Skyddet av personuppgifter är grundläggande för personlig integritet. I denna artikel utforskas hur Personuppgiftslagen (PUL) och den Europeiska dataskyddsförordningen (GDPR) bidrar till säker hantering av data, införande av nya ansvar för organisationer och förstärkning av individens rättigheter.
Vad är personuppgifter?
Personuppgifter omfattar all information som direkt eller indirekt kan identifiera dig som individ. Dessa uppgifter spänner över ett brett spektrum från ditt namn och adress till digitala identifierare som IP-adresser.
Varför är det viktigt att skydda personuppgifter?
I Sverige, liksom i hela EU, anses skyddet av dina personuppgifter vara av yttersta vikt för att bevara din personliga integritet. Personuppgiftslagen (PUL) var en lagstiftning som syftar till att skydda dessa uppgifter mot missbruk.
Med introduktionen av dataskyddsförordningen (GDPR) har dessa principer förstärkts. Detta ställer högre krav på organisationer och företag, som nu måste agera som personuppgiftsansvariga.
De är skyldiga att hantera dina uppgifter på ett lagligt, korrekt och transparent sätt. De måste också förse dig med tydlig information om hur dina data behandlas.
Vad är PUL och GDPR?
Du har säkerligen hört talas om PUL och GDPR, två centrala begrepp inom dataskydd. PUL står för Personuppgiftslagen och är en äldre svensk lag.
GDPR är en förordning som gäller inom hela EU som syftar till att stärka och harmonisera skyddet av personuppgifter.
När trädde GDPR i kraft?
GDPR, den Allmänna Dataskyddsförordningen, trädde i kraft den 25 maj 2018 och ersatte PUL. Den nya förordningen införde strängare krav och större ansvar för de som behandlar personuppgifter, samt högre sanktioner vid missbruk.
Grundläggande principer i PUL och GDPR
I denna sektion går vi igenom de centrala principerna som finns inom Personuppgiftslagen (PUL) och General Data Protection Regulation (GDPR). Dessa principer är fundamentala och måste följas av de som hanterar personuppgifter.
Laglighet, ändamålsenlighet och begränsning av behandlingen
Dina personuppgifter måste hanteras enligt lag och endast för de ändamål som är tydligt definierade och legitima. Det är inte tillåtet att behandla data på ett sätt som inte överensstämmer med dessa fastställda ändamål.
Minimering av uppgifter
Det är essentiellt att enbart samla in och behandla de personuppgifter som är absolut nödvändiga för det definierade syftet. Ingen överflödig information om dig bör samlas in.
Exakthet
Uppgifter om dig ska vara korrekta och, hållas uppdaterade. Du har rätt att få felaktig information om dig själv rättad.
Lagring
Dina personuppgifter får inte behållas längre än vad som är nödvändigt för de ändamål de samlats in för. De ska raderas när de inte längre behövs.
Integritet och konfidentialitet
Dina personuppgifter ska skyddas mot obehörig tillgång och behandlas med konfidentialitet för att säkerställa din integritet.
Ansvarighet
Den som är ansvarig för behandlingen av dina personuppgifter måste kunna visa att de uppfyller alla dessa principer och måste skydda dina uppgifter genom lämpliga åtgärder.
De registrerades rättigheter enligt PUL och GDPR
När det kommer till hanteringen av personuppgifter är dina rättigheter som individ centrala och skyddade genom både Personuppgiftslagen (PUL) och den allmänna dataskyddsförordningen (GDPR). Dessa rättigheter säkerställer att du har kontroll över dina egna uppgifter och hur de används.
Rätt till information
Du har rätt att få veta exakt hur dina personuppgifter hanteras. Det innebär att de personuppgiftsansvariga måste ge dig klar information om deras identitet, behandlingens ändamål, hur länge dina uppgifter lagras, och till vilka dina uppgifter eventuellt vidarebefordras.
Rätt till insyn
Du kan begära att få tillgång till de personuppgifter som finns om dig. Detta ger dig möjlighet att se och granska de data som behandlas och få detaljerad information om behandlingens syften samt vilka som har eller kommer att motta dina uppgifter.
Rätt till rättelse
Om de personuppgifter som behandlas om dig är felaktiga eller ofullständiga, har du rätt att få dem rättade. Det är viktigt att dina data är korrekta och aktuella, och du kan begära att informationen uppdateras vid behov.
Rätt till radering
Detta är ibland känt som ”rätten att bli glömd”. Under vissa förhållanden kan du kräva att dina personuppgifter raderas, exempelvis om de inte längre är nödvändiga för de syften de samlades in för, eller om du återkallar ditt samtycke till behandlingen.
Rätt till begränsning av behandling
I vissa fall kan du begära att behandlingen av dina personuppgifter begränsas. Detta kan bli aktuellt om du till exempel ifrågasätter riktigheten i de uppgifter som behandlas, eller om du motsätter dig en behandling som lan pågå om det inte finns legitima skäl för detta.
Rätt till dataportabilitet
Du har rätt att få de personuppgifter som rör dig i ett strukturerat, vanligt använd och maskinläsbart format. Vidare har du rätt att överföra dessa uppgifter till annan personuppgiftsansvarig utan att hindras av den ursprungligen ansvariga.
Rätt att göra invändningar
Du kan göra invändningar mot behandlingen av dina personuppgifter, särskilt när det avser marknadsföring eller profilering. Om du motsätter dig sådan behandling, måste de personuppgiftsansvariga visa att de har övertygande legitima skäl som väger tyngre än dina intressen, rättigheter och friheter.
Konsekvenser vid överträdelser av PUL och GDPR
Att säkerställa efterlevnaden av Personuppgiftslagen och General Data Protection Regulation (GDPR) är avgörande för alla organisationer som hanterar personuppgifter inom EU.
Överträdelser av dessa lagar kan leda till allvarliga konsekvenser, inklusive varningar, sanktionsavgifter och krav på skadestånd
Varningar
En del av GDPR tillsynsprocess är att du kan få varningar från tillsynsmyndigheten. Detta gäller om du som ansvarig för personuppgifter, eller som biträde, inte följer förordningens regler. Varningar är ett av de första stegen i att uppmärksamma brister i efterlevnaden.
Böter
Brott mot GDPR kan leda till att tillsynsmyndigheten beslutar om sanktionsavgifter. Dessa avgifter är förhållandet till överträdelsens allvar och kan bli betydande. För de allvarligaste fallen kan böterna uppgå till:
- 20 miljoner euro, eller
- 4 % av din årsomsättning, beroende på vilket belopp som är högre.
Skadestånd
Om dina handlingar som personuppgiftsansvarig eller biträde orsakar skada på en individ kan den personen kräva skadestånd. Ansvaret för att ersätta skadan ligger på den som bryter mot dataskyddsreglerna.
Vanliga frågor och svar
Personuppgiftslagen (PuL) var en svensk lag som syftade till att skydda människors integritet vid behandling av personuppgifter.
GDPR är en EU-förordning som ersatte den svenska PuL och införde strängare krav och högre sanktioner för behandling av personuppgifter.
Nej, Personuppgiftslagen ersattes av GDPR (General Data Protection Regulation) den 25 maj 2018.
Personuppgifter i Sverige regleras av GDPR, som är tillämplig i alla EU-länder.