Syfte

Ett av syftena med Dataskyddsförordningen är att skydda enskildas grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Rätten till privatliv uttrycks i den Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (EKMR). Konventionen har införts som lag i Sverige. Även i EU:s stadga om grundläggande rättigheter uttrycks rätten till respekt för privat- och familjeliv. Det finns också en särskild bestämmelse om rätt till skydd för personuppgifter. Stadgan är rättsligt bindande för EU:s medlemsstater. På svensk nivå finns en grundlagsstadgad rätt till skydd för den personliga integriteten i samband med behandling av personuppgifter i 2 kap. 6 § andra stycket regeringsformen.

Dessa grundläggande bestämmelser om rätt till privatliv och skydd för personuppgifter ligger till grund för närmare lagstiftning om behandling av personuppgifter, såväl i det nu gällande dataskyddsdirektivet 95/46/EU – vilket har genomförts i Sverige genom den nya dataskyddsförordningen.

Dataskyddsförordningen har också till syfte att skapa en enhetlig och likvärdig nivå för skyddet av personuppgifter inom EU så att det fria flödet av uppgifter inom unionen inte hindras. Detta uppnås genom att förordningen är direkt tillämplig i de olika medlemsstaterna och att samma regler gäller inom hela unionen. Andra syften med att ta fram en ny dataskyddsförordning har varit att modernisera dataskyddsdirektivets regler från 1995 och att anpassa dessa till det nya digitala samhället.

Tillämpningsområde

Dataskyddsförordningen gäller i princip för all automatiserad behandling av personuppgifter och i vissa fall även manuell behandling av personuppgifter. Personuppgifter är varje upplysning som avser en identifierad eller identifierbar fysisk person.

Dataskyddsförordningen gäller för personuppgiftsbehandling som har anknytning till EU, antingen när den som behandlar personuppgifterna är etablerad inom EU eller då någon utanför EU erbjuder tjänster och varor till personer inom unionen eller övervakar deras beteenden här.

Dataskyddsförordningen gäller i princip inom all slags verksamhet och oavsett vem som utför personuppgiftsbehandlingen. Den gäller således för företag, föreningar, organisationer, myndigheter och privatpersoner. Det finns undantag, bland annat för privatpersoners egna privata behandling av personuppgifter. Den gäller inte heller då någon behandlar personuppgifter i samband med utövande av sin yttrande- eller informationsfrihet.

Personuppgiftsansvarig/personuppgiftsbiträde

Den som behandlar personuppgifter är antingen personuppgiftsansvarig eller personuppgiftsbiträde. Personuppgiftsansvarig är den som bestämmer för vilka ändamål uppgifterna ska behandlas och hur behandlingen ska gå till. Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning.

En personuppgiftsansvarig eller ett personuppgiftsbiträde kan vara en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ.

Dataskyddsförordningen innehåller särskilda skyldigheter för de som behandlar personuppgifter. En nyhet i dataskyddsförordningen är att många av de skyldigheter som tidigare har gällt för den personuppgiftsansvarige nu även gäller för personuppgiftsbiträdet.

De som behandlar personuppgifter måste se till att behandlingen sker i enlighet med dataskyddsförordningens samtliga bestämmelser. Notera särskilt att dataskyddsförordningens bestämmelser om de registrerades rättigheter också innebär skyldigheter för de som behandlar personuppgifter.

När ett personuppgiftsbiträde anlitas ska personuppgiftsbiträdesavtal tecknas. Kontakta universitetets informationssäkerhetschef eller dataskyddsombud för mer information och stöd.

Personuppgifter och personuppgiftsbehandling

Dataskyddsförordningen gäller för behandling av personuppgifter. Personuppgifter är varje upplysning som avser en identifierad eller identifierbar fysisk person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller online identifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. Bilder på och ljudupptagningar av individer som behandlas i dator kan vara personuppgifter även om inga namn nämns. Krypterade uppgifter och olika slags elektroniska identiteter, som exempelvis ip-nummer och cookies, räknas som personuppgifter om de kan kopplas till fysiska personer. Även information som har kodats, krypterats eller pseudonymiserats men som kan hänföras till en fysisk person med hjälp av kompletterande uppgifter är personuppgifter. 

Alla former av åtgärder med personuppgifter är personuppgiftsbehandling, till exempel insamling, registrering, organisering, strukturering, lagring, bearbetning, ändring, framtagning, läsning, användning, utlämning, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

Dataskyddsförordningen gäller för helt eller delvis automatiserad behandling av personuppgifter. Den gäller också för manuell behandling av personuppgifter om personuppgifterna ingår eller är avsedda att ingå i ett manuellt register som är sökbart enligt särskilda kriterier.

Känsliga/särskilda personuppgifter

Vissa personuppgifter är till sin natur särskilt känsliga och har därför ett starkare skydd i dataskyddsförordningen. Det handlar om så kallade känsliga personuppgifter som till exempel personuppgifter som avslöjar politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, hälsa, en persons sexualliv eller sexuella läggning, genetiska uppgifter och biometriska uppgifter som entydigt identifierar en person men även personuppgifter som rör lagöverträdelser som innefattar brott. Utgångspunkten är att det är förbjudet att behandla sådana personuppgifter. Det finns dock flera undantag från förbudet. Även personnummer kan räknas till personuppgifter som är särskilt integritetskänsliga.

Rättslig grund för behandling av personuppgifter

För att det ska vara tillåtet att behandla personuppgifter måste det alltid finnas ett stöd i dataskyddsförordningen, en så kallad rättslig grund. En sådan rättslig grund är samtycke från den registrerade. Andra rättsliga grunder är om personuppgiftsbehandlingen är nödvändig för att fullgöra ett avtal med den registrerade, fullgöra en rättslig förpliktelse, skydda den registrerades grundläggande intressen, fullgöra en uppgift av allmänt intresse samt för myndighetsutövning. Myndigheter kan inte längre tillämpa den rättsliga grunden intresseavvägning men tredje part kan begära ut uppgifter från en myndighet och åberopa intresseavvägning som rättslig grund. 

Förutom kravet på rättslig grund måste behandlingen också uppfylla övriga bestämmelser i förordningen. Kom ihåg att möjligheten att behandla personuppgifter begränsas av de grundläggande principerna för behandling av personuppgifter och de ytterligare krav som tillkommer för vissa typer av personuppgifter, till exempel känsliga personuppgifter och uppgifter om lagöverträdelser.

Principer för behandling av personuppgifter

All behandling av personuppgifter måste uppfylla de grundläggande principer som anges i dataskyddsförordningen. Principerna innebär bland annat att personuppgifter bara får samlas in för berättigade ändamål som inte är alltför allmänt hållna och att mängden uppgifter ska begränsas till vad som är nödvändigt för ändamålen. Uppgifterna får inte senare behandlas på ett sätt som är oförenligt med dessa ändamål och inte heller sparas längre än nödvändigt. Den som behandlar personuppgifter ska kunna visa att principerna följs.

De grundläggande principerna motsvarar de grundläggande kraven i personuppgiftslagen. 

Principerna ska iakttas vid all behandling dvs.:  

  • Laglighet, korrekthet och öppenhet
    • Personuppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. Kravet på att behandlingen av personuppgifter ska vara laglig innebär bland annat att det måste finnas en rättslig grund för behandlingen.
    • Att personuppgifter ska behandlas på ett öppet sätt i förhållande till den registrerade innebär bland annat att det ska vara klart och tydligt för denne hur hans eller hennes personuppgifter samlas in och i övrigt behandlas. De registrerade måste därför få information om behandlingen som är både lättillgänglig och formuleras med ett klart och tydligt språk.
  • Ändamålsbegränsning
    • Personuppgifter ska bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Det innebär att den som ska behandla personuppgifter måste ha ändamålen klara för sig redan innan insamlingen av personuppgifter börjar. Personuppgifterna får sedan inte behandlas på ett sätt som är oförenligt med dessa ändamål. De på förhand fastställda ändamålen är med andra ord det som sätter ramarna för behandlingen. Ändamålen ska dokumenteras skriftligt och den registrerade ska få information om ändamålen både när uppgifterna samlas in och annars när denne begär det. Om de insamlade personuppgifterna senare ska behandlas för andra ändamål som är förenliga med de ursprungliga ändamålen måste de registrerade också informeras om detta.
    • De insamlade personuppgifterna får behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål utan att det anses oförenligt med de ursprungliga ändamålen om det finns lämpliga skyddsåtgärder för de registrerades rättigheter.
  • Uppgiftsminimering
    • Principen om uppgiftsminimering innebär att personuppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Det är med andra ord inte tillåtet att samla in personuppgifter för obestämda framtida behov. Insamlade personuppgifter får inte heller behandlas om de till exempel är så gamla att de inte längre är relevanta för de ursprungliga ändamålen.
  • Riktighet
    • Personuppgifterna ska vara korrekta och uppdaterade. Den som behandlar personuppgifter måste vidta alla rimliga åtgärder för att säkerställa att felaktiga personuppgifter raderas eller rättas utan dröjsmål. Om det krävs för ändamålen ska personuppgifterna dessutom vara uppdaterade.
  • Lagringsminimering
    • Personuppgifter får inte sparas, det vill säga. förvaras i en form som möjliggör identifiering av den registrerade, under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas.
    • När personuppgifterna inte längre behövs för de ändamålen ska de raderas eller avidentifieras. För att säkerställa att personuppgifter inte sparas längre än nödvändigt bör den som behandlar personuppgifter införa tidsfrister och rutiner för radering eller avidentifiering.
    • De insamlade personuppgifterna får lagras under längre tid för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål om det finns lämpliga skyddsåtgärder för de registrerades rättigheter.
  • Integritet och konfidentialitet
    • Personuppgifterna ska skyddas bland annat mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse. Den som behandlar personuppgifter ska därför vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna.

Konsekvensbedömningar och förhandssamråd

Innan man inleder en behandling av personuppgifter som kan leda till en hög risk för integritetsintrång till exempel ett omfattande register med känsliga personuppgifter, måste man bedöma konsekvenserna för de registrerade (konsekvensbedömning). Om man bedömer att behandlingen skulle leda till en hög risk om inte den personuppgiftsansvarige vidtar åtgärder för att minska risken måste man samråda med tillsynsmyndigheten (förhandssamråd).

Kontakta universitetets dataskyddsombud, dso@su.se, när en konsekvensbedömning ska genomföras.

De registrerades rättigheter 

De personer vars personuppgifter behandlas, de registrerade, har ett antal rättigheter enligt dataskyddsförordningen. Dessa rättigheter innebär i korthet att de registrerade ska få information om när och hur deras personuppgifter behandlas och ha kontroll över sina egna uppgifter. Därför har de bland annat rätt att i vissa fall få sina uppgifter rättade, raderade eller blockerade, eller att få ut eller flytta sina uppgifter. De registrerades rättigheter har utökats, förstärkts och specificerats i dataskyddsförordningen.  

Rättigheterna är:

  • Rätt till information
    • Den registrerade har rätt att få information när hans eller hennes personuppgifter behandlas. Information om personuppgiftsbehandlingen ska lämnas av den personuppgiftsansvarige både när uppgifterna samlas in och när den registrerade annars begär det. Därutöver finns det vissa tillfällen när särskild information ska ges till den registrerade, till exempel om det inträffar ett dataintrång eller liknande (en personuppgiftsincident) hos den personuppgiftsansvarige och det finns risk för till exempel identitetsstöld eller bedrägeri.
    • Informationen ska tillhandahållas den registrerade kostnadsfritt i en lättillgänglig, skriftlig form (vilket kan vara i elektronisk form) och med ett tydligt och enkelt språk. I dataskyddsförordningen anges utförligt vilken information som ska ges. Bland annat ska information lämnas om kontaktuppgifter till den personuppgiftsansvarige, den rättsliga grunden för behandlingen och ändamålet med behandlingen.
  • Rätt till rättelse
    • Varje person har rätt att vända sig till universitetet och be att få felaktiga uppgifter rättade. Det innebär också att den enskilde har rätt att komplettera med sådana personuppgifter som saknas och som är relevanta med hänsyn till ändamålet med personuppgiftsbehandlingen. Att den som behandlar personuppgifter också själv måste se till att uppgifterna är korrekta och uppdaterade framgår redan av de grundläggande principerna i dataskyddsförordningen.
    • Om uppgifter rättas på den enskildes begäran måste universitetet också informera dem som de har lämnat ut uppgifter till om att uppgifter rättats. Det gäller dock inte om det skulle visa sig omöjligt eller innebär en alltför betungande insats. Den enskilde har också rätt att begära att få information om till vem uppgifter har lämnats ut.
  • Rätt till radering ("rätten att bli bortglömd")
    • Varje person har rätt att vända sig till universitetet som behandlar personuppgifter och be att uppgifterna som avser honom eller henne raderas. Uppgifterna måste raderas i följande fall:
    • Om uppgifterna inte längre behövs för de ändamål som de samlades in för
    • Om behandlingen grundar sig på den enskildes samtycke och denne återkallar samtycket
    • Om behandlingen sker för direktmarknadsföring och den enskilde motsätter sig att uppgifterna behandlas
    • Om den enskilde motsätter sig personuppgiftsbehandling som sker inom ramen för myndighetsutövning eller efter en intresseavvägning och det inte finns berättigade skäl som väger tyngre än den enskildes intresse
    • Om personuppgifterna har behandlats olagligt
    • Om radering krävs för att uppfylla en rättslig skyldighet
    • Om personuppgifterna avser barn och har samlats in i samband med att barnet skapar en profil i ett socialt nätverk
    • Om uppgifter raderas på den enskildes begäran måste universitetet också informera dem som de har lämnat ut uppgifter till om raderingen. Det gäller dock inte om det skulle visa sig omöjligt eller innebär en alltför betungande insats. Den enskilde har också rätt att begära att få information om till vem uppgifter har lämnats ut.
    • När personuppgifterna har publicerats eller på annat sätt gjorts offentliga (i ett socialt nätverk, ett internetforum eller på en webbsida) räcker det inte alltid att de raderas där. I dessa situationer ska den som offentliggjort uppgifterna också vidta rimliga åtgärder för att informera andra som behandlar uppgifterna om den enskildes begäran så att även kopior av eller länkar till uppgifterna tas bort.
    • Det finns undantag från rätten till radering och skyldigheten att informera andra om det är nödvändigt för att tillgodose andra viktiga rättigheter som till exempel rätten till yttrande- och informationsfrihet, för att uppfylla en rättslig förpliktelse, utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning.
  • Rätt till begränsning av behandling
    • Enskilda har i vissa fall rätt att kräva att behandlingen av personuppgifter begränsas. Med begränsning menas att uppgifterna markeras så att dessa i framtiden endast får behandlas för vissa avgränsade syften.
    • Rätten till begränsning gäller bland annat när den registrerade anser att uppgifterna är felaktiga och begärt rättelse. I sådana fall kan den registrerade även begära att behandlingen av uppgifterna begränsas under tiden uppgifternas korrekthet utreds.
    • När begränsningen upphör ska den enskilde informeras om detta.
  • Dataportabilitet
    • Den som har lämnat sina personuppgifter har i vissa fall rätt att få ut och använda sina personuppgifter på annat håll till exempel i en annan social medietjänst (rätten till dataportabilitet). Den som har tagit emot personuppgifterna är skyldig att underlätta en sådan överflyttning av personuppgifter. En förutsättning är att denna behandlar personuppgifterna med stöd av ett samtycke från den registrerade eller för att uppfylla ett avtal med den registrerade och det gäller bara sådana personuppgifter som den registrerade själv har lämnat. Rätten till dataportabilitet är en nyhet i dataskyddsförordningen.
  • Rätt att göra invändningar
    • En enskild har i vissa fall rätt att invända mot universitetets behandling av hans eller hennes personuppgifter.
    • Rätten att invända gäller när personuppgifter behandlas för att utföra en uppgift av allmänt intresse, som ett led i myndighetsutövning eller efter en intresseavvägning.
    • Om den enskilde invänder mot behandlingen i sådana fall får universitetet endast fortsätta att behandla uppgifterna om det går att visa att det finns tvingande berättigade skäl till att uppgifterna måste behandlas som väger tyngre än den enskildes intressen, rättigheter och friheter eller om behandlingen sker för fastställande, utövande eller försvar av rättsliga anspråk.
    • Den enskilde har alltid rätt att invända mot att hans eller hennes personuppgifter används för direkt marknadsföring. En sådan invändning kan göras när som helst. Görs en invändning mot direkt marknadsföring, får personuppgifterna inte längre behandlas för sådana ändamål.
    • Särskilda regler gäller för personuppgifter som behandlas för vetenskapliga och historiska forskningsändamål eller statistiska ändamål.
    • Universitetet måste informera de registrerade om rätten att göra invändningar.
  • Automatiserat beslutsfattande, inbegripet profilering
    • Den enskilde har rätt att inte bli föremål för ett beslut som enbart grundas på någon form av automatiserat beslutsfattande, inbegripet profilering, om beslutet kan ha rättsliga följder för den enskilde eller på liknande sätt i betydande grad påverkar honom eller henne.
    • Automatiserat beslutsfattande kan till exempel vara ett automatiserat avslag på en kreditansökan på internet eller vid ett nekande besked från e-rekrytering via internet utan personlig kontakt.
    • Automatiserat beslutsfattande kan vara tillåtet om det är nödvändigt för ingående eller fullgörande av ett avtal mellan den registrerade och den personuppgiftsansvarige eller om den enskilde har gett sitt uttryckliga samtycke. Det kan även vara tillåtet enligt särskild lagstiftning.
    • Den personuppgiftsansvarige måste informera de registrerade om att automatiserat beslutsfattande används enligt den generella informationsskyldigheten i förordningen.
    • Automatiserade beslut kan fattas med eller utan profilering. Omvänt kan profilering användas utan att det leder till ett automatiserat beslut. Profilering innebär varje form av automatisk behandling av personuppgifter då uppgifterna används för att bedöma vissa personliga egenskaper, i synnerhet för att analysera eller förutsäga personens arbetsprestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet, beteende, vistelseort eller förflyttningar.
    • Profilering utgör en behandling av personuppgifter som måste utföras i enlighet med samtliga bestämmelser i dataskyddsförordningen.
  • Klagomål
    • Den som anser att någon behandlar uppgifter om honom eller henne i strid med dataskyddsförordningen kan lämna in ett klagomål till Datainspektionen. Datainspektionen tar del av alla klagomål och bedömer om tillsyn ska inledas och lämnar därefter besked till den som fört fram klagomålet. Datainspektionen måste meddela om tillsyn ska inledas eller inte inom tre månader efter att ha tagit emot klagomålet. Om den klagande inte får besked inom den tiden, kan han eller hon vända sig till domstol för att begära besked.
  • Skadestånd
    • En person som har lidit skada på grund av att hans eller hennes personuppgifter har behandlats i strid med dataskyddsförordningen kan ha rätt till skadestånd av den eller de personuppgiftsansvariga som medverkat vid behandlingen.
    • Ett personuppgiftsbiträde kan också bli skadeståndsansvarigt om denne har brutit mot de bestämmelser som specifikt riktar sig till biträden eller har behandlat uppgifter i strid med den ansvariges instruktioner.
    • Den enskilde kan begära skadestånd från den personuppgiftsansvarige eller personuppgiftsbiträdet eller väcka skadeståndstalan i domstol.
    • Den som lidit skada har i princip rätt att få ersättning för hela skadan av antingen den personuppgiftsansvarige eller personuppgiftsbiträdet. De får sedan i sin tur reglera detta sinsemellan. En personuppgiftsansvarig eller ett biträde har dock ingen skyldighet att betala ersättning om de kan visa att de inte på något sätt är ansvariga för skadan.

Dataskyddsombud

Vid universitetet finns det ett dataskyddsombud. Kontakta alltid dataskyddsombudet, dso@su.se, vid incidenter, samt vid behov av råd och stöd i frågor som rör personuppgiftsbehandling.