Dataskyddsförordningen

Dataskyddsförordningen antogs den 27 april 2016. Den började till-lämpas inom hela EU den 25 maj 2018. Samtidigt trädde dataskydds-lagen i kraft i Sverige. Syftet med dataskyddsförordningen är dels att skydda fysiska personers grundläggande rättigheter och friheter, sär-skilt deras rätt till skydd av personuppgifter, dels att åstadkomma ett fritt flöde av personuppgifter inom unionen (artikel 1.2 och 1.3).

Dataskyddsförordningens tillämpningsområde

Dataskyddsförordningen ska tillämpas på all behandling av person-uppgifter som helt eller delvis företas på automatisk väg. Den ska också tillämpas på annan behandling än automatisk behandling av person-uppgifter, det vill säga manuell behandling, som ingår i eller kommer att ingå i ett register (artikel 2.1). Det finns dock vissa undantag från dataskyddsförordningens materiella tillämpningsområde. Dataskydds-förordningen ska exempelvis inte tillämpas på behandlingar som ut-förs av en fysisk person som ett led i verksamhet av rent privat natur (artikel 2.2 c).

Vad gäller det territoriella tillämpningsområdet är dataskyddsför-ordningen tillämplig på verksamhet som bedrivs av personuppgifts-ansvariga som är etablerade i EU, oavsett om själva behandlingen utförs i EU eller inte (artikel 3.1). Dataskyddsförordningen är även tillämplig på behandlingar som utförs av personuppgiftsansvariga som inte är etablerade i EU under vissa förutsättningar (artikel 3.2 och 3.3).

Definition av personuppgift, registrerad och behandling

Med personuppgift avses varje upplysning som avser en identifierad eller identifierbar fysisk person. En identifierbar fysisk person är en person som direkt eller indirekt kan identifieras, särskilt med hän-visning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller online-identifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiolo-giska, genetiska, psykiska, ekonomiska, kulturella eller sociala iden-titet (artikel 4.1). Avgörande för om en uppgift är en personuppgift är att uppgiften, enskilt eller i kombination med andra uppgifter, kan knytas till en levande person.

En identifierad eller identifierbar fysisk person enligt ovan kallas för registrerad (se artikel 4.1). Det är alltså den person som person-uppgifterna avser. Det kan exempelvis vara barn och unga eller andra patienter i hälso- och sjukvården vars personuppgifter dokumenteras i en journal eller personer vars personuppgifter förekommer i olika typer av register eller studier.

Med behandling av personuppgift avses varje åtgärd eller kombi-nation av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller inte.

Det kan till exempel vara fråga om insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhanda-hållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring (artikel 4.2).

Principer för behandling av personuppgifter

All behandling av personuppgifter måste följa de grundläggande prin-ciper som anges i dataskyddsförordningen. Det innebär att följande ska gälla vid behandling av personuppgifter (artikel 5.1):

• Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (led a).

• De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de ursprungliga ändamålen (led b).²

• De ska vara adekvata, relevanta och inte för omfattande i förhål-lande till de ändamål för vilka de behandlas (led c).

• De ska vara korrekta och om nödvändigt uppdaterade. Alla rim-liga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behand-las raderas eller rättas utan dröjsmål (led d).

• De får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskap-liga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tek-niska och organisatoriska åtgärder som krävs enligt dataskydds-förordningen genomförs för att säkerställa den registrerades rättig-heter och frirättig-heter (led e).

• De ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olycks-händelse, med användning av lämpliga tekniska eller organisato-riska åtgärder (led f).

2 Artikel 5.1 b ger uttryck för principen om ändamålsbegränsning. Att personuppgifter får be-handlas för ändamål som inte är oförenliga med de ursprungliga ändamålen brukar också kallas för finalitetsprincipen.

Den personuppgiftsansvarige ska ansvara för och kunna visa att de ovannämnda principerna efterlevs (artikel 5.2).

Som framgår ovan är ändamålen för behandlingen avgörande för vilka personuppgifter som får behandlas och hur uppgifterna får be-handlas enligt de grundläggande principerna. Ett flertal av artiklarna i dataskyddsförordningen i övrigt hänvisar också till ändamålen för behandlingen, exempelvis artiklarna om rätt till information enligt artikel 13 och 14. Det kan noteras att dataskyddsförordningen inte ut-trycker någon begränsning av antalet möjliga ändamål för en viss insamling av personuppgifter. Så länge samtliga ändamål är särskilda, uttryckligt angivna och berättigade och behandlingen i övrigt är för-enlig med gällande lagstiftning bör det inte finnas något hinder för att personuppgifter samlas in för flera ändamål.

Att ändamålen ska vara särskilda innebär att en alltför allmänt hållen ändamålsangivelse inte godtas. Det har i en kommentar till dataskyddsförordningen uttalats att man när det gäller tolkningen av begreppet ”särskilda” kan få viss ledning av kraven i samma artikel på att de personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålen för behandlingen och att de inte är för om-fattande i förhållande till ändamålen för behandlingen. Ändamålet måste ha en viss grad av precision, annars kan man knappast bedöma om personuppgifterna är adekvata och relevanta eller om för många personuppgifter behandlas.³

Rättslig grund för behandling av personuppgifter

För att en behandling av personuppgifter ska vara tillåten måste det finnas en rättslig grund för behandlingen. Det innebär att minst ett av följande villkor måste vara uppfyllt för att personuppgifter ska få behandlas (artikel 6.1):

• Den registrerade har lämnat sitt samtycke till att dennes person-uppgifter behandlas för ett eller flera specifika ändamål (led a).

• Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås (led b).

3 Sören Öman, Dataskyddsförordningen (GDPR) m.m. – En kommentar, version 1A (JUNO, 2020), kommentaren till artikel 5.

• Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (led c).

• Behandlingen är nödvändig för att skydda intressen som är av grund-läggande betydelse för den registrerade eller för en annan fysisk person (led d).

• Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndig-hetsutövning (led e).⁴

• Behandlingen är nödvändig för ändamål som rör den personupp-giftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och fri-heter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn (led f).⁵

Den rättsliga förpliktelsen enligt artikel 6.1 c samt arbetsuppgiften av allmänt intresse och myndighetsutövningen enligt artikel 6.1 e ska ha stöd i EU-rätten eller den nationella rätten (artikel 6.3).

Behandling av känsliga personuppgifter

Vissa typer av personuppgifter är som huvudregel förbjudna att be-handla. Det gäller personuppgifter som avslöjar ras eller etniskt ur-sprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning (artikel 9.1). Dessa kallas i dataskyddsförordningen för särskilda kategorier av personuppgifter. I dataskyddslagen kallas de för känsliga personuppgifter (3 kap. 1 § dataskyddslagen). Utred-ningen använder här det sistnämnda begreppet.

När det gäller uppgift om hälsa definieras det i dataskyddsförord-ningen som personuppgifter som rör en fysisk persons fysiska eller psykiska hälsa, inbegripet tillhandahållande av hälso- och

sjukvårds-4 Av skälen till dataskyddsförordningen följer att allmänintresset bland annat inbegriper hälso- och sjukvårdsändamål, folkhälsa, socialt skydd och förvaltning av hälso- och sjukvårdstjänster (skäl 45).

5 Denna grund ska dock inte gälla för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter.

tjänster, vilka ger information om dennes hälsostatus (artikel 4.15).

Detta inbegriper, enligt dataskyddsförordningens skäl, uppgifter om den registrerade som insamlats i samband med registrering för eller tillhandahållande av hälso- och sjukvårdstjänster (skäl 35). Uppgifter om hälsa kan exempelvis vara ett nummer, en symbol eller ett känne-tecken som den registrerade tilldelats för att identifiera denne för hälso- och sjukvårdsändamål (skäl 35). Det kan också vara uppgifter som härrör från tester eller undersökning av en kroppsdel eller kropps-substans, däribland genetiska uppgifter och biologiska prov (skäl 35).

Också uppgifter om exempelvis sjukdom, funktionsnedsättning, sjuk-domsrisk, sjukdomshistoria, klinisk behandling eller den registrerades fysiologiska eller biomedicinska tillstånd anges som exempel på upp-gifter om hälsa i skälen till dataskyddsförordningen (skäl 35). I skälen nämns även uppgifter i läkarjournaler med till exempel diagnoser, undersökningsresultat, bedömningar av behandlande läkare och even-tuella vårdbehandlingar eller interventioner som exempel på uppgifter om hälsa (skäl 63).

Det finns några undantag som möjliggör behandling av känsliga personuppgifter i vissa fall. Förbudet hindrar till exempel inte att käns-liga personuppgifter behandlas om behandlingen är nödvändig av hän-syn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt. Det viktiga allmänna intresset ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen (artikel 9.2 g).

Känsliga personuppgifter får också behandlas om det är nödvän-digt av skäl som hör samman med

• förebyggande hälso- och sjukvård och yrkesmedicin,

• bedömningen av en arbetstagares arbetskapacitet,

• medicinska diagnoser,

• tillhandahållande av hälso- och sjukvård,

• behandling,

• social omsorg, eller

• förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system (artikel 9.2 h).

En förutsättning för att behandla personuppgifter om det är nödvän-digt av ovanstående skäl är att det sker på grundval av unionsrätten eller medlemsstaternas nationella rätt eller enligt avtal med yrkesverk-samma på hälsoområdet. Ytterligare en förutsättning är att uppgifterna behandlas av eller under ansvar av en person som omfattas av tyst-nadsplikt (artikel 9.2 h samt 9.3). I dataskyddslagen finns en bestäm-melse som ger ett rättsligt stöd för att behandla känsliga personupp-gifter enligt artikel 9.2 h (3 kap. 5 § dataskyddslagen).

Det finns även vissa undantag utöver de ovannämnda som möjlig-gör behandling av känsliga personuppgifter (se artikel 9.2).

Den registrerades rättigheter och andra bestämmelser

Den registrerade har ett antal rättigheter enligt dataskyddsförord-ningen. I dataskyddsförordningen regleras bland annat den registre-rades rätt till information (artikel 13 och 14), rätt till tillgång till per-sonuppgifterna som behandlas om honom eller henne (så kallat registerutdrag) (artikel 15), rätt till rättelse (artikel 16), rätt till rader-ing (artikel 17), rätt till begränsnrader-ing av behandlrader-ingen (artikel 18), rätt att få ut och använda sina personuppgifter på annat håll (så kallad dataportabilitet)(artikel 20), rätt att göra invändningar (artikel 21) och rätt att inte bli föremål för ett beslut som enbart grundas på någon form av automatiserat beslutsfattande (artikel 22). I respek-tive artikel preciseras under vilka förutsättningar de olika rättigheterna gäller.

Dataskyddsförordningen innehåller dessutom ett flertal andra be-stämmelser om förutsättningarna för personuppgiftsbehandling, bland annat bestämmelser med krav på informationssäkerhet och bestäm-melser om personuppgiftsbiträden, dataskyddsombud och överför-ingar av personuppgifter till tredje land.

Behandling av personuppgifter om barn

I skälen till dataskyddsförordningen anges att personuppgifter om barn är särskilt skyddsvärda, eftersom barn kan vara mindre medvetna om berörda risker, följder och skyddsåtgärder samt om sina rättig-heter när det gäller behandling av personuppgifter (skäl 38). Data-skyddsförordningen innehåller därför vissa särskilda bestämmelser

rörande behandling av personuppgifter om barn. Det finns till exem-pel ett krav på att anpassa information om personuppgiftsbehandling till barn (artikel 12.1). I skälen anges att all information och kom-munikation som riktar sig till barn bör utformas på ett tydligt och enkelt språk som barnet lätt kan förstå, eftersom barn förtjänar sär-skilt skydd (skäl 58).