Post 1218 av 5067 träffar
Dataskyddsförordningen, Dir. 2016:15
Departement: Justitiedepartementet
Beslut: 2016-02-25
Beslut vid regeringssammanträde den 25 februari 2016
Sammanfattning
Inom kort förväntas EU besluta om en förordning som utgör en ny
generell reglering för personuppgiftsbehandling inom EU. En
särskild utredare ska föreslå de anpassningar och kompletterande
författningsbestämmelser på generell nivå som denna förordning
ger anledning till. Syftet är att säkerställa att det finns en
ändamålsenlig och välbalanserad kompletterande nationell
reglering om personuppgiftsbehandling på plats när förordningen
börjar tillämpas.
Utredaren ska bl.a.
• undersöka vilka kompletterande nationella föreskrifter,
exempelvis processuella bestämmelser, som förordningen kräver,
• analysera vilka bestämmelser om administrativa
sanktionsavgifter och andra sanktioner som Sverige behöver eller
bör införa,
• överväga vilka kompletterande bestämmelser om t.ex. behandling
av känsliga personuppgifter och personnummer som bör införas i
den svenska generella regleringen,
• undersöka om det finns behov av generella bestämmelser för
personuppgiftsbehandling utanför EU-rättens tillämpningsområde,
och
• lämna sådana författningsförslag som är behövliga och
lämpliga.
I uppdraget ingår inte att överväga eller lämna förslag till
grundlagsändringar.
Uppdraget ska redovisas senast den 12 maj 2017.
Den nuvarande och den nya regleringen
Dataskyddsdirektivet – den nuvarande EU-regleringen
Den allmänna regleringen om behandling av personuppgifter inom
EU finns i dag i Europaparlamentets och rådets direktiv 95/46/EG
av den 24 oktober 1995 om skydd för enskilda personer med
avseende på behandling av personuppgifter och om behandling av
det fria flödet av sådana uppgifter (dataskyddsdirektivet).
Direktivet syftar till att garantera en hög och i alla
medlemsstater likvärdig skyddsnivå när det gäller enskilda
personers fri- och rättigheter med avseende på behandling av
personuppgifter, samt att främja ett fritt flöde av
personuppgifter mellan medlemsstaterna i EU.
Dataskyddsdirektivet gäller inte för behandling av
personuppgifter på områden som faller utanför gemenskapsrätten,
t.ex. allmän säkerhet, försvar, statens säkerhet och statens
verksamhet på straffrättens område.
Personuppgiftslagen – den nuvarande svenska regleringen
Dataskyddsdirektivet har genomförts i svensk rätt huvudsakligen
genom personuppgiftslagen (1998:204), förkortad PUL.
Bestämmelserna i personuppgiftslagen har till syfte att skydda
människor mot att deras personliga integritet kränks genom
behandling av personuppgifter. Personuppgiftslagen följer i
princip dataskyddsdirektivets struktur och innehåller liksom
direktivet bestämmelser om bl.a. personuppgiftsansvar,
grundläggande krav för behandling av personuppgifter,
information till den registrerade, skadestånd och straff.
Personuppgiftslagen är tillämplig även utanför EU-rättens område
och gäller både för myndigheter och enskilda som behandlar
personuppgifter. Personuppgiftslagen är samtidigt subsidiär
vilket innebär att lagens bestämmelser inte ska tillämpas om det
finns avvikande bestämmelser i en annan lag eller förordning.
Det finns en stor mängd sådana bestämmelser i s.k. särskilda
registerförfattningar som främst reglerar hur olika myndigheter
får behandla personuppgifter, t.ex. studiestödsdatalagen
(2009:287) och polisdatalagen (2010:361). Men det finns också
sådana bestämmelser i regleringar som primärt har andra syften
än att reglera personuppgiftsbehandling, exempelvis i vapenlagen
(1996:67) och kreditupplysningslagen (1973:1173).
Personuppgiftslagen kompletteras också av bestämmelser i
personuppgiftsförordningen (1998:1191), förkortad PUF, som bl.a.
pekar ut Datainspektionen som tillsynsmyndighet enligt lagen.
Datainspektionen bemyndigas i förordningen att meddela närmare
föreskrifter om bl.a. i vilka fall behandling av personuppgifter
är tillåten och vilka krav som ställs på den
personuppgiftsansvarige.
Regeringsformen och kravet på lagreglering för viss
personuppgiftsbehandling
Sedan den 1 januari 2011 anges i 2 kap. 6 § andra stycket
regeringsformen att var och en gentemot det allmänna är skyddad
mot betydande intrång i den personliga integriteten, om det sker
utan samtycke och innebär övervakning eller kartläggning av den
enskildes personliga förhållanden. Begränsningar av denna fri-
och rättighet får enligt 2 kap. 20 § första stycket
regeringsformen under vissa förutsättningar göras genom lag.
Regleringen i regeringsformen innebär att viss
personuppgiftsbehandling måste regleras i lag.
Dataskyddsförordningen – den nya regleringen
Inom kort förväntas Europaparlamentet och rådet fatta beslut om
förordningen om skydd för enskilda personer med avseende på
behandling av personuppgifter och om det fria flödet av sådana
uppgifter (allmän uppgiftsskyddsförordning), nedan
dataskyddsförordningen. Förordningen utgör en ny generell
reglering för personuppgiftsbehandling inom EU och kommer att
ersätta det nuvarande dataskyddsdirektivet. Förordningen ska
börja tillämpas två år räknat från den tjugonde dagen efter
publicering i Europeiska unionens officiella tidning. Det
huvudsakliga syftet med förordningen är att ytterligare
harmonisera och effektivisera skyddet för personuppgifter för
att förbättra den inre marknadens funktion och öka enskildas
kontroll över sina personuppgifter.
Dataskyddsförordningen baseras till stor del på
dataskyddsdirektivets struktur och innehåll men innebär även en
rad nyheter såsom en utökad informationsskyldighet,
administrativa sanktionsavgifter och inrättandet av Europeiska
dataskyddsstyrelsen. Dataskyddsförordningen är direkt tillämplig
i medlemsstaterna men både förutsätter och möjliggör
kompletterande nationella bestämmelser av olika slag. Det finns
t.ex. ett förhållandevis stort utrymme att behålla eller införa
särregleringar för sådan personuppgiftsbehandling som är
nödvändig för att den personuppgiftsansvarige ska kunna uppfylla
en rättslig skyldighet, utföra en arbetsuppgift av allmänt
intresse eller behandla uppgifter i samband med
myndighetsutövning.
Från dataskyddsförordningens tillämpningsområde undantas
behandling av personuppgifter som utgör ett led i en verksamhet
som a) inte omfattas av unionsrätten, b) utförs av
medlemsstaterna när de utför aktiviteter som omfattas av den
gemensamma utrikes- och säkerhetspolitiken, c) utförs av en
fysisk person som ett led i verksamhet av privat natur eller som
har samband med dennes hushåll eller d) utförs av behöriga
myndigheter för ändamålen att förebygga, utreda, upptäcka eller
lagföra brott eller verkställa straffrättsliga påföljder,
inkluderande skydd mot samt förebyggande av hot mot allmän
säkerhet. Förordningen gäller inte heller för behandling av
personuppgifter som utförs av EU:s institutioner, organ och
byråer. Sådan behandling regleras i stället i Europaparlamentets
och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om
skydd för enskilda då gemenskapsinstitutionerna och
gemenskapsorganen behandlar personuppgifter och om den fria
rörligheten för sådana uppgifter.
Samtidigt med dataskyddsförordningen förväntas Europaparlamentet
och rådet anta direktivet om skyddet av enskilda vid behöriga
myndigheters behandling av personuppgifter i syfte att
förebygga, utreda, avslöja eller lagföra brott eller verkställa
straffrättsliga påföljder, samt fri rörlighet för sådana
uppgifter, nedan ”det nya dataskyddsdirektivet”. Direktivet
innehåller särregler för sådan personuppgiftsbehandling som
behöriga myndigheter utför i syfte att förebygga, utreda,
avslöja eller lagföra brott eller verkställa straffrättsliga
påföljder, inkluderande skydd mot samt förebyggande av hot mot
allmän säkerhet. Direktivet ska ersätta det gällande
dataskyddsrambeslutet (2008/977/RIF) som reglerar utbyte av
personuppgifter mellan medlemsstaterna inom denna sektor.
Direktivets tillämpningsområde omfattar till skillnad från
rambeslutet emellertid även rent nationell
personuppgiftsbehandling på området för brottsbekämpning,
brottmålshantering och straffverkställighet. Direktivet ska ha
genomförts i svensk rätt senast två år efter att det har trätt i
kraft.
Vid vissa myndigheter, bl.a. de allmänna domstolarna,
Kriminalvåden och Kustbevakningen, kommer
personuppgiftsbehandlingen att omfattas av antingen
dataskyddsförordningen eller det nya dataskyddsdirektivet
beroende på vilket syfte uppgifterna behandlas för. Det gäller
även Polismyndigheten som vid sidan av den brottsbekämpande
verksamheten t.ex. sköter handräckning och handlägger olika
typer av tillståndsärenden. Myndigheter vars kärnverksamhet
huvudsakligen omfattas av det nya dataskyddsdirektivets
tillämpningsområde kommer också att tillämpa
dataskyddsförordningen när de exempelvis överför uppgifter för
ändamål utanför direktivets tillämpningsområde.
Vid sidan av den EU-rättsliga dataskyddsregleringen finns
Europarådets konvention om skydd för enskilda vid automatisk
databehandling av personuppgifter (CETS 108), den s.k.
dataskyddskonventionen. För svensk del har konventionen, som har
ett generellt tillämpningsområde, främst betydelse för
personuppgiftsbehandling utanför EU-regleringens
tillämpningsområde. En översyn av konventionen pågår inom
Europarådet.
Uppdraget
Allmänna riktlinjer för uppdraget
Dataskyddsförordningen kommer att utgöra grunden för generell
personuppgiftsbehandling inom EU. Detta innebär att
personuppgiftslagen och personuppgiftsförordningen, samt
Datainspektionens föreskrifter i anslutning till denna
reglering, måste upphävas. Det finns samtidigt ett behov av att
ta fram en nationell reglering som på ett generellt plan
kompletterar förordningen. En sådan kompletterande reglering
behöver bl.a. innehålla bestämmelser om sanktioner och om
tillsynsmyndigheten. Dataskyddsförordningen lämnar dessutom
utrymme för kompletterande nationella bestämmelser med
ytterligare krav eller undantag i en rad andra frågor.
Med anledning av detta finns det behov av en utredning. Det
övergripande uppdraget för utredaren bör vara att föreslå
författningsbestämmelser som på ett generellt plan kompletterar
dataskyddsförordningen. Vid utförandet av uppdraget är det
viktigt att – i den mån utrymme finns på nationell nivå – hitta
lämpliga avvägningar mellan skyddet för den personliga
integriteten samt myndigheters, företags och enskildas behov av
att kunna behandla personuppgifter. Förslagen ska utformas så
att företagens administrativa börda inte ökar mer än nödvändigt.
En lag som kompletteras av bestämmelser i en förordning samt en
viss föreskriftsrätt för tillsynsmyndigheten kan vara en lämplig
utgångspunkt för den aktuella kompletterande regleringen.
Utredaren ska därför
• lämna förslag till upphävande av den nuvarande generella
personuppgiftsregleringen, och
• lämna förslag till författningsbestämmelser som på ett
generellt plan kompletterar dataskyddsförordningen.
I utredarens uppdrag ingår inte att överväga eller lämna förslag
till grundlagsändringar. Uppdraget omfattar inte heller att se
över eller lämna förslag till förändringar av sådan
sektorsspecifik reglering om behandling av personuppgifter som
bl.a. finns i de särskilda registerförfattningarna.
Behovet av särskilt författningsstöd för behandling av
personuppgifter i den offentliga sektorn
De statliga och kommunala myndigheternas
personuppgiftsbehandling kommer huvudsakligen att ske med stöd
av de rättsliga grunder som kommer till uttryck i artikel 6.1 c
och e i dataskyddsförordningen. Myndigheternas behandling av
personuppgifter är alltså i normalfallet antingen nödvändig för
att fullgöra en rättslig skyldighet eller utföra en
arbetsuppgift av allmänt intresse eller i samband med
myndighetsutövning. Detsamma gäller sådan behandling av
personuppgifter som sker hos andra än myndigheter vid utförandet
av förvaltningsuppgifter, exempelvis bilprovningsföretag eller
fristående skolor. Det kan emellertid också gälla för andra
verksamheter där arbetsuppgifterna mot bakgrund av verksamhetens
syfte bedöms ha ett allmänt intresse.
I dag sker behandling av detta slag till viss del med stöd av
reglering i särskilda registerförfattningar men i stor
utsträckning enbart med stöd av den generella regleringen i
personuppgiftslagen (10 § b), c) och d) PUL). Enligt artikel 6.3
i förordningen måste dock grunden för behandling av
personuppgifter som bygger på någon av de rättsliga grunderna i
artikel 6.1 c och e fastställas i unionsrätten eller den
nationella rätten. Detta innebär att det inte kommer vara
möjligt att endast stödja sig på den generella regleringen i
förordningen vid sådan behandling. Det behöver därför analyseras
vad dataskyddsförordningens krav i denna del innebär i fråga om
nationell författningsreglering och om det bör införas generella
bestämmelser till stöd för åtminstone den offentliga sektorns
behandling av personuppgifter. Informationshanteringsutredningen
föreslår en sådan reglering i 8 § i förslaget till
myndighetsdatalag (SOU 2015:39). Enligt förslaget får en
myndighet behandla personuppgifter om det är nödvändigt för att
den ska kunna utföra sin verksamhet.
Informationshanteringsutredningens förslag med beaktande av de
synpunkter som framförts vid remissbehandlingen är en lämplig
utgångspunkt för utredarens analys.
Utredaren ska därför
• analysera om det behövs kompletterande bestämmelser som ger
ett generellt stöd för myndigheters och andra organs behandling
av personuppgifter, och
• lämna sådana författningsförslag som är behövliga och lämpliga.
Sanktioner
Dataskyddsförordningen innehåller bestämmelser om att
tillsynsmyndigheterna ska besluta om administrativa
sanktionsavgifter vid överträdelser av förordningens
bestämmelser. I artikel 79 finns en detaljerad reglering av
vilka faktorer som ska beaktas vid beslut om att utfärda
sanktionsavgifter och bestämmande av avgiftens storlek. Kraven
på ett effektivt rättsmedel i artikel 79.4 bör för svensk del
tillgodoses genom att tillsynsmyndighetens beslut om
sanktionsavgifter får överklagas till allmän förvaltningsdomstol.
Enligt artikel 79.3b får varje medlemsstat reglera om och i
vilken utsträckning det ska vara möjligt att besluta om
sanktionsavgifter mot myndigheter och offentliga organ i den
medlemsstaten. Utredaren bör därför analysera om, och i så fall
i vilken utsträckning, det bör vara möjligt att besluta om
sanktionsavgifter inom den offentliga sektorn. Här bör en
jämförelse göras med vad som gäller för t.ex. viten i allmänhet,
miljösanktionsavgifter och sanktionsavgifter på
arbetsmiljöområdet.
Enligt artikel 79b ska medlemsstaterna fastställa regler om
sanktioner för överträdelser av förordningen, särskilt för
sådana överträdelser som inte är föremål för administrativa
sanktionsavgifter. Medlemsstaterna ska också vidta alla åtgärder
som är nödvändiga för att säkerställa att dessa bestämmelser
tillämpas och underrätta kommissionen om de bestämmelser som
antas. Det finns därför behov av att analysera och ta ställning
till i vilken utsträckning överträdelser av förordningen bör bli
föremål för sådana ytterligare sanktioner i Sverige. Det bör
också analyseras om, och i så fall i vilken utsträckning, dessa
sanktioner bör vara tillämpliga inom den offentliga sektorn.
I detta sammanhang kan det också behöva analyseras hur en
reglering med både administrativa sanktionsavgifter och andra
sanktioner förhåller sig till det s.k. dubbelprövningsförbudet i
artikel 4.1 i Europakonventionens sjunde tilläggsprotokoll och
artikel 50 i EU:s stadga om de grundläggande rättigheterna.
Utredaren ska därför
• analysera vilka kompletterande bestämmelser om administrativa
sanktionsavgifter och andra sanktioner som Sverige behöver eller
bör införa,
• bedöma om, och i så fall i vilken utsträckning, det bör vara
möjligt att besluta om administrativa sanktionsavgifter och
andra sanktioner mot myndigheter och offentliga organ,
• analysera om ett system som kan leda till både administrativa
sanktionsavgifter och andra sanktioner kan ge upphov till
problematik som rör dubbelprövning samt ta ställning till hur
detta i så fall bör hanteras, och
• lämna sådana författningsförslag som är behövliga och lämpliga.
Tillsynsmyndigheten
Dataskyddsförordningen föreskriver i likhet med det nuvarande
dataskyddsdirektivet att medlemsstaterna ska utse en eller flera
självständiga tillsynsmyndigheter som ska ansvara för att
övervaka tillämpningen av regleringen. Förordningen innehåller
emellertid en betydligt mer detaljerad reglering av
tillsynsmyndighetens roll, organisation och uppgifter än vad det
nuvarande regelverket gör.
Flertalet av dataskyddsförordningens bestämmelser om
tillsynsmyndigheten gäller direkt och medför inga krav på eller
behov av kompletterande nationella bestämmelser. Vissa frågor är
i och för sig reglerade genom förordningen men tillåter
ytterligare nationell reglering. Detta gäller exempelvis
regleringen om tillsynsmyndighetens befogenheter i artikel 53.
Det är vidare upp till medlemsstaterna att inom vissa angivna
ramar reglera bl.a. tillsynsmyndighetens organisation och
utnämningen respektive avsättandet av dess medlemmar, samt se
till att myndigheten har tillräckliga resurser.
Dataskyddsförordningen innehåller en utförlig reglering som
förpliktar de nationella tillsynsmyndigheterna att samarbeta med
och assistera andra medlemsstaters tillsynsmyndigheter
(artiklarna 54a och 55). Detta innebär bl.a. skyldigheter att
samråda och utbyta information. Tillsynsmyndigheterna ges också
möjligheter att genomföra gemensamma insatser och utredningar
där personal från olika medlemsstaters tillsynsmyndigheter
deltar (artikel 56). Enligt artikel 56.3 får en
tillsynsmyndighet, i överensstämmelse med nationell lag, också
överföra befogenheter till tillsynsmyndigheter i andra
medlemsstater som är involverade i en gemensam insats.
Regeringen beslutade i december 2014 att ge en särskild utredare
i uppdrag att utreda om skyddet för den personliga integriteten
kan stärkas genom att samla tillsynen över
personuppgiftsbehandling hos en myndighet. Utredningen, som
antagit namnet Utredningen om tillsynen över den personliga
integriteten, ska redovisa sitt uppdrag senast den 30 september
2016. I utredningens uppdrag ingår bl.a. att lämna de förslag
som behövs för att myndigheten ska kunna fullgöra de uppgifter
som den nu aktuella EU-reformen medför.
Vilken eller vilka myndigheter som ska ha till uppgift att
ansvara för tillsynen på dataskyddsförordningens
tillämpningsområde (artikel 46.1), anpassningsfrågor som rör
myndighetens organisation och utnämningen respektive avsättandet
av medlemmar (artiklarna 47–49 i relevanta delar), nationell
representation i Europiska dataskyddsstyrelsen (artikel 46.2)
samt resurser (artikel 47.5) och anknytande frågor får anses
ligga inom ramen för uppdraget till Utredningen om tillsynen
över den personliga integriteten. I den utredningens uppdrag får
det också bl.a. anses ingå att överväga om tillsynsmyndigheten
bör ges andra befogenheter än de som anges i
dataskyddsförordningen (artikel 53.4) samt att analysera vilket
utrymme och behov det finns av regler om exempelvis myndighetens
uppgifter (artikel 52) i instruktionen till myndigheten. Dessa
frågor ingår därför inte i utredarens uppdrag.
I utredarens uppdrag ingår däremot att närmare analysera
möjligheten att överföra utredningsbefogenheter till
tillsynsmyndigheter i andra medlemsstater.
Utredaren ska därför
• bedöma om det bör införas bestämmelser som möjliggör en
överföring av den svenska tillsynsmyndighetens befogenheter till
en annan medlemsstats tillsynsmyndighet, och
• lämna lämpliga författningsförslag.
Vissa processuella frågor
Av artikel 53.2 i förordningen framgår att utövandet av
tillsynsmyndighetens befogenheter ska vara föremål för lämpliga
skyddsåtgärder, bl.a. effektiva rättsmedel. Enligt artikel 53.1
db ska tillsynsmyndigheten ha befogenhet att få tillgång till en
personuppgiftsansvarigs eller ett personuppgiftsbiträdes lokaler
och utrustning i överensstämmelse med unionsrätten eller
nationell processrätt. Vidare anges i artikel 53.3 att varje
medlemsstat ska föreskriva att tillsynsmyndigheten ska ha
möjlighet att fästa judiciella myndigheters uppmärksamhet på
överträdelser av förordningen och, när det är lämpligt, inleda
eller på annat sätt delta i rättsliga processer för att se till
att förordningen efterlevs.
Den registrerade ska, enligt dataskyddsförordningen, ha en rätt
att framföra klagomål hos tillsynsmyndigheten (artikel 73.1).
Vidare ska fysiska och juridiska personer ha en rätt till ett
effektivt rättsmedel mot tillsynsmyndighetens rättsligt bindande
beslut som rör dem (artikel 74.1). Detta torde för svensk del
bäst tillgodoses genom en rätt för enskilda att överklaga
tillsynsmyndighetens beslut till allmän förvaltningsdomstol.
Enligt artikel 74.2 ska registrerade som framfört ett klagomål
till tillsynsmyndigheten ha en rätt till ett effektivt
rättsmedel om myndigheten inte hanterar klagomålet eller
informerar den registrerade om utgången inom tre månader. Detta
torde innebära att den registrerade under vissa förhållanden ska
ha möjlighet att föra en dröjsmålstalan mot tillsynsmyndigheten.
En registrerad ska vidare ha en rätt till ett effektivt
rättsmedel direkt mot en personuppgiftsansvarig eller ett
personuppgiftsbiträde om den registrerade anser sig ha fått sina
rättigheter enligt förordningen åsidosatta (artikel 75). I
enlighet med artikel 76.1 i dataskyddsförordningen ska den
registrerade också ha rätt att ge mandat till en
integritetsskyddsorganisation att företräda honom eller henne
gentemot tillsynsmyndigheten och processa i domstol. Det bör för
svenskt vidkommande inte vara aktuellt att utnyttja möjligheten
enligt förordningen att ge en sådan organisation rätt att föra
talan även utan den registrerades mandat (artikel 76.2).
Om en behörig nationell domstol har information om att en
process som rör samma sak redan pågår i en domstol i en annan
medlemsstat får domstolen under vissa förutsättningar
vilandeförklara målet (artikel 76a.1 och 76a.2). En domstol i
första instans kan också efter ansökan av någon av parterna
förklara sig sakna behörighet om den andra medlemsstatens
domstol har behörighet och lagen i den medlemsstaten tillåter en
förening av målen (artikel 76a.2a).
I dataskyddsförordningen finns vidare bestämmelser om skadestånd
(artikel 77). En enskild som har drabbats av materiell eller
immateriell skada genom att hans eller hennes personuppgifter
har behandlats på ett sätt som inte är förenligt med
förordningen har under vissa närmare angivna förutsättningar
rätt till ersättning av den personuppgiftsansvarige eller dennes
personuppgiftsbiträde. Förordningen reglerar i vilken
medlemsstat en talan om skadestånd ska väckas medan nationell
rätt styr vilken domstol i den medlemsstaten som är behörig
(artikel 75.2 och artikel 77.6).
Behovet av kompletterande nationella bestämmelser i de
ovanstående frågorna behöver bli föremål för närmare analys.
Utredaren ska därför
• analysera i vilken utsträckning det behövs kompletterande
bestämmelser om utövandet av tillsynsmyndighetens befogenheter,
• analysera i vilken utsträckning det behövs kompletterande
bestämmelser om de rättsmedel för enskilda som regleras i
dataskyddsförordningen,
• analysera om det behövs kompletterande bestämmelser om sådana
integritetsskyddsorganisationer som regleras i förordningen,
• analysera om det behövs kompletterande bestämmelser om
vilandeförklaring eller skadestånd, och
• lämna sådana författningsförslag som är behövliga och lämpliga.
Sekretessfrågor
Enligt 32 kap. 1 § offentlighets- och sekretesslagen (2009:400),
förkortad OSL, gäller sekretess hos Datainspektionen, bl.a. i
ärenden om tillstånd eller tillsyn som enligt lag eller annan
författning ska handläggas av inspektionen. Sekretessen gäller
för uppgifter om en enskilds personliga eller ekonomiska
förhållanden, om det kan antas att den enskilde eller någon
närstående till denne lider skada eller men om uppgiften röjs. I
11 kap. 1 § första stycket OSL finns dessutom vissa bestämmelser
om överföring av sekretess i tillsynsverksamhet.
I förarbetena till personuppgiftslagen framhålls att
motsvarigheten till 32 kap. 1 § OSL i den nu upphävda
sekretesslagen (1980:100) vid behov skulle tolkas EG-konformt i
förhållande till kravet på tystnadsplikt för
tillsynsmyndighetens medlemmar och personal i
dataskyddsdirektivets artikel 28.7 (propositionen
Personuppgiftslag, prop. 1997/98:44 s. 146). I artikel 49.2 i
dataskyddsförordningen finns ett motsvarande krav på
tystnadsplikt och det behöver analyseras om denna artikel
innebär behov av att anpassa de nuvarande
sekretessbestämmelserna på något sätt.
Enligt artikel 36.4 ska ett uppgiftsskyddsombud vara bundet av
sekretess eller tystnadsplikt rörande utförandet av hans eller
hennes uppgifter i enlighet med unionsrätten eller nationell
rätt. Någon motsvarande reglering finns inte i det nuvarande
dataskyddsdirektivet. Det behöver utredas vilken reglering som
behöver införas i svensk rätt med anledning av denna artikel.
Enligt 21 kap. 7 § OSL gäller sekretess för personuppgift om det
kan antas att ett utlämnande skulle medföra att uppgiften
behandlas i strid med personuppgiftslagen. Eftersom
personuppgiftslagen ska upphävas behöver bestämmelsen ses över.
Även 10 kap. 27 § och 40 kap. 5 § OSL innehåller hänvisningar
till personuppgiftslagen och behöver anpassas till den nya
regleringen.
Utredaren ska därför
• analysera om nuvarande sekretessbestämmelser behöver anpassas
med anledning av förordningens reglering om tystnadsplikt hos
tillsynsmyndigheten,
• analysera vilken reglering som behöver införas i svensk rätt
med anledning av förordningens bestämmelser om sekretess och
tystnadsplikt för personuppgiftsombud,
• överväga hur de bestämmelser i offentlighets- och
sekretesslagen som innehåller hänvisningar till
personuppgiftslagen bör anpassas till den nya regleringen, och
• lämna sådana författningsförslag som är behövliga och lämpliga.
Nationella begränsningar av vissa skyldigheter och rättigheter
Genom artikel 21.1 i dataskyddsförordningen ges medlemsstaterna
möjlighet att begränsa omfattningen av vissa av de skyldigheter
och rättigheter som förordningen föreskriver. Detta gäller bl.a.
informationsskyldigheten (artiklarna 14–15) och rätten för den
registrerade att motsätta sig behandling (artikel 19). Sådana
begränsningar får göras endast om de är förenliga med det
väsentliga innehållet i de grundläggande fri- och rättigheterna
samt är en nödvändig och proportionerlig åtgärd i ett
demokratiskt samhälle till skydd för vissa angivna intressen,
såsom nationell säkerhet, försvaret, allmän säkerhet eller
förebyggande, undersökning eller avslöjande av brott. I artikel
21.2 finns vidare krav på vad nationella bestämmelser med denna
typ av begränsningar ska innehålla.
I det nuvarande dataskyddsdirektivet finns motsvarande reglering
om undantag i artikel 13. Undantag med stöd av den bestämmelsen
tas ofta in i sektorsspecifik lagstiftning. I 8 a § PUL finns
emellertid ett generellt bemyndigande för regeringen att meddela
föreskrifter om undantag av detta slag. I förarbetena till
paragrafen uttalas att det kan uppkomma situationer som inte har
varit möjliga att förutse vid utarbetandet av särlagstiftning
och att det därför är befogat att regeringen har möjlighet att
föreskriva om undantag, t.ex. i avvaktan på att särlagstiftning
hinner utarbetas eller ändras (propositionen Översyn av
personuppgiftslagen, prop. 2005/06:173 s. 56). I 27 § PUL finns
vidare ett särskilt undantag till informationsskyldigheten vid
sekretess och tystnadsplikt. I utredningens uppdrag bör ingå att
överväga om det finns behov av bestämmelser av detta slag i den
generella regleringen som ska komplettera förordningen.
Utredaren ska därför
• överväga om det bör införas bestämmelser om undantag till
vissa av förordningens skyldigheter och rättigheter i den
kompletterande regleringen, och
• lämna lämpliga författningsförslag.
Kompletterande regler om behandling av känsliga personuppgifter
och uppgifter om lagöverträdelser
Dataskyddsförordningen innehåller i likhet med
dataskyddsdirektivet och personuppgiftslagen ett principiellt
förbud mot att behandla känsliga personuppgifter (artikel 9.1).
Med känsliga personuppgifter avses uppgifter som avslöjar ras
eller etniskt ursprung, politiska åsikter, religiös eller
filosofisk övertygelse, medlemskap i fackförening, genetiska
uppgifter, biometriska uppgifter som specifikt behandlas för att
unikt identifiera individer eller uppgifter som rör hälsa eller
sexualliv. Förbudet är förenat med ett antal viktiga undantag
(artikel 9.2–9.5). För att vissa av undantagen ska vara
tillämpliga krävs att grunden för sådana behandlingar på olika
sätt kommer till uttryck i unionsrätten eller i nationell
lagstiftning.
Möjligheten att göra undantag från förbudet kommer i svensk rätt
i stor utsträckning att utnyttjas genom sektorsspecifik
lagstiftning. I dag finns dock vissa undantagsbestämmelser i
15–19 §§ PUL. Som exempel kan nämnas att känsliga
personuppgifter, enligt 19 § andra stycket PUL, får behandlas
för forskningsändamål om behandlingen godkänts enligt lagen
(2003:460) om etikprövning av forskning som avser människor.
Det finns i dag också en möjlighet för regeringen eller den
myndighet som regeringen bestämmer att enligt 20 § PUL meddela
föreskrifter om ytterligare undantag om det behövs med hänsyn
till ett viktigt allmänt intresse. Med stöd av detta
bemyndigande har regeringen föreskrivit att myndigheter får
behandla känsliga personuppgifter i löpande text om uppgifterna
har lämnats in i ett ärende eller är nödvändiga för
handläggningen av det (8 § PUF).
Utgångspunkten bör vara att det även i fortsättningen kommer att
behövas vissa bestämmelser om undantag från förbudet att
behandla känsliga personuppgifter av det slag som i dag finns i
personuppgiftslagen och personuppgiftsförordningen. Det bör
därför ingå i uppdraget att analysera hur sådana bestämmelser
kan utformas i den kompletterande regleringen.
Behandling av personuppgifter om lagöverträdelser och liknande
uppgifter som i dag regleras i 21 § PUL kommer genom artikel 9a
i dataskyddsförordningen även fortsättningsvis att vara föremål
för särskilda begränsningar. Som huvudregel får sådana uppgifter
endast behandlas under kontroll av en officiell myndighet eller
om det är tillåtet i unionsrätten eller i nationell rätt, som i
så fall ska innehålla adekvata regler till skydd för den
registrerades fri- och rättigheter.
I likhet med vad som gäller för känsliga personuppgifter får
personuppgifter om lagöverträdelser och liknande uppgifter,
enligt 21 § andra stycket PUL, behandlas för forskningsändamål
om behandlingen har godkänts enligt lagen om etikprövning av
forskning som avser människor. Även här har regeringen eller den
myndighet regeringen bestämmer möjlighet att meddela
föreskrifter om ytterligare undantag. Till detta kommer en
möjlighet för regeringen att besluta om undantag i enskilda
fall, som också kan överlåtas åt tillsynsmyndigheten.
I uppdraget bör ingå att analysera i vilken utsträckning det bör
införas regler i den kompletterande regleringen som tillåter
behandling av uppgifter om lagöverträdelser som inte sker under
kontroll av en officiell myndighet. En lämplig utgångspunkt för
en sådan analys är den befintliga regleringen om behandling för
forskningsändamål och den delegerade föreskriftsrätten i
personuppgiftslagen.
Utredaren ska därför
• överväga vilka kompletterande bestämmelser om undantag från
förbudet att behandla känsliga personuppgifter som bör finnas i
den generella regleringen,
• analysera i vilken utsträckning det bör införas regler i den
kompletterande regleringen som tillåter behandling av uppgifter
om lagöverträdelser som inte sker under kontroll av en officiell
myndighet, och
• lämna lämpliga författningsförslag.
Kompletterande regler om behandling av personnummer eller
samordningsnummer
I 22 § PUL finns särskilda bestämmelser om när personnummer
eller samordningsnummer får behandlas. Bestämmelsen är ett
genomförande av artikel 8.7 i dataskyddsdirektivet där det
föreskrivs att medlemsstaterna ska bestämma på vilka villkor ett
nationellt identifikationsnummer eller något annat vedertaget
sätt för identifiering får behandlas.
Även dataskyddsförordningen ger medlemsstaterna möjlighet att
bestämma särskilda villkor för när ett nationellt
identifieringsnummer eller liknande identifieringsuppgift får
behandlas (artikel 80b). Enligt förordningen ska sådana villkor
innebära att identifieringsuppgifterna bara får användas om det
vidtas lämpliga åtgärder till skydd för den registrerades fri-
och rättigheter i enlighet med förordningen. I uppdraget bör det
ingå att överväga om det även fortsättningsvis bör finnas
begränsande villkor för behandling av personnummer eller
samordningsnummer.
Utredaren ska därför
• överväga om särskilda villkor bör gälla för behandling av
personnummer eller samordningsnummer, och
• lämna lämpliga författningsförslag.
Krav på förhandstillstånd för vissa särskilt integritetskänsliga
behandlingar?
Enligt dataskyddsförordningen krävs att den
personuppgiftsansvarige gör en dataskyddskonsekvensanalys före
vissa typer av högriskbehandlingar av personuppgifter (artikel
33). Om en sådan konsekvensanalys indikerar att den tänkta
behandlingen skulle innebära en hög risk, ska den
personuppgiftsansvarige under vissa förutsättningar och på ett
visst sätt samråda med tillsynsmyndigheten (artikel 34.2–34.6).
Enligt artikel 34.7a har medlemsstaterna dessutom möjlighet att
införa krav på förhandstillstånd för sådana behandlingar som
utförs i det allmännas intresse, inklusive behandling av
uppgifter som rör socialt skydd och folkhälsa.
Enligt 41 § PUL har regeringen i dag möjlighet att meddela
föreskrifter om att behandlingar som innebär särskilda risker
för otillbörligt intrång i den personliga integriteten ska
anmälas för förhandskontroll till tillsynsmyndigheten. Det har
tidigare funnits vissa sådana bestämmelser i
personuppgiftsförordningen men dessa har upphävts. Viss
behandling som regleras i särskild ordning, t.ex. Skatteverkets
behandling av personuppgifter i samband med brottsutredningar,
omfattas däremot av bestämmelser om förhandskontroll. I
sammanhanget kan också huvudregeln i kameraövervakningslagen
(2013:460) nämnas som innebär att det krävs tillstånd från
länsstyrelsen för att en övervakningskamera ska få vara uppsatt
så att den kan riktas mot en plats dit allmänheten har tillträde.
Det bör mot denna bakgrund övervägas om regeringen också
fortsättningsvis ska ha en generell möjlighet att meddela
föreskrifter i frågan om krav på förhandstillstånd eller om
sådana föreskrifter endast bör tas in i sådan sektorsspecifik
lagstiftning som ligger utanför utredningens uppdrag.
Utredaren ska därför
• överväga om regeringen även fortsättningsvis ska ges en
generell rätt att meddela föreskrifter om krav på
förhandstillstånd i vissa fall, och
• lämna lämpliga författningsförslag.
Barns samtycke i vissa fall
Enligt artikel 6.1 a i dataskyddsförordningen kan den
registrerades samtycke utgöra en rättslig grund för behandling
av personuppgifter. För att ett samtycke ska vara giltigt när
informationssamhällets tjänster erbjuds direkt till ett barn
under 16 år krävs, enligt artikel 8.1 i förordningen,
vårdnadshavarens samtycke eller dennes godkännande av barnets
samtycke. Den personuppgiftsansvarige ska i dessa fall göra
rimliga ansträngningar för att kontrollera att samtycke ges
eller godkänns av vårdnadshavaren. Medlemsstaterna har
möjlighet att sänka den aktuella åldersgränsen från 16 år till
lägst 13 år, vilket motsvarar den åldersgräns som vissa
tjänsteleverantörer använder sig av. De aktuella bestämmelserna
i förordningen ska inte påverka den allmänna kontraktsrätten i
medlemsstaterna, såsom regler om giltighet, ingående eller
verkan av ett avtal med ett barn (artikel 8.2).
I personuppgiftslagen saknas motsvarande särbestämmelser för
barns samtycke. En bedömning av om den underåriges samtycke ska
anses giltigt får som huvudregel därmed göras från fall till
fall. För ett giltigt samtycke krävs att den registrerade är
kapabel att förstå innebörden av samtycket. Enligt
Datainspektionen kan en tumregel vara att den som är 15 år
normalt anses kapabel att ta ställning i samtyckesfrågan. Det
kan dock finnas andra rättsliga hinder mot vissa typer av
personuppgiftsbehandlingar, exempelvis när det gäller att skicka
direktreklam till barn.
Utredaren ska mot denna bakgrund
• analysera för- och nackdelar med att sätta en lägre
åldersgräns än förordningens 16 år när det gäller krav på
vårdnadshavares samtycke eller dennes godkännande av barnets
samtycke, och
• lämna lämpliga författningsförslag.
Hur ska certifieringsorgan godkännas?
Dataskyddsförordningen innehåller liksom nuvarande reglering
bestämmelser om att bl.a. medlemsstaterna och
tillsynsmyndigheterna ska uppmuntra till att sammanslutningar av
personuppgiftsansvariga tar fram uppförandekoder för
personuppgiftsbehandlingen i en viss bransch eller liknande
(artikel 38). Syftet är att bidra till en korrekt tillämpning av
förordningen. Utkast till uppförandekoder ska kunna ges in till
tillsynsmyndigheten för att därefter godkännas och publiceras
enligt en viss procedur. Tillsynsmyndigheterna har också
möjlighet att godkänna särskilda organ som, vid sidan av
tillsynsmyndigheten, ska övervaka att de godkända
uppförandekoderna följs (artikel 38a).
Enligt artikel 39 i dataskyddsförordningen ska medlemsstaterna,
Europiska dataskyddsstyrelsen och kommissionen, framförallt på
unionsnivå, även uppmuntra till att det införs
certifieringsmekanismer och märkningar i syfte att
personuppgiftsansvariga och personuppgiftsbiträden ska kunna
visa att de uppfyller kraven i förordningen. Sådan certifiering
kan antingen utföras av särskilda certifieringsorgan eller av
tillsynsmyndigheten. Dataskyddsförordningen kräver att
medlemsstaterna inför bestämmelser för hur sådana särskilda
certifieringsorgan ska godkännas (artikel 39a). Ett sådant organ
kan antingen godkännas av tillsynsmyndigheten eller genom
ackreditering enligt Europaparlamentets och rådets förordning
(EG) nr 765/2008 av den 9 juli 2008 om krav för ackreditering
och marknadskontroll i samband med saluföring av produkter.
Utredaren ska därför
• bedöma hur certifieringsorgan ska godkännas, och
• lämna sådana författningsförslag som är behövliga och lämpliga.
Förhållandet till yttrande- och informationsfriheten och
offentlighetsprincipen
Enligt beaktandesats 72 i det nuvarande dataskyddsdirektivet är
det möjligt att vid genomförandet av direktivet ta hänsyn till
principen om allmänhetens rätt till tillgång till allmänna
handlingar. Vidare ska medlemsstaterna, enligt artikel 9 i
direktivet, med avseende på behandling av personuppgifter som
sker uteslutande för journalistiska ändamål eller konstnärligt
eller litterärt skapande, besluta om undantag och avvikelser
från delar av direktivet om det är nödvändigt för att förena
rätten till privatlivet med reglerna om yttrandefriheten.
Vid genomförandet av dataskyddsdirektivet gjorde regeringen
bedömningen att tryckfrihetsförordningen och
yttrandefrihetsgrundlagen inte behövde ändras (prop. 1997/98:44
s. 50). I 7 § första stycket PUL finns en upplysningsbestämmelse
om att bestämmelserna i lagen inte ska tillämpas i den
utsträckning det skulle strida mot bestämmelserna i
tryckfrihetsförordningen och yttrandefrihetsgrundlagen. I 8 §
första stycket PUL upplyses vidare att bestämmelserna i lagen
inte tillämpas i den utsträckning det skulle inskränka en
myndighets skyldighet enligt 2 kap. tryckfrihetsförordningen att
lämna ut personuppgifter. När det gäller förhållandet till
yttrande- och informationsfriheten utanför
tryckfrihetsförordningens och yttrandefrihetsgrundlagens
tillämpningsområde görs i 7 § andra stycket PUL undantag från
flertalet av lagens bestämmelser vid personuppgiftsbehandling
som sker uteslutande för journalistiska ändamål eller
konstnärligt eller litterärt skapande. Undantaget för
journalistiska ändamål är inte begränsat till journalister eller
traditionella massmedier. Även en privatperson kan anses
behandla personuppgifter för sådana ändamål, t.ex. på en blogg.
I dataskyddsförordningen finns bestämmelser som ger ett tydligt
utrymme för nationell reglering om förhållandet mellan, å ena
sidan, skyddet för personuppgifter och, å andra sidan, yttrande-
och informationsfriheten och offentlighetsprincipen.
Enligt artikel 80.1 i dataskyddsförordningen ska
medlemsstaternas nationella lagstiftning förena rätten till
skydd av personuppgifter i enlighet med förordningen med rätten
till yttrande- och informationsfrihet. Detta ska omfatta
personuppgiftsbehandling för journalistiska och akademiska
ändamål samt för konstnärligt eller litterärt skapande. När det
gäller behandling för sådana ändamål ska medlemsstaterna enligt
artikel 80.2 föreskriva om undantag eller avvikelser från stora
delar av förordningens bestämmelser om det behövs för att förena
rätten till skydd för personuppgifter med yttrande- och
informationsfriheten. Medlemsstaterna ska enligt artikel 80.3
underrätta kommissionen om de undantagsbestämmelser som de har
antagit med stöd av denna reglering.
Enligt artikel 80a i dataskyddsförordningen får personuppgifter
i allmänna handlingar hos en myndighet eller vissa typer av
organ lämnas ut i enlighet med unionsrätten eller nationell rätt
i syfte att förena allmänhetens tillgång till allmänna
handlingar med rätten till skydd av personuppgifter i enlighet
med förordningen.
Enligt regeringens bedömning innebär denna reglering att det
blir tydligare än i det nuvarande dataskyddsdirektivet att den
EU-rättsliga dataskyddsregleringen inte inkräktar på området för
tryckfrihetsförordningen och yttrandefrihetsgrundlagen. Som
konstateras under avsnittet om de allmänna riktlinjerna för
uppdraget ingår det därför inte i utredarens uppdrag att
överväga eller lämna förslag till grundlagsändringar.
Utanför tryckfrihetsförordningens och yttrandefrihetsgrundlagens
tillämpningsområde torde det även fortsättningsvis finnas behov
av bestämmelser som – liksom 7 § andra stycket PUL – balanserar
personuppgiftsskyddet mot yttrande- och informationsfriheten.
Det bör därför ingå i uppdraget att analysera hur sådana regler
bör utformas.
Utredaren ska därför
• analysera hur bestämmelser som balanserar
personuppgiftsskyddet mot yttrande- och informationsfriheten
utanför tryckfrihetsförordningens och yttrandefrihetsgrundlagens
tillämpningsområde bör utformas, och
• lämna sådana författningsförslag som är behövliga och lämpliga.
Myndigheters bevarande av allmänna handlingar och behandling av
personuppgifter för arkivering i allmänhetens intresse samt för
vetenskapliga eller historiska forskningsändamål eller för
statistiska ändamål
I personuppgiftslagen finns vissa centrala bestämmelser som rör
lagens förhållande till myndigheters arkivering av allmänna
handlingar och sådan personuppgiftsbehandling som sker för
historiska, statistiska eller vetenskapliga ändamål.
Av 8 § andra stycket PUL framgår att lagens bestämmelser inte
hindrar att en myndighet arkiverar och bevarar allmänna
handlingar eller att arkivmaterial tas om hand av en
arkivmyndighet. I förarbetena till personuppgiftslagen bedömdes
att myndigheternas bevarande av allmänna handlingar är tillåtet
enligt de grundläggande bestämmelserna i dataskyddsdirektivet,
så länge de inte innehåller känsliga personuppgifter. Det
bedömdes däremot att ett särskilt undantag krävdes för att
myndigheterna också skulle kunna bevara känsliga
personuppgifter. Det aktuella undantaget i 8 § andra stycket PUL
omfattar också den insamling och det långtidsbevarande av
personuppgifter som sker hos de särskilda arkivmyndigheterna
(prop. 1997/98:44 s. 47–48).
I 9 § PUL – där de grundläggande kraven på behandlingen av
personuppgifter regleras – finns vissa bestämmelser som särskilt
rör behandling för historiska, statistiska eller vetenskapliga
ändamål. Här framgår exempelvis att en behandling av
personuppgifter för sådana ändamål inte ska anses oförenlig med
insamlingsändamålen (andra stycket). Det finns vidare regler om
hur länge personuppgifter får bevaras för historiska,
statistiska eller vetenskapliga ändamål (tredje stycket) och
begränsningar av när personuppgifter som behandlas för sådana
ändamål får användas för att vidta åtgärder i fråga om den
registrerade (fjärde stycket). Begränsningen i 9 § fjärde
stycket PUL är en sådan lämplig skyddsåtgärd som krävs enligt
artikel 6 i dataskyddsdirektivet. Enligt 8 § andra stycket PUL
gäller dock inte denna begränsning för myndigheters användning
av personuppgifter i allmänna handlingar. Detta undantag bygger
på att det för sådana personuppgifter finns andra lämpliga
skyddsåtgärder i form av bestämmelser om sekretess och skydd för
arkiv (prop. 1997/98:44 s. 64).
I dataskyddsförordningen finns ett antal bestämmelser som
särskilt rör personuppgiftsbehandling för arkivändamål i
allmänhetens intresse samt för vetenskapliga eller historiska
forskningsändamål eller för statistiska ändamål. Enligt artikel
5.1 b gäller exempelvis att behandling av personuppgifter för
sådana ändamål, i enlighet med artikel 83.1, inte ska anses
oförenlig med de ursprungliga ändamålen. Av artikel 5.1 e följer
att personuppgifter får lagras under en längre tid än vad som
normalt gäller, om uppgifterna enbart kommer att behandlas för
arkivändamål i allmänhetens intresse eller för vetenskapliga
eller historiska forskningsändamål eller för statistiska
ändamål. Den förlängda bevarandetiden gäller i den mån som
lämpliga tekniska och organisatoriska åtgärder vidtas i enlighet
med kraven i artikel 83.1 för att skydda de registrerades fri-
och rättigheter. Det finns också särskilda bestämmelser som
innebär undantag från förbudet att behandla känsliga
personuppgifter för aktuella ändamål i artikel 9.2 i, vilket har
berörts i ett tidigare avsnitt.
I artikel 19.2aa i dataskyddsförordningen föreskrivs vidare att
den registrerade ska ha rätt att motsätta sig behandling för
vetenskapliga eller historiska forskningsändamål eller för
statistiska ändamål av skäl som rör hans eller hennes personliga
situation, om inte behandlingen är nödvändig för utförandet av
en arbetsuppgift av allmänt intresse. Genom artikel 83.2 och
83.3 ges medlemsstaterna möjlighet att föreskriva om undantag
från denna och vissa andra av rättigheterna i förordningen.
Detta får emellertid bara göras i den mån det kan antas att de
aktuella rättigheterna skulle göra det omöjligt eller allvarligt
försvåra uppnåendet av de särskilda ändamålen med behandlingen
och sådana undantag är nödvändiga för att ändamålen ska kunna
uppfyllas.
De generella kraven på skyddsåtgärder i artikel 83.1 och
särskilda bestämmelser om exempelvis lagringstid och gallring
aktualiseras i stor utsträckning i sektorsspecifik lagstiftning.
Detsamma gäller behovet av undantag med stöd av artikel 83.2 och
82.3 i förordningen. Det är emellertid av central betydelse att
myndigheternas bevarande av allmänna handlingar inte hindras av
dataskyddsregleringen och att myndigheternas möjlighet att
använda uppgifter i dessa handlingar säkerställs. På samma sätt
behöver en ändamålsenlig behandling av personuppgifter för annan
arkivering i allmänhetens intresse samt för vetenskapliga eller
historiska forskningsändamål eller för statistiska ändamål
garanteras, samtidigt som skyddet för den registrerades fri- och
rättigheter beaktas. Utgångspunkten bör därför vara att vissa
grundläggande bestämmelser, liknande de som i dag finns i
personuppgiftslagen, behöver tas in i den generella regleringen
som ska komplettera dataskyddsförordningen.
Utredaren ska därför
• analysera vilka kompletterande bestämmelser om myndigheters
bevarande av allmänna handlingar, användning av uppgifter i
dessa och överlämnande av arkivmaterial till en arkivmyndighet
som behövs i den generella regleringen,
• analysera vilka övriga kompletterande bestämmelser om
behandling av personuppgifter för arkivering i allmänhetens
intresse samt för vetenskapliga eller historiska
forskningsändamål eller för statistiska ändamål som bör finnas i
den generella regleringen, och
• lämna lämpliga författningsförslag.
Personuppgiftsbehandling utanför EU-rättens tillämpningsområde
Personuppgiftslagen är generellt tillämplig vilket innebär att
den också gäller för sådan behandling som faller utanför det
nuvarande dataskyddsdirektivets tillämpningsområde, t.ex.
statens verksamhet på straffrättens område, allmän säkerhet och
försvar. Anledningen till att man valde denna lösning var bl.a.
att det ansågs särskilt viktigt med ett starkt integritetsskydd
för personuppgifter inom all offentlig verksamhet. Vidare ansågs
den valda lösningen garantera att behovet av särregler i
förhållande till personuppgiftslagen alltid övervägs noga i den
ordning som krävs för författningsgivning (prop. 1997/98:44 s.
40–41).
Dataskyddsförordningens tillämpningsområde motsvarar
huvudsakligen det nuvarande dataskyddsdirektivets. Det nya
dataskyddsdirektivets tillämpningsområde omfattar dock – till
skillnad från det nuvarande dataskyddsrambeslutet – myndigheters
rent nationella personuppgiftsbehandling för brottsbekämpande
och liknande ändamål. Detta innebär att den nya EU-rättsliga
dataskyddsregleringen kommer att täcka ett något större område.
Det kommer emellertid fortfarande att finnas ett område som inte
täcks av EU-regleringen.
Inom detta område har Sverige i dag vissa särskilda regelverk
för behandling av personuppgifter, t.ex. lagen (2007:258) om
behandling av personuppgifter i Försvarsmaktens
försvarsunderrättelseverksamhet och militära säkerhetstjänst och
lagen (2007:259) om behandling av personuppgifter i Försvarets
radioanstalts försvarsunderrättelse- och utvecklingsverksamhet.
Av 1 § andra stycket i respektive lag framgår att
personuppgiftslagen inte gäller vid personuppgiftsbehandling
enligt den aktuella lagen. För Försvarsmaktens och Försvarets
radioanstalts övriga verksamheter där personuppgiftsbehandling
kan förekomma, t.ex. i samband med myndigheternas interna och
administrativa åtgärder, tillämpas till största del
personuppgiftslagen.
Lagen (1998:938) om behandling av personuppgifter om
totalförsvarspliktiga är ett exempel på lagstiftning som gäller
utöver personuppgiftslagen. Det innebär att personuppgiftslagens
regler är tillämpliga i den utsträckning det inte finns
avvikande bestämmelser i lagen om behandling av personuppgifter
om totalförsvarspliktiga.
I utredarens uppdrag ingår inte att se över de lagar på
försvarsområdet som nu har nämnts eller andra sektorsspecifika
särregleringar. Det kan emellertid förekomma
personuppgiftsbehandling utanför EU-rättens tillämpningsområde
som inte omfattas av någon sektorsspecifik reglering. Utredaren
bör undersöka denna fråga närmare och överväga om det finns
behov av en generell reglering för sådan
personuppgiftsbehandling. En sådan reglering skulle exempelvis
kunna innebära att bestämmelserna i förordningen i relevanta
delar görs tillämpliga inom detta område.
Utredaren ska därför
• undersöka om det finns personuppgiftsbehandling utanför
EU-rättens tillämpningsområde som inte omfattas av särreglering,
• överväga om det behöver införas generella bestämmelser för
sådan personuppgiftsbehandling, och
• lämna sådana författningsförslag som är behövliga och lämpliga.
Förhållandet till sektorsspecifik reglering och behovet av
övergångsbestämmelser
Personuppgiftslagen är subsidiär, vilket innebär att lagen inte
ska tillämpas om det finns avvikande bestämmelser i en annan lag
eller förordning (2 § PUL). Sådana bestämmelser finns bl.a. i
särskilda registerförfattningar. Frågan om förhållandet till
sektorsspecifik reglering kan aktualiseras även när det gäller
den kompletterande reglering som utredaren ska lägga fram
förslag till. Så kan exempelvis vara fallet när det gäller
eventuella förslag till bestämmelser om stöd för behandling av
personuppgifter i den offentliga sektorn och till generell
reglering för personuppgiftsbehandling utanför EU-rättens
tillämpningsområde. I uppdraget ingår därför att analysera om
det finns behov att reglera förhållandet mellan den
kompletterande regleringen och sektorsspecifika föreskrifter.
Personuppgiftslagen måste upphävas redan i samband med att
dataskyddsförordningen börjar tillämpas. Det kan därför finnas
behov av övergångsbestämmelser som i första hand innebär att
lagen under en övergångsperiod fortsätter att gälla för sådan
personuppgiftsbehandling som inte täcks av förordningens
tillämpningsområde.
Utredaren ska därför
• analysera hur bestämmelserna i det kompletterande generella
regelverket bör förhålla sig till bestämmelser om behandling av
personuppgifter i annan lag eller förordning,
• lämna behövliga och lämpliga författningsförslag, och
• lämna förslag till lämpliga övergångsbestämmelser.
Övriga frågor
Utredaren är oförhindrad att inom de ramar som anges i de
allmänna riktlinjerna ta upp och belysa även andra
frågeställningar som är relevanta för uppdraget. Om utredaren
kommer fram till att det krävs eller är lämpligt med
kompletterande generella nationella bestämmelser i andra delar
än de som ska utredas särskilt, ska sådana föreslås.
Konsekvensbeskrivningar
Utredaren ska bedöma de ekonomiska konsekvenserna av förslagen
för det allmänna och för enskilda. Om förslagen kan förväntas
leda till kostnadsökningar för det allmänna, ska utredaren
föreslå hur dessa ska finansieras. Utredaren ska särskilt ange
konsekvenser för företagen i form av kostnader och ökade
administrativa bördor. Utredaren ska också redovisa förslagens
konsekvenser för den personliga integriteten.
Samråd och redovisning av uppdraget
Utredaren ska hålla sig informerad om och beakta relevant arbete
som bedrivs inom Regeringskansliet, utredningsväsendet och inom
EU. Vid anpassningen av svensk rätt till den nya EU-regleringen
bör en enhetlig tolkning av regelverket eftersträvas. Utredaren
ska därför följa och i lämplig omfattning samråda med övriga
utredningar som har i uppdrag att anpassa svensk rätt till
reformen av EU:s dataskyddsregelverk. Till sådana utredningar
hör bl.a. utredningen om tillsynen över den personliga
integriteten (Ju 2015:02) och utredningen om
kameraövervakningslagen - brottsbekämpning och integritetsskydd
(Ju 2015:14), samt den kommande utredningen om genomförandet av
det nya dataskyddsdirektivet. Samråd är särskilt viktigt i
processuella frågor och frågor som rör sanktioner,
tillsynsmyndigheten och arkivering. Under genomförandet av
uppdraget ska utredaren, i den utsträckning som bedöms lämplig,
också ha en dialog med och inhämta upplysningar från
myndigheter, näringslivet och andra som kan vara berörda av
aktuella frågor.
Uppdraget ska redovisas senast den 12 maj 2017.
(Justitiedepartementet)