Skip to content

"Välkommen dataskyddslagen - så ska den komplettera EU:s dataskyddsförordning"

Foto: Model House Sweden

KOMMENTAR - av Victoria Juncke, biträdande jurist på Kompass Advokat

 

Den 25 maj 2018 ska den europeiska dataskyddsförordningen börja tillämpas, vilket även innebär slutet för den idag gällande personuppgiftslagen. I fredags offentliggjordes resultatet av den utredning som haft i uppgift att undersöka vilka nationella anpassningar som behöver ske inom den svenska rätten till följd av dataskyddsförordningen, genom SOU 2017:39.

Förslaget innebär bland annat att vi nu kan bekanta oss med en ny nationell personuppgiftsreglering - dataskyddslagen. Lagen är tänkt att utgöra ett generellt komplement till dataskyddsförordningen, som även ska kompletteras med sektorsspecifika författningar, och det är många intressanta förslag som presenteras.

Till att börja med har utredningen valt att utvidga förordningens materiella tillämpningsområde i Sverige till verksamhet som inte omfattas av unionsrätten. Lagen innehåller även en tydlig subsidiaritetsprincip som ger andra författningar företräde. Detta gäller dock enbart i förhållande till dataskyddslagen och därmed inte för de regler i dataskyddsförordningen som inte tillåter nationell särreglering.

I dataskyddsförordningen finns en möjlighet att sänka åldersgränsen för barn att samtycka till en personuppgiftsbehandling från 16 till 13 år vid exempelvis användning av sociala medier, söktjänster och appar. Dataskyddsutredningen föreslår att den möjligheten ska utnyttjas ner till 13 år och väljer därmed att tillämpa den lägsta möjliga åldern för samtycke från barn enligt förordningen.

Detta motiveras bland annat av att dataskyddsförordningen innehåller effektiva skyddsmekanismer för barn, såsom krav på utformningen av information som riktas till barn samt rätten till radering, men också av det faktum att åldersgränsen innebär en inskränkning i barnets självbestämmanderätt.

En annan föreslagen bestämmelse som saknar motsvarighet i personuppgiftslagen är att dataskyddsombud (fd. personuppgiftsombud) inom den privata sektorn ska åläggas en tystnadsplikt avseende uppgifter om en enskilds personliga och ekonomiska förhållanden som denne får känneom om inom ramen för sitt arbete. För ombud i den offentliga sektorn anses offentlighets- och sekretesslagens bestämmelser vara tillräckliga.

Utredningen föreslår vidare förtydliganden av begreppen rättslig förpliktelse, myndighetsutövning och uppgift av allmänt intresse. Det anges bland annat att rättslig förpliktelse och uppgift av allmänt intresse kan fastställas genom kollektivavtal.

Något oväntat föreslås också att myndigheter inte ska slippa undan dataskyddsförordningens stränga sanktionsavgifter. Beloppen är även här höga, men med den betydande skillnaden att de i dataskyddslagen anges i kronor istället för euro. Med dagens valutavärde motsvarar det ungefär en tiondel av de sanktionsavgifter som hotar företag och organisationer inom den privata sektorn.

Dataskyddsutredningen anser att behovet av skydd inte är mindre vid personuppgiftsbehandling som utförs av myndigheter, men de lägre beloppen motiveras utifrån nivåerna för andra sanktionsavgifter inom svensk rätt. Man anser även att det inte krävs lika höga belopp för att avgiften ska vara kännbar för en myndighet som det kan vara för ett företag inom den privata sektorn.

Eftersom det inte finns någon preskriptionsregel i dataskyddsförordningen, föreslår utredningen att en avgift inte får tas ut om den som avgiften ska tas ut av inte har fått möjlighet att yttra sig inom fem år från det att överträdelsen ägde rum. Tidfristen börjar löpa när behandlingen upphör. Utredningen förslår att samtliga sanktionsavgifter som tas ut ska tillfalla staten.

Datainspektionen ges i princip samma rätt till åtgärder vid överträdelser av dataskyddslagen och sektorsspecifika nationella författningar som för dataskyddsförordningen. Den rätt till skadestånd som den enskilde har vid skada enligt dataskyddsförordningen gäller även vid överträdelser av dataskyddslagen och andra författningar som kompletterar förordningen.

Även om många frågor inom svensk rätt kvarstår, till exempel när det gäller sektorsspecifika lagar och regleringar, så har mycket klarnat genom utredningen. Om alla förslag blir verklighet uppnår den svenska lagstiftaren tre betydande mål inom den nationella dataskyddsregleringen.

Dels har vi gjort viktiga nationella val som tillåts genom dataskyddsförordningen.

Dels har vi skapat ett skydd för personuppgiftshanteringen inom det område som inte täcks av unionsrätten.

Slutligen har vi erhållit en rad klargöranden av hur viktiga begrepp ska tolkas utifrån en svensk rättslig kontext. Välkommen, dataskyddslagen!

 

Skribenten arbetar på Kompass Advokat som är en nischbyrå inom dataskydd och personuppgifter samt försäkringsrätt och finansiell reglering.

Tipsa via e-post

Ange flera adresser på olika rader eller separera dem med kommatecken.

Vill du verkligen anmäla denna kommentar som olämplig?

Anmäl Avbryt

4 comments

Intressant och mycket bra redogörelse

Bra skrivet!

Så väl skrivet, viktiga uppmärksammanden i utredningen.

Skriv ny kommentar

Innehållet i detta fält är privat och kommer inte att visas publikt.