Tech Blog

En kortare analys av dataskyddspaketet

Av Christine Storr (Kirchberger) 

Trialogförhandlingarna är klara och dataskyddspaketet (förordningen och direktivet) är nära ett antagande. En konsoliderad version av förordningen har publicerats av Europaparlamentet och finns här som pdf. Nu väntar vi på att förordningen översätts till alla officiella språk och omröstningen i Europaparlamentet som kommer att ske under mars eller april 2016.

Många har följt Förhandlingarna mellan Kommissionen, Europaparlamentet och Rådet med stort intresse. Det var alltså väntat med reaktioner och åsikter strax efter det att trialogen avslutades.

Reaktioner
Avslutandet av förhandlingarna har tagits emot positivt (men även negativt, se nedan) både av politiker och av allmänheten. Presidenten av Europaparlamentet uttalade t.ex.:

En av “föräldrarna” till det ursprungliga förslaget, Viviane Reding är nöjd med resultatet:

Vissa branschorganisationer har dock uttryckt en oro över för strikta regler. Till exempel uttalade IAB Europe i ett pressmeddelande: ” The political deal struck on Europe’s future data protection law is bad news for consumers and for businesses. […] Legal uncertainty and big fines are a toxic cocktail, companies will have little choice but to impose annoying requests for consent every time a user accesses their website. Europe remains a regulatory minefield which means that new data-driven innovative services and products will continue to come to European consumers much later or not at all, and if they come they will be offered by more competitive U.S. companies.”

Vissa anser å andra sidan att integriteten borde ha stärkts ännu mer:

Som många andra lagstiftningsåtgärder är förordningen tänkt som en kompromiss mellan personlig integritet och organisationers intresse och behov att behandla data.

Vilka är de största förändringarna?

Som flera andra (bl.a. IAPPForbes och EDRi ) också har uttalat omfattar de största förändringarna av förordningen (jämfört med direktivet) bl.a. följande punkter:

  • Medlemsländernas uttrymme för egen lagstiftning är mer begränsat än tidigare eftersom EU lagstiftningen utgörs av en förordning. Till skillnad från ett direktiv som kräver lagstiftningsåtgärder gäller en förordning direkt i medlemsländerna.
  • Rätten att bli bortglömd motsvarar i viss mån dagens rätt till radering (28 § PUL).
  • I viss utsträckning höjs kraven på samtycke.
  • Personuppgiftsbrott måste anmälas till dataskyddsmyndigheten och i vissa fall måste de registrerade informeras. Detta är jämförbart med incidentrapportering som operatörer av elektroniska kommunikationstjänster redan idag måste göra hos PTS.
  • Böterna för icke-efterlevnad av reglerna kan vara upp till 20 000 000 Euro eller 4 % av den totala årliga omsättning.
  • Privacy by design (inbyggt uppgiftsskydd), privacy by default (uppgiftsskydd som standard) införs, dvs dataskyddsregler ska byggas in på förhand i tekniken för att säkerställa efterlevnad av reglerna.
  • One-stop-shop: organisationer samt individer ska endast behöva vända sig till en dataskyddsmyndighet i det landet där de är etablerade/bosatta.

Här på bloggen kommer vi under 2016 mer i detalj att börja gå igenom de största förändringarna i förordningen jämfört med direktivet och den svenska personuppgiftslagen. Stay tuned!