Hoppa till innehåll på sidan

Syfte och tillämpningsområde

Innan ni tar ställning till hur er verksamhet ska tillämpa dataskyddsförordningen (även kallad GDPR), är det bra att känna till det bakomliggande syftet med lagstiftningen och när förordningen är tillämplig.

Syfte

Skydda enskildas grundläggande rättigheter och friheter

Ett av syftena med dataskyddsförordningen är att skydda enskildas grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Rätten till privatliv uttrycks i den Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (EKMR). I EKMR ges en rätt till respekt för privat- och familjeliv, hem och korrespondens. Konventionen har införts som lag i Sverige.

Även i EU:s stadga om grundläggande rättigheter uttrycks rätten till respekt för privat- och familjeliv. Här finns också en särskild bestämmelse om rätt till skydd för personuppgifter. Stadgan är rättsligt bindande för EU:s medlemsstater.

På svensk nivå finns en grundlagsstadgad rätt till skydd för den personliga integriteten i samband med behandling av personuppgifter i regeringsformen.

Dessa grundläggande bestämmelser om rätt till privatliv och skydd för personuppgifter ligger till grund för närmare lagstiftning om behandling av personuppgifter, som i dataskyddsförordningen.

Dataskyddsförordningen har också till syfte att skapa en enhetlig och likvärdig nivå för skyddet av personuppgifter inom EU så att det fria flödet av uppgifter inom unionen inte hindras. Detta uppnås genom att förordningen är direkt tillämplig i de olika medlemsstaterna och att samma regler gäller inom hela unionen.

Andra syften med dataskyddsförordningen är att modernisera dataskyddsdirektivets regler från 1995 och anpassa dem till det nya digitala samhället.

 

Tillämpningsområde

Personuppgifter och personuppgiftsbehandling

Dataskyddsförordningen gäller för behandling av personuppgifter. Med personuppgifter menas varje upplysning som rör en identifierad eller identifierbar fysisk person. Det som avgör är om uppgiften, enskilt eller i kombination med andra uppgifter, kan knytas till en levande person.

Personuppgifter

Alla former av åtgärder med personuppgifter är personuppgiftsbehandling. Som exempel kan nämnas insamling, registrering, organisering, strukturering, lagring, bearbetning, ändring, framtagning, läsning, användning, utlämning, spridning eller att de tillhandahålls på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring av personuppgifter.

Dataskyddsförordningen gäller för helt automatiserad behandling, exempelvis alla former av personuppgiftsbehandlingar som sker elektroniskt. Det kan till exempel vara

  • ärendehandläggning
  • löneutbetalning
  • hantering av kundregister
  • digitala ljudupptagningar.

Delvis automatiserad behandling av personuppgifter omfattas också av reglerna. Det kan gälla personuppgifter som samlas in manuellt för att sedan sammanställas i dataformat. Ett par exempel är skriftliga enkäter som sammanställs digitalt eller kundklubbar där medlemskap ingås med hjälp av skriftlig ansökan som sedan registreras i en databas.

Bestämmelserna kan också gälla för helt manuell behandling, alltså vid behandling av personuppgifter som enbart förs på papper. I så fall krävs det att uppgifterna ingår i eller kommer att ingå i ett register, ett så kallat manuellt register. Vid bedömningen av om det är ett manuellt register som omfattas av dataskyddsförordningen har det betydelse om informationen är strukturerad så att det enkelt går att hitta information om en enskild person för senare användning.

Dataskyddsförordningen gäller för personuppgiftsbehandling som har viss anknytning till EU. Den gäller när den personuppgiftsansvariga eller ett personuppgiftsbiträde har ett verksamhetsställe inom EU och behandlar personuppgifter i samband med verksamheten här. Det saknar betydelse var själva behandlingen utförs.

Dataskyddsförordningen gäller även för personuppgiftsbehandling som förekommer när organisationer som inte är etablerade i EU erbjuder varor och tjänster till personer som befinner sig i unionen eller när sådana organisationer övervakar människors beteenden här. Med det sistnämnda menas till exempel att man spårar enskilda personers beteende på internet för att skapa kundprofiler eller liknande.

Dataskyddsförordningen gäller i princip inom all slags verksamhet och oavsett vem som utför personuppgiftsbehandlingen. Den gäller för företag, föreningar, organisationer, myndigheter och privatpersoner.

När dataskyddsförordningen inte gäller

Det finns undantag från dataskyddsförordningen, bland annat för privatpersoners egna privata behandling av personuppgifter. Den gäller inte heller då någon behandlar personuppgifter i samband med att man utövar sin yttrande- eller informationsfrihet.

Fysiska personers behandling av personuppgifter som görs som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll omfattas inte av dataskyddsförordningens regler.

Undantaget för privat behandling av personuppgifter gäller till exempel i följande fall:

  • Personuppgifter som du noterar i din privata adressbok.
  • Bilder från din övervakningskamera som är placerad på ett sådant sätt att den endast filmar din egen tomt.
  • Bilder på personer som går att identifiera, och
    • som du tar för privat bruk, eller
    • som du delar med en fotobutik för att skriva ut papperskopior för eget privat bruk, eller
    • som endast kan nås av ett begränsat antal personer via sociala medier.

Undantaget för privat behandling gäller till exempel inte som huvudregel i följande fall:

  • Personuppgifter i en adressbok som får stor spridning.
  • Bilder från din övervakningskamera som är placerad på ett sådant sätt att den filmar exempelvis del av en väg eller din grannes tomt.
  • Bilder på personer som går att identifiera, och
    • som du publicerar i sociala medier så att bilderna kan nå ett obegränsat antal personer, eller
    • som du gör utskrifter av för att dela eller sälja till andra personer.

Dataskyddsförordningen gäller inte då någon behandlar personuppgifter i samband med att man utövar sin yttrande- eller informationsfrihet. Enligt förordningen ska undantag för yttrande- och informationsfrihet göras i nationell rätt. I Sverige innebär det bland annat att personuppgiftsbehandling som omfattas av grundlagsskyddet i tryckfrihetsförordningen och yttrandefrihetsgrundlagen undantas om tillämpningen av förordningen skulle komma i konflikt med grundlagarna. Även behandling av personuppgifter som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande ska undantas från de flesta av bestämmelserna i dataskyddsförordningen.

Undantaget fanns tidigare i personuppgiftslagen och finns idag genom den lagstiftning som kompletterar förordningen på nationell nivå.
Dataskyddsförordningen hindrar inte myndigheter och andra organ att lämna ut allmänna handlingar enligt offentlighetsprincipen. Skyldigheten att lämna ut allmänna handlingar omfattar dock inte elektronisk utlämning, dataskyddsförordningen gäller för sådant utlämnade via till exempel e-post eller via internet.

Den personuppgiftsbehandling som är nödvändig för myndigheternas brottsbekämpande verksamhet regleras i ett särskilt direktiv från EU och i nationell rätt. Dataskyddsförordningen gäller därför inte för personuppgiftsbehandling som myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder. I det ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten.

Dataskyddsförordningen gäller inte heller personuppgiftsbehandling som utgör ett led i en verksamhet som inte omfattas av unionsrätten, till exempel verksamhet som rör nationell säkerhet. Sådan personuppgiftsbehandling regleras i stället av nationella bestämmelser.

Särskilda regler om personuppgiftsbehandling gäller också för EU:s olika institutioner, organ och byråer.

 

Senast uppdaterad: 19 februari 2024
Sidans etiketter Dataskydd