Nulägesrapport GDPR
Även om 25 maj kan tyckas avlägset närmar sig ändå dagen då EU:s nya dataskyddsförordning (GDPR) träder ikraft och börjar gälla som svensk lag. I och med det upphävs personuppgiftslagen (PuL). Nedan följer en nulägesrapport med fokus på de senaste lagrådsremisserna om anpassningen av det svenska rättssystemet till den nya förordningen.
En kompletterande dataskyddslag
Regeringen föreslår ett införande av en dataskyddslag som är tänkt att komplettera GDPR. Det föreslås bland annat att personnummer får behandlas utan samtycke endast om det är klart motiverat med hänsyn till ändamålet, vikten av en säker identifiering eller något annat beaktansvärt skäl.
Enligt GDPR måste det framgå av lag när det är tillåtet att behandla känsliga personuppgifter. I lagrådsremissen förtydligar dock bara regeringen vad som gäller avseende olika institutioners behörighet för sådan behandling. Vidare föreskrivs det i förordningen att inrättningar som behandlar känsliga personuppgifter inom ramen för sin verksamhet, som exempelvis sjukvården och socialtjänsten, inte får anlita ett personuppgiftsbiträde som inte har en egen, lagstadgad tystnadsplikt. Det är exempelvis leverantörer av journalsystem. Hur detta ska lösas i praktiken återstår att se då det inte besvaras i lagrådsremissen utan hänvisas till den utredning som rör specifikt förordningen i förhållande till hälso- och sjukvårdsområdet.
En annan viktig aspekt som tas upp i remissen är hur våra grundlagar står sig i relation till GDPR. Regeringen anser inte att det strider mot EU-rätten att ge grundlagarna och offentlighetsprincipen företräde framför förodningen. Det föreslås därför en upplysningsbestämmelse som att förordningen och den nya dataskyddslagen inte ska tillämpas i den mån det strider mot tryckfrihetsförordningen (TF) eller yttrandefrihetsgrundlagen (YGL). Slutligen inbegriper förordningen bestämmelser angående bland annat principer, den registrerades rättigheter, och vissa skyldigheter för personuppgiftsansvariga. Regeringen föreslår dock att de inte ska tillämpas vid behandling av personuppgifter som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande utanför tillämpningsområdena för TF eller YGL.
Civilrättsliga anpassningar
Regeringen har även lämnat förslag på anpassningar av vissa civilrättsliga lagar och rör de fastighetsrättsliga, associationsrättsliga, transporträttsliga samt immaterialrättsliga områdena. Regeringen föreslår bland annat vissa undantag från dataskyddsförordningen för att säkerställa att viktiga register lever upp till dess ändamål – undantag som innebär begränsningar i de registrerade personernas rätt att exkludera personuppgifter från den behandling som sker i registren.
Ändringar i domstolsdatalagen
Regeringen bedömer att GDPR ger utrymme för en sådan särskild reglering om personuppgiftsbehandling som finns i domstolsdatalagen, men att det krävs vissa justeringar. Bland annat föreslås regler om dataskyddsombud och att lagens förbud mot att använda integritetskänsliga sökbegrepp ska omfatta fler uppgiftstyper. Detta innebär enligt regeringen ett förstärkt skydd för den personliga integriteten gällande enskilda personer.
Personuppgiftsbehandling i register på arbetsmarknadsområdet
Gällande arbetsmarknadslagstiftningen föreslås bland annat en ny lag om personuppgiftsbehandling i Arbetsmiljöverkets informationssystem om arbetsskador, vilket förväntas bidra till öppenhet och förutsebarhet i verksamheten. Dessutom föreslås anpassningar av registerlagarna gällande bland annat Arbetsförmedlingen, samt en förlängd gallringstid från två till tre år inom den arbetsmarknadspolitiska verksamheten. Det ska göra det lättare för återinträde i sådana program. Personuppgifterna ska därmed gallras så fort de inte längre behövs.
Vill du bevaka nyheter kring förordningen och få stöd i ditt arbete med personuppgiftshantering?
Läs mer om vår informationstjänst JP ITnet där även kostnadsfri frågeservice ingår.
Publicerad 25 jan 2018