Så förhåller sig dataskyddförordningen och dataskyddslagen till andra lagar

2017-06-11

I detta inlägg ska vi försöka behandla hur dataskyddförordningen och dataskyddslagen förhåller sig till andra lagar och bestämmelser. Vi tar utgångspunkt i utredningen Kapitel 1 i regeringens utredning.

Mats Juhlén Specialist på it- och informationssäkerhet
  • 1 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter.
  • 3 § Om en annan lag eller en förordning innehåller någon bestämmelse som rör behandling av personuppgifter och som avviker från denna lag tillämpas den bestämmelsen.

Detta innebär att vi måste få kontroll på dataskyddförordningen, dataskyddslagen samt eventuella speciallagar eller sektorspecifika bestämmelser som gäller för vår bransch om vi ska ha en möjlighet att tolka lagen utifrån vår verksamhet på korrekt sätt.

Vi ska försöka förtydliga detta och använda oss av ett par exempel. Dataskyddslagen kliver in där det finns tolkningsutrymme i förordningen tex vid åldersgräns för att skapa konton på online communitys. Eftersom detta är tolkningar från förordningen och förslag så finns ju möjligheten till förändringar.

När vi pratar om sektorspecifika utredningar så pågår just nu ca 20 stycken eftersom det inte låg i denna utrednings scoop att ta upp detta. Men dessa sektorspecifika regler måste anpassas till dataskyddsförordningen och berör primärt offentlig sektor.

Vi behöver göra är en författningsanalys om vi är osäkra på vad som vi behöver förhålla oss till. Denna kan man göra både bottom up eller top down beroende på om man vet vad som gäller inom sin bransch/område.

Ett exempel inom vården kan vara att vi vill hantera personuppgifter i en ny process. Beroende på startpunkt så kan vi göra det utifrån patientdatalagen (PDL) Finner vi stöd i den så borde det vara ok att köra på men det kan vara så att PDL ännu inte anpassats till dataskyddslagen så därför måste vi titta där och se om det finns något förtydligande utifrån dataskyddsförordningen. Om vi fortfarande ser att allt är okej så går vi vidare till dataskyddsförordningen så vi inte missat något annat, eftersom dataskyddslagen endast tittar på vissa delar och inte hela dataskyddförordningen.

Vi kan även börja från andra hållet. Om vi inte vet om det finns sektorspecifika bestämmelser så kan vi göra samma analys fast vi börjar från förordningen.

Ta skolor och användandet av socialmedier som ett exempel. Då kan vi börja titta på vad förordningen säger. Här pratar man om 16 årsgräns för att få ta ett eget beslut om man ska ha ett konto utan samtycke från föräldrar. I Sverige är förslaget 13 år och det är det man utgår ifrån i utredningen och förslaget man lämnat. Här har alltså Sverige gjort sin tolkning av förordningen. Till detta kommer det även komma sektorspecifika bestämmelser för skolan som ska hantera åldersgräns. Där kan det komma ytterligare förtydliganden genom utredning kring sektorspecifika bestämmelser.

Det viktiga är att genomlysa laggrunden och få en förståelse får den sektor/verksamhet man verkar i.