Anpassningar till GDPR – propositioner som bifallits

Riksdagen har, efter behandling i de olika utskotten, bifallit ett flertal propositioner som avser anpassningar till EU:s dataskyddsförordning (GDPR). Ändringar krävs inom många områden och nedan kan du ta del av en kort sammanställning av ändringar inom de områden som vi på JP Infonet arbetar med till vardags. Ytterligare propositioner, exempelvis på utbildningsområdet, behandlas fortfarande hos utskotten. Därför kommer de inte att nämnas i denna artikel. 

EU-rättsliga dokument


Dataskyddsförordningen

Den 25 maj 2018 börjar EU:s dataskyddsförordning, GDPR, att tillämpas i Sverige och övriga EU. Förordningstexten gäller i sin helhet som lag i Sverige och kommer alltså inte att skrivas om. För den som inte tagit del av den nya förordningen finns den givetvis tillgänglig i JP Infonets tjänster.

Dataskyddsdirektivet för brottsbekämpande myndigheter

Som en del av EU:s dataskyddsreform finns ett direktiv för brottsbekämpande myndigheter såsom polisen. Dessa regleringar kommer också i viss utsträckning gälla andra aktörer, exempelvis socialtjänsten i arbetet med unga lagöverträdare. Direktivet ska omsättas till nationell lag i medlemsländerna, i Sverige föreslås att direktivet införs i svensk rätt genom en helt ny ramlag: brottsdatalagen. Det har kommit en proposition gällande brottsdatalagen, men den har än så länge inte bifallits av riksdagen. 

Svenska bestämmelser
 

Dataskyddslagen

Eftersom GDPR ger utrymme för kompletterande nationella bestämmelser av olika slag tillsattes en utredning för att se över vilka sådana specifika bestämmelser som behövdes tas fram i Sverige. Utredningen har resulterat i den nya så kallade dataskyddslagen, som träder i kraft den 25 maj i år.

När den nya lagen träder i kraft kommer personuppgiftslagen att upphävas, den nya lagen med kompletterande bestämmelser till EU:s dataskyddsförordning införs i stället. 

Lagen innehåller bland annat bestämmelser om att dataskyddsförordningen med vissa undantag ska gälla även utanför sitt egentliga tillämpningsområde, till exempel i verksamhet som rör nationell säkerhet. Lagen ska dock vara subsidiär i förhållande till annan lag eller förordning, vilket möjliggör avvikande bestämmelser i så kallade registerförfattningar.

I lagen förtydligas under vilka förutsättningar personuppgifter får behandlas med stöd av dataskyddsförordningen. Det finns bland annat föreskrivet att ett barn som är minst 13 år ska kunna samtycka till behandling av personuppgifter i samband med användning av informationssamhällets tjänster, till exempel sociala medier eller vid nedladdning av appar. 

Vidare ska sanktionsavgifter kunna tas ut även då en myndighet bryter mot dataskyddsförordningen. Lagen innehåller också vissa bestämmelser om begränsning av de registrerades rättigheter samt om skadestånd och överklagande av bland annat tillsynsmyndighetens beslut.

Noteras ska att dataskyddsförordningen och den nya lagen inte ska tillämpas i den utsträckning det strider mot tryckfrihetsförordningen eller yttrandefrihetsgrundlagen.

Förordning med kompletterande bestämmelser till EU:s dataskyddsförordning

Utöver ovan nämnda dataskyddslag har det också kommit en kompletterande förordning. Av denna framgår bland annat att Datainspektionen är tillsynsmyndighet och att andra än myndigheter under vissa förutsättningar får behandla av personuppgifter som rör lagöverträdelser. Dessutom finns däri regler om enskilda arkiv och verkställighet av beslut om sanktionsavgift.

Personuppgiftsbehandling i register på arbetsmarknadsområdet

Gällande arbetsmarknadslagstiftningen kommer bland annat en ny lag om personuppgiftsbehandling i Arbetsmiljöverkets informationssystem om arbetsskador, vilket förväntas bidra till öppenhet och förutsebarhet i verksamheten. Dessutom ska det ske anpassningar av registerlagarna gällande bland annat Arbetsförmedlingen, samt en förlängd gallringstid från två till tre år inom den arbetsmarknadspolitiska verksamheten. Det ska göra det lättare för återinträde i sådana program. Personuppgifterna ska därmed gallras så fort de inte längre behövs.

En anpassning till dataskyddsförordningen av lagar inom Miljö-och energidepartementets verksamhetsområde

Här handlar det om anpassningar i lagen om handel med utsläppsrätter, lagen om energideklaration för byggnader, lagen om geografisk miljöinformation och lagen om elcertifikat. Framför allt är det tal om att hänvisningar till personuppgiftslagen tas bort eller ersätts med hänvisningar till dataskyddsförordningen, i ett fall även till den nya dataskyddslagen. Det krävs också att kompletterande upplysningar förs in i vissa bestämmelser, att lydelsen av vissa rubriker ändras och att en överklagandehänvisning tas bort. Rätten till rättelse enligt dataskyddsförordningen ska inte tillämpas i fråga om rättelse av uppgift på ett elcertifikatkonto.  Enligt lagen om elcertifikat gäller nämligen särskilda förutsättningar för rättelse av uppgifter på ett certifikatkonto. Den särskilda bestämmelsen bör gälla även fortsättningsvis eftersom registrering av uppgifter på ett certifikatkonto medför viktiga rättsverkningar för den registrerade innehavaren och utgör grunden för ett väl fungerande elcertifikatsystem. 

Dataskydd inom Socialdepartementets verksamhetsområde

Så långt som det är möjligt ska befintliga möjligheter att behandla personuppgifter behållas. I övrigt krävs, som inom de andra områdena, ändringar av lagteknisk karaktär eller i upplysande syfte. Inom Socialdepartementets område tas till exempel upp att det krävs att hänvisningar till personuppgiftslagen tas bort. Dessutom behandlas bestämmelser om sådant som regleras direkt i EU:s dataskyddsförordning eller i den nya dataskyddslagen. Eftersom dubbelreglering ska undvikas är det viktigt att det finns en tydlighet gällande författningarnas förhållande till dataskyddsförordningen och dataskyddslagen, och de klargör även de olika regleringarnas förhållande till varandra. Det ska nämnas att utskottet ansåg att det krävdes vissa mindre ändringar av redaktionell karaktär innan propositionen bifölls.

Civilrättsliga anpassningar

Vissa civilrättsliga lagar måste anpassas till den nya förordningen. Berörda områden är de fastighetsrättsliga, associationsrättsliga, transporträttsliga samt immaterialrättsliga områdena. Dock krävs vissa undantag från dataskyddsförordningen för att säkerställa att viktiga register lever upp till dess ändamål – undantag som innebär begränsningar i de registrerade personernas rätt att exkludera personuppgifter från den behandling som sker i registren. 

Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning

Ändringar inom dessa områden är givetvis följder av eller anpassningar till dataskyddsförordningen och dessutom till att personuppgiftslagen kommer att upphävas. Lagarna om personuppgiftsbehandling i myndigheternas verksamheter ska komplettera dataskyddsförordningen och dataskyddslagen. Det bedöms också vara nödvändigt med vissa förtydliganden och justeringar som inte motiveras direkt av dataskyddsförordningen. Ändringarna kommer bland annat att bidra till att minska eventuell dubbelreglering och klargör de olika regleringarnas förhållande till varandra. Anpassningarna gäller inte personuppgiftsbehandling vid myndigheternas brottsbekämpande verksamhet. 

Lagstiftningen inom Näringsdepartementets ansvarsområden

Riksdagen antog regeringens lagförslag om ändring av ett antal lagar inom Näringsdepartementets ansvarsområden. Regeringens förslag innebar inte några större ändringar i sak utan gick främst ut på att hänvisningar till personuppgiftslagen i relevanta fall ersätts med hänvisningar till dataskyddsförordningen och dataskyddslagen samt att dubbelreglering tas bort.

Ändringar i domstolsdatalagen

GDPR ger utrymme för en sådan särskild reglering om personuppgiftsbehandling som finns i domstolsdatalagen, men det krävs vissa justeringar. Bland annat ska regler om dataskyddsombud och att lagens förbud mot att använda integritetskänsliga sökbegrepp omfatta fler uppgiftstyper. Detta innebär ett förstärkt skydd för den personliga integriteten gällande enskilda personer.

 

Senast uppdaterad 14 maj 2018

Mer om IT och dataskydd

Utbildningar

Prenumerera på vårt fokusbrev dataskydd

Se vår integritetspolicy

Webbtjänster inom området