Lag – Laglig behandling av personuppgifter


Förordning


Kapitel 2 Artikel 6 Laglig behandling av personuppgifter

1. Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:

a) Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.

b) Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.

c) Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.

d) Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.

e) Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.

f) Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.

Led f i första stycket ska inte gälla för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter.

2. Medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i denna förordning med hänsyn till behandling för att efterleva punkt 1 c och e genom att närmare fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling, inbegripet för andra specifika situationer då uppgifter behandlas i enlighet med kapitel IX.

3. Den grund för behandlingen som avses i punkt 1 c och e ska fastställas i enlighet med

a) unionsrätten, eller

b) en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av.

Syftet med behandlingen ska fastställas i den rättsliga grunden eller, i fråga om behandling enligt punkt 1 e, ska vara nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighets­ utövning. Den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i denna förordning, bland annat: de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling, däribland för behandling i andra särskilda situationer enligt kapitel IX. Unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.

4. Om en behandling för andra ändamål än det ändamål för vilket personuppgifterna samlades in inte grundar sig på den registrerades samtycke eller på unionsrätten eller medlemsstaternas nationella rätt som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda de mål som avses i artikel 23.1, ska den personuppgiftsansvarige för att fastställa huruvida behandling för andra ändamål är förenlig med det ändamål för vilket personuppgifterna ursprungligen samlades in bland annat beakta följande:

a) Kopplingar mellan de ändamål för vilka personuppgifterna har samlats in och ändamålen med den avsedda ytterligare behandlingen.

b) Det sammanhang inom vilket personuppgifterna har samlats in, särskilt förhållandet mellan de registrerade och den personuppgiftsansvarige.

c) Personuppgifternas art, särskilt huruvida särskilda kategorier av personuppgifter behandlas i enlighet med artikel 9 eller huruvida personuppgifter om fällande domar i brottmål och lagöverträdelser som innefattar brott behandlas i enlighet med artikel 10.

d) Eventuella konsekvenser för registrerade av den planerade fortsatta behandlingen.

e) Förekomsten av lämpliga skyddsåtgärder, vilket kan inbegripa kryptering eller pseudonymisering.

 


Förtydligande


Denna långa förordning om att hantera personuppgifter vilar på en enda mening att:

    • Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.

För att få hantera personuppgifter måste man också ha en:

    • Personuppgiftsansvarig

Ingen utom de som har lagstadgad rätt får behandla personuppgifter utan personens medgivande. Att lägga ut  personuppgifter utan att få ett medgivande från personen är alltså förbjudet och kan medföra vite. Instanser som har lagstadgad rätt är exempelvis:

    • Skatteverket
    • Transportstyrelsen
    • Sjukvården
    • Försäkringskassan
    • Media med utgivningsbevis

Webbsidor på nätet som inte har utgivningsbevis, forum eller andra nätplattformar får alltså inte på något sätt lägga ut personuppgifter.

 


Domar


Allvarliga brister i Skolplattformen i Stockholm 2020-11-24

Datainspektionen har tagit emot ett antal anmälningar om personuppgiftsincidenter från utbildningsnämnden i Stockholm stad. Incidenterna rör Skolplattformen, som är det it-system som används för bland annat elevadministration i Stockholm. Skolplattformen innehåller uppgifter om uppåt 500 000 elever, vårdnadshavare och lärare. Systemet innehåller såväl känsliga och integritetskänsliga uppgifter som uppgifter om elever och lärare med sekretessmarkerade uppgifter eller skyddad identitet. Granskningen visar på brister i säkerheten som är så allvarliga att myndigheten utfärdar en administrativ sanktionsavgift på fyra miljoner kronor mot utbildningsnämnden i Stockholm stad.
Datainspektionen

Du har rätt att få tydlig information

Den som behandlar dina personuppgifter måste ge dig tydlig information om hur de används. Det innebär att du bland annat ska få denna information:

    • i vilket syfte dina personuppgifter kommer att användas
    • hur länge dina personuppgifter kommer att lagras
    • om dina personuppgifter kommer delas med någon
    • om dina personuppgifter kommer att överföras utanför EU
    • din rätt att lämna klagomål till en tillsynsmyndighet som Datainspektionen
    • hur du tar tillbaka ditt samtycke, om du har lämnat det
    • dina grundläggande dataskyddsrättigheter
    • vilken rättslig grund som gör det tillåtet att behandla dina personuppgifter i det aktuella fallet
    • kontaktuppgifterna till den organisation som ansvarar för att behandla dina uppgifter, och deras dataskyddsombud om det finns ett sådant.

Datainspektionen

Du kan ha rätt att ta bort en uppgift om dig själv

Vid vissa tillfällen har du rätt att begära att dina personuppgifter blir raderade. Du har till exempel alltid möjlighet att invända mot att dina personuppgifter används för att skicka reklam till dig. Denna rätt gäller vid fler tillfällen, exempelvis om

    • personuppgifterna inte längre är nödvändiga utifrån varför de samlades in
    • personuppgifterna behandlats olagligt
    • du har tagit tillbaka ditt samtycke och den personuppgiftsansvarige inte har någon annan rättslig grund för att behålla uppgifterna.

Undantag: Det finns dock undantag från rätten till radering, eftersom företaget kan behöva ha kvar dina personuppgifter för att uppfylla andra krav. Vissa personuppgifter är till exempel nödvändiga för bokföringen. Företaget kan också behöva ha kvar dina personuppgifter för att kunna säkra eller försvara något som de kan ha rätt till enligt lag.
Datainspektionen

Datainspektionen inleder ett antal granskningar av registrerades rättigheter 2020-11-02

Myndigheten påbörjar nu utredningar av ett antal klagomål från enskilda personer som rör deras rättigheter enligt GDPR.
Datainspektionen

Kritik mot inkassobolag som det är svårt att komma i kontakt med 2020-10-15

Datainspektionen har granskat ett stort inkassobolag och är kritisk till att bolaget brister i tillgängligheten för gäldenärer som vill komma i kontakt med bolaget.
Datainspektionen

Fel publicera känsliga personuppgifter på Region Örebro läns webb 2020-05-12

Datainspektionens granskning visar att Hälso- och sjukvårdsnämnden i Region Örebro län gjort fel vid publicering av känsliga personuppgifter på regionens webbplats om en patient som är intagen på rättspsykiatrisk klinik. Datainspektionen förelägger nämnden att åtgärda de brister som upptäckts och utfärdar även en administrativ sanktionsavgift på 120 000 kronor mot nämnden.
Datainspektionen

Datainspektionen utfärdar sanktionsavgift mot Statens servicecenter 2020-04-29

Datainspektionen utfärdar nu en sanktionsavgift på sammanlagt 200 000 kronor mot Statens servicecenter för att ha dröjt med att underrätta såväl Datainspektionen som berörda myndigheter om en personuppgiftsincident.
Datainspektionen

 


Juridik


Rättslig grund för personuppgiftsbehandling

En personuppgiftsansvarig måste ha en rättslig grund för att få behandla personuppgifter. Du ska alltid få information om vilken rättslig grund som gör det tillåtet att behandla dina personuppgifter.
En rättslig grund kan vara att personuppgifterna krävs för ett avtal eller en så kallad intresseavvägning. Myndigheter kan få behandla personuppgifter för att de ska kunna utföra sina myndighetsuppgifter eller en uppgift av allmänt intresse.
En annan rättslig grund är att du gett ditt samtycke till personuppgiftsbehandlingen. Det ställs dock höga krav för att ett samtycke ska vara giltigt. Det ska till exempel ges frivilligt, informerat och genom en aktiv handling.
Datainspektionen

Särskilt känsliga personuppgifter

Vissa personuppgifter är till sin natur särskilt känsliga och har därför ett starkare skydd. De kallas för känsliga personuppgifter. Det är som huvudregel förbjudet att behandla känsliga personuppgifter, men det finns undantag. Innan ni behandlar känsliga personuppgifter måste ha klart för er vilket stöd ni har för behandlingen. Känsliga personuppgifter är uppgifter om:

      • etniskt ursprung
      • politiska åsikter
      • religiös eller filosofisk övertygelse
      • medlemskap i en fackförening
      • hälsa
      • en persons sexualliv eller sexuella läggning
      • genetiska uppgifter
      • biometriska uppgifter som används för att entydigt identifiera en person

Datainspektionen

Personnummer är extra skyddsvärda

Personnummer och samordningsnummer får behandlas om de registrerade har gett sitt samtycke. Finns det inget samtycke får personnummer behandlas bara när det är klart motiverat med hänsyn till

      • ändamålet med behandlingen
      • vikten av en säker identifiering
      • något annat beaktansvärt skäl

Kom ihåg att ni ska uppfylla alla bestämmelser i dataskyddsförordningen, inte bara de särskilda krav som gäller för känsliga personuppgifter. Bland annat ger de grundläggande principerna viktiga ramar.
Datainspektionen

Alla personuppgifter och andra kännemärken för person är personuppgifter

All information som gäller dig, som identifierad eller identifierbar, levande privatperson, omfattas av dataskyddsförordningen. Det gäller till exempel ditt namn, hemadress eller ID-kortnummer.
Vissa känsliga uppgifter har ett särskilt skydd, som uppgifter om din hälsa, etniskt ursprung, politiska åsikter och sexuell läggning. De får bara samlas in och användas under särskilda omständigheter, till exempel för att du har gett ditt uttryckliga samtycke eller den nationella lagen tillåter det.
Datainspektionens anmärkning

Informera de registrerade

Dokumentera hur ni resonerar när ni väljer rättslig grund. Ni ska alltid informera de registrerade om vilken rättslig grund ni utgår ifrån när ni behandlar deras personuppgifter.
Datainspektionen

Vem måste tillsätta ett dataskyddsombud

Om personuppgiftsbehandling sker på något av följande sätt ska ett dataskyddsombud tillsättas:

    • Behandlingen sköts av en myndighet eller ett offentligt organ.
    • Kärnverksamhetens behandling kräver regelbunden och systematisk övervakning i stor omfattning.
    • Kärnverksamheten består av behandling i stor omfattning av känslig information.

gdpr.se

 


Våra anteckningar


Lägga ut domar mm

Om en person har en webbsida med namnet “peximagasinet.se” och hans namn står skrivet på sidan eller att flera känner till vem som äger hemsidan är hemsidans namn en personuppgift. Om någon på ett forum skriver att “Han som äger peximagasinet.se är en psykopat” har den personen gjort sig skyldig till brott mot både Dataskyddsförordningen (GDPR) för att ha lagt ut personuppgifter och Brottsbalk (1962:700) 5 kap för ärekränkning.

 


Missuppfattningar


Media har lagt ut personuppgifter då får jag det också

Nej, det får du inte! Media har oftast utgivningsbevis och Dataförordningen gäller inte dem. Bloggar, forum chattar och andra liknade webbplatser får inte lägga ut personuppgifter. Det är oftast den som tillhandahållare över webbplatsen som kan dömas till ansvar om det inte tas bort.

Denna webbplats använder cookies. Genom att fortsätta använda denna webbplats accepterar du vår användning av cookies.  Lär dig mer