Implementeringen av EU:s dataskyddsförordning

 In Nyheter

Dataskyddsutredningen har presenterat sitt förslag till ny svensk reglering om personuppgiftsbehandling.

Dataskyddsutredningens uppdrag har varit att föreslå en ny nationell reglering om personuppgiftsbehandling som på ett generellt plan ska komplettera den nya dataskyddsförordningen som har beslutats inom EU.

Den 12 maj presenterades utredningens betänkande, SOU 2017:39. Utredningen föreslår, förutom att personuppgiftslagen ska upphävas, att dataskyddsförordningen kompletteras för svenska förhållanden med dels en lag – kallad dataskyddslagen – och dels en förordning. Bestämmelserna ska träda i kraft vid samma tidpunkt som dataskyddsförordningen, d v s den 25 maj 2018.

Dataskyddslagen föreslås innehålla en upplysningsbestämmelse om att bestämmelserna i dataskyddsförordningen och dataskyddslagen inte ska tillämpas på sätt som strider mot grundlagsbestämmelserna om tryck- och yttrandefrihet.

Dataskyddsutredningen föreslår att barn som fyllt 13 år, istället för 16 år som anges i dataskyddsförordningen, ska kunna lämna samtycke till behandling av personuppgifter i informationstjänster, såsom olika sociala medier samt sök- och apptjänster. För barn yngre än 13 år krävs att vårdnadshavare lämnar samtycke.

Dataskyddsförordningen förutsätter att innebörden av rättslig förpliktelse, myndighetsutövning och uppgift av allmänt intresse, såsom rättsliga grunder för behandling av personuppgifter, fastställs i enlighet med nationell rätt eller unionsrätt. Dataskyddslagen föreslås innehålla förtydliganden för svensk rätts del. En rättslig förpliktelse respektive uppgifter av allmänt intresse ska vara fastställda enligt lag eller annan författning eller följa av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning. Vad som utgör myndighetsutövning ska vara fastställd genom (svensk) lag eller annan författning.

Vidare föreslår Dataskyddsutredningen vissa begränsningar i de registrerades rätt till information och registerutdrag. Begränsningar ska gälla i förhållande till uppgifter som omfattas av sekretess, liksom för personuppgifter i löptext som utgör utkast eller minnesanteckning.

I fråga om Datainspektionens tillsyn och hantering av enskilda klagomål, föreslår utredningen att det införs regler om s k dröjsmålstalan. Reglerna ska möjliggöra för registrerade att begära prövning hos allmän förvaltningsdomstol huruvida Datainspektionen är skyldigt att inleda ett tillsynsärende eller inte.

Dataskyddslagen föreslås också innehålla kompletterande bestämmelser för dataskyddsombud. Dataskyddsombud som deltar i det allmännas verksamhet ska iaktta sekretess enligt offentlighets- och sekretesslagen. För ombud i privat verksamhet ska istället en särskild tystnadsplikt gälla i fråga om enskildas personliga eller ekonomiska förhållanden.

För överträdelser av dataskyddslagstiftningen, föreslår utredningen att även myndigheter ska kunna drabbas av administrativa sanktionsavgifter dock med lägre belopp än som kan komma i fråga för företag. Dataskyddsutredningen föreslår inga straffbestämmelser av det slag som för närvarande finns i personuppgiftslagen.

Slutligen kan nämnas att det inte ingått i Dataskyddsutredningens uppdrag att se över de s k registerförfattningarna och annan sektorsspecifik reglering om personuppgiftsbehandling, såsom inom hälso- och sjukvård, polisen och kreditupplysningsverksamhet. Annat utredningarbete pågår dock, vilket kan antas resultera i nya regler inom olika sektorer till tiden för dataskyddsförordningens ikraftträdande.

Har du frågor eller synpunkter om dataskydd är du välkommen att kontakta advokaterna Ulf Isaksson och Esa Kymäläinen.

SOU 2017:39