Europaparlamentet röstar för förslaget till ny dataskyddsförordning

Den 12 mars 2014 röstade Europaparlamentet med en överväldigande majoritet för förslaget till ny dataskyddsförordning. Lagstiftningsprocessen har, inte minst efter avslöjandet att amerikanska NSA spionerar på EU-medborgare, följts med stort intresse även utanför EU. Förslaget är tänkt att få direkt effekt i EU och ersätter all tidigare lagstiftning i samtliga medlemsstater, dvs. även den svenska personuppgiftslagen (PUL).

Internet, smarta telefoner och sociala medier var inte på dagordningen när det nuvarande dataskyddsdirektivet antogs 1995, men är en del av vardagen för nästan alla EU-medborgare idag. Den snabba tekniska utvecklingen och ökade användningen av Internet innebär nya utmaningar för skyddet av personuppgifter. Syftet med förslaget är att ge EU-medborgare effektivare kontroll över sina personuppgifter på nätet och att göra det lättare för företag att agera på den gemensamma marknaden.

En av de frågor i förslaget som fått stor uppmärksamhet i media är rätten till radering, vilket innebär att finns det inget legitimt skäl att behålla personuppgifterna ska dessa raderas. Raderingsskyldigheten inkluderar även personuppgifter som den personuppgiftsansvarige har delat med sig till tredje man. Det finns utmaningar med förslaget, inte minst med tanke på hur snabbt information sprids över nätet. Den tekniska implementeringen av raderingsrätten kommer vara avgörande för hur denna reglering praktiskt kommer att fungera.

Enligt förslaget ska den personuppgiftsansvarige säkerställa att alla system i vilka personuppgifter behandlas ska byggas utifrån principerna om ”privacy by design”, dvs. ett inbyggt integritetsskydd. Dessa principer är bland annat att antalet personuppgifter som behandlas ska minimeras, åtkomsten till de lagrade uppgifterna ska begränsas samt uppgifterna ska skyddas från obehörig åtkomst. Det blir därför viktigt att ta hänsyn till säkerhets- och integritetsaspekter redan vid planering och utveckling av IT-system.

Den personuppgiftsansvariga kommer få utökade skyldigheter att rapportera personuppgiftsbrott till tillsynsmyndigheten. Innehållet i rapporten ska vara relativt omfattande och förslaget innehåller korta tidsfrister för den personuppgiftsansvarige, vilket ställer krav på att man har särskilda rutiner på plats för detta.

En ny ’one-stop-shop’ regulatorisk regim införs som ger företag möjlighet att förhålla sig till endast en dataskyddsmyndighet, istället för varje dataskyddsmyndighet i varje EU-land. På så vis hoppas man göra det lättare och billigare för bolag att bedriva verksamhet inom EU.

Förslaget innebär även att dataskyddsregleringens tillämpningsområde utökas till att även omfatta uppgiftsbehandling som sker utanför EU så länge behandlingen utförs av företag som t.ex. erbjuder varor eller tjänster till EU-medborgare. Det innebär att när företag utanför EU vill bedriva verksamhet på den gemensamma marknaden kommer de att behöva iaktta samma regler som företag etablerade inom EU.

Den kanske mest ingripande förändringen till följd av förslaget är att de sanktioner som kan åläggas den som gör sig skyldig till överträdelser mot regleringen blir avsevärt strängare. Hittills har regleringen om skydd för personuppgifter kännetecknats av relativt milda sanktioner, men nu kan böter utgå upp till fem procent av årlig global omsättning. Det står emellertid tillsynsmyndigheten fritt att välja andra sanktioner i form av t ex skriftlig varning vid den första, oavsiktliga överträdelsen.

Förslaget ska nu förhandlas vidare med Rådet i den fortsatta lagstiftningsprocessen. Även om det kan innebära vissa förändringar är det sannolikt att den nu godkända dataskyddsförordningen i allt väsentligt träder i kraft under 2016.

Tillbaka till Frankly #3

Prenumerera på Frankly

Frankly ges ut en gång i månaden till dig som vill veta mer om vad som händer på Frank
och innehåller även artiklar om regler och lagar.

Vi använder cookies på denna webbplats för att ge dig en bättre upplevelse. En cookie är en textfil som sparas på din dator. Genom att använda vår webbplats accepterar du att cookies används. Läs mer om cookies här. Jag förstår