Kommer svensk kompletterande lagstiftning förbjuda barn att använda Snapchat?

EU:s Dataskyddsförordning (även kallad GDPR) träder i kraft den 25 maj 2018, och kommer då att ha direkt tillämpning i Sverige. Till viss del ska denna dock kompletteras med svensk lagstiftning. Dataskyddsförordningen och den svenska nationella lagstiftningen är relevant för i princip all statlig och kommunal verksamhet i Sverige.

Dataskyddsutredningen har haft som uppdrag att på ett generellt plan komplettera GDPR i svensk lagstiftning. Den har dock uttryckligen inte haft i uppdrag att analysera eller beskriva vilka förändringar som GDPR i sig innebär. Därutöver kommer det att komma sektorsspecifika regleringar, som dock Dataskyddsutredningen inte heller haft att ansvara för.

Den 12 maj har nu Dataskyddsutredningen kommit med ett betänkande och ett lagförslag, (”Dataskyddslagen”) som till viss del klargör hur GDPR i specifika delar ska gälla i Sverige, förutsatt att denna antas av Riksdagen. Dataskyddslagen behandlar således i praktiken endast en liten del av GDPR. I några delar görs dock förtydliganden som möjligen kan sägas räta ut några av GDPR’s frågetecken.

Dataskyddslagen har fått viss uppmärksamhet i och av media som har framställt det som att barn under 13 år inte kommer att få använda sociala media, som Facebook, Instagram och Snapchat. Så är naturligtvis inte fallet. Barn under 13 år kommer inte att på ett giltigt sätt kunna samtycka till behandling av personuppgifter när det gäller ”informationssamhällets tjänster” (som Dataskyddsutredningen förmodar bland annat är sociala media). En vårdnadshavare kan dock lämna ett sådant samtycke för barnet, och då är det fritt fram även fortsättningsvis för barn att snapchatta.

Det klargörs också – vilket är i linje med vad som gäller idag – att arbetsgivare har rätt att behandla även känsliga uppgifter om det är nödvändigt för att fullgöra skyldigheter inom arbetsrätten. Detta berör framför allt uppgifter om huruvida anställda är anslutna till ett fackförbund, som är en sådan ”känslig uppgift”.

I övrigt är Dataskyddlagstiftningen till stor del inriktad på myndigheters verksamhet, och är således i högsta grad intressant för alla myndigheter som behandlar personuppgifter.
Vad gäller behandling i ostrukturerat material (t.ex. löptext), som tidigare fallit under den så kallade missbruksregeln i Personuppgiftslagen och alltså varit undantagen från dess bestämmelser (så länge behandlingen inte varit kränkande) har Dataskyddsutredningen kommit med vad jag förmodar är ett mycket efterlängtat undantag som möjliggör behandling av känsliga personuppgifter i ostrukturerat material även i framtiden. Detta gäller dock endast för myndigheter.

För myndigheter innebär det att känsliga uppgifter som lämnas in till myndigheten (t.ex. i ett mejl till socialtjänsten där hälsouppgifter lämnas av avsändaren) får behandlas av myndigheten. Om lagförslaget antas i denna del, är det min uppfattning att det förenklar den praktiska verksamheten i ganska hög grad för myndigheter. Privata verksamheter måste dock hitta ett sätt att säkerställa att behandling i ostrukturerat material från den 25 maj sker på ett lagligt sätt.

Dataskyddsutredningen har också föreslagit att även myndigheter ska erlägga en administrativ avgift vid överträdelse mot Dataskyddsförordningen. Hur meningsfullt detta egentligen är kan naturligtvis diskuteras då ett belopp i praktiken enbart kommer att flyttas från en myndighet till en annan. Straffavgiften är dock ansenlig, även om den bara är en tiondel av de avgifter som kommer i fråga för privata verksamheter, och ska fastställas till högst 10 MSEK eller 20 MSEK. Anledningen är att man av pedagogiska skäl vill understryka vikten av att skydda integriteten för enskilda individer även hos myndigheter.

Det finns saker i lagförslaget som kan diskuteras – man använder både begreppen ”absolut nödvändigt” och ”nödvändigt” och man kan onekligen fråga sig vad man tänker sig med denna distinktion.  Vidare pratar man om ”otillbörligt intrång” i den personliga integriteten, vilket får i vart fall mig att undra vad ”tillbörligt” intrång kan vara i detta sammanhang. I det stora hela finns dock bestämmelser som utgör ett givande (och förtydligande) komplement till Dataskyddsförordningen, inte minst vad gäller myndigheter. Till detta kommer så småningom de sektorsspecifika förordningarna. Den 25 maj 2018 ska dock all kompletterande lagstiftning vara på plats, så fortsättning följer.

_________________________

Sara Malmgren, advokat på Foyen Advokatfirma
sara.malmgren@foyen.se