Chatt om dataskyddsreformen

Den 28 januari 2016 kunde man chatta med Datainspektionens expert om EU:s nya dataskyddsförordning. Här kan du läsa alla frågor och svar från chatten.

På torsdagen den 28 januari kunde man chatta om den kommande EU-förordningen med Datainspektionens expert Elisabeth Wallin. Chatten hölls denna dag eftersom det är den europeiska dataskyddsdagen. Europas dataskyddsmyndigheter ordnar olika aktiviteter denna dag för att öka medvetenheten om hur personuppgifter samlas in och behandlas och vilka rättigheter man har som medborgare. Datumet har valts eftersom Europarådets dataskyddskonvention antogs den 28 januari 1981.

På den här sidan kan du ta del av hela chatten.

Oskar Olsson: Kommer regleringen med personuppgiftsansvarig/-biträde finnas kvar?
Datainspektionen: Ja, förordningen innehåller regler om personuppgiftsansvarig och biträde precis som förut. En skillnad är att det blir ännu tydligare vilket ansvar och vilka skyldigheter de har.

Moderator: Oj, vi var litet tidiga på avtryckaren när vi ville testa chattfunktionen. Eller så betyder det att Datainspektionen alltid ligger ett steg före! :-) Det har kommit in massor med frågor. Vi ska göra vårt yttersta för att svara på alla. Nu kör vi!

Moderator: Datainspektionens internationella samordnare Elisabeth Wallin sitter här bredvid mig och knappar febrilt på tangentbordet.

Pontus : Hur definieras SME (small and medium enterprise) och vilka lättnader blir det för dom avseende t.ex. att inte behöva Data Protection Officers eller utföra konsekvensanalys
Datainspektionen: Det finns inte någon definition av SME:s i den slutliga versionen av förordningstexten. Skyldigheten att göra en konsekvensanalys blir istället beroende av hur pass riskfylld behandlingen är.

Moderator: Idag är det Europeiska Dataskyddsdagen, därför genomför vi chatten idag. Europas dataskyddsmyndigheter ordnar olika aktiviteter denna dag för att öka medvetenheten om hur personuppgifter samlas in och behandlas och vilka rättigheter man har som medborgare.

Oskar Olsson: När träder förordningen ikraft?
Datainspektionen: Vi vet inte exakt ännu. Förordningen väntas beslutas formellt april/maj 2016 och gäller sedan i medlemsstaterna två år senare, dvs. april/maj 2018

Lena SA: Kommer ni att lägga upp frågor o svar sen som blir under denna timme på er hemsida?//Lena
Moderator: Ja, dels kommer vi att lägga upp hela chatten, dels kommer vi att välja ut frågor från chatten och lägga upp separat på webben. Det är jättebra att vi får reda på vad man undrar över om EU-förordningen.

Moderator: Tips: ställ gärna en fråga i taget. Och gärna korta texter!

Moderator: Elisabeth har tagit fram svar på vissa frågor som skickats in tidigare men som moderator svarar på.

PuO Marginalen Bank: - Vilka större konsekvenser riskerar den nya förordningen att få på den redan hårt reglerade bank branschen i Sverige? - Hur pass involverad kommer Datainspektionen att vara avseende anpassningen till den nya förordningen? (Utbildning, rådgivande etc) - Hur kommer personuppgiftsombudets roll att påverkas? - Kommer den nya dataskyddsförordningen att vara subsidiär på samma sätt som PuL varit? - Kommer Datainspektionen att förbli tillsynsmyndigheten? - Hur ska näringsidkares uppgifter behandlas?
Datainspektionen: Datainspektionen kommer att jobba för fullt med att informera om förordningens regler och se tilll att de som behandlar personuppgifter följer dessa. Vi kommer att ge information på vår webbplats men även sannolikt hålla särskilda utbildningar. Förordningen gäller direkt som lag i Sverige men det kommer att behövas kompletterande svenska regler i olika delar. Vi utgår ifrån att vi ska fortsätta att vara tillsynsmyndighet men det bestäms slutligt av lagstiftaren.

FredrikS: Är dataskyddsmyndigheterna skyldiga att tillämpa sanktionsreglerna? Hur kommer ni hantera tillsynsärenden, vad ska till för att företag faktiskt ska få böta?
Moderator: Ja, förordningen kräver att alla dataskyddsmyndigheter har befogenhet att döma ut sanktionsavgifter och att detta görs enligt en viss skala, beroende på vilken slags överträdelse det är fråga om. Varje dataskyddsmyndighet kan dock alltid göra en bedömning i det enskilda fallet av om sanktionsavgifter ska dömas ut och till vilket belopp (inom den angivna skalan). Syftet med förordningen är dock även på detta område att uppnå en EU-gemensam och harmoniserad praxis, och EU:s dataskyddsmyndigheter kan (genom den EU-gemensamma dataskyddsstyrelsen) komma att ta fram information för att se till att reglerna om sanktionsavgifter tillämpas på ett enhetligt sätt. /Elisabeth

FredrikS: Sekretessbeläggs information som lämnas vid data breach notification?
Moderator: Detta regleras inte i förordningen. Information som kommer in till Datainspektionen är - i detta fall precis som annars – offentlig och ska lämnas ut om det begärs, om det inte finns bestämmelser i offentlighets- och sekretesslagen som säger att den inte får lämnas ut. Om någon skulle begära ut information som kommer in i samband med en data breach notification får Datainspektionen alltså göra en sekretessprövning precis som vanligt för att se om den ska lämnas ut eller inte. Däremot innehåller förordningen en skyldighet för företaget eller myndigheten som drabbats av incidenten att själva lämna ut information om denna till de registrerade under vissa omständigheter. Informationen ska omfatta bl.a. vilka konsekvenser incidenten kan få och vilka åtgärder man vidtagit för att motverka ev. negativa konsekvenser. /Elisabeth

Kristina: Artikel 18 Uppgiftsportabilitet: om den registrerade har rätt att få sina uppgifter, betyder det att inga uppgifter som huvudregel får finnas kvar hos den registeransvarige. Är medveten om undantagen i punkterna 2a och 2aa.
Datainspektionen: Om det handlar om uppgifter som den enskilde själv har lämnat och har rätt att få ut enligt reglerna om data portabilitet får den personuppgiftsansvarige enligt vår tolkning inte ha kvar uppgifterna om det inte finns något annat rättsligt stöd för att behandla uppgifterna.

FredrikS: Hur detaljerad ska informationen som lämnas vara – experter jag pratat med menar att det är mycket begärt att kunna lämna detaljerad information inom 72 timmar?
Moderator: Informationen ska omfatta vilken typ av incident det är fråga om – t.ex. ? vilka kategorier av personer som kan beröras och ? hur många personer det berör, ? vilka konsekvenser det kan få och ? vilka åtgärder man vidtagit för att motverka ev. negativa konsekvenser. Om det inte är möjligt att lämna all information inom 72 timmar, kan man dela upp det och lämna olika uppgifter allt eftersom man hinner. Hinner man inte göra anmälan inom 72 timmar ska man meddela det och ange skälen för detta. /Elisabeth

FredrikS: Kommissionen hävdar att reformen kommer innebära besparingar eftersom företag får ett regelverk att anpassa sig till istället för 28. Näringslivet befarar att detta kommer bli en dyr historia för företag pga böter, behovet av översyn av IT-system m.m. Vem har rätt?
Moderator: Båda har säkert rätt utifrån olika perspektiv. Syftet är bl.a. att förenkla för företagen genom att samma regler gäller i alla EU:s medlemsländer med de ”stordriftsfördelar” som det kan innebära. Men visst, bara det faktum att ett helt nytt regelverk träder ikraft innebär ju också att det inledningsvis kan innebära stora kostnader att lära sig de nya reglerna och anpassa sin verksamhet till dem. /Elisabeth

Gunnel Andersson: Hej! Kommer Datainspektionen att anordna utbildningar med anledning av den nya förordningen?
Datainspektionen: Ja, Datainspektionen kommer att ordna utbildningar. Mer information om detta kommer att finnas på vår webbplats.

Oskar Olsson: Kommer förordningen att få någon påverkan på verksamheter med utgivningstillstånd?
Datainspektionen: Förordningen innehåller i princip samma undantag för yttrandefriheten som dataskyddsdirektivet. Så förhållandet till yttrandefrihetsgrundlagen där utgivningsbevisen regleras är i princip oförändrad.

Patrik Jonasson: När organisationer ska rapportera in dataintrång. Kommer det att göras till datainspektionen eller MSB?
Datainspektionen: En sådan anmälan ska enligt förordningen göras till Datainspektionen.

MartinB: Massmedia blåste upp nyheten att föräldrar måste ge sitt godkännande om unga under 16 år vill gå med i Facebook och andra online-tjänster. Är det den största nyheten i förordningen?
Moderator: Det finns säkert olika perspektiv på vad som är de viktigaste eller största nyheterna i förordningen. För den som är 13 år och vill gå med i en nätsajt är det kanske den bestämmelse som berör mest. Men det finns förstås andra regler som upplevs som större förändringar för både enskilda och företag/myndigheter ur andra synvinklar. /Elisabeth

MartinB: Vilken är då den största nyheten i förordningen?
Moderator: Det är som sagt svårt att säga generellt – det finns många olika perspektiv. Risken att drabbas av sanktionsavgifter och skyldigheten att anmäla säkerhetsincidenter till dataskyddsmyndigheten är stora förändringar för de som behandlar personuppgifter. Den nyinförda rätten till dataportabilitet, dvs. att kunna ta med sina personuppgifter och flytta dem från en online-tjänst till en annan är en stor förändring för både enskilda och de som håller i sådana tjänster. /Elisabeth

Cim: Hur lång tid kommer det att ta innan svensk lagstiftning har anpassat sig efter den nya förordningen? Kommer EU-förordningen att gälla i sin helhet i Sverige?
Datainspektionen: Förordning kommer att gälla direkt i svensk rätt. I de fall förordningen förutsätter reglering i svensk rätt ska dessa vara på plats vid ikraftträdandet.

Slarvern: Om bolag slarvat bort personuppgifter eller fått uppgifter stulna så ska man i vissa fall meddela Datainspektionen. När ska man göra det?
Moderator: Utgångspunkten är mycket riktigt att man ska meddela Datainspektionen om något sådant händer. Någon sådan anmälan behöver inte göras om det är osannolikt att det som inträffat leder till några risker för enskildas fri- och rättigheter. De risker man tänker på är t.ex. att enskilda förlorar kontrollen över sina uppgifter eller att deras rättigheter inskränks, att man utsätts för diskriminering, identitetsstöld eller bedrägeri, finansiell förlust, skadlig ryktesspridning, brott mot sekretess eller tystnadsplikt. Anmälan ska göras inom 72 timmar från att man upptäckt vad som hänt. /Elisabeth

Mats Terneke: Är det så att det enligt lag kommer att krävas ett dataskyddsombud i alla organisationer? Vad kommer det att innebära för Svenska kyrkan, måste det finnas ett ombud i varje pastorat eller räcker det med ett ombud per större enhet som t ex stift? Ett stift är ju ganska stort...
Datainspektionen: Förordningen säger att det måste finnas ett personuppgiftsombud hos myndigheter och, i vissa fall hos företag om de behandlar känsliga uppgifter. Det sägs uttryckligen att en koncern kan ha ett och samma ombud under förutsättning att ombudet finns tillgänligt för alla bolag. Det borde gälla även i detta fall.

Slarvern: Varför ska bolag göra såna anmälningar till Datainspektionen?
Moderator: Anmälan syftar till att göra det möjligt för Datainspektionen att se och bevaka vilka åtgärder som vidtas för att motverka negativa effekter av säkerhetsincidenten. Om det blir nödvändigt kan dataskyddsmyndigheten också utöva sina tillsynsbefogenheter för att få den som är ansvarig att vidta nödvändiga åtgärder. /Elisabeth

Slarvern: Kommer Datainspektionen att ha en skampåle på sin webbplats där man publicerar de bolag som förlorat personuppgifter?
Moderator: Nej, Datainspektionen har inga sådana planer. Syftet är att få de som behandlar personuppgifter att göra rätt och motverka effekterna av att en incident har inträffat. Om det blir nödvändigt för detta syfte kommer Datainspektionen att utöva sina tillsynsbefogenheter. Den information som kommer in till Datainspektionen hanteras precis som all annan information, den kan komma att lämnas ut om någon begär det – såvida vi inte bedömer att sekretess gäller för uppgifterna. /Elisabeth

Slarvern: Kan nyhetsbyråer eller andra begära ut uppgifter från Datainspektionen om de bolag som råkat ut för dataintrång eller som på annat sätt förlorat personuppgifter?
Moderator: Den information som kommer in till oss i samband med en anmälan om säkerhetsincident hanteras som all annan information som kommer in till Datainspektionen. Om någon begär ut uppgifter från oss, gör vi en sekretessprövning utifrån reglerna i offentlighets- och sekretesslagen. Om vi bedömer att uppgifterna omfattas av sekretess kan vi inte lämna ut dem. Sekretess kan gälla om det t.ex. handlar om information som rör företagshemligheter, känsliga uppgifter om enskilda, uppgifter som rör rikets säkerhet eller brottsutredning eller uppgifter om säkerhets- eller bevakningsåtgärder. /Elisabeth

M.Andersson: Hur blir begränsningen på storlek på företaget (antal anställda etc) där lagen kräver en personuppgiftsansvarig? Är det också begränsningar när det gäller vite? Hur har man tänkt att man skall kontrollera att man sköter åtagandet...DI fortfarande men blir det då med lite mer pondus dvs hot om vite bakom DIs påpekanden?
Datainspektionen: En personuppgiftsansvarig finns alltid, det är den som är ansvarig för behandlingen och som måste iaktta de skyldigeter som förordningen ställer. Däremot finns det möjlighet för den personuppgiftsansvarige (myndigheten, bolaget m.m.) att utse ett personuppgiftsombud - en person som har att särskilt bevaka personuppgiftsbehandlingen. Kravet på att bolaget ska ha en viss storlek är borta - frågan om ett ombud ska utses blir nu istället beroende av hur pass riskfylld behandlingen är, om känsliga personuppgifter behandlas t.ex.

Oskar Olsson: Hur pass utsträckt kommer rätten att bli glömd vara, kommer vem som helst kunna kräva radering av personuppgifter hos vilket företag som helst?
Datainspektionen: Rätten att bli glömd är inte absolut och förutsätter bl.a. att personuppgifterna inte längre är nödvändiga för det ändamål för vilka de har samlats in.

Ombud: Vad säger förordningen om samtycke? På alla sajter jag känner till förväntas jag samtycka till något som jag inte riktigt vet vad det handlar om; ofta ges information som är flera sidor lång med pytteliten text och jag har inte en chans att förstå vad det handlar om …
Moderator: Precis som tidigare så kommer ett samtycke bara att vara giltigt om man först fått information om hur personuppgifterna ska behandlas. Ett av syftena med förordningen har varit att göra det tydligare för enskilda vilka rättigheter de har, däribland rätten att få information om personuppgiftsbehandling både innan man samtycker till något och när uppgifter behandlas på någon annan laglig grund. Förordningen innehåller tydliga regler som kräver att den information som ges ska vara fullständig, begriplig, lättillgänglig och ge nödvändig insyn. Informationen ska ges på ett klart och enkelt språk och tala om vem som är ansvarig för personuppgiftsbehandlingen, syftet med denna, hur man gör för att utöva sina rättigheter och att man kan ge in klagomål till dataskyddsmyndigheten. Särskilda krav på tydlighet ställs om informationen riktar sig till barn. Ett exempel som anges är att man kombinerar informationstext med standardiserade ikoner som ger en lätt synlig, begriplig och lättläst överblick över hur uppgifter ska behandlas. Det kan bli aktuellt för Datainspektionen att ge mer vägledning om hur informationen ska se ut både i vår tillsyn och i vårt arbete med att ge råd och rekommendationer. /Elisabeth

M.Andersson: Hej, Hur är det med att lagra det egna företagets anställda...är detta undantaget/begränsat på något sätt i den nya lagen?
Datainspektionen: Förordningen innehåller bestämmelser om i vilka fall en arbetsgivare får behandla personuppgifter om sina anställda. Ytterligare bestämmelser om detta kan meddelas i nationell lag eller kollektivavtal.

Camilla: Vilken instans kommer att granska huruvida man som företag eller organisation följer det nya regelverket?
Datainspektionen: Vi utgår från att Datainspektionen även fortsättningsvis kommer att vara tillsynsmyndighet men detta bestäms slutligt av lagstiftaren.

Developer: Jag har läst om ”data protection by design and by default” – vad är det?
Moderator: Data protection (eller privacy) by design har det talats om ett bra tag men det är först nu som det införs i själva lagtexten. Det handlar om att man ska ”bygga in” säkerhet redan från början i systemen och göra det på ett sådant sätt att det per automatik innebär ett starkt skydd för personuppgifter. I förordningen uttrycks det så att den som behandlar personuppgifter ska implementera lämpliga tekniska och organisatoriska säkerhetsåtgärder både när man fattar beslut om behandlingen och sedan under själva behandlingen. När man bestämmer vilka åtgärder som behövs ska man ta hänsyn till art, omfattning och syfte med behandlingen liksom vilka risker för enskildas rättigheter som det kan medföra. Man pratar om t.ex. pseudonymisering (att personuppgifterna inte görs direkt läsbara så att de går att koppla till en viss enskild person) och data minimering (att endast de uppgifter som är nödvändiga för varje enskilt ändamål behandlas). /Elisabeth

BM: Gäller dataportabilitet bara för online-tjänster??
Datainspektionen: Rätten till s.k. dataportabilitet är inte begränsad till online-tjänster men sådana tjänster har varit i fokus under förhandlingarna.

Sara: Finns förordningen att läsa på svenska någonstans? (I dess nuvarande lydelse)
Moderator: Nej. /Elisabeth

CV: "Förordningen säger att det måste finnas ett personuppgiftsombud hos myndigheter" Räknas en kommun som en myndighet eller är det varje nämnd som ska ha ett ombud?
Datainspektionen: Här blir det ingen skillnad. i Sverige anses normalt varje kommunal nämnd vara personuppgiftsansvarig och vara skyldig att ha ett ombud. Flera nämnder inom samma kommun kan dock utse samma person som ombud.

Daniel: Blir det något undantag för ostrukturerad information (jmf. PuL §5a) i förordningen?
Datainspektionen: Det finns inget bestämmelse i förordningen som motsvarsvara undantaget i 5 a § den s.k. missbruksregeln .Den kommer således att försvinna.

LarsE: Jag har följt arbetet med förordningen och har sett förslag på att det ska vara obligatoriskt för bolag över en viss storlek att ha personuppgiftsombud. Kommer det att bli så?
Moderator: Du har rätt, enligt tidigare utkast skulle det bli obligatoriskt för bolag av en viss storlek att ha ett personuppgiftsombud. Det kravet har dock försvunnit. Som förordningen ser ut nu måste myndigheter utse ett sådant ombud. Dessutom måste sådana företag som sysslar med verksamhet som innebär systematisk övervakning av enskilda i stor skala eller som behandlar känsliga personuppgifter eller brottsuppgifter utse ett ombud. Därutöver kan varje land bestämma att det måste finnas personuppgiftsombud även hos andra företag. Det är för tidigt att säga om det kommer att bli så i Sverige. I Sverige kommer sannolikt en statlig utredning att få i uppdrag att titta på vilka nationella regler som behövs mot bakgrund av förordningen. Det kan vara en sådan fråga som de kan komma att titta på. /Elisabeth

PuO Thomas Andersson: Kommer GDPR att påverka de offentliga register vi har i Sverige - SPAR, Bilregister, Fastighetsregister?
Datainspektionen: Förordningen gäller i princip även för dessa register. Den tillåter dock att medlemsstaten tar fram särskilda regler för att anpassa förordningens bestämmelser till myndigheters register. I vilken mån detta behövs eller blir aktuellt för dessa register får utredas vidare av lagstiftaren.

Pontus: Kommer personuppgifsombudets roll förändras. Kvävs det utbildning som ex jurist. Ska förteckningen av behandlingar föras på samma sätt - vad är skillnaden.
Datainspektionen: Förordningen innehåller tydligare krav på ett ombud - det sägs t.ex. att man ska ha expertkunskaper i dataskydd men det finns inget specifikt krav på att man ska vara jurist. Det finns också utförligare regler om vad som ska finnas med i en registerförteckning och det är den personuppgiftsansvarige som ska föra denna - inte ombudet.

Pär Trehörning: Innebär rätten att bli bortglömd/radera personuppgifter att exempelvis en makthavare kan kräva att en uppgift i ett offentligt protokoll som rör makthavaren kan tas bort? Hur kommer processen mot en ny personuppgiftslag att se ut?
Datainspektionen: Det finns flera undantag från rätten att bli glömd. Ett sådant undantag är när behandlingen av personuppgifter är motiverad av yttrande- och informationsfrihet. Det blir således en avvägning i det enskilda fallet, precis som i dag. 2. Det blir i princip ingen ny personuppgiftslagen eftersom förordningen kommer direkt gälla i Sverige. I vissa fall kommer den behöva kompletteras med svenska regler. t.ex. för undantaget för journalistiska ändamål och TF/YGL

Daniel: Finns det fortfarande möjlighet till konkludent samtycke?
Datainspektionen: Ja, förordningen säger att samtycke kan ske genom en "clear affirmative action"

Johan : Vad händer med de svenska registerlagarna?
Datainspektionen: Det kommer att utredas i vilken mån de svenska registerlagarna kan finnas kvar, måste tas bort eller behöver anpassas.

Catherine: Ni skrev på chatten att förordningen innehåller regler om personuppgiftsansvarig och biträde precis som förut. En skillnad är att det blir ännu tydligare vilket ansvar och vilka skyldigheter de har. Kommer man som privatperson kunna begära skadestånd om personuppgiftsansvarig ej följer reglerna?
Datainspektionen: Jal, det finns särskilda regler om att man som enskild ska kunna begära skadestånd av den personuppgiftsansvarige om de inte följer reglerna.

Dataskydd.net: Tillfällen då svensk registerlagstiftning för myndigheter går emot principerna i den europeiska lagstiftningen. Kommer Datainspektionen behandla sådana fall utifrån att EU-rätten är primärrätt, eller utifrån perspektivet att regeringen får styra sina myndigheter som den själv vill?
Datainspektionen: Datainspektionen måste följa dataskyddsförordningen och övriga delar av EU-rätten, liksom även Regeringens förordningar.

Unknown: Vem gör bedömningen som krävs i art. 23, d.v.s. kostnadsaspekt mot "privacy by design"-aspekten?
Datainspektionen: Det är den personuppgiftsansvarige som i första hand har att göra den bedömningen.

Karin: Vilken instans kommer utfärda sanktionsavgifterna? Sker det efter ansökan i domstol eller blir det DI som utfärdar?
Datainspektionen: Enligt förordningen är det tillsynsmyndigeten som ska besluta om sanktionsavgifter.Myndighetens beslut kommer kunna överklagas till domstol.

Catherine: Avvägning i det enskilda fallet gällande rätten att bli bortglömd. Vem är det som gör bedömningen? Om man som privatperson vill bli glömt och kontaktar myndighet eller bolag och de ej tar bort det man vill. Vad gör man då och vilka sanktioner kan man ta till?
Datainspektionen: Det är i första hand den personuppgiftsansvarige som har att se till att uppgifter tas bort på begäran, eller att bevisa varför de har rätt att behålla uppgifterna. Om man inte anser att man får gehör hos den personuppgiftsansvarige kan man vända sig till Datainspektionen med ett klagomål. Förordningen ger nya möjligheter till sanktionsavgifter för den som bryter mot reglerna.

Moderator: Inom EU har man tagit fram en poster som informerar om några av de största nyheterna i förordningen för oss medborgare. Vi har översatt den till svenska. Det är bara att ladda ner den och printa ut! http://www.datainspektionen.se/Documents/diverse/dok-eu-blad-2016.pdf

Martin: Vad händer med befintliga kundklubbar, medlemsregister etc? Måste alla medlemmar kontaktas för att ge godkännande om att fortsätta finnas med där eller vad kommer krävas i praktiken?
Datainspektionen: Det troliga är att tidigare samtycke gäller även fortsättningsvis, men man måste nog bedöma vilka samtycken som har lämnats.

FOI Säk/PUO: Kommer faktiska krav på skydd av personuppgifter, särskilt i IT system, tas fram (krav på säkerhetsfunktioner?). Hur ska annars tillsynsmyndigheten kunna avgöra om brister i skyddet förevarit?
Datainspektionen: Datainspektionen kommer att ta fram råd och rekommendationer för att göra det lättare att följa förordningens regler. Detta kan sannolikt också komma att omfatta krav på IT-säkerhetsåtgärder.

Ulf Gustavsson: Blir det någon skillnad på sanktionsavgifter för myndigheter och företag?
Datainspektionen: Förordningen ger utrymme för medlemsstaterna att bestämma om tillsynsmyndigheten ska kunna beslut om sanktionsavgifter mot det egna landets myndigheter. Det är därför upp till svenska lagstiftaren att beslut om detta ska gälla i Sverige och troligen också hur dessa ska utformas

Gunilla Etsare: Kan förordningen komma att krocka med eller påverka andra skyddande lagar såsom patientjournallagen?
Datainspektionen: Förordningen innehåller allmänna regler om när personuppgiftsbehandling i sjuk- och hälsovård får ske. Det får sedan utredas i Sverige i vilken mån reglerna i patientjournallagen (patientdatalagen) behöver anpassas.

Ulrika: Hej! Tänkte höra om DI kommer att ordna information/utbildning om förändringarna i och med den nya förordningen? I så fall när i tid och kommer det att erbjudas även utanför Stockholm?/Ulrika Andersson, PUO Göteborg
Moderator: Datainspektionen har börjat arbetet med ta fram nytt informations- och utbildningsmaterial och vi har redan gjort vissa ändringar i grundkursen i personuppgiftslagen. Grundkursen kommer successivt att anpassas ytterligare till de nya reglerna. Tidigast under hösten 2016 kommer Datainspektionen att erbjuda separata kurser i EU-förordningen. Idag vågar jag inte ge besked om vi kommer att hålla utbildningar utanför Stockholm men sannolikt kommer vi att hålla utbildningar på andra större orter. /Jonas Agnvall, utbildningssamordnare

Jacob: Vad gäller de nya kraven på personuppgiftsombuden; kommer Dataisnpektionen hålla utbildningar för existerande ombud för att öka kunskaperna i dataskydd?
Moderator: Jepp. Se tidigare svar på Ulrikas fråga. Besök Datainspektionens webbplats och kolla under rubriken Utbildning. /Jonas Agnvall

Camilla: Hur är det tänkt att informera exempelvis idrottsföreningar, jaktklubbar och liknande om det nya regelverket?
Datainspektionen: Vi arbetar f.n. med att analysera förordning och förbereda myndigheten på alla nya arbetsuppgifter. Däri ingår också att informera alla som berörs av dataskyddsförordningen. Det kommer bl.a. att bli via webben och utbildningar. Idrottsförreningar och jaktklubbar är så klart välkomna att delta på öppna utbildningar.

Britt: • Hantering av personnummer, vad kommer bli tillåtet • Prospekt urval ur t ex SPAR eller andra offentliga databaser • Hur hanteras befattningshavare i juridiska bolag samt i enskilda firmor, kommer aktivt samtycke krävas för att registrera en befattningshavare framöver? • Vilket ansvar får en Data Protection Officer • Gäller fortfarande självreglering via nix • Måste alla bolag som samlar in personuppgifter ha en integritetspolicy?
Datainspektionen: Förordningen ger medlemsstaterna rätt att bestämma regler för personnummer. Det kommer att utredas i vilken mån särskilda regler om detta behövs i SVerige. När det gäller befattningshavare kan det finnas möjlighet att registrera dess utan samtycke, t.ex. efter en intresseavvägning. En data protection officer's uppgifter regleras detaljerat i artikel 35-37 i förordningen. Det blir ännu tydligare att ombudet ska ha en självständig ställning och rapportera direkt till ledningen. Det finns också ett allmänt krav på att den som behandlar personuppgifter ska införa en lämplig dataskyddspolicy om det är proportionerligt i förhållande till behandlingen

Sebastian: Hur kommer processen att se ut om personuppgifter har misskötts och böter är aktuellt?
Datainspektionen: Det ännu lite tidigt att uttala sig om hur dataskyddsförordningen påverkar vår tillsynsverksamhet. Men det troliga är att vi, som tidigare, i normala fall försöker åstadkomma rättelse genom påpekande och föreläggande. Sanktionsavgifter blir troligen endast aktuellt vid grova fel och då den personuppgiftsansvarige inte rättar sig. I förordningen anges också ett antal förhållanden som kan beaktas om avgifter ska utfärdas och hur stora dessa ska vara.

Kristina: Vem har rätt att utse PUL-ombud i en kommun? Är det nämnderna eller kommundirektören, som är högsta tjänsteman?
Datainspektionen: Det regleras inte i förordningen utan följer vanliga regler om beslutsbehörighet i den kommunala nämnden.

JN: Jag skickade in några knepiga frågor redan igår. Kommer dessa att komma upp här eller besvaras till min mailadress? Om frågorna inte kommit in kan jag skicka in dem igen.
Moderator: Hmm, jag har kollat inkomna frågor. Skickade du dem på mejl eller via chatten? Skicka in dem igen vettja! /Per Lövgren, pressansvarig

Jenny: Vi är en medlemsorganisation av 28 st likvärdiga, måste varje organisation ha en dpo eller går det att ha en gemensam via vår samorganisation?
Datainspektionen: Det går bra att ha ett gemensamt ombud.

Viktoria: Kommer Datainspektionen att var tillgängligt för samråd för enskilda företag för att hjälpa till att hitta rätt nivå för just det företagets skydd för personuppgifter?
Datainspektionen: Ja, det finns särskilt uttryckt i förordningen att vi ska svara på samråd.

Kerstin: Vems skyldighet blir det att anmäla incident till tillsynsmyndighet - personuppgiftsansvariga eller personuppgiftsbiträdet?
Datainspektionen: Det är den personuppgiftsansvarige som ska göra den anmälan.

Beatrice: Det anges ju att det ska gå att kompletterande regler/undantag för myndigheter. Vem tar fram dessa och när? Eller är det några av de befintliga reglerna som kommer att gälla fortsättningsvis?
Datainspektionen: Det är den svenska lagstiftaren som får ta fram dessa. Det innebär att ansvarigt departement först får utreda frågan och sedan presentera ett förslag för riksdagen.

Dag Wetterberg: Om en koncern lägger sin huvudsakliga verksamhet i Sverige men har verksamhet i 10 av Europas länder så blir den svenska Datainspektionen ensam myndighet enligt "one stop shop" - regelverket. Vad har Datainspektionen gjort för förberedelser och vad har ni för resurser för att klara det?
Datainspektionen: Vi arbetar med föreberedelserna men har ännu inte kommit så långt att vi kan lämna några detaljer. Vi samarbetar även med övriga dataskyddsmyndigheter för att ta fram gemensamma rutiner för one-stop-shop. Det kommer troligen krävas ytterligare resurser men ännu oklart hur mycket. Förordningen förutsätter att medlemsstaterna förser tillsynsmyndigheterna med tillräckliga resurser.

CV: Har DI fått ökade anslag maa förordningen? Några nyanställda?
Datainspektionen: Vi har fått visst ökat anslag men det går inte att säga om detta beror på dataskyddsförordningen eller på andra omständigheter.

Kristina: Jag vill hålla mig informerad om förordningen, finns det några bra sajter att följa?
Moderator: Ett första steg är att kolla in vår egen webbplats på: http://www.datainspektionen.se/lagar-och-regler/eus-dataskyddsreform/ Där kommer vi att fylla på med mer information allteftersom. Ett annat tips är att börja prenumerera på våra pressmeddelanden, vilket man gör här: http://www.datainspektionen.se/press/ Andra sajter som är värda ett besök är EU-kommissionens sida om förordningen: http://ec.europa.eu/justice/data-protection/reform/index_en.htm Och Europeiska datatillsynsmannens kommentarer om förordningen: https://secure.edps.europa.eu/EDPSWEB/edps/Consultation/Reform_package /Per Lövgren, pressansvarig

BM: Beräknas sanktioner på 4% av bolagets eller koncernens globala omsättning när ett bolag är personuppgiftsansvarig?
Datainspektionen: Det bör vara beroende på vem som anses vara personuppgiftsansvarig (controller), dvs. bolaget eller moderbolaget.

Catherine: Har ni varit aktiva i framtagandet av dataskyddsförordningen? Är ni från datainspektionen nöjda med resultatet? Eller hade ni velat ha fler förändringar? I sådant fall vad?
Datainspektionen: Vi har följt förhandlingsarbetet kring förordningen sedan EU-kommissionen lade fram sitt förslag 2012. Det har skett dels genom att vi följt Justitiedepartementets arbete i förhandlingarna och haft möjligheter att ge synpunkter, dels genom deltagande i den s.k.s 29-gruppen där samtliga EU-länders dataskyddsmyndigheter ingår.

Henny: Blir det skillnader i reglerna för myndigheter respektive privata bolag?
Datainspektionen: Ja, det kan finnas skillnader i flera olika avseenden för myndigheter och bolag.

Desiree: För vilka verksamheter kommer den nya lagen att gälla? Alla företag som i sin verksamhet behandlar personuppgifter?
Datainspektionen: I princip gäller all behandling av personuppgifter som sker av såväl privatpersoner, företag, organisationer och myndigeheter. Det finns dock undantag bl.a. för sådant som ligger utanför EU-rätten, sådant som sker för privata ändamål (hushållsundantaget), För myndigheter som arbetar med brottsbekämpande verksamhet kommer omfattas av ett nytt direktiv det. s.k. polisdirektivet

ReneS: 1. Kommer samma regler för whistleblower att gälla i hela EU, tex avseende avseende rätten till att vara anonym, vilka områden man får vissla om genom systemet och huruvida man får avidentifiera informationen för att kunna tillhandahålla externa rapporter med avidentifierad statisistk om det etiska arbetet som pågår mot korruption?
Datainspektionen: Personuppgiftsbehandling i whistleblowingsystem kan idag ske efter en intresseavvägning - detta gäller inom hela EU. Men precis som nuvarande dataskyddsdirektiv ställer förordningen särskilda krav om behandlingen avser uppgifter om lagöverträdelser vilket det kan bli fråga om i sådana system. Här ger förordningen medlemsländerna rätt att själva bestämma regler för när sådana uppgifter får behandlas.

PuO Nordnet: Kan man förutse vilka öveträdelser av GDPR som kommer ses som mer och mindre allvarliga?
Datainspektionen: I stort sett kan man väl anta att samma bedömning om vad som anses vara allvarliga överträdelser kommer att gälla även under förordningen. Det gäller t.ex. behandling av känsliga personuppgifter, uppgifter om lagöverträdelser, behandling som omfattar många personer, kartläggning av ett stort antal personer etc.

ReneS: 2. Innebär artikel 43 (a) om Transfers or disclosures not authorised by Union law någon nyhet i förhållande till vad som gäller idag, och om ja vilken?
Datainspektionen: Det blir iaf ett tydligare uttalande om att ett tredjelands domstol eller myndighet inte ensidigt kan kräva att uppgifter lämnas ut från någon personuppgiftsansvarig i EU till någon annan utanför EU. Det har nog varit tanken från EUs sida redan idag men det uttrycks nu tydligare.

Catherine: Svensk lagstiftning gällande tex offentlighetsprincipen och sparande av tex allmänna handlingar eller Dataskyddsdirektivet? Vilken är överordnad den andra?
Datainspektionen: Eu-rätten är i princip överordnad svensk rätt, även svenska grundlagar. Men i dataskyddsförordningen finns ett uttryckligt undantag för "public access to official docments. Sådant undantag finns inte i dataskyddsdirektivet. Så stödet för offentlighetsprincipen får ett starkare stöd i förordningen,

Moderator: Good news everyone! Vi förlänger chatten med en halvtimme! Det har kommit, och kommer, in drivor med frågor. Kul att intresset är så stort!

Cissi: Gällande kundregister...Gäller lagstiftningen enbart elektroniska register? Kan man använda sig av pappersregister och på så sätt "slippa" reglerna?
Datainspektionen: Förordningen innebär ingen skillnad i denna fråga. I princip omfattas inte pappersbaserad behandling.

Viktoria: Hur kommer one-stop-shop-modellen hantera att de olika medlemsstaterna kan besluta om vissa lokala avvikelser från förordningen?
Datainspektionen: Det återstår att se. Men viss samordning kommer troligen att ske. Myndigheterna samarbetar

Per: GDPR stipulerar att kontrolleraren/organisationen vid ett läckage av persondata ska notifiera tillsynsmyndighet (Datainspektionen?) inom 72 timmar från det att läckaget upptäcks. Kommer denna information, om vilken organisation som har råkat ut för ett dataläckage (medvetet eller omedvedet), att delges allmänheten? Ur ett medborgarperspektiv ser jag det som en självklarhet att jag ska få ta del av den informationen för att kunna göra ett rättvist val över tillgängliga tjänster & produkter.
Datainspektionen: Informationen som vi kommer att få in via sådana notifiering kommer att bli allmänna handlingar. I vissa delar kommer troligen uppgifterna omfattas av sekretess t.ex. på grund av affärshemligheter, säkerhetsfrågor och till skydd för personliga förhållanden.

pedro: Kommer det att gå att föra över personuppgifter till USA med den nya förordningen?
Moderator: Förordningen innehåller begränsningar för att föra över personuppgifter till länder utanför EU (t.ex. USA) precis som dagens dataskyddsdirektiv gör. Överföring får bara ske om man kan garantera ett visst skydd för uppgifterna. Så förordningens regler innebär inte så stor skillnad jämfört med idag. Däremot har en dom från EU-domstolen i oktober 2015 medfört att de s.k. Safe Harbor-principerna inte längre är godtagbara garantier för att föra över personuppgifter till USA. Den som vill föra över uppgifter måste hitta andra garantier för att uppgifterna som förts över skyddas mot obehörig åtkomst m.m. /Elisabeth

anställd: Kommer datainspektionen att finnas kvar?
Moderator: Ja, förordningen kräver att det finns en nationell tillsynsmyndighet för personuppgiftsbehandling i varje land och anger vilka befogenheter och uppgifter som myndigheten måste ha. Förordningen ställer också mycket större och mer omfattande krav på att dessa myndigheter i de olika EU-länderna samarbetar. /Elisabeth

Nils: Kan man kräva att de som har haft mina personuppgifter ska kunna bevisa att mina personuppgifter verkligen tagits bort om jag begärt att bli bortglömd?
Datainspektionen: Det är troligen en bevisfråga men utgångspunkten måste ju vara att man utgår från det som den perosnuppgiftsansvarige svarar. Det finns ju möjlighet att begära s.k. registerutdrag över vilka uppgifter någon behandlar om dig. Den möjligheten kommer att finnas kvar i förordningen.

Kerstin : Jag är personuppgiftsombud på ett svenskt dotterbolag till ett stort internationellt företag – räcker det att det europeiska huvudkontoret har ett ombud eller kommer jag att få ha kvar mitt uppdrag?
Moderator: Utgångspunkten är att varje organisation eller dotterbolag ska ha sitt eget ombud. En koncern kan dock utse en och samma person att vara ombud i hela koncernen under förutsättning att det enkelt går att få kontakt med ombudet från varje dotterbolag. /Elisabeth

Oskar Olsson: Kommer det att finnas undantag för behandling av personuppgifter i ostrukturerat material?
Datainspektionen: Den s.k. missbruksregeln kommer inte att finnas kvar i förordningen.

Hanna: Vad kan vi som företag göra för att redan nu börja förbereda oss på de förändringar som kommer?
Datainspektionen: Man bör förstås börja med att läsa och försöka sätta sig in i de nya reglerna. Datainspektionen kommer också att inom kort börja ge allt mer information om förordningen och dess regler. Det kan vara bra att redan nu börja med att kartlägga den behandling som utförs, hur pass riskfylld den är och vilka åtgärder som behövs utifrån förordningens regler om den personuppgiftsansvariges skyldigheter.

Helene Cedertorn: Hej, Finns en konsoliderad version av förordningstexten som den ser ut efter förhandlingarna ännu? Var hittar jag den? (Engelska går ju bra.)
Datainspektionen: Det finns ingen officiell version än. På nätet förekommer den slutförhandlade versionen (sök på GDPR) från 2015-12-17. Den är dock inte språkgranskad och innehåller en hel del felaktiga hänvisningar m.m.

Moderator: Elisabeth har nu fått sällskap av jurist Martin Brinnen och chefsjurist Hans-Olof Lindblom

Cissi: Artikel 29-gruppen har gett ut en del rekommendationer. 2007 gavs denna ut http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2007/wp131_en.pdf Kommer dessa rekommendationer gälla även efter förordningen börjar gälla?
Datainspektionen: 29-gruppen kommer troligen att se över sina tidigare yttranden och se vilka anpassningar som behöver göras. Man ska nog inte automatiskt utgå från att de tidigare yttranden gäller även enligt förordningen.

Jan: För en tillverkande industri, som har tex kundregister och andra liknande register med personuppgifter, kommer denna att omfattas av dataskyddsdirektivet eller gäller det bara för de som på ett aktivt sätt samlar in personuppgifter för marknadsföring eller dylikt?
Datainspektionen: Kundregister kommer omfattas av dataskyddsförordningen, även befintliga register.

Daniel: Eftersom det inte blir något undantag för behandling av ostrukturerad data innebär det väl i praktiken att man måste begära in samtycke från någon om man nämner personen i ett mail? Eller finns det någon mekanism som gör detta (och liknande typ av behandling) tillåtet utan samtycke?
Datainspektionen: Det är svårt att redan nu fullt ut säga hur detta kommer att hanteras. Det finns ju ett undantag i förordningen för sådan personuppgiftsbehandling som sker för privat bruk. All form av personuppgiftsbehandling måste ha en rättslig grund, det kan vara samtycke eller en intresseavvägning. Förordningen kan också sägas bygga på att man alltid gör en riskbedömning avs hur pass känslig behandlingen är.

Kalle: Myndigheter har skyldiget att anmäla IT-incidenter till MSB. Enligt förordningen ska IT-incidenter anmälas till Datainspektionen. Kommer ni att stämma av med MSB?
Datainspektionen: Det har vi inte hunnit titta på än, men om det går att hitta någon samordning vore det ju lämpligt. Det kan dock vara en fråga för lagstiftaren eller regeringen att ta ställning till.

Catherine: Toppen att ni chattar! Hoppas ni använder denna funktion fler gånger framöver! Uppskattat inslag!
Moderator: Ja, kul med så stort intresse. Vi har ett antal frågor som vi inte kommer att hinna svara på, men vi kommer att gå genom dem och välja ut ett antal som vi kommer att svara på på vår webbplats.

Tomas: Kommer det här påverka det redan nu svårbegripliga läget kring molntjänster? Safe harbour är ju inte godkänt enligt EU...
Datainspektionen: Även förordningen kommer att innehålla regler om särskilda krav för att personuppgifter ska få föras över till länder utanför EU. Förordningen påverkar inte Safe harbor specifikt - frågan om det finns ett adekvat skydd för uppgifter i mottagarlandet eller om det krävs andra garantier för att uppgifterna skyddas kommer att behöva bedömas precis som idag.

Anders Danielsson: Hej Har en fråga som rör vad som kommer att gälla för vår organisation. Jag är nyanställd inom ett kommunalförbund som heter Sydarkivera (www.sydarkivera.se) Vårt uppdrag är att bygga upp ett digitalt slutarkiv för våra medlemskommuner. Jag kommer att ansvara för informationssäkerhet och får redan frågor om nya dataförordningen Vi kommer även vara arkivmyndighet för medlemskommunerna Mycket tacksam för er hjälp :-) Med vänlig hälsning/Anders
Datainspektionen: Svårt att säga på rak arm. Men det finns särskilda regler för arkiv i förordningen som gör det möjligt att till viss del reglera sådan behandling i nationell rätt.

Jouni Laitinen: I förordningen finns krav på en dedikerad person som ansvarig för dataskydd. När måste ett företag ha en? Om företaget ingår i en europeisk koncern, räcker då att moderbolaget har en?
Datainspektionen: Ett företag måste utse en särskild person till personuppgiftsombud om dess kärnverksamhet består av personuppgiftsbehandling som kräver regelbunden och systematisk övervakning i stor skala av enskilda eller om man behandlar känsliga uppgifter eller uppgifter om lagöverträdelser. En koncern kan utse ett och samma ombud under förutsättning att det går att enkelt kontakta ombudet från alla bolag i koncernen.

Åsa: Visst ligger de här chattfrågorna med svar kvar här även efter 11.30?
Moderator: Ja. Vår chattleverantör sparar chatten, sedan publicerar vi den på vår webbplats.

Åsa: I det fall skadestånd döms ut i enlighet med de nya reglerna - kommer detta då gå direkt till den skadelidande?
Datainspektionen: Skilj mellan skadestånd och administrativa avgifter. Skadestånd går direkt till den skadeslidande medan administrativa avgifter går till statskassan.

Kerstin: Kommer den personuppgiftsansvariga och anlitat personuppgiftsbiträde att ha ett solidariskt skadeståndsansvar? Dvs kommer den registrerade att kunna välja part för att kräva ersättning?
Datainspektionen: Ja den registrerade kommer att kunna välja vem denne vill kräva skadestånd från MEN det förutsätter att båda bär ett ansvar. I vissa fall kan controller och processer undgå ansvar trots att andra bär ett sådant ansvar. I sådana fall blir man inte ansvarig för andra skadeståndsansvar.

Max: Hej! kommer principen om att dataskyddslagstiftningen är subsidiär i förhållande till annan lagstiftning som innehåller tvingande krav på att spara personuppgifter vara oförändrad iom GDPR?
Datainspektionen: Utgångspunkten är att förordningen gäller direkt i Sverige och regler som konkurrerar med förordningens regler måste anpassas. Däremot ger förordningen medlemsländerna möjlighet till undantag i vissa avseenden så Sverige kan bestämma egna regler i vissa fall. Det kan möjligen avse bestämmelser om att uppgifter måste sparas i vissa fall.

Cissi: Kommer hanteringen av elektroniska patientjournaler påverkas av den nya lagstiftningen?
Datainspektionen: Förordningen innehåller regler om när personuppgifter får behandlas i hälso- och sjukvård. Det får sedan utredas i Sverige om och i vilken mån reglerna i patientdatalagen måste anpassas till förordningen.

Lotta: Hej, dataskyddsförordningen lämnar en del frågor öppna för medlemsstaterna att besluta om. T.ex. böter för myndigheter och vad som ska gälla inom HR. Kan ni säga något om när Sverige kan tänkas ha sådana regler på plats? Blir det riksdag eller regering (eller DI) som beslutar om det? Hur ställer sig den föreslagna myndighetsdatalagen, kameraövervakningslagen, patientdatalagen m.fl. i förhållande till dataskyddsförordningen? Kan det tänkas komma en skoldatalagen eller en kommundatalag?
Datainspektionen: Många svåra frågor. Det är svenska lagstiftaren som måste beslut om tillsynsmyndigheten ska kunna utfärda sanktionsavgifter mot myndigheter. Behovet av svensk reglering och utrymmet för detta kommer att utredas av en kommande utredning. Rimligen bör sådana regler finnas på plats när förordningen börjar gälla.

Martin: Målet är att den nya lagstiftningen ska antas i april/maj, är det fortfarande rimligt?
Datainspektionen: Ja, troligen.

FOI Säk/PUO: Kommer det ske förändringar i rutiner/krav på förteckning över behandlingar, exvis krav på utformning eller redovisning till Datainsp?
Datainspektionen: Det finns en särskild bestämmelse i förordningen som anger vad en sådan förteckning ska innehålla och den ska på begäran tillhandahållas Datainspektionen. Såvitt vi kan se idag innebär det inga större förändringar.

Jenny: Vi är en medlemsorganisation. Måste vi nu begära in samtycke från samtliga medlemmar för behandling av personuppgifter?
Datainspektionen: Svårt att säga utan att veta på vilken grund ni behandlar medlemmarnas personuppgifter i dag, I princip är reglerna om samtycke desamma i förordningen som tidigare. Dock nya bestämmelser om samtycke från barn, och krav på tydlig information innan någon lämnar samtycke

CV: Blir det någon skillnad kring vad som får behandlas när det är fråga om myndighetsutövning?
Datainspektionen: Förordningen anger inte i detalj vad som är att anse som myndighetsutövning. I vilken utsträckning myndigheter får behandla personuppgifter för sådana ändamål överlåts till varje medlemsland att själv ta fram närmare regler om.

JN: Elektronisk begäran av registerutdrag Förordningen innehåller krav på att kunna göra registerutdrag elektroniskt. Räcker det t ex att begäran kommer i form av ett vanligt mejl över internet med namn, adress och uppgifter som behövs för att identifiera den registrerade? Eller kan någon form av elektronisk signering eller autentisering komma att krävas (i t ex mejlet)? Låter sig detta tekniskt ens göras för ett globalt företag med miljontals kunder?
Datainspektionen: Dataskyddsförordningen lär inte medföra någon skillnad när det gäller detta. Redan i dag måste man fastställa identiteten på den som frågar efter registerutdrag. Läs mer på Datainspektionens webbplats.

PuO Nordnet: Kommer Dataskyddsfordningen vara subsidiär till annan svensk reglering, tex bokföringslagen?
Datainspektionen: Dataskyddsförordningen går före svenska bestämmelser i lag. Men i många delar bygger bestämmelserna i förordningen på att det finns nationella bestämmelser. Det kan t.ex. vara tillåtet att behandla personuppgifter om det ställs krav på detta i nationell lagstiftning.

utvecklare: I tidigare chatt pratats om ”data protection by design and by default”, bygga in säkerhet från början i systemen. Kan en kund som köpt ett system och är medveten om dess funktionalitet, ev begränsningar ändå begära skadestånd om man sedan hamnar i någon situation där personuppgifter hanterats felaktig? T ex funktionalitet där mail med personuppigfter behövs skickas o är okrypterat, div integrationer myndigheter osv... Kan privat person kräva skadestånd av leverantören direkt?
Datainspektionen: Huvudregeln är att det är den som är personuppgiftsansvarig för behandlingen - den som bestämmer ändamål och medel för behandlingen - som är skadeståndsskyldig. Det finns möjlighet att begära skadestånd av den som är biträde, dvs behandlar personuppgifter för någon annas räkning om det är dem som inte uppfyllt sina skyldigheter. Det är dock inte säkert att en leverantör av ett system är att anse som ett sådant biträde.

Catherine: Eventuellt skadestånd som ska gå till den enskilde. Kan konsumenten begära det genom er så ni driver talan eller måste den enskilde vända sig till domstol?
Datainspektionen: Nej, Datainspektionen kommer inte att ha som uppgift att agera ombud i skadeståndsprocesser.

Gunilla Etsare: Kravet på att radera information.blir en tekniskt komplicerad histora då det finns kopior, integrationer, backup-band etc. Jag ser inte att hostingleverantörerna eller systemleverantörerna är det minsta förberedda på det. Ser ni någon förberedelse/aktiv dialog med er eller är vi som är kunder helt utelämnade i form av kravställare?
Datainspektionen: Vi arbetar på hur vi ska informera och utbilda alla berörda parter. Men det är ett mycket stort arbete och kommer att kräva mycket arbete.

Madeleine Holhammar: Om en kandidat genom att söka en tjänst har givit sitt samtycke till att vi använder uppgifterna i en rekryteringsprocess, får vi då i enlighet med EU:s dataskyddsförordning överföra information om denna person till andra företag inom koncernen, dvs. till ett företag som ej är samma legala enhet men tillhör samma intressegemenskap utan specifikt samtycke från kandidaten?
Datainspektionen: Om man behandlar personuppgifter med stöd av ett samtycke måste man först ha fått information om vad behandlingen innebär. Om man sedan gör något annat med uppgifterna kan samtycket inte täcka den behandlingen.

Frågvis: En detaljfråga, men ändå. Skulle den här chatten kunna genomföras (utan samtycke) med stöd av bestämmelserna i förordningen?
Datainspektionen: Haha. Min bedömning är att det är tillåtet med stöd av en intresseavvägning.

Jenny: Jag ställde frågan om samtycke för medlemsorganisation tidigare i chatten. Vi utövar myndighet och hanterar arbetslöshetsförsäkringen för våra medlemmar. Behöver vi iom nya förordningen begära in samtycke från samtliga medlemmar för behandling av personuppgifter?
Datainspektionen: Tyvärr är det lite för svår fråga att besvara på rak arm. Om ni idag stödjer er behandling på lagstiftning behöver kanske den lagstiftningen ses över så att den är i överensstämmelse med förordningen.

J.B.: Hur ska vi som organisation tänka? Vi har inte anmält något PuO ännu, men hade tänkt göra det eftersom vi, som pu-biträden, ska behandla personuppgifter åt andra företag (som är pu-ansvariga). Finns det anledning för oss att vänta på förordningen eller bör vi redan nu anmäla pu-ombud?
Datainspektionen: Personuppgiftslagen som gäller idag ger egentligen bara möjlighet för personuppgiftsansvariga att utse ett ombud. Förordningen däremot säger att även ett biträde kan göra detta. Så idag finns egentligen ingen möjlighet för er som biträde att utse ett ombud. I den mån ni själva är att anse som personuppgiftsansvariga för någon del av behandlingen kan ni förstås utse ett sådant. Det är förstås bra att ni redan börjat fundera på detta och förbereda er inför förordningens ikraftträdande.

Moderator: Kom ihåg att bokmärk Datainspektionens sida om EU-förordningen där vi löpande fyller på med mer information:http://www.datainspektionen.se/lagar-och-regler/eus-dataskyddsreform/

Moderator: Och signa gärna upp på våra pressmeddelanden:http://www.datainspektionen.se/press/

Moderator: Nu måste vi runda av chatten. Det var jätteroligt att ni kunde vara med och chatta med oss idag. Ha en fortsatt bra dag!

Den nya dataskyddsförordningen

Frågor och svar om den nya dataskyddsförordningen

Här har vi samlat några vanliga frågor och svar om dataskyddsförordningen.

Fakta
• Den svenska personuppgiftslagen bygger på ett EU-direktiv från 1995, det så kallade dataskyddsdirektivet.
• I mars 2012 presenterade Europeiska kommissionen ett förslag till nya regler om dataskydd och personuppgiftsbehandling. Syftet var att modernisera reglerna i dataskyddsdirektivet och få till stånd en mer enhetlig tillämpning inom EU.
• Dataskyddsförordningen antogs i april 2016 av Europaparlamentet och EU:s ministerråd.
• 25 maj 2018 kommer dataskyddsförordningen att ersätta den svenska personuppgiftslagen.

EU-blad

Stärkta rättigheter för dina personuppgifter

Läs 29-gruppens informationsblad om den nya EU-förordningen.