meny

Personuppgiftsbehandling hos myndigheter

Vad behöver myndigheter tänka på när de behandlar personuppgifter?

Myndigheter är personuppgiftsansvariga för behandling av personuppgifter som sker i myndighetens verksamhet. Vid behandling av personuppgifter måste myndigheter följa flera regelverk:

  • dataskyddsförordningen (GDPR)
  • särskild registerförfattning
  • den kompletterande dataskyddslagen, det vill säga lagen med kompletterande bestämmelser till EU:s dataskyddsförordning

Dataskyddsförordningen gäller i hela EU, för alla

Dataskyddsförordningen (GDPR) började tillämpas den 25 maj 2018 och är den generella regleringen av personuppgiftsbehandling inom EU.

Nationell lag kompletterar GDPR, men ersätter inte

En EU-förordning är bindande och tillämpas direkt i varje medlemsstat av enskilda, myndigheter och organisationer. Eftersom dataskyddsförordningen är en förordning, och inte ett direktiv, har medlemsstaterna begränsade möjligheter att ha nationella bestämmelser om dataskydd. Dataskyddsförordningen både medger och kräver dock nationella bestämmelser i olika speciellt utpekade frågor.

I Sverige kompletteras dataskyddsförordningen av den kompletterande dataskyddslagen. Till skillnad från personuppgiftslagen är dataskyddslagen inte heltäckande utan reglerar bara de frågor där dataskyddsförordningen medger kompletterande nationell reglering. Dataskyddslagen är subsidiär, vilket innebär att om det finns avvikande bestämmelser i annan lag eller förordning ska de bestämmelserna gälla framför dataskyddslagen. Det är endast de frågor som regleras i dataskyddslagen som kan behöva ge vika för mer specifika bestämmelser i annan författning, och bestämmelsen om subsidiaritet har därmed betydligt mer begränsad betydelse än dess motsvarighet i personuppgiftslagen.

Även om det finns registerförfattningar som reglerar en myndighets verksamhet måste myndigheten alltså tillämpa dataskyddsförordningen och kan endast tillämpa dataskyddslagen och registerförfattningar om de är förenliga med dataskyddsförordningen.

Rättslig grund

Rättsliga grunder som myndigheter kan använda

För att behandlingen av personuppgifterna ska vara laglig måste det finnas en rättslig grund. Myndigheter använder främst de rättsliga grunderna

  • rättslig förpliktelse
  • uppgift av allmänt intresse eller myndighetsutövning
  • avtal

Personuppgifter får behandlas om det är nödvändigt för att uppfylla en rättslig förpliktelse. Den rättsliga förpliktelsen ska åligga den personuppgiftsansvarige och följa av EU-rätt eller svensk rätt.

Behandling av personuppgifter är dessutom tillåten om den är nödvändig för att utföra en uppgift av allmänt intresse. Uppgiften ska vara fastställd i EU-rätt eller svensk rätt, vilket innebär att den måste följa av det regelverk som gäller för myndighetens verksamhet. Den behandling av personuppgifter som är nödvändig för att myndigheten ska kunna utföra dessa uppgifter kan då ske med stöd av den rättsliga grunden uppgift av allmänt intresse. Även sådan behandling som sker t.ex. genom kommunikation via e-post har då en rättslig grund ifall e-postkommunikationen är nödvändig för att myndigheten ska kunna utföra sin uppgift. På samma sätt kan publicering av t.ex. kontaktuppgifter till anställda på myndighetens webbplats anses nödvändig för att myndigheten ska kunna utföra sina reglerade uppgifter.

Ett avtal kan utgöra en rättslig grund för att behandla personuppgifter. Det krävs att behandlingen är nödvändig för att fullgöra avtal med den registrerade eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.

Rättsliga grunder med begränsningar för myndigheter

Myndigheter har begränsade möjligheter att använda sig av:

  • samtycke
  • intresseavvägning

Samtycke kan inte användas som rättslig grund när det råder betydande ojämlikhet mellan den registrerade och personuppgiftsansvarige. En sådant ojämlikt förhållande kan vara särskilt vanligt mellan offentliga myndigheter och enskilda registrerade.

En av de rättsliga grunderna är att behandlingen är nödvändig för ett berättigat intresse och att den registrerades intresse av skydd för sina personuppgifter inte väger tyngre, det vill säga vid en intresseavvägning. Myndigheter kan emellertid inte stödja sin behandling på en intresseavvägning när de behandlar personuppgifter som ett led i fullgörande av sina uppgifter.

Läs mer om rättsliga grunder

Dataskyddsförordningen och arkivering

De grundläggande principerna

I dataskyddsförordningen finns grundläggande principer om ändamålsbegränsning och lagringsminimering. De innebär att personuppgifter ska samlas in för specifika ändamål och endast behandlas i enlighet med dem. Uppgifterna får inte lagras längre än vad som är nödvändigt för ändamålet med behandlingen.

Dataskyddsförordningen hindar emellertid inte att personuppgifter bevaras för arkivändamål även om de ursprungligen samlades in för ett annat ändamål.

Läs mer om de grundläggande principerna

Myndigheters arkiv ska bevaras

Enligt arkivlagen är myndigheternas arkiv en del av det nationella kulturarvet och ska bevaras, hållas ordnade och vårdas för

  • rätten att ta del av allmänna handlingar
  • rättskipning och förvaltningen
  • forskningens behov.

Arkivering av personuppgifter för att bevara allmänna handlingar

Myndigheter är enligt arkivlagen skyldiga att bevara sina allmänna handlingar. Det innebär att personuppgifter kan behöva bevaras även när de ursprungligen samlades in och behandlades för ett annat ändamål än arkivändamål av allmänt intresse. Sådan ytterligare behandling för arkivändamål är enligt de grundläggande principerna inte oförenligt med de ursprungliga ändamålen. Någon annan rättslig grund särskilt för behandlingen för arkivändamål behöver inte finnas. Myndigheten kan således vidarebehandla personuppgifter när de arkiverar sina allmänna handlingar med stöd av samma rättsliga grund som gäller för de ändamål för vilka uppgifterna ursprungligen behandlades. Personuppgifterna får då även lagras under längre tid än vad som är nödvändigt för det ändamål som de samlades in för.

Arkivering av känsliga personuppgifter för arkivändamål av allmänt intresse

Behandling av känsliga personuppgifter är som huvudregel förbjuden, men undantag finns om behandlingen är nödvändig för arkivändamål av allmänt intresse och stöd för behandlingen finns i nationell rätt. I den kompletterande dataskyddslagen finns sådana bestämmelser om behandling av känsliga personuppgifter för arkivändamål om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv.

En myndighet som tar över ett arkiv måste ha en rättslig grund för behandlingen

Om en arkivmyndighet tar över arkivmaterial från en annan myndighet är det inte fråga om vidarebehandling. Arkivmyndigheten är personuppgiftsansvarig och behöver en egen rättslig grund för att behandla personuppgifter i det övertagna materialet.

Dataskyddsförordningen och utlämnande av allmänna handlingar

Dataskyddsförordningen hindrar inte utlämnande av allmänna handlingar

Offentlighetsprincipen innebär att var och en har rätt att hos myndigheter ta del av allmänna handlingar. Dataskyddsförordningen hindrar inte att personuppgifter i allmänna handlingar lämnas ut för att myndigheter ska kunna uppfylla skyldigheten att lämna ut allmänna handlingar enligt offentlighetsprincipen. Om myndigheten väljer att lämna ut allmänna handlingar digitalt krävs dock att reglerna i dataskyddsförordningen följs. Känsliga personuppgifter som utlämnas på detta sätt måste t.ex. skyddas genom lämpliga säkerhetsåtgärder.

Sekretess för uppgifter som kommer att behandlas i strid med dataskyddsförordningen

Rätten att ta del av allmänna handlingar gäller inte om handlingarna innehåller uppgifter som omfattas av sekretess enligt offentlighets- och sekretesslagen. Enligt den gäller till exempel sekretess för personuppgift om det kan antas att den som begär ut personuppgifterna kommer att behandla dem på ett sätt som strider mot dataskyddsförordningen.

Bedömningen gäller alltså inte huruvida myndigheten lämnar ut personuppgifter i strid med dataskyddsförordningen, utan om den sökande efter att handlingarna lämnats ut kan antas behandla personuppgifterna i strid med dataskyddsförordningen.

Myndigheten kan vid sökandens begäran att få ta del av allmänna handlingar behöva fråga hur och till vad sökanden ska använda uppgifterna. Myndigheten får emellertid inte ställa mer inträngande eller fler frågor än vad som krävs för att göra sekretessbedömningen. Om frågorna besvaras på ett konkret sätt och sökandens redogörelse framstår som sannolik bör den godtas.