personuppgiftsansvarig

i EU:s Dataskyddsförordning: den som lagrar och bearbetar personuppgifter. Mer precist: företag, myndighet, annan organisation eller person som bestämmer över ända­målet med insamling och bearbetning av per­son­upp­gifter och vad som ska göras med dem. Det spelar alltså ingen roll ifall hanteringen av data görs inom organisationen eller om den läggs ut på någon annan – se personuppgiftsbiträde. Personuppgiftsansvarig kan vara en person om det är en ensamföretagare, men annars är det organisationen som helhet. (Ett dataskyddsombud är däremot alltid en person.)  Privatpersoner som hanterar personuppgifter för eget bruk räknas inte. – På engelska: controller eller data controller.

[dataskydd] [dataskyddsförordningen] [juridik] [personuppgifter] [ändrad 9 mars 2018]

missbruksregeln

benämning på den avskaffade lag som sade att uppgifter som kränker en persons per­son­liga integritet inte fick hanteras i ostrukturerade data. Detta föreskrevs i paragraf 5a i den avskaffade Personuppgiftslagen† (PUL). Annars var personupp­gifter i ostrukturerade data undantagna från Personuppgiftslagen. – Person­uppgifts­lagen ersattes 2018 med EU:s gemensamma Dataskyddsförordning, som inte gör skillnad mellan strukturerade och ostruk­tur­e­rade person­uppgifter. Alla per­son­upp­gifter faller därmed under miss­bruks­regelns princip. – Som kränk­ande personuppgifter räknas framför allt det som i lagen kallas för känsliga personuppgifter.

[dataskyddsförordningen] [inaktuellt] [lagar] [personuppgifter] [ändrad 15 oktober 2018]

Dataskyddsförordningen

EU:s gemensamma förordning om dataskydd för personuppgifter. – Grundtanken i för­ord­ningen är att varje person ska ha bestämmanderätt över sina person­uppgifter. Förordningen gäller som lag i EU:s medlemsländer sedan den 25 maj 2018. Då ersatte den i Sverige Personuppgiftslagen† (PUL), och för hela EU har den ersatt Dataskyddsdirektivet†. Att förordningen är gemensam för hela EU motiveras med att företag och andra organisationer inte ska behöva rätta sig efter olika lagar och regler i olika EU‑länder. Förordningen gäller inte privatpersoner och deras digitala adressböcker eller andra data för privat bruk. – De fem grundprinciperna i Dataskyddsförordningen är:

  • – Individen är källan. Personuppgifter ska komma från den som de gäller;
  • – Rätt att veta. Var och en ska ha rätt att veta vilka personuppgifter som lagras om en, och vad de används till;
  • Samtycke. Det ska krävas godkännande av den registrerade för lagring av personuppgifter;
  • – Minimering. Man får inte samla in och spara fler personuppgifter än vad som är befogat med tanke på syftet;
  • – Hårda straff. Företag och andra organisationer som bryter mot reglerna kan åläggas att betala höga straffavgifter.

– Viktiga inslag i EU:s dataskyddsförordning är:

  • – registering av personuppgifter kräver samtycke av den som det gäller;
  • – om det gäller personer under 16 år måste man ha vårdnadshavares samtycke;
  • – i samband med registreringen måste man informera om vilket rättsligt stöd man har för att samla in och lagra personuppgifterna;
  • – man får sedan inte bredda användningen av personuppgifterna;
  • – företag och organisationer som samlar in och lagrar uppgifter som kan ha allvarliga konsekvenser för de berördas personliga integritet måste göra en konsekvensanalys och i allvarliga fall samråda med tillsynsmyndigheten (i Sverige Datainspektionen). Detta gäller alltid för uppgifter om minderåriga;
  • – företag eller organisation som huvudsakligen hanterar personuppgifter eller har minst 250 anställda måste ha ett dataskyddsombud som ser till att Dataskyddsförordningen efterlevs;
  • – alla dataintrång eller andra incidenter som kan leda till att personuppgifter kommer på avvägar måste dokumenteras, och i allvarliga fall rapporteras till tillsynsmyndigheten. Om dataintrånget kan leda till allvarliga risker för de personer som uppgifterna gäller (till exempel ekonomisk förlust) måste man även informera dem;
  • – om en organisation överlämnar personuppgifter till en annan organisation måste den första organisationen meddela den andra ifall uppgifterna senare ändras;
  • – personuppgifter i ostrukturerat material (till exempel på webbsidor) ska nu behandlas enligt samma regler som personuppgifter i strukturerade databaser. Detta gäller även för personuppgifter som har lagts in innan Dataskyddsförordningen trädde i kraft;
  • – när man samlar in personuppgifter måste man informera de berörda om vem man är, varför man gör det, vad uppgifterna ska användas till och vilken rätt man har att samla in uppgifterna. Man måste också upplysa om vart man kan vända sig med klagomål;
  • – de berörda har rätt att se vilken information som har samlats in om dem, att få felaktiga uppgifter rättade, att bli strukna (se också rätt att bli bortglömd), att invända mot hur personuppgifterna an­vänds och att flytta personuppgifterna (till exempel från ett företag till ett annat, som när man byter teleoperatör);
  • – företag som inte följer Dataskyddsförordningen kan åläggas att betala straffavgifter på upp till 20 miljoner euro, för stora företag ännu mer.

– Att det är en förordning i stället för ett direktiv innebär att bestämmelserna gäller som lag i alla EU‑länder (samt Island, Liechtenstein och Norge). Det finns visst utrymme för nationella anpassningar, se Dataskyddslagen. Grundlagen påverkas inte av Dataskyddsförordningen. Tryckfrihets­för­ord­ningen och Yttrandefrihetsgrund­lagen gäller som tidigare. – Hela texten på svenska finns på denna länk.

– På engelska: General data protection regulation, förkortat GDPR.

[dataskydd] [dataskyddsförordningen] [eu] [juridik] [personuppgifter] [ändrad 13 december 2017]

proveniens

(provenance) – dokumentering av ett objekts ursprung och historia. – Proveniens omfattar uppgifter om när något tillverkades eller skapades, vem som gjorde det, när och var det skedde, eventuella senare ändringar. Proveniens kan också, där det är tillämpbart, omfatta objektets olika ägare. – När det gäller internet används proveniens om uppgifter om den ursprungliga källan för dokument och annan information. Termen förekommer främst inom arkivvetenskap, museivetenskap och i antikvitets- och konsthandeln. – Proveniens kan också vara av juridisk betydelse. När det gäller behandling av personuppgifter måste man, enligt EU:s Dataskyddsförordning, kunna visa varifrån man har fått dem och att den person som uppgifterna gäller har lämnat samtycke till att uppgifterna behandlas. – Jämför med datahärkomst (data lineage).

[arkiv och bibliotek] [data] [ändrad 12 februari 2018]

rätt att bli bortglömd

varje persons rätt att få kränkande eller genant information om henne själv avlägsnad från internet. – När förslaget till EU:s Data­skydds­förordning först lades fram i januari 2012 före­slogs att den rätten skulle in­föras. En person skulle alltså kunna be­gära att alla data som lagrats om honom eller henne i ett socialt nät­verk eller hos ett före­tag ska tas bort. – I slutet av 2012 invände EU:s it‑säker­­­­hets­­­organ ENISA att detta är praktiskt ogenomförbart, se här. Men i maj 2014 fastslog trots det EU‑dom­­stolen att Google på be­gäran av privat­­personer måste ta bort från sitt index koppling till oriktig, ovid­kommande eller för­åldrad information om den personen (se Costeja‑domen). Det inne­bär att informationen får finnas kvar på Google, men att den inte får komma upp om man söker på personens namn. Detta kallas på engelska för delisting. Samma information kan däremot fortfarande komma upp vid andra sökningar. – Idén om rätten att bli bortglömd uppstod i Frankrike, och därför används ibland den franska benäm­ningen le droit a l’oubli även på andra språk. – Rätt att bli bortglömd är den term som används i den svenska texten till EU:s Dataskyddsförordning. – På engelska: right to be forgotten (RTBF) eller right to erasure; på svenska också rätt att glömmas, rätt att bli glömd. – Se också reputation bank­ruptcy, social bank­ruptcy, virtuellt självmord och web dead.

[dataskyddsförordningen] [personlig integritet] [personuppgifter] [ändrad 4 oktober 2018]

Personuppgiftslagen

(PUL) –– den svenska lag som tidigare reglerade an­vändning av personuppgifter. – Personuppgiftslagen ersattes 2018 av EU:s gemensamma Dataskydds­för­ord­ning. Den viktigaste skillnaden är att Dataskyddsförordningen är strängare än PUL. Allt som står här om PUL gäller även under Dataskyddsförordningen. – Person­upp­gifts­lagen gällde vare sig personuppgifterna be­hand­lades med hjälp av datorer eller med papper och penna. Personuppgifts­lagen förbjöd all spridning och bearbetning av personuppgifter utan till­stånd av de berörda personerna. – Ett viktigt undan­tag var och är massmedier som skyddas av Tryckfrihetsförordningen (TF) eller av Yttrandefri­hets­grund­lagen (YGL) –– alltså böcker, tidningar, radio, tv, film och webb­sidor som har an­svarig utgivare. De behöver inte tillämpa personuppgifts­­lagen, utan de kan publicera personuppgifter så länge de följer Tryckfrihetsförordningen och Yttrandefrihetsgrund­lagen. –– Att rensa dokument från person­upp­gifter kallades ibland för att ”PUL‑tvätta” –– ett av årets nyord 2014 enligt Språkrådet och Språk­tidningen (länk). –– Lag­­texten (som alltså är inaktuell) finns här. – Personuppgiftslagen kompletterades av Personuppgiftsförordningen† (PUF). –– Se också databasregeln.

[dataskydd] [inaktuellt] [lagar] [personuppgifter] [ändrad 12 september 2018]