Hem: Skrifter av Sören Öman: Betänkanden:

Skrift av Sören Öman :

Dataskydd inom Social­departe­mentets verk­sam­hets­område – en an­pass­ning till EU:s data­skydds­för­ord­ning ( SOU 2017:66 )

SOU
 [ Europarätt | It-rätt ]

 

 

get_template_part('content-skrifter-referens'); ?>

 Läs: » Dataskydd inom Social­departe­mentets verk­sam­hets­område – en an­pass­ning till EU:s data­skydds­för­ord­ning (SOU 2017:66)

» Läs mera nedan om skriften

Dela :

Flera skrifter av Sören Öman :

Lagen om anställ­nings­skydd – En kommen­tar
Andra upplagan 2017
Internet­version 2024
Karnov Group / Lexino

Anställ­nings­skydds­praxis
Tolfte upplagan 2024
 Talbok 2022
Jure Förlag

Data­skydds­för­ord­ningen (GDPR) m.m. – En kommen­tar
Tredje upplagan 2024
Internet­version 2024
Norstedts Juridik / Juno

LAS-hand­boken – Lagtext, kommentarer, AD-domar
Tionde upplagan 2022
 Talbok 2023
Åhnberg Förlag

AD om upp­sägning av person­liga skäl och av­skedande
Tredje upplagan 2021
Åhnberg Förlag

AD om arbets­brist, tur­ordning och före­trädes­rätt
Tredje upplagan 2022
Åhnberg Förlag

AD om skade­stånd, lön och pre­skrip­tion enligt LAS
Tredje upplagan 2023
Åhnberg Förlag

AD om arbets­tagar­begreppet och tids­begränsad an­ställ­ning
Tredje upplagan 2024
Åhnberg Förlag

Rätte­gången i arbets­tvister
Andra upp­lagan 2005
 Talbok 2011
Norstedts Juridik

Den kollek­tiva arbets­rätten – En läro­bok
Tredje upplagan 2022
 Talbok 2022
Iustus Förlag

Rätts­informatik – Juridiken i det digi­tala informa­tions­sam­hället
Femte upplagan 2024
 Talbok 2024
Student­litteratur

Expert­kommen­tarer

70 st. sedan 2008
Blendow Lexnova

Person­uppgifts­lagen – En kommen­tar
Fjärde upp­lagan 2011
Internet­version 2017
Norstedts Juridik / Juno

Kommande publika föredrag av Sören Öman :

get_template_part('content-skrifter-referens'); ?>

ISBN : 978-91-38-24659-7

ISSN : 0375-250X

Utredning : Socialdataskyddsutredningen ( S 2016:05 )

Ordförande / Utredare :

Övriga medverkande ( 17 st.  12  5 ) :

 Läs : » Dataskydd inom Social­departe­mentets verk­sam­hets­område – en an­pass­ning till EU:s data­skydds­för­ord­ning(SOU 2017:66)

EU:s dataskyddsförordning blir tillämplig i Sverige den 25 maj 2018 och ersätter då personuppgiftslagen. Utredningen har inför det sett över registerförfattningarna inom Socialdepartementets verksamhetsområde. Utredningens målsättning, eller utgångspunkt, har varit att den behandling av personuppgifter som är laglig i dag ska kunna fortsätta. Den målsättningen har uppnåtts efter en ingående analys av både dataskyddsförordningen och registerförfattningarna. Utredningens förslag, som i huvudsak är av författningsteknisk karaktär, inskränker alltså inte nuvarande möjligheter att behandla personuppgifter, med det undantaget att en nödvändig s.k. skyddsåtgärd föreslås införas i läkemedelsförordningen. Å andra sidan föreslås inte heller författningsstöd för sådan behandling som inte är laglig i dag.

Dataskyddsförordningen

EU har beslutat om en förordning – den s.k. dataskyddsförordningen – som utgör en ny generell reglering för behandling av personuppgifter inom EU. Dataskyddsförordningen ska börja tillämpas den 25 maj 2018 och vid samma tidpunkt kommer personuppgiftslagen att upphävas. Dataskydds-förordningen är direkt tillämplig och dess bestämmelser är tvingande. Nationell lagstiftning på området kommer därför endast att komplettera dataskyddsförordningen i den utsträckningen det är möjligt att göra undantag eller förtydliganden i förhållande till dataskyddsförordningen.

Dataskyddsutredningen har föreslagit en ny lag – dataskyddslagen – som, om förslaget leder till lagstiftning, kommer att innehålla bestämmelser som kompletterar dataskydds-förordningen på en generell nivå.

Det har sedan över ett år tillbaka dessutom pågått ett omfattande arbete med att anpassa befintliga registerförfattningar till dataskyddsförordningen. Registerförfattningarna kommer att komplettera dataskyddsförordningen på verksamhetsspecifik nivå. Den föreslagna dataskyddslagen kommer att vara subsidiär i förhållande till registerförfattningarna och är tillämplig i verksamheter som omfattas av en särskild registerförfattning endast om inget annat följer av registerförfattningen eller föreskrifter som har meddelats med stöd av den.

Socialdataskyddsutredningen har haft i uppdrag att analysera vilka konsekvenser dataskyddsförordningen medför i fråga om behandling av personuppgifter inom Socialdepartementets verksamhetsområde samt föreslå behövliga och lämpliga anpassningar av författningar inom verksamhetsområdet till följd av den nya förordningen.

I det följande sammanfattas de viktigaste bedömningarna och förslagen i betänkandet.

Utgångspunkter för översynen

En utgångspunkt för utredningen har varit att de personuppgiftsansvariga ska kunna fortsätta att behandla personuppgifter på samma sätt som de får i dag. Det innebär att översynen har inriktats på att undersöka om behandling som i dag är laglig kommer att kunna ske när dataskyddsförordningen ska tillämpas.

Konsekvenser för verksamheter som inte har en registerförfattning

När personuppgiftslagen upphävs försvinner möjligheten att behandla personuppgifter med stöd av den s.k. missbruksregeln (5 a § personuppgiftslagen). Någon motsvarande regel finns inte i dataskyddsförordningen.

Offentliga myndigheter får enligt dataskyddsförordningen inte behandla personuppgifter med stöd av en intresseavvägning när de fullgör sina arbetsuppgifter, vilket lär innefatta de arbetsuppgifter de utför inom den myndighetsspecifika verksamheten. Möjligheterna för myndigheter att behandla personuppgifter med stöd av en intresseavvägning minskar därmed.

Det har inte framkommit att några myndigheter eller verksamheter inom Socialdepartementets verksamhetsområde som inte har en registerförfattning behöver kompletterande föreskrifter till följd av att personuppgiftslagen upphävs och dataskyddsförordningen börjar tillämpas.

Utredningen har dock genom tilläggsdirektiv fått i uppdrag att utreda behovet av en särskild författning med bestämmelser om behandling av personuppgifter för Myndigheten för vård- och omsorgsanalys. Det uppdraget ska redovisas senast den 15 januari 2018.

Nationella bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen

Medlemsstaternas nationella lagstiftning får enligt artikel 6.2 och 6.3 i dataskyddsförordningen innehålla mer specifika bestämmelser för att anpassa tillämpningen av dataskyddsförordningen för såväl myndigheter som enskilda när det gäller behandling av personuppgifter som är tillåten enligt artikel 6.1 c eller e. Det innebär att det är möjligt att i registerförfattningarna närmare reglera förutsättningarna för behandling när behandlingen är nödvändig

Därutöver hindrar dataskyddsförordningen inte att medlems-staterna i nationell rätt inför mer restriktiva bestämmelser än enligt dataskyddsförordningen för sina egna myndigheters behandling av personuppgifter eller ålägger dem utökade skyldigheter.

Registerförfattningarnas tillämpningsområde

Nationell lagstiftning som kompletterar dataskyddsförordningen kan ha både ett vidare och ett snävare tillämpningsområde än dataskyddsförordningen. Bestämmelser om registerförfattningars tillämpningsområde behöver därför i regel inte ändras med anledning av dataskyddsförordningen. Patientdatalagen, lagen om behandling av personuppgifter inom socialtjänsten och den tillhörande förordningen omfattar dock viss behandling av personuppgifter som syftar till att verkställa straffrättsliga påföljder, såsom rättspsykiatrisk vård och ungdomsvård. Sådan behandling omfattas inte av dataskyddsförordningen utan av det nya dataskyddsdirektivet som i Sverige föreslås bli genomfört genom en ny brottsdatalag. Utredningen föreslår därför att lagen om behandling av personuppgifter inom socialtjänsten och den tillhörande förordningen inte ska gälla vid sådan behandling av personuppgifter som omfattas av den föreslagna brottsdatalagen. Patientdatalagen föreslås däremot gälla utöver den föreslagna brottsdatalagen vid behandling av personuppgifter inom rättspsykiatrisk vård.

Rättslig grund för behandling av personuppgifter

Ändamål

Behandling av personuppgifter är laglig enligt dataskydds-förordningen endast om och i den mån åtminstone ett av villkoren i artikel 6.1 i dataskyddsförordningen är uppfyllt. Villkoren i artikel 6.1 i dataskyddsförordningen är i huvudsak desamma som anges i artikel 7 i dataskyddsdirektivet och 10 § personuppgiftslagen.

I registerförfattningar anges ofta de ändamål för vilka personuppgifter som får behandlas. Utredningen har konstaterat att de ändamål som anges i de registerförfattningar som setts över grundar sig på rättsliga förpliktelser, arbetsuppgifter av allmänt intresse eller som ett led i myndighetsutövning. Ändamålen har därmed stöd i dataskyddsförordningen och kan behållas.

Nya krav på den rättsliga grunden

Det har i och med dataskyddsförordningen tillkommit vissa nya krav på de rättsliga grunderna för behandling av personuppgifter. När det gäller behandling som är nödvändig för att den personuppgiftsansvarige ska kunna uppfylla en rättslig förpliktelse, utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning måste grunden fastställas i nationell rätt eller EU-rätt. Vidare måste syftet med behandling som sker på den grunden att den är nödvändig för att fullgöra en rättslig förpliktelse fastställas i den rättsliga grunden. I fråga om behandling för att utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning gäller i stället att syftet med behandlingen ska vara nödvändigt för ändamålet. Den författning eller det beslut som utgör den rättsliga grunden för behandling av personuppgifter för att uppfylla en rättslig förpliktelse, utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning måste slutligen också uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.

Myndighetsutövning måste alltid ha stöd i författning och rättsliga förpliktelser är till sin natur sådana förpliktelser som redan framgår av eller meddelas med stöd av gällande rätt. Arbetsuppgifter av allmänt intresse härrör från uppdrag och åligganden som framgår av olika verksamhetsorienterade författningar eller regeringsbeslut. Är den rättsliga grunden inte fastställd i annan författning, är den dessutom i vart fall fastställd genom registerförfattningens ändamålsbestämmelser. Utredningen bedömer därför att kravet på att grunden ska vara fastställd genomgående är uppfyllt.

Syftet med en behandling av personuppgifter med anledning av en rättslig förpliktelse kan enligt utredningens bedömning framgå av en registerförfattning eller av exempelvis den författning som reglerar själva verksamheten. För arbetsuppgifter av allmänt intresse eller som ett led i myndighetsutövning får det förutsättas att tidigare bedömningar av lagligt stöd för behandling av personuppgifter även innefattat ett ställningstagande till att syftet med behandlingen för det aktuella ändamålet också är nödvändigt för ändamålet.

Även kravet på att den författning eller det beslut som utgör den rättsliga grunden för behandling av personuppgifter måste uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas får anses vara uppfyllt genom tidigare ställningstaganden.

Samtycke

Samtycke utgör enligt både dataskyddsdirektivet och dataskyddsförordningen en rättslig grund för behandling av personuppgifter. Utredningen har funnit att bestämmelser i registerförfattningar som tilldelar den registrerades samtycke betydelse kan behållas.

Finalitetsprincipen

Utredningens utgångspunkt är att i den mån det är möjligt behålla de möjligheter att behandla personuppgifter som myndigheter och vissa enskilda aktörer har i dagsläget. Det krävs därför att det är tydligt att de uppräknade ändamålen i registerförfattningarna inte är uttömmande när så har gällt tidigare. Utredningen behåller därför i sina förslag bestämmelser i registerförfattningar med innebörden att personuppgifter, som behandlas för i författningen uttryckligen angivna ändamål, får behandlas också för andra ändamål när det inte strider mot finalitetsprincipen.

Känsliga personuppgifter och uppgifter om lagöverträdelser

Nya kategorier av känsliga personuppgifter

Det har i dataskyddsförordningen tillkommit några nya kategorier av känsliga personuppgifter – genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person och uppgifter om sexuell läggning. Att nya kategorier lagts till de befintliga innebär att det kommer att vara fler uppgifter som kategoriseras som känsliga och som därmed omfattas av artikel 9 i dataskyddsförordningen. Eftersom huvudregeln enligt artikel 9.1 är att det är förbjudet att behandla känsliga personuppgifter, måste något av undantagen i artikel 9.2 vara tillämpligt för att behandling av sådana uppgifter ska vara tillåten.

Bestämmelser i särskilda registerförfattningar som tillåter att alla kategorier av känsliga personuppgifter enligt nuvarande definition får behandlas bör avse alla känsliga personuppgifter enligt den utvidgade definitionen i dataskyddsförordningen. Bestämmelser som endast tillåter behandling av någon eller några av kategorierna av känsliga personuppgifter enligt nuvarande definition bör däremot som utgångspunkt inte utvidgas till att omfatta även de nya kategorierna av känsliga personuppgifter. Utredningen har dock i två fall, när det gäller patientdatalagen och läkemedelsförordningen, föreslagit förtydliganden som innebär att viss behandling av de nytillkomna kategorierna av känsliga personuppgifter ska vara tillåten även i fortsättningen. Detta eftersom det bedömts nödvändigt för en ändamålsenlig behandling av personuppgifter i de aktuella verksamheterna.

Tillåten behandling av känsliga personuppgifter

Utredningen bedömer att bestämmelser i registerförfattningar som tillåter behandling av känsliga personuppgifter med stöd av ett viktigt allmänt intresse enligt artikel 8.4 i dataskyddsdirektivet är förenliga med artikel 9.2 g i dataskyddsförordningen. I ett fall, när det gäller läkemedelsförordningen, har dock regleringen inte bedömts leva upp till det nya kravet på att det ska finnas bestämmelser om lämpliga skyddsåtgärder i den nationella lagstiftningen. Utredningen har därför föreslagit en begränsning som innebär att behandling av de där aktuella personuppgifterna endast får ske för angivna ändamål.

Viss behandling av känsliga personuppgifter – enligt lagen om blodsäkerhet, lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler, lagen om skydd mot internationella hot mot människors hälsa samt lagen om register över nationella vaccinationsprogram – som tidigare tillåtits med stöd av ett viktigt allmänt intresse enligt artikel 8.4 i dataskyddsdirektivet har utredningen bedömt vara tillåten med stöd av det s.k. folkhälsoundantaget i artikel 9.2 i i dataskydds-förordningen.

Även bestämmelser i registerförfattningar som tillåter behandling av känsliga personuppgifter inom hälso- och sjukvården samt inom social omsorg, såsom socialtjänst, är förenliga med dataskyddsförordningen. Sådana bestämmelser bör dock kompletteras med en bestämmelse som påminner om det nya kravet enligt artikel 9.3 i dataskyddsförordningen på att känsliga personuppgifter endast får behandlas av eller under ansvar av den som omfattas av tystnadsplikt.

Uppgifter om lagöverträdelser

Nuvarande bestämmelser i registerförfattningarna om uppgifter om lagöverträdelser omfattar, utöver vad som gäller enligt dataskyddsförordningen, även uppgifter om friande brottmålsdomar och administrativa frihetsberövanden och innebär oftast restriktioner för behandlingen. Att dessa uppgifter, som omfattas av motsvarande bestämmelse i dataskyddsdirektivet, inte omfattas av dataskyddsförordningens reglering gör det möjligt att ta bort sådana restriktioner. Det är dock enligt utredningens mening svårt att se varför myndigheter och enskilda skulle få behandla sådana kategorier av personuppgifter i större utsträckning än de hittills har bedömts ha behov av att behandla bara därför att dataskyddsförordningen gör det möjligt. Med stöd av möjligheten att införa nationella bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen bör även de begränsningar för uppgifter om lagöverträdelser som inte omfattas av artikel 10 i dataskyddsförordningen behållas.

Personnummer

Bestämmelser om att personnummer får registreras, t.ex. i en databas, eller att (bara) personnummer får användas som sökbegrepp vid vissa sökningar kan enligt utredningens mening inte i sig anses ställa upp några särskilda villkor för behandlingen av personnummer enligt artikel 87 i dataskyddsförordningen. Det behöver därför inte iakttas några sådana lämpliga skyddsåtgärder som krävs enligt samma artikel. Skulle sådana bestämmelser trots allt anses ställa upp särskilda villkor, är de bestämmelser som redan finns i registerförfattningar att anse som lämpliga skyddsåtgärder.

Överföring till tredjeland

Dataskyddsförordningens bestämmelser om överföring till tredjeland är direkt tillämpliga och medför inte något behov av nationella bestämmelser som tillåter överföring av personuppgifter till tredjeland. En nationell bestämmelse om att överföring av personuppgifter till tredjeland i en viss situation är tillåten har dock en klargörande verkan och får anses vara en sådan mer specifik, eller särskild, bestämmelse som det är tillåtet att ha i nationell rätt för att reglera behandling som grundar sig på en rättslig förpliktelse eller en arbetsuppgift av allmänt intresse. Bestämmelserna i registerförfattningarna som anger när överföring av personuppgifter till tredjeland är tillåten har bedömts förenliga med dataskyddsförordningen och behöver därför inte ändras.

Rättigheter och skyldigheter

Nya rättigheter och skyldigheter

Det är utredningens övergripande bedömning att de nya rättigheter för registrerade och de nya skyldigheter för personuppgiftsansvariga som dataskyddsförordningen medför normalt sett inte kan anses så betungande för de personuppgiftsansvariga att det med fog kan sägas vara nödvändigt och proportionerligt att begränsa dem ens vid behandling av personuppgifter som rör viktiga mål av generellt allmänt intresse. Utredningens utgångspunkt är därför att det inte bör finnas begränsningar i registerförfattningarna som innebär att de registrerade inte får mera rättigheter än i dag trots att nya rättigheter följer av dataskyddsförordningen.

Rätt att göra invändningar

Den registrerade ska, enligt artikel 21.1 i dataskyddsförordningen, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på allmänt intresse, myndighetsutövning eller en intresseavvägning.

Flera registerförfattningar innehåller bestämmelser som begränsar rätten att göra invändningar. Utredningen har i fråga om sådana bestämmelser gjort en prövning av om begränsningen är tillåten enligt den undantagsmöjlighet som anges i artikel 23.1 i dataskyddsförordningen i förhållande till varje enskild registerförfattning. Prövningarna har lett till slutsatsen att det även fortsättningsvis är tillåtet att begränsa rätten att göra invändningar på det sätt som skett.

Information till registrerade

Bestämmelser i registerförfattningar om att den information som ska lämnas till registrerade ska innehålla fler upplysningar än vad som följer av dataskyddsförordningen kan och bör behållas om skyldigheten avser myndigheter eller den ursprungliga behandlingen grundas på att den är nödvändig för att fullgöra en rättslig förpliktelse, för att utföra en arbetsuppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Krav på information till registrerade som motsvarar krav som finns i dataskyddsförordningen bör tas bort. Bestämmelserna bör kompletteras med en upplysning om att information även ska lämnas enligt dataskyddsförordningen.

Rättelse

Dataskyddsförordningens bestämmelser om rättelse, radering och begränsning av behandling är direkt tillämpliga. Bestämmelser i registerförfattningar med hänvisningar till bestämmelserna i personuppgiftslagen om rättelse bör således upphävas och inte ersättas av hänvisningar till dataskyddsförordningen.

Automatiserade beslut

Utredningen bedömer att artikel 22.1 i dataskyddsförordningen omfattar enbart beslut som grundas på automatiserad behandling och inkluderar profilering. I den mån det inom Socialdeparte-mentets verksamhetsområde förekommer sådana beslut, krävs att något av de undantag som anges i artikel 22.2 i dataskyddsförordningen är tillämpligt. Vanligare är dock att beslut fattas genom automatiserad behandling utan att det inkluderar profilering. Sådana beslut omfattas enligt utredningens tolkning inte av artikel 22 i dataskyddsförordningen, och dataskydds-förordningen ställer inte heller i övrigt några krav på att sådant beslutsfattande ska regleras särskilt.

Säkerhetsåtgärder

Bestämmelser om säkerhetsåtgärder/skyddsåtgärder som finns i registerförfattningar är enligt utredningens bedömning sådana mer specifika, eller särskilda, bestämmelser som det är tillåtet att ha i nationell rätt för att reglera behandling som grundar sig på en rättslig förpliktelse, en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning. Myndigheter kan vidare genom nationell lag åläggas krav på säkerhetsåtgärder utan hinder av dataskyddsförordningen. Vid viss behandling av känsliga personuppgifter krävs det dessutom att skyddsåtgärder regleras i nationell rätt. Så är fallet även vid behandling av uppgifter om lagöverträdelser som inte utförs under kontroll av en myndighet.

Gallring

Bestämmelser i registerförfattningar om gallring och bevarande och bemyndiganden att meddela föreskrifter om bevarande kan behållas under förutsättning att den ursprungliga behandlingen grundar sig på en rättslig förpliktelse, en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning eller därför att bestämmelserna endast avser myndigheters behandling av personuppgifter.

Formuleringar i registerförfattningarna om bevarande av personuppgifter för historiska, statistiska eller vetenskapliga ändamål bör dock ändras till att avse arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med formuleringen i dataskyddsförordningen. Enligt utredningens bedömning innebär omformuleringen inte någon skillnad i sak.

Tillsyn

Av Dataskyddsutredningens förslag till dataskyddslag framgår att tillsynsmyndighetens befogenheter enligt dataskyddsförordningen ska gälla även vid tillsyn över efterlevnaden av bestämmelserna i dataskyddslagen och andra författningar som kompletterar dataskyddsförordningen. Det behövs därför inte några särskilda bestämmelser om tillsyn i de registerförfattningar som omfattas av översynen.

Sanktioner

Skadestånd

Bestämmelserna i dataskyddsförordningen om skadestånd är direkt tillämpliga även på sådan behandling av personuppgifter som omfattas av en registerförfattnings tillämpningsområde, under förutsättning att det rör sig om sådan behandling som också omfattas av dataskyddsförordningen. Bestämmelser i registerförfattningar med hänvisningar till bestämmelserna i personuppgiftslagen om skadestånd bör därför upphävas och inte ersättas av hänvisningar till dataskyddsförordningen.

Sanktionsavgifter

I artikel 83 i dataskyddsförordningen finns en uttömmande uppräkning av när det är möjligt att utfärda sanktionsavgifter. Eftersom endast överträdelser av nationell lagstiftning som antagits på grundval av kapitel IX omnämns i artikeln, kan sanktionsavgifter påföras endast vid överträdelser av sådana nationella bestämmelser. Vid överträdelser av bestämmelser i de registerförfattningar som omfattas av utredningens översyn, som samtidigt innebär en överträdelse av dataskyddsförordningens bestämmelser, är det dock enligt utredningens bedömning möjligt att påföra administrativa sanktionsavgifter i enlighet med artikel 83 i dataskydds-förordningen. Utredningen bedömer att det inte finns något behov av bestämmelser om administrativa sanktionsavgifter i registerförfattningarna.

Överklagande

Dataskyddsutredningen har föreslagit att dataskyddslagen ska innehålla en bestämmelse om överklagande av personuppgifts-ansvariga myndigheters beslut. Den bestämmelsen kommer att vara tillämplig även inom registerförfattningarnas tillämpningsområde, på samma sätt som personuppgiftslagens bestämmelser är det i dag. Något skäl att reglera överklagandemöjligheten på annat sätt än vad Dataskyddsutredningen föreslagit har inte framkommit. Bestämmelser om överklagande i registerförfattningar som enbart avser beslut om behandling av personuppgifter bör därför upphävas. I de fall registerförfattningen även innehåller överklagandebestämmelser avseende andra beslut än sådana som berör behandling av personuppgifter bör det dock införas en upplysning om att det finns bestämmelser om överklagande i den föreslagna dataskyddslagen.

Uppgiftsskyldigheter

För ett utlämnande av behandlade personuppgifter gäller enligt utredningens bedömning i princip samma förutsättningar enligt dataskyddsförordningen och dataskyddsdirektivet. Utlämnandet måste ske med stöd av ett primärt eller sekundärt ändamål eller vara förenligt med finalitetsprincipen alternativt omfattas av ett tillåtet undantag från den principen. De bestämmelser om uppgiftsskyldighet som finns inom Socialdepartementets verksamhetsområde är därmed lika tillåtna enligt dataskyddsförordningen som enligt dataskyddsdirektivet. När uppgiftsskyldigheten fullgörs måste dock den personuppgiftsansvarige beakta den reglering om dataskydd som finns i bl.a. dataskyddsförordningen.

Barns personuppgifter

Utredningen har tänkt på barnens rättigheter enligt barnkonventionen när förslagen skrivits. Det behövs inte några nya bestämmelser för att uppfylla det som krävs enligt dataskyddsförordningen i fråga om skyddet av barns personuppgifter.

Författningar som bör upphävas

Utredningen har kommit fram till att två av de författningar som ingått i översynen, förordningen om vårdnadsbidragsregister och förordningen med bemyndigande för Datainspektionen att meddela säkerhetsföreskrifter för socialförsäkringsregister, är obsoleta, överspelade. De författningarna bör därför inte anpassas till dataskyddsförordningen utan i stället upphävas.

Ikraftträdande och övergångsbestämmelser

Författningsändringar till följd av dataskyddsförordningen bör träda i kraft den 25 maj 2018, medan författningsändringar till följd av den föreslagna brottsdatalagen bör träda i kraft den 1 maj 2018. Utredningen föreslår att övergångsbestämmelser införs avseende bestämmelser om överklagande och skadestånd.

Konsekvenser

Utredningens förslag leder inte till att möjligheten att behandla personuppgifter förändras, med det undantaget att en nödvändig s.k. skyddsåtgärd föreslås införas i läkemedelsförordningen. Skyddsåtgärden innebär ett förstärkt skydd av den personliga integriteten. I övrigt medför förslagen inga konsekvenser. Däremot får förstås den direkt tillämpliga dataskyddsförordningen konsekvenser, vilka är generella för alla verksamheter i Sverige och beskrivs översiktligt.

» Se alla skrifter av Sören Öman

Sören Öman
» CV
» Föredrag
» Skrifter

Sören Öman har sedan början av 1990-talet för­fattat ett stort an­tal böcker, artiklar och rapporter på svenska och engelska (totalt 219 st. hittills). Han har åter­kommande ut­giv­ning på flera olika för­lag, bl.a. Norstedts Juridik / Wolters Kluwer, Zeteo / Juno, Jure Förlag, Åhnberg Förlag, Karnov Group, Studentlitteratur och Blendow Lexnova.

Sören Öman är ord­förande i Arbets­domstolen. Han är också skilje­man, före­läsare och för­fattare. Han har lång er­faren­het från ar­bete i Regerings­kansliet och om­fattande erfaren­het av ut­red­ningar inom olika juridiska om­råden, såsom arbets­rätt och data­skydd.

Exit mobile version