Dataskyddslagen
Dataskyddslagen är baserad på EU-förordningen GDPR (General Data Protection Regulation) som syftar till att stärka dataskyddet och EU-medborgarnas integritet. Man brukar säga att dataskyddslagen är gjord för att fungera utifrån hur det svenska rättssamhället är uppbyggt samtidigt som den ska säkerställa att reglerna i GDPR efterföljs även i Sverige. Dataskyddslagen är alltså inte en översättning av GDPR utan innehåller en del paragrafer och förtydliganden som bara finns i Sverige och som bygger på svenska förhållanden.
Att spara personuppgifter kan innebära stora effektivitetsvinster för företag och myndigheter. Personlig information är dock något som den individ informationen gäller bör ha bestämmanderätt över, i så hög grad som möjligt. Inom EU anses detta vara en viktig mänsklig rättighet och GDPR innebär, sedan lagen trädde 2018, att det nu finns stora möjligheter att säkerställa denna rättighet.
En modernisering av personuppgiftslagen
Sverige har även sedan tidigare haft bestämmelser som borgat för ett starkt dataskydd men i många andra EU-länder är detta värnande om den personliga integriteten något som är relativt nytt. I Sverige hade vi tidigare personuppgiftslagen (PUL) som i mångt och mycket täckte samma områden som dataskyddslagen.
Att vi även tidigare har haft regler kring registerföring av personuppgifter innebär inte att dataskyddslagen inte haft stor påverkan. Många företag och myndigheter har fått förändra sina rutiner för hur personuppgifter sparas i grunden. I många fall har det handlat om en välbehövlig uppdatering av gamla rutiner.
Huvuddragen i dataskyddslagen
En grundläggande del av dataskyddslagen beskriver i vilka situationer myndigheter, företag och organisationer har rätt att spara personuppgifter. Personuppgifter får inte sparas enbart för att det kan vara bra att ha någon gång i framtiden utan det måste fylla en tydlig funktion. Syftet med alla register som innehåller känslig information ska vara klart formulerat och väl motiverat. Personuppgifterna får alltså bara sparas så länge de uppfyller ett visst ändamål.
Sparande av personuppgifter måste ha en rättslig grund
Det finns ett antal rättsliga grunder för att spara personuppgifter. En grund kan vara att en myndighet, till exempel Skatteverket, måste spara personuppgifter för att kunna bedriva sin verksamhet. Samma sak gäller företag som behöver kontouppgifter och de anställdas personnummer för att kunna betala ut löner. I samband med att avtal ingås registreras också personuppgifter, det är en förutsättning för att ett avtal överhuvudtaget ska vara giltigt.
Att det helt enkelt finns ett samtycke till att information sparas kan också vara en tillräcklig grund för att spara information, rent rättsligt. Men då gäller det att du vet vad det är du tackat ja till och att dina personuppgifter inte används på ett sätt som du inte har gjorts medveten om.
Tydliga regler kring hur medgivande ges
Dataskyddslagen handlar mycket om hur den som hanterar personuppgifter ska gå tillväga för att få ett medgivande till att spara informationen. Du som individ ska alltid göras medveten om att personuppgifter sparas och ha en möjlighet att tack nej till det. Ett tydligt exempel är att du måste kunna godkänna att en sida du besöker, genom cookies, samlar in information om dig som kan påverka din surfupplevelse eller till och med säljas vidare till tredje part. Särskilda regler gäller när det handlar om barn över 13 år som ska kunna ge ett eget medgivande till att personuppgifter sparas, på till exempel sociala plattformar som vänder sig mot en ung publik.
Dataskyddslagen behandlar också vad som händer om lagen inte efterföljs, till exempel genom att fel uppgifter sparats och/eller lämnats till någon som inte haft behörighet att ta del av informationen. Brott mot dataskyddslagen kan bestraffas med böter. Det är viktigt med kännbara straff för att de som berörs av lagen ska ta den på allvar.
Dataskyddslagen är i takt med samtiden
En viktig uppgift som dataskyddslagen har är att se till så att vi har en lag som ger skydd under de omständigheter som råder idag och inte berör sådant som knappast längre är aktuellt. Dataskydd är ett område där förändringar sker snabbt. De tekniska förutsättningarna för såväl dataintrång som dataskydd ändras hela tiden. Idag är de flesta informationsarkiv digitaliserade. Det innebär både för- och nackdelar utifrån ett dataskyddsperspektiv. Idag är det lättare för individen att få information om vilka uppgifter som olika myndigheter har tillgång till. Samtidigt kan digitala register hackas och känslig information kan hamna där den riskerar att göra skada.
Dataskyddslagen gäller inte i alla situationer
Dataskyddslagen är en subsidiär lag. Det betyder att den inte gäller om innehållet i den motsägs av en annan lag. Då gäller lagen som inte är subsidiär. Det finns till exempel bestämmelser i databrottslagen som har företräde och som inte stämmer överens helt med dataskyddslagen. Anledningen till detta är att det hade varit näst intill omöjligt att formulera dataskyddslagen så att den omfattat alla andra lagar som på något sätt berör hantering av personuppgifter. I vissa fall består dataskyddslagen av generella principer, från vilka det alltså görs undantag ibland.