Är allt i GDPR relevant för offentlig verksamhet?
Frågan har besvarats genom JP ITnets kostnadsfria frågeservice. Svaret är aldrig en rekommendation till beslut i något enskilt fall.
Fråga:
Min fråga är om allt i GDPR är relevant för en offentlig, lagstyrd verksamhet? Till exempel rätten till dataportabilitet och rätten att bli glömd?
Jag undrar även om dataskyddsförordningen innebär en utökning jämfört med det så kallade PuL-utdraget gällande hur mycket information som ska lämnas till den registrerade? Ska all information i så fall skrivas ut eller räcker det med en förteckning över vilken information som finns?
Man ska också hålla reda på varifrån uppgifter kommer och vart uppgifter lämnas ut. Vad är en uppgift? Är det en journalanteckning, ett dokument eller till och med ett fält i databasen?
Svar:
Artikel 20 i GDPR handlar om rätten till dataportabilitet, alltså rätten att få sina uppgifter flyttade till en annan tjänsteleverantör. Den här rättigheten gäller dock bara för personuppgiftsbehandling som grundar sig på samtycke eller för att fullgöra ett avtal med den registrerade. Personuppgiftsbehandling som utförs för att utföra en uppgift av allmänt intresse eller som är ett led i myndighetsutövning undantas alltså från den här bestämmelsen.
Rätten att bli glömd, eller rätt till radering, regleras i artikel 17 i dataskyddsförordningen. Där framgår att rätten att få sina uppgifter raderade inte gäller för bland annat personuppgiftsbehandling som sker i samband med myndighetsutövning.
Artikel 15 i förordningen som handlar om den registrerades rätt att få ta del av sina personuppgifter innebär en utökning jämfört med PuL-utdraget enligt 26 § PuL. Jämför de två bestämmelserna med varandra, så ser du att det är mer information som ska lämnas till den registrerade (inklusive att all information ska ges ut, inte bara en förteckning över vilken information som finns), att begränsningen om en gång per kalenderår inte längre finns kvar, att formkravet att den registrerades ansökan ska vara undertecknad är borttaget (Detta för att anpassa lagstiftningen till den digitala utvecklingen. Den registrerades identitet måste självklart säkerställas även framgent, men det kan numer göras via t.ex. bank-id). Den registrerade ska också informeras om under hur lång period uppgifterna väntas behandlas av den personuppgiftsansvarige, eller åtminstone på vilket sätt den tidsperioden fastställs. En annan viktig sak är att missbruksregeln i 5 a § PuL försvinner, vilket innebär att även information om den registrerade som finns i ostrukturerad form, d.v.s. minnesanteckningar, mail, listor sparade på en enskild medarbetares arbetsdator etc, ska tillhandahållas den registrerade.
Gällande vad som utgör en personuppgift enligt förordningen definieras detta i artikel 4.1 enligt följande: ”varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbarfysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet”. Det är alltså alla uppgifter som både direkt eller indirekt kan identifiera en fysisk person, var än de uppgifterna finns sparade i verksamheten (journalanteckning, dokument, fält i databasen, mailkorgar o.s.v.). I registren över den personuppgiftsbehandling man gör ska det framgå var alla personuppgifter kommer ifrån och på vilken rättslig grund de behandlas.
Vill du ställa frågor som rör den nya förordningen till våra jurister?
I webbtjänster JP ITnet ingår en kostnadsfri frågeservice där du får vägledning av våra jurister. Upptäck även vår webbkurs GDPR bas som ger hela din organisation en komplett grundutbildning.
Publicerad 26 jan 2018
