Regeringskansliets rättsdatabaser

Regeringens proposition 2017/18:142 Författningsändringar på finansmarknadsområdet med anledning av EU:s dataskyddsförordning Prop. 2017/18:142 Regeringen överlämnar denna proposition till riksdagen. Stockholm den 8 mars 2018 Stefan Löfven Per Bolund (Finansdepartementet) Propositionens huvudsakliga innehåll Propositionen innehåller förslag som syftar till att anpassa lagar på finansmarknadsområdet till EU:s nya dataskyddsförordning. Förslagen innebär framför allt att hänvisningar till personuppgiftslagen (1998:204) tas bort och i vissa fall ersätts av hänvisningar till dataskyddsförordningen. Lagändringarna föreslås träda i kraft den 25 maj 2018, vilket är det datum när dataskyddsförordningen ska börja tillämpas. Innehållsförteckning 1 Förslag till riksdagsbeslut 5 2 Lagtext 6 2.1 Förslag till lag om ändring i lagen (1991:980) om handel med finansiella instrument 6 2.2 Förslag till lag om ändring i lagen (1998:1479) om värdepapperscentraler och kontoföring av finansiella instrument 7 2.3 Förslag till lag om ändring i lagen (1999:889) om registrering av krigsskada på egendom 10 2.4 Förslag till lag om ändring i lagen (2004:46) om värdepappersfonder 11 2.5 Förslag till lag om ändring i lagen (2004:297) om bank- och finansieringsrörelse 12 2.6 Förslag till lag om ändring i lagen (2007:528) om värdepappersmarknaden 13 2.7 Förslag till lag om ändring i lagen (2010:751) om betaltjänster 15 2.8 Förslag till lag om ändring i försäkringsrörelselagen (2010:2043) 16 2.9 Förslag till lag om ändring i lagen (2016:1306) med kompletterande bestämmelser till EU:s marknadsmissbruksförordning 17 2.10 Förslag till lag om ändring i lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism 18 2.11 Förslag till lag om ändring i lagen (2017:631) om registrering av verkliga huvudmän 20 3 Ärendet och dess beredning 21 4 Dataskyddsreformen 21 4.1 Reformens syfte 21 4.2 Dataskyddsförordningen 22 4.3 Anpassning av nationell reglering 23 5 Krav på behandlingen av personuppgifter 24 5.1 Tillåten behandling av personuppgifter 24 5.2 Känsliga personuppgifter 28 5.3 Uppgifter om fällande domar i brottmål och överträdelser 33 6 Personuppgiftsansvariga och personuppgiftsbiträden 38 6.1 Personuppgiftsansvarigas roll 38 6.2 Personuppgiftsbiträdenas roll 39 6.3 Bestämmelser om personuppgiftsansvaret 39 7 Den registrerades rättigheter 40 7.1 Rättigheterna enligt dataskyddsförordningen och dataskyddslagen 40 7.2 Bestämmelser om tystnadsplikt 41 7.3 Rätten till rättelse 45 7.3.1 Gällande rätt 45 7.3.2 Rättelse enligt dataskyddsförordningen 46 7.3.3 Anpassningar av bestämmelser om rättelse 47 7.4 Rätten till radering 49 7.5 Rätten till begränsning av behandling 50 7.6 Rätten till dataportabilitet 51 7.7 Rätten till invändningar 51 7.8 Rätten att motsätta sig automatiserat individuellt beslutsfattande 53 8 Rättsmedel, ansvar och sanktioner 53 8.1 Dataskyddsförordningens bestämmelser 53 8.2 Skadestånd 54 8.2.1 Gällande rätt 54 8.2.2 Skadestånd enligt dataskyddsförordningen 55 8.2.3 Anpassning av skadeståndsreglerna 55 9 Övriga frågor 56 9.1 Hänvisningar till personuppgiftslagen 56 9.2 Personnummer och annat identifieringsnummer 58 9.3 Lagring, gallring och arkivering 59 10 Ikraftträdande- och övergångsbestämmelser 61 11 Förslagens konsekvenser 61 12 Författningskommentar 62 12.1 Förslaget till lag om ändring i lagen (1991:980) om handel med finansiella instrument 62 12.2 Förslaget till lag om ändring i lagen (1998:1479) om värdepapperscentraler och kontoföring av finansiella instrument 63 12.3 Förslaget till lag om ändring i lagen (1999:889) om registrering av krigsskada på egendom 64 12.4 Förslaget till lag om ändring i lagen (2004:46) om värdepappersfonder 64 12.5 Förslaget till lag om ändring i lagen (2004:297) om bank- och finansieringsrörelse 64 12.6 Förslaget till lag om ändring i lagen (2007:528) om värdepappersmarknaden 65 12.7 Förslaget till lag om ändring i lagen (2010:751) om betaltjänster 66 12.8 Förslaget till lag om ändring i försäkringsrörelselagen (2010:2043) 66 12.9 Förslaget till lag om ändring i lagen (2016:1306) med kompletterande bestämmelser till EU:s marknadsmissbruksförordning 66 12.10 Förslaget till ändring i lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism 67 12.11 Förslaget till lag om ändring i lagen (2017:631) om registrering av verkliga huvudmän 68 Bilaga 1 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) 69 Bilaga 2 Promemorians lagförslag 157 Bilaga 3 Förteckning över remissinstanserna 171 Bilaga 4 Lagrådsremissens lagförslag 172 Bilaga 5 Lagrådets yttrande 187 Utdrag ur protokoll vid regeringssammanträde den 8 mars 2018 188 1 Förslag till riksdagsbeslut Regeringen föreslår att riksdagen antar regeringens förslag till 1. lag om ändring i lagen (1991:980) om handel med finansiella instrument, 2. lag om ändring i lagen (1998:1479) om värdepapperscentraler och kontoföring av finansiella instrument, 3. lag om ändring i lagen (1999:889) om registrering av krigsskada på egendom, 4. lag om ändring i lagen (2004:46) om värdepappersfonder, 5. lag om ändring i lagen (2004:297) om bank- och finansieringsrörelse, 6. lag om ändring i lagen (2007:528) om värdepappersmarknaden, 7. lag om ändring i lagen (2010:751) om betaltjänster, 8. lag om ändring i försäkringsrörelselagen (2010:2043), 9. lag om ändring i lagen om (2016:1306) med kompletterande bestämmelser till EU:s marknadsmissbruksförordning, 10. lag om ändring i lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism, 11. lag om ändring i lagen (2017:631) om registrering av verkliga huvudmän. 2 Lagtext Regeringen har följande förslag till lagtext. 2.1 Förslag till lag om ändring i lagen (1991:980) om handel med finansiella instrument Härigenom föreskrivs att 2 kap. 12 § lagen (1991:980) om handel med finansiella instrument ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 2 kap. 12 § Inför upprättandet av ett prospekt och vid offentliggörande av det enligt 28-30 §§ får, i syfte att upprätta och offentliggöra prospektet och utan hinder av 21 § personuppgiftslagen (1998:204), de personuppgifter behandlas som prospektet skall innehålla. I den utsträckning det krävs enligt 28-30 §§ får personuppgifterna i prospektet föras över till en stat utanför EES. Inför upprättandet av ett prospekt och vid offentliggörande av det enligt 28-30 §§ får, i syfte att upprätta och offentliggöra prospektet, de personuppgifter behandlas som prospektet ska innehålla, inklusive sådana uppgifter som avses i artikel 10 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). I den utsträckning det krävs enligt 28-30 §§ får personuppgifterna i prospektet föras över till en stat utanför EES. Denna lag träder i kraft den 25 maj 2018. 2.2 Förslag till lag om ändring i lagen (1998:1479) om värdepapperscentraler och kontoföring av finansiella instrument Härigenom föreskrivs att 1 kap. 6 §, 4 kap. 1 §, 5 kap. 4 § och 7 kap. 2 § lagen (1998:1479) om värdepapperscentraler och kontoföring av finansiella instrument ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 1 kap. 6 § Svenska värdepapperscentraler och kontoförande institut ska tillhandahålla ändamålsenliga rapporteringssystem för anställda som vill göra anmälningar om misstänkta överträdelser av de bestämmelser som gäller för verksamheten. Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter inom ramen för sådana rapporteringssystem som avses i första stycket. 4 kap. 1 § Avstämningsregister består av avstämningskonton som läggs upp för ägare av finansiella instrument som registreras enligt denna lag. Sådana register förs med hjälp av automatiserad behandling. En svensk värdepapperscentral är personuppgiftsansvarig enligt personuppgiftslagen (1998:204) för den behandling av personuppgifter som den värdepapperscentralen utför. Avstämningsregister består av avstämningskonton som läggs upp för ägare av finansiella instrument som registreras enligt denna lag. Sådana register förs med hjälp av automatiserad behandling. En svensk värdepapperscentral är personuppgiftsansvarig för den behandling av personuppgifter som den värdepapperscentralen utför. Om inget annat följer av denna lag, av föreskrifter som meddelats med stöd av lagen, av förordningen om värdepapperscentraler eller av rättsakter som har antagits med stöd av förordningen, tillämpas personuppgiftslagen vid behandling av personuppgifter om ägare och innehavare av särskild rätt till finansiella instrument. 5 kap. 4 § En registrering skall rättas, om den innehåller någon uppenbar oriktighet till följd av att den som vidtagit registreringsåtgärden eller någon annan har gjort sig skyldig till skrivfel, räknefel eller liknande förbiseende eller till följd av något tekniskt fel. Den vars rätt berörs skall ges möjlighet att yttra sig, om inte rättelsen är till förmån för denne eller yttrande annars är uppenbart obehövligt. En registrering ska rättas, om den innehåller någon uppenbar oriktighet till följd av att den som vidtagit registreringsåtgärden eller någon annan har gjort sig skyldig till skrivfel, räknefel eller liknande förbiseende eller till följd av något tekniskt fel. Den vars rätt berörs ska ges möjlighet att yttra sig, om inte rättelsen är till förmån för denne eller yttrande annars är uppenbart obehövligt. I fråga om personuppgifter gäller detta i stället för rätten till rättelse av personuppgifter enligt artikel 16 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). 7 kap. 2 § För skada som tillfogas en ägare av ett finansiellt instrument till följd av en oriktig eller missvisande uppgift i ett avstämningsregister eller i annat fall genom fel i samband med uppläggning eller förande av ett sådant register svarar värdepapperscentralen eller, om felet kan hänföras till ett kontoförande institut, institutet. Ersättningsansvar gäller dock inte om värdepapperscentralen respektive det kontoförande institutet visar att felet beror på en omständighet utanför dess kontroll vars följder inte skäligen kunde ha undvikits eller övervunnits. Indirekt förlust ersätts endast om den beror på försummelse av värdepapperscentralen eller det kontoförande institutet. Detsamma gäller skada som tillfogas panthavare och den till vars förmån en rådighetsinskränkning gäller. Ersättningsansvaret gäller på motsvarande sätt om felet beror på någon som har anlitats av värdepapperscentralen eller av ett kontoförande institut. För skada som kan hänföras till ett kontoförande institut svarar värdepapperscentralen solidariskt med institutet. Värdepapperscentralens ansvar är dock i sådant fall begränsat till fem miljoner kronor för varje skadefall. Värdepapperscentralen har rätt till ersättning av det kontoförande institutet för vad värdepapperscentralen har betalat till följd av det solidariska ansvaret. Bestämmelserna i personuppgiftslagen (1998:204) om skadestånd ska gälla då personuppgifter behandlats i strid med den lagen. Denna lag träder i kraft den 25 maj 2018. 2.3 Förslag till lag om ändring i lagen (1999:889) om registrering av krigsskada på egendom Härigenom föreskrivs att 1 § lagen (1999:889) om registrering av krigsskada på egendom ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 1 § För det ändamål som anges i 3 § skall det föras ett för hela landet gemensamt register (krigsskaderegistret). Registret får föras med hjälp av automatisk databehandling. För det ändamål som anges i 3 § ska det föras ett för hela landet gemensamt register (krigsskaderegistret). Registret får föras med hjälp av automatisk databehandling. Ärenden om registrering skall handläggas av Finansinspektionen, som också är personuppgiftsansvarig enligt personuppgiftslagen (1998:204). Ärenden om registrering ska handläggas av Finansinspektionen, som också är personuppgiftsansvarig. Närmare föreskrifter om vilka uppgifter registret skall innehålla meddelas av regeringen. Närmare föreskrifter om vilka uppgifter registret ska innehålla meddelas av regeringen. Denna lag träder i kraft den 25 maj 2018. 2.4 Förslag till lag om ändring i lagen (2004:46) om värdepappersfonder Härigenom föreskrivs att 2 kap. 17 d § och 4 kap. 11 § lagen (2004:46) om värdepappersfonder ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 2 kap. 17 d § Ett fondbolag ska tillhandahålla ändamålsenliga rapporteringssystem för anställda som vill göra anmälningar om misstänkta överträdelser av bestämmelser som gäller för verksamheten. Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter inom ramen för sådana rapporteringssystem som avses i första stycket. 4 kap. 11 § Fondbolaget ska föra eller låta föra ett register över samtliga innehavare av andelar i fonden. I fråga om automatiserad och viss manuell behandling av personuppgifter finns bestämmelser i personuppgiftslagen (1998:204). Fondbolaget ska föra eller låta föra ett register över samtliga innehavare av andelar i fonden. Är lagen (1998:1479) om värdepapperscentraler och kontoföring av finansiella instrument tillämplig på andelarna i fonden, förs registret av en svensk värdepapperscentral. Fondbolaget har rätt till insyn i registret. Om lagen om värdepapperscentraler och kontoföring av finansiella instrument inte är tillämplig på andelarna i fonden, ska den som för registret anteckna inskränkningar enligt 13 kap. 19 § första stycket 4 eller 14 kap. 21 § första stycket 4 föräldrabalken där. Fondbolaget ska till varje fondandelsägare skriftligen bekräfta att dennes fondandelsinnehav har registrerats. Av bekräftelsen ska det framgå värdepappersfondens och, i förekommande fall, andelsklassens beteckning samt namnen på fondbolaget och förvaringsinstitutet. Vidare ska det framgå var informationsbroschyren enligt 15 §, faktabladet enligt 16 a § samt årsberättelsen och halvårsredogörelsen enligt 18 § finns att tillgå. Denna lag träder i kraft den 25 maj 2018. 2.5 Förslag till lag om ändring i lagen (2004:297) om bank- och finansieringsrörelse Härigenom föreskrivs att 6 kap. 2 a § lagen (2004:297) om bank- och finansieringsrörelse ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 6 kap. 2 a § Ett kreditinstitut ska tillhandahålla ändamålsenliga rapporteringssystem för anställda som vill göra anmälningar om misstänkta överträdelser av bestämmelser som gäller för kreditinstitutets verksamhet. Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter inom ramen för sådana rapporteringssystem som avses i första stycket. Denna lag träder i kraft den 25 maj 2018. 2.6 Förslag till lag om ändring i lagen (2007:528) om värdepappersmarknaden Härigenom föreskrivs att 4 kap. 8 §, 8 kap. 4 a §, 10 kap. 15 § och 13 kap. 2 a § lagen (2007:528) om värdepappersmarknaden ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 4 kap. 8 § Ett företag som avses i 4 § och som har fått tillstånd att driva värdepappersrörelse från filial i Sverige ska tillhandahålla ändamålsenliga rapporteringssystem för anställda som vill göra anmälningar om misstänkta överträdelser av bestämmelser som gäller för verksamheten. Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter inom ramen för sådana rapporteringssystem. 8 kap. 4 a § Ett värdepappersbolag ska tillhandahålla ändamålsenliga rapporteringssystem för anställda som vill göra anmälningar om misstänkta överträdelser av bestämmelser som gäller för verksamheten. Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter inom ramen för sådana rapporteringssystem som avses i första stycket. 10 kap. 15 § Den som tillhandahåller en datarapporteringstjänst ska ha ändamålsenliga rapporteringssystem för anställda som vill göra anmälningar om misstänkta överträdelser av bestämmelser som gäller för verksamheten. Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter inom ramen för sådana rapporteringssystem. 13 kap. 2 a § En börs ska tillhandahålla ändamålsenliga rapporteringssystem för anställda som vill göra anmälningar om misstänkta överträdelser av bestämmelser som gäller för verksamheten. Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter inom ramen för sådana rapporteringssystem. Denna lag träder i kraft den 25 maj 2018. 2.7 Förslag till lag om ändring i lagen (2010:751) om betaltjänster Härigenom föreskrivs i fråga om lagen (2010:751) om betaltjänster dels att 6 kap. 8 § ska upphöra att gälla, dels att rubriken närmast före 6 kap. 8 § ska utgå, dels att 6 kap. 1 § ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 6 kap. 1 § Om en betaltjänstleverantör eller den som ansvarar för ett betalningssystem granskar betalningstransaktioner för att kunna upptäcka sådana transaktioner som leverantören eller den ansvarige för betalningssystemet misstänker eller har skälig grund att misstänka utgör ett led i bedrägeri i samband med tillhandahållande eller användning av betaltjänster, får leverantören eller den som ansvarar för ett betalningssystem behandla personuppgifter samt föra register enligt 2-9 §§ vilka gäller utöver personuppgiftslagen (1998:204). Om en betaltjänstleverantör eller den som ansvarar för ett betalningssystem granskar betalningstransaktioner för att kunna upptäcka sådana transaktioner som leverantören eller den ansvarige för betalningssystemet misstänker eller har skälig grund att misstänka utgör ett led i bedrägeri i samband med tillhandahållande eller användning av betaltjänster, får leverantören eller den som ansvarar för ett betalningssystem behandla personuppgifter samt föra register enligt 2-9 §§. Denna lag träder i kraft den 25 maj 2018. 2.8 Förslag till lag om ändring i försäkringsrörelselagen (2010:2043) Härigenom föreskrivs att 4 kap. 14 § försäkringsrörelselagen (2010:2043) ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 4 kap. 14 § En personuppgift som anger att en försäkringstagare har vidtagit dispositioner beträffande försäkringsbelopp som utfaller i framtiden till förmån för någon annan och som behandlas enligt personuppgiftslagen (1998:204) får inte lämnas ut till förmånstagaren. En personuppgift som anger att en försäkringstagare har vidtagit dispositioner beträffande försäkringsbelopp som utfaller i framtiden till förmån för någon annan får inte lämnas ut till förmånstagaren om uppgiften behandlas enligt Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Denna lag träder i kraft den 25 maj 2018. 2.9 Förslag till lag om ändring i lagen (2016:1306) med kompletterande bestämmelser till EU:s marknadsmissbruksförordning Härigenom föreskrivs att 2 kap. 3 och 7 §§ lagen (2016:1306) med kompletterande bestämmelser till EU:s marknadsmissbruksförordning ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 2 kap. 3 § Finansinspektionen ska föra eller låta föra register (insynsregister) över anmälningar som har gjorts enligt artikel 19.1-19.10 i marknadsmissbruksförordningen. Uppgifter som har lämnats av personer som inte längre omfattas av anmälningsskyldighet får tas bort ur registret. Registret ska föras med hjälp av automatisk databehandling. Finansinspektionen är personuppgiftsansvarig enligt personuppgiftslagen (1998:204) för den behandling av personuppgifter som sker i registret. Inspektionen ska på lämpligt sätt underrätta de registrerade om registret. Registret ska föras med hjälp av automatisk databehandling. Finansinspektionen är personuppgiftsansvarig för den behandling av personuppgifter som sker i registret. Inspektionen ska på lämpligt sätt underrätta de registrerade om registret. Registret ska vara offentligt. 7 § Ett finansiellt företag ska tillhandahålla ändamålsenliga rapporteringssystem för anställda som vill göra anmälningar om misstänkta överträdelser av marknadsmissbruksförordningen. Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter inom ramen för sådana rapporteringssystem. Uppgifter om lagöverträdelser som avses i 21 § personuppgiftslagen får dock behandlas om uppgifterna avser brott enligt lagen (2016:1307) om straff för marknadsmissbruk på värdepappersmarknaden. Personuppgifter som avses i artikel 10 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) får behandlas om uppgifterna avser brott enligt lagen (2016:1307) om straff för marknadsmissbruk på värdepappersmarknaden. Denna lag träder i kraft den 25 maj 2018. 2.10 Förslag till lag om ändring i lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism Härigenom föreskrivs i fråga om lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism dels att 5 kap. 10 § ska upphöra att gälla, dels att rubriken närmast före 5 kap. 10 § ska utgå, dels att 5 kap. 1, 5 och 6 §§ och 6 kap. 4 § ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 5 kap. 1 § Detta kapitel gäller vid en verksamhetsutövares behandling av personuppgifter enligt denna lag. Kapitlet gäller om behandlingen helt eller delvis är automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Personuppgiftslagen (1998:204) gäller vid verksamhetsutövarens behandling av personuppgifter, om inte annat följer av detta kapitel. 5 § Känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) får behandlas endast om det är nödvändigt för att Personuppgifter som avses i artikel 9.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning, får behandlas endast om det är nödvändigt för att 1. bedöma om kunden är en person i politiskt utsatt ställning eller familjemedlem eller känd medarbetare till en sådan person enligt 1 kap. 8-10 §§, 2. bedöma den risk som kan förknippas med kundrelationen enligt 2 kap. 3 §, 3. uppfylla övervakningsskyldigheten enligt 4 kap. 1 §, 4. bedöma misstänkta transaktioner och aktiviteter enligt 4 kap. 2 §, och 5. lämna uppgifter enligt 4 kap. 3 och 6 §§. Känsliga personuppgifter får också behandlas vid bevarande av handlingar och uppgifter enligt 3 och 4 §§, om det är tillåtet att behandla uppgifterna enligt första stycket. Personuppgifterna får också behandlas vid bevarande av handlingar och uppgifter enligt 3 och 4 §§, om det är tillåtet att behandla uppgifterna enligt första stycket. 6 § Personuppgifter om lagöverträdelser som avses i 21 § personuppgiftslagen (1998:204) får behandlas endast om det är nödvändigt för att Personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning får behandlas endast om det är nödvändigt för att 1. bedöma den risk som kan förknippas med kundrelationen enligt 2 kap. 3 §, 2. uppfylla övervakningsskyldigheten enligt 4 kap. 1 §, 3. bedöma misstänkta transaktioner och aktiviteter enligt 4 kap. 2 §, och 4. lämna uppgifter enligt 4 kap. 3 och 6 §§. Uppgifter om lagöverträdelser får också behandlas vid bevarande av handlingar och uppgifter enligt 3 och 4 §§, om det är tillåtet att behandla uppgifterna enligt första stycket. Personuppgifterna får också behandlas vid bevarande av handlingar och uppgifter enligt 3 och 4 §§, om det är tillåtet att behandla uppgifterna enligt första stycket. 6 kap. 4 § En verksamhetsutövare ska tillhandahålla ändamålsenliga rapporteringssystem för anställda och uppdragstagare som vill göra anmälningar om misstänkta överträdelser av bestämmelserna i denna lag eller föreskrifter som meddelats med stöd av lagen. För verksamhetsutövare som omfattas av förordning (EU) 2015/847 ska rapporteringssystemen även möjliggöra anmälningar av misstänkta överträdelser av bestämmelserna i den förordningen. Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter inom ramen för sådana rapporteringssystem som avses i första och andra styckena. Denna lag träder i kraft den 25 maj 2018. 2.11 Förslag till lag om ändring i lagen (2017:631) om registrering av verkliga huvudmän Härigenom föreskrivs att 2 kap. 6 § lagen (2017:631) om registrering av verkliga huvudmän ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 2 kap. 6 § En juridisk person som avses i 4 eller 5 § och som har ett politiskt, religiöst, kulturellt eller annat sådant ändamål eller är ett trossamfund som inte registrerats i handelsregistret enligt handelsregisterlagen (1974:157) är inte skyldig att i anmälan ange uppgifter om fysiska personer som är medlemmar i den juridiska personen, om en sådan anmälan medför att medlemmens åskådning i något av dessa avseenden blir känd. Undantaget i första stycket gäller också om en anmälan medför att en fysisk persons medlemskap i en fackförening blir känt eller om en anmälan avslöjar uppgift om en fysisk persons hälsotillstånd eller sexualliv. Undantaget i första stycket gäller också om en anmälan annars avslöjar personuppgifter som avses i artikel 9.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Denna lag träder i kraft den 25 maj 2018. 3 Ärendet och dess beredning Den 27 april 2016 utfärdades Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävandet av direktiv 95/46/EG (allmän dataskyddsförordning). Dataskyddsförordningen finns i bilaga 1. I departementspromemorian Författningsändringar på finansmarknadsområdet med anledning av EU:s dataskyddsförordning finns förslag till författningsändringar med anledning av dataskyddsförordningen. Promemorians lagförslag finns i bilaga 2. Promemorian har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 3. Remissyttrandena finns tillgängliga i Finansdepartementet (Fi2017/03612/FPM). Lagrådet Regeringen beslutade den 1 februari 2018 att inhämta Lagrådets yttrande över de lagförslag som finns i bilaga 4. Lagrådets yttrande finns i bilaga 5. Lagrådet lämnade förslagen utan erinran. I förhållande till lagrådsremissen har det gjorts några språkliga och redaktionella ändringar i lagtexten. 4 Dataskyddsreformen 4.1 Reformens syfte Den allmänna regleringen för behandling av personuppgifter inom EU finns i dag i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om behandling av det fria flödet av sådana uppgifter (dataskyddsdirektivet). Direktivet syftar till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter, samt att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU. Dataskyddsdirektivet gäller inte för behandling av personuppgifter på områden som faller utanför gemenskapsrätten, t.ex. allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område. Dataskyddsdirektivet har genomförts i svensk rätt genom personuppgiftslagen (1998:204), förkortad PUL, som är generellt tillämplig vid behandling av personuppgifter. Därtill finns ett antal sektorspecifika författningar som reglerar behandling av personuppgifter hos framför allt myndigheter, s.k. registerförfattningar. År 2012 lade Europeiska kommissionen fram sitt förslag till en reformerad dataskyddsreglering i EU. Förslaget avsåg dels en förordning med allmänna EU-regler om skydd för personuppgifter som skulle ersätta dataskyddsdirektivet, dels ett direktiv med regler om skydd för personuppgifter som behandlas i samband med förebyggande, utredning, avslöjande eller lagföring av brott och därmed förbunden rättslig verksamhet. Den 27 april 2016 utfärdades dataskyddsförordningen. Dataskyddsförordningen utgör en ny generell reglering för behandling av personuppgifter inom EU och kommer att ersätta det nuvarande dataskyddsdirektivet när den börjar tillämpas den 25 maj 2018. Även om dataskyddsförordningen är direkt tillämplig, till skillnad från dataskyddsdirektivet, innehåller den många bestämmelser som förutsätter eller ger utrymme för kompletterande nationella bestämmelser av olika slag. Samtidigt med dataskyddsförordningen antogs ett nytt dataskyddsdirektiv med regler om behandling av personuppgifter inom den brottsbekämpande sektorn, Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF. Sådan behandling som omfattas av det nya dataskyddsdirektivet är undantagen från dataskyddsförordningens tillämpningsområde. Det huvudsakliga syftet med reformen är att ytterligare harmonisera och effektivisera skyddet för personuppgifter för att bl.a. förbättra den inre marknadens funktion och öka enskildas kontroll över sina personuppgifter. 4.2 Dataskyddsförordningen Dataskyddsförordningen trädde i kraft den 24 maj 2016 och ska, som nämns i avsnitt 4.1 ovan, tillämpas fr.o.m. den 25 maj 2018. Dataskyddsförordningen kommer att utgöra den generella rättsliga grunden för behandling av personuppgifter inom EU. I förordningens första kapitel slås syftet och tillämpningsområdet fast. Utgångspunkten är att förordningen ska tillämpas på all behandling av personuppgifter, om uppgifterna rör en fysisk person och behandlingen helt eller delvis sker på automatisk väg eller avser personuppgifter som ingår i eller kommer att ingå i ett register. Från tillämpningsområdet undantas dock behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten och behandling som utförs av medlemsstaterna när de bedriver verksamhet som omfattas av den gemensamma utrikes- och säkerhetspolitiken. Vidare undantas behandling som utförs av en fysisk person som ett led i verksamhet av rent privat natur eller som har samband med dennes hushåll och behandling som utförs av EU:s institutioner, organ och byråer. Slutligen undantas behandling som utförs av behöriga myndigheter i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten (sådan behandling av personuppgifter omfattas i stället av det nya dataskyddsdirektivet (se avsnitt 4.1). I dataskyddsförordningen anges de principer som ska styra behandlingen av personuppgifter (kapitel 2), de rättigheter som den registrerade ska ha (kapitel 3), de skyldigheter som den personuppgiftsansvarige och dennes biträde, det s.k. personuppgiftsbiträdet, ska ha (kapitel 4) samt det som ska gälla vid överföring av personuppgifter till tredjeländer eller internationella organisationer (kapitel 5). I förordningen finns också bestämmelser om oberoende nationella tillsynsmyndigheter (kapitel 6) och deras samarbete och åtgärder som de ska vidta för att förordningen ska tillämpas konsekvent (kapitel 7). Vidare finns bestämmelser om rättsmedel, ansvar och sanktioner (kapitel 8) och delegerade befogenheter (kapitel 10). Dataskyddsförordningen baseras till stor del på dataskyddsdirektivets struktur och innehåll men innehåller även nyheter. Till exempel ökar informationsskyldigheten till den registrerade och administrativa sanktionsavgifter införs. För att förordningen ska tillämpas konsekvent i hela EU, inrättas Europeiska dataskyddsstyrelsen, som kommer att bestå av representanter för de nationella dataskyddsmyndigheterna. Dataskyddsförordningen är direkt tillämplig i medlemsstaterna men förutsätter och möjliggör kompletterande nationella bestämmelser. Medlemsstaterna ska t.ex., för behandling som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande, fastställa undantag eller avvikelser från vissa av förordningens bestämmelser, bl.a. rörande principer för behandling av personuppgifter, om dessa är nödvändiga för att förena rätten till integritet med yttrande- och informationsfriheten (artikel 85.2). Vidare finns det ett förhållandevis stort utrymme för nationella särregleringar för sådan behandling av personuppgifter som är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse eller utföra en uppgift av allmänt intresse eller som är nödvändig som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.2). 4.3 Anpassning av nationell reglering Dataskyddsförordningen kommer att tillämpas direkt i Sverige. I prop. 2017/18:105 lämnas förslag på hur svensk rätt på ett övergripande plan ska anpassas till förordningen. I nämnda proposition föreslås bl.a. att PUL ska upphävas och att det ska införas en lag med kompletterande bestämmelser till EU:s dataskyddsförordning (i det följande benämnd dataskyddslagen). Den sammantagna svenska sektorsspecifika dataskyddsregleringen är omfattande. Den sektorsspecifika regleringen kompletterar eller avviker från PUL, som är subsidiär (se 2 § PUL). På finansmarknadsområdet finns flera lagar med inslag av dataskyddsreglering. En förutsättning för att dessa ska falla inom dataskyddsförordningens tillämpningsområde är att de gäller för verksamheter som omfattas av unionsrätten. Dataskyddsförordningens tillämpningsområde är detsamma som dataskyddsdirektivets. Lagarna på finansmarknadsområdet reglerar förhållanden som utgör en del av den inre marknaden och som omfattas av unionsrätten. Vid införandet av den nuvarande svenska dataskyddsregleringen bedömdes dessa lagar omfattas av dataskyddsdirektivets tillämpningsområde. Regeringens utgångspunkt är mot denna bakgrund att lagarna även omfattas av dataskyddsförordningens tillämpningsområde. I denna proposition föreslås de anpassningar av lagstiftningen på finansmarknadsområdet som är nödvändiga i anledning av dataskyddsförordningen. De hänvisningar till dataskyddsförordningen som förekommer i dessa förslag till anpassningar är dynamiska, dvs. avser den vid varje tidpunkt gällande lydelsen av förordningen, i likhet med det som föreslås för den nya dataskyddslagen inom dataskyddsförordningens tillämpningsområde (prop. 2017/18:105 s. 24 f.). Genom den valda hänvisningstekniken kommer framtida ändringar i dataskyddsförordningen att få omedelbart genomslag i lagen. 5 Krav på behandlingen av personuppgifter 5.1 Tillåten behandling av personuppgifter Regeringens bedömning: Sådan behandling av personuppgifter som är nödvändig till följd av lagar på finansmarknadsområdet kan ske med stöd av EU:s dataskyddsförordning. Det finns därför inte något behov av lagändringar i detta avseende. Promemorians bedömning överensstämmer med regeringens bedömning. Remissinstanserna: Flertalet remissinstanser tillstyrker bedömningen eller har inget att invända mot den. Datainspektionen anser att det i detta sammanhang inte är tillräckligt att endast konstatera att grunden för behandlingen är fastställd i nationell rätt utan att redovisa vilken rättslig grund som avses eller beskrivning av hur den är fastställd. Datainspektionen efterfrågar även en redogörelse för vilka överväganden som gjorts i fråga om det nationella rättsliga stödet för behandlingen av personuppgifter uppfyller ett mål av allmänt intresse och är proportionerligt mot det legitima mål som eftersträvas. Skälen för regeringens bedömning Personuppgiftslagens krav För att behandling av personuppgifter ska vara tillåten ska, enligt 10 § PUL, den registrerade ha lämnat sitt samtycke till behandlingen eller behandlingen vara nödvändig för något av de i paragrafen angivna ändamålen. Därutöver finns i 9 § PUL vissa grundläggande krav på all behandling av personuppgifter. Den personuppgiftsansvarige ska bl.a. se till att personuppgifter behandlas lagligt och på ett korrekt sätt samt att personuppgifter bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Vidare får de insamlade uppgifterna inte användas på ett sätt som är oförenligt med det ändamål för vilket de samlades in (den s.k. finalitetsprincipen) eller bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Avser behandlingen s.k. känsliga personuppgifter eller uppgifter om lagöverträdelser m.m., måste behandlingen dessutom vara tillåten enligt 13-21 §§ PUL, vilket behandlas närmare i avsnitten 5.2 och 5.3. Dataskyddsförordningens krav De villkor som ska vara uppfyllda för att behandling av personuppgifter ska vara laglig anges i artikel 6 i dataskyddsförordningen. Artikelns innehåll överensstämmer i stort med 10 § PUL. Enligt artikel 6.1 första stycket är behandlingen laglig endast om och i den mån som åtminstone ett av följande villkor är uppfyllt: 1. Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål. 2. Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås. 3. Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som vilar på den personuppgiftsansvarige. 4. Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person. 5. Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. 6. Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn. Enligt artikel 6.1 andra stycket gäller led f dock inte för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter. Medlemsstaterna får enligt artikel 6.2 i dataskyddsförordningen närmare fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling för att efterleva artikel 6.1 första stycket c och e. Den grund för behandling som avses i artikel 6.1 första stycket c och e ska enligt artikel 6.3 fastställas i enlighet med unionsrätten eller den medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Också syftet med behandlingen ska fastställas i den rättsliga grunden eller, i fråga om behandling enligt artikel 6.1 första stycket e, vara nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Av artikel 6.3 följer vidare att den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen, bl.a. de allmänna villkor som ska gälla, vilken typ av uppgifter som ska behandlas, ändamålsbegränsningar och lagringstid. Artikel 6.3 ställer också krav på att, i fråga om grunden för behandlingen av personuppgifter, unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas. Detta krav på proportionalitet, som gäller även för sektorsspecifika dataskyddsbestämmelser, torde enligt Dataskyddsutredningen innebära att lagstiftaren måste göra en avvägning mellan å ena sidan behovet av att en uppgift kan utföras på ett effektivt och rättssäkert sätt och, å andra sidan, den enskildes rätt till skydd för sina personuppgifter (SOU 2017:39 s. 134). Slutligen berör artikel 6.4 situationen att en behandling sker för andra ändamål än det ändamål för vilket personuppgifterna ursprungligen samlades in. Utöver kravet på rättslig grund i artikel 6 finns i artikel 5 i dataskyddsförordningen vissa grundläggande principer för behandling av personuppgifter. Enligt den artikeln ska personuppgifter behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. Vidare anges och utvecklas vissa principer som gäller vid behandling av personuppgifter, nämligen principerna om ändamålsbegränsning, uppgiftsminimering, korrekthet, lagringsminimering samt integritet och konfidentialitet. Slutligen anges att det är den personuppgiftsansvarige som ansvarar för, och ska kunna visa, att de grundläggande principerna följs. Skyldigheterna i bl.a. artikel 5 kan, under vissa förutsättningar, begränsas genom unionsrätten eller medlemsstaternas nationella rätt (artikel 23). I likhet med PUL finns det i dataskyddsförordningen ytterligare krav för behandling av känsliga personuppgifter och för behandling av uppgifter som rör fällande domar i brottmål och överträdelser (artikel 9 respektive 10). Artiklarna 9 och 10 behandlas närmare i avsnitten 5.2 och 5.3. Dataskyddsförordningens krav kan förenklat sammanfattas som att behandlingen av personuppgifter måste ha en rättslig grund, dvs. antingen ske med samtycke (artikel 6.1 första stycket a) eller uppfylla villkoren i något av leden b-f i artikel 6.1 första stycket. Detta är emellertid inte tillräckligt för att en behandling av personuppgifter ska vara tillåten. Övriga krav måste också vara uppfyllda, t.ex. de grundläggande principerna för behandling i artikel 5. Behovet av den konkreta behandlingen måste alltid vägas mot den registrerades intresse av personlig integritet. Förslagen i propositionen Ny dataskyddslag I prop. 2017/18:105 överväger regeringen frågan vad som avses med att grunden för behandlingen av personuppgifter enligt artikel 6.1 första stycket c och e ska fastställas i enlighet med unionsrätten eller den medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av (artikel 6.3). I samma proposition bedömer regeringen att detta krav inte innebär ett krav på att själva behandlingen av personuppgifter måste regleras. Det är i stället den rättsliga förpliktelsen, uppgiften av allmänt intresse respektive myndighetsutövningen som ska ha stöd i rättsordningen. Den rättsliga förpliktelsen, uppgiften av allmänt intresse respektive myndighetsutövningen bedöms vara fastställd i enlighet med svensk rätt om den har stöd i författning eller beslut som antagits i enlighet med regeringsformens bestämmelser. Som en följd av den svenska arbetsmarknadsmodellen bedöms rättsliga förpliktelser och uppgifter av allmänt intresse även kunna vara fastställda genom kollektivavtal (samma prop. s. 48-52 och s. 188 f.). Det finns rättsligt stöd för nödvändig behandling av personuppgifter på finansmarknadsområdet På finansmarknadsområdet finns ett antal lagar i vilka såväl myndigheter som privata aktörer åläggs uppgifter och förpliktelser som kräver behandling av personuppgifter. Som exempel kan nämnas en emittents skyldighet att behandla personuppgifter i samband med upprättandet av ett prospekt enligt lagen (1991:980) om handel med finansiella instrument och svenska värdepapperscentralers och kontoförande instituts skyldighet att behandla personuppgifter inom ramen för rapporteringssystem för anställda som vill göra anmälningar om misstänkta regelöverträdelser. Som ytterligare exempel kan nämnas skyldigheten för sådana verksamhetsutövare som avses i lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism (i det följande benämnd penningtvättslagen) att behandla personuppgifter i syfte att förhindra att finansiell verksamhet och annan näringsverksamhet utnyttjas för penningtvätt eller finansiering av terrorism. De uppgifter som myndigheter och privata aktörer har enligt lagarna på finansmarknadsområdet eller enligt beslut som har meddelats med stöd av sådana lagar är regelmässigt uppgifter av allmänt intresse. I vart fall utgör de rättsliga förpliktelser. För myndigheternas del innefattar uppgifterna dessutom ofta myndighetsutövning. Uppgifterna och förpliktelserna - och den myndighetsutövning som kan ligga i dem - är fastställda i den nationella rätten och bestämmelserna har hittills ansetts proportionerliga i förhållande till den enskildes intresse av skydd för sin personliga integritet på det sätt som krävs enligt artikel 6.3 i dataskyddsförordningen. Datainspektionen efterfrågar ett tydligt utpekande av de rättsliga grunderna för behandlingen av personuppgifter och hur de är fastställda i den nationella rätten, samt en analys i förhållande till var och en av dessa avseende bestämmelsernas proportionalitet. Datainspektionen anför i detta sammanhang att det inte räcker med att konstatera att stödet för behandlingen ansetts vara proportionerligt i tidigare lagstiftningsärenden. Regeringen, som bedömer att bestämmelserna även fortsättningsvis ska anses proportionerliga, grundar detta inte enbart på att stödet för behandlingen ansetts proportionerligt i förhållande till sitt syfte i tidigare lagstiftningsärenden, utan på behovet av de uppgifter och förpliktelser som bestämmelserna berör. I förhållande till att ingen av dessa bestämmelser bedöms vara oförenlig med dataskyddsförordningen framstår det dock inte som motiverat att i detta sammanhang redogöra för var och en av dem. Till detta kan läggas att kravet på att lagstiftning ska vara proportionerlig i förhållande till det legitima mål som eftersträvas följer av Europakonventionens grundläggande krav på lagstiftaren i en rättsstat. Mot denna bakgrund görs bl.a. i prop. 2017/18:105 bedömningen att varje personuppgiftsansvarig kan utgå från att svensk rätt uppfyller detta krav (s. 50). Nödvändig behandling av personuppgifter enligt bestämmelserna på finansmarknadsområdet är sammanfattningsvis tillåten enligt dataskyddsförordningen. Dataskyddsreformen medför alltså inte något behov av författningsändringar i detta avseende. En annan sak är att den personuppgiftsansvarige är skyldig att försäkra sig om att den konkreta behandlingen i det enskilda fallet sker lagligt, dvs. att det rör sig om nödvändig behandling med rättsligt stöd, och att övriga krav på behandlingen av personuppgifter är uppfyllda. Bestämmelser som innebär undantag från förbud mot behandling avseende vissa särskilt integritetskänsliga personuppgifter behandlas i avsnitten nedan. 5.2 Känsliga personuppgifter Regeringens förslag: Hänvisningen i penningtvättslagen till personuppgiftslagens bestämmelse om känsliga personuppgifter ska ersättas av hänvisning till artikel 9.1 i EU:s dataskyddsförordning. I bestämmelsen i lagen om registrering av verkliga huvudmän där det uttryckligen anges vilka typer av känsliga personuppgifter som avses, ska det i stället införas en hänvisning till artikel 9.1 i dataskyddsförordningen. Promemorians förslag överensstämmer med regeringens förslag. Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det. Datainspektionen avstyrker förslaget att tillåta behandling av känsliga personuppgifter enligt penningtvättslagen. Svensk Försäkring påpekar, utan att invända mot förslaget i sig, att det är angeläget att försäkringsföretag har rätt att behandla känsliga personuppgifter i försäkringssammanhang, och föreslår att det införs ett uttryckligt stöd i lag för sådan behandling. Skälen för regeringens förslag Personuppgiftslagens krav Enligt 13 § PUL är det förbjudet att behandla s.k. känsliga personuppgifter, dvs. personuppgifter som rör hälsa eller sexualliv och personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening. Undantag från detta förbud finns i 15-19 §§ PUL. Dataskyddsförordningens krav I artikel 9.1 i dataskyddsförordningen finns, i likhet med i PUL, ett generellt förbud mot behandling av känsliga personuppgifter (rubricerade som "särskilda kategorier av personuppgifter" i dataskyddsförordningen). Enligt förordningen omfattar dessa personuppgifter emellertid även genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person och uppgifter om en fysisk persons sexuella läggning. Vidare finns i artikel 9.2 undantag från förbudet. Exempelvis är behandling tillåten i följande fall, vilka bedöms särskilt relevanta för författningarna på finansmarknadsområdet. * Den registrerade har uttryckligen lämnat sitt samtycke till behandlingen av dessa personuppgifter för ett eller flera specifika ändamål, utom då unionsrätten eller medlemsstaternas nationella rätt föreskriver att förbudet inte kan upphävas av den registrerade. * Behandlingen är nödvändig för att skydda den registrerades eller någon annan fysisk persons grundläggande intressen när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke (artikel 9.2 c). * Behandlingen rör personuppgifter som på ett tydligt sätt har offentliggjorts av den registrerade (artikel 9.2 e). * Behandlingen är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk eller som en del av domstolarnas dömande verksamhet (artikel 9.2 f). * Behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen (artikel 9.2 g). Det är tänkbart att även andra av undantagen i artikel 9 efter omständigheterna kan vara tillämpliga på finansmarknadsområdet. Vissa av undantagen, t.ex. det i artikel 9.2 g, hänvisar till nationell rätt. Enligt prop. 2017/18:105 är det uppenbart att det för detta undantag krävs ett annat stöd i rättsordningen, utöver det som dataskyddsförordningen ger (s. 75). Förslagen i propositionen Ny dataskyddslag I prop. 2017/18:105 föreslår regeringen att det i den nya dataskyddslagen ska anges vissa generella undantag från förbudet att behandla känsliga personuppgifter, bl.a. för att möjliggöra behandling med hänsyn till viktiga allmänintressen (dvs. ett utflöde av artikel 9.2 g i dataskyddsförordningen). Där föreslås i det avseendet bl.a. att myndigheter ska få behandla känsliga personuppgifter om uppgifterna har lämnats in till myndigheten och behandlingen krävs enligt lag. Dessutom ska myndigheter få behandla känsliga personuppgifter om det är nödvändigt för handläggningen av ett ärende, eller i annat fall om det är nödvändigt med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Därutöver föreslås att regeringen ska få meddela föreskrifter om ytterligare undantag från förbudet, om det är nödvändigt med hänsyn till ett viktigt allmänt intresse (3 kap. 2 och 4 §§ dataskyddslagen). För att säkerställa nödvändiga och lämpliga skyddsåtgärder föreslås att myndigheter och andra som behandlar känsliga personuppgifter enbart med stöd av 3 kap. 2 § dataskyddslagen inte ska få utföra sökningar i syfte att få fram ett personurval grundat på känsliga personuppgifter (3 kap. 3 § dataskyddslagen). Frågan om undantag från förbudet mot behandling av känsliga uppgifter i försäkringssammanhang, som Svensk Försäkring tar upp, berörs också i samma proposition. Regeringen konstaterar där, med hänvisning till förarbetena till den nuvarande regleringen, att försäkringsföretag även i fortsättningen bl.a. med stöd av artikel 9.2 f kommer att kunna behandla känsliga personuppgifter när detta är nödvändigt till följd av försäkringsavtal, t.ex. vid kollektiva försäkringar (s. 79). I övrigt torde känsliga personuppgifter i de flesta fall även kunna behandlas med stöd av samtycke från den registrerade. I remissyttrandet när det gäller förslagen i prop. 2017/18:105, till vilket Svensk Försäkring hänvisar i sitt yttrande när det gäller förslagen i förevarande proposition, nämner Svensk Försäkring vidare särskilt bl.a. behovet av att kunna behandla känsliga personuppgifter för statistiska ändamål. Som regeringen redogör för i prop. 2017/18:105 är sådan behandling möjlig, förutom genom samtycke från den registrerade, genom den särskilda bestämmelse om behandling för statistiska ändamål som föreslås i den nya dataskyddslagen (3 kap. 7 §), och även genom den direkt tillämpliga artikel 9.2 j i dataskyddsförordningen. Behandling för statistiska ändamål enligt artikel 9.2 j ställer krav på säkerhetsåtgärder från den personuppgiftsansvarige i enlighet med artikel 89.1. Kravet i artikel 9.2 j på att den rätt som ger stöd för behandling av känsliga personuppgifter för statistiska ändamål i sin tur ska innehålla lämpliga och särskilda skyddsåtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen, aktualiserar frågan om behovet av en generell lagstadgad tystnadsplikt för personer verksamma i försäkringsföretag. Frågan om en sådan generell tystnadsplikt har berörts i flera tidigare lagstiftningsärenden (se bl.a. prop. 2006/07:41, 2009/10:241 och 2009/10:246). Det finns dock inte förutsättningar för att inom ramen för förevarande lagstiftningsärende göra de överväganden som frågan om ett införande av en sådan tystnadsplikt skulle kräva. Analys och ställningstagande till huruvida en generell bestämmelse om tystnadsplikt bör införas på försäkringsområdet bör göras i särskild ordning. Bestämmelse om känsliga personuppgifter i penningtvättslagen Bestämmelser som hänvisar till 13 § PUL finns i 5 kap. 5 § penningtvättslagen. Enligt 5 kap. 5 § första stycket får känsliga personuppgifter som avses i 13 § PUL behandlas under vissa förutsättningar. Sådan behandling får ske om det är nödvändigt för att bedöma om en kund till en sådan verksamhetsutövare som omfattas av lagen är en person i politiskt utsatt ställning eller familjemedlem eller känd medarbetare till en sådan person (punkt 1). Sådan behandling får även ske om det är nödvändigt för att bedöma den risk för penningtvätt eller finansiering av terrorism som kan förknippas med kundrelationen (punkt 2) eller för att uppfylla skyldigheten att övervaka pågående affärsförbindelser och bedöma enstaka transaktioner som är på visst sätt avvikande eller annars kan antas ingå som ett led i penningtvätt eller finansiering av terrorism (punkt 3). Vidare får känsliga personuppgifter behandlas om det är nödvändigt för att bedöma om det finns skälig grund att misstänka att det är fråga om penningtvätt eller finansiering av terrorism eller att egendom annars härrör från brottslig handling (punkt 4). Slutligen får behandling av känsliga personuppgifter ske om det är nödvändigt för att lämna uppgifter till Polismyndigheten enligt 4 kap. 3 § om omständigheter som kan tyda på penningtvätt eller finansiering av terrorism eller att egendom annars härrör från brottslig handling eller om det annars är nödvändigt för att lämna uppgifter enligt 4 kap. 6 § som behövs för en utredning om penningtvätt eller finansiering av terrorism (punkt 5). Listan i 5 kap. 5 § första stycket är uttömmande. I andra stycket anges emellertid att känsliga personuppgifter också får behandlas vid en verksamhetsutövares bevarande av handlingar och uppgifter avseende åtgärder som har vidtagits för kundkännedom eller avseende vissa transaktioner (5 kap. 3 och 4 §§), om det är tillåtet att behandla uppgifterna enligt första stycket. Enligt 5 kap. 8 § får en verksamhetsutövares register med uppgifter om misstänkt penningtvätt eller finansiering av terrorism inte samköras med motsvarande register hos någon annan. Besked om att personuppgifter behandlas enligt 4 kap. 2, 3 eller 6 § och om att sådana uppgifter lagras enligt 5 kap. 3 eller 4 § får inte lämnas ut till den registrerade (5 kap. 7 §, se även avsnitt 7.2). Den som är verksam hos en verksamhetsutövare får inte obehörigen röja att personuppgifter behandlas enligt 5 kap. 5 och 6 §§ eller 4 kap. 2, 3 och 6 §§ och att sådana uppgifter bevaras enligt 3 och 4 §§ (5 kap. 11 §). Datainspektionen anför att det kan ifrågasättas om förslaget till undantag i penningtvättslagen kan anses avse ett viktigt allmänt intresse, stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla lämpliga och särskilda åtgärder för att säkerställa den registrerades rättigheter och intressen, särskilt som det enligt Datainspektionen inte finns någon tydlig begränsning för vad de som lyder under penningtvättslagen kan behandla för att kunna bedöma risker för penningtvätt och terrorism inom ramen för sin verksamhet. Datainspektionen invänder särskilt att några överväganden inte redovisas avseende behovet av att behandla de nya särskilda kategorier av personuppgifter som skyddas i dataskyddsförordningen, såsom genetiska och biometriska uppgifter. Datainspektionen ifrågasätter om det kan finnas behov av att behandla dessa kategorier för att leva upp till kraven i penningtvättslagen. Regeringen konstaterar först när det gäller undantaget i förhållande till de nya kategorierna av känsliga uppgifter att förslaget innebär att sådan behandling medges för det fall att det är nödvändigt för att leva upp till kraven i penningtvättslagen. När det gäller de nya särskilda kategorier av personuppgifter som nämns i artikel 9, framstår det t.ex. inte som osannolikt att behandling av biometriska uppgifter för att entydigt identifiera en fysisk person i vissa fall kan komma att vara nödvändig för att leva upp till dessa krav. När det gäller den nya kategorin avseende sexuell läggning bedöms behandling å andra sidan typiskt sett inte bli aktuell genom det uppställda nödvändighetskravet. Detsamma gäller t.ex. personuppgifter om sexualliv, vilket redan omfattas av bestämmelsen om känsliga personuppgifter i PUL och därigenom av undantaget i penningtvättslagen. I förhållande till kravet på att behandlingen ska vara nödvändig finns det emellertid inte skäl att utesluta någon av kategorierna i artikel 9 i dataskyddsförordningen från möjligheten till behandling. Regeringen anser, till skillnad från Datainspektionen, att det inte finns anledning att ifrågasätta att behandling av känsliga personuppgifter som sker enligt 5 kap. 5 § penningtvättslagen är nödvändig med hänsyn till ett viktigt allmänt intresse. Det kan konstateras att grunden för behandlingen finns i nationell rätt, som i sin tur är grundad på unionsrätten (Europaparlamentets och rådets direktiv (EU) 2015/849 av den 20 maj 2015 om åtgärder för att förhindra att det finansiella systemet används för penningtvätt eller finansiering av terrorism, om ändring av Europaparlamentets och rådets förordning (EU) nr 648/2012 och om upphävande av Europaparlamentets och rådets direktiv 2005/60/EG och kommissionens direktiv 2006/70/EG [i det följande benämnt fjärde penningtvättsdirektivet], se bl.a. artikel 43). Enligt regeringens bedömning är det tillräckligt tydligt vilken behandling som är tillåten. Med hänsyn till att samkörning av register mellan olika verksamhetsutövare inte får ske och till att det råder tystnadsplikt för verksamma hos en verksamhetsutövare avseende känsliga personuppgifter finns det också bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Behandlingen får därför anses vara tillåten med stöd av artikel 9.2 g i dataskyddsförordningen. Det är därutöver möjligt att behandling av känsliga personuppgifter enligt 5 kap. 5 § penningtvättslagen kan vara tillåten på andra grunder enligt artikel 9.2. Sammanfattningsvis får bestämmelserna om behandling av känsliga personuppgifter i 5 kap. 5 § penningtvättslagen anses vara förenliga med dataskyddsförordningen. Hänvisningen till 13 § PUL bör emellertid ersättas med hänvisning till artikel 9.1 i dataskyddsförordningen. Det kan i sammanhanget påpekas att behandlingen i det enskilda fallet måste leva upp till dataskyddsförordningens krav i övrigt, t.ex. principerna för behandling i artikel 5, för att vara tillåten. Bestämmelse om känsliga personuppgifter i lagen om registrering av verkliga huvudmän Enligt lagen (2017:631) om registrering av verkliga huvudmän är en juridisk person skyldig att anmäla uppgifter om vem som är dess verkliga huvudman till Bolagsverket (2 kap. 1 och 3 §§). Enligt 2 kap. 6 § gäller dock undantag från denna skyldighet i fråga om vissa närmare angivna känsliga uppgifter. Undantaget syftar till att undvika att känsliga personuppgifter enligt 13 § PUL behandlas i registret (prop. 2016/17:173 s. 570). Exemplen på känsliga uppgifter i artikel 9.1 i dataskyddsförordningen är som nämns ovan något utökade i förhållande till 13 § PUL. För att undantaget i 2 kap. 6 § lagen om registrering av verkliga huvudmän ska stå i paritet med det som i dataskyddsförordningen avses med känsliga personuppgifter bör den bestämmelsen därför omfatta samma uppgifter som anges i artikel 9.1. Detta bör ske genom att en hänvisning till artikeln införs i bestämmelsen. 5.3 Uppgifter om fällande domar i brottmål och överträdelser Regeringens förslag: Hänvisningar i lagarna på finansmarknadsområdet till personuppgiftslagens bestämmelser om personuppgifter om lagöverträdelser, domar i brottmål, straffprocessuella tvångsmedel och administrativa frihetsberövanden ska ersättas av hänvisningar till EU:s dataskyddsförordning. Regeringens bedömning: Bestämmelserna på finansmarknadsområdet om uppgifter om fällande domar i brottmål och överträdelser är förenliga med dataskyddsförordningen. Promemorians förslag och bedömning överensstämmer med regeringens förslag och bedömning. Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget och bedömningen eller har inget att invända mot dem. Datainspektionen avstyrker förslaget att tillåta behandling enligt penningtvättslagen av personuppgifter om lagöverträdelser som avses i artikel 10 i dataskyddsförordningen. Skälen för regeringens förslag och bedömning Personuppgiftslagens krav Enligt 21 § PUL är det förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Förbudet gäller dock inte behandling för forskningsändamål, under vissa i paragrafen angivna förutsättningar. Vidare får regeringen eller den myndighet som regeringen bestämmer meddela föreskrifter om undantag från förbudet. Regeringen får dessutom i enskilda fall besluta om undantag från förbudet samt överlåta åt tillsynsmyndigheten att fatta sådana beslut. Dataskyddsförordningens krav Enligt artikel 10 i dataskyddsförordningen får personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder endast behandlas under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Ett fullständigt register över fällande domar i brottmål får dock endast föras under kontroll av en myndighet. Artikeln har i stort samma lydelse som artikel 8.5 i dataskyddsdirektivet, även om tillämpningsområdet beträffande brottmålsdomar i förordningen begränsats till att enbart omfatta fällande sådana. Vidare är en betydande skillnad i förordningen jämfört med direktivet att det inte finns någon möjlighet för medlemsstaterna att med stöd av denna artikel begränsa behandlingen av personuppgifter om avgöranden i tvistemål och administrativa sanktioner. Förslagen i propositionen Ny dataskyddslag I prop. 2017/18:105 föreslås att det i den nya dataskyddslagen ska anges att personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning får behandlas av myndigheter. Även andra än myndigheter föreslås få behandla sådana personuppgifter om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv (3 kap. 8 § dataskyddslagen). Det föreslås också att den myndighet som regeringen bestämmer ska få meddela ytterligare föreskrifter om i vilka fall andra än myndigheter får behandla sådana uppgifter, och vidare att av regeringen utsedd myndighet i enskilda fall ska få besluta att andra än myndigheter får behandla sådana uppgifter (3 kap. 9 § dataskyddslagen). Eftersom dataskyddslagen föreslås vara subsidiär i förhållande till andra lagar och förordningar, kommer det även i fortsättningen att finnas utrymme för särreglering som tillåter behandling av personuppgifter som rör lagöverträdelser. I prop. 2017/18:105 framhålls att det dock bör noteras att det inte krävs en uttrycklig undantagsreglering för att behandling av uppgifter som rör lagöverträdelser ska vara tillåten. Således är det tillåtet att behandla sådana personuppgifter om det krävs för att t.ex. uppfylla en editionsplikt eller ett informationsföreläggande som meddelats av domstol med stöd av lag. Hänvisning till personuppgiftslagen i lagen om handel med finansiella instrument Lagen (1991:980) om finansiella instrument är en av tre lagar på finansmarknadsområdet som har bestämmelser med hänvisning till 21 § PUL. Bestämmelsen innebär undantag från förbudet i 21 § PUL (2 kap. 12 §). Inför upprättandet och offentliggörandet av ett emissionsprospekt får, utan hinder av 21 § PUL, sådana personuppgifter behandlas som prospektet ska innehålla (2 kap. 12 § lagen om handel med finansiella instrument). I den utsträckning det krävs enligt bestämmelserna om hur prospektet ska offentliggöras (2 kap. 28-30 §§) får personuppgifterna i prospektet föras över till en stat utanför EES. Bestämmelserna har införts mot bakgrund av att det i kommissionens förordning (EG) nr 809/2004 av den 29 april 2004 om genomförande av Europaparlamentets och rådets direktiv 2003/71/EG i fråga om informationen i prospekt, utformningen av dessa, införlivande genom hänvisning samt offentliggörande av prospekt och spridning av annonser (i det följande benämnd prospektförordningen) ställs upp ett krav på att uppgifter om personer i ledande befattning som har dömts i bedrägerirelaterade mål under de senaste fem åren ska finnas med i prospektet, som bl.a. ska göras tillgängligt på en elektronisk hemsida (jfr prop. 2004/05:158 s. 176). Krav på prospektets innehåll finns i övrigt i 2 kap. 11 § lagen om handel med finansiella instrument. Enligt 2 kap. 19 § får Finansinspektionen i ett enskilt fall besluta om att information som krävs enligt 2 kap. 11 § eller prospektförordningen får utelämnas bl.a. om offentliggörande skulle innebära allvarlig skada för emittenten och utelämnande inte kan antas medföra att allmänheten vilseleds. Bestämmelsen medger dock inte att hänsyn kan tas till en fysisk person som uppgiften rör. Finansinspektionen får även besluta att information får utelämnas om den är av mindre betydelse och inte skulle påverka bedömningen beträffande den finansiella ställningen hos och framtidsutsikterna för emittenten, den som lämnar erbjudandet eller en eventuell garant. Det är bara inför upprättandet av prospektet, och vid offentliggörandet av prospektet, som undantaget i 2 kap. 12 § gäller. Bestämmelsen ger alltså inte stöd för en fortlöpande registrering av ledande personers brottslighet, utan det är bara när det har blivit aktuellt att upprätta ett prospekt som de uppgifter som prospektet ska innehålla får samlas in och behandlas i övrigt i syfte att upprätta och offentliggöra prospektet (se samma prop.). Behandling av personuppgifter utan hinder av 21 § PUL enligt 2 kap. 12 § lagen om handel med finansiella instrument är således tillåten enligt såväl unionsrätten som nationell rätt och är, genom Finansinspektionens möjlighet att besluta om att viss information får utelämnas, i viss mening under myndighets kontroll. Eftersom bestämmelsen inte ger stöd för en fortlöpande registrering av ledande personers brottslighet utan endast behandling inför upprättande och offentliggörande av prospektet blir bestämmelsen proportionerlig i förhållande till sitt syfte. Bestämmelsen i 2 kap. 12 § lagen om handel med finansiella instrument bedöms mot denna bakgrund vara förenlig med dataskyddsförordningen. Hänvisningen till 21 § PUL bör dock ersättas med en hänvisning till artikel 10 i dataskyddsförordningen. Hänvisning till personuppgiftslagen i lagen med kompletterande bestämmelser till EU:s marknadsmissbruksförordning Även i lagen (2016:1306) med kompletterande bestämmelser till EU:s marknadsmissbruksförordning (förkortad LKMF) finns bestämmelse med undantag från förbudet i 21 § PUL (2 kap. 7§). Enligt LKMF ska ett finansiellt företag tillhandahålla ändamålsenliga rapporteringssystem för anställda som vill göra anmälningar om misstänkta överträdelser av marknadsmissbruksförordningen (2 kap. 7 § första stycket). PUL gäller vid behandling av personuppgifter inom ramen för sådana rapporteringssystem. Uppgifter om lagöverträdelser som avses i 21 § PUL får dock behandlas om uppgifterna avser brott enligt lagen (2016:1307) om straff för marknadsmissbruk på värdepappersmarknaden (2 kap. 7 § andra stycket LKMF). Det finns flera bestämmelser på finansmarknadsområdet som ställer krav på att aktörer ska tillhandahålla rapporteringssystem för s.k. visselblåsande. I samtliga dessa bestämmelser, utom 2 kap. 7 § LKMF, anges att PUL gäller vid behandling av personuppgifter för sådana system, utan undantag. I fråga om LKMF har det dock ansetts nödvändigt med ett undantag från 21 § PUL för att leva upp till marknadsmissbruksförordningens krav. Enligt marknadsmissbruksförordningen ska medlemsstaterna kräva att arbetsgivare som utför verksamhet som styrs av reglering avseende finansiella tjänster inför lämpliga interna förfaranden för att deras anställda ska kunna rapportera överträdelser av den förordningen. I den mån detta innebär behandling av personuppgifter avseende brott aktualiserar det förbudet i 21 § PUL. Överträdelser av marknadsmissbruksförordningen utgör dock inte brott utan administrativa överträdelser. Förbudet i 21 § PUL är därför inte tillämpligt på personuppgifter som rör överträdelser av förordningen. Däremot kan överträdelser av förbuden mot marknadsmissbruk (insiderhandel, marknadsmanipulation och olagligt röjande av insiderinformation) i förordningen samtidigt utgöra brott enligt lagen om straff för marknadsmissbruk på värdepappersmarknaden. Bestämmelserna i PUL torde enligt förarbetena till LKMF därför innebära att företag är förhindrade att behandla personuppgifter som rör överträdelser av motsvarande förbud i marknadsmissbruksförordningen (prop. 2016/17:22 s. 318-321). Datainspektionen har med stöd av 9 § personuppgiftsförordningen (1998:1191), förkortad PUF, meddelat föreskrifter om undantag från förbudet i 21 § PUL, bl.a. för att möjliggöra användning av visselblåsarsystem (Datainspektionens föreskrifter [DIFS 2010:1] om ändring av Datainspektionens föreskrifter [DIFS 1998:3] om undantag från förbudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser m.m.). Föreskrifterna medger att uppgifter om bl.a. brottslighet inom bank- och finansväsen behandlas, men enbart om uppgifterna avser personer i nyckelpositioner eller ledande ställning inom det egna bolaget eller koncernen. För att kunna upprätthålla ändamålsenliga rapporteringssystem har det ansetts att det bör vara möjligt för de aktuella företagen att behandla sådana uppgifter som rör misstänkt marknadsmissbruk även avseende andra än nyckelpersoner. Mot denna bakgrund har därför undantaget från 21 § PUL införts i LKMF i anslutning till bestämmelsen om interna rapporteringssystem (samma prop. s. 320 f.). Med hänsyn till att det rör sig om uppgifter som är känsliga för den enskilde och mot bakgrund av dataskyddsdirektivets krav om lämpliga skyddsåtgärder har det i LKMF införts en bestämmelse om tystnadsplikt i 2 kap. 8 § för den som är eller har varit anställd hos ett finansiellt företag avseende uppgifter i en anmälan eller utsaga som gjorts till ett sådant rapporteringssystem som avses i 2 kap. 7 § om uppgiften kan avslöja anmälarens eller den utpekade personens identitet, samt en motsvarande sekretessbestämmelse för sådan uppgift i en statlig myndighets verksamhet i 30 kap. 6 b § offentlighets- och sekretesslagen (2009:400) (se vidare avsnitt 7.2). I likhet med bestämmelsen om tystnadsplikt i lagen om värdepapperscentraler och kontoföring av finansiella instrument omfattar tystnadsplikten när det gäller finansiella företags interna system för rapportering av misstänkta överträdelser av marknadsmissbruksförordningen endast skydd för obehörigt röjande. Med det avses t.ex. inte att uppgifter lämnas på begäran av Finansinspektionen eller åklagare (samma prop. s. 321). Behandling av personuppgifter enligt 2 kap. 7 § LKMF har således stöd i nationell rätt. Möjligheten till behandling enligt bestämmelsen av personuppgifter om lagöverträdelser som innefattar brott är införd för att marknadsmissbruksförordningens krav på rapporteringssystem för visselblåsare ska kunna uppfyllas och får anses proportionerlig i förhållande till sitt syfte. Genom nuvarande bestämmelser om tystnadsplikt finns det lämpliga skyddsåtgärder. Hänvisningen till 21 § PUL bör dock ersättas med en hänvisning till artikel 10 i dataskyddsförordningen. Hänvisning till personuppgiftslagen i penningtvättslagen I penningtvättslagen finns också en hänvisning till 21 § PUL med undantag från förbudet under vissa angivna förutsättningar (5 kap. 6 §). Enligt penningtvättslagen (5 kap. 6 § första stycket) får personuppgifter om lagöverträdelser som avses i 21 § PUL behandlas endast om det är nödvändigt för att bedöma den risk som kan förknippas med en kundrelation enligt 2 kap. 3 § (risk för penningtvätt eller finansiering av terrorism), för att uppfylla skyldigheten att övervaka pågående affärsförbindelser m.m. enligt 4 kap. 1 §, för att bedöma misstänkta transaktioner och aktiviteter enligt 4 kap. 2 § och för att lämna uppgifter till Polismyndigheten enligt 4 kap. 3 och 6 §§. Uppgifter om lagöverträdelser får enligt 5 kap. 6 § andra stycket också behandlas vid visst bevarande av handlingar om det är tillåtet att behandla uppgifterna enligt första stycket. Enligt 5 kap. 8 § får en verksamhetsutövares register med uppgifter om misstänkt penningtvätt eller finansiering av terrorism inte samköras med motsvarande register hos någon annan. Besked om att personuppgifter behandlas enligt 4 kap. 2, 3 eller 6 § och om att sådana uppgifter lagras enligt 5 kap. 3 eller 4 § får inte lämnas ut till den registrerade (5 kap. 7 §, se även avsnitt 7.2). Den som är verksam hos en verksamhetsutövare får inte obehörigen röja att personuppgifter behandlas enligt 5 kap. 5 och 6 §§ eller 4 kap. 2, 3 och 6 §§ och att sådana uppgifter bevaras enligt 3 och 4 §§ (5 kap. 11 §). Datainspektionen ifrågasätter om förslaget till undantag i penningtvättslagen kan anses omfattas av sådana särskilda och lämpliga skyddsåtgärder för den registrerades rättigheter och friheter som avses i artikel 10, särskilt som det enligt Datainspektionen inte finns någon tydlig begränsning för vad de verksamhetsutövare som lyder under den lagen kan behandla för att kunna bedöma risker för penningtvätt och finansiering av terrorism inom ramen för sin verksamhet. Regeringen konstaterar att bestämmelserna i penningtvättslagen som möjliggör behandling av personuppgifter som rör lagöverträdelser syftar till att verksamhetsutövare ska kunna behandla personuppgifter på ett sätt som gör det möjligt för dem att uppfylla skyldigheterna enligt fjärde penningtvättsdirektivet (prop. 2016/17:173 s. 306-314). Det bör vidare beaktas att bestämmelsen om behandling av personuppgifter om lagöverträdelser till stor del endast innebär ett förtydligande av det rättsläge som ansetts föreligga även utan sådan särskild reglering (jfr prop. 2014/15:80 s. 43 f.). Behandlingen av personuppgifter om lagöverträdelser begränsas, i likhet med övrig behandling av personuppgifter som regleras i penningtvättslagen, av bestämmelsen som anger syftet med behandlingen. Med hänsyn till att samkörning av register mellan olika verksamhetsutövare inte får ske och till att det råder tystnadsplikt för verksamma hos en verksamhetsutövare avseende personuppgifter om lagöverträdelser finns det också bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Sammanfattningsvis anser regeringen att bestämmelserna i penningtvättslagen som tillåter behandling av personuppgifter enligt 21 § PUL är förenliga med dataskyddsförordningen. Hänvisningarna till 21 § PUL bör dock ersättas med hänvisningar till artikel 10 i dataskyddsförordningen. 6 Personuppgiftsansvariga och personuppgiftsbiträden 6.1 Personuppgiftsansvarigas roll Liksom i dataskyddsdirektivet förutsätts i dataskyddsförordningen att det finns en personuppgiftsansvarig (i direktivet används dock termen registeransvarig) för all behandling av personuppgifter. Med personuppgiftsansvarig avses den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Om ändamålen med och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt, kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller den nationella rätten (artikel 4.7 i dataskyddsförordningen). Med uppgiften som personuppgiftsansvarig följer vissa skyldigheter enligt dataskyddsförordningen. Dessa skyldigheter är till stora delar desamma som i dataskyddsdirektivet. Även dataskyddsförordningen kräver till exempel att den personuppgiftsansvarige ser till att behandlingen av personuppgifter sker på ett korrekt och säkert sätt (artikel 5.2), att oriktiga uppgifter rättas (artikel 16) och att den registrerade ersätts för skada som en rättsstridig behandling av personuppgifter har medfört (artikel 82). En nyhet i dataskyddsförordningen är kravet i artikel 26 på att gemensamt personuppgiftsansvariga ska ha ett inbördes arrangemang. Enligt artikeln ska gemensamt personuppgiftsansvariga fastställa sitt respektive ansvar för att fullgöra skyldigheterna enligt förordningen, såvida inte deras respektive skyldigheter fastställs genom unionsrätten eller den nationella rätt som de omfattas av. Arrangemanget ska återspegla de gemensamt personuppgiftsansvarigas roller och förhållanden gentemot de registrerade. Oavsett arrangemang får dock den registrerade utöva sina rättigheter enligt förordningen med avseende på, och emot, var och en av de personuppgiftsansvariga. En annan nyhet är att den personuppgiftsansvarige (och personuppgiftsbiträdet, se avsnitt 6.2 nedan) i större utsträckning än i dag är skyldig att utse ett dataskyddsombud (i direktivet används termen uppgiftsskyddsombud). Till exempel blir det obligatoriskt för i princip samtliga myndigheter att ha ett sådant ombud (artikel 37). I sammanhanget kan det nämnas att dataskyddsombudets ställning stärks, bl.a. genom att ombudet ska rapportera direkt till den personuppgiftsansvariges eller personuppgiftsbiträdets högsta förvaltningsnivå och att ombudet inte får tilldelas arbetsuppgifter som leder till en intressekonflikt (artikel 38). 6.2 Personuppgiftsbiträdenas roll Dataskyddsförordningen medför något större förändringar för personuppgiftsbiträdena (i dataskyddsdirektivet används termen registerförare). Definitionen av personuppgiftsbiträde är i sak densamma som definitionen av registerförare i dataskyddsdirektivet, nämligen den som behandlar personuppgifter för den personuppgiftsansvariges räkning (artikel 4.8 i dataskyddsförordningen). Mer långtgående skyldigheter för personuppgiftsbiträdet införs emellertid genom dataskyddsförordningen. Till exempel får biträdet inte anlita underbiträden utan tillstånd från den personuppgiftsansvarige (artikel 28.2). Vidare ställs det upp nya krav på det avtal eller den rättsakt som reglerar biträdets behandling av personuppgifter (se artikel 28.3). Personuppgiftsbiträdet ska vidare, tillsammans med den personuppgiftsansvarige, i tillämpliga fall utse dataskyddsombudet (artikel 37). Av särskild betydelse är att det genom dataskyddsförordningen införs egna skyldigheter för personuppgiftsbiträdena. Till exempel är biträdet skyldigt att ha en godtagbar säkerhetsnivå (artikel 32). Vidare kan ett biträde under vissa förutsättningar bli skyldig att betala ersättning till den registrerade vid felaktig behandling av personuppgifter (artikel 82). 6.3 Bestämmelser om personuppgiftsansvaret Regeringens förslag: Hänvisningar till personuppgiftslagen i bestämmelser i lagarna på finansmarknadsområdet som pekar ut en personuppgiftsansvarig ska tas bort. Regeringens bedömning: Bestämmelser om vem som är personuppgiftsansvarig bör behållas. Lagar som pekar ut den registerförande myndigheten men inte den som är personuppgiftsansvarig behöver däremot inte kompletteras med bestämmelser om vem som är personuppgiftsansvarig. Promemorians förslag och bedömning överensstämmer med regeringens förslag och bedömning. Remissinstanserna tillstyrker förslaget och bedömningen eller har inget att invända mot dem. Skälen för regeringens förslag och bedömning Bestämmelser som pekar ut en personuppgiftsansvarig kan behållas På finansmarknadsområdet finns bestämmelser i lag som pekar ut en personuppgiftsansvarig enligt PUL bl.a. i 4 kap. 1 § lagen (1998:1479) om värdepapperscentraler och kontoföring av finansiella instrument (i det följande benämnd kontoföringslagen), 1 § lagen (1999:889) om registrering av krigsskada på egendom och 2 kap. 3 § LKMF. För dessa register bestäms ändamålen med och medlen för behandlingen i författning (se t.ex. 4 kap. 1 § kontoföringslagen). Regeringen gör bedömningen att de nämnda bestämmelserna om personuppgiftsansvar är förenliga med dataskyddsförordningen, eftersom det enligt artikel 4.7 i förordningen är tillåtet att peka ut vem som är personuppgiftsansvarig i nationell lagstiftning. Hänvisningarna till PUL bör dock tas bort. Det är inte nödvändigt att ersätta dem med hänvisningar till dataskyddsförordningen. Bestämmelserna behöver inte heller kompletteras med mer detaljerade uppgifter om vem som är personuppgiftsansvarig. I lagar där det inte pekas ut vem som är den personuppgiftsansvarige behöver det inte införas några kompletterande bestämmelser Det finns också lagar där det pekas ut vem som ska föra ett visst register eller en förteckning över vissa uppgifter, utan att uttryckligen peka ut den personuppgiftsansvarige. Som exempel kan nämnas lagen om värdepappersmarknaden, där det i 6 kap. 7 § föreskrivs att Bolagsverket för register över anknutna ombud, där de uppgifter som enligt lag eller andra författningar ska tas in i register skrivs in. Både ändamålen med och medlen för behandlingen bestäms i lagen (se 6 kap. 1 §). Detta möjliggör enligt artikel 4.7 i dataskyddsförordningen att det i nationell rätt föreskrivs vem som är personuppgiftsansvarig. Att den personuppgiftsansvarige får pekas ut i nationell rätt betyder emellertid inte att så måste ske. De berörda lagarna behöver därför inte kompletteras med uppgift om vem som är personuppgiftsansvarig. 7 Den registrerades rättigheter 7.1 Rättigheterna enligt dataskyddsförordningen och dataskyddslagen I dataskyddsförordningens tredje kapitel behandlas den registrerades rättigheter. Kapitlet avser rätten till information (artiklarna 13 och 14) och tillgång till bl.a. registerutdrag (artikel 15). Vidare behandlas rätten till rättelse (artikel 16), radering (artikel 17), begränsning av behandling (artikel 18) och dataportabilitet (artikel 20). Slutligen behandlas rätten att göra invändningar (artikel 21) och att motsätta sig automatiskt individuellt beslutsfattande (artikel 22). I anslutning till dessa rättigheter finns bestämmelser om hur och när information ska lämnas (artikel 12) och bestämmelser om anmälningsskyldighet för det fall rättelse, radering eller begränsning av behandling sker (artikel 19). Bestämmelserna om den registrerades rättigheter, med motsvarande skyldigheter för den personuppgiftsansvarige, är direkt tillämpliga. Rättigheterna är emellertid inte absoluta utan kan enligt artikel 23 i dataskyddsförordningen begränsas under vissa, i artikeln angivna, förutsättningar. I prop. 2017/18:105 föreslås att det i den nya dataskyddslagen görs undantag från informationsskyldigheten enligt artiklarna 13-15 i dataskyddsförordningen p.g.a. sekretesskäl (5 kap. 1 § dataskyddslagen). Där föreslås vidare att den registrerades rätt till registerutdrag som huvudregel inte ska omfatta personuppgifter i löpande text som inte fått sin slutliga utformning när begäran gjordes eller som utgör minnesanteckning eller liknande (5 kap. 2 § dataskyddslagen). Slutligen föreslås ett generellt bemyndigande för regeringen att meddela föreskrifter om ytterligare begränsningar enligt artikel 23 i dataskyddsförordningen (5 kap. 3 § dataskyddslagen). 7.2 Bestämmelser om tystnadsplikt Regeringens bedömning: Bestämmelser om tystnadsplikt angående personuppgifter på finansmarknadsområdet är förenliga med EU:s dataskyddsförordning och bör stå kvar oförändrade. Regeringens förslag: Hänvisning till personuppgiftslagen i bestämmelsen om tystnadsplikt gentemot förmånstagare i försäkringsrörelselagen ska ersättas med hänvisning till dataskyddsförordningen. Promemorians bedömning och förslag överensstämmer med regeringens bedömning och förslag. Remissinstanserna tillstyrker bedömningen och förslaget eller har inget att invända mot dem. Skälen för regeringens bedömning och förslag Allmänt om undantag från rätt till information vid lagstadgad tystnadsplikt Den personuppgiftsansvariges skyldighet att självmant tillhandahålla den registrerade information om behandlingen av personuppgifter följer av artiklarna 13 och 14 i dataskyddsförordningen. Motsvarande regler, om än inte lika utförliga, finns i artiklarna 10 och 11 i dataskyddsdirektivet, vilka i svensk rätt har genomförts genom 23-25 §§ PUL. Den registrerade har vidare enligt artikel 15 i dataskyddsförordningen rätt att på begäran få information om och tillgång till de personuppgifter som behandlas (s.k. registerutdrag). I artikel 14.5 i dataskyddsförordningen föreskrivs flera direkt tillämpliga undantag från rätten till information angående uppgifter insamlade från annan än den registrerade, bl.a. om personuppgifterna måste förbli konfidentiella till följd av tystnadsplikt enligt unionsrätt eller nationell rätt, inbegripet lagstadgade sekretessförpliktelser (led d). I artikel 15.4 anges endast att rätten till registerutdrag (kopia av de personuppgifter som är under behandling) inte ska påverka menligt på andras friheter och rättigheter. Bestämmelsen i artikel 23 möjliggör dock ytterligare undantag på samma sätt som dataskyddsdirektivet (jfr SOU 2017:39 s. 205). Enligt artikel 23.1 i dataskyddsförordningen ska det vara möjligt att i unionsrätten eller i en medlemsstats nationella rätt begränsa tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i bl.a. artiklarna 13-15, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa bl.a. den nationella eller allmänna säkerheten (artikel 23.1 a respektive c) eller förebyggande, förhindrande, utredning, avslöjande eller lagföring av brott eller verkställande av straffrättsliga sanktioner, inbegripet skydd mot samt förebyggande och förhindrande av hot mot den allmänna säkerheten (artikel 23.1 d). Vidare gäller rätt till sådana undantag i syfte att säkerställa andra av unionens eller en medlemsstats viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen (artikel 23.1 e). Ett annat syfte som omfattas av möjligheten till undantagsbestämmelser är säkerställande av skydd av den registrerades eller andras rättigheter och friheter (23.1 i). Av det direkt tillämpliga undantaget i artikel 14.5 d i dataskyddsförordningen följer alltså att den personuppgiftsansvarige inte på eget initiativ behöver förse den registrerade med information angående uppgifter insamlade från annan än den registrerade så snart uppgifterna omfattas av lagstadgad tystnadsplikt. Dataskyddsutredningen anser det behövligt att klargöra att sådan tystnadsplikt också kan medföra att en begäran från den registrerade om bekräftelse och information enligt artikel 15 ska avslås. Mot denna bakgrund föreslår utredningen, som nämns i avsnitt 7.1, att det i den nya dataskyddslagen ska anges en generell bestämmelse om att den registrerades rätt till information och tillgång till uppgifter enligt artiklarna 13-15 inte gäller sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning. Den nuvarande generella bestämmelsen om sådant undantag finns i 27 § PUL. Mot bakgrund av att Dataskyddsutredningen bedömer att rättsläget när det gäller möjligheten att begränsa den registrerades rätt till information och tillgång till uppgifter inte förändras i och med dataskyddsförordningen föreslår utredningen att den nya bestämmelsen ska motsvara nuvarande 27 § PUL i dess helhet. Dataskyddsutredningen bedömer på samma sätt att förarbetsuttalanden och praxis rörande 27 § PUL bör kunna vara vägledande även vid tillämpningen av den nya bestämmelsen (se samma betänkande s. 204-206). Prop. 2017/18:105 innehåller förslag i enlighet med betänkandet (s. 106 f.). Bestämmelser på finansmarknadsområdet om tystnadsplikt avseende visselblåsning I flera författningar på finansmarknadsområdet finns i dag bestämmelser om sådan tystnadsplikt som enligt 27 § PUL, och den föreslagna bestämmelsen i 5 kap. 1 § dataskyddslagen, ska gälla framför den registrerades rättigheter enligt artiklarna 13-15 i dataskyddsförordningen. I flera författningar finns bestämmelser om tystnadsplikt till skydd för s.k. visselblåsare. Innebörden av dessa är att uppgift i en anmälan eller en utsaga om en misstänkt överträdelse av en bestämmelse som gäller för verksamheten hos t.ex. en värdepapperscentral, ett fondbolag, ett kreditinstitut eller ett annat finansiellt företag, inte får röjas obehörigen om uppgiften kan avslöja anmälarens identitet. Enligt fyra författningar gäller dessutom tystnadsplikt avseende uppgifter som kan avslöja den anmälde (ibland "den utpekade") personens identitet (8 kap. 2 § kontoföringslagen, 2 kap. 8 § LKMF, 1 kap. 11 § lagen om värdepappersmarknaden och 20 § lagen [2017:317] med kompletterande bestämmelser till EU:s förordning om faktablad för Priip-produkter). Sekretess avseende den anmälde personen är motiverad av integritetsskäl (prop. 2015/16:10 s. 226, prop. 2016/17:22 s. 329, prop. 2016/17:78 s. 57 och prop. 2016/17:162 s. 517). Tystnadsplikten enligt dessa bestämmelser avser endast skydd för obehörigt röjande. Med obehörigt röjande avses t.ex. inte att uppgifter lämnas på begäran av behöriga utredande myndigheter (se t.ex. prop. 2016/17:22 s. 321). Övriga bestämmelser om tystnadsplikt Utöver bestämmelser om tystnadsplikt i förhållande till visselblåsning finns ytterligare regler om tystnadsplikt med verkan mot en registrerad i 8 kap. 4 § kontoföringslagen, samt i 4 kap. 14 § försäkringsrörelselagen (2010:2043). Även i penningtvättslagen finns sådana bestämmelser om tystnadsplikt (se nedan). Bestämmelsen i 8 kap. 4 § kontoföringslagen ger en undersökningsledare eller åklagare som begär uppgifter från en svensk värdepapperscentral, eller ett kontoförande institut, om enskildas förhållanden enligt 8 kap. 2 a § samma lag, rätt att besluta att värdepapperscentralen eller det kontoförande institutet samt värdepapperscentralens eller institutets styrelseledamöter och anställda inte får röja för kunden eller för någon utomstående att uppgifter har lämnats eller att det pågår en förundersökning eller ett ärende om rättslig hjälp i brottmål. Penningtvättslagen innehåller en huvudregel om tystnadsplikt gentemot bl.a. en kund hos en verksamhetsutövare angående verksamhetsutövarens bedömning om det finns skälig grund att misstänka att transaktioner eller andra aktiviteter utgör penningtvätt eller finansiering av terrorism eller att egendom annars härrör från brottslig handling (4 kap. 9 §). Samma tystnadsplikt gäller angående att verksamhetsutövaren lämnar uppgifter om sådana misstankar till Polismyndigheten enligt 4 kap. 3 eller 6 §. Enligt 5 kap. 7 § penningtvättslagen får besked om att personuppgifter behandlas avseende sådana åtgärder som nämns ovan och om att sådana uppgifter lagras inte lämnas ut till den registrerade. Tystnadsplikt enligt 5 kap. 11 § samma lag innebär att den som är verksam hos en verksamhetsutövare inte obehörigen får röja att känsliga personuppgifter eller personuppgifter om lagöverträdelser behandlas enligt samma lag. Bestämmelsen i 4 kap. 14 § försäkringsrörelselagen stadgar att en personuppgift som anger att en försäkringstagare har vidtagit dispositioner beträffande försäkringsbelopp som utfaller i framtiden till förmån för någon annan och som behandlas enligt PUL inte får lämnas ut till förmånstagaren. Förhållandet till dataskyddsförordningen I så måtto att ovan nämnda begränsningar av den registrerades rätt till information grundar sig i bestämmelser om lagstadgad tystnadsplikt är de förenliga med det direkt tillämpliga undantaget i artikel 14.5 d i dataskyddsförordningen från den personuppgiftsansvariges skyldighet att på eget initiativ informera den registrerade. Att därutöver låta bestämmelserna innebära undantag från den registrerades rätt till bekräftelse och information enligt artikel 15, liksom den registrerades rätt till information om behandling avseende uppgifter insamlade från den registrerade själv enligt artikel 13, förutsätter att ett sådant undantag är förenligt med förordningens bestämmelser om begränsningar av den registrerades rättigheter enligt artikel 23 (bortsett från att artikel 15.4 som nämns ovan stadgar om att en rätt till registerutdrag inte får inverka menligt på andras rättigheter och friheter). Bestämmelserna om tystnadsplikt när det gäller visselblåsning kan innebära att någon som blivit utpekad av en anmälare inte har rätt att begära ut information om denna behandling av personuppgifter i den mån denna information kan avslöja anmälarens identitet. I de fyra författningar som nämns ovan där även den anmäldes identitet skyddas av sekretess är det inte skäl för sekretess gentemot den anmälde eftersom sådan sekretess endast motiveras av integritetsskäl, och inte t.ex. utredningsskäl. Av naturliga skäl gäller inte sekretess avseende den anmäldes identitet gentemot anmälaren heller. I den mån tredje mans personuppgifter behandlas i samband med en anmälan kan dock sekretess avseende såväl den utpekades som anmälarens identitet hindra att tredje man har rätt att begära ut information om behandlingen. Samtliga nuvarande bestämmelser i svensk rätt på finansmarknadsområdet om tystnadsplikt i förhållande till visselblåsning har sin grund i unionsrätten (se bl.a. Europaparlamentets och rådets förordning [EU] nr 909/2014 av den 23 juli 2014 om förbättrad värdepappersavveckling i Europeiska unionen och om värdepapperscentraler samt ändring av direktiv 98/26/EG och 2014/65/EU och förordning [EU] nr 236/2012, samt direktiv 2013/36/EU av den 26 juni 2013 om behörighet att utöva verksamhet i kreditinstitut och om tillsyn av kreditinstitut och värdepappersföretag, om ändring av direktiv 2002/87/EG och om upphävande av direktiv 2006/48/EG och 2006/49/EG). Bestämmelserna till skydd för anmälaren - visselblåsaren - syftar bl.a. till att säkra viktiga mål av allmänt intresse för såväl unionen som Sverige. Eftersom en anmälan eller utsaga om en misstänkt överträdelse av bestämmelser som gäller för de berörda verksamheterna kan avse såväl brott som överträdelse av gällande etiska regler aktualiserar bestämmelserna även undantagen i artikel 23.1 d och g i dataskyddsförordningen. Tystnadsplikt till skydd för den anmäldes integritet faller under artikel 23.1 i om skydd för den registrerades rättigheter och friheter. Bestämmelserna om tystnadsplikt avseende visselblåsning bedöms respektera andemeningen i de grundläggande rättigheterna och friheterna och utgöra nödvändiga och proportionella åtgärder i ett demokratiskt samhälle, samt leva upp till de övriga kraven i artikel 23.2. Med hänsyn till detta, samt till att nuvarande bestämmelser ansetts vara förenliga med dataskyddsdirektivet, bör de kvarstå oförändrade. När det gäller bestämmelserna om tystnadsplikt i kontoföringslagen och penningtvättslagen kan det först konstateras att även om tystnadsplikten enligt dessa bestämmelser avser att främja utredning av brott etc. rör bestämmelserna andra än behöriga brottsutredande myndigheter. Bestämmelserna faller därför inte utanför dataskyddsförordningens tillämpningsområde. Genom sina syften går det vidare att konstatera att bestämmelserna gör flera av bestämmelserna om begränsningar i artikel 23.1 i dataskyddsförordningen tillämpliga, såsom artikel 23.1 d avseende förebyggande och utredande av brott m.m. När det gäller penningtvättslagen aktualiseras också bestämmelserna i artikel 23.1 a och c avseende den nationella respektive den allmänna säkerheten. Även bestämmelsen i artikel 23.1 e angående andra viktiga mål av generellt allmänt intresse aktualiseras. Bestämmelserna om tystnadsplikt i kontoföringslagen och penningtvättslagen bedöms respektera andemeningen i de grundläggande rättigheterna och friheterna och utgöra nödvändiga och proportionella åtgärder i ett demokratiskt samhälle, samt leva upp till de övriga kraven i artikel 23.2 i dataskyddsförordningen. Med hänsyn till detta bör de kvarstå oförändrade. Tystnadsplikten enligt 4 kap. 14 § försäkringsrörelselagen kan sägas utgöra ett skydd för försäkringstagarens rätt att hålla sådana dispositioner som avses i bestämmelsen hemliga för förmånstagaren, vilken aktualiserar begränsningsbestämmelsen i artikel 23.1 i i dataskyddsförordningen om skydd för den registrerades eller andras rättigheter och friheter. Denna bestämmelse i försäkringsrörelselagen bedöms liksom de ovan nämnda bestämmelserna i övrigt vara förenlig med dataskyddsförordningen. Hänvisningen till PUL bör emellertid ersättas med en hänvisning till dataskyddsförordningen. 7.3 Rätten till rättelse 7.3.1 Gällande rätt Rättelse enligt dataskyddsdirektivet I artikel 12 b i dataskyddsdirektivet stadgas en rätt till rättelse för den registrerade. I artikel 13.1 finns regler om undantag från denna rättighet. Artikel 6.1 d i direktivet innehåller därtill en skyldighet för medlemsstaterna att föreskriva att personuppgifter ska vara riktiga och om nödvändigt aktuella, samt en skyldighet att vidta alla rimliga åtgärder för att säkerställa att personuppgifter som är felaktiga eller ofullständiga rättas - vad som kallas kravet på korrekthet - som i dataskyddsförordningen motsvaras av artikel 5.1 d, se nedan. Nuvarande bestämmelser i registerförfattningar som utgör undantag från de rättigheter och skyldigheter som föreskrivs i PUL, däribland rätten till rättelse, har ofta sin grund i artikel 13.1 i dataskyddsdirektivet (SOU 2017:39 s. 201). I dataskyddsförordningen finns motsvarigheten till den artikeln i artikel 23, se nedan. Rättelse enligt personuppgiftslagen Enligt 28 § PUL är den personuppgiftsansvarige skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med PUL eller föreskrifter som har utfärdats med stöd av PUL. Rubriken närmast före paragrafen lyder "Rättelse". Med detta menas rättelse i den vidare bemärkelsen korrigering, som alltså kan ske genom de alternativa metoderna rättelse, blockering och utplåning. Det är den som ska göra korrigeringen, dvs. den personuppgiftsansvarige, som ska välja mellan alternativen (se prop. 1997/98:44 s. 86). Av någon annan lag, eller av sakens natur, kan det dock följa att vissa korrigeringsmetoder inte kan användas i vissa fall, t.ex. när det gäller korrigering av personuppgifter i bokföring. En myndighet får inte heller utplåna uppgifter i en allmän handling, om det skulle strida mot andra bestämmelser. Av 28 § PUL framgår därutöver att den personuppgiftsansvarige i vissa fall ska underrätta en tredje man, till vilken uppgifterna har lämnats ut, om korrigeringsåtgärden. Paragrafen gäller bara när personuppgifter har behandlats i strid med PUL (eller föreskrifter som utfärdats med stöd av den lagen). Detta innebär bl.a. att korrigering enligt 28 § PUL inte kan ske vid överträdelser av sektorsspecifika bestämmelser om behandling av personuppgifter. I den mån de sektorsspecifika bestämmelserna reglerar frågan om rättelse innehåller de därför särskilda bestämmelser om rättelse eller hänvisningar till andra bestämmelser om rättelse. Hänvisningar till personuppgiftslagen På finansmarknadsområdet finns det flera författningar som hänvisar till PUL:s bestämmelse om rättelse. När det gäller lagar finns sådan hänvisning i 6 kap. 8 § lagen (2010:751) om betaltjänster och 5 kap. 10 § penningtvättslagen. Bestämmelsen om rättelse i kontoföringslagen I kontoföringslagen finns en särskild bestämmelse om rättelse, enligt vilken en registrering på avstämningskonto ska rättas, om den innehåller någon uppenbar oriktighet till följd av att den som vidtagit registreringsåtgärden eller någon annan har gjort sig skyldig till skrivfel, räknefel eller liknande förbiseende eller till följd av något tekniskt fel (5 kap. 4 §). Den vars rätt berörs ska ges möjlighet att yttra sig, om inte rättelsen är till förmån för denne eller yttrande annars är uppenbart obehövligt. 7.3.2 Rättelse enligt dataskyddsförordningen Enligt artikel 16 i dataskyddsförordningen har den registrerade rätt att utan onödigt dröjsmål få felaktiga personuppgifter rättade av den personuppgiftsansvarige. Med beaktande av ändamålet med behandlingen, ska den registrerade vidare ha rätt att komplettera ofullständiga personuppgifter, bl.a. genom att tillhandahålla ett kompletterande utlåtande. Enligt artikel 5.1 d gäller därutöver som princip för behandling av personuppgifter att de ska vara korrekta och om möjligt uppdaterade och att alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål. Av artikel 23 i dataskyddsförordningen följer att rätten till rättelse kan begränsas i unionsrätten eller medlemsstaternas nationella rätt, om en sådan begränsning sker med respekt för andemeningen i de grundläggande fri- och rättigheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att säkerställa vissa i artikeln angivna syften. Ett sådant syfte är andra av unionens eller en medlemsstats viktiga mål av generellt allmänt intresse (artikel 23.1 e). Ett annat är skydd av den registrerade eller andras rättigheter och friheter (artikel 23.1 i). Sådana begränsande lagstiftningsåtgärder ska emellertid åtminstone, när så är relevant, uppfylla vissa krav, som anges i artikel 23.2. 7.3.3 Anpassningar av bestämmelser om rättelse Regeringens bedömning: Den särskilda bestämmelsen om rättelse i kontoföringslagen bör behållas. Regeringens förslag: Bestämmelser i lagarna på finansmarknadsområdet med hänvisningar till bestämmelsen om rättelse i personuppgiftslagen ska tas bort. I bestämmelsen om rättelse i kontoföringslagen ska det tas in en upplysning om att den bestämmelsen gäller i stället för bestämmelsen om rättelse i artikel 16 i EU:s dataskyddsförordning. Promemorians bedömning och förslag överensstämmer delvis med regeringens bedömning och förslag. I promemorian föreslås inte något tillägg av en upplysning i bestämmelsen om rättelse i kontoföringslagen. Remissinstanserna: Flertalet remissinstanser tillstyrker bedömningen och förslaget eller har inget att invända mot dem. Datainspektionen och dataskydd.net efterfrågar ett förtydligande av behovet och proportionaliteten i begränsningen av rätten till rättelse. Datainspektionen efterfrågar vidare generella förtydliganden av på vilket sätt den begränsning som föreslås är förenlig med artikel 23.2 i dataskyddsförordningen. Om begränsningen av rätten till rättelse ska kvarstå anser Datainspektionen att det i lagtext bör förtydligas att den utgör en begränsning av rätten till rättelse enligt dataskyddsförordningen. Dataskydd.net avstyrker att begränsningen av rätten till rättelse ska kvarstå. Skälen för regeringens bedömning och förslag Hänvisningar till personuppgiftslagen bör tas bort De bestämmelser i lagarna på finansmarknadsområdet i vilka det anges att bestämmelsen om rättelse i PUL ska tillämpas vid behandling av personuppgifter enligt lagen i fråga måste ändras, eftersom PUL kommer att upphävas. Hänvisningen till PUL är i dag nödvändig för att rättelsebestämmelsen i PUL ska kunna tillämpas i de fall behandlingen av personuppgifter sker enligt bestämmelserna i de lagarna. Någon hänvisning till dataskyddsförordningen är inte nödvändig i lagarna på finansmarknadsområdet, eftersom förordningen är direkt tillämplig på behandling av personuppgifter som sker inom ramen för dessa lagar. Det är därför tillräckligt att hänvisningarna till bestämmelsen om rättelse i PUL tas bort. Bestämmelsen i kontoföringslagen om rätten till rättelse bör behållas Bestämmelserna om registreringsåtgärder i kontoföringslagen, inbegripet bestämmelsen om rättelse i 5 kap. 4 §, har överförts i stort sett oförändrade från den numera upphävda aktiekontolagen (1989:827). Rättelsebestämmelsen i aktiekontolagen hade i sin tur förebild i bl.a. 4 kap. 22 § lagen (1984:649) om företagshypotek och 26 § förvaltningslagen (1986:223) (se prop. 1988/89:152 s. 106) och t.ex. regleringen av fastighetsregister (jfr NJA II 1984 s. 365). Rättelse enligt kontoföringslagen förutsätter att oriktigheten är uppenbar till följd av att den som vidtagit registreringsåtgärden eller någon annan har gjort sig skyldig till skrivfel, räknefel eller liknande förbiseende eller till följd av något tekniskt fel. Regeringen konstaterar att bestämmelserna i dataskyddsförordningen om rättelse motiveras av integritetsskäl. I förhållande till registrering på avstämningskonto måste dessa skäl vägas mot att sådan registrering är förenad med flera viktiga rättsverkningar. Sådana rättsverkningar avser bl.a. en presumtion om äganderätt för den som är antecknad som ägare till det finansiella instrumentet, tidpunkt för överlåtelses rättsverkan mot tredje man och behörighet att ta emot betalning (se 6 kap. kontoföringslagen). Avstämningsregistret ger även insynsrätt för varje registrerad vars rätt berörs av kontots innehåll (8 kap. 1 §), samt i viss mån åt allmänheten (13 kap. 3 §). Det är därför av mycket stor vikt att uppgifterna i registret är tillförlitliga och att en ändring av uppgifter i registret måste ske på ett sätt som är förenligt med dess grundläggande funktion. Liknande överväganden ligger bakom de bestämmelser som har utgjort förebild för rättelsebestämmelsen i kontoföringslagen. Syftet med denna typ av särskilda rättelsebestämmelser är alltså, primärt, att skydda ekonomiska intressen (jfr prop. 1999/2000:39 s. 120 f. och prop. 2000/01:88 s. 51). Begränsning av rätten till rättelse till sådana fall där oriktigheten är uppenbar och beror på vissa orsaker bygger på att ändringar i registrets innehåll som avser uppgifter som inte är uppenbart oriktiga ska kunna göras enbart efter en mer ingående rättslig prövning. En sådan ordning har bedömts nödvändig för att skydda enskildas ägarintressen, eller intressen av annat slag, som utgår från uppgifter i registret (jfr prop. 2017/18:111 s. 44-46). Nuvarande bestämmelse i kontoföringslagen om rättelse bör ge utrymme för att ändra de uppgifter som inte förutsätter en mer ingående prövning. Det har heller inte framkommit något som tyder på att den kan leda till att uppgifter förblir oriktiga på ett sätt som kan sägas vara problematiskt av hänsyn till de registrerades integritet. Datainspektionen och dataskydd.net efterfrågar förtydligande av behovet och proportionaliteten av begränsningen i bestämmelsen i kontoföringslagen om rättelse. Regeringen anser mot bakgrund av det anförda att den särskilda bestämmelsen om rättelse utgör en nödvändig och proportionell begränsning av rätten till rättelse enligt dataskyddsförordningen. Datainspektionen efterfrågar även förtydligande av på vilket sätt begränsningen är förenlig med kraven i artikel 23.2 i förordningen. Med hänsyn till att kontoföringslagen innehåller relevanta bestämmelser bl.a. om ändamålen med behandlingen och specificering av personuppgiftsansvarig, får begränsningen anses förenlig med dessa krav. Vidare förutsätter bestämmelsen i kontoföringslagen som utgångspunkt att kommunikation sker inför rättelsen, medan dataskyddsförordningen kräver att rättelse sker utan onödigt dröjsmål. Med hänsyn till att införande i det nu aktuella registret är förenat med viktiga rättsverkningar, bedöms att kommunikation som föregår rättelsen enligt bestämmelsen medför ett nödvändigt dröjsmål. Bestämmelsen om kommunikation bedöms därför förenlig med dataskyddsförordningen. Regeringen bedömer därför, till skillnad från dataskydd.net, att bestämmelsen i kontoföringslagen om rättelse bör kvarstå. Regeringen instämmer med Datainspektionen att det finns skäl att göra ett tillägg i kontoföringslagen med en upplysning om att bestämmelsen om rättelse i den lagen gäller i stället för bestämmelsen om rättelse i artikel 16 i dataskyddsförordningen. Rätten till komplettering omfattas av rätten till rättelse Rätten till rättelse enligt dataskyddsförordningen omfattar även rätten till komplettering av ofullständiga uppgifter. Komplettering av ofullständiga uppgifter enligt den ovan nämnda bestämmelsen i kontoföringslagen får anses kunna ske under samma förutsättningar som rättelse av direkta felaktigheter, dvs. i den mån ofullständigheten är uppenbar och beror på förbiseende (jfr JO 1990/91 s. 135). Rätten till komplettering enligt artikel 16 i dataskyddsförordningen föranleder därför inte några särskilda författningsändringar. 7.4 Rätten till radering Regeringens bedömning: Rätten till radering av personuppgifter enligt EU:s dataskyddsförordning kräver inte några lagändringar på finansmarknadsområdet. Promemorians bedömning överensstämmer med regeringens bedömning. Remissinstanserna tillstyrker bedömningen eller har inget att invända mot den. Skälen för regeringens bedömning: Rätten till radering eller, som den också kallas, rätten att bli bortglömd, finns i artikel 17 i dataskyddsförordningen. Den ersätter rätten till utplåning i artikel 12 b i dataskyddsdirektivet, som i svensk rätt har genomförts genom 28 § PUL, tillsammans med rätten till rättelse och blockering (se avsnitt 7.3.1). Rätten till utplåning finns inte uttryckligen i de författningar på finansmarknadsområdet enligt vilka bestämmelserna om rättelse i förvaltningslagen eller särskilda bestämmelser om rättelse gäller i stället för 28 § PUL. Artikel 17 i dataskyddsförordningen är, liksom övriga artiklar i förordningen som behandlar den registrerades rättigheter, direkt tillämplig. Rätten till radering enligt artikeln kommer emellertid att få mycket begränsad betydelse för den behandling av personuppgifter som sker inom finansmarknadsområdet. Enligt artikel 17.3 b i dataskyddsförordningen gäller nämligen inte rätten till radering om behandling av de aktuella personuppgifterna är nödvändig för att uppfylla en rättslig förpliktelse som kräver behandling enligt unionsrätten eller enligt en medlemsstats nationella rätt, utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning. Så är det regelmässigt för behandling av personuppgifter som sker med stöd av författningar på finansmarknadsområdet, eftersom den behandlingen sker med stöd av artikel 6.1 c eller e i dataskyddsförordningen (se avsnitt 5.1). Sammanfattningsvis föranleder rätten till radering enligt artikel 17 i dataskyddsförordningen därför inte några författningsändringar på finansmarknadsområdet. 7.5 Rätten till begränsning av behandling Regeringens bedömning: Rätten till begränsning av behandling av personuppgifter enligt EU:s dataskyddsförordning kräver inte några lagändringar på finansmarknadsområdet. Promemorians bedömning överensstämmer med regeringens bedömning. Remissinstanserna tillstyrker bedömningen eller har inget att invända mot den. Skälen för regeringens bedömning: Enligt artikel 18 i dataskyddsförordningen har den registrerade rätt att under vissa förutsättningar kräva att behandlingen av personuppgifter begränsas. Med begränsning avses dels åtgärd i form av markering av lagrade personuppgifter med syftet att begränsa behandlingen av dessa i framtiden (artikel 4.3 i förordningen), dels, när det gäller denna framtida hantering, att sådana personuppgifter med undantag för lagring, endast behandlas med den registrerades samtycke eller för att fastställa, göra gällande eller försvara rättsliga anspråk eller för att skydda någon annan fysisk eller juridisk persons rättigheter eller för skäl som rör ett viktigt allmänintresse för unionen eller för en medlemsstat (artikel 18.2). Rätten till begränsning ersätter den åtgärd som i artikel 12 b i dataskyddsdirektivet benämns som blockering och som i svensk rätt har genomförts genom 28 § PUL, tillsammans med rätten till rättelse och radering (se avsnitt 7.3.1). I kontoföringslagen finns en särskild bestämmelse om rättelse som gäller i stället för 28 § PUL (se avsnitt 7.3). I den bestämmelsen i kontoföringslagen finns det inte någon uttrycklig rätt till blockering. Artikel 18 i dataskyddsförordningen är, liksom övriga artiklar i förordningen som behandlar den registrerades rättigheter, direkt tillämplig. Enligt dataskyddsförordningen (artikel 18.1 a-c) får begränsning av behandling av personuppgifter bl.a. ske - under en tid som ger den personuppgiftsansvarige möjlighet att kontrollera om personuppgifterna är korrekta, om den registrerade bestrider personuppgifternas korrekthet, - om behandlingen är olaglig och den registrerade motsätter sig att personuppgifterna raderas och i stället begär en begränsning av deras användning, eller - om den personuppgiftsansvarige inte längre behöver personuppgifterna för ändamålen med behandlingen men den registrerade behöver dem för att kunna fastställa, göra gällande eller försvara rättsliga anspråk. I kontoföringslagen, där det med hänsyn till avstämningsregisters vikt bör finnas en inskränkning av den rätt till rättelse som annars gäller enligt artikel 16 i dataskyddsförordningen (se avsnitt 7.3.3), finns det inte något behov av att även inskränka rätten till begränsning av behandling av personuppgifter. De ovan redovisade förutsättningarna för begränsning av behandling av personuppgifter som anges i förordningen framstår som proportionerliga i förhållande till ett avstämningsregisters funktion. När det gäller möjlighet till begränsning under den tid som den personuppgiftsansvarige behöver för att kontrollera korrektheten hos personuppgifter när den registrerade bestritt denna, måste det enligt regeringens uppfattning avse sådan tid som behövs för en kontroll enligt den särskilda bestämmelse i kontoföringslagen om rättelse som enligt förslaget i denna proposition ska gälla även i fortsättningen. Därtill kommer att om behandlingen har begränsats med anledning av att någon av nu nämnda förutsättningar är uppfyllda, får sådana personuppgifter enligt artikel 18.2 i förordningen dock behandlas med den registrerades samtycke eller för att fastställa, göra gällande eller försvara ett rättsligt anspråk eller för att skydda någon annan fysisk eller juridisk persons rättigheter eller för skäl som rör något viktigt allmänintresse för unionen eller en medlemsstat. De beaktansvärda intressen som kan finnas emot begränsning av behandling av personuppgifter i ett avstämningsregister är i förevarande fall således tillgodosedda genom de direkt tillämpliga bestämmelserna i artikel 18 i dataskyddsförordningen. Rätten till begränsning enligt artikel 18 i förordningen föranleder därför inte någon lagändring på finansmarknadsområdet. 7.6 Rätten till dataportabilitet Regeringens bedömning: Rätten till dataportabilitet enligt EU:s dataskyddsförordning kräver inte några lagändringar på finansmarknadsområdet. Promemorians bedömning överensstämmer med regeringens bedömning. Remissinstanserna tillstyrker bedömningen eller har inget att invända mot den. Skälen för regeringens bedömning: Dataportabilitet innebär att uppgifter flyttas från ett nätverk till ett annat. Den registrerade har rätt till dataportabilitet enligt artikel 20 i dataskyddsförordningen. Rätten förutsätter att behandlingen grundar sig på samtycke eller avtal. Behandling av personuppgifter som regleras i författningarna på finansmarknadsområdet sker emellertid regelmässigt på andra rättsliga grunder (se avsnitt 5.1). Rätten till dataportabilitet enligt artikel 20 i förordningen föranleder därför inte några författningsändringar på detta område. Det ska ändå påpekas att artikeln är direkt tillämplig och kan få betydelse när behandlingen av personuppgifter sker med stöd av samtycke eller avtal. 7.7 Rätten till invändningar Regeringens bedömning: Rätten till invändningar mot behandling av personuppgifter enligt EU:s dataskyddsförordning kräver inte några lagändringar på finansmarknadsområdet. Promemorians bedömning överensstämmer med regeringens bedömning. Remissinstanserna tillstyrker bedömningen eller har inget att invända mot den. Skälen för regeringens bedömning Dataskyddsdirektivet och personuppgiftslagen Rätten till invändningar regleras i dag i artikel 14 i dataskyddsdirektivet, som i svensk rätt har genomförts genom 11 och 12 §§ PUL. Enligt 11 § PUL får personuppgifter inte behandlas för ändamål som rör direkt marknadsföring, om den registrerade hos den personuppgiftsansvarige skriftligen har anmält att han eller hon motsätter sig sådan behandling. Enligt 12 § PUL har den registrerade vidare rätt att när som helst återkalla sitt samtycke till behandlingen av personuppgifter. Ytterligare personuppgifter får därefter inte behandlas, om samtycket är en nödvändig förutsättning för behandlingen. Rätten gäller dock endast samtycke enligt 10 § (samtycke för att behandlingen överhuvudtaget ska vara tillåten), enligt 15 § (samtycke till behandling av känsliga personuppgifter) och enligt 34 § (samtycke till överföring av personuppgifter till tredjeland). Fortsatt behandling av redan insamlade personuppgifter får dessutom ske under förutsättning att övriga krav på behandlingen följs. Av 12 § andra stycket PUL följer att en registrerad, utöver det som följer av 12 § första stycket och 11 §, inte har rätt att motsätta sig sådan behandling av personuppgifter som är tillåten enligt PUL. Möjligheterna för den registrerade att motsätta sig behandling är alltså begränsade enligt PUL. Dataskyddsförordningen Enligt artikel 21 i dataskyddsförordningen har den registrerade rätt att, under vissa förutsättningar, invända mot den personuppgiftsansvariges behandling av personuppgifter. För personuppgifter som behandlas för att utföra en uppgift av allmänt intresse, som ett led i myndighetsutövning eller efter en intresseavvägning (dvs. behandling enligt artikel 6.1 första stycket e eller f i dataskyddsförordningen) får en invändning göras när som helst. Görs en invändning, får den personuppgiftsansvarige fortsätta att behandla personuppgifterna bara om han eller hon kan påvisa "tvingande berättigade skäl ("compelling legitimate grounds" i den engelska språkversionen) som väger tyngre än den registrerades intressen, rättigheter och friheter, eller om behandlingen sker för fastställande, utövande eller försvar av rättsliga anspråk. För personuppgifter som behandlas för direkt marknadsföring får en invändning också göras när som helst. Görs en invändning, får personuppgifterna inte längre behandlas för sådana ändamål. Någon intresseavvägning ska alltså inte göras i de fallen. För personuppgifter som behandlas för vetenskapliga och historiska forskningsändamål eller statistiska ändamål gäller rätten till invändningar, om behandlingen inte är nödvändig för att utföra en uppgift av allmänt intresse. Artikel 21 i dataskyddsförordningen är direkt tillämplig men tillämpningsområdet kan begränsas i enlighet med artikel 23. Överväganden för finansmarknadsområdet På finansmarknadsområdet finns ett flertal register som förs av hänsyn till viktiga allmänintressen. För att dessa register ska kunna fortsätta att föras och fylla sina syften kan rätten till invändningar inte gälla för dem. Eftersom de registerförande aktörerna är skyldiga att föra dessa register och förteckningar, vilka ska ha ett visst innehåll, utför de nödvändig behandling av personuppgifter för att fullgöra en rättslig förpliktelse. Det rör sig alltså om behandling enligt artikel 6.1 första stycket c i dataskyddsförordningen. I de fallen gäller inte rätten till invändningar. Artikel 21 i dataskyddsförordningen föranleder därför inte några författningsändringar på finansmarknadsområdet. 7.8 Rätten att motsätta sig automatiserat individuellt beslutsfattande Regeringens bedömning: Rätten att motsätta sig automatiskt individuellt beslutsfattande enligt EU:s dataskyddsförordning kräver inte några lagändringar på finansmarknadsområdet. Promemorians bedömning överensstämmer med regeringens bedömning. Remissinstanserna tillstyrker bedömningen eller har inget att invända mot den. Skälen för regeringens bedömning: Enligt artikel 22 i dataskyddsförordningen har den registrerade i vissa fall en rätt att motsätta sig beslut som grundas enbart på automatiserad behandling, inbegripet profilering, om beslutet har rättsliga följder för den registrerade eller på liknande sätt i betydande grad påverkar denne. Det är fråga om att den enskilde inte ska behöva tåla att sådana viktiga beslut fattas utan mänsklig inblandning. Med profilering avses automatisk behandling av personuppgifter för att bedöma vissa personliga egenskaper hos en fysisk person (artikel 4.4 i dataskyddsförordningen). Rätten att motsätta sig automatiskt individuellt beslutsfattande finns även i artikel 15 i dataskyddsdirektivet, som i svensk rätt har genomförts genom 29 § PUL. Några särregler i förhållande till 29 § PUL finns inte på finansmarknadsområdet. Rätten att motsätta sig automatiskt individuellt beslutsfattande enligt artikel 22 i dataskyddsförordningen föranleder därför inte några författningsändringar på finansmarknadsområdet. 8 Rättsmedel, ansvar och sanktioner 8.1 Dataskyddsförordningens bestämmelser I kapitel VIII i dataskyddsförordningen finns bestämmelser om rättsmedel, ansvar och sanktioner. Där behandlas bl.a. den registrerades rätt att lämna in klagomål till tillsynsmyndigheten (artikel 77) och rätten till ett effektivt rättsmedel mot tillsynsmyndighetens beslut (artikel 78) och mot personuppgiftsansvariga och personuppgiftsbiträden (artikel 79). Där finns också bestämmelser om den registrerades rätt till ersättning vid överträdelser av förordningen (artikel 82). Vidare finns bestämmelser av mer processuell karaktär, t.ex. om när ett förfarande ska vilandeförklaras (artikel 81), och bestämmelser om vilka befogenheter som tillsynsmyndigheterna ska ha (artikel 58). I prop. 2017/18:105 finns förslag som avser hur frågor om sanktioner och processuella frågor ska tas om hand i den svenska lagstiftningen (s. 138-169). I samma proposition föreslås även en upplysningsbestämmelse om att dataskyddsförordningens bestämmelser om ersättning gäller även vid överträdelser av författningar som kompletterar dataskyddsförordningen, se avsnitt 8.2.2 nedan. 8.2 Skadestånd 8.2.1 Gällande rätt Skadestånd enligt personuppgiftslagen Enligt 48 § PUL ska den personuppgiftsansvarige ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med PUL har orsakat. Ersättningsskyldigheten kan jämkas, om den personuppgiftsansvarige visar att felet inte berodde på denne. Den nämnda paragrafen i PUL är en sådan specialbestämmelse om skadestånd som tar över de allmänna skadeståndsreglerna i skadeståndslagen (1972:207). I den utsträckning en ersättningsfråga inte berörs i PUL, t.ex. frågan om hur ersättning ska beräknas eller frågan om ansvaret när det finns flera skadeståndsskyldiga, tillämpas däremot allmänna skadeståndsrättsliga regler. Paragrafen gäller bara skadestånd vid behandling av personuppgifter i strid med PUL. Det innebär bl.a. att skadestånd inte kan utgå enligt PUL vid brott mot sektorsspecifika bestämmelser om behandling av personuppgifter. I flera sektorsspecifika författningar om behandling av personuppgifter regleras därför frågan om skadestånd särskilt eller så finns det hänvisningar till att bestämmelserna om skadestånd i PUL ska gälla även enligt den författningen. Hänvisningar till personuppgiftslagen På finansmarknadsområdet finns flera författningar i vilka det anges att bestämmelserna om skadestånd i PUL ska tillämpas vid behandling av personuppgifter enligt författningen i fråga, t.ex. 7 kap. 2 § fjärde stycket kontoföringslagen och 6 kap. 8 § lagen om betaltjänster. Kontoföringslagen innehåller därutöver särskilda bestämmelser om skadestånd avseende behandling av andra uppgifter än personuppgifter (7 kap. 2 § första-tredje styckena). 8.2.2 Skadestånd enligt dataskyddsförordningen Personuppgiftsansvarigas och personuppgiftsbiträdens ansvar samt registrerades rätt till ersättning regleras i artikel 82 i dataskyddsförordningen. Där anges att varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av förordningen ska ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan. I artikeln anges vidare att varje personuppgiftsansvarig som har medverkat vid behandlingen ska ansvara för skadan, medan personuppgiftsbiträden ska ansvara endast om de inte har fullgjort sina skyldigheter enligt dataskyddsförordningen eller om de agerat utanför eller i strid med den personuppgiftsansvariges lagenliga anvisningar. Den personuppgiftsansvarige (eller personuppgiftsbiträdet) ska undgå ansvar endast om han eller hon visar att han eller hon inte på något sätt är ansvarig för händelsen som orsakat skadan. Slutligen anges att om det finns flera personuppgiftsansvariga eller personuppgiftsbiträden, ska varje personuppgiftsansvarig och personuppgiftsbiträde ansvara för hela skadan gentemot den registrerade. Den som betalar full ersättning har dock regressrätt gentemot övriga ansvariga. I skälen till dataskyddsförordningen anges att behandling som strider mot förordningen omfattar även behandling som strider mot bl.a. medlemsstaternas nationella rätt med närmare specifikation av förordningens bestämmelser (skäl 146). I sammanhanget kan nämnas att det i prop. 2017/18:105 föreslås att det i den nya dataskyddslagen ska anges att rätten till ersättning enligt dataskyddsförordningen gäller även vid överträdelser av bestämmelser i den lagen och andra föreskrifter som kompletterar dataskyddsförordningen (7 kap. 1 § dataskyddslagen). Någon möjlighet till undantag i nationell rätt från rätten till ersättning finns inte i dataskyddsförordningen. 8.2.3 Anpassning av skadeståndsreglerna Regeringens förslag: Bestämmelser i lagarna på finansmarknadsområdet med hänvisningar till bestämmelserna om skadestånd i personuppgiftslagen ska tas bort. Promemorians förslag överensstämmer med regeringens förslag. Remissinstanserna tillstyrker förslaget eller har inget att invända mot det. Skälen för regeringens förslag Hänvisningar till bestämmelserna om skadestånd i personuppgiftslagen bör tas bort Bestämmelser i författningarna på finansmarknadsområdet kan inte längre ange att bestämmelserna om skadestånd i PUL ska tillämpas vid behandling av personuppgifter enligt författningen i fråga, eftersom PUL kommer att upphävas. Hänvisning till PUL är i dag nödvändig för att skadeståndsbestämmelserna i den lagen ska kunna tillämpas, i den mån behandlingen skett i strid med sektorsspecifik författning och inte i strid med PUL. Någon hänvisning till dataskyddsförordningen kommer däremot inte i något fall vara nödvändig i lagarna på finansmarknadsområdet för att bestämmelserna om skadestånd i förordningen ska vara tillämpliga. Behandling som strider mot dataskyddsförordningen inbegriper nämligen behandling som strider mot bl.a. medlemsstaternas nationella rätt med närmare specifikation av förordningens bestämmelser. Det är därför tillräckligt att hänvisningarna till bestämmelserna om skadestånd i PUL tas bort i författningarna på finansmarknadsområdet. Det innebär att 7 kap. 2 § fjärde stycket kontoföringslagen tas bort och i övriga fall att bestämmelser med hänvisning till skadeståndsreglerna i PUL upphävs. 9 Övriga frågor 9.1 Hänvisningar till personuppgiftslagen Regeringens förslag: Hänvisningar i lagarna på finansmarknadsområdet till personuppgiftslagen ska tas bort och i vissa fall ersättas av hänvisningar till EU:s dataskyddsförordning. Promemorians förslag överensstämmer med regeringens förslag. Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det. Datainspektionen anser att lagar på finansmarknadsområdet som reglerar krav på tillhandahållande av rapporteringssystem för anställda som vill göra anmälningar om misstänkta överträdelser, i förtydligande syfte ska ha hänvisningar till dataskyddsförordningen och kompletterande lagstiftning. Skälen för regeringens förslag Författningar som innehåller hänvisningar till personuppgiftslagen Eftersom PUL ska upphävas måste hänvisningar till den lagen tas bort eller ersättas. På finansmarknadsområdet finns bestämmelser som innehåller hänvisningar till PUL i följande lagar. * Lagen (1991:980) om handel med finansiella instrument. * Lagen (1998:1479) om värdepapperscentraler och kontoföring av finansiella instrument. * Lagen (1999:889) om registrering av krigsskada på egendom. * Lagen (2004:46) om värdepappersfonder. * Lagen (2004:297) om bank- och finansieringsrörelse. * Lagen (2007:528) om värdepappersmarknaden. * Lagen (2010:751) om betaltjänster. * Försäkringsrörelselagen (2010:2043). * Lagen (2016:1306) med kompletterande bestämmelser till EU:s marknadsmissbruksförordning. * Lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism. * Lagen (2017:631) om registrering av verkliga huvudmän. Hänvisningar till bestämmelserna i PUL om personuppgiftsansvar, känsliga personuppgifter, personuppgifter om lagöverträdelser m.m., rättelse och skadestånd behandlas ovan i tidigare avsnitt i propositionen. I detta avsnitt behandlas övriga hänvisningar till PUL. Bestämmelser som erinrar om personuppgiftslagen Bestämmelser som erinrar om att PUL gäller för den aktuella behandlingen av personuppgifter, ibland med tillägget att detta gäller om inte annat anges, finns i bl.a. 4 kap. 1 § kontoföringslagen, 2 kap. 17 d § lagen om värdepappersfonder och 6 kap. 2 a § lagen om bank- och finansieringsrörelse. Dessa bestämmelser bör tas bort. Det är inte nödvändigt att ersätta dem med hänvisningar till dataskyddsförordningen och de bestämmelser i svenska författningar som kompletterar förordningen. Det framstår enligt regeringens uppfattning, mot bakgrund av att dataskyddsförordningen till skillnad från PUL har företräde framför nationella bestämmelser om behandling av personuppgifter (bortsett från de särskilda fall där avvikande nationella bestämmelser uttryckligen tillåts enligt dataskyddsförordningen), inte heller som ändamålsenligt att i dessa lagar införa generella upplysningsbestämmelser om att dataskyddsförordningen är tillämplig när det gäller behandling av personuppgifter för vissa ändamål. Detsamma gäller införande av upplysningsbestämmelser i anslutning till de bestämmelser med krav på tillhandahållande av rapporteringssystem för anställda som vill göra anmälningar om misstänkta överträdelser av bestämmelser som gäller för finansiella företags verksamhet som finns i flera lagar på finansmarknadsområdet. Regeringen anser därför, till skillnad från Datainspektionen, att det inte heller i dessa fall finns skäl att i lag införa hänvisningar till dataskyddsförordningen och kompletterande nationell lagstiftning. Överföring av personuppgifter till tredjeland Enligt PUL gäller som huvudregel ett förbud mot överföring till tredjeland av personuppgifter som är under behandling och mot överföring av personuppgifter för behandling i tredjeland om landet inte har en adekvat nivå för skyddet av personuppgifterna (33 §). I 34 och 35 §§ PUL finns bestämmelser om undantag från detta förbud. I 2 kap. 12 § lagen om handel med finansiella instrument finns bestämmelser om att i den utsträckning det krävs för offentliggörande av prospekt enligt 2 kap. 28-30 §§ samma lag får personuppgifterna i prospektet föras över till en stat utanför EES. Denna bestämmelse innehåller ingen hänvisning till PUL. Den får snarare betraktas som en särreglering i förhållande till PUL, som ansetts förenlig med reglerna i dataskyddsdirektivet. Enligt undantagsbestämmelser i både dataskyddsdirektivet (artikel 26.1 d) och dataskyddsförordningen (artikel 49.1 d) får överföring av personuppgifter till tredjeland ske om överföringen är nödvändig av viktiga skäl som rör allmänintresset. Såsom konstateras ovan (se avsnitt 5.1) är de uppgifter som myndigheter och privata aktörer har enligt författningar på finansmarknadsområdet eller enligt beslut som har meddelats med stöd av sådana författningar regelmässigt uppgifter av allmänt intresse. Kravet på offentliggörande av prospekt inför emission enligt 2 kap. 28-30 §§ lagen om handel med finansiella instrument tillgodoser ett viktigt allmänt intresse. Mot bakgrund av detta är bedömningen att överföring av personuppgifter till tredjeland enligt 2 kap. 12 § samma lag uppfyller såväl dataskyddsdirektivets som dataskyddsförordningens krav på att utgöra ett viktigt allmänt intresse (som erkänts i nationell rätt) för vilket medlemsstater får föreskriva undantag i nationell rätt. Bestämmelsen får därför anses vara förenlig med dataskyddsförordningen. 9.2 Personnummer och annat identifieringsnummer Regeringens bedömning: Bestämmelserna i EU:s dataskyddsförordning om identifieringsnummer kräver inte några lagändringar på finansmarknadsområdet. Promemorians bedömning överensstämmer med regeringens bedömning. Remissinstanserna tillstyrker bedömningen eller har inget att invända mot den. Skälen för regeringens bedömning Personuppgiftslagen I PUL finns särskilda bestämmelser om när personnummer och samordningsnummer får behandlas (22 §). Dessa innebär att uppgifter om personnummer eller samordningsnummer får behandlas utan samtycke bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Dessa bestämmelser i PUL har införts med anledning av artikel 8.7 i dataskyddsdirektivet, som föreskriver att medlemsstaterna ska bestämma på vilka villkor ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering får behandlas. Dataskyddsförordningen Personnummer och samordningsnummer anses inte som känsliga personuppgifter i dataskyddsförordningens mening, men har ändå en särställning genom att medlemsstaterna ges möjlighet att införa särskilda villkor för behandlingen (artikel 87). Dataskyddsförordningen ställer alltså inte upp något krav på reglering i detta avseende, men av förordningen följer att om medlemsstaterna bestämmer särskilda villkor för sådan behandling, måste lämpliga skyddsåtgärder för de registrerades fri- och rättigheter enligt förordningen säkerställas. Något uttryckligt sådant krav finns inte i dataskyddsdirektivet. I skälen till dataskyddsförordningen anges det inte heller något som konkretiserar vilken typ av skyddsåtgärder det bör vara fråga om. I denna del finns alltså utrymme för medlemsstaterna att själva bedöma vilka skyddsåtgärder som kan uppfylla kraven i förordningen. Propositionen Ny dataskyddslag I prop. 2017/18:105 bedömer regeringen att en särreglering av personnummer och samordningsnummer i den nya dataskyddslagen är motiverad och konstaterar att den intresseavvägning som i dag sker enligt PUL är flexibel och väl avpassad för att förhindra omotiverad behandling av personnummer och samordningsnummer (s. 102). Mot denna bakgrund föreslås en bestämmelse i den nya lagen som motsvarar 22 § PUL (3 kap. 10 § dataskyddslagen). Samtidigt föreslås att regeringen ska få meddela ytterligare föreskrifter om i vilka fall behandling av personnummer och samordningsnummer är tillåten (3 kap. 11 § dataskyddslagen). Bestämmelser om personnummer på finansmarknadsområdet I författningarna på finansmarknadsområdet finns flera bestämmelser om behandling av personnummer eller annat identifieringsnummer. Dessa avser behandling som är klart motiverad med hänsyn till vikten av en säker identifiering i enlighet med PUL. Som exempel kan nämnas krav på att ett avstämningskonto för förvaltarregistrerade finansiella instrument i förekommande fall ska innehålla annat identifieringsnummer för förvaltaren än organisationsnummer (3 kap. 9 § kontoföringslagen) och krav på att avstämningskonton som läggs upp för ägare av finansiella instrument ska innehålla kontohavarens personnummer (4 kap. 17 § 1 samma lag). Vidare kan nämnas krav på att register över betalningsinstituts och betaltjänstleverantörers ombud ska innehålla dessas personnummer eller motsvarande när det gäller fysiska personer (3 kap. 17 § och 8 kap. 5 § lagen om betaltjänster). Eftersom dessa bestämmelser är förenliga med PUL, är de förenliga med den föreslagna nya dataskyddslagen och med dataskyddsförordningen. 9.3 Lagring, gallring och arkivering Regeringens bedömning: I fråga om lagring, gallring och arkivering av personuppgifter krävs det inte några lagändringar på finansmarknadsområdet på grund av EU:s dataskyddsförordning. Promemorians bedömning överensstämmer med regeringens bedömning. Remissinstanserna tillstyrker bedömningen eller har inget att invända mot den. Skälen för regeringens bedömning: Som framgår av avsnitt 5.1 gäller principen om lagringsminimering vid all behandling av personuppgifter (artikel 5.1 e i dataskyddsförordningen). Principen innebär att personuppgifter som huvudregel inte får förvaras i en form som möjliggör identifiering av den registrerade under längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Samma princip gäller enligt artikel 6.1 e i dataskyddsdirektivet. Huvudregeln har alltså inte ändrats. Vidare tillåter såväl dataskyddsförordningen som dataskyddsdirektivet att avsteg från denna huvudregel görs under vissa förutsättningar. För dataskyddsförordningens del gäller undantaget bl.a. personuppgifter som behandlas enbart för arkivändamål av allmänt intresse. Vidare gäller enligt dataskyddsförordningen att nationella bestämmelser om bl.a. lagringstid är tillåtna enligt artikel 6.3, när behandlingen grundar sig på en rättslig förpliktelse, en arbetsuppgift av allmänt intresse eller myndighetsutövning. I prop. 2017/18:105 bedöms att den behandling av personuppgifter som myndigheter och andra organ utför enligt lag och föreskrifter om arkiv enligt gällande rätt har rättslig grund för behandling av personuppgifter för arkivändamål av allmänt intresse. Vidarebehandling av personuppgifter för arkivändamål av allmänt intresse ska enligt dataskyddsförordningen inte anses vara oförenlig med de ursprungliga ändamålen. Någon rättslig grund behöver enligt den bedömning som görs i nämnda proposition inte fastställas för sådan vidarebehandling. När det gäller känsliga personuppgifter föreslås att sådana uppgifter ska få behandlas för arkivändamål av allmänt intresse, om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv (3 kap. 6 § dataskyddslagen). Behandling av personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel föreslås i samma proposition få ske om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv (3 kap. 8 §) (s. 109-117). I prop. 2017/18:105 konstateras vidare att den närmare innebörden av begreppet arkivändamål av allmänt intresse behöver klargöras i rättstillämpningen, men att det i vart fall står klart att den behandling av personuppgifter som sker för att uppfylla krav på bevarande för andra syften, såsom kravet på arkivering av räkenskapsinformation enligt bokföringslagen (1999:1078), inte omfattas av begreppet (s. 110). På finansmarknadsområdet finns tre lagar som innehåller bestämmelser som innebär att personuppgifter ska bevaras under viss tid. Dessa finns i kontoföringslagen (3 kap. 6 c §), lagen om värdepappersmarknaden (10 kap. 2 §) och lagen om betaltjänster (3 kap. 8 §). Oavsett om den behandling av personuppgifter som sker i enlighet med dessa lagar omfattas av begreppet arkivändamål av allmänt intresse, eller inte, utgör dessa bestämmelser sådana nationella bestämmelser om lagringstid som är tillåtna enligt artikel 6.3 i dataskyddsförordningen, eftersom behandlingen grundar sig på en rättslig förpliktelse, en uppgift av allmänt intresse eller myndighetsutövning. De bedömningar av vilka lagringstider som är nödvändiga för ändamålet som ligger bakom bestämmelserna är även fortsättningsvis relevanta. Bestämmelserna är därför förenliga med dataskyddsförordningen. Eftersom det inte heller finns något behov av särreglering i förhållande till den föreslagna nya dataskyddslagen, föranleder bestämmelserna i dataskyddsförordningen om lagring, gallring och arkivering inte några författningsändringar på finansmarknadsområdet. 10 Ikraftträdande- och övergångsbestämmelser Regeringens förslag: Lagändringarna ska träda i kraft den 25 maj 2018. Regeringens bedömning: Några övergångsbestämmelser behövs inte. Promemorians förslag och bedömning överensstämmer med regeringens förslag och bedömning. Remissinstanserna tillstyrker förslaget och bedömningen eller har inget att invända mot dem. Skälen för regeringens förslag och bedömning: Enligt artikel 99 i dataskyddsförordningen ska förordningen träda i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning (vilket var den 24 maj 2016) och börja tillämpas fr.o.m. den 25 maj 2018. Genom de lagändringar som föreslås i denna proposition bedöms lagarna på finansmarknadsområdet vara förenliga med förordningens krav. Ändringarna bör träda i kraft samtidigt som dataskyddsförordningen börjar tillämpas, dvs. den 25 maj 2018. Dataskyddsförordningen möjliggör inte att det i nationell rätt införs övergångsbestämmelser som innebär att förordningen inte ska tillämpas efter den 25 maj 2018. Tvärtom är en utgångspunkt att behandling som pågår den dag då förordningen börjar tillämpas fr.o.m. den dagen ska bringas i överensstämmelse med förordningen (skäl 171). Personuppgiftsansvariga och personuppgiftsbiträden får därför förutsättas ha ordnat sin behandling så att exempelvis en begäran om information från en registrerad som inkommit, men inte hunnit besvaras, före den 25 maj 2018 kan tillmötesgås i enlighet med förordningen. För skadestånd bör äldre bestämmelser gälla, om skadan orsakats före den 25 maj 2018. Att så är fallet följer av allmänna rättsgrundsatser, varför det inte finns något behov av övergångsbestämmelser i det avseendet (se prop. 1972:5 s. 593). Inte heller i övrigt finns det skäl att införa övergångsbestämmelser. 11 Förslagens konsekvenser Regeringens bedömning: Föreslagna anpassningar till EU:s dataskyddsförordning medför inte några särskilda konsekvenser vare sig för privata aktörer eller myndigheter i deras egenskap av personuppgiftsansvariga. Promemorians bedömning överensstämmer i huvudsak med regeringens bedömning. Remissinstanserna tillstyrker bedömningen eller har inget att invända mot den. Skälen för regeringens bedömning: Förslagen i denna proposition innebär att lagarna på finansmarknadsområdet anpassas till dataskyddsförordningen. Förslagen kan sägas utgöra en liten del av ett stort arbete avseende de förändringar som dataskyddsförordningen medför. De viktigaste effekterna av det förändrade dataskyddet beror på regeländringar som ligger utanför denna proposition och är alltså inte konsekvenser av förslagen i remissen. I prop. 2017/18:105 finns förslag till de generella anpassningar av svensk rätt som behöver göras i anledning av dataskyddsförordningen. För en analys av konsekvenserna av de förslagen hänvisas till den propositionen (s. 178-182). Genom de ändringar som föreslås i förevarande proposition bedöms lagarna på finansmarknadsområdet vara förenliga med dataskyddsförordningen. I den bedömningen inbegrips bl.a. att den samlade dataskyddsregleringen är proportionerlig i förhållande till de legitima mål som eftersträvas och att det i vederbörlig utsträckning tas hänsyn till den registrerades rätt till personlig integritet. Några alternativa lösningar synes inte föreligga för anpassningen. De aktörer som kommer att påverkas av förslagen är privatpersoner och personuppgiftsansvariga myndigheter och personuppgiftsansvariga privata aktörer. Bland myndigheterna berörs främst Finansinspektionen och Bolagsverket. Nuvarande rättsläge ändras inte på grund av förslagen i denna proposition. Förslagen i sig medför därför i princip inte några ökade administrativa bördor eller kostnader för berörda aktörer. Förslagen bedöms inte föranleda negativa effekter för företagens arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt. Förslagen bedöms inte få några konsekvenser för jämställdheten mellan kvinnor och män. Förslagen bedöms inte i övrigt ha några sociala eller miljömässiga konsekvenser. 12 Författningskommentar 12.1 Förslaget till lag om ändring i lagen (1991:980) om handel med finansiella instrument 2 kap. 12 § Paragrafen innehåller bestämmelser om undantag inför upprättandet av ett prospekt och inför offentliggörandet av prospektet enligt 28-30 §§ från förbudet mot att behandla personuppgifter som rör vissa domar och överträdelser m.m. Ändringen innebär att hänvisningen till 21 § PUL ersätts med en hänvisning till artikel 10 i dataskyddsförordningen. De uppgifter som avses i denna artikel är personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder. Hänvis- ningen till dataskyddsförordningen är dynamisk, dvs. avser den vid varje tidpunkt gällande lydelsen av förordningen. Övervägandena finns i avsnitt 5.3. 12.2 Förslaget till lag om ändring i lagen (1998:1479) om värdepapperscentraler och kontoföring av finansiella instrument 1 kap. 6 § Paragrafen innebär en skyldighet för svenska värdepapperscentraler och kontoförande institut att tillhandahålla ändamålsenliga s.k. visselblåsarsystem. Ändringen innebär att andra stycket, med erinran om att PUL gäller vid behandling av personuppgifter inom ramen för sådana rapporteringssystem som avses i första stycket, tas bort. Övervägandena finns i avsnitt 9.1. 4 kap. 1 § Paragrafen behandlar hur avstämningsregister ska föras och syftet med registret, samt frågan om personuppgiftsansvar. I första stycket tas hänvisningen till PUL, avseende innebörden av personuppgiftsansvaret, bort. Innebörden av personuppgiftsansvaret följer i stället av dataskyddsförordningen. Även andra stycket med en erinran om att PUL tillämpas vid behandling av personuppgifter om ägare och innehavare av särskild rätt till finansiella instrument, om inte annat anges, tas bort. Övervägandena finns i avsnitten 6.3 och 9.1. 5 kap. 4 § Paragrafen behandlar under vilka förutsättningar rättelse får ske av uppgifter i avstämningsregister. I paragrafen införs en ny tredje mening med en upplysning om att bestämmelsen gäller i stället för rätten till rättelse av personuppgifter enligt artikel 16 i dataskyddsförordningen. Övervägandena finns i avsnitt 7.3.3. 7 kap. 2 § Paragrafen behandlar frågor om skadeståndsansvar vid felaktiga registreringsåtgärder i ett avstämningsregister. Fjärde stycket, med hänvisning till bestämmelser i PUL om skadestånd, tas bort. Skadestånd vid felaktig behandling av personuppgifter regleras i stället i artikel 82 i dataskyddsförordningen. I 7 kap. 1 § i den nya dataskyddslagen finns en upplysning om att rätten till ersättning enligt dataskyddsförordningen gäller även vid överträdelser av bestämmelser i den lagen och andra författningar som kompletterar den förordningen. Övervägandena finns i avsnitt 8.2.3. 12.3 Förslaget till lag om ändring i lagen (1999:889) om registrering av krigsskada på egendom 1 § Paragrafen behandlar hur krigsskaderegistret ska föras och syftet med registret, samt Finansinspektionens personuppgiftsansvar. Ändringen i andra stycket innebär att hänvisningen till PUL, avseende innebörden av personuppgiftsansvaret, tas bort. Innebörden av personuppgiftsansvaret regleras i stället i dataskyddsförordningen. Övervägandena finns i avsnitt 6.3. 12.4 Förslaget till lag om ändring i lagen (2004:46) om värdepappersfonder 2 kap. 17 d § Paragrafen innebär en skyldighet för fondbolag att tillhandahålla ändamålsenliga s.k. visselblåsarsystem. Ändringen innebär att andra stycket, med erinran om att PUL gäller vid behandling av personuppgifter inom ramen för sådana rapporteringssystem som avses i första stycket, tas bort. Övervägandena finns i avsnitt 9.1. 4 kap. 11 § Paragrafen behandlar skyldighet för fondbolag att föra eller låta föra register över samtliga innehavare av andelar i fonden. Ändringen i första stycket innebär att erinran om att PUL gäller vid automatiserad och viss manuell behandling av personuppgifter tas bort. Övervägandena finns i avsnitt 9.1. 12.5 Förslaget till lag om ändring i lagen (2004:297) om bank- och finansieringsrörelse 6 kap. 2 a § Paragrafen innebär en skyldighet för kreditinstitut att tillhandahålla ändamålsenliga s.k. visselblåsarsystem. Ändringen innebär att andra stycket, med erinran om att PUL gäller vid behandling av personuppgifter inom ramen för sådana rapporteringssystem som avses i första stycket, tas bort. Övervägandena finns i avsnitt 9.1. 12.6 Förslaget till lag om ändring i lagen (2007:528) om värdepappersmarknaden 4 kap. 8 § Paragrafen innebär en skyldighet för företag hemmahörande utanför EES som har fått tillstånd att driva värdepappersrörelse från filial i Sverige att tillhandahålla ändamålsenliga s.k. visselblåsarsystem. Ändringen innebär att andra stycket, med erinran om att PUL gäller vid behandling av personuppgifter inom ramen för sådana rapporteringssystem som avses i första stycket, tas bort. Övervägandena finns i avsnitt 9.1. 8 kap. 4 a § Paragrafen innebär en skyldighet för värdepappersbolag att tillhandahålla ändamålsenliga s.k. visselblåsarsystem. Ändringen innebär att andra stycket, med erinran om att PUL gäller vid behandling av personuppgifter inom ramen för sådana rapporteringssystem som avses i första stycket, tas bort. Övervägandena finns i avsnitt 9.1. 10 kap. 15 § Paragrafen innebär en skyldighet för den som tillhandahåller en datarapporteringstjänst att ha ändamålsenliga s.k. visselblåsarsystem. Ändringen innebär att andra stycket, med erinran om att PUL gäller vid behandling av personuppgifter inom ramen för sådana rapporteringssystem som avses i första stycket, tas bort. Övervägandena finns i avsnitt 9.1. 13 kap. 2 a § Paragrafen innebär en skyldighet för en börs att tillhandahålla ändamålsenliga s.k. visselblåsarsystem. Ändringen innebär att andra stycket, med erinran om att PUL gäller vid behandling av personuppgifter inom ramen för sådana rapporteringssystem som avses i första stycket, tas bort. Övervägandena finns i avsnitt 9.1. 12.7 Förslaget till lag om ändring i lagen (2010:751) om betaltjänster 6 kap. 1 § Paragrafen behandlar rätten för en betaltjänstleverantör eller den som ansvarar för ett betalningssystem att behandla personuppgifter och föra register i samband med granskning för att upptäcka misstänkta transaktioner. Ändringen innebär att erinran om att rätten att behandla personuppgifter och föra register enligt 2-9 §§ gäller utöver PUL tas bort. Övervägandena finns i avsnitt 9.1. 12.8 Förslaget till lag om ändring i försäkringsrörelselagen (2010:2043) 4 kap. 14 § Paragrafen stadgar om tystnadsplikt gentemot en förmånstagare avseende behandlad personuppgift som anger att försäkringstagaren har vidtagit dispositioner beträffande försäkringsbelopp som utfaller i framtiden till förmånstagaren. Ändringen innebär att hänvisningen till PUL ersätts med en hänvisning till dataskyddsförordningen. Hänvisningen till dataskyddsförordningen är dynamisk, dvs. avser den vid varje tidpunkt gällande lydelsen av förordningen. Övervägandena finns i avsnitt 7.2. 12.9 Förslaget till lag om ändring i lagen (2016:1306) med kompletterande bestämmelser till EU:s marknadsmissbruksförordning 2 kap. 3 § Paragrafen behandlar Finansinspektionens skyldighet att föra register över anmälningar som har gjorts enligt artikel 19.1-19.10 i marknadsmissbruksförordningen. Ändringen i tredje stycket innebär att hänvisningen till PUL avseende innebörden av Finansinspektionens personuppgiftsansvar tas bort. Innebörden av personuppgiftsansvaret regleras i stället i dataskyddsförordningen. Övervägandena finns i avsnitt 6.3. 7 § Paragrafen innebär en skyldighet för finansiella företag att tillhandahålla ändamålsenliga s.k. visselblåsarsystem. Andra stycket första meningen om att PUL gäller vid behandling av personuppgifter inom ramen för sådana rapporteringssystem som avses i första stycket tas bort. I andra stycket andra meningen ersätts hänvisningen till 21 § PUL med en hänvisning till artikel 10 i dataskyddsförordningen. De uppgifter som avses i denna artikel är personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder. Hänvisningen till dataskyddsförordningen är dynamisk, dvs. avser den vid varje tidpunkt gällande lydelsen av förordningen. Övervägandena finns i avsnitten 5.3 och 9.1. 12.10 Förslaget till ändring i lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism 5 kap. 1 § Paragrafen anger tillämpningsområdet för förevarande kapitel. Ändringen innebär att andra stycket, med erinran om att PUL gäller vid verksamhetsutövarens behandling av personuppgifter, om inte annat följer av kapitlet, tas bort. Övervägandena finns i avsnitt 9.1. 5 § Paragrafen behandlar under vilka förutsättningar en verksamhetsutövare får behandla känsliga personuppgifter. Ändringen i första stycket innebär att hänvisningen till 13 § PUL ersätts med en hänvisning till artikel 9.1 i dataskyddsförordningen. De uppgifter som avses i denna artikel är personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Hänvisningen till dataskyddsförordningen är dynamisk, dvs. avser den vid varje tidpunkt gällande lydelsen av förordningen. Ändringen i andra stycket är endast språklig. Övervägandena finns i avsnitt 5.2. 6 § Paragrafen behandlar under vilka förutsättningar personuppgifter om lagöverträdelser får behandlas av en verksamhetsutövare. Ändringen i första stycket innebär att hänvisningen till 21 § PUL ersätts med en hänvisning till artikel 10 i dataskyddsförordningen. De uppgifter som avses i denna artikel är personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder. Hänvisningen till dataskyddsförordningen är dynamisk, dvs. avser den vid varje tidpunkt gällande lydelsen av förordningen. Ändringen i andra stycket är endast språklig. Övervägandena finns i avsnitt 5.2. 6 kap. 4 § Paragrafen innebär en skyldighet för verksamhetsutövare att tillhandahålla ändamålsenliga s.k. visselblåsarsystem. Ändringen innebär att tredje stycket, med erinran om att PUL gäller vid behandling av personuppgifter inom ramen för sådana rapporteringssystem, tas bort. Övervägandena finns avsnitt 9.1. 12.11 Förslaget till lag om ändring i lagen (2017:631) om registrering av verkliga huvudmän 2 kap. 6 § Paragrafen innehåller undantag från skyldigheten att anmäla uppgifter om verkliga huvudmän om det medför att känsliga personuppgifter avslöjas. Ändringen i andra stycket innebär att nuvarande hänvisning till uppgift om en fysisk persons medlemskap i fackförening, hälsotillstånd eller sexualliv ersätts med en hänvisning till sådana känsliga personuppgifter som avses i artikel 9.1 i dataskyddsförordningen. Hänvisningen till dataskyddsförordningen är dynamisk, dvs. avser den vid varje tidpunkt gällande lydelsen av förordningen. Med hänvisning i andra stycket till sådana personuppgifter som annars avses i artikel 9.1, menas sådana uppgifter utöver de som redan nämnts i första stycket. På så vis omfattar paragrafen samtliga typer av uppgifter som anges i artikel 9.1, nämligen personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Övervägandena finns i avsnitt 5.2. Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) Promemorians lagförslag Förslag till lag om ändring i lagen (1991:980) om handel med finansiella instrument Härigenom föreskrivs att 2 kap. 12 § lagen (1991:980) om handel med finansiella instrument ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 2 kap. 12 § Inför upprättandet av ett prospekt och vid offentliggörande av det enligt 28-30 §§ får, i syfte att upprätta och offentliggöra prospektet och utan hinder av 21 § personuppgiftslagen (1998:204), de personuppgifter behandlas som prospektet skall innehålla. I den utsträckning det krävs enligt 28-30 §§ får personuppgifterna i prospektet föras över till en stat utanför EES. Inför upprättandet av ett prospekt och vid offentliggörande av det enligt 28-30 §§ får, i syfte att upprätta och offentliggöra prospektet, de personuppgifter behandlas som prospektet ska innehålla, inklusive sådana uppgifter som avses i artikel 10 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). I den utsträckning det krävs enligt 28-30 §§ får personuppgifterna i prospektet föras över till en stat utanför EES. Denna lag träder i kraft den 25 maj 2018. Förslag till lag om ändring i lagen (1998:1479) om värdepapperscentraler och kontoföring av finansiella instrument Härigenom föreskrivs att 1 kap. 6 §, 4 kap. 1 § och 7 kap. 2 § lagen (1998:1479) om värdepapperscentraler och kontoföring av finansiella instrument ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 1 kap. 6 § Svenska värdepapperscentraler och kontoförande institut ska tillhandahålla ändamålsenliga rapporteringssystem för anställda som vill göra anmälningar om misstänkta överträdelser av de bestämmelser som gäller för verksamheten. Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter inom ramen för sådana rapporteringssystem som avses i första stycket. 4 kap. 1 § Avstämningsregister består av avstämningskonton som läggs upp för ägare av finansiella instrument som registreras enligt denna lag. Sådana register förs med hjälp av automatiserad behandling. En svensk värdepapperscentral är personuppgiftsansvarig enligt personuppgiftslagen (1998:204) för den behandling av personuppgifter som den värdepapperscentralen utför. Avstämningsregister består av avstämningskonton som läggs upp för ägare av finansiella instrument som registreras enligt denna lag. Sådana register förs med hjälp av automatiserad behandling. En svensk värdepapperscentral är personuppgiftsansvarig för den behandling av personuppgifter som den värdepapperscentralen utför. Om inget annat följer av denna lag, av föreskrifter som meddelats med stöd av lagen, av förordningen om värdepapperscentraler eller av rättsakter som har antagits med stöd av förordningen, tillämpas personuppgiftslagen vid behandling av personuppgifter om ägare och innehavare av särskild rätt till finansiella instrument. 7 kap. 2 § För skada som tillfogas en ägare av ett finansiellt instrument till följd av en oriktig eller missvisande uppgift i ett avstämningsregister eller i annat fall genom fel i samband med uppläggning eller förande av ett sådant register svarar värdepapperscentralen eller, om felet kan hänföras till ett kontoförande institut, institutet. Ersättningsansvar gäller dock inte om värdepapperscentralen respektive det kontoförande institutet visar att felet beror på en omständighet utanför dess kontroll vars följder inte skäligen kunde ha undvikits eller övervunnits. Indirekt förlust ersätts endast om den beror på försummelse av värdepapperscentralen eller det kontoförande institutet. Detsamma gäller skada som tillfogas panthavare och den till vars förmån en rådighetsinskränkning gäller. Ersättningsansvaret gäller på motsvarande sätt om felet beror på någon som har anlitats av värdepapperscentralen eller av ett kontoförande institut. För skada som kan hänföras till ett kontoförande institut svarar värdepapperscentralen solidariskt med institutet. Värdepapperscentralens ansvar är dock i sådant fall begränsat till fem miljoner kronor för varje skadefall. Värdepapperscentralen har rätt till ersättning av det kontoförande institutet för vad värdepapperscentralen har betalat till följd av det solidariska ansvaret. Bestämmelserna i personuppgiftslagen (1998:204) om skadestånd ska gälla då personuppgifter behandlats i strid med den lagen. Denna lag träder i kraft den 25 maj 2018. Förslag till lag om ändring i lagen (1999:889) om registrering av krigsskada på egendom Härigenom föreskrivs att 1 § lagen (1999:889) om registrering av krigsskada på egendom ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 1 § För det ändamål som anges i 3 § skall det föras ett för hela landet gemensamt register (krigsskaderegistret). Registret får föras med hjälp av automatisk databehandling. För det ändamål som anges i 3 § ska det föras ett för hela landet gemensamt register (krigsskaderegistret). Registret får föras med hjälp av automatisk databehandling. Ärenden om registrering skall handläggas av Finansinspektionen, som också är personuppgiftsansvarig enligt personuppgiftslagen (1998:204). Ärenden om registrering ska handläggas av Finansinspektionen, som också är personuppgiftsansvarig. Närmare föreskrifter om vilka uppgifter registret skall innehålla meddelas av regeringen. Närmare föreskrifter om vilka uppgifter registret ska innehålla meddelas av regeringen. Denna lag träder i kraft den 25 maj 2018. Förslag till lag om ändring i lagen (2004:46) om värdepappersfonder Härigenom föreskrivs att 2 kap. 17 d § och 4 kap. 11 § lagen (2004:46) om värdepappersfonder ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 2 kap. 17 d § Ett fondbolag ska tillhandahålla ändamålsenliga rapporteringssystem för anställda som vill göra anmälningar om misstänkta överträdelser av bestämmelser som gäller för verksamheten. Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter inom ramen för sådana rapporteringssystem som avses i första stycket. 4 kap. 11 § Fondbolaget ska föra eller låta föra ett register över samtliga innehavare av andelar i fonden. I fråga om automatiserad och viss manuell behandling av personuppgifter finns bestämmelser i personuppgiftslagen (1998:204). Fondbolaget ska föra eller låta föra ett register över samtliga innehavare av andelar i fonden. Är lagen (1998:1479) om värdepapperscentraler och kontoföring av finansiella instrument tillämplig på andelarna i fonden, förs registret av en svensk värdepapperscentral. Fondbolaget har rätt till insyn i registret. Om lagen om värdepapperscentraler och kontoföring av finansiella instrument inte är tillämplig på andelarna i fonden, ska den som för registret anteckna inskränkningar enligt 13 kap. 19 § första stycket 4 eller 14 kap. 21 § första stycket 4 föräldrabalken där. Fondbolaget ska till varje fondandelsägare skriftligen bekräfta att dennes fondandelsinnehav har registrerats. Av bekräftelsen ska det framgå värdepappersfondens och, i förekommande fall, andelsklassens beteckning samt namnen på fondbolaget och förvaringsinstitutet. Vidare ska det framgå var informationsbroschyren enligt 15 §, faktabladet enligt 16 a § samt årsberättelsen och halvårsredogörelsen enligt 18 § finns att tillgå. Denna lag träder i kraft den 25 maj 2018. Förslag till lag om ändring i lagen (2004:297) om bank- och finansieringsrörelse Härigenom föreskrivs att 6 kap. 2 a § lagen (2004:297) om bank- och finansieringsrörelse ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 6 kap. 2 a § Ett kreditinstitut ska tillhandahålla ändamålsenliga rapporteringssystem för anställda som vill göra anmälningar om misstänkta överträdelser av bestämmelser som gäller för kreditinstitutets verksamhet. Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter inom ramen för sådana rapporteringssystem som avses i första stycket. Denna lag träder i kraft den 25 maj 2018. Förslag till lag om ändring i lagen (2007:528) om värdepappersmarknaden Härigenom föreskrivs att 4 kap. 8 §, 8 kap. 4 a §, 10 kap. 15 § och 13 kap. 2 a § lagen (2007:528) om värdepappersmarknaden ska ha följande lydelse. Lydelse enligt SFS 2017:679 Föreslagen lydelse 4 kap. 8 § Ett företag som avses i 4 § och som har fått tillstånd att driva värdepappersrörelse från filial i Sverige ska tillhandahålla ändamålsenliga rapporteringssystem för anställda som vill göra anmälningar om misstänkta överträdelser av bestämmelser som gäller för verksamheten. Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter inom ramen för sådana rapporteringssystem. Nuvarande lydelse Föreslagen lydelse 8 kap. 4 a § Ett värdepappersbolag ska tillhandahålla ändamålsenliga rapporteringssystem för anställda som vill göra anmälningar om misstänkta överträdelser av bestämmelser som gäller för verksamheten. Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter inom ramen för sådana rapporteringssystem som avses i första stycket. Lydelse enligt SFS 2017:679 Föreslagen lydelse 10 kap. 15 § Den som tillhandahåller en datarapporteringstjänst ska ha ändamålsenliga rapporteringssystem för anställda som vill göra anmälningar om misstänkta överträdelser av bestämmelser som gäller för verksamheten. Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter inom ramen för sådana rapporteringssystem. 13 kap. 2 a § En börs ska tillhandahålla ändamålsenliga rapporteringssystem för anställda som vill göra anmälningar om misstänkta överträdelser av bestämmelser som gäller för verksamheten. Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter inom ramen för sådana rapporteringssystem. Denna lag träder i kraft den 25 maj 2018. Förslag till lag om ändring i lagen (2010:751) om betaltjänster Härigenom föreskrivs i fråga om lagen (2010:751) om betaltjänster dels att 6 kap. 8 § ska upphöra att gälla, dels att rubriken närmast före 6 kap. 8 § ska utgå, dels att 6 kap. 1 § ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 6 kap. 1 § Om en betaltjänstleverantör eller den som ansvarar för ett betalningssystem granskar betalningstransaktioner för att kunna upptäcka sådana transaktioner som leverantören eller den ansvarige för betalningssystemet misstänker eller har skälig grund att misstänka utgör ett led i bedrägeri i samband med tillhandahållande eller användning av betaltjänster, får leverantören eller den som ansvarar för ett betalningssystem behandla personuppgifter samt föra register enligt 2-9 §§ vilka gäller utöver personuppgiftslagen (1998:204). Om en betaltjänstleverantör eller den som ansvarar för ett betalningssystem granskar betalningstransaktioner för att kunna upptäcka sådana transaktioner som leverantören eller den ansvarige för betalningssystemet misstänker eller har skälig grund att misstänka utgör ett led i bedrägeri i samband med tillhandahållande eller användning av betaltjänster, får leverantören eller den som ansvarar för ett betalningssystem behandla personuppgifter samt föra register enligt 2-9 §§. Denna lag träder i kraft den 25 maj 2018. Förslag till lag om ändring i försäkringsrörelselagen (2010:2043) Härigenom föreskrivs att 4 kap. 14 § försäkringsrörelselagen (2010:2043) ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 4 kap. 14 § En personuppgift som anger att en försäkringstagare har vidtagit dispositioner beträffande försäkringsbelopp som utfaller i framtiden till förmån för någon annan och som behandlas enligt personuppgiftslagen (1998:204) får inte lämnas ut till förmånstagaren. En personuppgift som anger att en försäkringstagare har vidtagit dispositioner beträffande försäkringsbelopp som utfaller i framtiden till förmån för någon annan och som behandlas enligt Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) får inte lämnas ut till förmånstagaren. Denna lag träder i kraft den 25 maj 2018. Förslag till lag om ändring i lagen om (2016:1306) med kompletterande bestämmelser till EU:s marknadsmissbruksförordning Härigenom föreskrivs att 2 kap. 3 och 7 §§ lagen (2016:1306) med kompletterande bestämmelser till EU:s marknadsmissbruksförordning ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 2 kap. 3 § Finansinspektionen ska föra eller låta föra register (insynsregister) över anmälningar som har gjorts enligt artikel 19.1-19.10 i marknadsmissbruksförordningen. Uppgifter som har lämnats av personer som inte längre omfattas av anmälningsskyldighet får tas bort ur registret. Registret ska föras med hjälp av automatisk databehandling. Finansinspektionen är personuppgiftsansvarig enligt personuppgiftslagen (1998:204) för den behandling av personuppgifter som sker i registret. Inspektionen ska på lämpligt sätt underrätta de registrerade om registret. Registret ska föras med hjälp av automatisk databehandling. Finansinspektionen är personuppgiftsansvarig för den behandling av personuppgifter som sker i registret. Inspektionen ska på lämpligt sätt underrätta de registrerade om registret. Registret ska vara offentligt. 7 § Ett finansiellt företag ska tillhandahålla ändamålsenliga rapporteringssystem för anställda som vill göra anmälningar om misstänkta överträdelser av marknadsmissbruksförordningen. Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter inom ramen för sådana rapporteringssystem. Uppgifter om lagöverträdelser som avses i 21 § personuppgiftslagen får dock behandlas om uppgifterna avser brott enligt lagen (2016:1307) om straff för marknadsmissbruk på värdepappersmarknaden. Personuppgifter om lagöverträdelser som avses i artikel 10 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) får behandlas om uppgifterna avser brott enligt lagen (2016:1307) om straff för marknadsmissbruk på värdepappersmarknaden. Denna lag träder i kraft den 25 maj 2018. Förslag till lag om ändring i lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism Härigenom föreskrivs i fråga om lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism dels att 5 kap. 10 § ska upphöra att gälla, dels att rubriken närmast före 5 kap. 10 § ska utgå, dels att 5 kap. 1, 5 och 6 §§ och 6 kap. 4 § ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 5 kap. 1 § Detta kapitel gäller vid en verksamhetsutövares behandling av personuppgifter enligt denna lag. Kapitlet gäller om behandlingen helt eller delvis är automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Personuppgiftslagen (1998:204) gäller vid verksamhetsutövarens behandling av personuppgifter, om inte annat följer av detta kapitel. 5 § Känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) får behandlas endast om det är nödvändigt för att Sådana särskilda kategorier av personuppgifter som avses i artikel 9.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) får behandlas endast om det är nödvändigt för att 1. bedöma om kunden är en person i politiskt utsatt ställning eller familjemedlem eller känd medarbetare till en sådan person enligt 1 kap. 8-10 §§, 2. bedöma den risk som kan förknippas med kundrelationen enligt 2 kap. 3 §, 3. uppfylla övervakningsskyldigheten enligt 4 kap. 1 §, 4. bedöma misstänkta transaktioner och aktiviteter enligt 4 kap. 2 §, och 5. lämna uppgifter enligt 4 kap. 3 och 6 §§. Känsliga personuppgifter får också behandlas vid bevarande av handlingar och uppgifter enligt 3 och 4 §§, om det är tillåtet att behandla uppgifterna enligt första stycket. 6 § Personuppgifter om lagöverträdelser som avses i 21 § personuppgiftslagen (1998:204) får behandlas endast om det är nödvändigt för att Personuppgifter om lagöverträdelser som avses i artikel 10 i Europaparlamentets och rådets förordning (EU) 2016/679 får behandlas endast om det är nödvändigt för att 1. bedöma den risk som kan förknippas med kundrelationen enligt 2 kap. 3 §, 2. uppfylla övervakningsskyldigheten enligt 4 kap. 1 §, 3. bedöma misstänkta transaktioner och aktiviteter enligt 4 kap. 2 §, och 4. lämna uppgifter enligt 4 kap. 3 och 6 §§. Uppgifter om lagöverträdelser får också behandlas vid bevarande av handlingar och uppgifter enligt 3 och 4 §§, om det är tillåtet att behandla uppgifterna enligt första stycket. 6 kap. 4 § En verksamhetsutövare ska tillhandahålla ändamålsenliga rapporteringssystem för anställda och uppdragstagare som vill göra anmälningar om misstänkta överträdelser av bestämmelserna i denna lag eller föreskrifter som meddelats med stöd av lagen. För verksamhetsutövare som omfattas av förordning (EU) 2015/847 ska rapporteringssystemen även möjliggöra anmälningar av misstänkta överträdelser av bestämmelserna i den förordningen. Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter inom ramen för sådana rapporteringssystem som avses i första och andra styckena. Denna lag träder i kraft den 25 maj 2018. Förslag till lag om ändring i lagen (2017:631) om registrering av verkliga huvudmän Härigenom föreskrivs att 2 kap. 6 § lagen (2017:631) om registrering av verkliga huvudmän ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 2 kap. 6 § En juridisk person som avses i 4 eller 5 § och som har ett politiskt, religiöst, kulturellt eller annat sådant ändamål eller är ett trossamfund som inte registrerats i handelsregistret enligt handelsregisterlagen (1974:157) är inte skyldig att i anmälan ange uppgifter om fysiska personer som är medlemmar i den juridiska personen, om en sådan anmälan medför att medlemmens åskådning i något av dessa avseenden blir känd. Undantaget i första stycket gäller också om en anmälan medför att en fysisk persons medlemskap i en fackförening blir känt eller om en anmälan avslöjar uppgift om en fysisk persons hälsotillstånd eller sexualliv. Undantaget i första stycket gäller också om en anmälan annars avslöjar sådana särskilda kategorier av personuppgifter som avses i artikel 9.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Denna lag träder i kraft den 25 maj 2018. Förteckning över remissinstanserna Följande remissinstanser har lämnat synpunkter: Sveriges riksbank, Nyköpings tingsrätt, Kammarrätten i Stockholm, Förvaltningsrätten i Stockholm, Domstolsverket, Åklagarmyndigheten, Polismyndigheten, Säkerhetspolisen, Datainspektionen, Stockholms universitet (juridiska fakulteten), Bolagsverket, Finansbolagens förening, Svensk Försäkring, Svenska Bankföreningen, Sveriges advokatsamfund. Därutöver har yttrande inkommit från dataskydd.net. Följande remissinstanser har inte svarat eller angett att de avstår från att lämna några synpunkter: Riksrevisionen, Riksdagens ombudsmän, Justitiekanslern, Kommerskollegium, Ekobrottsmyndigheten, Finansinspektionen, Kronofogdemyndigheten, Regelrådet, Facket för försäkring och finans (FTF), Finansförbundet, Fondbolagens förening, Föreningen för god sed på värdepappersmarknaden, Företagarna, Konsumenternas Bank- och finansbyrå, Konsumenternas Försäkringsbyrå, Landsorganisationen i Sverige, Näringslivets regelnämnd, Sveriges Akademikers Centralorganisation (SACO), Svenska Fondhandlareföreningen, Svenskt Näringsliv, Sveriges Konsumenter, Swedish Private Equity & Venture Capital Association (SVCA), Tjänstemännens centralorganisation (TCO). Lagrådsremissens lagförslag Förslag till lag om ändring i lagen (1991:980) om handel med finansiella instrument Härigenom föreskrivs att 2 kap. 12 § lagen (1991:980) om handel med finansiella instrument ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 2 kap. 12 § Inför upprättandet av ett prospekt och vid offentliggörande av det enligt 28-30 §§ får, i syfte att upprätta och offentliggöra prospektet och utan hinder av 21 § personuppgiftslagen (1998:204), de personuppgifter behandlas som prospektet skall innehålla. I den utsträckning det krävs enligt 28-30 §§ får personuppgifterna i prospektet föras över till en stat utanför EES. Inför upprättandet av ett prospekt och vid offentliggörande av det enligt 28-30 §§ får, i syfte att upprätta och offentliggöra prospektet, de personuppgifter behandlas som prospektet ska innehålla, inklusive sådana uppgifter som avses i artikel 10 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). I den utsträckning det krävs enligt 28-30 §§ får personuppgifterna i prospektet föras över till en stat utanför EES. Denna lag träder i kraft den 25 maj 2018. Förslag till lag om ändring i lagen (1998:1479) om värdepapperscentraler och kontoföring av finansiella instrument Härigenom föreskrivs att 1 kap. 6 §, 4 kap. 1 §, 5 kap. 4 § och 7 kap. 2 § lagen (1998:1479) om värdepapperscentraler och kontoföring av finansiella instrument ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 1 kap. 6 § Svenska värdepapperscentraler och kontoförande institut ska tillhandahålla ändamålsenliga rapporteringssystem för anställda som vill göra anmälningar om misstänkta överträdelser av de bestämmelser som gäller för verksamheten. Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter inom ramen för sådana rapporteringssystem som avses i första stycket. 4 kap. 1 § Avstämningsregister består av avstämningskonton som läggs upp för ägare av finansiella instrument som registreras enligt denna lag. Sådana register förs med hjälp av automatiserad behandling. En svensk värdepapperscentral är personuppgiftsansvarig enligt personuppgiftslagen (1998:204) för den behandling av personuppgifter som den värdepapperscentralen utför. Avstämningsregister består av avstämningskonton som läggs upp för ägare av finansiella instrument som registreras enligt denna lag. Sådana register förs med hjälp av automatiserad behandling. En svensk värdepapperscentral är personuppgiftsansvarig för den behandling av personuppgifter som den värdepapperscentralen utför. Om inget annat följer av denna lag, av föreskrifter som meddelats med stöd av lagen, av förordningen om värdepapperscentraler eller av rättsakter som har antagits med stöd av förordningen, tillämpas personuppgiftslagen vid behandling av personuppgifter om ägare och innehavare av särskild rätt till finansiella instrument. 5 kap. 4 § En registrering skall rättas, om den innehåller någon uppenbar oriktighet till följd av att den som vidtagit registreringsåtgärden eller någon annan har gjort sig skyldig till skrivfel, räknefel eller liknande förbiseende eller till följd av något tekniskt fel. Den vars rätt berörs skall ges möjlighet att yttra sig, om inte rättelsen är till förmån för denne eller yttrande annars är uppenbart obehövligt. En registrering ska rättas, om den innehåller någon uppenbar oriktighet till följd av att den som vidtagit registreringsåtgärden eller någon annan har gjort sig skyldig till skrivfel, räknefel eller liknande förbiseende eller till följd av något tekniskt fel. Den vars rätt berörs ska ges möjlighet att yttra sig, om inte rättelsen är till förmån för denne eller yttrande annars är uppenbart obehövligt. I fråga om personuppgifter gäller detta i stället för rätten till rättelse av personuppgifter enligt artikel 16 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). 7 kap. 2 § För skada som tillfogas en ägare av ett finansiellt instrument till följd av en oriktig eller missvisande uppgift i ett avstämningsregister eller i annat fall genom fel i samband med uppläggning eller förande av ett sådant register svarar värdepapperscentralen eller, om felet kan hänföras till ett kontoförande institut, institutet. Ersättningsansvar gäller dock inte om värdepapperscentralen respektive det kontoförande institutet visar att felet beror på en omständighet utanför dess kontroll vars följder inte skäligen kunde ha undvikits eller övervunnits. Indirekt förlust ersätts endast om den beror på försummelse av värdepapperscentralen eller det kontoförande institutet. Detsamma gäller skada som tillfogas panthavare och den till vars förmån en rådighetsinskränkning gäller. Ersättningsansvaret gäller på motsvarande sätt om felet beror på någon som har anlitats av värdepapperscentralen eller av ett kontoförande institut. För skada som kan hänföras till ett kontoförande institut svarar värdepapperscentralen solidariskt med institutet. Värdepapperscentralens ansvar är dock i sådant fall begränsat till fem miljoner kronor för varje skadefall. Värdepapperscentralen har rätt till ersättning av det kontoförande institutet för vad värdepapperscentralen har betalat till följd av det solidariska ansvaret. Bestämmelserna i personuppgiftslagen (1998:204) om skadestånd ska gälla då personuppgifter behandlats i strid med den lagen. Denna lag träder i kraft den 25 maj 2018. Förslag till lag om ändring i lagen (1999:889) om registrering av krigsskada på egendom Härigenom föreskrivs att 1 § lagen (1999:889) om registrering av krigsskada på egendom ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 1 § För det ändamål som anges i 3 § skall det föras ett för hela landet gemensamt register (krigsskaderegistret). Registret får föras med hjälp av automatisk databehandling. För det ändamål som anges i 3 § ska det föras ett för hela landet gemensamt register (krigsskaderegistret). Registret får föras med hjälp av automatisk databehandling. Ärenden om registrering skall handläggas av Finansinspektionen, som också är personuppgiftsansvarig enligt personuppgiftslagen (1998:204). Ärenden om registrering ska handläggas av Finansinspektionen, som också är personuppgiftsansvarig. Närmare föreskrifter om vilka uppgifter registret skall innehålla meddelas av regeringen. Närmare föreskrifter om vilka uppgifter registret ska innehålla meddelas av regeringen. Denna lag träder i kraft den 25 maj 2018. Förslag till lag om ändring i lagen (2004:46) om värdepappersfonder Härigenom föreskrivs att 2 kap. 17 d § och 4 kap. 11 § lagen (2004:46) om värdepappersfonder ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 2 kap. 17 d § Ett fondbolag ska tillhandahålla ändamålsenliga rapporteringssystem för anställda som vill göra anmälningar om misstänkta överträdelser av bestämmelser som gäller för verksamheten. Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter inom ramen för sådana rapporteringssystem som avses i första stycket. 4 kap. 11 § Fondbolaget ska föra eller låta föra ett register över samtliga innehavare av andelar i fonden. I fråga om automatiserad och viss manuell behandling av personuppgifter finns bestämmelser i personuppgiftslagen (1998:204). Fondbolaget ska föra eller låta föra ett register över samtliga innehavare av andelar i fonden. Är lagen (1998:1479) om värdepapperscentraler och kontoföring av finansiella instrument tillämplig på andelarna i fonden, förs registret av en svensk värdepapperscentral. Fondbolaget har rätt till insyn i registret. Om lagen om värdepapperscentraler och kontoföring av finansiella instrument inte är tillämplig på andelarna i fonden, ska den som för registret anteckna inskränkningar enligt 13 kap. 19 § första stycket 4 eller 14 kap. 21 § första stycket 4 föräldrabalken där. Fondbolaget ska till varje fondandelsägare skriftligen bekräfta att dennes fondandelsinnehav har registrerats. Av bekräftelsen ska det framgå värdepappersfondens och, i förekommande fall, andelsklassens beteckning samt namnen på fondbolaget och förvaringsinstitutet. Vidare ska det framgå var informationsbroschyren enligt 15 §, faktabladet enligt 16 a § samt årsberättelsen och halvårsredogörelsen enligt 18 § finns att tillgå. Denna lag träder i kraft den 25 maj 2018. Förslag till lag om ändring i lagen (2004:297) om bank- och finansieringsrörelse Härigenom föreskrivs att 6 kap. 2 a § lagen (2004:297) om bank- och finansieringsrörelse ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 6 kap. 2 a § Ett kreditinstitut ska tillhandahålla ändamålsenliga rapporteringssystem för anställda som vill göra anmälningar om misstänkta överträdelser av bestämmelser som gäller för kreditinstitutets verksamhet. Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter inom ramen för sådana rapporteringssystem som avses i första stycket. Denna lag träder i kraft den 25 maj 2018. Förslag till lag om ändring i lagen (2007:528) om värdepappersmarknaden Härigenom föreskrivs att 4 kap. 8 §, 8 kap. 4 a §, 10 kap. 15 § och 13 kap. 2 a § lagen (2007:528) om värdepappersmarknaden ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 4 kap. 8 § Ett företag som avses i 4 § och som har fått tillstånd att driva värdepappersrörelse från filial i Sverige ska tillhandahålla ändamålsenliga rapporteringssystem för anställda som vill göra anmälningar om misstänkta överträdelser av bestämmelser som gäller för verksamheten. Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter inom ramen för sådana rapporteringssystem. 8 kap. 4 a § Ett värdepappersbolag ska tillhandahålla ändamålsenliga rapporteringssystem för anställda som vill göra anmälningar om misstänkta överträdelser av bestämmelser som gäller för verksamheten. Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter inom ramen för sådana rapporteringssystem som avses i första stycket. 10 kap. 15 § Den som tillhandahåller en datarapporteringstjänst ska ha ändamålsenliga rapporteringssystem för anställda som vill göra anmälningar om misstänkta överträdelser av bestämmelser som gäller för verksamheten. Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter inom ramen för sådana rapporteringssystem. 13 kap. 2 a § En börs ska tillhandahålla ändamålsenliga rapporteringssystem för anställda som vill göra anmälningar om misstänkta överträdelser av bestämmelser som gäller för verksamheten. Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter inom ramen för sådana rapporteringssystem. Denna lag träder i kraft den 25 maj 2018. Förslag till lag om ändring i lagen (2010:751) om betaltjänster Härigenom föreskrivs i fråga om lagen (2010:751) om betaltjänster dels att 6 kap. 8 § ska upphöra att gälla, dels att rubriken närmast före 6 kap. 8 § ska utgå, dels att 6 kap. 1 § ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 6 kap. 1 § Om en betaltjänstleverantör eller den som ansvarar för ett betalningssystem granskar betalningstransaktioner för att kunna upptäcka sådana transaktioner som leverantören eller den ansvarige för betalningssystemet misstänker eller har skälig grund att misstänka utgör ett led i bedrägeri i samband med tillhandahållande eller användning av betaltjänster, får leverantören eller den som ansvarar för ett betalningssystem behandla personuppgifter samt föra register enligt 2-9 §§ vilka gäller utöver personuppgiftslagen (1998:204). Om en betaltjänstleverantör eller den som ansvarar för ett betalningssystem granskar betalningstransaktioner för att kunna upptäcka sådana transaktioner som leverantören eller den ansvarige för betalningssystemet misstänker eller har skälig grund att misstänka utgör ett led i bedrägeri i samband med tillhandahållande eller användning av betaltjänster, får leverantören eller den som ansvarar för ett betalningssystem behandla personuppgifter samt föra register enligt 2-9 §§. Denna lag träder i kraft den 25 maj 2018. Förslag till lag om ändring i försäkringsrörelselagen (2010:2043) Härigenom föreskrivs att 4 kap. 14 § försäkringsrörelselagen (2010:2043) ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 4 kap. 14 § En personuppgift som anger att en försäkringstagare har vidtagit dispositioner beträffande försäkringsbelopp som utfaller i framtiden till förmån för någon annan och som behandlas enligt personuppgiftslagen (1998:204) får inte lämnas ut till förmånstagaren. En personuppgift som anger att en försäkringstagare har vidtagit dispositioner beträffande försäkringsbelopp som utfaller i framtiden till förmån för någon annan och som behandlas enligt Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) får inte lämnas ut till förmånstagaren. Denna lag träder i kraft den 25 maj 2018. Förslag till lag om ändring i lagen om (2016:1306) med kompletterande bestämmelser till EU:s marknadsmissbruksförordning Härigenom föreskrivs att 2 kap. 3 och 7 §§ lagen (2016:1306) med kompletterande bestämmelser till EU:s marknadsmissbruksförordning ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 2 kap. 3 § Finansinspektionen ska föra eller låta föra register (insynsregister) över anmälningar som har gjorts enligt artikel 19.1-19.10 i marknadsmissbruksförordningen. Uppgifter som har lämnats av personer som inte längre omfattas av anmälningsskyldighet får tas bort ur registret. Registret ska föras med hjälp av automatisk databehandling. Finansinspektionen är personuppgiftsansvarig enligt personuppgiftslagen (1998:204) för den behandling av personuppgifter som sker i registret. Inspektionen ska på lämpligt sätt underrätta de registrerade om registret. Registret ska föras med hjälp av automatisk databehandling. Finansinspektionen är personuppgiftsansvarig för den behandling av personuppgifter som sker i registret. Inspektionen ska på lämpligt sätt underrätta de registrerade om registret. Registret ska vara offentligt. 7 § Ett finansiellt företag ska tillhandahålla ändamålsenliga rapporteringssystem för anställda som vill göra anmälningar om misstänkta överträdelser av marknadsmissbruksförordningen. Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter inom ramen för sådana rapporteringssystem. Uppgifter om lagöverträdelser som avses i 21 § personuppgiftslagen får dock behandlas om uppgifterna avser brott enligt lagen (2016:1307) om straff för marknadsmissbruk på värdepappersmarknaden. Personuppgifter som avses i artikel 10 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) får behandlas om uppgifterna avser brott enligt lagen (2016:1307) om straff för marknadsmissbruk på värdepappersmarknaden. Denna lag träder i kraft den 25 maj 2018. Förslag till lag om ändring i lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism Härigenom föreskrivs i fråga om lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism dels att 5 kap. 10 § ska upphöra att gälla, dels att rubriken närmast före 5 kap. 10 § ska utgå, dels att 5 kap. 1, 5 och 6 §§ och 6 kap. 4 § ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 5 kap. 1 § Detta kapitel gäller vid en verksamhetsutövares behandling av personuppgifter enligt denna lag. Kapitlet gäller om behandlingen helt eller delvis är automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Personuppgiftslagen (1998:204) gäller vid verksamhetsutövarens behandling av personuppgifter, om inte annat följer av detta kapitel. 5 § Känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) får behandlas endast om det är nödvändigt för att Personuppgifter som avses i artikel 9.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning, får behandlas endast om det är nödvändigt för att 1. bedöma om kunden är en person i politiskt utsatt ställning eller familjemedlem eller känd medarbetare till en sådan person enligt 1 kap. 8-10 §§, 2. bedöma den risk som kan förknippas med kundrelationen enligt 2 kap. 3 §, 3. uppfylla övervakningsskyldigheten enligt 4 kap. 1 §, 4. bedöma misstänkta transaktioner och aktiviteter enligt 4 kap. 2 §, och 5. lämna uppgifter enligt 4 kap. 3 och 6 §§. Känsliga personuppgifter får också behandlas vid bevarande av handlingar och uppgifter enligt 3 och 4 §§, om det är tillåtet att behandla uppgifterna enligt första stycket. 6 § Personuppgifter om lagöverträdelser som avses i 21 § personuppgiftslagen (1998:204) får behandlas endast om det är nödvändigt för att Personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning får behandlas endast om det är nödvändigt för att 1. bedöma den risk som kan förknippas med kundrelationen enligt 2 kap. 3 §, 2. uppfylla övervakningsskyldigheten enligt 4 kap. 1 §, 3. bedöma misstänkta transaktioner och aktiviteter enligt 4 kap. 2 §, och 4. lämna uppgifter enligt 4 kap. 3 och 6 §§. Uppgifter om lagöverträdelser får också behandlas vid bevarande av handlingar och uppgifter enligt 3 och 4 §§, om det är tillåtet att behandla uppgifterna enligt första stycket. 6 kap. 4 § En verksamhetsutövare ska tillhandahålla ändamålsenliga rapporteringssystem för anställda och uppdragstagare som vill göra anmälningar om misstänkta överträdelser av bestämmelserna i denna lag eller föreskrifter som meddelats med stöd av lagen. För verksamhetsutövare som omfattas av förordning (EU) 2015/847 ska rapporteringssystemen även möjliggöra anmälningar av misstänkta överträdelser av bestämmelserna i den förordningen. Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter inom ramen för sådana rapporteringssystem som avses i första och andra styckena. Denna lag träder i kraft den 25 maj 2018. Förslag till lag om ändring i lagen (2017:631) om registrering av verkliga huvudmän Härigenom föreskrivs att 2 kap. 6 § lagen (2017:631) om registrering av verkliga huvudmän ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 2 kap. 6 § En juridisk person som avses i 4 eller 5 § och som har ett politiskt, religiöst, kulturellt eller annat sådant ändamål eller är ett trossamfund som inte registrerats i handelsregistret enligt handelsregisterlagen (1974:157) är inte skyldig att i anmälan ange uppgifter om fysiska personer som är medlemmar i den juridiska personen, om en sådan anmälan medför att medlemmens åskådning i något av dessa avseenden blir känd. Undantaget i första stycket gäller också om en anmälan medför att en fysisk persons medlemskap i en fackförening blir känt eller om en anmälan avslöjar uppgift om en fysisk persons hälsotillstånd eller sexualliv. Undantaget i första stycket gäller också om en anmälan annars avslöjar personuppgifter som avses i artikel 9.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Denna lag träder i kraft den 25 maj 2018. Lagrådets yttrande Utdrag ur protokoll vid sammanträde 2018-02-21 Närvarande: F.d. justitieråden Gustaf Sandström och Lena Moore samt justitierådet Anders Eka Författningsändringar på finansmarknadsområdet med anledning av EU:s dataskyddsförordning Enligt en lagrådsremiss den 1 februari 2018 har regeringen (Finansdepartementet) beslutat inhämta Lagrådets yttrande över förslag till 1. lag om ändring i lagen (1991:980) om handel med finansiella instrument, 2. lag om ändring i lagen (1998:1479) om värdepapperscentraler och kontoföring av finansiella instrument, 3. lag om ändring i lagen (1999:889) om registrering av krigsskada på egendom, 4. lag om ändring i lagen (2004:46) om värdepappersfonder, 5. lag om ändring i lagen (2004:297) om bank- och finansierings- rörelse, 6. lag om ändring i lagen (2007:528) om värdepappersmarknaden, 7. lag om ändring i lagen (2010:751) om betaltjänster, 8. lag om ändring i försäkringsrörelselagen (2010:2043), 9. lag om ändring i lagen om (2016:1306) med kompletterande bestämmelser till EU:s marknadsmissbruksförordning, 10. lag om ändring i lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism, 11. lag om ändring i lagen (2017:631) om registrering av verkliga huvudmän. Förslagen har inför Lagrådet föredragits av rättssakkunnige Carl Lidquist. Lagrådet lämnar förslagen utan erinran. Finansdepartementet Utdrag ur protokoll vid regeringssammanträde den 8 mars 2018 Närvarande: statsminister Löfven, ordförande, och statsråden Lövin, Wallström, Y Johansson, Baylan, Bucht, Hultqvist, Regnér, Andersson, Hellmark Knutsson, Bolund, Damberg, Bah Kuhnke, Strandhäll, Shekarabi, Fridolin, Eriksson, Linde, Skog, Ekström, Eneroth Föredragande: statsrådet Bolund Regeringen beslutar proposition Författningsändringar på finansmarknadsområdet med anledning av EU:s dataskyddsförordning