Ungefär ett år efter att dataskyddsförordningen (GDPR) började tillämpas den 25 maj 2018 kommer en heltäckande och grundlig kommentar till den snåriga förordningen. Dataskyddsförordningen (GDPR) – en kommentar är skriven av Sören Öman, som tidigare kommenterat personuppgiftslagen. Norstedts Juridik har fått en intervju med Sören.
Varför tog det så lång tid att skriva kommentaren till dataskyddsförordningen?
Bara själva förordningen är omfattande, 88 sidor med 99 artiklar och 173 ingresspunkter (skäl). Sedan tillkommer vägledande riktlinjer från Europeiska dataskyddsstyrelsen och material från Datainspektionen. Det tar ett tag att sätta sig in i förordningen och att förstå sambanden mellan de olika artiklarna. Dessutom behövde jag göra bedömningar om vilket material och vilken praxis om personuppgiftslagen och det tidigare dataskyddsdirektivet som fortfarande kan vara relevant för tillämpningen av dataskyddsförordningen. Bedömningar av innebörden av förordningen som bör beaktas har också gjorts i samband med att svensk lagstiftning, bl.a. alla registerförfattningar, anpassades till förordningen och det är fråga om ett omfattande material om drygt 15 000 sidor förarbetstext.
Förordningen gäller inom hela EU/EES-området. Har du tagit med material från andra länder i kommentaren?
Nej, det har jag inte orkat. Jag tror inte att någon enskild författare mäktar med att beakta allt som skrivs om förordningen inom hela EU/EES. Jag har skrivit en kommentar till en EU-förordning från svenska utgångspunkter, med svenskt material förutom material från EU, t.ex. EU-domstolens domar och Europeiska dataskyddsstyrelsens riktlinjer. Kommentaren är skriven för en svensk tillämpare, med svenska exempel och redogörelser för Datainspektionens, regeringens, Justitieombudsmannens, Justitiekanslerns och svenska domstolars tolkningar av betydelse. Dessutom kommenteras den svenska dataskyddslagen och bestämmelsen om dataskyddssekretess i 21 kap. 7 § offentlighets- och sekretesslagen. Man får i avvaktan på klargörande praxis från EU-domstolen veta hur förordningen och de svenska paragraferna troligen kommer att tolkas i en svensk kontext, av svenska myndigheter och domstolar.
Men ger du inga egna förslag på tolkningar i kommentaren, det ska ju ändå vara en kommentar?
Jo, det gör jag förstås, men då har jag markerat att det är min uppfattning. Det är en helt ny EU-förordning där vi än så länge har nästan bara förordningstexten att hålla oss till. Då vill tillämparen förmodligen gärna veta hur den ibland kryptiska texten kan tolkas även om tolkningen är osäker. Det är bättre för tillämparen att få reda på en trolig tolkning än att bara få veta att ingen vet säkert än. Därför har jag redogjort för min uppfattning så långt det varit möjligt. Ibland gör jag t.ex. en annan tolkning än den som framgår av riktlinjer från Europeiska dataskyddsstyrelsen, som ju består av nästan enbart företrädare för integritetsskyddsintresset. Det är förstås möjligt att jag senare får ändra mig när EU-domstolen hunnit klargöra tolkningen. Men det får man ta.
Vad ska du göra nu när kommentaren är klar?
En kommentar blir aldrig klar! Det kommer hela tiden nytt material som behöver beaktas och sättas in i sitt sammanhang, och gjorda tolkningar kan behöva revideras. Man blir förhoppningsvis också klokare med tiden och erfarenheten. Det vet jag mot bakgrund av mitt arbete sedan 1998 med kommentaren till personuppgiftslagen. Den kommentaren svällde från 303 till 722 sidor mellan den första och fjärde upplagan. Redan den första upplagan av den tryckta kommentaren till dataskyddsförordningen är på drygt 800 sidor. Jag kommer att löpande uppdatera den elektroniska versionen av kommentaren till dataskyddsförordningen i Zeteo. Men nu ska jag först pusta ut lite, även om jag inte är helt sysslolös. Jag har ju mitt jobb som ordförande i Arbetsdomstolen och kommer även ut med andra skrifter, i vår/sommar två nya upplagor av böcker och en festskriftsartikel.
Här kan du läsa mer och beställa boken Dataskyddsförordningen (GDPR) m.m. – en kommentar.