Allmänna dataskyddsförordningen
SAMMANFATTNING AV FÖLJANDE DOKUMENT:
Förordning (EU) 2016/679 – om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter
VILKET SYFTE HAR FÖRORDNINGEN?
- Den allmänna dataskyddsförordningen skyddar enskilda personer när deras uppgifter behandlas av den privata sektorn och större delen av den offentliga sektorn. Berörda myndigheters behandling av uppgifter för brottsbekämpande ändamål omfattas istället av dataskyddsdirektivet för brottsbekämpning (se sammanfattning).
- Förordningen gör det möjligt för enskilda personer att bättre kontrollera sina personuppgifter. I den moderniseras och samordnas också regler som gör det möjligt för företag att minska byråkratin och dra nytta av större konsumentförtroende.
- Genom förordningen fastställs ett system av helt oberoende tillsynsmyndigheter som ansvarar för övervakning och upprätthållande av efterlevnad.
- Direktivet är en del av Europeiska unionens (EU:s) reform för dataskydd, tillsammans med dataskyddsdirektivet för brottsbekämpning och förordning (EU) 2018/1725 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer (se sammanfattning).
VIKTIGA PUNKTER
Enskilda personers rättigheter
Den allmänna dataskyddsförordningen stärker befintliga rättigheter, tillhandahåller nya rättigheter och ger enskilda personer större kontroll över sina personuppgifter. Det innefattar följande.
- Lättare tillgång till den enskilda personens egna uppgifter. Detta inkluderar tillhandahållande av mer information om hur dessa uppgifter hanteras samt säkerställande att denna information finns tillgänglig på ett tydligt och begripligt sätt.
- En ny rätt till dataportabilitet. Detta gör det lättare att överföra personuppgifter mellan tjänsteleverantörer.
- En tydligare rätt till radering (rätten att bli bortglömd). När en enskild inte längre vill att dennes uppgifter behandlas, och det inte finns någon legitim anledning att behålla uppgifterna, kommer de att raderas.
- Rätten att få veta när ens personuppgifter har utsatts för intrång. Företag och organisationer ska meddela den berörda tillsynsmyndigheten för dataskydd och, i de fall där intrånget är allvarligt, även de berörda enskilda personerna.
Regler för företag
Den allmänna dataskyddsförordningen skapar en rättvis spelplan för samtliga företag med verksamhet på EU:s inre marknad, antar en teknikneutral synvinkel och stimulerar till innovation genom ett flertal steg som inkluderar följande.
- En enda uppsättning EU-omfattande regler. En EU-omfattande lag för dataskydd ökar rättssäkerheten och minskar den administrativa bördan.
- Ett dataskyddsombud. En person som ansvarar för dataskydd ska utses av de offentliga myndigheterna och av företag som behandlar uppgifter i stor skala, eller där kärnverksamheten består av behandling av särskilda kategorier av uppgifter, som hälsorelaterade uppgifter.
- En kontaktpunkt. Företagen behöver endast hantera en tillsynsmyndighet (i den medlemsstati EU där de har sin huvudsakliga verksamhet). De berörda tillsynsmyndigheterna samarbetar inom ramen för den Europeiska dataskyddsstyrelsen vid gränsöverskridande ärenden.
- EU-regler för företag utanför EU. Företag utanför EU måste tillämpa samma regler när de erbjuder tjänster eller varor, eller övervakar enskilda personers beteende inom EU.
- Innovationsvänliga regler. En garanti för att uppgiftsskydd är inbyggt i produkter och tjänster från det tidigaste utvecklingsstadiet (inbyggt dataskydd och dataskydd som standard).
- Integritetsvänlig teknik. Pseudonymisering (när identifieringsfälten i ett dataregister ersätts av en eller flera artificiella identifierare) och kryptering (när data kodas på ett sådant sätt att endast behöriga parter kan läsa dem), till exempel, rekommenderas för att begränsa behandlingens inskränkning.
- Borttagning av meddelanden. Genom den allmänna dataskyddsförordningen slopas de flesta meddelandeskyldigheter och kostnader i samband med dessa. Ett av syftena med detta är att avlägsna hinder som påverkar det fria flödet av personuppgifter inom EU. Detta kommer att göra det lättare för företag att utvecklas på den inre digitala marknaden.
- Konsekvensbedömningar gällande uppgiftsskydd. Organisationer kommer att behöva genomföra konsekvensbedömningar när databehandling kan innebära en hög risk för enskildas rättigheter och friheter.
- Registerföring. Små och medelstora företag behöver inte föra register över behandling av personuppgifter, om inte behandlingen är regelbunden eller sannolikt kan innebära en hög risk för rättigheter och friheter för den person vars data behandlas eller om den innehåller kategorier med känsliga uppgifter.
- En modern verktygslåda för internationella dataöverföringar. Genom den allmänna dataskyddsförordningen tillhandahålls flera instrument för att överföra uppgifter utanför EU, inklusive beslut om adekvat skyddsnivå som antagits av Europeiska kommissionen där länderna utanför EU erbjuder en adekvat skyddsnivå, standardavtalsklausuler som ska godkännas på förhand, bindande företagsregler, uppförandekoder och certifiering.
Översyn
Kommissionen lämnade in en rapport om utvärderingen och granskningen av förordningen i juni 2020. Nästa utvärdering kommer att ske 2024.
VILKEN PERIOD GÄLLER FÖRORDNINGEN FÖR?
Den allmänna dataskyddsförordningen har gällt sedan den 25 maj 2018.
BAKGRUND
Mer information finns här:
Efter utbrottet av covid-19 och införandet av åtgärder för att hantera krisens följdverkningar antog kommissionen följande:
HUVUDDOKUMENT
Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 4.5.2016, s. 1).
Fortlöpande ändringar av förordning (EU) 2016/679 har införlivats i originaltexten. Denna konsoliderade version har endast dokumentationsvärde.
ANKNYTANDE DOKUMENT
Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (EUT L 119, 4.5.2016, s. 89).
Se den konsoliderade versionen.
Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39).
Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 31.7.2002, s. 37).
Se den konsoliderade versionen.
Senast ändrat 07.01.2022