Ny dataskyddslag publicerad

Dataskyddslagen och dataskyddsförordningen; vad är skillnaden?

De flesta känner nog vid det här laget till att dataskyddsförordningen (GDPR) börjar gälla som lag i alla EU:s medlemsländer den 25 maj. Nyligen, den 24 april, publicerade regeringen dataskyddslagen som också kommer att träda i kraft den 25 maj. Vad är skillnaden och vad säger egentligen dataskyddslagen?

 

År 1995 antog EU dataskyddsdirektivet för att skydda enskilda personer från kränkande personuppgiftsbehandling. I Sverige infördes då personuppgiftslagen (PuL) tillsammans med personuppgiftsförordningen för att uppfylla direktivet.

 

Nu ersätter EU dataskyddsdirektivet med en egen förordning, nämligen dataskyddsförordningen (GDPR). I Sverige träder därför dataskyddslagen i kraft den 25 maj och ersätter PuL…. FEL!

 

Dataskyddslagen är inte samma sak som dataskyddsförordningen (GDPR). Men båda träder i kraft den 25 maj. Förvirrad? Låt oss backa ett steg och reda ut detta från början.

 

Hur uppnår EU sina mål?

Inom den europeiska unionen finns det flera olika instrument (rättsakter) som kan användas för att uppnå EU:s mål. En del är bindande, andra inte. Vissa gäller för samtliga EU-länder, andra bara för ett fåtal.

 

Två av dessa instrument är förordningar och direktiv. För att förstå varför Sverige inte har ”skapat” sin egna version av dataskyddsförordningen (GDPR) och kallat denna för dataskyddslagen, måste vi förstå skillnaden mellan förordning och direktiv.

 

Direktiv sätter upp vilka mål som medlemsländerna ska uppnå, men låter länderna själva bestämma hur det ska gå till. Ett exempel på en sådan här situation är dataskyddsdirektivet (EU:s mål) och personuppgiftslagen (svensk lag). Hade dataskyddsförordningen (GDPR) istället varit ett direktiv så hade Sverige behövt upprätta en ny lag som uppfyller målen i EU:s direktiv.

 

Förordning är en bindande rättsakt som alla EU-länder ska tillämpa i sin helhet. I sådana här fall behöver Sverige inte stifta egna lagar som ska uppnå vissa mål, utan istället gäller förordningen direkt som lag i Sverige. Dataskyddsförordningen (GDPR) är ett exempel på detta, varför Sverige inte behövs stifta någon egen lag.

Vad är då dataskyddslagen?

Dataskyddsförordningen både medger och förutsätter att Sverige antar eller anpassar befintliga nationella regler som gäller personuppgiftsbehandling. Dataskyddslagen som publicerades av regeringen den 24 april är således en komplettering till dataskyddsförordningen, och fick det fullständiga namnet ”Lag (2018:218) med kompletterande bestämmelsertill EU:s dataskyddsförordningen”.

 

Vad innehåller dataskyddslagen?

Dataskyddslagen förtydligar under vilka förutsättningar personuppgifter får behandlas med stöd av dataskyddsförordningen. Bland annat nämnder lagen följande:

 

Utvidgad tillämpning

Dataskyddslagen innehåller kompletteringar till dataskyddsförordningen, bland annat bestämmelser om att dataskyddsförordningen med vissa undantag även ska gälla utanför sitt egentliga tillämpningsområde, till exempel i verksamhet som rör nationell säkerhet.

 

Begränsningar av vissa rättigheter och skyldigheter

Rätten att få tillgång till personuppgifter och information enligt dataskyddsförordningen gäller inte uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag, annan författning eller beslut.

 

För andra än myndigheter gäller även detta undantag för uppgifter som hos en myndighet skulle ha varit sekretessbelagda enligt offentlighets- och sekretesslagen.

 

Utöver ovanstående undantag behöver den personuppgiftsansvarige inte lämna ut minnesanteckningar eller liknande vid registerutdrag. Undantaget är tillämpligt om personuppgifterna:

  1. inte har lämnats ut till tredje part,
  2. inte behandlas enbart för arkivändamål av allmänt intresse eller statistiska ändamål, eller
  3. inte har behandlats under en längre tid än ett år i löpande text som inte fått sin slutliga utformning.

 

Åldersgräns för användning av informationssamhällets tjänster ska vara 13 år

Enligt dataskyddslagen ska erbjudande av informationssamhällets tjänster direkt till barn förutsätta att barnet är minst 13 år. Barn under 13 måste ha föräldrarnas samtycke till användning av t.ex. sociala medier och andra tjänster som förutsätter att man lämnar sina personuppgifter. Som vanligt är det den personuppgiftsansvariga som ska kontrollera att detta samtycke har getts.

 

Med informationssamhällets tjänster menas tjänster som vanligtvis utförs mot ersättning på distans, på elektronisk väg och på individuell begäran av en tjänstemottagare. Mer information om vad som menas och inte menas med informationssamhällets tjänster finns här (bilaga 1 till Europaparlamentets och rådets direktiv (EU) 2015/1535).

 

Förhållande till tryck- och yttrandefrihet

Enligt dataskyddsförordningen är det möjligt att avvika från vissa skyldigheter, t.ex. för att trygga yttrandefrihet eller i samband med historisk och vetenskaplig forskning, statistikföring och arkivering.

 

Det har därför införts en paragraf i dataskyddslagen om att denna nya lag och dataskyddsförordningen inte ska tillämpas i den utsträckning det strider mot tryckfrihetsförordningen eller yttrandefrihetsgrundlagen.

 

Personnummer

Dataskyddsförordningen ger medlemsstaterna möjlighet att bestämma särskilda villkor för när personnummer får behandlas.

 

Genom dataskyddslagen har detta i Sverige resulterat till att personnummer får behandlas utan samtycke endast när det är:

  • klart motiverat med hänsyn till ändamålet med behandlingen,
  • vikten av en säker identifiering eller
  • något annat beaktansvärt skäl.