Verksamhet
Dataskydd Dataskydd på olika områden Myndigheters behandling av personuppgifterMyndigheters behandling av personuppgifter
Vid behandling av personuppgifter måste myndigheter följa flera regelverk:
- dataskyddsförordningen (GDPR)
- särskild registerförfattning
- den kompletterande dataskyddslagen, det vill säga lagen med kompletterande bestämmelser till EU:s dataskyddsförordning.
Dataskyddsförordningen gäller i hela EU
Dataskyddsförordningen är till för att skydda grundläggande rättigheter och friheter, särskilt enskildas rätt till skydd av sina personuppgifter. Dataskyddsförordningen gäller i hela EU och har bland annat till syfte att skapa en enhetlig och likvärdig nivå för skyddet av personuppgifter, så att det fria flödet inom EU och EES inte hindras.
Dataskyddslagen
Varje land kan ta fram egen lagstiftning som kompletterar dataskyddsförordningen. I Sverige kallas denna lag dataskyddslagen. Den innehåller vissa undantag och anpassningar till svensk rätt, som exempelvis att även myndigheter kan få administrativa sanktionsavgifter om de bryter mot reglerna i förordningen.
Registerförfattningar
Förutom dataskyddslagen finns registerförfattningar som reglerar hur personuppgifter får hanteras i vissa offentliga verksamheter. Registerförfattningarna har företräde framför dataskyddslagen, men måste fortfarande överensstämma med dataskyddsförordningen (GDPR). Detta eftersom dataskyddslagen är subsidiär.
Rättslig grund
För att behandlingen av personuppgifterna ska vara laglig måste det finnas en rättslig grund. Myndigheter använder främst de rättsliga grunderna
- rättslig förpliktelse
- uppgift av allmänt intresse eller myndighetsutövning
- avtal.
Personuppgifter får behandlas om det är nödvändigt för att uppfylla en rättslig förpliktelse. Den rättsliga förpliktelsen ska åligga den personuppgiftsansvarige och följa av EU-rätt eller svensk rätt.
Behandling av personuppgifter är dessutom tillåten om den är nödvändig för att utföra en uppgift av allmänt intresse. Uppgiften ska vara fastställd i EU-rätt eller svensk rätt, vilket innebär att den måste följa av det regelverk som gäller för myndighetens verksamhet. Den behandling av personuppgifter som är nödvändig för att myndigheten ska kunna utföra dessa uppgifter kan då ske med stöd av den rättsliga grunden uppgift av allmänt intresse. Även sådan behandling som sker t.ex. genom kommunikation via e-post har då en rättslig grund ifall e-postkommunikationen är nödvändig för att myndigheten ska kunna utföra sin uppgift. På samma sätt kan publicering av t.ex. kontaktuppgifter till anställda på myndighetens webbplats anses nödvändig för att myndigheten ska kunna utföra sina reglerade uppgifter.
Ett avtal kan utgöra en rättslig grund för att behandla personuppgifter. Det krävs att behandlingen är nödvändig för att fullgöra avtal med den registrerade eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.
Myndigheter har begränsade möjligheter att använda sig av:
- samtycke
- intresseavvägning.
Samtycke kan inte användas som rättslig grund när det råder betydande ojämlikhet mellan den registrerade och personuppgiftsansvarige. En sådant ojämlikt förhållande kan vara särskilt vanligt mellan offentliga myndigheter och enskilda registrerade.
En av de rättsliga grunderna är att behandlingen är nödvändig för ett berättigat intresse och att den registrerades intresse av skydd för sina personuppgifter inte väger tyngre, det vill säga vid en intresseavvägning. Myndigheter kan emellertid inte stödja sin behandling på en intresseavvägning när de behandlar personuppgifter som ett led i fullgörande av sina uppgifter.
Dataskyddsförordningen och arkivering
I dataskyddsförordningen finns grundläggande principer om ändamålsbegränsning och lagringsminimering. De innebär att personuppgifter ska samlas in för specifika ändamål och endast behandlas i enlighet med dem. Uppgifterna får inte lagras längre än vad som är nödvändigt för ändamålet med behandlingen.
Dataskyddsförordningen hindrar emellertid inte att personuppgifter bevaras för arkivändamål även om de ursprungligen samlades in för ett annat ändamål.
Enligt arkivlagen är myndigheternas arkiv en del av det nationella kulturarvet och ska bevaras, hållas ordnade och vårdas för
- rätten att ta del av allmänna handlingar
- rättskipning och förvaltningen
- forskningens behov.
Myndigheter är enligt arkivlagen skyldiga att bevara sina allmänna handlingar. Det innebär att personuppgifter kan behöva bevaras även när de ursprungligen samlades in och behandlades för ett annat ändamål än arkivändamål av allmänt intresse. Sådan ytterligare behandling för arkivändamål är enligt de grundläggande principerna inte oförenligt med de ursprungliga ändamålen. Någon annan rättslig grund särskilt för behandlingen för arkivändamål behöver inte finnas. Myndigheten kan således vidarebehandla personuppgifter när de arkiverar sina allmänna handlingar med stöd av samma rättsliga grund som gäller för de ändamål för vilka uppgifterna ursprungligen behandlades. Personuppgifterna får då även lagras under längre tid än vad som är nödvändigt för det ändamål som de samlades in för.
Behandling av känsliga personuppgifter är som huvudregel förbjuden, men undantag finns om behandlingen är nödvändig för arkivändamål av allmänt intresse och stöd för behandlingen finns i nationell rätt. I den kompletterande dataskyddslagen finns sådana bestämmelser om behandling av känsliga personuppgifter för arkivändamål om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv.
Om en arkivmyndighet tar över arkivmaterial från en annan myndighet är det inte fråga om vidarebehandling. Arkivmyndigheten är personuppgiftsansvarig och behöver en egen rättslig grund för att behandla personuppgifter i det övertagna materialet.
Dataskyddsförordningen och utlämnande av allmänna handlingar
Offentlighetsprincipen innebär att var och en har rätt att hos myndigheter ta del av allmänna handlingar. Dataskyddsförordningen hindrar inte att personuppgifter i allmänna handlingar lämnas ut för att myndigheter ska kunna uppfylla skyldigheten att lämna ut allmänna handlingar enligt offentlighetsprincipen. Om myndigheten väljer att lämna ut allmänna handlingar digitalt krävs dock att reglerna i dataskyddsförordningen följs. Känsliga personuppgifter som utlämnas på detta sätt måste t.ex. skyddas genom lämpliga säkerhetsåtgärder.
Rätten att ta del av allmänna handlingar gäller inte om handlingarna innehåller uppgifter som omfattas av sekretess enligt offentlighets- och sekretesslagen. Enligt den gäller till exempel sekretess för personuppgift om det kan antas att den som begär ut personuppgifterna kommer att behandla dem på ett sätt som strider mot dataskyddsförordningen.
Bedömningen gäller alltså inte huruvida myndigheten lämnar ut personuppgifter i strid med dataskyddsförordningen, utan om den sökande efter att handlingarna lämnats ut kan antas behandla personuppgifterna i strid med dataskyddsförordningen.
Myndigheten kan vid sökandens begäran att få ta del av allmänna handlingar behöva fråga hur och till vad sökanden ska använda uppgifterna. Myndigheten får emellertid inte ställa fler frågor än vad som krävs för att göra sekretessbedömningen. Om frågorna besvaras på ett konkret sätt och sökandens redogörelse framstår som sannolik bör den godtas.