Skip to main content

Personuppgifter & dataskydd: Introduktion

På dessa sidor sammanfattas regelverket i Dataskyddsförordningen. Här finns även stöd i form av checklistor, blanketter och länkar till mer information.

Bakgrund

Dataskyddsförordningen ersätter personuppgiftslagen (PUL) den 25 maj 2018. En stor del av regelverket är detsamma som i PUL, men förordningen stärker samtidigt enskildas rättigheter och skärper skyldigheterna för den som behandlar personuppgifter. Dessutom innebär förordningen en harmonisering av regelverket inom EU.

När blir regelverket aktuellt?

Dataskyddsförordningen reglerar helt eller delvis automatiserad behandling av personuppgifter, samt annan behandling som ingår i eller kommer att ingå i ett sökbart register.

  • Med automatiserad behandling avses datoriserad behandling, t.ex. i IT-system, databaser, e-post, webbsidor, sociala medier eller ljud- och bildinspelningar.
  • Delvis automatiserad behandling avser manuellt hanterade personuppgifter som även hanteras datoriserat, t.ex. enkäter i pappersform som även registreras i en databas.
  • Manuella behandlingar kan omfattas om de är kopplade till ett sökbart register.

Observera att dataskyddsförordningen till skillnad mot personuppgiftslagen inte enbart gäller för personregister, utan för alla slags behandlingar enligt ovan.

Gäller inom EU: Förordningen gäller behandling av personuppgifter som har anknytning till EU, antingen när den som behandlar personuppgifterna är etablerad inom EU eller när någon utanför EU erbjuder tjänster och varor till personer inom EU eller övervakar personernas beteenden där.

Inte för privatpersoner: Privatpersoners behandling omfattas inte.

Om du vill läsa mer om förordningens tillämpningsområde: Datainspektionen.

Vilka krav ställs vid behandling av personuppgifter?

  • Laglighet: Behandlingen ska vara laglig och baseras på en så kallad rättslig grund.
  • Korrekthet: Uppgifterna ska vara korrekta och uppdaterade.
  • Öppenhet: Registrerade ska veta vilka uppgifter som behandlas och hur.
  • Ändamålsbegränsning: Uppgifter får bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Uppgifterna kan utöver det behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.
  • Uppgiftsminimering: Uppgifterna ska vara adekvata, relevanta och får inte vara för omfattande i förhållande till ändamålet.
  • Lagringsminimering: Uppgifterna får inte lagras som personuppgifter längre än vad som krävs för ändamålet. Därefter ska de raderas eller avidentifieras, om inte andra regelverk kräver arkivering. Uppgifter får lagras under längre tid för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.
  • Integritet och konfidentialitet: Uppgifterna ska skyddas mot obehörig eller otillåten behandling, förlust, förstöring eller skada med hjälp av lämpliga tekniska och organisatoriska åtgärder.
  • Ansvarsskyldighet: Den som behandlar personuppgifter måste kunna visa att regelverket följs. Det kan ske genom tydlig information till registrerade, förteckning över pågående behandlingar, dokumentation av olika ställningstaganden och uppdaterade interna riktlinjer.

Om du vill läsa mer om principer för behandling av personuppgifter: Datainspektionen.

Vilka rättsliga grunder finns för behandling?

Behandling av personuppgifter måste baseras på en rättslig grund. Nedan listas dessa. Kontakta dataskyddsombudet om du är osäker på vilken rättslig grund du kan basera en behandling på.

Rättslig grund Beskrivning Tillämpning
Avtal För att uppfylla ett avtal T.ex. anställningsavtal eller kundavtal
Rättslig förpliktelse För att uppfylla en rättslig förpliktelse T.ex. förordningen om redovisning av studier vid universitet och högskolor eller bokföringslagen
Myndighetsutövning

Som ett led i myndighetsutövning

T.ex. betygssättning eller beslut i ärenden
Allmänt intresse I enlighet med gällande rätt eller annat beslut baserat på denna T.ex. utbildning, forskning och samverkan
Skydd för grundläggande intressen För att skydda enskilds vitala intressen T.ex. akut vård där samtycke inte kan inhämtas
Samtycke Frivilligt, informerat och dokumenterat medgivande som kan återkallas T.ex. deltagande i forskningsprojekt eller studentarbeten
Intresseavvägning Enskilds intressen vägs mot andra intressen

Inte tillämpning för myndigheter vid utförande av ålagda uppgifter

 

Om du vill läsa mer om rättslig grund: Datainspektionen.

Särskilt integritetskänsliga personuppgifter

Vissa personuppgifter är särskilt integritetskänsliga och har ett starkare skydd i förordningen. Dessa får bara behandlas i särskilda fall. Dit hör känsliga personuppgifter och uppgifter om lagöverträdelser. Även personnummer, eller samordningsnummer för den som ännu inte fått personnummer, ses som en integritetskänslig personuppgift och får bara behandlas efter samtycke eller när det är nödvändigt för ändamålet.

Känsliga personuppgifter:

  • Ras eller etniskt ursprung,
  • politiska åsikter, religiös eller filosofisk övertygelse,
  • medlemskap i en fackförening,
  • hälsa, sexualliv eller sexuell läggning,
  • genetiska uppgifter,
  • biometriska uppgifter.

Uppgifter om lagöverträdelser: Brott, domar, straff och frihetsberövanden.

Om du vill läsa mer om integritetskänsliga personuppgifter:  Datainspektionen.

In English

This guide in English:

https://libguides.du.se/gdpr

Datainspektionen

Datainspektionens information om förordningen finns på deras  webbsida.

European Comission

Information about the General Data Protection Regulation (GDPR) in english: European Comission.

Andra regelverk som påverkar

Tryckfrihetsförordningen, offentlighet- och sekretesslagen samt arkivlagen omfattar behandlingen av personuppgifter i den mån dessa ingår i allmänna handlingar. Reglerna om utlämnande och bevarande eller gallring av allmänna handlingar gäller fortsatt.

Högskolelagen och högskoleförordningen innehåller den rättsliga grunden för många av högskolans behandlingar inom framförallt utbildningsområdet.

Förvaltningslagen har också kopplingar till behandlingen av personuppgifter, bl.a. genom kravet på serviceskyldighet och insyn i egna ärenden.

Lagen om etikprövning: Reglerar behandling av känsliga personuppgifter och uppgifter om lagöverträdelser inom forskning.

Kommande dataskyddslag och forskningsdatalag. Läs mer om dessa hos Datainspektionen.