En ny kompletterande dataskyddslag
Som komplement till EU:s enhetliga regelverk för behandling av personuppgifter föreslår regeringen en kompletterande dataskyddslag. Propositionen innebär en rad förtydliganden som exempelvis hur GDPR ska förhålla sig till yttrandefrihetsgrundlagen och tryckfrihetsförordningen, rättslig grund för behandling av personuppgifter och barns samtycke. Hela sammanfattningen kan du läsa i JP ITnet.
PUL upphävs och ersätts av en ny dataskyddslag
I och med den nya dataskyddslagen skulle den nuvarande personuppgiftlagen (PUL) upphävas. Vidare föreslår regeringen i propositionen att termer och uttryck i dataskyddslagen ska ha samma betydelse som i EU:s dataskyddsförordning. Om en annan lag eller förordning innehåller någon bestämmelse som avviker från dataskyddslagen, ska den bestämmelsen tillämpas. Dataskyddslagen kommer endast att innehålla övergripande och generella bestämmelser, varav de flesta som kompletterar förordningen kommer att återfinnas i någon annan författning.
GDPR i förhållande till yttrandefrihetsgrundlagen och tryckfrihetsförordningen
Enligt regeringen ger förordningen ett större utrymme för undantag än vad som anges i direktivet, bland annat då det inte längre krävs att behandling sker för uteslutande journalistiska ändamål. Dessutom föreskriver förordningen att begreppet yttrandefrihet måste ges en vid tolkning för att beakta vikten av rätten till yttrandefrihet i varje demokratiskt samhälle. Med anledning av detta finner regeringen att det även fortsättningsvis ges utrymme för bestämmelserna om tryck- och informationsfrihet i yttrandefrihetsgrundlagen (YGL) och tryckfrihetsförordningen (TF).
Förhållande till offentlighetsprincipen
Gällande GDPR:s förhållande till offentlighetsprincipen föreskrivs att personuppgifter i allmänna handlingar som förvaras av en myndighet, ett offentligt eller privat organ för utförande av uppgift av allmänt intresse får lämnas ut av myndigheten eller organet i enlighet med medlemsstatens nationella lagstiftning. På så sätt tillgodoses allmänhetens rätt att får tillgång till allmänna handlingar samtidigt som rätten för skydd för personuppgifter i enlighet med förordningen inte förbises.
Rättslig grund för personuppgiftsbehandling
Behandling av personuppgifter får endast ske under de omständigheter som särskilt anges i förordningen eller i nationell rätt. Behandling ska således vila på en rättslig grund för att den ska vara laglig.
En uttömmande uppräkning framgår av förordningen:
- om den registrerade lämnar sitt samtycke till behandlingen,
- att behandlingen är nödvändig för att fullgöra ett avtal
- eller för att fullgöra en rättslig förpliktelse.
Det kan också grundas på att behandlingen är nödvändig för att skydda intressen av grundläggande intresse för den registrerade, eller för att kunna utföra en uppgift som ett led i myndighetsutövning. Slutligen anses behandlingen laglig om den är nödvändig för ändamål som avser den personuppgiftsansvariges eller tredje parts berättigade intressen. Om ingen av dessa grunder är tillämplig är behandlingen inte laglig och får därmed inte utföras och omfattar även sådan ostrukturerad behandling som fram till GDPR:s ikraftträdande kan ske med stöd av den så kallade missbruksregeln (5 a § PUL).
Barns samtycke som rättslig grund
Regeringen föreslår en åldersgräns för att ungdomar ska kunna samtycka till personuppgiftsbehandling på internet, till exempel vid användning av sociala medier och anger en gräns på 13 år. I annat fall krävs vårdnadshavares samtycke. I skälen till förordningen anges att barns personuppgifter anses som särskilt skyddsvärda, då barn tenderar att vara mindre medvetna om risker, skyddsåtgärder och rättigheter. Skyddet bör särskilt avse barns personuppgifter i marknadsföringssyfte, insamling av sådana uppgifter när tjänster som erbjuds direkt till barn utnyttjas etc.
Propositionen behandlar även frågor kring känsliga personuppgifter, begränsningar av vissa rättigheter och skyldigheter i förordningen som exempelvis rätten att göra invändningar, sekretess och tystnadsplikt och personuppgifter i löpande text som utgör ett utkast eller minnesanteckning. Gällande sanktionsavgifter föreslår regeringen att tillsynsmyndigheten (Datainspektionen) får ta ut sådana avgifter även av statliga och kommunala myndigheter vid överträdelser av bestämmelserna i förordningen.
Vill du läsa hela sammanfattningen av propositionen?
Logga in på JP ITnet eller ansök om ett gratis testkonto.
Publicerad 27 feb 2018