Bild: Markus Sommers

Varje månad intervjuar vi beslutsfattare och experter om aktuella EU-frågor.

Månadens fråga 31.1.2018

Månadens fråga: När är det lagligt att samla in personuppgifter enligt EU:s nya dataskyddsförordning?

EU:s dataskyddsförordning träder i kraft den 25 maj 2018. All behandling av personuppgifter måste från och med den dagen följa dataskyddsförordningen. Idén är att förordningen ska reagera på nya dataskyddsfrågor som uppstått i och med digitaliseringen och globaliseringen och att medborgarna själva ska kunna kontrollera sina uppgifter bättre. Förordningen ska också främja den digitala inre marknaden.

I och med dataskyddsförordningen kommer reglerna att vara de samma för alla företag och organisationer som verkar inom EU och som samlar in personuppgifter.

Dataskyddsförordningen kallas General Data Protection Regulation (GDPR) på engelska.

När och hur är det lagligt att samla in personuppgifter, Petri Holopainen, expert vid Företagarna i Finland?

Det måste alltid finnas stöd i lagen för behandlingen av personuppgifter. Åtminstone en av de förutsättningar som fastställs i dataskyddsförordningen måste uppfyllas.

Förutsättningarna är samtycke, berättigat intresse, avtal, rättslig skyldighet, en fysisk persons grundläggande intressen eller allmänintresse.

Vicehäradshövding Petri Holopainen är sakkunnig vid Företagarna i Finland rf. Han är särskilt insatt i EU:s nya dataskyddsförordning. Foto: Markus Sommers.

a) Samtycke till behandling av personuppgifter

Den registrerade ska lämna sitt samtycke till att hens personuppgifter behandlas för ett eller flera specifika ändamål. Det företag, den myndighet eller organisation som för registret ska dokumentera samtycket, eftersom det måste kunna bevisas.

Barn har en särskild ställning. Den som för register och erbjuder tjänster för barn ska beakta att dataskyddsförordningen avviker från personuppgiftslagen och ger särskilt skydd för barns personuppgifter. Enligt förordningen krävs vårdnadshavarens samtycke för att få behandla personuppgifter om man erbjuder digitala tjänster direkt till barn.

Det innebär att barns personuppgifter i sådana fall endast får behandlas med tillstånd av vårdnadshavaren. I förordningen definieras under 16-åringar som barn. EU:s medlemsländer får bestämma själva om att sänka åldersgränsen till mellan 13 och 16 år. I den finländska personuppgiftslagen kommer åldersgränsen sannolikt att fastställas till 13 eller 15 år.

b) Berättigat intresse: medlemskap, klientskap eller anställningsförhållande

En grund för behandling av personuppgifter kan vara berättigat intresse. Det betyder att det ska finnas en relevant och betydelsefull relation mellan den som för registret och den registrerade, till exempel klientskap eller anställningsförhållande.

I direkt marknadsföring behövs inte heller i framtiden den registrerades samtycke. Den registrerade kan emellertid avsäga sig direkt marknadsföring och den registrerade måste få information om denna möjlighet.

Arbetsgivare får enbart samla in sådana uppgifter om sina anställda som är relevanta och nödvändiga för anställningsförhållandet.

I EU bereds också en dataskyddsförordning som gäller digital kommunikation där användningen av webbkakor och digital direkt marknadsföring regleras. Innan denna nya förordning blir klar reglerar informationssamhällsbalken den direkta marknadsföringen och kravet på samtycke i förhand. Företag som idkar direkt marknadsföring måste vara ytterst uppmärksamma på hur lagstiftningen utvecklas på detta område.

c) Avtal

Behandling av personuppgifter för att verkställa ett avtal kan i praktiken innebära till exempel att ett tidningsbolag använder en registrerad adress för att leverera en tidning. Det betyder med andra ord att man har rätt att verkställa ett gemensamt avtal, i detta fall en tidningsprenumeration.

Kuva: Sakari Piippo.
Den nya dataskyddsförordningen ger särskilt skydd åt barns personuppgifter. Foto: Sakari Piippo.

Det är tillåtet att behandla personuppgifter om det är nödvändig för att fullgöra en rättslig förpliktelse för den registeransvariga. I så fall behövs inget samtycke. Till exempel måste ett aktiebolag enligt lagen upprätthålla en aktieägarförteckning och därmed också behandla personuppgifter i anslutning till den.d) Lagstadgad skyldighet

Det är också fråga om en lagstadgad skyldighet när en arbetsgivare förmedlar uppgifter om sina anställdas löner till skattemyndigheterna

e) Grundläggande intresse

Personuppgifter får behandlas när det är nödvändigt för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person. Det kan till exempel handla om att rädda människoliv i samband med en naturkatastrof.

f) Allmänintresse eller utövning av offentlig makt

Personuppgifter får också behandlas när det är nödvändigt för att utföra en uppgift av allmänt intresse eller för att utöva offentlig makt.

En arbetsgrupp tillsatt av justitieministeriet för att verkställa förordningen konstaterar i sitt betänkande att det måste ingå mer detaljerade bestämmelser som dessa situationer i den nya dataskyddslagen. En av den så kallade TATTI-arbetsgruppens primära uppgifter är att bereda ett förslag till en allmän lag, i likhet med personuppgiftslagen.

 

*************************************************************************************

 

Dataskyddsprincipen:

 

Personuppgifter ska

  • behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade
  • behandlas på ett konfidentiellt och säkert sätt
  • samlas in för särskilda, uttryckligt angivna och berättigade ändamål
  • samlas in endast i sådan utsträckning som är relevant för de ändamål som de behandlas för
  • alltid uppdateras vid behov – inexakta och felaktiga uppgifter bör raderas eller korrigeras omgående
  • inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka de behandlas.

(KÄLLA: tietosuoja.fi) 

 

Fler Månadens fråga