sidan
Läs merPolicy och riktlinje för hantering av personuppgifter i Trosa kommun
Policy och riktlinje för hantering av personuppgifter i Trosa kommun Antagen av: Kommunfullmäktige 2018-04-25, 36, dnr KS 2018/65 Dokumentkategori: Styrdokument Dokumenttyp: Policy Kommunstyrelsen Policy
Läs merKOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige
KOMMUNAL FÖRFATTNINGSSAMLING 2018:1-003 Policy och riktlinjer för hantering av personuppgifter Antagen av kommunfullmäktige 2018-03-27 35 1 Att gälla från och med 2018-05-01 Policy för hantering av personuppgifter
Läs merKommittédirektiv. Dataskyddsförordningen behandling av personuppgifter vid antidopningsarbete inom idrotten. Dir. 2018:31
Kommittédirektiv Dataskyddsförordningen behandling av personuppgifter vid antidopningsarbete inom idrotten Dir. 2018:31 Beslut vid regeringssammanträde den 26 april 2018 Sammanfattning En särskild utredare
Läs merPersonuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018
H Personuppgiftspolicy Fastställd efter FS-beslut 19 april 2018 Sammanfattning 1. Personuppgifter ska behandlas i enlighet med ändamålet All behandling av personuppgifter ska ske i överensstämmelse med
Läs merPERSONUPPGIFTSLAG. Den fysiska person som, efter förordnande av den personuppgiftsansvarige,
PERSONUPPGIFTSLAG Syftet med lagen 1 Syftet med denna lag är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Avvikande bestämmelse i annan författning
Läs mer1. INLEDNING 2. PERSONUPPGIFTSANSVARIG 3. INSAMLING OCH ÄNDAMÅL
Integritetspolicy 1. INLEDNING... 2 1.1 VÅRA PRINCIPER... 2 2. PERSONUPPGIFTSANSVARIG... 2 3. INSAMLING OCH ÄNDAMÅL... 2 3.1 HUR SAMLAR VI IN DINA PERSONUPPGIFTER?... 2 3.2 VILKA PERSONUPPGIFTER BEHANDLAR
Läs merPRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN
1 (7) BEHANDLING AV PERSONUPPGIFTER (GDPR) SALA4000, v 2.0, 2012-08-27 N:\Informationsenheten\InformationSala\Projekt\GDPR\sakn-integritetspolicy-behandling av personuppgifter.docx Behandling av personuppgifter...
Läs merDataskyddsförordningen i utbildningsverksamhet
Dataskyddsförordningen i utbildningsverksamhet Vasa, Ledande jurist Ida Sulin Finlands Kommunförbund Ny personuppgiftslag, 25.5.2018 EU:s dataskyddsför ordning Speciallagstift ning Dataskyddslag 2 [pvm]
Läs merPersonuppgiftslagen PUL
SFS nr: 1998:204 Departement/ myndighet: Justitiedepartementet L6 Rubrik: Personuppgiftslag (1998:204) Utfärdad: 1998-04-29 Ändring införd: t.o.m. SFS 2003:466 Personuppgiftslagen PUL Allmänna bestämmelser
Läs merPersonuppgiftsbiträdesavtal
1 Personuppgiftsbiträdesavtal Parter Klubb Organisationsnummer Adress Postadress Nedan: ansvarig Bolag Organisationsnummer Adress Postadress Nedan: biträdet Kontaktperson: Telefonnummer: Mejladress: Kontaktperson:
Läs merPersonuppgiftsbiträdesavtal
DNR 13-125/2325 SID 1 (9) Bilaga 9 Personuppgiftsbiträdesavtal Upphandling av ett helhetsåtagande avseende IT-stöd för pedagogiskt material inom Skolplattform Stockholm DNR 13-125/2325 SID 2 (9) INNEHÅLLSFÖRTECKNING
Läs merIII RÄTTSAKTER SOM ANTAGITS I ENLIGHET MED AVDELNING VI I FÖRDRAGET OM EUROPEISKA UNIONEN
L 81/24 Europeiska unionens officiella tidning 27.3.2009 III (Rättsakter som antagits i enlighet med fördraget om Europeiska unionen) RÄTTSAKTER SOM ANTAGITS I ENLIGHET MED AVDELNING VI I FÖRDRAGET OM
Läs merDataskyddsförordningen 2018
Dataskyddsförordningen 2018 Adress till denna presentation: bit.do/gdprant Vi talar om dataskyddsförordningen och GDPR General Data Protection Regulation Tra dde i kraft 24.5.2016, ga ller i Finland fr.o.m.
Läs merNOT Generalsekretariatet Delegationerna Utkast till rådets direktiv om skyldighet för transportörer att lämna uppgifter om passagerare
EUROPEISKA UNIONENS RÅD Bryssel den 23 februari 2004 (26.2) (OR. en) 6620/04 LIMITE FRONT 27 COMIX 119 NOT från: till: Ärende: Generalsekretariatet Delegationerna Utkast till rådets direktiv om skyldighet
Läs merFörhållandet mellan direktiv 2001/95/EG och förordningen om ömsesidigt erkännande
EUROPEISKA KOMMISSIONEN GENERALDIREKTORATET FÖR NÄRINGSLIV Vägledning 1 Bryssel den 1 februari 2010 - Förhållandet mellan direktiv 2001/95/EG och förordningen om ömsesidigt erkännande 1. INLEDNING Syftet
Läs merDataskyddsförordningen 2018
Dataskyddsförordningen 2018 Adress till denna presentation: www.bit.do/gdpr-ant Vi talar om dataskyddsförordningen och GDPR General Data Protection Regulation Tra dde i kraft 24.5.2016, ga ller i Finland
Läs merEUROPEISKA GEMENSKAPERNAS KOMMISSION. Förslag till RÅDETS BESLUT
EUROPEISKA GEMENSKAPERNAS KOMMISSION Bryssel den 14.10.2005 KOM(2005) 492 slutlig Förslag till RÅDETS BESLUT om gemenskapens ståndpunkt i associeringsrådet EG Turkiet beträffande genomförandet av artikel
Läs merPERSONUPPGIFTSBITRÄDESAVTAL
PERSONUPPGIFTSBITRÄDESAVTAL 1. 1.1 1.2 1.3 1.4 Allmänt Detta Personuppgiftsbiträdesavtal utgör en integrerad del av avtalet om Directory ( Avtalet ) mellan Leverantören och Kunden. Leverantören kommer
Läs merDomännamn registreringspolicy
Domännamn registreringspolicy DEFINITIONER Denna policy för registrering av domännamn ( Registreringspolicyn ) antar de termer som definieras i Regler och Villkor och/eller ADR-reglerna. SYFTE OCH OMFATTNING
Läs merPERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)
1 (6) Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS) Detta personuppgiftsbiträdesavtal reglerar Personuppgiftsbiträdets behandling av personuppgifter för den Personuppgiftsansvariges
Läs merBilaga - Personuppgiftsbiträdesavtal
Bilaga - Personuppgiftsbiträdesavtal Detta avtal reglerar förhållandet mellan personuppgiftsansvarig, Kunden, och Personuppgiftsbiträdet, Ecuni AB. Med Personuppgiftsbiträdet avses Ecuni AB för de av Kunden
Läs merFörhållandet mellan direktiv 98/34/EG och förordningen om ömsesidigt erkännande
EUROPEISKA KOMMISSIONEN GENERALDIREKTORATET FÖR NÄRINGSLIV Vägledning 1 Bryssel den 1 februari 2010 - Förhållandet mellan direktiv 98/34/EG och förordningen om ömsesidigt erkännande 1. INLEDNING Syftet
Läs merKOMMISSIONENS FÖRORDNING (EU)
L 176/16 SV Europeiska unionens officiella tidning 10.7.2010 KOMMISSIONENS FÖRORDNING (EU) nr 584/2010 av den 1 juli 2010 om genomförande av Europaparlamentets och rådets direktiv 2009/65/EG vad gäller
Läs merRiktlinjer för att tillvarata enskildas rättigheter
Riktlinjer för att tillvarata enskildas rättigheter Innehållsförteckning Instruktion för att tillvarata enskildas rättigheter... 3 Syfte... 3 Rätt till information vid insamlande av personuppgifter...
Läs merInstruktion för att tillvarata enskildas rättigheter
Instruktion för att tillvarata enskildas rättigheter De personer vars personuppgifter behandlas, de registrerade, har ett antal rättigheter enligt dataskyddsförordningen. Dessa rättigheter innebär i korthet
Läs merKyrkostyrelsens cirkulär nr 18/
Kyrkostyrelsens cirkulär nr 18/2018 10.12.2018 DATASKYDDSLAGEN TRÄDER I KRAFT DEN 1.1.2019 Den nya dataskyddslagen (1050/2018) träder i kraft den 1 januari 2019 (lagens innehåll finns elektroniskt i Finlex
Läs merFörslag till EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING. om ändring av förordning (EG) nr 726/2004 vad gäller säkerhetsövervakning av läkemedel
EUROPEISKA KOMMISSIONEN Bryssel den 10.2.2012 COM(2012) 51 final 2012/0023 (COD) Förslag till EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING om ändring av förordning (EG) nr 726/2004 vad gäller säkerhetsövervakning
Läs merInstruktion till mall för registerförteckning
Datum 2017-12-01 1 (7) Avdelningen för Digitalisering Instruktion till mall för registerförteckning Dataskyddsförordningen artikel 30.1 kräver att varje personuppgiftsansvarig organisation ska föra ett
Läs merÄNDRINGSFÖRSLAG 1-34
EUROPAPARLAMENTET 2009-2014 Utskottet för kultur och utbildning 22.3.2011 2011/2025(INI) ÄNDRINGSFÖRSLAG 1-34 Seán Kelly (PE458.791v01-00) Ett samlat grepp på skyddet av personuppgifter i Europeiska unionen
Läs merSvensk författningssamling
Svensk författningssamling Lag med kompletterande bestämmelser till EU:s dataskyddsförordning Publicerad den 24 april 2018 Utfärdad den 19 april 2018 Enligt riksdagens beslut 1 föreskrivs följande. 1 kap.
Läs mer(Text av betydelse för EES)
30.6.2016 L 173/47 KOMMISSIONENS GENOMFÖRANDEFÖRORDNING (EU) 2016/1055 av den 29 juni 2016 om fastställande av tekniska standarder vad gäller de tekniska villkoren för lämpligt offentliggörande av insiderinformation
Läs merFÖRSLAG TILL BETÄNKANDE
EUROPAPARLAMENTET 2009-2014 Utskottet för den inre marknaden och konsumentskydd 24.9.2013 2013/2116(INI) FÖRSLAG TILL BETÄNKANDE om tillämpningen av direktiv 2005/29/EG om otillbörliga affärsmetoder (2013/2116(INI))
Läs merEUROPAPARLAMENTET. Utskottet för rättsliga frågor och den inre marknaden FÖRSLAG TILL YTTRANDE
EUROPAPARLAMENTET 1999 2004 Utskottet för rättsliga frågor och den inre marknaden DEFINITIVT FÖRSLAG 6 juni 2001 FÖRSLAG TILL YTTRANDE från utskottet för rättsliga frågor och den inre marknaden till utskottet
Läs merEUROPEISKA DATATILLSYNSMANNEN
15.5.2012 Europeiska unionens officiella tidning C 139/1 I (Resolutioner, rekommendationer och yttranden) YTTRANDEN EUROPEISKA DATATILLSYNSMANNEN Yttrande från Europeiska datatillsynsmannen om förslaget
Läs merGunnebo Industriers Integritetspolicy för kunder och leverantörer
Gunnebo Industriers Integritetspolicy för kunder och leverantörer I denna integritetspolicy för kunder och leverantörer ( Policy ), kommer hänvisningar till Gunnebo Industrier vi, oss och vår att innebära
Läs merDATASKYDDSMANUAL för Saferoad-gruppen
DATASKYDDSMANUAL för Saferoad-gruppen Innehåll 1. Introduktion till Dataskydd 5 2. Sammanfattning 7 3. Datainsamling 8 4. Känsliga personuppgifter och specialkategorier av personuppgifter 11 5. Notis
Läs merInformationsbrev. De nyheter som jag vill vara särskilt tydlig med är:
Universitetsledningens stab Erika Tegström, universitetsjurist 010-142 8666 erika.tegstrom@miun.se Informationsbrev Om din forskning använder människor eller hanterar personuppgifter är denna information
Läs merInstruktion för att tillvarata enskildas rättigheter. Instruktion för att tillvarata enskildas rättigheter
Instruktion för att tillvarata enskildas rättigheter 1 Innehållsförteckning... 3 Syfte... 3 Rätt till information vid insamlande av personuppgifter... 3 Rätt till registerutdrag... 4 Alternativ för begäran
Läs merINTEGRITETSPOLICY Tikkurila Sverige AB
INTEGRITETSPOLICY Tikkurila Sverige AB Om Tikkurila Sverige AB och denna integritetspolicy Behandling av dina personuppgifter Tikkurila Sverige AB, org.nr 556001-8300, Textilgatan 31, 120 86 Stockholm,
Läs merStyrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad
Styrande dokument Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad 2BDetta dokument gäller för Göteborgs Stads samtliga nämnder samt styrelser i sådana organisationer där Göteborgs
Läs merFörslag till RÅDETS BESLUT
EUROPEISKA KOMMISSIONEN Bryssel den 29.9.2017 COM(2017) 556 final 2017/0241 (NLE) Förslag till RÅDETS BESLUT om uppsägning av partnerskapsavtalet om fiske mellan Europeiska gemenskapen och Unionen Komorerna,
Läs merFör att tillvarata medlemmarnas enskildas rättigheter
För att tillvarata medlemmarnas enskildas rättigheter Syftet med dessa riktlinjer är att förtydliga hur Turebergs simklubb, nedan kallat TSK, arbetar för att tillvarata medlemmarnas rättigheter avseende
Läs merSvensk författningssamling
Svensk författningssamling Utlänningsdatalag; utfärdad den 4 februari 2016. SFS 2016:27 Utkom från trycket den 5 februari 2016 Enligt riksdagens beslut 1 föreskrivs följande. Lagens syfte 1 Syftet med
Läs merSvensk författningssamling
Svensk författningssamling Lag om tvistlösningsförfarande i ärenden som rör skatteavtal inom Europeiska unionen Publicerad den 15 oktober 2019 Utfärdad den 10 oktober 2019 Enligt riksdagens beslut 1 föreskrivs
Läs merATT TILLVARATA ENSKILDAS RÄTTIGHETER
ATT TILLVARATA ENSKILDAS RÄTTIGHETER INNEHÅLLSFÖRTECKNING Övergripande... 3 Syfte... 3 Rätt till information vid insamlande av personuppgifter... 3 Rätt till registerutdrag... 5 Alternativ för begäran
Läs merEUROPAPARLAMENTET. Utskottet för framställningar MEDDELANDE TILL LEDAMÖTERNA
EUROPAPARLAMENTET 2004 Utskottet för framställningar 2009 21.10.2008 MEDDELANDE TILL LEDAMÖTERNA Angående: Framställning 0995/2002 ingiven av Stylianos Zambetakis (grekisk medborgare) för föreningen för
Läs merEUROPEISKA GEMENSKAPERNAS KOMMISSION. Utkast till EUROPAPARLAMENTETS, RÅDETS OCH KOMMISSIONENS BESLUT
EUROPEISKA GEMENSKAPERNAS KOMMISSION Bryssel den 18.7.2001 KOM(2001) 411 slutlig Utkast till EUROPAPARLAMENTETS, RÅDETS OCH KOMMISSIONENS BESLUT om tjänsteföreskrifter och allmänna villkor för utövande
Läs merI de fall vi har utsett ett dataskyddsombud (DPO) kan du kontakta vår DPO via kontaktuppgifterna som finns i "Frågor och funderingar" nedan.
JOBmeal Integritetspolicy för kunder och leverantörer I denna integritetspolicy för anställda ( Policy ), kommer hänvisningar till JOBmeal vi, oss och vår att innebära det bolag inom JOBmeal koncern (för
Läs merGDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017
GDPR Behandling av personuppgifter för forskningsändamål Ulrika Harnesk 11 december 2017 Rätten till privatliv Europakonventionen om de mänskliga rättigheterna EU:s stadga om de grundläggande rättigheterna
Läs mer(Text av betydelse för EES) (2014/287/EU)
17.5.2014 L 147/79 KOMMISSIONENS GENOMFÖRANDEBESLUT av den 10 mars 2014 om fastställande av kriterier för etablering och utvärdering av europeiska referensnätverk och deras medlemmar samt för att underlätta
Läs merPersonuppgiftsbiträdesavtal Zynatic Medlemsregister
PERSONUPPGIFTSBITRÄDESAVTAL Sida 1(5) Personuppgiftsbiträdesavtal Zynatic Medlemsregister 1 PARTER Den som beställer och använder Zynatic Medlemsregister, och därmed bekräftar att de accepterar våra Allmänna
Läs merEUROPEISKA GEMENSKAPERNAS KOMMISSION. Förslag till RÅDETS BESLUT
SV SV SV EUROPEISKA GEMENSKAPERNAS KOMMISSION Bryssel den 29.10.2009 KOM(2009)608 slutlig Förslag till RÅDETS BESLUT om bemyndigande för Republiken Estland och Republiken Slovenien att tillämpa en åtgärd
Läs merIntegritetspolicy - SoftOne
Integritetspolicy - SoftOne Omfattning och syfte Denna policy gäller för SoftOne-koncernens (kallad SoftOne eller Vi vid behandling av kunders personuppgifter. Syftet med denna policy är att ge våra nuvarande,
Läs merKommittédirektiv. Dataskyddsförordningen behandling av personuppgifter och anpassningar av författningar inom Socialdepartementets verksamhetsområde
Kommittédirektiv Dataskyddsförordningen behandling av personuppgifter och anpassningar av författningar inom Socialdepartementets verksamhetsområde Dir. 2016:52 Beslut vid regeringssammanträde den 16 juni
Läs merEUROPAPARLAMENTET. Utskottet för framställningar MEDDELANDE TILL LEDAMÖTERNA
EUROPAPARLAMENTET 2004 Utskottet för framställningar 2009 21.10.2008 MEDDELANDE TILL LEDAMÖTERNA Angående: Framställning 0357/2006, ingiven av Kenneth Abela (maltesisk medborgare), om de maltesiska myndigheternas
Läs merFörslag till EUROPAPARLAMENTETS OCH RÅDETS DIREKTIV
EUROPEISKA KOMMISSIONEN Bryssel den 11.11.2011 KOM(2011) 710 slutlig 2011/0327 (COD) C7-0400/11 Förslag till EUROPAPARLAMENTETS OCH RÅDETS DIREKTIV om ändring av Europaparlamentets och rådets direktiv
Läs merDatainspektionen informerar
Datainspektionen informerar Nr 3/2018 Allmänna råd Datainspektionen ger ut allmänna råd i syfte: 1) att öka personuppgiftsansvarigas och personuppgiftsbiträdens medvetenhet om sina skyldigheter enligt
Läs merFörslag till RÅDETS GENOMFÖRANDEBESLUT
EUROPEISKA KOMMISSIONEN Bryssel den 13.4.2015 COM(2015) 148 final 2015/0074 (NLE) Förslag till RÅDETS GENOMFÖRANDEBESLUT om bemyndigande för Danmark att införa en särskild åtgärd som avviker från artikel
Läs merSvensk författningssamling
Svensk författningssamling Lag om administrativt samarbete inom Europeiska unionen i fråga om beskattning; SFS 2012:843 Utkom från trycket den 14 december 2012 utfärdad den 6 december 2012. Enligt riksdagens
Läs merRiktlinjer för försäkringsföretags hantering av klagomål
EIOPA-BoS-12/069 SV Riktlinjer för försäkringsföretags hantering av klagomål 1/7 1. Riktlinjer Inledning 1. Dessa riktlinjer utfärdas i enlighet med artikel 16 i förordningen om Eiopa 1 (Europeiska försäkrings-
Läs mer1 EGT nr C 24, 31.1.1991, s. 3. 2 EGT nr C 240, 16.9.1991, s. 21. 3 EGT nr C 159, 17.6.1991, s. 32.
Rådets direktiv 91/533/EEG av den 14 oktober 1991 om arbetsgivares skyldighet att upplysa arbetstagarna om de regler som är tillämpliga på anställningsavtalet eller anställningsförhållandet Europeiska
Läs merEUROPEISKA DATATILLSYNSMANNEN
30.11.2018 SV Europeiska unionens officiella tidning C 432/17 EUROPEISKA DATATILLSYNSMANNEN Sammanfattning av Europeiska datatillsynsmannens yttrande om lagstiftningspaketet En ny giv för konsumenterna
Läs merEUROPAPARLAMENTET. Utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor
EUROPAPARLAMENTET 1999 2004 Utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor 4 februari 2004 PE 339.591/1-40 ÄNDRINGSFÖRSLAG 1-40 Förslag till betänkande (PE 339.591)
Läs merPERSONUPPGIFTSBITRÄDESAVTAL
14483 PERSONUPPGIFTSBITRÄDESAVTAL Detta Personuppgiftsbiträdesavtal ( Biträdesavtal/-et ) har denna dag träffats mellan: (1) Klicka här och skriv Studieförbundets namn, org nr [adress] ( Studieförbundet
Läs merDatainspektionen informerar
Datainspektionen informerar Nr 2/2018 Allmänna råd Datainspektionen ger ut allmänna råd i syfte: att öka personuppgiftsansvarigas och personuppgiftsbiträdens medvetenhet om sina skyldigheter enligt EU:s
Läs merDataskyddsförordningen vad innebär den för myndigheten. Registrator 2017 Ability Partner. 11 oktober 2017
Dataskyddsförordningen vad innebär den för myndigheten Registrator 2017 Ability Partner 11 oktober 2017 1 Bakgrund och processen mot EU:s dataskyddsförordning Förordningen publicerades den 4 maj 2016 och
Läs merBlueStep Banks AB (publ) Integritetspolicy
BlueStep Banks AB (publ) Integritetspolicy Giltigt från och med 20180525 BlueSteps behandling av personuppgifter enligt dataskyddsförordningen (General Data Protection Regulation, GDPR). Definitioner Personuppgiftsansvarig:
Läs mer(Icke-lagstiftningsakter) FÖRORDNINGAR
L 115/12 Europeiska unionens officiella tidning 27.4.2012 II (Icke-lagstiftningsakter) FÖRORDNINGAR KOMMISSIONENS DELEGERADE FÖRORDNING (EU) nr 363/2012 av den 23 februari 2012 om förfarandereglerna för
Läs merKommittédirektiv. Behandlingen av personuppgifter inom Försvarsmakten och Försvarets radioanstalt. Dir. 2017:42
Kommittédirektiv Behandlingen av personuppgifter inom Försvarsmakten och Försvarets radioanstalt Dir. 2017:42 Beslut vid regeringssammanträde den 27 april 2017 Sammanfattning En särskild utredare ska göra
Läs merDataskyddsförordningen. Kristina Blomberg PuL-Pedagogen Sverige AB
Dataskyddsförordningen Kristina Blomberg PuL-Pedagogen Sverige AB www.pulpedagogen.se Lite historia och fakta 1973 trädde datalagen i kraft (världens första nationella integritetslagstiftning) 1998 trädde
Läs merAVTAL GENOM SKRIFTVÄXLING OM BESKATTNING AV INKOMSTER FRÅN SPARANDE OCH DEN PROVISORISKA TILLÄMPNINGEN AV DETTA
AVTAL GENOM SKRIFTVÄXLING OM BESKATTNING AV INKOMSTER FRÅN SPARANDE OCH DEN PROVISORISKA TILLÄMPNINGEN AV DETTA A. Brev från Konungariket Sverige Jag ber att få hänvisa till avtalet mellan Konungariket
Läs mer1. Vad är en personuppgift och vad är en behandling av personuppgifter?
Innehåll Integritetspolicy... 2 1. Vad är en personuppgift och vad är en behandling av personuppgifter?... 2 2. Vem är ansvarig för de personuppgifter vi samlar in?... 2 3. Vilka personuppgifter samlar
Läs merDataskyddsförordningen
Dataskyddsförordningen Almega Express Sundsvall 22 maj 2018 på Kenneth Lidgren Dataskyddsförordningen Ny lagstiftning 2018 Dataskyddsförordningen - Beslut i EU våren 2016 Förordning ikraft 25 maj 2018
Läs merFörslag till RÅDETS BESLUT
EUROPEISKA KOMMISSIONEN Bryssel den 17.8.2016 COM(2016) 508 final 2016/0248 (NLE) Förslag till RÅDETS BESLUT om fastställande av den ståndpunkt som ska intas av unionen när det gäller ändringarna av bilagorna
Läs merEUROPEISKA GEMENSKAPERNAS KOMMISSION
EUROPEISKA GEMENSKAPERNAS KOMMISSION Bryssel den 11/12/2003 K(2003) 4639 slutlig KOMMISSIONENS REKOMMENDATION av den 11/12/2003 om genomförandet och användningen av Eurokoder för byggnadsverk och byggprodukter
Läs merDataskyddsförordningen
Dataskyddsförordningen Almega Express 26 april 2018 på Heléne Hellström Persson Dataskyddsförordningen Ny lagstiftning 2018 Dataskyddsförordningen - beslut i EU våren 2016 Förordning ikraft 25 maj 2018
Läs merPERSONUPPGIFTSBITRÄDESAVTAL
PERSONUPPGIFTSBITRÄDESAVTAL DEFINITIONER Begrepp och definitioner i detta Avtal ska ha motsvarande betydelse som i Europaparlamentets och Rådets förordning (EU) 2016/679 (nedan kallad dataskyddsförordningen)
Läs merPUL OCH DATASKYDDSFÖRORDNINGEN
PUL OCH DATASKYDDSFÖRORDNINGEN Tfn 08-654 94 62 soren@sorenoman.se, www.sorenoman.se PUL och den nya förordningen Personuppgiftslagen 1998 Missbruksregel (5 a ) för behandling utanför databaser 2007 Dataskyddsförordningen
Läs merANIMECH TECHNOLOGIES INTEGRITETSPOLICY - EXTERN
ANIMECH TECHNOLOGIES INTEGRITETSPOLICY - EXTERN 1 1. Bakgrund och syfte 1.1 Animech Technologies, nedan Animech, värnar om sina kunders, partners, leverantörers och anställdas integritet och är alltid
Läs merMEDDELANDE TILL LEDAMÖTERNA
EUROPAPARLAMENTET 2009-2014 Utskottet för framställningar 28.11.2014 MEDDELANDE TILL LEDAMÖTERNA Ärende: Framställning 0824/2008, ingiven av Kroum Kroumov, bulgarisk medborgare, och undertecknad av ytterligare
Läs merBOLAGETS POLICY FÖR BEHANDLING AV PERSONUPPGIFTER
BOLAGETS POLICY FÖR BEHANDLING AV PERSONUPPGIFTER 1 Bakgrund och syfte 1.1 Nordisk Alkali AB värnar om sina kunders, leverantörer, partners och anställdas integritet och är alltid mån om att följa gällande
Läs merDataskyddsdirektivet Ju2000/5027. Professor Jacob Palme Skeppargatan STOCKHOLM Dataskyddsdirektivet. Justitiedepartementet
Denna skrivelse har scannats från pappersoriginal av Jacob Palme. Detta kan ha medfört ev. smärre felaktigheter. 2000-10-13 Ju2000/5027 Justitiedepartementet Professor Jacob Palme Skeppargatan 73 11530
Läs mer