Beslut fattat om EU:s nya dataskyddspaket

Published

Ett stort steg mot antagandet av EU:s nya dataskyddspaket, bestående av en förordning och ett direktiv, har tagits efter att en överenskommelse nåtts avseende paketets innehåll. Paketet, som förväntas börja gälla i början av 2018, medför ett kraftigt stärkt skydd av EU-medborgarnas personuppgifter.

Europaparlamentet och Europarådet har under en period fört förhandlingar avseende EU:s kommande dataskyddsförordning och dataskyddsdirektiv. I tisdags kväll kom parterna överens om utformningen av innehållet och tidigare idag godkände Europaparlamentets medborgarrättsutskott såväl förordningen som direktivet efter en omröstning. Dataskyddspaketet förväntas formellt antas i början av nästa år.

Av särskilt intresse är den nya förordningen som syftar till att ge privatpersoner bättre kontroll över sina personuppgifter samt skapa klarhet och rättslig säkerhet för företag. I egenskap av förordning kommer den att gälla direkt som lag i Sverige och därmed ersätta vår nuvarande personuppgiftslag. Förordningen har flera rättsliga konsekvenser varav följande är några av de viktigaste.

• Rätten att bli bortglömd. Enskilda personer kommer under vissa förutsättningar ha rätt att kräva att information som lagrats om dem ska raderas. Ett exempel på en giltig grund för radering är att personen i fråga väljer att återta sitt samtycke till personuppgiftsbehandlingen.

• Data protection by design and by default. Den personuppgiftsansvarige ska implementera lämpliga tekniska och organisatoriska åtgärder och förfaranden för att säkerställa att dess behandling av personuppgifter uppfyller kraven i förordningen och säkerställer skyddet av den registrerades rättigheter. Automatisk kryptering av personuppgifter kan till exempel vara en sådan åtgärd.

• Samtycke. Vid inhämtade av samtycke att få behandla personuppgifter ställs krav på att den personuppgiftsansvarige tydligt informerar den enskilde om personuppgiftsbehandlingens ändamål. Den personuppgiftsansvarige ska vidare kunna visa att samtycke för behandlingen givits.

• Personuppgiftsombud. Offentliga myndigheter och organ, samt privata företag som i sin kärnverksamhet i stor utsträckning hanterar vissa känsliga personuppgifter eller som utför behandling vilken kräver regelbunden och systematisk övervakning av de registrerade, måste utse ett personuppgiftsombud.

• Böter. Ett företag som bryter mot förordningen kan krävas på böter om upp till det högre av 20 000 000 euro och fyra procent av företagets globala årliga omsättning, vilket kan innebära miljardbelopp för större företag.

• Dokumentation. Den personuppgiftsansvarige ska under vissa förutsättningar bevara dokumentation om all behandling som utförts under dess ansvar.

Det föreslagna direktivet rör överföring av data för polis- eller rättssamarbete och ska möjliggöra effektivt utbyte av information mellan nationella brottsbekämpande myndigheter utan att enskildas rättigheter och friheter kränks, något som blivit särskilt relevant efter attackerna i Paris.

Time Advokatbyrå är en av Sveriges ledande advokatbyråer inom personuppgiftsbehandling och IT-juridik. Vi erbjuder bland annat rådgivning och föreläsningar anpassade till gällande och kommande regler på området. Om ni behöver juridiskt stöd i er verksamhet är ni varmt välkomna att höra av er till oss.