Journalistik och dataskydd/GDPR – vad gäller?

EU:s nya dataskyddsförordning, även kallad GDPR, träder i kraft 25 maj 2018. I Sverige blir den direkt tillämplig som lag. Som journalist berörs du på flera olika punkter.

Den lag med kompletterande bestämmelser som ska ersätta dagens personuppgiftslag (PUL) är inte antagen av riksdagen ännu. Det vi vet är hur regeringens förslag till en ny dataskyddslag ser ut. Vägledningen nedan baseras på vad vi vet just nu.

Grundlagsskyddade medier

I den nya dataskyddslagen finns det en uttrycklig bestämmelse om att tryckfrihetsförordningen och yttrandefrihetsgrundlagen har företräde framför GDPR och den nya dataskyddslagen. Det innebär att grundlagsskyddade medier kommer att kunna använda personuppgifter på i samma sätt som i dag. Det betyder att det till exempel inte behövs samtycke för att ta och lagra bilder. Det betyder också att personuppgifter kan publiceras på samma sätt som i dag. (Medieföretagens relation till sina kunder/prenumeranter omfattas dock inte av undantaget utan där gäller, precis som i dag, samma regler som för andra företag.)

Medier som inte har grundlagsskydd

Även den som inte har grundlagsskydd för sin journalistiska verksamhet kan undgå kraven enligt de nya dataskyddsreglerna. Exempel på sådan journalistisk verksamhet är bloggar utan utgivningsbevis eller publiceringar i sociala medier. Att sådan verksamhet inte behöver följa kraven beror på ett undantag i den nya dataskyddslagen som gäller vid "behandling av personuppgifter som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande." (Motsvarande bestämmelse finns redan i dag i PUL.)

Det finns dock vissa regler i dataskyddsförordningen som även gäller den som bedriver journalistisk verksamhet. Enligt dessa regler finns det en skyldighet att behandla personuppgifterna på ett säkert sätt. Det finns även en skyldighet att rapportera så kallade personuppgiftsincidenter till Datainspektionen. Exakt hur dessa skyldigheter ser framgår av artikel 31-34 i dataskyddsförordningen.

Digitalt källskydd:

Som journalist finns det alltid anledning att vara noga med hur personuppgifter hanteras, inte minst digitalt. Som journalist har du en skyldighet att skydda dina källor. Men det finns en viktig skillnad mellan källskyddet enligt grundlagen och personuppgiftsskyddet enligt PUL/GDPR – ansvaret för källskyddet faller på dig journalist medan ansvaret enligt PUL/GDPR faller på medieföretaget. Om du är frilans är du däremot ansvarig för den behandling av personuppgifter som sker inom din verksamhet.

Journalistförbundet har tagit fram information om digitalt källskydd.

Har du fler funderingar om dataskydd/GDPR? Datainspektionen har samlat frågor och svar om den nya dataskyddsförordningen här:
Frågor och svar om EU:s dataskyddsreform (datainspektionen.se)

Är du frilans och undrar hur du som företagare ska hantera de nya dataskyddsreglerna? Datainspektionen har tagit fram en snabbkurs:
Enkla grunder i dataskydd (pdf)

På Verksamt.se finns en GDPR-guide med mer information:
GDPR-guiden (verksamt.se)

Lagtext:

Dataskyddslagen

Förhållandet till tryck- och yttrandefriheten 

7 §
EU:s dataskyddsförordning och denna lag ska inte tillämpas i den utsträckning det skulle strida mot tryckfrihetsförordningen eller yttrandefrihetsgrundlagen.

Artiklarna 5–30 och 35–50 i EU:s dataskyddsförordning samt 2–5 kap. denna lag ska inte tillämpas vid behandling av personuppgifter som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande.

Dataskyddsförordningen

Artikel 31

Samarbete med tillsynsmyndigheten

Den personuppgiftsansvarige och personuppgiftsbiträdet samt, i tillämpliga fall, deras företrädare ska på begäran samarbeta med tillsynsmyndigheten vid utförandet av dennes uppgifter.

Artikel 32

Säkerhet i samband med behandlingen

1. Med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet, när det är lämpligt
a) pseudonymisering och kryptering av personuppgifter,
b) förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och -tjänsterna,
c) förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident,
d) ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet.

2. Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandling medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

3. Anslutning till en godkänd uppförandekod som avses i artikel 40 eller en godkänd certifieringsmekanism som avses i artikel 42 får användas för att visa att kraven i punkt 1 i den här artikeln följs.

4. Den personuppgiftsansvarige och personuppgiftsbiträdet ska vidta åtgärder för att säkerställa att varje fysisk person som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, endast behandlar dessa på instruktion från den personuppgiftsansvarige, om inte unionsrätten eller medlemsstaternas nationella rätt ålägger honom eller henne att göra det.

Artikel 33

Anmälan av en personuppgiftsincident till tillsynsmyndigheten

1. Vid en personuppgiftsincident ska den personuppgiftsansvarige utan onödigt dröjsmål och, om så är möjligt, inte senare än 72 timmar efter att ha fått vetskap om den, anmäla personuppgiftsincidenten till den tillsynsmyndighet som är behörig i enlighet med artikel 55, såvida det inte är osannolikt att personuppgiftsincidenten medför en risk för fysiska personers rättigheter och friheter. Om anmälan till tillsynsmyndigheten inte görs inom 72 timmar ska den åtföljas av en motivering till förseningen.

2. Personuppgiftsbiträdet ska underrätta den personuppgiftsansvarige utan onödigt dröjsmål efter att ha fått vetskap om en personuppgiftsincident.

3. Den anmälan som avses i punkt 1 ska åtminstone
a) beskriva personuppgiftsincidentens art, inbegripet, om så är möjligt, de kategorier av och det ungefärliga antalet registrerade som berörs samt de kategorier av och det ungefärliga antalet personuppgiftsposter som berörs,
b) förmedla namnet på och kontaktuppgifterna för dataskyddsombudet eller andra kontaktpunkter där mer information kan erhållas,
c) beskriva de sannolika konsekvenserna av personuppgiftsincidenten, och
d) beskriva de åtgärder som den personuppgiftsansvarige har vidtagit eller föreslagit för att åtgärda personuppgiftsincidenten, inbegripet, när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekter.

4. Om och i den utsträckning det inte är möjligt att tillhandahålla informationen samtidigt, får informationen tillhandahållas i omgångar utan onödigt ytterligare dröjsmål.

5. Den personuppgiftsansvarige ska dokumentera alla personuppgiftsincidenter, inbegripet omständigheterna kring personuppgiftsincidenten, dess effekter och de korrigerande åtgärder som vidtagits. Dokumentationen ska göra det möjligt för tillsynsmyndigheten att kontrollera efterlevnaden av denna artikel.

Artikel 34

Information till den registrerade om en personuppgiftsincident

1. Om personuppgiftsincidenten sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige utan onödigt dröjsmål informera den registrerade om personuppgiftsincidenten.

2. Den information till den registrerade som avses i punkt 1 i denna artikel ska innehålla en tydlig och klar beskrivning av personuppgiftsincidentens art och åtminstone de upplysningar och åtgärder som avses i artikel 33.3 b, c och d.

3. Information till den registrerade i enlighet med punkt 1 krävs inte om något av följande villkor är uppfyllt:
a) Den personuppgiftsansvarige har genomfört lämpliga tekniska och organisatoriska skyddsåtgärder och dessa åtgärder tillämpats på de personuppgifter som påverkades av personuppgiftsincidenten, i synnerhet sådana som ska göra uppgifterna oläsbara för alla personer som inte är behöriga att få tillgång till personuppgifterna, såsom kryptering.
b) Den personuppgiftsansvarige har vidtagit ytterligare åtgärder som säkerställer att den höga risk för registrerades rättigheter och friheter som avses i punkt 1 sannolikt inte längre kommer att uppstå.
c) Det skulle inbegripa en oproportionell ansträngning. I så fall ska i stället allmänheten informeras eller en liknande åtgärd vidtas genom vilken de registrerade informeras på ett lika effektivt sätt.

4. Om den personuppgiftsansvarige inte redan har informerat den registrerade om personuppgiftsincidenten får tillsynsmyndigheten, efter att ha bedömt sannolikheten för att personuppgiftsincidenten medför en hög risk, kräva att personuppgiftsbiträdet gör det eller får besluta att något av de villkor som avses i punkt 3 uppfylls.