• Kontakt
  • Kalendarium
  • In English
  • Pressrum

PUL och Dataskyddsförordningen (GDPR)

Den 25 maj 2018 börjar den nya Dataskyddsförordningen (även kallad GDPR) att gälla. Förordningen ersätter därmed Personuppgiftslagen (PUL) som upphör att gälla.

Förordningen är generell och gäller för alla branscher. D.v.s. behandlar en verksamhet personuppgifter gäller förordningen för sådan behandling oavsett om det sker i t.ex. bemanningsföretag eller på en teater. Att det i praktiken kan påverka olika branscher olika mycket är inte en direkt effekt av förordningen i sig. Vid en förenklad ögonblicksöversyn kan scenkonstbranschen kanske generellt bedömas ha ”normal” omfattning av behandling av personuppgifter. Branscher där personuppgifter byggts in djupare i verksamheternas IT-lösningar har i jämförelse större utmaningar med anpassningen till förordningen.

Det är vidare viktigt att komma ihåg att förordningens huvudsakliga syfte är att stärka skyddet vad avser integriteten för enskilda individer. D.v.s. de ska få en större kontroll över sina personuppgifter. Trots försök att balansera verksamheternas behov mot individskyddet kan många gånger Förordningens regler vara administrativt betungande för näringslivet och övriga verksamheter. Prioritet i Förordningen är helt enkelt individskydd före smidig administrativ drift av verksamhet.  

Förordningen innehåller en mängd regler och är, på detaljnivå, väldigt omfattande. Att sammanfatta den i sin helhet är därför i praktiken mycket svårt. Ett lämpligt angreppssätt är istället att beskriva Förordningen på en mer översiktlig nivå enligt följande:

  • Vad är en personuppgift enligt förordningen.

  • Vad är behandling enligt förordningen.

  • Hur ska behandling av personuppgifter vara för att vara tillåten enligtförordningen (förordningens principer för tillåten behandling).

Vad är en personuppgift enligt förordningen?

Definitionen av vad som är en personuppgift som omfattas av förordningen är liksom i PUL varje upplysning som avser en identifierad eller identifierbar fysisk person.

Identifierbar definieras som ”…en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller fler som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet”.

D.v.s. all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet räknas som personuppgifter. Tex en mailadress, en bild, ett personnummer, etc.

Vad är en behandling enligt förordningen?

Enligt definitionen i dataskyddsförordningen är det en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring. Dvs i praktiken det mesta. Förordningen skiljer sig härvidlag inte från PUL.

Hur ska behandling av personuppgifter vara för att vara tillåten enligt förordningen (förordningens principer för tillåten behandling)?

Behandling av personuppgifter ska följa vissa principer. Principerna beskrivs som följer.

Laglighet, korrekthet och öppenhet innebär att uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade.

Ändamålsbegränsning innebär att uppgifterna ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål.

Uppgiftsminimering innebär att uppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas.

Korrekthet innebär att uppgifterna ska vara korrekta och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål.

Lagringsminimering innebär att personuppgifterna inte får förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas.

Integritet och konfidentialitet innebär att uppgifterna ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder.

Utveckling gällande principen om laglighet

Som följde av den första principen ovan (laglighet, korrekthet och öppenhet) krävs det att det finns en laglig grund för behandling av personuppgifter för att det ska vara tillåtet. De lagliga grunderna är följande.  

Samtycke, vilket måste vara frivillig, specifik och otvetydig. Inom arbetslivet kan ofta ett giltigt samtycke ifrågasättas, pga arbetstagarens underordnade ställning gentemot arbetsgivaren. Ett samtycke är bara giltigt inom arbetslivet om det finns ett alternativ till att lämna samtycke. Det ska vidare noteras att samtycke dessutom bara ska användas som en sista utväg, av den anledning att samtycket alltid kan återkallas vilket kan leda till administrativa problem för verksamheten.

Avtals fullgörande avser situationer där uppgiftsbehandlingen är en nödvändig följd av att fullgöra ett avtal. Ett anställningsavtal eller ett uppdragsavtal är typiskt sett ett sådant avtal.

Rättslig förpliktelse innebär att uppgiftsbehandlingen är tillåten när den är nödvändig för att en verksamhet ska kunna fullgöra en rättslig förpliktelse. D.v.s. för att kunna följa de lagar och regler som är relevanta för verksamheten ifråga. Det kan röra såväl arbetsrätt som skatterätt, bolagsrätt, redovisningsrätt etc.  

Skydda intresse av avgörande betydelse för den registrerades liv handlar om situationer där den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke.

Allmänt intresse/myndighetsutövning medför att behandling av personuppgifter är tillåten om den är nödvändig för att utföra en uppgift av allmänt intresse. Uppgiften ska regleras i EU-rätt eller svensk rätt. I Sverige är det vanligt att personuppgiftsbehandling som sker i samband med myndighetsutövning regleras i särskilda bestämmelser, så kallade registerförfattningar. behandla personuppgifter som ett led i den personuppgiftsansvariges myndighetsutövning. Myndighetsutövningen ska grundas på EU-rätt eller svensk rätt. I Sverige är det vanligt att personuppgiftsbehandling som sker i samband med myndighetsutövning regleras i särskilda bestämmelser, så kallade registerförfattningar.

Intresseavvägning medför att en personuppgiftsansvarigs berättigade intressen kan utgöra grund för behandling om den registrerades intressen inte väger tyngre. Ett sådant rimligt berättigat intresse kan t ex finnas när det föreligger ett relevant och lämpligt förhållande mellan den registrerade och den personuppgiftsansvarige i sådana situationer som att den registrerade är kund hos eller arbetar för den personuppgiftsansvarige.

Det ska uppmärksammas att det finns ett allmänt förbud mot att behandla s.k. ”särskilda kategorier” av personuppgifter, bl.a. sådana som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Detta förbud kan dock genombrytas under vissa förutsättningar (t.ex. genom samtycke, för att försvara rättsliga anspråk etc).  

Information

Information till den registrerade – på personuppgiftsansvariges initiativ

Det finns i förordningen finns en skyldighet att lämna information till de registrerade. Denna informationsskyldighet medför att den personuppgiftsansvarige ska lämna viss information innan personuppgifter samlas in direkt från individen. Även när personuppgifter samlas in från tredje part (t.ex. en annan verksamhet) ska viss information lämnas till individen.  

Även om PUL redan idag innehåller en skyldighet att lämna ut information inför insamling av personuppgifter, medför förordningen att denna skyldighet kommer ett innehålla ett bredare batteri av informationsposter. Bl.a. ska det utgå information om den rättsliga grunden för behandlingen, hur länge personuppgifterna lagras, hur möjligheten att lämna klagomål till tillsynsmyndigheten (som i Sverige är Datainspektionen) om man anser att ens personuppgifter har hanterats felaktigt av den personuppgiftsansvarige ser ut etc. Informationen ska vara kortfattad, lättbegriplig och utformad på ett tydligt och enkelt sätt. På Datainspektionens hemsida finns en tabell där typen av information som ska lämnas ut beskrivs mer i detalj:https://www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen/de-registrerades-rattigheter/ratt-till-information/. Informationen ska enligt huvudregeln lämnas ut inom en månad.

Information till den registrerade – på den registrerades initiativ

Den registrerade har även en rätt att på eget initiativ få information om den personuppgiftsbehandling som görs avseende den registrerade i en viss verksamhet. D.v.s. den personuppgiftsansvarige ska förse den registrerade med en kopia av de personuppgifter som är under behandling. Sådan information ska enligt huvudregeln vara kostnadsfri. Om den registrerade gör begäran i elektronisk form ska informationen tillhandahållas i ett elektroniskt format som är allmänt använt, om den registrerade inte begär något annat.

Informationen ska som alltid, såsom beskvits ovan vad gäller insamlade uppgifter, vara klar och tydlig.

Praktisk hantering

Ovan regler och principer är några av de mest grundläggande normer som följer av den nya förordningen. Det finns otaliga andra regler och detaljer som kan komma att aktualiseras. Med hjälp av grundprinciperan enligt ovan kan dock en första översyn av verksamhetens hantering av personuppgifter påbörjas. Ett sådant initialt arbete kan lämpligen bestå av följande delar.

  • kartlägga vilken behandling av personuppgifter som sker i verksamheten och var någonstans den görs
  • kom fram till vilken laglig grund finns för behandlingen ifråga
  • säkerställ att behandlingen följer förordningens övriga principer (ändamålsbegränsning, uppgiftsminimering etc)
  • se över rutiner för hantering av utskick av information av behandling av personuppgifter (vid insamling eller vid begäran om kopia på pågående behandling från individen)
  • se över övriga rutiner för hantering av de skyldigheter som förordningen kan medföra för verksamheten (t.ex. ändring och radering av felaktigt behandlade personuppgifter, åtgärder vid personuppgiftsincident etc)
  • se över eventuellt behov av utbildning gällande förordningens regler (inklusive verksamhetens rutiner angående behandlingen av personuppgifter) i förhållande till anställda och eventuellt personuppgiftsombud 
  • se över information gällande förordningens regler och (inklusive intern policy för hur hanteringen av personuppgifter ska behandlas) i förhållande till anställda och eventuellt personuppgiftsombud

Tekniska lösningar kommer att vara en naturlig del av hantering jämte ovan på ett för verksamheten smidigt sätt. T.ex. kan det vara effektivt att installera automatiserade rutiner för hur information om behandling av personuppgifter går ut till individer. Samtidigt kan personuppgiftshantering i tekniska lösningar vara föremål för översyn och förändring för det fall behandlingen inte följer förordningen. I förordningen används i detta sammanhang begreppet ”Privacy by design”. D.v.s. IT-systemen i verksamheten ska överensstämma med förordningens regler.  

Rådgivning mm

Svensk Scenkonst erbjuder sina medlemmar övergripande rådgivning avseende de arbetsrättsliga (förhållandet mellan arbetsgivare och arbetstagare) delarna av förordningsregleringen. 

Vidare, erbjuds ett webbinarium med rubriken "Seminarium om Dataskyddsförordningen". Se länk.

Svensk Scenkonst tillhandahåller dessutom en avtalsmall för personuppgiftsbiträde med tillhörande avtalskommentar. Länk till detta avtal och tillhörande kommentarer kommer att läggas ut på hemsidan inom kort. 

För det fall viss frågeställning ligger utanför ramen för Svensk Scenkonsts interna rådgivning enligt ovan, har dess medlemmar möjlighet att anlita Hamilton Advokatbyrå till ett förmånligt pris (15 procent rabatt på ordinarie pris). Hamiltons rådgivningstjänster omfattar såväl den arbetsrättsliga- som den affärsrättsliga (t.ex. i relation till kunder, samarbetspartners etc.) delen av förordningen. Kontakt med Hamilton sker genom Erik Danhard, telefon +46 8 505 501 50 alternativt +46 766 45 13 06 eller mail, erik.danhard@hamilton.se.

Länkar till Datainspektionens informationsmaterial

Datainspektionen är den svenska myndighet som ytterst har att tillämpa och tolka förordningsreglerna. Inspektionen har på sin hemsida ett omfattande material, varav särskilt följande är av intresse.

Förordningen i fulltext översatt till Svenska

Introduktion till Dataskyddsförordningen

Förberedelser för personuppgiftsansvariga


Fördjupat om Dataskyddsförordningen

Dela:
  • Postadress

    Box 1778
    111 87 Stockholm

    Besöksadress
    Birger Jarlsgatan 39 1tr

    Kontakt
    Telefon: 08-440 83 70
    Fax: 08-440 83 89
    Mail:  info@svenskscenkonst.se

  • Prenumerera på vårt nyhetsbrev

  • Sök på sajten

    Sök

    Följ oss på

    Följ Svensk Scenkonst
  • Om sajten

    Copyright © Svensk Scenkonst 2018
    Producerad av Sajtkonsulterna