Gå till innehållet

Syfte och tillämpningsområde

Innan ni tar ställning till hur er verksamhet ska tillämpa dataskyddsförordningen (GDPR), är det bra att känna till det bakomliggande syftet med lagstiftningen och när förordningen är tillämplig.

Syfte

Skydda enskildas grundläggande rättigheter och friheter

Ett av syftena med dataskyddsförordningen (GDPR) är att skydda enskildas grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Rätten till privatliv uttrycks i den Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (EKMR). I EKMR ges en rätt till respekt för privat- och familjeliv, hem och korrespondens. Konventionen har införts som lag i Sverige.

Även i EU:s stadga om grundläggande rättigheter uttrycks rätten till respekt för privat- och familjeliv. Här finns också en särskild bestämmelse om rätt till skydd för personuppgifter. Stadgan är rättsligt bindande för EU:s medlemsstater.

På svensk nivå finns en grundlagsstadgad rätt till skydd för den personliga integriteten i samband med behandling av personuppgifter i regeringsformen.

Dessa grundläggande bestämmelser om rätt till privatliv och skydd för personuppgifter ligger till grund för närmare lagstiftning om behandling av personuppgifter, som i dataskyddsförordningen (GDPR).

Dataskyddsförordningen har också till syfte att skapa en enhetlig och likvärdig nivå för skyddet av personuppgifter inom EU så att det fria flödet av uppgifter inom unionen inte hindras. Detta uppnås genom att förordningen är direkt tillämplig i de olika medlemsstaterna och att samma regler gäller inom hela unionen.

Andra syften med dataskyddsförordningen är att modernisera dataskyddsdirektivets regler från 1995 och anpassa dem till det nya digitala samhället.

 

Tillämpningsområde

Personuppgifter och personuppgiftsbehandling

Dataskyddsförordningen gäller för behandling av personuppgifter. Med personuppgifter menas varje upplysning som rör en identifierad eller identifierbar fysisk person. Det som avgör är om uppgiften, enskilt eller i kombination med andra uppgifter, kan knytas till en levande person.

Personuppgifter

Alla former av åtgärder med personuppgifter är personuppgiftsbehandling. Som exempel kan nämnas insamling, registrering, organisering, strukturering, lagring, bearbetning, ändring, framtagning, läsning, användning, utlämning, spridning eller att de tillhandahålls på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring av personuppgifter.

Dataskyddsförordningen gäller för helt automatiserad behandling, exempelvis alla former av personuppgiftsbehandlingar som sker elektroniskt. Det kan till exempel vara

  • ärendehandläggning
  • löneutbetalning
  • hantering av kundregister
  • digitala ljudupptagningar.

Delvis automatiserad behandling av personuppgifter omfattas också av reglerna. Det kan gälla personuppgifter som samlas in manuellt för att sedan sammanställas i dataformat. Ett par exempel är skriftliga enkäter som sammanställs digitalt eller kundklubbar där medlemskap ingås med hjälp av skriftlig ansökan som sedan registreras i en databas.

Ibland omfattas även manuell behandling av personuppgifter av dataskyddsförordningen.

Dataskyddsförordningen gäller för personuppgiftsbehandling som har viss anknytning till EU. Den gäller när den personuppgiftsansvariga eller ett personuppgiftsbiträde har ett verksamhetsställe inom EU och behandlar personuppgifter i samband med verksamheten här. Det saknar betydelse var själva behandlingen utförs.

Dataskyddsförordningen gäller även för personuppgiftsbehandling som förekommer när organisationer som inte är etablerade i EU erbjuder varor och tjänster till personer som befinner sig i unionen eller när sådana organisationer övervakar människors beteenden här. Med det sistnämnda menas till exempel att man spårar enskilda personers beteende på internet för att skapa kundprofiler eller liknande.

Dataskyddsförordningen gäller i princip inom all slags verksamhet och oavsett vem som utför personuppgiftsbehandlingen. Den gäller för företag, föreningar, organisationer, myndigheter och privatpersoner.

 

När dataskyddsförordningen inte gäller

Det finns undantag från dataskyddsförordningen, bland annat för privatpersoners egna privata behandling av personuppgifter. Den gäller inte heller då någon behandlar personuppgifter i samband med att man utövar sin yttrande- eller informationsfrihet.

Fysiska personers behandling av personuppgifter som görs som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll omfattas inte av förordningens regler. Det handlar om behandling som är helt och hållet privat, utan koppling till yrkes- eller affärsmässig verksamhet.

Dataskyddsförordningen gäller inte då någon behandlar personuppgifter i samband med att man utövar sin yttrande- eller informationsfrihet. Enligt förordningen ska undantag för yttrande- och informationsfrihet göras i nationell rätt. I Sverige innebär det bland annat att personuppgiftsbehandling som omfattas av grundlagsskyddet i tryckfrihetsförordningen och yttrandefrihetsgrundlagen undantas om tillämpningen av förordningen skulle komma i konflikt med grundlagarna. Även behandling av personuppgifter som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande ska undantas från de flesta av bestämmelserna i dataskyddsförordningen.

Undantaget fanns tidigare i personuppgiftslagen och finns idag genom den lagstiftning som kompletterar förordningen på nationell nivå.
Dataskyddsförordningen hindrar inte myndigheter och andra organ att lämna ut allmänna handlingar enligt offentlighetsprincipen. Skyldigheten att lämna ut allmänna handlingar omfattar dock inte elektronisk utlämning, dataskyddsförordningen gäller för sådant utlämnade via till exempel e-post eller via internet.

Den personuppgiftsbehandling som är nödvändig för myndigheternas brottsbekämpande verksamhet regleras i ett särskilt direktiv från EU och i nationell rätt. Dataskyddsförordningen gäller därför inte för personuppgiftsbehandling som myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder. I det ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten.

Dataskyddsförordningen gäller inte heller personuppgiftsbehandling som utgör ett led i en verksamhet som inte omfattas av unionsrätten, till exempel verksamhet som rör nationell säkerhet. Sådan personuppgiftsbehandling regleras i stället av nationella bestämmelser.

Särskilda regler om personuppgiftsbehandling gäller också för EU:s olika institutioner, organ och byråer.

 

Senast uppdaterad: 27 april 2021
Sidans etiketter Dataskydd