Contact us now
+ 46 10-456 44 60

Dataskydd

Dataskyddsförordningen och dataskyddslagen

Dataskyddsförordningen antogs av EU våren 2016 med ikraftträdande 25 maj 2018.

Dataskyddsförordningen är tvingande och kan inte ersättas av andra regler. Alla personuppgiftsansvariga är skyldiga att tillämpa dataskyddsförordningen på all behandling av personuppgifter, som helt eller delvis är automatiserad. Det finns också en skyldighet att tillämpa förordningen på viss manuell behandling, det vill säga då personuppgifter ingår i register.

Den svenska dataskyddslagen kompletterar och förtydligar dataskyddsförordningens regler. Om det finns regler i annan lag eller förordning som avviker från dataskyddslagens regler så ska den bestämmelsen i speciallag tillämpas. Det kan till exempel vara regler som specificerar eller begränsar rätten att behandla känsliga personuppgifter.

Tillsynsmyndighet
Datainspektionen är tillsynsmyndighet och övervakar att de som behandlar personuppgifter följer dataskyddsförordningen. Som tillsynsmyndighet har Datainspektionen till uppgift att utöva tillsyn över lagen och bland annat utfärda varningar och reprimander och att förelägga företag och organisationer att vidta åtgärder. Datainspektionen kan också besluta om att begränsa eller förbjuda behandling och att påföra administrativa sanktionsavgifter.

 

Vi informerar nedan kortfattat om några centrala regler angående behandling av personuppgifter för olika syften. Dessa regler liknar till stor del de regler som gällt enligt personuppgiftslagen.

Grundläggande principer och rättsliga grunder för behandling av personuppgifter

I dataskyddsförordningen finns ett antal principer som är grunden för all personuppgiftsbehandling och som alltid ska tillämpas oavsett med vilken rättslig grund personuppgiftsbehandling sker. Dessa principer innebär att personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade, bara samlas in för särskilda uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. De personuppgifter som samlas in ska vara relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas för. Det innebär också att personuppgifterna ska vara korrekta och uppdaterade samt att felaktiga personuppgifter raderas eller rättas utan dröjsmål. Dessutom ska personuppgifterna inte lagras längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas för samt erforderliga tekniska och organisatoriska säkerhetsåtgärder ska vidtas för att skydda personuppgifterna. Det är den personuppgiftsansvariga som har ansvaret att kunna visa att dessa principer efterlevs.

Det måste vidare finnas en rättslig grund enligt dataskyddsförordningen för att en personuppgiftsbehandling ska vara tillåten.

Rättslig grund kan bl a vara

  • att behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part. Det kan t ex vara anställningsavtalet.
  • att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse. Det kan vara en skyldighet som följer av lag eller kollektivavtal m m.
  • att behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter. Den personuppgiftsansvarige ska, om behandling ska företas med stöd av denna rättsliga grund, göra en intresseavvägning.

Det kan också vara tillåtet att företa en personuppgiftsbehandling då den registrerade lämnat sitt samtycke till behandling. Ett giltigt samtycke ska lämnas frivilligt för en specifik, särskild personuppgiftsbehandling av den registrerade efter att denne fått all nödvändig information angående den personuppgiftsbehandling samtycket omfattar. Ett samtycke ska alltid kunna särskiljas från andra frågor. Ett samtycke kan också alltid återkallas. Det innebär att för arbetsgivare finns det andra mer lämpliga rättsliga grunder som också är enklare att tillämpa.

Särskilda kategorier personuppgifter – känsliga personuppgifter

Särskilda kategorier personuppgifter är bland annat uppgifter som avslöjar etniskt ursprung, medlemskap i fackförening, uppgifter om hälsa. Sådana känsliga personuppgifter är förbjudna att behandla. Det finns dock undantag från förbudet, bland annat för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldigheter eller utöva sina särskilda rättigheter inom arbetsrätten eller om behandlingen är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk.

För personnummer och uppgift om lagöverträdelser finns särskilda regler i dataskyddsförordningen och dataskyddslagen.

Informationsskyldighet

Det finns en omfattande informationsskyldighet dels när den personuppgiftsansvarige samlar in personuppgifter från antingen den registrerade själv eller från någon annan om den registrerade dels när den registrerade tar kontakt med den personuppgiftsansvarige för att få besked om huruvida personuppgifter behandlas eller inte, s k registerutdrag.

När den personuppgiftsansvariga samlar in personuppgifter direkt från den registrerade själv, t ex vid anställningen ska information angående personuppgiftsbehandlingen lämnas när personuppgifterna erhålls. Informationen ska bl a innehålla uppgift om vem som är personuppgiftsansvarig, vem som är dataskyddsombud (i tillämpliga fall), ändamålet med behandlingen för personuppgifterna som samlas in, samt den rättsliga grunden för behandlingen, om uppgifterna ska lämnas ut till någon annan mottagare (utanför företaget). Utöver detta ska den personuppgiftsansvariga också informera om hur länge personuppgifterna kommer att lagras, att den registrerade har rätt att begära tillgång till och rättelse eller radering av personuppgifter, om behandlingen grundar sig på samtycke att det finns en rätt att återkalla sitt samtycke m m.

Integritetspolicy

För att du som personal eller kund ska veta hur vi jobba med Era uppgifter kan du läsa mer om detta under den rubrik som passar dig;

Kund
Anställd personal