Yttrande över EU-kommissionens konsekvensanalys [COM(2011) 779 final] avseende förslag om skydd för enskilda personer med avseende på behandling av personuppgifter (allmän uppgiftsskyddsförordning)

I den upprättade konsekvensanalysen anges att de huvudsakliga målen med förslaget är att ytterligare harmonisera och effektivisera skyddet av personuppgifter i syfte att förbättra den inre marknadens funktion och öka enskildas kontroll över sina personuppgifter. Det framgår vidare att förslaget potentiellt sett kan komma att beröra samtliga 8,8 miljoner registeransvariga som är etablerade inom EU.

Den föreslagna förordningen innehåller omfattande förändringar av reglerna avseende behandling av personuppgifter. Enligt gällande regler kan registeransvariga behöva hantera 27 olika nationella lagar och krav på området. Vid ett genomförande av förslaget kommer ett och samma regelverk att gälla inom EU vilket leder till förenklingar och ökad rättssäkerhet för såväl företag som för enskilda personer. En förenkling som föreslås är att kravet på att anmäla behandling av personuppgifter till den nationella tillsynsmyndigheten slopas. Förordningen innehåller emellertid nya och mer långtgående krav för registeransvariga. Enligt förslaget ska registeransvariga bl.a. ge klar och tydlig information till den enskilde om vilka uppgifter som behandlas, ändamålet och hur länge de lagras (art.14-15). Dessutom gäller att den registeransvarige ska vidta alla rimliga åtgärder för att radera personuppgifter om den enskilde i fråga vill bli glömd (art.17). Vidare föreslås krav på ett uttryckligt samtycke vid behandling av känsliga personuppgifter (art.6) och att den enskilde ska ha rätt att få en kopia på de personuppgifter som behandlas och att kunna få personuppgifter överförda från en registeransvarig till en annan (art.18). Registeransvariga med fler än 250 anställda eller vars huvudsakliga verksamhet är sådan att den kräver regelbunden övervakning av enskilda ska dessutom utse ett dataskyddsombud (art.35). Ett ytterligare krav som föreslås är att dataintrång ska anmälas till den nationella tillsynsmyndigheten om möjligt inom ett dygn och utan dröjsmål meddela de berörda användarna (art.31). Detta krav innefattar även skyldigheten för registeransvariga att föra detaljerad dokumentation om de personuppgiftsbrott som begås. Reglernas tillämpningsområde utökas också genom förordningen till att omfatta uppgiftsbehandling som sker utanför EU så länge behandlingen utförs av företag som erbjuder varor eller tjänster till EU-medborgare (art.40-45).