Skydd av personuppgifter

Den viktigaste texten på EU-nivå om skydd av personuppgifter är direktiv 95/46/EG. I direktivet inrättas en lagstiftningsram som syftar till att uppnå balans mellan ett gott integritetsskydd och fri rörlighet för personuppgifter inom EU. I direktivet fastställs strikta begränsningar för insamling och användning av personuppgifter. Dessutom föreskrivs att varje medlemsstat ska inrätta ett oberoende nationellt organ med ansvar för att övervaka all verksamhet som förknippas med behandling av personuppgifter.

RÄTTSAKT

Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter [Europeiska gemenskapernas officiella tidning L 281 av 23 november 1995] [se ändringsrättsakter].

SAMMANFATTNING

Detta direktiv gäller uppgifter som behandlas automatiskt (t.ex. en databas över kunder) liksom uppgifter som ingår eller kan komma att ingå i ett icke automatiserat register (traditionella pappersregister).

Direktivet gäller inte behandling av uppgifter

• som företas av en fysisk person som ett led i verksamhet av rent privat natur eller som har samband med personens hushåll, eller
• som utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten, exempelvis verksamhet som rör allmän säkerhet, försvar eller statens säkerhet.

Direktivet syftar till att skydda fysiska personers fri- och rättigheter i samband med behandling av personuppgifter. Därför fastställs de grundläggande kriterierna för att göra behandling tillåten och för principerna om uppgifternas kvalitet.

Behandling av personuppgifter tillåts endast om

• den registrerade otvetydigt har lämnat sitt samtycke, eller
• behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part, eller
• behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den registeransvarige, eller
• behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade, eller
• behandlingen är nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den registeransvarige eller tredje man, eller
• behandlingen är nödvändig för ändamål som rör berättigade intressen hos den registeransvarige eller hos den eller de tredje män, utom när sådana intressen uppvägs av den registrerades intressen eller dennes grundläggande fri- och rättigheter som kräver skydd.

Principerna om uppgifternas kvalitet, vilka måste införas för alla aktiviteter som rör behandling av uppgifter, är de följande:

• Personuppgifter ska behandlas på ett korrekt och lagligt sätt. De får endast samlas in för ett bestämt ändamål. Detta ändamål ska anges och vara berättigat. Dessutom måste uppgifterna vara adekvata, relevanta och får inte omfatta mer än vad som är nödvändigt. De måste även stämma. Om det behövs ska de uppdateras. De får inte heller lagras längre än nödvändigt och endast för det syfte som de har samlats in.
• Särskilda behandlingskategorier: Det är förbjudet att behandla personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv. Det finns undantag från denna bestämmelse, t.ex. i fall där behandlingen är nödvändig för att skydda den registrerades grundläggande intressen eller behövs för förebyggande hälso- och sjukvård och medicinska diagnoser.

Personen vars uppgifter behandlas, den registrerade, kan utöver följande rättigheter:

• Rätt att ta del av information: Den registeransvarige ska ge den person från vilken han samlar in personuppgifter viss information (om den registeransvariges identitet, ändamålen med behandlingen, uppgiftsmottagare osv.).
• Rätt att få tillgång till uppgifter: Alla berörda personer ska ha rätt att från den registeransvarige
• Rätt att invända mot behandlingen av uppgifter: Den registrerade bör ha rätt av berättigade skäl att motsätta sig behandling av uppgifter som rör honom eller henne. Han eller hon bör även, efter anmodan och utan kostnader, ha rätt att motsätta sig behandling av personuppgifter som den registeransvarige bedömer kan komma att behandlas för ändamål som rör direkt marknadsföring, Slutligen bör personen i fråga bli informerad innan personuppgifter lämnas ut till tredje man eller används för tredje mans räkning för ändamål som rör direkt marknadsföring, och att uttryckligen få erbjudande om att motsätta sig ett sådant utlämnande.

Andra relevanta aspekter för behandling av uppgifter:

• Undantag och begränsningar för den registrerades rättigheter: Tillämpningen av principerna om uppgifternas kvalitet, information till berörda personer, rätten till tillgång och behandlingens offentlighet kan begränsas för att trygga bl.a. statens säkerhet, försvaret, allmän säkerhet, lagföring av brott, ett viktigt ekonomiskt eller finansiellt intresse hos en medlemsstat eller hos EU, eller för att skydda den registrerade.
• Sekretess och säkerhet vid behandling: Den som utför arbete på uppdrag av den registeransvarige eller registerföraren, liksom registerföraren själv, och som får tillgång till personuppgifter, får behandla dem endast enligt instruktion från den registeransvarige. Vidare ska den registeransvarige vidta lämpliga åtgärder för att skydda personuppgifter från förstöring genom olyckshändelse eller genom otillåtna handlingar eller från förlust genom olyckshändelse, samt mot ändringar, otillåten spridning av eller otillåten tillgång till uppgifterna.
• Anmälan av behandlingar till tillsynsmyndigheten: Före behandling av personuppgifter ska den registeransvarige underrätta den nationella tillsynsmyndigheten. När tillsynsmyndigheten underrättas ska den på förhand undersöka eventuella risker för de berörda personernas rättigheter och friheter. Behandlingarna ska vara offentliga, och tillsynsmyndigheterna ska föra ett register över de behandlingar som anmälts.

Var och en ska ha rätt att föra talan inför domstol om kränkningar av rättigheter som skyddas av nationell lagstiftning som är tillämplig på uppgiftsbehandling. Var och en som lidit skada till följd av en otillåten behandling har rätt till ersättning.

Det är tillåtet att överföra personuppgifter från en medlemsstat till tredjeland som kan säkerställa en adekvat skyddsnivå. Däremot får inte överföring ske om inte en adekvat skyddsnivå kan garanteras. I direktivet listas flera undantag för denna regel, t.ex. om den registrerade själv godtar överföringen, om ett avtal har fullföljts eller om överföringen är nödvändig av skäl som rör viktiga allmänna intressen. Det gäller även om medlemsstaten har tillåtit bindande företagsbestämmelser eller standardavtalsklausuler.

Direktivet syftar också till att främja utarbetande av etiska regler på nationell nivå och på EU-nivå, som kan bidra till att de nationella bestämmelserna och EU-bestämmelserna tillämpas på ett riktigt sätt.

Varje medlemsstat ska utse en eller flera oberoende myndigheter som ska ansvara för att övervaka tillämpningen av de bestämmelser som medlemsstaterna antar till följd av direktivet.

En arbetsgrupp för skydd av enskilda med avseende på behandling av personuppgifter ska inrättas. Den ska bestå av företrädare för de nationella tillsynsmyndigheterna, företrädare för de tillsynsmyndigheter som utsetts av gemenskapens institutioner och organ samt av en företrädare för kommissionen.

ANKNYTANDE RÄTTSAKTER

RAPPORT OM GENOMFÖRANDET

Meddelande från kommissionen till Europaparlamentet och rådet av den 7 mars 2007 med titeln ”Uppföljning av arbetsprogrammet för ett bättre genomförande av dataskyddsdirektivet” [ KOM(2007) 87 slutlig - Ej offentliggjort i Europeiska unionens officiella tidning]

Syftet med det här meddelandet var att granska det arbete som gjorts enligt det arbetsprogram för en bättre tillämpning av direktivet om dataskydd som inryms i den första rapporten om direktivet 95/46/EG. Kommissionen framhöll att tillämpningen hade förbättrats och att alla medlemsstater hade genomfört direktivet. Kommissionen drar slutsatsen att direktivet inte bör ändras.

Den tillade även att

• den kommer att fortsätta sitt arbete med medlemsstaterna och vid behov inleda formella överträdelseförfaranden,
• den kommer att förbereda ett tolkningsmeddelande för vissa bestämmelser i direktivet,
• den kommer att fortsätta bearbeta arbetsprogrammet,
• den kommer att lägga fram en sektoriell lagstiftning inom EU om det sker betydande teknisk utveckling inom ett särskilt område,
• den kommer att fortsätta samarbetet med sina externa parter, framför allt Förenta staterna.

Kommissionens rapport av den 15 maj 2003 med titeln ”Första rapporten om genomförandet av dataskyddsdirektivet (95/46/EG)”. [ KOM(2003) 265 slutlig - Ej offentliggjord i Europeiska unionens officiella tidning].

I rapporten redovisades bland annat resultaten av de samråd som genomförts av kommissionen om utvärderingen av direktiv 95/46/EG med regeringar, institutioner, näringslivsorganisationer, konsumentorganisationer och medborgare. Resultaten av samråden visade att endast ett fåtal deltagare önskar en uppdatering av direktivet. Vidare har kommissionen efter samråd med medlemsstaterna konstaterat att de flesta av dem, liksom en majoritet av de nationella tillsynsmyndigheterna, inte anser det nödvändigt att ändra direktivet i dagsläget.

Trots förseningar och brister i genomförandet har direktivets huvudsakliga mål uppnåtts, d.v.s. att hindren har avskaffats för fri rörlighet för personuppgifter mellan medlemsstaterna. Vidare ansåg kommissionen att målet att säkerställa en hög skyddsnivå inom EU har uppnåtts, eftersom vissa av de normer för uppgiftsskydd som fastställs i direktivet är bland de strängaste i världen.

Det finns dock andra politiska mål för den inre marknaden som inte uppnåtts lika väl. Lagstiftningen om uppgiftsskydd varierar fortfarande i betydande omfattning mellan olika medlemsstater. Dessa skillnader hindrar multinationella organisationer från att utveckla en europeisk dataskyddspolitik. Kommissionen meddelade därför att den skulle göra vad den kunde för att komma tillrätta med detta - i möjligaste mån utan att vidta några formella åtgärder.

När det gäller efterlevandet av lagstiftningen om dataskydd i EU allmänt sett finns följande tre svårigheter:

• Det råder brist på resurser som avsatts för genomförandet.
• De registeransvariga följer bestämmelserna endast sporadiskt.
• De registrerade har endast begränsade kunskaper om sina rättigheter, vilket kan vara roten till ovannämnda problem.

För att garantera en bättre tillämpning av direktivet om dataskydd har kommissionen antagit ett arbetsprogram som innehåller ett antal åtgärder som ska vidtas före 2004 års utgång. Bland dessa åtgärder märks följande initiativ:

• Diskussioner med medlemsstaterna och dataskyddsmyndigheterna om förändringar som är nödvändiga för att få den nationella lagstiftningen att fullt ut stämma överens med kraven i direktivet.
• Samarbete med kandidatländerna i syfte att uppnå ett bättre och enhetligare genomförande av direktivet.
• Ökad användning av anmälningsförfarandet för de rättsakter som införlivar direktivet.
• Förenklade villkor för internationella överföringar av uppgifter.
• Främjande av teknik för att förbättra integritetsskyddet.
• Främjande av självreglering och etiska regler på EU-nivå.

DIREKTIVET OM INTEGRITET OCH ELEKTRONISK KOMMUNIKATION

Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) [EGT L 201, 31.7.2002].

Detta direktiv antogs 2002 samtidigt med en ny ramlagstiftning om elektronisk kommunikation. Det innehåller bestämmelser om ett antal mer eller mindre känsliga frågor som medlemsstaternas möjlighet att bevara trafikuppgifter för polisiära ändamål (bevarande av uppgifter), utsändning av icke begärda elektroniska meddelanden, användning av s.k. cookies och införande av personuppgifter i allmänna abonnentförteckningar.

Förordning (EU) nr 611/2013 innehåller lagar om anmälan avpersonuppgiftsbrott som görs av leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster om deras kunders personuppgifter har förlorats, stulits eller på annat sätt äventyrats.

När ett personuppgiftssbrott har inträffat och personuppgifter har äventyrats är leverantörer skyldiga genom direktiv 2002/58/EG att anmäla detta till de behöriga nationella myndigheterna för uppgiftsskydd. I vissa fall ska de även anmäla personuppgiftsbrottet till berörda abonnenter och privatpersoner. Genom förordning (EU) nr 611/2013 införs ”tekniska genomförandeåtgärder” för att klargöra hur dessa skyldigheter ska hanteras.

Bland annat bör leverantörer

• informera den relevanta, behöriga myndigheten om incidenten inom 24 timmar efter det att brottet har upptäckts, för att så mycket som möjligt begränsa det,
• ta hänsyn till vilken typ av uppgifter (t.ex. om uppgifterna rör finansiell information, e-post, internetloggar, webbläsarhistorik etc.) som har äventyrats när de avväger om abonnenter och privatpersoner bör meddelas,
• tillhandahålla den behöriga myndigheten och/eller berörda abonnenter eller privatpersoner med detaljer om händelsen, vilka slags uppgifter som berördes och vilka åtgärder som har vidtagits för att korrigera situationen.

STANDARDAVTALSKLAUSULER FÖR ÖVERFÖRING AV PERSONUPPGIFTER TILL TREDJELAND

Beslut 2004/915/EG av den 27 december 2004 om ändring av beslut 2001/497/EG om standardavtalsklausuler för överföring av personuppgifter till tredje land [EUT L 385, 29.12.2004].

Europeiska kommissionen har godkänt nya standardavtalsklausuler som företagen kan använda för att säkra adekvat skydd när personuppgifter överförs från EU till tredjeland. Dessa nya klausuler skall läggas till de som redan fastställts inom ramen för kommissionens beslut från juni 2001 (se nedan).

Kommissionens beslut 2001/497/EG av den 15 juni 2001 om standardavtalsklausuler för överföring av personuppgifter till tredje land enligt direktiv 95/46/EG [EGT L 181, 4.7.2001].

I detta beslut fastställs de standardiserade avtalsklausuler som skall säkra ett adekvat skydd för personuppgifter som överförs från EU till tredjeland. Enligt beslutet måste medlemsstaterna erkänna att de företag eller organisationer som använder sådana standardklausuler i avtal om överföring av personuppgifter till tredjeland säkerställer en ”adekvat skyddsnivå” för uppgifterna.

Kommissionens beslut 2010/87/EU av den 5 februari 2010 om standardavtalsklausuler för överföring av personuppgifter till registerförare etablerade i tredjeland i enlighet med Europaparlamentets och rådets direktiv 95/46/EG [EUT L 39, 12.02.2010].

Kommissionens beslut bestyrker den adekvata skyddsnivån av personuppgifter till flera tredjeländer på grund av artikel 25.6. Än så länge har kommissionen godkänt Andorra, Argentina, Australien, Kanada (kommersiella organisationer), Schweiz, Färöarna, Guernsey, Israel, Isle of Man, Jersey, Nya Zeeland, Uruguay och Förenta staternas handelsdepartements Safe Harbor-principer.

SKYDD AV UPPGIFTER INOM EU:S INSTITUTIONER OCH ORGAN

Europaparlamentets och rådets förordning nr 45/2001/EG av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter [EGT L 8, 12.1.2001].

Syftet med denna förordning är att säkerställa skydd för personuppgifter inom Europeiska unionens institutioner och organ. Texten innehåller följande:

• Bestämmelser för att säkerställa en hög skyddsnivå för personuppgifter som behandlas av gemenskapens institutioner och organ.
• Inrättandet av ett oberoende övervakningsorgan med uppdrag att kontrollera tillämpningen av dessa bestämmelser.

Senast ändrat 08.03.2014