Sökformulär

Dataskyddsförordningen ersätter personuppgiftslagen

<< Tillbaka till nyhetsbrevet


16 mars 2017

Dataskyddsförordningen (GDPR) innehåller regler om hur personuppgifter får behandlas. Från och med den 25 maj 2018 kommer förordningen att gälla som lag i Sverige och ersätter då personuppgiftslagen (PuL). Dataskyddsförordningen kommer även behöva kompletteras med vissa nationella regler. Regeringen har därför tillsatt en utredning (Dataskyddsutredningen Ju 2016:04) som ska föreslå anpassningar och kompletterande bestämmelser på svensk nivå.

På samma sätt som enligt de nuvarande reglerna i PuL kommer själva företaget eller organisationen, vars anställda behandlar personuppgifter, vara ansvarigt för att behandlingen sker på föreskrivet sätt. Det är således företaget som även fortsatt är s.k. personuppgiftsansvarig, inte den enskilde medarbetaren. För att kunna leva upp till det ansvaret är det av vikt att den personuppgiftsansvariga redan nu börjar kartlägga vilka behandlingar av personuppgifter som förekommer i verksamheten idag och vilka anpassningar som kommer att krävas för att leva upp till förordningen.

Datainspektionen har på sin hemsida tagit fram en checklista för förberedelser för personuppgiftsansvariga: http://www.datainspektionen.se/dataskyddsreformen/forberedelser/forbered...

Syftet med de nya reglerna är att stärka individers skydd och integritet vid behandling av personuppgifter samt att skapa enhetligt dataskydd inom hela EU. Den personuppgiftsansvariges ansvar och skyldigheter kommer förtydligas och utökas och den registrerades rättigheter förstärks.

Många av personuppgiftslagens begrepp och principer kommer att återfinnas i dataskyddsförordningen, men förordningen kommer även innehålla stora förändringar och vissa helt nya bestämmelser.

Några av de nya och utökade rättigheterna för den registrerade:
Rätt till information – den registrerade ska få information om ändamålen med den behandling för vilken personuppgifterna är avsedda.
Rätt till tillgång till registerutdrag – den registrerade ska ha rätt att begära tillgång till de personuppgifter som rör den registrerade i en sammanhållen handling.
Rätt till rättelse – den registrerade ska ha rätt att begära rättelse av personuppgifter som rör den registrerade.
Rätt till radering (”rätt att bli bortglömd”) – den registrerade ska ha rätt att begära radering av personuppgifter som rör den registrerade.
Rätt till dataportabilitet – den registrerade ska ha rätt att få ut de uppgifter som denne själv lämnat för att kunna föra över dem till en annan tjänst.

Några av de nya bestämmelserna och konsekvenserna för företag och organisationer:
Den förenklade regeln i personuppgiftslagen för behandling av personuppgifter i löpande text och enkla listor, den s.k. missbruksregeln, försvinner i den nya dataskyddsförordningen. Detta innebär att behandling i t.ex. e-post även måste följa förordningens regler.

Vissa organisationer och myndigheter som behandlar känsliga uppgifter måste utse en person i organisationen som har till särskild uppgift att bevaka dataskyddsfrågor, ett s.k. dataskyddsombud.

Dataskyddsförordningen kommer ställa krav på personuppgiftsansvariga och personuppgiftsbiträden att i vissa fall anmäla personuppgiftsincidenter till tillsynsmyndigheten och den registrerade. Med personuppgiftsincident menas t.ex. sedvanligt dataintrång, men det kan även tänkas föreligga om en anställd tappar bort sin mobil eller dator innehållande personuppgifter.

Datainspektionen kommer även kunna utdöma en sanktionsavgift för den som bryter mot förordningens regler om upp till 20 miljoner euro eller upp till 4 % av företagets globala omsättning. Avgiftens storlek ska bedömas utifrån hur allvarlig överträdelsen är, om det skett avsiktligt, vilka åtgärder som vidtagits för att minska skadan, om ekonomisk vinst skett på grund av överträdelsen och andra försvårande eller förmildrande omständigheter. De nationella tillsynsmyndigheterna ska samarbeta för att bidra till en enhetlig tillämpning av förordningen i hela EU samt för att skapa större rättslig säkerhet och minska den administrativa bördan. Det finns anledning anta att detta kan komma att medföra en betydande skärpning av sanktionerna vid konstaterade brister i hanteringen av personuppgifter.

Mer information om den nya dataskyddsförordningen finns att läsa på Datainspektionens hemsida: http://www.datainspektionen.se/dataskyddsreformen/

Se även Datainspektionens introduktionsfilm till dataskyddsförordningen: http://www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen...

Louise Lundqvist
Biträdande förbundsjurist


Texten skapad: 2017-03-14