Skip to main content

Personuppgifter 2.0 – ny dataskyddsförordning inom EU

Nyhet   •   Feb 11, 2016 15:42 CET

I december 2015 träffades en politisk överenskommelse mellan EU:s lagstiftande organ om innehållet i EU:s nya dataskyddsförordning som förväntas börja gälla under 2018. Detta befäster EU:s fokus på integritetsfrågor och förordningen innebär kraftigt ökade sanktioner för företag som inte tar reglerna på allvar.

EU-kommissionen lanserade år 2012 ett reformförslag avseende reglerna för dataskydd inom EU. Förslaget har varit föremål för omfattande diskussioner och förhandlingar, men har nu mynnat ut i en politisk överenskommelse. Ett formellt beslut om antagande av förordningen förväntas komma under våren 2016. Därefter väntar en tvåårig övergångsperiod innan förordningen börjar gälla.

En stor skillnad mot idag gällande regler blir att istället för nationella lagar (såsom den svenska personuppgiftslagen – PUL), som genomför EU:s nuvarande dataskyddsdirektiv från 1995, kommer dataskyddsförordningen vara direkt tillämplig i EU:s medlemsstater. Utrymmet för nationella avvikelser blir därför mindre, vilket bland annat innebär att den svenska s.k. missbruksregeln, som tillåter behandling av personuppgifter i ostrukturerad text så länge behandlingen inte är kränkande för behandlade personer, kommer att försvinna.

I det följande behandlas ytterligare några delar i förslaget.

Tillämpningsområdet utökas
Samma regler gäller enligt förordningen för alla företag/organisationer oavsett om de är etablerade inom eller utanför EU. Alltså måste exempelvis företag i USA som verkar mot EU i högre grad beakta EU:s dataskyddsregler.

  • Förordningen är tillämplig på behandling av personuppgifter som utförs av någon som är
    - etablerad inom EU, eller 
    - etablerad utanför EU om behandlingen avser erbjudandet av varor eller tjänster till, eller övervakning av, individer inom EU (här ska den ansvarige också utse en representant inom EU).

Krav på personuppgiftsbehandling

I flera hänseenden påminner förordningens krav om de nuvarande reglerna i PUL. Exempelvis förutsätts att all behandling av personuppgifter har stöd i lag, vilar på samtycke eller annat berättigat ändamål och hanteras i enlighet med grundläggande informationskrav m.m. På vissa punkter går emellertid de nya reglerna längre eller är mer detaljerade än dagens regler.

  • Förordningen ställer krav på bättre information om vad som händer med registrerade personuppgifter. Information ska lämnas på tydligt sätt med användande av ett klart och tydligt språk.
  • Kravet på inhämtande av samtycke skärps. En begäran om samtycke i en skriftlig handling ska vara tydligt urskiljbar från det övriga innehållet. Ett samtycke som inte inhämtats i enlighet med förordningens krav blir ogiltigt.
  • Förordningen slår fast att samtycke från ungdomar under 16 år kräver målsmans godkännande. Ålderskravet får sänkas till som lägst 13 år om medlemsstaten beslutar detta. Detta kan tyckas drastiskt men är i mångt och mycket en kodifiering av tillsynsmyndighetens idag gällande uppfattning.


Rättigheter för registrerade individer 
Rättigheterna för registrerade individer utökas något och tydliggörs

  • Den omtalade principen om ”rätten till att bli glömd/raderad” kommer exempelvis till direkt uttryck i förordningen. Principen innebär att en registrerad under vissa omständigheter har rätt att få sina personuppgifter avlägsnade. Detta innefattar även uppgifter som lämnats till tredjeman. För ansvariga innebär skyldigheten att alla rimliga åtgärder utan dröjsmål ska vidtas för att tillmötesgå en sådan begäran.
  • Registrerad får rätt att på begäran få sina personuppgifter ”paketerade” och överförda till en annan personuppgiftsansvarig (Dataportabilitet).


Skyldigheter för personansvariga och biträden
Förordningen föreskriver ett krav på ökad proaktivitet från personansvarigas sida.

  • Bland annat ska personuppgiftsbehandling inom organisationen dokumenteras och den ansvarige ska kunna styrka efterlevnad av förordningens hanteringsregler. I princip blir det obligatoriskt att upprätta en personuppgiftspolicy.
  • System för behandling av personuppgifter ska utformas med beaktande av ”privacy-by-design” som innebär att dataskydd ska integreras i tekniken redan från början.
  • Vid ett dataintrång ska den personuppgiftsansvarige senast inom 72 timmar från det att intrånget uppdagats underrätta den nationella tillsynsmyndigheten om det inte är osannolikt att intrånget kan få konsekvenser för enskildas integritet. Dataintrånget ska även kommuniceras till den enskilde om det finns hög risk för dennes fri- och rättigheter.

Personuppgiftsbiträden får vidare ett visst självständigt ansvar. I dag har dessa som utgångspunkt endast ett ansvar i förhållande till den personuppgiftsansvarige.

Dataskyddsombud och konsekvensanalyser
För myndigheter och företag vars kärnverksamhet utgörs av systematisk databehandling eller som hanterar en större mängd känslig data blir det obligatoriskt att utse ett s.k. ”dataskyddsombud”.

Dataskyddsombudet ska vara en fysisk person som ska
- underrätta och råda verksamhetens ledning (som är personuppgiftsansvarig) om deras förpliktelser i enlighet med förordningen
- övervaka utförandet och tillämpningen av ledningens regler för skydd av personuppgifter, samt
- kontrollera anmälningar angående bristande personuppgiftssäkerhet m.m.

När en viss typ av behandling kan medföra risker för enskildas fri och rättigheter blir den ansvarige skyldig att genomföra en konsekvensanalys.

Skärpta sanktioner
Medlemsstaternas tillsynsmyndigheter ansvarar för tillsyn under förordningen. Huvudansvarig kommer att vara dataskyddsmyndigheten i medlemsstaten där organisation huvudsakligen är etablerad.

  • Dataskyddsmyndigheterna ska utfärda sanktioner som ska vara effektiva, proportionella och avvärjande. Dessa kan bestå av skriftlig varning, återkommande tillsyn av varsamheten, skadestånd samt böter.
  • Bötesbelopp på upp till 20 000 000 euro eller upp till 4 procent av verksamhetens globala årsomsättning kan bli aktuellt för brott mot förordningen.


Åtgärder och frågor att överväga
Även om förordningen ännu inte är formellt beslutad och drygt två års övergångsperiod kan kännas som en lång tid finns anledning att påbörja arbetet med att utvärdera och överväga behovet av anpassning till förslaget.

- Vilken personuppgiftsbehandling förekommer och med vilket lagstöd behandlas personuppgifter inom organisationen? Behöver detta anpassas?

- Vilka avtal finns som berör personuppgiftsbehandling och behöver dessa anpassas?

- Finns det ändamålsenliga rutiner för att säkerställa att behandling och rapportering sker i enlighet med regulatoriska krav?

- Finns det riktlinjer eller policys, och behöver dessa i så fall uppdateras i enlighet med förordningens krav?

- Privacy by design – är system och procedurer anpassade för att säkerställa att aktuella krav uppfylls?

- Är organisationen skyldig att utse ett dataskyddsombud?

Slutligen finns anledning att bevaka de riktlinjer och vägledning som Dataskyddsmyndigheter och andra europeiska dataskyddsmyndigheter kan förväntas publicera framöver.

För mer information:
Erik Ullberg, advokat
E-post: erik.ullberg@wistrand.se
Tel: +46 31 771 21 76