2.1.4
Dataskyddsförordningen
Genom dataskyddsförordningen fastställs reglerna för skydd för fysiska personer vid behandling av personuppgifter samt de regler som gäller det fria flödet av personuppgifter. Förordningen skyddar fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Det fria flödet av personuppgifter inom unionen får varken begränsas eller förbjudas av skäl som rör skyddet för fysiska personer med avseende på behandlingen av personuppgifter. I skäl 4 i förordningen anges att rätten till skydd av personuppgifter inte är en absolut rättighet; den måste förstås utifrån sin uppgift i samhället och vägas mot andra grundläggande rättigheter i enlighet med proportionalitetsprincipen.
Förordningens mål och principer motsvarar i stor utsträckning målen och principerna i personuppgiftsdirektivet. Dataskyddsförordningen stiftades för att säkerställa en enhetlig nivå för skyddet av fysiska personer över hela unionen och undvika avvikelser som hindrar den fria rörligheten av personuppgifter inom den inre marknaden när det gäller tillämpningen av personuppgiftsdirektivet.
Angreppssättet i dataskyddsförordningen är riskbaserat och då ligger tyngdpunkten i skyddet för personuppgifter på sådana situationer som mest sannolikt utgör ett hot mot personers integritet.
Dataskyddsförordningen är direkt tillämplig rätt, men där tillåts dock för många bestämmelsers del nationella kompletterande bestämmelser, m.a.o. innehåller förordningen nationellt handlingsutrymme i likhet med direktiv. Det nationella handlingsutrymmet i dataskyddsförordningen möjliggör nationell lagstiftning som preciserar bestämmelserna i förordningen. Dessutom är det möjligt att i vissa fall avvika från förpliktelserna i dataskyddsförordningen genom nationell lagstiftning. Med nationellt handlingsutrymme avses att nationell lagstiftning som preciserar förordningen är möjlig endast till den del som det uttryckligen tillåts i förordningen. Utöver handlingsutrymmet för nationell lagstiftning om behandling av personuppgifter ska lagstiftaren också säkerställa att de nationella bestämmelserna inte heller i övrigt står i strid med dataskyddsförordningen. Det nationella handlingsutrymmet baserar sig på artikel 6.1 led c och e i dataskyddsförordningen samt i fråga om de särskilda kategorierna av personuppgifter på artikel 9.2, led b, g, h, i och j. Förordningen innehåller också flera artikelspecifika preciseringar av det nationella handlingsutrymmet. Möjligheten till undantag är centralt knuten till tillämpningen av artikel 23 (begränsningar) och till kapitel IX (bestämmelser om särskilda behandlingssituationer).
Dataskyddsförordningens syfte och tillämpningsområde samt de begrepp som används i förordningen definieras i kapitel I i förordningen. Enligt artikel 2 i förordningen tillämpas förordningen på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.
Definitionerna (artikel 4) av de centrala begreppen i dataskyddsförordningen (personuppgift, behandling, register, personuppgiftsansvarig, personuppgiftsbiträde, mottagare) motsvarar i stor utsträckning personuppgiftsdirektivet. I definitionen av personuppgift preciseras att även lokaliseringsuppgift och onlineidentifikatorer är personuppgifter. I förordningen finns också flera nya definitioner (till exempel pseudonymisering, personuppgiftsincident, genetiska uppgifter, biometriska uppgifter, huvudsakligt verksamhetsställe, företrädare, företag och koncern).
I artikel 5 i dataskyddsförordningen anges principer för behandling av personuppgifter, som är laglighet, korrekthet och öppenhet, ändamålsbegränsning, uppgiftsminimering, korrekthet, lagringsminimering samt integritet och konfidentialitet. Den personuppgiftsansvarige ska kunna visa att han eller hon iakttagit dessa principer i behandlingen av personuppgifter (ansvarsskyldighet).
I artikel 6 i dataskyddsförordningen finns bestämmelser om laglig behandling av personuppgifter. Enligt artikel 6.1 är behandling endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:
Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.
Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.
Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.
Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.
Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.
Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.
De villkor som nämns i förteckningen motsvarar i stor utsträckning de förutsättningar för behandling av personuppgifter som anges i 8 § 1 mom. i personuppgiftslagen. I artikel 7 föreskrivs det om villkor för samtycke.
I artikel 9 i dataskyddsförordningen föreskrivs det om behandling av särskilda kategorier av personuppgifter. Begreppet särskilda kategorier av personuppgifter framgår av artikel 9.1 där följande föreskrivs: ”Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska vara förbjuden.”
De särskilda kategorier av personuppgifter som nämns i artikel 9 i dataskyddsförordningen motsvarar i stor utsträckning de känsliga uppgifter som anges i 11 § i personuppgiftslagen. Definitionerna skiljer sig från varandra speciellt på det sättet att även uppgifter om en brottslig gärning eller ett straff eller någon annan påföljd för ett brott är känsliga uppgifter enligt personuppgiftslagen.
Undantag från behandlingsförbudet finns i artikel 9.2. i förordningen. En del av undantagen är direkt tillämpliga och en del förutsätter nationell lagstiftning. Förbudet mot behandling av särskilda kategorier av personuppgifter tillämpas inte bland annat om behandlingen är nödvändig för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och på områdena social trygghet och socialt skydd, i den omfattning detta är tillåtet enligt unionsrätten eller medlemsstaternas nationella rätt eller ett kollektivavtal som antagits med stöd av medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder som säkerställer den registrerades grundläggande rättigheter och intressen fastställs (artikel 9.2 b). Enligt artikel 9.4 om särskilda kategorier av personuppgifter får medlemsstaterna behålla eller införa ytterligare villkor, även begränsningar, för behandlingen av genetiska eller biometriska uppgifter eller uppgifter om hälsa.
Enligt artikel 10 i dataskyddsförordningen får behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 endast utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs.
I kapitel III i dataskyddsförordningen finns bestämmelser om den registrerades rättigheter. I kapitlet om den registrerades rättigheter finns bestämmelser om bland annat
information till den registrerade (artiklarna 12—14),
den registrerades rätt till tillgång (artikel 15),
rätt till rättelse (artikel 16),
rätt till radering (artikel 17),
rätt till begränsning av behandling (artikel 18),
rätt till dataportabilitet (artikel 20),
rätt att göra invändningar (artikel 21), samt
automatiserat individuellt beslutsfattande (artikel 22)
I kapitel IV i dataskyddsförordningen finns bestämmelser om bland annat den personuppgiftsansvariges och personuppgiftsbiträdets skyldigheter.
Kapitel V i dataskyddsförordningen gäller överföring av personuppgifter till tredjeländer eller internationella organisationer, kapitel VI gäller tillsynsmyndigheter, kapitel VII samarbete och mekanismen för enhetlighet och kapitel VIII rättsmedel, ansvar och sanktioner.
Bestämmelser om allmänna villkor för påförande av administrativa sanktionsavgifter finns i artikel 83 i dataskyddsförordningen. Där föreskrivs det att varje tillsynsmyndighet ska säkerställa att påförande av administrativa sanktionsavgifter i enlighet med artikeln för överträdelser av förordningen i varje enskilt fall är effektivt, proportionellt och avskräckande. Administrativa sanktionsavgifter ska, beroende på omständigheterna i det enskilda fallet, påföras utöver eller i stället för de åtgärder som anges i artikel 58.2 och som dataskyddsmyndigheten har att tillgå.
I kapitel IX i dataskyddsförordningen finns bestämmelser om särskilda behandlingssituationer och det nationella handlingsutrymmet i fråga om dessa. I artikel 88 i kapitlet finns bestämmelser om behandling i anställningsförhållanden. I artikel 88.1 föreskrivs det att medlemsstaterna får i lag eller i kollektivavtal fastställa mer specifika regler för att säkerställa skyddet av rättigheter och friheter vid behandling av anställdas personuppgifter i anställningsförhållanden, särskilt när det gäller rekrytering, genomförande av anställningsavtalet inklusive befrielse från i lag eller kollektivavtal stadgade skyldigheter, ledning, planering och organisering av arbetet, jämställdhet och mångfald i arbetslivet, hälsa och säkerhet på arbetsplatsen samt skydd av arbetsgivarens eller kundens egendom men också när det gäller att såväl kollektivt som individuellt utöva och komma i åtnjutande av rättigheter och förmåner som är knutna till anställningen samt att avsluta anställningsförhållandet. I artikel 88.2 anges att dessa regler ska innehålla lämpliga och specifika åtgärder för att skydda den registrerades mänskliga värdighet, berättigade intressen och grundläggande rättigheter, varvid hänsyn särskilt ska tas till insyn i behandlingen, överföring av personuppgifter inom en koncern eller en grupp av företag som deltar i gemensam ekonomisk verksamhet samt övervakningssystem på arbetsplatsen.
I skäl 155 i dataskyddsförordningen anges att en medlemsstats nationella rätt eller kollektivavtal, inbegripet ”verksamhetsöverenskommelser”, får föreskriva särskilda bestämmelser om behandling av anställdas personuppgifter i anställningsförhållanden, särskilt när det gäller villkoren för hur personuppgifter i anställningsförhållanden får behandlas på grundval av samtycke från den anställde, rekrytering, genomförande av anställningsavtalet, inklusive befrielse från i lag eller kollektivavtal stadgade skyldigheter, ledning, planering och organisering av arbetet samt hälsa och säkerhet på arbetsplatsen, men också när det gäller att såväl kollektivt som individuellt utöva och komma i åtnjutande av rättigheter och förmåner som är knutna till anställningen samt att avsluta anställningsförhållandet.