RSS
Alfabetisk lista
Den här sidan är tillgänglig på 23 språk.
Nyligen tillagda språk:  BG - CS - ET - GA - LV - LT - HU - MT - PL - RO - SK - SL

We are migrating the content of this website during the first semester of 2014 into the new EUR-Lex web-portal. We apologise if some content is out of date before the migration. We will publish all updates and corrections in the new version of the portal.

Do you have any questions? Contact us.


Skydd av personuppgifter

Den viktigaste texten på EU-nivå om skydd av personuppgifter är direktiv 95/46/EG. I direktivet inrättas en lagstiftningsram som syftar till att uppnå balans mellan ett gott integritetsskydd och fri rörlighet för personuppgifter inom EU. I direktivet fastställs strikta begränsningar för insamling och användning av personuppgifter. Dessutom föreskrivs att varje medlemsstat ska inrätta ett oberoende nationellt organ med ansvar för att skydda dessa uppgifter.

RÄTTSAKT

Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter [Europeiska gemenskapernas officiella tidning L 281 av 23 november 1995] [se ändringsrättsakter].

SAMMANFATTNING

Detta direktiv gäller uppgifter som behandlas automatiskt (t.ex. en databas över kunder) liksom uppgifter som ingår eller kan komma att ingå i ett icke automatiserat register (traditionella pappersregister).

Direktivet gäller inte behandling av uppgifter

  • som företas av en fysisk person som ett led i verksamhet av rent privat natur eller som har samband med personens hushåll, eller
  • som utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten, exempelvis verksamhet som rör allmän säkerhet, försvar eller statens säkerhet.

Direktivet syftar till att skydda fysiska personers fri- och rättigheter i samband med behandling av personuppgifter. Därför fastställs principiella riktlinjer för de fall då personuppgifter får behandlas. Bestämmelserna gäller följande:

  • Uppgifternas kvalitet: Personuppgifter ska behandlas på ett korrekt och lagligt sätt. De får endast samlas in för ett bestämt ändamål. Detta ändamål ska anges och vara berättigat. Dessutom måste uppgifterna stämma. Om det behövs ska de uppdateras.
  • I vilka sammanhang uppgiftsbehandling kan tillåtas: Behandling av personuppgifter får utföras endas om den berörda personen gett sitt otvetydiga samtycke eller om behandlingen är nödvändig
    1. för att fullgöra ett avtal i vilket den berörda personen är avtalspart, eller
    2. för att fullgöra en rättslig förpliktelse som åvilar den registeransvarige, eller
    3. för att skydda intressen som är av grundläggande betydelse för den registrerade, eller
    4. för att utföra en arbetsuppgift av allmänt intresse, eller
    5. för ändamål som rör berättigade intressen hos den registeransvarige.
  • Särskilda behandlingskategorier: Det är förbjudet att behandla personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv. Det finns undantag från denna bestämmelse, t.ex. i fall där behandlingen är nödvändig för att skydda den registrerades grundläggande intressen eller behövs för förebyggande hälso- och sjukvård och medicinska diagnoser.
  • Information till de personer som berörs av uppgiftsbehandlingen: Den registeransvarige ska ge den person från vilken han samlar in personuppgifter viss information (om den registeransvariges identitet, ändamålen med behandlingen, uppgiftsmottagare osv.).
  • Den registrerades rätt att få tillgång till uppgifter: Alla berörda personer ska ha rätt att från den registeransvarige
    1. få bekräftelse på om uppgifter som rör honom behandlas eller inte, och få veta vilka uppgifter som behandlas,
    2. få uppgifter som inte behandlats i enlighet med direktivet - särskilt ofullständiga eller felaktiga uppgifter - rättade, utplånade eller blockerade. Utomstående till vilka dessa uppgifter har meddelats ska underrättas om dessa ändringar.
  • Undantag och begränsningar: Tillämpningen av principerna om uppgifternas kvalitet, information till berörda personer, rätten till tillgång och behandlingens offentlighet kan begränsas för att trygga bl.a. statens säkerhet, försvaret, allmän säkerhet, lagföring av brott, ett viktigt ekonomiskt eller finansiellt intresse hos en medlemsstat eller hos EU, eller för att skydda den registrerade.
  • Den registrerades rätt att invända mot uppgiftsbehandling: Den registrerade ska ha rätt att av berättigade skäl motsätta sig behandling av personuppgifter som rör honom. Han bör också på begäran och kostnadsfritt kunna motsätta sig behandling av uppgifter för ändamål som rör direkt marknadsföring. Slutligen bör den registrerade underrättas innan uppgifter lämnas ut till tredje man för ändamål som rör direkt marknadsföring, och få möjlighet att motsätta sig detta utlämnande.
  • Sekretess och säkerhet vid behandling: Den som utför arbete på uppdrag av den registeransvarige eller registerföraren, liksom registerföraren själv, och som får tillgång till personuppgifter, får behandla dem endast enligt instruktion från den registeransvarige. Vidare ska den registeransvarige vidta lämpliga åtgärder för att skydda personuppgifter från förstöring genom olyckshändelse eller genom otillåtna handlingar eller från förlust genom olyckshändelse, samt mot ändringar, otillåten spridning av eller otillåten tillgång till uppgifterna.
  • Anmälan av behandlingar till tillsynsmyndigheten: Före behandling av personuppgifter ska den registeransvarige underrätta den nationella tillsynsmyndigheten. När tillsynsmyndigheten underrättas ska den på förhand undersöka eventuella risker för de berörda personernas rättigheter och friheter. Behandlingarna ska vara offentliga, och tillsynsmyndigheterna ska föra ett register över de behandlingar som anmälts.

Var och en ska ha rätt att föra talan inför domstol om kränkningar av rättigheter som skyddas av den nationella lagstiftning som är tillämplig på uppgiftsbehandling. Var och en som lidit skada till följd av en otillåten behandling har rätt till ersättning.

Det är tillåtet att överföra personuppgifter från en medlemsstat till tredjeland som kan säkerställa en adekvat skyddsnivå. Däremot får inte överföring ske till tredjeland som inte kan säkerställa en sådan skyddsnivå, utom i ett begränsat antal angivna undantagsfall.

Direktivet syftar också till att främja utarbetande av etiska regler på nationell nivå och på EU-nivå, som kan bidra till att de nationella bestämmelserna och EU-bestämmelserna tillämpas på ett riktigt sätt.

Varje medlemsstat ska utse en eller flera oberoende myndigheter som ska ansvara för att övervaka tillämpningen av de bestämmelser som medlemsstaterna antar till följd av direktivet.

En arbetsgrupp för skydd av enskilda med avseende på behandling av personuppgifter ska inrättas. Den ska bestå av företrädare för de nationella tillsynsmyndigheterna, företrädare för de tillsynsmyndigheter som utsetts av gemenskapens institutioner och organ samt av en företrädare för kommissionen.

HÄNVISNING

RättsaktDag för ikraftträdandeSista dag för genomförandet i medlemsstaternaEuropeiska unionens officiella tidning
Direktiv 95/46/EG

13.12.1995

24.10.1998

EUT L 281, 23.11.1995

Ändringsrättsakt(er)Dag för ikraftträdandeSista dag för genomförandet i medlemsstaternaEuropeiska unionens officiella tidning
Förordning (EG) nr 1882/2003

20.11.2003

-

EUT L 284, 31.10.2003

Ändringar och fortlöpande korrigeringar till rådets direktiv 95/46/EG har integrerats i grundtexten. Denna konsoliderade version har endast ett informationsvärde.

ANKNYTANDE RÄTTSAKTER

RAPPORT OM GENOMFÖRANDET

Meddelande från kommissionen till Europaparlamentet och rådet av den 7 mars 2007 med titeln "Uppföljning av arbetsprogrammet för ett bättre genomförande av dataskyddsdirektivet" [KOM(2007) 87 slutlig - Ej offentliggjort i Europeiska unionens officiella tidning]
Syftet med det här meddelandet är att granska det arbete som gjorts enligt det arbetsprogram för en bättre tillämpning av direktivet om dataskydd som inryms i den första rapporten om direktivet 95/46/EG. Kommissionen framhåller att tillämpningen har förbättrats och att alla medlemsstater nu har genomfört direktivet. Kommissionen drar slutsatsen att direktivet inte bör ändras i nuläget,
och tillägger att:

  • den kommer att fortsätta sitt arbete med medlemsstaterna och vid behov inleda formella överträdelseförfaranden,
  • den kommer att förbereda ett tolkningsmeddelande för vissa bestämmelser i direktivet,
  • den kommer att fortsätta bearbeta arbetsprogrammet,
  • den kommer att lägga fram en sektoriell lagstiftning inom EU om det sker betydande teknisk utveckling inom ett särskilt område,
  • den kommer att fortsätta samarbetet med sina externa parter, framför allt Förenta staterna.

Kommissionens rapport av den 15 maj 2003 med titeln "Första rapporten om genomförandet av dataskyddsdirektivet (95/46/EG)". [KOM(2003) 265 slutlig - Ej offentliggjord i Europeiska unionens officiella tidning].
I rapporten redovisas bland annat resultaten av de samråd som genomförts av kommissionen om utvärderingen av direktiv 95/46/EG med regeringar, institutioner, näringslivsorganisationer, konsumentorganisationer och medborgare. Resultaten av samråden visar att endast ett fåtal deltagare önskar en uppdatering av direktivet. Vidare har kommissionen efter samråd med medlemsstaterna konstaterat att de flesta av dem, liksom en majoritet av de nationella tillsynsmyndigheterna, inte anser det nödvändigt att ändra direktivet i dagsläget.

Trots förseningar och brister i genomförandet har direktivets huvudsakliga mål uppnåtts, d.v.s. att hindren har avskaffats för fri rörlighet för personuppgifter mellan medlemsstaterna. Vidare anser kommissionen att målet att säkerställa en hög skyddsnivå inom EU har uppnåtts, eftersom vissa av de normer för uppgiftsskydd som fastställs i direktivet är bland de strängaste i världen.

Det finns dock andra politiska mål för den inre marknaden som inte uppnåtts lika väl. Lagstiftningen om uppgiftsskydd varierar fortfarande i betydande omfattning mellan olika medlemsstater. Dessa skillnader hindrar multinationella organisationer från att utveckla en europeisk dataskyddspolitik. Kommissionen kommer att göra vad den kan för att komma tillrätta med detta - i möjligaste mån utan att vidta några formella åtgärder.

När det gäller efterlevandet av lagstiftningen om dataskydd i EU allmänt sett finns följande tre svårigheter:

  • Det råder brist på resurser som avsatts för genomförandet.
  • De registeransvariga följer bestämmelserna endast sporadiskt.
  • De registrerade har endast begränsade kunskaper om sina rättigheter, vilket kan vara roten till ovannämnda problem.

För att garantera en bättre tillämpning av direktivet om dataskydd har kommissionen antagit ett arbetsprogram som innehåller ett antal åtgärder som ska vidtas före 2004 års utgång. Bland dessa åtgärder märks följande initiativ:

  • Diskussioner med medlemsstaterna och dataskyddsmyndigheterna om förändringar som är nödvändiga för att få den nationella lagstiftningen att fullt ut stämma överens med kraven i direktivet.
  • Samarbete med kandidatländerna i syfte att uppnå ett bättre och enhetligare genomförande av direktivet.
  • Ökad användning av anmälningsförfarandet för de rättsakter som införlivar direktivet.
  • Förenklade villkor för internationella överföringar av uppgifter.
  • Främjande av teknik för att förbättra integritetsskyddet.
  • Främjande av självreglering och etiska regler på EU-nivå.

DIREKTIVET OM INTEGRITET OCH ELEKTRONISK KOMMUNIKATION

Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) [EGT L 201, 31.7.2002].
Detta direktiv antogs 2002 samtidigt med en ny ramlagstiftning om elektronisk kommunikation. Det innehåller bestämmelser om ett antal mer eller mindre känsliga frågor som medlemsstaternas möjlighet att bevara trafikuppgifter för polisiära ändamål (bevarande av uppgifter), utsändning av icke begärda elektroniska meddelanden, användning av s.k. cookies och införande av personuppgifter i allmänna abonnentförteckningar.

STANDARDAVTALSKLAUSULER FÖR ÖVERFÖRING AV PERSONUPPGIFTER TILL TREDJELAND

Beslut 2004/915/EG av den 27 december 2004 om ändring av beslut 2001/497/EG om standardavtalsklausuler för överföring av personuppgifter till tredje land [EUT L 385, 29.12.2004].
Europeiska kommissionen har godkänt nya standardavtalsklausuler som företagen kan använda för att säkra adekvat skydd när personuppgifter överförs från EU till tredjeland. Dessa nya klausuler skall läggas till de som redan fastställts inom ramen för kommissionens beslut från juni 2001 (se nedan).

Kommissionens beslut 2001/497/EG av den 15 juni 2001 om standardavtalsklausuler för överföring av personuppgifter till tredje land enligt direktiv 95/46/EG [EGT L 181, 4.7.2001].
I detta beslut fastställs de standardiserade avtalsklausuler som skall säkra ett adekvat skydd för personuppgifter som överförs från EU till tredjeland. Enligt beslutet måste medlemsstaterna erkänna att de företag eller organisationer som använder sådana standardklausuler i avtal om överföring av personuppgifter till tredjeland säkerställer en "adekvat skyddsnivå" för uppgifterna.

SKYDD AV UPPGIFTER INOM EU:S INSTITUTIONER OCH ORGAN

Europaparlamentets och rådets förordning nr 45/2001/EG av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter [EGT L 8, 12.1.2001].
Syftet med denna förordning är att säkerställa skydd för personuppgifter inom Europeiska unionens institutioner och organ. Texten innehåller följande:

  • Bestämmelser för att säkerställa en hög skyddsnivå för personuppgifter som behandlas av gemenskapens institutioner och organ.
  • Inrättandet av ett oberoende övervakningsorgan med uppdrag att kontrollera tillämpningen av dessa bestämmelser.
Senast ändrat den 01.02.2011
Rättsligt meddelande | Om webbplatsen | Sök | Kontakt | Till början