meny

Dataskyddsförordningens syfte och tillämpningsområde

Ett av syftena med dataskyddsförordningen (GDPR) är att skydda enskildas grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Rätten till privatliv uttrycks i den Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (EKMR). I artikel 8 ges en rätt till respekt för privat- och familjeliv, hem och korrespondens. Konventionen har införts som lag i Sverige. Även i EU:s stadga om grundläggande rättigheter uttrycks rätten till respekt för privat- och familjeliv, artikel 7. Här finns också en särskild bestämmelse om rätt till skydd för personuppgifter, artikel 8. Stadgan är rättsligt bindande för EU:s medlemsstater. På svensk nivå finns en grundlagsstadgad rätt till skydd för den personliga integriteten i samband med behandling av personuppgifter i 2 kap. 6 § andra stycket regeringsformen.

Dessa grundläggande bestämmelser om rätt till privatliv och skydd för personuppgifter ligger till grund för närmare lagstiftning om behandling av personuppgifter, som i den nya dataskyddsförordningen (GDPR).

Dataskyddsförordningen har också till syfte att skapa en enhetlig och likvärdig nivå för skyddet av personuppgifter inom EU så att det fria flödet av uppgifter inom unionen inte hindras. Detta uppnås genom att förordningen är direkt tillämplig i de olika medlemsstaterna och att samma regler gäller inom hela unionen. Andra syften med dataskyddsförordningen är att modernisera dataskyddsdirektivets regler från 1995 och att anpassa dessa till det nya digitala samhället.

Tillämpningsområde

Dataskyddsförordningen gäller i princip för all automatiserad behandling av personuppgifter och i vissa fall även manuell behandling av personuppgifter. Personuppgifter är varje upplysning som avser en identifierad eller identifierbar fysisk person.

Dataskyddsförordningen gäller för personuppgiftsbehandling som har anknytning till EU, antingen när den som behandlar personuppgifterna är etablerad inom EU eller då någon utanför EU erbjuder tjänster och varor till personer inom unionen eller övervakar deras beteenden här.

Dataskyddsförordningen gäller i princip inom all slags verksamhet och oavsett vem som utför personuppgiftsbehandlingen. Den gäller således för företag, föreningar, organisationer, myndigheter och privatpersoner. Det finns undantag, bland annat för privatpersoners egna privata behandling av personuppgifter. Den gäller inte heller då någon behandlar personuppgifter i samband med utövande av sin yttrande- eller informationsfrihet.

Mer information om när dataskyddsförordningen gäller finns här nedan.

 

Personuppgifter och personuppgiftsbehandling

Dataskyddsförordningen gäller för behandling av personuppgifter. Med personuppgifter avses varje upplysning som avser en identifierad eller identifierbar fysisk person. Avgörande är att uppgiften, enskilt eller i kombination med andra uppgifter, kan knytas till en levande person. Typiska personuppgifter är personnummer, namn och adress. Bilder på och ljudupptagningar av individer som behandlas i dator kan vara personuppgifter även om inga namn nämns. Krypterade uppgifter och olika slags elektroniska identiteter, som exempelvis ip-nummer och cookies, räknas som personuppgifter om de kan kopplas till fysiska personer. Även information som har kodats, krypterats eller pseudonymiserats men som kan hänföras till en fysisk person med hjälp av kompletterande uppgifter är personuppgifter.

Alla former av åtgärder med personuppgifter är personuppgiftsbehandling, till exempel insamling, registrering, organisering, strukturering, lagring, bearbetning, ändring, framtagning, läsning, användning, utlämning, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

Dataskyddsförordningen gäller för helt eller delvis automatiserad behandling av personuppgifter. Den gäller också för manuell behandling av personuppgifter om personuppgifterna ingår eller är avsedda att ingå i ett manuellt register som är sökbart enligt särskilda kriterier.

Personuppgiftsbehandling som omfattas av förordningen

Dataskyddsförordningen gäller för personuppgiftsbehandling som har viss anknytning till EU. Den gäller således när den personuppgiftsansvarige eller ett personuppgiftsbiträde har ett verksamhetsställe inom EU och behandlar personuppgifter i samband med den verksamhet som bedrivs där. Det saknar betydelse var själva behandlingen utförs. Dataskyddsförordningen gäller även för personuppgifts¬behandling som förekommer när organisationer som inte är etablerade i EU erbjuder varor och tjänster till personer som befinner sig i unionen eller när sådana organisationer övervakar människors beteenden här. Med det sistnämnda menas till exempel att man spårar enskilda personers beteende på internet för att skapa kundprofiler eller liknande.

Undantag för privat behandling av personuppgifter

Fysiska personers behandling av personuppgifter som görs i ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll omfattas inte av förordningens regler. Det handlar således om behandling som är helt och hållet privat, utan koppling till yrkes- eller affärsmässig verksamhet.

Undantag för yttrande- och informationsfrihet

Dataskyddsförordningen gäller inte då någon behandlar personuppgifter i samband med utövande av sin yttrande- eller informationsfrihet. Enligt förordningen ska undantag för yttrande- och informationsfrihet göras i nationell rätt. I Sverige innebär det bland annat att sådan personuppgiftsbehandling som omfattas av grundlagsskyddet i tryckfrihetsförordningen och yttrandefrihetsgrundlagen undantas om tillämpningen av förordningen skulle komma i konflikt med grundlagarna. Därutöver ska behandling av personuppgifter som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande undantas från de flesta av bestämmelserna i dataskyddsförordningen. Sådant undantag fanns tidigare i personuppgiftslagen och finns idag genom den lagstiftning som kompletterar förordningen på nationell nivå.

Dataskyddsförordningen hindrar inte myndigheter och andra organ att lämna ut allmänna handlingar enligt offentlighetsprincipen. Skyldigheten att lämna ut allmänna handlingar omfattar dock inte elektronisk utlämning varför dataskyddsförordningen gäller för sådant utlämnade via till exempel epost eller via internet.

Andra undantag från dataskyddsförordningen

Den personuppgiftsbehandling som är nödvändig för myndigheternas brottsbekämpande verksamhet regleras i ett särskilt direktiv från EU och i nationell rätt. Dataskyddsförordningen gäller därför inte för personuppgiftsbehandling som myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder. I det ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten.

Dataskyddsförordningen gäller inte heller personuppgiftsbehandling som utgör ett led i en verksamhet som inte omfattas av unionsrätten, till exempel verksamhet som rör nationell säkerhet. Sådan personuppgiftsbehandling regleras i stället av nationella bestämmelser.

Särskilda regler om personuppgiftsbehandling gäller också för EU:s olika institutioner, organ och byråer.

Rättsinformation
Artikel 2 (materiellt tillämpningsområde)
Artikel 3 (territoriellt tillämpningsområde)
Skäl 16–25