Dataskyddsförordningen tar ett steg framåt

Slutet av december närmar sig med stormsteg och EU har sedan länge lovat att den nya dataskyddsförordningen ska vara färdigförhandlad och beslutad före nyår. I dagarna har det senaste förslaget läckts ut och man kan nu se en tydligare bild över hur det färdiga förslaget kommer se ut. Dock är det många punkter som ännu inte har förhandlats klart. I det läckta förslaget så finns till exempel inte bötesbeloppen angivna, inte ens inom intervall. Man verkar således stå väldigt långt ifrån varandra i förhandlingen.

Enligt initierade källor så ska man den 10/12 sätta sig och förhandla igen. Den 17/12 är det bokat ett extramöte för LIBE, det utskott i parlamentet som hanterar frågan, för att de ska kunna ta ett beslut och den 18 är det bokat att Ministerrådet också formellt ska ta beslutet. Det innebär att om tidsplanen håller så är man klar innan nyår vilket skulle vara en fjäder i hatten för ordförandelandet Luxemburg som varit drivande i frågan.

Det som går att konstatera är att innehållet är omfattande på nästan 200 sidor fördelat på 135 paragrafer i inledningen och 90 artiklar. Dagens PuL är betydligt mer kortfattat. Helt klart går det att konstatera att det inte längre är en enskild projektledare eller bolagsjurists ansvar att hantera personliga uppgifter inom ett företag, myndighet eller kommun, utan det här måste upp på ledningens bord. Inte minst att bötesstorleken kommer bli så hög att det är en ekonomisk risk, det är också en risk för skada på anseendet för organisationen att misslyckas.

Efter att snabbt läst igenom underlaget listar jag här bara några punkter:

• Det som kallas missbruksregeln i PuL § 5a är borta i förordningen.
• Man utvidgar det man idag kallar för ”känsliga personuppgifter” att också innefatta genetisk och biometrisk data (art 9)
• Att det ännu är oklart om man menar ”medgivande” eller ”otvetydigt medgivande” och att förhandling verkar pågå (art 6 pkt a)
• Data protection by design and by default (art 23). Dock verkar förslaget att det ska vara obligatoriskt för myndigheter att kravställa detta i upphandlingar vara bortplockat.
• Hantering av personuppgifter ska föregås av en Protection Impact Assessment (PIA) som ska resultera i att hanteringen av personuppgifter följer förordningen (preamble 66a samt art 33)
• En dataskyddsansvarigs (DPO) uppgifter börjar framträda (art 35 ff) och kravet att en DPO ska vara tillsatt på minst 2 (eller 4) år verkar vara borttaget.
• En organisation kallad European Data Protection Board ska sättas upp som en vidareutveckling av Artikel 29-gruppen. European Data Protection Board ska kunna ta beslut som (endast) ska kunna överklagas till EU-domstolen (art 66 m.fl.)

Länkar

Det förhandlade förslaget per 4 december: /sv/incident-support/haemta-fil.aspx?code=0f7b8229b5519fe31be1103148cbfaeb

En jämförelse mellan de underliggande förslagen från parlamentet, rådet och kommissionen: https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2015/15-07-27_GDPR_Recommendations_Annex_EN.pdf