Storbritanniens dataskyddslag 2018 – personuppgifter och rättigheter

Data Protection Act 2018 (c 29) är en lag som antogs av den brittiska regeringen 2018 och som ersätter den lag som antogs 1998. Lagen införlivar och kompletterar bestämmelserna i dataskyddsregelverket efter EU:s allmänna dataskyddsförordning (GDPR) och fungerar tillsammans med vad som i dag kallas UK GDPR efter Storbritanniens utträde ur EU. Den uppdaterar reglerna för hur personuppgifter får hanteras och stärker de registrerades rättigheter.

Vad lagen omfattar

Lagen innehåller regler för personer som använder eller lagrar uppgifter om levande personer och ger rättigheter till de personer vars uppgifter har samlats in. Lagen gäller för uppgifter som lagras på datorer eller i alla slags lagringssystem, även pappersdokument. Den omfattar personuppgifter, det vill säga uppgifter som direkt eller indirekt kan identifiera en fysisk person — till exempel namn, adress, telefonnummer, e‑postadress, personnummer, men även uppgifter om hälsa, politiska åsikter eller etniskt ursprung i särskilda fall.

Vem som omfattas och vilka roller som finns

De personer som använder informationen kallas registeransvariga (data controllers). Det kan vara företag, myndigheter, föreningar eller andra organisationer. De som uppgifterna handlar om kallas registrerade (data subjects). Det finns även personuppgiftsbiträden (data processors) — företag eller personer som behandlar uppgifter för den registeransvariges räkning.

Rättigheter för den registrerade

Personer vars uppgifter behandlas har flera viktiga rättigheter. De vanligaste är:

• Rätt att få tillgång — möjlighet att begära en kopia av de uppgifter som finns om dig (s.k. subject access request).
• Rätt till rättelse — få felaktiga eller ofullständiga uppgifter rättade.
• Rätt till radering (”rätten att bli glömd”) — i vissa situationer kan du begära att personuppgifter tas bort.
• Rätt att begränsa behandling — få behandling begränsad under utredning eller vid oenighet om korrekthet.
• Rätt att göra invändning — invända mot behandling som bygger på intresseavvägning eller direktmarknadsföring.
• Rätt till dataportabilitet — få sina uppgifter i ett strukturerat, allmänt använt och maskinläsbart format och få dem överförda till en annan tjänst när behandlingen bygger på samtycke eller avtal och sker automatiserat.
• Rätt att inte bli föremål för automatiserade beslut — inklusive profilering som ger rättsliga effekter eller på liknande sätt påverkar dig i hög grad.

Observera att dessa rättigheter inte är absoluta. Det finns undantag, till exempel för brottsbekämpning, juridiska krav, fri yttrandefrihet eller allmänintresse.

Lagliga grunder för behandling

En registeransvarig måste ha en giltig laglig grund för att behandla personuppgifter. De vanligaste grunderna är:

• samtycke från den registrerade,
• avtal (behandling nödvändig för att fullgöra ett avtal),
• laglig förpliktelse,
• livsviktiga intressen,
• uppgift av allmänt intresse eller myndighetsutövning (public task),
• berättigat intresse (legitimate interests) — efter en noggrann avvägning mot den registrerades intressen.

Särskilda kategorier av personuppgifter

Vissa uppgifter räknas som känsliga (särskilda kategorier): uppgifter om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, genetiska och biometriska uppgifter som identifierar en person, hälsa samt uppgifter om sexliv eller sexuell läggning. Behandling av sådana uppgifter kräver både en laglig grund och en särskild villkorlig grund eller undantag.

Registeransvarigas skyldigheter

Registeransvariga måste bland annat:

• behandla personuppgifter lagligt, korrekt och öppet,
• säkerställa att uppgifter endast används för specificerade, uttryckliga och berättigade ändamål,
• begränsa lagringstiden till det som är nödvändigt för ändamålet,
• se till att uppgifterna är korrekta och uppdaterade,
• införa lämpliga tekniska och organisatoriska åtgärder för att skydda uppgifterna,
• föra dokumentation över behandlingar och, i vissa fall, utse ett dataskyddsombud (DPO).

Överföring av uppgifter utanför Storbritannien

Överföringar av personuppgifter till länder utanför Storbritannien kräver särskilda skyddsåtgärder om landet inte har ett adekvat dataskyddsbeslut. Sådana åtgärder kan vara standardavtalsklausuler, bindande företagsregler (BCR) eller andra rättsliga mekanismer som säkerställer tillräcklig nivå av skydd.

Tillsyn och sanktioner

Den brittiska tillsynsmyndigheten för dataskydd, Information Commissioner’s Office (ICO), övervakar och verkställer lagen. ICO kan utreda klagomål, utfärda varningar och förelägganden samt utdöma administrativa böter. Under UK GDPR finns högre sanktioner för allvarliga överträdelser — upp till £17,5 miljoner eller 4 % av företagets globala årsomsättning (beroende på vilket belopp som är högst) — samt andra påföljder och förelägganden.

Praktiska råd

• Som registrerad: begär tillgång till dina uppgifter, kontrollera vad som sparas om dig och hur länge, och kontakta organisationen först för att få missförstånd åtgärdade. Om du inte får gehör kan du klaga till ICO.
• Som organisation: se över era register och rutiner, dokumentera laglig grund för varje behandling, uppdatera integritetspolicys och informera registrerade om deras rättigheter. Inför tekniska skyddsåtgärder som kryptering och regelbundna säkerhetskopior.

Slutsats

Data Protection Act 2018 ger ett modernt ramverk för skydd av personuppgifter i Storbritannien och förstärker individens rättigheter. Lagen ställer krav både på dem som samlar in och använder uppgifter och på de organisationer som lagrar dem, samtidigt som den ger tillsynsmyndigheter verktyg att vidta åtgärder vid överträdelser. Att förstå sina rättigheter och skyldigheter är viktigt både för privatpersoner och för verksamheter som hanterar personuppgifter.