GDPR
Europeiska unionens "allmänna dataskyddsförordning"
Den allmänna dataskyddsförordningen är den senaste versionen av den europeiska förordningen om skydd av personuppgifter. Förordningen gäller inte för -icke-personliga uppgifter som definieras av Europeiska kommissionen som "data som inte avser en identifierad eller identifierbar fysisk person" (Europeiska unionen, GDPR). Delar av GDPR upprätthålls i över 80 länders rättsliga ramar och är tillämpliga inte bara på enheter inom Europeiska Unionen, utan också för alla processorer eller registeransvariga enheter över hela världen som använder data som rör personuppgifter från alla medborgare i en EU-medlemsstat. GDPR anger för databehandlare och registeransvariga vilka åtgärder som faller under deras ansvar och fokuserar på den registeransvariges yttersta ansvar enligt "Artikel 24".
"Med hänsyn till behandlingens art, omfattning, sammanhang och syften samt riskerna för varierande sannolikhet och svårighetsgrad av fysiska personers rättigheter och friheter, ska den registeransvarige vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa och för att kunna visa att behandlingen utförs i enlighet med denna förordning. Dessa åtgärder ska ses över och uppdateras vid behov" (artikel 24 i GDPR).
Viktiga GDPR-artiklar
Den allmänna dataskyddsförordningen är ett rättighetsorienterat ramverk, grundat i artikel 8.1 i Europeiska unionens stadga om de grundläggande rättigheterna. "Var och en har rätt till skydd av personuppgifter som rör honom/henne." (Europeiska kommissionen, 2012)
GDPR-datasubjektets rättigheter
(Artikel 15) Rätt till tillgång
– Artikel 15 ger den registrerade rätt att begära information om behandlingen av sina personuppgifter.
(Artikel 14 & 13) Rätt att bli informerad
- Artiklarna 14 och 13 ger registrerade rätt till insyn i behandlingen.
(Artikel 16 & 19) Rätt till rättelse
– Artiklarna 16 och 19 i GDPR ger registrerade rätt att begära rättelse av eventuella personuppgifter som är felaktiga eller ofullständiga.
(Artiklar 17 & 19) Rätt till radering
- Artiklarna 17 och 19 definierar rätten att begära att registeransvariga raderar sina uppgifter. Benämns ofta som "rätten att bli bortglömd".
(Artikel 20) Rätt till dataportabilitet
- Artikel 20 beskriver registrerades rätt att få sina uppgifter i ett vanligt använt format så att de kan överföra dessa uppgifter till en annan personuppgiftsansvarig, eller där det är tekniskt möjligt, att en personuppgiftsansvarig kan överföra uppgifterna direkt till en annan.
(Artikel 22) Rätt att inte bli föremål för automatiserad behandling
- I artikel 22 fastställs ett förbud mot automatiserad databehandling som på ett meningsfullt sätt påverkar den registrerade eller har efterföljande rättsverkningar.
(Artikel 21) Rätt till invändning
- Artikel 21 ger registrerade rätt att stoppa behandlingen av sina uppgifter under vissa omständigheter. De kan också invända mot behandling i samband med forskning, allmänintresse, myndighet eller andras intresse under vissa omständigheter.
(Artikel 18) Rätt till begränsad behandling
– Artikel 18 ger registrerade rätt att begära begränsningar av behandlingen av sina personuppgifter. Det innebär att uppgifterna kan lagras, men att den personuppgiftsansvarige måste begära tillstånd för att kunna behandla uppgifterna. Denna rätt gäller endast under vissa omständigheter.
Dataskyddskommissionen, nd