Dataskyddsförordningen – GDPR

Den 25 maj 2018 träder EU:s nya dataskyddsförordning ikraft och ersätter därmed den nuvarande personuppgiftslagen (1998:204), PUL, och EU-direktivet som PUL bygger på samt i vissa delar också annan lagstiftning, exempelvis patientdatalagen (2008:355), PDL. Tanken med förordningen är att reglerna ska bli modernare och anpassade till den allt mer digitaliserade behandlingen av personuppgifter samt att skillnaden mellan medlemsstaternas lagstiftningar ska minska. Syftet är att enskilda ska få större kontroll över sina personuppgifter samtidigt som företag bara behöver förhålla sig till ett regelverk när de verkar i flera EU-länder.

Bakgrund

Förordningens fullständiga namn är Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG, men i Sverige kommer den att kallas ”Allmän dataskyddsförordning”. Den förkortas ofta "GDPR" efter sin engelska titel "General data protection regulation". Förordningen antogs i sin slutliga version i april 2016 av Europaparlamentet och EU:s ministerråd efter cirka fyra års förhandlingar. Det första förslaget till förordningen togs fram redan i mars 2012 av EU-kommissionen. 

Direkt effekt

Eftersom det rör sig om en förordning, och inte ett direktiv, kommer denna att gälla som lag i Sverige och alla andra medlemsländer från och med 25 maj 2018 då de ska börja tillämpas. Medlemsländerna behöver därmed inte implementera dataskyddsförordningen i sin egen lagstiftning för att den ska gälla som lag, så som var fallet när det tidigare dataskyddsdirektivet kom och Sverige implementerade dess bestämmelser i PUL. Även om förordningen har direkt effekt behöver ändå medlemsländerna göra ett anpassningsarbete i sin nationella lagstiftning. Bland annat gäller det val av nationell tillsynsmyndighet (Datainspektionen i Sveriges fall), överklagande av tillsynsmyndighetens beslut och åldersgräns för sociala medier.

GDPR omfattar bland annat bestämmelser som rör:

  • “Rätten att bli glömd”, det vill säga individen har en rätt att bli helt raderad ur ett register.
  • “Informerat och otvetydigt medgivande” till behandlingen av personuppgifter från den registrerades sida.
  • Rätten att överföra sina personuppgifter till en annan tjänsteleverantör.
  • Rätten att informeras när ens personuppgifter utsatts för intrång.
  • Ett kraftfullare verkställande av straffrättsliga påföljder och böter på upp till 4 % av den totala globala årsomsättningen eller 20 miljoner euro för att avskräcka från regelbrott.

Medlemsländerna har också möjlighet att behålla eller införa egna krav eller undantag i vissa frågor, mer om det nedan.

Regeringens utredning

Den 29 februari 2016 tillsatte regeringen en utredning som ska föreslå hur den centrala svenska lagstiftningen på området bäst anpassas till den nya förordningen. Utredningen ska upphäva PUL och ta fram förslag till en ny lag som på ett övergripande och lämpligt sätt kompletterar EU-förordningen. En av flera frågor som utredningen ska titta på rör möjligheten för barn att samtycka till att deras personuppgifter behandlas av tillhandahållare av vissa it-tjänster, såsom sociala nätverk. Enligt dataskyddsförordningen måste barn vara 16 år för att kunna lämna ett sådant samtycke. Annars krävs också ett godkännande från barnets vårdnadshavare. Sverige har dock möjlighet att sänka den aktuella åldersgränsen till som lägst 13 år, vilket utredningen ska analysera för- och nackdelar med. Uppdragets omfattning presenteras i dir. 2016:15 Dataskyddsförordningen och utredningen presenterades den 12 maj 2017 i SOU 2017:39.

Tjänster som rör GDPR och dataskyddsfrågor 

JP Infonet erbjuder både informationstjänster, utbildningar och rådgivning till dig som arbetar med personuppgifts- och dataskyddsfrågor.

Informationstjänsten JP ITnet erbjuder ett kvalificerat stöd där du bland annat kan bevaka lag- och praxisuppdateringar, får analyser av hela rättsområdet och kan ställa frågor direkt till våra jurister. Med vårt registerverktyg kan du på ett smidigt sätt också hantera era register på ett smidigt sätt.  

För dig som är i behov av en utbildning erbjuder vi en komplett grundutbildning i webbkursen GDPR bas.

Behöver du ytterligare stöd finns vår juridiska rådgivning till hands. Oavsett om det gäller exempelvis utredningar, inventeringar eller stöd vid verksamhetsöversyn.

Senast uppdaterad 15 dec 2017

Mer om IT och dataskydd

Utbildningar

  • Denna utbildning riktar sig främst till dig som som är DSO eller GDPR-samordnare för kommun eller myndighet. Utbildningen är i workshopformat och går på djupet inom några typiska ”problemområden” som återkommer för kommun/myndighet. .

    Göteborg Föreläsare: Anders Vedin, Laura Gashi
  • Utbildningen syftar till att ge deltagarna fördjupade kunskaper om innehållet i den nya Dataskyddsförordningen utifrån ett skolperspektiv kompletterat med de ändringar som tillkommit eller har föreslagits från regeringens sida.

    Stockholm Föreläsare: Didrik Värmon, Simon Jernelöv

Prenumerera på vårt fokusbrev dataskydd

Se vår integritetspolicy

Webbtjänster inom området