meny

När gäller dataskyddsförordningen?

Här kan du läsa om när Dataskyddsförordningen gäller och om andra regler som rör dataskydd.

Dataskyddsförordningen gäller för arbetsgivare som behandlar personuppgifter om anställda inom ramen för sin verksamhet inom EU, oavsett var själva behandlingen utförs eller var den registrerade befinner sig.

Det innebär till exempel att svenska bolag som inom ramen för sin verksamhet behandlar personuppgifter om sina anställda ska följa dataskyddsförordningen och svenska kompletterande regler.

Arbetsgivare som behöver ta kontakt med en tillsynsmyndighet, till exempel för att anmäla en personuppgiftsincident som rör uppgifter om anställda, vänder sig till tillsynsmyndigheten i det medlemsland där verksamhetsstället finns. Vid verksamhet i flera medlemsländer kontaktar arbetsgivaren normalt tillsynsmyndigheten i det land där det huvudsakliga verksamhetsstället finns, ofta där huvudkontoret ligger.

Anställda kan alltid vända sig till den svenska dataskyddsmyndigheten, till exempel för att skicka in ett klagomål till oss.

Vilken behandling av personuppgifter omfattas? 

Dataskyddsförordningen gäller för helt eller delvis automatiserad behandling av personuppgifter. Enkelt uttryckt gäller det personuppgifter som hanteras genom användning av datorer.

Bestämmelserna kan också gälla för helt manuell behandling, alltså vid behandling av personuppgifter som enbart förs på papper. I så fall krävs det att uppgifterna ingår i eller kommer att ingå i ett register, ett så kallat manuellt register. Vid bedömningen av om det är ett manuellt register som omfattas av dataskyddsförordningen har det betydelse om informationen är strukturerad så att det enkelt går att hitta information om en enskild person för senare användning.

Även manuell hantering av personuppgifter i till exempel personalakter kan alltså i vissa fall omfattas av förordningen. 

Andra regler som rör dataskydd

Dataskyddsförordningen gäller direkt i EU:s medlemsländer och det är i dataskyddsförordningen man hittar de grundläggande generella bestämmelserna om dataskydd. Dataskyddsförordningen är den primära rättskällan och bestämmelserna i förordningen måste alltid följas när personuppgifter behandlas.

Det finns också andra regler som rör dataskydd. Tänk på att sådana regler kan komplettera, men inte ersätta, dataskyddsförordningen. Medlemsländerna har alltså viss, begränsad, möjlighet att anpassa och komplettera dataskyddsförordningen genom nationella regler. Sverige har bland annat infört generella kompletterande regler i dataskyddslagen och i en förordning.

På arbetslivsområdet kan det också finnas regler i kollektivavtal. Enligt dataskyddslagen kan en rättslig förpliktelse eller en uppgift av allmänt intresse inte bara följa av lag eller annan författning, utan också av ett kollektivavtal. Med andra ord kan bestämmelser i ett kollektivavtal ge en rättslig grund för att behandla personuppgifter.

Regler i kollektivavtal kan enligt dataskyddsförordningen och dataskyddslagen också ge ett undantag från förbudet att behandla känsliga personuppgifter.

Kompletterande regler kan också finnas i unionsrättsliga författningar. Det krävs alltid att kompletterande regler är förenliga med dataskyddsförordningen.

Särskilda regler för arbetsgivare i offentlig verksamhet

Förutom dataskyddsförordningen gäller särskilda regler för arbetsgivare i offentlig verksamhet. Hos en myndighet är verksamheten alltid reglerad i lagar och andra författningar och ska uppfylla särskilda krav.

Meddelarfrihet

Regeringsformen ger ett skydd mot att det allmänna, det vill säga stat, kommun eller annat offentligt organ, kränker enskildas personliga integritet. Tryckfrihetsförordningen och yttrandefrihetsgrundlagen garanterar offentliganställda så kallad meddelarfrihet, det vill säga rätt att utan hinder av dataskyddsförordningen lämna personuppgifter för offentliggörande i massmedia.

Offentlighetsprincipen

Hos offentliga arbetsgivare gäller tryckfrihetsförordningens bestämmelser om allmänna handlingars offentlighet, den så kallade offentlighetsprincipen. Principen garanterar var och en att fritt få ta del av allmänna handlingar som är offentliga och som finns hos en myndighet. Dataskyddsförordningen hindrar inte att personuppgifter i allmänna handlingar lämnas ut för att myndigheter ska kunna uppfylla skyldigheten att lämna ut allmänna handlingar enligt offentlighetsprincipen.

Om myndigheten väljer att lämna ut allmänna handlingar digitalt krävs att reglerna i dataskyddsförordningen följs. Känsliga personuppgifter som utlämnas på detta sätt måste till exempel skyddas genom lämpliga säkerhetsåtgärder. På grund av offentlighetsprincipen ska personuppgifter i till exempel ett personalregister hos en offentlig arbetsgivare lämnas ut till allmänheten i samma omfattning som traditionella handlingar. Det innebär att uppgifter om arbetstagare kan bli tillgängliga för den som begär att få ut dessa om uppgifterna inte skyddas av sekretess enligt offentlighets- och sekretesslagen.

En arbetsgivare kan vid bedömningen av om en viss behandling av personuppgifter är tillåten eller inte behöva väga in konsekvenserna av offentlighetsprincipen.

Allmänna handlingar i kompetensdatabas

Datainspektionen har tidigare bedömt att en kompetensdatabas hos en offentlig arbetsgivare, där bland annat omdömen om de anställda fanns med, inte var tillåten. I bedömningen togs bland annat hänsyn till att det var en mycket ingående kartläggning av de anställda, att det rörde sig om information av integritetskänslig natur och att informationen inte skyddades av några sekretessbestämmelser utan kunde komma att lämnas ut enligt offentlighetsprincipen.

Frågeförbud

När uppgifter lämnas ut med stöd av offentlighetsprincipen gäller som huvudregel ett så kallat frågeförbud som innebär att myndigheten inte får efterforska vem som begär ut uppgifterna eller syftet med begäran. Därför kan en offentlig arbetsgivare normalt sett inte följa dataskyddsförordningens regler om att informera arbetstagaren om vad uppgiften ska användas till eller till vem den lämnas ut. Det är ändå lämpligt att arbetsgivaren lämnar generell information om att personuppgifter kan komma att lämnas ut enligt offentlighetsprincipen.

E-post

Offentlighetsprincipen ställer särskilda krav på rutiner för att behandla inkommande mejl. All e-post hos myndigheter är inte allmänna handlingar, till exempel privata mejl och mejl inom en facklig organisation. Dessa bör tas bort eller avskiljas från e-postsystemet, till exempel genom att placeras i en särskilt markerad "privat" mapp.

Bestämmelser om bevarande och gallring hos statliga och kommunala myndigheter finns i arkivlagen (1990:782). De bestämmelserna har betydelse för hur länge myndigheter behöver spara personuppgifter.