Storbritanniens dataskyddslag 2018 – personuppgifter och rättigheter

Upptäck Storbritanniens dataskyddslag 2018: dina rättigheter, vad som är personuppgifter och hur företag måste skydda och hantera dem.

Författare: Leandro Alegsa

Data Protection Act 2018 (c 29) är en lag som antogs av den brittiska regeringen 2018 och som ersätter den lag som antogs 1998. Lagen införlivar och kompletterar bestämmelserna i dataskyddsregelverket efter EU:s allmänna dataskyddsförordning (GDPR) och fungerar tillsammans med vad som i dag kallas UK GDPR efter Storbritanniens utträde ur EU. Den uppdaterar reglerna för hur personuppgifter får hanteras och stärker de registrerades rättigheter.

Vad lagen omfattar

Lagen innehåller regler för personer som använder eller lagrar uppgifter om levande personer och ger rättigheter till de personer vars uppgifter har samlats in. Lagen gäller för uppgifter som lagras på datorer eller i alla slags lagringssystem, även pappersdokument. Den omfattar personuppgifter, det vill säga uppgifter som direkt eller indirekt kan identifiera en fysisk person — till exempel namn, adress, telefonnummer, e‑postadress, personnummer, men även uppgifter om hälsa, politiska åsikter eller etniskt ursprung i särskilda fall.

Vem som omfattas och vilka roller som finns

De personer som använder informationen kallas registeransvariga (data controllers). Det kan vara företag, myndigheter, föreningar eller andra organisationer. De som uppgifterna handlar om kallas registrerade (data subjects). Det finns även personuppgiftsbiträden (data processors) — företag eller personer som behandlar uppgifter för den registeransvariges räkning.

Rättigheter för den registrerade

Personer vars uppgifter behandlas har flera viktiga rättigheter. De vanligaste är:

  • Rätt att få tillgång — möjlighet att begära en kopia av de uppgifter som finns om dig (s.k. subject access request).
  • Rätt till rättelse — få felaktiga eller ofullständiga uppgifter rättade.
  • Rätt till radering (”rätten att bli glömd”) — i vissa situationer kan du begära att personuppgifter tas bort.
  • Rätt att begränsa behandling — få behandling begränsad under utredning eller vid oenighet om korrekthet.
  • Rätt att göra invändning — invända mot behandling som bygger på intresseavvägning eller direktmarknadsföring.
  • Rätt till dataportabilitet — få sina uppgifter i ett strukturerat, allmänt använt och maskinläsbart format och få dem överförda till en annan tjänst när behandlingen bygger på samtycke eller avtal och sker automatiserat.
  • Rätt att inte bli föremål för automatiserade beslut — inklusive profilering som ger rättsliga effekter eller på liknande sätt påverkar dig i hög grad.

Observera att dessa rättigheter inte är absoluta. Det finns undantag, till exempel för brottsbekämpning, juridiska krav, fri yttrandefrihet eller allmänintresse.

Lagliga grunder för behandling

En registeransvarig måste ha en giltig laglig grund för att behandla personuppgifter. De vanligaste grunderna är:

  • samtycke från den registrerade,
  • avtal (behandling nödvändig för att fullgöra ett avtal),
  • laglig förpliktelse,
  • livsviktiga intressen,
  • uppgift av allmänt intresse eller myndighetsutövning (public task),
  • berättigat intresse (legitimate interests) — efter en noggrann avvägning mot den registrerades intressen.

Särskilda kategorier av personuppgifter

Vissa uppgifter räknas som känsliga (särskilda kategorier): uppgifter om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, genetiska och biometriska uppgifter som identifierar en person, hälsa samt uppgifter om sexliv eller sexuell läggning. Behandling av sådana uppgifter kräver både en laglig grund och en särskild villkorlig grund eller undantag.

Registeransvarigas skyldigheter

Registeransvariga måste bland annat:

  • behandla personuppgifter lagligt, korrekt och öppet,
  • säkerställa att uppgifter endast används för specificerade, uttryckliga och berättigade ändamål,
  • begränsa lagringstiden till det som är nödvändigt för ändamålet,
  • se till att uppgifterna är korrekta och uppdaterade,
  • införa lämpliga tekniska och organisatoriska åtgärder för att skydda uppgifterna,
  • föra dokumentation över behandlingar och, i vissa fall, utse ett dataskyddsombud (DPO).

Överföring av uppgifter utanför Storbritannien

Överföringar av personuppgifter till länder utanför Storbritannien kräver särskilda skyddsåtgärder om landet inte har ett adekvat dataskyddsbeslut. Sådana åtgärder kan vara standardavtalsklausuler, bindande företagsregler (BCR) eller andra rättsliga mekanismer som säkerställer tillräcklig nivå av skydd.

Tillsyn och sanktioner

Den brittiska tillsynsmyndigheten för dataskydd, Information Commissioner’s Office (ICO), övervakar och verkställer lagen. ICO kan utreda klagomål, utfärda varningar och förelägganden samt utdöma administrativa böter. Under UK GDPR finns högre sanktioner för allvarliga överträdelser — upp till £17,5 miljoner eller 4 % av företagets globala årsomsättning (beroende på vilket belopp som är högst) — samt andra påföljder och förelägganden.

Praktiska råd

  • Som registrerad: begär tillgång till dina uppgifter, kontrollera vad som sparas om dig och hur länge, och kontakta organisationen först för att få missförstånd åtgärdade. Om du inte får gehör kan du klaga till ICO.
  • Som organisation: se över era register och rutiner, dokumentera laglig grund för varje behandling, uppdatera integritetspolicys och informera registrerade om deras rättigheter. Inför tekniska skyddsåtgärder som kryptering och regelbundna säkerhetskopior.

Slutsats

Data Protection Act 2018 ger ett modernt ramverk för skydd av personuppgifter i Storbritannien och förstärker individens rättigheter. Lagen ställer krav både på dem som samlar in och använder uppgifter och på de organisationer som lagrar dem, samtidigt som den ger tillsynsmyndigheter verktyg att vidta åtgärder vid överträdelser. Att förstå sina rättigheter och skyldigheter är viktigt både för privatpersoner och för verksamheter som hanterar personuppgifter.

Huvudpunkterna i dataskyddslagen

Detta är en kortfattad och förenklad sammanfattning av huvudprinciperna i den brittiska dataskyddslagen.

Detta gäller t.ex. information om personal, kunder och kontoinnehavare;

  • Om du samlar in uppgifter om människor av en anledning får du inte använda dem av en annan anledning;
  • Du får inte lämna ut uppgifter om människor till andra personer eller organisationer om de inte samtycker till det;
  • Människor har rätt att ta del av de uppgifter som organisationer lagrar om dem;
  • Uppgifterna får inte sparas längre än nödvändigt och måste hållas uppdaterade;
  • Du får inte skicka uppgifterna till platser utanför Europeiska ekonomiska samarbetsområdet om det inte finns tillräckliga skyddsnivåer;
  • Organisationer som lagrar uppgifter om människor måste registrera sig hos Information Commissioner's Office;
  • Om du lagrar uppgifter om människor måste du se till att de är säkra och väl skyddade;
  • Om en organisation har felaktiga uppgifter om dig har du rätt att be dem ändra dem.



Relaterade sidor



Frågor och svar

F: Vad är Data Protection Act 2018?


S: Data Protection Act 2018 är en lag som antogs av den brittiska regeringen 2018, och den ersätter den som antogs 1998. Den innehåller regler för personer som använder eller lagrar uppgifter om levande människor och ger rättigheter till de personer vars uppgifter har samlats in.

F: Vilka typer av uppgifter gäller lagen för?


S: Lagen gäller för personuppgifter som är fakta som din adress, telefonnummer, e-postadress, jobbhistorik etc.

F: Vilka typer av lagringssystem omfattas av lagen?


S: Lagen gäller för uppgifter som lagras på datorer eller i någon form av lagringssystem, även pappersdokument.

F: Vad kallas de personer som använder informationen?


S: De som använder informationen kallas personuppgiftsansvariga.

F: Vad kallar man de personer som uppgifterna handlar om?


S: De personer som uppgifterna handlar om kallas för registrerade.

F: Ger Data Protection Act 2018 några rättigheter till dem vars uppgifter har samlats in?


S: Ja, dataskyddslagen från 2018 ger rättigheter till de personer vars uppgifter har samlats in.

F: Vilka rättigheter ges till personer vars uppgifter har samlats in enligt Data Protection Act 2018?


S: Data Protection Act 2018 ger rättigheter till personer vars uppgifter har samlats in, såsom rätten att få tillgång till sin information, rätten att få sin information korrigerad eller raderad och rätten att invända mot att deras information används för vissa ändamål.


Sök
AlegsaOnline.com - 2020 / 2025 - License CC3