I slutet av april antog riksdagen en ny dataskyddslag som träder i kraft samtidigt som EU:s dataskyddsförordning (GDPR), den 25 maj.
GDPR öppnar upp möjligheter för EU:s medlemsstater att fylla ut vissa bestämmelser i förordningen med innehåll som är mer anpassat till nationella förhållanden, det är syftet med att ha en svensk lag som kompletterar GDPR. Riksdagen beslutade att anta regeringens proposition rakt av, inga förändringar i propositionen gjordes i utskottsbehandlingen. I och med ikraftträdandet av den nya lagen kommer personuppgiftslagen (PuL) upphöra att gälla.
Två exempel på bestämmelser som den nya lagen fyller ut:
– En lagregel gäller den lagliga grund för personuppgiftsbehandling som innebär att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse (se GDPR art. 6.1.c). Enligt 2 kap. 1 § i lagen kan en rättslig förpliktelse som följer av ett kollektivavtal användas som laglig grund för behandling av personuppgifter. Kollektivavtalen har i svensk rätt en ställning som ligger någonstans mellan lag och avtal, vilket är lite unikt. Det är därför inte så konstigt att Sverige väljer att fylla ut förordningen på detta sätt.
– Medlemsstaterna har möjlighet att själva reglera vid vilken ålder ett barn ska kunna samtycka till behandling av personuppgifter vid erbjudandet av informationssamhällets tjänster direkt till ett barn. Riksdagen har valt att sätta denna åldersgräns till 13 år, enligt 2 kap. 4 § i lagen. Detta är en regel som sticker ut i svensk rätt, eftersom barn sällan i övrigt har möjlighet att själva bestämma över sina rättsliga handlingar. Typexempel på vad som kan falla in under begreppet informationssamhällets tjänster är sociala medier såsom Facebook.
Om du vill läsa den nya dataskyddslagen finns den här!
Lagens fullständiga namn är: Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning.
