9789144159973 by Smakprov Media AB

Dataskyddsförordningen

(GDPR) för offentlig sektor – en introduktion

RIKARD KARLSSON ALVERHILL

KOPIERINGSFÖRBUD Detta verk är skyddat av upphovsrättslagen. Kopiering, utöver lärares och studenters begränsade rätt att kopiera för undervisningsändamål enligt Bonus Copyright Access kopieringsavtal, är förbjuden. För information om avtalet hänvisas till utbildningsanordnarens huvudman eller Bonus Copyright Access. Vid utgivning av detta verk som e-bok, är e-boken kopieringsskyddad. Den som bryter mot lagen om upphovsrätt kan åtalas av allmän åklagare och dömas till böter eller fängelse i upp till två år samt bli skyldig att erlägga ersättning till upphovsman eller rättsinnehavare. Studentlitteratur har både digital och traditionell bokutgivning. Studentlitteraturs trycksaker är miljöanpassade, både när det gäller papper och tryckprocess.

Art.nr 45363 ISBN 978-91-44-15997-3 Upplaga 1:1 © Författaren och Studentlitteratur 2023 studentlitteratur.se Studentlitteratur AB, Lund

Printed by Eurographic Group 2023

Formgivning inlaga: Jesper Sjöstrand/Metamorf Design Group Ombrytning inlaga: Siv Rudholm Formgivning omslag: Jens Martin Omslagsbild: Good_Stock/Shutterstock, imdproduction/Shutterstock, AVIcon/Shutterstock och bsd studio/Shutterstock

Innehåll

Förord 11 Förkortningar m.m. 13

1 Historisk tillbakablick 15 2 Centrala institutioner och myndigheter 19 3 Dataskyddsförordningens förhållande till annan lagstiftning 21 4 Syftet med dataskyddsförordningen 25 5 Dataskyddsförordningens tillämpningsområde 29 5.1 5.2

Materiellt tillämpningsområde 29 Territoriellt tillämpningsområde 33

6 Centrala begrepp 35 6.1 6.2 6.3 6.4 6.5 6.6

Den registrerade 35 Personuppgifter 36 Behandling 39 Personuppgiftsansvarig 41 Personuppgiftsbiträde 49 Pseudonymisering och anonymisering 54

7 Grundläggande krav på personuppgiftsbehandling 57 7.1

Rättslig grund 57 7.1.1 Samtycke 58 7.1.2 Avtal 62 7.1.3 Rättslig förpliktelse 62

Grundläggande betydelse för den registrerade eller annan 64 7.1.5 Allmänt intresse eller myndighetsutövning 64 7.1.6 Intresseavvägning 67 Grundläggande principer 68 7.2.1 Laglighet, korrekthet och öppenhet 68 7.2.2 Ändamålsbegränsning 69 7.2.3 Uppgiftsminimering 74 7.2.4 Korrekthet 76 7.2.5 Lagringsminimering 77 7.2.6 Integritet och konfidentialitet 77 7.2.7 Ansvarsskyldighet 77 Register över behandling av personuppgifter 78 7.1.4

7.2

7.3

8 Behandling av vissa kategorier av personuppgifter 81 8.1 8.2 8.3

Känsliga personuppgifter 81 Lagöverträdelser 87 Personnummer och samordningsnummer 92

9 Den registrerades rättigheter 95 9.1 9.2 9.3 9.4 9.5 9.6 9.7 9.8

Rätten till information 96 Rätten till registerutdrag 101 Rätten till rättelse 106 Rätten till radering 108 Rätten till begränsning 111 Rätten till dataportabilitet 113 Rätten att göra invändningar 114 Rätten att inte bli utsatt för automatiserat beslutsfattande 116

10 Krav på informationssäkerhet 121 10.1 10.2 10.3

Innehåll

Vad innebär informationssäkerhet? 121 Informationssäkerhetskrav enligt dataskyddsförordningen 122 Informationssäkerhetskrav enligt andra författningar 128

11 Tredjelandsöverföring 133 11.1 11.2 11.3

Adekvat skyddsnivå 135 Lämpliga skyddsåtgärder 137 Undantag i särskilda situationer 140

12 Konsekvensbedömning 145 12.1 12.2 12.3 12.4

När ska en konsekvensbedömning genomföras? 146 Vad ska en konsekvensbedömning innehålla? 150 När behöver en konsekvensbedömning inte genomföras? 152 När måste förhandssamråd sökas? 153

13 Personuppgiftsincident 157 13.1 13.2 13.3 13.4 13.5 13.6 13.7

Vad är en personuppgiftsincident? 157 När måste en personuppgiftsincident anmälas? 159 Vilka tidskrav gäller vid anmälan av en personuppgiftsincident? 160 Vad ska en anmälan om personuppgiftsincident innehålla? 163 När måste information lämnas till den registrerade? 164 Vilken information måste lämnas till den registrerade? 167 Gäller sekretess för uppgifter i en personuppgiftsincident? 168

14 Dataskyddsombud 171 14.1 14.2 14.3

När måste ett dataskyddsombud utses? 171 Dataskyddsombudets kvalifikationer och arbetsuppgifter 173 Dataskyddsombudets ställning 175

15 Tillsynsmyndigheten 177 15.1 15.2

Tillsynsmyndighetens arbetsuppgifter 177 Tillsynsmyndighetens befogenheter 179

Innehåll

16 Korrigerande befogenheter och skadestånd 181 16.1 16.2 16.3

Administrativa sanktionsavgifter 181 Övriga korrigerande befogenheter 183 Skadestånd 185

17 Rätten att överklaga beslut 191 17.1 17.2 17.3

Beslut av tillsynsmyndigheten 191 Beslut av personuppgiftsansvarig eller personuppgiftsbiträde 195 Några förvaltningsrättsliga frågor 197

18 Förhållandet till yttrande- och informationsfriheten 201 18.1 18.2 18.3 18.4

Grundlagsskyddade medier 202 Journalistiska ändamål 205 Allmänna handlingar 208 Sekretess med hänvisning till dataskyddsförordningen 211

Bilaga 1 215 Checklista vid behandling av personuppgifter 215 Bilaga 2 217 Vanliga förkortningar 217 Bilaga 3 219 Dataskyddsförordningens systematik 219 Källförteckning 223 Rättsfall m.m. 223 EU-domstolen 223 Högsta domstolen 223 Hovrätten 224 Högsta förvaltningsdomstolen 224 Kammarrätten 224 Förvaltningsrätten 225

Innehåll

Justitieombudsmannen 225 Justitiekanslern 225 Förarbeten 225 Betänkanden 225 Propositioner 226 Statens offentliga utredningar 226 Litteratur m.m. 227 Riktlinjer och rekommendationer m.m. från Artikel 29-gruppen och EDPB 228 Beslut och rapporter från Datainspektionen och Integritetsskyddsmyndigheten 230 Övriga beslut, vägledningar, rapporter m.m. 231 Webbplatser 231 Register 235

Innehåll

Kapitel 3

Dataskyddsförordningens förhållande till annan lagstiftning Dataskyddsförordningen är det generella regelverk som reglerar behandlingen av personuppgifter i såväl privat som offentlig sektor. Dataskydds förordningen är bindande och direkt tillämplig i samtliga EU:s medlemsländer, men tillåter och förutsätter i vissa fall att medlemsstaterna kompletterar förordningen med nationell lagstiftning.1 I svensk rätt finns kompletterande bestämmelser i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) med tillhörande förordning (kompletteringsförordningen).2 Den aktuella lagen innehåller bestämmelser som rör hela samhället eller flertalet myndigheter och inte bara en viss sektor.3 Dataskyddslagen är subsidiär i förhållande till annan lag eller förordning, vilket innebär att avvikande bestämmelser i lag eller förordning ska tillämpas före dataskyddslagen.4 Sedan lång tid tillbaka regleras behandlingen av personuppgifter inom offentlig sektor genom registerförfattningar.5 I dag finns ett stort

1 2 3 4 5

Se till exempel artikel 6.2, 8.1, 9.4, 10, 23, 51 och 89 i dataskyddsförordningen. Förordning (2018:219) med kompletterande bestämmelser till EU:s dataskyddsförordning. Prop. 2017/18:105 s. 21–22. 1 kap. 6 § dataskyddslagen. SOU 2015:39 s. 83.

6 Exempel på registerförfattningar är lagen (1998:543) om vägtrafikregister med förordning; lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet med förordning; lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet; lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet med förordning; lagen (2001:454) om behandling av personuppgifter inom socialtjänsten med förordning; lagen (2002:546) med behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten med förordning; patientdatalagen (2008:355) med förordning och studiestödsdatalagen (2009:287) med förordning. 7 Informationshanteringsutredningen sorterar registerförfattningar i tre kategorier: renodlade registerförfattningar, informationshanteringsförfattningar och annan reglering med inslag av dataskyddsbestämmelser (SOU 2015:39 s. 96–106). 8 SOU 2015:39 s. 71. 9 Öman, Registerlagstiftning, i: Magnusson Sjöberg (red.), Rättsinformatik – juridiken i det digitala informationssamhället, Studentlitteratur, 2021, s. 236. 10 Öman, Registerlagstiftning, i: Magnusson Sjöberg (red.), Rättsinformatik – juridiken i det digitala informationssamhället, Studentlitteratur, 2021, s. 237.

Kapitel 3 Dataskyddsförordningens förhållande till annan lagstiftning

antal registerförfattningar.6 Med registerförfattning avses en författning som innehåller bestämmelser om hur personuppgifter får behandlas av en specifik myndighet, inom ett specifikt område, i ett specifikt register etcetera.7 Syftet med registerförfattningar är att ge ett anpassat integritetsskydd inom det område som författningen gäller.8 Tillämpningsområdet för registerförfattningar är inte sällan avgränsat till myndigheternas kärnverksamhet, varför myndighetsintern administration ofta faller utanför registerförfattningarnas tillämpningsområden. För sådan behandling av personuppgifter måste en myndighet söka stöd i dataskyddsförordningen och dataskyddslagen. Det innebär att en myndighet vars verksamhet regleras av registerförfattningar måste förhålla sig till flera regelverk vid behandling av personuppgifter.9 Hur registerförfattningar förhåller sig till dataskyddsförordningen – och även dataskyddslagen – kan variera på olika områden. I den juridiska litteraturen anges att vanligast är att registerförfattningar gäller utöver dataskyddsförordningen och enbart innehåller de särregler som behövs, medan reglerna i dataskyddsförordningen i övrigt ska tillämpas.10 De grundläggande principerna i dataskyddsförordning måste alltid tillämpas, även om det inte framgår av någon registerförfattning (se kapitel 7.2). I sammanhanget ska sägas att år 2015 presenterade Informations hanteringsutredningen sitt slutbetänkande. Utredningen ansåg att det

behövdes göras en övergripande översyn av myndigheters registerförfattningar. Utredningen föreslog därför att en ny gemensam myndighetsdatalag borde införas. Syftet med detta var att åstadkomma ett ändamålsenligt och mer lättillämpat regelverk.11 Förslaget har ännu inte lett till några lagstiftningsåtgärder.

SAMMANFAT TNING Dataskyddsförordningen är det generella regelverk som reglerar behandlingen av personuppgifter inom EU. Dataskyddsförordningen är bindande och direkt tillämplig i samtliga medlemsstater, men tillåter och förutsätter i vissa fall att medlemsstaterna kompletterar förordningen med nationell lagstiftning. I svensk rätt finns kompletterande bestämmelser av generell karaktär i dataskyddslagen. Mer specifika regler återfinns i registerförfattningar. Dataskyddslagen är subsidiär i förhållande till annan lag eller förordning, varför registerförfattningar ska tillämpas före dataskyddslagen om de olika regelverken innehåller avvikande bestämmelser kring behandlingen av personuppgifter.

11 SOU 2015:39.

Kapitel 3 Dataskyddsförordningens förhållande till annan lagstiftning

Kapitel 4

Syftet med dataskyddsförordningen Dataskyddsförordningen är ett omfattande och komplext regelverk som personuppgiftsansvariga, advokater och tillsynsmyndigheter runt om i världen har lagt mycket tid på att tolka och tillämpa. I debatten om dataskyddsförordningen framkommer ofta att det är svårt att, i alla delar, leva upp till förordningens krav. En legitim fråga i sammanhanget är därför vad som är syftet med dataskyddsförordningen. För att förstå syftet med dataskyddsförordningen är det bra att känna till varför det infördes gemensamma regler på EU-nivå som tar sikte på behandling av personuppgifter. Bakgrunden till införandet av en förordning på dataskyddsområdet, det vill säga regler som är direkt tillämpliga och gäller i alla medlemsstater utan att inkorporeras eller transformeras till nationella rättsregler, framgår av skälen till dataskyddsförordningen.1 I skäl 9 går att utläsa att det tidigare dataskyddsdirektivet, där det var upp till respektive medlemsland att införa nationella regler för genomförande av direktivet, inte förhindrade bristande enhetlighet i vare sig genomförande eller tillämpning av dataskyddet i olika delar av unionen. Nivåskillnader gällande skyddet av personuppgifter i unionen kan, enligt angivet skäl, förhindra det fria flödet av personuppgifter och kan därför 1 Skälen till en EU-förordning är, till skillnad från själva artiklarna, inte rättsligt bindande men kan ändå ligga till grund för tolkningen av förordningen.

• skydda fysiska personer med avseende på behandlingen av personuppgifter, och • skydda det fria flödet av personuppgifter inom unionen. Angående det första syftet, det vill säga att skydda fysiska personer med avseende på behandling av personuppgifter, anges i skäl 1 att dataskyddsförordningen avser att skydda alla EU-medborgares grundläggande rätt till skydd av sina personuppgifter enligt artikel 8.1 i Europeiska unionens stadga om de grundläggande rättigheterna (rättighetsstadgan) och artikel 16.1 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget).2 I skäl 4 anges att dataskyddsförordningen respekterar alla grundläggande rättigheter och iakttar de friheter och principer som erkänns i rättighetsstadgan, såsom tankefrihet, samvetsfrihet, skydd av personuppgifter, yttrande- och informationsfrihet, näringsfrihet och rätten till effektiva rättsmedel. Vidare framgår att rätten till skydd av personuppgifter inte är en absolut rättighet som ges företräde framför andra grundläggande

2 Rätten till skydd för privat- och familjeliv kommer även till uttryck i 2 kap. 6 § RF, samt i artikel 8 i Europeiska konventionen om skydd för de mänskliga rättigheterna (Europakonventionen).

Kapitel 4 Syftet med dataskyddsförordningen

utgöra ett hinder för att bedriva ekonomisk verksamhet på unionsnivå, snedvrida konkurrensen och förhindra myndigheterna från att fullgöra sina skyldigheter enligt unionsrätten. För att säkerställa en enhetlig skyddsnivå över hela unionen och för att undvika avvikelser som hindrar den fria rörligheten av personuppgifter inom den inre marknaden behövs, enligt skäl 13, en förordning som skapar rättslig säkerhet och öppenhet för ekono miska aktörer och som ger fysiska personer i alla medlemsstater samma rättsligt verkställbara rättigheter och skyldigheter, samt ålägger den som behandlar personuppgifter samma ansvar. På så sätt blir övervakningen av behandling av personuppgifter enhetlig, sanktionerna i alla medlemsstater likvärdiga och samarbetet mellan tillsynsmyndigheterna i olika medlemsstater effektivt. Av artikel 1 framgår att dataskyddsförordningen har två övergripande syften, nämligen att

rättigheter; den måste förstås utifrån sin uppgift i samhället och vägas mot andra grundläggande rättigheter i enlighet med proportionalitetsprincipen. Hur lagstiftaren valt att balansera rätten till integritet mot andra grundläggande rättigheter, såsom yttrande- och informationsfrihet, behandlas löpande i denna bok. Att dataskyddsförordningen skyddar fysiska personer innebär att juridiska personer inte erhåller något skydd enligt denna förordning (se kapitel 6.2).3 I skäl 38 framgår att barns personuppgifter förtjänar ett särskilt skydd eftersom barn kan vara mindre medvetna om berörda risker, följder och skyddsåtgärder, samt om sina rättigheter när det gäller behandling av personuppgifter. Beträffande det andra syftet, det vill säga att skydda det fria flödet av personuppgifter inom unionen, kan sägas att dataskyddsförordningen utgår från att personuppgifter ska kunna flöda fritt inom unionen och inte begränsas av dataskyddsskäl. Det är däremot som huvudregel förbjudet att behandla personuppgifter utanför unionen (se kapitel 11). Dataskydds förordningen gäller dock inom Europeiska ekonomiska samarbetsområdet (EES).4 Det är således inte fråga om en överföring av personuppgifter till tredje land att behandla personuppgifter i ett EES-land (se kapitel 5.2). SAMMANFAT TNING Bakgrunden till beslutet att införa en förordning på dataskyddsområdet är att harmonisera skyddet av personuppgifter inom unionen. Syftet med dataskyddsförordningen är tudelat; dels att skydda fysiska personer med avseende på behandlingen av personuppgifter, dels att skydda det fria flödet av personuppgifter inom unionen. En utgångspunkt är att personuppgifter ska kunna flöda fritt inom unionen och inte begränsas av dataskyddsskäl. Som regel är det förbjudet att behandla personuppgifter utanför unionen.

3 Skäl 14 till dataskyddsförordningen. 4 EES-kommitténs beslut 154/2018.

Kapitel 4 Syftet med dataskyddsförordningen

Kapitel 5

Dataskyddsförordningens tillämpningsområde 5.1

Materiellt tillämpningsområde

Dataskyddsförordningens materiella tillämpningsområde anges i artikel 2. Av artikel 2.1 följer att dataskyddsförordningen ska tillämpas på behandling av personuppgifter som sker helt automatiserat, men även på behandling som sker delvis automatiserat. Med helt automatiserad behandling avses all form av elektronisk behandling av personuppgifter, oavsett om behandlingen sker i en dator, mobiltelefon eller med hjälp av annan teknisk apparatur. Exempel på delvis automatiserad behandling är när insamling av personuppgifter sker manuellt för att sedan matas in i ett it-system.1 Dataskyddsförordningen omfattar också helt manuella behandlingar där personuppgifter kommer att ingå i ett register.2 För att manuella register ska falla inom dataskyddsförordningens tillämpningsområde måste upp gifterna i registret vara ordnade enligt särskilda kriterier.3 I ett avgörande från HFD ansågs att uppgifter måste vara sökbara utifrån minst två kriterier för att behandling av personuppgifter skulle falla inom personuppgifts lagens tillämpningsområde.4 I en senare dom från EU-domstolen framgår 1 Öman, Dataskyddsförordningen (GDPR) m.m. – en kommentar. Norstedts Gula Bibliotek, 2021, s. 40. 2 Artikel 2.1 i dataskyddsförordningen. 3 Artikel 4.6 i dataskyddsförordningen. Se även skäl 15 till dataskyddsförordningen. 4 RÅ 2001 ref. 35.

EXEMPEL (MANUELL BEHANDLING) IMY har gjort bedömningen att ett formulär som användes vid rekrytering inte omfattades av dataskyddsförordningens tillämpningsområde, eftersom behandlingen inte innebar en sådan behandling av personuppgifter som avses i artikel 2.1. Av beslutet framgår att en blankett hade skickats till kandidaterna som ombetts fylla i formuläret och ta med detta till intervjutillfället. I samband med intervjun gick kandidaten och rekryteringsansvarig igenom svaren i formuläret. Därefter förstördes formuläret eller återlämnades till kandidaten. Formuläret sparades inte av bolaget på något sätt. Formuläret registrerades inte elektroniskt av före taget utan hanteringen skedde helt manuellt.9

5 EU-domstolens dom den 10 juli 2018 i mål C-25/17 (Jehovas vittnen). 6 Brinnen, När omfattas manuell hantering av personuppgifter av dataskyddsförordningen? Lov & Data, 2019, s. 10. 7 Webbplats: https://www.imy.se/verksamhet/dataskydd/det-har-galler-enligt-gdpr/ introduktion-till-gdpr/syfte-och-tillampningar/ 8 Öman, Dataskyddsförordningen (GDPR) m.m. – en kommentar. Norstedts Gula Bibliotek, 2021, s. 42. 9 Datainspektionens beslut den 9 oktober 2020, dnr DI-2020-6231.

Kapitel 5 Dataskyddsförordningens tillämpningsområde

att det inte är av betydelse vilket exakt kriterium eller form som valts för sammanställningen så länge det med lätthet går att få fram uppgifter om en viss person ur det manuella registret.5 I den juridiska litteraturen påtalas att domen innebär att även enklare pärmregister och liknande sammanställningar av personuppgifter kan falla inom dataskyddsförordningens tillämpningsområde. Avgörande för om så är fallet är inte om personuppgifterna är sökbara enligt fler än ett sökkriterium, utan huruvida det är lätt att finna personuppgifterna eller inte.6 Beträffande manuella register påtalar även IMY att vid bedömningen av om ett sådant register omfattas av dataskyddsförordningen har det betydelse om informationen är strukturerad så att det enkelt går att hitta information om en enskild person för senare användning.7 Av skäl 15 framgår att akter som inte är ordnade enligt särskilda kriterier inte omfattas av dataskyddsförordningen. I den juridiska litteraturen anförs att det exempelvis kan vara fråga om akter som ordnats efter löpnummer utan möjlighet att – med hjälp av löpnummer eller på annat sätt – söka uppgifter om enskilda personer.8

Det finns ett antal undantag från dataskyddsförordningens materiella til�lämpningsområde. Enligt artikel 2.2 och 2.3 ska dataskyddsförordningen inte tillämpas på behandling av personuppgifter som:

• Utgör ett led i en verksamhet som inte omfattas av unionsrätten, till exempel verksamhet som rör nationell säkerhet.10 Sådan behandling av personuppgifter regleras av nationella regler, såsom lagen (2021:1171) om behandling av personuppgifter vid Försvarsmakten och lagen (2021:1172) om behandling av personuppgifter vid Försvarets radioanstalt.11 • Medlemsstaterna utför när de bedriver verksamhet som omfattas av den gemensamma utrikes- och säkerhetspolitiken. För svensk del spelar detta undantag mindre roll eftersom det i dataskyddslagen stadgas att dataskyddsförordningen ska gälla i sådan verksamhet. Undantag har emellertid införts för viss behandling av person uppgifter som utförs av Försvarsmakten, Försvarets radioanstalt och Säkerhetspolisen.12 • En fysisk person utför som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll. Med verksamhet av rent privat natur avses behandling som är helt och hållet privat, utan koppling till yrkes- eller affärsmässig verksamhet.13 Det kan till exempel handla om behandling av bilder på familjen på en surfplatta. I de fall en privatperson publicerar personuppgifter för en bredare krets (obestämt antal personer),14 till exempel genom att publicera bilder på sociala medier, är det inte en behandling av rent privat natur. Som IMY påtalar är den som publicerar något på internet för ett obestämt antal personer personuppgiftsansvarig för den behandling som publiceringen innebär (se kapitel 6.4).15 10 Skäl 16 till dataskyddsförordningen. 11 1 kap. 2 och 3 §§ dataskyddslagen. 12 1 kap. 2 och 3 §§ dataskyddslagen. 13 Skäl 18 till dataskyddsförordningen. 14 EU-domstolens dom den 6 november 2003 i mål C-101/01 (Bodil-målet). Se även EU-domstolens dom den 16 december 2008 i mål C-73/07 (Satakunnan och Satamedia). 15 Webbplats: https://www.imy.se/vanliga-fragor-och-svar/ar-jag-ansvarig-for- det-jag-publicerar-pa-sociala-medier/

Kapitel 5 Dataskyddsförordningens tillämpningsområde

EXEMPEL ( VERKSAMHET AV RENT PRIVAT NATUR) EU-domstolen har uttalat att det så kallade privatundantaget ska tolkas så att det endast avser sådan verksamhet som utgör en del av enskildas privateller familjeliv, vilket uppenbart inte är fallet i fråga om sådan behandling av personuppgifter som består i att de offentliggörs på internet och därmed blir åtkomliga för ett obestämt antal personer.16

avslöja eller lagföra brott eller verkställa straffrättsliga påföljder. Den behandling av personuppgifter som är nödvändig för myndig heters brottsbekämpande och straffverkställande verksamhet regleras i ett särskilt EU-direktiv (brottsdatadirektivet).17 Det aktuella direktivet har i Sverige genomförts genom brottsdatalagen (2018:1177). Notera att brottsutredande myndigheter är underställda brottsdatalagen när de behandlar personuppgifter i brottsutredande verksamhet. När dessa myndigheter behandlar personuppgifter för andra syften, till exempel personal- och löneadministration, ska dataskyddsförordningen tillämpas. • EU:s institutioner och organ utför. Den behandling av person uppgifter som sker hos dessa institutioner och organ regleras genom en särskild EU-förordning.18 Den aktuella förordningen påminner om dataskyddsförordningen, men är anpassad efter EU:s institutioner och organ. Förordningen består av 89 skäl och 101 artiklar. Enskilda som anser att någon av EU:s institutioner och organ behandlar personuppgifter på ett felaktigt sätt har möjlighet att skicka klagomål till Europeiska datatillsynsmannen (se kapitel 2).19 16 EU-domstolens dom den 6 november 2003 i mål C-101/01 (Bodil-målet). 17 Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF. 18 Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG. 19 Webbplats: https://www.ombudsman.europa.eu/sv/make-a-complaint

Kapitel 5 Dataskyddsförordningens tillämpningsområde

• Behöriga myndigheter utför i syfte att förebygga, förhindra, utreda,

5.2

Territoriellt tillämpningsområde

Dataskyddsförordningens territoriella tillämpningsområde specificeras i artikel 3. Det territoriella tillämpningsområdet kan delas upp i tre delar. För det första ska dataskyddsförordningen tillämpas på behandling av personuppgifter inom ramen för den verksamhet som bedrivs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som är etablerad i unionen, oavsett om behandlingen utförs i unionen eller inte.20 Notera att dataskyddsförordningen även gäller inom EES. Länder som ingår i EES-området är Norge, Island, Liechtenstein.21 Att dataskyddsförordningen gäller inom EES-området innebär att behandling av personuppgifter i ett EES-land inte ses som en överföring av personuppgifter till tredje land. För det andra ska dataskyddsförordningen tillämpas på behandling av personuppgifter som avser registrerade som befinner sig i unionen och som utförs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som inte är etablerad i unionen. Detta gäller under förutsättning att behandlingen har anknytning till utbjudande av varor eller tjänster till registrerade i unionen, oavsett om dessa varor eller tjänster erbjuds kostnadsfritt, eller avser övervakning av de registrerades beteende, så länge beteendet sker i unionen.22 Ett exempel härpå är ett bolag från tredje land som erbjuder digitala tjänster till registrerade i unionen.23 20 Artikel 3.1 i dataskyddsförordningen. I skäl 22 till dataskyddsförordningen klargörs vad som avses med att vara etablerad i unionen. Den personuppgiftsansvarige eller personuppgiftsbiträdet måste bedriva verksamhet på ett verksamhetsställe inom unionen, oavsett om behandlingen i sig äger rum inom unionen. Med verksamhetsställe avses det faktiska och reella utförandet av verksamhet med hjälp av en stabil struktur. Den rättsliga formen för en sådan struktur, oavsett om det är en filial eller ett dotterbolag med status som juridisk person, bör inte vara den avgörande faktorn i detta avseende. 21 EES-kommitténs beslut 154/2018. 22 Artikel 3.2 i dataskyddsförordningen. 23 Enligt skäl 23 till dataskyddsförordningen är enbart åtkomlighet till den personuppgifts ansvariges eller personuppgiftsbiträdets webbplats i unionen, till en e-postadress eller andra kontaktuppgifter eller användningen av ett språk som allmänt används i det tredje landet där den personuppgiftsansvarige är etablerad inte tillräckligt för att fastställa en sådan avsikt som avses i artikel 3.2. Av angivet skäl följer att hänsyn ska även tas till bland annat användningen av ett språk eller en valuta som allmänt används i en eller flera medlemsstater med möjlighet att beställa varor och tjänster på detta andra språk, eller omnämnande av kunder eller användare som befinner sig i unionen, göra det uppenbart att den personuppgiftsansvarige avser att erbjuda varor eller tjänster till registrerade inom unionen.

Kapitel 5 Dataskyddsförordningens tillämpningsområde

Rikard Karlsson Alverhill är juris doktor och universitetslektor i juridik vid Mittuniversitetet där han forskar om digitalisering med fokus på frågor som rör offentlighet, sekretess och dataskyddsjuridik. Han är också meriterad lärare, studierektor och ämnesföreträdare.

Dataskyddsförordningen (GDPR) för offentlig sektor Målet för digitaliseringspolitiken är att Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter. Samtidigt som digitali seringen leder till ökad effektivitet innebär den nya tekniken ökade risker för den personliga integriteten. I syfte att stärka skyddet för fysiska personer vid behandling av personuppgifter samt för att under lätta flödet av personuppgifter inom Europeiska unionen trädde EU:s dataskyddsförordning (GDPR) i kraft den 25 maj 2018. Dataskydds förordningen anses ofta vara ett komplext och svårtillämpat regelverk, inte minst inom offentlig sektor där myndigheter även har att förhålla sig till andra regelverk vid behandling av personuppgifter. Syftet med denna bok är att ge en introduktion till de grundläggande reglerna i EU:s dataskyddsförordning och annan närliggande lagstiftning. Boken riktar sig till studenter vid landets högskolor och universitet som vill få en introduktion till de regler som gäller vid behandling av person uppgifter samt till personer som arbetar med dataskyddsfrågor i offentlig sektor.

Art.nr 45363

Kapitel 6 Centrala begrepp

studentlitteratur.se

– en introduktion