Data Protection, harmoniserade dataskyddsregler inom EU för vem och varför? Svenska Försäkringsföreningen. 12 november 2015

Transkript

1 Data Protection, harmoniserade dataskyddsregler inom EU för vem och varför? Svenska Försäkringsföreningen 12 november

2 Historik och processen mot en dataskyddsförordning Datalagen från Dataskyddsdirektivet 95/46 EG antas den 24 oktober Personuppgiftslagen (nedan PuL ) genomför ovanstående direktiv i Sverige 1998, gäller från 24 oktober 1998, för behandlingar som påbörjades innan ikraftträdandet gäller gamla datalagen fram till 30 september PuL anpassas till ny teknisk utveckling när missbruksregeln i 5 a PuL träder i kraft 1 januari Europeiska kommissionens förslag till från den 25 januari Europaparlamentet antog den 12 mars 2014 ett reviderat förslag till dataskyddsförordning. Rådet kom med ett förslag, allmän inriktning, såvitt avser dataskyddsförordningen den 15 juni Förslaget behandlas inom ramen för EU:s beslutsprocess enl. ett s.k. ordinarie lagstiftningsförfarande. Enl. förslaget till dataskyddsförordning ska den senast börja tillämpas 2 år från och med ikraftträdandet. 2

3 En mycket viktig skillnad är att förslaget avser en förordning, till skillnad från det nuvarande dataskyddsdirektivet. En förordning är till alla delar bindande och direkt tillämplig i alla EU:s medlemsstater. Ett ytterligare problem är att regeln som finns i dag i PuL om ostrukturerad behandling, 5 a, inte finns med i förslaget till förordning. 3

4 Artikel 6 och 7. Samtycke. Rådet föreslår att det inte längre ska krävas ett explicit samtycke för att man ska få behandla personuppgifter. Det ska räcka med ett otvetydigt samtycke så länge informationen om vad man samtycker till har presenterats tydligt i texten, som en egen punkt under en egen rubrik, och att texten är skriven med ett enkelt och lättförståeligt språk. Artikel 8. Barn. Vid tillämpningen av artikel 6.1a, som rör samtycke, och när det gäller erbjudande av informationssamhällets tjänster direkt till ett barn, ska det endast vara tillåtet att behandla personuppgifter som rör ett barn om och i den mån sådant samtycke ges eller godkänns av den person som har föräldraansvar över barnet eller ges av barnet självt i situationer där det enligt unionslagstiftningen eller medlemsstaternas lagstiftning behandlas som giltigt. Artikel 9. Behandling av särskilda kategorier av personuppgifter. Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt genetiska uppgifter och uppgifter som rör hälsa och sexualliv ska enligt huvudregeln vara förbjuden. Vissa undantag från detta förbud för vissa typer av uppgifter, t.ex. som i dag vid samtycke. 4

5 Artikel 12. Elektronisk tillgång till personuppgifter. Den registeransvarige ska vidta lämpliga åtgärder för att tillhandahålla information i en begriplig och lätt tillgänglig form, med användning av klart och tydligt språk. Informationen ska tillhandahållas skriftligt, eller i någon annan form, i förekommande fall elektroniskt. Om den registrerade gör begäran i elektronisk form får informationen i regel tillhandahållas i elektronisk form, om den registrerade inte begär något annat. Om den registrerade begär det får informationen ges muntligt förutsatt att den registrerades identitet bevisats. Artikel 14 och 14a. Långtgående informationskrav. Vid insamling av personuppgifter ska personen ges mer utförlig information än tidigare om personuppgiftsbehandlingen. Informationen ska bland annat innehålla uppgift om personens rätt att få uppgifter ändrade och raderade samt rätt att lämna in klagomål till tillsynsmyndigheten, Datainspektionen, m.m. Personen ska även informeras om varifrån personuppgifterna härrör, om de har samlats in från en annan källa än från den registrerade. Artikel 17, 17a och 17b. Rätt till radering mm. Registrerade personer ska i vissa situationer ges rätt att begära att information om sig själv raderas. 5

6 Artikel 18. Rätt till uppgiftsportabilitet. Den registrerade ska i vissa situationer ha rätt att motta de personuppgifter som rör honom eller henne och som han eller hon har tillhandahållit den registeransvarige, i ett strukturerat, allmänt använt och maskinläsbart format och ha rätt att överföra dessa uppgifter till en annan registeransvarig utan hinder av den registeransvarige som tillhandahållits uppgifterna. Artikel 19. Rätt att göra invändningar. Den registrerade ska, av skäl som hänför sig till vederbörandes specifika situation, ha rätt att när som helst göra invändningar mot behandling av personuppgifter. Artikel 20. Automatiserat individuellt beslutsfattande. Varje registrerad ska ha rätt att inte omfattas av ett beslut som enbart grundas på automatisk behandling och som har rättsliga följder för honom eller henne eller kännbart påverkar honom eller henne. Detta kan inbegripa profilering. Detta gäller inte om det är nödvändigt för ingåendet eller fullgörandet av ett avtal mellan den registrerade och den registeransvarige, eller om det tillåts enligt unionslagstiftningen eller en medlemsstats lagstiftning av vilken den registeransvarige omfattas eller grundar sig på den registrerades uttryckliga samtycke. Artikel 23. Privacy by design. Begreppet privacy by design går ut på att låta integritetsfrågor påverka systemets livscykel från förstudie och kravställning via design och utveckling till användning och avveckling. 6

7 Artikel 30. Säkerhet vid personuppgiftsbehandling. Förslaget förtydligar hur bedömningen av säkerhetsstrategi skall gå till även om Rådets förslag jämfört med Parlamentets förslag är urvattnat. Artikel 31. Notifieringsskyldighet vid dataintrång. Vid dataintrång föreslås en skyldighet för den registeransvarige att inom 72 timmar från man fick reda på intrånget meddela tillsynsmyndigheten, Datainspektionen. Artikel 33. Konsekvensanalys. Förslaget innebär att en konsekvensanalys skall göras av en registeransvarig när det finns särskilda risker med personuppgiftsbehandlingen för de registrerades fri- och rättigheter. Artikel 34. Förhandssamråd. Förslaget medför en utökad skyldighet för registeransvarig eller för registerföraren att samråda med tillsynsmyndigheten, Datainspektionen, vid viss typ av behandling av personuppgifter. 7

8 Artikel 35. Utnämning av uppgiftsskyddsombudet. Enligt Rådets förslag finns inte längre någon skyldighet att utse personuppgiftsombud utan bara en möjlighet. Artikel 41. Överföring till tredje land. I det nu gällande dataskyddsdirektivet, och i PuL, finns en uppräkning av de omständigheter som ska beaktas vid bedömningen av om en adekvat skyddsnivå föreligger eller ej. I förordningsförslaget finns inget sådant utrymme för bedömning. Överföring får endast ske i de fall kommissionen har beslutat att ett land kan garantera en adekvat skyddsnivå. Artikel 79. Sanktioner. En nyhet är sanktioner vid överträdelse eller brott mot den nya förordningen. Redan i dag är brott mot PuL straff- och skadeståndssanktionerade men enligt förslaget ska tillsynsmyndigheten, det vill säga Datainspektionen, dessutom kunna ålägga en straffavgift på upp till en miljon, alternativt upp till 2 procent av företagets årliga globala omsättning, för de som inte följer förordningens bestämmelser. 8

9 Kontaktuppgifter: Karl-Fredrik Björklund Mobiltelefon