Dataskydds­förordningen (GDPR)

Dataskyddsförordningen (DSF), eller allmänna dataskydds­förordningen, mest känd som GDPR (engelska: General Data Protection Regulation), är en europeisk förordning som reglerar behandlingen av person­uppgifter och det fria flödet av sådana uppgifter inom Europeiska unionen. Förordningen utgör grunden för skyddet för fysiska personers integritet vid behandling av person­uppgifter inom unionen, en grund­läggande rättighet enligt stadgan om de grund­läggande rättigheterna. Den utfärdades av Europa­parlamentet och Europeiska unionens råd den 27 april 2016 och trädde i kraft den 24 maj 2016, men blev tillämplig först den 25 maj 2018. Förordningen ersatte dataskydds­direktivet samt de nationella lagar som hade införlivat detta direktiv, till exempel person­uppgifts­lagen (PUL) i Sverige.

Dataskyddsförordningen innehåller en rad bestämmelser gällande behandlingen av person­uppgifter. En grund­läggande princip är att person­uppgifter endast får behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. Behandlingen är laglig endast om den grundar sig på någon av de tillåtna rättsliga grunder som anges i för­ordningen, till exempel genom samtycke av den registrerade.

Förordningen är direkt tillämplig inom hela Europeiska unionen. Därutöver är den även tillämplig i Island, Liechtenstein och Norge genom EES-avtalet. Storbritannien omfattades av förordningen under en övergångs­period fram till och med den 31 december 2020 i enlighet med avtalet om Storbritanniens utträde ur Europeiska unionen.

Översikt över lagstiftningen

Dataskyddsförordningen omfattar många bestämmelser, speciellt när det gäller hur företag och andra organisationer som verkar inom Europeiska unionen och övriga EES behandlar och lagrar personuppgifter.

En personuppgift är information som kan knytas till och identifiera en fysisk person som är i livet. Med behandling av personuppgift avses insamling, registrering, organisering, lagring, bearbetning, ändring, läsning, överföring, spridning, radering eller förstöring.

Exempel på så kallad vanlig personuppgift är ett personnamn eller ett personnummer, och ibland även ett fotografi, en e-postadress, en IP-adress, en postadress, en webbkaka eller en karaktärsbeskrivning som kan identifiera en individ. Särskilda kategorier av personuppgifter som inte får registreras, utom vid särskilda undantag, är individens etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa (exempelvis allergier), sexualliv eller sexuell läggning samt sådana genetiska och biometriska uppgifter som syftar till att identifiera individen. Exempel på sådant undantag är att den registrerade har lämnat samtycke till behandling av uppgiften.

Personuppgifter får bara behandlas om det har ett tydligt redovisat syfte enligt någon av sex rättsliga grunder: samtycke, avtal, rättslig förpliktelse, intresseavvägning, uppgift av allmänt intresse eller myndighetsutövning samt grundläggande intresse. I de fall individens samtycke behövs ska samtycket dokumenteras, specificera ett tydligt ändamål, vara frivilligt, tidsbegränsat, lätt att förstå och kunna tas tillbaka.

Webbplatser som har frivilligt utgivningsbevis skyddas av tryckfrihetsförordningen och är enligt svensk lag undantagna från Dataskyddsförordningen.

Processer ska finnas för att minimera mängden behandlade personuppgifter, exempelvis genom att avidentifiera uppgifterna, och för att gallra lagrade personuppgifter om och när de inte längre behövs. Organisationen är skyldig att upprätta ett register över behandlingar av personuppgifter med ändamål. De personuppgifter som lagras ska skyddas, till exempel med interna riktlinjer, behörighetsstyrning, säkerhetskopiering, kryptering eller pseudonymisering.

 

Källa: Wikipedia (https://sv.wikipedia.org/wiki/Dataskyddsf%C3%B6rordningen)