PUL OCH DATASKYDDSFÖRORDNINGEN Tfn 08-654 94 62 soren@sorenoman.se, www.sorenoman.se
PUL och den nya förordningen Personuppgiftslagen 1998 Missbruksregel (5 a ) för behandling utanför databaser 2007 Dataskyddsförordningen börjar tillämpas 25 maj 2018 Är direkt tillämplig Kompletteras av en föreslagen svensk dataskyddslag registerförfattningar Omfattande översyn i Sverige 3 Personuppgiftslagen upphävs Missbruksregeln försvinner Svensk dataskyddslag föreslås vid sidan av dataskyddsförordningen (SOU 2017:39) I kraft 25/5 2018 Dataskyddslagen är dock subsidiär Alla registerförfattningar ses över (departementsvis) Det blir ingen generell myndighetsdatalag nu Utredningarna ska lämna förslag juni augusti 2017 Övergripande 4 De grundläggande reglerna/principerna desamma som i dag Men de uttrycks mera ordrikt och detaljerat Extra allt Information och avtal om mera Personuppgiftsbiträden får utökat ansvar Eget ansvar för skadestånd och administrativa sanktioner Ska föra eget register över behandlingar Myndigheter måste utse dataskyddsombud Dataskyddsombud får starkare ställning 1
Övergripande Utökade skyldigheter Myndigheter ska utse dataskyddsombud och föra egen förteckning över behandlingar Konsekvensbedömningar på förhand vid särskilt farliga behandlingar Information, registerutdrag och personuppgiftsbiträdesavtal måste kompletteras Information vid återanvändning av personuppgifter Registrerade får rätt : Att göra invändningar Att få behandlingen begränsad Till uppgiftsportabilitet (gäller i praktiken inte myndigheter) Att bli bortglömd (gäller i praktiken inte myndigheter) Offentlighet & Yttrandefrihet 6 Yttrande- och informationsfriheten Medlemsstaterna ska i lag förena förordningen med yttrande- och informationsfriheten För journalistiska ändamål och för akademiskt, konstnärligt eller litterärt skapande ska det fastställas de undantag som är nödvändiga Offentlighetsprincipen Myndigheter får enligt nationell lag lämna ut offentliga uppgifter för att jämka samman allmänhetens rätt att få tillgång till officiella handlingar med rätten till skydd av personuppgifter PUL-sekretessen i 21:7 OSL föreslås hänvisa till dataskyddsförordningen Nyheter 7 Definitioner (3 PUL Art. 4) I princip desamma, men flera nya läggs till Tillämpningsområdet (4 PUL Art. 2 & 3) Även företag utanför EU som erbjuder varor eller tjänster eller övervakar personer inom EU omfattas Grundläggande krav (9 PUL Art. 5) I stort sett desamma 2
8 Rättslig grund (10 PUL Art. 6) Samma slags rättsliga grunder som i dag med några nyheter Rättsliga grunder i dag Samtycke Fullgöra avtal med den registrerade Rättslig förpliktelse Skydda intressen av grundläggande betydelse för den registrerade Arbetsuppgift av allmänt intresse Arbetsuppgift som ett led i myndighetsutövning Intresseavvägning 9 Rättslig grund Nyheter (10 PUL Art. 6) Rättslig förpliktelse som gäller enligt lag eller annan författning följer av kollektivavtal följer av beslut som har meddelats med stöd av lag eller annan författning (2:3 dsl) Allmänt intresse som följer av lag eller annan författning kollektivavtal beslut som har meddelats med stöd av lag eller annan författning (2:4 dsl) Myndighetsutövning enligt lag eller annan författning (2:4 dsl) 10 Rättslig grund Nyheter (10 PUL Art. 6) Myndigheter får inte använda intresseavvägning när de fullgör sina uppgifter Författningsstöd krävs Gäller nog bara myndighetsuppgifter, inte vid t.ex. personaloch ekonomiadministration Brottsuppgifter (21 PUL Art. 10) Definitionen något ändrad men myndigheter får som i dag behandla sådana uppgifter Person- och samordningsnummer (förslag 3:13 dsl) Samma som i dag: Uppgifter om personnummer eller samordningsnummer får behandlas utan samtycke endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl 3
11 Känsliga personuppgifter (13 20 PUL Art. 9) Uppgifter som rör hälsa eller sexualliv eller som avslöjar Ras eller etniskt ursprung Politiska åsikter Religiös eller filosofisk övertygelse Medlemskap i fackförening Nyheter: Genetiska uppgifter Biometriska uppgifter för identifiering Sexuell läggning 12 Känsliga personuppgifter (13 20 PUL Art. 9) Tillåtet i dag: Samtycke / Tydligt offentliggörande Inom arbetsrätten Inom ideella organisationer Vid rättsliga anspråk Skydda vitala intressen Inom hälso- och sjukvård samt vid viktig statistik Enligt registerförfattningar De rättsliga grunderna är något utvidgade (Art. 9.2) Arkiveringsändamål läggs till och social omsorg nämns Medlemsstaterna får komplettera grunderna för viktiga allmänna intressen Känsliga personuppgifter (förslag) För att fullgöra skyldigheter och utöva särskilda rättigheter inom arbetsrätten (3:2 dsl) Utlämnande till tredje part bara med samtycke eller om det finns skyldighet inom arbetsrätten Av myndigheter I löpande text vid ärendehandläggning När behandlingen av till myndigheten lämnade personuppgifter krävs enligt lag I enstaka fall om det är absolut nödvändigt och inte kränkande (3:3 dsl) Men uppgifterna får inte användas som sökbegrepp (3:4 dsl) 4
Känsliga personuppgifter (förslag) För hälso- och sjukvård och social omsorg (3:5 dsl) Tystnadsplikt krävs För arkivändamål av allmänt intresse för att föreskrifter om bevarande och vård av arkiv ska kunna följas (3:6 dsl) Regeringen/Bemyndigad myndighet får ge författningsstöd för enskildas arkivändamål av allmänt intresse För statistikprojekt som klarar en kvalificerad intresseavvägning (3:7 dsl) Regeringen får ge ytterligare författningsstöd för viktigt allmänt intresse (3:8 dsl) Registrerades rättigheter 15 Information som ska lämnas självmant (23 25 PUL Art. 13 14) Information om ytterligare punkter läggs till Vid behandling för nytt syfte (återanvändning), ska information lämnas Registerutdrag (26 27 PUL Art. 15) Information om ytterligare punkter läggs till Begäran kan göras i elektronisk form och utdraget ska då skickas i elektronisk form Samma undantag som i dag föreslås (5:1 & 2 dsl) Rättelse (28 PUL Art. 16 & 19) Ofullständiga personuppgifter ska kompletteras, t.ex. med ett kompletterande utlåtande Registrerades rättigheter 16 Rätt till invändning (Art. 21) Vid allmänt intresse, myndighetsutövning & intresseavvägning Den registrerade ska ange skäl Begränsning av behandling under utredningstiden Behandlingen får fortsätta Vid rättsliga anspråk Efter en kvalificerad intresseavvägning tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen 5
Registrerades rättigheter Begränsning av behandling (Art. 18 & 19) Ska ske vid begäran om rättelse under utredningstiden vid olaglig behandling när den registrerade vill ha uppgifterna kvar när behandlingen är slutförd men den registrerade behöver uppgifterna för rättsliga anspråk vid invändning om behandlingens laglighet under utredningstiden Tillåtet bara med lagring och behandling med den registrerades samtycke för att fastslå, göra gällande eller försvara rättsliga anspråk för att skydda någon annans rättigheter för viktigt allmänintresse för unionen eller för en medlemsstat Myndighetsbeslut om registrerades rättigheter föreslås kunna överklagas (8:2 dsl) Skyldigheter Inbyggt dataskydd i systemen & Dataskydd som standard (Art. 25) Vid gemensamt personuppgiftsansvar krävs överenskommelse om var och ens ansvar (Art. 26) Mer måste anges i personuppgiftsbiträdesavtalen (Art. 28 & 29) Skriftligt tillstånd för biträdet att anlita underbiträden Ett eget register över behandlingar måste normalt föras (Art. 30) Anmälningsskyldigheten försvinner Säkerheten vid behandling Ungefär som i dag (Art. 32) Skyldigheter Personuppgiftsincidenter (Art. 33 & 34) Säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till personuppgifter Ska, när registrerades rättigheter riskeras, snabbt anmälas till tillsynsmyndigheten Ska vid hög risk även informera de registrerade Konsekvensbedömning på förhand krävs vid behandling som sannolikt leder till hög integritetsrisk (Art. 35 & 36) 6
20 Dataskyddsombud (38 40 PUL Art. 37 39) Även personuppgiftsbiträden ska/kan utse dataskyddsombud Krävs för myndigheter Flera kan utse gemensamt dataskyddsombud Dataskyddsombudet ska ha expertkunnande och anmälas till tillsynsmyndigheten rapportera direkt till högsta förvaltningsnivån ha skydd mot repressalier få resurser för att bl.a. upprätthålla sakkunskapen inte ha andra arbetsuppgifter som kan leda till intressekonflikt 21 Export av uppgifter (33 35 PUL Art. 44 50) Reglerar även överföring till internationell organisation Rättsliga grunder Av kommissionen godkända länder Godkända standardavtalsklausuler för överföringen Avtal mellan myndigheter Bindande koncerngemensamma bestämmelser Godkända uppförandekodexar eller certifiering Tillstånd av tillsynsmyndigheten I huvudsak enligt de undantag som finns i dag Skärpta sanktioner 22 Datainspektionen kan ge förelägganden ungefär som i dag (Art. 58) Nyhet: Även personuppgiftsbiträden kan drabbas Skadestånd till registrerade (Art. 82) Nyhet: Personuppgiftsbiträden får eget ansvar Nyhet: Datainspektionen får möjlighet till administrativa böter (Art. 83) Max 20 miljoner eller 4% av globala årsomsättningen Föreslås gälla även för myndigheter (7:1 dsl) 7
Vad behöver göras? 23 Se över möjligheterna att träffa kollektivavtal Kan ge rättslig grund Se över om ni använder genetiska uppgifter eller biometriska uppgifter för identifiering Samtycke verkar krävas vid t.ex. inloggning med fingeravtryck Vad behöver göras? 24 Se över datasystemen så att ofullständiga personuppgifter kan kompletteras, t.ex. med ett kompletterande utlåtande (Art. 16) behandling av vissa uppgifter kan begränsas, dvs. bara lagras eller behandlas bara i vissa undantagsfall (Art. 18) Förbered register över behandlingar (Art. 30) Utse dataskyddsombud (Art. 37 39) Se till att det har expertkunnande och kan rapportera direkt till högsta förvaltningsnivån Vad behöver göras? 25 Komplettera avtalen med personuppgiftsbiträden (Art. 28) Kom överens om var och ens ansvar vid gemensamt personuppgiftsansvar (Art. 26) Förbered för att ta emot och lämna elektroniskt registerutdrag (Art. 12.3) Om den registrerade gör begäran i elektronisk form ska informationen tillhandahållas i ett elektroniskt format som är allmänt använt, om den registrerade inte begär något annat Se över och utforma information och mall/funktion för registerutdrag 8