Dataskyddslagen, svenskt komplement till GDPR
I den lagrådsremiss som nu har presenterats för dataskyddslagen har de inkomna synpunkterna från tidigare remissrunda vägts in. Lagförslaget förtydligar under vilka förutsättningar personuppgifter får behandlas med stöd av dataskyddsförordningen.
Många remissinstanser, däribland Srf konsulterna, har efterfrågat mer vägledning kring hur dataskyddsförordningens bestämmelser ska tolkas och tillämpas, framför allt i fråga om tillämplig rättslig grund. Rättslig grund innebär att det alltid ska finnas ett stöd i GDPR för att behandling av personuppgifter ska vara tillåten. Regeringen konstaterar att det i många fall är svårt att ge mer vägledning än den dataskyddsutredningen tidigare givit i sin rapport om hur GDPR ska implementeras i Sverige. Det beror på att GDPR innebär en introduktion av nya begrepp som det ännu inte finns någon praxis eller annan rättskälla att luta sig mot. Samtidigt hänvisas i lagrådsremissen till likheter mellan GDPR och dataskyddsdirektivet som bör möjliggöra att vägledning kan hämtas från praxis som utvecklats i anslutning till nu gällande dataskyddsdirektivet och personuppgiftslagen, framförallt när det gäller arbetsrätten. Detta blir upp till tillsynsmyndigheten för GDPR, Datainspektionen (som snart byter namn till Integritetsskyddsmyndigheten) att samordna. På uppdrag av regeringen ska Datainspektionen förstärka sitt arbete med att underlätta näringslivets anpassning till GDPR.
Den föreslagna Dataskyddslagen ska vara subsidiär i förhållande till annan lag eller förordning, även om det är mer begränsat än vad som idag gäller för PUL. Det innebär att om det finns avvikande bestämmelser i någon annan lag så gäller de lagarna före dataskyddslagen vid behandling av personuppgifter. I lagförslaget förtydligas det under vilka förutsättningar personuppgifter får behandlas med stöd av GDPR. För den svenska behandlingen av personuppgifter så utökas den rättsliga grunden som står skriven i GDPR med kollektivavtal. Bedömningen är att kollektivavtal utgör en del av den svenska rättsordningen och därmed utgör rättslig grund. Srf konsulterna framhöll i sitt remissvar att om kollektivavtalen ska reglera personuppgiftsbehandlingen för arbetsgivare finns en överhängande risk att en arbetsgivare måste tillgodose många olika kollektivavtal. Och att när oorganiserade arbetstagare inkluderas i ett av kollektivavtal fastställt regelverk, fråntas den oorganiserade arbetstagaren sina rättigheter enligt GDPR. Detta har tagits fasta på vilket framgår i texten ”Med anledning av Srf konsulternas förbunds synpunkter vill regeringen betona att för att ett kollektivavtal ska kunna läggas till grund för behandling av personuppgifter så måste det vara tillgängligt för den registrerade. I annat fall är det grundläggande legalitetskravet i dataskyddsförordningen inte uppfyllt.”
GDPR syftar till att stärka individens rättigheter när det gäller vilka uppgifter som finns lagrade, med vilket syfte och rätt att få tillgång till de uppgifter som finns registrerade om en själv. Den missbruksregel som finns i nuvarande PUL och som innebär att man idag kan använda enklare regler för personuppgifter i ostrukturerat material finns inte i GDPR, inte heller i den föreslagna dataskyddslagen. PUL tillåter lagring och hantering av personuppgifter så länge som personuppgifterna inte är kränkande och att de lagras på andra sätt än i traditionella databaser. De flesta bestämmelserna i personuppgiftslagen behöver inte tillämpas när man behandlar personuppgifter i ostrukturerat material, till exempel i löpande text, e-post och på webbplatser. Förändringen innebär att samma regler som gäller för personuppgifter i databaser och ärendehanteringssystem också blir gällande för ostrukturerat material. Det kommer att innebära krav på att bland annat ha en rättslig grund, informera de registrerade och föra register över de behandlingarna. Det som finns i GDPR är en bestämmelse om att den registrerades rätt till tillgång inte gäller personuppgifter i löpande text som utgör utkast eller minnesanteckning eller liknande. Flera remissinstanser, däribland Srf konsulterna, lyfte fram behovet av ett förtydligande av vad som menas med utkast och minnesanteckning. Detta vill regeringen förtydliga genom att ta in en bestämmelse i dataskyddlagen som gör undantag från rätten till tillgång avseende personuppgifter i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör minnesanteckning eller liknande. Regeringen vill dock betona att den registrerade inte har någon rätt att ta del av handlingen med uppgifter, själva utkastet behöver inte lämnas ut. Däremot ska den registrerade på begäran få tillgång till uppgifterna i handlingen om behandlingen har pågått under längre tid än ett år. Undantag kommer att finnas och det är om uppgifterna har lämnats ut till tredje part, om uppgifterna behandlas enbart för arkivändamål av allmänt intresse eller för statistiska ändamål eller om de har behandlats under längre tid än ett år i löpande text som inte har fått sin slutliga utformning.
Dataskyddsutredningens och regeringens förslag är i huvudsak överensstämmande även om vissa förtydliganden och förändringar föreslås. Regeringens tillägg är nedan:
- Bestämmelserna om personuppgiftsincidenter ska inte gälla om incidenten rör rikets säkerhet.
- Förhållandet till tryckfrihetsförordningen och yttrandefrihetsgrundlagen förtydligas
- Vitesnivån sänks för myndigheter.
- Införande av sanktion vid behandling av personuppgifter som rör lagöverträdelser.
- Möjlighet till ytterligare föreskrifter kring verkställighet av sanktionsavgifter.
- Dataportabilitet i bestämmelsen om överklagande av myndighetsbeslut.
- Förslag om åtgärder vid tillsynsmyndighetens dröjsmål inte bör genomföras.
- Reglering av möjligheten för tillsynsmyndigheten att ta sanktionsavgifter vid andra överträdelser än de som avses i artikel 83 i dataskyddsförordningen.
- Bestämmelser om kommunikation inför och delgivning av beslut behövs inte i dataskyddslagen.
- Tillsynsmyndigheten är motpart i domstol vid överklagan.
- Vissa skillnader i övergångsbestämmelser.
Lagen ska träda i kraft samtidigt som GDPR så nu kommer inom en snar framtid propositionen som ska upp till beslut i riksdagen. Sista dag för avlämnande av propositioner som avses behandlas under våren 2018 är 20 mars.