Datainspektionen anser att Socialdataskyddsutredningen (”Utredningen”) inte har tagit tillräcklig hänsyn till GDPR:s nya krav. GDPR tillåter endast nationella bestämmelser i den mån förordningen uttryckligen tillåter det. Detta innebär att exempelvis vårdgivares behandling av personuppgifter först och främst kommer att regleras av GDPR.
”Trots denna skillnad har utredningen utgått ifrån att registerförfattningarna i största möjliga mån ska bevaras som de är. Det riskerar leda till att våra nationella bestämmelser inte kommer att stämma överens med dataskyddsförordningen. I de fall reglerna inte stämmer, så är det dataskyddsförordningen som gäller”, säger Datainspektionens jurist Martina Lindkvist.
Datainspektionen föreslår att Utredningen ska analysera registerförfattningarna för en rad myndigheter som framförallt behandlar personuppgifter av mer känslig karaktär, för att säkerställa att befintliga registerförfattningar överensstämmer med GDPRs krav.
GDPR ställer särskilda krav på behandling av känsliga personuppgifter. Datainspektionen menar därför att det är av särskild vikt att det utreds om verksamheterna inom Socialdepartementets område har stöd för den behandling respektive verksamhet utför.
Utredningen har tagit fram ett förslag på hur nuvarande registerförfattningar för vårdgivare, socialtjänst och flertalet myndigheter ska anpassas till GDPR, samt om det i dagsläget finns verksamheter som inte har en egen registerförfattning men som behöver det.
Se https://www.datainspektionen.se/Documents/remissvar/2017-11-13-yttrande-socialdataskyddsutredningen.pdf eller kontakta en IT-advokat för mer information.
