Remissvar avseende kommissionens förslag till dataskyddsförordning (KOM (2012) 11 slutlig)

Relevanta dokument
ALLMÄNNA HANDLINGAR OCH EU FÖRSLAGET TILL DATASKYDDSFÖRORDNING

GDPR (General Data Protection Regulation) Dataskyddsförordningen

Regeringskansliet Faktapromemoria 2016/17:FPM64. Dataskyddsförordning för EU:s institutioner. Dokumentbeteckning. Sammanfattning.

Data Protection, harmoniserade dataskyddsregler inom EU för vem och varför? Svenska Försäkringsföreningen. 12 november 2015

Svensk författningssamling

WHITE PAPER. Dataskyddsförordningen

PERSONUPPGIFTER NY DATASKYDDSFÖRORDNING INOM EU

FÖRSLAG TILL YTTRANDE

Gränsdragningen mellan den generella personuppgiftsregleringen och regleringen för området elektronisk kommunikation bör tydliggöras

Riktlinjer för hantering av personuppgifter

Remiss av förslag till EU-direktiv om skydd för personer som rapporterar om överträdelser av unionsrätten

12. Klar och tydlig information och kommunikation samt klara och tydliga villkor för utövandet av den registrerades rättigheter

Datainspektionen lämnar följande synpunkter.

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

NYA FÖRORDNINGAR OM PERSONUPPGIFTER (GDPR) VAD BETYDER DET FÖR DITT FÖRETAG?

EUs nya personuppgiftslagstiftning. Agnes Andersson Hammarstrand, IT-advokat Setterwalls Advokatbyrå

ARBETSDOKUMENT FRÅN KOMMISSIONENS AVDELNINGAR SAMMANFATTNING AV KONSEKVENSANALYSEN. Följedokument till

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

Stockholm den 9 november 2017 R-2017/1875. Till Utrikesdepartementet UD2017/15958/HI

Förslag till ny dataskyddsförordning och dess konsekvenser för registerbaserad forskning

Instruktion för att tillvarata enskildas rättigheter

RemitteringsPM - förordningsändringar i anledning av en ny vägtrafikdatalag och en ny lag om fordons registrering och brukande

Regeringskansliet Faktapromemoria 2016/17:FPM40. Förordning och direktiv om mervärdesskatt vid gränsöverskridande e-handel. Dokumentbeteckning

Dataskyddsförordningen

Riktlinjer för att tillvarata enskildas rättigheter

2. Information som FläktWoods samlar in FläktWoods kan komma att samla in och behandla följande information för de syften som anges nedan i punkt 3.

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Hur står det till med den personliga integriteten? (SOU 2016:41)

För att tillvarata medlemmarnas enskildas rättigheter

Varför granskar Datainspektionen er verksamhet?

Dataskyddsförordningen

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

ATT TILLVARATA ENSKILDAS RÄTTIGHETER

Instruktion för att tillvarata enskildas rättigheter. Instruktion för att tillvarata enskildas rättigheter

Förslag till EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING. om ändring av förordning (EG) nr 726/2004 vad gäller säkerhetsövervakning av läkemedel

Datainspektionen informerar

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

Europeiska unionens råd Bryssel den 15 september 2017 (OR. en) Jordi AYET PUIGARNAU, direktör, för Europeiska kommissionens generalsekreterare

PERSONUPPGIFTSBITRÄDESAVTAL

EUROPEISKA DATATILLSYNSMANNEN

Dataskyddsförordningen

Dataskyddsombud för miljö- och hälsoskyddsnämnden

Utdrag ur protokoll vid sammanträde

GDPR NYA DATASKYDDSFÖRORDNINGEN

7566/17 gh/aw/np,chs 1 DGG 3B

Regeringskansliet Faktapromemoria 2016/17:FPM13. Förordning och direktiv om genomförande av Marrakechfördraget i EU-rätten. Dokumentbeteckning

PERSONUPPGIFTSBITRÄDESAVTAL

EU:s allmänna dataskyddsförordning - hur förbereder man sig? SNS 8 april Elisabeth Wallin, Jurist, Datainspektionen

Dataskyddsdirektivet Ju2000/5027. Professor Jacob Palme Skeppargatan STOCKHOLM Dataskyddsdirektivet. Justitiedepartementet

Dataskyddsförordningen

Dataskyddsförordningen GDPR

Yttrande. Svensk Försäkring har beretts möjlighet att lämna synpunkter på ovan angivna förslag. Svensk Försäkring har följande synpunkter.

KOM(2004) 728 av den 29 oktober 2004, kommissionens förslag när det gäller förenkling av mervärdesskatterättsliga skyldigheter

Dataskyddsförordningen

Informationssäkerhet för samhällsviktiga och digitala tjänster

Integritetsskydd - igår, idag, imorgon. Professor Cecilia Magnusson Sjöberg

Ny dataskyddsförordning En vägledning genom processen

Kommittédirektiv. Nya regler om åtgärder mot penningtvätt och finansiering av terrorism. Dir. 2014:140

Svensk Artistfaktura AB, , är personuppgiftsansvarig för företagets behandling av personuppgifter.

Regeringskansliet Faktapromemoria 2015/16:FPM113. Nytt blåkortsdirektiv. Dokumentbeteckning. Sammanfattning. Justitiedepartementet

Allmänna Råd. Datainspektionen informerar Nr 3/2017

GDPR. Dataskyddsförordningen 27 april Emil Lechner

Promemoria om ändring av Livsmedelsverkets föreskrifter (LIVSFS 2005:22) om kontroll vid handel med animaliska livsmedel inom den Europeiska unionen

Ny dataskyddslagstiftning i Europa. Agnes Andersson Hammarstrand

Policy för integritet vid hantering av personuppgifter

EUROPEISKA DATATILLSYNSMANNEN

Arbetsgrupp för skydd av enskilda med avseende på behandlingen av personuppgifter

Personuppgiftslagstiftningen förstärks och ersätts med nya regler från och med 25 maj 2018

Personuppgiftsbiträdesavtal

Policy för behandling av personuppgifter

E-HANDEL OCH FINANSIELLA TJÄNSTER. MARKT/2094/01 SV Orig. EN

Integritetspolicy SYFTE & BAKGRUND PERSONUPPGIFTER VI BEHANDLAR. Örebro BEHANDLING AV PERSONUPPGIFTER

Information om behandling av personuppgifter på Tellus bostadsrättsförening

FRÅGOR OCH SVAR INFÖR DATASKYDDSFÖRORDNINGENS IKRAFTTRÄDANDE

GDPR viktiga nyheter jämfört med PuL

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

Svensk författningssamling

PuL och GDPR en översiktlig genomgång

GDPR- Vad har hänt och hur ser tillämpningen ut?

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

INFORMATION OM BEHANDLING AV DINA PERSONUPPGIFTER

Välkomna till kurs i den nya dataskyddsförordningen

IT-konsekvensanalys dataskyddsförordning

5933/4/15 REV 4 ADD 1 SN/cs 1 DPG

Dataskyddsförordningen vad innebär den för myndigheten. Registrator 2017 Ability Partner. 11 oktober 2017

Ny personuppgiftslagstiftning Ett förändrat risklandskap och möjligheter! 4 april 2017 Joacim Johannesson och Niklas Follin

Lathund Dataskydd för krögare

Kansliets svar begränsas i huvudsak till frågor som ligger inom E-delegationens verksamhetsområde.

Betänkandet SOU 2014:89 Elsäkerhet en ledningsfråga. Del 1: Sammanfattning och övergripande synpunkter

Nya krav när PUL blir GDPR. Vad innebär det för din organisation?

Integritetspolicy för Helsingborgs Stängsel AB

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

Utdrag ur protokoll vid sammanträde Närvarande: F.d. justitieråden Gustaf Sandström och Lena Moore samt justitierådet Anders Eka

Hantera nya ENKLA GRUNDER I DATASKYDD. dataskyddsförordningen MAJ. Den nya dataskyddsförordningen träder i kraft.

Tegehalls revisionsbyrå och dataskyddsförordningen

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

Integritetspolicy för Bernhold Ortodonti

Förslag till ändringar i regler om åtgärder mot penningtvätt och finansiering av terrorism

Nya krav när PUL blir GDPR. Vad innebär det för din organisation?

Du kan alltid kontakta oss vid frågor om integritets- och dataskydd genom att skicka ett e-postmeddelande till

Transkript:

Justitiedepartementet 103 33 Stockholm Stockholm, den 9 mars 2012 Ju2012/1000/L6 Remissvar avseende kommissionens förslag till dataskyddsförordning (KOM (2012) 11 slutlig) Stockholms Handelskammare har givits tillfälle att lämna synpunkter i rubricerat ärende. Handelskammaren välkomnar en översyn av EU:s dataskyddsregelverk. En ytterligare harmonisering av reglerna om skydd av personuppgifter kommer att underlätta för företag som verkar i flera medlemsstater. Personuppgifter utgör ofta en naturlig, nödvändig och berättigad del av dagens företagsverksamhet och är i många fall en viktig verksamhet i sig. Detta och den stora nytta som sådan behandling kan åstadkomma bör vara en tydligare utgångspunkt för regeringen i förhandlingarna om direktivet. Det är positivt att förslaget är i form av en förordning som skulle gälla lika i alla medlemsstater. Handelskammaren stöder regeringens inriktning att verka för en missbruksmodell. En osäkerhet består då kommissionen ges rätten att komma med ytterligare förslag för att fylla ut förordningen. Dessa riskerar i vissa fall att bli för detaljerade och administrativt betungande. Företagen riskerar också en betydande osäkerhet. Detta är allvarligt då överträdelser är förknippade med sanktioner som förefaller rigida och i många fall skulle te sig väl hårda. Förslaget är omfattande och kort tid har givits för remissen. Nedan kommenterar Stockholms Handelskammare endast ett fåtal punkter. Box 16050, 103 21 Stockholm Telefon: 08-555 100 00 Telefax: 08-566 316 00 E-post: diariet@chamber.se www.chamber.se Org. 556095-7952 Momsreg. SE556095795201

2(6) Våra synpunkter Viktigt med en förordning Handelskammaren anser att regeringen bör verka för att de nya dataskyddsreglerna genomförs genom en förordning. En tillsynsmyndighet för företag med gränsöverskridande verksamhet är en viktig reform. EU-direktiv har till uppgift att harmonisera den europeiska marknaden. I praktiken är det ofta problem i de nationella genomförandena av EU-direktiven. Det görs på olika sätt i medlemsstaterna, något som fragmentiserar den europeiska marknaden. Därför är en förordning på detta område ett välkommet förslag. Företag har behov av att hantera personuppgifter oavsett vilken medlemsstat de verkar i. Med en förordning blir villkoren för hantering av personuppgifter lika i alla medlemsstater. Det är ett positivt förslag att ett företag med gränsöverskridande verksamhet endast ska behöva förhålla sig till en tillsynsmyndighet. Det kommer att underlätta för företagen. Detta understryks av den senaste tidens ökade användning av datormoln och molntjänster är intimt förknippad med utvecklingen av en digital inre marknad i EU. Molnutvecklingen kan bidra till en gemensam europeisk digital marknad, men samma hinder som hotar en gemensam digital marknad hotar även molnutvecklingen. Detta ställer krav på att lagstiftningen harmoniseras och anpassas till utvecklingen. Dataskyddsregler är bara ett exempel på EU-regler som behöver harmoniseras. Den positiva bilden av att övergå till en förordning för dataskydd förmörkas av att förslaget innehåller en rätt för kommissionen att fylla ut förordningen genom att utfärda delegerade akter och genomförandeakter. I flera fall verkar det som om rätten rör teknikval m.m. som bäst lämnas till näringslivet att utformas. Vidare innebär kommissionens rätt en osäkerhet om vad som till sist kommer att gälla inom många områden. Tar det dessutom lång tid att på detta sätt fylla ut lagstiftningen ökar osäkerheten ytterligare. Det bör övervägas om osäkerheten kan minskas genom att kommissionens rätt begränsas och att förordningen i sig görs tydligare. En missbruksmodell är att föredra Handelskammaren stöder regeringens avsikt att verka för en missbruksmodell för hanteringen av personuppgifter.

3(6) Regeringen har i faktapromemorian Allmän dataskyddsförordning (2011/12:FPM11) aviserat att den avser att verka för en missbruksmodell för hantering av personuppgifter. Kommissionens förslag till förordning är utformad enligt en hanteringsmodell, vilket innebär att själva hanteringen av personuppgifter regleras från det att uppgifterna samlas in till dess att de utplånas. Därmed finns det bl.a. risker för att reglerna blir för detaljerade eller snabbt blir omoderna eller att de blir onödigt betungande för företagen. Det bör undersökas om inte en missbruksmodell kan medge både ett högt dataskydd och främja den fria rörligheten för personuppgifter inom EU. Rätt att bli glömd Handelskammaren anser att förslaget om rätten att bli bortglömd måste förenklas för att fungera. Rätten att bli glömd innebär att den personuppgiftsansvarige inte endast ska radera personuppgifter som inte längre får behandlas. Om uppgifterna har gjorts offentliga ska den personuppgiftsansvarige dessutom vidta alla rimliga åtgärder för att informera dem som uppgifterna spridits till att den enskilde vill bli glömd, dvs. de ska bl.a. tillse att eventuella länkar till, eller kopior eller reproduktioner av dessa personuppgifter raderas även hos tredje part. I praktiken är det i vissa fall omöjligt för företagen att radera viss information eller ens överblicka var på t.ex. Internet den finns. Data sprids och lagras i många fall, även av seriösa aktörer, utan avtalsrelationer. Ett sådant exempel är söktjänster som lagrar och sammanställer information. Det finns skäl att på något sätt utvidga möjligheterna att få uppgifter raderade. För att vara verkningsfull bör rätten att bli glömd bara gälla data som hålls eller kontrolleras av personuppgiftsansvarige samt uppgifter som, i normala affärsförbindelser, med rimliga åtgärder går att nå hos tredje part. Rätten att bli bortglömd bör begränsas till de uppgifter som användarna själva har lämnat, och inte t.ex. sådana som genereras under användning av en tjänst (felmeddelanden, driftstatistik m.m.) eller uppgifter som ett företag av andra skäl har en rätt till. Det bör det också finnas möjlighet att spara uppgifter för användarens räkning så att man (inom en rimlig tid) kan återaktivera t.ex. ett användarkonto om användaren så önskar. Uppgiftsportabilitet Handelskammaren anser att det kan finnas skäl att införa uppgiftsportabilitet. Näringslivet bör dock ha ansvaret för att standardisera och ta fram de dataformat som ska användas.

4(6) I artikel 18.3 framgår det att kommissionen ska få specificera elektroniska format för överföring av uppgifter. Detta bör lämnas näringslivet att utveckla format m.m. Förslaget innebär ökade möjligheter för användare att ta ut sina data från en tjänsteleverantör. Förslaget går för långt när det söker reglera fram möjligheten att direkt överföra data mellan olika tjänster. Detta kan vara komplicerat rent tekniskt, specifika krav på format kan få negativa konsekvenser. Det kan tvinga leverantörerna att ändra andra delar av sina tjänster och därmed försämra den. Allmänt sett kan det hämma utvecklingen som nu går väldigt fort. Profilering Handelskammaren anser att frågan om regleringen profilering bör, vid behov, gälla användning av profiler. Analyser av stora datamängder kommer att bli allt vanligare. Det kommer att vara till kunders och användares nytta. Artikel 20 reglerar när en person får omfattas av automatisk behandling avsedd bedöma vissa personliga egenskaper m.m. I linje med en missbruksmodell bör det vara ett flexiblare förhållningssätt att, vid behov, reglera hur profiler används, snarare än hur de skapas. Uppgiftsskyddsombud Handelskammaren anser kravet på uppgiftsskyddsombud bör tas bort. I artikel 35 i förslaget ställs ett krav på att samtliga företag med fler än 250 anställda eller vars kärnverksamhet är processer som till sin natur kräver regelbunden och systematisk kartläggning av personuppgifter ska utnämna ett uppgiftsskyddsombud. Vilka företag som omfattas är inte tydligt. Enligt förslaget kommer ombudet få en mycket speciell ställning i företaget. Med aktiva tillsynsmyndigheter, branschsamarbeten m.m. bör motsvarande resultat kunna uppnås utan lika stora kostnader och betungande administrativa åtgärder som för att anställa eller anlita uppgiftsskyddsombud. Utöver detta och särskilt i ljuset av de hårda sanktioner som föreslås finns det skäl att anta att advokater och konsulter kan anlitas på ett mer flexibelt sätt för detta ändamål. Datasäkerhet Handelskammaren anser reglerna om personuppgiftsbrott bör harmoniera med likande regelverk samt att de bör vara mer flexibla.

5(6) Definitionen av personuppgiftsbrott i förslaget, täcker i princip alla incidenter och är därmed möjligen för vid för att vara ändamålsenlig och nyttig. Risker och problem kan variera avsevärt beroende på vilka uppgifter som det rör och vid vilken tidpunkt. Det finns regler om säkerhet för personuppgifter i direktiv 2002/58/EG (ekomdataskyddsdirektivet). I flera fall är det rimligt att anta att dessa regelverk harmoniseras. I förslaget till förordning framgår det att tillsynsmyndigheten ska underrättas inom 24 timmar efter att den personuppgiftsansvarige fått kännedom om ett personuppgiftsbrott. Någon motsvarande tidsangivelse finns inte i e- komdataskyddsdirektivet. Frågan är också om en sådan tidsgräns är ändamålsenligt. Det finns situationer då det kan vara angeläget att avvakta med rapportering, till exempel om tid behövs för att avhjälpa säkerhetsbrister som skulle kunna utnyttjas av andra. Det finns förmodligen situationer då det kan vara av vikt att först underrätta den registrerade, snarare än tillsynsmyndigheten (jfr artikel 32.1). En regel som ger utrymme för mer flexibilitet bör tas fram. Samtycke Handelskammaren anser att ytterligare arbete behövs i fråga om hur reglerna om samtycke ska utformas, både jämfört med hur företag i dag arbetar och i jämförelse med annan lagstiftning. Det förefaller som om samtyckesfrågan inte överensstämmer med e-komdataskyddsdirektivet och onödigt försvårar hanteringen av personuppgifter som i dag fungerar tillfredsställande. Här bör branschförbund och företag kunna bidra med sina erfarenheter för att utveckla ett bättre förslag. Administrativa sanktioner Handelskammaren anser att sanktionerna är för stränga och inte tillräcklig flexibla. En nyhet i förordningen är att tillsynsmyndigheterna är skyldiga att besluta om administrativa sanktionsavgifter vid vissa överträdelser av förordningen. De belopp som ska dömas ut anges i förordningen och kan uppgå till en miljon euro, eller två procent av ett företags globala omsättning. För nya byråkratiska rutiner bör det ifrågasättas om detta är lämpligt och rimligt i förhållande till skyddsintresset. Kommissionens möjligheter att utfärda delegerande akter och genomförandeakter ökar osäkerheten även i detta avseende.

6(6) En översiktlig genomgång av sanktionerna ger intrycket av att de är stränga och inte särskilt flexibla. Den automatik som verkar föreligga kan bli kontraproduktiv och bl.a. försvåra umgänget mellan företagen och tillsynsmyndigheten. Det riskerar att hämma utvecklingen, särskilt bland mindre företag, inom innovativa områden med nya tjänster. Det bör finnas utrymme för att seriösa och uppriktiga aktörer utsätts för mildare sanktioner än aktörer som upprepade gånger missköter sig eller medvetet bryter mot reglerna. FÖR STOCKHOLMS HANDELSKAMMARE Fredrik Johansson Chef för analys- och policyavdelningen Fredrik Sand IT-expert

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss