Dataskyddslagen kom till i kölvattnet av GDPR. GDPR är en EU-förordning som gäller direkt i alla medlemsländer. GDPR, även kallad dataskyddsförordningen, är dock inte helt strikt och uttömmande utan tillåter kompletterande lagstiftning från medlemsländerna på nationell nivå. I Sverige har vi utnyttjat detta utrymme för att förtydliga vissa saker anpassade efter vår lagstiftning i övrigt och hur det svenska rättssamhället är uppbyggt och format. Resultatet av det arbetet är dataskyddslagen.
Många tror att dataskyddslagen är den direkta svenska översättningen av GDPR. På sätt och vis är det så, på sätt och vis inte. GDPR började gälla i Sverige så fort den instiftades på EU-nivå. Det fanns då med andra ord varken utrymme eller poäng med att ta beslut om GDPR på nationell nivå. Däremot fanns det utrymme för att komplettera GDPR med förtydliganden, restriktioner eller annan åtstramning eller definition. Något tvång på att göra detta fanns inte från EU:s sida men de gav medlemsländerna en möjlighet till det. En möjlighet som Sverige tog.
Det här är dataskyddslagen
Dataskyddslagen stadgar inte samma sak som GDPR. Istället förtydligar dataskyddslagen vissa bestämmelser från GDPR för att anpassa dem efter våra svenska förhållanden. EU har nämligen inte befogenhet att lagstifta på alla nivåer inom medlemsländerna då subsidiaritetsprincipen råder. Dataskyddslagen anger därför att GDPR ska tillämpas i fler nivåer och på fler områden inom Sverige än vad EU kan besluta om. Detta är en viktig del av dataskyddslagen, men det är inte allt.
I och med att GDPR till viss del kan justeras av medlemsländerna själva så används dataskyddslagen till just detta ändamål. Ett exempel på detta är i dataskyddslagen 5 kap. 1§ i vilken det stadgas att artikel 13, 14 och 15 som handlar om rätt att få tillgång till personuppgifter. Paragrafen gör härmed att utrymmet som GDPR anger blir snävare i Sverige då lagen stipulerar att GDPR:s regler inte gäller under vissa förutsättningar – exempelvis får inte den personuppgiftsansvarige lämna ut personuppgifter i vissa sammanhang.
Dataskyddslagens tillämpningsområde
Dataskyddslagen är, som det heter, en subsidiär lag. Det innebär att dataskyddslagen inte ska tillämpas om det stipuleras något motsägande i en annan underliggande lag. Då gäller den andra lagen istället helt enkelt.
Exempelvis så finns det bestämmelser i brottsdatalagen som inte går i linje med dataskyddslagen. Hade lagstiftaren försökt få med alla olika sektorer, branscher och myndigheter med deras respektive specifika regler och lagar kring datahantering så hade dataskyddslagen blivit svår att överblicka och tillämpa. Därför är det viktigt att andra lagar får företräde inom respektive område.
Mot bakgrund av detta kan man därför säga att dataskyddslagen är den lagstiftning som fyller ut tomrummet mellan GDPR och all annan speciallagstiftning. Hade inte dataskyddslagen funnits skulle det finnas flera gråzoner för områden som inte faller in under speciallagar utan bara skulle ha GDPR att förhålla sig till. Regelverket skulle då bli alldeles för generellt och praxis skulle bli en betydligt viktigare del för att veta hur man skulle förhålla sig till, och tillämpa, lagen. Därför fyller dataskyddslagen en mycket viktig funktion i vårt svenska rättssamhälle.