Skydd för enskilda då EU:s institutioner, organ och byråer behandlar personuppgifter

SAMMANFATTNING AV FÖLJANDE DOKUMENT:

Förordning (EU) 2018/1725 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter

VILKET SYFTE HAR FÖRORDNINGEN?

Förordningen

Regler för hur EU:s institutioner, organ och byråer bör behandla personuppgifter* som de har om enskilda personer fastställs.
Enskilda personers grundläggande rättigheter och friheter, i synnerhet rätten till skydd för personuppgifter och rätten till integritet, upprätthålls.
Reglerna för EU:s institutioner, organ och byråer anpassas till reglerna i den allmänna dataskyddsförordningen (GDPR) och i direktiv (EU) 2016/680, känt som dataskyddsdirektivet för polis- och åklagarmyndigheterna, som har gällt sedan maj 2018.
Förordning (EG) nr 45/2001, som tidigare innehöll reglerna för hur EU:s institutioner, organ och byråer behandlar personuppgifter, upphävs, och det säkerställs att dessa regler överensstämmer med samma strikta standarder som de i GDPR.
Beslut nr 1247/2002/EG om europeiska datatillsynsmannen upphävs.

VIKTIGA PUNKTER

Personuppgifter måste

behandlas på ett lagligt, korrekt och öppet sätt,
samlas in för särskilda, uttryckligt angivna och berättigade ändamål,
vara adekvata, relevanta och inte för omfattande,
vara riktiga och om nödvändigt uppdaterade,
förvaras i en form som gör det möjligt att endast identifiera berörda personer under den tid som är nödvändig,
behandlas konfidentiellt.

Den personuppgiftsansvarige* ansvarar för och måste kunna visa att alla ovannämnda principer för behandling av personuppgifter uppfylls.

Dessutom gäller följande för personuppgifter:

De får bara skickas till en mottagare i EU som inte är en EU-institution, ett EU-organ eller en EU-byrå om ytterligare skyddsåtgärder vidtas.
De får överföras till mottagare utanför EU endast på strikta villkor.
Om de avslöjar en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelser, medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter i syfte att unikt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexuella liv eller sexuella läggning får de inte behandlas förutom under särskilda omständigheter.
De måste omfattas av lämpliga skyddsåtgärder om de arkiveras för ändamål av allmänt intresse eller för vetenskapliga, historiska eller statistiska ändamål.

Begäranden om enskilda personers samtycke att använda deras personuppgifter måste lämnas i en begriplig och lättillgänglig form och på ett klart och tydligt språk. Enskilda personers samtycke måste vara en entydigt bekräftande handling.

Enskilda personer (kallas för ”registrerade” i lagstiftningen) har rätt att

återkalla sitt samtycke när som helst, som ska vara lika lätt som att ge det,
veta huruvida deras personuppgifter håller på att behandlas och att få tillgång till dem,
erhålla rättelse av felaktiga personuppgifter,
avlägsna personuppgifter eller begränsa behandlingen av personuppgifter under förutsättning att vissa villkor uppfylls,
erhålla de av sina personuppgifter som lämnas till den personuppgiftsansvarige i ett strukturerat, allmänt använt och maskinläsbart format och överföra dem till en annan personuppgiftsansvarig,
invända mot att deras personuppgifter används för ändamål av allmänt intresse, på grund av deras särskilda situation,
inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, och som har rättsliga konsekvenser för dem,
lämna in klagomål till Europeiska datatillsynsmannen om de upplever att deras personuppgifter behandlas i strid med förordningen,
kompenseras för all materiell och immateriell skada som de lidit på grund av en EU-institutions, ett EU-organs eller en EU-byrås åtgärder,
ge en sammanslutning som drivs utan vinstsyfte mandat att lämna in ett klagomål till Europeiska datatillsynsmannen.

Personuppgiftsansvariga

måste informera de registrerade, på ett tydligt språk och med saklig information såsom kontaktuppgifter till den personuppgiftsansvarige och syftet med personuppgiftsbehandlingen, när personuppgifter samlas in,
måste besvara önskemål från de registrerade, till exempel om att få tillgång till sina personuppgifter eller få deras innehåll rättat eller korrigerat, så snart som möjligt och senast inom en månad,
vidtar lämpliga tekniska och organisatoriska åtgärder, inklusive pseudonymisering* för att säkerställa att behandlingen av personuppgifter uppfyller kraven i förordningen,
får bara använda databehandlare som uppfyller EU:s krav,
för ett utförligt register över all databehandling som utförs under hans eller hennes ansvar,
samarbetar med Europeiska datatillsynsmannen,
anmäler alla personuppgiftsincidenter till Europeiska datatillsynsmannen och, i vissa fall, även den berörda personen så snart som möjligt,
utför konsekvensbedömningar avseende dataskydd för viss högriskbehandling av personuppgifter,
säkerställer att deras nätverk för elektronisk kommunikation är konfidentiella och säkra,
informerar Europeiska datatillsynsmannen när han eller hon utarbetar administrativa åtgärder eller interna bestämmelser för behandlingen av personuppgifter.

Genom lagstiftningen inrättas posten som europeisk datatillsynsman, som utses för en mandattid på fem år som kan förnyas en gång. Den som får uppdraget ska ha sitt säte i Bryssel och

är fullständigt oberoende,
omfattas av tystnadsplikt vad avser konfidentiell information,
övervakar hur EU:s institutioner, organ och byråer tillämpar lagstiftningen,
ökar allmänhetens medvetenhet om och förståelse för behandlingen av personuppgifter,
behandlar klagomål och utför undersökningar,
varnar och påför sanktioner gentemot personuppgiftsansvariga,
hänvisar ärenden till EU-domstolen, som prövar tvister som rör lagstiftningen,
lämna in en årlig rapport till Europaparlamentet, rådet och Europeiska kommissionen,
samarbetar med de nationella datatillsynsmyndigheterna.

Europeiska datatillsynsmannens arbetsordning

Genom ett beslut av den 15 maj 2020 antas Europeiska datatillsynsmannens arbetsordning. I förordningen fastställs följande i detalj:

Europeiska datatillsynsmannens uppdrag, vägledande principer och organisation.
Hur den ska övervaka och säkerställa tillämpningen av förordningen.
Förfaranden för samråd i lagstiftningsprocessen, teknikövervakning, forskningsprojekt och domstolsförfaranden.
Förfaranden för samarbete med nationella tillsynsmyndigheter och internationellt samarbete.

Särskilda regler för EU:s organ och byråer

Särskilda regler gäller för EU-organ och EU-byråer som behandlar operativa personuppgifter* för brottsbekämpning (t.ex. Eurojust). De omfattas av ett särskilt kapitel i förordningen. Reglerna i detta kapitel är anpassade till dataskyddsdirektivet för polis- och åklagarmyndigheterna. I grundakterna för dessa organ och byråer kan dessutom mer specifika regler fastställas för att ta hänsyn till deras särskilda egenskaper.

Den behandling av operativa personuppgifter som utförs av Europol och Europeiska åklagarmyndigheten omfattas inte av förordningen och regleras i stället av särskilda bestämmelser i de rättsakter genom vilka de inrättas. Deras administrativa behandling av personuppgifter (t.ex. för personalförvaltning) omfattas dock av förordningen.

Dataskyddsombud

Personuppgiftsansvariga utser ett dataskyddsombud för en period på tre till fem år som ska

ge oberoende rådgivning om behandlingen av personuppgifter,
övervaka efterlevnaden av reglerna för skydd av personuppgifter.

Rapporter

Europeiska kommissionen måste lägga fram sin första rapport om tillämpningen av förordningen senast den 30 april 2022.

VILKEN PERIOD GÄLLER FÖRORDNINGEN FÖR?

Den har gällt sedan den 11 december 2018, förutom när det gäller Eurojusts behandling av personuppgifter, för vilket den har gällt sedan den 12 december 2019.

BAKGRUND

Iartikel 8 i EU-stadgan om de grundläggande rättigheterna fastställs att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. I artikel 16 i fördraget om Europeiska unionens funktionssätt vidareutvecklas denna rättighet. Denna artikel utgör den rättsliga grunden för all EU-lagstiftning om dataskydd.

Mer information finns här:

Skydd av personuppgifter i EU (Europeiska kommissionen).

VIKTIGA BEGREPP

Personuppgifter. Personuppgifter: uppgifter om en identifierad person eller en person som kan identifieras.

Personuppgiftsansvarig. Den EU-institution, det EU-organ eller den EU-byrå, eller dess organisatoriska enhet, som bestämmer ändamålen och medlen för behandlingen av personuppgifter.

Pseudonymisering. Behandling av personuppgifter på ett sätt som innebär att en enskild person inte kan identifieras utan att kompletterande uppgifter som förvaras separat används.

Operativa personuppgifter. Alla personuppgifter som behandlas för brottsbekämpande verksamhet.

HUVUDDOKUMENT

Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39).

ANKNYTANDE DOKUMENT

Kommissionens beslut (EU) 2020/969 av den 3 juli 2020 om genomförandebestämmelser för dataskyddsombudet, begränsningar av registrerade personers rättigheter och tillämpningen av Europaparlamentets och rådets förordning (EU) 2018/1725 och om upphävande av kommissionens beslut 2008/597/EG (EUT L 213, 6.7.2020, s. 12).

Europeiska datatillsynsmannens beslut av den 15 maj 2020 om antagande av dess arbetsordning (EUT L 204, 26.6.2020, s. 49).

Europeiska datatillsynsmannens beslut av den 2 april 2019 om interna bestämmelser avseende begränsningar av vissa av de rättigheter som registrerade har i samband med behandling av personuppgifter inom ramen för åtgärder som vidtas av Europeiska datatillsynsmannen (EUT L 99I, 10.4.2019, s. 1).

Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 4.5.2016, s. 1).

Fortlöpande ändringar av förordning (EU) 2016/679 har införlivats i originaldokumentet. Denna konsoliderade version har enbart dokumentationsvärde.

Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (EUT L 119, 4.5.2016, s. 89).

Se den konsoliderade versionen.

Senast ändrat 14.01.2022