Gå direkt till innehållet
Europeiska kommissionens logotyp
sv
Europeiska kommissionen

Vilka huvuddrag i den allmänna dataskyddsförordningen ska en offentlig förvaltning känna till?

Svar

En offentlig förvaltning är underställd bestämmelserna i förordningen när den behandlar personuppgifter om en enskild person. Det är de nationella förvaltningarnas ansvar att stödja regionala och lokala förvaltningar i förberedelserna för att tillämpa den allmänna dataskyddsförordningen.

De flesta personuppgifter som innehas av offentliga förvaltningar behandlas vanligen på grundval av en rättslig skyldighet eller i den mån det är nödvändigt för att utföra uppgifter som görs för allmänintresset  eller i utövandet av en officiell befogenhet som har anförtrotts förvaltningen.

När en offentlig förvaltning behandlar personuppgifter måste den iaktta huvudprinciper såsom :

  • rättvis och lagenlig behandling,
  • ändamålsbegränsning,
  • uppgiftsminimering och uppgiftslagring.

När det gäller behandling på grundval av lagstiftningen, ska lagstiftningen redan säkerställa att dessa principer följs (t.ex. gällande typ av uppgifter, lagringsperiod och lämpliga skyddsmekanismer).

Innan personuppgifter behandlas måste ni enskilda personer ges information om behandlingen, såsom dess ändamål, vilka slags uppgifter som samlas in, mottagarna och vilka dataskyddsrättigheter personerna har.

En offentlig förvaltning har en skyldighet att utse ett dataskyddsombud men ett enskilt dataskyddsombud kan utses som ansvarigt för flera offentliga organ och därmed delas mellan dem eller så kan denna uppgift läggas ut på entreprenad till ett externt dataskyddsombud. Den måste också säkerställa att lämpliga tekniska och organisatoriska åtgärder har genomförts för att säkra personuppgifter. Om delar av behandlingen läggs ut på entreprenad till en utomstående organisation (så kallat personuppgiftsbiträde), måste det finnas ett avtal eller en annan rättsakt som säkrar att personuppgiftsbiträdet ger tillräckliga garantier om att införa lämpliga tekniska och organisatoriska åtgärder som uppfyller standarderna i förordningen.

I fall då personuppgifter avslöjas oavsiktligt eller olagligen för obehöriga mottagare eller blir tillfälligt otillgängliga eller ändras, så måste incidenten anmälas till dataskyddsmyndigheten utan onödigt dröjsmål och senast inom 72 timmar efter att incidenten blev känd. Den offentliga förvaltningen kan också behöva informera enskilda personer om incidenten.

Ni hittar mer information om skyldigheter för den offentliga förvaltningen enligt förordningen i avdelningen ”Företag och organisationer.

Referenser

References