Post 5822 av 7212 träffar
Propositionsnummer ·
1999/00:11 ·
Hämta Doc ·
Personuppgiftslagens överföringsregler
Ansvarig myndighet: Justitiedepartementet
Dokument: Prop. 11
Regeringens proposition
1999/2000:11
Personuppgiftslagens överföringsregler
Prop.
1999/2000:11
Regeringen överlämnar denna proposition till riksdagen.
Stockholm den 7 oktober 1999
Lena Hjelm-Wallén
Britta Lejon
(Justitiedepartementet)
Propositionens huvudsakliga innehåll
I propositionen föreslås att personuppgiftslagens bestämmelse om förbud
mot överföring av personuppgifter ändras. Överföring av personuppgifter
till ett land som inte ingår i Europeiska unionen eller är anslutet till
Europeiska ekonomiska samarbetsområdet (tredje land) skall inte längre
vara förbjuden om det tredje landet har en adekvat nivå för skyddet av
person-uppgifter. När det gäller att avgöra om skyddsnivån är adekvat
skall alla omständigheter kring överföringen beaktas. Ändringen medför
att person-uppgiftslagen ansluter närmare till lydelsen i
Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober
1995 om skydd för enskilda personer med avseende på behandling av
personuppgifter och om det fria flödet av sådana uppgifter.
I propositionen föreslås också att ringa fall av överträdelser av person-
uppgiftslagens straffbestämmelse skall undantas från det straffbara
området.
Ändringarna medför sammantagna att skyddet för personuppgifter i
betydligt högre grad inriktas på de förfaranden som medför allvarliga
integritetsrisker och att lagstiftningen närmar sig en sådan
missbruksinriktad regleringsmodell som riksdagen uttalat sig för.
Därigenom underlättas användningen av modern informationsteknik.
Ändringarna föreslås träda i kraft den 1 januari 2000.
Innehållsförteckning
1 Beslut 3
2 Förslag till lag om ändring i personuppgiftslagen (1998:204) 4
3 Ärendet och dess beredning 5
4 Bakgrund 6
4.1 Personuppgiftslagens tillkomst 6
4.1.1 EG–direktivet 6
4.1.2 Datalagskommitténs förslag och
personuppgiftslagen 7
4.2 Reglerna om överföring av personuppgifter till tredje land 8
4.2.1 EG–direktivets bestämmelser om överföring av
personuppgifter till tredje land 8
4.2.2 Allmänna överväganden om överförings-
reglerna i lagstiftningsärendet om person-
uppgiftslagen 10
4.2.3 Personuppgiftslagens regler om överföring av
personuppgifter till tredje land 10
4.3 Datainspektionens förslag 11
4.3.1 Debatten i Sverige efter personuppgiftslagens
ikraftträdande 11
4.3.2 En specialbestämmelse för informations-
spridning och kommunikation i personuppgifts-
förordningen 12
4.3.3 Konstitutionsutskottets uttalanden 12
4.3.4 Synpunkter som framförts vid remissbe-
handlingen av Datainspektionens förslag 13
5 Lättnader i förbudet mot överföring av personuppgifter till tredje
land 14
6 Straffbestämmelsen i personuppgiftslagen 18
7 Framtida åtgärder för att underlätta användningen av
informationsteknik 19
8 Ekonomiska konsekvenser av förslaget 19
9 Författningskommentar 20
Bilaga 1 Förteckning över remissinstanser, Datainspektionens förslag 22
Bilaga 2 Promemorians lagförslag 23
Bilaga 3 Förteckning över remissinstanser, Promemorians förslag 24
Bilaga 4 Lagrådsremissens lagförslag 25
Bilaga 5 Lagrådets yttrande 26
Utdrag ur protokoll vid regeringssammanträde den 7 oktober 1999. 29
1 Beslut
Regeringen föreslår att riksdagen antar regeringens förslag till lag om
ändring i personuppgiftslagen (1998:204).
2 Förslag till lag om ändring i
personuppgiftslagen (1998:204)
Härigenom föreskrivs att 33 och 49 §§ personuppgiftslagen (1998:204)
skall ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
33 §
Det är förbjudet att till tredje
land föra över personuppgifter
som är under behandling. Förbudet
gäller också överföring av
personuppgifter för behandling i
tredje land.
Det är förbjudet att till tredje
land föra över personuppgifter
som är under behandling om
landet inte har en adekvat nivå för
skyddet av personuppgifterna.
Förbudet gäller också överföring
av personuppgifter för behandling
i tredje land.
Frågan om en skyddsnivå är
adekvat skall bedömas med hänsyn
till samtliga omständigheter som
har samband med överföringen.
Särskild vikt skall läggas vid
uppgifternas art, ändamålet med
behandlingen, hur länge
behandlingen skall pågå,
ursprungslandet, det slutliga
bestämmelselandet och de regler
som finns för behandlingen i det
tredje landet.
49 §
Till böter eller fängelse i högst sex månader eller, om brottet är grovt,
till fängelse i högst två år döms den som uppsåtligen eller av oaktsamhet
a) lämnar osann uppgift i sådan information till registrerade som
föreskrivs i denna lag, i anmälan till tillsynsmyndigheten enligt 36 § eller
till tillsynsmyndigheten när myndigheten begär information enligt 43 §,
b) behandlar personuppgifter i strid med 13–21 §§,
c) för över personuppgifter till tredje land i strid med 33–35 §§, eller
d) låter bli att göra anmälan enligt 36 § första stycket eller enligt
föreskrifter meddelade med stöd av 41 §.
I ringa fall döms inte till ansvar.
Den som överträtt ett vitesföreläggande enligt 44 § eller 45 § första
stycket döms inte till ansvar för en gärning som omfattas av
vitesföreläggandet.
Denna lag träder i kraft den 1 januari 2000
3 Ärendet och dess beredning
Personuppgiftslagen (1998:204) trädde i kraft den 24 oktober 1998.
Genom personuppgiftslagen genomfördes Europaparlamentets och rådets
direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda
personer med avseende på behandling av personuppgifter och om det fria
flödet av sådana uppgifter.
Regeringen gav den 22 oktober 1998 Datainspektionen i uppdrag att
bland annat utreda det närmare behovet av att göra undantag från
förbudet i 33 § personuppgiftslagen när det gäller överföringar av
personuppgifter till tredje land som typiskt sett inte innebär några risker
för de registrerade eller det annars mot bakgrund av allmänhetens
intresse att sprida och inhämta information framstår som angeläget att
undantag görs, särskilt i samband med behandling av personuppgifter i
internationella kommunikationsnätverk, t.ex. Internet.
Datainspektionen redovisade den 1 mars 1999 ett förslag till
regeringen i rapporten Personuppgifter på Internet. Enligt förslaget skulle
en bestämmelse införas i personuppgiftsförordningen (1998:1191) som
tillåter viss överföring till tredje land. Datainspektionens förslag har
remissbehandlats. En förteckning över remissinstanserna finns i bilaga 1.
Remissvaren finns tillgängliga i Justitiedepartementet (dnr Ju1999/1126).
I ett betänkande (bet. 1998/99:KU15) behandlade
konstitutionsutskottet ett antal motioner från den allmänna motionstiden
1998 som rör frågor om personuppgiftslagen och andra integritetsfrågor.
Konstitutionsutskottet hemställde den 2 mars 1999 att riksdagen skulle
ge regeringen till känna vad utskottet anfört bland annat om de problem
som var bakgrunden till uppdraget till Datainspektionen. Riksdagen
godkände den 10 mars vad utskottet hemställt (rskr.1998/99:147).
Sedan Datainspektionens förslag remissbehandlats utarbetades inom
Justitiedepartementet en promemoria Ändringar i personuppgiftslagen av
den 1 juni 1999. Promemorians lagförslag finns i bilaga 2. De
remissinstanser som tagits upp i bilaga 3 kallades till ett remissmöte i
Justitiedepartementet den 8 juni 1999. Anteckningar från remissmötet
samt skriftliga remissvar finns tillgängliga i Justitiedepartementet (dnr
Ju1999/1126). Datainspektionens förslag om kommuners och landstings
möjligheter att sprida information m.m. bereds inom
Justitiedepartementet.
Lagrådet
Regeringen beslutade den 17 juni 1999 att inhämta Lagrådets yttrande
över det lagförslag som finns i bilaga 4. Lagrådets yttrande finns i
bilaga 5. Lagrådets synpunkter behandlas i den allmänna motiveringen i
avsnitt 5 och i författningskommentaren. Vissa språkliga justeringar av
lagtexten har gjorts efter det att Lagrådet yttrat sig.
4 Bakgrund
4.1 Personuppgiftslagens tillkomst
4.1.1 EG–direktivet
Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda
personer med avseende på behandling av personuppgifter och om det fria
flödet av sådana uppgifter (EG–direktivet) antogs den 24 oktober 1995.
EG–direktivets syfte är att skapa en gemensam, hög nivå på integri-
tetsskyddet för att därigenom möjliggöra ett fritt flöde av personuppgifter
medlemsländerna emellan. Medlemsstaterna får inom den ram som ges i
direktivet närmare precisera villkoren för när behandling av person-
uppgifter får förekomma. Dessa preciseringar får dock inte hindra det fria
flödet av personuppgifter inom unionen.
Direktivet finns i sin helhet intaget som bilaga i propositionen Person-
uppgiftslag (prop. 1997/98:44). Huvuddragen i direktivet är följande.
Direktivet är tillämpligt på all behandling av personuppgifter. Förutom
automatiserad behandling omfattas också manuell behandling, dock
endast sådan manuell behandling som sker i register som är sökbara
utifrån särskilda kriterier. Direktivet är inte tillämpligt på sådan
behandling av personuppgifter som faller utanför gemenskapsrätten (t.ex.
den som gäller allmän säkerhet, statens säkerhet eller statens verksamhet
på straffrättens område) och inte heller på behandling som sker för
personligt bruk. Behandling av personuppgifter för journalistiska
ändamål eller konstnärligt eller litterärt skapande undantas från de flesta
av direktivets bestämmelser.
Personuppgifter får samlas in endast för särskilda, uttryckligt angivna
och berättigade ändamål och uppgifterna får inte senare användas på ett
sätt som är oförenligt med ursprungsändamålet.
Personuppgifter får behandlas endast när samtycke lämnats, när det är
nödvändigt för att fullgöra ett avtal i vilket den registrerade är part, när
det finns en i författning reglerad förpliktelse att behandling av
uppgifterna skall ske, när det är nödvändigt för att skydda den enskildes
grundläggande intressen, när det är nödvändigt att utföra en arbetsuppgift
i det allmännas intresse eller, slutligen, om det skett en intresseavvägning
som resulterat i att behandling av personuppgifter skall få ske.
Känsliga uppgifter (uppgifter som avslöjar etniskt ursprung, religion,
politisk åsikt, facklig tillhörighet, hälsotillstånd etc.) får inte behandlas.
Dock gäller vissa undantag, bl.a. då den enskilde gett sitt uttryckliga
samtycke, för ideella organisationers samt hälso- och sjukvårdens behov
och vid författningsreglerade skyldigheter.
Medlemsstaterna skall bestämma på vilka villkor nationella
identifikationsnummer, som t.ex. de svenska personnumren, får be-
handlas.
När personuppgifter samlas in skall de registrerade informeras om bl.a.
vem som är registeransvarig och vad uppgifterna skall användas till.
All behandling av personuppgifter skall enligt huvudregeln anmälas till
en tillsynsmyndighet. Medlemsstaten kan dock genom bransch– och sek-
torsreglering eller motsvarande från anmälningsskyldigheten undanta så-
dan behandling av personuppgifter som inte kränker enskildas fri- och
rättigheter.
Behandling av personuppgifter som innebär särskilda integritetsrisker
får inte förekomma utan att tillsynsmyndigheten först kontrollerat
behandlingen.
Den registrerade skall ha rätt att få sina rättigheter enligt den nationella
lagen prövade av tillsynsmyndigheten och domstol.
Överföring av personuppgifter till ett tredje land får i princip endast
ske om det mottagande landet har en adekvat skyddsnivå.
Tillsynsmyndigheten skall vara ett oberoende organ. Den skall ha un-
dersökningsbefogenheter och befogenheter att effektivt ingripa mot
otillåten behandling av personuppgifter.
Medlemsstaterna är skyldiga att genomföra direktivet i nationell rätt
inom tre år efter antagandet den 24 oktober 1995. För de automatiserade
behandlingar som pågår vid tiden för genomförandet finns möjlighet för
medlemsstaterna att föreskriva en övergångsperiod på högst tre år. För
redan existerande manuella register kan övergångsperioden utsträckas
till, som längst, tolv år.
EG–direktivet skulle ha varit genomfört i medlemsstaterna senast den
24 oktober 1998. Hittills har bara drygt hälften av medlemsstaterna
genomfört direktivet.
4.1.2 Datalagskommitténs förslag och personuppgiftslagen
Efter beslut av regeringen den 15 juni 1995 tillkallades en
parlamentariskt sammansatt kommitté med uppgift att bland annat göra
en total revision av datalagen och analysera på vilket sätt EG–direktivet
om personuppgifter skulle genomföras i svensk lagstiftning. Kommittén
antog namnet Datalagskommittén. Den 2 april 1997 avgav kommittén
betänkandet Integritet – Offentlighet – Informationsteknik (SOU
1997:39).
Vid remissbehandlingen av Datalagskommitténs förslag uttalade sig
många remissinstanser för en lagstiftning enligt en s.k. missbruksmodell,
dvs. en reglering som mer riktar sig mot att förbjuda sådan behandling av
personuppgifter som inte bör vara tillåten än att reglera vad som är
tillåtet.
Regeringen ansåg dock att det inte var möjligt att uppfylla
skyldigheten att genomföra direktivet på annat sätt än genom att införa
en lag enligt en hanteringsmodell som reglerar vad som är tillåtet. Något
konkret förslag till hur EG–direktivet på ett godtagbart sätt skulle kunna
genomföras enligt en missbruksmodell hade heller inte framkommit
under remissbehandlingen.
Vid införandet av personuppgiftslagen valde regeringen att i huvudsak
låta lagen följa direktivets text och struktur. I propositionen understryker
regeringen att det är EG–domstolen som slutligen har att tolka de
begrepp och uttryck som direktivet innehåller (prop. 1997/98:44 s. 38).
Personuppgiftslagen omfattar automatiserad behandling av person-
uppgifter och manuell behandling av personuppgifter i register. Person-
uppgiftslagen är generellt tillämplig och omfattar även sådan verksamhet
som faller utanför EG–rätten. Avvikande bestämmelser i lag eller
förordning gäller framför personuppgiftslagen.
4.2 Reglerna om överföring av personuppgifter till tredje
land
Reglerna i EG–direktivet och personuppgiftslagen om under vilka
omständigheter personuppgifter får föras över till tredje land, dvs. en stat
utanför EU eller EES, har en central roll. Utan sådana bestämmelser är
det uppenbart att skyddsregler för behandlingen av personuppgifter
skulle kunna kringgås genom att personuppgifter överförs till ett tredje
land och behandlas där. Samtidigt medför det ökade internationella
informationsutbytet att det måste finnas klara och användbara regler som
i olika situationer gör det möjligt att föra över personuppgifter till tredje
land.
4.2.1 EG–direktivets bestämmelser om överföring av
personuppgifter till tredje land
I artikel 25 och 26 i EG–direktivet finns det bestämmelser om överföring
av personuppgifter till tredje land. Bestämmelserna innebär följande.
Medlemsstaterna skall föreskriva att överföring av personuppgifter,
som är under behandling eller som är avsedda att behandlas efter
överföring till tredje land, bara får ske om ifrågavarande tredje land
säkerställer en adekvat skyddsnivå. Detta skall dock inte påverka
tillämpningen av de nationella bestämmelser som har antagits till följd av
andra bestämmelser i direktivet.
Bedömningen av om skyddsnivån i ett tredje land är adekvat skall ske
på grundval av alla de förhållanden som har samband med en överföring
eller en grupp av överföringar av uppgifter. Härvid skall särskilt beaktas
uppgiftens art,
den eller de avsedda behandlingarnas ändamål,
den eller de avsedda behandlingarnas varaktighet,
ursprungslandet,
det slutliga bestämmelselandet,
de allmänna respektive särskilda rättsregler som gäller i ifrågavarande
tredje land och
de regler för yrkesverksamhet och säkerhet som gäller i ifrågavarande
tredje land.
Medlemsstaterna och kommissionen skall informera varandra när de
anser att ett tredje land inte erbjuder en adekvat skyddsnivå. Om
kommissionen – i enlighet med en särskild beslutsprocedur som före-
skrivs i direktivet – kommer fram till att ett tredje land inte erbjuder en
adekvat skyddsnivå, är medlemsstaterna skyldiga att vidta de åtgärder
som är nödvändiga för att hindra överföring av uppgifter av samma slag
till detta land. Kommissionen skall i sådant fall vid lämpligt tillfälle
inleda förhandlingar för att avhjälpa den situation som därvid har
uppkommit. Kommissionen kan vidare – i enlighet med den särskilda
beslutsprocedur som föreskrivs i direktivet – konstatera att ett tredje land,
genom sin interna lagstiftning eller på grund av de internationella förplik-
telser som åligger landet, har en adekvat skyddsnivå. Medlemsstaterna
skall då vidta de åtgärder som är nödvändiga för att följa kommissionens
beslut. Som exempel på internationella förpliktelser som åligger tredje
land nämns särskilt sådana förpliktelser som är en följd av de för-
handlingar som kommissionen har inlett och som gäller skydd för pri-
vatliv och enskilda personers grundläggande fri- och rättigheter.
Medlemsstaterna skall – utom där något annat föreskrivs för särskilda
fall i den nationella lagstiftningen – föreskriva att överföring av person-
uppgifter till ett tredje land, som inte har en sådan adekvat skyddsnivå,
får ske i följande fall.
Om den registrerade otvetydigt har samtyckt till den planerade över-
föringen.
Om överföringen är nödvändig för att fullgöra ett avtal mellan den re-
gistrerade och den personuppgiftsansvarige eller för att på den
registrerades begäran genomföra åtgärder innan avtalet ingås.
Om överföringen är nödvändig för att ingå eller fullgöra ett avtal
mellan den personuppgiftsansvarige och tredje man, där avtalet är i den
registrerades intresse.
Om överföringen är nödvändig eller bindande enligt författning av skäl
som rör viktiga allmänna intressen eller för att fastslå, göra gällande
eller försvara rättsliga anspråk.
Om överföringen är nödvändig för att skydda intressen som är av
grundläggande betydelse för den registrerade.
Om överföringen görs från ett register som 1) enligt lagar eller andra
författningar är avsett att förse allmänheten med information och som
2) är tillgängligt antingen för allmänheten eller för var och en som kan
styrka ett berättigat intresse, i den utsträckning som de i lagstiftningen
angivna villkoren för att få tillgång är uppfyllda.
Det är vidare möjligt för medlemsstaterna att tillåta överföring av person-
uppgifter till ett tredje land med en icke adekvat skyddsnivå om den
personuppgiftsansvarige ställer tillräckliga garantier för skyddet av
privatliv och enskilda personers grundläggande fri- och rättigheter och
för utövandet av sådana rättigheter. Sådana garantier kan framgå av
lämpliga avtals-klausuler. Medlemsstaterna skall informera
kommissionen om de överföringar som har tillåtits enligt denna
bestämmelse. Om kommissionen eller en medlemsstat gör en invändning
– på grunder som är berättigade med hänsyn till skyddet för privatliv och
enskilda personers grundläggande fri- och rättigheter – skall
kommissionen vidta lämpliga åtgärder i enlighet med den särskilda
beslutsprocedur som föreskrivs i direktivet. Medlemsstaterna skall vidta
de åtgärder som är nödvändiga för att följa kommissionens beslut. Om
kommissionen å andra sidan – i enlighet med den särskilda
beslutsprocedur som nyss nämnts – beslutar att vissa standardklausuler
erbjuder tillräckliga garantier, skall medlemsstaterna vidta nödvändiga
åtgärder för att följa kommissionens beslut.
4.2.2 Allmänna överväganden om överföringsreglerna i
lagstiftningsärendet om personuppgiftslagen
Bestämmelserna i EG–direktivet om överföring till tredje land är
detaljerade och komplicerade. Datalagskommittén gjorde den
bedömningen att det i lagstiftningen inte borde införas mer komplicerade
regler än nödvändigt med hänsyn till EG–direktivet (SOU 1998:39 s.
413).
Kommittén föreslog ett förbud mot överföring av personuppgifter till
tredje land och konkreta undantag från förbudet för de situationer som
räknas upp i artikel 26.1.a–e i EG–direktivet. En särskild bestämmelse
om att personuppgifter utan vidare får föras över för användning enbart i
en stat som har anslutit sig till Europarådets dataskyddskonvention
föreslogs också mot bakgrund av Sveriges förpliktelser enligt
konventionen. Vidare föreslogs bemyndiganden för regeringen att
meddela föreskrifter för vissa situationer om undantag från förbudet. I
några fall fick regeringen vidaredelegera föreskriftsrätten.
Regeringens förslag i propositionen till personuppgiftslagen stämde i
väsentliga delar överens med kommitténs förslag och antogs av
riksdagen med en mindre språklig justering.
4.2.3 Personuppgiftslagens regler om överföring av
personuppgifter till tredje land
Enligt 33 § personuppgiftslagen är det förbjudet att till tredje land föra
över personuppgifter som är under behandling. Förbudet gäller också
överföring av personuppgifter för behandling i ett tredje land.
Med tredje land avses enligt definitionen i 3 § personuppgiftslagen ett
land utanför EU eller EES.
Det finns vissa generella undantag från förbudet.
Enligt 34 § första stycket personuppgiftslagen är det tillåtet att föra
över personuppgifter till tredje land, om den registrerade har lämnat sitt
samtycke till överföringen eller om överföringen är nödvändig för att
a) ett avtal mellan den registrerade och den personuppgiftsansvarige
skall kunna fullgöras eller åtgärder som den registrerade begärt skall
kunna vidtas innan ett avtal träffas,
b) ett sådant avtal mellan den personuppgiftsansvarige och tredje man
som är i den registrerades intresse skall kunna ingås eller fullgöras,
c) rättsliga anspråk skall kunna fastställas, göras gällande eller
försvaras, eller
d) vitala intressen för den registrerade skall kunna skyddas.
Enligt 34 § andra stycket personuppgiftslagen är det också tillåtet att föra
över personuppgifter för användning enbart i en stat som har anslutit sig
till Europarådets konvention om skydd för enskilda vid automatisk
databehandling av personuppgifter.
Regeringen har också möjlighet att i vissa fall besluta om undantag
från förbudet. I några av dessa fall kan regeringen delegera
föreskriftsrätten vidare.
Regeringen får enligt 35 § första stycket personuppgiftslagen meddela
föreskrifter om undantag från förbudet i 33 § för överföring av person-
uppgifter till vissa stater. Enligt samma lagrum får regeringen också
meddela föreskrifter om att överföring av personuppgifter till tredje land
är tillåten, om överföringen regleras av ett avtal som ger tillräckliga
garantier till skydd för de registrerades rättigheter.
Regeringen eller den myndighet regeringen bestämmer får vidare
enligt 35 § andra stycket personuppgiftslagen meddela föreskrifter om
undantag från förbudet i 33 §, om det behövs med hänsyn till ett viktigt
allmänt intresse eller om det finns tillräckliga garantier till skydd för de
registrerades rättigheter.
Enligt 35 § tredje stycket personuppgiftslagen får regeringen under de
förutsättningar som nämns i andra stycket i enskilda fall besluta om
undantag från förbudet i 33 §. Regeringen får överlåta åt
tillsynsmyndigheten att fatta sådana beslut.
Genom personuppgiftsförordningen (1998:1191) har regeringen till
Datainspektionen delegerat vidare möjligheten att meddela föreskrifter
enligt 35 § andra stycket personuppgiftslagen, när det gäller
automatiserad behandling av personuppgifter, om att överföring är
tillåten om det finns tillräckliga garantier till skydd för de registrerades
rättigheter. Datainspektionen kan också fatta beslut i enskilda fall.
4.3 Datainspektionens förslag
4.3.1 Debatten i Sverige efter personuppgiftslagens
ikraftträdande
I samband med ikraftträdandet av personuppgiftslagen möttes lagens
regler om överföring av personuppgifter till tredje land av kritik.
Reglerna ansågs medföra en oönskad begränsning av möjligheten att
använda sig av modern informationsteknik, som t.ex. elektronisk post
eller elektroniska anslagstavlor. Flera exempel nämndes i debatten där en
tillämpning av personuppgiftslagens regler ansågs leda till orimliga
resultat eftersom uppgifterna bedömdes vara harmlösa i den mening att
en spridning av uppgifterna inte borde kunna leda till någon
integritetskränkning.
Som angetts i avsnitt 3 gav regeringen den 22 oktober 1998
Datainspektionen i uppdrag att bl.a. utreda det närmare behovet av att
göra undantag från förbudet i 33 § personuppgiftslagen när det gäller
överföringar av personuppgifter till tredje land som typiskt sett inte
innebär några risker för de registrerade eller det annars mot bakgrund av
allmänhetens intresse att sprida och inhämta information framstår som
angeläget att undantag görs, särskilt i samband med behandling av
personuppgifter i internationella kommunikationsnätverk, t.ex. Internet.
Datainspektionen redovisade ett förslag till regeringen den 1 mars 1999 i
rapporten Person-uppgifter på Internet.
4.3.2 En specialbestämmelse för informationsspridning och
kommunikation i personuppgiftsförordningen
Enligt Datainspektionen borde det, såvitt här är av intresse, i
personuppgiftsförordningen införas en bestämmelse med följande
lydelse.
För informationsspridning eller kommunikation får personuppgifter i
löpande text föras över till tredje land via Internet eller annat nät om
texten framställts för sådant ändamål och omständigheterna är sådana att
det är uppenbart att det saknas risk för kränkning av den registrerades
personliga integritet.
I rapporten pekade Datainspektionen på att en alternativ lösning vore att
ändra lydelsen av överföringsförbudet i 33 § personuppgiftslagen så att
det mer liknar EG–direktivets förbud mot överföring i artikel 25.1.
Datainspektionen föreslog dock inte en sådan lösning med hänsyn till att
den skulle kunna resultera i bristande förutsebarhet och dessutom inte
kunde anses rymmas i Datainspektionens uppdrag.
4.3.3 Konstitutionsutskottets uttalanden
Konstitutionsutskottet anförde i sitt ovan nämnda betänkande bland annat
(s. 23):
I flertalet motioner begärs att en översyn av den nuvarande
lagstiftningen görs i syfte att åstadkomma ett mer modernt regelverk som
tar sikte på missbruk av personuppgifter. Enligt utskottets mening bör en
översyn av personuppgiftslagen komma till stånd med syfte att, så långt
det är möjligt inom EG–direktivets ram, åstadkomma en förändring av
lagstiftningen i den riktning som föreslås i motionerna. Utskottet kan
härvid konstatera att det inom IT–kommissionens rättsliga observatorium
pågår ett arbete med att diskutera och analysera alternativa
lagstiftningsmodeller. Enligt utskottets mening bör dock – i avvaktan på
en teknikoberoende integritetslagstiftning – intensifierade åtgärder vidtas
för att åstadkomma en lagstiftning som syftar till att ingripa mot
missbruk av personuppgifter och inte mot själva hanteringen av sådana
uppgifter.
Särskilt med anledning av Datainspektionens förslag uttalade utskottet
(s. 24–25):
Utskottet utgår från att regeringen därefter – inom de ramar som EG–
direktivet uppställer – genomför de förändringar som krävs för att
motverka de problem med personuppgiftslagens utformning som
regeringsuppdraget avsåg att komma till rätta med, förändringar som kan
behöva gå längre än vad Datainspektionen föreslagit. Regeringen är
naturligtvis oförhindrad att, om så krävs, föreslå riksdagen förändringar i
personuppgiftslagen. Utskottet utgår från att förändringar genomförs
skyndsamt.
4.3.4 Synpunkter som framförts vid remissbehandlingen av
Datainspektionens förslag
Vid remissbehandlingen av Datainspektionens förslag välkomnade de
flesta förslaget att mjuka upp det strikta överföringsförbudet. En del
remissinstanser ansåg dock förslaget otillräckligt eller betydelselöst.
Några remissinstanser, bland annat Riksdagens ombudsmän (JO) och
Kammarrätten i Göteborg, godtog förslaget i avvaktan på en grundligare
översyn. Svea hovrätt, Statskontoret, Patent- och registreringsverket
(PRV), Sveriges industriförbund, Svenska Arbetsgivareföreningen (SAF),
Svenska IT-företagens organisation och BitoS uttalade sig för att en
justering av 33 § personuppgiftslagen borde göras så att bestämmelsen
mer liknar motsvarande bestämmelse i EG–direktivet. Invändningar eller
tveksamhet från normgivningssynpunkt framfördes också vad gäller
möjligheten att genomföra förslaget i förordningsform. Posten AB, Telia
AB och Dataföreningen uttalade sig för att förslaget under alla
omständigheter borde genomföras i lag.
När det gäller detaljsynpunkter framfördes kritik mot att begränsa
förslaget till löpande text och att bestämmelsen bara skulle avse text som
framställts för information eller kommunikation. Uppenbarhetsrekvisitet
uppfattades av några remissinstanser som alltför restriktivt.
Datainspektionens förslag att ge större förutsättningar för vissa slag av
behandlingar fick således ett i grunden positivt bemötande. Tungt
vägande synpunkter framkom dock för att i stället göra justeringar i
personuppgiftslagens bestämmelser om överföring av personuppgifter till
tredje land. Inom Justitiedepartementet utarbetades därför en promemoria
och departementet bjöd därefter in remissinstanserna till ett remissmöte
för att diskutera förslagen i promemorian.
5 Lättnader i förbudet mot överföring av
personuppgifter till tredje land
Regeringens förslag: Personuppgiftslagens förbud mot överföring av
personuppgifter till tredje land ändras så att lydelsen ansluter närmare
till motsvarande bestämmelse i EG–direktivet. Överföring till tredje
land kommer härigenom inte längre att vara förbjuden om
skyddsnivån i det tredje landet är adekvat.
Frågan om en skyddsnivå är adekvat skall bedömas med hänsyn till
samtliga omständigheter kring överföringen. Särskild vikt skall läggas
vid uppgifternas art, ändamålet med behandlingen, hur länge
behandlingen skall pågå, ursprungslandet, det slutliga
bestämmelselandet och de regler som finns för behandlingen i det
tredje landet
Promemorians förslag: Överensstämmer i sak med regeringens.
Remissinstanserna: Förslaget har tillstyrkts av så gott som samtliga
remissinstanser. Socialstyrelsen har dock anfört att det kan råda viss
tveksamhet om bedömningen av regleringens konsekvenser verkligen
kommer att visa sig hålla. Sveriges industriförbund har framfört samma
synpunkt som Socialstyrelsen med tillägget att det är angeläget att
tillämpningen blir sådan som förutses i promemorian. IT–kommissionen
har anfört att förslaget är djärvt och går i rätt riktning men att
invändningar kan göras mot resonemanget om att överföringsförbudet
kan sättas ur spel bara för att uppgifterna spritts till andra EU–länder,
som ju har en adekvat skyddsnivå. Posten AB och Sveriges
advokatsamfund har påtalat att det med den föreslagna lydelsen till en
början kan vara svårt för en personuppgiftsansvarig att avgöra vad som är
adekvat skyddsnivå. Sveriges advokatsamfund har också efterlyst fler
exemplifieringar av förslagets konsekvenser. Justitiekanslern och IT–
kommissionen har framfört liknande synpunkter. Dataföreningen i
Sverige har uttalat att det är en fördel att bestämmelsen inte använder
oklara begrepp som t.ex. löpande text och harmlösa uppgifter.
Datainspektionen har uttalat förståelse för förslaget att lösa
problematiken på lagnivå men påtalat att det är viktigt att hålla i minnet
att de grundläggande reglerna för när en behandling är tillåten fortfarande
gäller. Enligt Domstolsverket bör tolkningen att även en avsaknad av
skydd kan anses som adekvat skyddsnivå framgå klarare av lagtexten.
IT–kommissionen har efterlyst en justering av lagtexten så att den inte
talar om adekvat skyddsnivå i ett visst land. Svenska journalistförbundet
har inte haft någon invändning mot förslaget som sådant men har
framhållit att det är otillräckligt.
Skälen för regeringens förslag: Den nuvarande bestämmelsen i 33 §
personuppgiftslagen förbjuder överföring av personuppgifter till tredje
land. I de situationer som räknas upp i 34 och 35 §§ kan undantag från
förbudet göras.
Motsvarande regel om överföring till tredje land i EG–direktivet
(artikel 25.1) förbjuder överföring till ett tredje land för det fall nivån för
skyddet av personuppgifter i det tredje landet inte är adekvat. En
överföring till ett land som har en adekvat skyddsnivå är således tillåten.
Det är enligt regeringens mening angeläget att en överföring till ett
tredje land kan äga rum om skyddsnivån är tillräcklig i det tredje landet.
Det har självfallet inget egenvärde att hindra en överföring till ett tredje
land om uppgifterna åtnjuter ett godtagbart skydd där.
Möjligheten att föra över personuppgifter till ett tredje land som har en
adekvat skyddsnivå bör komma till uttryck i den grundläggande
förbudsregeln i personuppgiftslagen. Till detta kommer att frågan är av
sådan betydelse för yttrande- och informationsfrihetsintressena att en
reglering under alla omständigheter bör beslutas av riksdagen och alltså
ges i lagform.
Förbudet i 33 § personuppgiftslagen bör alltså förses med ett undantag
för det fall att skyddsnivån i det tredje landet är adekvat.
Lagrådet har i sak inte haft någon erinran mot lagändringarna och har
påpekat att ändringen i 33 § innebär en utformning som närmare ansluter
till direktivtexten. Enligt Lagrådet kan lagändringarna vara ett bidrag till
att motverka de problem som är förknippade med att tillämpa den
regleringsmodell som använts i direktivet och i personuppgiftslagen men
som vållar de problem som berörs i konstitutionsutskottets betänkande
1998/99:KU15 (s. 22 f.). Lagrådet har vidare anfört att dessa problem
dock egentligen enbart kan lösas genom en revidering av direktivet och
att detta inte kan förväntas ske inom en nära framtid. Regeringen
återkommer till frågan om åtgärder för att revidera direktivet i avsnitt 7.
Frågan om en skyddsnivå är adekvat skall bedömas med hänsyn till
samtliga omständigheter kring överföringen. Av EG–direktivet framgår
att vissa omständigheter skall tilläggas särskild vikt vid prövningen om
ett tredje lands skyddsnivå är adekvat. Dessa omständigheter är
uppgiftens art, den eller de avsedda behandlingarnas ändamål och
varaktighet, ursprungslandet och det slutliga bestämmelselandet, de
allmänna respektive särskilda rättsregler som gäller i ifrågavarande tredje
land liksom de regler för yrkesverksamhet och säkerhet som gäller där.
Dessa omständigheter bör nämnas i den svenska lagtexten.
Frågan om en skyddsnivå i ett visst land är adekvat kan alltså bedömas
på olika sätt beroende på omständigheterna i det enskilda fallet. Det kan
mycket väl tänkas att ett land har adekvat skyddsnivå på vissa områden
men inte på andra.
För det fall kommissionen i enlighet med det förfarande som gäller för
den kommitté som inrättats enligt artikel 31 i EG–direktivet har fattat
beslut om att skyddsnivån i en viss stat är adekvat har regeringen, liksom
hittills, möjlighet att meddela föreskrifter med ett innehåll som
återspeglar beslutet.
En uppmjukning av förbudet kan få stor betydelse för möjligheten att
använda sig av Internet eller andra internationella
kommunikationsnätverk. Överföringar, t.ex. i form av elektronisk post,
till länder med en adekvat skyddsnivå blir tillåtna om behandlingen i sig
är tillåten enligt personuppgiftslagens övriga regler.
En behandling av personuppgifter som sker genom offentliggörande på
Internet blir med en reglering av det slag som regeringen föreslår tillåten
om den skyddsnivå som finns i de länder dit personuppgifterna kan
överföras är adekvat. Detta gäller självfallet, som Datainspektionen också
påpekat, bara under förutsättning att behandlingen uppfyller
personuppgiftslagens krav i övrigt. I de allra flesta fall innebär ett
offentliggörande av personuppgifter på Internet att personuppgifterna
förs över till länder som helt saknar skyddsregler för hur personuppgifter
får behandlas. I många fall där en behandling i form av ett
offentliggörande är tillåten enligt personuppgiftslagens regler (märk
särskilt 9, 10 och 13–20 §§) och där således så gott som hela
befolkningen i EU- och EES–staterna och andra stater med god
skyddsnivå kan ta del av personuppgifterna framstår det som föga
meningsfullt att ställa upp en begränsning för personuppgifternas
överföring till andra stater i världen. En sådan begränsning förefaller
egendomlig eftersom uppgifterna redan är tillgängliga för 100–tals
miljoner människor. Något egentligt skydd för uppgifterna skulle en
sådan begränsning i varje fall inte medföra eftersom uppgiften redan fått
så stor spridning. I sådana situationer kan det ofta anses finnas adekvat
skyddsnivå i ett tredje land, trots en total avsaknad av skyddsregler, helt
enkelt därför att något skydd inte är nödvändigt eller inte skulle ha någon
reell effekt.
I sitt remissvar över Datainspektionens förslag har PRV framfört att
EG–direktivets överföringsregler torde kräva att något slags reell
skyddsnivå finns i det tredje landet för att överföring skall få ske. EG–
direktivet skulle alltså uppfattas som om det kräver att en bedömning
skall göras av om vissa i det tredje landet gällande regler (oavsett om det
är fråga om rättsliga regler eller t.ex. självregleringsmekanismer) är
adekvata eller inte. Om denna uppfattning vore riktig skulle ett
offentliggörande av personuppgifter på Internet aldrig kunna ske utan
samtycke av den registrerade eftersom uppgifterna blir tillgängliga i
länder som helt saknar skyddsregler. EG–direktivet anger i frågan om
vad som utgör en adekvat skyddsnivå i artikel 25.2 uttryckligen att
särskild vikt skall läggas vid bland annat de regler för behandlingen som
finns i det tredje landet. Det som i EG–direktivet kallas adekvat
skyddsnivå är alltså något annat än de regler som kan gälla i ett tredje
land, nämligen ett uttryck för att omständigheterna kring överföringen
sammantagna skall vara sådana att personuppgifter har ett tillräckligt
skydd. Det kan alltså enligt regeringens uppfattning mycket väl finnas
situationer där det inte finns några skyddsregler alls i det tredje landet
men skyddsnivån ändå är adekvat.
I anledning av IT–kommissionens synpunkt om konsekvensen av
spridning av personuppgifter till andra EU–länder vill regeringen
understryka att överföring till andra EU–länder är möjlig, inte för att
skyddsnivån där är adekvat utan för att det är en följd av EG–direktivet
att personuppgifter fritt kan flöda mellan medlemsstaterna. Om en
personuppgift får behandlas på ett sätt som innebär offentliggörande får
den också spridas till andra EU–länder. Om uppgifterna får behandlas på
ett sådant sätt avgörs av personuppgiftslagens grundläggande
bestämmelser.
Lagrådet har som redan nämnts inte haft någon erinran mot
regeringens förslag till ändringar av lagen. Lagrådet har dock ifrågasatt
om regeringens resonemang om tolkningen av EG–direktivet kommer att
visa sig hållbara. Enligt regeringens uppfattning finns det emellertid
ingenting i ordalydelsen av EG–direktivets överföringsregler som talar
mot den tolkning som regeringen gör. Den osäkerhet rörande tolkningen
som Lagrådet pekat på är i varje fall inte sådan att det finns anledning att
avstå från lagstiftning i enlighet med regeringens förslag.
Regeringen har förståelse för synpunkten att det skulle ha behövts fler
exemplifieringar för att klarlägga vad som är tillåtet och inte och för
synpunkten att det kan vara svårt att av lagtexten utläsa när överföring får
ske. Det måste emellertid hållas i minnet att det är EG–direktivet som
utgör grunden för tolkningen av den aktuella svenska lagbestämmelsen.
Denna tolkning kommer ytterst att bli beroende av vilken bedömning
EG–domstolen kan komma att göra av direktivtexten. Som regeringen
angett i propositionen Sveriges medlemskap i Europeiska unionen (prop.
1994/95:19, del 1 s. 529) är utrymmet för uttalanden från lagstiftarens
sida till vägledning för rättstillämpningen i sådana fall begränsat. Den
nationella lagstiftaren gör därför klokt i att avhålla sig från sådana
uttalanden i fall där mer än en tolkning låter sig göras. Av samma skäl
bör lagtextens lydelse anknyta så nära som möjligt till EG–direktivets
lydelse.
Effekten av en sådan justering av överföringsförbudet som nu föreslås
kan jämföras med vilka möjligheter Datainspektionens förslag hade
inneburit. Enligt Datainspektionens förslag skulle en överföring kunna
ske om den uppfyller de specifika krav som ställs upp i den föreslagna
bestämmelsen. Motsvarande krav för möjligheten till överföring finns
inte i regeringens förslag utan bedömningen av vilken skyddsnivå som
krävs måste göras med beaktande av samtliga omständigheter i det
enskilda fallet. Utrymmet för vilka överföringar som kan anses tillåtna är
alltså betydligt större med en reglering av detta slag. Genom regeringens
förslag utnyttjas också all den handlingsfrihet som finns i EG–direktivet.
De invändningar som Datainspektionen framfört i sin rapport om
bristande möjlighet att förutse vad som är tillåtet har i och för sig visst
fog men motiverar inte att detta handlingsutrymme inte tas till vara.
Behandling av personuppgifter ger upphov till så komplexa rättsliga
överväganden att det är ofrånkomligt att en bedömning måste göras i
varje fall för sig.
6 Straffbestämmelsen i personuppgiftslagen
Regeringens förslag: Straffbestämmelsen i personuppgiftslagen
justeras så att gärningar som är ringa inte längre är straffbara.
Promemorians förslag: Överensstämmer i sak med regeringens.
Remissinstanserna: Förslaget har tillstyrkts av samtliga
remissinstanser. Flera remissinstanser, däribland Svea hovrätt,
Datainspektionen, Socialstyrelsen, Posten AB, Statskontoret, Sveriges
industriförbund och Svenska tidningsutgivareföreningen, har uttryckt
starkt stöd för förslaget.
Skälen för regeringens förslag: Användningen av informationsteknik
i samhället ökar snabbt. Personuppgifter behandlas i dag t.ex. på Internet
i en väsentligt större omfattning än vad som var fallet för bara några år
sedan. Den ökade användningen innebär naturligtvis på många sätt ökade
integritetsrisker. Det finns dock överträdelser av personuppgiftslagens
straffbestämmelse som i det enskilda fallet inte framstår som särskilt
straffvärda.
Den ändring som föreslås i förbudet mot överföring av personuppgifter
till tredje land medför också, som Datainspektionen påpekat i sin rapport,
att det ibland kan vara svårt för den personuppgiftsansvarige att på
förhand avgöra om en överföring är tillåten eller inte. Det kan förutses att
det kommer att finnas situationer där det visar sig att den
personuppgiftsansvarige gjort en felaktig bedömning men överträdelsen
av överföringsförbudet inte är särskilt klandervärd. Det är angeläget att
motverka sådana negativa konsekvenser.
Mot denna bakgrund bör gärningar som är ringa inte leda till straff.
Lagrådet har beträffande effekten av den föreslagna
avkriminaliseringen uttalat att den inte påverkar det skadeståndsrättsliga
ansvar som föreligger enligt lagens 48 § och som utgör en viktig sanktion
vid överträdelser av personuppgiftslagens bestämmelser. Vidare har
Lagrådet uttalat att det är svårt att ha någon bestämd uppfattning om i
vad mån skadestånd kan utgå i de fall av överträdelser av förbudet mot
överföring av personuppgifter till tredje land vilka nu föreslås bli
straffria, men att redan denna tveksamhet kan motverka syftet med
avkriminaliseringen.
Som Lagrådet påpekat påverkar inte den föreslagna
avkriminaliseringen det skadeståndsrättsliga ansvaret enligt
personuppgiftslagen. Det skadeståndsrättsliga ansvaret är väsentligt
eftersom det är ett krav enligt artikel 24 i EG–direktivet att Sverige har
effektiva sanktioner mot överträdelser av reglerna. Regeringen är
övertygad om att den praktiska betydelsen av avkriminaliseringen är väl
ägnad att motverka den tveksamhet som kan uppstå hos
personuppgiftsansvariga.
I anledning av de uttalanden som gjorts av konstitutionsutskottet om
vikten av intensifierade åtgärder för att åstadkomma en lagstiftning som
syftar till att ingripa mot missbruk av personuppgifter snarare än mot
hanteringen av sådana uppgifter är det viktigt att varje möjlighet att ta ett
steg i denna riktning tas till vara. Regeringens förslag till
avkriminalisering innebär att lagstiftningen kommer att närma sig en
missbruksinriktad regleringsmodell.
7 Framtida åtgärder för att underlätta
användningen av informationsteknik
IT–kommissionen har inom det arbete som bedrivs inom det IT–rättsliga
observatoriet utfört en studie över möjligheten att åstadkomma en
lagstiftning för skyddet av personuppgifter enligt en s.k.
missbruksmodell (Det IT–rättsliga observatoriets rapport 8/98). Studien
har diskuterats vid ett seminarium i observatoriets regi.
Regeringen avser att fortsätta arbetet med att undersöka alternativa
lagstiftningsmetoder. Det är dock tydligt att det i det korta eller
medellånga perspektivet inte kommer att vara möjligt att fullt ut föreslå
en lagstiftning som helt är inriktad på att reglera vad som utgör ett
missbruk av personuppgifter. Det är helt enkelt inte möjligt att
åstadkomma en lagstiftning efter en sådan modell inom EG–direktivets
ram. Däremot avser regeringen att, utöver vad som nu föreslås, noga
överväga vilka ytterligare inslag av en mer missbruksinriktad reglering
som kan genomföras inom ramen för EG–direktivet. Regeringen kommer
också att studera hur stort utrymmet är för att tillåta överföring av
personuppgifter till tredje land, särskilt i samband med publicering på
Internet, om den personuppgiftsansvarige ställer tillräckliga garantier till
skydd för den registrerade.
Sverige har i EU–samarbetet påtalat de problem som uppmärksammats
i den svenska debatten. Sverige har också tillsammans med Österrike och
Storbritannien tagit initiativet till en seminarieserie där företrädare för
medlemsstaterna får möjlighet att presentera sin lagstiftning och
diskutera tillämpningsproblem som uppstått i de olika länderna.
Seminarieserien syftar bland annat till att identifiera områden där det kan
finnas ett gemensamt intresse bland medlemsstaterna för en revidering av
direktivet.
Senast hösten 2001 skall kommissionen föreslå nödvändiga
förändringar i direktivet. Det är regeringens föresats att använda tiden
fram till dess för att främja att ett förslag till revidering läggs fram och
för att öka förståelsen för de förändringar som enligt svensk uppfattning
är önskvärda.
8 Ekonomiska konsekvenser av förslaget
Det kan inte förutses några konsekvenser av förslaget som medför ökade
kostnader för det allmänna eller för samhället i övrigt. Däremot kan
förslaget antas få en positiv effekt på samhällsekonomin i och med att det
ökar möjligheten att använda sig av informationsteknik för spridning av
personuppgifter utomlands. Någon närmare beräkning är inte möjlig att
göra.
9 Författningskommentar
33 §
Förbudet mot att föra över personuppgifter till tredje land har modifierats
på så sätt att överföring endast är förbjuden om landet inte har en adekvat
nivå för skyddet av personuppgifterna.
Enligt ett nytt andra stycke skall frågan om en skyddsnivå är adekvat
bedömas mot bakgrund av samtliga omständigheter kring överföringen.
Särskild vikt skall läggas vid uppgifternas art, ändamålet med
behandlingen, hur länge behandlingen skall pågå, ursprungslandet, det
slutliga bestämmelselandet och de regler för behandlingen som finns i det
tredje landet. Andra stycket har sin motsvarighet i artikel 25.2 i EG–
direktivet. I den allmänna motiveringen avsnitt 5.1 diskuteras betydelsen
av uppgifternas art och ändamålet med behandlingen. Med de regler som
finns för behandlingen avses vad som i EG–direktivet uttryckts som ”de
allmänna respektive särskilda rättsregler som gäller i ifrågavarande tredje
land liksom de regler för yrkesverksamhet och säkerhet som gäller där”.
Även andra regler än de rent rättsliga reglerna, t.ex. förekomsten av
mekanismer för självreglering, skall övervägas vid bedömningen.
Reglerna måste inte direkt ta sikte på behandlingen men åtminstone till
sin praktiska effekt beröra denna. Regler kan till exempel finnas som
ställer upp allmänna begränsningar för att få utöva viss yrkesverksamhet
som medför att de aktuella personuppgifterna åtnjuter skydd. Den
faktiska efterlevnaden av reglerna får anses ingå bland de faktorer som
skall tillmätas särskild vikt.
Lagrådet har i sitt yttrande påpekat att uttrycken ”ursprungslandet” och
”det slutliga bestämmelselandet” till skillnad mot ”tredje land” inte är
definierade i lagen. Uttrycken kan enligt Lagrådet avse andra länder än
Sverige och det land dit överföringen sker. Som exempel anger Lagrådet
att personuppgifter kan vara hämtade till Sverige från ett land inom eller
utanför EU/EES och ha sin slutliga bestämmelseort i ett fjärde land och
att skyddet i såväl det första som det sista landet då skall beaktas. Det är
naturligtvis av stor betydelse för skyddet av personuppgifterna hur själva
dataflödet ser ut. EG–direktivet och den svenska lagen anger uttryckligen
att ursprungslandet och det slutliga bestämmelselandet tillhör de faktorer
som skall tillmätas särskild vikt. Ursprungslandet avser det land varifrån
personuppgifterna härrör medan det slutliga bestämmelselandet avser det
land till vilka personuppgifterna kommer att överföras.
De närmare gränsdragningarna om vad som i det enskilda fallet utgör
adekvat skyddsnivå får avgöras i rättstillämpningen.
Det är den personuppgiftsansvarige som har bevisbördan för att
skyddsnivån i det tredje landet är adekvat. En annan sak är att det i
många fall inte kommer att krävas mycket för att beviskravet skall anses
uppfyllt.
Paragrafens tillämpning på elektronisk post och internationella
kommunikationsnätverk har kommenterats ovan i den allmänna
motiveringen i avsnitt 5.1.
49 §
Enligt ett nytt andra stycke skall ansvar inte ådömas i ringa fall.
Vad som är ringa fall får bedömas med hänsyn till samtliga
omständigheter i det enskilda fallet. Alla faktorer som uppgifternas art
och vilken integritetskränkning eller risk för integritetskränkning som
behandlingen orsakat skall vägas in vid bedömningen av om en
överträdelse är att betrakta som ringa.
Av grunderna för 5 § andra stycket lagen (1964:163) om införande av
brottsbalken följer att en gärning som innebär en överträdelse av person-
uppgiftslagens straffbestämmelse, som begåtts före lagens ikraftträdande
och som skulle ha bedömts som ringa om det nya andra stycket hade gällt
då, inte skall leda till straff.
Lagrådet har uttalat att avkriminaliseringen inte torde bli tillämplig i
de fall där datalagen skall tillämpas enligt övergångsbestämmelserna till
personuppgiftslagen.
Förteckning över remissinstanser, Datainspektionens
förslag
Remissyttranden över Datainspektionens rapport Personuppgifter på
Internet av den 1 mars 1999 har avgetts av Riksdagens ombudsmän (JO),
Svea hovrätt, Malmö tingsrätt, Kammarrätten i Göteborg,
Justitiekanslern, Domstolsverket, Riksåklagaren, Rikspolisstyrelsen,
Överstyrelsen för civil beredskap, Socialstyrelsen, Post- och
telestyrelsen, Vägverket, Kommunikationsforskningsberedningen, Posten
AB, Telia AB, Statskontoret, Riksrevisionsverket, Humanistisk–
samhällsvetenskapliga forskningsrådet, Juridiska fakultetsnämnden vid
Stockholms universitet, Riksarkivet, Patent- och registreringsverket,
Lantmäteriverket, Stockholms kommun, Jönköpings kommun, Malmö
kommun, Göteborgs kommun, Umeå kommun, Stockholms läns
landsting, Svenska Kommunförbundet, Landstingsförbundet, Sveriges
advokatsamfund, Sveriges industriförbund, Företagarnas
riksorganisation, Sveriges Radio AB, Sveriges Television AB,
Tjänstemännens centralorganisation (TCO), Sveriges Akademikers
Centralorganisation (SACO), Landsorganisationen i Sverige (LO),
Svenska Arbetsgivareföreningen, Svenska journalistförbundet, Svenska
tidningsutgivareföreningen, Dataföreningen i Sverige, Föreningen
Grävande Journalister, Svenska IT–företagens organisation, BitoS,
Ungdomsstyrelsen, Claes Tullbrink, Anders Björngreen och Jacob
Palme.
Promemorians lagförslag
Förslag till lag om ändring i personuppgiftslagen (1998:204)
Härigenom föreskrivs att 33 och 49 §§ personuppgiftslagen (1998:204)
skall ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
33 §
Det är förbjudet att till tredje
land föra över personuppgifter
som är under behandling. Förbudet
gäller också överföring av
personuppgifter för behandling i
tredje land.
Det är förbjudet att till tredje
land föra över personuppgifter
som är under behandling om
landet inte har en adekvat nivå för
skyddet av personuppgifter.
Förbudet gäller också överföring
av personuppgifter för behandling
i tredje land.
Frågan om en skyddsnivå är
adekvat skall bedömas med hänsyn
till samtliga omständigheter som
har samband med överföringen.
Särskild vikt skall läggas vid
uppgiftens art, ändamålet med
behandlingen, hur länge
behandlingen varar, ursprungs-
landet, det slutliga bestämmelse-
landet och de regler som finns för
behandlingen i det tredje landet.
49 §
Till böter eller fängelse i högst sex månader eller, om brottet är grovt,
till fängelse i högst två år döms den som uppsåtligen eller av oaktsamhet
a) lämnar osann uppgift i sådan information till registrerade som
föreskrivs i denna lag, i anmälan till tillsynsmyndigheten enligt 36 § eller
till tillsynsmyndigheten när myndigheten begär information enligt 43 §,
b) behandlar personuppgifter i strid med 13–21 §§,
c) för över personuppgifter till tredje land i strid med 33–35 §§, eller
d) låter bli att göra anmälan enligt 36 § första stycket eller enligt
föreskrifter meddelade med stöd av 41 §.
I ringa fall av brott mot första
stycket döms inte till ansvar.
Den som överträtt ett vitesföreläggande enligt 44 § eller 45 § första
stycket döms inte till ansvar för en gärning som omfattas av
vitesföreläggandet.
Denna lag träder i kraft den 1 december 1999.
Förteckning över remissinstanser, Promemorians
förslag
Remissyttranden över Justitiedepartementets promemoria av den 1 juni
1999 har avgetts av: Svea hovrätt, Justitiekanslern, Domstolsverket,
Rikspolisstyrelsen, Datainspektionen, Socialstyrelsen, Post- och
telestyrelsen, Vägverket, Posten AB, Telia AB, Statskontoret,
Riksarkivet, Patent- och registreringsverket, Landstingsförbundet,
Sveriges advokatsamfund, Sveriges industriförbund, Tjänstemännens
centralorgansiation (TCO), Svenska Arbetsgivareföreningen, Svenska
journalistförbundet, Svenska tidningsutgivareföreningen, Dataföreningen
i Sverige, Svenska IT-företagens organisation, BitoS och IT–
kommisssionen.
Följande remissinstanser har beretts tillfälle men avstått från att yttra sig
över promemorian: Riksdagens ombudsmän (JO), Malmö tingsrätt,
Kammarrätten i Göteborg, Riksåklagaren, Juridiska fakultetsnämnden
vid Stockholms universitet, Svenska Kommunförbundet, Sveriges Radio
AB, Sveriges Television AB, Sveriges Akademikers Centralorganisation
(SACO), Landsorganisationen i Sverige (LO), Föreningen Grävande
Journalister och Tele 2 AB.
Lagrådsremissens lagförslag
Förslag till lag om ändring i personuppgiftslagen (1998:204)
Härigenom föreskrivs att 33 och 49 §§ personuppgiftslagen (1998:204)
skall ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
33 §
Det är förbjudet att till tredje
land föra över personuppgifter
som är under behandling. Förbudet
gäller också överföring av
personuppgifter för behandling i
tredje land.
Det är förbjudet att till tredje
land föra över personuppgifter
som är under behandling om
landet inte har en adekvat nivå för
skyddet av personuppgifterna.
Förbudet gäller också överföring
av personuppgifter för behandling
i tredje land.
Frågan om en skyddsnivå är
adekvat skall bedömas med hänsyn
till samtliga omständigheter som
har samband med överföringen.
Särskild vikt skall läggas vid
uppgiftens art, ändamålet med
behandlingen, hur länge
behandlingen varar,
ursprungslandet, det slutliga
bestämmelselandet och de regler
som finns för behandlingen i det
tredje landet.
49 §
Till böter eller fängelse i högst sex månader eller, om brottet är grovt,
till fängelse i högst två år döms den som uppsåtligen eller av oaktsamhet
a) lämnar osann uppgift i sådan information till registrerade som
föreskrivs i denna lag, i anmälan till tillsynsmyndigheten enligt 36 § eller
till tillsynsmyndigheten när myndigheten begär information enligt 43 §,
b) behandlar personuppgifter i strid med 13–21 §§,
c) för över personuppgifter till tredje land i strid med 33–35 §§, eller
d) låter bli att göra anmälan enligt 36 § första stycket eller enligt
föreskrifter meddelade med stöd av 41 §.
Ansvar för en gärning enligt
första stycket skall inte dömas ut i
ringa fall.
Den som överträtt ett vitesföreläggande enligt 44 § eller 45 § första
stycket döms inte till ansvar för en gärning som omfattas av
vitesföreläggandet.
Denna lag träder i kraft den 1 december 1999.
Lagrådets yttrande
Utdrag ur protokoll vid sammanträde 1999-09-10
Närvarande: f.d. justitierådet Lars Å. Beckman, regeringsrådet
Susanne Billum, justitierådet Göran Regner.
Enligt en lagrådsremiss den 17 juni 1999 (Justitiedepartementet) har
regeringen beslutat inhämta Lagrådets yttrande över förslag till lag om
ändring i personuppgiftslagen (1998:204).
Förslaget har inför Lagrådet föredragits av hovrättsassessorn
Klas Reinholdsson.
Förslaget föranleder följande yttrande av Lagrådet:
De föreslagna lagändringarna syftar till att underlätta användningen av
modern informationsteknik. De innebär dels att förbudet i 33 § person-
uppgiftslagen mot överföring av personuppgifter till land utanför
EU/EES mjukas upp, dels att ansvar för brott mot bl.a. detta förbud inte
skall ådömas i ringa fall. I sak har Lagrådet i och för sig ingen erinran
mot lagändringarna, som beträffande 33 § innebär en utformning som
närmare ansluter sig till artikel 25 i EG:s direktiv om skydd för enskilda
personer med avseende på behandling av personuppgifter och om det fria
flödet av sådana uppgifter. Lagändringarna kan vara ett bidrag till att
motverka de problem som är förknippade med att tillämpa den reg-
leringsmodell som används i direktivet och i personuppgiftslagen men
som vållar de problem som berörs i konstitutionsutskottets betänkande
1998/99:KU15 (s. 22 f.). Dessa problem kan dock egentligen lösas enbart
genom en revidering av direktivet vilken inte kan förväntas ske inom en
nära framtid.
Lagrådet vill vidare anföra följande med anledning av förslaget.
33 §
Det framgår av förarbetena till personuppgiftslagen att det nuvarande
förbudet mot överföring av personuppgifter till tredje land (dvs. ett land
utanför EU/EES) var avsett att bli kompletterat med föreskrifter av
regeringen eller Datainpektionen om undantag från förbudet mot över-
föring utöver dem som finns i lagens 34 §, se 35 § första stycket och
prop. 1997/98:44 s. 96. Några sådana föreskrifter av allmän karaktär har
emellertid inte meddelats. I den mån sådana undantagsföreskrifter inte
skulle vara mera utförliga och ha större konkretion än vad som nu före-
slås som ändringar i 33 §, är det en fördel att reglerna tas in i själva lagen
med hänsyn till bl.a. att många enskilda personer och företag skall
tillämpa reglerna.
En fråga som kan ställas med anledning av lagförslaget är vilken praktisk
betydelse ändringen i 33 § får. För den enskilde kommer det att vara
svårt att bedöma om förbudet i sin nya utformning gäller eller inte, när
det är fråga om att t.ex. lägga ut personuppgifter på en webbplats som är
allmänt tillgänglig på Internet. En sådan åtgärd medför att uppgifterna
blir tillgängliga i hela världen och därmed kan anses överförda till alla
länder. Huruvida alla länder då har en adekvat skyddsnivå ter sig nästan
omöjligt att veta, särskilt som också den faktiska efterlevnaden av be-
fintliga regler i länderna skall tas med i bedömningen. En tanke som
avspeglas i remissen är att vissa uppgifter kan vara av sådan beskaffenhet
att de normalt framstår som så harmlösa att det inte har någon betydelse
om det finns något skydd alls. En sådan tanke ter sig dock svårförenlig
med de ganska höga krav på skydd för alla slags personuppgifter som
direktivet ställer. Det ter sig med hänsyn till direktivet också diskutabelt
att, som görs i remissen, hävda att personuppgifter får överföras till ett
land utanför EU/EES därför att uppgifterna görs offentliga inom
EU/EES–området och därmed får sådan spridning inom detta att skyddet
mot överföring till tredje land inte skulle få någon reell effekt.
Lagändringen kan innebära att enskilda inte anser sig med tillräcklig
säkerhet kunna avgöra om en avsedd överföring till tredje land är tillåten
enligt 33 § i dessa nya lydelse och därför avstår. Å andra sidan kanske
paragrafen inte efterlevs därför att den uppfattas som en orealistiskt
hämsko på kommunikationen via bl.a. Internet.
Det kan visserligen sägas att den föreslagna ändringen i 49 § som innebär
att ringa fall av överträdelser av förbudet i 33–35 §§ blir straffria minskar
den tvekan som enskilda kan ha angående en tillämnad överförings
tillåtlighet. Den föreslagna avkriminaliseringen påverkar emellertid inte
det skadeståndsrättsliga ansvar som föreligger enligt lagens 48 § och som
utgör en viktig sanktion vid överträdelser av personuppgiftslagens be-
stämmelser (se a. prop. s. 105 ff.). I vad mån skadestånd kan utgå i de
fall av överträdelser av förbudet mot överföring av personuppgifter till
tredje land vilka nu föreslås bli straffria är svårt att ha någon bestämd
uppfattning om, men redan denna tveksamhet kan motverka syftet med
avkriminaliseringen.
I det nya andra stycket i 33 § används uttrycken ”ursprungslandet” och
”det slutliga bestämmelselandet”. De återfinns i artikel 25.2 i EG:s
direktiv, men de är till skillnad mot ”tredje land” inte definierade i lagen.
Uttrycken kan avse andra länder än Sverige och det land dit överföringen
sker. Så t.ex. kan personuppgifter vara hämtade till Sverige från ett land
inom eller utanför EU/EES och ha sin slutliga bestämmelseort i ett fjärde
land. Skyddet i såväl det första som det sista landet skall då beaktas.
49 §
Utöver vad som sagts under 33 § kan anmärkas att den föreslagna
avkriminaliseringen i ringa fall inte torde bli tillämplig i den situationen
att personuppgifter överförts till tredje land, inte i strid med 33–35 §§
personuppgiftslagen, utan i strid med 11 § datalagen som enligt över-
gångsbestämmelserna till personuppgiftslagen alltjämt är tillämplig i
fråga om behandling av personuppgifter som påbörjats före den 24
oktober 1998. I vissa fall kan det vara svårt att avgöra vilken av lagarna
som är tillämplig på en överföring och därmed vilka ”ringa fall” som är
straffria. Beträffande de förmodligen inte så få fall där den gamla lagen
skall tillämpas ännu cirka två år, inträder inte den lättnad i regelverket
som nu föreslås genom avkriminalisering i ringa fall.
Det nya andra stycket avser alla de gärningar som räknas upp i första
stycket, dvs. också andra överträdelser än otillåten överföring av
personuppgifter till tredje land. I remissen berörs inte vilka konsekvenser
avkriminaliseringen får för dessa andra fall. Så t.ex. behandlas inte i
vilken mån avkriminaliseringen kan anses förenlig med direktivets krav i
artikel 24 på effektiva sanktioner vid överträdelser av de bestämmelser
som har antagits för att genomföra direktivet. Såvitt Lagrådet kan
bedöma hindrar dock inte direktivet den föreslagna avkriminaliseringen,
även om denna omfattar också överträdelser där skadeståndsansvar enligt
48 § person-uppgiftslagen inte kommer i fråga.
Justitiedepartementet
Utdrag ur protokoll vid regeringssammanträde den 7 oktober 1999.
Närvarande: statsrådet Hjelm-Wallén, ordförande, och statsråden
Freivalds, Thalén, Winberg, Ulvskog, Lindh, Sahlin, von Sydow,
Klingvall, Pagrotsky, Messing, Engqvist, Rosengren, Larsson,
Wärnersson, Lejon, Lövdén, Ringholm
Föredragande: statsrådet Lejon
Regeringen beslutar proposition 1999/2000:11 Personuppgiftslagens
överföringsregler.
29
1
Prop. 1999/2000:11
2
Prop. 1999/2000:11
3
Prop. 1999/2000:11
4
Prop. 1999/2000:11
5
Prop. 1999/2000:11
12
Prop. 1999/2000:11
13
Prop. 1999/2000:11
17
Prop. 1999/2000:11
14
Prop. 1999/2000:11
19
Prop. 1999/2000:11
18
Prop. 1999/2000:11
21
Prop. 1999/2000:11
20
Prop. 1999/2000:11
Bilaga 1
22
29
Prop. 1999/2000:11
Bilaga 2
23
Prop. 1999/2000:11
Bilaga 3
24
Prop. 1999/2000:11
Bilaga 4
29
Prop. 1999/2000:11
Bilaga 4
25
Prop. 1999/2000:11
Bilaga 5
28
Prop. 1999/2000:11
Bilaga 5
26
Prop. 1999/2000:11
29