När gäller dataskyddsförordningen?
Dataskyddsförordningen gäller för arbetsgivare som behandlar personuppgifter om anställda inom ramen för sin verksamhet inom EU, oavsett var själva behandlingen utförs eller var den registrerade befinner sig.
Det innebär till exempel att svenska bolag som inom ramen för sin verksamhet behandlar personuppgifter om sina anställda ska följa dataskyddsförordningen och svenska kompletterande regler.
Arbetsgivare som behöver ta kontakt med en tillsynsmyndighet, till exempel för att anmäla en personuppgiftsincident som rör uppgifter om anställda, vänder sig till tillsynsmyndigheten i det medlemsland där verksamhetsstället finns. Vid verksamhet i flera medlemsländer kontaktar arbetsgivaren normalt tillsynsmyndigheten i det land där det huvudsakliga verksamhetsstället finns, ofta där huvudkontoret ligger.
Anställda kan alltid vända sig till den svenska dataskyddsmyndigheten, IMY, till exempel för att skicka in ett klagomål till oss.
Gränsöverskridande personuppgiftsbehandling
Vilken behandling av personuppgifter omfattas?
Dataskyddsförordningen gäller för helt eller delvis automatiserad behandling av personuppgifter.
Bestämmelserna kan också gälla för helt manuell behandling, alltså vid behandling av personuppgifter som enbart förs på papper. I så fall krävs det att uppgifterna ingår i eller kommer att ingå i ett register, ett så kallat manuellt register. Vid bedömningen av om det är ett manuellt register som omfattas av dataskyddsförordningen har det betydelse om informationen är strukturerad så att det enkelt går att hitta information om en enskild person för senare användning.
Även manuell hantering av personuppgifter i till exempel personalakter kan alltså i vissa fall omfattas av förordningen.
Tillämpningsområdet för dataskyddsförordningen
Andra regler som rör dataskydd
Dataskyddsförordningen gäller direkt i EU:s medlemsländer och det är i dataskyddsförordningen man hittar de grundläggande generella bestämmelserna om dataskydd. Dataskyddsförordningen är den primära rättskällan och bestämmelserna i förordningen måste alltid följas när personuppgifter behandlas.
Det finns också andra regler som rör dataskydd. Tänk på att sådana regler kan komplettera, men inte ersätta, dataskyddsförordningen. Medlemsländerna har alltså viss, begränsad, möjlighet att anpassa och komplettera dataskyddsförordningen genom nationella regler. Sverige har bland annat infört generella kompletterande regler i dataskyddslagen och i en förordning.
På arbetslivsområdet kan det också finnas regler i kollektivavtal. Enligt dataskyddslagen kan en rättslig förpliktelse eller en uppgift av allmänt intresse inte bara följa av lag eller annan författning, utan också av ett kollektivavtal. Med andra ord kan bestämmelser i ett kollektivavtal ge en rättslig grund för att behandla personuppgifter.
Regler i kollektivavtal kan enligt dataskyddsförordningen och dataskyddslagen också ge ett undantag från förbudet att behandla känsliga personuppgifter.
Undantaget från förbud att behandla känsliga personuppgifter inom arbetsrätten
Kompletterande regler kan också finnas i unionsrättsliga författningar. Det krävs alltid att kompletterande regler är förenliga med dataskyddsförordningen.
Särskilda regler för arbetsgivare i offentlig verksamhet
Förutom dataskyddsförordningen gäller särskilda regler för arbetsgivare i offentlig verksamhet. Hos en myndighet är verksamheten alltid reglerad i lagar och andra författningar och ska uppfylla särskilda krav.
Meddelarfrihet
Regeringsformen ger ett skydd mot att det allmänna, det vill säga stat, kommun eller annat offentligt organ, kränker enskildas personliga integritet. Tryckfrihetsförordningen och yttrandefrihetsgrundlagen garanterar offentliganställda så kallad meddelarfrihet, det vill säga rätt att utan hinder av dataskyddsförordningen lämna personuppgifter för offentliggörande i massmedia.
Offentlighetsprincipen
Hos offentliga arbetsgivare gäller tryckfrihetsförordningens bestämmelser om allmänna handlingars offentlighet, den så kallade offentlighetsprincipen. Principen garanterar var och en att fritt få ta del av allmänna handlingar som är offentliga och som finns hos en myndighet. Dataskyddsförordningen hindrar inte att personuppgifter i allmänna handlingar lämnas ut för att myndigheter ska kunna uppfylla skyldigheten att lämna ut allmänna handlingar enligt offentlighetsprincipen.
Om myndigheten väljer att lämna ut allmänna handlingar digitalt krävs att reglerna i dataskyddsförordningen följs. Känsliga personuppgifter som utlämnas på detta sätt måste till exempel skyddas genom lämpliga säkerhetsåtgärder. På grund av offentlighetsprincipen ska personuppgifter i till exempel ett personalregister hos en offentlig arbetsgivare lämnas ut till allmänheten i samma omfattning som traditionella handlingar. Det innebär att uppgifter om arbetstagare kan bli tillgängliga för den som begär att få ut dessa om uppgifterna inte skyddas av sekretess enligt offentlighets- och sekretesslagen.
En arbetsgivare kan vid bedömningen av om en viss behandling av personuppgifter är tillåten eller inte behöva väga in konsekvenserna av offentlighetsprincipen.
Frågeförbud
När uppgifter lämnas ut med stöd av offentlighetsprincipen gäller som huvudregel ett så kallat frågeförbud som innebär att myndigheten inte får efterforska vem som begär ut uppgifterna eller syftet med begäran. Därför kan en offentlig arbetsgivare normalt sett inte följa dataskyddsförordningens regler om att informera arbetstagaren om vad uppgiften ska användas till eller till vem den lämnas ut. Det är ändå lämpligt att arbetsgivaren lämnar generell information om att personuppgifter kan komma att lämnas ut enligt offentlighetsprincipen.
Information till den registrerade
E-post
Offentlighetsprincipen ställer särskilda krav på rutiner för att behandla inkommande mejl. All e-post hos myndigheter är inte allmänna handlingar, till exempel privata mejl och mejl inom en facklig organisation.
Bestämmelser om bevarande och gallring hos statliga och kommunala myndigheter finns i arkivlagen (1990:782). De bestämmelserna har betydelse för hur länge myndigheter behöver spara personuppgifter i allmänna handlingar.
Se beslut mot Tullverkets användningar av appar
Personuppgiftsbehandling hos myndigheter
Rättsinformation
Fördjupa dig- Artiklarna 2–3
- Artikel 9
- Artiklarna 12–14
- Artiklarna 32–33
- Artiklarna 55–56
- Artikel 77
- Skäl 14–25
- Skäl 51–56
- Skäl 58–62
- Skäl 83
- Skäl 85
- Skäl 122
- Skäl 128
- Skäl 124–127
- Skäl 130–131
- Skäl 141
- 1 kap. 7 §, 2 kap. 1–2 §§ och 3 kap. 2 § dataskyddslagen
- 2 kap. 6 § regeringsformen
- 1 kap. 7 § och 2 kap. tryckfrihetsförordningen
- 1 kap. 10 § yttrandefrihetsgrundlagen