Frågor (FAQ) om EU:s dataskyddsförordning

A. Allmänt

1. Vad består den nya dataskyddslagstiftningen av?

Den nya dataskyddslagstiftningen består av två delar: En EU-förordning som gäller alla utom polisen och andra brottsbekämpande myndigheter samt ett EU-direktiv som bara gäller polisen och andra brottsbekämpande myndigheter.

2. Vad innebär det att personuppgiftsbehandling generellt regleras i en EU-förordning?

EU-förordningen gäller som lag direkt och på samma sätt i alla EU:s medlemsländer. Förordningen ersätter EU:s nuvarande dataskyddsdirektiv när den börjar tillämpas den 25 maj 2018. Samtidigt ersätter den nationella regler, såsom den åländska personuppgiftslagen (LL om behandling av personuppgifter).

Även om dataskyddsförordningen kommer att gälla i hela Europa så medger den vissa nationella särbestämmelser. Det finns möjlighet till nationella bestämmelser för hur myndigheter får hantera personuppgifter.

3. Vilka är de viktigaste nyheterna för privatpersoner?

Rättigheterna kommer att stärkas, bland annat ställs hårdare krav på att myndigheter och andra organisationer ska informera om hur de hanterar enskildas personuppgifter. Enskilda ska i vissa situationer kunna säga nej till att en myndighet eller annan organisation använder den enskildas  personuppgifter. Bland annat utökas rätten att motsätta sig att ens personuppgifter används för att skicka direktreklam. EU-förordningen innehåller mer utförliga bestämmelser för när man har rätt att få uppgifter raderade och särskild hänsyn ska tas om det gäller uppgifter som samlas in om barn.

En nyhet för enskilda är rätten till ”dataportabilitet” som ska göra det lättare för enskilda att flytta sina uppgifter från till exempel ett socialt nätverk till ett annat.

4. Vilka är de viktigaste nyheterna för myndigheter och andra som registrerar personuppgifter? 

För myndigheter och andra organisationer som samlar in personuppgifter ställs det nya krav. Skulle en myndighet bli utsatt för dataintrång eller på något annat sätt tappa kontroll över personuppgifter så är myndigheten och organisationen skyldig att informera både de personer som uppgifterna gäller och Datainspektionen om incidenten är allvarlig såsom att det kan leda till att personer utsätts för diskriminering, id-stölder, bedrägeri eller finansiella förluster.

Om en myndighet eller annan organisation avser att behandla personuppgifter på ett sätt som kan medföra stora integritetsrisker så är myndigheten skyldig att först göra en bedömning av de konsekvenser (konsekvensbedömning avseende dataskydd) den planerade behandlingen förväntas få för skyddet av personuppgifter.  Riskfylld behandling kan till exempel vara storskaliga register om barn eller storskalig kameraövervakning på allmän plats. Visar analysen att risken är hög, är myndigheten eller organisationen skyldig att kontakta Datainspektionen som då gör en förhandskontroll för att säkerställa att sättet att samla in och hantera personuppgifter är lagligt.

5. Kommer förordningen att strida mot eller påverka annan lagstiftning som rör behandling av personuppgifter?

Förordningen innehåller generella regler om när personuppgifter får behandlas. För närvarande utreds vilken registerlagstiftning inom olika verksamhetsområden som behöver ses över för att anpassas till EU-förordningen.

6. Hur påverkas Datainspektionen?

Även för Datainspektionen blir det förändringar. Bland annat kommer myndigheten att utreda förhandskontroller avseende riskfylld behandling av personuppgifter.

En nyhet i förordningen är att enskilda ska kunna vända sig till sin egen dataskyddsmyndighet med klagomål som rör uppgifter som hanteras i ett annat land. Således ska en ålänning kunna vända sig till Datainspektionen med ett klagomål som rör ett sjukhus i Sverige eller i Spanien. Dataskyddsmyndigheterna i EU kommer att behöva samarbeta mer än tidigare enligt den nya förordningen.

 

B. Specifika frågor om EU-förordningen

1. Personuppgiftsansvariga och personuppgiftsbiträden

Ett av syftena med dataskyddsförordningen har varit att göra det tydligare vilket ansvar och vilka skyldigheter de som behandlar personuppgifter har.

2. Kommer Datainspektionen att informera och ge vägledning även i fortsättningen?

Det finns en uttrycklig skyldighet för personuppgiftsansvariga att samråda med Datainspektionen i vissa fall. Ett sådant samråd ska begäras om en konsekvensbedömning avseende dataskydd visar att det finns stora risker med den planerade personuppgiftsbehandlingen. Datainspektionen kommer även i övrigt att ha till uppgift att  vägleda och informera om bestämmelserna avseende personuppgiftsbehandling och dataskydd. 

3. Är personuppgiftsansvarig och personuppgiftsbiträde solidariskt skadeståndsansvariga?

Som regel är den personuppgiftsansvariga skadeståndsansvarig för skada som uppstår till följd av behandling i strid med EU-förordningen. Ett personuppgiftsbiträde kan också bli skadeståndsansvarigt om detta har brutit mot de bestämmelser som specifikt riktar sig till biträden eller har behandlat uppgifter i strid med den personuppgiftsansvarigas instruktioner.

4. Kan ett personuppgiftsbiträde anlita ett underbiträde?

Ett företag eller en myndighet som behandlar personuppgifter för någon annans räkning är ett personuppgiftsbiträde. En myndighet eller organisation som anlitar ett biträde är skyldig att teckna ett skriftligt avtal med biträdet.  Avtalet ska bland annat innehålla instruktioner för hur biträdet får behandla personuppgifter.

Biträdet kan i sin tur anlita andra biträden, så kallade underbiträden, men endast om den personuppgiftsansvariga i förväg gett ett skriftligt tillstånd till detta. Tillståndet kan gälla anlitande av ett visst underbiträde eller gälla generellt. Om ett biträde har ett generellt tillstånd måste den personuppgiftsansvariga informeras så att denna ges möjlighet att göra invändningar mot planerna att anlita ett nytt biträde.

När ett personuppgiftsbiträde anlitar ett underbiträde ska dessa teckna ett avtal sinsemellan. I avtalet ska slås fast att underbiträdet omfattas av samma skyldigheter som det ursprungliga biträdet har enligt avtalet i förhållande till den personregisteransvariga. Den personuppgiftsansvariga behöver även få kontaktuppgifter till underbiträdet för att kunna utföra eventuella kontroller av hur underbiträdet lever upp till avtalet.

5. Finns skyldighet att föra förteckning över vilken personuppgiftsbehandling som sker kvar?

Den personuppgiftsansvariga ska föra en förteckning över den behandling för vilken myndigheten eller organisationen ansvarar. Dessutom ska ett personuppgiftsbiträde föra en förteckning över den behandling som biträdet utför för någon annans räkning.

6. Behövs nytt samtycke från de personer som myndigheten eller organisationen har uppgifter om?

Förutsatt att det tidigare samtycket lever upp till kraven i dataskyddsförordningen, behövs inget nytt samtycke.

Dataskyddsförordningen innehåller en del skärpta krav på samtycke. Till exempel ska den personuppgiftsansvariga kunna visa att den registrerades samtycke de facto erhållits. Är samtycket inte dokumenterat eller har det utgåtts från att den registrerade samtyckt utan att han eller hon aktivt har uttryckt detta på något sätt ska ett nytt samtycke inhämtas.

Andra krav i förordningen är kravet på information om att man när som helst ska kunna återkalla sitt samtycke och kravet på samtycke från vårdnadshavare när det gäller personuppgifter som rör barn.

 

C. Dataskyddsombud

1. Förutsätter EU-dataskyddsförordningen att det ska finnas dataskyddsombud?

Både personuppgiftsansvariga är skyldiga att utse ett dataskyddsombud om

  • personuppgiftsbehandlingen utförs av en myndighet eller ett offentligt organ (gäller inte domstolar i dess dömande verksamhet)
  • den ansvarigas eller biträdets kärnverksamhet består av personuppgiftsbehandling som kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning, eller
  • den ansvarigas eller biträdets kärnverksamhet består av behandling i stor omfattning av så kallade känsliga personuppgifter eller brottsuppgifter.

2. Kan ett dataskyddsombud vara ombud för flera myndigheter?

Ett dataskyddsombud kan utses för flera olika myndigheter. I en kommun är vanligtvis varje kommunal nämnd personuppgiftsansvarig för sin behandling och ska utse ett dataskyddsombud. Det finns inget som hindrar att ett och samma ombud utses för alla nämnder inom kommunen eller inom flera kommuner. Det förutsätter att ombudet har tillräckligt med tid och resurser för att utföra uppdraget som dataskyddsombud för respektive personuppgiftsansvarig nämnd.

3. Vad krävs av ett dataskyddsombud?

Enligt förordningen ska ombudet utses på basis av sina yrkesmässiga kvalifikationer, särskilt kunskap i lagstiftning och praxis kring dataskydd. Förordningen innehåller också tydligare bestämmelser om dataskyddsombudets ställning - ombudet ska involveras i god tid i alla frågor som rör skydd för personuppgifter och ska ges nödvändiga resurser för att utföra sina arbetsuppgifter. Ombudet ska inte kunna bestraffas eller utsättas för repressalier för utförandet av uppgifter enligt förordningen och ska rapportera direkt till högsta ledningen.

Till dataskyddsombudets uppgifter hör bland annat att informera och ge råd inom den egna organisationen om vilka skyldigheter som gäller enligt såväl förordningen som nationella bestämmelser. Ombudet ska också bevaka att bestämmelserna följs och ge råd om den konsekvensbedömning gällande dataskydd som ska göras enligt förordningen. Slutligen ska ombudet fungera som kontaktpunkt för dataskyddsmyndigheten och samarbeta med denna.

 

D. Anmälningar av personuppgiftsincidenter (data breach)

1. Vad menas med en personuppgiftsincident?

Enligt förordningen definieras begreppet personuppgiftsincident som en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring av de personuppgifter som behandlas. Det kan också vara fråga om en personuppgiftsincident om en säkerhetsincident som leder till obehörigt röjande av eller obehörig åtkomst till de behandlade uppgifterna.

2. Anmälan till Datainspektionen

Avsikten med en anmälan är att göra det möjligt för Datainspektionen att se och bevaka vilka åtgärder som vidtas för att motverka negativa effekter av det inträffade. Om det blir nödvändigt kan Datainspektionen också komma att utöva sina tillsynsbefogenheter för att få den som är ansvarig för behandlingen att vidta nödvändiga åtgärder.

3. När ska incidenter anmälas?

Inom 72 timmar från det att incidenten upptäckts ska incidenten anmälas. Någon anmälan behöver inte göras om det är osannolikt att incidenten leder till några risker för enskildas fri- och rättigheter. De risker som avses kan till exempel vara att enskilda förlorar kontrollen över sina uppgifter eller att deras rättigheter inskränks, att enskilda utsätts för diskriminering, identitetsstöld eller bedrägeri, finansiell förlust, skadlig ryktesspridning samt brott mot sekretess eller tystnadsplikt.

Om det inte är möjligt att lämna all information inom 72 timmar kan informationen delas upp så att den kan lämnas vid olika tillfällen när det blir möjligt. I de fall en anmälan inte hinner göras alls inom 72 timmar ska ändå Datainspektionen informeras och skälen för förseningen uppges.

4. Vilken information ska en incidentanmälan innehålla?

Informationen ska innehålla uppgifter om

  •  vilken typ av incident det är fråga om,
  •  vilka kategorier av personer som kan komma att beröras,
  •  hur många personer det berör,
  • vilka konsekvenser incidenten kan få, samt
  • vilka åtgärder som vidtagits för att motverka eventuella negativa konsekvenser.

5. Vem ska göra anmälan?

Den personuppgiftsansvariga, det vill säga den myndighet eller organisation som bestämmer ändamål och medel för behandlingen. Det finns också en skyldighet för den som har anlitats som personuppgiftsbiträde att uppmärksamma den personuppgiftsansvariga på en säkerhetsincident så fort den upptäckts.  

6. Kommer information som lämnas till Datainspektionen att publiceras eller omfattas den av sekretess?

Det finns inget i förordningen som kräver att Datainspektionen publicerar information om anmälda incidenter. Även om Datainspektionen inte publicerar information från en anmälan om personuppgiftsincidenter, kan sådan information komma att behöva lämnas ut i enlighet med offentlighetsprincipen om det begärs. Information får inte lämnas ut om det finns bestämmelser i offentlighetslagen (LL om allmänna handlingars offentlighet) som hindrar det. Om någon skulle begära att få ut information som kommer in i samband med en anmälan tar Datainspektionen ställning till om informationen ska lämnas ut eller inte.

Under vissa omständigheter är den personuppgiftsansvariga skyldig att informera de personer vars uppgifter berörs av incidenten. Informationen till de drabbade ska bland annat omfatta vilka konsekvenser incidenten kan leda till och vilka åtgärder man vidtagit för att motverka eventuella negativa följder. Syftet är bland annat att göra det möjligt för de enskilda personerna att själva vidta nödvändiga åtgärder.

När Datainspektionen blir informerad om en incident kan myndigheten fatta beslut om att den personuppgiftsansvariga måste informera de registrerade eller att det inte är nödvändigt. Om de registrerade ska informeras kan Datainspektionen ge råd om hur det ska ske.