Dataskyddsförordningen har fått sitt förslag till nationellt generellt komplement
Nu har förslaget på en nationell generell kompletteringslagstiftning till dataskyddsförordningen kommit. Jens Forzelius redogör här för vad dataskyddslagen, som den kallas, innehåller.
Som bekant kommer en ny dataskyddsförordning (”DF”) börja tillämpas i maj 2018. Vid samma tidpunkt upphör dagens personuppgiftslag (samt motsvarande lagstiftning i andra medlemsstater) att upphöra. I DF ges viss möjlighet för medlemsstaterna att komplettera förordningen med nationell lagstiftning och fredagen den 12 maj 2017 kom det svenska förslaget på en generell kompletteringslagstiftning – den s k dataskyddslagen (”DL”).
Utredningen (SOU 2017:39) har haft som utgångspunkt att den personuppgiftsbehandling som är tillåten idag också – där så är möjligt – ska vara så från och med 25 maj 2018. Således har utredningen inte syftat till att vare sig utvidga eller inskränka möjligheterna till behandlingen av personuppgifter där så inte varit nödvändigt p g a utformningen av DF. Detta framgår också av flera av reglerna i den förslagna DL och även i övrigt vad gäller förhållandet till dagens personuppgiftslag (t ex vad gäller behandling av personnummer, tillsynsmyndighet, att DL blir subsidiär till annan speciallagstiftning, förhållandet till grundlagarna och offentlighetsprincipen, behandling för bl a journalistiska ändamål, behandling som rör lagöverträdelser och särskilda personuppgifter samt möjligheten för registrerad att begära skadestånd).
En nyhet i förslaget till DL är att utredningen valt att använda sig av möjligheten att sänka åldersgränsen för barns möjlighet att samtycka till en viss typ av behandling av personuppgifter från DF:s utgångspunkt (16 år) till 13 år (den lägsta möjliga åldern enligt DF). Det innebär alltså att är barnet yngre så måste i vissa fall vårdnadshavare lämna samtycke eller godkänna barnets samtycke (exempelvis vid användandet av sociala medier). Ett antal av de övriga förslagen rör det offentliga och myndigheters behandling av personuppgifter. Här kan nämnas att utredningen föreslår att även myndigheter ska kunna åläggas administrativa sanktionsavgifterna (där beloppsnivåerna är desamma som i DF men angivet i kronor i stället för euro – således betydligt lägre avgifter som utgångspunkt). Vidare framgår att myndigheter ska äga rätt att behandla särskilda kategorier av personuppgifter (t ex uppgifter om hälsa, religion, medlemskap i fackförening och sexuell läggning) med stöd av ett myndighetsundantag.
Det föreslås vidare vissa förtydliganden av begreppen rättslig förpliktelse, myndighetsutövning och uppgift av allmänt intresse. Det anges bland annat att rättslig förpliktelse och uppgift av allmänt intresse kan fastställas genom kollektivavtal. Det kan också noteras att det införs en viss begränsad rätt till registerutdrag och information för en registrerad när personuppgifterna återfinns i löpande text eller ingår i minnesanteckningar samt att även privata aktörers dataskyddsombud har tystnadsplikt rörande information denne fått del av vid utförandet av sina uppgifter (den offentliga sektorn omfattas av offentlighets- och sekretesslagen). Slutligen kan noteras att utredningen inte föreslagit att det ska finnas någon straffbestämmelse motsvarande den som återfinns i dagens personuppgiftslag.
Utredningen har inte haft något uppdrag att ta ställning till sektorspecifika regelverk eller s k registerförfattningar. Inte heller har utredningen haft i uppdrag att analysera eller beskriva vilka förändringar som DF i sig innebär. Således kvarstår en allmän översyn i övrigt av svensk lagstiftning och vilka eventuella kompletteringar och justeringar av nationell rätt som tillämpningen av DF kommer att medföra. Utredningens förslag är nu på remiss och vi får avvakta och se vilka reaktioner förslaget medför och hur den slutliga utformningen av DL kommer att se ut.
Jens Forzelius är advokat och partner på Wikström & Partners Advokatbyrå, och ansvarig för innehållet i VQ Legal inom personuppgifter och annan informationshantering