Personuppgifter på den inre marknaden
Att personuppgifter kan flöda fritt mellan medlemsländerna anses vara en förutsättning för att den inre marknaden ska fungera. Framstegen på informationsteknikens område har också gjort det lättare att samla in, registrera, söka, lagra, bearbeta, sprida och utbyta sådana uppgifter. Därför ökar också behovet av en hög och för medlemsländerna gemensam nivå för skyddet mot integritetskränkningar i samband med behandling av personuppgifter.
Med personuppgifter menas all slags information som direkt eller indirekt kan hänföras till en fysisk, levande person. Det kan vara uppgifter som adress eller personnummer, eller andra uppgifter som är specifika för personens fysiska, fysiologiska, psykiska, ekonomiska, kulturella eller sociala identitet.
Reglerna rör inte personuppgifter för privata ändamål
EU:s regler omfattar inte behandlingen av personuppgifter som gäller utrikespolitik, polissamarbete, allmän säkerhet, statens säkerhet eller statens verksamhet på straffrättens område. Användning av personuppgifter för privata ändamål är också undantagna från de gemensamma reglerna. Exempel på privata ändamål är e-post mellan privatpersoner och register för personligt bruk. Det finns även undantag för behandling av personuppgifter för journalistiska, konstnärliga och litterära ändamål.
Personuppgifter får bara samlas in för särskilda syften
Personuppgifter får bara samlas in för särskilda, uttryckligen angivna och berättigade syften. Uppgifterna får inte senare användas för något annat ändamål som är oförenligt med det ursprungliga syftet. De får inte heller sparas längre än nödvändigt.
Personuppgifter får alltid behandlas då den registrerade givit sitt samtycke. De situationer då behandling är tillåten utan samtycke kan sammanfattas enligt följande:
- när det krävs för att fullgöra ett avtal där den registrerade är part
- för att fullgöra en rättslig skyldighet
- för att skydda vitala intressen för den registrerade
- för att utföra en arbetsuppgift av allmänt intresse eller i samband med en myndighetsutövning
- om det i övrigt efter en intresseavvägning bedöms som motiverat att behandling av personuppgifter ska få ske.
Känsliga uppgifter, om till exempel religion, politisk åsikt, facklig tillhörighet eller hälsotillstånd får inte behandlas. Dock gäller vissa undantag, bland annat när den enskilde gett sitt uttryckliga samtycke, för ideella föreningars administration samt för hälso- och sjukvårdens administration.
När personuppgifter samlas in ska registrerade personer informeras, bland annat om vem som är registeransvarig och vad uppgifterna ska användas till. Automatiserad behandling av personuppgifter måste i princip anmälas till en tillsynsmyndighet, men medlemslandet kan genom bransch- och sektorsreglering undanta sådan behandling av personuppgifter som inte kränker enskildas fri- och rättigheter.
Reglerna har genomförts i Sverige genom personuppgiftslagen
I Sverige har EU:s regler genomförts genom personuppgiftslagen, PuL. Personuppgiftslagen omfattar all automatiserad, i första hand datoriserad, behandling av personuppgifter. Manuell behandling, på papper, omfattas om uppgifterna ska ingå i ett regelrätt manuellt register.
Datatillsynsman övervakar EU:s institutioner
Det skydd för personuppgifter som finns reglerat inom EU ska även gälla för EU:s institutioner. Den europeiske datatillsynsmannen har till uppgift att se till att reglerna följs av EU:s institutioner. Datatillsysmannens uppgifter är att ta emot och utreda klagomål mot EU:s institutioner och organ, samt ge råd till EU:s institutioner om hur de ska hantera personuppgifter för att garantera ett godtagbart skydd för den registrerade medborgaren. Om en person misstänker att någon av EU:s institutioner har missbrukat uppgifter om dennes person kan han eller hon vända sig till datatillsynsmannen.