EU:s dataskyddsreform

Nya regler om personuppgiftsbehandling från 2018

EU:s dataskyddsreform

Den 25 maj 2018 kommer en ny EU-förordning om dataskydd att ersätta den svenska personuppgiftslagen. Förordningen kallas på svenska "allmän dataskyddsförordning". Förordningen antogs i april 2016 av Europaparlamentet och EU:s ministerråd efter fyra års förhandlingar. Det ursprungliga förslaget till förordningen lades fram av EU-kommissionen 2012.

Viktig information till personuppgiftsansvariga
Datainspektionen har tagit fram en vägledning som tar upp 13 frågor som personuppgiftsansvariga bör ta ställning till redan nu för att förbereda sig den nya dataskyddsförordningen.
Läs vägledningen Förberedelser för personuppgiftsansvariga
Läs vägledningen som pdf

Här kan du läsa den nya dataskyddsförordningen:

Svensk version av dataskyddsförordningen
Engelsk version av dataskyddsförordningen

Förordningens fullständiga namn är Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), EUT L 119, 4.5.2016, s. 1.

I överenskommelsen ingår även ett direktiv som reglerar hur personuppgifter får hanteras i den brottsbekämpande verksamheten. Direktivet blir inte direkt gällande lag utan ska införas i respektive lands nationella lagstiftning vilket ska vara klart två år efter att det formellt antas.

Regeringen tillsätter en utredning om dataskyddsförordningen

Regeringen har beslutat att tillsätta en utredning som ska föreslå hur den centrala svenska lagstiftningen på området bäst anpassas till den nya förordningen.

Läs pressmeddelandet från regeringen
Läs utredningsdirektivet

Lär dig mer om dataskyddsförordningen
Datainspektionen har börjat arbetet med att ta fram nytt informations- och utbildningsmaterial med anledning av den nya dataskyddsförordningen. Vi har redan gjort vissa ändringar i grundkursen i personuppgiftslagen och innehållet kommer successivt att anpassas ytterligare till den nya dataskyddsförordningen. Under hösten 2016 erbjuder vi även separata kurser i dataskyddsförordningen i Malmö, Göteborg och Umeå.
Läs mer om Datainspektionens utbildningar

Innehåll

Vad består den reformerade dataskyddslagstiftningen av?
Vad innebär det att personuppgiftsbehandling generellt regleras i en förordning och inte ett direktiv?
Vilka är de viktigaste nyheterna för enskilda medborgare?
Vilka är de viktigaste nyheterna för bolag och andra som registrerar personuppgifter?
Blir det krav på att bolag ska ha personuppgiftsombud?
Hur påverkas Datainspektionen?

Vad består den reformerade dataskyddslagstiftningen av?

Den reformerade dataskyddslagstiftningen består av två delar: en EU-förordning som gäller alla utom polisen (och andra brottsbekämpande myndigheter) och ett EU-direktiv som bara gäller polisen (och andra brottsbekämpande myndigheter).

Vad innebär det att personuppgiftsbehandling generellt regleras i en förordning och inte ett direktiv?

Att det är en EU-förordning innebär att reglerna kommer att gälla som lag direkt och på samma sätt i alla EU:s medlemsstater. Förordningen kommer att ersätta EU:s nuvarande dataskyddsdirektiv från 1995. Dataskyddsdirektivet skulle "översättas" till nationell lag vilket har inneburit att varje land kan ha sin tolkning eller "dialekt" på direktivet. När förordningen träder i kraft kommer den att ersätta nationella regler, såsom den svenska personuppgiftslagen.

Även om det alltså blir en och samma lag om dataskydd i hela Europa så medger EU-förordningen vissa nationella särregler. Som det ser ut nu finns det till exempel utrymme för nationella regler för hur myndigheter får hantera personuppgifter.

Vilka är de viktigaste nyheterna för enskilda medborgare?

Så vilka är de viktigaste nyheterna? För enskilda personer kommer rättigheterna att stärkas, bland annat ställs strängare krav på att företag och andra organisationer ska informera om hur de hanterar enskildas personuppgifter. Enskilda ska i vissa situationer även kunna säga nej till att en myndighet eller ett bolag använder ens personuppgifter. I Sverige kan man till exempel redan motsätta sig att ens personuppgifter används för att skicka direktreklam, men i den nya EU-förordningen utökas den rätten.

Enligt en dom i EU-domstolen från maj 2014 är det möjligt för personer att begära att sökmotorer som exempelvis Google tar bort resultat för sökfrågor som innehåller deras namn i fall resultaten är oriktiga, irrelevanta, inte längre relevanta eller överflödiga. Det kallas ibland "rätten att bli glömd".

Den nya EU-förordningen innehåller mer utförliga regler för när man har rätt att få uppgifter raderade och särskild hänsyn ska tas om det gäller uppgifter som samlades in då man var barn.

Ytterligare en nyhet för enskilda är rätten till "dataportabilitet", vilket ska göra det enklare för personer att flytta sina uppgifter från exempelvis ett socialt nätverk till ett annat.

Vilka är de viktigaste nyheterna för bolag och andra som registrerar personuppgifter?

För bolag, myndigheter och andra organisationer som samlar in personuppgifter ställs det nya krav. Skulle ett företag bli utsatt för dataintrång eller på något annat sätt tappa kontroll över personuppgifter så måste bolaget informera både de personer som uppgifterna gäller och Datainspektionen, om incidenten är allvarlig. Det kan den vara om uppgifterna som läckt ut kan leda till att personer utsätts för diskriminering, id-stölder, bedrägeri eller finansiella förluster.

Om ett bolag har för avsikt att hantera personuppgifter på ett sätt som kan medföra stora integritetsrisker så måste bolaget först göra en noggrann analys av vilka konsekvenserna av det kan bli, en så kallad Data Protection Impact Assessment. Riskfylld behandling kan till exempel vara storskaliga register som innehåller genetiska eller biometriska uppgifter, uppgifter om barn eller storskalig kameraövervakning på allmän plats. Skulle analysen visa att risken är hög, måste bolaget kontakta Datainspektionen som då ska göra en förhandskontroll för att säkerställa att sättet att samla in och hantera personuppgifter är lagligt.

Blir det krav på att bolag, myndigheter och andra organisationer ska ha personuppgiftsombud?

Ja, i vissa fall. Enligt förordningen ska både personuppgiftsansvariga och personuppgiftsbiträden utse ett så kallat dataskyddsombud om

  • personuppgiftsbehandlingen utförs av en myndighet eller ett offentligt organ (dock ej domstolar i deras dömande verksamhet)
  • den ansvariges eller biträdets kärnverksamhet består av personuppgiftsbehandling som kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning eller
  • den ansvariges eller biträdets kärnverksamhet består av behandling i stor omfattning av så kallade känsliga personuppgifter eller brottsuppgifter.

Den som vill får utse ett dataskyddsombud även i andra fall och medlemsstaterna kan i sin nationella rätt kräva att ett sådant ombud ska utses även i andra fall.

Hur påverkas Datainspektionen?

Även för Datainspektionen blir det förändringar. Som nämnts ovan ska myndigheten utreda förhandskontroller som rör riskfylld behandling av personuppgifter. Datainspektionen ska också kunna döma ut en "administrativ sanktionsavgift", en form av böter, på upp till 20 miljoner euro. Datainspektionen ska kunna döma ut det till företag som exempelvis inte lämnar information till registrerade, hanterar personuppgifter utan lagligt stöd, inte anmäler en säkerhetsincident till Datainspektionen eller inte skyddar personuppgifter med lämpliga säkerhetsåtgärder.

En nyhet i förordningen är att enskilda ska kunna vända sig till "sin egen" dataskyddsmyndighet med klagomål som rör uppgifter som hanteras i ett annat land. En svensk ska alltså kunna vända sig till Datainspektionen med ett klagomål som rör ett företag i Tyskland. Dataskyddsmyndigheterna i EU:s medlemsstater kommer att behöva samarbeta ännu mer än tidigare enligt den nya förordningen.

Lagar och regler

Frågor och svar om den nya dataskyddsförordningen

Här har vi samlat några vanliga frågor och svar om dataskyddsförordningen.

Fakta
• Den svenska personuppgiftslagen bygger på ett EU-direktiv från 1995, det så kallade dataskyddsdirektivet.
• I mars 2012 presenterade Europeiska kommissionen ett förslag till nya regler om dataskydd och personuppgiftsbehandling. Syftet var att modernisera reglerna i dataskyddsdirektivet och få till stånd en mer enhetlig tillämpning inom EU.
• Dataskyddsförordningen antogs i april 2016 av Europaparlamentet och EU:s ministerråd.
• 25 maj 2018 kommer dataskyddsförordningen att ersätta den svenska personuppgiftslagen.

EU-möte

Mer information

Stärkta rättigheter

Stärkta rättigheter för dina personuppgifter

Läs 29-gruppens informationsblad om den nya dataskyddsförordningen.

Internationell verksamhet

Läs mer om hur den svenska personuppgiftslagen gäller i olika gränsöverskridande sammanhang.

Datainspektionen och EU

Läs mer om hur Datainspektionen arbetar inom EU.

Externa länkar

EU-kommissionens webbsida om dataskydd