Skydd av personuppgifter
Den viktigaste texten på EU-nivå om skydd av personuppgifter är direktiv 95/46/EG. I direktivet inrättas en lagstiftningsram som syftar till att uppnå balans mellan ett gott integritetsskydd och fri rörlighet för personuppgifter inom EU. I direktivet fastställs strikta begränsningar för insamling och användning av personuppgifter. Dessutom föreskrivs att varje medlemsstat ska inrätta ett oberoende nationellt organ med ansvar för att övervaka all verksamhet som förknippas med behandling av personuppgifter.
RÄTTSAKT
Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter [Europeiska gemenskapernas officiella tidning L 281 av 23 november 1995] [se ändringsrättsakter].
SAMMANFATTNING
Detta direktiv gäller uppgifter som behandlas automatiskt (t.ex. en databas över kunder) liksom uppgifter som ingår eller kan komma att ingå i ett icke automatiserat register (traditionella pappersregister).
Direktivet gäller inte behandling av uppgifter
Direktivet syftar till att skydda fysiska personers fri- och rättigheter i samband med behandling av personuppgifter. Därför fastställs de grundläggande kriterierna för att göra behandling tillåten och för principerna om uppgifternas kvalitet.
Behandling av personuppgifter tillåts endast om
Principerna om uppgifternas kvalitet, vilka måste införas för alla aktiviteter som rör behandling av uppgifter, är de följande:
Personen vars uppgifter behandlas, den registrerade, kan utöver följande rättigheter:
Andra relevanta aspekter för behandling av uppgifter:
Var och en ska ha rätt att föra talan inför domstol om kränkningar av rättigheter som skyddas av nationell lagstiftning som är tillämplig på uppgiftsbehandling. Var och en som lidit skada till följd av en otillåten behandling har rätt till ersättning.
Det är tillåtet att överföra personuppgifter från en medlemsstat till tredjeland som kan säkerställa en adekvat skyddsnivå. Däremot får inte överföring ske om inte en adekvat skyddsnivå kan garanteras. I direktivet listas flera undantag för denna regel, t.ex. om den registrerade själv godtar överföringen, om ett avtal har fullföljts eller om överföringen är nödvändig av skäl som rör viktiga allmänna intressen. Det gäller även om medlemsstaten har tillåtit bindande företagsbestämmelser eller standardavtalsklausuler.
Direktivet syftar också till att främja utarbetande av etiska regler på nationell nivå och på EU-nivå, som kan bidra till att de nationella bestämmelserna och EU-bestämmelserna tillämpas på ett riktigt sätt.
Varje medlemsstat ska utse en eller flera oberoende myndigheter som ska ansvara för att övervaka tillämpningen av de bestämmelser som medlemsstaterna antar till följd av direktivet.
En arbetsgrupp för skydd av enskilda med avseende på behandling av personuppgifter ska inrättas. Den ska bestå av företrädare för de nationella tillsynsmyndigheterna, företrädare för de tillsynsmyndigheter som utsetts av gemenskapens institutioner och organ samt av en företrädare för kommissionen.
HÄNVISNING
Rättsakt |
Dag för ikraftträdande |
Sista dag för genomförandet i medlemsstaterna |
Europeiska unionens officiella tidning |
Direktiv 95/46/EG |
13.12.1995 |
24.10.1998 |
EUT L 281, 23.11.1995 |
Ändringsrättsakt(er) |
Dag för ikraftträdande |
Sista dag för genomförandet i medlemsstaterna |
Europeiska unionens officiella tidning |
Förordning (EG) nr 1882/2003 |
20.11.2003 |
- |
EUT L 284, 31.10.2003 |
Ändringar och fortlöpande korrigeringar till rådets direktiv 95/46/EG har integrerats i grundtexten. Denna konsoliderade version har endast ett informationsvärde.
ANKNYTANDE RÄTTSAKTER
RAPPORT OM GENOMFÖRANDET
Meddelande från kommissionen till Europaparlamentet och rådet av den 7 mars 2007 med titeln ”Uppföljning av arbetsprogrammet för ett bättre genomförande av dataskyddsdirektivet” [ KOM(2007) 87 slutlig - Ej offentliggjort i Europeiska unionens officiella tidning]
Syftet med det här meddelandet var att granska det arbete som gjorts enligt det arbetsprogram för en bättre tillämpning av direktivet om dataskydd som inryms i den första rapporten om direktivet 95/46/EG. Kommissionen framhöll att tillämpningen hade förbättrats och att alla medlemsstater hade genomfört direktivet. Kommissionen drar slutsatsen att direktivet inte bör ändras.
Den tillade även att
Kommissionens rapport av den 15 maj 2003 med titeln ”Första rapporten om genomförandet av dataskyddsdirektivet (95/46/EG)”. [ KOM(2003) 265 slutlig - Ej offentliggjord i Europeiska unionens officiella tidning].
I rapporten redovisades bland annat resultaten av de samråd som genomförts av kommissionen om utvärderingen av direktiv 95/46/EG med regeringar, institutioner, näringslivsorganisationer, konsumentorganisationer och medborgare. Resultaten av samråden visade att endast ett fåtal deltagare önskar en uppdatering av direktivet. Vidare har kommissionen efter samråd med medlemsstaterna konstaterat att de flesta av dem, liksom en majoritet av de nationella tillsynsmyndigheterna, inte anser det nödvändigt att ändra direktivet i dagsläget.
Trots förseningar och brister i genomförandet har direktivets huvudsakliga mål uppnåtts, d.v.s. att hindren har avskaffats för fri rörlighet för personuppgifter mellan medlemsstaterna. Vidare ansåg kommissionen att målet att säkerställa en hög skyddsnivå inom EU har uppnåtts, eftersom vissa av de normer för uppgiftsskydd som fastställs i direktivet är bland de strängaste i världen.
Det finns dock andra politiska mål för den inre marknaden som inte uppnåtts lika väl. Lagstiftningen om uppgiftsskydd varierar fortfarande i betydande omfattning mellan olika medlemsstater. Dessa skillnader hindrar multinationella organisationer från att utveckla en europeisk dataskyddspolitik. Kommissionen meddelade därför att den skulle göra vad den kunde för att komma tillrätta med detta - i möjligaste mån utan att vidta några formella åtgärder.
När det gäller efterlevandet av lagstiftningen om dataskydd i EU allmänt sett finns följande tre svårigheter:
För att garantera en bättre tillämpning av direktivet om dataskydd har kommissionen antagit ett arbetsprogram som innehåller ett antal åtgärder som ska vidtas före 2004 års utgång. Bland dessa åtgärder märks följande initiativ:
DIREKTIVET OM INTEGRITET OCH ELEKTRONISK KOMMUNIKATION
Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) [EGT L 201, 31.7.2002].
Detta direktiv antogs 2002 samtidigt med en ny ramlagstiftning om elektronisk kommunikation. Det innehåller bestämmelser om ett antal mer eller mindre känsliga frågor som medlemsstaternas möjlighet att bevara trafikuppgifter för polisiära ändamål (bevarande av uppgifter), utsändning av icke begärda elektroniska meddelanden, användning av s.k. cookies och införande av personuppgifter i allmänna abonnentförteckningar.
Förordning (EU) nr 611/2013 innehåller lagar om anmälan avpersonuppgiftsbrott som görs av leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster om deras kunders personuppgifter har förlorats, stulits eller på annat sätt äventyrats.
När ett personuppgiftssbrott har inträffat och personuppgifter har äventyrats är leverantörer skyldiga genom direktiv 2002/58/EG att anmäla detta till de behöriga nationella myndigheterna för uppgiftsskydd. I vissa fall ska de även anmäla personuppgiftsbrottet till berörda abonnenter och privatpersoner. Genom förordning (EU) nr 611/2013 införs ”tekniska genomförandeåtgärder” för att klargöra hur dessa skyldigheter ska hanteras.
Bland annat bör leverantörer
STANDARDAVTALSKLAUSULER FÖR ÖVERFÖRING AV PERSONUPPGIFTER TILL TREDJELAND
Beslut 2004/915/EG av den 27 december 2004 om ändring av beslut 2001/497/EG om standardavtalsklausuler för överföring av personuppgifter till tredje land [EUT L 385, 29.12.2004].
Europeiska kommissionen har godkänt nya standardavtalsklausuler som företagen kan använda för att säkra adekvat skydd när personuppgifter överförs från EU till tredjeland. Dessa nya klausuler skall läggas till de som redan fastställts inom ramen för kommissionens beslut från juni 2001 (se nedan).
Kommissionens beslut 2001/497/EG av den 15 juni 2001 om standardavtalsklausuler för överföring av personuppgifter till tredje land enligt direktiv 95/46/EG [EGT L 181, 4.7.2001].
I detta beslut fastställs de standardiserade avtalsklausuler som skall säkra ett adekvat skydd för personuppgifter som överförs från EU till tredjeland. Enligt beslutet måste medlemsstaterna erkänna att de företag eller organisationer som använder sådana standardklausuler i avtal om överföring av personuppgifter till tredjeland säkerställer en ”adekvat skyddsnivå” för uppgifterna.
Kommissionens beslut 2010/87/EU av den 5 februari 2010 om standardavtalsklausuler för överföring av personuppgifter till registerförare etablerade i tredjeland i enlighet med Europaparlamentets och rådets direktiv 95/46/EG [EUT L 39, 12.02.2010].
Kommissionens beslut bestyrker den adekvata skyddsnivån av personuppgifter till flera tredjeländer på grund av artikel 25.6. Än så länge har kommissionen godkänt Andorra, Argentina, Australien, Kanada (kommersiella organisationer), Schweiz, Färöarna, Guernsey, Israel, Isle of Man, Jersey, Nya Zeeland, Uruguay och Förenta staternas handelsdepartements Safe Harbor-principer.
SKYDD AV UPPGIFTER INOM EU:S INSTITUTIONER OCH ORGAN
Europaparlamentets och rådets förordning nr 45/2001/EG av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter [EGT L 8, 12.1.2001].
Syftet med denna förordning är att säkerställa skydd för personuppgifter inom Europeiska unionens institutioner och organ. Texten innehåller följande:
Senast ändrat 08.03.2014