Personuppgiftsansvariga inom den privata sektorn – så påverkas de av GDPR : En studie av hur personuppgiftsansvariga inom den privata sektorn kommer att påverkas av upphörandet av 27 § PUL samt missbruksregeln

Sammanfattning: Den tekniska utvecklingen i samhället har bidragit till att myndigheter, företag och privatpersoner idag behandlar personuppgifter i en mycket större utsträckning än tidigare. Personuppgifter har blivit en handelsvara vilken överförs inte bara mellan aktörer nationellt, utan även över nationsgränserna. Denna överföring mellan olika länders aktörer är många gånger behövlig för att verksamheter ska kunna bedrivas ändamålsenligt. Personuppgiftsbehandling medför dock en del risker för intrång i den enskildes personliga integritet. Den 27 april 2016 antog Europaparlamentet och Europeiska rådet en ny allmän dataskyddsförordning, vilken benämns General Data Protection Regulation. GDPR utgör en ny generell reglering för personuppgiftsbehandling inom Europeiska unionen och kommer att ersätta det nuvarande dataskyddsdirektivet, vilket ligger till grund för gällande rätt i Sverige genom personuppgiftslagen. Förordningen kommer att tillämpas direkt i medlemsstaterna men möjliggör för vissa kompletterande nationella bestämmelser. Den 12 maj 2017 offentliggjordes förslag till kompletterande lagstiftning genom ett betänkande till dataskyddsförordningen där förslag ges om en nationell personuppgiftsreglering, vilken benämns “dataskyddslagen”. Detta kommer innebära att PUL upphävs och att förordningen ska börja tillämpas den 25 maj 2018. Upphörandet av PUL orsakar oklarheter för hur informationsskyldigheten för försäkringsbolag bör hanteras men även hur behandlingen av ostrukturerat material ska ske. Dataskyddslagen bör förses med ett undantag från informationsskyldigheten vilken motsvarar 27 § PUL i dess helhet. Det skulle ge försäkringsbolag den grund de behöver för att fortsätta utreda oklara försäkringsfall. Av analysen framkommer hur upphörandet av missbruksregeln måste ses som nödvändig med bakgrund av att GDPR:s införande syftar till att förstärka registrerades rätt till skydd av sina personuppgifter. Att ostrukturerat material skulle undantas verkar därför motstridigt GDPR:s syfte.