WHITE PAPER. Dataskyddsförordningen

Transkript

1 WHITE PAPER Dataskyddsförordningen

2 Detta whitepaper behandlar när dataskyddsförordningen ska tillämpas och vilka undantag som finns. När du läst igenom dokumentet hittar du ett flertal stödmallar på området i DokuMeras dokumentmallsbas under: Alla mallar>dataskyddsförordningen och Pul>Dataskyddsförordningen

3 När ska dataskyddsförordningen tillämpas och vilka undantag finns det? Dataskyddsförordningen ska tillämpas direkt i EU:s medlemsstater från och med den 25 maj 2018 och i Sverige ska den tillämpas tillsammans med bl.a. den svenska kompletteringslagstiftningen. Förslag har lagts på hur delar av lagstiftning kan komma att se ut. Vad är grundläggande för när dataskyddsförordningen är tillämplig? Begreppen personuppgift och behandling Varje upplysning som kan hänföras till en viss person är att betrakta som en personuppgift. Flera upplysningar som i kombination gör det möjligt att identifiera en person är också att betrakta som personuppgifter. Några exempel på personuppgifter är namn, adress, e- postadress, IP-nummer och konto- och kreditkortsnummer. Observera att begreppet personuppgifter är vidsträckt, i synnerhet då en upplysning som i sig inte är att betrakta som en personuppgift kan komma att utgöra en personuppgift i kombination med andra upplysningar. 1 Med behandling avses en åtgärd eller en kombination av åtgärder avseende personuppgifter bl.a. insamling, registrering, organisering, lagring, bearbetning eller ändring, läsning, användning, utlämning genom överföring, spridning och radering eller förstöring. Begreppet kan i princip sägas innefatta allt som görs med personuppgifterna. Framför allt bör man tänka på att även lagring av personuppgifter är en behandling. Håller man inte på med personuppgifter eller behandling av dessa vilka är två centrala och vidsträckta begrepp i förordningen är den inte tillämplig. Automatisk väg och annan behandling än automatisk Dataskyddsförordningen är tillämplig vid behandling av personuppgifter som helt eller delvis företas på automatisk väg (t.ex. med någon form av IT-hjälpmedel) samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. Definitionen av ett register är att det är en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden. Det sista innebär att pappershandlingarna rent fysiskt kan finnas på olika platser geografiskt eller utspridda inom ett företag. Det kan ändå vara fråga om ett enda register. Uttrycket särskilda kriterier i plural torde innebära att det finns mer än en sökväg i registret. Exempelvis att registret är sorterat dels på efternamn, dels på adresser, dvs. på minst två sätt. Detta skulle innebära att ett register i den fysiska världen t.ex. i en pärm eller i hängmappar som endast är sorterat på ett sätt, t.ex. efter efternamn inte omfattas av dataskyddsförordningens bestämmelser. Skyddet för fysiska personer ska som nämnts vara tillämpligt på både automatiserad och manuell behandling av personuppgifter, om personuppgifterna ingår i eller är avsedda att

4 ingå i ett register. Akter eller grupper av akter samt omslag till dessa, som inte är ordnade enligt särskilda kriterier, bör inte enligt förordningen omfattas av denna. Däremot är förordningen tillämplig vid all behandling av personuppgifter delvis företas på automatisk väg. Det innebär att dataskyddsförordningen gäller när någon exempelvis samlar in personuppgifter manuellt via frågeformulär med en avsikt att senare behandla uppgifterna i en dator. Syftet med att även begreppet delvis omfattas av förordningstexten torde vara att förhindra kringgående och att undvika gränsdragningsproblem när man arbetar både manuellt och automatiserat. Sammanfattningsvis innebär i princip all behandling av personuppgifter omfattas av förordningen. 2 Vem eller vilka är skyldig att följa dataskyddsförordningen? Den som behandlar personuppgifter enligt ovan är skyldig att följa dataskyddsförordningen. Den gäller för både privat och offentlig verksamhet och är därmed tillämplig för exempelvis myndigheter, föreningar och företag. Se även vid den geografiska tillämpningen i det följande. Vilka undantag finns det i dataskyddsförordningen? Dataskyddsförordningen ska inte tillämpas, enligt förordningen, på personuppgifter som utgör ett led i en verksamhet som 1. inte omfattas av unionsrätten, t.ex. nationell säkerhet eller 2. medlemsstaterna utför när de bedriver verksamhet som omfattas av EU:s gemensamma utrikes- och säkerhetspolitik. Dataskyddsutredningen i Sverige föreslår dock att tillämpliga delar av dataskyddsförordningen även ska tillämpas i verksamheter som dels inte omfattas av unionsrätten, dels i verksamheter som omfattas av EU:s gemensamma utrikes- och säkerhetspolitik. 3. Privatundantaget Dataskyddsförordningen ska inte tillämpas på behandling av personuppgifter som en fysisk person utför som ett led i verksamhet av rent privat natur eller som har ett samband med dennes hushåll. Undantaget avser verksamhet som är helt och hållet privat eller har samband med personens hushåll och därmed saknar koppling till yrkes- eller affärsmässig verksamhet. Privat verksamhet eller verksamhet som har samband med hushållet kan omfatta korrespondens och innehav av adresser, aktivitet i sociala nätverk och internetverksamhet i samband med sådan verksamhet. Se även i det följande angående förslaget till undantag för journalister m.fl. Däremot är dataskyddsförordningen tillämplig på personuppgiftsansvariga eller personuppgiftsbiträden som tillhandahåller utrustning för behandling av personuppgifter för sådan privat verksamhet eller hushållsverksamhet. Dessa kan inte friskriva sig från regelverket på grund av att utrustningen endast är för privata ändamål. 4. Undantag för myndigheter ang. brott etc. Dataskyddsförordningen ska heller inte tillämpas på personuppgifter som utgör ett led i en verksamhet som behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot

5 samt förebygga och förhindra hot mot den allmänna säkerheten. Anledningen till detta är att det finns ett annat regelverk som ska tillämpas för detta. Konsekvensen är bl.a. att de myndigheter som berörs av detta kommer att ha två olika regelverk att förhålla sig till beroende på vad det är för typ av personuppgifter som behandlas. 5. Undantag EU:s institutioner m.fl. Dataskyddsförordningen ska heller inte tillämpas på personuppgifter som sker i EU:s institutioner, organ och byråer, t.ex. EUIPO (immaterialrättsmyndigheten i Spanien som bl.a. behandlar ansökningar om ett EU-varumärke) eller EMA (läkemedelsmyndigheten i dag i London). Anledningen till detta är att dessa har ett annat regelverk som ska tillämpas och det har lagts ett förslag inom EU som innebär att de framöver kommer att ha ett likande regelverk som dataskyddsförordningen Undantag avlidna personer Slutligen gäller inte heller dataskyddsförordningen behandling av personuppgifter rörande avlidna personer. Därför konstaterade Dataskyddsutredningen att detta i praktiken innebär att många enskilda arkiv inte berörs av dataskyddsregleringen, såsom historiska släktarkiv eller liknande samlingar som inte innehåller några uppgifter om nu levande personer. Medlemsstaterna får fastställa bestämmelser för behandlingen av personuppgifter rörande avlidna personer. Hur är det med den geografiska tillämpningen av förordningen? Dataskyddsförordningen ska tillämpas på behandlingen av personuppgifter inom ramen för den verksamhet som bedrivs av en personuppgiftsansvarig (en fysisk eller juridisk person som bestämmer syftet och medlen för behandlingen av personuppgifter, t.ex. ett aktiebolag, en stiftelse eller en förening) eller ett personuppgiftsbiträde (en fysisk eller juridisk person som behandlar personuppgifter för den personuppgiftsansvariges räkning, t.ex. en ITleverantör) som är etablerad i Europeiska unionen oavsett om behandlingen utförs i unionen eller inte. Under vissa förutsättningar är även förordningen tillämplig om den personuppgiftsansvarige eller personuppgiftsbiträdet är etablerad utanför unionen. Den EUrättsliga lagstiftaren har med denna reglering velat visa att skyddet för de registrerade ska vara mycket långtgående. Om en personuppgiftsansvarig eller ett personuppgiftsbiträde inte är etablerad inom Europeiska unionen, men behandlingen av personuppgifter avser registrerade som befinner sig i unionen ska som huvudregel dessa skriftligen utse en företrädare i unionen. Detta ska ske för det första om behandlingen har anknytning till utbjudande av varor eller tjänster till registrerade i unionen oavsett om dessa varor eller tjänster erbjuds kostnadsfritt eller inte. För det andra ska en företrädare utses om behandlingen har anknytning till övervakning av de registrerades beteende så länge beteendet sker inom unionen. Det kan exempelvis betyda att man spårar enskilda personers beteende på internet för att skapa kundprofiler.

6 Företrädaren ska vara etablerad i en av EU:s medlemsstater där de registrerade, vars personuppgifter behandlas i samband med att de erbjuds varor eller tjänster, eller vars beteende övervakas, befinner sig. Förordningen ska således tillämpas på sådana behandlingar av personuppgifter som nämns ovan, även om inte den personuppgiftsansvarige eller personuppgiftsbiträdet är etablerad i en EU-stat. Överträdelse av de skyldigheter som en personuppgiftsansvarig och ett personuppgiftsbiträde har enligt bestämmelserna om företrädare kan under vissa omständigheter medföra de lägre administrativa sanktionsavgifterna. 4 Yttrande- och informationsfrihet eller personlig integritet? Medlemsstaterna ska i lag förena rätten till integritet i enlighet med förordningen med yttrande- och informationsfriheten, inbegripet behandling som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande. De ska för de journalistiska ändamålen etc. fastställa undantag från vissa angivna bestämmelser i förordningen på det villkoret att undantagen är nödvändiga för att förena rätten till integritet med yttrande- och informationsfriheten. Om sådana undantag varierar från en medlemsstat till en annan, ska den nationella rätten i den medlemsstat vars lag den personuppgiftsansvarige omfattas av tillämpas. För att beakta vikten av rätten till yttrandefrihet måste det enligt förordningen göras en bred tolkning av vad som innefattas i denna frihet, som t.ex. journalistik. Tryck- och yttrandefriheten föreslås åter igen få företräde Dataskyddsutredningen föreslår i den kommande dataskyddslagen att bestämmelserna i dataskyddsförordningen och i nämnda lag inte ska tillämpas i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen. Det finns en motsvarande upplysningsbestämmelse om att dagens personuppgiftslag inte ska tillämpas i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen. Det innebär bl.a. att de grundlagsskyddade rättigheterna att framställa och sprida yttranden undantas från tillämpningsområdet. Vissa har ansett det tveksamt om EU-domstolen skulle acceptera en sådan bestämmelse, men den bedömdes av riksdagen som förenlig med dataskyddsdirektivets likartade bestämmelser. Bestämmelsen har inte varit föremål för domstolsprövning under de år som har passerat sedan bestämmelsen infördes. Nu föreslår man helt enkelt samma sak. Automatiskt grundlagsskydd I yttrandefrihetsgrundlagen finns den s.k. databasregeln. Den ger under vissa förutsättningar grundlagsskydd för yttranden som sker genom tillhandahållanden till allmänheten ur databaser. För vissa aktörer gäller grundlagsskyddet utan att någon särskild åtgärd behöver vidtas, dvs. automatiskt. De som omfattas av det automatiska grundlagsskyddet är i första hand redaktioner för periodiska skrifter och redaktioner för tv- och radioprogram. Även massmedieföretag, som t.ex. bokförlag som ger ut tryckta böcker och skivbolag som ger ut

7 tekniska upptagningar, omfattas. Regeringen föreslår att det automatiska grundlagsskyddet enligt databasregeln inte bör utvidgas till ytterligare publiceringar i databaser. Det har övervägts om t.ex. lokaltidningar och facktidningar som bara finns på webben, dvs. vad som kan kallas professionellt bedriven medieverksamhet också skulle kunna omfattas, men det konstaterades att en avgränsning för den typen av verksamhet från andra databaspubliceringar skulle möta stora svårigheter. Publiceringar på internet som i dagsläget saknar automatiskt grundlagsskydd bör i stället, liksom hittills, kunna skyddas genom att utgivningsbevis söks och beviljas för databasen. Frivilligt grundlagsskydd genom utgivningsbevis Andra aktörer än de som omfattas av det automatiska grundlagsskyddet som publicerar sig på internet har möjlighet att hos Myndigheten för press, radio och tv ansöka om utgivningsbevis som gäller i tio år och på så sätt få ett s.k. frivilligt grundlagsskydd. Det kan exempelvis vara fråga om bloggar i liten skala och tidningar som bara publiceras på nätet. Det ställs inte upp några krav på att verksamheten ska ha ett visst innehåll eller syfte. Grundlagsskyddet är alltså innehållsneutralt i detta avseende och förutsätter endast att vissa formella kriterier är uppfyllda. Samma grundprincip om innehållsneutralitet gäller för andra medier som omfattas av grundlagarna, bl.a. tryckta skrifter och radioprogram. 5 Grundlagsskyddet innebär att personuppgiftslagens bestämmelser inte tillämpas. Vid införandet av möjligheten till frivilligt grundlagsskydd för databaser väcktes därför frågan om reformens inverkan på integritetsskyddet. Utgångspunkten vid införandet var att grundlagsskydd inte skulle vara förbehållet traditionella massmedieföretag utan också kunna ges till enskilda och andra medieföretag som tillhandahåller information till allmänheten. Möjligheten att ansöka om utgivningsbevis innebär att exempelvis tidningar som publiceras endast på nätet kan få grundlagsskydd mot ingripanden från det allmänna. Den senare tidens utveckling när det gäller vissa typer av databaser med utgivningsbevis har gett upphov till oro. Mediegrundlagskommitténs har visat att utgivningsbevis som medel för att kringgå personuppgiftsregleringens skydd inte är ett generellt problem bland hemsidor med frivilligt grundlagsskydd. Däremot finns dock inslag av tjänster som är uppbyggda särskilt kring möjligheten att söka på känsliga personuppgifter och som innebär stora ingrepp i enskildas personliga integritet. Som regel utgörs dessa söktjänster av olika onlinetjänster som bedrivs på kommersiella grunder och som innebär att allmänheten ges tillgång till information om enskilda som hämtats ur offentliga handlingar och register. Den nuvarande situationen innebär sammanfattningsvis att grundlagsskyddet får konsekvenser som inte är rimliga. Därför finns det skäl enligt regeringen att, med hänsyn till skyddet för den personliga integriteten, begränsa grundlagsskyddet för vissa söktjänster som innehåller personuppgifter av särskilt integritetskänslig karaktär. Lika väl som den tekniska och mediala utvecklingen för med sig nya uttrycksformer som förtjänar grundlagarnas skydd kan den föra med sig företeelser för vilka grundlagsskydd inte framstår som vare sig önskvärt eller lämpligt. Utvecklingen kräver nya överväganden, såväl när det gäller vad som bör ges grundlagsskydd som vad som bör falla utanför. Därför föreslår regeringen nu begränsningar av det frivilliga grundlagsskyddet genom utgivningsbevis. De föreslagna begränsningarna kan tidigaste träda i kraft den 1 januari 2019.

8 Undantag för journalister m.fl. När det gäller behandling av personuppgifter som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande utanför tryckfrihetsförordningens och yttrandefrihetsgrundlagens tillämpningsområde föreslår Dataskyddsutredningen att flera olika bestämmelser i dataskyddsförordningen inte ska tillämpas. Enligt förslaget ska följande bestämmelser inte tillämpas. De grundläggande principerna De lagliga grunderna inkl. villkoren för samtycke Behandlingen av särskilda kategorier (känsliga) personuppgifter Behandling av personuppgifter som rör fällande domar i brottmål samt lagöverträdelser som innefattar brott Behandling som inte kräver identifiering Information till de registrerade De registrerades olika rättigheter att begära t.ex. rättelse, radering m.m. Automatiserat individuellt beslutsfattande, inbegripet profilering Bestämmelserna om de personuppgiftsansvariges och personuppgiftsbiträdens skyldigheter, se dock nedan angående bestämmelser som ska tillämpas. Konsekvensbedömning avseende dataskydd inkl. förhandssamråd Alla bestämmelser om dataskyddsombud Uppförandekoder och certifiering Överföring av personuppgifter till en mottagare i ett tredjeland eller en internationell organisation 6 Nämnda undantag och de delar av den kommande dataskyddslagen som har stöd i dessa bestämmelser ska enligt förslaget inte tillämpas på behandling av personuppgifter som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande utanför det grundlagsreglerade området. Enligt Dataskyddsutredningen skulle begreppet akademiskt skapande kunna avse texter med vetenskapligt innehåll och inte forskning då detta regleras i egna bestämmelser i förordningen. Undantagsbestämmelsen som finns i dagens personuppgiftslag har bl.a. ansetts tillämplig på journalistisk verksamhet på internet som resulterar i yttranden som bara sprids där och för kommunikation som inte bedrivs av yrkesverksamma journalister. Betydelsen av opinionsbildande genom alternativa kanaler såsom sociala medier, bloggar och liknande har ökat dramatiskt under senare år, vilket innebär att skälen för ett sådant undantag i vart fall inte har minskat. Undantaget för journalistiska ändamål är alltså inte begränsat till journalister eller traditionella massmedier. Även en privatperson kan anses behandla personuppgifter för sådana ändamål, t.ex. på en blogg, förutsatt att uppgifterna inte är av rent privat karaktär. Enligt förslaget ska följande bestämmelser tillämpas. Syftet med förordningen Tillämpningsområdet för förordningen både materiellt och geografiskt Förordningens olika definitioner Samarbete med tillsynsmyndigheten?*, i Sverige på förslag Datainspektionen Lämplig säkerhetsnivå för behandling av personuppgifter*

9 Anmälan av en personuppgiftsincident till Datainspektionen och när det ska lämnas information till de registrerade om en personuppgiftsincident* Bestämmelserna om tillsynsmyndigheterna Rätt att lämna in klagomål till en tillsynsmyndighet och rätt till överklagande mot tillsynsmyndighetens beslut Rätt för en registrerad att väcka talan i domstol mot en personuppgiftsansvarig (och ett personuppgiftsbiträde) Ansvar gentemot de registrerade, dvs. skadestånd till varje person som har lidit skada till följd av överträdelse av förordningen. Administrativa sanktionsavgifter Det bör nämnas att det vid överträdelse av bestämmelserna ovan med * under vissa omständigheter kan medföra de lägre administrativa sanktionsavgifterna. Bestämmelserna om tillsyn, klagomål, rätt att väcka talan, ansvar gentemot de registrerade (skadestånd) och administrativa sanktioner blir således enbart tillämpliga när det avser tillsyn över eller överträdelser av nämnda bestämmelser. 7 Det ska noteras att viss användning av sociala medier även kan omfattas av det s.k. privatundantaget som tidigare har nämnts och i så fall tillämpas inte någon av dataskyddsförordningens bestämmelser.

10 Om DokuMera Hos alla företag stora som små finns möjligheten att arbeta effektivare genom att använda sig av färdiga mallar. Avancerade dokument är tidsödande att upprätta samtidigt som de kräver expertkunskap för framtagandet. Och som vi alla vet: Experter kostar pengar - mycket pengar. DokuMera är ett B2B-företag som hjälper människor i svenska företag till en lönsammare och bekvämare tillvaro genom att tillhandahålla digitala dokument via internet. Tillsammans med sakkunniga experter har vi under åren tagit fram tusentals mallar för bland annat juridiska och ekonomiska dokument som säljs både via e-handel och genom personlig försäljning. Under åren har DokuMera utvecklat Sveriges största databas av digitala, exempelbaserade dokumentmallar, riktade mot företag och organisationer. Produkterna laddas enkelt ned från Internet av våra kunder - företag och organisationer - och kan köpas styckvis eller genom att teckna ett årsabonnemang. info@dokumera.se