Regeringskansliets rättsdatabaser

Regeringens proposition 1997/98:44 Personuppgiftslag Prop. 1997/98:44 Regeringen överlämnar denna proposition till riksdagen. Stockholm den 8 december 1997 Laila Freivalds Pierre Schori (Justitiedepartementet) Propositionens huvudsakliga innehåll I propositionen föreslås en personuppgiftslag. Lagen ersätter den nuvarande datalagen (1973:289) och genomför Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. Lagen, som i huvudsak följer EG-direktivets text och disposition, omfattar all automatiserad behandling av personuppgifter och manuell behandling av personregister. Rent privat användning av personuppgifter är undantagen. Det görs även undantag med hänsyn till offentlighets- principen och tryck- och yttrandefriheten. Särregler i annan lagstiftning tar över bestämmelserna i personuppgiftslagen. Lagen innehåller bestämmelser om när behandling av personuppgifter är tillåten och när sådana uppgifter får föras över till en stat utanför EES. För behandling av känsliga personuppgifter gäller särskilt stränga regler. Även vissa grundläggande krav på den som behandlar personuppgifter regleras, t.ex. att personuppgifter som samlats in för ett ändamål inte får behandlas för något annat oförenligt ändamål. Det finns i lagen vidare bestämmelser om information till de registrerade, om korrigering av personuppgifter och om säkerheten vid behandlingen. Den enskilde skall i fråga om s.k. automatiserade beslut ha rätt att på begäran få manuell omprövning av beslutet och information om den automatiserade behandling som ligger bakom det. Automatiserad behandling av person- uppgifter måste i princip anmälas till en tillsynsmyndighet, men omfattande undantag från denna anmälningsskyldighet medges, t.ex. när den ansvarige för behandlingen har tillsatt ett s.k. personuppgiftsombud med uppgift att självständigt kontrollera den ansvariges behandling. Den som bryter mot lagen kan drabbas av ingripanden från tillsynsmyn- digheten, t.ex. ett vitesföreläggande, eller skadestånd och straff. Personuppgiftslagen föreslås träda i kraft den 24 oktober 1998. Vissa bestämmelser i den nuvarande datalagen föreslås bli flyttade till annan lagstiftning, t.ex. bestämmelsen om straff för dataintrång som flyttas till brottsbalken. Vissa konsekvensändringar görs vidare i sekre- tesslagen (1980:100). Dessa ändringar föreslås träda i kraft samtidigt med den nya lagen. I dag är det möjligt för riksdagen att delegera rätten att meddela föreskrifter om automatisk databehandling av personuppgifter. Det före- slås även att regeringsformen justeras så att det blir möjligt för riksdagen att delegera rätten att meddela föreskrifter om manuell behandling av personuppgifter. Den ändringen föreslås träda i kraft den 1 januari 1999. Innehållsförteckning 1 Förslag till riksdagsbeslut 5 2 Lagtext 6 2.1 Förslag till personuppgiftslag 6 2.2 Förslag till lag om ändring i sekretesslagen (1980:100) 21 2.3 Förslag till lag om ändring i brottsbalken 24 2.4 Förslag till lag om ändring i regeringsformen 25 2.5 Förslag till lag om ändring i personuppgiftslagen (0000:000) 26 3 Ärendet och dess beredning 29 4 Bakgrund och utgångspunkter 30 4.1 Reformbehovet 30 4.2 Den nuvarande datalagen 31 4.3 EG-direktivet 34 5 Genomförandet av EG-direktivet 36 5.1 Lagens uppbyggnad – hanteringsmodell eller missbruksmodell 36 5.2 Den nya lagen skall följa direktivets text och struktur 37 6 En teknikoberoende och generell lag 38 6.1 En teknikoberoende lag som omfattar automatiserad behandling och manuell behandling av personuppgifter 38 6.2 En generellt tillämplig lag men särregler i andra författningar gäller framför den nya lagen 40 7 Lagens namn m.m. 42 8 Undantag från den nya lagen 43 8.1 Förhållandet till offentlighetsprincipen 43 8.2 Förhållandet till tryck- och yttrandefriheten 49 8.3 Undantag för rent privat användning av personuppgifter 53 8.4 Ord- och textbehandling kan inte generellt undantas 54 9 Det territoriella tillämpningsområdet för den nya lagen 55 10 Normgivningsdelegation 56 11 Den materiella regleringen 62 11.1 Huvudprinciper 62 11.2 Grundläggande krav på behandlingen av personuppgifter 63 11.3 När behandling av personuppgifter är tillåten 65 11.4 Behandling av särskilda kategorier av uppgifter 67 11.4.1 Behandling av känsliga personuppgifter 67 11.4.2 Behandling utan samtycke av känsliga personuppgifter för forskning och statistik 70 11.4.3 Behandling av uppgifter om lagöverträdelser 75 11.4.4 Behandling av personnummer 76 11.5 Information till den registrerade 78 11.5.1 Information som skall lämnas när uppgifterna samlas in 78 11.5.2 Information som skall lämnas efter ansökan 81 11.6 Korrigering av personuppgifter 86 11.7 Automatiserade beslut 88 11.8 Säkerheten vid behandlingen 90 11.9 Överföring av personuppgifter utanför EES 93 12 Anmälningsskyldighet och upplysningar till allmänheten om behandlingar 97 13 Tillsynsmyndighetens befogenheter 100 14 Skadestånd och straff 105 15 Ikraftträdande- och övergångsbestämmelser 109 16 Övriga frågor 112 16.1 Regler i den nuvarande datalagen som flyttas till andra lagar 112 16.2 Följdändringar 113 17 Ekonomiska konsekvenser av förslaget 114 18 Författningskommentar 115 18.1 Förslaget till personuppgiftslag 115 18.2 Förslaget till lag om ändring i sekretesslagen (1980:100) 147 18.3 Förslaget till lag om ändring i brottsbalken 149 18.4 Förslaget till lag om ändring i regeringsformen 149 18.5 Förslaget till lag om ändring i personuppgiftslagen (0000:000) 149 Bilaga 1 EG-direktivet om personuppgifter 151 Bilaga 2 Datalagskommitténs sammanfattning av sitt betänkande Integritet – Offentlighet – Informationsteknik (SOU 1997:39) såvitt avser frågan om en ny datalag 183 Bilaga 3 Datalagskommitténs förslag till lagtext 187 Bilaga 4 Sammanfattning av Statskontorets rapport Konsekvens- analys av Datalagskommitténs betänkande SOU 1997:39 (Rapport 1997:11) 204 Bilaga 5 Förteckning över remissinstanser 206 Bilaga 6 Lagrådsremissens lagförslag 208 Bilaga 7 Lagrådets yttrande 231 Utdrag ur protokoll vid regeringssammanträde den 8 december 1997 246 Rättsdatablad 247 1 Förslag till riksdagsbeslut Regeringen föreslår att riksdagen antar regeringens förslag till 1. personuppgiftslag, 2. lag om ändring i sekretesslagen (1980:100), 3. lag om ändring i brottsbalken, 4. lag om ändring i regeringsformen, 5. lag om ändring i personuppgiftslagen (0000:0000). 2 Lagtext Regeringen har följande förslag till lagtext. 2.1 Förslag till personuppgiftslag Härigenom föreskrivs1 följande. Allmänna bestämmelser Syftet med lagen 1 § Syftet med denna lag är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Avvikande bestämmelser i annan författning 2 § Om det i en annan lag eller i en förordning finns bestämmelser som avviker från denna lag, skall de bestämmelserna gälla. Definitioner 3 § I denna lag används följande beteckningar med nedan angiven bety- delse. Beteckning Betydelse Behandling (av person- uppgifter) Varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, an- vändning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring. Blockering (av person- uppgifter) En åtgärd som vidtas för att personuppgifterna skall vara förknippade med information om att de är spärrade och om anledningen till spärren och för att personuppgifterna inte skall lämnas ut till tredje man annat än med stöd av 2 kap. tryckfrihetsförordningen. Mottagare Den till vilken personuppgifter lämnas ut. När personuppgifter lämnas ut för att en myndighet skall kunna utföra sådan tillsyn, kontroll eller revision som den är skyldig att sköta, anses dock inte myndigheten som mottagare. Personuppgifter All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i li- vet. Personuppgiftsansvarig Den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Personuppgiftsbiträde Den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Personuppgiftsombud Den fysiska person som, efter förordnande av den personuppgiftsansvarige, självständigt skall se till att personuppgifter behandlas på ett korrekt och lagligt sätt. Den registrerade Den som en personuppgift avser. Samtycke Varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne. Tillsynsmyndigheten Den myndighet som regeringen utser för att utöva tillsyn. Tredje land En stat som inte ingår i Europeiska unionen eller är ansluten till Europeiska ekonomiska samarbetsområdet. Tredje man Någon annan än den registrerade, den person- uppgiftsansvarige, personuppgiftsombudet, personuppgiftsbiträdet och sådana personer som under den personuppgiftsansvariges eller personuppgiftsbiträdets direkta ansvar har befogenhet att behandla personuppgifter. Tillämpningsområde Det territoriella tillämpningsområdet 4 § Denna lag gäller för sådana personuppgiftsansvariga som är etable- rade i Sverige. Lagen tillämpas också när den personuppgiftsansvarige är etablerad i tredje land men för behandlingen av personuppgifter använder sig av utrustning som finns i Sverige. Vad som nu sagts gäller dock inte om utrustningen bara används för att överföra uppgifter mellan ett tredje land och ett annat sådant land. I det fall som avses i andra stycket första meningen skall den person- uppgiftsansvarige utse en företrädare för sig som är etablerad i Sverige. Vad som anges i denna lag om den personuppgiftsansvarige skall också gälla för företrädaren. Behandling av personuppgifter som omfattas av lagen 5 § Denna lag gäller för sådan behandling av personuppgifter som helt eller delvis är automatiserad. Lagen gäller även för annan behandling av personuppgifter, om upp- gifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Undantag för privat behandling av personuppgifter 6 § Denna lag gäller inte för sådan behandling av personuppgifter som en fysisk person utför som ett led i en verksamhet av rent privat natur. Förhållandet till tryck- och yttrandefriheten 7 § Bestämmelserna i denna lag tillämpas inte i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryck- frihetsförordningen eller yttrandefrihetsgrundlagen. Bestämmelserna i 9–29 och 33–44 §§ samt 45 § första stycket och 47 –49 §§ skall inte tillämpas på sådan behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande. Förhållandet till offentlighetsprincipen 8 § Bestämmelserna i denna lag tillämpas inte i den utsträckning det skulle inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsför- ordningen att lämna ut personuppgifter. Bestämmelserna hindrar inte heller att en myndighet arkiverar och be- varar allmänna handlingar eller att arkivmaterial tas om hand av en arkiv- myndighet. Bestämmelsen i 9 § fjärde stycket gäller inte för en myn- dighets användning av personuppgifter i allmänna handlingar. Grundläggande krav på behandlingen av personuppgifter 9 § Den personuppgiftsansvarige skall se till att a) personuppgifter behandlas bara om det är lagligt, b) personuppgifter alltid behandlas på ett korrekt sätt och i enlighet med god sed, c) personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål, d) personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in, e) de personuppgifter som behandlas är adekvata och relevanta i för- hållande till ändamålen med behandlingen, f) inte fler personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen, g) de personuppgifter som behandlas är riktiga och, om det är nöd- vändigt, aktuella, h) alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen, och i) personuppgifter inte bevaras under en längre tid än vad som är nöd- vändigt med hänsyn till ändamålen med behandlingen. I fråga om första stycket d gäller dock att en behandling av person- uppgifter för historiska, statistiska eller vetenskapliga ändamål inte skall anses som oförenlig med de ändamål för vilka uppgifterna samlades in. Personuppgifter får bevaras för historiska, statistiska eller veten- skapliga ändamål under längre tid än som sagts i första stycket i. Personuppgifterna får dock i sådana fall inte bevaras under en längre tid än vad som behövs för dessa ändamål. Personuppgifter som behandlas för historiska, statistiska eller veten- skapliga ändamål får användas för att vidta åtgärder i fråga om den registrerade bara om den registrerade har lämnat sitt samtycke eller det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. När behandling av personuppgifter är tillåten 10 § Personuppgifter får behandlas bara om den registrerade har lämnat sitt samtycke till behandlingen eller om behandlingen är nödvändig för att a) ett avtal med den registrerade skall kunna fullgöras eller åtgärder som den registrerade begärt skall kunna vidtas innan ett avtal träffas, b) den personuppgiftsansvarige skall kunna fullgöra en rättslig skyl- dighet, c) vitala intressen för den registrerade skall kunna skyddas, d) en arbetsuppgift av allmänt intresse skall kunna utföras, e) den personuppgiftsansvarige eller en tredje man till vilken person- uppgifter lämnas ut skall kunna utföra en arbetsuppgift i samband med myndighetsutövning, eller f) ett ändamål som rör ett berättigat intresse hos den personuppgifts- ansvarige eller hos en sådan tredje man till vilken personuppgifterna läm- nas ut skall kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten. Direkt marknadsföring 11 § Personuppgifter får inte behandlas för ändamål som rör direkt mark- nadsföring, om den registrerade hos den personuppgiftsansvarige skriftli- gen har anmält att han eller hon motsätter sig sådan behandling. Samtycke återkallas 12 § I de fall då behandling av personuppgifter bara är tillåten när den registrerade har lämnat sitt samtycke enligt 10, 15 eller 34 § har den re- gistrerade rätt att när som helst återkalla ett lämnat samtycke. Ytterligare personuppgifter om den registrerade får därefter inte behandlas. En registrerad har utöver vad som följer av första stycket och 11 § inte rätt att motsätta sig sådan behandling av personuppgifter som är tillåten enligt denna lag. Förbud mot behandling av känsliga personuppgifter 13 § Det är förbjudet att behandla personuppgifter som avslöjar a) ras eller etniskt ursprung, b) politiska åsikter, c) religiös eller filosofisk övertygelse, eller d) medlemskap i fackförening. Det är också förbjudet att behandla sådana personuppgifter som rör hälsa eller sexualliv. Uppgifter av den art som anges i första och andra styckena betecknas i denna lag som känsliga personuppgifter. Undantag från förbudet mot behandling av känsliga personuppgifter 14 § Det är trots förbudet i 13 § tillåtet att behandla känsliga person- uppgifter i de fall som anges i 15–19 §§. I 10 § finns det bestämmelser om i vilka fall behandling av personupp- gifter över huvud taget är tillåten. Samtycke eller offentliggörande 15 § Känsliga personuppgifter får behandlas, om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt offentliggjort uppgifterna. Nödvändig behandling 16 § Känsliga personuppgifter får behandlas om behandlingen är nödvän- dig för att a) den personuppgiftsansvarige skall kunna fullgöra sina skyldigheter eller utöva sina rättigheter inom arbetsrätten, b) den registrerades eller någon annans vitala intressen skall kunna skyddas och den registrerade inte kan lämna sitt samtycke, eller c) rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras. Uppgifter som behandlas med stöd av första stycket a får lämnas ut till tredje man bara om det inom arbetsrätten finns en skyldighet för den personuppgiftsansvarige att göra det eller den registrerade uttryckligen har samtyckt till utlämnandet. Ideella organisationer 17 § Ideella organisationer med politiskt, filosofiskt, religiöst eller fackligt syfte får inom ramen för sin verksamhet behandla känsliga personuppgifter om organisationens medlemmar och sådana andra personer som på grund av organisationens syfte har regelbunden kontakt med den. Känsliga personuppgifter får dock lämnas ut till tredje man bara om den registrerade uttryckligen har samtyckt till det. Hälso- och sjukvård 18 § Känsliga personuppgifter får behandlas för hälso- och sjuk- vårdsändamål, om behandlingen är nödvändig för a) förebyggande hälso- och sjukvård, b) medicinska diagnoser, c) vård eller behandling, eller d) administration av hälso- och sjukvård. Den som är yrkesmässigt verksam inom hälso- och sjukvårdsområdet och har tystnadsplikt får även behandla känsliga personuppgifter som omfattas av tystnadsplikten. Detsamma gäller den som är underkastad en liknande tystnadsplikt och som har fått känsliga personuppgifter från verksamhet inom hälso- och sjukvårdsområdet. Forskning och statistik 19 § Känsliga personuppgifter får behandlas för forsknings- och statistik- ändamål, om behandlingen är nödvändig på sätt som sägs i 10 § och om samhällsintresset av det forsknings- eller statistikprojekt där behand- lingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära. Har behandlingen godkänts av en forskningsetisk kommitté, skall förutsättningarna enligt första stycket anses uppfyllda. Med forskningsetisk kommitté avses ett sådant särskilt organ för prövning av forskningsetiska frågor som har företrädare för såväl det allmänna som forskningen och som är knutet till ett universitet eller en högskola eller till någon annan instans som i mera betydande omfattning finansierar forskning. Personuppgifter får lämnas ut för att användas i sådana projekt som avses i första stycket, om inte något annat följer av regler om sekretess och tystnadsplikt. Bemyndigande att föreskriva ytterligare undantag 20 § Regeringen eller den myndighet som regeringen bestämmer får i fråga om automatiserad behandling av personuppgifter meddela före- skrifter om ytterligare undantag från förbudet i 13 §, om det behövs med hänsyn till ett viktigt allmänt intresse. Uppgifter om lagöverträdelser m.m. 21 § Det är förbjudet för andra än myndigheter att behandla person- uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Regeringen eller den myndighet som regeringen bestämmer får i fråga om automatiserad behandling av personuppgifter meddela föreskrifter om undantag från förbudet i första stycket. Regeringen får i enskilda fall besluta om undantag från förbudet i första stycket. Regeringen får överlåta åt tillsynsmyndigheten att fatta sådana beslut. Behandling av personnummer 22 § Uppgifter om personnummer får utan samtycke behandlas bara när det är klart motiverat med hänsyn till a) ändamålet med behandlingen, b) vikten av en säker identifiering, eller c) något annat beaktansvärt skäl. Information till den registrerade Information skall lämnas självmant 23 § Om uppgifter om en person samlas in från personen själv, skall den personuppgiftsansvarige i samband därmed självmant lämna den re- gistrerade information om behandlingen av uppgifterna. 24 § Om personuppgifterna har samlats in från någon annan källa än den registrerade, skall den personuppgiftsansvarige självmant lämna den registrerade information om behandlingen av uppgifterna när de registreras. Är uppgifterna avsedda att lämnas ut till tredje man, behöver informationen dock inte ges förrän uppgifterna lämnas ut för första gången. Information enligt första stycket behöver inte lämnas, om det finns be- stämmelser om registrerandet eller utlämnandet av personuppgifterna i en lag eller någon annan författning. Information behöver inte heller lämnas enligt första stycket, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor ar- betsinsats. Om uppgifterna används för att vidta åtgärder som rör den registrerade, skall dock information lämnas senast i samband med att så sker. Den information som skall lämnas självmant 25 § Information enligt 23 eller 24 § skall omfatta a) uppgift om den personuppgiftsansvariges identitet, b) uppgift om ändamålen med behandlingen, och c) all övrig information som behövs för att den registrerade skall kunna ta till vara sina rättigheter i samband med behandlingen, såsom information om mottagarna av uppgifterna, skyldighet att lämna uppgifter och rätten att ansöka om information och få rättelse. Information behöver dock inte lämnas om sådant som den registrerade redan känner till. Information skall lämnas efter ansökan 26 § Den personuppgiftsansvarige är skyldig att till var och en som ansöker om det en gång per kalenderår gratis lämna besked om person- uppgifter som rör den sökande behandlas eller ej. Behandlas sådana upp- gifter skall skriftlig information lämnas också om a) vilka uppgifter om den sökande som behandlas, b) varifrån dessa uppgifter har hämtats, c) ändamålen med behandlingen, och d) till vilka mottagare eller kategorier av mottagare som uppgifterna läm- nas ut. En ansökan enligt första stycket skall göras skriftligen hos den person- uppgiftsansvarige och vara undertecknad av den sökande själv. Infor- mation enligt första stycket skall lämnas inom en månad från det att ansökan gjordes. Om det finns särskilda skäl för det, får information dock lämnas senast fyra månader efter det att ansökan gjordes. Information enligt första stycket behöver inte lämnas om person- uppgifter i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör minnesanteckning eller liknande. Vad som nu sagts gäller dock inte om uppgifterna har lämnats ut till tredje man eller om uppgifterna behandlas enbart för historiska, statistiska eller veten- skapliga ändamål eller, när det gäller löpande text som inte fått sin slutliga utformning, om uppgifterna har behandlats under längre tid än ett år. Undantag från informationsskyldigheten vid sekretess och tystnadsplikt 27 § I den utsträckning det är särskilt föreskrivet i lag eller annan författ- ning eller i beslut som har meddelats med stöd av författning att uppgifter inte får lämnas ut till den registrerade gäller inte bestämmelserna i 23–26 §§. En personuppgiftsansvarig som inte är en myndighet får därvid i motsvarande fall som avses i sekretesslagen (1980:100) vägra att lämna ut uppgifter till den registrerade. Rättelse 28 § Den personuppgiftsansvarige är skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med denna lag eller föreskrifter som har utfärdats med stöd av lagen. Den personuppgiftsansvarige skall också underrätta tredje man till vilken uppgifterna har lämnats ut om åtgärden, om den registrerade begär det eller om mera betydande skada eller olägenhet för den registrerade skulle kunna undvikas genom en under- rättelse. Någon sådan underrättelse behöver dock inte lämnas, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Automatiserade beslut 29 § Om ett beslut som har rättsliga följder för en fysisk person eller annars har märkbara verkningar för den fysiska personen, grundas enbart på automatiserad behandling av sådana personuppgifter som är avsedda att bedöma egenskaper hos personen, skall den som berörs av beslutet ha möjlighet att på begäran få beslutet omprövat av någon person. Var och en som varit föremål för ett sådant beslut som avses i första stycket har rätt att på ansökan få information från den personupp- giftsansvarige om vad som har styrt den automatiserade behandling som lett fram till beslutet. I fråga om ansökan och lämnandet av information gäller i tillämpliga delar bestämmelserna i 26 §. Säkerheten vid behandling Personer som behandlar personuppgifter 30 § Ett personuppgiftsbiträde och den eller de personer som arbetar under biträdets eller den personuppgiftsansvariges ledning får behandla personuppgifter bara i enlighet med instruktioner från den person- uppgiftsansvarige. Det skall finnas ett skriftligt avtal om personuppgiftsbiträdets behand- ling av personuppgifter för den personuppgiftsansvariges räkning. I det avtalet skall det särskilt föreskrivas att personuppgiftsbiträdet får behandla personuppgifterna bara i enlighet med instruktioner från den personuppgiftsansvarige och att personuppgiftsbiträdet är skyldigt att vidta de åtgärder som avses i 31 § första stycket. Om det i lag eller annan författning finns särskilda bestämmelser om behandlingen av personuppgifter i det allmännas verksamhet i frågor som avses i första stycket, skall dessa gälla i stället för vad som sägs i första stycket. Säkerhetsåtgärder 31 § Den personuppgiftsansvarige skall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som be- handlas. Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av a) de tekniska möjligheter som finns, b) vad det skulle kosta att genomföra åtgärderna, c) de särskilda risker som finns med behandlingen av personuppgifterna, och d) hur pass känsliga de behandlade personuppgifterna är. När den personuppgiftsansvarige anlitar ett personuppgiftsbiträde, skall den personuppgiftsansvarige förvissa sig om att personuppgifts- biträdet kan genomföra de säkerhetsåtgärder som måste vidtas och se till att personuppgiftsbiträdet verkligen vidtar åtgärderna. Tillsynsmyndigheten får besluta om säkerhetsåtgärder 32 § Tillsynsmyndigheten får i enskilda fall besluta om vilka säker- hetsåtgärder som den personuppgiftsansvarige skall vidta enligt 31 §. I 45 § finns det bestämmelser om tillsynsmyndighetens möjligheter att förena beslutet med vite. Överföring av personuppgifter till tredje land Förbud mot överföring av personuppgifter till tredje land 33 § Det är förbjudet att till tredje land föra över personuppgifter som är under behandling. Förbudet gäller också överföring av personuppgifter för behandling i tredje land. Undantag från förbudet mot överföring av personuppgifter till tredje land 34 § Det är trots förbudet i 33 § tillåtet att föra över personuppgifter till tredje land, om den registrerade otvetydigt har samtyckt till överföringen eller när överföringen är nödvändig för att a) ett avtal mellan den registrerade och den personuppgiftsansvarige skall kunna fullgöras eller åtgärder som den registrerade begärt skall kunna vidtas innan ett avtal träffas, b) ett sådant avtal mellan den personuppgiftsansvarige och tredje man som är i den registrerades intresse skall kunna ingås eller fullgöras, c) rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras, eller d) vitala intressen för den registrerade skall kunna skyddas. Det är också tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter. 35 § Regeringen får i fråga om automatiserad behandling av person- uppgifter meddela föreskrifter om undantag från förbudet i 33 § för överföring av personuppgifter till vissa stater. Regeringen får också i fråga om automatiserad behandling av personuppgifter meddela före- skrifter om att överföring av personuppgifter till tredje land är tillåten, om överföringen regleras av ett avtal som ger tillräckliga garantier till skydd för de registrerades rättigheter. Regeringen eller den myndighet som regeringen bestämmer får vidare i fråga om automatiserad behandling av personuppgifter meddela före- skrifter om undantag från förbudet i 33 §, om det behövs med hänsyn till ett viktigt allmänt intresse eller om det finns tillräckliga garantier till skydd för de registrerades rättigheter. Regeringen får under de förutsättningar som nämns i andra stycket i enskilda fall besluta om undantag från förbudet i 33 §. Regeringen får överlåta åt tillsynsmyndigheten att fatta sådana beslut. Anmälan till tillsynsmyndigheten Anmälningsskyldighet 36 § Behandling av personuppgifter som är helt eller delvis auto- matiserad omfattas av anmälningsskyldighet. Den personuppgiftsansva- rige skall göra en skriftlig anmälan till tillsynsmyndigheten innan en sådan behandling eller en serie av sådana behandlingar med samma eller liknande ändamål genomförs. Om den personuppgiftsansvarige utser ett personuppgiftsombud skall detta anmälas till tillsynsmyndigheten. Även ett entledigande av ett personuppgiftsombud skall anmälas till tillsynsmyndigheten. Regeringen eller den myndighet som regeringen bestämmer får med- dela föreskrifter om undantag från anmälningsskyldigheten enligt första stycket för sådana typer av behandlingar som sannolikt inte kommer att leda till otillbörligt intrång i den personliga integriteten. Anmälan behöver inte göras om det finns ett personuppgiftsombud 37 § Om den personuppgiftsansvarige har anmält till tillsynsmyndigheten att ett personuppgiftsombud utsetts och vem det är, behöver anmälan enligt 36 § första stycket inte göras. Personuppgiftsombudets uppgifter 38 § Personuppgiftsombudet skall ha till uppgift att självständigt se till att den personuppgiftsansvarige behandlar personuppgifter på ett lagligt och korrekt sätt och i enlighet med god sed samt påpeka eventuella brister för honom eller henne. Har personuppgiftsombudet anledning att misstänka att den person- uppgiftsansvarige bryter mot de bestämmelser som gäller för behand- lingen av personuppgifter och vidtas inte rättelse så snart det kan ske efter påpekande, skall personuppgiftsombudet anmäla förhållandet till tillsynsmyndigheten. Personuppgiftsombudet skall även i övrigt samråda med tillsynsmyn- digheten vid tveksamhet om hur de bestämmelser som gäller för behand- lingen av personuppgifter skall tillämpas. 39 § Personuppgiftsombudet skall föra en förteckning över de be- handlingar som den personuppgiftsansvarige genomför och som skulle ha omfattats av anmälningsskyldighet om ombudet inte hade funnits. Förteckningen skall omfatta åtminstone de uppgifter som en anmälan enligt 36 § skulle ha innehållit. 40 § Personuppgiftsombudet skall hjälpa registrerade att få rättelse när det finns anledning att misstänka att behandlade personuppgifter är felaktiga eller ofullständiga. Obligatorisk anmälan av särskilt integritetskänsliga behandlingar 41 § Regeringen får meddela föreskrifter om att sådana automatiserade behandlingar av personuppgifter som innebär särskilda risker för otillbörligt intrång i den personliga integriteten skall för förhandskontroll anmälas till tillsynsmyndigheten enligt 36 § tre veckor i förväg. Om regeringen har meddelat sådana föreskrifter, gäller inte undantaget från anmälningsskyldigheten enligt 37 §. Upplysningar till allmänheten om behandlingar som inte anmälts 42 § Den personuppgiftsansvarige skall till var och en som begär det skyndsamt och på lämpligt sätt lämna upplysningar om sådana automatiserade eller andra behandlingar av personuppgifter som inte har anmälts till tillsynsmyndigheten. Upplysningarna skall omfatta det som en anmälan enligt 36 § första stycket skulle ha omfattat. Den person- uppgiftsansvarige är dock inte skyldig att lämna ut sekretessbelagda uppgifter eller uppgifter om vilka säkerhetsåtgärder som har vidtagits. En personuppgiftsansvarig som inte är myndighet får därvid i motsvarande fall som avses i sekretesslagen (1980:100) vägra att lämna ut uppgifter. Tillsynsmyndighetens befogenheter 43 § Tillsynsmyndigheten har rätt att för sin tillsyn på begäran få a) tillgång till de personuppgifter som behandlas, b) upplysningar om och dokumentation av behandlingen av personupp- gifter och säkerheten vid denna, och c) tillträde till sådana lokaler som har anknytning till behandlingen av personuppgifter. 44 § Om tillsynsmyndigheten inte efter begäran enligt 43 § kan få tillräckligt underlag för att konstatera att behandlingen av person- uppgifter är laglig, får myndigheten vid vite förbjuda den person- uppgiftsansvarige att behandla personuppgifter på något annat sätt än genom att lagra dem. 45 § Om tillsynsmyndigheten konstaterar att personuppgifter behandlas eller kan komma att behandlas på ett olagligt sätt, skall myndigheten ge- nom påpekanden eller liknande förfaranden försöka åstadkomma rättelse. Går det inte att få rättelse på något annat sätt eller är saken brådskande, får myndigheten vid vite förbjuda den personuppgiftsansvarige att fort- sätta att behandla personuppgifterna på något annat sätt än genom att lagra dem. Om den personuppgiftsansvarige inte frivilligt följer ett beslut om säkerhetsåtgärder enligt 32 § som vunnit laga kraft, får tillsynsmyn- digheten föreskriva vite. 46 § Innan tillsynsmyndigheten beslutar om vite enligt 44 eller 45 §, skall den personuppgiftsansvarige ha fått tillfälle att yttra sig. Om saken är brådskande, får myndigheten dock i avvaktan på yttrandet meddela ett tillfälligt beslut om vite. Det tillfälliga beslutet skall omprövas, när yttrandetiden har gått ut. Ett vitesföreläggande skall delges den personuppgiftsansvarige. Del- givning enligt 12 § delgivningslagen (1970:428) får användas bara om det finns skäl att anta att den personuppgiftsansvarige har avvikit eller på annat sätt håller sig undan. 47 § Tillsynsmyndigheten får hos länsrätten i det län där myndigheten är belägen ansöka om att sådana personuppgifter som har behandlats på ett olagligt sätt skall utplånas. Beslut om utplånande får inte meddelas om det är oskäligt. Skadestånd 48 § Den personuppgiftsansvarige skall ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med denna lag har orsakat. Ersättningsskyldigheten kan i den utsträckning det är skäligt jämkas, om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne. Straff 49 § Till böter eller fängelse i högst sex månader eller, om brottet är grovt, till fängelse i högst två år döms den som uppsåtligen eller av oaktsamhet a) lämnar osann uppgift i sådan information till registrerade som före- skrivs i denna lag, i anmälan till tillsynsmyndigheten enligt 36 § eller till tillsynsmyndigheten när myndigheten begär information enligt 43 §, b) behandlar personuppgifter i strid med 13–21 §§, c) för över personuppgifter till tredje land i strid med 33–35 §§, eller d) låter bli att göra anmälan enligt 36 § första stycket eller enligt föreskrifter meddelade med stöd av 41 §. Den som överträtt ett vitesföreläggande enligt 44 § eller 45 § första stycket döms inte till ansvar för en gärning som omfattas av vites- föreläggandet. Närmare föreskrifter 50 § Regeringen eller den myndighet som regeringen bestämmer får i fråga om automatiserad behandling av personuppgifter meddela närmare föreskrifter om a) i vilka fall behandling av personuppgifter är tillåten, b) vilka krav som ställs på den personuppgiftsansvarige vid behandling av personuppgifter, c) i vilka fall användning av personnummer är tillåten, d) vad en anmälan eller ansökan till en personuppgiftsansvarig skall innehålla, e) vilken information som skall lämnas till registrerade och hur informationen skall lämnas, och f) anmälan till tillsynsmyndigheten och förfarandet när anmälda uppgifter har ändrats. Överklagande 51 § Tillsynsmyndighetens beslut enligt denna lag om annat än före- skrifter får överklagas hos allmän förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten. Tillsynsmyndigheten får bestämma att dess beslut skall gälla även om det överklagas. Ikraftträdande- och övergångsbestämmelser 1. Denna lag träder i kraft den 24 oktober 1998, då datalagen (1973:289) skall upphöra att gälla. Den äldre lagen gäller dock fortfarande i fråga om överklagande av beslut som har meddelats före den 24 oktober 1998. 2. I fråga om behandling av personuppgifter som påbörjats före ikraft- trädandet eller behandling som utförs för ett visst bestämt ändamål om behandling för ändamålet påbörjats före ikraftträdandet skall till och med den 30 september 2001 den äldre lagen tillämpas i stället för den nya. Detta gäller även bestämmelserna i den äldre lagen om över- klagande. 3. Bestämmelserna i 9, 10, 13 och 21 §§ i den nya lagen skall inte börja tillämpas förrän den 1 oktober 2007 i fråga om sådan manuell behand- ling av personuppgifter som påbörjats före ikraftträdandet eller ma- nuell behandling som utförs för ett visst bestämt ändamål om manuell behandling för ändamålet påbörjats före ikraftträdandet. 4. I fråga om personuppgifter som vid ikraftträdandet lagras för historisk forskning skall bestämmelserna i 9, 10, 13 och 21 §§ i den nya lagen börja tillämpas först när uppgifterna behandlas på något annat sätt. Innan dess skall motsvarande bestämmelser i den äldre lagen tillämpas. De angivna bestämmelserna i den nya lagen skall dock inte till följd av vad som nu sagts börja tillämpas tidigare än vad som följer av 2 eller 3. 5. Anmälan enligt 36 § i den nya lagen får göras innan den nya lagen har trätt i kraft för den aktuella behandlingen. 6. Ett samtycke som har lämnats innan den nya lagen har trätt i kraft för den aktuella behandlingen skall gälla även efter ikraftträdandet om samtycket uppfyller kraven i den nya lagen. 7. Har en begäran om registerutdrag enligt 10 § i den äldre lagen kommit in innan den nya lagen trätt i kraft för den aktuella behandlingen men har utdraget inte expedierats före ikraftträdandet skall framställningen anses som en ansökan enligt 26 § i den nya lagen. 8. Den nya lagens bestämmelser om skadestånd skall bara tillämpas om den omständighet som yrkandet hänför sig till har inträffat efter det att den nya lagen har trätt i kraft för den aktuella behandlingen. I annat fall tillämpas de äldre bestämmelserna. 2.2 Förslag till lag om ändring i sekretesslagen (1980:100) Härigenom föreskrivs i fråga om sekretesslagen (1980:100) dels att 7 kap. 16 §, 9 kap. 6 och 7 §§, 14 kap. 3 § samt 15 kap. 11 § skall ha följande lydelse, dels att det i lagen skall införas en ny paragraf, 15 kap. 14 §, av följande lydelse. Nuvarande lydelse Föreslagen lydelse 7 kap. 16 § Sekretess gäller för person- uppgift i personregister som avses i datalagen (1973:289), om det kan antas att utlämnande skulle medföra att uppgiften används för auto- matisk databehandling i strid med datalagen. Sekretess gäller för person- uppgift, om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgiftslagen (0000:000). Sekretess för uppgift som anges i första stycket gäller också, om det kan antas att utlämnande skulle medföra att uppgiften används för automatisk databehandling i utlan- det och att detta medför otillbörligt intrång i personlig integritet. Vid tillämpning av denna bestämmelse ankommer det på Datainspektionen att pröva fråga om utlämnande. Sekretess enligt detta stycke gäller dock ej, om uppgiften skall använ- das för automatisk databehandling enbart i en stat som har anslutit sig till Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter. 9 kap. 6 § Sekretess gäller hos Datainspek- tionen i ärende om tillstånd eller tillsyn, som enligt lag ankommer på inspektionen, och i ärende om så- dant bistånd som avses i Europarå- dets konvention om skydd för en- skilda vid automatisk databehand- ling av personuppgifter, för uppgift om enskilds personliga eller eko- nomiska förhållanden, om det kan antas att den enskilde eller någon honom närstående lider skada eller men om uppgiften röjs. Har upp- gift, för vilken gäller sekretess en- ligt vad nu har sagts, lämnats till regeringen eller Justitiekanslern, gäller sekretessen också där. Sekretess gäller hos Datainspek- tionen i ärende om tillstånd eller tillsyn, som enligt lag eller annan författning ankommer på inspek- tionen, och i ärende om sådant bi- stånd som avses i Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter, för uppgift om enskilds personliga eller ekono- miska förhållanden, om det kan antas att den enskilde eller någon honom närstående lider skada eller men om uppgiften röjs. Har upp- gift, för vilken gäller sekretess en- ligt vad nu har sagts, lämnats till Justitiekanslern, gäller sekretessen också där. I fråga om uppgift i allmän handling gäller sekretessen i högst sjuttio år. 7 § Sekretess gäller i myndighets verksamhet för enbart teknisk bearbetning eller teknisk lagring för annans räkning av personregister som avses i datalagen (1973:289), för uppgift om enskilds personliga eller ekonomiska förhållanden. Sekretess gäller i myndighets verksamhet för enbart teknisk bearbetning eller teknisk lagring för annans räkning av personuppgifter som avses i personuppgiftslagen (0000:000), för uppgift om enskilds personliga eller ekonomiska förhållanden. 14 kap. 3 §1 Utöver vad som följer av 1 och 2 §§ får sekretessbelagd uppgift lämnas till myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen skall skydda. Första stycket gäller inte i fråga om sekretess enligt 7 kap. 1–6, 33 och 34 §§, 8 kap. 8 § första stycket och 9 och 15 §§ samt 9 kap. 4 och 7 §§, 8 § första och andra styckena och 9 §. Inte heller gäller första stycket, om utlämnandet strider mot lag eller förordning eller, såvitt angår uppgift i personregister enligt datalagen (1973:289), före- skrift som har meddelats med stöd av datalagen. Första stycket gäller inte i fråga om sekretess enligt 7 kap. 1–6, 33 och 34 §§, 8 kap. 8 § första stycket och 9 och 15 §§ samt 9 kap. 4 och 7 §§, 8 § första och andra styckena och 9 §. Inte heller gäller första stycket, om utlämnandet strider mot lag eller förordning eller föreskrift som har meddelats med stöd av personuppgiftslagen (0000:000). 15 kap. 11 § Varje myndighet skall för allmänheten hålla tillgänglig beskrivning av de register, förteckningar eller andra anteckningar hos myndigheten som förs med hjälp av automatisk databehandling (ADB-register). Sådan skyldighet föreligger dock inte i fråga om ADB-register som inte till någon del anses som allmän handling hos myndigheten. Myndigheten är inte heller skyldig att tillhandahålla beskrivning som uppenbarligen skulle vara av ringa betydelse för enskildas rätt att ta del av allmänna handlingar hos myndigheten. Beskrivning som avses i första stycket skall ge upplysning om 1. ADB-registrets benämning, 2. ADB-registrets ändamål, 3. vilka typer av uppgifter i ADB-registret som myndigheten har tillgång till och på vilket sätt dessa uppgifter normalt inhämtas, 4. hos vilka andra myndigheter ADB-registret är tillgängligt för överföring till läsbar form, 5. vilka terminaler eller andra tekniska hjälpmedel som enskild själv kan få utnyttja hos myndigheten, 6. vilka bestämmelser om sekretess som myndigheten vanligen skall tillämpa på uppgifter i ADB-registret, 7. vem som hos myndigheten kan lämna närmare upplysningar om ADB- registret och dess användning i myndighetens verksamhet, 8. rätt till försäljning av person- uppgifter i personregister som avses i datalagen (1973:289). 8. rätt till försäljning av person- uppgifter. I beskrivningen skall dock uppgift enligt andra stycket utelämnas, om det behövs för att beskrivningen i övriga delar skall kunna företes för allmänheten. 14 § Om en myndighet för handläggning av ett mål eller ärende använder sig av en upptag- ning för automatisk databehand- ling, skall upptagningen tillföras handlingarna i målet eller ärendet i läsbar form, om inte särskilda skäl föranleder annat. 1. Denna lag träder i kraft den 24 oktober 1998. 2. I fråga om behandling av personuppgifter för vilken datalagen (1973:289) är tillämplig efter den 24 oktober 1998 gäller dock fortfarande 7 kap. 16 §, 9 kap. 6 och 7 § samt 14 kap. 3 § i deras äldre lydelse. 2.3 Förslag till lag om ändring i brottsbalken Härigenom föreskrivs i fråga om brottsbalken dels att 4 kap. 10 § skall ha följande lydelse, dels att det i balken skall införas en ny bestämmelse, 4 kap. 9 c §, av följande lydelse. Nuvarande lydelse Föreslagen lydelse 4 kap. 9 c § Den som i annat fall än som sägs i 8 och 9 §§ olovligen bereder sig tillgång till upptagning för auto- matisk databehandling eller olov- ligen ändrar eller utplånar eller i register för in sådan upptagning döms för d a t a i n t r å n g till böter eller fängelse i högst två år. Med upptagning avses härvid även uppgifter som är under befordran via elektroniskt eller annat liknande hjälpmedel för att användas för automatisk databehandling. 10 § För försök, förberedelse eller stämpling till människorov, olaga frihetsberövande eller försättande i nödläge, för underlåtenhet att av- slöja sådant brott, så ock för försök eller förberedelse till olaga tvång som är grovt dömes till ansvar enligt vad i 23 kap. stadgas. För försök, förberedelse eller stämpling till människorov, olaga frihetsberövande eller försättande i nödläge och för underlåtenhet att avslöja sådant brott döms till ansvar enligt vad som sägs i 23 kap. Detsamma gäller för försök eller förberedelse till olaga tvång som är grovt eller till dataintrång som om det fullbordats inte skulle ha varit att anse som ringa. Denna lag träder i kraft den 24 oktober 1998. 2.4 Förslag till lag om ändring i regeringsformen Härigenom föreskrivs att 8 kap. 7 § regeringsformen skall ha följande ly- delse. Nuvarande lydelse Föreslagen lydelse 8 kap. 7 §1 Utan hinder av 3 eller 5 § kan regeringen efter bemyndigande i lag genom förordning meddela föreskrifter om annat än skatt, om föreskrifterna avser något av följande ämnen: 1. skydd för liv, personlig säkerhet eller hälsa, 2. utlännings vistelse i riket, 3. in- eller utförsel av varor, av pengar eller av andra tillgångar, tillverk- ning, kommunikationer, kreditgivning, näringsverksamhet, ransonering, återanvändning och återvinning av material, utformning av byggnader, anläggningar och bebyggelsemiljö eller tillståndsplikt i fråga om åtgärder med byggnader och anläggningar, 4. jakt, fiske, djurskydd eller natur- och miljövård, 5. trafik eller ordningen på allmän plats, 6. undervisning och utbildning, 7. förbud att röja sådant som någon har erfarit i allmän tjänst eller under utövande av tjänsteplikt, 8. skydd för personlig integritet vid registrering av uppgifter med hjälp av automatisk databehand- ling. 8. skydd för personlig integritet vid behandling av personuppgifter. Bemyndigande som avses i första stycket medför ej rätt att meddela föreskrifter om annan rättsverkan av brott än böter. Riksdagen kan i lag, som innehåller bemyndigande med stöd av första stycket, föreskriva även annan rättsverkan än böter för överträdelse av föreskrift som regeringen meddelar med stöd av bemyndigandet. Denna lag träder i kraft den 1 januari 1999. 2.5 Förslag till lag om ändring i personuppgiftslagen (0000:000) Härigenom föreskrivs1 att 20, 21, 35, 41 och 50 §§ personuppgiftslagen (0000:000) skall ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 20 § Regeringen eller den myndighet som regeringen bestämmer får i fråga om automatiserad behandling av personuppgifter meddela före- skrifter om ytterligare undantag från förbudet i 13 §, om det behövs med hänsyn till ett viktigt allmänt intresse. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om ytterligare undantag från förbudet i 13 §, om det behövs med hänsyn till ett viktigt allmänt intresse. 21 § Det är förbjudet för andra än myndigheter att behandla personuppgif- ter om lagöverträdelser som innefattar brott, domar i brottmål, straff- processuella tvångsmedel eller administrativa frihetsberövanden. Regeringen eller den myndighet som regeringen bestämmer får i fråga om automatiserad behandling av personuppgifter meddela före- skrifter om undantag från förbudet i första stycket. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från förbudet i första stycket. Regeringen får i enskilda fall besluta om undantag från förbudet i första stycket. Regeringen får överlåta åt tillsynsmyndigheten att fatta sådana beslut. 35 § Regeringen får i fråga om auto- matiserad behandling av person- uppgifter meddela föreskrifter om undantag från förbudet i 33 § för överföring av personuppgifter till vissa stater. Regeringen får också i fråga om automatiserad behandling av personuppgifter meddela före- skrifter om att överföring av personuppgifter till tredje land är tillåten, om överföringen regleras av ett avtal som ger tillräckliga garantier till skydd för de registrerades rättigheter. Regeringen får meddela före- skrifter om undantag från förbudet i 33 § för överföring av person- uppgifter till vissa stater. Regeringen får också meddela före- skrifter om att överföring av personuppgifter till tredje land är tillåten, om överföringen regleras av ett avtal som ger tillräckliga garantier till skydd för de registrerades rättigheter. Regeringen eller den myndighet som regeringen bestämmer får vidare i fråga om automatiserad behandling av personuppgifter, meddela föreskrifter om undantag från förbudet i 33 §, om det behövs med hänsyn till ett viktigt allmänt intresse eller om det finns till- räckliga garantier till skydd för de registrerades rättigheter. Regeringen eller den myndighet som regeringen bestämmer får vidare meddela föreskrifter om undantag från förbudet i 33 §, om det behövs med hänsyn till ett viktigt allmänt intresse eller om det finns tillräckliga garantier till skydd för de registrerades rättigheter. Regeringen får under de förutsättningar som nämns i andra stycket i enskilda fall besluta om undantag från förbudet i 33 §. Regeringen får överlåta åt tillsynsmyndigheten att fatta sådana beslut. 41 § Regeringen får meddela före- skrifter om att sådana automa- tiserade behandlingar av person- uppgifter som innebär särskilda risker för otillbörligt intrång i den personliga integriteten skall för förhandskontroll anmälas till till- synsmyndigheten enligt 36 § tre veckor i förväg. Om regeringen har meddelat sådana föreskrifter, gäller inte undantaget från anmälnings- skyldigheten enligt 37 §. Regeringen får meddela före- skrifter om att sådana behandlingar av personuppgifter som innebär särskilda risker för otillbörligt intrång i den personliga integriteten skall för förhandskontroll anmälas till tillsynsmyndigheten enligt 36 § tre veckor i förväg. Om regeringen har meddelat sådana föreskrifter, gäller inte undantaget från an- mälningsskyldigheten enligt 37 §. 50 § Regeringen eller den myndighet som regeringen bestämmer får i fråga om automatiserad behandling av personuppgifter meddela närmare föreskrifter om Regeringen eller den myndighet som regeringen bestämmer får meddela närmare föreskrifter om a) i vilka fall behandling av personuppgifter är tillåten, b) vilka krav som ställs på den personuppgiftsansvarige vid behandling av personuppgifter, c) i vilka fall användning av personnummer är tillåten, d) vad en anmälan eller ansökan till en personuppgiftsansvarig skall innehålla, e) vilken information som skall lämnas till registrerade och hur informationen skall lämnas, och f) anmälan till tillsynsmyndigheten och förfarandet när anmälda uppgifter har ändrats. Denna lag träder i kraft den 1 januari 1999. 3 3 Ärendet och dess beredning Datalagen (1973:289) syftar till att skydda den enskilde mot otillbörligt intrång i den personliga integriteten till följd av att personuppgifter registreras med hjälp av automatisk databehandling. Bland annat den tekniska utvecklingen under de senaste årtiondena har gjort att den nuvarande lagen från 1973 i dag är föråldrad såväl innehållsmässigt som till sin lagtekniska utformning. Det behövs därför en ny, modern lagstiftning om personuppgifter som tillförsäkrar den enskilde ett fullgott integritetsskydd i IT-samhället och som inte hämmar samhällsut- vecklingen eller försvårar förverkligandet av andra viktiga mål. Samtidigt har Sverige att – i enlighet med skyldigheterna som medlem i Europeiska unionen – i svensk lagstiftning genomföra Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, se bilaga 1. Efter beslut av regeringen den 15 juni 1995 tillkallades en parlamentariskt sammansatt kommitté med uppgift att dels göra en total revision av datalagen och analysera på vilket sätt EG-direktivet om personuppgifter skall genomföras i svensk lagstiftning, dels lämna förslag till anpassning till den nya tekniken av grundlagsreglerna om allmänna handlingars offentlighet. Kommittén antog namnet Datalags- kommittén. Den 2 april 1997 avgav kommittén betänkandet Integritet – Offentlighet – Informationsteknik (SOU 1997:39). Kommitténs samman- fattning av betänkandet såvitt avser frågan om en ny datalag finns i bilaga 2. Betänkandet innehåller förslag till en ny persondatalag, tillsammans med vissa konsekvensändringar i sekretesslagen (1980:100), och förslag till ändringar i 2 kap. tryckfrihetsförordningen (TF) samt viss anknytande lagstiftning. Kommitténs förslag till persondatalag m.m. finns i bilaga 3. Regeringen beslutade den 17 april 1997 att uppdra åt Statskontoret att analysera de ekonomiska konsekvenserna av Datalagskommitténs förslag i betänkandet och att, i de fall förslagen leder till utgiftsökningar, lämna förslag till finansiering. Uppdraget var främst föranlett av förslagen till ändringar i 2 kap. TF. Den 17 juni 1997 avgav Statskontoret rapporten Konsekvensanalys av Datalagskommitténs betänkande SOU 1997:39 (Rapport 1997:11). En sammanfattning av rapporten finns i bilaga 4. Datalagskommitténs betänkande och Statskontorets rapport har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 5. Sammanställningar av remissvaren finns tillgängliga i Justitiede- partementet (dnr Ju97/1280). Regeringen tar i detta ärende bara upp frågan om en ny datalag och vissa därmed sammanhängande frågor. Frågan om en anpassning av 2 kap. TF till den nya tekniken kräver enligt regeringens mening ytterligare överväganden. Regeringen kommer inom en snar framtid att ta ställning till hur frågan lämpligen skall beredas vidare. Ett stort antal författningar, t.ex. kreditupplysningslagen (1973:1173), måste anpassas till direktivet och till den nya lagen. Detta arbete bereds vidare inom Regeringskansliet. Lagrådet Regeringen beslutade den 30 oktober 1997 att inhämta Lagrådets yttrande över de lagförslag som finns i bilaga 6. Lagrådets synpunkter på förslaget behandlas i samband med att sakfrågorna diskuteras i motiveringen eller i anslutning till att enskilda bestämmelser kommenteras i författningskommentaren. Lagrådets yttrande finns i bilaga 7. Vissa redaktionella och språkliga ändringar har gjorts efter det att Lagrådet yttrat sig. Ett fåtal mindre justeringar i sak har också gjorts. 4 Bakgrund och utgångspunkter 4.1 Reformbehovet Utvecklingen inom informationstekniken har gått rasande fort under de senaste årtiondena, och inget talar för att den kommer att hejdas eller mattas inom den närmaste framtiden. Tekniken blir bara kraftfullare, enklare att hantera och billigare. Det gör att den blir tillgänglig för allt fler. Samtidigt blir det allt enklare att ta del av och sprida datorlagrad information oavsett var informationen finns. Sätten att lagra och söka informationen blir allt mer flexibla. Den nya informationsteknikens möjligheter har gjort att även hanteringen av personanknuten information ökat, t.ex. sådan information som genereras och registreras automatiskt vid användningen av datorer. Medvetenheten har också ökat om att fler och fler uppgifter finns tillgängliga på allt fler ställen. Samtidigt börjar dock alltmer raffinerade metoder användas för att samla in och bearbeta personanknuten information. Den som använder Internet eller moderna kort för t.ex. inpassering, bussresor, betalning eller olika bonussystem kan lätt på ett omedvetet sätt lämna s.k. elektroniska spår som kan användas för att kartlägga olika egenskaper hos individen. Också utvecklingen av annan teknik och kunskap än informationsteknik kan leda till en ökad registrering av personanknuten information. Med DNA-teknik kan t.ex. tidigare förborgad information om personliga förhållanden göras till- gänglig. Den nya teknikens möjligheter kan således lätt användas på ett så inträngande, övervakande eller annars kränkande sätt som inte bör tolereras i ett demokratiskt samhälle som värnar om individen. Individen kan av samhället kräva ett skydd mot integritetskränkningar. Samtidigt måste individens skydd hela tiden vägas mot andra grundläggande demo- kratiska rättigheter och värden, t.ex. informationsfriheten och yttrande- friheten. Man måste också beakta de helt legitima behov som finns av att använda personanknuten information i ett samhälle av sådan storlek och komplexitet som det vi lever i. I varje välfärdssamhälle med sociala ambitioner är det t.ex. nödvändigt att i viss utsträckning använda person- anknuten information för att identifiera behov och möjligheter hos invånarna och styra samhällsutvecklingen mot de uppställda demokratiska målen. Det är således många svåra avvägningar som måste göras vid utform- ningen av en lagstiftning till skydd för den personliga integriteten av- seende personuppgifter. Härtill kommer att lagstiftningen inte i onödan bör hindra användningen av ny teknik. Den nya tekniken för inte med sig bara risker utan också många obestridliga fördelar, som vi måste ta till vara om Sverige skall kunna behålla och förstärka sin framskjutna position bland industrinationerna. Sådant som inte kunde göras förr är nu möjligt tack vare tekniken. Den nya tekniken har redan inneburit en höjning av livskvaliteten och en ökad frihet för många människor. Det gryende informationssamhället kan innebära förbättrade möjligheter till ökad jämställdhet och ett förverkligande av angelägna regionalpolitiska mål. Det är uppenbart att den nu föråldrade datalagen från 1973 inte uppfyller de krav som bör ställas på en lagstiftning till skydd för den personliga integriteten avseende personuppgifter i dagens och morgon- dagens samhälle. Ingen har heller i detta lagstiftningsärende ställt sig upp till försvar för den nuvarande datalagen. Det finns således starka skäl för att nu införa en ny lagstiftning på området. Den nya lagstiftningen måste emellertid utformas mot bakgrund av Sveriges skyldigheter gentemot Europeiska unionen, särskilt EG-direktivet om personuppgifter. 4.2 Den nuvarande datalagen Grundläggande regler om inrättandet och förandet av personregister med hjälp av automatisk databehandling finns i dag i datalagen (1973:289). Kompletterande bestämmelser om bl.a. licensanmälan, tillståndsansökan, handläggningen hos Datainspektionen, verkställighetsföreskrifter och bi- stånd till personer som är registrerade utomlands finns i dataförordningen (1982:480). Datalagen inleds med en definition av begreppen personuppgift, per- sonregister, registrerad och registeransvarig (1 §). Med personuppgift avses upplysningar som avser en enskild person. Det kan vara upplysningar om namn, personnummer, födelsedatum, nationalitet, utbildning, familj och anställningsförhållanden. Även andra typer av upplysningar av mindre personlig karaktär räknas som person- uppgifter. Enligt lagmotiven avses även uppgifter om en persons bostadsförhållanden, banktillgodohavanden, fastighets- eller bilinnehav och upplysningar i övrigt om en persons ekonomiska ställning. Med personregister förstås register, förteckningar eller andra anteck- ningar som förs med hjälp av automatisk databehandling (ADB) och som innehåller personuppgifter som kan hänföras till den som avses med uppgifterna. Bara register som förs med hjälp av ADB omfattas således av datalagen. Register som förs med hjälp av annan teknik än ADB faller i dag utanför lagens tillämpningsområde. En personuppgift kan hänföras till en viss person antingen direkt ge- nom själva uppgiften eller med hjälp av en identitetsuppgift som också ingår i registret. Även register som innehåller identitetsuppgifter av sådan art att bara den invigde kan utläsa vilka personer som finns registrerade omfattas av datalagen. Likaså omfattas statistiska uppgifter där beteckningar som också återfinns på dokument gör det möjligt att knyta uppgifterna till en viss person. Med begreppet registrerad avses en enskild person om vilken det förekommer en personuppgift i ett personregister. Registeransvarig är den för vars verksamhet ett personregister förs, om han eller hon förfogar över registret. Såväl fysiska som juridiska personer och myndigheter kan vara registeransvariga. Bara den som har anmält sig till Datainspektionen och fått licens får inrätta och föra personregister (2 §). Datainspektionen granskar inte an- mälan i sak utan ger bara den registeransvarige ett bevis (licens) om att anmälan har gjorts samt ett särskilt licensnummer (10 § dataförord- ningen). En licens berättigar den registeransvarige att föra ett eller flera personregister. Licens behövs inte för personregister som en enskild per- son inrättar eller för uteslutande för personligt bruk (2 § 3 st.). Den som fått licens skall betala en årlig avgift till Datainspektionen. Inspektionen får, om det finns särskilda skäl, sätta ned eller efterskänka avgiften. Avgifterna finansierar inspektionens verksamhet. Med hjälp av ADB för Datainspektionen ett register över licensanmäl- ningar, licensregistret (3 § dataförordningen). Licensregistret får Datain- spektionen använda för sin tillsyns- och informationsverksamhet samt som underlag för uppbörd av licensavgifter. För vissa typer av register med känsliga uppgifter krävs utöver licens även ett särskilt tillstånd från Datainspektionen (2 § 2 st. datalagen). Sådant tillstånd behövs i regel för att inrätta och föra register som inne- håller a) i sig känsliga personuppgifter, b) omdömen om den registrerade, c) uppgifter om personer som saknar sådan anknytning till den registeransvarige som följer av medlemskap, anställning, kundförhållande eller något därmed jämförligt förhållande samt d) personuppgifter som hämtas in från något annat personregister (s.k. samkörning), om inte registreringen av uppgifterna eller utlämnandet av dessa sker med stöd av författning, Datainspektionens beslut eller den registrerades medgivande. Tillstånd behövs inte för personregister som någon inrättar eller för uteslutande för personligt bruk (2 § 3 st.). Tillstånd behövs inte heller för register vars inrättande beslutats av riksdagen eller regeringen (s.k. statsmaktsregister) eller för register som har tagits emot för förvaring av en arkivmyndighet (2 a § 1 st. 1 och 3). För sådana personregister som ofta förekommer inom en viss verksamhet för ett visst ändamål kan det meddelas särskilda föreskrifter (19 §). Följer den registeransvarige så- dana föreskrifter, behövs inte något tillstånd (2 a § 1 st. 2). Sammanslutningar får utan tillstånd inrätta och föra personregister som innehåller sådana uppgifter om medlemmarnas politiska uppfattning, religiösa tro eller övertygelse i övrigt som utgör grunden för medlemskapet i sammanslutningen (2 a § 2 st. 1). Myndigheter inom hälso- och sjukvården får utan tillstånd för vård- eller behandlingsändamål inrätta och föra personregister som innehåller uppgifter om någons sjukdom eller hälsotillstånd i övrigt (2 a § 2 st. 2). Likaså får myndigheter inom socialtjänsten utan tillstånd inrätta och föra personregister som innehåller uppgifter om att någon fått ekonomisk hjälp eller vård inom socialtjänsten (2 a § 2 st. 3). Läkare och tandläkare får utan tillstånd inrätta och föra personregister som innehåller sådana uppgifter om någons sjukdom eller hälsotillstånd i övrigt som de har fått reda på i sin yrkesverksamhet (2 a § 2 st. 4). Arbetsgivare får utan tillstånd inrätta och föra personregister som innehåller sådana uppgifter om arbetstagares sjukdom som avser tid för sjukfrånvaro, om uppgifterna används för löneadministrativa ändamål eller för att arbetsgivaren skall kunna avgöra om han eller hon skall påbörja en rehabiliteringsutredning enligt 22 kap. 3 § andra stycket lagen (1962:381) om allmän försäkring (2 a § 2 st. 5). Vid sin tillståndsprövning skall Datainspektionen ta ställning till om det finns anledning att anta att registreringen medför ett otillbörligt intrång i den registrerades personliga integritet. Om så anses vara fallet, skall tillstånd inte meddelas. Vid prövningen skall inspektionen särskilt beakta arten och mängden av de personuppgifter som skall ingå i registret, hur och från vem uppgifterna skall hämtas in, vilken inställning de som kan komma att registreras har eller kan antas ha till saken och att inte andra uppgifter eller andra personer registreras än som står i överensstämmelse med ändamålet med registret (3 §). Särskilda skäl krävs för att tillstånd skall kunna meddelas för inrättande och förande av personregister som omfattar andra än medlemmar, anställda eller kunder hos den registeransvarige eller personer som har annan därmed jämställd anknytning (3 a §). Det krävs synnerliga skäl för att andra än myndigheter som enligt lag eller annan författning har att föra förteckning över sådana uppgifter skall kunna få tillstånd att inrätta och föra personregister som innehåller vissa angivna typer av känsliga uppgifter, såsom exempelvis uppgift om att nå- gon misstänks eller har dömts för brott eller varit föremål för vissa tvångsingripanden (4 § 1 st.). Tillstånd att inrätta och föra personregister som i övrigt innehåller uppgifter om någons sjukdom, hälsotillstånd eller sexualliv eller uppgift om att någon fått ekonomisk hjälp eller vård inom socialtjänsten eller varit föremål för åtgärd enligt utlänningslagen får bara om det finns särskilda skäl meddelas någon annan än en myndighet som enligt lag eller annan författning har att föra en förteckning över sådana uppgifter. Särskilda skäl krävs även för registrering av uppgifter om någons ras eller politiska uppfattning eller religiösa övertygelse (4 § 2 och 3 st.). När Datainspektionen meddelar tillstånd att inrätta och föra personre- gister, skall inspektionen samtidigt meddela beslut om ändamålet med re- gistret (5 §). I den mån det behövs för att förebygga risk för otillbörligt intrång i personlig integritet skall inspektionen i samband med tillstånds- givningen även meddela särskilda villkor (6 §). Sådana villkor får meddelas beträffande exempelvis inhämtande av uppgifter, vilka person- uppgifter som får ingå i registret, utlämnande, bevaring och gallring. Personregister skall inrättas och föras så att inte otillbörligt intrång i de registrerades personliga integritet uppkommer. I 7 § anges närmare vad som skall iakttas för att nå upp till vad som brukar kallas ”god registersed”. Den registeransvarige är också skyldig att förteckna de personregister som han eller hon är ansvarig för (7 a §). Förteckningen skall vara aktuell och hållas tillgänglig för Datainspektionen. I datalagen finns det också särskilda bestämmelser om ADB- användningen som är avsedda att garantera att personuppgifter är riktiga och fullständiga. Dessa bestämmelser, som återfinns i 8 och 9 §§, be- handlar bl.a. rättelse av oriktiga och missvisande uppgifter. En central bestämmelse är vidare 10 §. Den ger den enskilde en rätt till insyn i personregister. Där stadgas att den registeransvarige på skriftlig begäran av den enskilde skall underrätta denne om innehållet i registret, såvitt gäller honom eller henne. Ett sådant registerutdrag, s.k. § 10-utdrag, har den enskilde rätt att kostnadsfritt få en gång per år. I datalagen finns det allmänna bestämmelser om gallring av person- uppgifter och om vad som skall iakttas då en registeransvarig upphör att föra ett personregister för vilket Datainspektionen har meddelat tillstånd (12 §). Vissa bestämmelser om tystnadsplikt finns i 13 §. En särskild bestämmelse om dokumentationsskyldighet avser att göra det möjligt att i efterhand fastställa vilka uppgifter i en ADB-upptagning som har legat till grund för avgörandet av ett mål eller ärende hos en myndighet. Sådana ADB-upptagningar skall tillföras handlingarna i målet eller ärendet i för ögat läsbar form. Undantag gäller bara om det finns särskilda skäl (14 §). Datainspektionen utövar tillsyn över att automatisk databehandling inte medför otillbörligt intrång i den registrerades personliga integritet (15–18 §§). Inspektionen har möjlighet att meddela villkor eller, om rättelse inte kan åstadkommas på annat sätt, förbjuda förandet av personregister eller återkalla meddelade tillstånd. Datainspektionens beslut enligt datalagen kan överklagas till länsrätten i Stockholm eller, när en statlig myndighet är registeransvarig, regeringen. Justitiekanslern får föra talan för att ta till vara allmänna intressen. (25 §.) Bestämmelser om straff och skadestånd finns i 20, 21 och 23 §§. Ett personregister kan förklaras förverkat, om det inrättas eller förs utan nöd- vändig licens eller tillstånd (22 §). I datalagen regleras även det statliga person- och adressregistret (SPAR), 26–28 §§. 4.3 EG-direktivet Syftet med Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter är att skapa en gemensam, hög nivå på integritetsskyddet för att därigenom möjliggöra ett fritt flöde av personuppgifter medlemsländerna emellan. Medlemsstaterna får inom den ram som ges i direktivet närmare precisera villkoren för när behandling av personuppgifter får förekomma. Dessa preciseringar får dock inte hindra det fria flödet av personuppgifter inom unionen. I arbetet med direktivet har Sverige agerat hårt för att få till stånd så- dana lösningar att direktivet inte står i motsättning till den svenska offentlighetsprincipen och annan grundlagsreglering. De svenska ansträngningarna på detta område har varit framgångsrika. För att undanröja alla eventuella oklarheter vid tolkningen av direktivets förenlighet med offentlighetsprincipen har på svenskt initiativ tagits in en klausul i direktivets ingress (punkt 72) som gör det möjligt att ta hänsyn till offentlighetsprincipen när direktivets bestämmelser genomförs i nationell rätt. Direktivet finns i sin helhet i bilaga 1. Huvuddragen i direktivet är följande. Direktivet är tillämpligt på all behandling av personuppgifter och såle- des också på manuella register, dock endast på sådana manuella register som är sökbara utifrån särskilda kriterier. Direktivet är inte tillämpligt på sådan behandling av personuppgifter som faller utanför gemenskaps- rätten (t.ex. den som gäller allmän säkerhet, statens säkerhet eller statens verksamhet på straffrättens område) och inte heller på register för personligt bruk. Behandling av personuppgifter för journalistiska, konstnärliga och litterära ändamål undantas från direktivets materiella bestämmelser. Personuppgifter får samlas in endast för särskilda, uttryckligt angivna och berättigade ändamål och uppgifterna får inte senare användas på ett sätt som är oförenligt med ursprungsändamålet. Personuppgifter får behandlas endast när samtycke lämnats, när det är nödvändigt för att fullgöra ett avtal i vilket den registrerade är part, när det finns en i författning reglerad förpliktelse att behandling av uppgifterna skall ske, när det är nödvändigt för att skydda den enskildes grundläggande intressen, när det är nödvändigt att utföra en arbetsuppgift i det allmännas intresse eller slutligen, om det i övrigt skett en intresseav- vägning som resulterat i att behandling av personuppgifter skall få ske. Känsliga uppgifter (ras, religion, politisk åsikt, facklig tillhörighet, hälsotillstånd etc.) får inte behandlas. Dock gäller vissa undantag, bl.a. vid den enskildes uttryckliga samtycke, för ideella föreningars medlemsregister, för hälso- och sjukvårdens administration och vid författningsreglerade skyldigheter. Medlemsstaterna skall bestämma på vilka villkor nationella identi- fikationsnummer får behandlas. När personuppgifter samlas in skall de registrerade informeras om bl.a. vem som är registeransvarig och vad uppgifterna skall användas till. All behandling av personuppgifter skall enligt huvudregeln anmälas till en tillsynsmyndighet. Medlemsstaten kan dock genom bransch- och sektorsreglering eller motsvarande från anmälningsskyldigheten undanta sådan behandling av personuppgifter som inte kränker enskildas fri- och rättigheter. Behandling av personuppgifter som innebär särskilda integritetsrisker får inte förekomma utan att tillsynsmyndigheten först gett tillstånd till detta. Den registrerade skall ha rätt att få sina rättigheter enligt den nationella lagen prövad av tillsynsmyndigheten och domstol. Överföring av personuppgifter till ett tredje land får i princip endast lagen prövade av tillsynsmyndigheten och domstol. ske om det mot- tagande landet har en acceptabel skyddsnivå. Tillsynsmyndigheten skall vara ett oberoende organ. Den skall ha un- dersökningsbefogenheter och befogenheter att effektivt ingripa mot otillåten behandling av personuppgifter. Medlemsstaterna skall genomföra direktivet i nationell rätt inom tre år efter antagandet den 24 oktober 1995. För de automatiserade behandlingar som då redan påbörjats är föreskrivet en övergångsperiod på ytterligare tre år. För redan existerande manuella register är övergångsperioden utsträckt till, som längst, tolv år. 5 Genomförandet av EG-direktivet 5.1 Lagens uppbyggnad – hanteringsmodell eller missbruksmodell Regeringens bedömning: En lagstiftning som reglerar själva hanteringen av personuppgifter bör införas, eftersom det inte synes möjligt att genomföra EG-direktivet på annat sätt. Sverige bör dock på lämpligt sätt verka för att det blir möjligt att i stället använda en lagstiftning som mera koncentrerar sig på vad som kan karaktäriseras som ett missbruk av personuppgifter. Datalagskommitténs bedömning överensstämmer med regeringens. Remissinstanserna: De allra flesta remissinstanser som uttalat sig i saken föredrar en lagstiftning efter en missbruksmodell. Det är dock bara en remissinstans – Juridiska fakultetsnämnden vid Stockholms universitet – som anser det möjligt att utforma en missbruksmodell inom de ramar EG-direktivet ställer upp. Många remissinstanser anser att en lagstiftning efter den hanteringsmodell som följer av direktivet är otidsenlig och förordar att Sverige så snart som möjligt tar initiativ inom EU för att åstadkomma en annan ordning. Skälen för regeringens bedömning: Bestämmelserna i EG-direktivet innebär att själva hanteringen av personuppgifter regleras, oavsett om hanteringen kan sägas utgöra ett missbruk. Direktivet bygger således på en hanteringsmodell. Sverige har såsom medlem i Europeiska unionen att i svensk lagstiftning genomföra de hanteringsregler som direktivet föreskriver. Sverige skall därvid, såsom anges i artikel 5 i direktivet, inom den ram direktivet ställer upp precisera på vilka villkor behandling av personuppgifter är tillåten. I likhet med Datalagskommittén och de allra flesta remissinstanserna anser regeringen att det nu inte är möjligt att uppfylla skyldigheten att genomföra direktivet på annat sätt än genom att införa en lagstiftning av hanteringsmodell. Ingen har för övrigt kunnat konkret ange hur det skulle kunna vara möjligt med hänsyn till EG- direktivet att använda en renodlad missbruksmodell. En lagstiftning som reglerar i princip all hantering av personuppgifter måste således införas på grund av EG-direktivet. En sådan lagstiftning framstår emellertid i dag som inte särskilt modern. Mycket av den an- vändning av personuppgifter som den alltmer genomgripande datori- seringen har medfört måste betraktas som harmlös. Alltfler medborgare har också tillgång till dator, elektronisk post och annan kommunikation i världsomspännande nätverk. Det finns därför starka skäl för att verka för att det blir möjligt att gå ifrån en lagstiftning efter en vittomfattande hanteringsmodell. Vi avser att på lämpligt sätt utnyttja Sveriges inflytande i Europeiska unionen för att påverka i denna riktning. Möjligheterna till påverkan är givetvis beroende av att det går att visa på användbara alternativ till en hanteringsmodell. Det är därför viktigt att diskussionen om och arbetet med möjliga utformningar av alternativa modeller fortsätter. Datalagskommittén har diskussionsvis skisserat på en alternativ modell. Även inom det rättsliga observatorium som har inrättats inom ramen för IT-kommissionen pågår diskussion och analys av alternativa modeller. 5.2 Den nya lagen skall följa direktivets text och struktur Regeringens bedömning: Den nya lagen bör i huvudsak följa direktivets text och struktur. Vissa omskrivningar och förkortningar bör dock göras för att anpassa texten till svensk lagstil. Hanteringsregler utöver de som EG-direktivet kräver bör föras in i den nya generella lagen bara om det finns ett särskilt behov. Datalagskommitténs bedömning överensstämmer i huvudsak med regeringens. Remissinstanserna: Remissutfallet är blandat. En del förordar att lagen utformas i närmare anslutning till direktivets text, medan andra föredrar ytterligare omskrivningar och omstruktureringar som än mer fjärmar den svenska lagtexten från direktivet. Ingen remissinstans har framfört behov av ytterligare regler om hanteringen av personuppgifter. Skälen för regeringens bedömning: Det måste, såsom konstaterades i avsnitt 5.1, införas en lagstiftning som reglerar i princip all hantering av personuppgifter. De hanteringsregler som läggs fast i EG-direktivet måste införas i lagstiftningen. Det gäller t.ex. regler om när behandling av personuppgifter skall vara tillåten, om vilka krav som ställs på behandlingen och om information till den registrerade. De hanteringsregler som EG-direktivet lägger fast är så pass omfattande att det knappast kan komma i fråga att därutöver införa ytterligare hanteringsregler i den nya generella lagen. De synpunkter som kommit fram vid remissbehandlingen talar för att det snarare behövs färre regler eller flera undantag än hanteringsregler på flera områden. Vi anser därför att hanteringsregler utöver dem som EG-direktivet kräver bör föras in i den nya generella lagen bara om det finns ett särskilt visat behov. Det handlingsutrymme som EG-direktivet i vissa fall medger vid genomförandet bör givetvis utnyttjas. Detta innebär att den nya lagen i stort sett bara kommer att innehålla de regler som direktivet kräver. Det verkar då vara bäst att, såsom Data- lagskommittén föreslagit och de flesta remissinstanser godtagit, låta den nya lagen i stort sett följa direktivets text och struktur. Det är ju ändå EG- domstolen som sist och slutligen har att tolka de begrepp och uttryck som direktivet innehåller. Eftersom det å andra sidan är viktigt att så långt som möjligt hålla på svenska traditioner i fråga om lagstil, bör dock vissa modifieringar göras i förhållande till direktivet. Svenska domstolar har vid tillämpning av lagtext som införts till genomförande av ett EG-direktiv att tolka lagen i överensstämmelse med direktivet och att vid behov fråga EG-domstolen om den rätta innebörden. Eftersom EG-direktiv saknar egentliga förarbeten, finns det inga direkta hållpunkter för tolkningen av direktiv förutom själva texten i direktivet, inklusive ingressen. Därför är det svårt att innan EG- domstolen har sagt sitt veta hur direktivet egentligen skall tolkas och tillämpas. Datalagskommittén har trots detta lämnat kommentarer om tolkningen av direktivet och av föreslagen lagtext som mer eller mindre ordagrant följer direktivet. De överväganden om tolkningen som kommittén redovisat har i huvudsak godtagits eller lämnats utan erinran av remissinstanserna. Den redovisningen kan därför utgöra en god grund för dem som har att tillämpa den nya lagen. Enligt EG:s rättsordning är det EG-domstolen som är exklusivt behörig att göra auktoritativa uttalanden om innebörden av EG:s rättsregler. Sverige har genom anslutningen till Europeiska unionen också förbundit sig att verka för en enhetlig tolkning och tillämpning av regler i EG-rätten. Genom det aktuella EG-direktivet har det dessutom inrättats en särskild arbetsgrupp med uppgifter som syftar till att bidra till en enhetlig tillämpning av de nationella bestämmelser som genomför direktivet. Av dessa skäl anser vi att regeringen i sin proposition till riksdagen i princip bör avstå från att uttala sig om hur direktivet i olika delar bör tolkas. 6 En teknikoberoende och generell lag 6.1 En teknikoberoende lag som omfattar automatiserad behandling och manuell behandling av personupp- gifter Regeringens förslag: Den nya lagen skall vara teknikoberoende och tillämpas på automatiserad behandling av personuppgifter och manuell behandling av personuppgifter. Datalagskommitténs förslag överensstämmer med regeringens. Remissinstanserna: De flesta remissinstanser som uttalat sig tycker att det är bra med en teknikoberoende lagstiftning. Kungliga biblioteket anser dock att det vore en oacceptabel inskränkning i informationsfriheten om manuella register skulle omfattas av lagen. Skälen för regeringens förslag: Den nuvarande datalagen gäller bara för automatisk databehandling av personuppgifter. EG-direktivet gäller däremot för sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg och dessutom för annan behandling av person- uppgifter under förutsättning att dessa ingår i eller kommer att ingå i ett register (artikel 3). Med register avses enligt direktivet varje strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden (artikel 2 c). På grund av Sveriges skyldigheter gentemot Europeiska unionen måste den nya lagen ha minst samma tillämpningsområde som EG- direktivet. Det innebär att den nya lagen kommer att vara teknikoberoende, dvs. gälla för såväl automatiserad som viss manuell hantering av personuppgifter. Det är bra eftersom det är viktigt att den nya lagen så lite som möjligt hämmar användningen av ny informationsteknik. Genom att den nya lagen till skillnad från den nuvarande datalagen omfattar också viss manuell hantering, finns det inte längre skäl för användare av personuppgifter att välja en föråldrad, manuell teknik för att undkomma hanteringsreglerna i lagen. Begreppet ”automatiserad” har valts på förslag av Lagrådet i stället för ”automatisk”, eftersom det förra språkligt sett bättre uttrycker vad som avses. Som Lagrådet anfört för begreppet ”automatisk” tanken till en behandling som sker automatiskt efter en viss händelse eller tidpunkt e.d. oavsett hur behandlingen utförs. Användningen i den nuvarande datalagen av begreppet register vid automatisk databehandling har med fog kritiserats för att vara otidsenlig. På grund av den tekniska utvecklingen har det i en sammansatt och komplex datormiljö blivit allt svårare att fastställa vad som är ett register i förhållande till ett annat. Det har också vuxit fram allt flexiblare och kraftfullare metoder för att med hjälp av datorer söka och hantera uppgifter som inte finns i någon registerstruktur. Det är därför en fördel att den nya generella lagen omfattar all automatiserad behandling av personuppgifter utan hänsyn till det föråldrade registerbegreppet. Det nu sagda hindrar givetvis inte att det som faktiskt är ett regelrätt datoriserat register också kallas för det. Flertalet särskilda registerförfatt- ningar rör just upprättandet och förandet av traditionella datoriserade register. Registerformen har därvid ofta valts medvetet för att skapa förutsägbarhet och säkerhet beträffande de uppgifter som behandlas med hjälp av datorer; uppgifterna skall läggas in i ett på visst sätt strukturerat register och får tas fram bara med hjälp av vissa angivna sökkriterier. När det gäller manuell behandling av personuppgifter på papper omfattas däremot bara sådana uppgifter som ingår i eller kommer att ingå i ett register av EG-direktivet. Det innebär att det står Sverige fritt att låta den nya lagen omfatta även t.ex. behandling av personuppgifter på papper som inte har strukturerats i ett register. Det vore emellertid enligt vår mening att gå för långt. Det är först när en stor mängd person- uppgifter på papper har strukturerats på något sätt som det går att hitta bland uppgifterna på ett enkelt sätt. Det är då sådana egentliga inte- gritetsrisker med behandlingen uppkommer som kan mötas med de hanteringsregler som den nya lagen innehåller. Den nya lagen bör således ha samma tillämpningsområde som EG- direktivet och omfatta automatiserad behandling av personuppgifter och manuell behandling av personregister. Enligt vår mening är det inte nödvändigt att med anledning av detta justera grundlagsbestämmelsen i 2 kap. 3 § andra stycket regeringsformen om att varje medborgare skall i den utsträckning som närmare anges i lag skyddas mot att hans eller hennes personliga integritet kränks genom att uppgifter om honom eller henne registreras med hjälp av automatisk databehandling. Regerings- formen slår fast ett minimiskydd, och det gör inget att den nya lagen i sitt skydd går längre än vad grundlagen kräver. 6.2 En generellt tillämplig lag men särregler i andra författningar gäller framför den nya lagen Regeringens förslag: Den nya lagen skall, liksom den nuvarande datalagen, vara generellt tillämplig och omfatta även sådant som faller utanför EG-rätten. Särregler i andra författningar skall dock gälla framför den nya lagen. Datalagskommitténs förslag överensstämmer med regeringens. Remissinstanserna: De flesta remissinstanser har godtagit förslaget eller lämnat det utan erinran. Många remissinstanser pekar dock på behovet av att de särskilda registerförfattningarna anpassas till den nya lagen och att nödvändiga undantag och särregler införs i dessa för- fattningar. Flera betonar också vikten av ett samordnat och överskådligt system, t.ex. genom hänvisningar i den generella lagen till register- författningarna. Riksåklagaren föreslår att statens verksamhet på det straffrättsliga området undantas från lagen. Skälen för regeringens förslag: Den nuvarande datalagen är i princip generellt tillämplig på all automatisk databehandling av personregister, men i den utsträckning ett personregister är reglerat i en annan författning är det undantaget Datainspektionens tillståndsprövning och föreskriftsrätt. EG-direktivet gäller däremot inte för sådan behandling av person- uppgifter som utgör ett led i en verksamhet som inte omfattas av EG- rätten, t.ex. statens verksamhet på straffrättens område eller som rör all- män säkerhet eller försvar. Det innebär att det står Sverige fritt att begränsa den nya lagens tillämpningsområde till sådana verksamheter som omfattas av EG-rätten. Detta skulle emellertid strida mot vad som tillämpats under lång tid i Sverige, nämligen ett system som utgår från en generell lag kompletterad med särregler i s.k. registerförfattningar för viktigare eller känsligare register. Registerförfattningarna innehåller många preciserade och viktiga regler som inte rimligen kan ersättas av de generella bestämmelser som den nya lagen innehåller. Samtidigt står det klart att det är nödvändigt med särregler i förhållande till den nya lagen på flera viktiga områden, t.ex. beträffande polisens verksamhet. Frågan är därför om det redan i den nya lagen skall göras undantag för vissa verksamheter eller om nödvändiga särregler för dessa verksamheter liksom hittills skall ges i särskilda författningar som får gälla framför den nya lagen. Frågan om generella undantag med hänsyn till offentlighetsprincipen och tryck- och yttrandefriheten samt för rent privat användning av personuppgifter och för ord- och textbehandling tas upp i avsnitt 8. Vi anser att det traditionella svenska systemet med särregler i särskilda författningar är att föredra framför generella undantag från den nya lagen. Det är i stort sett bara verksamhet inom den offentliga sektorn som med hänsyn till EG-direktivet skulle kunna undantas från den nya lagen. Inom den sektorn förekommer det t.ex. ofta stora mängder känsliga uppgifter och uppgifter som har hämtats in med stöd av straffsanktionerad uppgiftsplikt. Därför är det särskilt viktigt med ett starkt integritetsskydd när det gäller uppgifter inom all offentlig verksamhet. Om viss offentlig verksamhet skulle generellt undantas från lagen, finns det risk för att viss behandling inom den sektorn inte kommer att omfattas av någon lagstiftning med motsvarande syfte som den nya lagen. Genom att det krävs en särskild författning för att avvika från det integritetsskydd som den nya lagen ger, garanteras däremot att behovet av särregler alltid övervägs noga i den ordning som gäller för författningsgivning. Målet har också varit att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll skall regleras särskilt i lag (prop. 1990/91:60 s. 50 och KU 1990/91:11 s. 11). Det finns inte anledning att nu avvika från det målet. Den nya lagen bör således vara generellt tillämplig och omfatta även sådan verksamhet som faller utanför EG-rätten samtidigt som avvikande bestämmelser i lag eller förordning skall gälla framför den nya lagen. Detta innebär också att den nya lagen i princip bara bör innehålla generella regler och att behovet av undantag och särregler för mer speciella områden får tillgodoses genom andra författningar. Såsom Datalagskommittén och flera remissinstanser har påpekat krävs det en anpassning av befintliga registerförfattningar och en översyn av vilka särregler som bör gälla i förhållande till den nya lagen. Vi avser att snarast påbörja ett sådant anpassnings- och översynsarbete. 7 Lagens namn m.m. Regeringens förslag: Den nya lagen skall heta personuppgiftslagen. Den som är ansvarig för en behandling av personuppgifter kallas i lagen personuppgiftsansvarig, och den som hjälper den ansvarige och behandlar personuppgifter för den ansvariges räkning kallas person- uppgiftsbiträde. Den person med uppgift att självständigt se till att personuppgifter behandlas på ett korrekt och lagligt sätt som den personuppgiftsansvarige tillsatt kallas i lagen personuppgiftsombud. Datalagskommitténs förslag innebär att lagen skall heta person- datalagen och att i lagen används beteckningarna persondataansvarig, persondatabiträde och persondataombud. Remissinstanserna: Flera remissinstanser har – främst mot bakgrund av att uttrycket data för tankarna till datorer, medan den nya lagen omfattar även viss manuell hantering – haft synpunkter på lagens namn och andra terminologiska frågor, och många förslag har förts fram, bl.a. lagen om behandling av personuppgifter och personuppgiftslagen. Skälen för regeringens förslag: Den nya lagen reglerar något som berör i princip samtliga människor i Sverige varje dag. Många har att tillämpa lagen varje dag. En sådan lag bör ha ett kort namn. Därför är det inte lämpligt att, såsom vissa föreslagit, kalla den nya lagen för lagen om behandling av personuppgifter eller liknande. Såsom korta alternativ till persondatalag har föreslagits person- uppgiftslag, integritetsskyddslag och persondataskyddslag. Alternativet integritetsskyddslag bör inte väljas, eftersom lagen inte skyddar den per- sonliga integriteten i andra avseenden än när det är fråga om behandling av personuppgifter. Namnet persondataskyddslag är längre än person- datalag samtidigt som det inte kan anses mera upplysande. Det namnet bör därför inte väljas. Enligt vår mening låter namnet personuppgiftslag bättre än persondatalag. Det leder inte heller tanken på något missvisande sätt till enbart datorlagrade personuppgifter. Den nya lagen omfattar ju inte bara automatiserad behandling i datorer av personuppgifter utan även viss manuell behandling av sådana uppgifter, t.ex. på papper (se avsnitt 6.1). Vi anser därför att namnet personuppgiftslag bör väljas. I enlighet med det ställningstagandet bör den som är ansvarig för en behandling av personuppgifter kallas personuppgiftsansvarig och den som hjälper den ansvarige och behandlar personuppgifter för dennes räkning kallas personuppgiftsbiträde; beteckningen behandlingsassistent, som annars varit naturlig för denna befattning, får anses upptagen och därför olämplig. Den person med uppgift att självständigt se till att per- sonuppgifter behandlas på ett korrekt och lagligt sätt som den personuppgiftsansvarige tillsatt bör vidare kallas personuppgiftsombud. Enligt vår mening finns det inte någon beaktansvärd risk för att ombudet och biträdet förväxlas. Att, såsom Datainspektionen föreslagit, kalla om- budet för personuppgiftskontrollant är inte lämpligt, eftersom ombudet främst skall kontrollera inte själva uppgifterna utan den person- uppgiftsansvariges behandling av dem. Den som en personuppgift avser bör, liksom i dag, kallas den registrerade. Att, såsom Datainspektionen föreslagit, i stället använda uttrycket ”den som en personuppgift avser” förefaller otympligt. 8 Undantag från den nya lagen 8.1 Förhållandet till offentlighetsprincipen Regeringens bedömning: EG-direktivet går att förena med offentlighetsprincipen. Regeringens förslag: I den nya lagen införs en uttrycklig bestämmelse som klargör att lagen inte tillämpas, om det skulle inskränka myndig- heternas skyldigheter att lämna ut personuppgifter enligt 2 kap. TF. Det införs också en bestämmelse om att lagen inte hindrar att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. Datalagskommitténs bedömning och förslag överensstämmer med regeringens. Remissinstanserna: Flera remissinstanser ger uttryck för tveksamhet i frågan om direktivet går att förena med offentlighetsprincipen. Några instanser, t.ex. Justitiekanslern, Statskontoret och Juridiska fakultets- nämnden vid Uppsala universitet, anger däremot uttryckligen att de delar kommitténs uppfattning att direktivet går att förena med offentlig- hetsprincipen eller att de inte har några invändningar mot den bedöm- ningen. Skälen för regeringens bedömning och förslag: Sverige har efter inträdet i Europeiska unionen tagit aktiv del i förhandlingarna om EG- direktivet och agerat hårt för att få till stånd sådana lösningar att direktivet inte står i motsättning till den svenska offentlighetsprincipen. De svenska ansträngningarna på detta område har varit framgångsrika. På flera punkter avviker det antagna direktivet från tidigare förslag. Det finns enligt regeringens uppfattning i det antagna direktivet inte någon bestämmelse som inte går att förena med den svenska offentlig- hetsprincipen. Offentlighetsprincipen enligt 2 kap. TF innebär att myndigheterna är skyldiga att – i den utsträckning sekretess inte hindrar det – lämna ut allmänna handlingar till den som begär det. Av betydelse för den grundlagsfästa offentlighetsprincipen är också myndigheternas skyldig- heter enligt lag och andra författningar att bevara uppgifter och inte korrigera dem på ett sådant sätt att ursprungsuppgifterna utplånas. Utlämnande av personuppgifter Att personuppgifter lämnas ut med stöd av den grundlagsfästa offentlig- hetsprincipen är i och för sig att anse som en sådan behandling av personuppgifter som omfattas av EG-direktivet. Av artikel 6.1 b i direktivet framgår att personuppgifter skall samlas in för särskilda, uttryckligt angivna ändamål och att senare behandling av uppgifterna inte får ske på ett sätt som är oförenligt med de ändamål för vilka uppgifterna ursprungligen samlades in; också enligt Europarådets dataskyddskonvention (artikel 5 b) skall personuppgifter för automatisk databehandling lagras för särskilda ändamål och inte användas på ett sätt som är oförenligt med dessa ändamål. – Enligt vår uppfattning, vilken delas av Datalagskommittén samt flera remissinstanser, kan en myndig- hets utlämnande av personuppgifter med stöd av offentlighetsprincipen inte anses vara oförenligt med de ändamål för vilka uppgifterna ursprungligen samlades in. Offentlighetsprincipen framgår av grundlagen och får anses utgöra en integrerad del av all förvaltningsverksamhet som myndigheterna ägnar sig åt. Av artikel 7 framgår vidare att personuppgifter får behandlas, t.ex. lämnas ut, om det är nödvändigt för att fullgöra en rättslig förpliktelse som åvilar den registeransvarige eller för att fullgöra en arbetsuppgift som är ett led i myndighetsutövning som utförs av den registeransvarige. – De registeransvariga myndigheterna är rättsligt förpliktade att följa bl.a. grundlagsreglerna om utlämnande av allmänna handlingar, och utlämnandet är också ett led i deras myndighetsutövning. Utlämnandet är alltså tillåtet enligt artikel 7. Behandling – utlämnande – av känsliga personuppgifter skall i princip förbjudas enligt artikel 8. Det är emellertid tillåtet att av hänsyn till ett viktigt allmänt intresse göra undantag från förbudet, om det finns lämpliga skyddsåtgärder (artikel 8.4). – Att utlämnande kan ske enligt den grundlagsfästa offentlighetsprincipen är ett viktigt svenskt allmänt intresse. De svenska sekretessbestämmelserna medför att sådana känsliga personuppgifter som avses i artikel 8 i praktiken inte kommer att lämnas ut om den enskilde kan skadas eller drabbas negativt av utlämnandet. Sekretessbestämmelserna får anses utgöra sådana lämpliga skydds- åtgärder som avses i EG-direktivet. Det finns alltså inget hinder mot att föreskriva ett undantag från det principiella förbudet mot behandling av personuppgifter i artikel 8 för sådant utlämnande som sker med stöd av offentlighetsprincipen. När uppgifter om en viss person samlas in från den berörde själv, skall – enligt artikel 10 – den information lämnas som är nödvändig för att till- försäkra den registrerade en korrekt behandling, exempelvis information om ”mottagarna eller de kategorier som mottar uppgifterna”. Information behöver dock inte lämnas i den utsträckning den registrerade redan känner till informationen. I artikel 11.1 finns det motsvarande bestäm- melser för det fallet att personuppgifterna inte har samlats in från den registrerade själv utan hämtats från något annat håll. – Eftersom offent- lighetsprincipen innebär att var och en kan få ut icke-sekretessbelagda personuppgifter och att den som får uppgifterna i princip har rätt att vara anonym, kan den myndighet som samlar in personuppgifter inte lämna information om till vilka personer uppgifterna kan komma att lämnas ut. Däremot kan information givetvis lämnas om att uppgifterna kan komma att lämnas ut enligt offentlighetsprincipen till den som begär det, i den mån de inte är sekretessbelagda. Härigenom får de registrerade – på det sätt direktivet kräver – information om till vilka kategorier av mottagare som uppgifterna kan komma att lämnas ut. Eftersom utlämnande enligt offentlighetsprincipen sedan lång tid tillbaka föreskrivits i svensk grundlag, kan det vidare förutsättas att allmänheten redan känner till att så kan ske. Därför torde det inte vara nödvändigt att lämna särskild information i detta hänseende. Enligt artikel 13.1 g är det tillåtet för medlemsstaterna att göra nöd- vändiga undantag från bl.a. bestämmelserna i artikel 6.1, 10 och 11.1 med hänsyn till skyddet av den registrerades eller andras fri- och rättigheter. – Rätten för var och en att få ta del av allmänna handlingar som inte är sekretessbelagda med stöd av den grundlagsfästa offentlighetsprincipen är en sådan rättighet som kan göra det befogat med undantag. För att undanröja alla eventuella oklarheter vid tolkningen av direktivet på denna punkt har det dessutom på svenskt initiativ tagits in en klausul i direktivets ingress (punkt 72) som gör det möjligt att ta hänsyn till offentlighetsprincipen när direktivets bestämmelser genomförs i nationell rätt. I ingressen talas det i den svenska versionen av direktivet om ”principen om allmänhetens rätt till tillgång till allmänna handlingar”. Den svenska språkversionen har samma giltighet som andra språkversioner. Eftersom klausulen kommit till på svenskt initiativ, står det enligt regeringens mening klart att den svenska offentlighetsprincipen omfattas av uttrycket. De invändningar som förts fram av vissa remissinstanser beträffande det förhållandet att det i andra språkversioner av direktivet används uttryck som måhända syftar på annat än det svenska begreppet allmänna handlingar framstår därför inte som bärkraftiga. Lagrådet har, efter att ha redovisat bl.a. att Datalagsutredningen i sitt betänkande En ny datalag, SOU 1993:10, ifrågasatte ett då föreliggande direktivförslags förenlighet med offentlighetsprincipen, anfört att det inte är övertygat om att direktivet går att förena med offentlighetsprincipen och att de tolkningar regeringen gör framstår som pressade. Lagrådet anför bl.a. att det mot bakgrund av syftet med direktivet (skapandet av en gemensam hög skyddsnivå som skapar förutsättningar för ett fritt flöde av uppgifter mellan länderna) inte är sannolikt att EG-domstolen skulle godta en tolkning av direktivet i den riktning som regeringen gjort och att det finns en påtaglig risk för att domstolen skulle finna offent- lighetsprincipen oförenlig med direktivet. För att man skall vara säker på att den svenska lagstiftningen skall stå sig vid en prövning i EG- domstolen måste enligt Lagrådet bestämmelserna i TF och sekretesslagen (1980:100) ändras. Vi kan inte dela de farhågor rörande EG-direktivets förenlighet med offentlighetsprincipen som förts fram av Lagrådet och, tidigare, av en del remissinstanser. Det rör sig här om en svensk grundlagsskyddad rättighet med lång tradition som är en viktig del av det svenska statsskicket. Den svenska offentlighetsprincipens starka ställning och grundläggande betydelse för det svenska förvaltningssystemet är också väl känd i de övriga medlemsstaterna. Under det förhandlingsarbete som ägde rum efter att Sverige blivit medlem i Europeiska unionen förändrades direktivet på flera punkter av särskilt stor betydelse för frågan om förhållandet till offentlighetsprincipen. Det förslag till direktiv som Datalagsutredningen hade att ta ställning till skiljer sig alltså på avgörande punkter från direktivet i dess slutliga form. Flera förändringar har således skett i direktivtexten. Ändamålsbestämmelsen i artikel 6.1 b och gallringsbestämmelsen i artikel 6.1 e har fått ändrade lydelser. Bestämmelsen om informationsskyldighet i artikel 11 har försetts med ett undantag som innebär att information kan underlåtas om utlämnande uttryckligen föreskrivs i författning. Dessutom har möjligheten att behandla känsliga uppgifter utan samtycke utökats. Detta kan ske om det är nödvändigt för ett viktigt allmänt intresse och det finns tillräckliga skyddsregler (artikel 8.4). Förbudet att behandla känsliga uppgifter gäller inte heller uppgifter som den registrerade offentliggjort (artikel 8.2 e). Det är också av betydelse att förändringarna till stor del föranleddes av den svenska inställningen och att förändringarna alltså syftade till att göra det möjligt för medlemsstaterna att förena regler om skydd för personuppgifter med en offentlighetsprincip. Detta har ju särskilt tydligt manifesterats i punkt 72 i ingressen. Sverige har också i samband med förhandlingarna som resulterade i Amsterdamfördraget hårt drivit frågan om ökad öppenhet inom Euro- peiska unionen. Detta arbete har varit framgångsrikt bl.a. eftersom Sverige kunnat påvisa den positiva betydelse en väl utvecklad offentlighetsprincip har haft för vårt land. Utvecklingen inom Europeiska unionen går nu otvivelaktigt mot ökad öppenhet. Situationen är alltså helt annorlunda i dag än den var när Datalagsutredningen analyserade det då föreliggande förslaget. Det bör också framhållas att Lagrådet inte har preciserat sin kritik mot vår tolkning samt att Lagrådet uttalat viss förståelse för att vi inte vill göra ett ingrepp i offentlighetsprincipen. Den bedömning som redovisats i det föregående rörande tolkningen av olika artiklar i direktivet är enligt vår mening, särskilt mot bakgrund av för- klaringen om offentlighetsprincipen i direktivets ingress, ytterst välgrundad. Det finns inte anledning att anta att EG-domstolen vid en eventuell prövning av frågan skulle se saken på annat sätt. En bestämmelse i den nya lagen anger att lagen inte tillämpas, om det skulle inskränka myndigheternas skyldigheter att lämna ut person- uppgifter enligt 2 kap. TF. Lagrådet har anfört att denna bestämmelse bör utgå, oavsett om direktivet anses förenligt med offentlighetsprincipen eller ej, eftersom bestämmelsen är onödig eller oförenlig med direktivet. Vi delar inte denna uppfattning. Som ovan framgår anser vi att offentlighetsprincipen är förenlig med direktivet. Frågan är således om bestämmelsen är onödig eftersom den nya lagen inte kan tillämpas i strid med grundlagarna. Även om bestämmelser i grundlag alltid tar över bestämmelser i vanlig lag, anser vi att det i klargörande syfte bör tas in en bestämmelse som uttryckligen anger detta förhållande. Korrigering av personuppgifter Enligt artikel 6.1 c–d i EG-direktivet är det ett grundläggande krav att de behandlade personuppgifterna är adekvata, relevanta, riktiga och, om nödvändigt, aktuella. Den registrerade skall vidare enligt artikel 12 b ha rätt att i förekommande fall få sådana uppgifter som inte har behandlats i enlighet med bestämmelserna i direktivet rättade, utplånade eller blockerade, särskilt om uppgifterna är ofullständiga eller felaktiga. Enligt artikel 13.1 g är det dock tillåtet för medlemsstaterna att göra nödvändiga undantag från bl.a. bestämmelserna i artikel 6.1 och 12 med hänsyn till skyddet av den registrerades eller andras fri- och rättigheter. Det är enligt direktivet tillåtet att låta en myndighet välja metod för korrigering av uppgifter i allmänna handlingar. Myndigheter behöver alltså inte på grund av direktivet och den nya lagen utplåna felaktiga uppgifter till förfång för allmänhetens rättigheter enligt offentlighets- principen. Korrigeringsmetoden blockering får anses innebära bl.a. att de blockerade uppgifterna inte skall lämnas ut till tredje man. Med stöd av artikel 13.1 g är det emellertid möjligt att göra ett undantag för sådant utlämnande som sker med stöd av offentlighetsprincipen enligt 2 kap. TF. Lagrådet har mot bakgrund av sin inställning i fråga om offentlig- hetsprincipen föreslagit att hänvisningen till TF ersätts med ”denna lag”. Vi är som framgår ovan av en annan uppfattning och föreslår att ett sådant undantag görs. Bestämmelserna om korrigering behandlas vidare i avsnitt 11.6. Bevarande av personuppgifter Enligt artikel 6.1 b i EG-direktivet skall personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Behandling får inte senare ske av uppgifterna på ett sätt som är oförenligt med de ursprungligen angivna ändamålen. Senare behandling för historiska, statistiska och vetenskapliga ändamål skall dock enligt vad som uttryckligen anges inte anses oförenlig med de ursprungliga ändamålen. Det förutsätts att medlemsstaterna i detta fall beslutar om lämpliga skyddsåtgärder. Personuppgifterna får vidare, enligt artikel 6.1 e, lagras bara så länge det är nödvändigt med hänsyn till de ursprungliga eller senare ändamålen med behandlingen. För personuppgifter som lagras under längre perioder för historiska, statistiska och vetenskapliga ändamål skall medlemsstaterna vidta lämpliga skyddsåtgärder. Behandlingen av personuppgifterna måste vidare alltid vara tillåten enligt artikel 7 i direktivet, t.ex. därför att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den registeransvarige eller för att utföra en arbetsuppgift av allmänt intresse. Gäller det känsliga personuppgifter, måste också förutsättningarna i artikel 8 vara uppfyllda, t.ex. att medlemsstaten av hänsyn till ett viktigt allmänt intresse har föreskrivit att behandlingen är tillåten. Myndigheternas arkiv är en del av det svenska nationella kulturarvet, och arkiven skall tillgodose rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt forskningens behov (3 § tredje stycket arkivlagen). De ändamål som bevarandet av myndighetsarkiven skall tillgodose kan hänföras under vad som i EG-direktivet kallas ”historiska, statistiska och vetenskapliga ändamål”. Det är således inte nödvändigt att myndigheterna redan när personuppgifterna samlas in uttryckligen anger arkivering och bevarande som ett ändamål för behandlingen. Är en myn- dighets primära hantering av uppgifterna tillåten, kan det inte anses oförenligt med den primära hanteringen att bevara uppgifterna. Det kan inte heller anses oförenligt med de ursprungligen angivna ändamålen att myndigheten efter en tid lämnar över sina handlingar till en arkiv- myndighet för långtidsförvaring. Myndigheterna är rättsligt förpliktade att bevara allmänna handlingar, och bevarandet är också en arbetsuppgift av allmänt intresse. Den behandling av icke känsliga personuppgifter som bevarandet utgör är således tillåten enligt artikel 7. För myndigheternas bevarande av känsliga personuppgifter behövs det däremot ett undantag enligt artikel 8.4. De svenska myndigheternas bevarande även av känsliga person- uppgifter utgör ett sådant viktigt allmänt intresse som berättigar en medlemsstat att göra ett undantag. Detta undantag måste omfatta också den insamling och det långtidsbevarande av personuppgifter som sker vid de särskilda arkivmyndigheterna som tar emot arkivmaterial från myndigheter och enskilda. Att arkivmyndigheten i sin tur lämnar ut icke sekretessbelagda uppgifter med stöd av offentlighetsprincipen kan enligt regeringens bedömning inte anses oförenligt med de ändamål för vilka arkivmyndigheten samlade in uppgifterna. De bestämmelser som finns om sekretess och skydd för arkiv får anses utgöra sådana lämpliga skyddsåtgärder som krävs enligt EG-direktivet. Lagrådet har uttalat att såvitt framgår av lagrådsremissen är undan- tagen i fråga om bevarande och arkivering av allmänna handlingar moti- verade endast med hänsyn till undantagens betydelse för offent- lighetsprincipen och har dragit slutsatsen att undantagen strider mot det övergripande syftet med direktivet samt föreslagit att undantagen utgår. Vi anser däremot att offentlighetsprincipen är förenlig med direktivet och att undantagen är av väsentlig betydelse för offentlighetsprincipen. Dessutom är det ett viktigt allmänt intresse i sig att de syften som ligger till grund för arkiven och som redovisats ovan kan tillgodoses. Den nya lagen bör således innehålla en uttrycklig bestämmelse om att lagen inte hindrar att en myndighet bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. 8.2 Förhållandet till tryck- och yttrandefriheten Regeringens förslag: Bestämmelserna i den nya lagen tillämpas inte i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihetsförordningen (TF) eller yttrandefrihets- grundlagen (YGL). I den nya lagen görs vidare ett undantag för sådan behandling av personuppgifter som annars sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande. Den nya lagens bestämmelser om säkerhetsåtgärder vid behandling av personuppgifter skall dock tillämpas i dessa fall. Datalagskommitténs förslag överensstämmer delvis med regeringens. Datalagskommittén föreslår dock i stället för den erinran som föreslås av regeringen en bestämmelse om att förfaranden som skyddas av tryckfrihetsförordningen (TF) eller yttrandefrihetsgrundlagen (YGL) skall undantas från tillämpningen av de flesta bestämmelserna i lagen. Kommittén föreslår också att ett undantag görs för spridningen av sådana yttranden som är skyddade enligt TF eller YGL (dvs. ett skydd för vidare spridning av ett en gång skyddat yttrande). Remissinstanserna: Några remissinstanser – Hovrätten över Skåne och Blekinge, Malmö tingsrätt, Kammarrätten i Stockholm, Kammar- rätten i Göteborg och Länsrätten i Stockholms län – uttrycker tveksamhet i frågan om det föreslagna undantaget är förenligt med direktivet. Svea hovrätt, Justitiekanslern och Juridiska fakultetsnämnden vid Uppsala universitet har däremot inga invändningar mot kommitténs överväganden. Juridiska fakultetsnämnden vid Uppsala universitet anser att sådant som faller utanför TF och YGL inte bör undantas. Liknande synpunkter förs fram av Tjänstemännens centralorganisation, Svenska journalistförbundet och Föreningen grävande journalister. Svenska tidningsutgivareföreningen anser däremot att det är positivt att all journalistisk och konstnärlig verksamhet undantas. Skälen för regeringens förslag: Enligt artikel 9 i EG-direktivet skall Sverige med avseende på sådan behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande besluta om undantag och avvikelser från de materiella bestämmelserna i direktivet. Det gäller dock bara om undantagen och avvikelserna är nödvändiga för att förena rätten till privatlivet med reglerna om yttrandefriheten. Genom artikel 13 i EG-direktivet ges en möjlighet för medlems- staterna att genom lagstiftning begränsa omfattningen av de skyldigheter och rättigheter som anges i artiklarna 5–21 i fall då en sådan begränsning är en nödvändig åtgärd med hänsyn till bl.a. skyddet av den registrerades eller andras fri- och rättigheter. Det är osäkert om dessa fri- och rättigheter innefattar yttrandefriheten, eftersom ett särskilt undantag finns i artikel 9. I den nuvarande datalagen finns det inte någon uttrycklig bestämmelse om lagens förhållande till tryck- och yttrandefriheten enligt TF och YGL. Genom praxis har det emellertid klarlagts att bestämmelser i den nuvarande datalagen inte skall tillämpas på inrättandet och förandet av personregister som används som ett direkt tekniskt hjälpmedel i grundlagsskyddad framställning och spridning av yttranden (se t.ex. regeringsbeslut 1994-04-14, Ju93-3260, som gällde en journalist som ville skriva en bok med hjälp av en dator, och 1994-09-15, Ju94-140, i vilket spridningen av en databas med nyhetstelegram ansågs falla under 1 kap. 9 § YGL, jfr också Mediekommitténs betänkande SOU 1997:49 s. 272 ff.). Den s.k. IT-utredningen har i sitt betänkande Elektronisk dokument- hantering, SOU 1996:40, föreslagit att undantag skall göras från data- skyddslagstiftningen för personregister som ingår i en elektronisk förmedlingstjänst. Bestämmelser i vanlig lag kan inte ta över bestämmelser i grundlag. Skall bestämmelserna i den nya lagen inskränka den tryck- och yttrande- frihet som är föremål för en detaljerad reglering i TF och YGL, måste justeringar göras i dessa grundlagar. Tillämpningen av flera bestämmelser i den nya lagen, som måste införas på grund av EG- direktivet, kan komma i konflikt med bestämmelserna om tryck- och yttrandefrihet i TF och YGL. Det gäller t.ex. bestämmelserna i den nya lagen om tillsynsmyndighetens befogenheter och om när en behandling är tillåten. Såväl Datalagskommittén som Mediekommittén (se kommitténs betänkande Grundlagsskydd för nya medier, SOU 1997:49) har övervägt frågan om det antagna EG-direktivet går att förena med bestämmelserna om tryck- och yttrandefrihet i TF och YGL. Båda kommittéerna anser att det är möjligt att från de bestämmelser som måste införas på grund av EG-direktivet undanta det som i Sverige är grundlagsskyddat. En del remissinstanser lämnar den bedömningen utan erinran, medan andra anser att frågan är mera tveksam. Vi anser i likhet med de båda kommittéerna och en del remissinstanser, t.ex. Svea hovrätt och Ju- stitiekanslern, att det är möjligt att låta TF och YGL gälla oförändrade med stöd av artikel 9 i EG-direktivet. Den artikeln ger ett visst spelrum till medlemsstaterna och gör det möjligt att vid utformningen av nationella undantag bl.a. beakta konstitutionella traditioner och principer. Det är också av betydelse att Europakonventionens fri- och rättigheter skall respekteras som allmänna principer på EG-rättens område. Av Europadomstolens tillämpning av den konventionen framgår att integritetsskyddsintressena och yttrandefrihetsintressena skall vägas mot varandra. Sambandet med Europakonventionen framgår också av att punkt 37 i ingressen till EG-direktivet, som rör möjligheten till undantag enligt artikel 9, uttryckligen refererar till Europakonventionen. Lagrådet har uttalat att det, med en försiktig formulering, får anses tveksamt om EG-domstolen skulle acceptera att de bestämmelser i direktivet som införlivas med svensk rätt genom den nya lagen får vika för de svenska grundlagarna i vidare mån än som medges enligt ordalagen av artikel 9 i direktivet samt avstyrkt att ett så vittgående undantag från integritetsskyddsintressena som följer av TF och YGL tolkas in i artiklarna. Lagrådet har också uttalat att vill man vara säker på att inte lagstifta i strid med direktivet, bör i stället reglerna i TF och YGL ändras så att en konflikt undviks. Enligt vår mening finns det, på grund av vad som ovan anförts, inte anledning att nu av integritetsskyddsskäl föreslå inskränkningar i tryck- och yttrandefriheten enligt TF och YGL. TF och YGL innehåller bestäm- melser som är av väsentlig betydelse för det svenska statsskicket, och vår inställning är att det finns ett handlingsutrymme vid genomförandet av direktivet som bör kunna medföra att en tillämpning av den nya lagen som kan komma att strida mot TF eller YGL inte kan godtas. Enligt vår mening finns det inte heller någon beaktansvärd risk för att EG- domstolen skulle göra en annan bedömning. Det är i detta sammanhang viktigt att framhålla att Sverige i samband med att direktivet antogs i ministerrådets protokoll fått intaget att Sverige anser att begreppet konstnärliga och litterära uttryck mera syftar på uttrycksmedlen än kommunikationens innehåll eller dess kvalitet. Detta ligger väl i linje med hur TF och YGL är uppbyggda. Datalagskommittén har föreslagit bl.a. att sådana förfaranden som är skyddade enligt TF eller YGL och all spridning av innehållet i sådana medier som omfattas av TF eller YGL skulle undantas från de allra flesta bestämmelserna i den nya lagen. Avsikten med formuleringen var att undanta förfaranden som avses i TF eller YGL även om en viss tillämpning av en bestämmelse i den nya lagen i ett konkret fall inte skulle komma i strid med TF eller YGL respektive att skydda vidare spridning till icke-grundlagsskyddade medier av yttranden som kommit till stånd i ett grundlagsskyddat medium. Syftet med TF och YGL är att garantera tryck- och yttrandefriheten. Stor försiktighet skall iakttas vid alla ingripanden som riktar sig mot företeelser som typiskt sett åtnjuter skydd av grundlagarna. Om ett ingripande är oförenligt med grundlagarnas syfte, men ändå inte direkt strider mot någon bestämmelse, bör ingripandet alltså underlåtas. Denna försiktighet måste givetvis iakttas även vid ingripanden som stödjer sig på den nya lagen. Den av Datalagskommittén föreslagna lydelsen i fråga om förfaranden som skyddas av TF eller YGL utgör ett försök att i den nya lagen definiera detta område och slå fast att denna princip vid tillämpningen skall gälla också här. Vi delar i grunden den inställning i frågan som kommittén har, nämligen att respekten för grundlagarna skall speglas i tillämpningen i förhållande till den nya lagen. Det vore dock mindre lämpligt att i den nya lagen uttryckligen genom en definition slå fast det område där respekten för det grundlagsskyddade området normalt sett skulle leda till att ingripanden med stöd av den nya lagen underläts. Det finns nämligen en risk för att definitionen i praktiken skulle medföra att ingripanden skulle kunna ske i enskilda fall där ingripanden underlåtits om någon definition inte intagits i lagen. Särskilt gäller detta eftersom i kommitténs förslag inte alla av den föreslagna lagens bestämmelser skulle undantas. Undantaget skulle i ett sådant fall innebära en risk för en inskränkning av tryck- och yttrandefriheten jämfört med vad som gäller i dag. Bestämmelserna i den nya lagen kan, som tidigare nämnts, inte ta över bestämmelserna i grundlag. Lagrådet har avstyrkt att detta uttryckligen anges i lagtexten. Vår uppfattning är dock att lagtexten i syfte att klargöra och underlätta tillämpningen bör innehålla en uttrycklig erinran om att bestämmelserna i lagen inte skall tillämpas om en sådan tillämpning skulle strida mot bestämmelserna om tryck- och yttrandefrihet i TF eller YGL. En sådan erinran är viktig för att inskärpa att tillämpningen vid fall av möjliga konflikter skall präglas av försiktighet och respekt för det grundlagsskyddade området. Vi anser vidare – i likhet med Datalagskommittén och de allra flesta remissinstanserna – att man bör göra ytterligare undantag för att främja tryck- och yttrandefriheten än att enbart konstatera att TF och YGL inte kan inskränkas genom den nya lagen. EG-direktivet tillåter att nödvändiga undantag görs för all behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande. Eftersom grundlagsskyddet för tryck- och yttrandefriheten i TF och YGL inte avser alla former av yttranden, har inte all journalistisk, konstnärlig och litterär verksamhet sådant grundlagsskydd. Utanför detta grundlagsskydd kan falla t.ex. författandet av en teaterpjäs för offentligt framförande och journalistisk verksamhet på Internet som resulterar i yttranden som bara sprids där. Datalagskommittén har föreslagit att undantaget från den nya lagen för tryck- och yttrandefriheten får den vidare omfattning som medges av EG- direktivet. Juridiska fakultetsnämnden vid Uppsala universitet anser däremot att sådant som faller utanför TF och YGL inte bör undantas. Tjänstemännens centralorganisation, Svenska journalistförbundet och Föreningen grävande journalister vänder sig emot att vissa grupper – journalister, konstnärer och litteratörer – skulle särbehandlas på detta sätt, eftersom yttrandefriheten är en rättighet som bör tillkomma var och en. Svenska tidningsutgivareföreningen anser att det är positivt att all journalistisk och konstnärlig verksamhet undantas. Det torde råda enighet om att seriös journalistisk, konstnärlig och litterär verksamhet är skyddsvärd oavsett genom vilket medium resultatet av verksamheten sprids. Journalistisk, konstnärlig och litterär verksamhet har särskild betydelse för yttrandefriheten i vid mening även när verksamheten inte har skydd av de preciserade bestämmelserna i TF och YGL. Enligt vår mening har sådan verksamhet så stor betydelse att den skall kunna bedrivas obehindrat. Det undantag från den nya lagens hanteringsbestämmelser som EG-direktivet medger bör därför utnyttjas fullt ut. Det är t.ex. inte rimligt att författaren till en lokal nyårsrevy på grund av den nya lagen skulle behöva i förväg informera de personer revyn handlar om och kanske också inhämta deras samtycke. Allvarligare övergrepp genom nu avsedd journalistisk, konstnärlig och litterär verk- samhet kan angripas enligt allmänna bestämmelser, t.ex. om straff och skadestånd för förtal. Tillsynsmyndighetens tillsyn över lagens tillämpning avser tillämp- ningen av samtliga materiella bestämmelser i den nya lagen. Bland annat därför kan det vara befogat att undantaget för behandling av person- uppgifter för journalistiska ändamål m.m. får avse så gott som samtliga bestämmelser i den nya lagen. Det är vid all behandling av personuppgifter viktigt att ha en lämplig säkerhetsnivå så att personuppgifter inte t.ex. läcker ut eller annars sprids på ett icke avsett vis. Därför bör undantaget för behandling för journa- listiska ändamål m.m. inte omfatta bestämmelserna om säkerhetsåtgärder i den nya lagen. Det innebär att det även vid sådan behandling som avses med undantagen måste vidtas lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Enligt vår mening kan för övrigt en tillämpning av bestämmelserna i den nya lagen om de säkerhetsåtgärder som skall vidtas vid behandling av personuppgifter i de allra flesta fall inte heller komma i konflikt med grundlagarna. Bestämmelserna om skyddsåtgärder får dock, som nämnts, inte tillämpas om det i det enskilda fallet skulle strida mot TF eller YGL. Datalagskommittén har som ovan nämnts föreslagit ett undantag från tillämpningen av personuppgiftslagen för vidarespridning av yttranden som kommit till stånd i ett grundlagsskyddat medium. Vi har sympati för kommitténs uppfattning. Kommitténs förslag att yttranden skulle undantas från tillämpningen av den nya lagen även i medier som inte omfattas av bestämmelserna i TF eller YGL om yttrandet tidigare omfattats av dessa grundlagar lades därför fram i lagrådsremissen. Lagrådet har avstyrkt undantaget och anfört att bestämmelsen sannolikt inte skulle stå sig vid en rättslig prövning i EG-domstolen eftersom det inte rör sig om något grundlagsfäst yttrandefrihetsintresse som kan vägas mot integritetsskyddsintresset. Den kritik som Lagrådet riktar mot bestämmelsen kan vara riktig såtillvida att det kan finnas enskilda fall av tillämpningar som faller under det föreslagna undantaget som inte har grundlagsskydd eller stöd i den möjlighet direktivet ger att göra undantag. Vi väljer därför att inte föreslå något uttryckligt undantag för vidarespridningsfallet. Vi är ändock av uppfattningen att det undantag som redovisats ovan och som följer direktivets ordalydelse i de allra flesta fall omfattar de situationer som avsågs med undantaget för vidare- spridning. Eftersom undantaget bör utformas efter direktivets lydelse bör det inte i den nya lagen göras något generellt undantag för ett visst slag av kommunikation, såsom föreslagits av IT-utredningen. Det är vår upp- fattning att tolkningen av undantaget som följer direktivets lydelse skall ske med hänsyn till den svenska förklaring som vi refererat ovan. Detta kan få betydelse särskilt för kommunikation som inte bedrivs av yrkes- verksamma journalister. 8.3 Undantag för rent privat användning av person- uppgifter Regeringens förslag: Sådan behandling av personuppgifter som en fysisk person utför som ett led i en verksamhet av rent privat natur undantas från den nya lagen. Datalagskommitténs förslag överensstämmer med regeringens. Remissinstanserna: Förslaget har godtagits eller lämnats utan erinran. Skälen för regeringens förslag: EG-direktivet gäller inte för sådan behandling av personuppgifter som utförs av en fysisk person som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll (artikel 3.2). Det står alltså Sverige fritt att tillämpa den nya lagen på sådan behandling eller låta bli. Den nya lagen syftar till att skapa ett skydd för individens rent privata sfär. Det vore därför ologiskt om den nya lagen i själva verket skulle tillåtas tränga in i denna sfär genom införandet av myndighetskon- trollerade hanteringsregler för sådant som måste betraktas som rent privata angelägenheter. Vi anser således att möjligheten enligt direktivet att undanta rent privat användning av personuppgifter bör utnyttjas fullt ut. Den nya lagen bör alltså innehålla samma undantag som direktivet. Detta innebär t.ex. att enskilda för rent privat bruk kan föra en elektronisk dagbok eller registrera sina grannar eller släktingar. 8.4 Ord- och textbehandling kan inte generellt undantas Regeringens bedömning: Ord- och textbehandling eller liknande av personuppgifter i löpande text kan inte generellt undantas från den nya lagen, eftersom det skulle strida mot EG-direktivet. Datalagskommitténs bedömning överensstämmer med regeringens. Remissinstanserna: Många remissinstanser berör svårigheterna med att tillämpa den nya lagen vid ord- och textbehandling eller liknande. Flera kommunala instanser och t.ex. Sveriges television AB och Svenska bankföreningen föreslår att löpande text som används för ren ord- och textbehandling undantas från lagen. Skälen för regeringens bedömning: EG-direktivet gäller för sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg. Med behandling av personuppgifter avses enligt direktivet varje åtgärd som vidtas beträffande personuppgifter. Det finns inte något krav på att de uppgifter som behandlas på automatisk väg skall vara strukturerade i ett register eller liknande. Datoriserad ord- och textbehandling eller liknande av löpande text som innehåller personuppgifter omfattas därför otvivelaktigt av direktivet. Någon möjlighet att generellt undanta sådan behandling finns inte enligt direktivet. Den nya lagen kan alltså inte heller innehålla något sådant generellt undantag. I avsnitt 11 berörs frågan om undantag för personuppgifter i löpande text från informationsskyldighet. Där framgår att ett visst undantag för sådana personuppgifter görs. Däremot står det klart att direktivet inte i första hand tar sikte på sådan behandling. Detta bör kunna beaktas vid tillämpningen av bestäm- melserna i lagen. Ord- och textbehandling av löpande text bör t.ex. kunna undantas från skyldigheten att anmäla automatiska behandlingar till tillsynsmyndigheten. Privatpersoners ord- och textbehandling och kom- munikation med e-post faller också som regel under undantaget från lagen för rent privat användning av personuppgifter. Det torde vidare regelmässigt vara så att framställningen av ett brev eller någon annan löpande text kan hänföras under något av de fall där behandling av personuppgifter är tillåten (se avsnitt 11.3) och att de säkerhetsåtgärder som måste vidtas (se avsnitt 11.8) kan anpassas till att det är fråga om ord- och textbehandling. De grundläggande kraven vid all behandling av personuppgifter (se avsnitt 11.2) torde utan större olägenheter kunna tillämpas också på personuppgifter i löpande text. 9 Det territoriella tillämpningsområdet för den nya lagen Regeringens förslag: Den nya lagen skall tillämpas på sådana person- uppgiftsansvariga som är etablerade i Sverige. Även när en person- uppgiftsansvarig från tredje land använder utrustning som finns i Sverige för behandling av personuppgifter skall som huvudregel den svenska lagen tillämpas. I sådant fall skall den ansvarige utse en företrädare för sig som är etablerad i Sverige. Datalagskommitténs förslag överensstämmer med regeringens, dock att kommittén föreslår att en utsedd företrädare skall anmälas till Datainspektionen. Remissinstanserna: Bara ett fåtal remissinstanser har uttalat sig om tillämpningsområdet. Kommunikationsforskningsberedningen efterlyser en analys av reglerna om tillämpningsområdet, särskilt när det gäller enskildas möjligheter att hävda sina rättigheter vid databehandling med gränsöverskridande inslag. Datainspektionen anser att regeln om anmälan av företrädare inte behövs eller i vart fall kan ändras så att anmälan skall göras till Patent- och registreringsverket. Patent- och registreringsverket anser däremot att det är lämpligare att anmälan görs till Datainspektionen. Swedish Direct Marketing Association anser att förslaget är alltför långtgående och föreslår att det ändras t.ex. så att lagen bara gäller för behandling i Sverige. Skälen för regeringens förslag: I artikel 4 i EG-direktivet finns det en i sina detaljer svårtolkad bestämmelse om det territoriella tillämp- ningsområdet för varje medlemsstats lagstiftning. Frågan om den närmare innebörden av artikeln har redan väckts inom den kommitté som inrättats enligt artikel 31 i direktivet. Det är – för att undvika luckor och överlappningar – viktigt och nödvändigt att frågan löses i samförstånd mellan samtliga medlemsstater. Det får förutsättas att så sker. Den närmare analys av reglerna som Kommunikationsforskningsberedningen efterlyser får göras inom ramen för det arbetet. Som läget nu är förefaller det lämpligast att i den nya lagen bara ta in de huvudregler som otvetydigt framgår av artikeln. När samförstånd om tolkningen uppnåtts får det övervägas om lagtexten behöver kompletteras eller om saken kan lösas genom s.k. fördragskonform tolkning i rätts- tillämpningen. När det gäller företrädare för en personuppgiftsansvarig som är etablerad utanför EES, krävs enligt direktivet bara att den ansvarige utser en företrädare som är etablerad i Sverige. Någon anmälan av företrädaren till tillsynsmyndigheten krävs alltså inte enligt direktivet. Eftersom Datainspektionen, som är den instans som skulle kunna ha haft nytta av en anmälan för sin tillsyn, anser att någon anmälan inte behövs, finner regeringen inte skäl att ta med bestämmelser om anmälningsskyldighet i den nya lagen. 10 Normgivningsdelegation Regeringens förslag: Regeringen bemyndigas att meddela föreskrifter om att vissa behandlingar av personuppgifter skall förhandskontrolleras och om undantag från förbudet mot överföring av personuppgifter till tredje land. Regeringen eller den myndighet som regeringen bestämmer bemyndigas att a) föreskriva undantag från vissa bestämmelser i den nya lagen, och b) precisera de generella regler och principer som den nya lagen innehåller. Bestämmelsen i 8 kap. 7 § första stycket 8 regeringsformen justeras så att det blir möjligt för riksdagen att delegera föreskriftsrätt i fråga om skydd för personlig integritet även vid manuell behandling av personuppgifter. Datalagskommitténs förslag överensstämmer i huvudsak med regeringens. Remissinstanserna: Många remissinstanser, t.ex. på det kommunala området, anser att delegationen av normgivningsmakt går alltför långt och förordar att flera bestämmelser ges i lag. De flesta instanserna, t.ex. Juridiska fakultetsnämnden vid Uppsala universitet och Länsrätten i Stockholms län, godtar eller lämnar utan erinran kommitténs resonemang om de lagliga möjligheterna till delegation. Hovrätten över Skåne och Blekinge anser emellertid att det lagliga utrymmet för delegation är snävare än vad kommittén förutsatt. Juridiska fakultetsnämnden vid Stockholms universitet förordar ytterligare utredning av frågan. Skälen för regeringens förslag: Det finns med hänsyn till skyldig- heterna enligt EG-direktivet ett behov av att delegera normgivnings- kompetens på området till regeringen eller den myndighet som regeringen bestämmer. Enligt vår bedömning är de bestämmelser i den nya lagen som innebär att föreskrifter får meddelas i författningar av lägre valör än lag förenliga med regeringsformen. Behovet av normgivningsdelegation De regler som finns i EG-direktivet och som införs i den nya lagen är generella och behöver preciseras, t.ex. när det gäller den intresse- avvägning som behöver göras i en del fall för att avgöra om en viss behandling av personuppgifter är tillåten och i fråga om vilka säkerhetsåtgärder som behöver vidtas vid en behandling. Enligt artikel 5 i direktivet åligger det för övrigt Sverige att inom den ram direktivet drar upp precisera på vilka villkor behandling av personuppgifter är tillåten. Vidare innehåller direktivet en hel del detaljregler, t.ex. i fråga om vilka uppgifter en anmälan till tillsynsmyndigheten skall innehålla, som det vore olämpligt att tynga lagtexten med. EG-direktivet medger också att det under vissa förutsättningar görs undantag från vissa regler. Det gäller t.ex. undantag från ett förbud mot behandling av känsliga personuppgifter eller uppgifter om lagöver- trädelser m.m., undantag från ett förbud mot att föra över personuppgifter till tredje land, dvs. en stat utanför EES, och undantag från skyldighet att till tillsynsmyndigheten anmäla automatiserad behandling av person- uppgifter. Direktivet kräver vidare att Sverige säkerställer att särskilt inte- gritetskänsliga behandlingar av personuppgifter kontrolleras på förhand och att det bestäms vilka behandlingar som skall förhandskontrolleras. En generell lag som i princip avser att reglera all icke privat använd- ning av personuppgifter i datorer och manuella register kan inte gärna innehålla annat än generella principer och de allra viktigaste undantagen från dessa. Lagen skulle i annat fall bli alldeles för otymplig. De generella principer som lagen innehåller och som bygger på EG- direktivet är vidare tämligen beständiga, medan behov av närmare preciseringar och undantag av naturliga skäl kommer att växla över tiden och kan uppkomma hastigt. Detta beror bl.a. på den snabba tekniska utvecklingen, framväxten av nya, i dag oförutsägbara sätt att samla in och utnyttja personuppgifter och värderingsförändringar. En ordning som innebär att varje liten justering i det kompletterande regelverket kräver en sedvanlig lagstiftningsprocess framstår därför som onödigt omständlig och ohanterlig. Det finns alltså ett behov av att delegera normgivnings- kompetens på området. I den utsträckning som det är befogat med ett ställningstagande från riksdagens sida, finns det alltid möjlighet att ge regleringen på något visst område i lag. I sådant fall är normgivning på lägre nivå i strid med den lagregleringen utesluten, om inte annat följer av den aktuella lagen. I enlighet med vad som anges i avsnitt 6.2 finns det enligt vår mening inte heller anledning att nu avvika från målsättningen att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll skall regleras särskilt i lag. Det kan också finnas anledning att notera att den nuvarande datalagen i huvudsak bygger på att det i första hand är Datainspektionen som mer eller mindre självständigt skall bestämma för vilka ändamål person- registrering får ske och vilka villkor som skall gälla för registreringen. Den nya lagen innehåller flera materiella regler än den nuvarande lagen och ställer upp en ram inom vilken den kompletterande regleringen måste hålla sig. Mera finns alltså reglerat i lag med den föreslagna ordningen än vad som gäller i dag. Närmare om förslaget om föreskriftsrätt i den nya lagen Vårt förslag innebär att regeringen eller den myndighet som regeringen bestämmer skall få meddela föreskrifter om undantag från ett förbud mot behandling av känsliga personuppgifter, om det behövs med hänsyn till ett viktigt allmänt intresse, undantag från ett förbud för andra än myndigheter att behandla person- uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden, undantag från ett förbud mot överföring av personuppgifter till tredje land, dvs. en stat utanför EES, om det behövs med hänsyn till ett viktigt allmänt intresse eller om det finns tillräckliga garantier till skydd för de registrerades rättigheter, undantag från skyldighet att anmäla automatiserade behandlingar till tillsynsmyndigheten för sådana typer av behandlingar som sannolikt inte kommer att leda till otillbörligt intrång i den personliga integriteten, och inom den ram som den nya lagen ställer upp meddela närmare föreskrifter om a) i vilka fall behandling av personuppgifter är tillåten, b) vilka krav som ställs på den personuppgiftsansvarige vid behandling av personuppgifter, c) i vilka fall användning av personnummer är tillåten, d) innehållet i en anmälan eller ansökan till en personuppgiftsansvarig, e) vilken information som skall lämnas till registrerade och hur lämnandet av information skall gå till, och f) anmälan till tillsynsmyndigheten och förfarandet när anmälda uppgifter har ändrats. Regeringen skall vidare – utan möjlighet till vidare delegation – enligt vårt förslag få meddela föreskrifter om undantag från förbudet mot överföring av personuppgifter till tredje land för överföring till vissa stater eller om överföringen regleras av ett avtal som ger tillräckliga garantier till skydd för de registrerades rättigheter, och att vissa behandlingar av personuppgifter som kan innebära särskilda risker för otillbörligt intrång i den personliga integriteten skall för förhandskontroll anmälas till tillsynsmyndigheten tre veckor i förväg. Av vad som anförs i avsnitt 15 framgår att det föreslås att bemyndigandena under tiden den 24 oktober 1998 till den 1 januari 1999 bara skall avse automatiserad behandling av personuppgifter. Vår bedömning av förhållandet till regeringsformen I 8 kap. 1 § regeringsformen finns det en erinran om att det av bestämmelserna i 2 kap. regeringsformen följer att föreskrifter av visst slag får meddelas endast genom lag. I 2 kap. 3 § andra stycket regeringsformen finns det en bestämmelse om att varje medborgare skall i den utsträckning som närmare anges i lag skyddas mot att hans eller hennes personliga integritet kränks genom att uppgifter om honom eller henne registreras med hjälp av automatisk databehandling. Av förarbetena framgår emellertid att lydelsen av grundlagsregeln har utformats så att det skall stå klart att regeln inte hindrar regeringen, andra myndigheter eller kommuner att meddela dataskyddsbestämmelser (prop. 1987/88:57 s. 11). Efter införandet av regeln i 2 kap. 3 § andra stycket har i regeringsformen också införts en möjlighet för riksdagen att till regeringen eller den myndighet som regeringen bestämmer delegera rätten att meddela föreskrifter om skydd för personlig integritet vid registrering av uppgifter med hjälp av automatisk databehandling, varvid regeln i 2 kap. 3 § andra stycket inte ansetts hindra sådan delegation (prop. 1993/94:116 s. 15). Däremot innebär regeln i 2 kap. 3 § andra stycket enligt förarbetena att riksdagen måste vara aktiv genom att stifta och vidmakthålla en dataskyddslagstiftning som utgör en verklig och allvarligt menad skyddslagstiftning (prop. 1987/88:57 s. 11). Av det sagda följer enligt vår uppfattning, vilken delas av Lagrådet, att reglerna i 2 kap. 3 § andra stycket regeringsformen inte hindrar att regeringen och den myndighet som regeringen bestämmer ges behörighet att närmare precisera och konkretisera regleringen i den nya lagen, som skall uppta de grundläggande huvudreglerna och principerna i fråga om personuppgiftsskyddet. Nästa fråga av betydelse för delegationsmöjligheterna blir hur den föreslagna lagstiftningen förhåller sig till bestämmelserna i 8 kap. 2 och 3 §§ regeringsformen, dvs. om lagstiftningen skall anses vara av civil- rättslig eller offentligrättslig karaktär. Enligt 8 kap. 2 § regeringsformen skall föreskrifter om enskildas personliga ställning samt om deras personliga och ekonomiska för- hållanden inbördes meddelas genom lag. Sådana föreskrifter tillhör det obligatoriska lagområdet, och riksdagen får inte delegera föreskriftsrätten inom detta område. Enligt 8 kap. 3 § regeringsformen skall föreskrifter om förhållandet mellan enskilda och det allmänna som gäller åligganden för enskilda eller i övrigt avser ingrepp i enskildas personliga eller ekonomiska för- hållanden meddelas genom lag. Beträffande sådana offentligrättsliga föreskrifter är det möjligt att delegera föreskriftsrätten i de fall som anges i 8 kap. 7 § regeringsformen. Motsvarande gäller enligt 8 kap. 5 och 7 §§ beträffande föreskrifter om kommunernas befogenheter och åligganden. Att klart slå fast var gränsen går mellan offentligrättsliga och privat- rättsliga regler är närmast omöjligt. Håkan Strömberg konstaterar i Normgivningsmakten enligt 1974 års regeringsform, Juristförlaget i Lund, Lund 1989, s. 64 ff. i anledning av frågan om regeringen i lagen (1980:2) om finansbolag och fondkommissionslagen (1979:748) kunde bemyndigas att meddela föreskrifter om kapitaltäckningskrav: ”De sistnämnda lagstiftningsärendena belyser det förhållande, som har påpekats i första kapitlet av denna framställning, nämligen att rättsreglerna hänger samman med varandra på många sätt och att en uppdelning av rättsregler i olika ämnesområden ibland är möjlig endast om man bortser från det inre sammanhanget i regelsystemet. Grundlagsstiftarna har byggt på indelningen i offentlig rätt och privaträtt utan att tänka på att offentligrättsliga och privaträttsliga regler kan vara sammanflätade med varandra. Att genom grundlagstolkning entydigt fastställa var gränsen mellan de båda rättsområdena skall dras i ett fall som det ovan nämnda är därför strängt taget en hopplös uppgift.” När det gäller frågan om föreskrifter till skydd för den enskildes personliga integritet är att hänföra till privaträttsliga eller offentligrättsliga föreskrifter är vår uppfattning och utgångspunkt att bestämmelserna till följd av sin karaktär i grunden utgör offentligrättsliga föreskrifter. Bestämmelserna utgör ett medel för det allmänna att bl.a. i enlighet med vad som anges i 2 kap. 3 § regeringsformen skydda enskilda mot kränkning av deras personliga integritet genom olämplig behandling av personuppgifter. Lagrådet har vid sin analys av frågan om reglernas privat- eller offentligrättsliga karaktär haft en delvis annan utgångspunkt än vi. I vår diskussion i lagrådsremissen om normernas karaktär har vid analysen om förhållandet till 8 kap. 2 § regeringsformen inledningsvis konstaterats att det inte kan vara fråga om sådana föreskrifter som behandlas i första ledet av 8 kap. 2 § regeringsformen, dvs. att det kan inte röra enskildas personliga ställning i den mening som avses i paragrafen. Lagrådet ansluter sig till vår bedömning i denna del. När det sedan gäller andra ledet av 8 kap. 2 § regeringsformen, ”enskildas personliga och ekonomiska förhållanden inbördes”, skulle det kunna hävdas att de aktuella normerna bör hänföras till 8 kap 2 §, eftersom en enskild kan förpliktas betala skadestånd till annan enskild enligt den föreslagna lagen. Enligt vår uppfattning kan man dock inte bara på grund av den omständigheten dra slutsatsen att i grunden offent- ligrättsliga föreskrifter är av privaträttslig karaktär, särskilt inte då bestämmelserna har kombinerats med straffbestämmelser eller annan betydelsefull offentligrättslig sanktion i form av vitesföreläggande. Enligt Lagrådets uppfattning är föreskrifter som en enskild person med framgång kan direkt åberopa mot andra enskilda i domstol och som kan leda till att enskilda förpliktas att betala skadestånd av privaträttslig natur. Lagrådet konstaterar vidare att den omständigheten att föreskrifterna dessutom kan ha påtagliga offentligrättsliga inslag inte innebär att den privaträttsliga delen bortfaller. Lagrådet tar därför avstånd från tanken i remissen att införandet av ett system för offentlig tillsyn av tillämpningen av privaträttsliga föreskrifter eller en kriminalisering av dessa får till konsekvens att föreskrifterna förlorar sin privaträttsliga karaktär och förvandlas till offentligrättsliga. Frågan om bestämmelser har offentligrättslig eller privaträttslig karaktär är som framgår av Håkan Strömbergs uttalande ofta svårbedömd. Det är därför naturligt att det förekommer olika uppfattningar om till vilken grupp en bestämmelse skall hänföras. Vi delar Lagrådets uppfattning att föreskrifter som är av privaträttslig karaktär inte enbart till följd av ett straffbeläggande eller genom ett införande av andra offentligrättsliga sanktioner kan förvandlas till offentligrättsliga föreskrifter. Ett sådant förfaringssätt skulle onekligen innebära ett kringgående av regeringsformen. I förevarande fall rör det det sig dock enligt vår uppfattning inte om i grunden privaträttsliga bestämmelser utan om bestämmelser som till sin natur har offentligrättslig karaktär. De bestämmelser om skydd för personuppgifter som redan finns, t.ex. i datalagen (1973:289) och i kreditupplysningslagen (1973:1173), har också hittintills alltid i praktiken behandlats som offentligrättsliga. Det tillägg till delegationsgrunderna i 8 kap. 7 § regeringsformen som på den dåvarande regeringens förslag infördes i anslutning till 1994 års val bygger också på denna förutsättning. Det förhållande att bestämmelserna är förknippade med skadeståndssanktion kan enligt vår mening inte förta bestämmelserna deras offentligrättsliga karaktär (jfr t.ex. järnvägs- trafiklagen [1985:192], särskilt 3 § och Lagrådets yttrande i prop. 1996/97:65 om ändringar i kreditupplysningslagen angående 7 § denna lag). Vi anser inte heller att den större betydelse som skadestånds- sanktionen får i den nya lagen jämfört med i dag är av så avgörande betydelse att bestämmelserna i grunden förvandlas till privaträttsliga i stället för offentligrättsliga. Lagstiftningen erbjuder flera exempel på att offentligrättsliga bestämmelser kan ha privaträttsliga inslag utan att reglernas karaktär bedöms vara annat än offentligrättslig. Av 8 kap. 7 § andra stycket regeringsformen framgår att offentligrättsliga föreskrifter som meddelats av regeringen med stöd av delegation enligt första stycket kan förknippas med straffsanktioner, och huvudregeln är ju att skadestånd skall betalas för skada som vållats genom brott, se t.ex. 1 kap. 3 § och 2 kap. 5 § skadeståndslagen (1972:207). Från EG-direktivets synpunkt saknar distinktionen mellan civilrättslig och offentligrättslig lagstiftning betydelse. Medlemsstaterna har skyl- dighet att införliva dataskyddsreglerna i sin nationella lagstiftning men har frihet att välja metod för hur det skall ske. Vår slutsats är att de bemyndiganden som föreslås i den nya lagen avser offentligrättsliga föreskrifter och inte sådana privaträttsliga före- skrifter som hör till det obligatoriska lagområdet. Det är således möjligt att i de ämnen som anges i 8 kap. 7 § 8 regeringsformen lämna bemyn- digandena. Enligt bestämmelsen i 8 kap. 7 § 8 regeringsformen kan delegation av föreskriftsrätt ske i fråga om ”skydd för personlig integritet vid registrering av personuppgifter med hjälp av automatisk databehandling”. Lagrådet har som konsekvens av ställningstagandet att föreskrifterna är av privaträttslig karaktär förordat att punkt 8 i det akuella lagrummet skall upphävas. Vi har som framgår ovan kommit till en annan slutsats vad gäller bestämmelsernas karaktär. Föreskrifter bör kunna ges av regeringen eller den myndighet som regeringen bestämmer på hela det område som omfattas av den nya lagen, dvs. även när det gäller sådan manuell behandling av personuppgifter som omfattas av den nya lagen (se avsnitt 6.1). Vi föreslår därför i likhet med Datalagskommittén att den bestämmelsen ändras så att det blir möjligt att – i enlighet med tillämp- ningsområdet för den nya lagen och EG-direktivet – delegera föreskriftsrätt i fråga om ”skydd för personlig integritet vid behandling av personuppgifter”. I avsnitt 15 berörs frågan om när den nya lagen, inklusive föreslagna bemyndiganden, och ändringen i regeringsformen skall träda i kraft. 11 Den materiella regleringen 11.1 Huvudprinciper Regeringens förslag: Den nya lagen skall innehålla de generella regler som följer av EG-direktivet i fråga om vilka krav som ställs vid behandling av personuppgifter, när sådan behandling är tillåten, information till den registrerade, korrigering av personuppgifter, rättigheter vid automatiserade beslut, säkerheten vid behandlingen och överföring av personuppgifter till s.k. tredje land. Datalagskommitténs förslag överensstämmer i huvudsak med re- geringens. Remissinstanserna: De allra flesta remissinstanser accepterar att de regler som följer av EG-direktivet införs i den nya lagen. Flera föreslår dock förtydliganden, kompletteringar eller undantagsregler i olika hänseenden. Skälen för regeringens förslag: EG-direktivet innehåller en rad materiella regler om hanteringen av personuppgifter. Det gäller generella regler om vilka krav som ställs vid behandling av personuppgifter, när sådan behandling är tillåten, information till den registrerade, korrigering av personuppgifter, rättigheter vid automatiserade beslut, säkerheten vid behandlingen och överföring av personuppgifter till s.k. tredje land, dvs. till en stat utanför EES. En sammanfattning av reglerna i direktivet finns i avsnitt 4.3. De materiella reglerna i direktivet måste införas i den nya lagen. I enlighet med vad som anges i avsnitt 5.2 bör den nya lagen därvid i huvudsak följa direktivets text och struktur och i princip bara innehålla de generella regler som följer av direktivet. Behovet av undantag och sär- regler för mer speciella områden får tillgodoses genom andra författ- ningar, se avsnitt 6.2. Förslagen från remissinstanserna till utformning av lagtexten har följts i flera fall. I författningskommentaren berörs vissa andra förslag i den utsträckning de inte bedömts stå i strid med direktivet. I det följande berörs närmare de materiella regler som den nya lagen innehåller. 11.2 Grundläggande krav på behandlingen av person- uppgifter Regeringens förslag: Den personuppgiftsansvarige skall se till att a) personuppgifter behandlas bara om det är lagligt, b) personuppgifter alltid behandlas på ett korrekt sätt och i enlighet med god sed, c) personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål, d) personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in, e) de personuppgifter som behandlas är adekvata och relevanta i för- hållande till ändamålen med behandlingen, f) inte fler personuppgifter behandlas än som är nödvändigt med hän- syn till ändamålen med behandlingen, g) de personuppgifter som behandlas är riktiga och, om det är nöd- vändigt, aktuella, h) alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna så- dana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen, och i) personuppgifter inte bevaras under en längre tid än vad som är nöd- vändigt med hänsyn till ändamålen med behandlingen. För behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål gäller vissa särregler. Datalagskommitténs förslag stämmer i huvudsak överens med regeringens. Kommittén föreslår dock att skyldigheten att vidta åtgärder för att rätta, blockera eller utplåna skall gälla inte bara felaktiga eller ofullständiga personuppgifter utan också missvisande personuppgifter. Remissinstanserna: Länsrätten i Stockholms län anser att ändamålen med en behandling skall nedtecknas och avstyrker att korrigerings- skyldigheten skall gälla även missvisande personuppgifter. Skälen för regeringens förslag: De grundläggande kraven på be- handling av personuppgifter i den nya lagen stämmer överens med de krav som medlemsstaterna skall föreskriva enligt artikel 6 i EG- direktivet, se bilaga 1. EG-direktivet nämner inte missvisande personuppgifter i fråga om skyldigheten att vidta åtgärder för att rätta, blockera eller utplåna person- uppgifter. Därför har vi – till skillnad från Datalagskommittén men i enlighet med vad Länsrätten i Stockholms län föreslagit – valt att i bestämmelsen uttryckligen nämna bara felaktiga och ofullständiga personuppgifter. Det är för övrigt svårt att se att det i praktiken skulle kunna förekomma fall där en personuppgift med hänsyn till ändamålen med behandlingen skulle vara objektivt sett missvisande men inte felaktig eller ofullständig. Däremot finns det enligt vår mening inte anledning att följa länsrättens förslag om att införa en uttrycklig skyldighet att nedteckna ändamålet med behandlingen. Någon sådan skyldighet föreskrivs inte enligt EG- direktivet. Ändamålet måste dock vara uttryckligt angivet. De bestämmelser som finns om information till den registrerade när person- uppgifterna samlas in (se avsnitt 11.5.1) medför som regel att ändamålen måste uppges redan när behandlingen påbörjas. Härtill kommer att den personuppgiftsansvarige alltid är skyldig att uppge ändamålen antingen i en anmälan till tillsynsmyndigheten eller till var och en som begär en sådan upplysning (se avsnitt 12). Detta får anses tillräckligt. Behandling för historiska, statistiska och vetenskapliga ändamål Enligt EG-direktivet är lagring och annan behandling av personuppgifter för historiska, statistiska och vetenskapliga ändamål särskilt gynnad. Se- nare behandling för sådana ändamål skall inte anses oförenlig med de ur- sprungliga ändamål för vilka uppgifterna samlades in. Det är också till- låtet att för sådana ändamål spara personuppgifter under längre tid. Personuppgifter får dock inte heller i dessa fall bevaras under längre tid än vad som behövs för dessa ändamål. Motsvarande bestämmelser har förts in i den nya lagen. EG-direktivet kräver dock att Sverige för dessa fall beslutar om eller vidtar lämpliga skyddsåtgärder. Datalagskommittén har i detta hänseende föreslagit en bestämmelse om att personuppgifter som behandlas för historiska, statistiska eller vetenskapliga ändamål får användas för att vidta åtgärder beträffande den registrerade bara om den registrerade har lämnat sitt samtycke eller det finns synnerliga skäl med hänsyn till den registrerades eller någon annans vitala intressen. Remissinstanserna har lämnat förslaget i sak utan erinran, dock anser Statistiska centralbyrån att det inte är acceptabelt med en bestämmelse som innebär att uppgifter som behandlas för aktuella ändamål kan användas för att vidta åtgärder mot den registrerade med hänsyn till någon annans vitala intressen. Vi kan inte annat än hålla med centralbyrån på den punkten. Det bör således inte vara möjligt att utsätta den registrerade för åtgärder bara av hänsyn till någon annan. I övrigt motsvarar bestämmelsen i den nya lagen i stort sett den som kommittén föreslagit. Bestämmelsen skall – i enlighet med kommitténs förslag – inte gälla för en myndighets användning av personuppgifter i allmänna handlingar. För sådana personuppgifter finns det nämligen redan lämpliga skyddsåtgärder i form av bestämmelser om sekretess och skydd för arkiv. 11.3 När behandling av personuppgifter är tillåten Regeringens förslag: Personuppgifter får behandlas bara om den registrerade har lämnat sitt samtycke till behandlingen eller om behandlingen är nödvändig för att a) ett avtal med den registrerade skall kunna fullgöras eller åtgärder som den registrerade begärt skall kunna vidtas innan ett avtal träffas, b) den personuppgiftsansvarige skall kunna fullgöra en rättslig skyl- dighet, c) vitala intressen för den registrerade skall kunna skyddas, d) en arbetsuppgift av allmänt intresse skall kunna utföras, e) den personuppgiftsansvarige eller en tredje man till vilken person- uppgifter lämnas ut skall kunna utföra en arbetsuppgift i samband med myndighetsutövning, eller f) ett ändamål som rör ett berättigat intresse hos den personuppgifts- ansvarige eller hos en sådan tredje man till vilka personuppgifterna lämnas ut skall kunna tillgodoses om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten. Personuppgifter får inte behandlas för ändamål som rör direkt marknadsföring, om den registrerade hos den personuppgiftsansvarige skriftligen har anmält att han eller hon motsätter sig sådan behandling. När en behandling bara är tillåten med samtycke, får ytterligare personuppgifter inte behandlas sedan den registrerade har återkallat sitt samtycke. I övrigt har den registrerade inte rätt att motsätta sig behandling av personuppgifter som är tillåten enligt den nya lagen. Datalagskommitténs förslag stämmer i stort sett överens med regeringens. Remissinstanserna: Kammarrätten i Göteborg anser att den registrerade skall ha rätt att bli informerad innan personuppgifter för första gången lämnas ut till tredje man eller används för tredje mans räkning för ändamål som rör direkt marknadsföring och att uttryckligen få ett erbjudande om att utan kostnader motsätta sig ett sådant utlämnande eller en sådan användning. Datainspektionen anser å sin sida att det i fråga om behandling för ändamål som rör direkt marknadsföring bör införas ett krav på aktivt samtycke eller en ordning med ett nationellt s.k. reservationsregister. Även Landsorganisationen i Sverige (LO) anser att det för behandling för sådana ändamål bör krävas medgivande från den registrerade. Skälen för regeringens förslag: Uppräkningen i den nya lagen av i vilka fall behandling av personuppgifter är tillåten stämmer överens med den uppräkning som i detta hänseende finns i artikel 7 i EG-direktivet, se bilaga 1. Uppräkningen är uttömmande. Om känsliga personuppgifter, uppgifter om lagöverträdelser m.m. eller personnummer skall behandlas, måste behandling dessutom vara tillåten i enlighet med de bestämmelser som gäller för behandling av sådana uppgifter (se avsnitt 11.4). Att – såsom en del remissinstanser föreslagit – göra förtydliganden och kompletteringar i förhållande till EG-direktivets text är enligt vår mening inte lämpligt och i vissa fall otillåtet enligt direktivet. Lagtexten bör i stället nära ansluta till direktivets text (se avsnitt 5.2). Närmare preciseringar av när behandling är tillåten får – inom den ram EG- direktivet och lagtexten ger – göras i rättstillämpningen och i kom- pletterande föreskrifter som utfärdas i anslutning till lagen (se avsnitt 10 om normgivningsdelegation). Behandling för ändamål som rör direkt marknadsföring Behandling av personuppgifter för ändamål som rör direkt marknads- föring kan vara tillåten t.ex. efter en sådan intresseavvägning som anvisas i punkt g. Vi föreslår dock en uttrycklig bestämmelse i den nya lagen enligt vilken personuppgifter inte får behandlas för sådana ändamål, om den registrerade hos den personuppgiftsansvarige skriftligen har anmält att han eller hon motsätter sig sådan behandling. Den bestämmelsen uppfyller kravet i artikel 14 i EG-direktivet att medlemsstaterna skall tillförsäkra den registrerade rätten att efter anmodan och utan kostnader motsätta sig behandling av personuppgifter som rör den registrerade och som den personuppgiftsansvarige bedömer kan komma att behandlas för ändamål som rör direkt marknadsföring. Ett enligt EG-direktivet (artikel 14 första stycket b) tillåtet alternativ till en sådan bestämmelse som den föreslagna är att ge den registrerade rätt att bli informerad innan person- uppgifter för första gången lämnas ut till tredje man eller används för tredje mans räkning för ändamål som rör direkt marknadsföring och att uttryckligen få ett erbjudande om att utan kostnader motsätta sig ett sådant utlämnande eller en sådan användning. Kammarrätten i Göteborg anser att det alternativet är att föredra. Även Datainspektionen och Landsorganisationen i Sverige (LO) har synpunkter på regleringen i denna bestämmelse. Vi anser för vår del att den reglering som den föreslagna bestämmelsen innehåller är den enklaste och smidigaste. Regleringen ger den som så önskar en möjlighet att undvika behandling för ändamål som rör direkt marknadsföring och hindrar inte heller att det på privat initiativ inrättas ett nationellt reservationsregister till vilket enskilda kan anmäla att de inte önskar bli utsatta för direkt marknadsföring generellt eller bara i vissa fall. Rätt att motsätta sig behandling – Återkallelse av samtycke Enligt den nuvarande datalagen finns det inte någon generell rätt för den registrerade att motsätta sig en behandling som är laglig. Bestämmelserna i artikel 14 i EG-direktivet innebär att det för behandling för ändamål som rör direkt marknadsföring skall finnas en rätt för den registrerade att motsätta sig behandlingen, men att medlemsstaterna i övrigt fritt kan genom lagstiftning bestämma i vilken utsträckning en registrerad skall ha rätt att motsätta sig en sådan behandling som är laglig och tillåten enligt direktivet. På grund av utformningen av EG-direktivet måste det således i lagstiftningen slås fast i vilken utsträckning den registrerade generellt har rätt att motsätta sig behandling av personuppgifter. Datalagskommittén har föreslagit att den registrerade, i de fall där behandlingen bara är tillåten när den registrerade har lämnat sitt samtycke, skall ha rätt att när som helst återkalla ett lämnat samtycke med den verkan att ytterligare uppgifter om den registrerade därefter inte får behandlas; återkallelsen påverkar således inte behandlingen av de uppgifter som redan har hunnit samlas in med stöd av samtycket. Därutöver skall den registrerade, enligt kommitténs förslag, inte ha någon rätt att motsätta sig en behandling som är tillåten enligt den nya lagen. Förslaget har lämnats utan invändningar av remissinstanserna och bör genomföras. Huvudregeln om att den registrerade inte har rätt att motsätta sig en enligt lagen tillåten behandling motsvarar vad som gäller i dag. Regleringen av det fallet att ett lämnat samtycke återkallas innebär enligt vår mening en lämplig avvägning mellan den registrerades och den personuppgiftsansvariges intressen. Regleringen innebär att den regi- strerades självbestämmanderätt beträffande vilka uppgifter som får samlas in respekteras samtidigt som den personuppgiftsansvariges befogade anspråk på att få behandla färdigt de uppgifter som han eller hon kommit över med stöd av ett frivilligt lämnat samtycke kan tillgodo- ses. 11.4 Behandling av särskilda kategorier av uppgifter 11.4.1 Behandling av känsliga personuppgifter Regeringens förslag: Det är förbjudet att behandla personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, eller medlemskap i fackförening. Det är också förbjudet att behandla sådana personuppgifter som rör hälsa eller sexualliv. Från förbudet gäller undantag vid uttryckligt samtycke eller när uppgifter på ett tydligt sätt offentliggörs av den registrerade, vid nödvändig behandling inom arbetsrätten, för att skydda vitala intressen eller för att fastställa, göra gällande eller försvara rättsliga anspråk och vid behandling inom ideella organisationer eller inom hälso- och sjukvården. Datalagskommitténs förslag överensstämmer i huvudsak med regeringens. Remissinstanserna: Flera remissinstanser, t.ex. på det kommunala området, påpekar att definitionen av känsliga personuppgifter inte överensstämmer med den som tillämpas i dag. Arbetarskyddsstyrelsen anser att regeringen eller Datainspektionen bör ha möjlighet att i särskilda fall förbjuda behandling av känsliga personuppgifter även om det finns samtycke. Skälen för regeringens förslag: Definitionen av känsliga person- uppgifter i det principiella förbudet mot behandling av sådana uppgifter i den nya lagen överensstämmer med den definition som finns i artikel 8.1 i EG-direktivet, se bilaga 1. Enligt den nuvarande datalagen gäller särskilda regler för personregister som innehåller uppgifter om andra än medlemmar, anställda eller kunder hos den person- uppgiftsansvarige eller personer som har annan därmed jämställd anknytning till denne, att någon misstänks eller dömts för brott, att någon avtjänat straff eller undergått annan påföljd för brott, att någon varit föremål för tvångsingripande enligt viss lagstiftning, att någon fått ekonomisk hjälp eller vård inom socialtjänsten, att någon varit föremål för åtgärd enligt utlänningslagen, någons sjukdom, hälsotillstånd eller sexualliv, någons ras, politiska uppfattning, religiösa tro eller övertygelse i övrigt och någon som utgör omdöme eller annan värderande upplysning. En del av det som i dag omfattas av särskilda regler enligt den nuvarande datalagen kommer alltså inte att omfattas av bestämmelserna om känsliga personuppgifter i den nya lagen. Datalagskommittén har ansett att det skulle vara oförenligt med EG-direktivet att utvidga tillämpningsområdet för direktivets bestämmelser om känsliga uppgifter till att omfatta allt det som regleras av särskilda regler enligt den nuvarande datalagen. Den bedömningen verkar inte ha ifrågasatts av någon remissinstans. Även vi anser att det inte är tillåtet enligt EG- direktivet att i nationell lagstiftning ha en annan definition, som t.ex. omfattar uppgifter som är helt artskilda i förhållande till de som i direktivet definieras som känsliga. Att göra så skulle hindra det fria flödet av sådana uppgifter inom Europeiska unionen och därmed strida mot direktivet. Undantag från förbudet mot behandling av känsliga personuppgifter Även undantagen från förbudet mot behandling av känsliga person- uppgifter i den nya lagen överensstämmer med de undantag som skall föreskrivas enligt artikel 8.2 och 8.3 i EG-direktivet. Enligt artiklarna gäller inte det tidigare nämnda förbudet mot behandling av känsliga personuppgifter om den registrerade har lämnat sitt uttryckliga samtycke till en sådan be- handling, utom när det enligt medlemsstatens lagstiftning anges att förbudet mot behandling av känsliga personuppgifter inte kan upp- hävas genom den registrerades samtycke, eller behandlingen är nödvändig för att fullgöra de skyldigheter och sär- skilda rättigheter som åligger den personuppgiftsansvarige inom arbetsrätten, i den omfattning detta är tillåtet enligt en nationell lagstiftning som föreskriver lämpliga skyddsåtgärder, eller behandlingen är nödvändig för att skydda den registrerades eller någon annan persons grundläggande intressen när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke, eller behandlingen utförs inom ramen för berättigad verksamhet hos en stiftelse, en förening eller ett annat icke vinstdrivande organ, som har ett politiskt, filosofiskt, religiöst eller fackligt syfte, förutsatt att be- handlingen endast rör sådana organs medlemmar eller personer som på grund av organets ändamål har regelbunden kontakt med detta och uppgifterna inte lämnas ut till tredje man utan den registrerades sam- tycke, eller behandlingen rör uppgifter som på ett tydligt sätt offentliggörs av den registrerade eller är nödvändiga för att kunna fastslå, göra gällande eller försvara rättsliga anspråk, eller behandlingen av uppgifterna är nödvändig med hänsyn till före- byggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälso- eller sjukvård eller om dessa uppgifter behandlas av någon som är yrkesmässigt verksam på hälso- och sjukvårdsområdet och som enligt nationell lagstiftning eller bestämmelser som antagits av behöriga nationella organ är underkastad tystnadsplikt eller av en annan person som är ålagd en liknande tystnadsplikt. Som framgått kan enligt EG-direktivet en medlemsstat i sin lagstiftning bestämma att förbudet mot behandling av känsliga person- uppgifter inte kan upphävas genom den registrerades samtycke. Arbetarskyddsstyrelsen anser att lagen i enlighet härmed bör ge regeringen eller Datainspektionen möjlighet att i särskilda fall förbjuda behandling av känsliga personuppgifter även om det finns samtycke. När någon har lämnat ett frivilligt samtycke till en viss behandling, kan det enligt vår mening inte finnas något integritetsskyddsintresse som gör det befogat att förbjuda den behandling som den registrerade och den personuppgiftsansvarige är överens om. Någon sådan möjlighet som Arbetarskyddsstyrelsen föreslagit bör därför inte införas. Enligt den nya lagen gäller således undantag vid samtycke eller att uppgiften tydligt offentliggörs av den registrerade, vid nödvändig behandling inom arbetsrätten, för att skydda vitala intressen eller för att fastställa, göra gällande eller försvara rättsliga anspråk och vid behandling inom ideella organisationer eller inom hälso- och sjukvården. Dessa undantag berörs vidare i författningskommentaren. Enligt artikel 8.4 i EG-direktivet har medlemsstaterna möjlighet att föreskriva ytterligare undantag från förbudet med hänsyn till viktiga allmänna intressen. Detta förutsätter dock att det finns lämpliga skydds- åtgärder. Såsom framgår av avsnitt 10 föreslår vi att regeringen eller den myndighet som regeringen bestämmer skall bemyndigas att för viktiga allmänna intressen föreskriva andra undantag från det principiella förbudet mot behandling av känsliga personuppgifter än dem som framgår direkt av EG-direktivet. Vi anser dock att forskning och statistik är ett så viktigt område att det bör regleras redan i den nya lagen. Undantaget för forskning och statistik berörs närmare i följande avsnitt. 11.4.2 Behandling utan samtycke av känsliga personuppgifter för forskning och statistik Regeringens förslag: Känsliga personuppgifter får behandlas utan samtycke för forskning och statistik, om behandlingen är nödvändig och om samhällsintresset av projektet klart väger över riskerna för otillbörligt intrång i den personliga integriteten. Har behandlingen godkänts av en forskningsetisk kommitté, skall förutsättningarna anses uppfyllda. Datalagskommitténs förslag överensstämmer i huvudsak med regeringens. Remissinstanserna: Samtliga remissinstanser med anknytning till forsknings- och statistikverksamhet godtar förslaget eller lämnar det utan erinran. Svea hovrätt anser att förhandsgranskning alltid bör göras av Datainspektionen i avvaktan på att den forskningsetiska verksamheten ses över. Arbetarskyddsstyrelsen föreslår att prövningen bör göras inte av en forskningsetisk kommitté utan av styrelsen för den institution som forskaren tillhör. Styrelsen anser vidare, liksom Kammarrätten i Göteborg och Länsrätten i Stockholms län, att kommitténs beslut i vart fall bör kunna överprövas. Statistiska centralbyrån efterlyser bättre möjligheter att göra s.k. bortfallsanalys beträffande personer som vägrat lämna samtycke till en undersökning. Skälen för regeringens förslag: Forskning och statistik är ett så viktigt område att det bör regleras redan i den nya lagen. Beträffande den officiella statistiken finns det redan en särskild författningsreglering (lagen [1995:606] om vissa personregister för officiell statistik och förordningen [1995:1060] om vissa personregister för officiell statistik) som – i enlighet med vad som anges i avsnitt 6.2 – skall gälla framför den nya lagen. För övrig statistik och för forskning i allmänhet saknas däremot särskild författningsreglering, och det är sådant som inte redan är reglerat särskilt i författning som övervägandena i det följande tar sikte på. Att samhällsintressant forskning och statistik kan genomföras utgör ett sådant viktigt allmänt intresse som avses i artikel 8.4 i EG-direktivet. Den nya lagen bör – såsom en sådan lämplig skyddsåtgärd som avses i nämnda artikel i direktivet – innehålla en regel om att personuppgifter som behandlas för bl.a. statistiska eller vetenskapliga ändamål får användas för att vidta åtgärder beträffande den registrerade bara om den registrerade har lämnat sitt samtycke eller om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Regeln bör dock inte gälla för en myndighets användning av personuppgifter i allmänna handlingar. Regeln har berörts i avsnitt 8.1. De stränga regler om sekretess och tystnadsplikt som regelmässigt gäller vid behandling för forskning och statistik får också anses utgöra lämpliga skyddsåtgärder. En avvägningsnorm i lagtexten Enligt den nya lagen får känsliga personuppgifter alltid behandlas om den registrerade uttryckligen har lämnat sitt samtycke. Huvudprincipen vid forskning och statistik har under lång tid varit att den enskilde skall ha lämnat sitt samtycke. Vad frågan här gäller är alltså i vilka undantagsfall känsliga personuppgifter skall få behandlas för forskning och statistik utan samtycke från de registrerade. Viss forskning och statistik är så viktig att den inte bör vara beroende av att varje berörd enskild har informerats och lämnat sitt samtycke. Ibland tar samhällsintresset över intresset av att skydda enskildas personliga integritet. Att ett rättvisande cancerregister kan föras är t.ex. ett så viktigt samhällsintresse att man inte kan ta hänsyn till att drygt 10 procent av befolkningen anser att patientuppgifter inte skall få föras över dit. Principen om en fri forskning gör att det finns många olikartade forsk- nings- och statistikprojekt, och dessa pågår som regel bara under en begränsad tid. Detta, liksom vikten av att värna om forskningens frihet, gör att det förefaller lämpligare att göra en avvägning i varje särskilt fall än att i den nya lagen införa generella regler om vilken forskning och statistik som skall tillåtas. Vid en sådan individuell avvägning kan olika faktorer kring forsknings- eller statistikprojektet vägas mot intrånget i den enskildes personliga integritet. Det bör t.ex. göras en bedömning av hur pass viktig den kunskap är som projektet kan ge och om den kunskapen kan fås på något annat sätt än genom att behandla person- uppgifter eller om intrånget i den personliga integriteten annars kan begränsas genom en annan uppläggning av projektet. Det är t.ex. viktigt att möjligheterna att bedriva forskningen eller framställa statistiken utan att använda personanknutna uppgifter alltid undersöks. Det sagda talar för att det bör finnas något slags avvägningsnorm i lagtexten. Den avvägningsnorm som Datalagskommittén föreslagit har i huvudsak godtagits av remissinstanserna. Hovrätten över Skåne och Blekinge anser dock att avvägningsnormen bör preciseras och att lag- texten bör utfyllas. Liknande synpunkter förs fram av Malmö tingsrätt. Den föreslagna normen innebär att behandling utan samtycke av känsliga personuppgifter får ske under förutsättning att behandlingen är nödvän- dig och att samhällsintresset av det forsknings- eller statistikprojekt vari behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära. Den normen ger uttryck för en restriktiv tillämpning och betonar att behandlingen måste vara nödvändig samtidigt som en intresseavvägning skall göras. Enligt vår mening är det inte nödvändigt att i lagtexten ytterligare precisera normen utan det kan överlåtas åt rättstillämpningen att med användande av normen och allt efter rådande värderingar och utvecklingen i samhället avgöra vilka behandlingar som kan tillåtas. Vid den helhetsbedömning som skall göras enligt normen kan beaktas bl.a. forsknings- eller statistikprojektets vikt, behovet av personuppgifter, säkerheten vid behandlingen, hur pass kostsamt eller tidsödande det skulle vara att hämta in samtycke, i vad mån den enskilde skulle kunna skadas om man begärde samtycke och om en kontakt med den enskilde skulle kunna förrycka undersökningsresultatet. Vid intresseavvägningen bör också beaktas om information i någon form lämnas till de berörda, t.ex. via anslag eller annonser. I de allra flesta fall bör åtminstone sådan information kunna lämnas. Även frågan i vilken utsträckning den som begär det skall ha rätt att bli struken kan beaktas vid intresseavvägningen. Godkännande av en forskningsetisk kommitté Datalagskommittén har föreslagit att förutsättningarna enligt avvägnings- normen skall anses uppfyllda om projektet godkänts av en forskningsetisk kommitté. Vi delar denna uppfattning, dock att det i personuppgiftslagen bör anges att det är behandlingen som skall godkännas, inte projektet. Med en forskningsetisk kommitté avses ett sådant särskilt organ för prövning av forskningsetiska frågor som har företrädare för såväl det allmänna som forskningen och som är knutet till ett universitet eller en högskola eller till någon annan instans som i mera betydande omfattning finansierar forskning. Sådana kommittéer är i dag knutna till de medicinska fakulteterna, Humanistisk-samhällsvetenskap- liga forskningsrådet och Socialvetenskapliga forskningsrådet. Datalagskommitténs förslag har i huvudsak godtagits av remiss- instanserna. Svea hovrätt och Arbetarskyddsstyrelsen anser dock att granskningen bör göras av någon annan instans, Datainspektionen respektive styrelsen för den institution forskaren tillhör. Den avvägning som måste ske är så känslig och så svår att göra att den som huvudregel inte bör överlåtas åt varje enskild forskare eller statistiker vid varje enskilt forsknings- eller statistikprojekt. Det krävs därför att avvägningen i de enskilda fallen som regel görs av någon oberoende instans. Styrelsen för den institution som en forskare tillhör är inte så oberoende som bör krävas. Den oberoende instansen bör vidare ha kunskap och vana att göra bedömningar av såväl risken för otillbörliga integritetsintrång som forsknings- eller statistikprojektet som sådant. Tillräcklig kunskap och vana för att göra sådana bedömningar av forsknings- och statistikprojekt finns för närvarande inte hos Datainspektionen, och det förefaller inte heller ändamålsenligt att nu tillföra inspektionen sådan kompetens. Vi anser därför i likhet med de allra flesta remissinstanserna att avvägningen bör göras av en forskningsetisk kommitté. Sammansättningen av kommittén bör givetvis vara sådan att det finns kompetens för att göra avvägningen med hänsyn till den personliga integriteten. Överprövning av den forskningsetiska kommitténs beslut Kammarrätten i Göteborg, Länsrätten i Stockholms län och Arbetar- skyddsstyrelsen anser att den forskningsetiska kommitténs beslut bör kunna överprövas. Den främsta anledningen till att de forskningsetiska kommittéerna bör göra avvägningen är att dessa instanser har sådan särskild kunskap och vana att göra bedömningar av såväl risken för otillbörliga integritetsintrång som forsknings- och statistikprojekt som inte finns hos någon annan instans, t.ex. hos Datainspektionen eller inom domstolsväsendet eller regeringskansliet. Såvitt framkommit gör kom- mittéerna bedömningarna på ett omdömesgillt och självständigt sätt. Deras granskning utgör en garanti för att behandling av känsliga person- uppgifter för forskning och statistik används utan samtycke bara i de undantagsfall där det verkligen är befogat med hänsyn till samhälls- intresset att forskningen kommer till stånd. Det får vidare förutsättas att tillsynsmyndigheten och kommittéerna regelbundet samråder med varandra och att myndigheten noga följer utvecklingen på detta område. De forskningsetiska kommittéernas verksamhet är i dag inte för- fattningsreglerad, och de åläggs inte heller genom den nya lagen någon utövning av offentlig makt. Frågan om en forskningsetisk kommitté är en myndighet vars beslut att godkänna eller inte godkänna ett projekt kan överklagas enligt allmänna regler om överklagande av förvaltnings- myndighets beslut påverkas inte av den nya lagen. Regeringen har tillsatt en kommitté med uppdrag att bl.a. undersöka hur systemet för forskningsetisk granskning fungerar i dag och föreslå de förändringar som bedöms nödvändiga (dir. 1997:68). En av utgångs- punkterna för kommittén skall vara att forskning som har människor som forskningsobjekt skall utsättas för etisk granskning. Kommittén skall överväga om det bör finnas möjlighet till överprövning av de forsk- ningsetiska kommittéernas beslut och undersöka och föreslå utformningen av forskningsetisk granskning av projekt som innefattar användning av personnummer. Även sammansättningen av de forskningsetiska kommittéerna skall utredas. Kommittén skall redovisa sitt uppdrag senast den 1 februari 1999. Den forskningsetiska verksamheten kommer således att få en allsidig genomlysning, varvid även frågan om överprövning av de forsknings- etiska kommittéernas beslut kommer att belysas. Resultatet av utred- ningens översyn och förslag kan göra att det finns anledning att på nytt överväga frågan. Vi har därför inte funnit anledning att nu av inte- gritetsskäl införa en särskild överprövningsmöjlighet. Förhandskontroll av behandlingar som inte granskats av forskningsetisk kommitté De allra flesta forsknings- och statistikprojekt där det kan vara aktuellt att behandla känsliga personuppgifter utan samtycke bör kunna granskas av en forskningsetisk kommitté eller omfattas av den särskilda författ- ningsregleringen om den officiella statistiken. Datalagskommittén har för de undantagsfall där en forskningsetisk granskning av någon anledningen inte kommit till stånd föreslagit att det införs en skyldighet att anmäla behandlingen för förhandskontroll till tillsynsmyndigheten. Det förslaget har godtagits eller lämnats utan erinran av remissinstanserna. En sådan anmälningsskyldighet kan införas med stöd av det bemyndigande som berörs i avsnitt 10. Vi hade tänkt oss att senare överväga den frågan och i förekommande fall ge nödvändiga regler i en förordning. Bortfallsanalyser Om en viss behandling av personuppgifter för forsknings- eller statistikändamål enligt den nya lagen bara är tillåten när den enskilde har lämnat sitt samtycke, får vid uteblivet eller vägrat samtycke uppgifter om den berörde inte behandlas. Detta innebär bl.a. att s.k. bortfallsanalyser inte kan genomföras, när forsknings- eller statistikprojektet inte är av sådan vikt att behandlingen av uppgifterna får ske utan samtycke. Statistiska centralbyrån anser att det måste vara tillåtet att göra bort- fallsanalyser, dvs. behandla uppgifter om dem som inte lämnat samtycke. Av vad som anförts i det föregående framgår att känsliga person- uppgifter bör få behandlas utan samtycke för forskning och statistik bara när det finns ett starkt samhällsintresse av att det aktuella projektet genomförs. Vi anser att det inte finns anledning att medge sådan behandling för mindre viktiga projekt, ens när det gäller bortfallsanalyser. Har den enskilde vägrat att lämna sitt samtycke till behandling av känsliga personuppgifter när ett sådant krävs, bör hans eller hennes vilja således respekteras. Inget hindrar dock att den ansvarige för behandlingen alternativt efterfrågar samtycke till att under en kortare tid behandla vissa känsliga personuppgifter för bortfallsanalys. Om bortfallsanalysen bara skall avse sådana personuppgifter som inte är känsliga, finns det däremot enligt EG-direktivet och den nya lagen större möjligheter att behandla uppgifterna utan samtycke och utföra bortfallsanalysen. Sådana uppgifter får nämligen behandlas t.ex. när behandlingen är nödvändig för att utföra en arbetsuppgift av allmänt intresse, se avsnitt 11.3. Utlämnande av personuppgifter för forskning och statistik Enligt artikel 11.2 i EG-direktivet behöver information till de registrerade inte lämnas när uppgifter hämtas in från annat håll än de registrerade, om utlämnandet av uppgifterna uttryckligen föreskrivs i författning. Det krävs dock att det finns lämpliga skyddsåtgärder. Reglerna berörs närmare i avsnitt 11.5.1. Datalagskommittén har – med hänsyn till EG-direktivet – föreslagit att det i den nya lagen tas in en uttrycklig bestämmelse om att person- uppgifter får lämnas ut för att användas i sådana forsknings- och statistikprojekt som är så viktiga att behandling av känsliga person- uppgifter är tillåten utan samtycke, om inte något annat följer av regler om sekretess och tystnadsplikt. Bestämmelsen för med sig att den forskare eller statistiker som i enlighet med bestämmelsen hämtar in personuppgifter från något annat håll än de registrerade inte automatiskt behöver informera de registrerade om sin behandling. Däremot kan den forskningsetiska granskningen eller en tillämpning av avvägningsnormen i lagtexten leda till att information måste lämnas. Datalagskommittén har ansett att bl.a. de stränga sekretessbestämmelser som regelmässigt gäller inom forsknings- och statistikverksamhet utgör sådana lämpliga skyddsåtgärder som krävs enligt EG-direktivet. Förslaget har godtagits eller lämnats utan erinran av remissinstanserna. Också vi anser att det har goda skäl för sig och bör genomföras. Det bör dock betonas att det inte är fråga om någon ny uppgiftsskyldighet för enskilda eller det allmänna. Ett privat företag kan således liksom hittills själv bestämma om personuppgifter skall lämnas ut för forskning eller statistik eller inte. 11.4.3 Behandling av uppgifter om lagöverträdelser Regeringens förslag: Det är förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från förbudet. Datalagskommitténs förslag överensstämmer i huvudsak med regeringens, dock att administrativa frihetsberövanden inte omfattas av förbudet i Datalagskommitténs förslag. Remissinstanserna: Datainspektionen pekar på att enligt EG- direktivet kan samma regler införas för uppgifter som rör ”administrativa sanktioner” och föreslår att så sker beträffande ”administrativa fri- hetsberövanden”. Skälen för regeringens förslag: I artikel 8.5 i EG-direktivet (se bilaga 1) finns det särskilda regler rörande behandling av uppgifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder. Behandling av sådana uppgifter får utföras endast under kontroll av en myndighet eller – om lämpliga skyddsåtgärder finns i nationell lag – med förbehåll för de avvikelser som medlemsstaterna kan tillåta med stöd av nationella bestämmelser som innehåller lämpliga och specifika skyddsåtgärder. Ett fullständigt register över brottmålsdomar får dock föras endast under kontroll av en myndighet. Det är tillåtet för medlemsstaterna att föreskriva att uppgifter som rör ”administrativa sanktioner” eller avgöranden i tvistemål också skall behandlas under kontroll av en myndighet. Datalagskommitténs förslag om ett principiellt förbud för andra än myndigheter att behandla uppgifter om lagöverträdelser, brottmålsdomar och säkerhetsåtgärder har lämnats utan erinran av remissinstanserna och bör genomföras. Sådana uppgifter är otvivelaktigt av så känslig natur att vem som helst inte bör få hantera uppgifterna hur som helst. Å andra sidan står det klart att myndigheter ofta behöver hantera just sådana uppgifter för att kunna fullgöra de samhällsuppdrag som lagts på dem. I vilken utsträckning myndigheter får hantera sådana uppgifter framgår av de föreskrifter som reglerar respektive myndighets verksamhet. Det är därför ändamålsenligt att i den nya lagen ta in en grundläggande bestämmelse om att det är förbjudet för andra än myndigheter att behandla uppgifter om lagöverträdelser, domar i brottmål eller säker- hetsåtgärder. Som Lagrådet påpekat talar det förhållandet att det är fakultativt att låta administrativa sanktioner omfattas för att de lag- överträdelser som avses är sådana som innefattar brott. Detta bör anges uttryckligen. Med ”säkerhetsåtgärder” torde i första hand avses straff- processuella tvångsmedel. Detta begrepp bör användas i lagtexten. Eftersom det kan finnas fall där det är befogat att enskilda behandlar sådana uppgifter, bör bestämmelsen kompletteras med ett bemyndigande för regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om undantag från förbudet. Frågan om norm- givningsdelegation har berörts i avsnitt 10. En möjlighet till dispens i enskilda fall bör också finnas. Datalagskommittén har som exempel på fall där det kan vara befogat med undantag nämnt den behandling av uppgifter om t.ex. brottmålsdomar som privata vård- och behandlingshem kan behöva utföra för att vårda och behandla den dömde på ett effektivt sätt och viss registrering för försäkringsbolagens kravhantering. Datainspektionen anser med stöd av regeln i EG-direktivet om ”administrativa sanktioner” att samma bestämmelser skall göras tillämp- liga beträffande ”administrativa frihetsberövanden”. Det kan inte anses helt klart vad som avses i direktivet med ”administrativa sanktioner”, men ett exempel kan vara skattetillägg. I den nuvarande datalagen finns det särskilda regler om personregister som innehåller uppgift om att någon varit föremål för tvångsingripande enligt lagen (1990:52) med särskilda bestämmelser om vård av unga, lagen (1988:870) om vårds av missbrukare i vissa fall, lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, lagen (1967:940) angående omsorger om vissa psykiskt utvecklingsstörda och utlänningslagen (1989:529). Enligt vår mening torde de nu nämnda uppgifterna vara sådana som omfattas av direktivet eftersom varken begreppet säkerhetsåtgärd eller begreppet administrativ sanktion utesluter att sådana uppgifter inbegrips. Vi anser således att den av Datainspektionens föreslagna lösningen bör genomföras. Det bör därför uttryckligen anges att administrativa frihetsberövanden omfattas av förbudet. Möjligheten enligt direktivet att föra in uppgifter om avgöranden i tvistemål under den föreslagna ordningen bör inte utnyttjas genom sär- regler i den nya lagen. Den viktigaste och känsligaste formen för behand- ling av sådana uppgifter – kreditupplysning – bör i stället liksom hittills regleras i en särskild lag, kreditupplysningslagen (1973:1173). 11.4.4 Behandling av personnummer Regeringens förslag: Reglerna om användning av personnummer i den nuvarande datalagen förs i sak i princip oförändrade över till den nya lagen. Detta innebär att uppgifter om personnummer får utan samtycke behandlas bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Datalagskommitténs förslag överensstämmer i huvudsak med regeringens. Remissinstanserna: Bara ett fåtal remissinstanser har haft synpunkter. Datainspektionen, Härnösands kommun och Sveriges advokatsamfund uttalar sig för en restriktiv användning av personnummer. Hovrätten över Skåne och Blekinge anser att även den uttryckliga bestämmelsen i den nuvarande datalagen om att person- uppgifter får återges på datautskrifter endast när det finns särskilda skäl bör föras över till den nya lagen och därvid göras tillämplig på varje återgivande av personnummer både vid manuell och automatisk behandling. Skälen för regeringens förslag: Enligt artikel 8.7 i EG-direktivet (se bilaga 1) skall medlemsstaterna bestämma på vilka villkor ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering får behandlas. Det måste alltså i Sverige finnas en reglering av använd- ningen av personnummer. En sådan reglering finns i dag i 7 § andra stycket i den nuvarande datalagen. Registrering av personnummer får enligt den bestämmelsen ske endast när det klart är motiverat med hänsyn till registrets ändamål, vikten av en säker identifiering eller av annat beaktansvärt skäl. Det finns också en uttrycklig regel om att personnummer får återges på datautskrifter endast när det finns särskilda skäl. Frågan om användningen av personnummer har nyligen utretts. Den av den förra borgerliga regeringen tillsatta Personnummerutredningen överlämnade våren 1994 betänkandet Personnummer – Integritet och effektivitet (SOU 1994:63) med förslag till lagstiftning om person- nummer. På hösten 1994 anförde den då tillträdda socialdemokratiska regeringen i budgetpropositionen för budgetåret 1995/96 att det inte var aktuellt att införa någon förändrad lagstiftning om användningen av personnummer (prop. 1994/95:100 bil. 3 s. 14). Vi finner inte anledning att nu göra något annat ställningstagande. De bestämmelser om användningen av personnummer som redan finns i den nuvarande datalagen bör således i sak i pricip oförändrade föras över till den nya lagen. Om någon ger sitt samtycke är det självklart att personnummer skall få behandlas. Lagtexten har efter det att lagråds- remissen behandlats i Lagrådet kompletterats i detta avseende. Att den uttryckliga regeln i den nuvarande datalagen om återgivande av personnummer på datautskrifter inte har förts över innebär inte någon ändring i sak. Redan den överförda huvudregeln innebär nämligen att en uppgift om personnummer får behandlas t.ex. genom att fästas på en utskrift eller visas upp på en datorskärm bara när den behandlingen är klart motiverad med hänsyn till något beaktansvärt skäl. Att ha en särskild regel med annat rekvisit – särskilda skäl – om just den behandling som själva återgivandet utgör, skulle enligt vår mening bara grumla regleringen. 11.5 Information till den registrerade 11.5.1 Information som skall lämnas när uppgifterna samlas in Regeringens förslag: Om uppgifter om en person samlas in från personen själv, skall den personuppgiftsansvarige i samband därmed självmant lämna den registrerade information om behandlingen. Om personuppgifterna samlats in från någon annan källa än den registrerade, gäller följande. Den personuppgiftsansvarige skall självmant lämna den registrerade information om behandlingen, när uppgifterna registreras. Är uppgifterna avsedda att lämnas ut till tredje man, behöver informationen dock inte lämnas förrän uppgifterna lämnas ut för första gången. Information behöver inte lämnas, om det finns bestämmelser om registrerandet eller utlämnandet av person- uppgifterna i en lag eller någon annan författning. Information behöver inte heller lämnas, om det visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Om uppgifterna används för att vidta åtgärder som rör den registrerade, skall dock information i detta fall lämnas senast i samband med detta. Information behöver aldrig lämnas om sådant som den registrerade redan känner till. Regler om sekretess och tystnadsplikt går före informationsskyldigheten. Datalagskommitténs förslag överensstämmer i huvudsak med regeringens. Remissinstanserna: Flera remissinstanser noterar att skyldigheterna att informera kommer att öka med den nya lagen och poängterar vikten av att skyldigheterna hålls på en rimlig nivå. En del instanser på lands- tingsområdet efterlyser klarlägganden av förhållandet mellan informa- tionsskyldigheten enligt den nya lagen och likartade skyldigheter att informera enligt lagstiftning på hälso- och sjukvårdsområdet. Skälen för regeringens förslag: I artikel 10–11 i EG-direktivet (se bilaga 1) finns det bestämmelser om den information som en person- uppgiftsansvarig skall lämna självmant till den registrerade i samband med att han eller hon samlar in personuppgifter. Artikel 10 rör den situationen att uppgifterna samlas in från den registrerade själv, medan artikel 11 gäller när uppgifterna hämtas in från något annat håll. I båda fallen skall den personuppgiftsansvarige lämna informationen självmant. Det krävs alltså inte att den registrerade begär att få information. Samlas personuppgifterna in från den registrerade själv, skall informa- tionen alltid lämnas i samband därmed. Samlar den personupp- giftsansvarige in uppgifter från de registrerade utan att då berätta vad uppgifterna skall användas till, kan behandlingen av personuppgifterna inte anses ha gått korrekt till. När personuppgifterna hämtas in från något annat håll, skall informa- tionen enligt direktivet lämnas ”vid registreringen”. Kan det vid detta till- fälle förutses att uppgifterna kommer att lämnas ut till tredje man, är det dock tillåtet att vänta med informationen ända till dess att uppgifterna lämnas ut för första gången. Av EG-direktivet följer att informationen skall avse den person- uppgiftsansvariges och dennes eventuella företrädares identitet, ändamålen med den behandling för vilka uppgifterna är avsedda, och all ytterligare information i den utsträckning informationen – med hänsyn till de särskilda omständigheter under vilka uppgifterna samlas in – är nödvändig för att tillförsäkra den registrerade en korrekt behandling. Den personuppgiftsansvarige är dock aldrig skyldig att lämna information om sådant som den registrerade redan känner till. För det fallet att personuppgifterna hämtas in från något annat håll än den registrerade själv finns det i artikel 11.2 i EG-direktivet vissa undantag från skyldigheten att informera. Undantagen gäller när det visar sig vara omöjligt eller skulle innebära en oproportionerligt stor ansträngning att lämna information och när registreringen eller utläm- nandet uttryckligen föreskrivs i författning. För dessa undantagsfall skall medlemsstaterna föreskriva lämpliga skyddsåtgärder. Enligt punkt 40 i ingressen till EG-direktivet kan vid bedömningen av om informa- tionslämnandet skulle innebära en oproportionerligt stor ansträngning beaktas bl.a. ”antalet registrerade, uppgifternas ålder och de kompen- satoriska åtgärder som kan vidtas”. De nu redovisade bestämmelserna i EG-direktivet måste genomföras i svensk lagstiftning. Vi föreslår att så sker genom att bestämmelserna förs över till den nya lagen. Den nya lagen går alltså inte längre än vad som krävs enligt EG-direktivet. Den skyldighet att informera som föreskrivs i den nya lagen gäller i princip utöver den informationsskyldighet som kan vara föreskriven enligt annan lagstiftning, t.ex. på hälso- och sjukvårdsområdet. Emellertid gäller enligt den nya lagen att information aldrig behöver lämnas om sådant som den registrerade redan känner till, t.ex. på grund av att han eller hon redan har fått informationen i enlighet med annan lagstiftning. Bestämmelsen om att information aldrig behöver lämnas om sådant som den registrerade redan känner till kan vidare ha särskild betydelse när den personuppgiftsansvarige avser att fortlöpande samla in uppgifter om den registrerade. Information behöver då inte lämnas varje gång nya uppgifter samlas in, om den registrerade en gång har fått fullständig information och således redan känner till informationen. Lämpliga skyddsåtgärder när information inte behöver lämnas Sverige måste enligt EG-direktivet föreskriva lämpliga skyddsåtgärder för de fall där information inte behöver lämnas därför att registreringen eller utlämnandet uttryckligen föreskrivs i författning eller därför att det visar sig vara omöjligt eller skulle innebära en oproportionerligt stor ansträngning att lämna information. När det finns bestämmelser om registreringen eller utlämnandet i en författning, finns det som regel mekanismer eller föreskrifter i den aktuella författningen som förhindrar missbruk och som får anses vara tillräckliga för att uppfylla direktivets krav på lämpliga skyddsåtgärder. Eventuella tillkommande lämpliga skyddsåtgärder får tas in i den författ- ning som föreskriver registreringen eller utlämnandet. Några generella föreskrifter om lämpliga skyddsåtgärder för det fallet att registreringen eller utlämnandet är författningsreglerat behöver således inte tas in i den nya lagen. Frågan om författningsstöd för utlämnande av personuppgifter för forskning och statistik har berörts i avsnitt 11.4.2. När det sedan gäller det fallet att det visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats att lämna information, är det nödvändigt att i den nya lagen ta in bestämmelser om sådana lämpliga skyddsåtgärder som krävs enligt EG-direktivet. Enligt vår mening är det i detta hänseende tillräckligt att i den nya lagen föreskriva att information alltid skall lämnas senast i samband med att de aktuella uppgifterna används för att vidta åtgärder beträffande de registrerade. Därmed finns det en garanti för att den registrerade inte utsätts för en åtgärd utan att få reda på vilken uppgiftsbehandling som ligger bakom den. Om en personuppgiftsansvarig för utskick för direkt marknadsföring hämtat in uppgifter om så många personer att det skulle innebära en oproportionerligt stor arbetsinsats att informera dem alla redan när uppgifterna registreras, måste således information lämnas senast i de handlingar som sänds ut. Undantag vid sekretess och tystnadsplikt I den utsträckning det i en lag eller någon annan författning eller i ett beslut som har meddelats med stöd av en författning är särskilt föreskrivet att uppgifter inte får lämnas ut till den registrerade, behöver information inte lämnas. Denna undantagsregel, som är gemensam för den nu berörda skyldigheten att självmant lämna information när person- uppgifterna samlas in och skyldigheten att efter ansökan av den registrerade lämna information, berörs närmare i nästa avsnitt. 11.5.2 Information som skall lämnas efter ansökan Regeringens förslag: Den personuppgiftsansvarige är skyldig att till var och en som ansöker om det en gång per kalenderår gratis lämna besked i frågan om personuppgifter som rör sökanden behandlas eller ej. Behandlas sådana uppgifter skall skriftlig information lämnas också om vilka uppgifter om sökanden som behandlas, varifrån dessa uppgifter har hämtats, vilka ändamålen med behandlingen är och till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut. Ansökan om information skall göras skriftligen hos den person- uppgiftsansvarige och vara undertecknad av den sökande själv. Informationen skall lämnas inom en månad från det att ansökan gjordes. Om det finns särskilda skäl för det, får informationen dock lämnas senast fyra månader efter det att ansökan gjordes. Information behöver emellertid inte lämnas om personuppgifter i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör minnesanteckning eller liknande. Detta gäller dock inte om uppgifterna har lämnats ut till tredje man eller om uppgifterna behandlas enbart för historiska, statistiska eller vetenskapliga ändamål eller, när det gäller löpande text som inte fått sin slutliga utformning, om uppgifterna har behandlats under längre tid än ett år. Regler om sekretess och tystnadsplikt går också före informa- tionsskyldigheten. Datalagskommitténs förslag överensstämmer i huvudsak med regeringens. Remissinstanserna: Flera remissinstanser noterar att skyldigheterna att informera kommer att öka med den nya lagen och poängterar vikten av att skyldigheterna hålls på en rimlig nivå, särskilt när det gäller personuppgifter i löpande text. Skälen för regeringens förslag: Enligt artikel 12 a i EG-direktivet (se bilaga 1) skall medlemsstaterna säkerställa att varje registrerad har rätt att från den personuppgiftsansvarige få viss information. Informationen behöver – såsom direktivet måste tolkas – lämnas bara efter begäran från den registrerade. Informationen skall då lämnas utan hinder, med rimliga intervall, utan större tidsutdräkt och utan större kostnader. Den registrerade har för det första rätt att få bekräftelse på om uppgifter som rör honom eller henne behandlas eller inte. I övrigt – naturligen bara för det fallet att uppgifter om den registrerade behandlas – skall information lämnas om åtminstone ändamålen med behandlingen, de berörda uppgiftskategorierna, mottagarna eller till vilka kategorier av mottagare som uppgifterna lämnas ut, vilka uppgifter som behandlas och varifrån uppgifterna kommer. Informationen om vilka uppgifter som behandlas skall vara begriplig för den registrerade. När det gäller information om varifrån uppgifterna kommer, behöver den personuppgiftsansvarige bara lämna all den information som finns tillgänglig för honom eller henne. Den person- uppgiftsansvarige behöver således inte hålla reda på varifrån uppgifterna har hämtats, men vet han eller hon det när den registrerade begär information skall det uppges. Bestämmelserna i EG-direktivet, som motsvarar reglerna i 10 § i den nuvarande datalagen om registerutdrag, måste föras över till den nya lagen. Vi föreslår att så sker. I enlighet med vad som gäller i dag beträffande registerutdrag bör det därvid föreskrivas att en ansökan om information skall göras skriftligen och vara undertecknad av den sökande själv. Det är enligt vår mening rimligt att den enskilde har rätt att en gång per kalenderår få skriftlig information gratis. Informationen bör – i enlighet med vad som gäller i dag enligt Datainspektionens föreskrift DIFS 1982:2 – som huvudregel lämnas inom en månad från det att ansökan gjordes. Informationen bör dock få lämnas senast fyra månader efter det att ansökan gjordes, om det finns särskilda skäl för det. Sådana särskilda skäl kan vara att personuppgifterna är krypterade, att sök- möjligheterna annars är begränsade eller att den personuppgiftsansvarige har många personuppgifter uppdelade på olika register eller andra data- samlingar. Personuppgifter i löpande text Den nya lagen omfattar till skillnad från den nuvarande datalagen även behandling av personuppgifter som finns i löpande text, t.ex. i ett ord- behandlingsdokument (se avsnitt 8.4). Beträffande sådana person- uppgifter finns det särskilda svårigheter att söka fram alla uppgifter om en och samma person som behandlas. I vissa fall har en personuppgifts- ansvarig så många olika samlingar av personuppgifter och så dåliga sökmöjligheter att det i praktiken är omöjligt att få fram alla uppgifter om den registrerade som behandlas. Arkivmyndigheterna, som tar emot samlingar av uppgifter med olikartad struktur från många håll, kan vara ett exempel. I EG-direktivet finns det ingen uttrycklig bestämmelse som gör det möjligt att göra undantag från skyldigheten att efter ansökan lämna begriplig information om vilka uppgifter som behandlas, när det är omöjligt eller skulle innebära en oproportionerligt stor ansträngning att söka fram alla uppgifter om en person som behandlas. Datalagskommittén har berört problemet på följande sätt. EG-direktivet kan inte anses kräva att en persondataansvarig ordnar sina uppgiftssamlingar på ett sådant sätt att det är möjligt att söka fram alla uppgifter om en registrerad som behandlas. Ett införande eller tillåtande av sådana sök- och sammanställningsmöjligheter, som inte behövs av något annat skäl, skulle i själva verket kunna hota den personliga integriteten; det skulle då bli enkelt att kartlägga en person. Enligt vår mening är det inte rimligt att utforma informations- skyldigheten på ett sådant sätt att den tvingar fram förfaranden som i själva verket kan hota den personliga integriteten. Den person- dataansvarige bör, som vi ser det, bara vara skyldig att utnyttja alla de sök- och sammanställningsmöjligheter som han eller hon faktiskt och rättsligt har tillgång till för att få fram information att lämna till den registrerade. Därmed garanteras att den registrerade får tillgång till all information som den persondataansvarige faktiskt kan få fram om den registrerade, vilket måste anses tillräckligt; inte ens EG- rätten kan tvinga någon att göra det som i praktiken är omöjligt. Den som har en stor mängd ordbehandlingsdokument och som bara har en funktion för att söka i öppnade dokument kan exempelvis i praktiken inte få fram alla uppgifter om en person som kan finnas i dokumenten. En persondataansvarig med hundratals anställda med persondatorer vilka kan sökas igenom en och en kan inte heller i praktiken söka fram de personuppgifter som kan finnas i alla datorerna, om det inte finns några mera centraliserade sök- möjligheter. Möjligheterna att söka bland datorlagrade uppgifter utvecklas dock ständigt, och det finns redan i dag i standardprogram funktioner för att snabbt söka igenom alla dokument på en hårddisk eller via nät efter viss text, t.ex. ett namn eller personnummer. Med den föreslagna ordningen kommer den registrerades rätt att få information att utvidgas i precis samma takt som de per- sondataansvarigas möjligheter att göra integritetskänsliga sökningar och sammanställningar utvecklas. Det finns inte anledning att driva på utvecklingen och användningen av möjligheterna att göra känsliga sammanställningar. En persondataansvarig som behandlar många personuppgifter i olika konstellationer, exempelvis Statistiska centralbyrån, kan med den föreslagna ordningen ändå behöva göra stora ansträngningar för att pröva alla sök- och sammanställningsmöjligheter som faktiskt finns. Men den som samlar på sig stora mängder personuppgifter får som regel finna sig i att också behöva göra stora ansträngningar för att kunna tillgodose de registrerades grundläggande rättigheter. Enligt vår mening är det rimligt att utgå från att Datalagskommitténs slutsats att EG-direktivet innebär att den personuppgiftsansvarige bara är skyldig att utnyttja alla de sök- och sammanställningsmöjligheter som han eller hon har tillgång till för att få fram information att lämna till den registrerade är riktig. När det gäller skyldigheten att efter ansökan lämna information om bl.a. vilka uppgifter om sökanden som behandlas, skall bestämmelserna i den nya lagen ha samma innebörd som enligt direktivet och inte gå längre än vad direktivet kräver. Även en annan aspekt på det förhållandet att den nya lagen omfattar behandling av personuppgifter i löpande text bör tas upp. När det gäller personuppgifter i löpande text som inte har fått sin slutliga utformning, t.ex. i ett ordbehandlingsdokument under arbete, och personuppgifter i löpande text som utgör minnesanteckning eller liknande, finns det nämligen enligt vår mening anledning att ha särskilda regler i den nya lagen. Regleringen i 2 kap. tryckfrihetsförordningen innebär att en myndighet inte är skyldig att på grund av offentlighetsprincipen lämna ut t.ex. utkast under arbete och minnesanteckningar eller liknande som inte skall bevaras för framtiden. Det är tydligt att en ordning som innebär att ofärdiga alster och minnesanteckningar eller liknande inte behöver lämnas ut har goda skäl för sig på såväl den offentliga som den privata sidan. Att under en rimlig tid få ha sina ofärdiga alster och minnesanteckningar i fred kan enligt regeringens mening anses som en sådan fri- och rättighet som enligt artikel 13.1 i EG-direktivet berättigar till en begränsning av informationsskyldigheten. Vi föreslår därför för det första att information inte skall behöva lämnas beträffande personuppgifter i löpande text som när ansökan om information gjordes inte har fått sin slutliga utformning. Har uppgifterna i den löpande texten behandlats under så lång tid som ett år utan att texten färdigställts, får dock den registrerades intresse av att få ta del av sina uppgifter anses väga tyngre än den personuppgiftsansvariges intresse av att utan insyn få ytterligare fördröja färdigställandet av texten. Personuppgifter i löpande text som, när ansökan gjordes, har behandlats under längre tid än ett år utan att texten har fått sin slutliga utformning bör därför lämnas ut, om inte den personuppgiftsansvarige väljer att i stället utplåna personuppgifterna i den ofärdiga texten. Den registrerade bör också ha rätt att få reda på uppgifterna, om den person- uppgiftsansvarige har spritt dem till utomstående. Information bör således lämnas om uppgifterna i den ofärdiga löpande texten redan har lämnats ut till tredje man när ansökan om information gjordes. Har den personuppgiftsansvarige när ansökan görs inte längre kvar de utlämnade uppgifterna, kan information givetvis inte lämnas. Vi föreslår för det andra att information inte skall behöva lämnas be- träffande personuppgifter i löpande text som utgör minnesanteckning eller liknande, t.ex. en föredragningspromemoria, under förutsättning att personuppgifterna, när ansökan gjordes, inte har lämnats ut till tredje man. De minnesanteckningar eller liknande som det finns goda skäl för att undanta från den registrerades insyn är sådana som används för att förbereda ett ärende eller liknande för avgörande. Sparas sådana hand- läggningshjälpmedel sedan ärendet har avgjorts eller annars slut- behandlats, bör den registrerade få ta del av uppgifterna på motsvarande sätt som allmänheten har rätt att ta del av uppgifter i myndigheters minnesanteckningar eller liknande vilka tagits om hand för arkivering. Information bör således lämnas beträffande personuppgifter i minnes- anteckningar eller liknande som, när ansökan gjordes, bara behandlas för historiska, statistiska eller vetenskapliga ändamål. Det bör påpekas att informationsskyldigheten innebär att en registrerad i vissa fall kan ha rätt att med stöd av den nya lagen få ta del av uppgifter om sig själv som allmänheten inte har rätt att få ta del av med stöd av offentlighetsprincipen enligt 2 kap. tryckfrihetsförordningen. Den registrerade har i viss utsträckning rätt att få ta del av uppgifter i handlingar som inte är allmänna. Det kan t.ex. gälla uppgifter i utkast som har behandlats under längre tid än ett år. Men när handlingen med informationen om uppgifterna har expedierats till den registrerade, blir handlingen å andra sidan genast allmän och tillgänglig för var och en i den utsträckning sekretess inte gäller. Det kan inte anses obefogat att den som uppgifterna rör i vissa fall har rätt att få ta del av dessa tidigare än allmänheten. Förhållandet till bestämmelser om sekretess och tystnadsplikt Enligt artikel 13 i EG-direktivet (se bilaga 1) får medlemsstaterna i sin lagstiftning göra nödvändiga begränsningar i rätten för den registrerade att få information med hänsyn till skyddet av den registrerades eller andras fri- och rättigheter. Skyldigheten enligt 10 § i den nuvarande datalagen att lämna register- utdrag gäller i dag inte uppgifter som enligt lag eller annan författning eller enligt myndighets beslut som har meddelats med stöd av författning inte får lämnas ut till den registrerade. De bestämmelser om sekretess och tystnadsplikt som finns i Sverige får anses vara uppställda till skydd för sådana fri- och rättigheter som avses i direktivet. Ibland hindrar sådana bestämmelser att den registrerade får tillgång till vissa uppgifter om sig själv, se t.ex. 7 kap. 3 § sekretesslagen (1980:100). Enligt regeringens mening är det nödvän- digt att dessa särskilda bestämmelser om att den registrerade i undantags- fall inte har rätt till viss information får gälla framför den generella rätt till information om behandlade uppgifter som annars skall gälla enligt EG-direktivet och den nya lagen. Vi anser således att det i den nya lagen bör införas en bestämmelse om att rätten att få information i samband med insamling av uppgifter och efter ansökan inte gäller i den utsträck- ning det finns en föreskrift om att uppgifterna inte får lämnas ut till den registrerade. Sådana föreskrifter kan finnas i lag eller annan författning eller i beslut som har meddelats med stöd av författning, t.ex. ett beslut om förbehåll enligt 14 kap. 9 och 10 §§ sekretesslagen. Med stöd av bestämmelserna i sekretesslagen kan det allmänna på grund av bl.a. sina ekonomiska intressen under vissa förutsättningar hemlighålla uppgifter bl.a. i samband med rättsliga tvister och fackliga förhandlingar. På den privata sidan, där offentlighetsprincipen inte gäller, finns det däremot i allmänhet inte några författningsbestämmelser om sekretess och tystnadsplikt som motsvarar de bestämmelser som finns i sekretesslagen, se dock t.ex. 7 kap. 20 § försäkringsrörelselagen (1982:713) som innebär att förmånstagare till försäkring i vissa fall inte har rätt att i förväg av försäkringsbolaget få veta att han eller hon verkligen är förmånstagare. Reglerna om information i den nya lagen innebär att ett slags ”offentlighetsprincip” gentemot den registrerade kommer att gälla i vissa avseenden även på den privata sidan. Den nya lagen omfattar vidare – till skillnad från datalagen – i princip alla datorlagrade personuppgifter, t.ex. sådana som finns i löpande text (se avsnitt 6.1 och 8.4). Även på den privata sida finns det därför behov av bestämmelser som gör det möjligt att i vissa fall vägra att lämna information till den registrerade. Enskilda kan exempelvis i lika hög grad som myndigheter ha ett befogat intresse av att kunna hemlighålla personanknuten infor- mation som samlats in inför en domstolsprocess, om det kan antas att ett utlämnande av informationen skulle försämra den enskildes ställning som part i rättegången. I försäkringsverksamhet registreras inte sällan uppgifter om att en person misstänks för försäkringsbedrägeri eller annan brottslig verksamhet. Internationella organisationer kan ha samman- ställningar av uppgifter om personer som misstänks ha gjort sig skyldiga till brott mot de mänskliga rättigheterna. Uppgifterna bör inte behöva lämnas ut medan utredning pågår. I avsnitt 11.4.3 berörs vidare behand- ling av personuppgifter om lagöverträdelser som innefattar brott m.m. Vi föreslår därför att den nya lagen skall innehålla en regel om att även en personuppgiftsansvarig som inte är en myndighet får i motsvarande fall som avses i sekretesslagen (1980:100) vägra att lämna ut uppgifter till den registrerade. Lagrådet har anfört att föreskriften innebär att enskilda blir skyldiga att sätta sig in i en omfattande och komplicerad lagstiftning som är utformad med tanke på myndigheters verksamhet och vid prövning av informationsskyldigheten försöka dra paralleller till den egna verksamheten. Lagrådet ifrågasätter om inte någon annan lösning som tillgodoser behovet kan åstadkommas, och frågan bör enligt Lagrådet beredas ytterligare. Vi kan hålla med Lagrådet om att det inte alltid blir helt lätt att tillämpa bestämmelsen. Man måste dock märka att det bara är i situationer då någon vill underlåta att lämna information som en tillämpning kan ge stöd för en sådan vägran. Huvudprincipen är att information skall ges, och den som lämnar ut information behöver aldrig tillämpa undantagsbestämmelsen. 11.6 Korrigering av personuppgifter Regeringens förslag: Den personuppgiftsansvarige är skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med den nya lagen eller föreskrifter som har utfärdats med stöd av lagen. Den person- uppgiftsansvarige skall också underrätta tredje man som uppgifterna har lämnats ut till om åtgärden, om den registrerade begär det eller om mera betydande skada eller olägenhet för den registrerade skulle kunna undvikas genom en underrättelse. Någon sådan underrättelse behöver dock inte lämnas, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Datalagskommitténs förslag överensstämmer med regeringens. Remissinstanserna: Arbetarskyddsstyrelsen, Riksarkivet, Landsorga- nisationen i Sverige (LO) och UpplysningsCentralen UC AB tar upp frågor som rör bevisbördan och vad som skall gälla om det finns oenighet i fråga om t.ex. en uppgifts riktighet. Datainspektionen anser att det för korrigering inte skall krävas någon begäran av den registrerade. Stockholms läns landsting och Svenska bankföreningen anser att det bör anges i lagtexten att det är den personuppgiftsansvarige som väljer korrigeringsmetod. Skälen för regeringens förslag: I artikel 12 b och 12 c i EG- direktivet (se bilaga 1) finns det bestämmelser om korrigering m.m. Enligt dessa bestämmelser skall medlemsstaterna säkerställa att varje registrerad har rätt att i förekommande fall få sådana uppgifter som inte har behandlats i enlighet med bestämmelserna i direktivet rättade, utplånade eller blockerade. Detta skall gälla särskilt när uppgifterna är ofullständiga eller felaktiga. Varje registrerad skall vidare ha rätt att kräva att den personuppgiftsansvarige underrättar sådana tredje män till vilka berörda uppgifter har lämnats ut om genomförda rättelser, utplånanden och blockeringar. Denna underrättelseskyldighet gäller dock inte om det visar sig vara omöjligt eller skulle innebära en oproportionerligt stor ansträngning att underrätta. I avsnitt 8.1 berörs särskilt frågan om korrigering av uppgifter i allmänna handlingar hos myndigheter, och i avsnitt 13 tas upp frågan om tillsynsmyndighetens möjligheter att få personuppgifter utplånade. Korrigeringsskyldigheten Bestämmelserna om korrigering i artikel 12 b och 12 c i EG-direktivet måste införas i den nya lagen. Vi föreslår därför för det första en bestämmelse om att den personuppgiftsansvarige är skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med den nya lagen eller föreskrifter som har utfärdats med stöd av lagen. Datainspektionen har vänt sig emot att det för korrigering enligt denna bestämmelse skall krävas en begäran från den registrerade. Enligt artikel 6.1 d i EG-direktivet är det ett grundläggande krav på den personuppgiftsansvarige vid behandling av personuppgifter att alla rimliga åtgärder vidtas för att utplåna eller rätta sådana personuppgifter som är felaktiga eller ofullständiga i förhållande till de ändamål för vilka uppgifterna behandlas. Denna regel har införts i den nya lagen, liksom regler om krav på den personuppgiftsansvarige att se till att de person- uppgifter som behandlas är adekvata och relevanta i förhållande till ända- målen med behandlingen och att de personuppgifter som behandlas är riktiga och, om det är nödvändigt, aktuella, se avsnitt 11.2. Redan av de grundläggande kraven framgår således tydligt att den personupp- giftsansvarige på egen hand måste vara aktiv för att se till att de behand- lade uppgifterna är korrekta. Den nu aktuella bestämmelsen kan sägas innehålla regler om en rätt för den registrerade att påkalla den person- uppgiftsansvariges aktivitet för att korrigera uppgifter, som gäller utöver de grundläggande kraven på den personuppgiftsansvarige. Den ena bestämmelsen innehåller således regler om skyldigheter för den person- uppgiftsansvarige och den andra bestämmelsen regler om rättigheter för den registrerade, och båda bestämmelserna måste genomföras enligt EG- direktivet. Uppkommer oenighet mellan den personuppgiftsansvarige och den registrerade om uppgifterna skall korrigeras eller inte, kan den registrerade anmäla förhållandet till tillsynsmyndigheten, som har möj- lighet att förelägga vite om lagen inte följs och att ansöka om utplånande av uppgifterna (se avsnitt 13), eller själv väcka talan om saken vid allmän domstol. En personuppgiftsansvarig som efter utredning inte är över- tygad om att det är nödvändigt att korrigera uppgifterna behöver således inte självmant göra det. Av det förhållandet att det inte anges vilken av de alternativa metoderna rättelse, blockering och utplånande som skall väljas i olika situationer följer att det i princip är den som skall göra korrigeringen, dvs. den personuppgiftsansvarige, som får välja själv. Underrättelseskyldigheten Vi föreslår för det andra att den nya lagen, för att uppfylla kraven i artikel 12 c i EG-direktivet, skall innehålla en bestämmelse om att den personuppgiftsansvarige på begäran av den registrerade skall underrätta de tredje män till vilka uppgifterna har lämnats ut om korri- geringsåtgärden. Datalagskommittén har, såsom en rent inhemsk reglering, föreslagit att den personuppgiftsansvarige därutöver skall vara skyldig att – oavsett om den registrerade begärt underrättelse eller inte – lämna sådan underrättelse om det skulle kunna undvika mera betydande skada eller olägenhet för den registrerade. Kommitténs förslag har lämnats utan erinran av remissinstanserna. Därför och eftersom det är viktigt att på alla sätt förhindra användning av felaktiga eller ofullstän- diga uppgifter, bör förslaget som inte kan anses oförenligt med EG- direktivet genomföras. Underrättelse skall dock i enlighet med direktivet inte i något fall behöva lämnas om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. 11.7 Automatiserade beslut Regeringens förslag: Om ett beslut som har rättsliga följder för en fysisk person eller annars har märkbara verkningar för personen, grundas enbart på automatiserad behandling av personuppgifter som är avsedda att bedöma egenskaper hos den berörda personen, skall den som berörs av beslutet har möjlighet att på begäran få beslutet omprövat av någon person. Var och en som varit föremål för ett sådant beslut har också rätt att på ansökan få information från den personuppgiftsansvarige om vad som har styrt den automatiserade behandling som lett fram till beslu- tet. Datalagskommitténs förslag överensstämmer med regeringens. Remissinstanserna: Bara ett fåtal remissinstanser har berört förslaget. Riksrevisionsverket anser att det finns behov av ytterligare utredning av de rättsliga frågorna kring automatiserade beslut. Skälen för regeringens förslag: Artikel 15 i EG-direktivet (se bilaga 1) – med underrubriken Databehandlade beslut – innehåller bestämmelser om skydd för den registrerade mot vissa automatiserade beslut. Bestämmelserna i EG-direktivet innebär att medlemsstaterna i princip skall ge var och en rätt att slippa bli föremål för vissa automatiserade beslut. Medlemsstaterna är dock förpliktade att – om inte något annat följer av övriga regler i direktivet – föreskriva att en person faktiskt får bli föremål för automatiserade beslut i två fall. De beslut som avses i artikel 15 är sådana som har rättsliga följder för någon eller som annars märkbart påverkar någon. Beslutet måste vidare grundas enbart på automatiserad behandling. Dessutom krävs att de uppgifter på vilka den automatiserade behandlingen grundas är sådana som är avsedda att bedöma vissa personliga egenskaper hos den som är föremål för beslutet, t.ex. arbetsprestationer, kreditvärdighet, pålitlighet och uppträdande. Det är bara sådana beslut som uppfyller samtliga rekvisit som här nämnts som omfattas av huvudregeln och som var och en skall ges en principiell rätt att slippa. Från den principiella huvudregeln skall medlemsstaterna i två fall föreskriva undantag, dvs. medge att en person i dessa fall faktiskt får utsättas för automatiserade beslut. Det första fallet (artikel 15.2 a) gäller sådana automatiserade beslut som fattas som ett led i ingåendet eller fullgörandet av ett avtal. Sådana beslut skall tillåtas om de är positiva för den registrerade – dvs. när den registrerades begäran om ingående eller fullgörande av ett avtal har bi- fallits – eller om det vidtas lämpliga åtgärder för att skydda den registrerades berättigade intressen. Som exempel på lämpliga åtgärder att vidta nämns i direktivet att den registrerade har möjlighet att göra sin uppfattning gällande. Det andra fallet (artikel 15.2 b) där automatiserade beslut skall godtas är när sådana beslut har tillåtits i lagstiftning som innehåller bestäm- melser till skydd för den registrerades berättigade intressen. I artikel 12 a tredje strecksatsen i EG-direktivet föreskrivs att med- lemsstaterna skall säkerställa att varje registrerad har rätt att från den personuppgiftsansvarige – utan hinder och med rimliga intervall samt utan större tidsutdräkt eller kostnader – få kännedom om den logik som används när uppgifter som rör den registrerade behandlas på automatisk väg. Av bestämmelsen framgår vidare att den rätten får begränsas till att avse bara sådana automatiserade beslut som berörs i artikel 15.1. I punkt 41 i ingressen till direktivet framhålls att den nu aktuella rätten inte får inkräkta på några affärshemligheter eller på upphovsrätten till t.ex. programvaran. Den registrerade bör dock inte nekas all information. Bestämmelserna i EG-direktivet innebär att det i Sverige måste införas en reglering av automatiserade beslut. Definitionen av automatiserade beslut i EG-direktivet är generellt utformad, och det är svårt att ha någon föreställning om alla de olika beslut som i dag och i framtiden kan komma att omfattas. Enligt vår mening bör man därför inrikta sig på en generell lösning som ställer upp ett minimiskydd för den som blir utsatt för ett automatiserat beslut. Datalagskommittén har föreslagit att den en- skilde skall ha rätt att på begäran dels få reda på vilka regler som har styrt den automatiska behandling som har lett fram till beslutet, dels få beslutet omprövat av en person. Det förslaget har i huvudsak lämnats utan erinran av remissinstanserna och bör därför genomföras. Bestämmelserna i den nya lagen är sådana bestämmelser i den svenska lagstiftningen som i enlighet med vad som krävs enligt artikel 15.2 b dels tillåter automatiserade beslut, dels föreskriver lämpliga åtgärder till skydd för den registrerades berättigade intressen. I fråga om den registrerades ansökan och den personuppgifts- ansvariges lämnande av information bör i tillämpliga delar gälla samma procedurregler som beträffande övrig information som skall lämnas på begäran (se avsnitt 11.5.2). Detta innebär bl.a. att informationen som huvudregel skall lämnas skriftligen inom en månad efter ansökan. Enligt EG-direktivet är det tillåtet att införa en rätt för den registrerade att på begäran få kännedom om den logik som ligger bakom även annan automatiserad behandling än sådan som har lett fram till ett automatiserat beslut. Vi anser emellertid i likhet med Datalagskommittén att det inte är nödvändigt att införa en sådan generell rätt. Ingen remissinstans har föreslagit att en sådan generell rätt skall införas, och den registrerade har för övrigt enligt den nya lagen redan rätt att få veta vilka uppgifter som behandlas och för vilka ändamål behandlingen äger rum (se avsnitt 11.5.2). 11.8 Säkerheten vid behandlingen Regeringens förslag: Den som arbetar med personuppgifter får bara behandla dessa i enlighet med instruktioner från den person- uppgiftsansvarige. Om det i lag eller annan författning finns särskilda bestämmelser om behandlingen av personuppgifter i det allmännas verksamhet i sådana frågor, skall dessa gälla. Den personuppgiftsansvarige är skyldig att vidta tekniska och organisatoriska åtgärder för att skydda personuppgifterna. Åtgärderna skall åstadkomma en lämplig säkerhetsnivå. När den personuppgiftsansvarige anlitar ett personuppgiftsbiträde för att utföra behandling av personuppgifter, skall det finnas ett skriftligt avtal som särskilt reglerar säkerhetsfrågorna. Den person- uppgiftsansvarige skall också vara skyldig att se till att person- uppgiftsbiträdet verkligen vidtar nödvändiga säkerhetsåtgärder. Datalagskommitténs förslag överensstämmer i huvudsak med regeringens. Remissinstanserna: Bara ett fåtal remissinstanser har berört förslaget. Skälen för regeringens förslag: I artikel 16 och 17 i EG-direktivet (se bilaga 1) finns det bestämmelser om säkerhet och sekretess vid behandling av personuppgifter. Bestämmelserna i artikel 16 innebär att de personer som arbetar med personuppgifter får behandla uppgifterna bara enligt instruktioner från den personuppgiftsansvarige. Här gäller dock ett undantag som innebär att om någon enligt lag är skyldig att behandla personuppgifter, får han eller hon göra det även utan instruktioner från den personuppgiftsansva- rige. I artikel 17.1 finns det allmänt hållna regler om de säkerhetsåtgärder som skall vidtas. Reglerna innebär i korthet följande. Den person- uppgiftsansvarige skall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Dessa åtgärder skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av de tekniska möjligheter som finns, vad det skulle kosta att genomföra åtgärderna, de särskilda risker som finns med behandlingen av personuppgifterna och hur pass känsliga de behandlade personuppgifterna är. I artikel 17.2–4 finns det bestämmelser i fråga om säkerhet för den situationen att den personuppgiftsansvarige anlitar ett personuppgiftsbi- träde. Bestämmelserna kan i korthet sägas innebära följande. När den personuppgiftsansvarige anlitar ett personuppgiftsbiträde, skall den personuppgiftsansvarige förvissa sig om att personuppgiftsbiträdet kan genomföra de säkerhetsåtgärder som måste vidtas och se till att person- uppgiftsbiträdet verkligen vidtar åtgärderna. Det skall vidare finnas ett skriftligt avtal om personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning. I det avtalet skall det särskilt föreskrivas dels att personuppgiftsbiträdet får behandla person- uppgifterna bara i enlighet med instruktioner från den person- uppgiftsansvarige, dels att personuppgiftsbiträdet är skyldigt att vidta de säkerhetsåtgärder som den personuppgiftsansvarige är skyldig att vidta. Bestämmelserna i EG-direktivet måste införas i den nya lagen. Data- lagskommitténs förslag till överförande av bestämmelserna har lämnats i huvudsak utan erinran av remissinstanserna. Förslaget bör enligt vår mening genomföras. Behandling bara enligt instruktioner från den personuppgiftsansvarige Vi föreslår således för det första att det införs en bestämmelse om att personuppgiftsbiträdet eller den eller de personer som arbetar under dennes eller den personuppgiftsansvariges ledning får behandla person- uppgifter bara i enlighet med instruktioner från den personupp- giftsansvarige. Om det finns avvikande regler i annan lagstiftning om att någon är skyldig att utföra en behandling, får behandlingen dock utföras utan särskilda instruktioner. Avvikande regler i annan lagstiftning skall ju generellt sett ta över reglerna i den nya lagen (se avsnitt 6.2). Eftersom utlämnande av personuppgifter till tredje man innefattas i begreppet behandling, innebär bestämmelsen ett slags tystnadsplikt. Särskilt med hänsyn till att det redan gäller särskilda regler om sekretess och tystnadsplikt i det allmännas verksamhet, vilka bl.a. innebär att den grundlagsfästa s.k. meddelarfriheten ibland tar över tystnadsplikten, bör det föreskrivas att särskilda bestämmelser i lag eller annan författning skall tillämpas i stället för bestämmelsen om hantering av personuppgifter i enlighet med instruktioner. Den personuppgiftsansvarige får lämna ut personuppgifter bara om utlämnandet inte är oförenligt med de ändamål för vilka uppgifterna samlades in (se avsnitt 11.2). I vissa fall får känsliga personuppgifter bara lämnas ut med stöd av den registrerades samtycke (se avsnitt 11.4.1). Skulle någon som arbetar för den personuppgiftsansvarige lämna ut personuppgifter i strid med vad som sålunda gäller, är det den person- uppgiftsansvarige som bär det rättsliga ansvaret gentemot den registrerade (se avsnitt 14 om skadeståndsskyldighet). I vilken utsträck- ning den personuppgiftsansvarige i sin tur kan vidta någon åtgärd mot den som lämnade ut uppgiften i strid med givna instruktioner framgår av de bestämmelser som reglerar förhållandet mellan den person- uppgiftsansvarige och medhjälparen, t.ex. avtalet med ett person- uppgiftsbiträde eller arbetsrättsliga bestämmelser (jfr AD 1996 nr 23 i vilket rättsfall Arbetsdomstolen kom fram till att det inte fanns grund för att avskeda en polisman som dömts för tjänstefel och dataintrång för det att han upprepade gånger gjort obefogade registerslagningar). De allmänt hållna bestämmelserna i den nya lagen innebär inte en sådan plikt att hemlighålla uppgifter som medför att straffstadgandet om brott mot tystnadsplikt i 20 kap. 3 § brottsbalken kan bli tillämpligt. Bestämmelsen om behandling bara enligt den personuppgifts- ansvariges instruktioner skulle kunna strida mot meddelarfriheten, dvs. rätten för var och en att meddela uppgifter och underrättelser för offent- liggörande i tryckt skrift till massmedierepresentanter. Av det undantag för tryck- och yttrandefriheten som finns i 7 § första stycket och som berörts i avsnitt 8.2 följer att bestämmelsen i ett sådant fall inte kan tillämpas. Åtgärder för att uppnå en lämplig säkerhetsnivå Vi föreslår för det andra att regeln i EG-direktivet om att den person- uppgiftsansvarige skall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas förs över till den nya lagen, jämte uppräkningen i direktivet av de faktorer som därvid skall beaktas. Dessa allmänt hållna regler beskriver enligt vår mening på ett kortfattat och bra sätt de överväganden som måste göras i fråga om säkerhetsåtgärder. Reglerna ger dock som regel inte tillräcklig vägledning för den personuppgiftsansvarige för att avgöra vilka säkerhetsåtgärder som bör vidtas i det enskilda fallet för att nå upp till en lämplig säkerhetsnivå. Avsikten är att regeringen eller den myndighet som regeringen bestämmer skall meddela de närmare föreskrifter om säkerhetsåtgärder som behövs. Tillsynsmyndigheten bör också i rimlig utsträckning lämna råd i säkerhetsfrågor. Tillsynsmyndigheten får besluta om säkerhetsåtgärder Säkerhetsbrister är i princip oacceptabla, och det är viktigt att tillsynsmyndigheten har tydliga befogenheter just när det gäller säkerhe- ten. Vi har därför valt att i enlighet med Datalagskommitténs förslag ta med en uttrycklig bestämmelse i den nya lagen om att tillsyns- myndigheten får meddela beslut om säkerhetsåtgärder i enskilda fall (se avsnitt 13). Genom ett beslut i det enskilda fallet får den person- uppgiftsansvarige preciserat exakt vilka åtgärder han eller hon måste vidta för att uppfylla säkerhetskraven. Följs inte beslutet frivilligt i det enskilda fallet, bör tillsynsmyndigheten ha möjlighet att förelägga vite för att få den genomförd, se närmare avsnitt 13 om tillsynsmyndighetens befogenheter. Tillsynsmyndighetens beslut om säkerhetsåtgärder i det enskilda fallet skall riktas mot den personuppgiftsansvarige även när ett personuppgiftsbiträde har anlitats. Bestämmelser om säkerhetsåtgärder kan även finnas i annan lagstift- ning, t.ex. i arkivlagen (1990:782) med anknytande författningar. Sådana bestämmelser kommer att gälla vid sidan av de bestämmelser om skyddsåtgärder som gäller enligt den nya lagen med anknytande författ- ningar och beslut. Den personuppgiftsansvarige måste således uppfylla alla de regler om säkerhetsåtgärder som kan ha meddelats för hans eller hennes verksamhet. Skriftligt avtal med personuppgiftsbiträden För det tredje har regeln i EG-direktivet om att det skriftliga avtalet mellan den personuppgiftsansvarige och personuppgiftsbiträdet skall innehålla föreskrifter om att biträdet bara får behandla personuppgifterna i enlighet med instruktioner från den ansvarige förts över till den nya lagen. I den utsträckning det är otillåtet enligt grundlag med sådana avtalsföreskrifter, vilka till viss del kan ses som en avtalad tystnadsplikt, tar grundlagen över bestämmelserna i nya lagen, se avsnitt 8.2. Även regeln i EG-direktivet om att det skriftliga avtalet skall innehålla en föreskrift om att personuppgiftsbiträdet skall vidta säkerhetsåtgärder har förts över till den nya lagen. Den personuppgiftsansvarige skall kontrollera anlitade person- uppgiftsbiträden Vi föreslår för det fjärde ett överförande till den nya lagen av regeln i EG-direktivet om att den personuppgiftsansvarige skall förvissa sig om att ett anlitat personuppgiftsbiträde kan genomföra de säkerhetsåtgärder som måste vidtas och se till att biträdet verkligen vidtar åtgärderna. Det är dock den personuppgiftsansvarige som har ansvaret gentemot den registrerade avseende behandlingen även när ett personuppgiftsbiträde har anlitats. I vilken utsträckning den personuppgiftsansvarige i sin tur kan utkräva ansvar av ett anlitat personuppgiftsbiträde följer av avtalet med denne och allmänna bestämmelser. 11.9 Överföring av personuppgifter utanför EES Regeringens förslag: Det är i princip förbjudet att till tredje land föra över personuppgifter som är under behandling. Det är dock trots förbudet tillåtet att föra över personuppgifter till tredje land, om den registrerade har samtyckt till överföringen eller när överföringen är nödvändig för att a) ett avtal mellan den registrerade och den personuppgiftsansvarige skall kunna fullgöras eller åtgärder som den registrerade begärt skall kunna vidtas innan ett avtal träffas, b) ett sådant avtal mellan den personuppgiftsansvarige och tredje man som är i den registrerades intresse skall kunna ingås eller fullgöras, c) rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras, eller d) vitala intressen för den registrerade skall kunna skyddas. Det är också tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om ytterligare undantag från förbudet mot överföring. Datalagskommitténs förslag överensstämmer med regeringens. Remissinstanserna: Några remissinstanser pekar på att det enligt förslaget blir svårigheter med att sprida personuppgifter på Internet. Datainspektionen anser att Sverige inte ensidigt bör införa ett generellt undantag beträffande stater som har anslutit sig till Europarådets kon- vention. Skälen för regeringens förslag: Bestämmelser rörande utlämnande av personuppgifter till utlandet finns i dag i 11 § i den nuvarande datalagen för privat verksamhet och i 7 kap. 16 § andra stycket sekretesslagen (1980:100) för verksamhet inom det allmänna. Bestämmelserna innebär bl.a. att det för ett utlämnande alltid krävs ett medgivande från Datainspektionen, om det kan antas att de utlämnade uppgifterna kommer att användas för automatisk databehandling i en stat som inte har anslutit sig till Europarådets konvention om skydd för en- skilda vid automatisk databehandling av personuppgifter. I artikel 25 och 26 i EG-direktivet (se bilaga 1) finns det bestämmelser om överföring av personuppgifter till tredje land, dvs. en stat utanför EES. Bestämmelserna innebär följande. Medlemsstaterna skall föreskriva att överföring av personuppgifter, som är under behandling eller som är avsedda att behandlas efter överföring till tredje land, bara får ske om ifrågavarande tredje land säkerställer en adekvat skyddsnivå. Detta skall dock inte påverka tillämp- ningen av de nationella bestämmelser som har antagits till följd av andra bestämmelser i direktivet Bedömningen av om skyddsnivån i ett tredje land är adekvat skall ske på grundval av alla de förhållanden som har samband med en överföring eller en grupp av överföringar av uppgifter. Härvid skall särskilt beaktas uppgifternas art, den eller de avsedda behandlingarnas ändamål, den eller de avsedda behandlingarnas varaktighet, ursprungslandet, det slutliga bestämmelselandet, de allmänna respektive särskilda rättsregler som gäller i ifrågavarande tredje land och de regler för yrkesverksamhet och säkerhet som gäller i ifrågavarande tredje land. Medlemsstaterna och kommissionen skall informera varandra när de anser att ett tredje land inte erbjuder en sådan adekvat skyddsnivå. Om kommissionen – i enlighet med den särskilda beslutsprocedur som före- skrivs i direktivet – kommer fram till att ett tredje land inte erbjuder en sådan adekvat skyddsnivå, är medlemsstaterna skyldiga att vidta de åtgärder som är nödvändiga för att hindra överföring av uppgifter av samma slag till detta land. Kommissionen skall i sådant fall vid lämpligt tillfälle inleda förhandlingar för att avhjälpa den situation som därvid har uppkommit. Kommissionen kan vidare – i enlighet med den särskilda beslutsprocedur som föreskrivs i direktivet – konstatera att ett tredje land, genom sin interna lagstiftning eller på grund av de internationella förplik- telser som åligger landet, har en sådan adekvat skyddsnivå. Medlemssta- terna skall då vidta de åtgärder som är nödvändiga för att följa kommissionens beslut. Som exempel på internationella förpliktelser som åligger tredje land nämns särskilt sådana förpliktelser som är en följd av de förhandlingar som kommissionen har inlett och som gäller skydd för privatliv och enskilda personers grundläggande fri- och rättigheter. Medlemsstaterna är dock skyldiga att – utom där något annat föreskrivs för särskilda fall i den nationella lagstiftningen – föreskriva att överföring av personuppgifter till ett tredje land, som inte har en sådan adekvat skyddsnivå, är tillåten i följande fall. Den registrerade otvetydigt har samtyckt till den planerade överföring- en. Överföringen är nödvändig för att fullgöra ett avtal mellan den regist- rerade och den personuppgiftsansvarige eller för att på den registrerades begäran genomföra åtgärder innan avtalet ingås. Överföringen är nödvändig för att ingå eller fullgöra ett avtal mellan den personuppgiftsansvarige och tredje man, där avtalet är i den registrerades intresse. Överföringen är nödvändig eller bindande enligt författning av skäl som rör viktiga allmänna intressen eller för att fastslå, göra gällande eller försvara rättsliga anspråk. Överföringen är nödvändig för att skydda intressen som är av grund- läggande betydelse för den registrerade. Överföringen görs från ett register som 1) enligt lagar eller andra för- fattningar är avsett att förse allmänheten med information och som 2) är tillgängligt antingen för allmänheten eller för var och en som kan styrka ett berättigat intresse, i den utsträckning som de i lagstiftningen angivna villkoren för att få tillgång är uppfyllda. I punkt 58 i ingressen till EG-direktivet anges som exempel på viktiga allmänna intressen utbyte av uppgifter mellan skattemyndigheter, tull- myndigheter eller socialförsäkringsmyndigheter. Det är vidare tillåtet för medlemsstaterna att tillåta överföring av personuppgifter till ett tredje land med en icke adekvat skyddsnivå om den personuppgiftsansvarige ställer tillräckliga garantier för skyddet av privatliv och enskilda personers grundläggande fri- och rättigheter och för utövandet av sådana rättigheter. Sådana garantier kan framgå av lämpliga avtalsklausuler. Medlemsstaterna skall informera kommissionen om de överföringar som har tillåtits enligt denna bestämmelse. Om kommissionen eller en medlemsstat gör en invändning – på grunder som är berättigade med hänsyn till skyddet för privatliv och enskilda personers grundläggande fri- och rättigheter – skall kommissionen vidta lämpliga åtgärder i enlighet med den särskilda beslutsprocedur som föreskrivs i direktivet. Medlemsstaterna skall vidta de åtgärder som är nödvändiga för att följa kommissionens beslut. Om kommissionen å andra sidan – i enlighet med den särskilda beslutsprocedur som nyss nämnts – beslutar att vissa standardklausuler erbjuder tillräckliga garantier, skall medlemsstaterna vidta nödvändiga åtgärder för att följa kommissionens beslut. Förbud mot överföring, konkreta undantag från förbudet och bemyndiganden att meddela föreskrifter om ytterligare undantag Bestämmelserna i EG-direktivet är, såsom Datalagskommittén och en del remissinstanser noterat, detaljerade och komplicerade. Datalagskom- mittén har gjort den bedömningen att man inte i lagstiftningen bör införa mer komplicerade regler än vad som är nödvändigt med hänsyn till EG- direktivet. Vi godtar den bedömningen, som har lämnats utan erinran av remissinstanserna. EG-direktivet kräver att det i den svenska lagstiftningen införs ett förbud mot överföring av personuppgifter till tredje land och de konkreta undantag från det förbudet som räknas upp i direktivet. I övrigt kan detaljregler i den nya lagen undvikas genom att regeringen eller den myndighet som regeringen bestämmer bemyndigas att meddela före- skrifter om undantag från förbudet mot överföring, t.ex. när det gäller överföring till stater som har en adekvat skyddsnivå. Beslut om undantag från förbudet bör också kunna meddelas i enskilda fall. Den tekniken, som bl.a. innebär att det i den nya lagen införs ett principiellt förbud mot överföring av personuppgifter till tredje land, har använts i Datalags- kommitténs förslag och lämnats utan erinran av remissinstanserna. Även vi anser att tekniken bör användas. Frågan om normgivningsdelegation har berörts i avsnitt 10. Stater som anslutit sig till Europarådets konvention Förutom de undantag från förbudet mot överföring av personuppgifter som räknas upp i direktivet har Datalagskommittén föreslagit ett generellt undantag för överföring av personuppgifter för användning enbart i en stat som anslutit sig till Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter. Datainspektionen vänder sig emot att detta generella undantag tas med i den nya lagen. Enligt inspektionens uppfattning är det inte enbart en nationell fråga att avgöra i vilken omfattning överföring får ske till stater som inte är medlemmar i Europeiska unionen. Sverige har skyldigheter inte bara gentemot Europeiska unionen utan också enligt Europarådets konvention. Av artikel 12 i den konventionen följer att Sverige – och andra konventionsstater – inte av integri- tetsskyddsskäl får hindra att personuppgifter förs över till en konventionsstat för att användas där. Det vore alltså oförenligt med konventionen att införa en ordning som innebär att överföringen till en konventionsstat kan hindras av det skälet att staten i någon mening inte skulle anses ha en adekvat skyddsnivå för personuppgifter. Av punkt 11 i ingressen till EG-direktivet framgår också att direktivet innehåller preciseringar och förstärkningar av de principer som Europarådskonven- tionen innehåller. Det är enligt regeringens mening inte antagligt att medlemsstaterna inom Europeiska unionen, varav de allra flesta vid antagandet av direktivet hade anslutit sig till konventionen, genom direktivet skulle ha tillskapat en ordning som vore oförenlig med åta- gandena enligt konventionen. De stater som anslutit sig till Europarådets konvention får enligt regeringens mening anses ha en sådan adekvat skyddsnivå som krävs enligt EG-direktivet. Mot bakgrund av det sagda och Sveriges förpliktelser enligt Europa- rådskonventionen förefaller det enklast och tydligast med en uttrycklig bestämmelse om att personuppgifter utan vidare får föras över för användning enbart i en stat som har anslutit sig till Europarådets konvention. Vi föreslår således i likhet med Datalagskommittén att en sådan bestämmelse tas med i den nya lagen. 12 Anmälningsskyldighet och upplysningar till allmänheten om behandlingar Regeringens bedömning: EG-direktivet kräver att det föreskrivs en principiell skyldighet att anmäla alla automatiserade behandlingar till tillsynsmyndigheten. De möjligheter till undantag som direktivet ger bör dock utnyttjas så långt möjligt. Regeringens förslag: I den nya lagen tas in en principiell skyldighet att anmäla alla automatiserade behandlingar till tillsynsmyndigheten. Den personuppgiftsansvarige ges möjlighet att sätta till ett särskilt personuppgiftsombud. När en anmälan gjorts till tillsynsmyndigheten om att ett sådant ombud tillsatts, behöver anmälningar om behand- lingar inte längre göras. Allmänheten skall ha rätt att på begäran få upplysningar om sådana behandlingar som inte anmälts direkt från den personuppgifts- ansvarige. Regeringen får meddela föreskrifter om att särskilt integritets- känsliga behandlingar skall anmälas till tillsynsmyndigheten för förhandskontroll tre veckor i förväg. Datalagskommitténs förslag överensstämmer med regeringens, dock att kommittén inte föreslår någon skyldighet att till tillsynsmyndigheten anmäla utsedda personuppgiftsombud. Remissinstanserna: Remissinstanserna har i huvudsak godtagit för- slaget om anmälningsskyldighet. Inte någon har förordat att det nuvarande systemet med licens och tillstånd skall behållas. När det gäller förslaget om personuppgiftsombud är remissutfallet blandat. En del remissinstanser har tillstyrkt förslaget, medan andra har uttryckt tveksamhet. De tveksamma instanserna har i allmänhet pekat på riskerna för lojalitetskonflikter. Skälen för regeringens förslag: Den nuvarande datalagen bygger på att den som inrättar och för personregister skall anmäla sig till Data- inspektionen för licens. I många fall krävs det dessutom att person- registreringen förhandskontrolleras av inspektionen och att ett tillstånd ges. Datainspektionens medgivande krävs vidare i vissa fall när uppgifter från ett personregister skall lämnas ut för automatisk databehandling i utlandet, t.ex. genom att göras tillgängliga på ett internationellt data- nätverk såsom Internet. Anmälningsskyldighet Det har uppskattats att bara omkring tio procent av alla licenspliktiga personregister anmäls till Datainspektionen. Datainspektionen får alltså genom licens- och tillståndssystemet kännedom om bara en bråkdel av den personregistrering som förekommer. Man kan vidare anta att det är de som följer de formella reglerna och gör en anmälan som också bäst följer de materiella reglerna om uppgiftsbehandlingen. Licenserna är således inte något bra underlag för inspektionens tillsynsverksamhet, och de ger inte heller enskilda någon upplysning om i vilka register de förekommer. Integritetsskyddet stärks vidare inte i sig av att Datain- spektionen hanterar anmälningar, licenser och tillstånd. Det som har betydelse för integritetsskyddet är att de personuppgiftsansvariga följer de materiella reglerna för uppgiftsbehandlingar, inte att de sänder in papper till Datainspektionen. Vi anser därför i likhet med Datalagskommittén och remissinstanserna att det nuvarande licens- och tillståndssystemet bör avskaffas och att tillsynsmyndighetens verksamhet bör koncentreras till att ge råd och sprida kunskap om de materiella reglerna och att utöva tillsyn över att reglerna följs. Sverige måste emellertid på grund av artikel 18.1 i EG- direktivet (se bilaga 1) föreskriva att alla automatiserade behandlingar skall anmälas på förhand till tillsynsmyndigheten. Det är därför viktigt att fullt ut utnyttja de möjligheter till undantag från anmälningsskyldigheten som direktivet medger. På det sättet bör anmälningsskyldigheten kunna begränsas till ett minimum. Den möjlighet att föreskriva anmälnings- skyldighet även för manuella behandlingar som EG-direktivet ger bör i enlighet med vår principiella inställning inte utnyttjas. I enlighet med vad som anges i avsnitt 10 bör regeringen eller den myndighet som regeringen bestämmer bemyndigas att meddela före- skrifter om sådana undantag från anmälningsskyldigheten som tillåts enligt direktivet (artikel 18.2 första strecksatsen). Skulle tillsyns- myndigheten få in en mera betydande mängd anmälningar om behand- lingar av viss typ, finns det anledning att överväga ett undantag för den behandlingstypen. Personuppgiftsombud Ett ytterligare alternativ för att undvika anmälan till tillsynsmyndigheten som EG-direktivet medger är att införa ett system med personuppgifts- ombud (artikel 18.2 andra strecksatsen). Personuppgiftsombudet utses av den personuppgiftsansvarige och skall enligt direktivet särskilt ha till uppgift att på ett oberoende sätt säkerställa den interna tillämpningen av de nationella bestämmelser som antagits till följd av direktivet. Ombudet skall också föra ett register över de behandlingar som utförs av den personuppgiftsansvarige. Det framgår av direktivet att ombudet i tveksamma fall skall rådfråga tillsynsmyndigheten (artikel 20.2). När ett personuppgiftsombud utsetts, behöver den personuppgiftsansvarige inte anmäla behandlingar till tillsynsmyndigheten. Datalagskommittén har föreslagit att ett system med personuppgifts- ombud införs enligt följande. Personuppgiftsombudet skall ha till uppgift att självständigt se till att den personuppgiftsansvarige behandlar person- uppgifter på ett lagligt och korrekt sätt och i enlighet med god sed och påpeka eventuella brister för denne. Har personuppgiftsombudet anled- ning att misstänka att den personuppgiftsansvarige bryter mot de bestämmelser som gäller för behandlingen av personuppgifter och vidtas inte rättelse så snart det kan ske efter påpekande, skall person- uppgiftsombudet anmäla förhållandet till tillsynsmyndigheten. Person- uppgiftsombudet skall även i övrigt samråda med tillsynsmyndigheten vid tveksamhet om hur de bestämmelser som gäller för behandlingen av personuppgifter skall tillämpas. Personuppgiftsombudet skall vidare hjälpa registrerade att få rättelse när det finns anledning att misstänka att behandlade personuppgifter är felaktiga eller ofullständiga. Dessutom skall personuppgiftsombudet föra en förteckning över de behandlingar som den personuppgiftsansvarige genomför och som skulle ha omfattats av anmälningsskyldighet om ombudet inte hade funnits. Flera remissinstanser är uttalat positiva till förslaget, t.ex. Länsrätten i Stockholms län, Datainspektionen, Landsorganisationen i Sverige (LO) och Sveriges industriförbund. Andra är däremot negativa eller tvek- samma. De pekar framför allt på risken för att ombudet, som kan vara en anställd på företaget eller myndigheten, kan hamna i svåra lojalitets- konflikter i förhållande till den personuppgiftsansvarige arbetsgivaren, särskilt när det gäller bedömningen av om en anmälan om ett eventuellt missförhållande skall göras till tillsynsmyndigheten. Enligt vår bedömningen förefaller det föreslagna systemet med personuppgiftsombud ändamålsenligt för vissa personuppgiftsansvariga. För andra kan systemet visserligen passa sämre, men det bör inte hindra att systemet införs som en möjlighet för dem som anser att det är bra och värdefullt. Om såsom förutsatt tillräckligt självständiga personer anlitas som ombud, bör risken för lojalitetskonflikter inte överdrivas. Vi anser således att det bör vara möjligt att utse ett självständigt per- sonuppgiftsombud som skall ha de uppgifter som framgår av Datalags- kommitténs förslag. Datalagskommittén har inte föreslagit någon skyldighet att anmäla personuppgiftsombudet till en myndighet. Socialvetenskapliga forsk- ningsrådet anser att man kan överväga att införa en skyldighet att anmäla utsedda personuppgiftsombud till tillsynsmyndigheten. Vi anser att det är ett bra förslag. Ombudet skall ersätta anmälningar till tillsynsmyndigheten om behandlingar, och därför är det naturligt att förutsättningen för att låta bli att anmäla behandlingarna manifesteras genom en anmälan om ombudet. Av samma skäl och på grund av att det är tillsynsmyndigheten som närmast kan ha användning av information om vilka som är personuppgiftsombud bör anmälan göras till tillsynsmyndigheten och inte till någon annan myndighet. Det förhållandet att ombudet är anmält till en myndighet kan också för ombudet inskärpa vikten av att uppdraget tas på allvar. Vi anser således att den personuppgiftsansvarige skall till tillsynsmyndigheten anmäla att ett personuppgiftsombud utsetts och vem det är och att anmälan skall ha den verkan att anmälan till tillsynsmyndigheten om behandlingar därefter inte behöver göras. När ett ombud entledigas, skall detta också anmälas till tillsynsmyndigheten eftersom förutsättningen för befrielse från skyldigheten att anmäla behandlingar då inte längre finns. Förhandskontroll I enlighet med vad som anges i avsnitt 10 föreslås att regeringen bemyndigas att meddela föreskrifter om att vissa behandlingar som kan innebära särskilda risker för otillbörligt intrång i den personliga integri- teten skall för förhandskontroll anmälas till tillsynsmyndigheten tre veckor i förväg. Om regeringen har meddelat sådana föreskrifter, måste behandlingen anmälas även om ett personuppgiftsombud utsetts. Upplysningar till allmänheten om behandlingar Enligt artikel 21 i EG-direktivet skall Sverige vidta åtgärder för att se till att behandlingar av personuppgifter görs offentligt tillgängliga. Sverige skall för sådan behandling som inte omfattas av anmälningsplikt före- skriva att de personuppgiftsansvariga, eller något annat organ som Sverige utser, på lämpligt sätt skall tillhandahålla var och en som begär det vissa upplysningar om behandlingen. För att uppfylla EG-direktivet måste det således, såsom Datalags- kommittén föreslagit och de allra flesta remissinstanser godtagit, införas en skyldighet för den personuppgiftsansvarige att till var och en som begär det skyndsamt och på lämpligt sätt lämna upplysningar om sådana automatiska och andra behandlingar av personuppgifter som inte har anmälts till tillsynsmyndigheten. Den skyldigheten kommer förmodligen att leda till att de personuppgiftsansvariga upprättar och håller aktuell någon form av förteckning över de aktuella behandlingarna. 13 Tillsynsmyndighetens befogenheter Regeringens förslag: Tillsynsmyndigheten har rätt att för sin tillsyn på begäran få tillgång till de personuppgifter som behandlas, upplys- ningar om och dokumentation av behandlingen och säkerheten vid denna samt tillträde till sådana lokaler som har anknytning till behandlingen. Om myndigheten därvid inte kan få tillräckligt underlag för att konstatera att behandlingen är laglig, får myndigheten vid vite förbjuda den personuppgiftsansvarige att behandla personuppgifter på annat sätt än genom att lagra dem. Detsamma gäller om det efter att en olaglig behandling konstaterats inte går att få rättelse på något annat sätt eller om saken är brådskande. Om saken är brådskande, får myn- digheten också meddela ett tillfälligt beslut om vite innan den person- uppgiftsansvarige fått tillfälle att yttra sig. Det tillfälliga beslutet skall då prövas om, när yttrandetiden har gått ut. Tillsynsmyndigheten får hos länsrätt ansöka om att sådana person- uppgifter som har behandlats på ett olagligt sätt skall utplånas. Tillsynsmyndighetens beslut enligt den nya lagen om annat än före- skrifter får överklagas hos allmän förvaltningsdomstol, men myndig- heten får bestämma att beslutet skall gälla även om det överklagas. Prövningstillstånd krävs vid överklagande till kammarrätten. Datalagskommitténs förslag överensstämmer med regeringens. Remissinstanserna: Förslaget lämnas utan erinran av de allra flesta remissinstanserna. Hovrätten över Skåne och Blekinge anser att tillsyns- myndighetens befogenheter är delvis otillräckliga. Kammarrätten i Göte- borg anser att ett beslut om förbud bör kunna föregås av ett med vite förenat föreläggande för att uppnå det resultat som önskas. Kammarrätten anser vidare att det bör övervägas om inte kravet på prövningstillstånd bör gälla först efter en viss tid. Liknande synpunkter förs fram av Länsrätten i Stockholms län och av UpplysningsCentralen UC AB, som dessutom avstyrker att tillsynsmyndigheten skall få meddela ett tillfälligt beslut om vite. Skälen för regeringens förslag: Enligt artikel 28 i EG-direktivet (se bilaga 1) skall det utses en eller flera myndigheter med uppgift att fullständigt oberoende övervaka tillämpningen av de bestämmelser som Sverige antagit till följd av direktivet. Sverige är också skyldig att särskilt besluta om de sanktioner som skall användas vid överträdelse av dessa bestämmelser (artikel 24). Varje tillsynsmyndighet skall ha vissa i direktivet angivna befogenheter, och de beslut av myndigheten som går en part emot skall kunna överklagas till domstol (artikel 28). Vad som bör regleras i den nya lagen Föreskrifter om flera av de uppgifter och befogenheter som tillsyns- myndigheten skall ha enligt direktivet kan ges i förordning, och vi avser att senare meddela nödvändiga föreskrifter. Förslaget omfattar de be- fogenheter som tillsynsmyndigheten bör ha och som måste eller enligt vår mening bör regleras i lag. Kammarrätten i Göteborg anser att den nya lagen bör innehålla en bestämmelse om att det skall finnas en tillsynsmyndighet som skall ha till uppgift att övervaka tillämpningen. Bestämmelserna i den nya lagen förutsätter att det finns en tillsynsmyndighet, och EG-direktivet kräver också att en sådan myndighet utses. Tillsynsmyndigheten definieras i lagens inledning. Enligt vår mening är det däremot inte nödvändigt att i lag ha ytterligare en bestämmelse om detta. Inte heller är det, såsom bl.a. Datainspektionen föreslagit, nödvändigt att i lag ha bestämmelser om att tillsynsmyndigheten kan granska branschregler om behandling av personuppgifter. Enligt EG-direktivet skall Sverige se till att tillsynsmyndigheten hörs när sådana lagar eller andra författningar utarbetas som rör skyddet av enskilda personers fri- och rättigheter med avseende på behandlingen av personuppgifter (artikel 28). Datainspektionen anser mot den bakgrunden att den nya lagen bör innehålla en bestämmelse om detta. En uttrycklig motsvarande bestämmelse i den nuvarande datalagen avskaffades per den 1 januari 1995. Avsikten var att avskaffandet på intet sätt skulle innebära någon lättnad i kravet på remissbehandling, även om syftet med av- skaffandet i och för sig var att minska tillsynsmyndighetens arbetsbörda. I 7 kap. 2 § regeringsformen finns det en grundläggande bestämmelse om att behövliga upplysningar och yttranden skall hämtas in vid beredningen av regeringsärenden. Vi avser för vår del att tolka den bestämmelsen i belysning av vad som krävs enligt EG-direktivet. När vi i nu aktuella fall beslutar en förordning eller tar initiativ till en lag, finns det således tillräckliga garantier för att tillsynsmyndigheten hörs på det sätt som krävs enligt direktivet. Någon motsvarande s.k. remisskyldighet finns inte när det inom riks- dagen i nu aktuella fall tas initiativ till en lag, t.ex. om reglering av egna register. I 4 kap. 10 § riksdagsordningen finns det dock riksdagens be- stämmelser om att statlig myndighet – t.ex. den aktuella tillsynsmyndig- heten – är skyldig att lämna upplysningar och yttra sig när ett riksdags- utskott begär det och om att sådana upplysningar och yttranden som huvudregel skall hämtas in om minst fem utskottsledamöter begär det. Det får förutsättas att riksdagen utan en särskild bestämmelse om detta ser till att tillsynsmyndigheten har hörts på det sätt som EG-direktivet kräver när en lag i nu aktuella fall beslutas efter ett initiativ inom riksdagen. Vi anser därför att det inte är vare sig nödvändigt med hänsyn till EG- direktivet eller annars behövligt att åter införa den bestämmelse om obligatoriskt yttrande som nyss avskaffats. Befogenheterna För att tillsynsmyndigheten på ett så effektivt sätt som möjligt skall kunna utöva tillsyn över den behandling av personuppgifter som förekommer bör myndigheten för sin tillsyn ha rätt att på begäran få tillgång till de personuppgifter som behandlas, upplysningar om och dokumentation av behandlingen av personupp- gifter och säkerheten vid denna och tillträde till sådana lokaler som har anknytning till behandlingen av personuppgifter. För den händelse den personuppgiftsansvarige skulle obstruera och inte ge tillsynsmyndigheten det den behöver för tillsynen, måste myn- digheten ha maktmedel att ta till. Hovrätten över Skåne och Blekinge anser att tillsynsmyndighetens befogenheter framstår som delvis otill- räckliga och pekar därvid särskilt på att myndigheten enligt förslaget saknar maktmedel för att t.ex. få tillträde till lokaler. Eftersom sådan behandling av personuppgifter som omfattas av den föreslagna lagen kan förekomma t.ex. i någons hem eller i en dator som någon bär på sig och då det i en och samma dator kan förekomma såväl behandling som omfattas av lagen som rent privat behandling av högst personliga uppgifter som inte omfattas av lagen, har vi funnit att det är olämpligt med regler som innebär att myndigheten skulle få genomdriva sina rättigheter med t.ex. polishjälp. Det skulle kunna leda till ett större intrång i den personliga integriteten än det intrång som myndighetens tillsynsverksamhet syftar till att förebygga. Enligt vår mening bör man gå en annan väg i stället som innebär att tillsynsmyndigheten kan vid vite förbjuda behandling av personuppgifter. Möjlighet att förelägga vite Syftet med tillsynsmyndighetens tillsyn och myndighetens rättigheter i samband med den är ytterst att myndigheten skall kunna konstatera om den behandling av personuppgifter som utförs är laglig, dvs. att samtliga bestämmelser i den nya lagen och i andra författningar som rör behand- ling av personuppgifter följs. Kan myndigheten inte på begäran få till- gång till ett tillräckligt underlag för att konstatera att behandlingen är lag- lig, bör myndigheten kunna vid vite förbjuda den personuppgifts- ansvarige att fortsätta att behandla personuppgifter på annat sätt än genom att lagra dem. Den som obstruerar riskerar således att bli förbjuden att i fortsättningen behandla personuppgifter. Den risken kan med fog antas medföra att de personuppgiftsansvariga blir tillräckligt benägna att ge myndigheten det underlag den behöver. Tillsynsmyndigheten kan på olika sätt få reda på att personuppgifter behandlas eller kan komma att behandlas på ett olagligt sätt. Sådan in- formation kan komma fram i samband med ett tillsynsbesök, framgå av kontakter med ett personuppgiftsombud eller av en insänd anmälan om behandlingen eller av ett klagomål från t.ex. någon registrerad eller konkurrent. I sådana fall bör myndigheten i första hand försöka att åstad- komma rättelse genom påpekanden eller liknande förfaranden. Men går det inte att få rättelse på annat sätt, bör myndigheten kunna vid vite förbjuda den personuppgiftsansvarige att fortsätta att behandla person- uppgifter på annat sätt än genom att lagra dem. Om saken är brådskande, bör tillsynsmyndigheten genast kunna gripa in på detta sätt. Kammarrätten i Göteborg anser att ett beslut om förbud bör kunna föregås av ett med vite förenat föreläggande för att uppnå det resultat som önskas. Enligt vår mening är det viktigt att tillsynsmyndigheten i första hand kan fungera som ett stöd vid de personuppgiftsansvarigas behandling av personuppgifter och ge råd om hur behandlingen bör gå till för att vara laglig. Möjligheten till vitessanktionerat förbud får anses tillräcklig för att förmå de personuppgiftsansvariga att följa myndighetens råd i fråga om hur en behandling skall utföras på ett lagligt sätt. Datainspektionen har för övrigt inte fört fram några synpunkter på de föreslagna vitesmöjligheterna. Tillsynsmyndigheten bör kunna fatta beslut om vilka säkerhetsåtgärder som en personuppgiftsansvarig skall vidta. Det beslutet bör kunna överklagas hos allmän förvaltningsdomstol. Om den person- uppgiftsansvarige inte följer ett beslut om säkerhetsåtgärder, som har vunnit laga kraft, bör tillsynsmyndigheten kunna föreskriva vite för att beslutet skall genomföras. I fråga om tillsynsmyndighetens möjligheter att föreskriva vite bör generellt gälla att den personuppgiftsansvarige skall få tillfälle att yttra sig innan myndigheten föreskriver vite. Om det är riskfyllt att vänta med beslutet om vite till dess den personuppgiftsansvarige fått möjlighet att yttra sig, bör myndigheten dock få fatta ett tillfälligt beslut om vite. Det tillfälliga beslutet bör i sådana fall prövas om när yttrandetiden har gått ut och det finns ett mera fullständigt underlag. Kammarrätten i Göteborg anser att det inte har visats att det finns behov av en bestämmelse om tillfälligt vite. UpplysningsCentralen UC AB avstyrker en sådan bestämmelse. Enligt vår mening är det i vissa undantagsfall nödvändigt att tillsynsmyndigheten kan agera snabbt och kraftfullt för att skydda de registrerades personliga integritet. Av en personuppgiftsansvarigs anmälan kan t.ex. framgå att en viss behandling avseende känsliga personuppgifter som inte alls får utföras enligt den nya lagen skall starta om någon dag. En möjlighet att innan den person- uppgiftsansvarige fått komma till tals meddela ett tillfälligt beslut bör dock givetvis utnyttjas bara när saken är klar och så brådskande att yttrandet inte kan avvaktas. Allmänna bestämmelser om vite finns i lagen (1985:206) om viten. Av 2 § fjärde stycket i den lagen framgår att ett vitesföreläggande skall delges adressaten. Enligt vår mening bör i fråga om delgivningen gälla samma regler som för delgivning av en stämning i ett tvistemål, se 33 kap. 6 § andra stycket rättegångsbalken. Delgivning enligt 12 § delgivningslagen (1970:428), som innebär att delgivningshandlingen lämnas till någon annan fysisk person än den som söks för delgivning, bör således få användas bara under förutsättning att den person- uppgiftsansvarige har avvikit eller håller sig undan på något annat sätt. Av lagen om viten framgår att frågan om utdömande av ett förelagt vite prövas av länsrätten på ansökan av tillsynsmyndigheten, som får anlita biträde av polismyndighet om det är nödvändigt med hänsyn till utredningen. Av lagen om viten framgår vidare att vite inte skall dömas ut, om ändamålet med vitet har förlorat sin betydelse. Av allmänna principer torde dessutom följa att tillsynsmyndigheten skall återkalla ett meddelat vitesföreläggande så snart den personuppgiftsansvarige har gjort vad som krävs av honom eller henne. Ett förbud vid vite att behandla personuppgifter på annat sätt än genom att lagra dem kommer alltså att gälla bara till dess den personuppgiftsansvarige har botat den försummelse som föranledde förbudet. Ansökan om utplånande av personuppgifter Vi föreslår att tillsynsmyndigheten skall kunna ansöka hos länsrätt om att sådana personuppgifter som har behandlats på ett olagligt sätt skall utplånas. Den möjligheten kan användas t.ex. när känsliga person- uppgifter har behandlats trots att den personuppgiftsansvarige inte alls har haft rätt att behandla sådana uppgifter. Det ligger i sakens natur att möjligheten att ansöka om utplånande av personuppgifter bör användas bara i sådana fall där det inte genom andra åtgärder är möjligt att förena behandlingen av uppgifterna med de regler som gäller. Vi föreslår också en uttrycklig regel om att domstolen inte får besluta om utplånande, om det skulle vara oskäligt. Förslagen i denna del har lämnats utan erinran av remissinstanserna. Överklagande Enligt den nuvarande datalagen gäller att Datainspektionens beslut överklagas hos länsrätten. När en annan statlig myndighet är register- ansvarig, skall dock beslutet i stället överklagas till regeringen. I dag har vidare Justitiekanslern rätt att överklaga Datainspektionens beslut för att ta till vara allmänna intressen. Enligt vår mening bör, såsom godtagits av remissinstanserna, tillsyns- myndighetens beslut enligt den nya lagen i fråga om annat än generella föreskrifter utan undantag kunna överklagas hos allmän förvaltnings- domstol, dvs. länsrätt. Justitiekanslern anser att det inte är nödvändigt att Justitiekanslerns överklaganderätt förs över till den nya lagen, medan Länsrätten i Stockholms län anser att det kan finnas anledning att ha kvar över- klaganderätten. Justitiekanslern har med den nuvarande ordningen sällan funnit anledning att överklaga Datainspektionens beslut. Bland annat eftersom den nya lagen till skillnad från den nuvarande inte innebär att en tillsynsmyndighet genom sin tillståndsgivning i praktiken skall bestämma vilken personregistrering som skall tillåtas, har vi i likhet med Justitiekanslern själv inte funnit anledning att ta med någon bestämmelse om överklaganderätt för Justitiekanslern i den nya lagen. För överklagande av länsrättens domar och beslut till kammarrätten bör det – i linje med strävandena på senare år, jfr prop. 1993/94:133 – krävas prövningstillstånd. Det bör gälla även vid överklagande av länsrättens beslut i fråga om utplånande av personuppgifter. Kammarrätten i Göteborg anser att det bör övervägas om inte kravet på prövningstillstånd bör gälla först efter viss tid. Liknande synpunkter förs fram av Länsrätten i Stockholms län och UpplysningsCentralen UC AB. Enligt vår mening finns det inte anledning att fördröja införandet av kravet på prövningstillstånd för att få fram vägledande domstolspraxis eller eljest. Kammarrätten skall ju meddela prövningstillstånd bl.a. om det är av vikt för ledning av rättstillämpningen att överklagandet prövas av högre rätt. Kammarrätten i Stockholm har för övrigt inte haft några synpunkter på kravet på prövningstillstånd. 14 Skadestånd och straff Regeringens förslag: Den personuppgiftsansvarige skall ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med lagen har orsakat. Om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne, kan ersättningsskyldigheten dock i den utsträckning det är skäligt sättas ned eller helt falla bort. Den som uppsåtligen eller av oaktsamhet lämnar osanna uppgifter i information eller anmälan enligt den nya lagen, i strid med bestäm- melserna i den nya lagen behandlar känsliga personuppgifter eller uppgifter om lagöverträdelser m.m. eller för över personuppgifter till tredje land eller låter bli att göra en anmälan om behandling till till- synsmyndigheten straffas med böter eller fängelse i högst sex månader. Om brottet är grovt, är straffet fängelse i högst två år. Datalagskommitténs förslag överensstämmer i huvudsak med regeringens. Kommittén föreslår dock att skadestånd skall kunna utgå vid behandling i strid med lagen eller föreskrift som meddelats med stöd av lagen. Kommittén föreslår inte straffbestämmelser om annat än lämnande av osann uppgift. Remissinstanserna: De flesta remissinstanser har lämnat förslaget i huvudsak utan erinran. Hovrätten över Skåne och Blekinge, Malmö tings- rätt, Svenska kyrkans församlings- och pastoratsförbund och Landsorga- nisationen i Sverige (LO) anser dock att flera förfaranden bör vara krimi- naliserade. Skälen för regeringens förslag: Enligt artikel 22–24 i EG-direktivet (se bilaga 1) gäller följande. Var och en skall för det första ha rätt att föra talan inför domstol om kränkningar av sina rättigheter. Den som har lidit skada till följd av en otillåten behandling eller någon annan åtgärd som är oförenlig med bestämmelserna om behandlingen skall vidare ha rätt till ersättning av den personuppgiftsansvarige för den lidna skadan. Den personuppgiftsansvarige kan dock helt eller delvis befrias från sin ersättningsskyldighet, om han eller hon bevisar att han eller hon inte var ansvarig för den händelse som orsakade skadan. Det finns dessutom en skyldighet för medlemsstaterna att anta lämpliga bestämmelser för att säkerställa att direktivet genomförs fullständigt. Medlemsstaterna skall därvid särskilt besluta om de sanktioner som skall användas vid över- trädelse av bestämmelserna om behandling. Skadestånd Enligt den nuvarande datalagen är den registeransvarige ersättningsskyl- dig inte bara för ekonomisk skada utan också för ideell skada, dvs. hänsyn skall tas även till lidande och andra omständigheter av annan än rent ekonomisk betydelse. Den nya lagen – liksom den nuvarande datalagen – syftar till att skydda människor mot kränkning av personlig integritet genom behandling av personuppgifter. Rätten till personlig integritet är en immateriell rättighet. När den rättigheten kränks, behöver det inte uppkomma någon ekonomisk skada. Därför bör den enskilde, som drabbas av en olaglig behandling, liksom hittills ha rätt till ekonomisk kompensation för själva kränkningen förutom rätt till ersättning för personskada, sakskada och ren förmögenhetsskada. Ersättningen för kränkningen bör uppskattas efter skälighet mot bakgrund av samtliga omständigheter i det aktuella fallet. Den bedömningen har godtagits av de allra flesta remissinstanser. Det kan inte anses oförenligt med EG- direktivet att införa en skyldighet att betala ersättning även för kränkningen. Den nuvarande datalagen innebär vidare att ersättning skall betalas för oriktiga eller missvisande uppgifter samt för vissa brott enligt datalagen. EG-direktivet kräver emellertid att det i Sverige föreskrivs att alla åtgärder som är oförenliga med de svenska bestämmelser som genomför direktivet kan leda till skadeståndsskyldighet. Ersättningsskyldigheten är alltså mer vidsträckt enligt direktivet. Å andra sidan är den nuvarande datalagens skadeståndsansvar strikt medan EG-direktivet ger den person- uppgiftsansvarige en möjlighet att helt eller delvis undgå skadestånds- ansvar om han eller hon bevisar att han eller hon inte är ansvarig för den händelse som orsakade skadan. EG-direktivet kräver således att det i Sverige föreskrivs att alla åtgärder som är oförenliga med de svenska bestämmelser som genomför direktivet kan leda till skadeståndsskyldighet. Vi föreslår därför att den personuppgiftsansvarige skall ersätta den registrerade för skada som en behandling av personuppgifter i strid med den nya lagen har fört med sig. En av skyldigheterna enligt lagen är att behandla personuppgifter i enlighet med god sed. Den som bryter mot god sed kan alltså bli skadeståndsskyldig Som nyss nämnts skall ersättning också betalas för den kränkning av den personliga integriteten som behandlingen har inneburit. Skadeståndsansvaret bör liksom i dag omfatta person- uppgiftsansvariga inom såväl den privata som offentliga sektorn. Vad som är god sed vid behandling av personuppgifter får avgöras i rättstillämpningen mot bakgrund av bl.a. de mer preciserade föreskrifter som kan utfärdas med stöd av lagen, de branschregler på området som kan ha utarbetats av etablerade branschorganisationer eller andra representativa sammanslutningar och hur ansvarsfulla personuppgifts- ansvariga som regel beter sig. Härigenom får, enligt regeringens mening, enskilda på det sätt EG-direktivet förutsätter möjlighet att vid allmän domstol föra talan om kränkningar av alla de rättigheter som direktivet och den svenska lagstiftning som genomför direktivet ger enskilda. Å andra sidan och eftersom den nya lagen således innebär en viss utvidgning av rätten till skadestånd i förhållande till den nuvarande datalagen, anser vi att en jämkningsmöjlighet är viktig. Eftersom dessa möjligheter inte har mycket att göra med jämkningsreglerna i skade- ståndslagen, krävs särskilda bestämmelser härom i den nya lagen. Dessa bedömningar har i huvudsak godtagits av de allra flesta remiss- instanser. Lagrådet har anmärkt att det inte är helt säkert att jämknings- bestämmelsen står i överensstämmelse med artikel 23.2 i direktivet, som innehåller bestämmelser om att den registeransvarige kan helt eller delvis undgå skadeståndsansvar om han bevisar att han inte är ansvarig för den händelse som orsakade skadan. Lagrådet anser att innebörden av denna artikel synes oklar och föreslår att direktivets text tas in i skadestånds- bestämmelsen utan motivuttalanden om tolkningen. Vi anser att den ifrågavarande artikeln ger utrymme för att föreskriva att jämkning under vissa förutsättningar kan göras, men att det inte före- ligger någon skyldighet att jämka. Även om den personuppgiftsansvarige i ett enskilt fall skulle visa att han eller hon är helt utan skuld till den händelse som orsakat en skada kan han eller hon åläggas skadestånds- ansvar, till och med fullt ut. Jämkning kan dock ske, vilket torde innebära att man i tillämpningen normalt använder sig av jämkningsmöjligheten i ett fall som det nämnda. Det bör dock betonas att det är en fråga som måste avgöras i varje enskilt fall. En möjlighet införs således att helt eller delvis jämka skadeståndet, om den personuppgiftsansvarige kan visa att den felaktiga behandlingen inte berodde på honom eller henne. Jämkning skall emellertid enligt vår mening ske bara i den utsträckning det är skäligt. Ersättningsskyldighet skall sålunda, liksom enligt den nuvarande datalagen, kunna finnas trots att den personuppgiftsansvarige bevisligen är oskyldig till felet. Genom den föreslagna jämkningsregeln kan, till skillnad från vad som är fallet enligt den nuvarande datalagen, en nyanserad bedömning göras i sådana fall där den personuppgiftsansvarige bevisligen har gjort så gott han eller hon kunnat. I vissa fall – t.ex. om den registrerade drabbas av en stor ekonomisk skada till följd av att hans eller hennes person- uppgifter har behandlats felaktigt – kan det vara skäligt att den som är ansvarig för behandlingen får ersätta åtminstone en viss del av skadan, trots att den felaktiga behandlingen egentligen inte berodde på honom eller henne. Straff Enligt den nuvarande datalagen är en lång rad förfaranden och under- låtenheter straffbelagda. Såsom framgått av vad som sagts tidigare och i avsnitt 10 är de huvudsakliga sanktionerna mot de personuppgiftsansvariga som inte följer den nya lagen skadestånd och vite. All behandling av personupp- gifter i strid med den nya lagen kan föra med sig skyldighet att till de drabbade betala skadestånd, inklusive ersättning för kränkning, och kan dessutom ytterst föranleda ett vitesföreläggande av tillsynsmyndigheten. Dessa sanktioner för brott mot den nya lagen får anses effektiva och i stort sett tillräckliga. Datalagskommittén har i sitt förslag bara tagit med en bestämmelse om straff för den som uppsåtligen eller av oaktsamhet lämnar osanna uppgifter i information eller anmälan enligt den nya lagen. Det får också anses ligga i linje med utvecklingen på senare år i Sverige att avkriminalisera, särskilt när det gäller att få befolkningen att följa lagstiftning som i likhet med den nya lagen skall tillämpas i var- dagslag på många olika håll och kanske också hemma i folks vardagsrum. Datalagskommitténs förslag har godtagits av de flesta remissin- stanserna. Riksåklagaren anser t.ex. att förslaget är bra. Hovrätten över Skåne och Blekinge anser dock att inte bara lämnandet av osanna uppgifter bör kriminaliseras utan även underlåtenhet att upp- fylla skyldighet att lämna uppgifter. Underlåtenhet att uppfylla anmäl- ningsskyldighet bör t.ex., enligt hovrätten, förknippas med sanktion. Underlåtenhet att på begäran lämna ett s.k. registerutdrag till en registrerad eller att på begäran lämna Datainspektionen uppgifter om behandlingen är inte i dag generellt kriminaliserad, och vi kan inte se att det finns anledning att nu införa ett straffansvar för just detta. Däremot finns det enligt vår mening skäl att kriminalisera underlåtenhet att göra anmälan till tillsynsmyndigheten, eftersom det är svårt att stävja sådan underlåtenhet med andra medel än ett straffhot. Landsorganisationen i Sverige (LO) anser att det bör finnas straff- ansvar för den som avsiktligt låter registrera osanna eller felaktiga personuppgifter eller som utövar påtryckningar mot den person- uppgiftsansvarige eller personuppgiftsombudet i syfte att på något sätt manipulera personuppgifter. Enligt vår mening är det inte nödvändigt att i den nya lagen straffbelägga detta. Bestämmelserna om skadestånd och vite i kombination med tillsynsmyndighetens tillsyn får anses tillräckliga för att stävja och komma till rätta med sådana förfaranden. Otillbörlig påverkan kan i kvalificerade fall bestraffas enligt de allmänna reglerna i brottsbalken. Malmö tingsrätt anser att åtminstone behandling av känsliga person- uppgifter i strid med bestämmelserna i den nya lagen bör straff- sanktioneras. Vi håller med om detta och föreslår att behandling i strid med den nya lagen av känsliga personuppgifter och uppgifter om lagöverträdelser m.m. skall kriminaliseras. Även överföring i strid med den nya lagen av personuppgifter till tredje land, dvs. en stat utanför EES, bör enligt vår mening kriminaliseras, bl.a. eftersom förfarandet innebär att personuppgifterna i praktiken försvinner utom räckhåll för svenska skyddsåtgärder. Svenska bankföreningen föreslår att bara sådan oaktsamhet som är grov bestraffas. Genom att det för straffansvar räcker med oaktsamhet in- skärps på ett ändamålsenligt sätt vikten av att vara noggrann med de uppgifter som lämnas och med att följa bl.a. reglerna om när känsliga personuppgifter får behandlas. Föreningens förslag bör således inte följas. Datainspektionen föreslår att straffskalan skall innefatta fängelse i högst två år utan uppdelning i normalbrott och grovt brott, eftersom preskriptionstiden först då blir tillräckligt lång. Liknande synpunkter förs fram av Svenska kyrkans församlings- och pastoratsförbund. Även om det givetvis är oacceptabelt med brott mot de straffsanktionerade bestämmelserna, bör det enligt vår mening vara fullt tillräckligt med en straffskala upp till fängelse i sex månader för brott som inte kan betraktas som grovt. Att höja straffmaximum för lindrigare brott bara för att brottet skall hinna utredas innan det preskriberas, är inte lämpligt. Saktfärdiga utredningar får i stället mötas med andra åtgärder. 15 Ikraftträdande- och övergångsbestämmelser Regeringens förslag: Den nya lagen träder i kraft den 24 oktober 1998. För behandlingar som påbörjats då börjar den nya lagen dock att tillämpas först den 1 oktober 2001. Detsamma gäller en behandling som utförs för ett visst bestämt ändamål där behandling för ändamålet påbörjats vid ikraftträdandet. Vissa bestämmelser i den nya lagen tillämpas emellertid inte på påbörjad manuell behandling av person- uppgifter förrän den 1 oktober 2007. Dessa bestämmelser tillämpas inte heller på pågående lagring av personuppgifter för historisk forskning förrän uppgifterna börjar behandlas på något annat sätt. Ändringen i regeringsformen, som innebär att det blir möjligt för riksdagen att delegera rätten att meddela föreskrifter om manuell behandling av personuppgifter, träder i kraft den 1 januari 1999. Samtidigt ändras delegationsbestämmelserna i den nya lagen i enlighet med detta. Datalagskommitténs förslag innebär att den nya lagen träder i kraft den 1 januari 1999 samtidigt med ändringen i regeringsformen. Remissinstanserna: Bara några remissinstanser har uttalat sig om förslaget. Malmö tingsrätt, Länsrätten i Stockholms län, Justitiekanslern, Domstolsverket och Riksförsäkringsverket uttrycker tveksamhet i frågan om ikraftträdandet kan och bör senareläggas i förhållande till vad som gäller enligt direktivet. Riksåklagaren, Datainspektionen och Riksförsäk- ringsverket föreslår att det införs en möjlighet att i förtid börja tillämpa den nya lagen på pågående behandlingar. Skälen för regeringens förslag: Av artikel 32 i EG-direktivet (se bilaga 1) följer att de författningar som genomför direktivet måste träda i kraft senast den 24 oktober 1998. De behandlingar som påbörjas efter ikraftträdandet måste genast uppfylla alla bestämmelser i genomförande- lagstiftningen. Genomförandelagstiftningen behöver inte tillämpas på sådana behandlingar som påbörjats när lagstiftningen träder i kraft förrän inom tre år efter ikraftträdandet. Bestämmelserna i artikel 6–8 i EG- direktivet – dvs. bestämmelser om grundläggande krav på behandling av personuppgifter och om när sådan behandling är tillåten – behöver inte tillämpas förrän senast den 24 oktober 2007 på sådana uppgifter som redan finns i manuella register när genomförandelagstiftningen träder i kraft. Sverige måste emellertid i sådant fall ge den registrerade rätt att på begäran – särskilt när han eller hon utövar rätten att få tillgång till uppgifterna – få rättelse, utplånande eller blockering av uppgifter som är ofullständiga, felaktiga eller lagrade på ett sätt som inte är förenligt med de legitima ändamål som den personuppgiftsansvarige vill uppnå. Sverige får vidare föreskriva att de nyss nämnda bestämmelserna i artikel 6–8 i EG-direktivet inte behöver tillämpas på uppgifter som bara bevaras för historisk forskning. I sådant fall måste det i Sverige dock också finnas lämpliga skyddsåtgärder. Den nya lagen De bestämmelser i svensk lagstiftning som genomför EG-direktivet måste finnas senast den 24 oktober 1998. Någon möjlighet att senarelägga genomförandet i av bestämmelserna finns inte enligt direktivet; däremot är det möjligt att för vissa behandlingar fördröja tillämpningen av alla eller vissa av dessa bestämmelser. Den nya lagen måste således träda i kraft senast den 24 oktober 1998. Vi föreslår att lagen träder i kraft det datumet. De möjligheter att för vissa behandlingar fördröja ikraftträdandet av den nya lagen som EG-direktivet medger bör utnyttjas genom övergångs- bestämmelser. Detta har godtagits av de allra flesta remissinstanserna. I lagrådsremissen, liksom i kommitténs förslag, angavs att för behand- ling som pågick vid ikraftträdandet skulle äldre regler tillämpas. Enligt den tolkning som gjordes av bestämmelsen i motiven avsågs även t.ex. andra typer av behandling av en personuppgift som behandlades vid ikraftträdandet och insamling av nya uppgifter till ett personregister där behandling pågick vid ikraftträdandet. Lagrådet har i denna fråga hållit med regeringen om att en strikt tolkning av övergångsbestämmelserna i direktivet inte bör göras men befarat att den valda ordalydelsen kan tolkas som att den nya lagen skall tillämpas på behandlingar under förlängningsperioden trots att dessa ingår som ett led i hanteringen av ett automatiserat personregister som fanns redan vid ikraftträdandet. Lag- rådet har uttalat att ordalydelsen av bestämmelserna bör ses över. Vi delar Lagrådets synpunkt. Enligt vår mening bör även behandling av nya personuppgifter kunna omfattas av den nu gällande datalagen om behandling för ändamålet påbörjats vid ikraftträdandet. I anledning av Lagrådets synpunkt har lagtexten förtydligats i enlighet därmed. Riksåklagaren, Datainspektionen och Riksförsäkringsverket anser att det bör finnas en möjlighet att i förtid börja tillämpa den nya lagen på sådana behandlingar som redan påbörjats. Det förefaller i och för sig ändamålsenligt med en sådan frivillig möjlighet för de person- uppgiftsansvariga att i förtid gå över till att tillämpa den nya lagen för att bl.a. undvika att behöva tillämpa två lagstiftningar parallellt. En sådan ordning är emellertid förknippad med svårigheter av såväl praktisk som principiell art. Såväl den nya lagen som den nuvarande datalagen innehåller bestäm- melser om straff och skadestånd, se avsnitt 14. Dessa bestämmelser är olika i de två lagarna. Det är när det gäller sådana bestämmelser ett oavvisligt rättssäkerhetskrav att det vid var tid skall gå att objektivt fastställa vilka sanktionsbestämmelser som är tillämpliga. För att den föreslagna ordningen med frivillig övergång till den nya lagen skall kunna genomföras, krävs således att övergången och tidpunkten för denna på något sätt offentliggörs och dokumenteras. En ambition med den nya ordningen är emellertid att så långt möjligt begränsa byråkratin med anmälningar och ansökningar till tillsynsmyndigheten. Därför är det olämpligt att införa en ordning som innebär att övergångar skall anmälas till eller beslutas av tillsynsmyndigheten. Någon annan godtagbar ordning för offentliggörande och dokumentation av övergångar har inte vi – eller remissinstanserna – lyckats komma på. Förslaget från Datainspektionen m.fl. kan därför tyvärr inte genomföras. Vi föreslår i övrigt vissa övergångsbestämmelser av detaljkaraktär som i huvudsak syftar till att en åtgärd som har vidtagits före ikraftträdandet inte i onödan skall behöva göras om därefter. Ändringen i regeringsformen och ändringar i den nya lagen Vi föreslår att den nya lagen skall innehålla vissa bemyndiganden för regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter, se avsnitt 10. Sådana bemyndiganden kan, såsom närmare utvecklats i avsnitt 10, i dag ges med stöd av 8 kap. 7 § första stycket 8 regeringsformen bara såvitt avser ”skydd för personlig integritet vid registrering av uppgifter med hjälp av automatisk databehandling”, dvs. såvitt avser automatiserad behandling av personuppgifter. Bemyndigan- dena i den nya lagen har utformats i enlighet härmed, trots att lagen omfattar också viss manuell behandling av personuppgifter (se avsnitt 6.1). Lagrådet har i enlighet med den uppfattning Lagrådet redovisat vad gäller möjligheten att delegera föreskriftsrätt föreslagit att bemyndigandet i 8 kap. 7 § 8 upphävs. Till följd av vår uppfattning i denna fråga som redovisats ovan bör bemyndigandet stå kvar. Såsom också framgår av avsnitt 10 föreslår vi vidare att den nämnda bestämmelsen i regeringsformen skall justeras så att det blir möjligt att lämna bemyndiganden även såvitt avser manuell behandling av person- uppgifter. Ändringen i regeringsformen kan av praktiska och konsti- tutionella skäl i praktiken inte träda i kraft förrän den 1 januari 1999, dvs. ett par månader efter det att den nya lagen trätt i kraft. Vi föreslår att ändringen träder i kraft den dagen och att riksdagen sedan grundlags- ändringen beslutats fattar beslut om att per den 1 januari 1999 ändra bemyndigandena i den nya lagen till att avse även sådan manuell behandling av personuppgifter som omfattas av lagen. På det sättet visas största möjliga respekt mot såväl den svenska grundlagen som kraven enligt EG-direktivet. 16 Övriga frågor 16.1 Regler i den nuvarande datalagen som flyttas till andra lagar Regeringens förslag: Regeln om viss dokumentationsskyldighet för myndigheter (14 §) flyttas till 15 kap. sekretesslagen och regeln om straff för dataintrång (21 §) till brottsbalken. Datalagskommitténs förslag överensstämmer med regeringens. Remissinstanserna har i huvudsak lämnat förslaget utan erinran, dock att Arbetsmarknadsstyrelsen anser att 14 § i den nuvarande datalagen bör upphävas eller i vart fall flyttas till förvaltningslagen. Skälen för regeringens förslag: I 14 § i den nuvarande datalagen finns det en bestämmelse om viss dokumentationsskyldighet för myndig- heter. Om en myndighet för handläggningen av mål eller ärende använder sig av upptagning för automatisk databehandling, skall upptag- ningen tillföras handlingarna i målet eller ärendet i läsbar form, om inte särskilda skäl föranleder annat. I 21 § i den nuvarande datalagen finns det en bestämmelse om straff för dataintrång. Den som olovligen bereder sig tillgång till upptagning för automatisk databehandling eller olovligen ändrar eller utplånar eller i register för in sådan upptagning kan dömas för dataintrång till böter eller fängelse i högst två år. Detta gäller dock inte om gärningen kan bestraffas enligt brottsbalken eller lagen (1990:409) om företagshemligheter. Även försök och förberedelse till dataintrång kan bestraffas. Med upptagning avses i detta sammanhang även uppgifter som är under befordran via elektroniskt eller annat liknande hjälpmedel för att användas för automatisk databehandling. I 26–28 §§ i den nuvarande datalagen ges de grundläggande reglerna för det statliga person- och adressregistret (SPAR). Frågor som berör SPAR har också varit föremål för överväganden av den s.k. Grunddata- basutredningen som den 27 oktober 1997 redovisade sitt betänkande Grunddata – i samhällets tjänst, SOU 1997:146. Frågorna kring SPAR bör behandlas i ett sammanhang. Regeringen lägger därför nu inte fram något förslag till ny reglering av SPAR. Frågorna kring SPAR kommer att behandlas efter det att Grunddatabasutredningens förslag remissbe- handlats. De nu aktuella bestämmelserna i 14 och 21 §§ i den nuvarande datalagen hör inte hemma i den nya generella lagen. De bestämmelserna bör därför flyttas till annan lagstiftning. Ändringarna bör träda i kraft samtidigt som den nya lagen. Frågan om bestämmelsen i 14 § om viss dokumentationsskyldighet för myndigheter bör upphävas eller flyttas och vart den i så fall skall flyttas har varit föremål för delade meningar, se betänkandena En ny datalag (SOU 1993:10) s. 468, Elektronisk dokumenthantering (SOU 1996:40) s. 264 och SOU 1997:39 s. 460. Vi anser för egen del att den bestämmelsen utgör en så värdefull upplysning om den grundläggande skyldigheten för myndigheter att i mål och ärenden dokumentera de databaserade uppgifter som används som beslutsunderlag att den inte bör upphävas. Enligt vår mening kan bestämmelsen – i likhet med vad såväl Datalagskommittén som Datalagsutredningen föreslagit – med fördel tas in i 15 kap. sekretesslagen, som redan innehåller vissa bestämmelser som rör myndigheters skyldighet att registrera handlingar. Datalagskommittén har inte lämnat något utarbetat förslag till nya bestämmelser i brottsbalken om straff för dataintrång. Inom Justitie- departementet har ett sådant förslag gjorts upp som endast innebär att de nuvarande bestämmelserna i sak oförändrade förs över till brottsbalken. Eftersom Datalagskommitténs principförslag har remissbehandlats utan att möta invändningar och då det lagtekniska genomförandet av förslaget är av enkel beskaffenhet, har vi ansett oss kunna – utan remissbehandling av de konkreta lagförslagen – lämna förslag till en lag om ändring i brottsbalken. Ett konkret förslag till överföring av bestämmelsen om straff för dataintrång till brottsbalken har för övrigt lämnats i Datastraff- rättsutredningens betänkande Information och den nya informations- teknologin – straff och processrättsliga frågor m.m. (SOU 1992:110), som har remissbehandlats. Förslagen i det betänkandet, som syftar till en mer genomgripande reform, bereds för närvarande inom Justitiedepartementet. Datalagsutredningen har också i fråga om överföringen av bestämmelserna om straff för dataintrång i remissbehandlade betänkanden lämnat samma principförslag som Datalagskommittén. I författningskommentaren berörs vissa konkurrensfrågor med anled- ning av att bestämmelsen om straff för dataintrång flyttas till brottsbalken. 16.2 Följdändringar Regeringens förslag: Med anledning av att den nuvarande datalagen ersätts av den nya lagen görs det vissa följdändringar i sekretesslagen. Datalagskommitténs förslag överensstämmer delvis med regeringens. Remissinstanserna: Förslagen till följdändringar har i huvudsak lämnats utan erinran av remissinstanserna. Skälen för regeringens förslag: Eftersom den nuvarande datalagen ersätts av den nya lagen, måste det göras följdändringar i annan lagstift- ning som hänvisar till datalagen. Följdändringarna, som i huvudsak är formella, berörs i författningskommentaren. Följdändringarna bör träda i kraft samtidigt som den nya lagen. 17 Ekonomiska konsekvenser av förslaget Regeringens förslag i detta ärende innebär ett genomförande av EG:s dataskyddsdirektiv. I kostnadshänseende kan förslaget delas upp i två delar. För det första stadgar nämnda direktiv att en registrerad har rätt till viss information samt att beslut, vilka är avsedda att bedöma egenskaper hos den berörda personen, får grundas endast på automatiserad behand- ling av personuppgifter, bara om den som berörs av beslutet har möjlighet att på begäran få beslutet omprövat av någon person. För det andra påverkas Datainspektionens finansiering. Datainspektionen kommer enligt förslaget inte längre att uppbära de licensavgifter som i dag står för ca 90 procent av inspektionens intäkter. När det först gäller de personuppgiftsansvarigas kostnader för infor- mation m.m. är det flera faktorer som påverkar dessa. En faktor är om det rör behandling av uppgifter enligt den gamla datalagen eller om behand- lingen regleras av den nya personuppgiftslagen. Den nya person- uppgiftslagen föreslås - mot bakgrund av kravet i EG-direktivet - träda i kraft den 24 oktober 1998. För all den behandling som pågår för närvarande hos myndigheter, kommuner, landsting, företag etc, behöver den nya lagen inte tillämpas förrän efter utgången av september månad år 2001. Det innebär att den eventuella ökning av informationskostnaderna m.m. som den nya personuppgiftslagen i förhållande till den nuvarande datalagen kan medföra, kommer att för sådana register som nu finns slå igenom först efter september 2001. Regeringen kommer att i arbetet med att komplettera den nya person- uppgiftslagen med aviserade förordningar, försöka utarbeta så enkla och klara regler som möjligt att eventuella kostnader hålls på en så låg nivå som möjligt. Ett exempel skulle kunna vara att vid utskick från myn- digheter som görs i annat syfte, t.ex. skattemyndighetens utskick av deklarationsuppgifter komplettera den blanketten med en informationsruta som uppfyller den nya lagens krav. När det gäller register som inrättas efter den 24 oktober 1998 kommer dessa register att från den tidpunkten omfattas av de nya informa- tionsreglerna m.m. Vilka register det kan bli frågan om är omöjligt för regeringen att nu förutse. Härtill kommer att det är regeringens bestämda uppfattning när det gäller nya behandlingar, att den rationaliseringseffekt som motiverar användandet av automatiserad behandling i sig leder till en mer kostnadseffektiv hantering. Vad gäller finansieringen av Datainspektionens verksamhet är re- geringens uppfattning att kostader för statlig tillsyn i princip bör belasta de som orsakar att tillsynsverksamheten behövs. Regeringen har därför gett Datainspektionen i uppdrag att föreslå ett avgiftsfinansieringssystem. Regeringen avser att ta ställning till finansieringsfrågan i 1998 år ekono- miska vårproposition. Övriga frågor som rör Datainspektionens framtida verksamhet med anledning av Personuppgiftslagen kommer att behandlas i Budgetpropositionen för 1999. Enligt regeringens mening finns det inte nu grund för att anta att de föreslagna ändringarna kommer att leda till ökade utgifter av sådan omfattning att de inte kan finansieras inom ramen för befintliga medel. Regeringen har för avsikt att följa tillämpningen och effekterna av lag- stiftningen för att få underlag för att bedöma eventuella kostnads- konsekvenser för kommuner och landsting som faller under finan- sieringsprincipen. 18 Författningskommentar 18.1 Förslaget till personuppgiftslag Frågan om lagens namn har behandlats i avsnitt 7 i den allmänna motiveringen. Allmänna bestämmelser Syftet med lagen 1 § Syftet med denna lag är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Paragrafen innehåller en upplysning om syftet med lagen och överens- stämmer i huvudsak med Datalagskommitténs förslag. Rikspolisstyrelsen har föreslagit att syftet enligt EG-direktivet att åstadkomma ett fritt flöde av personuppgifter mellan medlemsstaterna i Europeiska unionen också bör komma till uttryck i lagtexten. Detta syfte uppfylls emellertid just genom att medlemsstaterna genomför en åtminstone delvis harmoniserad lagstiftning till skydd mot kränkning av personlig integritet genom behandling av personuppgifter. Bestämmelsen har därför inte kompletterats i enlighet med vad Rikspolisstyrelsen föreslagit. Avvikande bestämmelser i annan författning 2 § Om det i en annan lag eller i en förordning finns bestämmelser som avviker från denna lag, skall de bestämmelserna gälla. Av paragrafen framgår att personuppgiftslagen är subsidiär i förhållande till andra författningar. Paragrafen har behandlats i avsnitt 6.2. Paragrafen överensstämmer i huvudsak med Datalagskommitténs förslag och har berörts i avsnitt 8.2.2 i kommitténs betänkande. Finns det bestämmelser i en annan lag eller i en förordning som avviker från personuppgiftslagen, skall de bestämmelserna tillämpas i stället. Beslut som riksdagen eller regeringen fattat i annan form än lag eller förordning och föreskrifter som myndigheter har utfärdat tar däremot inte över bestämmelserna i personuppgiftslagen. I den utsträckning en lag eller förordning med avvikande bestämmelser inte innehåller bestämmelser om sådant som regleras i personuppgiftslagen, skall personuppgiftslagens bestämmelser tillämpas. Frågan om en viss bestämmelse innefattar en avvikelse från vad som skall gälla enligt personuppgiftslagen får avgöras med tillämpning av sedvanliga metoder för tolkning av författningar. Sådana avvikande bestämmelser som avses i paragrafen finns ofta i s.k. registerförfattningar som reglerar inrättandet och förandet av viktigare register på det offentliga området. Även bestämmelser som föreskriver att myndigheter eller enskilda får eller skall lämna ut uppgifter avses i paragrafen. Sådana bestämmelser om s.k. uppgiftsskyldighet går således före bestämmelserna i person- uppgiftslagen. I 8 § första stycket finns det en uttrycklig erinran om att bestämmelserna i 2 kap. tryckfrihetsförordningen tar över bestämmelser i personuppgiftslagen, och i 7 § första stycket finns det en motsvarande erinran beträffande bestämmelserna om tryck- och yttrandefrihet i tryckfrihetsförordningen och yttrandefrihetsgrundlagen. Definitioner 3 § I denna lag används följande beteckningar med nedan angiven bety- delse. Beteckning Betydelse Behandling (av person- uppgifter) Varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, an- vändning, utlämnande genom översändande, spridning eller annat tillhandahållande av upp- gifter, sammanställning eller samkörning, blockering, utplåning eller förstöring. Blockering (av person- uppgifter) En åtgärd som vidtas för att personuppgifterna skall vara förknippade med information om att de är spärrade och om anledningen till spärren och för att personuppgifterna inte skall lämnas ut till tredje man annat än med stöd av 2 kap. tryckfrihetsförordningen. Mottagare Den till vilken personuppgifter lämnas ut. När personuppgifter lämnas ut för att en myn- dighet skall kunna utföra sådan tillsyn, kontroll eller revision som den är skyldig att sköta, anses dock inte myndigheten som mottagare. Personuppgifter All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Personuppgiftsansvarig Den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Personuppgiftsbiträde Den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Personuppgiftsombud Den fysiska person som, efter förordnande av den personuppgiftsansvarige, självständigt skall se till att personuppgifter behandlas på ett korrekt och lagligt sätt. Den registrerade Den som en personuppgift avser. Samtycke Varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne. Tillsynsmyndigheten Den myndighet som regeringen utser för att utöva tillsyn. Tredje land En stat som inte ingår i Europeiska unionen eller är ansluten till Europeiska ekonomiska samarbetsområdet. Tredje man Någon annan än den registrerade, den person- uppgiftsansvarige, personuppgiftsombudet, personuppgiftsbiträdet och sådana personer som under den personuppgiftsansvariges eller personuppgiftsbiträdets direkta ansvar har befogenhet att behandla personuppgifter. Paragrafen innehåller definitioner av viktigare uttryck och begrepp som används i lagen. Den har jämkats något i förhållande till Datalags- kommitténs förslag. Definitionerna har berörts i avsnitt 12.2 i kommitténs betänkande. Definitionerna av behandling (av personuppgifter), mottagare, personuppgifter, personuppgiftsansvarig, personuppgiftsbiträde, den registrerade och tredje man är avsedda att ha samma innebörd som mot- svarande uttryck har enligt artikel 2 i EG-direktivet, se bilaga 1. Defi- nitionen av den registrerade innebär att behandling av uppgifter om avlidna eller ännu inte födda personer inte omfattas av lagen. Definitionen av samtycke skall ha samma innebörd som definitionen i artikel 2 i direktivet, med tillägget att det direkt i definitionen tas in ett krav på att samtycket skall vara otvetydigt, vilket framgår av andra artiklar i direktivet. I de fall där samtycket dessutom enligt direktivet skall vara uttryckligt anges detta direkt i lagtexten. Begreppen ”otvetydig” och ”uttrycklig” har en EG-gemensam innebörd. Vissa av beteckningarna har behandlats i avsnitt 7. I 38–40 §§ finns det närmare bestämmelser om de uppgifter som ett personuppgiftsombud skall ha. Av definitionen av blockering (av personuppgifter) framgår att blockerade personuppgifter får användas internt hos den personupp- giftsansvarige och hos ett anlitat personuppgiftsbiträde under förut- sättning att det där uppgifterna förekommer framgår att de är spärrade och anledningen till spärren. Däremot får uppgifterna inte lämnas ut till tredje man, varvid ett uttrycklig undantag gjorts för sådant utlämnande som sker med stöd av 2 kap. tryckfrihetsförordningen. Det undantaget har berörts i avsnitt 8.1. Av det förhållandet att den registrerade själv inte omfattas av definitionen av tredje man följer att även blockerade uppgifter jämte information om blockeringen skall tas med i sådan information som efter ansökan skall lämnas till den registrerade enligt 26 §. Det är upp till den personuppgiftsansvarige att bestämma hur det tekniskt skall ses till att de blockerade uppgifterna är förknippade med information om blockeringen. Beträffande definitionen av tredje land kan noteras att EES- kommittén ännu inte fattat beslut om att direktivet skall omfattas av EES- avtalet. Vi förutsätter dock att ett sådant beslut fattas. I praktiken innebär det ingen större skillnad att inbegripa EES-länderna då definitionen främst har betydelse när det gäller överföring av personuppgifter till andra länder och då Norge och Island har anslutit sig till Europarådets dataskyddskonvention. Enligt vårt förslag skall nämligen personuppgifter alltid få överföras till sådana länder trots det allmänna förbudet i 33 §. Tillämpningsområde Det territoriella tillämpningsområdet 4 § Denna lag gäller för sådana personuppgiftsansvariga som är etable- rade i Sverige. Lagen tillämpas också när den personuppgiftsansvarige är etablerad i tredje land men för behandlingen av personuppgifter använder sig av utrustning som finns i Sverige. Vad som nu sagts gäller dock inte om utrustningen bara används för att överföra uppgifter mellan ett tredje land och ett annat sådant land. I det fall som avses i andra stycket första meningen skall den person- uppgiftsansvarige utse en företrädare för sig som är etablerad i Sverige. Vad som anges i denna lag om den personuppgiftsansvarige skall också gälla för företrädaren. Paragrafen har behandlats i avsnitt 9. Den överensstämmer med Datalagskommitténs förslag, dock att en av kommittén föreslagen bestämmelse om skyldighet att till tillsynsmyndigheten lämna in en anmälan om en utsedd företrädare inte tagits med. Paragrafen har berörts i avsnitt 12.3 i kommitténs betänkande. Avsikten är att paragrafen skall ha samma innebörd som artikel 4 i EG-direktivet, se bilaga 1. Behandling av personuppgifter som omfattas av lagen 5 § Denna lag gäller för sådan behandling av personuppgifter som helt eller delvis är automatiserad. Lagen gäller även för annan behandling av personuppgifter, om upp- gifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Frågan om en teknikoberoende lag har behandlats i avsnitt 6.1. Paragrafen överensstämmer i sak med Datalagskommitténs förslag och har berörts i avsnitt 7.2.1, 12.2.8 och 12.2.12 i kommitténs betänkande. Begreppet ”automatiserad” som har valts på förslag av Lagrådet kommenteras i avsnitt 6.1. Paragrafen är avsedd att ha samma innebörd som artikel 3.1 och definitionen av register i artikel 2 c i EG-direktivet, se bilaga 1. Undantag för privat behandling av personuppgifter 6 § Denna lag gäller inte för sådan behandling av personuppgifter som en fysisk person utför som ett led i en verksamhet av rent privat natur. Paragrafen har behandlats i avsnitt 8.3. Den överensstämmer med Data- lagskommitténs förslag och har berörts i avsnitt 7.2.4 i kommitténs betänkande. Avsikten är att paragrafen skall ha samma innebörd som artikel 3.2 andra strecksatsen i EG-direktivet, se bilaga 1. Paragrafen för med sig t.ex. att enskilda för rent privat bruk kan föra en elektronisk dagbok eller registrera sina grannar eller släktingar. Förhållandet till tryck- och yttrandefriheten 7 § Bestämmelserna i denna lag tillämpas inte i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryck- frihetsförordningen eller yttrandefrihetsgrundlagen. Bestämmelserna i 9–29 och 33–44 §§ samt 45 § första stycket och 47 –49 §§ skall inte tillämpas på sådan behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande. Frågan om undantag med hänsyn till tryck- och yttrandefriheten har be- handlats i avsnitt 8.2. Paragrafen överensstämmer delvis med Datalags- kommitténs förslag. Paragrafen har berörts i avsnitt 10 i kommitténs betänkande. Första stycket innehåller, i syfte att förtydliga, en upplysning om att bestämmelserna i lagen inte får tillämpas i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihets- förordningen (TF) eller yttrandefrihetsgrundlagen (YGL). Tillämpningen av av bestämmelserna i TF och YGL skall ske i enlighet med de principer som gäller i dag. Genom andra stycket undantas vissa behandlingar helt från de flesta bestämmelserna i lagen. Bestämmelserna om säkerhetsåtgärder skall dock tillämpas också på dessa behandlingar. Andra stycket skall ha samma innebörd som artikel 9 i EG-direktivet, se bilaga 1. Här kan nämnas att Sverige i samband med att direktivet an- togs i ministerrådets protokoll fått intaget att Sverige anser att begreppet konstnärliga och litterära uttryck mera syftar på uttrycksmedlen än kom- munikationens innehåll eller dess kvalitet. En invändning om att en behandling av personuppgifter avser sådant som är undantaget enligt denna paragraf får godtas, om det inte av omständigheterna framgår att invändningen är så osannolik att den kan lämnas utan avseende. Förhållandet till offentlighetsprincipen 8 § Bestämmelserna i denna lag tillämpas inte i den utsträckning det skulle inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsför- ordningen att lämna ut personuppgifter. Bestämmelserna hindrar inte heller att en myndighet arkiverar och be- varar allmänna handlingar eller att arkivmaterial tas om hand av en arkiv- myndighet. Bestämmelsen i 9 § fjärde stycket gäller inte för en myndig- hets användning av personuppgifter i allmänna handlingar. Frågan om hur EG-direktivet förhåller sig till offentlighetsprincipen har behandlats i avsnitt 8.1. Paragrafen överensstämmer i huvudsak med Datalagskommitténs förslag och har berörts i avsnitt 9.2, 9.4 och 12.4.6.3 i kommitténs betänkande. Första stycket innehåller i syfte att förtydliga en upplysning om att lagen inte tillämpas om det skulle strida mot en myndighets skyldigheter enligt 2 kap. tryckfrihetsförordningen (TF). Andra stycket rör det bevarande av allmänna handlingar som utgör en förutsättning för att offentlighetsprincipen i 2 kap. TF skall kunna upp- fylla sina syften. För tillämpningen av stycket förutsätts inte i och för sig att bevarandet är föreskrivet i författning. Det räcker att det är fråga om allmänna handlingar. Även bevarande av sådana handlingar som enligt 2 kap. 9 § TF blir allmänna först sedan de tagits om hand för arkivering omfattas. Sista meningen i andra stycket innebär att myndigheter trots bestäm- melserna i 9 § fjärde stycket får använda information i allmänna hand- lingar för att vidta åtgärder beträffande enskilda. Övriga bestämmelser i lagen skall däremot följas när en myndighet på detta sätt återanvänder personuppgifter, t.ex. bestämmelsen i 9 § första stycket d om att person- uppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. Enligt Datalagskommitténs förslag skulle det genom ändring i arkivlagen (1990:782) införas en ordning som innebar att handlingar och databaser som innehåller allmänna uppgifter omedelbart skulle anses tillhöra myndighetens arkiv (kommitténs betänkande s. 662), och i enlighet härmed föreslogs att det nu aktuella undantaget skulle omfatta ”personuppgifter i en myndighets arkiv”. Eftersom förslaget till ändringar i arkivlagen inte nu genomförs, har undantaget omformulerats till att avse en myndighets användning av personuppgifter i allmänna handlingar. Grundläggande krav på behandlingen av personuppgifter 9 § Den personuppgiftsansvarige skall se till att a) personuppgifter behandlas bara om det är lagligt, b) personuppgifter alltid behandlas på ett korrekt sätt och i enlighet med god sed, c) personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål, d) personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in, e) de personuppgifter som behandlas är adekvata och relevanta i för- hållande till ändamålen med behandlingen, f) inte fler personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen, g) de personuppgifter som behandlas är riktiga och, om det är nöd- vändigt, aktuella, h) alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen, och i) personuppgifter inte bevaras under en längre tid än vad som är nöd- vändigt med hänsyn till ändamålen med behandlingen. I fråga om första stycket d gäller dock att en behandling av person- uppgifter för historiska, statistiska eller vetenskapliga ändamål inte skall anses som oförenlig med de ändamål för vilka uppgifterna samlades in. Personuppgifter får bevaras för historiska, statistiska eller ve- tenskapliga ändamål under längre tid än som sagts i första stycket i. Personuppgifterna får dock i sådana fall inte bevaras under en längre tid än vad som behövs för dessa ändamål. Personuppgifter som behandlas för historiska, statistiska eller vetenskapliga ändamål får användas för att vidta åtgärder i fråga om den registrerade bara om den registrerade har lämnat sitt samtycke eller det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. I paragrafen läggs det fast vissa grundläggande krav på den person- uppgiftsansvariges behandling av personuppgifter. De grundläggande kraven på behandlingen av personuppgifter har behandlats i avsnitt 11.2. Paragrafen överensstämmer i huvudsak med Datalagskommitténs förslag och har berörts i avsnitt 11.6.5 och 12.4 i kommitténs betänkande. Första, andra och tredje styckena har samma innebörd som artikel 6 i EG-direktivet, se bilaga 1. På förslag av Lagrådet har i första stycket b lagts till vad som i lagrådsremissen framgick av skadeståndsbestämmelsen i 48 §, nämligen att personuppgifter skall behandlas i enlighet med god sed. Fjärde stycket innehåller bestämmelser om sådana lämpliga skydds- åtgärder vid behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål som avses i den nyss nämnda artikeln och i artikel 8.4. Bestämmelsen gäller inte för en myndighets användning av person- uppgifter i allmänna handlingar, se 8 § andra stycket. En och samma personuppgift kan samtidigt behandlas för flera olika ändamål, varav något kan vara sådant som avses i tredje och fjärde styckena. I sådant fall får personuppgifter som behandlas för administrativa ändamål som har med en viss verksamhet att göra, trots bestämmelsen i fjärde stycket, behandlas för att i enlighet med dessa ändamål vidta åtgärder beträffande de registrerade, även om samma uppgifter samtidigt behandlas för att framställa statistik. Behandling av personuppgifter för statistiska och vetenskapliga ändamål kan ge värdefull kunskap om generella sammanhang. Användandet av sådan kunskap för att vidta åtgärder mot individer omfattas inte av bestämmelsen. Det är vid tvist den personuppgiftsansvarige som har bevisbördan för att den registrerade lämnat sitt samtycke till att uppgifterna används för att vidta åtgärder. Har den registrerade muntligen eller skriftligen återkallat ett lämnat samtycke, får uppgifterna därefter inte användas för att vidta åtgärder. Om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen, får dock uppgifterna alltid användas för att vidta åtgärder. Ett exempel är det fallet att en forskare som undersöker ett misstänkt samband mellan intag av en medicin och någon allvarlig sjuk- dom upptäcker att det faktiskt finns ett sådant samband och därför använ- der registeruppgifter för att varna de registrerade som har fått sådan medicin så att de kan låta undersöka sig och få behandling. Ett annat exempel är när ett statistikregister används för att varna de som har köpt en apparat som visar sig ha ett allvarligt fel. Det är vid tvist den person- uppgiftsansvarige som har att visa att det finns sådana omständigheter som utgör synnerliga skäl. Enligt 50 § b får regeringen eller den myndighet som regeringen bestämmer meddela närmare föreskrifter om vilka krav som ställs på den personuppgiftsansvarige vid behandling av personuppgifter. När behandling av personuppgifter är tillåten Frågan om när behandling av personuppgifter är tillåten har behandlats i avsnitt 11.3. Enligt 50 § a får regeringen eller den myndighet som regeringen bestämmer meddela närmare föreskrifter om i vilka fall behandling av personuppgifter är tillåten. 10 § Personuppgifter får behandlas bara om den registrerade har lämnat sitt samtycke till behandlingen eller om behandlingen är nödvändig för att a) ett avtal med den registrerade skall kunna fullgöras eller åtgärder som den registrerade begärt skall kunna vidtas innan ett avtal träffas, b) den personuppgiftsansvarige skall kunna fullgöra en rättslig skyl- dighet, c) vitala intressen för den registrerade skall kunna skyddas, d) en arbetsuppgift av allmänt intresse skall kunna utföras, e) den personuppgiftsansvarige eller en tredje man till vilken person- uppgifter lämnas ut skall kunna utföra en arbetsuppgift i samband med myndighetsutövning, eller f) ett ändamål som rör ett berättigat intresse hos den personuppgifts- ansvarige eller hos en sådan tredje man till vilken personuppgifterna läm- nas ut skall kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten. I paragrafen finns det en uttömmande uppräkning av i vilka fall person- uppgifter får behandlas. Om känsliga personuppgifter, uppgifter om lagöverträdelser m.m. eller personnummer skall behandlas, måste behandlingen dessutom vara tillåten i enlighet med 13–22 §§. I 12 § andra stycket regleras den situationen att den registrerade återkallar ett redan lämnat samtycke. Paragrafen överensstämmer i huvudsak med Datalagskommitténs för- slag och har berörts i avsnitt 12.5.1 och 11.6.4 i kommitténs betänkande. Paragrafen är avsedd att ha samma innebörd som artikel 7 i EG- direktivet, se bilaga 1. Punkten a har utformats mot bakgrund av den engelska, franska och tyska versionen av EG-direktivet; i den svenska versionen talas däremot om ”ett sådant avtal” (i vilket den registrerade är part). Direkt marknadsföring 11 § Personuppgifter får inte behandlas för ändamål som rör direkt mark- nadsföring, om den registrerade hos den personuppgiftsansvarige skriftli- gen har anmält att han eller hon motsätter sig sådan behandling. Paragrafen reglerar den registrerades rätt att motsätta sig behandling för direkt marknadsföring. Paragrafen överensstämmer med Datalagskom- mitténs förslag och har berörts i avsnitt 12.5.2.3 i kommitténs betänkande. Uttrycket ”behandlas för ändamål som rör direkt marknadsföring” är avsett att ha samma innebörd som enligt artikel 14 första stycket b i EG- direktivet, se bilaga 1. Paragrafen medger inte att den personuppgiftsansvarige eller någon annan tar ut någon avgift eller liknande av den registrerade. Den registrerade kan således utan kostnad utöva sin rätt att motsätta sig att hans eller hennes personuppgifter behandlas för ändamål som rör direkt marknadsföring. Däremot finns det inte heller någon reglering som med- för att den registrerade kan få ersättning för utlägg för t.ex. portokost- naden för att sända in anmälan. Skriftlighetskravet innebär att anmälan måste vara uttryckt i text, men texten kan finnas på papper lika väl som i elektronisk form. Anmälan kan således göras via elektronisk post. Frågan om en insänd text är en sådan anmälan som avses i paragrafen får avgöras enligt sedvanliga regler om tolkning av ensidiga rättshandlingar. Enligt 50 § d får regeringen eller den myndighet som regeringen bestämmer meddela närmare föreskrifter om innehållet i en anmälan till en personuppgiftsansvarig. Anmälan skall riktas till den personuppgiftsansvarige. Sedan anmälan kommit in till den personuppgiftsansvarige, får denne inte längre be- handla personuppgifter om anmälaren för ändamål som rör direkt marknadsföring. Det gäller även om anmälaren tidigare gett sitt samtycke till sådan behandling. Skulle den som gjort en anmälan senare lämna sitt samtycke till behandling för ändamål som rör direkt marknadsföring, får anmälan i motsvarande utsträckning anses återkallad och utan verkan. Bestämmelserna i 10 § förvaltningslagen (1986:228), 44 § förvaltnings- processlagen (1971:291) och 33 kap. 3 § rättegångsbalken kan vara till ledning vid avgörande av frågan om när en anmälan skall anses ha gjorts. Det är vid tvist den registrerade som har bevisbördan för att en anmälan gjorts och tidpunkten för denna. För att behandling av personuppgifter för ändamål som rör direkt marknadsföring skall få ske krävs, förutom att den registrerade inte har motsatt sig det i enlighet med denna paragraf, att behandlingen är tillåten i enlighet med 10 §, företrädesvis punkten g, och, i förekommande fall, 13–22 §§. Samtycke återkallas 12 § I de fall då behandling av personuppgifter bara är tillåten när den registrerade har lämnat sitt samtycke enligt 10, 15 eller 34 § har den re- gistrerade rätt att när som helst återkalla ett lämnat samtycke. Ytterligare personuppgifter om den registrerade får därefter inte behandlas. En registrerad har utöver vad som följer av första stycket och 11 § inte rätt att motsätta sig sådan behandling av personuppgifter som är tillåten enligt denna lag. Paragrafen reglerar vad som gäller när den registrerade återkallar ett redan lämnat samtycke till behandling av personuppgifter och i vilka fall den registrerade i övrigt skall ha rätt att motsätta sig sådan behandling. Paragrafen överensstämmer med Datalagskommitténs förslag och har berörts i avsnitt 12.5.2.2 och 11.6.6 i kommitténs betänkande. Sådan återkallelse som avses i första stycket kan avges muntligen eller skriftligen till den personuppgiftsansvarige eller någon som på laglig grund företräder denne, t.ex. det personuppgiftsbiträde som för den per- sonuppgiftsansvariges räkning tagit emot samtycket. Det är vid tvist den registrerade som har bevisbördan för att en återkallelse gjorts och tidpunkten för denna. Frågan om ett meddelande från den registrerade är en sådan återkallelse som avses i paragrafen får avgöras enligt sedvanliga regler om tolkning av ensidiga rättshandlingar. Sedan den personuppgiftsansvarige mottagit den registrerades åter- kallelse, får några ytterligare uppgifter om den registrerade inte samlas in eller annars behandlas. Behandlingen av redan insamlade uppgifter får trots återkallelsen fortsätta i enlighet med det ursprungligen lämnade samtycket, men uppgifterna får således inte t.ex. uppdateras eller kompletteras. I andra stycket slås det – mot bakgrund av artikel 14 första stycket a i EG-direktivet, se bilaga 1 – fast att den registrerade i andra fall än som avses i första stycket i denna paragraf och 11 § får lov att stå ut med sådan behandling som är tillåten enligt lagen, t.ex. sådan behandling som är nödvändig för att utföra en arbetsuppgift av allmänt intresse. Den registrerade kan alltså inte med rättslig verkan motsätta sig behandlingen, men lagen hindrar givetvis inte att den personuppgiftsansvarige ändå respekterar den registrerades vilja och frivilligt slutar med att behandla dennes personuppgifter. Förbud mot behandling av känsliga personuppgifter 13 § Det är förbjudet att behandla personuppgifter som avslöjar a) ras eller etniskt ursprung, b) politiska åsikter, c) religiös eller filosofisk övertygelse, eller d) medlemskap i fackförening. Det är också förbjudet att behandla sådana personuppgifter som rör hälsa eller sexualliv. Uppgifter av den art som anges i första och andra styckena betecknas i denna lag som känsliga personuppgifter. Paragrafen innehåller ett principiellt förbud mot att behandla vad som enligt paragrafen är att beteckna som känsliga personuppgifter. I 14– 20 §§ finns det bestämmelser som för med sig att sådana personuppgifter i vissa fall ändå får behandlas. Behandling av känsliga personuppgifter har behandlats i avsnitt 11.4.1. Paragrafen överensstämmer med Datalagskommitténs förslag och har berörts i avsnitt 12.5.3.2 i kommitténs betänkande. Första och andra styckena skall ha samma innebörd som artikel 8.1 i EG-direktivet, se bilaga 1. Undantag från förbudet mot behandling av känsliga personuppgifter 14 § Det är trots förbudet i 13 § tillåtet att behandla känsliga person- uppgifter i de fall som anges i 15–19 §§. I 10 § finns det bestämmelser om i vilka fall behandling av personupp- gifter över huvud taget är tillåten. Paragrafen innehåller i första stycket en upplysning om att det trots det principiella förbudet i 13 § är tillåtet att behandla personuppgifter i de fall som anges i 15–19 §§. I andra stycket finns det en erinran om att även i de fall som anges i 15–19 §§ måste behandlingen vara tillåten enligt 10 §. Behandling av känsliga personuppgifter har behandlats i avsnitt 11.4. Paragrafen överensstämmer i huvudsak med Datalagskommitténs förslag. Enligt 50 § a får regeringen eller den myndighet som regeringen be- stämmer meddela närmare föreskrifter om i vilka fall behandling av personuppgifter är tillåten enligt 15–19 §§. Samtycke eller offentliggörande 15 § Känsliga personuppgifter får behandlas, om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt offentliggjort uppgifterna. Behandling av känsliga personuppgifter har behandlats i avsnitt 11.4. Paragrafen överensstämmer i huvudsak med Datalagskommitténs förslag och har berörts i avsnitt 12.5.3.3 i kommitténs betänkande. I 12 § andra stycket regleras den situationen att den registrerade återkallar ett redan lämnat samtycke. Paragrafen skall ha samma innebörd som EG-direktivets artikel 8.2 punkt a och första ledet i punkt e, se bilaga 1. Nödvändig behandling 16 § Känsliga personuppgifter får behandlas om behandlingen är nödvän- dig för att a) den personuppgiftsansvarige skall kunna fullgöra sina skyldigheter eller utöva sina rättigheter inom arbetsrätten, b) den registrerades eller någon annans vitala intressen skall kunna skyddas och den registrerade inte kan lämna sitt samtycke, eller c) rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras. Uppgifter som behandlas med stöd av första stycket a får lämnas ut till tredje man bara om det inom arbetsrätten finns en skyldighet för den personuppgiftsansvarige att göra det eller den registrerade uttryckligen har samtyckt till utlämnandet. Behandling av känsliga personuppgifter har behandlats i avsnitt 11.4. Paragrafen överensstämmer med Datalagskommitténs förslag och har berörts i avsnitt 12.5.3.3 i kommitténs betänkande. Första stycket skall ha samma innebörd som EG-direktivets artikel 8.2 punkt b och c samt andra ledet i punkt e, se bilaga 1. Punkten a i första stycket i paragrafen är vidare en sådan bestämmelse som – i enlighet med artikel 8.2 punkt b i direktivet – tillåter behandling. Datalagskommittén har som ett exempel på när det är nödvändigt att behandla känsliga uppgifter för att rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras nämnt behandling av personuppgifter om medlemskap i fackförening som behövs till följd av att fackliga organisationer avtalar om individuella eller kollektiva förmåner eller tjänster för sina med- lemmar, t.ex. gruppförsäkring. Andra stycket innehåller bestämmelser om sådana lämpliga skydds- åtgärder som avses i artikel 8.2 punkt b i direktivet. Uttrycket ”inom arbetsrätten” i andra stycket skall ha samma innebörd som enligt den nyss nämnda punkten. Skyldigheten att lämna ut personuppgifter måste framgå av lagstiftning, myndighetsbeslut eller av ett muntligt eller skriftligt avtal, t.ex. ett kollektivavtal. Det skall vara fråga om en rättslig skyldighet. Det är vid tvist den personuppgiftsansvarige som har bevisbördan för att den registrerade lämnat sitt samtycke till ett utlämnande. Har den registrerade muntligen eller skriftligen återkallat ett nödvändigt samtycke, får uppgifterna därefter inte lämnas ut till tredje man. Ideella organisationer 17 § Ideella organisationer med politiskt, filosofiskt, religiöst eller fackligt syfte får inom ramen för sin verksamhet behandla känsliga personuppgifter om organisationens medlemmar och sådana andra personer som på grund av organisationens syfte har regelbunden kontakt med den. Känsliga personuppgifter får dock lämnas ut till tredje man bara om den registrerade uttryckligen har samtyckt till det. Behandling av känsliga personuppgifter har behandlats i avsnitt 11.4. Paragrafen överensstämmer med Datalagskommitténs förslag och har berörts i avsnitt 12.5.3.3 i kommitténs betänkande. Paragrafen skall ha samma innebörd som artikel 8.2 punkt d i EG- direktivet, se bilaga 1. Det är vid tvist den personuppgiftsansvarige som har bevisbördan för att den registrerade lämnat sitt samtycke till ett utlämnande. Har den registrerade muntligen eller skriftligen återkallat ett nödvändigt samtycke, får uppgifterna därefter inte lämnas ut till tredje man. Hälso- och sjukvård 18 § Känsliga personuppgifter får behandlas för hälso- och sjukvårdsändamål, om behandlingen är nödvändig för a) förebyggande hälso- och sjukvård, b) medicinska diagnoser, c) vård eller behandling, eller d) administration av hälso- och sjukvård. Den som är yrkesmässigt verksam inom hälso- och sjukvårdsområdet och har tystnadsplikt får även behandla känsliga personuppgifter som omfattas av tystnadsplikten. Detsamma gäller den som är underkastad en liknande tystnadsplikt och som har fått känsliga personuppgifter från verksamhet inom hälso- och sjukvårdsområdet. Behandling av känsliga personuppgifter har behandlats i avsnitt 11.4. Paragrafen skall ha samma innebörd som artikel 8.3 i EG-direktivet, se bilaga 1. Paragrafen har – i enlighet med vad som föreslagits av Stockholms läns landsting – i förhållande till Datalagskommitténs förslag kompletterats såvitt avser regeln i nyss nämnda artikel om att den som inte är verksam på hälso- och sjukvårdsområdet men som ändå är underkastad en liknande tystnadsplikt får behandla känsliga person- uppgifter. Den regeln kan nämligen ha betydelse t.ex. när känsliga personuppgifter från en myndighet inom hälso- och sjukvården lämnas till forskningsverksamhet eller verksamhet för tillsyn eller revision hos annan myndighet. Bestämmelser om tystnadsplikt i nu berört hänseende finns i sekretesslagen (1980:100), företrädesvis 7 kap. 1–3 §§, lagen (1994:953) om åligganden för personal inom hälso- och sjukvården och lagen (1996:786) om tillsyn över hälso- och sjukvården. Forskning och statistik 19 § Känsliga personuppgifter får behandlas för forsknings- och statistik- ändamål, om behandlingen är nödvändig på sätt som sägs i 10 § och om samhällsintresset av det forsknings- eller statistikprojekt där behand- lingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära. Har behandlingen godkänts av en forskningsetisk kommitté, skall förutsättningarna enligt första stycket anses uppfyllda. Med forskningsetisk kommitté avses ett sådant särskilt organ för prövning av forskningsetiska frågor som har företrädare för såväl det allmänna som forskningen och som är knutet till ett universitet eller en högskola eller till någon annan instans som i mera betydande omfattning finansierar forskning. Personuppgifter får lämnas ut för att användas i sådana projekt som avses i första stycket, om inte något annat följer av regler om sekretess och tystnadsplikt. Paragrafen reglerar när känsliga personuppgifter får behandlas för forsk- nings- och statistikändamål utan samtycke. Den frågan har behandlats i avsnitt 11.4.2. Paragrafen överensstämmer i huvudsak med Datalagskom- mitténs förslag och har berörts i avsnitt 11.6.3 i kommitténs betänkande. Med forskning avses i paragrafen i första hand den verksamhet som bedrivs vid etablerade institutioner, såsom universitet och högskolor eller privata, väletablerade forskningsinstitut. Även sådana epidemiologiska undersökningar som utförs vetenskapligt omfattas. Släktforskning faller utanför, liksom annan forskning eller utredningsverksamhet av mera privat natur. Det måste finnas ett samhällsintresse av att forskningen bedrivs, och den måste vara vetenskaplig i någon mening. Med statistik avses i paragrafen numeriska sammanställningar av elementära observationer som kan hänföras till händelser, flöden eller tillstånd och verksamhet för att göra sådana sammanställningar. Första stycket i paragrafen innehåller en avvägningsnorm. Det krävs för det första att behandlingen av personuppgifter för det aktuella forsk- nings- eller statistikändamålet är nödvändig enligt 10 §. Nödvändig- hetskravet är avsett att ha samma innebörd som enligt artikel 7 i EG- direktivet, se bilaga 1. Är behandlingen på detta sätt nödvändig, krävs vidare att samhällsintresset av det forsknings- eller statistikprojekt vari behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära. Med statistikprojekt avses även sådan statistikframställning som sker åter- kommande, t.ex. årligen, dvs. vad som brukar kallas en statistikprodukt. För att göra avvägningen enligt normen måste det ske en helhets- bedömning av samtliga omständigheter. Vid helhetsbedömningen bör således beaktas bl.a. forsknings- eller statistikprojektets vikt, behovet av personuppgifter, säkerheten vid behandlingen, hur pass kostsamt eller tidsödande det skulle vara att hämta in samtycke, i vad mån den enskilde skulle kunna skadas om man begärde samtycke och om en kontakt med den enskilde skulle kunna förrycka undersökningsresultatet. Vid intresseavvägningen bör också beaktas om information i någon form lämnas till de berörda, t.ex. via anslag eller annonser. I de allra flesta fall bör åtminstone sådan information kunna lämnas. Även frågan i vilken utsträckning den som begär det skall ha rätt att bli struken bör beaktas vid intresseavvägningen. I viss mån bör också kunna beaktas hur pass svårt det är att på grund av de behandlade uppgifterna identifiera enskilda personer. Det är i första hand den personuppgiftsansvarige som har att på eget ansvar tillämpa avvägningsnormen. Om behandlingen inom ett aktuellt projektet godkänts av en forsk- ningsetisk kommitté, behöver den personuppgiftsansvarige inte göra någon egen avvägning enligt första stycket. Då skall nämligen enligt andra stycket förutsättningarna enligt avvägningsnormen i första stycket anses uppfyllda. Med en forskningsetisk kommitté avses en sådan kommitté eller liknande som motsvarar de kommittéer som i dag finns knutna till de medicinska fakulteterna, Humanistisk-samhällsvetenskapliga forsknings- rådet och Socialvetenskapliga forskningsrådet. I andra stycket finns det en generell definition av forskningsetisk kommitté. Det måste vara fråga om ett särskilt organ. Den instans som gör den forskningsetiska prövningen måste således vara särskilt inrättat för att göra prövningen. Det är därför inte tillräckligt att styrelsen för en institution eller en forskningsstiftelse eller något annat befintligt organ med andra uppgifter än forskningsetiska bedömningar ges i uppdrag att göra prövningen. I organet skall det vidare finnas företrädare för såväl det allmänna som forskningen. Det finns inget krav på hur företrädarna skall utses, men de måste i någon mening kunna anses representera allmänna samhällsintressen respektive forskningsintressen. Organet skall dessutom vara knutet till ett universitet eller en högskola eller till någon annan betydande forskningsfinansiär, t.ex. ett forskningsråd eller en forskningsstiftelse. Det finns dock inget som hindrar att organet prövar även forskning som finansieras eller bedrivs av någon annan instans än den som organet är knutet till. I Datalagskommitténs förslag och i lagrådsremissen angavs att projektet skulle godkännas av den forskningsetiska kommittén. Vi har här i stället valt att knyta bestämmelsen till om behandlingen godkänts, vilket är den avgörande frågan vad avser skydd av personuppgifter. Om behandlingen i forsknings- eller statistikprojektet har godkänts av en forskningsetisk kommitté, är behandlingen således tillåten enligt lagen. Om den forskningsetiska kommittén har villkorat sitt godkännande, måste villkoren, t.ex. om information till de registrerade och rätt att på begäran få bli struken, följas för att behandlingen skall vara tillåten. I tredje stycket finns det en bestämmelse om utlämnande av person- uppgifter för användning i forsknings- och statistikprojekt. Bestämmelsen är en sådan bestämmelse om utlämnande av person- uppgifter som avses i 24 § andra stycket och som för med sig att den forskare eller statistiker som i enlighet med bestämmelsen hämtar in personuppgifter från något annat håll än de registrerade inte automatiskt behöver informera de registrerade om sin behandling (se också artikel 11.2 i EG-direktivet). Däremot kan den forskningsetiska granskningen enligt andra stycket eller en tillämpning av avvägningsnormen i första stycket leda till att information ändå skall lämnas. Bestämmelsen avser utlämnande av både känsliga och icke känsliga personuppgifter. Bestämmelsen träffar bara utlämnande av personuppgifter för använd- ning i sådana projekt som avses i första stycket. Har en behandling god- känts av en forskningsetisk kommitté enligt andra stycket, skall förutsätt- ningarna enligt första stycket anses uppfyllda, varför utlämnande får ske för en godkänd behandling i ett projekt. Bestämmelsen innebär inte någon skyldighet att lämna ut person- uppgifter. Den tillåter bara att den som innehar uppgifterna lämnar ut dem om han eller hon vill det. Om något annat följer av regler om sekretess och tystnadsplikt, får uppgifterna dock inte lämnas ut. Regler om sekretess eller tystnadsplikt finns t.ex. i sekretesslagen (1980:100), lagen (1994:953) om åligganden för personal inom hälso- och sjukvården och lagen (1996:786) om tillsyn över hälso- och sjukvården. Bemyndigande att föreskriva ytterligare undantag 20 § Regeringen eller den myndighet som regeringen bestämmer får i fråga om automatiserad behandling av personuppgifter meddela föreskrifter om ytterligare undantag från förbudet i 13 §, om det behövs med hänsyn till ett viktigt allmänt intresse. Paragrafen innehåller ett bemyndigande för regeringen eller den myndig- het som regeringen bestämmer att meddela föreskrifter. Frågan om norm- givningsdelegation har behandlats i avsnitt 10. Paragrafen överensstäm- mer med Datalagskommitténs förslag och har berörts i avsnitt 12.5.3.3 i kommitténs betänkande. Av förslaget till lag om ändring i personuppgiftslagen (avsnitt 15) framgår att paragrafen per den 1 januari 1999 ändras så att det blir möjligt att meddela föreskrifter även såvitt avser sådan manuell behandling som omfattas av personuppgiftslagen. Uttrycket viktigt allmänt intresse skall ha samma innebörd som enligt artikel 8.4 i EG-direktivet, se bilaga 1. Uppgifter om lagöverträdelser m.m. 21 § Det är förbjudet för andra än myndigheter att behandla person- uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Regeringen eller den myndighet som regeringen bestämmer får i fråga om automatiserad behandling av personuppgifter meddela föreskrifter om undantag från förbudet i första stycket. Regeringen får i enskilda fall besluta om undantag från förbudet i första stycket. Regeringen får överlåta åt tillsynsmyndigheten att fatta sådana beslut. Frågan om behandling av uppgifter om lagöverträdelser har behandlats i avsnitt 11.4.3. Paragrafens två första stycken överensstämmer i huvudsak med Datalagskommitténs förslag och har berörts i avsnitt 12.5.3.4 i kommitténs betänkande. Uttrycken ”myndighet”, ”lagöverträdelser” och ”domar i brottmål” skall ha samma innebörd som motsvarande uttryck i artikel 8.5 första stycket i EG-direktivet, se bilaga 1. Efter påpekande av Lagrådet har det preciserats att med ”lagöverträdelser” avses sådana lagöverträdelser som innefattar brott. I stället för direktivets begrepp ”säkerhetsåtgärder” som föreslagits av Datalagskommittén används begreppet ”straffprocessuella tvångsmedel” eftersom det tidigare begreppets innehåll är oklart. Som framgår av avsnitt 11.4.3 torde administrativa frihetsberövanden omfattas av regleringen, varför detta uttryckligen lagts till. Andra stycket innehåller ett bemyndigande för regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om un- dantag. Frågan om normgivningsdelegation har berörts i avsnitt 10. Genom tredje stycket har förtydligats att regeringen eller, om rege- ringen så bestämmer, tillsynsmyndigheten i enskilda fall kan besluta om undantag från förbudet i första stycket. Av förslaget till lag om ändring i personuppgiftslagen (avsnitt 15) framgår att paragrafen per den 1 januari 1999 ändras så att det blir möjligt att meddela föreskrifter även såvitt avser sådan manuell behandling som omfattas av personuppgiftslagen. Enligt 50 § a får regeringen eller den myndighet som regeringen bestämmer meddela närmare föreskrifter om i vilka fall behandling av personuppgifter är tillåten enligt första stycket. Behandling av personnummer 22 § Uppgifter om personnummer får utan samtycke behandlas bara när det är klart motiverat med hänsyn till a) ändamålet med behandlingen, b) vikten av en säker identifiering, eller c) något annat beaktansvärt skäl. Frågan om behandling av personnummer har behandlats i avsnitt 11.4.4. Paragrafen överensstämmer i stort med Datalagskommitténs förslag och har berörts i avsnitt 12.6 i kommitténs betänkande. Till paragrafen har utan någon betydande ändring i sak förts över de bestämmelser som finns i 7 § andra stycket i den nuvarande datalagen. Om någon lämnat sitt samtycke är det självklart att en uppgift om person- nummer skall få behandlas. Den uttryckliga bestämmelsen i den nu- varande datalagen om att personuppgifter får återges på datautskrifter endast när det finns särskilda skäl har inte förts över. Det innebär dock inte någon ändring i sak, eftersom redan den överförda huvudregeln innebär att en uppgift om personnummer får behandlas t.ex. genom att fästas på en utskrift eller visas upp på en datorskärm bara när den behandlingen är klart motiverad med hänsyn till något beaktansvärt skäl. Enligt 50 § a får regeringen eller den myndighet som regeringen bestämmer meddela närmare föreskrifter om i vilka fall användning av personnummer är tillåten. Information till den registrerade Frågan om information till den registrerade har behandlats i avsnitt 11.5. Enligt 50 § e får regeringen eller den myndighet som regeringen bestämmer meddela närmare föreskrifter om vilken information som skall lämnas till registrerade och hur informationen skall lämnas. Information skall lämnas självmant 23 § Om uppgifter om en person samlas in från personen själv, skall den personuppgiftsansvarige i samband därmed självmant lämna den registrerade information om behandlingen av uppgifterna. Paragrafen överensstämmer med Datalagskommitténs förslag och har berörts i avsnitt 12.7.2 i kommitténs betänkande. Paragrafen skall ha samma innebörd som artikel 10 i EG-direktivet, se bilaga 1. I 25 § finns det bestämmelser om vilken information som skall lämnas, och i 27 § finns det bestämmelser om vissa undantag från informationsskyldigheten. 24 § Om personuppgifterna har samlats in från någon annan källa än den registrerade, skall den personuppgiftsansvarige självmant lämna den registrerade information om behandlingen av uppgifterna när de registreras. Är uppgifterna avsedda att lämnas ut till tredje man, behöver informationen dock inte ges förrän uppgifterna lämnas ut för första gången. Information enligt första stycket behöver inte lämnas, om det finns be- stämmelser om registrerandet eller utlämnandet av personuppgifterna i en lag eller någon annan författning. Information behöver inte heller lämnas enligt första stycket, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor ar- betsinsats. Om uppgifterna används för att vidta åtgärder som rör den registrerade, skall dock information lämnas senast i samband med att så sker. Paragrafen överensstämmer med Datalagskommitténs förslag och har berörts i avsnitt 12.7.2 i kommitténs betänkande. Paragrafen skall ha samma innebörd som artikel 11 i EG-direktivet, se bilaga 1. I 25 § finns det bestämmelser om vilken information som skall lämnas, och i 27 § finns det bestämmelser om vissa undantag från informationsskyldigheten. Bestämmelsen i sista meningen i tredje stycket utgör en sådan lämplig skyddsåtgärd som avses i artikel 11.2 sista meningen i EG-direktivet. Bestämmelsen utgör en garanti för att den registrerade inte utsätts för en åtgärd utan att få reda på vilken uppgiftsbehandling som ligger bakom den. Om exempelvis en personuppgiftsansvarig för utskick för direkt marknadsföring hämtat in uppgifter om så många personer att det skulle innebära en oproportionerligt stor arbetsinsats att informera dem alla redan när uppgifterna registreras, måste således information lämnas senast i de handlingar som sänds ut. Den information som skall lämnas självmant 25 § Information enligt 23 eller 24 § skall omfatta a) uppgift om den personuppgiftsansvariges identitet, b) uppgift om ändamålen med behandlingen, och c) all övrig information som behövs för att den registrerade skall kunna ta till vara sina rättigheter i samband med behandlingen, såsom information om mottagarna av uppgifterna, skyldighet att lämna uppgifter och rätten att ansöka om information och få rättelse. Information behöver dock inte lämnas om sådant som den registrerade redan känner till. Paragrafen överensstämmer i huvudsak med Datalagskommitténs förslag och har berörts i avsnitt 12.7.2.3 i kommitténs betänkande. Paragrafen skall ha samma innebörd som artikel 10 och 11.1 i EG- direktivet, se bilaga 1. I 27 § finns det bestämmelser om vissa undantag från informations- skyldigheten. Information skall lämnas efter ansökan 26 § Den personuppgiftsansvarige är skyldig att till var och en som an- söker om det en gång per kalenderår gratis lämna besked om person- uppgifter som rör den sökande behandlas eller ej. Behandlas sådana uppgifter skall skriftlig information lämnas också om a) vilka uppgifter om den sökande som behandlas, b) varifrån dessa uppgifter har hämtats, c) ändamålen med behandlingen, och d) till vilka mottagare eller kategorier av mottagare som uppgifterna läm- nas ut. En ansökan enligt första stycket skall göras skriftligen hos den person- uppgiftsansvarige och vara undertecknad av den sökande själv. Information enligt första stycket skall lämnas inom en månad från det att ansökan gjordes. Om det finns särskilda skäl för det, får information dock lämnas senast fyra månader efter det att ansökan gjordes. Information enligt första stycket behöver inte lämnas om person- uppgifter i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör minnesanteckning eller liknande. Vad som nu sagts gäller dock inte om uppgifterna har lämnats ut till tredje man eller om uppgifterna behandlas enbart för historiska, statistiska eller vetenskapliga ändamål eller, när det gäller löpande text som inte fått sin slutliga utformning, om uppgifterna har behandlats under längre tid än ett år. Paragrafen överensstämmer i huvudsak med Datalagskommitténs förslag och har berörts i avsnitt 12.7.3 och 11.6.7 i kommitténs betänkande. I 27 § finns det bestämmelser om vissa undantag från informations- skyldigheten. Första stycket i paragrafen skall i tillämpliga delar ha samma innebörd som artikel 12 a i EG-direktivet, se bilaga 1. En och samma person har rätt att högst en gång per kalenderår få sådan information som avses i paragrafen. Personen måste varje kalenderår göra en särskild ansökan om information. Informationen skall vara gratis för den som ansöker om det. Skriftlighetskravet innebär att informationen måste vara uttryckt i text, men texten kan finnas på papper lika väl som i elektronisk form. Enligt andra stycket skall ansökan göras skriftligen och vara under- tecknad av den sökande själv. Det innebär att ansökan måste göras på papper. Enligt 50 § d får regeringen eller den myndighet som regeringen bestämmer meddela närmare föreskrifter om innehållet i en ansökan till en personuppgiftsansvarig. Huvudregeln är att information skall lämnas inom en månad från det att ansökan gjordes. Informationen får dock lämnas senast fyra månader efter det att ansökan gjordes, under förutsättning att det finns särskilda skäl för det. Sådana särskilda skäl kan vara att personuppgifterna är kryp- terade, att sökmöjligheterna annars är begränsade eller att den person- uppgiftsansvarige har många personuppgifter uppdelade på olika register eller andra datasamlingar. Bestämmelserna i 10 § förvaltningslagen (1986:223), 44 § förvaltningsprocesslagen (1971:291) och 33 kap. 3 § rättegångsbalken kan vara till ledning vid avgörande av frågan när en ansökan skall anses ha gjorts. Det är bara de behandlade uppgifter som den personuppgiftsansvarige har i behåll när han eller hon lämnar informationen som måste lämnas ut. Det finns alltså inget som hindrar att den personuppgiftsansvarige under tiden från ansökan till utlämnandet utplånar uppgifter eller slutar med att behandla dem på ett sätt som omfattas av lagen. Det är vid tvist den sökande som har bevisbördan för att en ansökan gjorts och tidpunkten för denna och den personuppgiftsansvarige som har bevisbördan för att informationen lämnats i rätt tid och i förekommande fall att det funnits sådana omständigheter som utgjort särskilda skäl. I tredje stycket finns det vissa undantagsbestämmelser beträffande personuppgifter i löpande text. Med löpande text avses information som inte har strukturerats så att sökning av personuppgifter underlättas. Med text som inte har fått sin slutliga utformning avses koncept och utkast och liknande. Text som är avsedd att tid efter annan ändras eller kompletteras och således aldrig kommer att få någon slutlig utformning omfattas inte. Med text som utgör minnesanteckning avses promemorior och liknande som har kommit till bara för att förbereda något slags ärende. Med behandling för historiska, statistiska och vetenskapliga ändamål avses detsamma som enligt artikel 6 i EG-direktivet, se bilaga 1. Huvudfallet är här att ett utkast eller en minnesanteckning i ett avslutat ärende har tagits om hand för arkivering. Undantag från informationsskyldigheten vid sekretess och tystnadsplikt 27 § I den utsträckning det är särskilt föreskrivet i lag eller annan författ- ning eller i beslut som har meddelats med stöd av författning att uppgifter inte får lämnas ut till den registrerade gäller inte bestämmelserna i 23–26 §§. En personuppgiftsansvarig som inte är en myndighet får därvid i motsvarande fall som avses i sekretesslagen (1980:100) vägra att lämna ut uppgifter till den registrerade. Paragrafen har behandlats i avsnitt 11.5.2. Datalagskommittén har berört frågan i avsnitt 12.7.4 i sitt betänkande. Första meningen motsvarar delvis 10 § tredje stycket i den nuvarande datalagen. Meningen överensstämmer med Datalagskommitténs förslag. Andra meningen innebär att även en personuppgiftsansvarig som inte är en myndighet får använda bestämmelserna i sekretesslagen för att vägra att lämna ut information till den registrerade. Meningen ersätter Datalagskommitténs förslag till en bestämmelse med ett bemyndigande för regeringen eller den myndighet som regeringen bestämmer att föreskriva undantag från informationsskyldigheten, om det behövs för att skydda grundläggande intressen för enskilda eller för att förebygga, undersöka eller avslöja brott. Rättelse 28 § Den personuppgiftsansvarige är skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med denna lag eller föreskrifter som har utfärdats med stöd av lagen. Den personuppgiftsansvarige skall också underrätta tredje man till vilken uppgifterna har lämnats ut om åtgärden, om den registrerade begär det eller om mera betydande skada eller olägenhet för den registrerade skulle kunna undvikas genom en underrättelse. Någon sådan underrättelse behöver dock inte lämnas om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Frågan om korrigering av personuppgifter har behandlats i avsnitt 11.6. Korrigering av personuppgifter hos myndigheter har berörts i avsnitt 8.1. Paragrafen överensstämmer i huvudsak med Datalagskommitténs förslag och har berörts i avsnitt 12.8 och 11.6.7 i kommitténs betänkande. Paragrafen är avsedd att ha samma innebörd som artikel 12 b och c i EG-direktivet, se bilaga 1. Den registrerades begäran om korrigering eller underrättelse till tredje man kan framställas formlöst till den personuppgiftsansvarige eller någon som företräder denne. Det räcker att det av begäran framgår att den registrerade är missnöjd med behandlingen i något visst avseende och vill att korrigering skall vidtas. Framställs en sådan begäran bör den personuppgiftsansvarige skyndsamt utreda om de framförda anmärkningarna är befogade och, om så skulle vara fallet, snarast vidta korrigering. Omfattningen av utredningen får bero av de anmärkningar den registrerade framställt. Uppkommer oenighet mellan den person- uppgiftsansvarige och den registrerade om uppgifterna skall korrigeras eller inte, kan den registrerade anmäla förhållandet till tillsynsmyndigheten, som har möjlighet att förelägga vite om lagen inte följs och att ansöka om utplånande av uppgifterna, eller själv väcka talan om saken vid allmän domstol. Det är i princip den personuppgiftsansvarige som själv väljer korri- geringsmetod, dvs. om de aktuella personuppgifterna skall rättas, blockeras eller utplånas. Av annan lagstiftning eller av sakens natur kan dock följa att vissa korrigeringsmetoder inte kan användas i vissa fall, t.ex. när det gäller korrigering av personuppgifter i bokföring. Den personuppgiftsansvarige är såsom framgår av paragrafen under alla förhållanden skyldig att underrätta tredje man om en korrigering, om det kan antas att en underrättelse skulle kunna undvika mera betydande skada eller olägenhet för den registrerade. En felaktig, känslig person- uppgift, t.ex. om att den registrerade är sjuk eller har en extrem politisk eller religiös övertygelse, kan regelmässigt antas föranleda sådan skada eller olägenhet som avses, om de tredje män som fått den felaktiga uppgiften inte underrättas. Gäller det däremot en mera harmlös uppgift, t.ex. om den registrerades adress, bör det som regel krävas någon särskild omständighet för att man skall kunna anta att en underrättelse skulle kunna undvika sådan skada eller olägenhet som avses. Det måste vidare kunna antas att underrättelsen medför att skadan eller olägenheten kan undvikas. Detta är inte fallet när det är känt att aktuella tredje män redan har korrigerat uppgiften. Det finns inte något formkrav beträffande den personuppgiftsansva- riges underrättelse till dem som mottagit personuppgifterna. I under- rättelsen skall anges den åtgärd som den personuppgiftsansvarige har vidtagit beträffande personuppgifterna. I detta krav på att åtgärden skall anges innefattas att information skall lämnas om anledningen till åt- gärden, t.ex. att de tidigare uppgifterna var felaktiga eller ofullständiga. Har en felaktig uppgift rättats måste vidare, om det är nödvändigt, under- rättelse lämnas om såväl den tidigare, felaktiga uppgiften som den nya, riktiga uppgiften. Avsikten med underrättelseskyldigheten är att de som har tagit emot en uppgift som har korrigerats i sin tur skall kunna på lämpligt sätt korrigera den mottagna uppgiften och eventuella åtgärder som har vidtagits med ledning av uppgiften. Underrättelsen bör därför innehålla sådan information som gör detta möjligt. Rör felaktigheten exempelvis en uppgift som mottagaren kan antas använda som enda sök- begrepp, t.ex. namn eller personnummer, är det nödvändigt att den felaktiga uppgiften anges för att mottagaren i praktiken skall kunna göra en rättelse i sin tur. Det finns inte någon formell skyldighet att självmant underrätta i flera led. En tredje man som fått en underrättelse och som själv är person- uppgiftsansvarig, är således inte rättsligt förpliktad att underrätta de tredje män till vilka han eller hon i sin tur kan ha lämnat ut uppgiften bara på grund av att han eller hon till följd av en underrättelse självmant har rättat uppgiften. Det får dock förutsättas att de person- uppgiftsansvariga frivilligt på lämpligt sätt ser till att mildra skadeverkningarna av felaktiga eller ofullständiga uppgifter som självmant rättats. Automatiserade beslut 29 § Om ett beslut som har rättsliga följder för en fysisk person eller annars har märkbara verkningar för den fysiska personen, grundas enbart på automatiserad behandling av sådana personuppgifter som är avsedda att bedöma egenskaper hos personen, skall den som berörs av beslutet ha möjlighet att på begäran få beslutet omprövat av någon person. Var och en som varit föremål för ett sådant beslut som avses i första stycket har rätt att på ansökan få information från den person- uppgiftsansvarige om vad som har styrt den automatiserade behandling som lett fram till beslutet. I fråga om ansökan och lämnandet av information gäller i tillämpliga delar bestämmelserna i 26 §. Frågan om automatiserade beslut har behandlats i avsnitt 11.7. Paragrafen överensstämmer i huvudsak med Datalagskommitténs förslag och har berörts i avsnitt 12.9 i kommitténs betänkande. Definitionen av de beslut som avses i paragrafen skall ha samma innebörd som enligt artikel 15.1 i EG-direktivet, se bilaga 1. Första stycket innebär att det skall finnas en rätt att på begäran få ett automatiserat beslut omprövat. Det finns inget formkrav för den registre- rades begäran om omprövning. Att den registrerade skall ha rätt att på begäran få det automatiserade beslutet omprövat innebär en rätt att få beslutet granskat av en människa som har makt att ersätta det auto- matiserade beslutet med ett annat. Rätten till omprövning innebär däremot inte att det automatiserade beslutet måste ersättas av ett nytt beslut. För den offentliga förvaltningen finns det ofta redan föreskrifter om en rätt till omprövning av beslut, se t.ex. 27 § förvaltningslagen. I den utsträckning det i lag eller förordning finns särskilda regler om t.ex. för- farandet vid omprövning, gäller dessa föreskrifter framför person- uppgiftslagen, se 2 §. Rätten att få information enligt andra stycket skall ha samma innebörd som artikel 12 a tredje strecksatsen i EG-direktivet, se bilaga 1. Begreppet logik har dock inte använts. Informationsskyldigheten avser bara vad som har styrt behandlingen, dvs. den tekniska processen, och inte t.ex. närmare information om bankers regler eller gränsvärden för kreditgivning. I punkt 41 i ingressen till direktivet framhålls att den aktuella rätten inte får inkräkta på några affärshemligheter eller på upphovsrätten till t.ex. programvaran. Enligt 50 § e får regeringen eller den myndighet som regeringen bestämmer meddela närmare föreskrifter om vilken information som skall lämnas till registrerade och hur informationen skall lämnas. Säkerheten vid behandling Frågan om säkerheten vid behandlingen har berörts i avsnitt 11.8. Enligt 50 § b får regeringen eller den myndighet som regeringen bestämmer meddela närmare föreskrifter om vilka krav som ställs på den personuppgiftsansvarige vid behandling av personuppgifter. Personer som behandlar personuppgifter 30 § Ett personuppgiftsbiträde och den eller de personer som arbetar under biträdets eller den personuppgiftsansvariges ledning får behandla personuppgifter bara i enlighet med instruktioner från den person- uppgiftsansvarige. Det skall finnas ett skriftligt avtal om personuppgiftsbiträdets behand- ling av personuppgifter för den personuppgiftsansvariges räkning. I det avtalet skall det särskilt föreskrivas att personuppgiftsbiträdet får behandla personuppgifterna bara i enlighet med instruktioner från den personuppgiftsansvarige och att personuppgiftsbiträdet är skyldigt att vidta de åtgärder som avses i 31 § första stycket. Om det i lag eller annan författning finns särskilda bestämmelser om behandlingen av personuppgifter i det allmännas verksamhet i frågor som avses i första stycket skall dessa gälla i stället för vad som sägs i första stycket. Paragrafen överensstämmer med Datalagskommitténs förslag och har berörts i avsnitt 12.10.2 i kommitténs betänkande. Första stycket skall ha samma innebörd som artikel 16 i EG- direktivet, se bilaga 1. Andra stycket skall ha samma innebörd som artikel 17.3 och 17.4 i direktivet. Skriftlighetskravet innebär att avtalet måste vara uttryckt i text, men texten kan finnas på papper lika väl som i elektronisk form. Något krav på att avtalshandlingen skall vara undertecknad finns inte. Tredje stycket innebär att särskilda bestämmelser i andra författningar i de avseenden som berörs i första stycket tillämpas i stället för första stycket. Förhållandet följer i och för sig av lagens 2 § men det är av särskild betydelse att detta framgår direkt av bestämmelsen. Särskilt avses bestämmelser om tystnadsplikt och sekretess. Säkerhetsåtgärder 31 § Den personuppgiftsansvarige skall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som be- handlas. Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av a) de tekniska möjligheter som finns, b) vad det skulle kosta att genomföra åtgärderna, c) de särskilda risker som finns med behandlingen av personuppgifterna, och d) hur pass känsliga de behandlade personuppgifterna är. När den personuppgiftsansvarige anlitar ett personuppgiftsbiträde, skall den personuppgiftsansvarige förvissa sig om att person- uppgiftsbiträdet kan genomföra de säkerhetsåtgärder som måste vidtas och se till att personuppgiftsbiträdet verkligen vidtar åtgärderna. Paragrafen överensstämmer med Datalagskommitténs förslag och har berörts i avsnitt 12.10.2–4 i kommitténs betänkande. Paragrafen skall ha samma innebörd som artikel 17.1 och 17.2 i EG- direktivet, se bilaga 1. Tillsynsmyndigheten får besluta om säkerhetsåtgärder 32 § Tillsynsmyndigheten får i enskilda fall besluta om vilka säkerhetsåtgärder som den personuppgiftsansvarige skall vidta enligt 31 §. I 45 § finns det bestämmelser om tillsynsmyndighetens möjligheter att förena beslutet med vite. Paragrafen överensstämmer med Datalagskommitténs förslag och har berörts i avsnitt 12.10.3 i kommitténs betänkande. Paragrafen fastslår att tillsynsmyndigheten i enskilda fall kan bestämma vilka säkerhetsåtgärder som skall vidtas. Överföring av personuppgifter till tredje land Frågan om överföring av personuppgifter till tredje land har behandlats i avsnitt 11.9. Enligt 50 § a får regeringen eller den myndighet som regeringen bestämmer meddela närmare föreskrifter om i vilka fall behandling av personuppgifter är tillåten. Förbud mot överföring av personuppgifter till tredje land 33 § Det är förbjudet att till tredje land föra över personuppgifter som är under behandling. Förbudet gäller också överföring av personuppgifter för behandling i tredje land. Paragrafen överensstämmer med Datalagskommitténs förslag och har berörts i avsnitt 12.11.2 i kommitténs betänkande. De överföringar som avses i paragrafen är desamma som avses i artikel 25.1 i EG-direktivet, se bilaga 1. Undantag från förbudet mot överföring av personuppgifter till tredje land 34 § Det är trots förbudet i 33 § tillåtet att föra över personuppgifter till tredje land, om den registrerade otvetydigt har samtyckt till överföringen eller när överföringen är nödvändig för att a) ett avtal mellan den registrerade och den personuppgiftsansvarige skall kunna fullgöras eller åtgärder som den registrerade begärt skall kunna vidtas innan ett avtal träffas, b) ett sådant avtal mellan den personuppgiftsansvarige och tredje man som är i den registrerades intresse skall kunna ingås eller fullgöras, c) rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras, eller d) vitala intressen för den registrerade skall kunna skyddas. Det är också tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter. Paragrafen överensstämmer med Datalagskommitténs förslag och har berörts i avsnitt 12.11.3 i kommitténs betänkande. Paragrafen innehåller en uppräkning av i vilka fall det är tillåtet att föra över personuppgifter till tredje land. För att personuppgifter skall få föras över till tredje land krävs dock inte bara att överföringen faller under något av fallen i uppräkningen. Den behandling som överföringen av personuppgifter till tredje land utgör måste också vara tillåten enligt 10 § och, om känsliga personuppgifter, uppgifter om lagöverträdelser m.m. eller personnummer skall föras över, även vara tillåten i enlighet med 13–22 §§. Första stycket skall ha samma innebörd som artikel 26.1 i EG- direktivet, se bilaga 1. I 12 § andra stycket regleras den situationen att den registrerade återkallar ett redan lämnat samtycke. Punkten a har utformats mot bakgrund av den engelska, franska och tyska versionen av EG-direktivet; i den svenska versionen står det ”innan avtalet träffas”, dvs. det avtal i vilket den registrerade är part. Andra stycket innebär att personuppgifter fritt får föras över till stater som har anslutit sig till Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter. 35 § Regeringen får i fråga om automatiserad behandling av person- uppgifter meddela föreskrifter om undantag från förbudet i 33 § för överföring av personuppgifter till vissa stater. Regeringen får också i fråga om automatiserad behandling av personuppgifter meddela före- skrifter om att överföring av personuppgifter till tredje land är tillåten, om överföringen regleras av ett avtal som ger tillräckliga garantier till skydd för de registrerades rättigheter. Regeringen eller den myndighet som regeringen bestämmer får vidare i fråga om automatiserad behandling av personuppgifter meddela föreskrifter om undantag från förbudet i 33 §, om det behövs med hänsyn till ett viktigt allmänt intresse eller om det finns tillräckliga garantier till skydd för de registrerades rättigheter. Regeringen får under de förutsättningar som nämns i andra stycket i enskilda fall besluta om undantag från förbudet i 33 §. Regeringen får överlåta åt tillsynsmyndigheten att fatta sådana beslut. Frågan om normgivningsdelegation har behandlats i avsnitt 10. Para- grafens två första stycken överensstämmer i huvudsak med Data- lagskommitténs förslag och har berörts i avsnitt 12.11.4 i kommitténs be- tänkande. I tredje stycket har förtydligats att regeringen, eller om rege- ringen så bestämmer, tillsynsmyndigheten, i enskilda fall kan besluta om undantag från förbudet i 33§ . Av förslaget till lag om ändring i personuppgiftslagen (avsnitt 15) framgår att paragrafen per den 1 januari 1999 ändras så att det blir möjligt att meddela föreskrifter även såvitt avser sådan manuell behandling som omfattas av personuppgiftslagen. Anmälan till tillsynsmyndigheten De bestämmelser som finns under denna rubrik har behandlats i av- snitt 12. Anmälningsskyldighet 36 § Behandling av personuppgifter som är helt eller delvis auto- matiserad omfattas av anmälningsskyldighet. Den personuppgiftsansva- rige skall göra en skriftlig anmälan till tillsynsmyndigheten innan en sådan behandling eller en serie av sådana behandlingar med samma eller liknande ändamål genomförs. Om den personuppgiftsansvarige utser ett personuppgiftsombud skall detta anmälas till tillsynsmyndigheten. Även ett entledigande av ett per- sonuppgiftsombud skall anmälas till tillsynsmyndigheten. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från anmälningsskyldigheten enligt första stycket för sådana typer av behandlingar som sannolikt inte kommer att leda till otillbörligt intrång i den personliga integriteten. Paragrafen överensstämmer i stort med Datalagskommitténs förslag och har berörts i avsnitt 12.12 i kommitténs betänkande. Första stycket skall ha samma innebörd som artikel 18.1 i EG- direktivet, se bilaga 1. Enligt 50 § f får regeringen eller den myndighet som regeringen bestämmer meddela närmare föreskrifter om anmälan till tillsynsmyndigheten och förfarandet när anmälda uppgifter har ändrats. Andra stycket anger att ett utseende och ett entledigande av ett person- uppgiftsombud skall anmälas till tillsynsmyndigheten. Tredje stycket innehåller ett bemyndigande för regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om undantag från anmälningsskyldigheten. Bemyndigandet gäller sådana behandlingar som avses i artikel 18.2 första strecksatsen, 18.3 och 18.4 i EG-direktivet, se bilaga 1. Frågan om normgivningsdelegation har behandlats i avsnitt 10. Anmälan behöver inte göras om det finns ett personuppgiftsombud 37 § Om den personuppgiftsansvarige har anmält till tillsynsmyndigheten har anmält att ett personuppgiftsombud utsetts och vem det är, behöver anmälan enligt 36 § första stycket inte göras. Beteckningen personuppgiftsombud har behandlats i avsnitt 12. Para- grafen har berörts i avsnitt 12.12 i Datalagskommitténs betänkande. Det är bara behandlingar som påbörjas efter det att personupp- giftsombudet har anmälts till tillsynsmyndigheten som är undantagna från anmälningsskyldigheten. Personuppgiftsombudet skall vara en fysisk person. Det finns inget som hindrar att den personuppgiftsansvarige utser flera personupp- giftsombud eller att flera personuppgiftsansvariga, t.ex. inom en viss bransch, utser en och samma person till personuppgiftsombud, t.ex. en advokat, en revisor eller någon som är anställd på en branschorganisation. Det är den personuppgiftsansvarige som entledigar ett utsett person- uppgiftsombud. Om det på grund av entledigande inte längre finns något anmält personuppgiftsombud, måste den personuppgiftsansvarige enligt 36 § anmäla behandlingar som påbörjas därefter. Enligt 50 § f får regeringen eller den myndighet som regeringen bestämmer meddela närmare föreskrifter om anmälan till tillsynsmyndig- heten och förfarandet när anmälda uppgifter har ändrats. Personuppgiftsombudets uppgifter 38 § Personuppgiftsombudet skall ha till uppgift att självständigt se till att den personuppgiftsansvarige behandlar personuppgifter på ett lagligt och korrekt sätt och i enlighet med god sed samt påpeka eventuella brister för honom eller henne. Har personuppgiftsombudet anledning att misstänka att den person- uppgiftsansvarige bryter mot de bestämmelser som gäller för behandlingen av personuppgifter och vidtas inte rättelse så snart det kan ske efter påpekande, skall personuppgiftsombudet anmäla förhållandet till tillsynsmyndigheten. Personuppgiftsombudet skall även i övrigt samråda med tillsynsmyn- digheten vid tveksamhet om hur de bestämmelser som gäller för behandlingen av personuppgifter skall tillämpas. Paragrafen överensstämmer med Datalagskommitténs förslag och har behandlats i avsnitt 12.12.2.4 i kommitténs betänkande. Första stycket motsvarar artikel 18.2 första strecksatsen i den andra strecksatsen i EG-direktivet, se bilaga 1. Personuppgiftsombudet skall se till att den personuppgiftsansvarige behandlar personuppgifter på ett lagligt och korrekt sätt och i enlighet med god sed. Detta innebär att ombudet måste förvissa sig om att den personuppgiftsansvarige följer be- stämmelserna i personuppgiftslagen och anknytande lagstiftning. Hur pass omfattande kontrollen skall vara får avgöras efter omständigheterna i det enskilda fallet. Ombudet bör i vart fall granska rutinerna för be- handling av personuppgifter och de krav på kvalifikationer, lämplighet och kunskap som den personuppgiftsansvarige ställer på den personal som tillåts behandla sådana uppgifter. Enligt EG-direktivet skall personuppgiftsombudet ”på ett oberoende sätt” kunna säkra den interna tillämpningen. Det är detta som avses med personuppgiftsombudets självständiga ställning. Den personuppgifts- ansvarige bör alltså inte utse ett ombud som har en alltför underordnad ställning. Ombudet kan vara en anställd hos den personuppgiftsansvarige, men måste då ges en sådan ställning att befogenheterna som person- uppgiftsombud kan utövas på ett självständigt sätt i förhållande till arbetsgivaren. Ett anlitat personuppgiftsbiträde eller någon anställd hos biträdet kan utses till personuppgiftsombud under förutsättning att den utsedde ges förutsättningar att utöva sitt uppdrag självständigt. Däremot kan en personuppgiftsansvarig inte utse sig själv till personuppgifts- ombud. I personuppgiftsombudets självständiga ställning ligger vidare att personuppgiftsombudet skall ha tillräckliga kvalifikationer och kun- skaper för att kunna utföra sina uppgifter. Andra stycket rör det fallet att det finns anledning att misstänka att den personuppgiftsansvarige i något avseende inte följer bestämmelserna om behandlingen. Om personuppgiftsombudet upptäcker brister i uppgifts- behandlingen, bör ombudet i första hand påpeka detta för den person- uppgiftsansvarige. Om den personuppgiftsansvarige inte därefter vidtar rättelse så snart det kan ske, är personuppgiftsombudet skyldigt att anmäla bristerna till tillsynsmyndigheten. Hur snart rättelse bör ske efter ett påpekande får bero av omständigheterna i det särskilda fallet. Att det kan ta någon tid att rätta till upptäckta brister bör i allmänhet accepteras, särskilt om det upprättas en konkret plan för hur bristerna skall kunna åtgärdas inom rimlig tid. Men dröjer det alltför länge innan något görs, bör ombudet göra en anmälan till tillsynsmyndigheten. Att ett anställt personuppgiftsombud i enlighet med paragrafen gör en anmälan kan som regel inte få några konsekvenser för ombudet i arbets- rättsligt hänseende. Enligt artikel 5 i ILO:s konvention (nr 158) om uppsägning av anställningsavtal på arbetsgivarens initiativ utgör det inte ett giltigt skäl för uppsägning ”att någon gett in klagomål eller deltagit i ett rättsligt förfarande mot en arbetsgivare, vilket innebär påstående om överträdelse av lag eller annan författning, eller vänt sig till behörig myndighet”. Sverige har ratificerat den konventionen, och det har ansetts att den artikeln är uppfylld genom 7 § lagen (1982:80) om anställ- ningsskydd jämte rättspraxis (prop. 1982/83:124 s. 5). Arbetsdomstolen har t.ex. uttalat att de förpliktelser som följer av anställningsavtalet inte innebär något avgörande hinder för en arbetstagare att hos behörig myndighet påtala missförhållanden som råder i arbetsgivarens verksamhet (AD 1986 nr 95). Tredje stycket rör personuppgiftsombudets övriga kontakter med till- synsmyndigheten och motsvarar artikel 20.2 i EG-direktivet, se bilaga 1. 39 § Personuppgiftsombudet skall föra en förteckning över de be- handlingar som den personuppgiftsansvarige genomför och som skulle ha omfattats av anmälningsskyldighet om ombudet inte hade funnits. Förteckningen skall omfatta åtminstone de uppgifter som en anmälan enligt 36 § skulle ha innehållit. Paragrafen överensstämmer med Datalagskommitténs förslag och har berörts i avsnitt 12.12.2.4 i kommitténs betänkande. Paragrafen skall ha samma innebörd som artikel 18.2 andra streck- satsen i andra strecksatsen i EG-direktivet, se bilaga 1. 40 § Personuppgiftsombudet skall hjälpa registrerade att få rättelse när det finns anledning att misstänka att behandlade personuppgifter är felaktiga eller ofullständiga. Paragrafen överensstämmer med Datalagskommitténs förslag och har berörts i avsnitt 12.12.2.4 i kommitténs betänkande. Paragrafen motsvarar 8 § fjärde stycket i den nuvarande datalagen. Obligatorisk anmälan av särskilt integritetskänsliga behandlingar 41 § Regeringen får meddela föreskrifter om att sådana automatiserade behandlingar av personuppgifter som innebär särskilda risker för otillbörligt intrång i den personliga integriteten skall för förhandskontroll anmälas till tillsynsmyndigheten enligt 36 § tre veckor i förväg. Om regeringen har meddelat sådana föreskrifter, gäller inte undantaget från anmälningsskyldigheten enligt 37 §. Frågan om normgivningsdelegation har berörts i avsnitt 10. Paragrafen överensstämmer med Datalagskommitténs förslag och har berörts i avsnitt 12.12.2.5 i kommitténs betänkande. Av förslaget till lag om ändring i personuppgiftslagen (avsnitt 15) framgår att paragrafen per den 1 januari 1999 ändras så att det blir möjligt att meddela föreskrifter även såvitt avser sådan manuell behandling som omfattas av personuppgiftslagen. Paragrafen har införts mot bakgrund av artikel 20.1 i EG-direktivet, se bilaga 1. Upplysningar till allmänheten om behandlingar som inte anmälts 42 § Den personuppgiftsansvarige skall till var och en som begär det skyndsamt och på lämpligt sätt lämna upplysningar om sådana automatiska eller andra behandlingar av personuppgifter som inte har anmälts till tillsynsmyndigheten. Upplysningarna skall omfatta det som en anmälan enligt 36 § första stycket skulle ha omfattat. Den person- uppgiftsansvarige är dock inte skyldig att lämna ut sekretessbelagda uppgifter eller uppgifter om vilka säkerhetsåtgärder som har vidtagits. En personuppgiftsansvarig som inte är myndighet får därvid i motsvarande fall som avses i sekretesslagen (1980:100) vägra att lämna ut uppgifter. Frågan om upplysningar till allmänheten om behandlingar har behandlats i avsnitt 12. Paragrafen överensstämmer delvis med Datalagskommitténs förslag och har berörts i avsnitt 12.12.2.6 i kommitténs betänkande. Paragrafen skall ha samma innebörd som artikel 21.3 första stycket i EG-direktivet, se bilaga 1. Frågor om sekretess har behandlats i avsnitt 11.5.2. Tillsynsmyndighetens befogenheter 43 § Tillsynsmyndigheten har rätt att för sin tillsyn på begäran få a) tillgång till de personuppgifter som behandlas, b) upplysningar om och dokumentation av behandlingen av personupp- gifter och säkerheten vid denna, och c) tillträde till sådana lokaler som har anknytning till behandlingen av personuppgifter. 44 § Om tillsynsmyndigheten inte efter begäran enligt 43 § kan få tillräckligt underlag för att konstatera att behandlingen av person- uppgifter är laglig, får myndigheten vid vite förbjuda den person- uppgiftsansvarige att behandla personuppgifter på något annat sätt än genom att lagra dem. 45 § Om tillsynsmyndigheten konstaterar att personuppgifter behandlas eller kan komma att behandlas på ett olagligt sätt, skall myndigheten ge- nom påpekanden eller liknande förfaranden försöka åstadkomma rättelse. Går det inte att få rättelse på något annat sätt eller är saken brådskande, får myndigheten vid vite förbjuda den personuppgiftsansvarige att fortsätta att behandla personuppgifterna på något annat sätt än genom att lagra dem. Om den personuppgiftsansvarige inte frivilligt följer ett beslut om säkerhetsåtgärder enligt 32 §, som vunnit laga kraft, får tillsynsmyn- digheten föreskriva vite. 46 § Innan tillsynsmyndigheten beslutar om vite enligt 44 eller 45 §, skall den personuppgiftsansvarige ha fått tillfälle att yttra sig. Om saken är brådskande, får myndigheten dock i avvaktan på yttrandet meddela ett tillfälligt beslut om vite. Det tillfälliga beslutet skall omprövas, när yttrandetiden har gått ut. Ett vitesföreläggande skall delges den personuppgiftsansvarige. Del- givning enligt 12 § delgivningslagen (1970:428) får användas bara om det finns skäl att anta att den personuppgiftsansvarige har avvikit eller på annat sätt håller sig undan. 47 § Tillsynsmyndigheten får hos länsrätten i det län där myndigheten är belägen ansöka om att sådana personuppgifter som har behandlats på ett olagligt sätt skall utplånas. Beslut om utplånande får inte meddelas om det är oskäligt. Frågan om tillsynsmyndighetens befogenheter har behandlats i avsnitt 13. Bestämmelserna i 43–47 §§ överensstämmer i huvudsak med Data- lagskommitténs förslag och har berörts i avsnitt 12.14.1 i kommitténs betänkande. Det bör betonas att möjligheten enligt 46 § att meddela ett tillfälligt beslut om vite är avsedd att utnyttjas bara i undantagsfall när saken är klar och så brådskande att ett yttrande från den personuppgiftsansvarige inte kan avvaktas. Möjligheten enligt 47 § att ansöka om utplånande av personuppgifter bör bara användas i sådana fall där det inte genom andra åtgärder är möjligt att förena behandlingen av uppgifterna med de regler som gäller. Frågan om ett beslut om utplånande är oskäligt får avgöras mot bakgrund av samtliga omständigheter i det aktuella fallet. Vid bedömningen kan beaktas sådana faktorer som att ett utplånande för den personuppgifts- ansvarige skulle innebära stora praktiska svårigheter eller ett svårt ekonomiskt avbräck. Enligt 51 § andra stycket krävs det prövnings- tillstånd vid överklagande till kammarrätten. Skadestånd 48 § Den personuppgiftsansvarige skall ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med denna lag vid behandling av personuppgifter har orsakat. Ersättningsskyldigheten kan i den utsträckning det är skäligt jämkas, om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne. Frågan om skadestånd har behandlats i avsnitt 14. Paragrafen överens- stämmer i huvudsak med Datalagskommitténs förslag, dock att kom- mittén föreslog att skadestånd även kunde utgå vid behandling i strid med föreskrifter som meddelats med stöd av lagen, och har även berörts i avsnitt 12.13.2.1–3 i kommitténs betänkande. Bestämmelserna i paragrafen är sådana specialbestämmelser om skadestånd som tar över de allmänna skadeståndsreglerna i skadeståndslagen (1972:207), se 1 kap. 1 § i den lagen. I den utsträckning en ersättningsfråga inte berörs i paragrafen – t.ex. frågan om hur ersättningen för en personskada eller sakskada skall beräknas (5 kap. skadeståndslagen) eller frågan om ansvaret när det finns flera skadeståndsskyldiga (6 kap. 3 § skadeståndslagen) – tillämpas de all- männa reglerna i skadeståndslagen. I den utsträckning ett förfarande i strid med lagen eller god sed vid behandling av personuppgifter ingår som ett led i ett sådant brott som avses i 1 kap. 3 § skadeståndslagen, kan däremot ideellt skadestånd för lidande respektive ersättning för kränkning utgå enligt såväl den nyss nämnda bestämmelsen som denna paragraf. Som Lagrådet påpekat innebär detta inte att kränkningen ersätts med ett högre belopp enbart därför att flera bestämmelser kan vara tillämpliga. Av första stycket framgår att den personuppgiftsansvarige är ersättningsskyldig gentemot den registrerade så snart behandling har skett i strid med någon bestämmelse i lagen vid behandling av person- uppgifter. Häri inbegrips även god sed, vilken den registeransvarige är skyldig att följa enligt 9 § första stycket b.Vad som är god sed vid behandling av personuppgifter får avgöras i rättstillämpningen mot bakgrund av bl.a. de mer preciserade föreskrifter som kan utfärdas med stöd av lagen, de branschregler på området som kan ha utarbetats av etablerade branschorganisationer eller andra representativa sammanslutningar och hur ansvarsfulla personuppgiftsansvariga som regel beter sig. Skyldigheten avser ersättning för personskada, sakskada och ren förmögenhetsskada samt kränkning av den personliga integriteten. Det är bara skada eller kränkning som den olagliga behandlingen har fört med sig som ersätts. Detta framgår uttryckligen av att det sägs att behandlingen av uppgifter skall ha orsakat skada respektive kränkning. Orsakssambandet skall vara adekvat. Ersättningen för kränkningen får uppskattas efter skälighet mot bak- grund av samtliga omständigheter i det aktuella fallet. Därvid kan beaktas bl.a. sådana faktorer som om det funnits risk för otillbörlig spridning av känsliga eller felaktiga uppgifter och om den registrerade på grund av den felaktiga behandlingen blivit utsatt för något beslut eller några åtgärder som kunnat innebära något negativt för honom eller henne. Har den registrerade själv lämnat en oriktig eller ofullständig uppgift till den personuppgiftsansvarige, kan den person- uppgiftsansvariges behandling av denna uppgift inte anses innebära någon sådan kränkning av den personliga integriteten som bör föranleda ersättning. Ersättningen för kränkning bör i princip fastställas för varje kränkt registrerad för sig. I andra stycket finns det bestämmelser om jämkning av ersättnings- skyldigheten. Jämkningsbestämmelsen innebär att ersättningsskyldigheten kan helt falla bort eller sättas ned delvis. För att ersättningsskyldighet skall finnas enligt första stycket behöver den registrerade bara bevisa att det från den personuppgiftsansvariges sida har förekommit en olaglig behandling av den registrerades person- uppgifter och att denna behandling har skadat eller kränkt honom eller henne. Därefter är det upp till den personuppgiftsansvarige att bevisa att den olagliga behandlingen inte berodde på honom eller henne. Lyckas den personuppgiftsansvarige med detta, får i sista hand en domstol bedöma huruvida och i vilken utsträckning det kan vara skäligt att ersättningsskyldigheten jämkas. Den personuppgiftsansvarige är gentemot den registrerade i och för sig ansvarig för all den behandling som han eller hon har ansvaret för, även när ett personuppgiftsbiträde eller annan hjälp anlitas. Ett fel av t.ex. ett anlitat personuppgiftsbiträde får således anses bero på den personuppgiftsansvarige. En annan sak är att den personuppgiftsan- svarige i allmänhet kan få ersättning av ett försumligt personupp- giftsbiträde för ersättning som måste betalas till registrerade. Däremot kan den personuppgiftsansvarige som regel inte med framgång kräva för- sumliga arbetstagare på någon ersättning (4 kap. 1 § skadeståndslagen). När det är den registrerade som har t.ex. lämnat felaktiga eller ofullständiga uppgifter vilket lett till en olaglig behandling, kan den olagliga behandlingen i allmänhet inte anses bero på den person- uppgiftsansvarige. Om det är den registrerade som, t.ex. genom att lämna felaktiga eller ofullständiga uppgifter, har föranlett en olaglig behandling, kan det också vara skäligt att helt befria den personuppgiftsansvarige från ersättningsskyldighet för skada och kränkning som dennes användning av uppgifterna kan ha förorsakat den registrerade. Som Lagrådet påpekat kan bestämmelsen i 6 kap. 1 § skadestånds- lagen komma att tillämpas vid fall av medvållande. En olaglig behandling som beror på felaktigheter i den utrustning som den personuppgiftsansvarige ansvarar för får som regel anses bero på den personuppgiftsansvarige. Bara i särpräglade fall kan den personuppgifts- ansvarige anses oskyldig till den olagliga behandlingen, t.ex. om uppgifter på ett helt oförutsett vis förvanskas till följd av ett blixtnedslag eller avbrott eller felaktigheter i ett publikt datanätverk. I sådana fall av helt oförutsedda händelser kan det vara skäligt att mildra ansvaret. En olaglig behandling av den personuppgiftsansvarige som beror på att han eller hon har hämtat in felaktiga eller ofullständiga uppgifter från någon annan personuppgiftsansvarig kan inte anses bero på den person- uppgiftsansvarige, om han eller hon inte hade någon anledning att miss- tänka att uppgifterna var felaktiga eller ofullständiga. I vilken utsträckning ansvaret för den personuppgiftsansvarige skall mildras i sådana fall är således en skälighetsfråga. Har den personuppgiftsansva- rige t.ex. hämtat in tusentals adressuppgifter från någon vanligtvis tillför- litlig källa, exempelvis ett allmänt register såsom statens person- och adressregister, kan det vara skäligt att mildra ansvaret. Det kan då inte rimligen krävas att den personuppgiftsansvarige skulle ha kontrollerat alla adresser. Om den personuppgiftsansvarige däremot har hämtat uppgifter från en källa som framstår som otillförlitlig, kan bedömningen bli en annan. Har en myndighet fått in uppgifter på grund av uppgiftsskyldighet för enskilda som är föreskriven i författning, får myndigheten emellertid som regel anses ha haft anledning att lita på uppgifterna. En olaglig behandling på grund av att personuppgifterna utan den personuppgiftsansvariges instruktioner har kommit ut till utomstående, t.ex. genom ett brottsligt intrång i ett datasystem, kan inte anses bero på den personuppgiftsansvarige, om denne i enlighet med tillämpliga bestämmelser har en lämplig säkerhetsnivå och intrånget har kunnat komma till stånd genom att angriparen varit beredd att lägga ned mycket stora resurser för att komma åt informationen. Då kan det vara skäligt att mildra ansvaret. Har den personuppgiftsansvarige å andra sidan försummat säkerheten, får den olagliga behandlingen anses bero på honom eller henne. Vid den skälighetsbedömning som skall göras i de fall där den olagliga behandlingen bevisligen inte beror på den person- uppgiftsansvarige bör beaktas också den registrerades behov av skadestånd och den personuppgiftsansvariges förmåga att betala skadestånd. I det fallet att en viss felaktig behandling har omfattat uppgifter om många människor, bör man dock vid skälighetsbedömningen såvitt avser ersättningen för kränkning kunna ta hänsyn till att den samlade ersätt- ningsskyldigheten för den personuppgiftsansvarige inte blir orimligt stor. Straff 49 § Till böter eller fängelse i högst sex månader eller, om brottet är grovt, till fängelse i högst två år döms den som uppsåtligen eller av oaktsamhet a) lämnar osann uppgift i sådan information till registrerade som föreskrivs i denna lag, i anmälan till tillsynsmyndigheten enligt 36 §, eller till tillsynsmyndigheten när myndigheten begär information enligt 43 §, b) behandlar personuppgifter i strid med 13–21 §§, c) för över personuppgifter till tredje land i strid med 33–35 §§, eller d) låter bli att göra anmälan enligt 36 § första stycket eller enligt föreskrifter meddelade med stöd av 41 §. Den som överträtt ett vitesföreläggande enligt 44 § eller 45 § första stycket döms inte till ansvar för en gärning som omfattas av vites- föreläggandet. Frågan om straff har behandlats i avsnitt 14. Paragrafen har i förhållande till Datalagskommitténs förslag kompletterats med bestämmelserna i punkt b–d. Datalagskommitténs förslag har berörts i avsnitt 12.13.2.4 i kommitténs betänkande. Vid bedömandet av om brottet är grovt kan beaktas sådana omstän- digheter som att de olagligt behandlade uppgifterna avsett förhållanden av avsevärd betydelse för den registrerade och att gärningsmannen insett detta eller att gärningsmannen lämnat osanna uppgifter för att undkomma påföljd eller vinna någon annan fördel eller att det brottsliga utnyttjandet av uppgifterna annars framstår som hänsynslöst. Bara i undantagsfall torde en gärning som begåtts av oaktsamhet kunna betraktas som ett grovt brott. I andra stycket, som lagts till på förslag från Lagrådet, föreskrivs att den som överträtt ett vitesföreläggande enligt 44 eller 45 § första stycket inte döms till ansvar för en gärning som omfattas av vitesföreläggandet. Närmare föreskrifter 50 § Regeringen eller den myndighet som regeringen bestämmer får i fråga om automatiserad behandling av personuppgifter meddela närmare föreskrifter om a) i vilka fall behandling av personuppgifter är tillåten, b) vilka krav som ställs på den personuppgiftsansvarige vid behandling av personuppgifter, c) i vilka fall användning av personnummer är tillåten, d) vad en anmälan eller ansökan till en personuppgiftsansvarig skall innehålla, e) vilken information som skall lämnas till registrerade och hur informationen skall lämnas, och f) anmälan till tillsynsmyndigheten och förfarandet när anmälda uppgifter har ändrats. Frågan om normgivningsdelegation har behandlats i avsnitt 10. Para- grafen överensstämmer med Datalagskommitténs förslag och har berörts i avsnitt 12.1.2 i kommitténs betänkande. Av förslaget till lag om ändring i personuppgiftslagen (avsnitt 15) framgår att paragrafen per den 1 januari 1999 ändras så att det blir möjligt att meddela föreskrifter även såvitt avser sådan manuell behandling som omfattas av personuppgiftslagen. Av 8 kap. 13 § regeringsformen framgår att regeringen utan särskilt bemyndigande från riksdagen kan meddela föreskrifter om verkställighet av lag och delegera denna föreskriftsrätt till myndighet. I vart fall punkterna d, andra ledet av e och f i paragrafen utgör sådana verkställighetsföreskrifter. Av tydlighetsskäl omfattar bemyndigandet även dessa situationer, trots att regeringen utan bemyndigande ändå hade kunnat meddela sådana föreskrifter. Regeringen kan naturligtvis meddela verkställighetsföreskrifter som inte tagits upp i paragrafen. Det är således möjligt att före den 1 januari 1999 meddela verkställighetsföreskrifter även avseende manuell behandling av personuppgifter. Överklagande 51 § Tillsynsmyndighetens beslut enligt denna lag om annat än föreskrifter får överklagas hos allmän förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten. Tillsynsmyndigheten får bestämma att dess beslut skall gälla även om det överklagas. Frågan om överklagande har behandlats i avsnitt 13. Paragrafen överens- stämmer med Datalagskommitténs förslag och har berörts i avsnitt 12.14.2 i kommitténs betänkande. Kravet på prövningstillstånd i andra stycket avser överklagande av länsrättens beslut enligt såväl första stycket som 47 §. Ikraftträdande- och övergångsbestämmelser 1. Denna lag träder i kraft den 24 oktober 1998, då datalagen (1973:289) skall upphöra att gälla. Den äldre lagen gäller dock fortfarande i fråga om överklagande av beslut som har meddelats före den 24 oktober 1998. 2. I fråga om behandling av personuppgifter som påbörjats före ikraft- trädandet eller behandling som utförs för ett visst bestämt ändamål om behandling för ändamålet påbörjats före ikraftträdandet skall t. o. m. den 30 september 2001 den äldre lagen tillämpas i stället för den nya. Detta gäller även bestämmelserna i den äldre lagen om överklagande. 3. Bestämmelserna i 9, 10, 13 och 21 §§ i den nya lagen skall inte börja tillämpas förrän den 1 oktober 2007 i fråga om sådan manuell behand- ling av personuppgifter som påbörjats före ikraftträdandet eller manuell behandling som utförs för ett visst bestämt ändamål om manuell behandling för ändamålet påbörjats före ikraftträdandet. 4. I fråga om personuppgifter som vid ikraftträdandet lagras för historisk forskning skall bestämmelserna i 9, 10, 13 och 21 §§ i den nya lagen börja tillämpas först när uppgifterna behandlas på något annat sätt. Innan dess skall motsvarande bestämmelser i den äldre lagen tillämpas. De angivna bestämmelserna i den nya lagen skall dock inte till följd av vad som nu sagts börja tillämpas tidigare än vad som följer av 2 eller 3. 5. Anmälan enligt 36 § i den nya lagen får göras innan den nya lagen har trätt i kraft för den aktuella behandlingen. 6. Ett samtycke som har lämnats innan den nya lagen har trätt i kraft för den aktuella behandlingen skall gälla även efter ikraftträdandet om samtycket uppfyller kraven i den nya lagen. 7. Har en begäran om registerutdrag enligt 10 § i den äldre lagen kommit in innan den nya lagen trätt i kraft för den aktuella behandlingen men har utdraget inte expedierats före ikraftträdandet skall framställningen anses som en ansökan enligt 26 § i den nya lagen. 8. Den nya lagens bestämmelser om skadestånd skall bara tillämpas om den omständighet som yrkandet hänför sig till har inträffat efter det att den nya lagen har trätt i kraft för den aktuella behandlingen. I annat fall tillämpas de äldre bestämmelserna. Frågan om ikraftträdande och övergångsbestämmelser har behandlats i avsnitt 15. Övergångsbestämmelserna överensstämmer i huvudsak med Datalagskommitténs förslag, dock att kommittén föreslog att lagen skulle träda i kraft den 1 januari 1999. Kommittén har berört förslagen i avsnitt 12.15 i sitt betänkande. Kravet enligt punkt 2 och 3 på att behandlingen påbörjats vid ikraft- trädandet har behandlats i avsnitt 15 och motsvarar artikel 32.2 i EG- direktivet, se bilaga 1. Punkt 4 skall ha samma innebörd som artikel 32.3 i direktivet. 18.2 Förslaget till lag om ändring i sekretesslagen (1980:100) 7 kap. 16 § Ändringen i första stycket innebär att sekretessbestämmelsen samordnas med bestämmelserna i personuppgiftslagen. Andra stycket upphävs. I personuppgiftslagen finns det i 33–35 §§ bestämmelser om förutsättningarna för överföring av personuppgifter till tredje land som gäller även för myndigheter. Redan första stycket i denna paragraf medför att sekretess gäller om ett utlämnande av personupp- gifter till tredje land skulle stå i strid med de nämnda bestämmelserna i personuppgiftslagen. Andra stycket i paragrafen behövs således inte längre. Ändringarna överensstämmer helt med Datalagskommitténs förslag. 9 kap. 6 § I första stycket finns det två ändringar i sak. Ändringarna överensstämmer helt med Datalagskommitténs förslag. Den första ändringen – varigenom ordet lag byts ut mot orden lag eller annan författning – innebär att det även i förordning kan anges vilken tillsyn som ankommer på Datainspektionen. Den andra ändringen innebär att bestämmelsen om överföring av nu aktuell sekretess till regeringen har tagits bort. Anledningen till detta är att ärenden som avses i denna paragraf enligt personuppgiftslagen inte i något fall skall överklagas till regeringen, se avsnitt 13. Då behövs inte längre någon bestämmelse om överföring av sekretess till regeringen. För uppgifter i ärenden som avgjorts av Datainspektionen genom beslut före ikraftträdandet och som överklagats till regeringen enligt den gamla ord- ningen föreslås en särskild övergångsbestämmelse om att de äldre reglerna fortfarande skall tillämpas. Bestämmelsen om överföring av sekretess till Justitiekanslern har däremot behållits trots att Justitie- kanslern inte får överklaga Datainspektionens beslut enligt person- uppgiftslagen, eftersom Justitiekanslern enligt annan lagstiftning kan överklaga Datainspektionens beslut i ärenden som avses i denna paragraf, se t.ex. 23 § kreditupplysningslagen (1973:1173). Det bör nämnas att bestämmelser som motsvarar de bestämmelser som finns i denna paragraf, såvitt avser personuppgiftsskyddet, skall finnas enligt artikel 28.7 i EG-direktivet, se bilaga 1. Paragrafen bör således i fortsättningen vid behov tolkas EG-konformt. 9 kap. 7 § Paragrafen har justerats med anledning av att personuppgiftslagen ersätter den nuvarande datalagen. 14 kap. 3 § Andra stycket har justerats med anledning av att personuppgiftslagen ersätter den nuvarande datalagen. 15 kap. 11 § Punkt 8 i andra stycket har justerats med anledning av att person- uppgiftslagen ersätter den nuvarande datalagen. 15 kap. 14 § Bestämmelsen har utan ändring i sak flyttats över från 14 § i den nuvarande datalagen. Ikraftträdande- och övergångsbestämmelser Lagen träder i kraft samtidigt som personuppgiftslagen. Enligt andra punkten, som lagts till efter det att lagrådsremissen behandlats i Lagrådet, skall den äldre lydelsen av vissa paragrafer gälla i fråga om behandling för vilken datalagen (1973:289) är tillämplig fram till den 30 september 2001 18.3 Förslaget till lag om ändring i brottsbalken 4 kap. 9 c och 10 §§ Bestämmelserna om straff för dataintrång i nuvarande 21 § i den nuvarande datalagen har utan ändring i sak förts över till 4 kap. 9 c § och 10 § brottsbalken. Straffbestämmelserna i 21 § i den nuvarande datalagen är i dag subsidiära i förhållande till straffbestämmelserna i lagen (1990:409) om skydd för företagshemligheter. Enligt den lagen straffas företagsspioneri och olovlig befattning med företagshemlighet med böter eller fängelse i högst två år eller, om brottet är grovt, fängelse i högst sex respektive fyra år. Är gärningen belagd med strängare straff enligt brottsbalken, döms dock inte till ansvar för dessa brott. För dataintrång och för normalgraden av företagsspioneri och olovlig befattning med företagshemlighet gäller samma straffskala. I och med att bestämmelsen om straff för dataintrång förs över till brottsbalken finns det inte anledning att ha någon annan reglering om konkurrensen än den som gäller förhållandet mellan övriga brottsbalksbrott och straffbestämmelserna om företagsspioneri och olovlig befattning med företagshemlighet. Förhållandet mellan bestämmelsen om straff för dataintrång i 4 kap. och bestämmelserna i samma kapitel om straff för brytande av post- eller telehemlighet och intrång i förvar klargörs uttryckligen. Förhållandet mellan brottet dataintrång och övriga brottsbalksbrott får avgöras enligt sedvanliga principer för bedömningen av konkurrens mellan över- lappande straffstadganden i brottsbalken. 18.4 Förslaget till lag om ändring i regeringsformen 8 kap. 7 § Ändringen i första stycket punkt 8 innebär att regeringen och i före- kommande fall, efter s.k. subdelegation, den myndighet som regeringen bestämmer kan ges behörighet att meddela föreskrifter på hela det område som omfattas av personuppgiftslagen, dvs. avseende även skydd för personlig integritet vid viss icke automatiserad behandling av person- uppgifter. Ändringen, som överensstämmer med Datalagskommitténs förslag, har behandlats i avsnitt 10. Frågan om dagen för ikraftträdandet av ändringen – den 1 januari 1999 – har behandlats i avsnitt 15. 18.5 Förslaget till lag om ändring i personuppgiftslagen (0000:000) Ändringarna i 20, 21, 35, 41 och 50 §§ innebär att regeringen eller den myndighet som regeringen bestämmer från och med ikraftträdandet den 1 januari 1999 av den ändring i regeringsformen som berörts i närmast föregående avsnitt bemyndigas att meddela föreskrifter även såvitt avser sådan manuell behandling av personuppgifter som omfattas av person- uppgiftslagen. Frågan om normgivningsdelegation har behandlats i avsnitt 10 och frågan om ikraftträdande har behandlats i avsnitt 15. EG-direktivet om personuppgifter EUROPAPARLAMENTETS OCH RÅDETS DIREKTIV 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DETTA DIREKTIV med beaktande av Fördraget om upprättandet av Europeiska gemen- skapen, särskilt artikel 100a i detta, med beaktande av kommissionens förslag(1), med beaktande av Ekonomiska och sociala kommitténs yttrande(2), i enlighet med det förfarande som anges i fördragets artikel 189b(3), och med beaktande av följande: 1) Gemenskapens målsättningar som uttryckts i fördraget, såsom detta ändrats genom Fördraget om Europeiska unionen, består i att för- verkliga en allt fastare sammanslutning av de europeiska folken, i att upprätta allt närmare relationer mellan de stater som förenas i gemenskapen, i att säkerställa ekonomiska och sociala framsteg i sina länder genom gemensamma åtgärder för att undanröja de barriärer som delar Europa, i att fortgående förbättra levnadsvill- koren för dess folk, i att bevara och stärka fred och frihet och i att främja demokratin på grundval av de grundläggande rättigheter som erkänns i medlemsstaternas grundlagar och lagar liksom i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna. 2) Systemen för databehandling av uppgifter är till för människornas skull. Oavsett fysiska personers medborgarskap eller hemvist måste systemen respektera dessa personers grundläggande fri- och rättig- heter – särskilt rätten till privatlivet – och bidra till ekonomiska och sociala framsteg, handelns utveckling och enskilda personers väl- färd. 3) Upprättandet av den inre marknaden och dennas funktion, som i en- lighet med artikel 7a i fördraget innebär fri rörlighet för varor, per- soner, tjänster och kapital, förutsätter inte bara att personuppgifter fritt kan överföras från en medlemsstat till en annan utan också att enskilda personers grundläggande rättigheter skyddas. 4) Inom gemenskapen behandlas och används personuppgifter allt oftare inom olika ekonomiska och samhälleliga områden. Fram- stegen på informationsteknikens område har gjort det avsevärt lättare att behandla och utbyta sådana uppgifter. 5) Den ekonomiska och sociala integration som är en följd av upprättandet av den inre marknaden och dennas funktion i enlighet med artikel 7a i fördraget kommer med nödvändighet att leda till en betydande ökning av flödet av personuppgifter över gränserna mellan samtliga aktörer på de ekonomiska och samhälleliga om- rådena, oavsett om dessa aktörer tillhör den privata eller den offent- liga sektorn. Utbytet av personuppgifter mellan företag i olika medlemsstater kommer att öka. De nationella myndigheterna i de olika medlemsstaterna måste som ett led i tillämpningen av gemen- skapsrätten samarbeta och utbyta personuppgifter för att kunna fullgöra sina åligganden eller utföra arbetsuppgifter för en myn- dighet i en annan medlemsstat inom det område utan inre gränser som den inre marknaden innebär. 6) Det ökade vetenskapliga och tekniska samarbetet liksom det sam- ordnade införandet av nya telekommunikationsnät inom gemen- skapen nödvändiggör och underlättar dessutom det gränsöver- skridande flödet av personuppgifter. 7) Skillnaden i skyddsnivå mellan medlemsstater vad gäller enskilda personers fri- och rättigheter, särskilt rätten till privatliv med avseende på behandling av personuppgifter, kan hindra översändande av sådana uppgifter från en medlemsstats territorium till en annans. Denna skillnad kan därför utgöra ett hinder för att utöva en rad ekonomiska aktiviteter på gemenskapsnivå, snedvrida konkurrensen och hindra myndigheterna att fullgöra de skyldigheter som åligger dem enligt gemenskapsrätten. Denna skillnad i skyddsnivå beror på olikheter i nationella lagar och andra författningar. 8) För att hindren mot flöden av personuppgifter skall kunna avskaffas måste skyddsnivån när det gäller enskilda personers fri- och rättigheter med avseende på behandlingen av sådana uppgifter vara likvärdig i alla medlemsstater. Denna målsättning är av grund- läggande betydelse för den inre marknaden men kan inte uppnås genom åtgärder endast av medlemsstaterna, i synnerhet med tanke på omfattningen av de skillnader som för närvarande finns mellan nationell lagstiftning på området och med tanke på behovet av att samordna lagstiftningen i medlemsstaterna för att säkerställa en sådan enhetlig reglering av det gränsöverskridande flödet av personuppgifter som överensstämmer med målsättningen för den inre marknaden enligt artikel 7a i fördraget. Det är därför nödvändigt att gemenskapen vidtar åtgärder för att åstadkomma en tillnärmning av lagstiftningen. 9) Eftersom tillnärmningen av de nationella lagstiftningarna kommer att leda till ett likvärdigt skydd kommer medlemsstaterna inte längre att kunna hindra det fria flödet av personuppgifter mellan dem under hänvisning till enskilda personers fri- och rättigheter, särskilt rätten till privatliv. Medlemsstaterna kommer att få ett handlingsutrymme, som i samband med genomförandet av detta direktiv också kommer att kunna utnyttjas av näringslivet och arbetsmarknadens parter. Medlemsstaterna kommer därför att i sin nationella lagstiftning särskilt kunna ange de allmänna villkor som skall gälla för behandlingen av uppgifter. Medlemsstaterna skall härvid sträva efter att förbättra det skydd som deras nuvarande lagstiftning ger. Inom ramen för detta handlingsutrymme och i enlighet med gemenskapsrätten kan skillnader uppkomma vid genomförandet av direktivet, vilket kan påverka flödet av uppgifter såväl inom en medlemsstat som på gemenskapsnivå. 10) Ändamålet med den nationella lagstiftningen om behandling av personuppgifter är att skydda grundläggande fri- och rättigheter, särskilt den rätt till privatlivet som erkänns både i artikel 8 i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna och i gemenskapsrättens allmänna rättsprinciper. Av denna anledning får tillnärmningen av denna lagstiftning inte medföra någon inskränkning i det skydd de ger, utan skall i stället syfta till att garantera en hög skyddsnivå inom gemenskapen. 11) De principer om skydd för enskilda personers fri- och rättigheter, särskilt rätten till privatlivet, som detta direktiv innehåller, utgör en precisering och en förstärkning av principerna i Europarådets konvention av den 28 januari 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter. 12) Principerna för skyddet måste gälla för all behandling av personuppgifter som utförs av en person vars verksamhet regleras av gemenskapsrätten. En fysisk persons behandling av uppgifter uteslutande för personliga ändamål eller för hemmabruk, såsom korrespondens eller förande av adressregister, skall dock inte omfattas. 13) Sådan verksamhet som avses i avdelningarna V och VI i Fördraget om Europeiska unionen och som rör allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område faller inte inom tillämpningsområdet för gemenskapsrätten, dock med förbehåll för medlemsstaternas skyldigheter enligt artik- larna 56.2, 57 eller 100a i Fördraget om upprättandet av Europeiska gemenskapen. Sådan behandling av personuppgifter som är nöd- vändig för att skydda statens ekonomiska välstånd omfattas inte av detta direktiv, när behandlingen har samband med frågor om statens säkerhet. 14) För närvarande görs inom ramen för informationssamhället be- tydande framsteg såvitt avser tekniken för att uppta, överföra, bearbeta, registrera, lagra eller lämna ut ljud- eller bilduppgifter om fysiska personer; detta direktiv bör därför tillämpas på behandling av sådana uppgifter. 15) Behandlingen av sådana uppgifter omfattas av detta direktiv endast om den sker med hjälp av automatisk databehandling eller om de uppgifter som behandlas ingår eller avses ingå i ett register som är uppbyggt efter vissa med utgångspunkt i för enskilda personer utformade kriterier för att underlätta tillgång till de berörda uppgifterna. 16) Behandlingen av ljud- och bilduppgifter – exempelvis i samband med videoövervakning – omfattas inte av detta direktiv om den utförs för att tillgodose den allmänna säkerheten, försvaret, statens säkerhet eller statens verksamhet på straffrättens område eller till annan verksamhet som inte faller inom gemenskapsrättens tillämp- ningsområde. 17) När det gäller behandling av ljud- och bilduppgifter för journa- listiska ändamål eller i litterärt eller konstnärligt skapande, särskilt på det audiovisuella området, skall direktivets principer i enlighet med bestämmelserna i artikel 9 tillämpas restriktivt. 18) För att undvika att en enskild person förvägras det skydd som till- kommer honom enligt detta direktiv skall varje behandling av per- sonuppgifter inom gemenskapen ske i enlighet med lagstiftningen i en av medlemsstaterna. Med hänsyn till detta bör behandlingen av uppgifter som utförs av någon som på uppdrag av en register- ansvarig som är etablerad i en medlemsstat regleras av den statens lagstiftning. 19) Etablering på en medlemsstats territorium förutsätter effektiv och faktisk verksamhet med hjälp av en stabil struktur. Härvid har den berörda verksamhetens rättsliga form inte avgörande betydelse, oavsett om det är fråga om en filial eller om ett dotterbolag som är en juridisk person. Om den ansvarige är etablerad på flera medlemsstaters territorier, särskilt genom dotterbolag, måste han för att undvika varje kringgående garantera att varje verksamhet uppfyller bestämmelserna i den nationella lagstiftning som gäller för aktiviteterna. 20) Den omständigheten att den registeransvarige är etablerad i ett tredje land får inte utgöra ett hinder för det skydd som enskilda personer ges i detta direktiv. I sådana fall skall på behandlingen av uppgifter tillämpas den medlemsstats lagstiftning som innehåller de hjälpmedel som används för behandlingen. Det bör finnas garantier för att de rättigheter som följer av detta direktiv respekteras i praktiken. 21) Detta direktiv påverkar inte de territorialitetsregler som gäller på straffrättens område. 22) Medlemsstaterna bör i sin lagstiftning eller genom andra bestäm- melser som antas för att genomföra detta direktiv närmare ange de allmänna villkoren för att en behandling skall vara tillåten. Särskilt artikel 5 jämförd med artiklarna 7 och 8 tillåter medlemsstaterna att, oavsett de allmänna regler som gäller, ange särskilda villkor för behandlingen av uppgifter på särskilda områden och för de olika kategorier av uppgifter som behandlas i artikel 8. 23) Medlemsstaterna har befogenhet att genomföra skyddet för enskilda personer både genom en generell lagstiftning om skydd för enskilda personer såvitt avser behandling av personuppgifter och genom särskild lagstiftning som till exempel om statistiska institut. 24) Sådan lagstiftning som rör skydd för juridiska personer med avseende på behandling av uppgifter som angår dem berörs inte av detta direktiv. 25) Principerna för skyddet måste avspeglas dels i de förpliktelser som åvilar personer, myndigheter, företag, institutioner, organ eller andra registeransvariga särskilt med avseende på uppgifternas kvalitet, den tekniska säkerheten, anmälningar till tillsynsmyndigheten och de omständigheter under vilka behandling får utföras, dels i de rättigheter som tillkommer enskilda personer, vilkas personuppgifter blir föremål för behandling, att bli informerade om att behandling sker, att få tillgång till uppgifterna, att begära rättelse och att under vissa omständigheter invända mot behandlingen. 26) Principerna för skyddet måste gälla all information som rör en identifierad eller identifierbar person. För att avgöra om en person är identifierbar skall härvid beaktas alla hjälpmedel som i syfte att identifiera vederbörande rimligen kan komma att användas antingen av den registeransvarige eller av någon annan person. Skyddsprinciperna gäller inte för uppgifter som gjorts anonyma på ett sådant sätt att den registrerade inte längre är identifierbar. En sådan uppförandekodex som avses i artikel 27 kan vara ett användbart redskap för att ge vägledning om hur uppgifter kan göras anonyma och behållas i en form som gör det omöjligt att identifiera den registrerade. 27) Enskilda personer skall skyddas både i samband med automatisk databehandling av uppgifterna och i samband med manuell behandling. Omfattningen av detta skydd får inte faktiskt bero på den teknik som används eftersom detta skulle kunna skapa en allvarlig risk för kringgående. När det gäller manuell behandling omfattar detta direktiv endast register och inte ostrukturerade akter. Särskilt innehållet i ett register måste vara strukturerat efter bestämda kriterier som avser enskilda personer, för att lätt ge tillgång till personuppgifter. I enlighet med definitionen i artikel 2 c) kan de olika kriterier som gör det möjligt att fastställa de enskilda delarna av en strukturerad samling personuppgifter och de olika kriterier som reglerar möjligheten att få tillgång till en sådan samling utformas av varje medlemsstat. Akter eller grupper av akter liksom dessas omslag, vilka inte är strukturerade enligt särskilda kriterier, faller inte under några omständigheter inom detta direktivs tillämpningsområde. 28) Varje behandling av personuppgifter måste vara laglig och korrekt gentemot berörda personer. Uppgifterna måste särskilt vara ade- kvata, relevanta och nödvändiga med hänsyn till de ändamål för vilka de behandlas. Dessa ändamål skall vara uttryckligt angivna, berättigade och bestämda vid tiden för insamling av uppgifterna. Sådana ändamål med behandlingen som läggs fast sedan upp- gifterna samlats in får inte vara oförenliga med de ändamål som ur- sprungligen angavs. 29) Senare behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål kan – förutsatt att medlemsstaterna ger lämpliga garantier – inte allmänt sett anses oförenliga med de ändamål för vilka uppgifterna tidigare samlades in. Dessa garantier skall särskilt hindra att uppgifterna används för att vidta åtgärder mot eller fatta beslut som rör en viss person. 30) För att vara tillåten skall en behandling av personuppgifter dessutom utföras med den registrerades samtycke eller vara nödvändig för ingåendet eller utförandet av förpliktelser i enlighet med ett avtal som är bindande för den registrerade, eller fordras enligt lagstiftning vid utförandet av något som är i det allmännas intresse eller är ett led i myndighetsutövning eller vara i en fysisk eller juridisk persons intresse förutsatt att skyddet av den registrerades fri- och rättigheter inte går före. För att särskilt garantera jämvikt mellan de berörda intressena och för att samtidigt säkerställa en effektiv konkurrens får medlemsstaterna närmare ange på vilka villkor användning och utlämnande till tredje man av personuppgifter får äga rum inom ramen för tillåtna aktiviteter som av företag och andra organ utövas i deras löpande verksamhet. Medlemsstaterna får även närmare ange på vilka villkor personuppgifter i marknadsföringssyfte får vidarebefordras till tredje man, oavsett om detta sker kommersiellt eller av välgören- hetsorganisationer, föreningar eller stiftelser, exempelvis av politisk karaktär, men förutsatt att regler iakttas som har till syfte att ge den registrerade möjlighet att invända mot att de uppgifter som rör honom behandlas utan att behöva ange sina skäl och utan att åsamkas kostnader för detta. 31) Behandling av personuppgifter måste även anses tillåten när den ut- förs för att skydda ett intresse som är av avgörande betydelse för den registrerades liv. 32) Det ankommer på den nationella lagstiftningen att avgöra om den som ansvarar för en behandling som utförs i det allmännas intresse eller vid myndighetsutövning skall vara en myndighet eller något annat offentligrättsligt eller civilrättsligt subjekt, såsom exempelvis en yrkesorganisation. 33) Uppgifter som på grund av sin natur kan kränka grundläggande fri- och rättigheter eller privatlivets helgd får inte behandlas utan sam- tycke av den registrerade. Dock måste det finnas en uttrycklig möj- lighet att för att tillgodose särskilda behov, i synnerhet när behand- lingen av uppgifterna utförs för ändamål som har samband med hälso- och sjukvården av personer som är underkastade tystnadsplikt eller för att genomföra berättigade åtgärder av vissa föreningar eller stiftelser vilkas syften är att skydda utövningen av vissa grundläggande fri- och rättigheter. 34) När det av hänsyn till viktiga allmänna intressen är nödvändigt, måste medlemsstaterna kunna avvika från förbudet mot att behandla känsliga kategorier av uppgifter på sådana områden som exempelvis folkhälsa och socialskydd, särskilt för att säkerställa kvalitet och lönsamhet när det gäller förfaranden som används i samband med ansökningar om förmåner och tjänster inom sjukförsäkringssystemet, i samband med vetenskaplig forskning och i samband med offentlig statistik. Dock åligger det medlemsstaterna att sörja för att det finns lämpliga och konkreta garantier för att skydda enskilda personers grundläggande rättigheter och privatliv. 35) Myndigheters behandling av personuppgifter för officiellt erkända religiösa sammanslutningars räkning för att uppfylla målsättningar som uttrycks i grundlagen eller folkrätten utförs för att tillgodose viktiga samhälleliga intressen. 36) Om det i samband med att allmänna val hålls för att det demo- kratiska systemet skall fungera är nödvändigt att de politiska par- tierna i vissa medlemsstater samlar in uppgifter om enskilda per- soners politiska uppfattning får behandling av sådana uppgifter tillåtas av hänsyn till viktiga allmänna intressen, på villkor att bestämmelser om lämpliga garantier föreskrivs. 37) För sådan behandling av personuppgifter som sker för journalistiska ändamål eller för konstnärligt eller litterärt skapande – särskilt på det audiovisuella området – bör det fastställas undantag från eller begränsningar i förhållande till vissa bestämmelser i detta direktiv så långt detta är nödvändigt för att förena enskilda personers grundläggande rättigheter med yttrandefriheten, särskilt den rätt att ta emot och lämna upplysningar som särskilt fastslås i artikel 10 i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna. För att åstadkomma en avvägning mellan de grundläggande fri- och rättigheterna åligger det medlemsstaterna att besluta om nödvändiga undantag och begränsningar såvitt avser de generella åtgärder som har avseende på uppgiftsbehandlingens berättigande, åtgärder för att vidareföra uppgifter till tredje land och tillsynsmyndighetens befogenheter. Detta får dock inte leda till att medlemsstaterna beslutar om undantag från åtgärder som vidtas för att säkerställa behandlingens säkerhet. Den tillsynsmyndighet som är behörig på området bör utrustas med i vart fall vissa befogenheter att utövas efter behandlingen i fråga, exempelvis befogenhet att med jämna mellanrum offentliggöra en rapport eller att överlämna ärenden till rättsliga myndigheter. 38) En korrekt behandling av uppgifter förutsätter att de registrerade kan få kännedom om behandlingen och att de – när uppgifter samlas in hos dem – kan få korrekt och fullständig information med hänsyn till de närmare omständigheterna vid insamlingen. 39) I vissa fall rör behandlingen uppgifter som den registeransvarige inte har samlat in direkt från den registrerade. Vidare kan utläm- nande av uppgifter till tredje man vara tillåten även om utlämnandet inte kunde förutses när uppgifterna samlades in från den re- gistrerade. I samtliga dessa fall skall den registrerade informeras när uppgifterna registreras eller senast när uppgifterna för första gången lämnas ut till tredje man. 40) Det är dock inte nödvändigt att ställa detta krav om den registrerade redan känner till informationen. Detta krav behöver inte heller ställas om registreringen eller utlämnandet uttryckligen regleras i lagstiftningen eller om lämnande av information till den berörda personen visar sig vara omöjligt eller innebära oproportionerligt stora ansträngningar, vilket skulle kunna vara fallet i samband med behandling för historiska, statistiska eller vetenskapliga ändamål. I detta sammanhang kan antalet registrerade, uppgifternas ålder och de kompensatoriska åtgärder som kan vidtas tas i beaktande. 41) Alla måste kunna utöva sin rätt att få tillgång till uppgifter som rör dem och som är föremål för behandling, för att i detalj kunna försäkra sig om att uppgifterna är korrekta och om att behandlingen är tillåten. Av samma anledning måste var och en ha rätt att få reda på den logik som gäller för den automatiska databehandlingen av uppgifter som rör honom, åtminstone såvitt avser sådana automa- tiska beslut som avses i artikel 15.1. Denna rättighet får inte kränka affärshemligheten eller upphovsrätten, särskilt inte den upphovsrätt som skyddar programvaran. Detta bör dock inte få resultera i att den registrerade nekas all information. 42) Medlemsstaterna kan av hänsyn till intresset hos den registrerade eller till andras fri- och rättigheter begränsa rätten till tillgång till uppgifter och information. De kan till exempel besluta att tillgång till uppgifter av medicinsk art endast får erhållas genom förmedling av någon som är yrkesmässigt verksam inom hälso- och sjukvården. 43) Rätten till tillgång till uppgifter och information samt vissa skyl- digheter hos den registeransvarige kan inskränkas av medlemssta- terna i den utsträckning som det är nödvändigt för att skydda till ex- empel statens säkerhet, försvaret, allmän säkerhet eller viktiga eko- nomiska eller finansiella intressen som är av betydelse för en med- lemsstat eller för unionen, liksom för brottsutredningar och åtal och åtgärder som rör överträdelser av etiska regler som gäller för sådana yrken som särskilt regleras i lagstiftning. På förteckningen över undantag och begränsningar bör upptas de uppgifter för övervakning, tillsyn eller reglering som är nödvändiga på de tre sistnämnda områdena, nämligen allmän säkerhet, ekonomiska och finansiella intressen samt beivrande av brott. Uppräkningen av uppgifter på dessa tre områden påverkar inte undantag eller begränsningar av hänsyn till statens säkerhet och försvaret. 44) För att uppfylla vissa av de nämnda målsättningarna kan medlems- staterna på grund av bestämmelser i gemenskapsrätten tvingas att avvika från bestämmelserna i detta direktiv om rätten till tillgång till uppgifter, skyldigheten att informera enskilda personer och kva- liteten på uppgifterna. 45) I sådana fall då uppgifter av hänsyn till allmänna intressen, på grund av myndighetsutövning eller av hänsyn till en persons berättigade intressen kan bli föremål för tillåten behandling, skall varje berörd person ändå, på berättigade och avgörande skäl som avser hans särskilda situation, ha rätt att invända mot att uppgifter som rör honom själv behandlas. Medlemsstaterna har dock möjlighet att anta bestämmelser av motsatt innehåll. 46) Skyddet för de registrerades fri- och rättigheter förutsätter såvitt avser behandling av personuppgifter att lämpliga tekniska och organisatoriska åtgärder vidtas både när systemet för behandlingen utformas och när själva behandlingen sker, särskilt för att garantera säkerheten och för att på så sätt hindra all otillåten behandling. Det åligger medlemsstaterna att säkerställa att de registeransvariga respekterar dessa åtgärder. Åtgärderna skall garantera en lämplig säkerhetsnivå med hänsyn till den nuvarande utvecklingsnivån och till kostnaderna för genomförandet under hänsynstagande till de risker som behandlingen innebär och arten av de uppgifter som skall skyddas. 47) När ett meddelande som innehåller personuppgifter översänds genom förmedling av en organisation för telekommunikation eller elektronisk post, vars enda ändamål är att översända sådana med- delanden, blir det normalt den från vilken meddelandet härrör och inte den person som erbjuder nämnda tjänst som anses ansvara för behandlingen av personuppgifterna. De som erbjuder sådana tjänster kommer dock normalt att anses som ansvariga för behandlingen av de ytterligare personuppgifter som fordras för att tjänsten skall kunna användas. 48) Anmälningsförfarandet är avsett för att göra en behandlings syfte och viktigaste egenskaper allmänt kända för att säkerställa att behandlingen sker i enlighet med de nationella åtgärder som vidtas för att genomföra detta direktiv. 49) För att undvika olämpliga administrativa formaliteter kan medlems- staterna besluta om undantag från och förenklingar av anmälnings- plikten såvitt avser sådana fall då behandlingen sannolikt inte kom- mer att kränka de berörda personernas fri- och rättigheter, förutsatt att detta är i överensstämmelse med en åtgärd som vidtagits av en medlemsstat och som särskilt anger begränsningarna. Medlemssta- terna kan även besluta om undantag och förenklingar i fall då någon som utsetts av den registeransvarige försäkrar sig om att de utförda behandlingarna inte kommer att kränka de registrerades fri- och rättigheter. Den person som sålunda utsetts att skydda uppgifterna måste – vare sig han är anställd av den registeransvarige eller inte – ha möjlighet att utöva sin verksamhet på ett fullständigt oberoende sätt. 50) Undantag från anmälningsplikten och förenklad anmälan bör kunna tillåtas särskilt då det är fråga om behandling av uppgifter som endast syftar till att ett register skall föras, som är avsett för att i enlighet med nationell lagstiftning ge allmänheten information och som är tillgängligt för allmänheten eller var och en som kan styrka att han har ett berättigat intresse. 51) Det förhållandet att den registeransvarige omfattas av förenklat an- mälningsförfarande eller är undantagen från anmälningsplikt befriar honom inte från de övriga förpliktelser som följer av detta direktiv. 52) I detta sammanhang måste en efterföljande kontroll från den behöriga myndighetens sida i allmänhet anses som en tillräcklig åtgärd. 53) Vissa typer av behandling – till exempel behandling som har till än- damål att utesluta den berörde från möjligheten att utöva en rättighet, motta en förmån eller ingå ett avtal eller sådan behandling som innebär användning av ny teknik – kan på grund av sin natur, sin omfattning eller sitt ändamål innebära särskilda risker för att de registrerades fri- och rättigheter skall kränkas. Medlemsstaterna kan om de önskar det precisera dessa risker i sin lagstiftning. 54) Med tanke på omfattningen av den behandling av uppgifter som ut- förs i samhället torde det antal behandlingar som innebär särskilda risker vara mycket begränsat. Medlemsstaterna måste föreskriva att tillsynsmyndigheten eller den som utövar tillsyn i samråd med till- synsmyndigheten företar en förhandskontroll av dessa behandlingar innan de utförs. Sedan en sådan förhandskontroll genomförts får tillsynsmyndigheten i enlighet med den nationella lagstiftningen som gäller för myndigheten yttra sig över eller tillåta behandlingen. En sådan kontroll kan även företas som ett led i det nationella parlamentets förberedande arbete med en åtgärd eller som ett led i arbetet med en åtgärd som grundas på en sådan lagstiftande åtgärd som definierar behandlingens art och anger lämpliga skyddsåtgärder. 55) För de fall då den registeransvarige inte respekterar de registrerades rättigheter måste det i medlemsstatens lagstiftning finnas möjlighet till rättslig prövning. Personer som lider skada till följd av otillåten behandling skall ha rätt till ersättning av den registeransvarige, vilken kan befrias från skadeståndsansvar om han kan visa att han inte är ansvarig för skadan, särskilt i fall då han kan påvisa att ett fel begåtts av den registrerade eller i fall av force majeure. Sank- tioner skall vidtas mot såväl privaträttsliga som offentligrättsliga subjekt som överträder de nationella bestämmelser som antagits för att genomföra detta direktiv. 56) Gränsöverskridande flöden av personuppgifter är nödvändiga för den internationella handelns utveckling. Det skydd som genom detta direktiv tillförsäkras enskilda personer inom gemenskapen hindrar inte att personuppgifter överförs till sådana tredje länder som garanterar en adekvat skyddsnivå. Frågan om skyddsnivåns adekvans skall bedömas med hänsyn till alla de omständigheter som har samband med en överföring eller en grupp av överföringar. 57) Om ett tredje land inte garanterar en adekvat skyddsnivå skall över- föring av personuppgifter till det landet förbjudas. 58) Undantag från detta förbud skall under vissa omständigheter kunna medges om den registrerade lämnar sitt samtycke, om överföring är nödvändig för ett avtal eller ett rättsligt anspråk, när skyddet av vä- sentliga samhällsintressen kräver det, till exempel vid internationellt utbyte av uppgifter mellan skattemyndigheter eller tullmyndigheter eller mellan socialförsäkringsmyndigheter eller om överföringen utförs med utgångspunkt i ett register som upprättats genom lagstiftning och som är avsett att vara tillgängligt för allmänheten eller för personer som har ett berättigat intresse. En sådan överföring bör inte omfatta alla uppgifter eller hela kategorier av uppgifter som finns i registret. När registret är avsett att vara tillgängligt för personer med ett berättigat intresse skall överföringen göras endast på begäran av dessa personer eller om de själva är mottagarna. 59) Särskilda åtgärder kan vidtas för att uppväga en otillräcklig skydds- nivå i ett tredje land om den registeransvarige ställer lämpliga garantier. Bestämmelser om förfaranden för förhandling mellan gemenskapen och tredje land måste antas. 60) Överföring till tredje land får i vilket fall som helst endast utföras i enlighet med bestämmelser som medlemsstaterna antagit för genomförande av detta direktiv, särskilt artikel 8 i detta. 61) Medlemsstaterna och kommissionen måste på sina respektive kom- petensområden uppmuntra berörda delar av näringslivet att anta uppförandekodexar för att underlätta genomförandet av detta direk- tiv med beaktande av de särskilda former av behandling som utförs på vissa områden och med respekt för de nationella bestämmelser som antagits för dess genomförande. 62) För skyddet av enskilda personer med avseende på behandlingen av personuppgifter är det av avgörande betydelse att medlemsstaterna inrättar oberoende tillsynsmyndigheter. 63) Dessa myndigheter måste ges nödvändiga resurser för att utföra sina uppgifter, såsom befogenhet att – särskilt när det gäller klagomål från enskilda personer – undersöka och intervenera samt befogenheter att inleda rättsliga förfaranden. De måste även bidra till att garantera insyn i behandlingen av uppgifter i de medlemsstater under vilkas jurisdiktion de hör. 64) Tillsynsmyndigheterna i de olika medlemsstaterna kommer att be- höva bistå varandra i samband med utförandet av de uppgifter som åligger dem för att säkerställa att skyddsreglerna respekteras på ett tillfredsställande sätt i hela Europeiska unionen. 65) En arbetsgrupp för skydd av enskilda personer i samband med be- handling av personuppgifter skall inrättas på gemenskapsnivå. Gruppen skall vid utförandet av sina uppgifter vara fullständigt oberoende. Gruppen skall med hänsyn till sin särskilda karaktär ge kommissionen råd och bidra till den enhetliga tillämpningen av de nationella regler som antagits för att genomföra detta direktiv. 66) Med avseende på överföring av uppgifter till tredje land fordrar ge- nomförandet av detta direktiv att kommissionen ges befogenhet att besluta om genomförandet och att ett förfarande i enlighet med rikt- linjerna i rådets beslut 87/373/EEG(1) införs. 67) Den 20 december 1994 träffade Europaparlamentet, rådet och kom- missionen en överenskommelse om ett ”modus vivendi” beträffan- de genomförandeåtgärder för rättsakter som antagits i enlighet med förfarandet i artikel 189b i Romfördraget. 68) De principer för skyddet av enskilda personers fri- och rättigheter, och då särskilt rätten till privatliv, som i detta direktiv uppställs med avseende på behandling av personuppgifter skall för vissa områdens vidkommande kunna kompletteras eller preciseras med hjälp av särskilda bestämmelser som skall överensstämma med dessa principer. 69) Medlemsstaterna bör ges en frist på högst tre år räknat från ikraftträdandet av de nationella bestämmelser som antas för att genomföra detta direktiv, så att de stegvis kan tillämpa de nya nationella bestämmelserna på alla sådana behandlingar som redan påbörjats. För att möjliggöra ett kostnadseffektivt genomförande av dessa bestämmelser skall medlemsstaterna tillåtas att under ytterligare en tidsperiod, som löper ut tolv år efter dagen för antagandet av detta direktiv, vidta åtgärder för att säkerställa att då befintliga manuella register bringas i överensstämmelse med vissa av direktivets bestämmelser. Uppgifter som ingår i dessa register och som behandlas manuellt under denna förlängda övergångsperiod skall dock när det är föremål för en ytterligare sådan behandling bringas i överensstämmelse med dessa bestämmelser. 70) Det är inte nödvändigt att den registrerade på nytt lämnar sitt sam- tycke till att den registeransvarige fortsätter att behandla känsliga uppgifter, när en sådan behandling är nödvändig för genomförandet av att avtal som har slutits på grundval av frivilligt och informerat samtycke före dessa bestämmelsers ikraftträdande. 71) Detta direktiv hindrar inte en medlemsstat från att anta bestäm- melser för att reglera sådan marknadsföring som riktar sig till konsumenter som har hemvist inom dess territorium, förutsatt att dessa regler inte rör skyddet av enskilda personer med avseende på behandling av personuppgifter. 72) Detta direktiv gör det möjligt att vid genomförandet av dessa be- stämmelser ta hänsyn till principen om allmänhetens rätt till tillgång till allmänna handlingar. HÄRIGENOM FÖRESKRIVS FÖLJANDE. KAPITEL 1 ALLMÄNNA BESTÄMMELSER Artikel 1 Direktivets syfte 1. Medlemsstaterna skall i enlighet med detta direktiv skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter. 2. Medlemsstaterna får varken begränsa eller förbjuda det fria flödet av personuppgifter mellan medlemsstaterna av skäl som har samband med det under punkt 1 föreskrivna skyddet. Artikel 2 Definitioner I detta direktiv avses med a) personuppgifter: varje upplysning som avser en identifierad eller identifierbar fysisk person (den registrerade). En identifierbar person är en person som kan identifieras, direkt eller indirekt, framför allt genom hänvisning till ett identifikationsnummer eller till en eller flera faktorer som är specifika för hans fysiska, fysiologiska, psykiska, ekonomiska, kulturella eller sociala identitet, b) behandling av personuppgifter (behandling): varje åtgärd eller serie av åtgärder som vidtas beträffande personuppgifter, vare sig det sker på automatisk väg eller inte, till exempel insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring, c) register med personuppgifter (register): varje strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oav- sett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden, d) registeransvarig: den fysiska eller juridiska person, den myndighet, den institution eller det andra organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. När ändamålen och medlen för behandlingen be- stäms av nationella lagar och andra författningar eller av gemen- skapsrätten kan den registeransvarige eller de särskilda kriterierna för att utse honom anges i nationell rätt eller i gemenskapsrätten, e) registerförare: den fysiska eller juridiska person, den myndighet, den institution eller det andra organ som behandlar personuppgifter för den registeransvariges räkning, f) tredje man: den fysiska eller juridiska person, den myndighet, den institution eller det andra organ än den registrerade, den regis- teransvarige, registerföraren och de personer som under den regis- teransvariges eller registerförarens direkta ansvar har befogenhet att behandla uppgifterna, g) mottagare: den fysiska eller juridiska person, den myndighet, den institution eller det andra organ till vilket uppgifterna utlämnas, vare sig det är en tredje man eller inte. Myndigheter som kan komma att motta uppgifter inom ramen för ett särskilt uppdrag skall dock inte betraktas som mottagare, h) den registrerades samtycke: varje slag av frivillig, särskild och in- formerad viljeyttring genom vilken den registrerade godtar behand- ling av personuppgifter som rör honom. Artikel 3 Tillämpningsområde 1. Detta direktiv gäller för sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg liksom för annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. 2. Detta direktiv gäller inte för sådan behandling av personuppgifter — som utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten, exempelvis sådan verksamhet som avses i avdelningarna V och VI i Fördraget om Europeiska unionen, och inte under några omständigheter behandlingar som rör allmän säkerhet, försvar, statens säkerhet (inbegripet statens ekonomiska välstånd när behandlingen har samband med frågor om statens säkerhet) och statens verksamhet på straffrättens område, — av en fysisk person som ett led i verksamhet av rent privat natur eller som har samband med hans hushåll. Artikel 4 Tillämplig nationell rätt 1. Varje medlemsstat skall tillämpa de nationella bestämmelser som den för genomförandet av detta direktiv antar för behandlingen av personupp- gifter när a) behandlingen utförs som ett led i verksamhet inom den medlems- stats territorium, där den registeransvarige är etablerad. Om en re- gisteransvarig är etablerad inom flera medlemsstaters territorier skall han vidta nödvändiga åtgärder för att säkerställa att alla verksamheter uppfyller kraven enligt den tillämpliga nationella lagstiftningen, b) den registeransvarige inte är etablerad inom en medlemsstats territorium utan på en plats där medlemsstatens lagstiftning gäller på grund av folkrätten, c) den registeransvarige inte är etablerad på gemenskapens territorium och för behandling av personuppgifter använder databehandlad eller icke databehandlad utrustning som befinner sig på den nämnda medlemsstatens territorium, om inte sådan utrustning endast an- vänds för att låta uppgifter passera genom gemenskapen. 2. Under de omständigheter som avses i punkt 1 c) måste den regis- teransvarige utse en företrädare som är etablerad inom den berörda med- lemsstatens territorium, utan att detta i övrigt påverkar de eventuella rättsliga åtgärder som kan komma att inledas mot den ansvarige själv. KAPITEL II ALLMÄNNA BESTÄMMELSER OM NÄR PERSONUPPGIFTER FÅR BEHANDLAS Artikel 5 Medlemsstaterna skall inom de begränsningar som bestämmelserna i detta kapitel innebär, precisera på vilka villkor behandling av personuppgifter är tillåten. AVDELNING I PRINCIPER OM UPPGIFTERNAS KVALITET Artikel 6 1. Medlemsstaterna skall föreskriva att personuppgifter a) skall behandlas på ett korrekt och lagligt sätt, b) skall samlas in för särskilda, uttryckligt angivna och berättigade än- damål; senare behandling får inte ske på ett sätt som är oförenligt med dessa ändamål. Senare behandling av uppgifter för historiska, statistiska eller vetenskapliga ändamål skall inte anses oförenlig med dessa ändamål förutsatt att medlemsstaterna beslutar om lämpliga skyddsåtgärder, c) skall vara adekvata och relevanta och inte får omfatta mer än vad som är nödvändigt med hänsyn till de ändamål för vilka de har samlats in och för vilka de senare behandlas, d) skall vara riktiga och, om nödvändigt, aktuella. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga eller ofullständiga i förhållande till de ändamål för vilka de samlades in eller för vilka de senare behandlas, utplånas eller rättas, e) förvaras på ett sätt som förhindrar identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna samlades in eller för vilka de senare behandlades. Medlemsstaterna skall vidta lämpliga skyddsåtgärder för de personuppgifter som lagras under längre perioder för historiska, statistiska eller vetenskapliga ändamål. 2. Det åligger den registeransvarige att säkerställa att punkt 1 efterlevs. AVDELNING II PRINCIPER SOM GÖR ATT UPPGIFTSBEHANDLING KAN TILLÅTAS Artikel 7 Medlemsstaterna skall föreskriva att personuppgifter får behandlas endast om a) den registrerade otvetydigt har lämnat sitt samtycke, eller b) behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås, eller c) behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den registeransvarige, eller d) behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade, eller e) behandlingen är nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den registeransvarige eller tredje man till vilken uppgifterna har lämnats ut, eller f) behandlingen är nödvändig för ändamål som rör berättigade intressen hos den registeransvarige eller hos den eller de tredje män till vilka uppgifterna har lämnats ut, utom när sådana intressen uppvägs av den registrerades intressen eller dennes grundläggande fri- och rättigheter som kräver skydd under artikel 1.1. AVDELNING III SÄRSKILDA BEHANDLINGSKATEGORIER Artikel 8 Behandlingen av särskilda kategorier av uppgifter 1. Medlemsstaterna skall förbjuda behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv. 2. Punkt 1 gäller inte om a) den registrerade har lämnat sitt uttryckliga samtycke till en sådan behandling, utom när det enligt medlemsstatens lagstiftning anges att förbudet i punkt 1 inte kan upphävas genom den registrerades samtycke, eller b) behandlingen är nödvändig för att fullgöra de skyldigheter och sär- skilda rättigheter som åligger den registeransvarige inom arbets- rätten, i den omfattning detta är tillåtet enligt en nationell lagstift- ning som föreskriver lämpliga skyddsåtgärder, eller c) behandlingen är nödvändig för att skydda den registrerades eller någon annan persons grundläggande intressen när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke, eller d) behandlingen utförs inom ramen för berättigad verksamhet hos en stiftelse, en förening eller ett annat icke vinstdrivande organ, som har ett politiskt, filosofiskt, religiöst eller fackligt syfte, förutsatt att behandlingen endast rör sådana organs medlemmar eller personer som på grund av organets ändamål har regelbunden kontakt med detta och uppgifterna inte lämnas ut till tredje man utan den registrerades samtycke, eller e) behandlingen rör uppgifter som på ett tydligt sätt offentliggörs av den registrerade eller är nödvändiga för att kunna fastslå, göra gällande eller försvara rättsliga anspråk. 3. Punkt 1 gäller inte när behandlingen av uppgifterna är nödvändig med hänsyn till förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälso- eller sjukvård eller när dessa uppgifter behandlas av någon som är yrkesmässigt verksam på hälso- och sjukvårdsområdet och som enligt nationell lagstiftning eller bestämmelser som antagits av behöriga nationella organ är underkastad tystnadsplikt eller av en annan person som är ålagd en liknande tyst- nadsplikt. 4. Under förutsättning av lämpliga skyddsåtgärder och av hänsyn till ett viktigt allmänt intresse får medlemsstaterna antingen i sin nationella lag- stiftning eller genom ett beslut av tillsynsmyndigheten besluta om andra undantag än de som nämns i punkt 2. 5. Behandling av uppgifter om lagöverträdelser, brottmålsdomar eller sä- kerhetsåtgärder får utföras endast under kontroll av en myndighet eller – om lämpliga skyddsåtgärder finns i nationell lag – med förbehåll för de ändringar som medlemsstaterna kan tillåta med stöd av nationella be- stämmelser som innehåller lämpliga och specifika skyddsåtgärder. Ett fullständigt register över brottmålsdomar får dock föras endast under kontroll av en myndighet. Medlemsstaterna får föreskriva att uppgifter som rör administrativa sank- tioner eller avgöranden i tvistemål också skall behandlas under kontroll av en myndighet. 6. De undantag från punkt 1 som anges i punkterna 4 och 5 skall anmälas till kommissionen. 7. Medlemsstaterna skall bestämma på vilka villkor ett nationellt identifi- kationsnummer eller något annat vedertaget sätt för identifiering får be- handlas. Artikel 9 Behandling av personuppgifter och yttrandefriheten Medlemsstaterna skall med avseende på behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande besluta om undantag och avvikelser från bestäm- melserna i detta kapitel, kapitel IV och kapitel VI endast om de är nöd- vändiga för att förena rätten till privatlivet med reglerna om yttrande- friheten. AVDELNING IV INFORMATIONSPLIKT TILL DEN REGISTRERADE Artikel 10 Information vid insamling av uppgifter från den registrerade Medlemsstaterna skall föreskriva att den registeransvarige eller hans företrädare i vart fall skall ge den person från vilken uppgifter om honom själv samlas in följande information, utom i fall då han redan känner till informationen: a) Den registeransvariges och dennes eventuella företrädares identitet. b) Ändamålen med den behandling för vilken uppgifterna är avsedda. c) All ytterligare information, exempelvis — mottagarna eller de kategorier som mottar uppgifterna, — huruvida det är obligatoriskt eller frivilligt att besvara frågorna samt eventuella följder av att inte svara, — förekomsten av rättigheter att få tillgång till och att erhålla rättelse av uppgifter som rör honom, i den utsträckning som den ytterligare informationen – med hänsyn till de särskilda omständigheter under vilka uppgifterna samlas in – är nödvändig för att tillförsäkra den registrerade en korrekt behand- ling. Artikel 11 Information när uppgifterna inte har samlats in från den registrerade 1. Om uppgifterna inte har samlats in från den registrerade, skall med- lemsstaterna föreskriva att den registeransvarige eller hans företrädare vid tiden för registreringen av personuppgifter eller, om utlämnande till en tredje man kan förutses, inte senare än vid den tidpunkt då uppgifterna först lämnas ut, skall ge den registrerade åtminstone följande information, utom när den registrerade redan känner till informationen: a) Den registeransvariges och dennes eventuella företrädares identitet. b) Ändamålen med behandlingen. c) All ytterligare information, exempelvis — de kategorier av uppgifter som behandlingen gäller, — mottagarna eller de kategorier som mottar uppgifterna, — förekomsten av rättigheter att få tillgång till och att erhålla rättelse av de uppgifter som rör honom, i den utsträckning som den ytterligare informationen – med hänsyn till de särskilda omständigheter under vilka uppgifterna samlas in – är nödvändig för att tillförsäkra den registrerade en korrekt behandling. 2. Bestämmelserna i punkt 1 skall inte gälla när det – särskilt i samband med behandling för statistiska ändamål eller historiska eller vetenskapliga forskningsändamål – visar sig omöjligt eller innebära en oproportionerligt stor ansträngning att ge information eller om registrering eller utlämnande uttryckligen föreskrivs i författning. I sådana fall skall medlemsstaterna föreskriva lämpliga skyddsåtgärder. AVDELNING V DEN REGISTRERADES RÄTT ATT FÅ TILLGÅNG TILL UPPGIFTER Artikel 12 Rätt till tillgång Medlemsstaterna skall säkerställa att varje registrerad har rätt att från den registeransvarige a) utan hinder och med rimliga intervall samt utan större tidsutdräkt eller kostnader — få bekräftelse på om uppgifter som rör honom behandlas eller inte och information om åtminstone ändamålen med behand- lingen, de berörda uppgiftskategorierna och mottagarna eller mottagarkategorierna till vilka uppgifterna utlämnas, — få begriplig information om vilka uppgifter som behandlas och all tillgänglig information om varifrån dessa uppgifter kommer, — få kännedom om den logik som används när uppgifter som rör honom behandlas på automatisk väg åtminstone såvitt avser så- dana automatiska beslut som avses i artikel 15.1, b) i förekommande fall få sådana uppgifter som inte behandlats i enlighet med bestämmelserna i detta direktiv rättade, utplånade eller blockerade, särskilt om dessa är ofullständiga eller felaktiga, c) få genomfört att en tredje man till vilken sådana uppgifter utlämnats underrättas om varje rättelse, utplåning eller blockering som utförts i enlighet med punkt b), om detta inte visar sig vara omöjligt eller innebär en oproportionerligt stor ansträngning. AVDELNING VI UNDANTAG OCH BEGRÄNSNINGAR Artikel 13 Undantag och begränsningar 1. Medlemsstaterna får genom lagstiftning vidta åtgärder för att begränsa omfattningen av de skyldigheter och rättigheter som anges i artiklarna 6.1, 10, 11.1, 12 och 21 i fall då en sådan begränsning är en nödvändig åtgärd med hänsyn till a) statens säkerhet, b) försvaret, c) allmän säkerhet, d) förebyggande, undersökning, avslöjande av brott eller åtal för brott eller av överträdelser av etiska regler som gäller för lagreglerade yrken, e) ett viktigt ekonomiskt eller finansiellt intresse hos en medlemsstat eller hos Europeiska unionen, inklusive monetära frågor, budgetfrå- gor och skattefrågor, f) en tillsyns-, inspektions- eller regleringsfunktion som, även om den är av övergående karaktär, är förbunden med myndighetsutövning i de under punkterna c), d) och e) nämnda fallen, g) skydd av den registrerades eller andras fri- och rättigheter. 2. Under förutsättning av lämpliga rättsliga garantier får medlemsstaterna, i synnerhet om uppgifterna inte används för åtgärder eller beslut som avser särskilda registrerade personer, i fall då det uppenbarligen inte föreligger någon risk att den berörda personens privatliv kränks, genom lagstiftning begränsa de rättigheter som anges i artikel 12 när uppgifterna endast behandlas för ändamål som har med vetenskaplig forskning att göra eller när uppgifterna endast lagras i form av personuppgifter under en begränsad tid som inte överstiger den tid som är nödvändig för att framställa statistik. AVDELNING VII DEN REGISTRERADES RÄTT ATT GÖRA INVÄNDNINGAR Artikel 14 Den registrerades rätt att göra invändningar Medlemsstaterna skall tillförsäkra den registrerade rätten att a) åtminstone i de fall som avses i artikel 7 e) och f) när som helst av avgörande och berättigade skäl som rör hans personliga situation motsätta sig behandling av uppgifter som rör honom, utom när den nationella lagstiftningen föreskriver något annat. När invändningen är berättigad får den behandling som påbörjats av den register- ansvarige inte längre avse dessa uppgifter, b) efter anmodan och utan kostnader motsätta sig behandling av personuppgifter som rör honom och som den registeransvarige bedömer kan komma att behandlas för ändamål som rör direkt marknadsföring, eller att bli informerad innan personuppgifter för första gången lämnas ut till tredje man eller används för tredje mans räkning för ändamål som rör direkt marknadsföring, och att uttryckligen få erbjudande om att utan kostnader motsätta sig ett sådant utlämnande eller sådan användning. Medlemsstaterna skall vidta nödvändiga åtgärder för att säkerställa att de registrerade känner till den rättighet som anges i första stycket i b). Artikel 15 Databehandlade beslut 1. Medlemsstaterna skall ge varje person rätten att inte bli föremål för ett beslut som har rättsliga följder för honom eller som märkbart påverkar honom och som enbart grundas på automatisk behandling av uppgifter som är avsedda att bedöma vissa personliga egenskaper hos honom, exempelvis hans arbetsprestationer, kreditvärdighet, pålitlighet och uppträdande. 2. Om inte annat följer av övriga bestämmelser i detta direktiv skall med- lemsstaterna föreskriva att en person får bli föremål för ett beslut av det slag som avses i punkt 1 om beslutet a) fattas som ett led i ingåendet eller fullgörandet av ett avtal, förutsatt att den registrerades begäran om ingående eller fullgörande av av- talet har bifallits eller att det vidtas lämpliga åtgärder för att skydda hans berättigade intressen, exempelvis möjligheten för honom att göra sin uppfattning gällande, eller b) tillåts i lagstiftning som innehåller bestämmelser till skydd för den registrerades berättigade intressen. AVDELNING VIII SEKRETESS OCH SÄKERHET VID BEHANDLING Artikel 16 Sekretess vid behandling Den som utför arbete under den registeransvarige eller registerföraren, liksom registerföraren själv, och som får tillgång till personuppgifter, får behandla dem endast enligt instruktion från den registeransvarige, om han inte är skyldig att göra det enligt lag. Artikel 17 Säkerhet vid behandling 1. Medlemsstaterna skall föreskriva att den registeransvarige skall genomföra lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter från förstöring genom olyckshändelse eller otillåtna handlingar eller förlust genom olyckshändelse samt mot ändringar, otillåten spridning av eller otillåten tillgång till uppgifterna, särskilt om behandlingen innefattar överföring av uppgifter i ett nätverk, och mot varje annat slag av otillåten behandling. Dessa åtgärder skall med beaktande av den nuvarande tekniska nivån och de kostnader som är förenade med åtgärdernas genomförande åstad- komma en lämplig säkerhetsnivå i förhållande till de risker som är för- knippade med behandlingen och arten av de uppgifter som skall skyddas. 2. Medlemsstaterna skall föreskriva att den registeransvarige, när behandlingen utförs för dennes räkning, skall välja en registerförare som kan ge tillräckliga garantier vad gäller de tekniska säkerhetsåtgärder och de organisatoriska åtgärder som måste vidtas och tillse att dessa åtgärder genomförs. 3. När uppgifter behandlas av en registerförare skall hanteringen regleras genom ett avtal eller genom en annan rättsligt bindande handling mellan registerföraren och den registeransvarige och i handlingen skall särskilt föreskrivas att — registerföraren endast får handla på instruktioner från den register- ansvarige, — de skyldigheter som anges i punkt 1, såsom de definieras i lagstift- ningen i den medlemsstat i vilken registerföraren är etablerad, även skall åvila registerföraren. 4. För att säkra bevisning skall de delar av avtalet eller den rättsligt bin- dande handlingen som rör skyddet av uppgifter och de krav som rör åtgärder som anges i punkt 1 föreligga i skriftlig eller därmed jämförlig form. AVDELNING IX ANMÄLAN Artikel 18 Anmälningsplikt gentemot tillsynsmyndigheten 1. Medlemsstaterna skall föreskriva att den registeransvarige eller hans eventuella företrädare före genomförandet av en behandling eller en serie behandlingar som helt eller delvis genomförs på automatisk väg och som har samma eller flera närbesläktade ändamål skall underrätta den till- synsmyndighet som avses i artikel 28. 2. Medlemsstaterna får endast i följande fall och på följande villkor före- skriva om undantag från anmälningsplikten eller förenklad anmälnings- plikt: — Om medlemsstaten för de typer av behandling, i samband med vilka det med hänsyn till de behandlade uppgifterna inte är sannolikt att de registrerades fri- och rättigheter kränks, anger behandlingens ändamål, vilka uppgifter eller kategorier av uppgifter som behandlas, vilka registrerade eller kategorier av registrerade som avses, till vilka mottagare eller kategorier av mottagare uppgifterna lämnas ut samt hur länge uppgifterna skall bevaras och/eller — om den registeransvarige i enlighet med den nationella lagstiftning som gäller för denne, utser ett uppgiftsskyddsombud, som särskilt skall ha till uppgift — att på ett oberoende sätt säkerställa den interna tillämpningen av de nationella bestämmelser som antagits till följd av detta direktiv, — att föra ett register över de behandlingar som utförs av den registeransvarige, vilket register skall innehålla den informa- tion som nämns i artikel 21.2, för att på detta sätt säkerställa att de registrerades fri- och rättigheter sannolikt inte kommer att kränkas som en följd av behandlingarna. 3. Medlemsstaterna får föreskriva att punkt 1 inte skall gälla för en sådan behandling vars enda syfte är förandet av ett register, som enligt lagar eller andra författningar är avsett att förse allmänheten med information och som är tillgängligt antingen för allmänheten eller för var och en som kan styrka ett berättigat intresse. 4. Medlemsstaterna får föreskriva undantag från anmälningsplikten eller ett förenklat anmälningsförfarande för sådan behandling som avses i arti- kel 8.2 d). 5. Medlemsstaterna får föreskriva att vissa eller alla icke-automatiska be- handlingar av personuppgifter skall anmälas eller att ett förenklat anmäl- ningsförfarande skall gälla för dem. Artikel 19 Anmälans innehåll 1. Medlemsstaterna skall precisera vilka uppgifter som anmälan skall innehålla. Den skall åtminstone innehålla a) den registeransvariges och dennes eventuella företrädares namn och adress, b) ändamålen med behandlingen, c) en beskrivning av den eller de kategorier av registrerade som berörs och av de uppgifter eller kategorier av uppgifter som hänför sig till dem, d) mottagarna eller de kategorier av mottagare till vilka uppgifterna kan komma att lämnas ut, e) föreslagna överföringar av uppgifter till tredje land, f) en allmän beskrivning som gör det möjligt att preliminärt bedöma lämpligheten av de åtgärder som i enlighet med artikel 17 vidtagits för att trygga säkerheten i behandlingen. 2. Medlemsstaterna skall ange villkoren för anmälan till tillsynsmyndigheten av förändringar som rör den i punkt 1 angivna informationen. Artikel 20 Förhandskontroll 1. Medlemsstaterna skall bestämma vilka behandlingar som kan innebära särskilda risker för den registrerades fri- och rättigheter och skall säker- ställa att dessa behandlingar kontrolleras innan de påbörjas. 2. Sådana förhandskontroller skall utföras av tillsynsmyndigheten när den mottagit anmälan från den registeransvarige eller från uppgiftsskyddsombudet, som i tveksamma fall skall rådfråga tillsynsmyndigheten. 3. Medlemsstaterna kan också utföra sådana kontroller som ett led i det nationella parlamentets förberedande arbete med en åtgärd eller som ett led i arbetet med en åtgärd som grundas på en sådan lagstiftande åtgärd, som definierar behandlingens art och anger lämpliga skyddsåtgärder. Artikel 21 Behandlingarnas offentlighet 1. Medlemsstaterna skall vidta åtgärder för att tillse att behandlingarna görs offentligt tillgängliga. 2. Medlemsstaterna skall föreskriva att tillsynsmyndigheten skall föra ett register över sådana behandlingar som har anmälts i enlighet med artikel 18. Registret skall innehålla åtminstone den information som anges i artikel 19.1 a)–e). Registret skall vara allmänt tillgängligt. 3. För sådan behandling som inte omfattas av anmälningsplikt skall med- lemsstaterna föreskriva att de registeransvariga eller något annat organ, som medlemsstaterna utser, på lämpligt sätt skall tillhandahålla var och en som begär det åtminstone den information som anges i artikel 19.1 a)– e). Medlemsstaterna får föreskriva att denna bestämmelse inte skall tillämpas på sådan behandling vars enda ändamål är att föra ett register, som i enlighet med lagar eller andra författningar är avsett att ge allmänheten information och som är tillgängligt för allmänheten eller för var och en som kan styrka ett berättigat intresse. KAPITEL III RÄTTSLIG PRÖVNING, ANSVAR OCH SANKTIONER Artikel 22 Rättslig prövning Medlemsstaterna skall – utan att det påverkar möjligheten att utnyttja nå- got administrativt förfarande, till exempel vid den tillsynsmyndighet som avses i artikel 28, som kan användas innan ett ärende anhängiggörs hos en rättslig instans – föreskriva att var och en har rätt att föra talan inför domstol om sådana kränkningar av rättigheter som skyddas av den nationella lagstiftning som är tillämplig på ifrågavarande behandling. Artikel 23 Ansvar 1. Medlemsstaterna skall föreskriva att var och en som lidit skada till följd av en otillåten behandling eller av någon annan åtgärd som är oförenlig med de nationella bestämmelser som antagits till följd av detta direktiv, har rätt till ersättning av den registeransvarige för den skada som han har lidit. 2. Den registeransvarige kan helt eller delvis undgå detta ansvar om han bevisar att han inte är ansvarig för den händelse som orsakade skadan. Artikel 24 Sanktioner Medlemsstaterna skall anta lämpliga bestämmelser för att säkerställa att detta direktiv genomförs fullständigt och skall särskilt besluta om de sanktioner som skall användas vid överträdelse av de bestämmelser som antagits för att genomföra detta direktiv. KAPITEL IV ÖVERFÖRING AV PERSONUPPGIFTER TILL TREDJE LAND Artikel 25 Principer 1. Medlemsstaterna skall föreskriva att överföringen av personuppgifter som är under behandling eller som är avsedda att behandlas efter överfö- ring till tredje land endast får ske om ifrågavarande tredje land – utan att detta påverkar tillämpningen av de nationella bestämmelser som antagits till följd av de andra bestämmelserna i detta direktiv – säkerställer en adekvat skyddsnivå. 2. Bedömningen av om skyddsnivån i ett tredje land är adekvat skall ske på grundval av alla de förhållanden som har samband med en överföring eller en grupp av överföringar av uppgifter. Härvid skall särskilt beaktas uppgiftens art, den eller de avsedda behandlingarnas ändamål och varak- tighet, ursprungslandet och det slutliga bestämmelselandet, de allmänna respektive särskilda rättsregler som gäller i ifrågavarande tredje land lik- som de regler för yrkesverksamhet och säkerhet som gäller där. 3. Medlemsstaterna och kommissionen skall informera varandra när de anser att ett tredje land inte erbjuder en adekvat skyddsnivå enligt punkt 2. 4. Om kommissionen i enlighet med ett sådant förfarande som beskrivs i artikel 31.2 finner att ett tredje land inte erbjuder en sådan adekvat skyddsnivå som beskrivs i punkt 2 i denna artikel, skall medlemsstaterna vidta de åtgärder som är nödvändiga för att hindra överföring av uppgifter av samma slag till ifrågavarande tredje land. 5. Vid lämpligt tillfälle skall kommissionen inleda förhandlingar för att avhjälpa den situation som uppstått när kommissionen kommit till den slutsats som anges i punkt 4. 6. Kommissionen kan, i enlighet med det i artikel 31.2 angivna förfarandet, konstatera att ett tredje land genom sin interna lagstiftning eller på grund av de internationella förpliktelser som – särskilt till följd av sådana förhandlingar som anges i punkt 5 och som gäller skyddet för privatliv och enskilda personers grundläggande fri- och rättigheter – åligger landet har en skyddsnivå som är adekvat i den mening som avses i punkt 2 i denna artikel. Medlemsstaterna skall vidta de åtgärder som är nödvändiga för att följa kommissionens beslut. Artikel 26 Undantag 1. Med undantag från artikel 25 skall medlemsstaterna – om det inte finns tvingande regler om detta i deras lagstiftning – föreskriva att överföring av personuppgifter till ett tredje land som inte har en adekvat skyddsnivå i den mening som avses i artikel 25.2 får ske om a) den registrerade otvetydigt har samtyckt till den planerade överför- ingen, eller b) överföringen är nödvändig för att fullgöra ett avtal mellan den re- gistrerade och den registeransvarige eller för att på den registre- rades begäran genomföra åtgärder som vidtas innan avtalet ingås, eller c) överföringen är nödvändig för att ingå eller fullgöra ett avtal mellan den registeransvarige och tredje man i den registrerades intresse, eller d) överföringen är nödvändig eller bindande enligt författning av skäl som rör viktiga allmänna intressen eller för att fastslå, göra gällande eller försvara rättsliga anspråk, eller e) överföringen är nödvändig för att skydda intressen som är av avgö- rande betydelse för den registrerade, eller f) överföringen görs från ett offentligt register som enligt lagar eller andra författningar är avsett att ge allmänheten information och som är tillgängligt antingen för allmänheten eller för var och en som kan styrka ett berättigat intresse, i den utsträckning som de i lagstiftningen angivna villkoren för tillgänglighet uppfylls i det enskilda fallet. 2. Utan att detta påverkar tillämpningen av punkt 1 får en medlemsstat tillåta överföring av personuppgifter till ett tredje land som inte säkerställer en skyddsnivå som är adekvat enligt artikel 25.2, om den registeransvarige ställer tillräckliga garantier för att privatliv och enskilda personers grundläggande fri- och rättigheter skyddas samt för utövningen av motsvarande rättigheter. Sådana garantier kan framgå av lämpliga avtalsklausuler. 3. Medlemsstaten skall informera kommissionen och de övriga medlems- staterna om de överföringar som tillåtits enligt punkt 2. Om en medlemsstat eller kommissionen på grunder som är berättigade med hänsyn till skyddet för privatliv och enskilda personers grundläggande fri- och rättigheter gör en invändning skall kommissionen vidta lämpliga åtgärder i enlighet med det förfarande som avses i artikel 31.2. Medlemsstaterna skall vidta de åtgärder som är nödvändiga för att följa kommissionens beslut. 4. Om kommissionen i enlighet med det förfarande som anges i artikel 31.2 beslutar att vissa standardavtalsklausuler erbjuder tillräckliga garan- tier enligt punkt 2, skall medlemsstaterna vidta nödvändiga åtgärder för att följa kommissionens beslut. KAPITEL V UPPFÖRANDEKODEX Artikel 27 1. Medlemsstaterna och kommissionen skall uppmuntra utarbetande av uppförandekodexar som – med beaktande av de särskilda förhållandena på olika områden – skall bidra till att på ett riktigt sätt genomföra de nationella bestämmelser som medlemsstaterna antar för att genomföra detta direktiv. 2. Medlemsstaterna skall föreskriva att branschorganisationer eller andra organ som företräder andra kategorier av registeransvariga, som har upp- rättat förslag till nationella kodexar eller som avser att ändra eller utöka existerande nationella kodexar, kan lägga fram dessa för bedömning av den nationella myndigheten. Medlemsstaterna skall föreskriva att denna myndighet bland annat skall kontrollera att de förslag som har lagts fram för myndigheten är i överensstämmelse med de nationella bestämmelser som antagits till följd av detta direktiv. Om myndigheten anser det lämpligt skall den inhämta synpunkter från de registrerade eller deras företrädare. 3. Förslag till gemenskapskodexar och förslag till ändringar eller tillägg till existerande sådana kodexar kan läggas fram för den arbetsgrupp som avses i artikel 29. Denna arbetsgrupp skall bland annat avgöra om de för- slag som lagts fram för gruppen är i överensstämmelse med de nationella bestämmelser som antagits för att genomföra detta direktiv. Om gruppen anser det lämpligt skall den inhämta synpunkter från de registrerade eller deras företrädare. Kommissionen kan tillse att de kodexar som godkänts av arbetsgruppen offentliggörs på lämpligt sätt. KAPITEL VI TILLSYNSMYNDIGHET OCH ARBETSGRUPP FÖR SKYDD AV ENSKILDA MED AVSEENDE PÅ BEHANDLINGEN AV PERSONUPPGIFTER Artikel 28 Tillsynsmyndighet 1. Varje medlemsstat skall tillse att det utses en eller flera myndigheter som har till uppgift att inom dess territorium övervaka tillämpningen av de bestämmelser som medlemsstaterna antar till följd av detta direktiv. Dessa myndigheter skall fullständigt oberoende utöva de uppgifter som åläggs dem. 2. Varje medlemsstat skall tillse att tillsynsmyndigheten hörs när sådana lagar eller andra författningar utarbetas som rör skyddet av enskilda personers fri- och rättigheter med avseende på behandlingen av personuppgifter. 3. Varje tillsynsmyndighet skall särskilt ha — undersökningsbefogenheter, såsom befogenhet att få tillgång till uppgifter som blir föremål för behandling och befogenhet att inhämta alla uppgifter som är nödvändiga för att sköta tillsynen, — effektiva befogenheter att ingripa, som till exempel att kunna avge yttranden i enlighet med artikel 20 innan en behandling äger rum, och se till att sådana yttranden i lämplig omfattning offentliggörs, att kunna besluta om blockering, utplåning eller förstöring av uppgifter, att kunna besluta om tillfälligt eller slutligt förbud mot behandling, att kunna ge den registeransvarige varning eller tillrättavisning eller att kunna hänvisa saken till nationella parlament eller till andra politiska institutioner, — befogenhet att inleda rättsliga förfaranden när de nationella bestäm- melser som antagits till följd av detta direktiv har överträtts eller att uppmärksamma de rättsliga myndigheterna på dessa överträdelser. Sådana beslut av tillsynsmyndigheten som går en part emot kan över- klagas till domstol. 4. Var och en kan, på egen hand eller företrädd av en organisation, vända sig till tillsynsmyndigheten med begäran om skydd för sina fri- och rättigheter med avseende på behandling av personuppgifter. Den berörda personen skall informeras om vilka följder hans begäran har fått. Var och en kan i samband med tillämpningen av de nationella bestämmelser som har antagits med stöd av artikel 13 i detta direktiv till tillsynsmyndigheten ge in en begäran om att få kontrollera om en behandling är tillåten. Den berörda personen skall informeras om vilka följder hans begäran har fått. 5. Varje tillsynsmyndighet skall regelbundet upprätta en rapport om sin verksamhet. Denna rapport skall offentliggöras. 6. En tillsynsmyndighet har, oavsett vilken nationell lagstiftning som gäller för den aktuella behandlingen, behörighet att inom sin egen med- lemsstats territorium utöva de befogenheter som i enlighet med punkt 3 åligger den. Varje myndighet kan av en myndighet i en annan medlems- stat anmodas att utöva sina befogenheter. De övervakande myndigheterna skall i den utsträckning som det behövs samarbeta med varandra, särskilt genom att utbyta användbar information. 7. Medlemsstaterna skall föreskriva att tillsynsmyndighetens ledamöter och personal, även sedan deras anställning upphört, skall ha tystnadsplikt med avseende på förtrolig information som de har tillgång till. Artikel 29 Arbetsgrupp för skydd av enskilda med avseende på behandlingen av personuppgifter 1. En arbetsgrupp för skydd av enskilda med avseende på behandling av personuppgifter, hädanefter kallad ”arbetsgruppen” inrättas härmed. Arbetsgruppen skall vara rådgivande och oberoende. 2. Arbetsgruppen skall vara sammansatt av en företrädare för den eller de tillsynsmyndigheter som utsetts av varje medlemsstat, av en företrädare för den eller de myndigheter som har inrättats för gemenskapens insti- tutioner och organ samt av en företrädare för kommissionen. Varje medlem av arbetsgruppen skall utses av den institution eller av den eller de myndigheter som han företräder. När en medlemsstat har fler till- synsmyndigheter än en, skall dessa utse en gemensam företrädare. Det- samma skall gälla för de myndigheter som inrättats för gemenskapens in- stitutioner och organ. 3. Arbetsgruppen skall fatta beslut med enkel majoritet av tillsynsmyndigheternas företrädare. 4. Arbetsgruppen skall välja sin ordförande. Ordförandens mandattid skall vara två år. Mandatet kan förlängas. 5. Arbetsgruppens sekretariatsuppgifter skall ombesörjas av kommissio- nen. 6. Arbetsgruppen skall själv fastställa sin arbetsordning. 7. Arbetsgruppen skall behandla frågor som förts upp på dess dagordning av ordföranden, antingen på dennes eget initiativ eller på begäran av en företrädare för tillsynsmyndigheterna eller för kommissionen. Artikel 30 1. Arbetsgruppen skall a) utreda varje fråga som rör tillämpningen av de nationella bestäm- melser som antagits för genomförandet av detta direktiv, för att bidra till en enhetlig tillämpning av bestämmelserna, b) yttra sig till kommissionen om skyddsnivån inom gemenskapen och i tredje land, c) ge kommissionen råd om varje föreslagen ändring av detta direktiv, om vilka ytterligare eller särskilda åtgärder som bör vidtas för att skydda fysiska personers fri- och rättigheter med avseende på be- handling av personuppgifter och om alla andra föreslagna gemen- skapsåtgärder som rör sådana fri- och rättigheter, d) avge yttranden om de uppförandekodexar som utarbetas på gemen- skapsnivå. 2. Om arbetsgruppen konstaterar förekomsten av sådana skillnader mellan medlemsstaternas lagstiftning eller praxis, som kan vara till nackdel för likvärdigheten i skyddet för personer med avseende på behandlingen av personuppgifter inom gemenskapen, skall gruppen informera kommissionen om detta. 3. Arbetsgruppen kan på eget initiativ utfärda rekommendationer i alla frågor som rör skyddet av personer med avseende på behandlingen av personuppgifter inom gemenskapen. 4. Arbetsgruppens yttranden och rekommendationer skall framläggas för kommissionen och den kommitté som avses i artikel 31. 5. Kommissionen skall informera arbetsgruppen om det sätt på vilket den har tagit hänsyn till yttrandena och rekommendationerna. För att göra detta skall kommissionen utarbeta en rapport som också skall framläggas för Europaparlamentet och rådet. Rapporten skall offentliggöras. 6. Arbetsgruppen skall utarbeta en årsrapport om situationen rörande skyddet för fysiska personer med avseende på behandlingen av person- uppgifter inom gemenskapen och i tredje land, som den skall översända till kommissionen, Europaparlamentet och rådet. Rapporten skall offent- liggöras. KAPITEL VII GEMENSKAPENS ÅTGÄRDER FÖR GENOMFÖRANDE Artikel 31 Kommittén 1. Kommissionen skall biträdas av en kommitté som är sammansatt av företrädare för medlemsstaterna och som har kommissionens företrädare som ordförande. 2. Kommissionens företrädare skall förelägga kommittén ett förslag till åtgärder. Kommittén skall yttra sig över förslaget inom en tid som ord- föranden bestämmer med hänsyn till hur brådskande ärendet är. Yttrandet skall avges med den majoritet som anges i artikel 148.2 i för- draget. Vid omröstning i kommittén skall medlemsstaternas röster vägas på det sätt som anges i den artikeln. Ordföranden skall inte rösta. Kommissionen skall besluta om åtgärder som skall ha omedelbar verkan. Om emellertid åtgärderna avviker från kommitténs yttrande, skall kom- missionen omedelbart underställa rådet ärendet. I detta fall gäller föl- jande: — Kommissionen skall uppskjuta genomförandet av åtgärderna under en tidsfrist om tre månader räknad från meddelandedatum, — Rådet kan med kvalificerad majoritet fatta ett avvikande beslut inom den tidsfrist som anges i den första strecksatsen. SLUTBESTÄMMELSER Artikel 32 1. Medlemsstaterna skall sätta i kraft de lagar och andra författningar, som är nödvändiga för att följa detta direktiv, senast tre år efter dess antagande. När en medlemsstat antar dessa bestämmelser skall de innehålla en hän- visning till detta direktiv eller åtföljas av en sådan hänvisning när de offentliggörs. Närmare föreskrifter om hur hänvisningen skall göras skall varje medlemsstat själv utfärda. 2. Medlemsstaterna skall se till att sådan behandling som redan pågår när de nationella bestämmelser som antas till följd av detta direktiv träder i kraft bringas i överensstämmelse med dessa bestämmelser inom tre år från denna tidpunkt. I fråga om sådana uppgifter som redan finns i manuella register vid ikraftträdandet av de nationella bestämmelser som antas för att genomföra detta direktiv får medlemsstaterna, med avvikelse från föregående stycke, föreskriva att behandlingen skall bringas i överensstämmelse med artiklarna 6–8 i detta direktiv inom tolv år räknat från dagen för direktivets antagande. Medlemsstaterna skall dock ge den registrerade rätt att på begäran och särskilt i samband med att han utövar sin rätt till tillgång till uppgifter, erhålla rättelse, utplåning eller blockering av uppgifter som är ofullständiga, felaktiga eller lagrade på ett sätt som inte är förenligt med de legitima ändamål som den registeransvarige vill uppnå. 3. Med undantag från punkt 2 kan medlemsstaterna under förutsättning av lämpliga skyddsåtgärder föreskriva att uppgifter som endast bevaras för historisk forskning inte behöver överensstämma med artiklarna 6–8 i detta direktiv. 4. Medlemsstaterna skall till kommissionen överlämna texten till de nationella bestämmelser som de antar inom det område som omfattas av detta direktiv. Artikel 33 Kommissionen skall första gången senast tre år efter den tidpunkt som anges i artikel 32.1 och därefter regelbundet till rådet och Europaparla- mentet avge en rapport om genomförandet av detta direktiv, eventuellt försedd med lämpliga ändringsförslag. Rapporten skall offentliggöras. Kommissionen skall särskilt undersöka tillämpningen av detta direktiv på behandling av ljud- och bilduppgifter som rör fysiska personer och skall framlägga alla lämpliga förslag som med beaktande av informationsteknikens och informationssamhällets utveckling, visar sig nödvändiga. Artikel 34 Detta direktiv riktar sig till medlemsstaterna. Utfärdat i Luxemburg den 23 oktober 1995 På Europaparlamentets vägnar På rådets vägnar K. HÄNSCH L. ATIENZA SERNA Ordförande Ordförand Datalagskommitténs sammanfattning av sitt betänkande Integritet – Offentlighet – Informationsteknik (SOU 1997:39) såvitt avser frågan om en ny datalag En ny persondatalag Vi har haft i uppdrag att göra en översyn av datalagen, som kom till redan år 1973. Syftet har varit att åstadkomma en modern och teknikoberoende lagstiftning om skydd för den personliga integriteten vid behandling av personuppgifter. Vi lämnar förslag till en helt ny persondatalag som till största delen bygger på ett färskt EG-direktiv på området. En förutsättning för att vi skulle kunna lämna ett sådant förslag har varit att direktivet går att förena med det som i Sverige är grundlagsskyddat eller annars särskilt betydelsefullt från svenska utgångspunkter. Den nya lagstiftningen får inte inkräkta på offentlighetsprincipen eller tryck- och yttrandefriheten. Denna förutsättning är uppfylld. Genom att Sverige deltog i de slutliga förhandlingarna om direktivet har de svenska synpunkterna kommit att beaktas i det. Vi föreslår tydliga bestämmelser i persondatalagen som klargör att lagen inte skall tillämpas i den utsträckning det skulle inskränka grundlagsskyddade rättigheter. Den föreslagna lagen berör och förändrar således inte dessa rättigheter. Den föreslagna lagstiftningen bygger liksom EG-direktivet på att själva hanteringen av personuppgifter regleras. Ett alternativ skulle vara att lämna hanteringen av personuppgifter i stort sett fri och i stället hindra bara det som kan betecknas som ett missbruk. Med hänsyn till den oro som många människor alltjämt känner för samlingar av elektroniska uppgifter om dem har vi dock inte ansett tiden mogen att i princip släppa hanteringen av databaserade personuppgifter fri. Sverige skulle inte heller fullgöra sina internationella åtaganden om vi valde en helt annan modell än EG-direktivets. Vi anser dock att man i ett längre perspektiv bör inrikta sig mera på att stävja och beivra missbruk än på att reglera en hantering som snart sagt alla kan hålla på med. Den föreslagna persondatalagen kan ses som en ramlag som ger gene- rella riktlinjer för all behandling av personuppgifter. Avsikten är att rege- ringen och Datainspektionen skall inom den ram som lagen drar upp när- mare precisera regleringen. De särskilda registerförfattningarna, som in- nehåller regler för bl.a. många viktiga myndighetsregister, omfattas inte av vårt uppdrag. Vi påpekar att dessa författningar inom de närmaste åren måste ses över och anpassas till den nya persondatalagen. Rent privat användning av personuppgifter undantas från den före- slagna lagen. Som exempel kan nämnas e-post mellan privatpersoner. Med behandling av personuppgifter avses i stort sett allt man kan göra med sådana uppgifter, t.ex. att samla in, söka, bevara och sprida uppgifter. Behandling av personuppgifter som är helt eller delvis automatisk – dvs. i första hand datoriserad – omfattas av den föreslagna lagen. Manuell be- handling av sådana uppgifter (på papper) omfattas bara om uppgifterna skall ingå i ett regelrätt register. I den föreslagna lagen slås fast vissa grundläggande krav på all be- handling av personuppgifter. Den persondataansvarige skall se till att personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål. Uppgifterna får sedan inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna ursprungligen samlades in. Fler uppgifter än nödvändigt får inte behandlas, och de behandlade uppgifterna skall vara adekvata och relevanta. Felaktiga, missvisande eller ofullständiga uppgifter skall korrigeras. Uppgifterna får sparas bara så länge det är nödvändigt med hänsyn till ändamålen med behandlingen. För uppgifter som behandlas för historiska, statistiska eller vetenskapliga ändamål finns särskilda regler. Den föreslagna lagen innehåller en uttömmande uppräkning av de fall då personuppgifter får behandlas. Personuppgifter får alltid behandlas om den registrerade har lämnat sitt samtycke. I annat fall krävs att behand- lingen är nödvändig för vissa angivna ändamål. De situationer då behandling är tillåten utan samtycke kan sammanfattas enligt följande. I samband med avtal För att fullgöra en rättslig skyldighet För att skydda vitala intressen för den registrerade För att utföra en arbetsuppgift av allmänt intresse eller i samband med myndighetsutövning Efter en intresseavvägning där den registrerades intressen vägs mot in- tressen på den persondataansvariges sida För behandling av känsliga personuppgifter gäller enligt den föreslagna lagen särskilda regler. Som känsliga uppgifter anses sådana uppgifter som rör hälsa eller sexualliv eller som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening. Sådana uppgifter får behandlas bara i de fall som räknas upp i lagen. Regeringen eller Datainspektionen kan dock tillåta att känsliga personuppgifter behandlas också i andra fall, under förutsättning att det behövs med hänsyn till ett viktigt allmänt intresse. Känsliga personuppgifter får behandlas när den registrerade har lämnat sitt samtycke eller när han eller hon på ett tydligt sätt har offentliggjort uppgifterna. De fall där sådana för ändamålet relevanta uppgifter annars får behandlas kan sammanfattas enligt följande. För att fullgöra skyldigheter eller utöva rättigheter inom arbetsrätten För att skydda vitala intressen när den registrerade inte kan lämna sam- tycke För att rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras Inom ideella organisationer får känsliga uppgifter om medlemmar och t.ex. sympatisörer behandlas, men inte lämnas ut till någon utomstående Inom hälso- och sjukvård För forskning och statistik när en forskningsetisk kommitté har godkänt projektet eller när samhällsintresset av behandlingen annars klart överväger integritetsriskerna Uppgifter om lagöverträdelser m.m. får enligt huvudregeln behandlas bara av myndigheter. Personnummer skall liksom i dag få användas bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. De som registreras skall få kännedom om behandlingen av uppgifterna. Enligt förslaget skall den persondataansvarige i samband med insamlingen av uppgifter självmant lämna de registrerade information om behandlingen. När uppgifterna hämtas in från någon annan källa än den registrerade, behöver information dock inte lämnas, om registreringen eller utlämnandet av uppgifterna är författningsreglerat eller om det skulle innebära en oproportionerligt stor arbetsinsats att informera. Den registrerade skall enligt förslaget ha rätt att på begäran en gång per kalenderår gratis få information om de uppgifter som behandlas, dvs. ett registerutdrag. Den persondataansvarige skall vidare på begäran korrigera personuppgifter som är felaktiga, missvisande eller ofullständiga eller annars inte har behandlats enligt de bestämmelser som gäller. För överföring av personuppgifter utanför EU och EES föreslås vissa restriktioner. Den föreslagna lagen innehåller bestämmelser om säkerheten vid be- handling av personuppgifter. Den nuvarande skyldigheten att i förväg anmäla behandlingar till Datainspektionen bör begränsas till ett minimum. Inspektionens verksamhet skall i stället koncentreras till tillsyn, information och rådgivning. Datainspektionen skall också genom föreskrifter precisera lagens regler på olika områden. Om någon bryter mot den föreslagna lagen skall Datainspektionen söka åstadkomma rättelse. Inspektionen får enligt förslaget förelägga vite och föra talan om att personuppgifter skall utplånas. I övrigt är påföljden för brott mot den föreslagna lagen i första hand skadestånd till de registrerade som har drabbats av skada. De skall utom annan ersättning liksom hittills ha rätt till ideellt skadestånd för kränkning. Skadeståndsansvaret bör vara i princip rent strikt, dvs. skade- stånd skall betalas så snart reglerna inte har följts, men vi föreslår en möjlighet att efter skälighet sätta ned skadeståndet för det fall att den persondataansvarige kan bevisa att den felaktiga behandlingen inte berodde på honom eller henne. Den föreslagna lagen bör träda i kraft den 1 januari 1999 och tillämpas fullt ut på behandlingar som påbörjas därefter. För behandlingar som redan pågår vid ikraftträdandet, bör den gamla datalagen få gälla ända till den 1 oktober 2001. Reservationer har lämnats av Anders Christner (kd), Tomas Ohlin (fp) och Inger René (m) gemensamt samt av Bo Edvardsson (mp). Särskilda yttranden har lämnats av Bo Edvardsson (mp) och av Jan Evers, med instämmande av Rolf Nygren, av Barbro Fischerström, Anders S Forsberg, Jan Freese samt av Margareta Åberg. Datalagskommitténs förslag till lagtext 1. Förslag till persondatalag Härmed föreskrivs1 följande. Inledande bestämmelser Syftet med lagen 1 § Syftet med denna lag är att skydda människor mot otillbörligt intrång i den personliga integriteten vid behandling av personuppgifter. Avvikande bestämmelser i annan lagstiftning 2 § Om det i en annan lag eller i en förordning finns bestämmelser som avviker från denna lag, skall dessa bestämmelser gälla. Definitioner 3 § I denna lag används följande beteckningar med nedan angiven bety- delse. Beteckning Betydelse Behandling (av person- uppgifter) Varje åtgärd som vidtas beträffande person- uppgifter. Blockering (av person- uppgifter) Varje åtgärd som kan vidtas för att personupp- gifterna i alla sammanhang skall vara för- knippade med tydlig information om att de är spärrade och om anledningen till spärren och för att personuppgifterna inte skall lämnas ut till tredje man annat än med stöd av 2 kap. tryckfrihetsförordningen. Den registrerade Den som en personuppgift avser. Känsliga personuppgif- ter Sådana personuppgifter som avses i 13 §. Mottagare Den till vilken personuppgifter lämnas ut. När personuppgifter lämnas ut för att en myndighet skall kunna utföra sådan tillsyn, kontroll eller revision som åligger den, anses dock inte myndigheten som mottagare. Persondataansvarig Den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Persondatabiträde Den som behandlar personuppgifter för den persondataansvariges räkning. Personuppgifter All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i li- vet. Samtycke Varje slag av frivillig, särskild och informerad viljeyttring genom vilken den registrerade godtar behandling av personuppgifter som rör honom eller henne. Tillsynsmyndigheten Den myndighet som regeringen utser. Tredje land En stat som inte ingår i Europeiska unionen eller är ansluten till Europeiska ekonomiska samarbetsområdet. Tredje man Någon annan än den registrerade, den per- sondataansvarige, persondatabiträdet och så- dana personer som under den persondata- ansvariges eller persondatabiträdets direkta ansvar har befogenhet att behandla person- uppgifter. Ett sådant persondataombud som avses i 37 § anses inte som tredje man. Tillämpningsområdet Det territoriella tillämpningsområdet 4 § Denna lag gäller för sådana persondataansvariga som är etablerade i Sverige. Lagen tillämpas också när den persondataansvarige är etablerad i tredje land men för behandlingen av personuppgifter använder sig av utrustning som finns i Sverige. Vad som nu sagts gäller dock inte om utrustningen bara används för att överföra uppgifter mellan ett tredje land och ett annat sådant land. I det fall som avses i andra stycket skall den persondataansvarige utse en företrädare för sig som är etablerad i Sverige. Den persondataan- svarige skall, innan utrustningen börjar användas, till tillsynsmyndigheten skriftligen anmäla vem som har utsetts och därvid bifoga ett skriftligt medgivande från den utsedde. Vad som anges i denna lag om den persondataansvarige skall också gälla den företrädare som har anmälts på detta sätt. Vilken behandling av personuppgifter omfattas av lagen 5 § Denna lag gäller för sådan behandling av personuppgifter som helt eller delvis är automatisk. Lagen gäller även för annan behandling av personuppgifter, om upp- gifterna ingår i eller är avsedda att ingå i ett register. Med register avses varje strukturerad samling av personuppgifter vilka är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Undantag för privat användning av personuppgifter 6 § Denna lag gäller inte för sådan behandling av personuppgifter som en fysisk person utför som ett led i en verksamhet av rent privat natur. Undantag med hänsyn till yttrandefriheten 7 § Bestämmelserna i 9–29 och 33–46 §§ samt 47 § första stycket och 49 § skall inte tillämpas på a) sådana förfaranden som är skyddade enligt tryckfrihetsförordningen eller yttrandefrihetsgrundlagen, b) spridningen av sådana yttranden som är skyddade enligt tryckfrihets- förordningen eller yttrandefrihetsgrundlagen, eller c) sådan behandling av personuppgifter som annars sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande. Förhållandet till offentlighetsprincipen 8 § Bestämmelserna i denna lag skall inte tillämpas i den utsträckning det skulle inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsför- ordningen att lämna ut personuppgifter. Bestämmelserna hindrar inte heller att en myndighet arkiverar och be- varar sina allmänna uppgifter eller att arkivmaterial tas om hand av en ar- kivmyndighet. Bestämmelserna i 9 § tredje stycket gäller inte för person- uppgifter i en myndighets arkiv. Grundläggande krav på behandlingen av personuppgifter 9 § Den persondataansvarige skall se till a) att personuppgifter behandlas bara när det är lagligt, särskilt att sam- tycke inhämtas när så krävs, b) att personuppgifter alltid behandlas på ett korrekt sätt, c) att personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål, d) att personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in, e) att de personuppgifter som behandlas är adekvata och relevanta i för- hållande till ändamålen med behandlingen, f) att inte fler personuppgifter behandlas än som är nödvändigt med hän- syn till ändamålen med behandlingen, g) att de personuppgifter som behandlas är riktiga och, om det är nöd- vändigt, aktuella, h) att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna så- dana personuppgifter som är felaktiga, missvisande eller ofullständiga med hänsyn till ändamålen med behandlingen, och i) att personuppgifter inte bevaras under en längre tid än vad som är nöd- vändigt med hänsyn till ändamålen med behandlingen. Beträffande första stycket d) gäller att en behandling av person- uppgifter för historiska, statistiska eller vetenskapliga ändamål inte skall anses som oförenlig med de ändamål för vilka uppgifterna samlades in. I fråga om första stycket i) gäller att personuppgifter får bevaras under längre tid än som sagts där för historiska, statistiska eller vetenskapliga ändamål. Personuppgifter som behandlas för historiska, statistiska eller veten- skapliga ändamål får användas för att vidta åtgärder beträffande den registrerade bara om den registrerade har lämnat sitt samtycke eller det finns synnerliga skäl med hänsyn till den registrerades eller någon annans vitala intressen. När behandling av personuppgifter är tillåten Allmänt 10 § Personuppgifter får behandlas bara om den registrerade har lämnat sitt samtycke till behandlingen eller när behandlingen är nödvändig a) för att fullgöra ett avtal med den registrerade, b) för att på den registrerades begäran vidta åtgärder innan ett avtal träffas, c) för att den persondataansvarige skall kunna fullgöra en rättslig skyl- dighet, d) för att skydda vitala intressen för den registrerade, e) för att utföra en arbetsuppgift av allmänt intresse, f) för att den persondataansvarige eller en tredje man till vilken person- uppgifter lämnas ut skall kunna utföra en arbetsuppgift i samband med myndighetsutövning, eller g) för ändamål som rör ett berättigat intresse hos den persondataansvarige eller hos sådana tredje män till vilka personuppgifterna lämnas ut när detta intresse väger tyngre än den registrerades intresse. Direkt marknadsföring 11 § Personuppgifter får inte behandlas för ändamål som rör direkt mark- nadsföring, om den registrerade hos den persondataansvarige skriftligen har anmält att han eller hon motsätter sig sådan behandling. Samtycke återkallas 12 § I de fall där behandling av personuppgifter bara är tillåten när den registrerade har lämnat sitt samtycke enligt 10, 15 eller 34 § har den re- gistrerade rätt att när som helst återkalla ett lämnat samtycke. Ytterligare personuppgifter om den registrerade får därefter inte behandlas. En registrerad har utöver vad som följer av första stycket och 11 § inte rätt att motsätta sig sådan behandling av personuppgifter som är tillåten enligt denna lag. Förbud mot behandling av känsliga personuppgifter 13 § Det är förbjudet att behandla personuppgifter som avslöjar a) ras eller etniskt ursprung, b) politiska åsikter, c) religiös eller filosofisk övertygelse, eller d) medlemskap i fackförening. Det är också förbjudet att behandla sådana personuppgifter som rör hälsa eller sexualliv. Undantag från förbudet mot behandling av känsliga personuppgifter Allmänt 14 § Utan hinder av 13 § är det tillåtet att behandla känsliga per- sonuppgifter i de fall som anges i 15–19 §§. I 10 § finns det bestämmelser om i vilka fall behandling av personupp- gifter över huvud taget är tillåten. Samtycke eller offentliggörande 15 § Känsliga personuppgifter får behandlas, om den registrerade har samtyckt till behandlingen eller på ett tydligt sätt offentliggjort uppgif- terna. Behandlingen är nödvändig i vissa fall 16 § Känsliga personuppgifter får behandlas när behandlingen är nödvän- dig för att a) den persondataansvarige skall kunna fullgöra sina skyldigheter eller utöva sina rättigheter inom arbetsrätten, b) skydda vitala intressen för den registrerade eller någon annan och den registrerade inte kan lämna samtycke, eller c) rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras. Uppgifter som behandlas med stöd av första stycket a) får lämnas ut till tredje man bara om det inom arbetsrätten finns en uttrycklig skyldighet för den persondataansvarige att göra det eller den registrerade har samtyckt till utlämnandet. Ideella organisationer 17 § Ideella organisationer med politiskt, filosofiskt, religiöst eller fackligt syfte får inom ramen för sin verksamhet behandla känsliga personuppgifter om organisationens medlemmar och sådana andra personer som på grund av organisationens syfte har regelbunden kontakt med denna. Känsliga personuppgifter får dock lämnas ut till tredje man bara om den registrerade har samtyckt till det. Hälso- och sjukvård 18 § Känsliga personuppgifter får behandlas, om behandlingen är nöd- vändig för a) förebyggande hälso- och sjukvård, b) medicinska diagnoser, c) vård eller behandling, eller d) administration av hälso- och sjukvård. Den som är yrkesmässigt verksam inom hälso- och sjukvårdsområdet och har tystnadsplikt får alltid behandla känsliga personuppgifter som omfattas av tystnadsplikten. Forskning och statistik 19 § Känsliga personuppgifter får behandlas för forsknings- och statistik- ändamål, om behandlingen är nödvändig och om samhällsintresset av det forsknings- eller statistikprojekt vari behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som be- handlingen kan innebära. Har projektet godkänts av en forskningsetisk kommitté, skall förutsätt- ningarna enligt första stycket anses uppfyllda. Med forskningsetisk kommitté avses ett sådant särskilt organ för prövning av forskningsetiska frågor som har företrädare för såväl det allmänna som forskningen och som är knutet till ett universitet eller en högskola eller till någon annan instans som i mera betydande omfattning finansierar forskning. Personuppgifter får lämnas ut för att användas i sådana projekt som avses i första stycket, om inte något annat följer av sekretesslagen (1980:100). Bemyndigande att föreskriva ytterligare undantag 20 § Regeringen eller den myndighet som regeringen bestämmer får före- skriva ytterligare undantag från förbudet i 13 §, om det behövs med hänsyn till ett viktigt allmänt intresse. Uppgifter om lagöverträdelser 21 § Det är förbjudet för andra än myndigheter att behandla per- sonuppgifter om lagöverträdelser eller om domar och säkerhetsåtgärder i brottmål. Regeringen eller den myndighet som regeringen bestämmer får före- skriva undantag från förbudet i första stycket. Användning av personnummer 22 § Uppgift om personnummer får behandlas bara när det är klart motiverat med hänsyn till a) ändamålet med behandlingen, b) vikten av en säker identifiering, eller c) något annat beaktansvärt skäl. Information till den registrerade Information skall lämnas självmant när uppgifterna samlas in 23 § När uppgifter om en person samlas in från denne själv, skall den persondataansvarige självmant lämna den registrerade information rörande behandlingen. 24 § Om personuppgifterna har samlats in från annan källa än den re- gistrerade, skall den persondataansvarige självmant lämna den registre- rade information rörande behandlingen när uppgifterna noteras. Är uppgifterna avsedda att lämnas ut till tredje man, behöver informationen dock lämnas först när uppgifterna lämnas ut för första gången. Information enligt första stycket behöver inte lämnas, om det finns be- stämmelser om registrerandet eller utlämnandet av personuppgifterna i en lag eller någon annan författning. Information behöver inte heller lämnas enligt första stycket, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor ar- betsinsats. Om uppgifterna används för att vidta åtgärder beträffande den registrerade, skall dock information alltid lämnas senast i samband med att så sker. Vilken information skall lämnas självmant 25 § Information enligt 23 § eller 24 § första stycket skall omfatta a) uppgift om den persondataansvariges identitet, b) uppgift om ändamålen med behandlingen, och c) all övrig information som behövs för att den registrerade skall kunna ta till vara sina rättigheter, såsom information om mottagarna av uppgif- terna, skyldighet att lämna uppgifter och rätten att ansöka om informa- tion. Uppgifter behöver dock inte lämnas om sådant som den registrerade redan känner till. Information skall också lämnas efter ansökan 26 § Den persondataansvarige är skyldig att till var och en som ansöker om det en gång per kalenderår gratis lämna information, om personupp- gifter som rör sökanden behandlas eller inte. Behandlas sådana uppgifter skall skriftlig information lämnas också om a) vilka uppgifter om sökanden som behandlas, b) varifrån dessa uppgifter har hämtats, c) ändamålen med behandlingen, och d) till vilka mottagare eller kategorier av mottagare som uppgifterna läm- nas ut. En ansökan enligt första stycket skall göras skriftligen hos den person- dataansvarige och vara undertecknad av den sökande själv. Information enligt första stycket skall lämnas inom en månad från det att ansökan gjordes. Det är dock tillåtet att lämna information bara vid tre över året jämnt fördelade tillfällen, om det finns särskilda skäl för det. Information enligt första stycket behöver inte lämnas beträffande per- sonuppgifter i löpande text som inte fått sin slutliga utformning när ansö- kan gjordes eller som utgör minnesanteckning eller liknande. Vad som nu sagts gäller dock inte om uppgifterna har lämnats ut till tredje man, om uppgifterna behandlas bara för historiska, statistiska eller vetenskapliga ändamål eller, såvitt gäller löpande text som inte fått sin slutliga utformning, om uppgifterna har behandlats under längre tid än ett år. Undantag från informationsskyldigheten vid sekretess och tystnadsplikt 27 § I den utsträckning det är särskilt föreskrivet i lag eller annan författ- ning eller i beslut som har meddelats med stöd av författning att uppgifter inte får lämnas ut till den registrerade gäller inte bestämmelserna i 23–26 §§. Regeringen eller den myndighet som regeringen bestämmer får medge undantag från bestämmelserna i 23–26 §§, om det behövs för att skydda grundläggande intressen för enskilda eller för att förebygga, undersöka eller avslöja brott. Rättelse 28 § Den persondataansvarige är skyldig att på begäran av den re- gistrerade rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med denna lag eller föreskrifter som har ut- färdats med stöd av lagen. Den persondataansvarige skall också under- rätta de tredje män till vilka uppgifterna har lämnats ut om åtgärden, om den registrerade begär det eller om en underrättelse skulle kunna undvika mera betydande skada eller olägenhet för den registrerade. Någon sådan underrättelse behöver dock inte lämnas om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Automatiserade beslut 29 § Ett beslut som har rättsliga följder för en fysisk person eller annars har märkbara verkningar för denne får grundas enbart på automatisk be- handling av personuppgifter, vilka är avsedda att bedöma egenskaper hos den berörda personen, bara om den som berörs av beslutet har möjlighet att på begäran få beslutet omprövat på manuell väg. Var och en som varit föremål för ett sådant beslut som avses i första stycket har rätt att på ansökan få information från den persondataansva- rige om vilka regler som har styrt den automatiska behandling som har lett fram till beslutet. I fråga om ansökan och lämnandet av information gäller i tillämpliga delar bestämmelserna i 26 §. Säkerheten vid behandling De personer som arbetar med personuppgifter 30 § Ett persondatabiträde och den eller de personer som arbetar under dennes eller den persondataansvariges ledning får behandla personupp- gifter bara i enlighet med instruktioner från den persondataansvarige. I fråga om sekretess och tystnadsplikt i det allmännas verksamhet tillämpas i stället bestämmelserna i sekretesslagen (1980:100). Det skall finnas ett skriftligt avtal om persondatabiträdets behandling av personuppgifter för den persondataansvariges räkning. I det avtalet skall det särskilt föreskrivas att persondatabiträdet får behandla personuppgifterna bara i enlighet med instruktioner från den per- sondataansvarige och att persondatabiträdet är skyldigt att vidta de åt- gärder som avses i 31 § första stycket. Skyddsåtgärder 31 § Den persondataansvarige skall vidta lämpliga tekniska och organisa- toriska åtgärder för att skydda de personuppgifter som behandlas. Åtgär- derna skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av a) de tekniska möjligheter som finns, b) vad det skulle kosta att genomföra åtgärderna, c) de särskilda risker som finns med behandlingen av personuppgifterna, och d) hur pass känsliga de behandlade personuppgifterna är. När den persondataansvarige anlitar ett persondatabiträde, skall den persondataansvarige förvissa sig om att persondatabiträdet kan genom- föra de säkerhetsåtgärder som måste vidtas och se till att persondata- biträdet verkligen vidtar åtgärderna. Tillsynsmyndigheten får besluta om skyddsåtgärder 32 § Tillsynsmyndigheten får besluta om vilka skyddsåtgärder som den persondataansvarige skall vidta enligt 31 §. I 47 § finns det bestämmelser om tillsynsmyndighetens möjligheter att förena beslutet med vite. Överföring av personuppgifter till tredje land Förbud mot överföring 33 § Det är förbjudet att till tredje land föra över personuppgifter som be- handlas. Förbudet gäller också överföring av personuppgifter för behand- ling i tredje land. Undantag från förbudet 34 § Utan hinder av 33 § är det tillåtet att föra över personuppgifter till tredje land, om den registrerade har samtyckt till överföringen eller när överföringen är nödvändig för att a) fullgöra ett avtal mellan den registrerade och den persondataansvarige, b) på den registrerades begäran vidta åtgärder innan ett avtal träffas, c) ingå eller fullgöra ett sådant avtal mellan den persondataansvarige och tredje man som är i den registrerades intresse, d) rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras, eller e) skydda vitala intressen för den registrerade. Det är också tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter. 35 § Regeringen får för överföring av personuppgifter till vissa stater föreskriva undantag från förbudet i 33 §. Regeringen får också föreskriva att överföring av personuppgifter till tredje land är tillåten, om över- föringen regleras av ett avtal som innehåller vissa bestämmelser till skydd för de registrerades rättigheter. Regeringen eller den myndighet som regeringen bestämmer får vidare medge undantag från förbudet i 33 §, om det behövs med hänsyn till ett viktigt allmänt intresse eller om det finns tillräckliga garantier till skydd för de registrerades rättigheter. Anmälan till tillsynsmyndigheten Anmälningsskyldighet 36 § Behandling av personuppgifter som är helt eller delvis automatisk omfattas av anmälningsskyldighet. Den persondataansvarige skall innan en sådan behandling eller en serie av sådana behandlingar, som har samma eller liknande ändamål, genomförs göra en skriftlig anmälan till tillsynsmyndigheten. Regeringen eller den myndighet som regeringen bestämmer får före- skriva undantag från anmälningsskyldigheten för sådana typer av be- handlingar som sannolikt inte kommer att leda till otillbörligt intrång i den personliga integriteten. Anmälan behöver inte göras om det finns ett persondataombud 37 § När den persondataansvarige har offentliggjort en uppgift om att ett persondataombud utsetts och vem det är, behöver anmälan enligt 36 § inte göras. Persondataombudets uppgifter 38 § Persondataombudet skall ha till uppgift att självständigt se till att den persondataansvarige behandlar personuppgifter på ett korrekt och lagligt sätt och påpeka eventuella brister för denne. Har persondataombudet anledning att misstänka att den persondataan- svarige bryter mot de bestämmelser som gäller för behandlingen av per- sonuppgifter och vidtas inte rättelse så snart det kan ske efter påpekande, skall persondataombudet anmäla förhållandet till tillsynsmyndigheten. Persondataombudet skall även i övrigt samråda med tillsynsmyndighe- ten vid tveksamhet om hur de bestämmelser som gäller för behandlingen av personuppgifter skall tillämpas. 39 § Persondataombudet skall föra en förteckning över de behandlingar som den persondataansvarige genomför och som skulle ha omfattats av anmälningsskyldighet om ombudet inte hade funnits. Förteckningen skall omfatta åtminstone de uppgifter som en anmälan enligt 36 § skulle ha innehållit. 40 § Persondataombudet skall hjälpa registrerade att få rättelse när det finns anledning att misstänka att behandlade personuppgifter är felaktiga, missvisande eller ofullständiga. Obligatorisk anmälan för särskilt integritetskänsliga behandlingar 41 § Regeringen får föreskriva att vissa behandlingar av personuppgifter som kan innebära särskilda risker för otillbörligt intrång i den personliga integriteten skall för förhandskontroll anmälas till tillsynsmyndigheten enligt 36 § tre veckor i förväg. Om regeringen har meddelat sådana före- skrifter, gäller inte undantaget från anmälningsskyldigheten enligt 37 §. Upplysningar till allmänheten om behandlingar som inte anmälts 42 § Den persondataansvarige skall till var och en som begär det skynd- samt och på lämpligt sätt lämna upplysningar om sådana automatiska eller andra behandlingar av personuppgifter som inte har anmälts till till- synsmyndigheten. Upplysningarna skall omfatta det som en anmälan enligt 36 § skulle ha omfattat. Den persondataansvarige är dock inte skyldig att lämna ut uppgifter om vilka säkerhetsåtgärder som har vidtagits. Skadestånd 43 § Den persondataansvarige skall ersätta den registrerade för den skada som en behandling av personuppgifter i strid med denna lag eller före- skrifter som har meddelats med stöd av lagen har fört med sig. Ersättning skall också betalas för ren förmögenhetsskada och för den kränkning av den personliga integriteten som behandlingen har inneburit. Ersättningsskyldigheten enligt första stycket kan i den utsträckning det är skäligt sättas ned eller helt falla bort, om den persondataansvarige visar att felet inte berodde på honom eller henne. Straff för osanna uppgifter 44 § Till böter eller fängelse högst sex månader eller, om brottet är grovt, till fängelse i högst två år döms den som uppsåtligen eller av oaktsamhet lämnar osann uppgift a) i information till registrerade som föreskrivs i denna lag, b) i anmälan till tillsynsmyndigheten enligt 36 §, eller c) till tillsynsmyndigheten när myndigheten begär information enligt 45 §. Tillsynsmyndighetens befogenheter 45 § Tillsynsmyndigheten har rätt att för sin tillsyn på begäran få a) tillgång till de personuppgifter som behandlas, b) upplysningar och dokumentation rörande behandlingen av personupp- gifter och säkerheten vid denna, och c) tillträde till sådana lokaler som har anknytning till behandlingen av personuppgifter. 46 § Om tillsynsmyndigheten inte efter begäran enligt 45 § kan få tillräckligt underlag för att konstatera att behandlingen av person- uppgifter är laglig, får myndigheten vid vite förbjuda den personda- taansvarige att behandla personuppgifter på annat sätt än genom att lagra dem. 47 § Om tillsynsmyndigheten konstaterar att personuppgifter behandlas eller kan komma att behandlas på ett olagligt sätt, skall myndigheten ge- nom påpekanden eller liknande förfaranden försöka åstadkomma rättelse. Går det inte att få rättelse på annat sätt eller är det riskfyllt att vänta, får myndigheten vid vite förbjuda den persondataansvarige att fortsätta att behandla personuppgifterna på annat sätt än genom att lagra dem. Om den persondataansvarige inte frivilligt följer ett beslut om skyddsåtgärder enligt 32 §, som vunnit laga kraft, får tillsynsmyn- digheten föreskriva vite för att beslutet skall genomföras. 48 § Innan tillsynsmyndigheten beslutar om vite enligt 46 eller 47 §, skall den persondataansvarige ha fått tillfälle att yttra sig. Om det är riskfyllt att vänta, får myndigheten dock i avvaktan på yttrandet meddela ett tillfälligt beslut om vite. Det tillfälliga beslutet skall prövas om, när yttrandetiden har gått ut. Ett vitesföreläggande skall delges den persondataansvarige. Del- givning enligt 12 § delgivningslagen (1970:428) får dock användas bara om det finns skäl att anta att den persondataansvarige har avvikit eller håller sig undan på något annat sätt. 49 § Tillsynsmyndigheten får hos länsrätten i det län där myndigheten är belägen ansöka om att sådana personuppgifter som har behandlats på ett olagligt sätt skall utplånas. Beslut om utplånande får inte meddelas om det är oskäligt. Överklagande 50 § Tillsynsmyndighetens beslut enligt denna lag om annat än generella föreskrifter får överklagas hos allmän förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten. Tillsynsmyndigheten får bestämma att dess beslut skall gälla även om det överklagas. Närmare föreskrifter 51 § Regeringen eller den myndighet som regeringen bestämmer får meddela närmare föreskrifter om a) i vilka fall behandling av personuppgifter är tillåten, b) vilka krav som ställs på den persondataansvarige vid behandling av personuppgifter, c) i vilka fall användning av personnummer är tillåten, d) innehållet i en anmälan eller ansökan till en persondataansvarig, e) vilken information som skall lämnas till registrerade och hur lämnan- det av information skall gå till, och f) anmälan till tillsynsmyndigheten och förfarandet när anmälda uppgifter har ändrats. Övergångsbestämmelser 1. Denna lag träder i kraft den 1 januari 1999, då datalagen (1973:289) skall upphöra att gälla. Den äldre lagen gäller dock fortfarande i fråga om överklagande av beslut som har meddelats före den 1 januari 1999. 2. Beträffande sådan behandling av personuppgifter som pågår vid ikraft- trädandet skall till utgången av september månad 2001 den äldre lagen tillämpas i stället för den nya. Detta gäller även bestämmelserna i den äldre lagen om överklagande. 3. Bestämmelserna i 9, 10, 13 och 21 §§ i den nya lagen skall inte börja tillämpas förrän den 1 oktober 2007 beträffande sådan manuell behandling av personuppgifter som pågår vid ikraftträdandet. 4. Beträffande personuppgifter som vid ikraftträdandet lagras för historisk forskning skall bestämmelserna i 9, 10, 13 och 21 §§ i den nya lagen börja tillämpas först när uppgifterna behandlas på något annat sätt. Dessförinnan skall motsvarande bestämmelser i den äldre lagen tillämpas. De angivna bestämmelserna i den nya lagen skall dock inte till följd av vad som nu sagts börja tillämpas tidigare än vad som följer av punkt 2 eller 3 ovan. 5. Anmälan enligt 36 § i den nya lagen får göras före ikraftträdandet. 6. Ett samtycke som har lämnats före ikraftträdandet skall gälla även efter ikraftträdandet om samtycket uppfyller kraven i den nya lagen. 7. Har en begäran om registerutdrag enligt 10 § i den äldre lagen kommit in före ikraftträdandet men har utdraget inte expedierats före ikraftträ- dandet skall framställningen anses som en ansökan enligt 26 § i den nya lagen. 8. Den nya lagens bestämmelser om skadestånd skall bara tillämpas om den omständighet som yrkandet hänför sig till har inträffat efter ikraft- trädandet. I annat fall tillämpas de äldre bestämmelserna. 2. Förslag till lag om ändring i sekretesslagen (1980:100) Härigenom föreskrivs i fråga om sekretesslagen (1980:100) dels att 15 kap. 13 § skall upphöra att gälla, dels att i 2 kap. 1 och 2 §§, 3 kap. 1 §, 5 kap. 1 §, 6 kap. 1–7 §§, 7 kap. 1 §, 4 §, 6–15 §§ och 19–36 §§, 8 kap. 1–3 §§, 5–19 §§, 21 §, 23 § och 24 § samt 9 kap. 1–5 §§, 8 §, 10–17 §§ och 19–24 §§ orden "uppgift i allmän handling" skall bytas ut mot "allmän uppgift", dels att 1 kap. 1 § och 8–10 §§, 2 kap. 3 §, 5 kap. 2 §, 7 kap. 16 §, 9 kap. 6 §, 15 kap. 1–4 §§ och 6–12 §§, rubriken till 15 kap. samt rubrikerna närmast före 15 kap. 1 och 9 §§ skall ha följande lydelse, dels att det i lagen skall införas närmast före 15 kap. 3 §, 4 §, 6 §, 7 §, 11 § och 12 § nya rubriker av följande lydelse. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Nuvarande lydelse Föreslagen lydelse 7 kap. 16 § Sekretess gäller för person- uppgift i personregister som avses i datalagen (1973:289), om det kan antas att utlämnande skulle medföra att uppgiften används för automatisk databehandling i strid med datalagen. Sekretess gäller för personupp- gift, om det kan antas att ett ut- lämnande skulle medföra att upp- giften behandlas i strid med persondatalagen (1998:000). Sekretess för uppgift som anges i första stycket gäller också, om det kan antas att utlämnande skulle medföra att uppgiften används för automatisk databehandling i utlan- det och att detta medför otillbörligt intrång i personlig integritet. Vid tillämpning av denna bestämmelse ankommer det på datainspektionen att pröva fråga om utlämnande. Sekretess enligt detta stycke gäller dock ej, om uppgiften skall använ- das för automatisk databehandling enbart i en stat som har anslutit sig till Europarådets konvention om skydd för enskilda vid automatisk behandling av personuppgifter. 9 kap. 6 § Sekretess gäller hos datain- spektionen i ärende om tillstånd eller till-syn, som enligt lag ankom- mer på inspektionen, och i ärende om sådant bistånd som avses i Europarådets konvention om skydd för enskilda vid automatisk databe- handling av personuppgifter, för uppgift om enskilds personliga eller ekonomiska förhållanden, om det kan antas att den enskilde eller någon honom närstående lider skada eller men om uppgiften röjs. Har uppgift, för vilken gäller sekre- tess enligt vad nu har sagts, lämnats till regeringen eller justitie- kanslern, gäller sekretessen också där. Sekretess gäller hos Datainspek- tionen i ärende om tillstånd eller tillsyn, som enligt lag eller annan författning ankommer på inspek- tionen, och i ärende om sådant bi- stånd som av-ses i Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter, för uppgift om en- skilds personliga eller ekonomiska förhållanden, om det kan antas att den enskilde eller någon honom närstående lider skada eller men om uppgiften röjs. Har upp-gift, för vilken gäller sekretess en-ligt vad nu har sagts, lämnats till Justitie- kanslern, gäller sekretessen också där. I fråga om uppgift i allmän handling gäller sekretessen i högst sjuttio år. I fråga om allmän uppgift gäller sekretessen i högst sjuttio år. 15 kap. 11 § Varje myndighet skall för allmänheten hålla tillgänglig beskrivning av de register, för- teckningar eller andra anteckningar hos myndigheten som förs med hjälp av automatisk databehandling (ADB-register). Sådan skyldighet föreligger dock inte i fråga om ADB-register som inte till någon del anses som allmän handling hos myndigheten. Myndig- heten är inte heller skyldig att tillhandahålla beskrivning som uppenbarligen skulle vara av ringa betydelse för enskildas rätt att ta del av allmänna handlingar hos myndigheten. Om en myndighet för handlägg- ningen av ett mål eller ärende an- vänder en uppgift i en databas skall uppgiften på lämpligt sätt tillföras målet eller ärendet. Beskrivning som avses i första stycket skall ge upplysning om 1. ADB-registrets benämning, 2. ADB-registrets ändamål, 3. vilka typer av uppgifter i ADB-registret som myndigheten har tillgång till och på vilket sätt dessa uppgifter normalt inhämtas, 4. hos vilka andra myndigheter ADB-registret är tillgängligt för över-föring till läsbar form, 5. vilka terminaler eller andra tekniska hjälpmedel som enskild själv kan få utnyttja hos myndig- heten, 6. vilka bestämmelser om sekre- tess som myndigheten vanligen skall tillämpa på uppgifter i ADB- registret, 7. vem som hos myndigheten kan lämna närmare upplysningar om ADB-registret och dess användning i myndighetens verksamhet, 8. rätt till försäljning av person- uppgifter i personregister som avses i datalagen (1973:289). I beskrivningen skall dock uppgift enligt andra stycket utelämnas, om det behövs för att beskrivningen i övriga delar skall kunna företes för allmänheten. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 1. Denna lag träder i kraft den 1 januari 1999. 2. Beträffande uppgift i ärende som avgjorts genom beslut av Datainspektionen före den 1 januari 1999 gäller dock fortfarande 9 kap. 6 § i den äldre lydelsen. Sammanfattning av Statskontorets rapport Konsekvensanalys av Datalagskommitténs betänkande SOU 1997:39 (Rapport 1997:11) Inledning Regeringen har uppdragit åt Statskontoret att analysera de ekonomiska konsekvenserna av Datalagskommitténs förslag i betänkandet (SOU 1997:39) Integritet, Offentlighet, Informationsteknik. Arbetet har bedrivits i form av ett projekt där ett antal berörda myn- digheter medverkat. I uppdraget betonas särskilt att de myndigheter som är intäktsfinan- serade skall uppmärksammas och speciellt hur s.k. massuttag för kom- mersiella ändamål påverkar deras verksamhet. Statskontoret har koncentrerat sina insatser till följande avsnitt i utred- ningen: Utlämnande av allmänna uppgifter. Automatiserade beslut i myndigheternas datorprogram. Ett ökat antal sekretessprövningar. Datainspektionens finansiering. Informationsskyldighet enligt persondatalagen. Persondataombud. Kostnad I rapporten redovisas dels förändringar i myndigheternas penningström- mar som övergångsvis kan orsaka ekonomiska problem, dels direkta kostnadsökningar som orsakas av utredningsförslagen. Statskontoret har kartlagt och analyserat effekterna av förslaget genom noggranna undersökningar av penningströmmar hos de myndigheter som hanterar grunddata. Den sammanlagda kostnadsökningen för dessa myndigheter har upp- skattats till 185 000 tkr. Statskontoret har också punktvis uppskattat intäktsbortfall och ökade kostnader vid några myndigheter som säljer offentlig information i stor omfattning. Statskontoret uppskattar intäktsbortfallet för dessa myndig- heter till 40 000 tkr. Statskontoret har tillsammans med tre myndigheter som använder sig av automatiserade beslut i sin verksamhet uppskattat kostnadsökningen av att utöver sedvanlig teknisk dokumentation ta fram av utredningen föreslagna beskrivningar. Statskontoret uppskattar myndigheternas kostnader till 40 000 tkr. Med Datalagskommitténs förslag försvinner Datainspektionens nu- varande finansieringsmöjligheter vilket innebär att kostnaden för staten ökar med ca 23 000 tkr. Statskontoret har också funnit att informationsskyldighet enligt persondatalagen och ett ökat antal sekretessprövningar innebär ökade kostnader för offentlig förvaltning, men osäkerheten är så stor att det inte är meningsfullt att ange ett belopp. De på detta sätt beräknade kostnaderna för staten uppgår sammanlagt till 288 000 tkr. Med hänsyn till att endast punktvisa undersökningar har kunnat göras av den statliga förvaltningen bedömer vi att det angivna beloppet bör höjas väsentligt för att erhålla en realistisk total kostnadsuppskattning. Statskontoret har inte gjort några kostnadsbedömningar avseende konsekvenserna för kommuner, landsting och samhället i övrigt. Finansiering Statskontoret har, i enlighet med uppdraget, mot bakgrund av utgiftshöj- ningen övervägt möjligheterna till finansiering. Statskontoret har funnit följande möjligheter: att myndigheter som har verksamheter med anknytning till infor- mationsmarknaden ses över med avseende på verksamhetsform. Lagförslaget innebär förändrade förutsättningar för myndigheter som har verksamheter med nära anknytning till informationsmarknaden. att avgiftsförordningen IT-anpassas. En avgift för elektroniska offentlighetsuttag bestäms utifrån den princip som Statskontoret och Grunddatabasutredningen (Dir 1996:43) efter samråd har enats om. Det innebär att ett elektroniskt uttag enligt offentlighetsprincipen (2 kap. 15 § i föreslagen ny lydelse av TF) skall kunna ske på två sätt; en mindre mängd lämnas ut avgiftsfritt ett begränsat antal gånger per dag och person/adress (det som först uppfylls). Mer omfattande uttag kan ske mot avgift. Avgiften bör utformas så att den är enkel att förstå för allmänheten och enkel att tillämpa i myndigheternas verksamhet samt kostnadsneutral gentemot den uppdragsverksamhet som myndigheten eventuellt bedriver med stöd av IT. Själva utlämnandet på elektroniskt medium bör följa självkostnadsprincipen. Förslaget utvecklas vidare av Grunddatabasutredningen. att offentlig förvaltning, för att förenkla utlämnandet av allmänna uppgifter, åläggs att klassificera informationen i åtminstone följande grupper: Uppgifter som inte är att anse som allmänna. Uppgifter som är allmänna och som kan vara föremål för sekretess. Uppgifter som är allmänna och som inte kan vara föremål för sekretess. att Datainspektionen i huvudsak finansieras genom tillsynsavgifter och i övrigt som ett stabsorgan över statsbudgeten via ramanslag. Genom att Datainspektionen ges möjlighet att ta ut avgifter för tillsynen kan statens kostnad begränsas. Statskontoret uppskattar statens kostnad vid en sådan blandfinansiering till 10 000 tkr. Förteckning över remissinstanser Remissyttranden över Datalagskommitténs betänkande Integritet – Offentlighet – Informationsteknik (SOU 1997:39) eller Statskontorets rapport Konsekvensanalys av Datalagskommitténs betänkande SOU 1997:39 (Rapport 1997:11) har avgetts av Riksdagens ombudsmän, Svea hovrätt, Hovrätten över Skåne och Blekinge, Malmö tingsrätt, Kammar- rätten i Stockholm, Kammarrätten i Göteborg, Länsrätten i Stockholms län, Justitiekanslern, Domstolsverket, Riksåklagaren, Rikspolisstyrelsen, Kriminalvårdsstyrelsen, Datainspektionen, Försvarsmakten, Totalför- svarets pliktverk, Överstyrelsen för civil beredskap, Riksförsäkrings- verket, Socialstyrelsen, Folkhälsoinstitutet, Socialvetenskapliga forsk- ningsrådet, Jämställdhetsombudsmannen (JÄMO), Post- och Telestyrel- sen, Vägverket, Kommunikationsforskningsberedningen, Posten AB, Telia AB, Statskontoret, Statens person- och adressregisternämnd, Gene- raltullstyrelsen, Statistiska centralbyrån, Finansinspektionen, Riksre- visionsverket, Riksskatteverket, Statens löne- och pensionsverk, Statens skolverk, Forskningsrådsnämnden, Humanistiskt-samhällsvetenskapliga forskningsrådet, Medicinska forskningsrådet, Naturvetenskapliga forsk- ningsrådet, Centrala Studiestödsnämnden (CSN), Juridiska fakultets- nämnden vid Stockholms universitet, Karolinska institutet, Juridiska fakultetsnämnden vid Uppsala universitet, Juridiska fakultetsnämnden vid Lunds universitet, Högskolan i Karlstad, Universitetet i Umeå, Skogs- och jordbrukets forskningsråd, Sveriges lantbruksuniversitet, Arbetsmarknadsstyrelsen (AMS), Arbetslivsinstitutet, Arbetarskyddsstyrelsen, Riksarkivet, Konkurrensverket, Patent- och registreringsverket, Svenska kyrkans centralstyrelse, Lantmäteriverket, Stockholms kommun, Norrköpings kommun, Jönköpings kommun, Malmö kommun, Varbergs kommun, Göteborgs kommun, Härnösands kommun, Umeå kommun, Kiruna kommun, Stockholms läns landsting, Kalmar läns landsting, Jämtlands läns landsting, Vetenskapsakademien, Sveriges författarförbund, Svenska Kommunförbundet, Landstingsförbundet, Svenska kyrkans Församlings- och Pastoratsförbund, Sveriges advokatsamfund, Sveriges köpmannaförbund, Sveriges industriförbund, Företagarnas Riksorganisation, Sveriges Försäkringsförbund, Sveriges Radio AB, Sveriges Television AB, Tjänstemännens Centralorganisation (TCO), Sveriges Akademikers Centralorganisation (SACO), Landsorganisationen i Sverige (LO), Svenska Arbetsgivareföreningen, Företagens Uppgiftslämnardelegation, Svenska journalistförbundet, Svenska tidningsutgivareföreningen, Pressens Opinionsnämnd, Svenska Bankföreningen, Sema Group Info- Data AB, Dataföreningen i Sverige, Medborgarrättsrörelsen i Sverige, Internationella Juristkommissionen, svenska avdelningen, Föreningen Grävande Journalister, Swedish Direct Marketing Association (SWED- MA), Svenska Inkassoföreningen, Tele 2 AB, Näringslivets Telekom- mitté, Svenska IT-företagens organisation, Kungliga biblioteket, Upplys- ningsCentralen UC AB, Sveriges Geologiska Undersökning (SGU), Hälso- och sjukvårdens utvecklingsinstitut (SPRI), Landstinget i Öster- götland, Carin Hedström, Dow Europe, Svensk Byggtjänst, Läkemedels- industriföreningen, Sveriges Släktforskarförbund, Konstnärliga och litterära yrkesutövares samarbetsnämnd (KLYS), Sjöfartsverket, Jacob Palme och Claes Tullbrink. Riksskatteverket har bifogat yttranden av skattemyndigheterna i Gävleborgs, Göteborgs och Bohus, Skåne och Stockholms län och av kronofogdemyndigheterna i Malmö och Stockholm. Sveriges Akademikers Centralorganisation (SACO) har översänt ett yttrande av Sveriges Psykologförbund. Följande remissinstanser har beretts tillfälle men inte kommit in med yttrande: Chalmers tekniska högskola, Tidningarnas Telegrambyrå (TT), Publicistklubben, Stiftelsen Allmänhetens Pressombudsman, TV 4 AB, Arkivrådet AAS, Informationsproducentföreningen (IPF) och Föreningen säkrad elektronisk information i samhället (SEIS). Lagrådsremissens lagförslag Regeringen har följande förslag till lagtext. 1. Förslag till personuppgiftslag Härigenom föreskrivs1 följande. Allmänna bestämmelser Syftet med lagen 1 § Syftet med denna lag är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Avvikande bestämmelser i annan författtning 2 § Om det i en annan lag eller i en förordning finns bestämmelser som avviker från denna lag, skall de bestämmelserna gälla. Definitioner 3 § I denna lag används följande beteckningar med nedan angiven bety- delse. Beteckning Betydelse Behandling (av person- uppgifter) Varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, an- vändning, utlämnande genom översändande, spridning eller annat tillhandahållande av upp- gifter, sammanställning eller samkörning, blockering, utplåning eller förstöring. Blockering (av person- uppgifter) Varje åtgärd som kan vidtas för att personupp- gifterna i alla sammanhang skall vara för- knippade med tydlig information om att de är spärrade och om anledningen till spärren och för att personuppgifterna inte skall lämnas ut till tredje man annat än med stöd av 2 kap. tryckfrihetsförordningen. Mottagare Den till vilken personuppgifter lämnas ut. När personuppgifter lämnas ut för att en myndighet skall kunna utföra sådan tillsyn, kontroll eller revision som den är skyldig att sköta, anses dock inte myndigheten som mottagare. Personuppgifter All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i li- vet. Personuppgiftsansvarig Den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Personuppgiftsbiträde Den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Personuppgiftsombud Den fysiska person som, efter förordnande av den personuppgiftsansvarige, självständigt skall se till att personuppgifter behandlas på ett korrekt och lagligt sätt. Den registrerade Den som en personuppgift avser. Samtycke Varje slag av frivillig, särskild och informerad viljeyttring genom vilken den registrerade godtar behandling av personuppgifter som rör honom eller henne. Tillsynsmyndigheten Den myndighet som regeringen utser. Tredje land En stat som inte ingår i Europeiska unionen eller är ansluten till Europeiska ekonomiska samarbetsområdet. Tredje man Någon annan än den registrerade, den person- uppgiftsansvarige, personuppgiftsombudet, personuppgiftsbiträdet och sådana personer som under den personuppgiftsansvariges eller personuppgiftsbiträdets direkta ansvar har befogenhet att behandla personuppgifter. Tillämpningsområde Det territoriella tillämpningsområdet 4 § Denna lag gäller för sådana personuppgiftsansvariga som är etable- rade i Sverige. Lagen tillämpas också när den personuppgiftsansvarige är etablerad i tredje land men för behandlingen av personuppgifter använder sig av utrustning som finns i Sverige. Vad som nu sagts gäller dock inte om utrustningen bara används för att överföra uppgifter mellan ett tredje land och ett annat sådant land. I det fall som avses i andra stycket första meningen skall den person- uppgiftsansvarige utse en företrädare för sig som är etablerad i Sverige. Vad som anges i denna lag om den personuppgiftsansvarige skall också gälla för företrädaren. Den behandling av personuppgifter som omfattas av lagen 5 § Denna lag gäller för sådan behandling av personuppgifter som helt eller delvis är automatisk. Lagen gäller även för annan behandling av personuppgifter, om upp- gifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Undantag för privat behandling av personuppgifter 6 § Denna lag gäller inte för sådan behandling av personuppgifter som en fysisk person utför som ett led i en verksamhet av rent privat natur. Förhållandet till och undantag med hänsyn till tryck- och yttrandefriheten 7 § Bestämmelserna i denna lag tillämpas inte i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen. Bestämmelserna i 9–29 och 33–44 §§ samt 45 § första stycket och 47 - 49 §§ skall under inga förhållanden tillämpas på spridningen av innehållet i yttranden som tidigare utgetts, sänts eller spritts på ett sådant sätt som avses i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen. Dessa bestämmelser skall inte heller tillämpas på sådan behandling av personuppgifter som annars sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande. Förhållandet till och undantag med hänsyn till offentlighetsprincipen 8 § Bestämmelserna i denna lag tillämpas inte i den utsträckning det skulle inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsför- ordningen att lämna ut personuppgifter. Bestämmelserna hindrar inte heller att en myndighet arkiverar och be- varar allmänna handlingar eller att arkivmaterial tas om hand av en arkiv- myndighet. Bestämmelsen i 9 § fjärde stycket gäller inte för en myndighets användning av personuppgifter i allmänna handlingar. Grundläggande krav på behandlingen av personuppgifter 9 § Den personuppgiftsansvarige skall se till att a) personuppgifter behandlas bara om det är lagligt, b) personuppgifter alltid behandlas på ett korrekt sätt, c) personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål, d) personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in, e) de personuppgifter som behandlas är adekvata och relevanta i för- hållande till ändamålen med behandlingen, f) inte fler personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen, g) de personuppgifter som behandlas är riktiga och, om det är nöd- vändigt, aktuella, h) alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen, och i) personuppgifter inte bevaras under en längre tid än vad som är nöd- vändigt med hänsyn till ändamålen med behandlingen. I fråga om första stycket d gäller dock att en behandling av person- uppgifter för historiska, statistiska eller vetenskapliga ändamål inte skall anses som oförenlig med de ändamål för vilka uppgifterna samlades in. Personuppgifter får bevaras under längre tid än som sagts i första stycket i för historiska, statistiska eller vetenskapliga ändamål. Person- uppgifterna får dock i sådana fall inte bevaras under en längre tid än vad som behövs för dessa ändamål. Personuppgifter som behandlas för historiska, statistiska eller veten- skapliga ändamål får användas för att vidta åtgärder i fråga om den registrerade bara om den registrerade har lämnat sitt samtycke eller det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. När behandling av personuppgifter är tillåten 10 § Personuppgifter får behandlas bara om den registrerade har lämnat sitt otvetydiga samtycke till behandlingen eller om behandlingen är nödvändig för att a) ett avtal med den registrerade skall kunna fullgöras, b) åtgärder som den registrerade begärt skall kunna vidtas innan ett avtal träffas, c) den personuppgiftsansvarige skall kunna fullgöra en rättslig skyl- dighet, d) vitala intressen för den registrerade skall kunna skyddas, e) en arbetsuppgift av allmänt intresse skall kunna utföras, f) den personuppgiftsansvarige eller en tredje man till vilken person- uppgifter lämnas ut skall kunna utföra en arbetsuppgift i samband med myndighetsutövning, eller g) ett ändamål som rör ett berättigat intresse hos den personuppgifts- ansvarige eller hos en sådan tredje man till vilken personuppgifterna läm- nas ut skall kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga inte- griteten. Direkt marknadsföring 11 § Personuppgifter får inte behandlas för ändamål som rör direkt mark- nadsföring, om den registrerade hos den personuppgiftsansvarige skriftli- gen har anmält att han eller hon motsätter sig sådan behandling. Samtycke återkallas 12 § I de fall där behandling av personuppgifter bara är tillåten när den registrerade har lämnat sitt samtycke enligt 10, 15 eller 34 § har den re- gistrerade rätt att när som helst återkalla ett lämnat samtycke. Ytterligare personuppgifter om den registrerade får därefter inte behandlas. En registrerad har utöver vad som följer av första stycket och 11 § inte rätt att motsätta sig sådan behandling av personuppgifter som är tillåten enligt denna lag. Förbud mot behandling av känsliga personuppgifter 13 § Det är förbjudet att behandla personuppgifter som avslöjar a) ras eller etniskt ursprung, b) politiska åsikter, c) religiös eller filosofisk övertygelse, eller d) medlemskap i fackförening. Det är också förbjudet att behandla sådana personuppgifter som rör hälsa eller sexualliv. Uppgifter av den art som anges i första och andra stycket betecknas i denna lag som känsliga personuppgifter. Undantag från förbudet mot behandling av känsliga personuppgifter 14 § Det är trots 13 § tillåtet att behandla känsliga personuppgifter i de fall som anges i 15–19 §§. I 10 § finns det bestämmelser om i vilka fall behandling av personupp- gifter över huvud taget är tillåten. Samtycke eller offentliggörande 15 § Känsliga personuppgifter får behandlas, om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt offentliggjort uppgifterna. Behandlingen är nödvändig i vissa fall 16 § Känsliga personuppgifter får behandlas om behandlingen är nödvän- dig för att a) den personuppgiftsansvarige skall kunna fullgöra sina skyldigheter eller utöva sina rättigheter inom arbetsrätten, b) den registrerades eller någon annans vitala intressen skall kunna skyddas och den registrerade inte kan lämna sitt samtycke, eller c) rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras. Uppgifter som behandlas med stöd av första stycket a får lämnas ut till tredje man bara om det inom arbetsrätten finns en uttrycklig skyldighet för den personuppgiftsansvarige att göra det eller den registrerade har samtyckt till utlämnandet. Ideella organisationer 17 § Ideella organisationer med politiskt, filosofiskt, religiöst eller fack- ligt syfte får inom ramen för sin verksamhet behandla känsliga person- uppgifter om organisationens medlemmar och sådana andra personer som på grund av organisationens syfte har regelbunden kontakt med den. Känsliga personuppgifter får dock lämnas ut till tredje man bara om den registrerade har samtyckt till det. Hälso- och sjukvård 18 § Känsliga personuppgifter får behandlas för hälso- och sjukvårds- ändamål, om behandlingen är nödvändig för a) förebyggande hälso- och sjukvård, b) medicinska diagnoser, c) vård eller behandling, eller d) administration av hälso- och sjukvård. Den som är yrkesmässigt verksam inom hälso- och sjukvårdsområdet och har tystnadsplikt får alltid behandla känsliga personuppgifter som omfattas av tystnadsplikten. Detsamma gäller den som är underkastad en liknande tystnadsplikt och som har fått känsliga personuppgifter från verksamhet inom hälso- och sjukvårdsområdet. Forskning och statistik 19 § Känsliga personuppgifter får behandlas för forsknings- och statistik- ändamål, om behandlingen är nödvändig och om samhällsintresset av det forsknings- eller statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som be- handlingen kan innebära. Har projektet godkänts av en forskningsetisk kommitté, skall förutsätt- ningarna enligt första stycket anses uppfyllda. Med forskningsetisk kom- mitté avses ett sådant särskilt organ för prövning av forskningsetiska frågor som har företrädare för såväl det allmänna som forskningen och som är knutet till ett universitet eller en högskola eller till någon annan instans som i mera betydande omfattning finansierar forskning. Personuppgifter får lämnas ut för att användas i sådana projekt som avses i första stycket, om inte något annat följer av regler om sekretess och tystnadsplikt. Bemyndigande att föreskriva ytterligare undantag 20 § Regeringen eller den myndighet som regeringen bestämmer får i fråga om automatisk behandling av personuppgifter meddela föreskrifter om ytterligare undantag från förbudet i 13 §, om det behövs med hänsyn till ett viktigt allmänt intresse. Uppgifter om lagöverträdelser m.m. 21 § Det är förbjudet för andra än myndigheter att behandla person- uppgifter om lagöverträdelser, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Regeringen eller den myndighet som regeringen bestämmer får i fråga om automatisk behandling av personuppgifter meddela föreskrifter om undantag från förbudet i första stycket. Regeringen får i enskilda fall besluta om undantag från förbudet i första stycket. Regeringen får överlåta åt tillsynsmyndigheten att fatta sådana beslut. Användning av personnummer 22 § Uppgifter om personnummer får behandlas bara när det är klart motiverat med hänsyn till a) ändamålet med behandlingen, b) vikten av en säker identifiering, eller c) något annat beaktansvärt skäl. Information till den registrerade Information skall lämnas självmant när uppgifterna samlas in 23 § När uppgifter om en person samlas in från personen själv, skall den personuppgiftsansvarige självmant lämna den registrerade information om behandlingen av uppgifterna. 24 § Om personuppgifterna har samlats in från någon annan källa än den registrerade, skall den personuppgiftsansvarige självmant lämna den registrerade information om behandlingen av uppgifterna när de noteras. Är uppgifterna avsedda att lämnas ut till tredje man, behöver informa- tionen dock lämnas först när uppgifterna lämnas ut för första gången. Information enligt första stycket behöver inte lämnas, om det finns be- stämmelser om registrerandet eller utlämnandet av personuppgifterna i en lag eller någon annan författning. Information behöver inte heller lämnas enligt första stycket, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor ar- betsinsats. Om uppgifterna används för att vidta åtgärder som rör den registrerade, skall dock information alltid lämnas senast i samband med att så sker. Den information som skall lämnas självmant 25 § Information enligt 23 § eller 24 § första stycket skall omfatta a) uppgift om den personuppgiftsansvariges identitet, b) uppgift om ändamålen med behandlingen, och c) all övrig information som behövs för att den registrerade skall kunna ta till vara sina rättigheter, såsom information om mottagarna av uppgifterna, skyldighet att lämna uppgifter och rätten att ansöka om information och få rättelse. Information behöver dock inte lämnas om sådant som den registrerade redan känner till. Information skall också lämnas efter ansökan 26 § Den personuppgiftsansvarige är skyldig att en gång per kalenderår gratis lämna information till var och en som ansöker om det, om person- uppgifter som rör den sökande behandlas eller inte. Behandlas sådana uppgifter skall skriftlig information lämnas också om a) vilka uppgifter om den sökande som behandlas, b) varifrån dessa uppgifter har hämtats, c) ändamålen med behandlingen, och d) till vilka mottagare eller kategorier av mottagare som uppgifterna läm- nas ut. En ansökan enligt första stycket skall göras skriftligen hos den person- uppgiftsansvarige och vara undertecknad av den sökande själv. Informa- tion enligt första stycket skall lämnas inom en månad från det att ansökan gjordes. Om det finns särskilda skäl för det, får information dock lämnas senast fyra månader efter det att ansökan gjordes. Information enligt första stycket behöver inte lämnas om person- uppgifter i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör minnesanteckning eller liknande. Vad som nu sagts gäller dock inte om uppgifterna har lämnats ut till tredje man eller om uppgifterna behandlas bara för historiska, statistiska eller veten- skapliga ändamål eller, när det gäller löpande text som inte fått sin slutliga utformning, om uppgifterna har behandlats under längre tid än ett år. Undantag från informationsskyldigheten vid sekretess och tystnadsplikt 27 § I den utsträckning det är särskilt föreskrivet i lag eller annan författ- ning eller i beslut som har meddelats med stöd av författning att uppgifter inte får lämnas ut till den registrerade gäller inte bestämmelserna i 23–26 §§. En personuppgiftsansvarig som inte är en myndighet får därvid i motsvarande fall som avses i sekretesslagen (1980:100) vägra att lämna ut uppgifter till den registrerade. Rättelse 28 § Den personuppgiftsansvarige är skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med denna lag eller föreskrifter som har utfärdats med stöd av lagen. Den personuppgiftsansvarige skall också underrätta tredje man till vilken uppgifterna har lämnats ut om åtgärden, om den registrerade begär det eller om en underrättelse skulle kunna undvika mera betydande skada eller olägenhet för den registrerade. Någon sådan underrättelse behöver dock inte lämnas, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Automatiserade beslut 29 § Ett beslut som har rättsliga följder för en fysisk person eller annars har märkbara verkningar för den fysiska personen får grundas enbart på automatisk behandling av personuppgifter som är avsedda att bedöma egenskaper hos personen, bara om den som berörs av beslutet har möjlighet att på begäran få beslutet omprövat av någon person. Var och en som varit föremål för ett sådant beslut som avses i första stycket har rätt att på ansökan få information från den person- uppgiftsansvarige om vad som har styrt den automatiska behandling som lett fram till beslutet. I fråga om ansökan och lämnandet av information gäller i tillämpliga delar bestämmelserna i 26 §. Säkerheten vid behandling Personer som behandlar personuppgifter 30 § Ett personuppgiftsbiträde och den eller de personer som arbetar under biträdets eller den personuppgiftsansvariges ledning får behandla personuppgifter bara i enlighet med instruktioner från den person- uppgiftsansvarige. I fråga om sekretess och tystnadsplikt i det allmännas verksamhet tillämpas i stället bestämmelserna i sekretesslagen (1980:100). Det skall finnas ett skriftligt avtal om personuppgiftsbiträdets behand- ling av personuppgifter för den personuppgiftsansvariges räkning. I det avtalet skall det särskilt föreskrivas att personuppgiftsbiträdet får behandla personuppgifterna bara i enlighet med instruktioner från den personuppgiftsansvarige och att personuppgiftsbiträdet är skyldigt att vidta de åtgärder som avses i 31 § första stycket. Säkerhetsåtgärder 31 § Den personuppgiftsansvarige skall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som be- handlas. Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av a) de tekniska möjligheter som finns, b) vad det skulle kosta att genomföra åtgärderna, c) de särskilda risker som finns med behandlingen av personuppgifterna, och d) hur pass känsliga de behandlade personuppgifterna är. När den personuppgiftsansvarige anlitar ett personuppgiftsbiträde, skall den personuppgiftsansvarige förvissa sig om att person- uppgiftsbiträdet kan genomföra de säkerhetsåtgärder som måste vidtas och se till att personuppgiftsbiträdet verkligen vidtar åtgärderna. Tillsynsmyndigheten får besluta om säkerhetsåtgärder 32 § Tillsynsmyndigheten får i enskilda fall besluta om vilka säkerhets- åtgärder som den personuppgiftsansvarige skall vidta enligt 31 §. I 45 § finns det bestämmelser om tillsynsmyndighetens möjligheter att förena beslutet med vite. Överföring av personuppgifter till tredje land Förbud mot överföring av personuppgifter till tredje land 33 § Det är förbjudet att till tredje land föra över personuppgifter som är under behandling. Förbudet gäller också överföring av personuppgifter för behandling i tredje land. Undantag från förbudet mot överföring av personuppgifter till tredje land 34 § Det är trots 33 § tillåtet att föra över personuppgifter till tredje land, om den registrerade otvetydigt har samtyckt till överföringen eller när överföringen är nödvändig för att a) ett avtal mellan den registrerade och den personuppgiftsansvarige skall kunna fullgöras, b) åtgärder som den registrerade begärt skall kunna vidtas innan ett avtal träffas, c) ett sådant avtal mellan den personuppgiftsansvarige och tredje man som är i den registrerades intresse skall kunna ingås eller fullgöras, d) rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras, eller e) vitala intressen för den registrerade skall kunna skyddas. Det är också tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter. 35 § Regeringen får i fråga om automatisk behandling av personuppgifter meddela föreskrifter om undantag från förbudet i 33 § för överföring av personuppgifter till vissa stater. Regeringen får också i fråga om automatisk behandling av personuppgifter meddela föreskrifter om att överföring av personuppgifter till tredje land är tillåten, om överföringen regleras av ett avtal som innehåller vissa bestämmelser till skydd för de registrerades rättigheter. Regeringen eller den myndighet som regeringen bestämmer får vidare i fråga om automatisk behandling av personuppgifter meddela föreskrifter om undantag från förbudet i 33 §, om det behövs med hänsyn till ett viktigt allmänt intresse eller om det finns tillräckliga garantier till skydd för de registrerades rättigheter. Regeringen får under de förutsättningar som nämns i andra stycket i enskilda fall besluta om undantag från förbudet i 33 §. Regeringen får överlåta åt tillsynsmyndigheten att fatta sådana beslut. Anmälan till tillsynsmyndigheten Anmälningsskyldighet 36 § Behandling av personuppgifter som är helt eller delvis automatisk omfattas av anmälningsskyldighet. Den personuppgiftsansvarige skall göra en skriftlig anmälan till tillsynsmyndigheten innan en sådan behandling eller en serie av sådana behandlingar, som har samma eller liknande ändamål, genomförs. Regeringen eller den myndighet som regeringen bestämmer får med- dela föreskrifter om undantag från anmälningsskyldigheten för sådana typer av behandlingar som sannolikt inte kommer att leda till otillbörligt intrång i den personliga integriteten. Anmälan behöver inte göras om det finns ett personuppgiftsombud 37 § Om den personuppgiftsansvarige till tillsynsmyndigheten har anmält att ett personuppgiftsombud utsetts och vem det är, behöver anmälan enligt 36 § inte göras. Även ett entledigande av ett personuppgiftsombud skall anmälas till tillsynsmyndigheten. Personuppgiftsombudets uppgifter 38 § Personuppgiftsombudet skall ha till uppgift att självständigt se till att den personuppgiftsansvarige behandlar personuppgifter på ett korrekt och lagligt sätt och påpeka eventuella brister för honom eller henne. Har personuppgiftsombudet anledning att misstänka att den person- uppgiftsansvarige bryter mot de bestämmelser som gäller för behand- lingen av personuppgifter och vidtas inte rättelse så snart det kan ske efter påpekande, skall personuppgiftsombudet anmäla förhållandet till tillsynsmyndigheten. Personuppgiftsombudet skall även i övrigt samråda med tillsynsmyn- digheten vid tveksamhet om hur de bestämmelser som gäller för behandlingen av personuppgifter skall tillämpas. 39 § Personuppgiftsombudet skall föra en förteckning över de be- handlingar som den personuppgiftsansvarige genomför och som skulle ha omfattats av anmälningsskyldighet om ombudet inte hade funnits. Förteckningen skall omfatta åtminstone de uppgifter som en anmälan enligt 36 § skulle ha innehållit. 40 § Personuppgiftsombudet skall hjälpa registrerade att få rättelse när det finns anledning att misstänka att behandlade personuppgifter är felaktiga eller ofullständiga. Obligatorisk anmälan för särskilt integritetskänsliga behandlingar 41 § Regeringen får meddela föreskrifter om att vissa automatiska behandlingar av personuppgifter som kan innebära särskilda risker för otillbörligt intrång i den personliga integriteten skall för förhandskontroll anmälas till tillsynsmyndigheten enligt 36 § tre veckor i förväg. Om regeringen har meddelat sådana föreskrifter, gäller inte undantaget från anmälningsskyldigheten enligt 37 §. Upplysningar till allmänheten om behandlingar som inte anmälts 42 § Den personuppgiftsansvarige skall till var och en som begär det skyndsamt och på lämpligt sätt lämna upplysningar om sådana auto- matiska eller andra behandlingar av personuppgifter som inte har anmälts till tillsynsmyndigheten. Upplysningarna skall omfatta det som en anmälan enligt 36 § skulle ha omfattat. Den personuppgiftsansvarige är dock inte skyldig att lämna ut sekretessbelagda uppgifter eller uppgifter om vilka säkerhetsåtgärder som har vidtagits. En personuppgiftsansvarig som inte är myndighet får därvid i motsvarande fall som avses i sekretesslagen (1980:100) låta bli att lämna ut uppgifter. Tillsynsmyndighetens befogenheter 43 § Tillsynsmyndigheten har rätt att för sin tillsyn på begäran få a) tillgång till de personuppgifter som behandlas, b) upplysningar om och dokumentation rörande behandlingen av person- uppgifter och säkerheten vid denna, och c) tillträde till sådana lokaler som har anknytning till behandlingen av personuppgifter. 44 § Om tillsynsmyndigheten inte efter begäran enligt 43 § kan få tillräckligt underlag för att konstatera att behandlingen av person- uppgifter är laglig, får myndigheten vid vite förbjuda den person- uppgiftsansvarige att behandla personuppgifter på något annat sätt än genom att lagra dem. 45 § Om tillsynsmyndigheten konstaterar att personuppgifter behandlas eller kan komma att behandlas på ett olagligt sätt, skall myndigheten ge- nom påpekanden eller liknande förfaranden försöka åstadkomma rättelse. Går det inte att få rättelse på något annat sätt eller är det riskfyllt att vänta, får myndigheten vid vite förbjuda den personuppgiftsansvarige att fortsätta att behandla personuppgifterna på något annat sätt än genom att lagra dem. Om den personuppgiftsansvarige inte frivilligt följer ett beslut om säkerhetsåtgärder enligt 32 § som vunnit laga kraft, får tillsynsmyn- digheten föreskriva vite för att beslutet skall genomföras. 46 § Innan tillsynsmyndigheten beslutar om vite enligt 44 eller 45 §, skall den personuppgiftsansvarige ha fått tillfälle att yttra sig. Om det är riskfyllt att vänta, får myndigheten dock i avvaktan på yttrandet meddela ett tillfälligt beslut om vite. Det tillfälliga beslutet skall omprövas, när yttrandetiden har gått ut. Ett vitesföreläggande skall delges den personuppgiftsansvarige. Del- givning enligt 12 § delgivningslagen (1970:428) får dock användas bara om det finns skäl att anta att den personuppgiftsansvarige har avvikit eller på annat sätt håller sig undan. 47 § Tillsynsmyndigheten får hos länsrätten i det län där myndigheten är belägen ansöka om att sådana personuppgifter som har behandlats på ett olagligt sätt skall utplånas. Beslut om utplånande får inte meddelas om det är oskäligt. Skadestånd 48 § Den personuppgiftsansvarige skall ersätta den registrerade för den skada och den kränkning av den personliga integriteten som en behand- ling av personuppgifter i strid med denna lag eller god sed vid behand- ling av personuppgifter har orsakat. Ersättningsskyldigheten kan i den utsträckning det är skäligt jämkas, om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne. Straff 49 § Till böter eller fängelse i högst sex månader eller, om brottet är grovt, till fängelse i högst två år döms den som uppsåtligen eller av oaktsamhet a) lämnar osann uppgift i information till registrerade som föreskrivs i denna lag, i anmälan till tillsynsmyndigheten enligt 36 § eller till tillsynsmyndigheten när myndigheten begär information enligt 43 §, b) i strid med 13–21 §§ behandlar känsliga personuppgifter eller sådana uppgifter som avses i 21 §, c) i strid med 33–35 §§ för över personuppgifter till tredje land, eller d) låter bli att göra anmälan enligt 36 § eller enligt föreskrifter meddelade med stöd av 41 §. Närmare föreskrifter 50 § Regeringen eller den myndighet som regeringen bestämmer får i fråga om automatisk behandling av personuppgifter meddela närmare föreskrifter om a) i vilka fall behandling av personuppgifter är tillåten, b) vilka krav som ställs på den personuppgiftsansvarige vid behandling av personuppgifter, c) i vilka fall användning av personnummer är tillåten, d) vad en anmälan eller ansökan till en personuppgiftsansvarig skall innehålla, e) vilken information som skall lämnas till registrerade och hur informationen skall lämnas, och f) anmälan till tillsynsmyndigheten och förfarandet när anmälda uppgifter har ändrats. Överklagande 51 § Tillsynsmyndighetens beslut enligt denna lag om annat än föreskrifter får överklagas hos allmän förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten. Tillsynsmyndigheten får bestämma att dess beslut skall gälla även om det överklagas. Ikraftträdande- och övergångsbestämmelser 1. Denna lag träder i kraft den 24 oktober 1998, då datalagen (1973:289) skall upphöra att gälla. Den äldre lagen gäller dock fortfarande i fråga om överklagande av beslut som har meddelats före den 24 oktober 1998. 2. I fråga om sådan behandling av personuppgifter som pågår vid ikraft- trädandet skall t. o. m. den 30 september 2001 den äldre lagen tillämpas i stället för den nya. Detta gäller även bestämmelserna i den äldre lagen om överklagande. 3. Bestämmelserna i 9, 10, 13 och 21 §§ i den nya lagen skall inte börja tillämpas förrän den 1 oktober 2007 i fråga om sådan manuell behand- ling av personuppgifter som pågår vid ikraftträdandet. 4. I fråga om personuppgifter som vid ikraftträdandet lagras för historisk forskning skall bestämmelserna i 9, 10, 13 och 21 §§ i den nya lagen börja tillämpas först när uppgifterna behandlas på något annat sätt. Innan dess skall motsvarande bestämmelser i den äldre lagen tillämpas. De angivna bestämmelserna i den nya lagen skall dock inte till följd av vad som nu sagts börja tillämpas tidigare än vad som följer av 2 eller 3. 5. Anmälan enligt 36 § i den nya lagen får göras innan den nya lagen har trätt i kraft för den aktuella behandlingen. 6. Ett samtycke som har lämnats innan den nya lagen har trätt i kraft för den aktuella behandlingen skall gälla även efter ikraftträdandet om samtycket uppfyller kraven i den nya lagen. 7. Har en begäran om registerutdrag enligt 10 § i den äldre lagen kommit in innan den nya lagen trätt i kraft för den aktuella behandlingen men har utdraget inte expedierats före ikraftträdandet skall framställningen anses som en ansökan enligt 26 § i den nya lagen. 8. Den nya lagens bestämmelser om skadestånd skall bara tillämpas om den omständighet som yrkandet hänför sig till har inträffat efter det att den nya lagen har trätt i kraft för den aktuella behandlingen. I annat fall tillämpas de äldre bestämmelserna. 2. Förslag till lag om ändring i sekretesslagen (1980:100) Härigenom föreskrivs i fråga om sekretesslagen (1980:100) dels att 7 kap. 16 §, 9 kap. 6 och 7 §§, 14 kap. 3 § samt 15 kap. 11 § skall ha följande lydelse, dels att det i lagen skall införas en ny paragraf, 15 kap. 14 §, av följande lydelse. Nuvarande lydelse Föreslagen lydelse 7 kap. 16 § Sekretess gäller för person- uppgift i personregister som avses i datalagen (1973:289), om det kan antas att utlämnande skulle medföra att uppgiften används för auto- matisk databehandling i strid med datalagen. Sekretess gäller för person- uppgift, om det kan antas att ett utlämnande skulle medföra att upp- giften behandlas i strid med personuppgiftslagen (0000:000). Sekretess för uppgift som anges i första stycket gäller också, om det kan antas att utlämnande skulle medföra att uppgiften används för automatisk databehandling i utlan- det och att detta medför otillbörligt intrång i personlig integritet. Vid tillämpning av denna bestämmelse ankommer det på Datainspektionen att pröva fråga om utlämnande. Sekretess enligt detta stycke gäller dock ej, om uppgiften skall använ- das för automatisk databehandling enbart i en stat som har anslutit sig till Europarådets konvention om skydd för enskilda vid automatisk behandling av personuppgifter. 9 kap. 6 § Sekretess gäller hos Datainspek- tionen i ärende om tillstånd eller tillsyn, som enligt lag ankommer på inspektionen, och i ärende om så- dant bistånd som avses i Europarå- dets konvention om skydd för en- skilda vid automatisk databehand- ling av personuppgifter, för uppgift om enskilds personliga eller eko- nomiska förhållanden, om det kan antas att den enskilde eller någon honom närstående lider skada eller men om uppgiften röjs. Har upp- gift, för vilken gäller sekretess en- ligt vad nu har sagts, lämnats till regeringen eller Justitiekanslern, gäller sekretessen också där. Sekretess gäller hos Datainspek- tionen i ärende om tillstånd eller tillsyn, som enligt lag eller annan författning ankommer på inspek- tionen, och i ärende om sådant bi- stånd som avses i Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter, för uppgift om enskilds personliga eller ekono- miska förhållanden, om det kan antas att den enskilde eller någon honom närstående lider skada eller men om uppgiften röjs. Har upp- gift, för vilken gäller sekretess en- ligt vad nu har sagts, lämnats till Justitiekanslern, gäller sekretessen också där. I fråga om uppgift i allmän handling gäller sekretessen i högst sjuttio år. 7 § Sekretess gäller i myndighets verksamhet för enbart teknisk bear- betning eller teknisk lagring för annans räkning av personregister som avses i datalagen (1973:289), för uppgift om enskilds personliga eller ekonomiska förhållanden. Sekretess gäller i myndighets verksamhet för enbart teknisk bear- betning eller teknisk lagring för annans räkning av personuppgifter som avses i personuppgiftslagen (0000:000), för uppgift om enskilds personliga eller ekonomiska förhållanden. 14 kap. 3 §1 Utöver vad som följer av 1 och 2 §§ får sekretessbelagd uppgift lämnas till myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen skall skydda. Första stycket gäller inte i fråga om sekretess enligt 7 kap. 1–6, 33 och 34 §§, 8 kap. 8 § första stycket och 9 och 15 §§ samt 9 kap. 4 och 7 §§, 8 § första och andra styckena och 9 §. Inte heller gäller första stycket, om utlämnandet strider mot lag eller förordning eller, såvitt an- går uppgift i personregister enligt datalagen (1973:289), föreskrift som har meddelats med stöd av datalagen. Första stycket gäller inte i fråga om sekretess enligt 7 kap. 1–6, 33 och 34 §§, 8 kap. 8 § första stycket och 9 och 15 §§ samt 9 kap. 4 och 7 §§, 8 § första och andra styckena och 9 §. Inte heller gäller första stycket, om utlämnandet strider mot lag eller förordning eller föreskrift som har meddelats med stöd av personuppgiftslagen (0000:000). 15 kap. 11 § Varje myndighet skall för allmänheten hålla tillgänglig beskrivning av de register, förteckningar eller andra anteckningar hos myndigheten som förs med hjälp av automatisk databehandling (ADB-register). Sådan skyldighet föreligger dock inte i fråga om ADB-register som inte till någon del anses som allmän handling hos myndigheten. Myndigheten är inte heller skyldig att tillhandahålla beskrivning som uppenbarligen skulle vara av ringa betydelse för enskildas rätt att ta del av allmänna handlingar hos myndigheten. Beskrivning som avses i första stycket skall ge upplysning om 1. ADB-registrets benämning, 2. ADB-registrets ändamål, 3. vilka typer av uppgifter i ADB-registret som myndigheten har tillgång till och på vilket sätt dessa uppgifter normalt inhämtas, 4. hos vilka andra myndigheter ADB-registret är tillgängligt för överföring till läsbar form, 5. vilka terminaler eller andra tekniska hjälpmedel som enskild själv kan få utnyttja hos myndigheten, 6. vilka bestämmelser om sekretess som myndigheten vanligen skall tillämpa på uppgifter i ADB-registret, 7. vem som hos myndigheten kan lämna närmare upplysningar om ADB- registret och dess användning i myndighetens verksamhet, 8. rätt till försäljning av person- uppgifter i personregister som av- ses i datalagen (1973:289). 8. rätt till försäljning av person- uppgifter i personregister. I beskrivningen skall dock uppgift enligt andra stycket utelämnas, om det behövs för att beskrivningen i övriga delar skall kunna företes för allmänheten. 14 § Om en myndighet för hand- läggning av ett mål eller ärende använder sig av en upptagning för automatisk databehandling, skall upptagningen tillföras hand- lingarna i målet eller ärendet i läs- bar form, om inte särskilda skäl föranleder annat. 1. Denna lag träder i kraft den 24 oktober 1998. 2. Beträffande uppgift i ärende som avgjorts genom beslut av Datainspektionen före den 24 oktober 1998 gäller dock fortfarande 9 kap. 6 § i den äldre lydelsen. 3. Förslag till lag om ändring i brottsbalken Härigenom föreskrivs i fråga om brottsbalken dels att 4 kap. 10 § skall ha följande lydelse, dels att det i balken skall införas en ny bestämmelse, 4 kap. 9 c §, av följande lydelse. Nuvarande lydelse Föreslagen lydelse 4 kap. 9 c § Den som i annat fall än som sägs i 8 och 9 §§ olovligen bereder sig tillgång till upptagning för auto- matisk databehandling eller olov- ligen ändrar eller utplånar eller i register för in sådan upptagning döms för dataintrång till böter eller fängelse i högst två år. Med upp- tagning avses härvid även uppgifter som är under befordran via elek- troniskt eller annat liknande hjälp- medel för att användas för auto- matisk databehandling. 10 § För försök, förberedelse eller stämpling till människorov, olaga frihetsberövande eller försättande i nödläge, för underlåtenhet att av- slöja sådant brott, så ock för försök eller förberedelse till olaga tvång som är grovt dömes till ansvar enligt vad i 23 kap. stadgas. För försök, förberedelse eller stämpling till människorov, olaga frihetsberövande eller försättande i nödläge och för underlåtenhet att avslöja sådant brott döms till ansvar enligt vad som sägs i 23 kap. Det- samma gäller för försök eller för- beredelse till olaga tvång som är grovt eller till dataintrång som om det fullbordats inte skulle ha varit att anse som ringa. Denna lag träder i kraft den 24 oktober 1998. 4. Förslag till lag om ändring i regeringsformen Härigenom föreskrivs att 8 kap. 7 § regeringsformen skall ha följande ly- delse. Nuvarande lydelse Föreslagen lydelse 8 kap. 7 §1 Utan hinder av 3 eller 5 § kan regeringen efter bemyndigande i lag genom förordning meddela föreskrifter om annat än skatt, om föreskrifterna avser något av följande ämnen: 1. skydd för liv, personlig säkerhet eller hälsa, 2. utlännings vistelse i riket, 3. in- eller utförsel av varor, av pengar eller av andra tillgångar, tillverk- ning, kommunikationer, kreditgivning, näringsverksamhet, ransonering, återanvändning och återvinning av material, utformning av byggnader, anläggningar och bebyggelsemiljö eller tillståndsplikt i fråga om åtgärder med byggnader och anläggningar, 4. jakt, fiske, djurskydd eller natur- och miljövård, 5. trafik eller ordningen på allmän plats, 6. undervisning och utbildning, 7. förbud att röja sådant som någon har erfarit i allmän tjänst eller under utövande av tjänsteplikt, 8. skydd för personlig integritet vid registrering av uppgifter med hjälp av automatisk databehand- ling. 8. skydd för personlig integritet vid behandling av personuppgifter. Bemyndigande som avses i första stycket medför ej rätt att meddela föreskrifter om annan rättsverkan av brott än böter. Riksdagen kan i lag, som innehåller bemyndigande med stöd av första stycket, föreskriva även annan rättsverkan än böter för överträdelse av föreskrift som regeringen meddelar med stöd av bemyndigandet. Denna lag träder i kraft den 1 januari 1999. 5. Förslag till lag om ändring i personuppgiftslagen (0000:000) Härigenom föreskrivs1 att 20, 21, 35, 41 och 50 §§ personuppgiftslagen skall ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 20 § Regeringen eller den myndighet som regeringen bestämmer får i fråga om automatisk behandling av personuppgifter meddela före- skrifter om ytterligare undantag från förbudet i 13 §, om det behövs med hänsyn till ett viktigt allmänt intresse. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om ytterligare undantag från förbudet i 13 §, om det behövs med hänsyn till ett viktigt allmänt intresse. 21 § Det är förbjudet för andra än myndigheter att behandla personuppgif- ter om lagöverträdelser, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Regeringen eller den myndighet som regeringen bestämmer får i fråga om automatisk behandling av personuppgifter meddela före- skrifter om undantag från förbudet i första stycket. Regeringen får i enskilda fall be- sluta om undantag från förbudet i första stycket. Regeringen får över- låta åt tillsynsmyndigheten att fatta sådana beslut. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från förbudet i första stycket. Regeringen får i enskilda fall be- sluta om undantag från förbudet i första stycket. Regeringen får över- låta åt tillsynsmyndigheten att fatta sådana beslut. 35 § Regeringen får i fråga om auto- matisk behandling av personupp- gifter meddela föreskrifter om un- dantag från förbudet i 33 § för överföring av personuppgifter till vissa stater. Regeringen får också i fråga om automatisk behandling av personuppgifter meddela före- skrifter om att överföring av personuppgifter till tredje land är tillåten, om överföringen regleras av ett avtal som innehåller vissa be- stämmelser till skydd för de registrerades rättigheter. Regeringen får meddela före- skrifter om undantag från förbudet i 33 § för överföring av person- uppgifter till vissa stater. Re- geringen får också meddela före- skrifter om att överföring av personuppgifter till tredje land är tillåten, om överföringen regleras av ett avtal som innehåller vissa be- stämmelser till skydd för de registrerades rättigheter. Regeringen eller den myndighet som regeringen bestämmer får vidare i fråga om automatisk be- handling av personuppgifter, meddela föreskrifter om undantag från förbudet i 33 §, om det behövs med hänsyn till ett viktigt allmänt intresse eller om det finns till- räckliga garantier till skydd för de registrerades rättigheter. Regeringen får under de förut- sättningar som nämns i andra stycket i enskilda fall besluta om undantag från förbudet i 33 §. Regeringen får överlåta åt tillsyns- myndigheten att fatta sådana beslut. Regeringen eller den myndighet som regeringen bestämmer får vidare meddela föreskrifter om undantag från förbudet i 33 §, om det behövs med hänsyn till ett viktigt allmänt intresse eller om det finns tillräckliga garantier till skydd för de registrerades rättigheter. Regeringen får under de förut- sättningar som nämns i andra stycket i enskilda fall besluta om undantag från förbudet i 33 §. Re- geringen får överlåta åt tillsyns- myndigheten att fatta sådana beslut. 41 § Regeringen får meddela före- skrifter om att vissa automatiska behandlingar av personuppgifter som kan innebära särskilda risker för otillbörligt intrång i den per- sonliga integriteten skall för för- handskontroll anmälas till tillsyns- myndigheten enligt 36 § tre veckor i förväg. Om regeringen har med- delat sådana föreskrifter, gäller inte undantaget från anmälningsskyldig- heten enligt 37 §. Regeringen får meddela före- skrifter om att vissa behandlingar av personuppgifter som kan innebära särskilda risker för otillbörligt intrång i den personliga integriteten skall för förhandskontroll anmälas till tillsynsmyndigheten enligt 36 § tre veckor i förväg. Om regeringen har meddelat sådana föreskrifter, gäller inte undantaget från an- mälningsskyldigheten enligt 37 §. 50 § Regeringen eller den myndighet som regeringen bestämmer får i fråga om automatisk behandling av personuppgifter meddela närmare föreskrifter om Regeringen eller den myndighet som regeringen bestämmer får meddela närmare föreskrifter om a) i vilka fall behandling av personuppgifter är tillåten, b) vilka krav som ställs på den personuppgiftsansvarige vid behandling av personuppgifter, c) i vilka fall användning av personnummer är tillåten, d) vad en anmälan eller ansökan till en personuppgiftsansvarig skall innehålla, e) vilken information som skall lämnas till registrerade och hur informationen skall lämnas, och f) anmälan till tillsynsmyndigheten och förfarandet när anmälda uppgifter har ändrats. Denna lag träder i kraft den 1 januari 1999. Lagrådets yttrande Utdrag ur protokoll vid sammanträde 1997-11-26 Närvarande: regeringsrådet Stig von Bahr, regeringsrådet Arne Baekkevold, justitierådet Edvard Nilsson. Enligt en lagrådsremiss den 30 oktober 1997 (Justitiedepartementet) har regeringen beslutat inhämta Lagrådets yttrande över förslag till 1. personuppgiftslag, 2. lag om ändring i sekretesslagen (1980:100), 3. lag om ändring i brottsbalken, 4. lag om ändring i regeringsformen, 5. lag om ändring i personuppgiftslagen (0000:000). Förslagen har inför Lagrådet föredragits av kanslirådet Thomas Rolén och hovrättsassessorn Klas Reinholdsson. Förslagen föranleder följande yttrande av Lagrådet: Förslaget till personuppgiftslag Allmänna synpunkter Den föreslagna lagen ersätter den nuvarande datalagen (1973:289) och avses genomföra Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. Syftet med direktivet är att skapa en hög nivå på integritetsskyddet för att därigenom möjliggöra ett fritt flöde av personuppgifter medlemsländerna emellan. Lagförslaget följer i huvudsak direktivets text och struktur. Lagrådet tar i detta inledande avsnitt först upp frågan om hur offentlig- hetsprincipen enligt tryckfrihetsförordningen (TF) förhåller sig till direk- tivet och den föreslagna lagen. Därefter behandlas förhållandet mellan å ena sidan bestämmelserna om tryck- och yttrandefrihet i TF och yttran- defrihetsgrundlagen (YGL) och å andra sidan direktivet och lagförslaget. Avsnittet avslutas med en granskning av om de bemyndiganden som finns i lagförslaget är förenliga med bestämmelserna i regeringsformen (RF) om delegering av normgivning. Förhållandet till offentlighetsprincipen Offentlighetsprincipen enligt 2 kap. TF innebär i huvudsak att varje svensk medborgare har rätt att ta del av allmänna handlingar, inklusive personregister, i den utsträckning handlingarna inte innehåller uppgifter för vilka gäller sekretess (2 kap. 1 och 2 §§ TF). Den som begär att få ta del av allmänna handlingar har i regel rätt att få vara anonym och be- höver normalt inte uppge syftet med sin begäran (2 kap. 14 § tredje stycket TF). I lagrådsremissen diskuterar regeringen förhållandet mellan EG-direk- tivet och offentlighetsprincipen. Regeringens slutsats är att direktivet går att förena med offentlighetsprincipen. Samtidigt föreslår regeringen att – även om bestämmelser i grundlag alltid tar över bestämmelser i vanlig lag – det i klargörande syfte skall tas in en uttrycklig bestämmelse i personuppgiftslagen (8 § första stycket) om att lagen inte tillämpas, i den mån det skulle inskränka myndigheternas skyldighet att lämna ut personuppgifter enligt 2 kap. TF. Vidare föreslås (8 § andra stycket) dels en föreskrift om att bestämmelserna i lagen inte hindrar att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet, dels en föreskrift om att 9 § fjärde stycket – som avser behandling för historiska, statistiska eller vetenskapliga ända- mål – inte skall gälla för en myndighets användning av personuppgifter i allmänna handlingar. Av 11 kap. 14 § RF framgår att bestämmelser i vanlig lag som står i strid med grundlagsbestämmelser inte skall tillämpas om felet är uppenbart. Frågan är då om även EG-rättsliga bestämmelser skall vika för grund- lagsbestämmelser. EG-domstolen har i några fall funnit att EG-rätten har företräde framför nationella grundlagar (se bl.a. Torbjörn Andersson, Rättsskyddsprincipen, 1997, s. 55 ff, med hänvisningar). Frågan har för svensk rätts del behandlats bl.a. i samband med Sveriges anslutning till EU, närmare bestämt i förarbetena till bestämmelserna i 10 kap. 5 § RF om överlåtelse av beslutanderätt till EG och den anslutande lagen (1994:1500) med anledning av Sveriges anslutning till Europeiska unionen. Konstitutionsutskottet (KU), vars uttalande godkändes av riksdagen, anförde därvid bl.a. (bet. 1993/94:KU 21 s. 28 ff.) att om EU skulle besluta om bestämmelser som rör t.ex. offentlighets- och sek- retessregler dessa bestämmelser inte kan ges en sådan räckvidd att de rubbar de principer som svensk tryck-, yttrandefrihets- och offentlig- hetslagstiftning bygger på. Om en EG-rättslig regel i en förordning eller ett direktiv framstår som konstitutionellt oacceptabel borde enligt KU den svenska hållningen inte vara att tala om en konflikt mellan EG-rätten och nationell rätt utan frågan borde i stället vara om EG-organet haft rätt att med verkan för Sverige fatta beslutet. Man skulle enligt utskottet fråga sig om den beslutade rättsakten ligger inom det område där beslutanderätt överlåtits; om svaret är nej är rättsakten inte giltig som EG-rätt i Sverige. Frågan om förhållandet mellan EG-rätten och nationella grundlagar kan inte i alla delar anses ha fått någon slutlig lösning. Enligt Lagrådets mening kan man emellertid inte utgå från att EG-domstolen vid en kon- flikt mellan förevarande direktiv och den svenska offentlighetsprincipen skulle finna att direktivet får vika. När det sedan gäller frågan om direktivet är förenligt med den svenska offentlighetsprincipen är det som framhålls i lagrådsremissen främst sex artiklar som är av intresse. Lagrådet redovisar här i korthet artiklarnas innebörd och regeringens ståndpunkter. Vid genomgången bör hållas i minnet att utlämnande av uppgifter med stöd av offentlighetsprincipen är att anse som en sådan behandling av personuppgifter som omfattas av direktivet. Av artikel 6.1 b framgår att personuppgifter skall samlas in för särskilda, uttryckligt angivna ändamål och att senare behandling av uppgifterna i princip inte får ske på ett sätt som är oförenligt med de ändamål för vilka uppgifterna ursprungligen samlades in. Regeringens inställning är att en myndighets utlämnande av personuppgifter med stöd av offentlighet- sprincipen inte kan anses vara oförenligt med de ändamål för vilka uppgifterna ursprungligen samlades in, eftersom offentlighetsprincipen framgår av svensk grundlag och får anses utgöra en integrerad del av all förvaltningsverksamhet som myndigheterna ägnar sig åt. – Artikel 7 innebär att personuppgifter får behandlas i princip endast om det är nöd- vändigt för att fullgöra en rättslig förpliktelse som åvilar den register- ansvarige eller för att fullgöra en arbetsuppgift som är ett led i myndig- hetsutövning som utförs av den registeransvarige. Regeringens ståndpunkt är att utlämnande är tillåtet, eftersom dels myndigheterna är rättsligt förpliktade att följa bl.a. grundlagsreglerna om utlämnande av allmänna handlingar, dels utlämnandet är ett led i myndigheternas tjänsteutövning. – Av artikel 8 framgår att behandling av känsliga personuppgifter i princip skall förbjudas; det är dock tillåtet att bl.a. av hänsyn till ett viktigt allmänt intresse göra undantag från förbudet om det finns lämpliga skyddsåtgärder. Regeringen anför att ett utlämnande enligt offentlighetsprincipen är ett viktigt svenskt allmänt intresse och att de svenska sekretessbestämmelserna utgör sådana lämpliga skyddsåtgärder som avses i EG-direktivet. – Artiklarna 10 och 11.1 innebär att informa- tion skall lämnas som är nödvändig för att tillförsäkra den registrerade en korrekt behandling, exempelvis information om "mottagarna eller de ka- tegorier som mottar uppgifterna". Information behöver dock inte lämnas när den registrerade redan känner till informationen. Regeringen konstaterar att myndigheterna med hänsyn till en uppgiftsmottagares rätt att vara anonym inte kan lämna uppgifter om till vilka personer insamlade uppgifter kan komma att lämnas ut. Genom att information kan lämnas om att uppgifterna kan komma att lämnas ut enligt offentlighetsprincipen får de registrerade dock enligt regeringen – på det sätt direktivet kräver – information om till vilka kategorier av mottagare som uppgifterna kan komma att lämnas ut. Eftersom utlämnande enligt offentlighetsprincipen sedan lång tid tillbaka föreskrivits i svensk grundlag kan det vidare enligt regeringen förutsättas att allmänheten redan känner till att utlämnande kan ske, varför det inte torde vara nödvändigt att lämna särskild information i detta hänseende. – Enligt artikel 13.1 g är det tillåtet för medlemsstaterna att göra undantag från bl.a. bestämmelserna i artiklarna 6.1, 10 och 11.1 med hänsyn till skyddet av den registrerades eller andras fri- och rättigheter. Regeringens mening är att rätten för var och en att få ta del av allmänna handlingar med stöd av offentlighetsprincipen är en sådan rättighet som kan göra det befogat med undantag. Lagrådet kan till att börja med konstatera att det vid beredningen av lagstiftningsärendet framkommit olika uppfattningar i frågan om di- rektivet går att förena med offentlighetsprincipen. Datalagskommittén, som bedömde frågan på samma sätt som regeringen, var inte enig. De flesta av de remissinstanser som uttalat sig i frågan har gett uttryck för tveksamhet. Det är också av intresse att notera att Datalagsutredningen – som i sitt betänkande SOU 1993:10 bedömde ett då föreliggande direk- tivförslag som i huvudsak överensstämmer med den slutliga versionen – kom fram till att direktivet inte var förenligt med offentlighetsprincipen (SOU 1993:10 s. 87 ff.) Regeringen har stött sin tolkning av direktivet på en punkt i direktivets ingress som tillkom på svenskt initiativ i förhandlingarnas slutskede, näm-ligen punkt 72. Däri anges att direktivet gör det möjligt att vid genomförandet av bestämmelserna ta hänsyn till principen om allmänhetens rätt till tillgång till allmänna handlingar. Även med beaktande härav känner sig Lagrådet emellertid inte övertygat om att direktivet går att förena med offentlighetsprincipen. Enligt Lagrådets mening framstår de tolkningar som regeringen gör av de nämnda artiklarna som pressade. I sammanhanget måste beaktas att det övergripande syftet med direktivet är att för behandlingen av personuppgifter fastlägga en för medlemsländerna gemensam hög nivå till skydd för den personliga integriteten för att därigenom i sin tur skapa förutsättningar för ett fritt flöde av uppgifter mellan länderna. Den svenska offentlighetsprincipen torde gå väsentligt längre än vad som gäller i de flesta EU-länder. En tillämpning av denna princip på personuppgifter medför således en lägre nivå vad gäller skydd för den personliga interiteten än i andra medlemsländer. Mot denna bakgrund är det enligt Lagrådets mening inte sannolikt att EG-domstolen skulle godta en tolkning av direktivet i den riktning som regeringen har gjort. Det föreligger således en påtaglig risk för att domstolen skulle finna offentlighetsprincipen oförenlig med direktivet. Det anförda innebär att man – om man vill vara säker på att den svenska lagstiftningen skall stå sig vid en prövning i EG-domstolen måste ändra bestämmelserna i TF och sekretesslagen (1980:100) om utlämnande av upp-gifter så att de närmare ansluter till det övergripande syftet med EG- direktivet. Lagrådet har emellertid förståelse för att man inte vill göra ett ingrepp i offentlighetsprincipen utan att det står helt klart att så måste ske. Det kan nämligen inte uteslutas att EG-domstolen trots allt kommer att finna offentlighetsprincipen förenlig med direktivet. Om man med hänsyn härtill bestämmer sig för att inte ändra bestämmelserna om allmänna handlingars offentlighet måste man dock vara medveten om att principen om EG-rättens företräde framför nationell lagstiftning kan ge upphov till svåra problem vid rättstillämpningen. Oavsett om TF behålls oförändrad eller inte avstyrker Lagrådet att det in- förs en bestämmelse i personuppgiftslagen (8 § första stycket) av innebörd att lagen inte skall tillämpas om det skulle inskränka myn- digheternas skyldighet att lämna ut personuppgifter enligt 2 kap. TF; ett sådant undantag synes antingen strida mot EG-rätten eller vara onödigt. Också de föreslagna undantagen i 8 § andra stycket avseende arkivering och bevarande av handlingar hos en myndighet och om arkivmyndighets omhändertagande av arkivmaterial har motiverats med hänsyn till offent- lighetsprincipen. Myndigheternas skyldigheter att t.ex. arkivera hand- lingar har givetvis betydelse vid tillämpningen av offentlighetsprincipen men någon uttrycklig föreskrift härom finns inte i TF eller annan grund- lag. Här kommer således undantagen – i den mån de inte har stöd i direktivet – i konflikt med principen om EG-rättens företräde framför allmän nationell lagstiftning. Frågan är då om dessa undantag har stöd i direktivet. Enligt regeringen skall arkiven tillgodose rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt forskningens behov (3 § tredje stycket arkivlagen /1990:782/). De ändamål som bevarandet av myndighetsarkiven skall tillgodose kan enligt regeringen hänföras under vad som i EG-direktivet kallas "historiska, statistiska och vetenskapliga ändamål". Är en myndighets primära hantering av upp- gifterna tillåten, kan det vidare enligt regeringen inte anses oförenligt med den primära hanteringen att bevara uppgifterna eller att lämna över handlingar till en arkivmyndighet för långtidsförvaring. Regeringen framhåller att myndigheterna är rättsligt förpliktade att bevara allmänna handlingar och att bevarandet är en arbetsuppgift av allmänt intresse; den behandling av icke känsliga personuppgifter som bevarandet utgör är således tillåten enligt artikel 7. För myndigheternas bevarande av känsliga personuppgifter behövs däremot enligt regeringen ett undantag enligt artikel 8. Regeringen anser att de svenska myndigheternas bevarande av känsliga personuppgifter utgör ett sådant viktigt allmänt intresse som berättigar en medlemsstat att göra undantag. Att arkivmyndigheten i sin tur lämnar ut icke sekretessbelagda uppgifter med stöd av offentlighetsprincipen kan enligt regeringens bedömning inte anses oförenligt med de ändamål för vilka arkivmyndigheterna samlade in uppgifterna. De bestämmelser som finns om sekretess och skydd för arkiv får anses utgöra sådana lämpliga skyddsåtgärder som krävs enligt EG-direktivet. Lagrådet delar inte regeringens uppfattning. Såvitt framgår av lagråds- remissen är undantagen i fråga om bevarande och arkivering av allmänna handlingar motiverade endast med hänsyn till undantagens betydelse för offentlighetsprincipen. Lagrådet kan inte finna annat än att undantagen strider mot det övergripande syftet med direktivet, nämligen i första hand att skapa en gemensam hög nivå till skydd för den personliga integriteten. Lagrådet föreslår mot denna bakgrund att undantagen i 8 § andra stycket utgår. Förhållandet till tryck- och yttrandefriheten Syftet med personuppgiftslagen är enligt 1 § att skydda den personliga integriteten vid behandling av personuppgifter. Som framgår av lagråds- remissen kan flera artiklar i det EG-direktiv som personuppgiftslagen bygger på komma i konflikt med bestämmelserna om tryck- och yttrandefrihet i TF och YGL. Frågan är därför om direktivet medger avvikelser när det gäller sådana för svensk rätts del grundläggande konstitutionella fri- och rättigheter som regleras i dessa grundlagar. Enligt artikel 13 i direktivet får medlemsstaterna genom lagstiftning begränsa omfattningen av de skyldigheter och rättigheter som anges i vissa artiklar i kapitel II (som omfattar artiklarna 5-21) i fall då en sådan begränsning är en nödvändig åtgärd med hänsyn till bl.a. "skydd av den registrerades eller andras fri- och rättigheter". Artikel 9 innehåller emellertid en särskild möjlighet till undantag och avvikelser från bestäm- melser i kapitel II med hänsyn till yttrandefriheten. Det är därför osäkert om det citerade uttrycket i artikel 13 inkluderar yttrandefriheten (jfr SOU 1997:49 s. 249 och 253). I artikel 9 i direktivet föreskrivs att medlemsstaterna när det gäller behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande skall besluta om undantag och avvikelser från bestämmelserna i bl.a. kapitel II endast om de är nödvändiga för att förena rätten till privatlivet med reglerna om yttrandefriheten. Läst enligt orden ger artikeln alltså inte någon möjlighet att låta avvikande föreskrifter i TF eller YGL få företräde såvitt gäller annat än journalistiska ändamål eller konstnärligt eller litterärt skapande. Vid tolkningen av artiklarna 9 och 13 har det betydelse att Europa- konventionens fri- och rättigheter skall respekteras som allmänna rätts- principer på EG-rättens område. Av Europadomstolens tillämpning av den konventionen framgår att integritetsskyddsintressen och yttrande- frihetsintressen skall vägas mot varandra. (Jfr SOU 1997:49 s. 259 f.) Det framstår dock inte som självklart att EG-domstolen på grund härav skulle i de nämnda artiklarna tolka in ett från principiell synpunkt så vittgående undantag från integritetsskyddsintresset som följer av de svenska reglerna i TF och YGL. Sammanfattningsvis finner Lagrådet att det, med en försiktig formu- lering, får anses tveksamt om EG-domstolen skulle acceptera att de bestämmelser i direktivet som införlivas med svensk rätt genom person- uppgiftslagen får vika för de svenska grundlagsreglerna i vidare mån än som medges enligt ordalagen av artikel 9 i direktivet. I 7 § första stycket i den föreslagna personuppgiftslagen föreskrivs att lagens bestämmelser inte tillämpas i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i TF eller YGL. Slutsatsen av det anförda är att ett sådant undantag inte bör tas in i lagen. Vill man vara säker på att inte lagstifta i strid med direktivet, bör i stället sistnämnda bestämmelser ändras så att en sådan konflikt undviks. Gör man inte det, uppkommer tillämpningsproblem av det slag som Lagrådet pekat på när det gäller frågan om offentlighetsprincipens förenlighet med direktivet. Enligt 7 § andra stycket skall vissa angivna paragrafer i lagen under inga förhållanden tillämpas på spridningen av innehållet i yttranden som tidigare utgetts, sänts eller spritts på ett sådant sätt som avses i TF eller YGL. Med hänvisning till det tidigare anförda avstyrker Lagrådet denna bestämmelse, som troligen inte skulle stå sig vid en prövning i EG-dom- stolen; i detta fall rör det sig ju ännu så länge inte om något grundlagsfäst yttrandefrihetsintresse som kan vägas mot integritetsskyddsintresset. Normgivningsdelegation I det remitterade förslaget finns bemyndiganden för regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om undantag från vissa bestämmelser och att precisera de generella regler och principer som finns i den föreslagna lagen. Regeringen bemyndigas vidare att meddela föreskrifter om förhandskontroll av vissa behandlingar av personuppgifter och om undantag från förbudet mot överföring av personuppgifter till tredje land. Det kan, vilket också framhålls i remissen, sättas i fråga om dessa bemyndiganden är förenliga med reglerna i RF om vad som gäller vid meddelande av lagar och andra föreskrifter. Lagrådet får i denna del anföra följande. Enligt 2 kap. 3 § andra stycket RF skall varje medborgare i den ut- sträckning som närmare anges i lag skyddas mot att hans personliga integritet kränks genom att uppgifter om honom registreras med hjälp av automatisk databehandling. I lagrådsremissen anförs att denna bestäm- melse inte hindrar att regeringen eller den myndighet som regeringen be- stämmer ges behörighet att närmare precisera och konkretisera regle- ringen i den föreslagna lagen (jfr 8 kap. 1 § RF). Lagrådet delar denna uppfattning. Lagrådet övergår härefter till frågan hur de föreslagna bemyndigandena förhåller sig till bestämmelserna i 8 kap. 2 och 3 §§ RF. Enligt 8 kap. 2 § skall föreskrifter om enskildas personliga ställning samt om deras personliga och ekonomiska förhållanden inbördes meddelas genom lag. Beträffande föreskifter av detta slag är – såvitt nu är av intresse (jfr 8 kap. 8 § RF) – kravet på lagform undantagslöst. Föreskrifterna tillhör därmed det s.k. obligatoriska lagområdet. Föreskrifter om förhållandet mellan enskilda och det allmänna, som gäller åligganden för enskilda eller i övrigt avser ingrepp i enskildas personliga eller ekonomiska förhållanden, skall enligt 8 kap. 3 § meddelas genom lag. Utan hinder av denna bestämmelse kan dock regeringen efter bemyndigande i lag meddela föreskrifter avseende vissa uppräknade ämnen. Till de uppräknade ämnena hör skydd för personlig integritet vid registrering av uppgifter med hjälp av automatisk databehandling (8 kap. 7 § första stycket 8 RF; i remissen förslås att lagrummet skall utvidgas till att omfatta skydd för personlig integritet vid all behandling av personuppgifter). Har riksdagen bemyndigat regeringen att meddela föreskifter i visst ämne kan riksdagen också medge att regeringen i sin tur överlåter åt förvaltningsmyndighet att meddela bestämmelser i ämnet (8 kap. 11 § RF). Av det anförda framgår att riksdagen inom vissa ramar kan delegera normgivning till regeringen och förvaltningsmyndighet om föreskrifterna kan hänföras till 8 kap. 3 § RF. Delegering är däremot utesluten om före- skrifterna avser i 8 kap. 2 § angivna områden. Klassificeringen av de föreskifter som i remissen föreslås bli föremål för delegering är med andra ord avgörande för delegeringens grundlagsenlighet. Till undvikande av missförstånd må påpekas att det hittills sagda tar sikte på delegering av föreskrifter med klart materiellt innehåll. Regeringen kan utan riksdagens bemyndigande besluta om föreskrifter om verkställighet av lag (8 kap. 13 § första stycket 1 RF). De bemyndiganden till regeringen eller den myndighet som regeringen bestämmer som föreslås i remissen avser undantag från förbudet mot be- handling av känsliga personuppgifter (20 §), undantag från förbudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser m.m. (21 §), undantag från förbudet mot överföring av personuppgifter till tredje land (35 §), undantag från skyldigheten att anmäla vissa auto- matiska behandlingar till tillsynsmyndigheten (36 §) samt vissa närmare villkor för automatisk behandling av personuppgifter (50 §). Vidare bemyndigas regeringen – utan möjlighet till subdelegation – att såvitt gäller vissa stater meddela föreskrifter om undantag från förbudet mot överföring av personuppgifter till tredje land (35 §) och att föreskriva att särskilt riskabla behandlingar skall anmälas för förhandskontroll till tillsynsmyndigheten (41 §). Det råder enligt Lagrådets uppfattning inget tvivel om att flera av de föreslagna bemyndigandena går längre än att meddela verkställighets- föreskrifter. Någon annan ståndpunkt intas inte heller i lagrådsremissen. Som redovisats i det föregående tar 8 kap. 2 § RF sikte på dels föreskrifter om enskildas personliga ställning, dels enskildas personliga och ekonomiska förhållanden inbördes. I remissen hävdas att föreskrifter om skydd för personlig integritet vid behandling av personuppgifter inte kan anses röra enskildas personliga ställning i den mening som avses i 8 kap. 2 § RF. Lagrådet kan ansluta sig till denna bedömning. Vad gäller frågan om de föreslagna bemyndigandena avser föreskrifter om enskildas personliga och ekonomiska förhållanden inbördes anförs i remissen att gränsen mellan privaträttsliga föreskrifter av detta slag och offentligrättsliga föreskrifter (8 kap. 3 § RF) bör kunna dras efter vem som kan åberopa föreskrifterna och vilka sanktioner som är omedelbart förknippade med ett brott mot dem. Föreskrifter som enskilda med fram- gång kan direkt åberopa mot andra enskilda i domstol och som kan leda till att någon enskild förpliktas betala pengar – t.ex. skadestånd – till någon annan enskild anges i enlighet härmed vara att anse som privat- rättsliga. I remissen konstateras att bestämmelserna i personuppgiftslagen skall vara förknippade med skadeståndssanktion (48 §). Till skillnad från vad Datalagskommittén föreslagit läggs dock därutöver förslag fram om att brott mot de bestämmelser från vilka det är tillåtet att föreskriva undantag skall kunna föranleda straffansvar (49 §). Den som i strid med bestämmelserna behandlar känsliga uppgifter eller uppgifter om lagöverträdelser m.m. eller för över personuppgifter till tredje land skall således enligt förslaget kunna straffas. Den personuppgiftsansvarige avses i dessa fall också kunna drabbas av ingripanden av tillsynsmyndigheten i form av exempelvis vitesförelägganden. Av detta följer enligt remissen att bestämmelserna är huvudsakligen omedelbart förknippade med offentligrättsliga sanktioner och därmed att anse som offentligrättsliga. Det förhållandet att de straffsanktionerade bestämmelserna dessutom är förknippade med skadeståndssanktion anses med andra ord inte kunna förta bestämmelserna deras offentligrättsliga karaktär. I remissen dras mot denna bakgrund slutsatsen att de föreslagna bemyndigandena avser offentligrättsliga föreskrifter och inte sådana privaträttsliga förskrifter som tillhör det obligatoriska lagområdet. Lagrådet har inga invändningar mot de i remissen beskrivna principerna för gränsdragningen mellan privaträttsliga och offentligrättsliga före- skrifter. Till föreskrifter om enskildas personliga och ekonomiska för- hållanden inbördes bör alltså räknas sådana föreskrifter som en enskild person med framgång kan direkt åberopa mot andra enskilda i domstol och som kan leda till att enskilda förpliktas att erlägga exempelvis skadestånd. Av detta följer enligt Lagrådets uppfattning att de föreslagna bemyndigandena omfattar föreskrifter av privaträttslig natur. Den omständigheten att föreskrifterna dessutom kan ha påtagliga offentligrättsliga inslag innebär inte att den privaträttsliga delen bortfaller. Lagrådet tar därför avstånd från tanken i remissen att införandet av ett system för offentlig tillsyn av tillämpningen av privaträttsliga föreskrifter eller en kriminalisering av dessa får till konsekvens att föreskrifterna förlorar sin privaträttsliga karaktär och förvandlas till offentligrättsliga. Ett godtagande av remissens tolkning skulle innebära en väsentlig och godtycklig urholkning av det i 8 kap. 2 § RF stadgade obligatoriska lagområdet. Tilläggas kan att den i remissen redovisade effekten av offentligrättsliga inslag på privaträttsliga föreskrifter såvitt Lagrådet känner till inte har något stöd i rättspraxis eller den juridiska litteraturen. Lagrådet finner sammanfattningsvis att flera av de bemyndiganden som föreslås i personuppgiftslagen – särskilt bemyndigandena i 20, 21 och 35 §§ – avser föreskrifter som är att hänföra till 8 kap. 2 § RF. Bemyn- digandena är därmed oförenliga med normgivningsbestämmelserna i 8 kap. RF. Lagförslaget kan i dessa delar inte genomföras i befintligt skick. Det är inte helt lätt att uttala sig om hur lagförslaget skall ändras för att kravet på grundlagsenlighet skall vara uppfyllt. Utrymmet för verk- ställighetsföreskrifter till föreskrifter som avses i 8 kap. 2 § RF är begränsat. En lösning som möjligen kan komma i fråga är att införa ytterligare preciseringar i lagtexten och samtidigt ge tillsynsmyndigheten befogenhet att meddela allmänna råd om tillämpningen av den föreslagna lagen. Sådana allmänna råd är visserligen inte formellt bindande men torde, i förening med tillsynsmyndighetens övriga befogenheter, kunna medverka till att behandlingen av personuppgifter sker i enlighet med god sed på området och inom ramen för EG-direktivet. Vad Lagrådet nu anfört har betydelse också för bedömningen av hur den föreslagna ändringen i 8 kap. 7 § första stycket 8 RF förhåller sig till andra bestämmelser i 8 kap. Lagrådet återkommer senare i yttrandet till denna fråga. Kommentar till vissa lagrum 3 § Med hänsyn till vad Lagrådet anfört under rubriken Förhållandet till offentlighetsprincipen bör i fråga om betydelsen av beteckningen Blockering (av personuppgifter) hänvisningen till 2 kap. TF ersättas med orden "denna lag". 5 § Enligt första stycket gäller lagen för behandling av personuppgifter som helt eller delvis är automatisk. Med uttrycket "automatisk behandling", som återkommer i flera andra paragrafer, avses annan behandling än manuell behandling. Att lagen också tillämpas på manuell behandling av personregister framgår av andra stycket. Direktivet gäller enligt artikel 3.1 i den svenskspråkiga texten för sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg och för annan behandling än automatisk av personregister. Uttrycket "behandling på automatisk väg" återkommer i artikel 18.1, medan be- greppet "automatisk behandling" används i artikel 15.1. Den engelsk- språkiga texten innehåller i dessa artiklar termerna "processing by auto- matic means", "automatic processing operation" respektive "automated processing", medan den franskspråkiga texten genomgående talar om "traitement automatisé". Automatisk databehandling är sedan länge ett inarbetat begrepp. Detta kan synas tala för att man i en lag om uppgiftsskyldighet som skall vara teknikoberoende använder det motsvarande uttrycket automatisk behand- ling. Ett sådant uttryckssätt för emellertid tanken till en behandling som sker automatiskt efter en viss händelse eller tidpunkt e.d. oavsett hur behandlingen utförs. Det ligger nära till hands att lägga in en motsvarande betydelse i uttrycket automatiska beslut. Det är förmodligen av detta skäl som det uttrycket har undvikits i det remitterade förslaget, där i stället uttrycket "automatiserade beslut" förekommer (se rubriken till 29 §). Lagrådet förordar att uttrycket "automatisk behandling" i förevarande paragraf byts ut mot uttrycket "automatiserad behandling". Ett alternativ kan vara att man, som i den svenskspråkiga versionen av direktivet, i stället talar om "behandling som företas på automatisk väg". Godtas Lagrådets förslag, får motsvarande ändringar göras i 20, 21, 29, 35, 36, 41, 42 och 50 §§. 9 § Som Lagrådet återkommer till vid 48 § bör i första stycket b) i före- varande paragraf läggas till att personuppgifter skall behandlas i enlighet med god sed. 21 § I första stycket föreskrivs att det är förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Det är inte helt klart vad som avses med termen "lagöverträdelser". Rent språkligt sett torde termen omfatta alla överträdelser av förhållnings- regler i lag. Det skulle innebära att även sådana överträdelser som är osanktionerade eller som i regel endast föranleder administrativa sank- tioner skulle omfattas. Som exempel på det sistnämnda kan nämnas orik- tigt uppgiftslämnande på skatteområdet, otillåtet byggande, felaktigheter vid miljöfarlig verksamhet o.d. Bestämmelsen har sin motsvarighet i artikel 8.5 första stycket direktivet, som i den svenska versionen också innehåller termen lagöverträdelser. Av direktivet synes dock kunna utläsas att en mer begränsad innebörd är avsedd. I artikel 8.5 andra stycket anges sålunda att medlemsstaterna får föreskriva att uppgifter som rör bl.a. administrativa sanktioner också skall behandlas under kontroll av en myndighet. Det måste innebära att termen lagöverträdelser i artikelns första stycke inte avses omfatta överträdelser som medför administrativa sanktioner. Det förefaller troligt att avsikten varit att med lagöverträdelser skall förstås endast överträdelser som innefattar brott (jfr SOU 1997:39 s. 380). Enligt Lagrådets mening bör lagtexten i detta avseende förtydligas. 27 § Paragrafen innehåller undantag från informationsskyldigheten vid sekre- tess och tystnadsplikt. I första meningen görs undantag från informa- tionsskyldigheten i den utsträckning det är föreskrivet i författning – eller i beslut som har meddelats med stöd av författning – att uppgifter inte får lämnas ut till den registrerade. I andra meningen föreskrivs att en personuppgiftsansvarig, som inte är en myndighet, i motsvarande fall som avses i sekretesslagen får vägra att lämna ut uppgifter till den registrerade. Sistnämnda föreskrift, som saknar direkt motsvarighet i Datalagskom- mitténs förslag, torde vara en nyhet i svensk lagstiftning. Den innebär att enskilda personer blir skyldiga att sätta sig in i en omfattande och komplicerad lagstiftning som är utformad med tanke på myndigheters verksamhet och vid prövning av informationsskyldigheten försöka dra paralleller till den egna verksamheten. Man måste räkna med att detta kan medföra problem i den praktiska tillämpningen. Lagrådet ifrågasätter om inte någon annan lösning som tillgodoser behovet kan åstadkommas. Frågan bör enligt Lagrådet beredas ytterligare. 38 § Med anledning av det tillägg som Lagrådet har förordat i 9 § första stycket b) bör i första stycket av förevarande paragraf föreskrivas att personuppgiftsombudet skall se till att personuppgifter behandlas, förutom på ett lagligt och korrekt sätt, i enlighet med god sed. 42 § Beträffande sista meningen hänvisar Lagrådet till vad som anförts vid 27 §. 48 § Enligt första stycket skall den personuppgiftsansvarige ersätta den registrerade för den skada och den kränkning av den personliga inte- griteten som en behandling av personuppgifter i strid med denna lag eller god sed vid behandling av personuppgifter har orsakat. Att den personuppgiftsansvarige är skyldig att iaktta god sed vid behandling av personuppgifter sägs inte i lagen i övrigt utan framgår endast indirekt av förevarande bestämmelse. Enligt Lagrådets mening bör en uttrycklig föreskrift om denna skyldighet tas in i lagen, lämpligen som ett tillägg i 9 § första stycket b). Godtas detta förslag, kan hänvisningen till god sed vid behandling av personuppgifter utgå i förevarande bestämmelse; en behandling av personuppgifter i strid med god sed strider då också mot lagen. I författningskommentaren uttalas att, i den utsträckning ett förfarande i strid med lagen ingår som ett led i ett sådant brott som avses i 1 kap. 3 § skadeståndslagen, ideellt skadestånd för lidande respektive ersättning för kränkning kan utgå enligt såväl den nyss nämnda bestämmelsen som förevarande paragraf. De brott som det kan bli fråga om är bl.a. ärekränkningsbrott. När ersättning enligt 1 kap. 3 § skadeståndslagen skall bestämmas för kränkning genom ett sådant brott, beaktas bl.a. det sätt på vilket ärekränkande uppgifter har spritts (se prop. 1972:5 s. 572 samt SOU 1972:88 s. 55 och SOU 1992:84 s. 141). Det förhållandet att uppgifterna har spritts genom behandling av personuppgifter kan alltså påverka storleken av skadeståndet för den kränkning som ärekränk- ningsbrottet har inneburit. Att i ett sådant fall också skadestånds- bestämmelsen i förevarande paragraf kan bli tillämplig torde knappast medföra att den registrerade får rätt till ytterligare skadestånd enligt den bestämmelsen. Kränkningen ersätts med andra ord inte med ett högre belopp enbart därför att flera bestämmelser kan vara tillämpliga. Enligt andra stycket kan ersättningsskyldigheten i den utsträckning det är skäligt jämkas, om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne. Enligt Lagrådets mening är det inte helt säkert att denna bestämmelse står i överensstämmelse med artikel 23.2 i direktivet, som enligt den svenskspråkiga texten innehåller att den registeransvarige kan helt eller delvis undgå skadeståndsansvar om han bevisar att han inte är ansvarig för den händelse som orsakade skadan. Innebörden av den nämnda artikeln synes oklar. En möjlighet är att läsa den som en ren exculpationsbestämmelse av innehåll att något skade- ståndsansvar inte kan utkrävas "i den mån" den registeransvarige visar att han inte är ansvarig för den skadeorsakande händelsen. I lagrådsremissen har artikeln emellertid uppfattats som en jämkningsbestämmelse, som ger möjlighet men inte skyldighet att sätta ned skadeståndet även om den registeransvarige visar sig vara helt utan skuld till den händelse som orsakade skadan. För denna tolkning skulle kunna tala att punkt 55 i direktivets ingress anger att den registeransvarige kan befrias från skadeståndsansvar om han kan visa att han inte är ansvarig för skadan, särskilt i fall då han kan påvisa att ett fel har begåtts av den registrerade eller i fall av force majeure. Innebörden härav är möjligen att den registeransvarige åtminstone i andra fall kan åläggas t.o.m. fullt skade- ståndsansvar även om han visar sig inte ha något ansvar för den skadeorsakande händelsen. Det är dock vanskligt att ha någon bestämd uppfattning om hur direktivet är att förstå på denna punkt. För att inte Sverige skall kunna beskyllas för att lagstifta i strid med direktivet förordar Lagrådet att andra stycket i förevarande paragraf ges en lydelse som närmare överensstämmer med artikel 23.2. Frågan hur bestämmelsen skall tolkas bör, utan några förarbetsuttalanden, över- lämnas till rättstillämpningen. I författningskommentaren sägs att frågan om jämkning av ersättningen, t.ex. på grund av medvållande, regleras i förevarande bestämmelse. Oavsett vilken innebörd artikel 23.2 har går detta uttalande enligt Lag- rådets mening för långt. Även om denna artikel skall uppfattas som en jämkningsbestämmelse, är den ju inte tillämplig i fall då den person- uppgiftsansvarige misslyckas med att exculpera sig. I ett sådant fall måste bestämmelsen i 6 kap. 1 § skadeståndslagen om jämkning på grund av medvållande kunna tillämpas. 49 § Enligt punkt b) i denna paragraf kan den som behandlar vissa person- uppgifter i strid med 13-21 §§ dömas till straff. Denna bestämmelse kan komma i konflikt med föreskriften i 45 § om förbud vid vite att fortsätta att behandla personuppgifter på ett olagligt sätt. Liksom i andra sam- manhang när en kollision kan uppkomma mellan straff och vite bör gälla att den som har överträtt ett vitesförbud inte får dömas till straff för en gärning som omfattas av förbudet. Lagrådet förordar att en bestämmelse av detta innehåll tas in i förevarande paragraf som ett nytt andra stycke. Ikraftträdande- och övergångsbestämmelser I punkt 1 anges att den föreslagna lagen träder i kraft den 24 oktober 1998, då datalagen (1973:289) skall upphöra att gälla. Enligt punkt 2 skall dock den äldre lagen (datalagen) tillämpas i stället för den nya lagen t.o.m. den 30 september 2001 i fråga om "sådan behandling av person- uppgifter som pågår vid ikraftträdandet". I författningskommentaren an- förs att det krav som följer av punkt 2 har samma innebörd som mot- svarande krav enligt artikel 32.2 i EG-direktivet. Med behandling av personuppgifter avses enligt 3 § varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, bl.a. insamling, registrering, lagring, bearbetning eller ändring, inhämtande, användning, utlämnande, sammanställning eller samkörning, blockering, utplåning eller förstöring. Den genom punkt 2 förlängda tiden för tillämpning av datalagen t.o.m. den 30 september 2001 tar enligt ordalydelsen sikte enbart på behandlingar av personuppgifter som pågår vid ikraftträdandet, dvs. den 24 oktober 1998. Såvitt Lagrådet kan finna innebär detta att den nya lagen måste tillämpas på åtskilliga behandlingar under förlängnings- perioden trots att dessa ingår som ett led i hanteringen av ett automatiskt personregister som fanns redan vid ikraftträdandet. Den nya lagen synes således skola tillämpas så snart den aktuella behandlingen är av ett annat slag än den som pågick vid ikraftträdandet eller avser nya person- uppgifter, dvs. uppgifter som insamlats efter ikraftträdandet. Konse- kvensen synes bli att den registeransvarige blir tvungen att vad gäller ett och samma register tillämpa datalagen på vissa behandlingar (person- uppgifter) och den nya lagen på andra. Det framstår som uppenbart att en sådan ordning kommer att ge upphov till betydande tillämpnings- och kontrollproblem. Enligt Lagrådets uppfattning talar inte minst praktiska skäl för att datalagen under förlängningsperioden skall kunna tillämpas i större ut- sträckning än vad som följer av en strikt tolkning av övergångs- bestämmelserna. En sådan utvidgning av tillämpningsområdet synes knappast behöva komma i konflikt med EG-direktivet (jfr Datalags- kommitténs resonemang i frågan, SOU 1997:29 s. 453 f). Lagrådet förordar att utformningen av punkt 2 ses över med denna inriktning. Förslaget till lag om ändring i regeringsformen Det nuvarande i 8 kap. 7 § första stycket 8 givna bemyndigandet för re- geringen att meddela föreskrifter om skydd för personlig integritet vid re- gistrering av uppgifter med hjälp av automatisk databehandling tillkom genom lagstiftning år 1994 (prop. 1993/94:116, bet. 1993/94:KU36, SFS 1994:1480). I det lagstiftningsärendet synes någon diskussion inte ha förts om hur bemyndigandet förhöll sig till bestämmelserna i 8 kap. 2 § RF. Eftersom delegering inte är möjlig i fråga om föreskrifter som är hänförliga till sistnämnda lagrum (jfr vad Lagrådet i anslutning till förslaget om personuppgiftslag anfört om normgivningsdelegation) kan dock den slutsatsen dras att bemyndigandet ansetts avse föreskrifter hänförliga till 8 kap. 3 § RF. De mot bemyndigandet korresponderande bestämmelserna i datalagen synes således ha bedömts vara av offentligrättslig karaktär. Någon anledning för Lagrådet att pröva grundlagsenligheten hos det nuvarande bemyndigandet föreligger inte. Som Lagrådet uttalat i det föregående torde dock, sedan den föreslagna personuppgiftslagen trätt i kraft, föreskrifter om personlig integritet vid behandling av personupp- gifter bli att hänföra till sådana föreskrifter som avses i 8 kap. 2 § RF. Delegering av normgivning enligt 8 kap. 7 § RF kan därmed inte komma i fråga. Lagrådet förordar att bemyndigandet upphävs. Övriga lagförslag Lagrådet lämnar förslagen utan erinran. Justitiedepartementet Utdrag ur protokoll vid regeringssammanträde den 8 december 1997 Närvarande: statsrådet Freivalds, ordförande, och statsråden Tham, Schori, Johansson, Åhnberg, Pagrotsky Föredragande: statsrådet Pierre Schori Regeringen beslutar proposition Personuppgiftslag Rättsdatablad Författningsrubrik Bestämmelser som inför, ändrar, upp- häver eller upprepar ett normgivnings- bemyndigande Celexnummer för bakomliggande EG- regler Personuppgiftslagen (0000:0000) 20, 21, 35, 36, 41 och 50 §§ Celex 395L0046 Lag om ändring i regeringsformen 8 kap. 7 § 8 Lag om ändring i personuppgiftslagen (0000:0000) 20, 21, 35, 41 och 50 §§ Celex 395L0046 1 Jfr Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT nr L 281, 23.11.1995, s. 31, Celex 395L0046). Lagen omtryckt 1992:1474. 1 Senaste lydelse 1994:86. 1 Regeringsformen omtryckt 1994:1483. 1 Jfr Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT nr L 281, 23.11.1995, s. 31, Celex 395L0046). (1) EGT nr C 277, 5.11.1990, s. 3, och EGT nr C 311, 27.11.1992, s. 30. (2) EGT nr C 159, 17.6.1991, s. 38. (3) Europaparlamentets yttrande av den 11 mars 1992 (EGT nr C 94, 13.4.1992, s. 198), bekräftat den 2 december 1993 (EGT nr C 342, 20.12.1993, s. 30) rådets gemensamma ståndpunkt av den 20 februari 1995 (EGT nr C 93, 13.4.1995, s. 1) och Europaparlamentets beslut av den 15 juni 1995 (EGT nr C 166, 3.7.1995). (1) EGT nr L 197, 18.7.1987, s. 33. 1 Jfr Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT nr L 281, 23.11.1995, s. 31, Celex 395L0046). 1 Jfr Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT nr L 281, 23.11.1995, s. 31, Celex 395L0046). Lagen omtryckt 1992:1474. 1 Senaste lydelse 1994:86. 1 Regeringsformen omtryckt 1994:1483. 1 Jfr Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT nr L 281, 23.11.1995, s. 31, Celex 395L0046). 1 Prop. 1997/98:44 2 4 5 28 Prop. 1997/98:44 54 148 150 Prop. 1997/98:44 Bilaga 1 182 Prop. 1997/98:44 Bilaga 2 183 186 Prop. 1997/98:44 Bilaga 3 200 203 Prop. 1997/98:44 Bilaga 4 205 202 Prop. 1997/98:44 Bilaga 5 207 Prop. 1997/98:44 Bilaga 5 Prop. 1997/98:44 Bilaga 6 222 Prop. 1997/98:44 Bilaga 6 225 230 Prop. 1997/98:44 Bilaga 7 245 Prop. 1997/98:44 Bilaga 7 Prop. 1997/98:44 246 Prop. 1997/98:44 247