Ändrings- eller optionsklausuler inom entreprenadrätten och…
När offentlig sektor köper byggentreprenader sker det oftast genom en offentlig upphandling. Offentlig upphandling är en lagreglerad inköpsprocess som…
Den 20 februari 2018 offentliggjordes proposition 2017/18:105 med kompletterande bestämmelser till EU:s dataskyddsförordning (GDPR). Den kompletterande lagen är avsedd att förtydliga och förändra GDPR på ett antal områden.
Gränsöverskridande samtycken och samtycke från barn
Det svenska lagförslaget speglar i stora delar artikel 3 i GDPR rörande gränsöverskridande samtycken. Bland förändringarna är undantaget gällande samtycken för barn särskilt intressant. Den svenska dataskyddslagens regler om samtycke, där barn kan samtycka redan från 13 års ålder, ska gälla alla barn som bor i Sverige, oavsett var den personuppgiftsansvariga eller personuppgiftsbiträdet är etablerat.
Grundlagarnas företräde.
Regeringen föreslår att GDPR inte ska tillämpas i den utsträckning det skulle strida mot tryckfrihets-förordningen och yttrandefrihetsgrundlagen. EU har redan reglerat frågan i artikel 9 i GDPR varför förtydligandet i stora delar är onödigt. Regeringens förslag aktualiserar dock återigen debatten om behovet av en grundlagsändring för att förhindra kringgående av GDPR genom utgivande av utgivningsbevis (den s.k. lex lexbase).
Rättsliga grunder
Propositionen innehåller välkomna förtydliganden rörande de rättsliga grunderna för behandling av personuppgifter. Bland annat förtydligas kollektivavtalets roll vid behandling enligt de rättsliga grunderna i artikel 6.1 c (rättslig förpliktelse) och 6.1 e (myndighetsutövning/allmänt intresse).
Känsliga personuppgifter
Dataskyddslagen föreslås innehålla ett antal förtydliganden kring vad som utgör känsliga person-uppgifter och under vilka villkor behandling av sådana uppgifter får ske. Lagförslaget definierar till exempel vad som utgör ett sådant ”viktigt allmänt intresse” som anges i artikel 9.2 g i GDPR.
Behandling av personnummer
En mycket intressant tillägg rör personnummer. Personnummer ska endast få behandlas när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. En personuppgiftsansvarig får också behandla personnummer om den behandlade har gett sitt samtycke. I praktiken behandlas personnummer idag i ett stort antal samman-hang. Troligtvis är flera av dessa behandlingar omotiverade. Företag bör i flera fall överväga att byta identifikator, från personnummer till exempelvis namn på den vars uppgifter man behandlar.
Sanktionsavgifter
Regeringen föreslår att möjligheten att ta ut sanktionsavgifter även av myndigheter införs i lagen. Beloppen som föreslås i propositionen är något lägre än de som aviserats i utredningen. Avgiften föreslås bli högst fem miljoner kronor vid mindre allvarliga överträdelser och högst tio miljoner kronor vid de allvarligare överträdelser som avses i artikel 83.5 och 83.6 i GDPR.
Erik Karlsson, advokat och Viktor Möller, biträdande jurist på Glimstedt, Göteborg