Dataskydd

Dataskyddslagen (2018:218): svensk komplettering av GDPR

Dataskyddslagen (2018:218): svensk komplettering av GDPR – barns samtycke från 13 år, regler om personnummer och undantag i arbetslivet för företag.

Also available in:Deutsch·Español

Dataskyddslagen (2018:218), formellt lagen med kompletterande bestämmelser till EU:s dataskyddsförordning, är den svenska lag som fyller ut och anpassar GDPR till svenska förhållanden. GDPR gäller direkt i Sverige, men förordningen lämnar utrymme för nationella regler på flera punkter – och det är dessa Dataskyddslagen fyller: åldersgränsen för barns samtycke (13 år), begränsningar för behandling av personnummer, undantag för arbetslivet och arkiv, samt taket för sanktionsavgifter mot myndigheter. Lagen ersatte personuppgiftslagen (PUL) den 25 maj 2018. Den här guiden går igenom vad Dataskyddslagen lägger till ovanpå GDPR.

Sammanfattning

  • Dataskyddslagen (2018:218) kompletterar GDPR där förordningen tillåter nationella regler – den ersätter den inte.
  • Sverige satte åldern för barns samtycke till informationssamhällets tjänster till 13 år (2 kap. 4 §).
  • Behandling av personnummer kräver klart motiverade skäl (3 kap. 10 §).
  • Sanktionsavgifter mot svenska myndigheter är begränsade till 10 miljoner kronor (6 kap. 2 §).

Förhållandet till GDPR

GDPR är en förordning och gäller direkt som svensk lag utan att behöva införlivas. Men förordningen innehåller ett fyrtiotal “öppningsklausuler” – bestämmelser där medlemsstaterna får eller ska anta nationella regler. Dataskyddslagen är Sveriges svar på dessa klausuler. Rangordningen är tydlig: GDPR gäller i första hand, Dataskyddslagen fyller ut där förordningen tillåter, och sektorsspecifika registerförfattningar (till exempel patientdatalagen, som styr GDPR i hälso- och sjukvården) går före Dataskyddslagen inom sina områden.

Lagen är därför inte en fristående dataskyddslag utan ett komplement. Man kan inte förstå svenskt dataskydd genom att läsa bara Dataskyddslagen eller bara GDPR – de ska läsas tillsammans.

Vad Dataskyddslagen lägger till

Område Regel Lagrum
Barns samtycke Åldersgräns 13 år för informationssamhällets tjänster 2 kap. 4 §
Rättslig grund Förtydligar rättslig förpliktelse och myndighetsutövning 2 kap. 1–3 §§
Personnummer Får behandlas endast vid klart motiverat behov 3 kap. 10 §
Känsliga uppgifter i arbetslivet Undantag för arbetsrättsliga skyldigheter 3 kap.
Lagöverträdelser Behandling begränsad, i huvudsak till myndigheter 3 kap. 8–9 §§
Arkiv och forskning Undantag från vissa rättigheter 3–4 kap.
Sanktionsavgifter mot myndigheter Tak på 10/5 miljoner kronor 6 kap. 2 §

Barns samtycke – 13 år

GDPR sätter i art. 8 en huvudregel om 16 år för barns samtycke till informationssamhällets tjänster, men tillåter medlemsstaterna att sänka gränsen till som lägst 13 år. Sverige valde 13 år i 2 kap. 4 §. Det påverkar bland annat sociala medier, appar och onlinetjänster riktade till unga, och är relevant för varje samtyckesblankett som rör minderåriga. För barn under 13 krävs vårdnadshavarens samtycke.

Personnummer – 3 kap. 10 §

En specifikt svensk fråga. Personnummer får enligt 3 kap. 10 § behandlas utan samtycke bara när det är klart motiverat med hänsyn till ändamålet, vikten av säker identifiering eller något annat beaktansvärt skäl. Att slentrianmässigt begära personnummer i formulär och kundregister är alltså inte tillåtet – behovet måste kunna motiveras. Detta är en av de vanligaste bristerna hos svenska organisationer och bör dokumenteras i registerförteckningen.

Känsliga uppgifter och arbetslivet

Dataskyddslagen 3 kap. innehåller de svenska reglerna för känsliga personuppgifter utöver art. 9 GDPR, bland annat undantag som gör det möjligt att behandla vissa känsliga uppgifter för att fullgöra arbetsrättsliga skyldigheter. Det är den nationella grund som gör det lagligt för arbetsgivare att exempelvis hantera sjukfrånvaro och fackföreningstillhörighet i den utsträckning arbetsrätten kräver.

Sanktioner mot myndigheter

Där GDPR:s art. 83 sätter mycket höga sanktionsramar för privata aktörer, begränsar Dataskyddslagen 6 kap. 2 § avgifterna mot svenska myndigheter och offentliga organ till 10 miljoner kronor, respektive 5 miljoner för mindre allvarliga överträdelser. Det är detta tak som gäller när IMY beslutar om avgifter mot kommuner och statliga myndigheter – till exempel Skellefteå kommun (200 000 kr, 2019). Se sammanställningen i IMY:s sanktionsavgifter.

Från PUL till Dataskyddslagen

Dataskyddslagen ersatte personuppgiftslagen (PUL) när GDPR började tillämpas den 25 maj 2018. Övergången innebar ett skifte i systematik: PUL var en heltäckande nationell lag, medan Dataskyddslagen enbart kompletterar en direktverkande EU-förordning. Äldre hänvisningar till PUL i avtal, policyer och rutiner bör uppdateras – både för att lagen inte längre gäller och för att en policy som hänvisar till PUL signalerar att dataskyddsarbetet inte underhållits.

Praktisk betydelse för din organisation

Dataskyddslagen påverkar det dagliga arbetet på konkreta punkter. Personnummerregeln kräver att ni kan motivera varje insamling av personnummer. Åldersgränsen 13 år styr hur ni hanterar samtycke från unga. Arbetslivsreglerna avgör vilka anställningsuppgifter ni får behandla – relevant för varje HR-funktion, se vår guide till GDPR i HR och rekrytering. Dessa nationella särdrag ska återspeglas i registret, integritetspolicyn och rutinerna.

Eftersom Dataskyddslagen och GDPR ska tillämpas tillsammans – och sektorslagar dessutom går före – blir regelbilden snabbt komplex. Ett verktyg som Legiscope kan hjälpa till att hålla dokumentationen anpassad till både förordningens och den svenska lagens krav. För tolkningsfrågor är IMY:s vägledning den primära källan, och lagtexten finns i sin helhet hos Sveriges riksdag.

Öppningsklausulerna: varför nationella regler alls finns

Att en EU-förordning behöver kompletteras med nationell lag kan verka motsägelsefullt – poängen med en förordning är ju enhetlighet. Förklaringen är att GDPR medvetet lämnar utrymme för medlemsstaterna på områden där nationella traditioner och rättssystem skiljer sig åt. Dessa öppningsklausuler gäller bland annat förhållandet mellan dataskydd och yttrandefrihet, behandling i anställningsförhållanden, nationella identifikationsnummer, arkiv, forskning och offentlig sektor. Sverige har en särskilt stark tradition av offentlighet och personnummeranvändning, vilket gör att just dessa klausuler fått konkret svensk utformning.

Personnummerregeln är det tydligaste exemplet. I många EU-länder finns inget motsvarande allmänt använt identifikationsnummer, medan personnumret i Sverige genomsyrar allt från vård och bank till föreningsliv. Att GDPR överlåter regleringen av “nationella identifikationsnummer” till medlemsstaterna är därför avgörande för svenska förhållanden, och 3 kap. 10 § är svaret: personnumret får användas, men inte slentrianmässigt. Detta samspel mellan förordning och nationell lag är varför man aldrig kan bedöma en svensk behandling utifrån enbart GDPR-texten.

Ett annat område är förhållandet till offentlighetsprincipen. Svenska myndigheters skyldighet att lämna ut allmänna handlingar följer av tryckfrihetsförordningen och går i vissa avseenden före GDPR:s begränsningar – ett exempel på hur grundlag, sektorslag, Dataskyddslag och förordning bildar en hierarki som måste läsas i rätt ordning. För privata organisationer är offentlighetsprincipen sällan relevant, men den illustrerar hur sammansatt det svenska dataskyddslandskapet är.

Vanliga frågor

Vad är skillnaden mellan Dataskyddslagen och GDPR?

GDPR är en EU-förordning som gäller direkt i alla medlemsstater. Dataskyddslagen (2018:218) är en svensk lag som kompletterar GDPR där förordningen tillåter nationella regler – till exempel barns samtyckesålder, personnummer och sanktioner mot myndigheter. De ska läsas tillsammans; Dataskyddslagen ersätter inte GDPR utan fyller ut den.

Får jag samla in personnummer i mina formulär?

Bara när det är klart motiverat. Enligt Dataskyddslagen 3 kap. 10 § får personnummer behandlas utan samtycke endast när det är motiverat med hänsyn till ändamålet, vikten av säker identifiering eller annat beaktansvärt skäl. Att rutinmässigt begära personnummer utan ett dokumenterat behov är en vanlig brist.

Vid vilken ålder kan barn själva samtycka i Sverige?

13 år, för informationssamhällets tjänster som appar och sociala medier. Sverige utnyttjade möjligheten i art. 8 GDPR att sänka gränsen från huvudregelns 16 år. Regeln finns i Dataskyddslagen 2 kap. 4 §. För barn under 13 krävs vårdnadshavarens samtycke.

Gäller Dataskyddslagen före sektorslagar som patientdatalagen?

Nej. Sektorsspecifika registerförfattningar, som patientdatalagen (2008:355) för vården, går före Dataskyddslagens allmänna bestämmelser inom sina områden. Ordningen är: GDPR först, därefter sektorslag, och Dataskyddslagen som allmän komplettering där ingen sektorslag reglerar frågan.

Slutsats

Dataskyddslagen (2018:218) är den svenska pusselbiten i ett regelverk vars huvuddel är EU:s GDPR. Den lägger till det som är specifikt svenskt: 13 år för barns samtycke, strikta regler för personnummer, undantag för arbetslivet och arkiv, och ett tak för sanktioner mot myndigheter. För att förstå era skyldigheter räcker det inte att läsa antingen GDPR eller Dataskyddslagen – de ska tillämpas tillsammans, och sektorslagar går dessutom före. Uppdatera gamla hänvisningar till PUL och dokumentera särskilt era skäl för att behandla personnummer.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →