Den 25e maj 2018 kommer den nya dataskyddsreformen att sättas i kraft i Sverige. Kanske känns det snårigt att veta vad som kommer gälla vem. Här är fem frågor och svar kring vad som kommer gälla när lagen träder i kraft. Svaren är tagna från datainspektionens hemsida där du även kan få svar på andra frågor.
1) Vilka är de viktigaste nyheterna för bolag och andra som registrerar personuppgifter?
För bolag, myndigheter och andra organisationer som samlar in personuppgifter ställs det nya krav. Skulle ett företag bli utsatt för dataintrång eller på något annat sätt tappa kontroll över personuppgifter så måste bolaget informera både de personer som uppgifterna gäller och Datainspektionen, om incidenten är allvarlig. Det kan den vara om uppgifterna som läckt ut kan leda till att personer utsätts för diskriminering, id-stölder, bedrägeri eller finansiella förluster.
Om ett bolag har för avsikt att hantera personuppgifter på ett sätt som kan medföra stora integritetsrisker så måste bolaget först göra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter, en så kallad konsekvensbedömning avseende dataskydd. Riskfylld behandling kan till exempel vara storskaliga register som innehåller genetiska eller biometriska uppgifter, uppgifter om barn eller storskalig kameraövervakning på allmän plats. Skulle analysen visa att risken är hög, måste bolaget kontakta Datainspektionen som då ska göra en förhandskontroll för att säkerställa att sättet att samla in och hantera personuppgifter är lagligt.
2) Blir det obligatoriskt att ha ett personuppgiftsombud i framtiden?
Ja, i vissa fall. Enligt förordningen ska både personuppgiftsansvariga och personuppgiftsbiträden utse ett så kallat dataskyddsombud om
– personuppgiftsbehandlingen utförs av en myndighet eller ett offentligt organ (dock ej domstolar i deras dömande verksamhet)
– den ansvariges eller biträdets kärnverksamhet består av personuppgiftsbehandling som kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning eller
– den ansvariges eller biträdets kärnverksamhet består av behandling i stor omfattning av så kallade känsliga personuppgifter eller brottsuppgifter.
Den som vill får utse ett dataskyddsombud även i andra fall och medlemsstaterna kan i sin nationella rätt kräva att ett sådant ombud ska utses även i andra fall.
Personuppgiftsombudets uppgifter är att informera och ge råd inom den egna organisationen om vilka skyldigheter som gäller enligt såväl förordningen som nationella bestämmelser. Ombudet ska också bevaka att dessa regler följs och ge råd om den konsekvensbedömning avseende dataskydd som ska göras enligt förordningen. Slutligen ska ombudet fungera som kontaktpunkt för dataskyddsmyndigheten och samarbeta med denna.
3) Vad gäller för personuppgiftsombud i en kommun? Räcker det att en och samma person är ombud för hela kommunen?
En och samma person kan utses som ombud för flera olika myndigheter. I en kommun är normalt varje kommunal nämnd personuppgiftsansvarig för sin behandling och ska utse ett personuppgiftsombud, men det finns inget som hindrar att en och samma person utses som ombud för alla nämnder inom kommunen.
4) Vad gäller för internationella företag, räcker det att det finns ett ombud på det europeiska huvudkontoret eller måste varje dotterbolag ha ett eget ombud?
Utgångspunkten är att varje dotterbolag är att anse som personuppgiftsansvarig för sin behandling och därmed ska utse ett eget ombud. En koncern kan dock utse en och samma person som ombud för flera dotterbolag under förutsättning att ombudet finns lätt tillgängligt för varje bolag.
5) Kommer förordningen att påverka verksamheter med utgivningsbevis?
Nej, förordningen påverkar inte verksamheter med utgivningsbevis. Förordningen tillåter, precis som det tidigare dataskyddsdirektivet, att medlemsländerna gör undantag från reglerna om personuppgiftsbehandling om det är nödvändigt för att upprätthålla rätten till yttrandefrihet. Förhållandet till den svenska yttrandefrihetsgrundlagen är alltså oförändrat. I yttrandefrihetsgrundlagen regleras både sådana utgivningsbevis som gäller automatiskt för massmedieföretag och sådana som gäller efter ansökan, så kallat frivilligt utgivningsbevis. Ett utgivningsbevis innebär att reglerna om personuppgiftsbehandling inte gäller i den mån det skulle inkräkta på den grundlagsskyddade rätten till yttrandefrihet. Detta kommer alltså att fortsätta gälla.