Dela på Facebook Dela på Twitter Skicka e-post Skriv ut

EU:s dataskyddsförordning

Från 2018 införs nya regler för hantering av personuppgifter. Då börjar dataskyddsförordningen att gälla istället för personuppgiftslagen. Men redan nu börjar HaV arbetet med att anpassa rutiner och verksamhet för att möta de nya kraven.

Bakgrund

Uppgifter som direkt eller indirekt kan hänföras till en fysisk person som är i livet utgör personuppgifter. Möjligheten att behandla och hantera personuppgifter regleras i dag i personuppgiftslagen (1998:204), PuL, och förordningen till PuL.

Reglerna tar främst sikte på behandling av personuppgifter som är helt eller delvis automatiserad, det vill säga i datorformat. Men i vissa fall omfattas även annan behandling av personuppgifter, till exempel i pappersregister.

Den 25 maj 2018 ska EU:s nya dataskyddsförordning börja tillämpas i Sverige. Dataskyddsförordningen kommer att gälla direkt som lag i Sverige, vilket innebär att PuL kommer att upphävas. Det kommer dock införas viss kompletterande nationell lagstiftning.

Viktiga nyheter i dataskyddsförordningen

Det nuvarande regelverket återspeglas i stora delar även i dataskyddsförordningen. Förordningen innehåller dock flera skärpningar i förhållande till nuvarande PuL, för att stärka integritetsskyddet. En viktig skillnad är att även automatiserad behandling av personuppgifter i ostrukturerat material kommer att utgöra behandling av personuppgifter som omfattas av kraven på hantering av personuppgifter, så som kravet på samtycke eller annan rättslig grund för behandlingen. Det gäller till exempel information om personer i löpande text i e-post, på Internet eller i en enkel Word-lista som man har i datorn.

Förordningen inför också ett krav på att myndigheter ska utse ett dataskyddsombud och strängare krav på att den som behandlar personuppgifter ska dokumentera vilka personuppgifter som behandlas, varför, och vart uppgifterna lämnas vidare.

Enligt dataskyddsförordningen kommer HaV som myndighet inte längre att kunna behandla personuppgifter med hänvisning till att HaV:s intresse av att behandla uppgifterna väger tyngre i förhållande till den enskildes intresse av skydd mot kränkning av den personliga integriteten (intresseavvägning enligt 10 § f PuL). Vi måste alltså alltid kunna stödja oss på en annan rättslig grund när vi behandlar personuppgifter, så som namn, personnummer, adresser med mera.

HaV kommer enligt dataskyddsförordningen att kunna behandla personuppgifter med stöd av följande grunder:

  • Den registrerade har lämnat sitt samtycke.
  • Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.
  • Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar HaV.
  • Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.
  • Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i HaV:s myndighetsutövning.

Datainspektionens hemsida hittar du mer information om den nya dataskyddförordningen.

Hur arbetar vi med dataskyddsförordningen

HaV måste säkra att myndigheten kan följa de nya kraven när förordningen ska börja tillämpas. Som ett led i det arbetet behöver bland annat myndighetens register över personuppgiftsbehandling uppdateras (så kallade PuL-listan). Detta kräver en inventering av i vilka databaser och var vi i övrigt behandlar personuppgifter, grunderna för vår behandling, vem som har tillgång till personuppgifterna och så vidare.

Under hösten startar ett projekt för att förbereda för inför den nya dataskyddsförordningen, projektplan är under utarbetning.

Dela på Facebook Dela på Twitter Skicka e-post Skriv ut

Publicerad: 2017-04-07

Sidansvarig: Webbredaktionen