Informationsskyldighet enligt dataskyddsförordningen Joachim Angermund, Charlotta Sandström, Ingela Alverfors februari 2017 Denna presentation har tagits fram inom ramen för informationsutskottet i GDPR-nätverket för den offentliga sektorn. Materialet är fritt att användas och kan uppfylla olika syften t.ex. informationsinhämtning, utbildning etc. När materialets publiceras, februari 2017, pågår fortfarande de nationella utredningarna som kommer att föreslå kompletterande lagstiftning för såväl dataskyddsförordningen som helhet som för olika myndighetssektorer. Materialet kan därför komma att uppdateras vid behov. Alla tolkningar av förordningstexten är författarnas egna. Skriv in sidfotstext här
Innehåll Allmänna reflektioner Om informationsskyldigheten Relevanta artiklar och beaktandeskäl Information som PuA ska lämna självmant Information som ska lämnas på begäran av den registrerade Undantag och begränsningar Läsanvisningar Text som hänvisar till en särskild artikel kan vara komprimerad, omformulerad eller icke fullständig. Text som är rödmarkerad visar att regeln/formuleringen är ny i förhållande till personuppgiftslagen. (OBS! när en hel artikel är ny i förhållande till PuL är denna text inte alltid rödmarkerad). För att få en fullständig överblick av samtliga bestämmelser och hur de ska tolkas i det enskilda fallet behöver man studera hela förordningstexten. Asterisker visar att det finns ytterligare information i manus. Särskilda begrepp och förkortningar Förordningen eller GDPR – EU:s allmänna dataskyddsförordning (EU) 2016/679 PuA – personuppgiftsansvarig Registerutdrag – information som den personuppgiftsansvarige ska lämna på begäran av den registrerade. Skriv in sidfotstext här
1. Allmänna reflektioner Principiellt sett samma regelstruktur som i Dataskyddsdirektivet 95/46/EG. Snarast ett kluster av artiklar och beaktandeskäl än en sekventiell ordning. Kraven i dataskyddsförordningen är, jämfört med personuppgiftslagen, mer preciserade, omfattande och krävande. Bestämmelserna aktualiserar EU-rättslig regeltolkning. Skriv in sidfotstext här
2. Om informationsskyldigheten Regleringens struktur Skyldigheter och rättigheter Informationsskyldighet som PuA ska uppfylla självmant När uppgifterna samlas in från den registrerade När uppgifterna samlas in från någon annan källa Informationsskyldighet som PuA ska uppfylla på den enskildes begäran När? Inom en månad Inom tre månader om särskilda omständigheter Skriv in sidfotstext här
Forts. om informationsskyldigheten Vad? Informationsskyldighetens omfattning Aktuella personuppgifter med anknytande information om behandlingen Hur? Kostnadsfritt, enkelt, tydligt och lättillgängligt Pappersbaserat Elektroniskt Muntligen Skriv in sidfotstext här
3. Relevanta artiklar och beaktandeskäl Artikel 11 Behandling som inte kräver identifiering Skäl 57 Artikel 12 Klar och tydlig information och kommunikation samt klara och tydliga villkor för utövandet av den registrerades rättigheter Skäl 58, 59 Artikel 13 Information som ska tillhandahållas om personuppgifterna samlas in från den registrerade Skäl 59, 60, 61, 62 Artikel 14 Information som ska tillhandahållas om personuppgifterna inte har erhållits från den registrerade Skriv in sidfotstext här
Forts. relevanta artiklar Artikel 15 Den registrerades rätt till tillgång Skäl 63, 64 Artikel 23 Begränsningar Skäl 73 Skriv in sidfotstext här
4. Information som PuA ska lämna självmant Skriv in sidfotstext här
Om PuA erhåller personuppgifterna från den registrerade, art. 13.1 PuA:s identitet, kontaktuppgifter och uppgift om ev. företrädare Kontaktuppgifter till dataskyddsombudet Ändamål och rättslig grund för behandling Om behandlingen grundar sig på art. 6.1.f) berättigat intresse* Mottagarna eller de kategorier av mottagare som, i förekommande fall, ska ta del av personuppgifterna** Om personuppgifterna kommer att överföras till tredje land, stöd för överföringen och information om skyddsåtgärder*** * Enligt art. 6.1 sista meningen i dataskyddsförordningen kan myndigheter inte behandla personuppgifter med stöd av art. 6.1.f) (s.k. intresseavvägning) när de fullgör sina uppgifter. Det är oklart om begreppet ”sina uppgifter” kan antas utgöra den verksamhet som faller inom ramarna för en myndighets uppdrag/kärnverksamhet. ** Enligt definitionen i art. 4 i dataskyddsförordningen avses med ”mottagare” en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ till vilket uppgifterna lämnas ut, vare sig det är tredje part eller inte; offentliga myndigheter som kan komma att motta personuppgifter inom ramen för ett särskilt uppdrag i enlighet med unionsrätten eller medlemstaternas nationella rätt ska dock inte betraktas som mottagare; offentliga myndigheters behandling av dessa uppgifter ska vara förenlig med tillämpliga bestämmelser för dataskydd beroende på behandlingens syfte. (Se även skäl 31). Enligt definitionen i 3 § PuL är mottagare den till vilken personuppgifter lämnas ut. När personuppgifter lämnas ut för att en myndighet ska kunna utföra sådan tillsyn, kontroll eller revision som den är skyldig att sköta anses dock inte myndigheten som mottagare. I kommentaren till personuppgiftslagen (Lindblom/Öman fjärde upplagan s. 85 ) anges följande om begreppet mottagare: ”Begreppet omfattar i princip samtliga till vilka personuppgifter lämnas ut, även om den som tar emot uppgifterna inte skulle vara tredje man. Även den registrerade, personuppgiftsbiträdet och sådana personer som under den personuppgiftsansvariges eller personuppgiftsbiträdets direkta ansvar har befogenhet att behandla personuppgifter verkar således kunna betraktas som mottagare, liksom personuppgiftsombud (SOU s. 332). Det förefaller dock inte sannolikt att information i samband med insamlingen av personuppgifter eller i ett registerutdrag enligt 26 § ska behöva innefatta upplysning om vilka inom den personuppgiftsansvariges organisation som har tillgång till uppgifterna. Det bör vara möjligt att utelämna information om de personer som är anställda eller motsvarande hos den personuppgiftsansvarige. Jämför dock EG-domstolens dom 2009-05-07 i mål C-553/07, REG 2009 s. I-3889, om att information om mottagarna eller kategorier av mottagare måste sparas under viss tid för att kunna tas med i ett registerutdrag.” Det är oklart i vilken mån begreppet ”mottagare” ska anses inneha en annan innebörd i dataskyddsförordningen jämfört med personuppgiftslagen. *** Överföringen till tredje land gäller även internationella organisationer. PuA ska i förekommande fall informera om följande: Om kommissionen har fattat beslut om att adekvat skyddsnivå eller inte (se art. 45). Om överföringen har lagligt stöd i art. 46 (PuA eller PuB har vidtagit lämpliga skyddsåtgärder m.m.), art. 47 (bindande företagsbestämmelser s.k. BCR) eller art. 49.1 andra stycket (överföringen inte är repetitiv, rör ett begränsat antal registrerade, tillåten efter en intresseavvägning m.m.) ska PuA hänvisa till lämpliga eller passande skyddsåtgärder och hur en kopia av dem kan erhållas eller var dessa har gjorts tillgängliga. Skriv in sidfotstext här
PuA ska även informera om; art. 13.2 Hur länge personuppgifterna ska lagras eller vilka kriterier som används för att fastställa denna period Den registrerades rätt till registerutdrag, rättelse, radering, begränsning av behandling, invända mot behandling samt dataportabilitet* Rätten att återkalla samtycke (om behandlingen är grundad på samtycke) Rätten att ge in klagomål till en tillsynsmyndighet (Datainspektionen) Om den registrerade är skyldig att tillhandhålla personuppgifter enligt lag eller om det är ett avtalsenligt krav, eller om det är nödvändigt för att ingå avtal samt de möjliga följderna av att den registrerade inte lämnar uppgifterna Förekomsten av automatiserat beslutsfattande inbegripet profilering samt information om logiken bakom, betydelsen och de förutsedda följderna av sådan behandling * I förordningen anges inte uttryckligen att den personuppgiftsansvarige bara behöver informera om sådana rättigheter som den personuppgiftsansvarige lagligen måste uppfylla. Exempelvis behöver den personuppgiftsansvarige endast efterkomma en begäran om dataportabilitet om den registrerade har tillhandahållit uppgifterna och dessa behandlas med stöd av samtycke eller med stöd av ett avtal. Rimligtvis borde den personuppgiftsansvarige inte behöva informera om t.ex. rätten till dataportabilitet om denna rättighet inte kan utövas av den registrerade eller uppfyllas av den personuppgiftsansvarige. Skriv in sidfotstext här
Forts. art. 13 Art. 13.3 Vid behandling för ett annat syfte än det för vilka personuppgifterna samlades in ska PuA informera den registrerade om detta samt ge ytterligare relevant information enligt art. 13.2. Art. 13.4 Om den registrerade redan förfogar över informationen behöver PuA inte informera enligt art. 13.1-13.3.* * Av skäl 62 framgår att det inte är nödvändigt att införa någon skyldighet att tillhandahålla information om; den registrerade redan innehar denna information, registreringen eller utlämnandet av personuppgifterna uttryckligen föreskrivs i lag, eller det visar sig vara omöjligt eller skulle medföra orimliga ansträngningar att tillhandahålla informationen till den registrerade. Skriv in sidfotstext här
Om PuA erhåller personuppgifterna från annan, art. 14.1 PuA:s identitet, kontaktuppgifter och uppgift om ev. företrädare Kontaktuppgifter till dataskyddsombudet Ändamål och rättslig grund för behandling De kategorier av uppgifter som ska behandlas Mottagarna eller de kategorier av mottagare som, i förekommande fall, ska ta del av personuppgifterna* Om personuppgifterna kommer att överföras till tredje land, stöd för det och information om skyddsåtgärder** * Enligt definitionen i art. 4 i dataskyddsförordningen avses med ”mottagare” en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ till vilket uppgifterna lämnas ut, vare sig det är tredje part eller inte; offentliga myndigheter som kan komma att motta personuppgifter inom ramen för ett särskilt uppdrag i enlighet med unionsrätten eller medlemstaternas nationella rätt ska dock inte betraktas som mottagare; offentliga myndigheters behandling av dessa uppgifter ska vara förenlig med tillämpliga bestämmelser för dataskydd beroende på behandlingens syfte. (Se även skäl 31). Enligt definitionen i 3 § PuL är mottagare den till vilken personuppgifter lämnas ut. När personuppgifter lämnas ut för att en myndighet ska kunna utföra sådan tillsyn, kontroll eller revision som den är skyldig att sköta anses dock inte myndigheten som mottagare. I kommentaren till personuppgiftslagen (Lindblom/Öman fjärde upplagan s. 85 ) anges följande om begreppet mottagare: ”Begreppet omfattar i princip samtliga till vilka personuppgifter lämnas ut, även om den som tar emot uppgifterna inte skulle vara tredje man. Även den registrerade, personuppgiftsbiträdet och sådana personer som under den personuppgiftsansvariges eller personuppgiftsbiträdets direkta ansvar har befogenhet att behandla personuppgifter verkar således kunna betraktas som mottagare, liksom personuppgiftsombud (SOU s. 332). Det förefaller dock inte sannolikt att information i samband med insamlingen av personuppgifter eller i ett registerutdrag enligt 26 § ska behöva innefatta upplysning om vilka inom den personuppgiftsansvariges organisation som har tillgång till uppgifterna. Det bör vara möjligt att utelämna information om de personer som är anställda eller motsvarande hos den personuppgiftsansvarige. Jämför dock EG-domstolens dom 2009-05-07 i mål C-553/07, REG 2009 s. I-3889, om att information om mottagarna eller kategorier av mottagare måste sparas under viss tid för att kunna tas med i ett registerutdrag.” Det är oklart i vilken mån begreppet ”mottagare” ska anses inneha en annan innebörd i dataskyddsförordningen jämfört med personuppgiftslagen. ** Överföringen till tredje land gäller även internationella organisationer. PuA ska i förekommande fall informera om följande: Om kommissionen har fattat beslut om att adekvat skyddsnivå eller inte (se art. 45). Om överföringen har lagligt stöd i art. 46 (PuA eller PuB har vidtagit lämpliga skyddsåtgärder m.m.), art. 47 (bindande företagsbestämmelser s.k. BCR) eller art. 49.1 andra stycket (överföringen inte är repetitiv, rör ett begränsat antal registrerade, tillåten efter en intresseavvägning m.m.) ska PuA hänvisa till lämpliga eller passande skyddsåtgärder och hur en kopia av dem kan erhållas eller var dessa har gjorts tillgängliga. Skriv in sidfotstext här
PuA ska även informera om; art. 14.2 Hur länge personuppgifterna ska lagras eller vilka kriterier som används för att fastställa denna period Om behandlingen grundar sig på art. 6.1.f) berättigat intresse* Den registrerades rätt till registerutdrag, rättelse, radering, begränsning av behandling, invända mot behandling samt dataportabilitet** Rätten att återkalla samtycke (om behandlingen är grundad på samtycke) Rätten att ge in klagomål till en tillsynsmyndighet Varifrån personuppgifterna kommer och om de har sitt ursprung i allmänt tillgängliga källor Förekomsten av automatiserat beslutsfattande inbegripet profilering samt information om logiken bakom, betydelsen och de förutsedda följderna av sådan behandling * Enligt art. 6.1 sista meningen i dataskyddsförordningen kan myndigheter inte behandla personuppgifter med stöd av art. 6.1.f) (s.k. intresseavvägning) när de fullgör sina uppgifter. Det är oklart om begreppet ”sina uppgifter” kan antas utgöra den verksamhet som faller inom ramarna för en myndighets uppdrag/kärnverksamhet. ** I förordningen anges inte uttryckligen att den personuppgiftsansvarige bara behöver informera om sådana rättigheter som den personuppgiftsansvarige lagligen måste uppfylla. Exempelvis behöver den personuppgiftsansvarige endast efterkomma en begäran om dataportabilitet om den registrerade har tillhandahållit uppgifterna och dessa behandlas med stöd av samtycke eller med stöd av ett avtal. Rimligtvis borde den personuppgiftsansvarige inte behöva informera om t.ex. rätten till dataportabilitet om denna rättighet inte kan utövas av den registrerade eller behöver uppfyllas av den personuppgiftsansvarige. Skriv in sidfotstext här
Forts. art. 14 Art. 14.3 När ska PuA lämna informationen? Inom en rimlig period, men senast inom en månad Om personuppgifterna ska användas för kommunikation med den registrerade; senast vid den första kommunikationen Om personuppgifterna ska lämnas till annan mottagare; senast när de lämnas ut första gången Art. 14.4 Om PuA ska behandla uppgifterna för ett annat syfte ska den registrerade informeras om detta samt få relevant information enligt art. 14.2. Skriv in sidfotstext här
PuA behöver inte informera; art 14.5 Om den registrerade redan förfogar över informationen* Om det är omöjligt eller medför en oproportionell ansträngning** Erhållandet eller utlämnandet föreskrivs i unions- eller nationell rätt som den registrerade omfattas av och som fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen*** Personuppgifterna måste förbli konfidentiella p.g.a. av sekretess eller tystnadsplikt * Av skäl 62 framgår att det inte är nödvändigt att införa någon skyldighet att tillhandahålla information om; den registrerade redan innehar denna information, registreringen eller utlämnandet av personuppgifterna uttryckligen föreskrivs i lag, eller det visar sig vara omöjligt eller skulle medföra orimliga ansträngningar att tillhandahålla informationen till den registrerade. ** Denna begränsning av informationsskyldigheten gäller särskilt behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål (se även skäl 62). Begränsningen gäller också i den mån uppfyllandet av målen med behandlingen omöjliggörs eller avsevärt försvåras om de registrerade informeras om behandlingen i enlighet med bestämmelserna i art. 14.1 (det kan noteras att hänvisning saknas till art. 14.2). Om PuA inte informerar den registrerade med stöd av art. 14.5 ska PuA vidta lämpliga åtgärder för att skydda den registrerades rättigheter och friheter och berättigade intressen, inbegripet göra uppgifterna tillgängliga för allmänheten. *** Det kan noteras att detta undantag inte finns i art. 13 som tar sikte på situationer där uppgifterna samlas in direkt från den registrerade. Skriv in sidfotstext här
Hur ska informationen lämnas? Art. 12.1 All information ska tillhandahållas i en koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användning av ett klart och tydligt språk Informationen ska tillhandahållas skriftligt, eller i någon annan form, inbegripet, när så är lämpligt, i elektronisk form. Om den registrerade begär det får informationen tillhandahållas muntligt om den registrerades identitet har bevisats. Av art. 12.7 och 12.8 i förordningen framgår att information som ska lämnas (enligt art. 13-14) får tillhandahållas kombinerad med standardiserade symboler och att kommissionen genom att anta delegerade akter har befogenhet att fastställa vilken information som ska visas med hjälp av symboler. I skäl 58 nämns också att PuA vid behov bör använda visualisering vilket kan antas vara t.ex. standardiserade symboler. Skriv in sidfotstext här
Hur ska information lämnas enligt PuL? I PuL finns inga regler för hur information ska lämnas förutom när den registrerade ansöker om ett utdrag och det finns uppgifter som behandlas (26 §). Då ska informationen lämnas skriftligen. När det gäller information som samlas in från den registrerade (23 §) resp. från någon annan (24 §)bör den enligt Data– inspektionens allmänna råd om information till registrerade (i korthet) lämnas på samma sätt som den samlas in (muntligt, skriftligt eller elektroniskt). Skriv in sidfotstext här
5. Information som ska lämnas på begäran av den registrerade Skriv in sidfotstext här
Registerutdragets syfte Skäl 63 Registerutdraget syftar till att den registrerade ska medvetandegöras om att dennes personuppgifter behandlas och kunna kontrollera att behandlingen är laglig. Den registrerade ska, på ett enkelt sätt och med rimliga intervall, kunna få tillgång till registerutdrag. Skriv in sidfotstext här
Information som ska lämnas på begäran, art. 15 (registerutdrag) Bekräftelse på om personuppgifter behandlas om den registrerade och tillgång till uppgifterna samt följande information: Ändamålen med behandlingen De kategorier av personuppgifter som behandlas Mottagare/kategorier av mottagare som personuppgifterna har, eller ska, lämnas ut till särskilt mottagare i tredjeländer eller internationella organisationer Om möjligt, hur länge personuppgifterna kommer att lagras eller, om detta inte är möjligt, vilka kriterier som används för att fastställa denna period Skriv in sidfotstext här
Forts. art. 15.1 Rätten att begära rättelse, radering, begränsning av behandling eller invända mot sådan behandling, under förutsättning att det finns sådana rättigheter* Rätten att ge in klagomål till en tillsynsmyndighet (Datainspektionen) Om personuppgifterna samlats in från annan än den registrerade; all tillgänglig information om varifrån dessa uppgifter kommer Förekomsten av automatiserat beslutsfattande inbegripet profilering samt information om logiken bakom, betydelsen och de förutsedda följderna av sådan behandling * Det kan noteras att uppräkningen av den registrerades rättigheter inte omfattar rätten till dataportabilitet (art. 20) och rätten att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, inbegripet profilering (art. 22). Skriv in sidfotstext här
Forts. art. 15 Art. 15.2 Om personuppgifterna överförs till ett tredjeland eller till en internationell organisation ska information lämnas om de lämpliga skyddsåtgärder (art. 46) som har vidtagits vid överföringen. Art. 15.3 Den registrerade ska få en kopia av de personuppgifter som behandlas. Begär den registrerade ytterligare kopior får PuA ta ut en rimlig avgift pga. administrativa kostnader.* Om begäran görs i elektronisk form ska informationen tillhandahållas i ett elektroniskt format som är allmänt använt om den registrerade inte begär något annat.** Art. 15.4 Rätten till registerutdrag ska inte inverka menligt på andras rättigheter och friheter. * Det är oklart vilket lagligt stöd myndigheter ska kunna använda för att ta ut sådana avgifter. Möjligen kommer detta kunna ske med stöd av avgiftsförordningen (1992:191) och anknytande lagstiftning. ** I skäl 63 anges vidare att [o]m möjligt bör den personuppgiftsansvarige kunna ge fjärråtkomst till ett säkert system genom vilket den registrerade kan få direkt åtkomst till sina personuppgifter. När det gäller kravet på att PuA ska kunna tillhandahålla ett registerutdrag elektroniskt bör detta rimligen vara avhängigt möjligheten för PuA att kunna göra det på ett sätt som uppfyller säkerhetskraven i GDPR. Följande exempel kan ses som inspiration för hur man kan tillhandhålla registerutdrag elektroniskt via e-tjänster där identifiering sker med stark autentisering. Mina sidor Mina Meddelanden 1177 Vårdguiden Läkemedelskollen Skriv in sidfotstext här
Handlägga registerutdrag, art. 12 Huvudregel – Registerutdrag ska lämnas inom en månad. Undantag – Perioden får förlängas med ytterligare två månader med beaktande av om begäran är komplicerad och antalet inkomna begäran. Om undantaget tillämpas ska PuA, inom en månad från det att begäran inkom, underrätta den registrerade om förlängningen och dessutom ange orsakerna till förseningen. Art. 12.4 Om PuA inte vidtar åtgärder med anledning av den registrerades begäran om registerutdrag ska PuA, senast en månad efter att ha mottagit begäran, informera den registrerade om orsaken till detta och om möjligheten att lämna in ett klagomål till Datainspektionen och begära rättslig prövning. Skriv in sidfotstext här
Forts. handlägga registerutdrag, art. 12 Informationen i registerutdraget ska vara koncis, klar och tydlig och i lätt tillgänglig form, med användning av klart och tydligt språk. Art. 12.3 Om den registrerade lämnar begäran i elektronisk form, ska registerutdraget, om möjligt, tillhandahållas i elektronisk form, om den registrerade inte begär något annat.* Art. 12.5 Registerutdrag ska lämnas kostnadsfritt. Skäl 63 Om PuA behandlar en stor mängd uppgifter om den registrerade bör PuA kunna begära att den registrerade anger vilka information eller vilken behandling framställan avser. * I skälen nämns också att PuA vid behov ska använda visualisering (58) och bör tillhandahålla hjälpmedel för elektroniskt ingivna framställningar (59). Det kan noteras att när det gäller registerutdrag så anges i art. 15.3 att PuA ska tillhandahålla registerutdrag i elektroniskt format om begäran görs i elektronisk form. En förutsättning för att registerutdrag ska kunna tillhandahållas elektroniskt är förstås att det kan göras på ett säkert sätt och att det går att säkerställa att det är rätt mottagare. När det gäller visualisering framgår det av art. 12.8 och art. 92.2 i förordningen att kommissionen kan anta delegerade akter för att fastställa vilken information som ska visas med hjälp av symboler. Om symboler kan komma att användas även i registerutdrag är oklart. Det kan noteras att PuL:s krav på att en begäran om registerutdrag ska vara skriftlig och undertecknad av sökanden inte finns i dataskyddsförordningen. Den enskildes identitet måste dock säkerställas på något sätt. Skriv in sidfotstext här
När behöver PuA inte tillhandahålla registerutdrag? Art. 12.2. Om PuA visar att denne inte är i stånd att identifiera den registrerade.* Art. 12.5. Om begäranden är uppenbart ogrundade eller orimliga, särskilt på grund av dess repetitiva art. PuA måste kunna visa att begäran är uppenbart ogrundad eller orimlig. PuA kan, i stället för att vägra tillmötesgå begäran, ta ut en rimlig avgift som täcker de administrativa kostnaderna. Art. 12.6. Om PuA har rimliga skäl att betvivla den registrerades identitet kan PuA begära att ytterligare information som bekräftar den registrerades identitet tillhandahålls.** * Av art. 11 i dataskyddsförordningen framgår att PuA inte är tvungen att behandla ytterligare personuppgifter endast i syfte att följa förordningen, om den behandling som utförs inte kräver att den registrerade kan identifieras av PuA. Om PuA kan visa att denne inte är i stånd att identifiera den registrerade gäller inte rätten till registerutdrag för den registrerade. Men om den registrerade kan tillhandahålla ytterligare information till PuA, som möjliggör att PuA kan identifiera den registrerade, då har den registrerade också rätt att erhålla ett registerutdrag (se art. 11.2). ** Av skäl 64 framgår att PuA bör vidta alla rimliga åtgärder för att kontrollera identiteten på en registrerad som begär registerutdrag. Skriv in sidfotstext här
6. Undantag och begränsningar Skriv in sidfotstext här
Undantag och begränsningar Art. 23 I bestämmelsen ges, under vissa förutsättningar, möjligheter till bl.a. nationella begränsningar i informationsplikten. En sådan begränsning ska ske med respekt för andemeningen i de grundläggande rättigheterna och friheterna samt utgöra en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa den nationella säkerheten, försvaret, den allmänna säkerheten, m.m. I samband med Justitiedepartementets utredning, Dataskyddsutredningen 2016:04, kommer behovet av nationella undantag och begränsningar att ses över. Skriv in sidfotstext här
Behandling som inte kräver identifiering Art. 11 Artikeln som bygger på minimeringsprincipen innebär följande: När PuA utför en behandling som inte kräver att den registrerade kan identifieras, är PuA inte tvungen att bevara, förvärva eller behandla ytterligare information för att identifiera den registrerade endast i syfte att följa förordningen. Om PuA kan visa att denne inte är i stånd att identifiera den registrerade ska PuA, om möjligt, informera den registrerade om detta. I sådana fall gäller inte art. 15-20, förutom när den registrerade tillhandahåller ytterligare information som gör identifiering möjlig. Art. 11 sorterar under förordningens kapitel II ”Principer”. Det är något oklart hur artikeln ska tolkas och tillämpas men enligt vår bedömning är syftet med bestämmelsen bl.a. att PuA ska sträva efter att fler personuppgifter än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Om ändamålen med behandlingen inte kräver att PuA behandlar direkt utpekande personuppgifter bör uppgifterna t.ex. anonymiseras, pseudonymiseras eller, om möjligt, helt avidentifieras. Bestämmelsen klargör också att PuA aldrig behöver bevara personuppgifter enbart i syfte att kunna uppfylla den registrerades rättigheter. Skriv in sidfotstext här