2017-05-30

Allt du behöver veta inför GDPR

Ateas säkerhetsspecialister kommer att fördjupa sig i ett antal paragrafer som vi ser som särskilt intressanta och vill gärna skapa en diskussion kring tillsammans med er läsare.

Vi kommer fortsättningsvis att publicera två blogginlägg i veckan på tisdagar och torsdagar kring ämnet.

Statens offentliga upphandlingar (SOU) har släppt den första remissen kring GDPR, dataskyddsförordningen. Det är en remiss och inget är fastställt men den kan ge vissa inriktningar som kan vara av intresse att bevaka ytterligare. Det är knappt ett år kvar tills 25 maj 2018 då GDPR börjar gälla.

Först några kortare kommentarer

Utredningen föreslår en ny dataskyddslag

Persondatalagen och personuppgiftslagen föreslås upphävas och skapandet av en ny svensk dataskyddslag bör träda ikraft innan GDPR. Detta kommer sannolikt att underlätta och förtydliga.

Förhållandet till våra grundlagar förändras inte

Utredningen understryker att behandling av personuppgifter inte ska inskränkas på det grundlagsreglerade området. Utredningen föreslår en upplysningsbestämmelse som tydliggör hur detta ska tillämpas. Ämnen som nämns är journalistiska, akademiska, litterära och konstnärliga ändamål. 

Dataskyddsförordningen ska gälla även i verksamhet som inte omfattas av unionsrätten

Sverige gör tolkningen att även verksamhet som nationell säkerhet, utrikes- och säkerhetspolitik som i förordningen inte omfattas bör ges ett adekvat dataskydd. Detta kan dock regleras separat men det är ändå en intressant infallsvinkel från svenskt håll och ett ställningstagande värt att titta vidare på.

Sverige föreslår att åldersgränsen för barn ska vara 13 år

Åldersgränsen för samtycke är upp till respektive land att besluta om och Sverige föreslår att den ska vara 13 år. Detta ställer ytterligare krav på hur texter formuleras för att det ska vara ett lättförståeligt och enkelt språkbruk i samband med avtal rörande samtycke. För barn yngre än 13 år krävs samtycke från vårdnadshavare.

Myndigheter kan krävas på sanktionsavgifter

Datainspektionen har möjlighet att ta ut administrativa sanktionsavgifter av företag och enskilda som bryter mot dataskyddsregleringen, det föreslås nu utökas så även myndigheter kan krävas på detta. Detta harmoniserar med att alla verksamheter är lika inför lagen.

Behandling av känsliga uppgifter

Får endast behandlas om det uttryckligen är tillåtet. Detta är inget nytt i sig men förtydligat ytterligare. Det föreslås att nödvändig behandling av känsliga uppgifter ska införas i dataskyddslagen för exempelvis arbetsrätten, hälso- och sjukvård och social omsorg.

Myndigheter får behandla känsliga uppgifter

Myndigheter med berättigat skäl och med den registrerades eget intresse i fokus ska tillåtas behandla känsliga uppgifter efter myndighetsundantag. Utredningen exemplifierar när sådan behandling bör kunna ske samt att det inte ska vara möjligt att explicit använda sökbegrepp som avslöjar känsliga uppgifter.

Dataskyddsombudet omfattas av sekretess

Myndigheter och vissa företag har skyldighet att utse dataskyddsombud och vid deltagande i det allmännas verksamhet åberopas offentlig- och sekretesslagen samt att i det privat föreslås sekretessförbindelser avseende enskilds personliga eller ekonomiska förhållanden.

Besök gärna https://www.atea.se/tjanster/it-sakerhet/ om du har frågor kring GDPR eller informationssäkerhet i allmänhet. 

Om du vill läsa remissen i sin helhet följ länken här