Personuppgiftslagen (1998:204)(PUL) reglerar svensk personuppgiftsbehandling idag och bygger på dataskyddsdirektivet som genomfördes i svensk rätt den 10 oktober 1998. PUL kommer att ersättas med ett nytt regelverk för behandling av personuppgifter genom den nya dataskyddsförordningen (GDPR). Eftersom reglerverket är en förordning innebär det att den blir direkt tillämplig. Förordningen publicerades den 4 maj 2016 i Official Journal och är planerad att träda i kraft den 25 maj 2018.

Dahlgren & Partners arbetar för närvarande med olika företag för att säkerställa implementeringen av GDPR i respektive verksamhet. Detta innefattar bl.a. upprättande av policys, analysera system och rutiner samt upprättande av avtal och andra handlingar.

Lena.jpg

För mer information om GDPR vänligen kontakta:

Lena Widman
Jur. kand. / Senior Associate

Tel: +4670 5788013
lena.widman@dlaw.se

ÖNSKAR DU ISTÄLLET BLI KONTAKTAD AV OSS? FYLL I FORMULÄRET NEDAN.

Dataskyddsutredningen

Den 12 maj 2017 överlämnade dataskyddsutredningen betänkandet Ny dataskyddslag (SOU 2017:39) på remiss. Dataskyddsutredningens uppdrag har varit att föreslå kompletterande bestämmelser på nationell nivå till GDPR. I betänkandet anges att en analys av de förändringar GDPR innebär, inte innefattats av uppdraget utan endast att föreslå sådana kompletterande bestämmelser i den omfattning som GDPR ger möjlighet till. De kompletterande bestämmelserna ska vara antagna och vara gällande när GDPR börjar tillämpas den 25 maj 2018. I betänkandet uttrycker dataskyddsutredningen syftet med utformningen av de kompletterande bestämmelserna enligt följande:

”Vi har, inom ramen för vårt uppdrag, strävat efter att den personuppgiftsbehandling som är tillåten i dag i möjligaste mån ska kunna fortsätta. Vårt arbete har alltså inte syftat till att vare sig utvidga eller inskränka möjligheterna till behandling av personuppgifter, annat än då dataskyddsförordningen kräver en sådan förändring.”

Utlåtandet är viktigt i den aspekten att man i utredningen inte uttrycker en vilja till s.k. gold-plating, utan avser endast att utforma bestämmelser så likt gällande reglering som möjligt.

I betänkandet föreslås som väntat en upphävning av personuppgiftslagen (1998:204) och personuppgiftsförordningen (1998:1191). I betänkandet understryker utredningen att de föreslagna bestämmelserna endast ska ses som kompletterande bestämmelser till GDPR. Utredningen skriver även i betänkandet att ”[f]ör att betona att författningarna inte är heltäckande, utan endast utgör komplement till dataskyddsförordningen, bör de benämnas lagen med kompletterande bestämmelser till EU:s dataskyddsförordning respektive förordningen med kompletterande bestämmelser till EU:s dataskyddsförordning. Den nya lagen benämns dock så som ”den nya lagen dataskyddslagen” i betänkandet.

I betänkandet hänvisas det frekvent till de sektorsspecifika utredningarna där ytterligare nationella anpassningar och bestämmelser ska föreslås, samt ytterligare konsekvensanalyser för dessa förslag.

Utredningen är trots sin avgränsning väldigt omfattande och behandlar ett stort antal områden vilket gör en kortare sammanfattning knagglig och opassande. Nedan presenteras dock ett antal områden som berörs i betänkandet som Dahlgren & Partners anser väcker intresse eller är av större relevans för kommande arbete med implementeringen av GDPR:

En bestämmelses specialområde ska gälla före dataskyddslagen (lex specialis); GDPR ska även gälla vissa verksamheter som inte omfattas av unionsrätten; Barn över 13 år ska kunna samtycka till viss behandling av personuppgifter istället för GDPR:s 16-års gräns; Känsliga personuppgifter får endast behandlas om det uttryckligen är tillåtet och personuppgifter som rör lagöverträdelser får behandlas av myndigheter och i andra fall endast om det uttryckligen är tillåtet.