GDPR – vad är det som händer egentligen?

Den 25 maj i år började EU:s dataskyddsförordning (GDPR) tillämpas. Förordningen gäller i hela Sverige och resten av EU samtidigt som den gamla personuppgiftslagen (PUL) upphör att gälla.

Förväntningen är att införandet av GDPR kommer att bidra till att stärka skyddet av enskilda individers personuppgifter. Samtidigt uppställer förordningen ökade och skärpta krav, förenade med sanktionsavgifter, vilka gäller för alla som behandlar personuppgifter – både företag, andra organisationer och enskilda.

Sedan den 25 maj i år har Datainspektionen haft en hel del att göra. Bland annat har inspektionen inlett en granskning av om dataskyddsombud har utsetts av de företag och organisationer som är skyldiga att göra det. De som är skyldiga att utse dataskyddsombud är alla myndigheter samt organisationer vars kärnverksamhet innebär en regelbunden och systematisk övervakning av de registrerade eller som inkluderar omfattande hantering av känsliga personuppgifter såsom fackföreningar, banker och försäkringsbolag.

I slutet av maj har Datainspektionen även överklagat en dom mot Google angående deras hantering av ”rätten att bli glömd”. Rätten att bli glömd aktualiseras för Googles del när en person ber om att sökträffar som dyker upp när någon söker på personens namn raderas.

Rätten att bli glöm är en rättighet som följer av artikel 17 GDPR och innefattar de tillfällen då personuppgifterna inte längre är nödvändiga för de ändamål för vilka de samlats in eller behandlats. Andra situationer då rätten att bli glömd kan aktualiseras är när den registrerade återkallar sitt samtycke, invänder mot personuppgiftsbehandlingen eller när behandlingen skett på ett olagligt sätt. Slutligen kan rätten att bli glömd inträda när personuppgifterna måste raderas för att uppfylla en förpliktelse som följer av nationell rätt alternativt EU-rätt samt vid de tillfällen då personuppgifterna har samlats in i samband med erbjudande av informationssamhällets tjänster.

Rätten att bli glömd är dock begränsad på så sätt att den inte gäller om behandlingen är nödvändig för att utöva rätten till yttrande- och informationsfrihet. Den begränsar sig även till de fall då en rättslig förpliktelse kräver behandling enligt nationell rätt respektive EU-rätt av allmänt intresse, för folkhälsoändamål eller arkivändamål av allmänt intresse samt för att fastställa, göra gällande eller försvara rättsliga anspråk.

EU-domstolen har i Google Spain-målet slagit fast att i de fall det är fråga om personer som spelar en viktig roll i det offentliga livet, såsom exempelvis högt uppsatta myndighetspersoner, affärsmän eller politiker, kan allmänhetens intresse av att ta del av information väga tyngre än en persons intresse av att få sina uppgifter raderade. Vissa grupper får alltså “tåla” att inte ha samma rätt att bli glömd som vissa andra.

I ett annat mål har Datainspektionen fått rätt gentemot eHälsomyndigheten i en dom meddelad av förvaltningsrätten. Inspektionen menade att tjänsten ”Hälsa för mig”, som innehåller en stor mängd personuppgifter, ställer krav på att eHälsomyndigheten inte får dela uppgifterna till andra mottagare än de som innehar kontona samt relevanta app-leverantörer samt att myndigheten måste säkerställa att sekretessprövning sker för att behandlingen ska vara laglig och korrekt. Datainspektionens samtliga föreläggande mot eHälsomyndigheten fastställdes av förvaltningsrätten. Eftersom målet prövades enligt PUL gällde inte reglerna om sanktionsavgifter men det kan antas att liknande mål som kommer att meddelas enligt GDPR kommer att aktualisera frågan om sanktionsavgifter.

Ännu har GDPR endast tillämpats i några månader och många frågor och oklarheter i förordningen återstår att klargöra. Datainspektionen har inlett ett utökat och förstärkt samarbete med de övriga tillsynsmyndigheterna i Norden med ändamålet att ta fram gemensamma vägledningar. Eftersom GDPR är EU-lagstiftning är det dock främst vägledningar som tas fram på EU-nivå av den Europeiska dataskyddsstyrelsen och delegerade akter och genomförandetakter från kommissionen som kommer vara av betydelse för tolkningen av GDPR. Bonde Barzey håller sig uppdaterade på alla nyheter vad gäller tolkningen och tillämpningen av GDPR.