Personuppgifter på den inre marknaden
Att personuppgifter kan flöda fritt mellan medlemsländerna anses vara en förutsättning för att den inre marknaden ska fungera. Idag är det lätt att samla in, registrera, söka, lagra, bearbeta, sprida och utbyta sådana uppgifter. Därför finns ett behov av en gemensam nivå för skydd av personuppgifter.
Med personuppgifter menas all slags information som direkt eller indirekt kan hänföras till en fysisk, levande person. Det kan vara uppgifter som adress eller personnummer, eller andra uppgifter som är specifika för personens fysiska, fysiologiska, psykiska, ekonomiska, kulturella eller sociala identitet.
Reglerna rör inte personuppgifter för privata ändamål
Användning av personuppgifter för privata ändamål är undantagna från de gemensamma reglerna. Exempel på privata ändamål är e-post mellan privatpersoner och register för personligt bruk. Det finns även undantag för behandling av personuppgifter för journalistiska, konstnärliga och litterära ändamål.
Personuppgifter får bara samlas in för särskilda syften
Personuppgifter får bara samlas in för särskilda, uttryckligen angivna och berättigade syften. Uppgifterna får inte senare användas för något annat ändamål som är oförenligt med det ursprungliga syftet. De får inte heller sparas längre än nödvändigt.
Personuppgifter får alltid behandlas då den registrerade givit sitt samtycke. De situationer då behandling är tillåten utan samtycke kan sammanfattas enligt följande:
- när det krävs för att fullgöra ett avtal där den registrerade är part
- för att fullgöra en rättslig skyldighet
- för att skydda vitala intressen för den registrerade
- för att utföra en arbetsuppgift av allmänt intresse eller i samband med en myndighetsutövning
- om det i övrigt efter en intresseavvägning bedöms som motiverat att behandling av personuppgifter ska få ske.
Känsliga uppgifter, till exempel om etniskt ursprung, religion, politisk åsikt, facklig tillhörighet eller hälsotillstånd får inte behandlas. Det finns vissa undantag, bland annat när den enskilde gett sitt uttryckliga samtycke, för ideella föreningars administration samt för hälso- och sjukvårdens administration.
När personuppgifter samlas in ska registrerade personer få information om bland annat vem som är registeransvarig och vad uppgifterna ska användas till.
Reglerna har genomförts i Sverige genom personuppgiftslagen
I Sverige har EU:s regler genomförts genom personuppgiftslagen, PuL. Personuppgiftslagen omfattar all automatiserad, i första hand datoriserad, behandling av personuppgifter. Manuell behandling, på papper, omfattas om uppgifterna ska ingå i ett regelrätt manuellt register.
Datatillsynsman övervakar EU:s institutioner
Det skydd för personuppgifter som finns reglerat inom EU ska även gälla för EU:s institutioner. Den europeiske datatillsynsmannen har till uppgift att se till att reglerna följs av EU:s institutioner. Datatillsysmannens uppgifter är att ta emot och utreda klagomål mot EU:s institutioner och organ, samt ge råd till EU:s institutioner om hur de ska hantera personuppgifter för att garantera ett godtagbart skydd för den registrerade medborgaren. Om en person misstänker att någon av EU:s institutioner har missbrukat uppgifter om dennes person kan han eller hon vända sig till datatillsynsmannen.
Särskilda regler för skydd av personuppgifter vid brottsbekämpning
När det gäller brottsbekämpning och straffrättsligt samarbete finns speciella EU-regler för skydd av personuppgifter. Reglerna gäller vid överföring av personuppgifter mellan myndigheter när syftet är att förebygga, utreda, avslöja eller åtala brott eller verkställa straff.