PUL (Personuppgiftslagen) och Dataskyddsdirektivet ersätts med EU:s gemensamma dataskyddsförordning 25 maj 2018

 

Dagens dataskyddsdirektiv inom EU som ligger till grund för personuppgiftslagen (PUL) i Sverige kommer att ersättas med en ny dataskyddsförordning. Anledningen är bl.a. att direktivet är vägledande och ska ligga till grund för individuella nationella lagar i de olika EU-länderna. Men att direktivet är olika implementerat i de olika EU-länderna kan skapa problem. Därför ska EU:s nya dataskyddsförordning si högre grad gälla som gemensam lag inom hela EU och träder i kraft 25 maj 2018 och gäller vid behandling av personuppgifter. [1]

Den nya dataskyddsförordningen är teknikneutral och ska minska skillnaderna inom EU.

En skillnad mot nuvarande PUL är att undantaget vid behandling av personuppgifter i ostrukturerad form t.ex. i löpande text som har funnits i PUL tas bort. Även anmälningsskyldigheten som har funnits i PUL men som sällan har tillämpats tas bort, men vid förfrågan ska man vara beredd att visa att man följer principerna och reglerna som ingår i dataskyddsförordningen. [2]

Viktiga principer i dataskyddsförordningen är att det krävs ett uttalat samtycke. Samtycket ska vara frivilligt och specifikt, d.v.s. det ska framgå vad man ska göra med uppgifterna.

Samtyckeskraven har blivit högre jämfört med t.ex. PUL då det ska vara otvetydigt, t.ex. ej nyttjande av förikryssade rutor utan att den registrerade själv valt att samtycka.

Och den som behandlar personuppgifterna ska kunna visa att samtycke lämnats. Man får ej heller samla in och lagra mer uppgifter än nödvändigt för det som krävs för att utföra uppgiften.

Man ska upplysa om ändamålen för insamlingen, hur länge uppgifterna kommer att sparas och rättigheterna som man har, t.ex. att man har rätt att få sina uppgifter raderade, flyttade, rätt att återta samtycke och rätt att klaga vid felaktig behanding.

Rätten att få sin data flyttad gäller endast de uppgifter som man själv har lämnat och bara för den typ av data som behandlas med stöd av samtycket. Man ska då kunna få ut sin data i ett allmänt vedertaget format och kunna hämta ut eller få sin data flyttad till annan personuppgiftsansvarig.

Om man även samtycker till andra användningsområden ska samtycke för detta ske separat.

Det finns också krav på att felaktiga uppgifter ska rättas eller raderas samt att man raderar uppgifter som inte längre behövs. [2]

Integritet och sekretss

Personuppgifter ska behandlas på ett säkert sätt och med sekretess.

Den som behandlar personuppgifter måste implementera lämpliga tekniska åtgärder för att förhindra obehörig åtkomst samt föra logg på alla incidenter som händer och inom 72h anmäla till dataskyddsmyndigheten om det inte är osannolikt att risk för överträdelse för fri och rättigheter uppstår som en följd av intrånget. Man ska också informera de registrerade om det är hög risk att deras rättigheter kränks som en följd av incidenten.

Den personuppgiftsansvarige ska också dokumentera för varje databehandling hur man lever upp till kraven.

Vid hög risk för kränking av individers fri och rättigheter ska risk och sårbarhetsanalys göras t.ex. vid storskalig behandling av känsliga personuppgifter.

Det är förbjudet att överföra personuppgifter till tredje land (utanför EU och EES) med vissa undantag.

Den som brister i hanteringen av personuppgifter kan med den nya dataskyddsförordningen dömas till högre straff än tidigare. Bötesbeloppen kan som mest uppgå till 2% av företagets omsättning eller som högst 10 miljoner euro, vid påtalade brister i hanteringen eller ända upp till 4% av företagets omsättning eller som högst 20 miljoner euro om det saknas laglig grund för behandlingen av personuppgifter t.ex. att man inte har fått de behandlades samtycke. [2]

Dataskyddsombud

I vissa fall blir det med den nya dataskyddsförordningen obligatoriskt att personuppgiftsansvariga och personuppgiftsbiträden utser ett så kallat dataskyddsombud t.ex. om behandlingen av personuppgifter utförs av en myndighet eller ett offentligt organ, om kärnverksamhet består av personuppgiftsbehandling som kräver regelbunden och systematisk övervakning eller om kärnverksamhet består av behandling i stor omfattning känsliga personuppgifter. [3]


  1.  

    [3] Personuppgiftsombud Frågor och svar om EU:s dataskyddsreform http://www.datainspektionen.se/fragor-och-svar/eus-dataskyddsreform/personuppgiftsombud/