Regeringskansliets rättsdatabaser

Regeringens proposition 2017/18:133 En anpassning till dataskyddsförordningen av lagar inom Miljö- och energidepartementets verksamhetsområde Prop. 2017/18:133 Regeringen överlämnar denna proposition till riksdagen. Stockholm den 1 mars 2018 Stefan Löfven Karolina Skog (Miljö- och energidepartementet) Propositionens huvudsakliga innehåll Propositionen innehåller förslag som syftar till att anpassa lagstiftningen inom Miljö- och energidepartementets verksamhetsområde till EU:s nya dataskyddsförordning. Lagförslagen innebär i huvudsak att hänvisningar till personuppgiftslagen (1998:204) tas bort eller ersätts av hänvisningar till EU:s dataskyddsförordning, i ett fall även till den lag med kompletterande bestämmelser till EU:s dataskyddsförordning som föreslås i propositionen 2017/18:105 Ny dataskyddslag. Lagförslagen innebär även att kompletterande upplysningar införs i vissa bestämmelser, att lydelsen av vissa rubriker ändras och att en överklagandehänvisning tas bort. Lagändringarna föreslås träda i kraft den 25 maj 2018, samma dag som dataskyddsförordningen ska börja tillämpas. Innehållsförteckning 1 Förslag till riksdagsbeslut 4 2 Lagtext 5 2.1 Förslag till lag om ändring i lagen (2004:1199) om handel med utsläppsrätter 5 2.2 Förslag till lag om ändring i lagen (2006:985) om energideklaration för byggnader 7 2.3 Förslag till lag om ändring i lagen (2010:1767) om geografisk miljöinformation 8 2.4 Förslag till lag om ändring i lagen (2011:1200) om elcertifikat 9 3 Ärendet och dess beredning 10 4 Dataskyddsreformen 10 4.1 Dataskyddsdirektivet och den svenska personuppgiftsregleringen 10 4.2 Dataskyddsförordningen 11 4.2.1 Dataskyddsförordningens tillämpningsområde 12 4.2.2 Generella bestämmelser som kompletterar dataskyddsförordningen 12 4.3 Anpassning av nationell sektorsspecifik dataskyddsreglering 13 5 Rättslig grund för behandling av personuppgifter 13 6 Bestämmelser om behandling av personuppgifter 20 6.1 Tillämpnings- och upplysningsbestämmelser 20 6.2 Bestämmelser om personuppgiftsansvar 23 6.3 Bestämmelser om behandling av personnummer 24 7 Den registrerades rättigheter 25 8 Rättsmedel och skadestånd 32 9 Övriga frågor 34 10 Ikraftträdande- och övergångsbestämmelser 35 11 Konsekvenser 36 12 Författningskommentar 37 12.1 Förslaget till lag om ändring i lagen (2004:1199) om handel med utsläppsrätter 37 12.2 Förslaget till lag om ändring i lagen (2006:985) om energideklaration för byggnader 38 12.3 Förslaget till lag om ändring i lagen (2010:1767) om geografisk miljöinformation 39 12.4 Förslaget till lag om ändring i lagen (2011:1200) om elcertifikat 39 Bilaga 1 Dataskyddsförordningen 41 Bilaga 2 Promemorians lagförslag 129 Bilaga 3 Förteckning över remissinstanserna 134 Bilaga 4 Lagrådsremissens lagförslag 135 Bilaga 5 Lagrådets yttrande 140 Utdrag ur protokoll vid regeringssammanträde den 1 mars 2018 141 1 Förslag till riksdagsbeslut Regeringen föreslår att riksdagen antar regeringens förslag till 1. lag om ändring i lagen (2004:1199) om handel med utsläppsrätter, 2. lag om ändring i lagen (2006:985) om energideklaration för byggnader, 3. lag om ändring i lagen (2010:1767) om geografisk miljöinformation, 4. lag om ändring i lagen (2011:1200) om elcertifikat. 2 Lagtext Regeringen har följande förslag till lagtext. 2.1 Förslag till lag om ändring i lagen (2004:1199) om handel med utsläppsrätter Härigenom föreskrivs i fråga om lagen (2004:1199) om handel med utsläppsrätter dels att 8 kap. 11 § ska upphöra att gälla, dels att 4 kap. 15 och 19 §§ ska ha följande lydelse, dels att rubriken närmast efter 8 kap. 8 a § ska lyda "Skadestånd vid felregistrering". Nuvarande lydelse Föreslagen lydelse 4 kap. 15 § Om inget annat följer av denna lag eller föreskrifter som meddelats med stöd av lagen, tillämpas personuppgiftslagen (1998:204) vid behandling av personuppgifter vid kontoföring av utsläppsrätter och kyotoenheter i de konton i unionsregistret som kontoföringsmyndigheten administrerar enligt 1 §. Kontoföringsmyndigheten är personuppgiftsansvarig enligt personuppgiftslagen för den behandling av personuppgifter som utförs i unionsregistret. Kontoföringsmyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som utförs i unionsregistret. 19 § En uppgift på ett konto i unionsregistret ska rättas, om den innehåller någon uppenbar oriktighet till följd av skrivfel, räknefel eller liknande förbiseende eller till följd av tekniskt fel. Den vars rätt berörs ska ges möjlighet att yttra sig, om inte rättelsen är till förmån för denne eller yttrandet annars är uppenbart onödigt. Bestämmelser om återkallande av transaktioner i unionsregistret finns i artikel 70 i registerförordningen. Vid behandling av personuppgifter enligt denna lag gäller i stället för första stycket bestämmelserna om rättelse i 28 § personuppgiftslagen (1998:204). Vid behandling av personuppgifter enligt denna lag gäller i stället för första stycket rätten till rättelse enligt artikel 16 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Denna lag träder i kraft den 25 maj 2018. 2.2 Förslag till lag om ändring i lagen (2006:985) om energideklaration för byggnader Härigenom föreskrivs i fråga om lagen (2006:985) om energideklaration för byggnader dels att 20 och 22 §§ ska upphöra att gälla, dels att 26 § ska ha följande lydelse, dels att rubriken närmast före 21 § ska lyda "Skadestånd vid tekniskt fel". Nuvarande lydelse Föreslagen lydelse 26 § En tillsynsmyndighets beslut om rättelse enligt 20 §, föreläggande som har förenats med vite enligt 25 § och om återkallelse av behörighet enligt 25 a § får överklagas till allmän förvaltningsdomstol. En tillsynsmyndighets beslut om föreläggande som har förenats med vite enligt 25 § och om återkallelse av behörighet enligt 25 a § får överklagas till allmän förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten. Denna lag träder i kraft den 25 maj 2018. 2.3 Förslag till lag om ändring i lagen (2010:1767) om geografisk miljöinformation Härigenom föreskrivs att 15 § lagen (2010:1767) om geografisk miljöinformation ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 15 § Bestämmelser om 1. behandling av personuppgifter finns i personuppgiftslagen (1998:204), Bestämmelser om 1. behandling av personuppgifter finns i a) Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), b) lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning, och c) föreskrifter som har meddelats i anslutning till den lagen, 2. behandling av personuppgifter i fastighetsregistret finns i lagen (2000:224) om fastighetsregister, 3. krav på tillstånd för spridning av en sammanställning av geografisk information finns i lagen (2016:319) om skydd för geografisk information, 4. säkerhetsskydd finns i säkerhetsskyddslagen (1996:627), och 5. upphovsrätt finns i lagen (1960:729) om upphovsrätt till litterära och konstnärliga verk. I fråga om behandling av personuppgifter enligt denna lag gäller inte 2 § personuppgiftslagen (1998:204). Denna lag träder i kraft den 25 maj 2018. 2.4 Förslag till lag om ändring i lagen (2011:1200) om elcertifikat Härigenom föreskrivs i fråga om lagen (2011:1200) om elcertifikat dels att 7 kap. 7 § ska upphöra att gälla, dels att 3 kap. 15 och 17 §§ ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 3 kap. 15 § En uppgift på ett certifikatkonto ska rättas, om den innehåller någon uppenbar oriktighet till följd av skrivfel, räknefel eller liknande förbiseende eller till följd av något tekniskt fel. Den vars rätt berörs ska ges möjlighet att yttra sig, om inte rättelsen är till förmån för denne eller yttrandet annars är uppenbart obehövligt. I fråga om rättelse av personuppgifter ska första stycket tillämpas i stället för artikel 16 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). 17 § Om inget annat följer av denna lag eller föreskrifter som meddelats med stöd av lagen, tillämpas personuppgiftslagen (1998:204) vid behandling av personuppgifter när elcertifikat kontoförs i elcertifikatsregistret. Kontoföringsmyndigheten är personuppgiftsansvarig enligt personuppgiftslagen för den behandling av personuppgifter som utförs i elcertifikatsregistret. Kontoföringsmyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som utförs i elcertifikatsregistret. Denna lag träder i kraft den 25 maj 2018. 3 Ärendet och dess beredning Regeringskansliet (Miljö- och energidepartementet) har tagit fram promemorian En anpassning till dataskyddsförordningen av författningar inom Miljö- och energidepartementets verksamhetsområde (Ds 2017:54). Promemorian innehåller förslag som syftar till att anpassa författningar inom Miljö- och energidepartementets verksamhetsområde till Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen. Dataskyddsförordningen finns i bilaga 1. Promemorians lagförslag finns i bilaga 2. Promemorian har remissbehandlats under en månad. Med hänsyn till den begränsade tid inom vilken dataskyddsförordningen ska börja tillämpas har det inte bedömts möjligt med en längre remisstid. En förteckning över remissinstanserna finns i bilaga 3. Remissvaren finns tillgängliga i Miljö- och energidepartementet (dnr M2017/02676/R). Förslag till anpassningar och kompletterande författningsbestämmelser på generell nivå behandlas i Justitiedepartementets proposition 2017/18:105 Ny dataskyddslag. Lagrådet Regeringen beslutade den 1 februari 2018 att inhämta Lagrådets yttrande över de lagförslag som finns i bilaga 4. Lagrådet lämnar förslagen utan erinran. Lagrådets yttrande finns i bilaga 5. I förhållande till lagrådsremissen har mindre redaktionella och språkliga ändringar gjorts. 4 Dataskyddsreformen 4.1 Dataskyddsdirektivet och den svenska personuppgiftsregleringen Allmänna bestämmelser om behandling av personuppgifter finns i dag i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (nedan benämnt dataskyddsdirektivet). Dataskyddsdirektivet syftar till att garantera skyddet för enskilda vid personuppgiftsbehandling. Det syftar också till att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU. Det gäller inte för behandling av personuppgifter på områden som faller utanför unionsrätten, t.ex. allmän säkerhet och försvar samt statens verksamhet på straffrättens område. Dataskyddsdirektivet har genomförts i svensk rätt huvudsakligen genom personuppgiftslagen. Personuppgiftslagen har till syfte att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Personuppgiftslagen är tillämplig även utanför dataskyddsdirektivets område och gäller både för myndigheter och enskilda som behandlar personuppgifter. Personuppgiftslagen är subsidiär, vilket innebär att lagens bestämmelser inte ska tillämpas om det finns avvikande regler i en annan författning. Sådana bestämmelser finns i särskilda sektorsspecifika författningar som i huvudsak reglerar uppgifter som myndigheter har att utföra. Personuppgiftslagen kompletteras av personuppgiftsförordningen (1998:1191), som pekar ut Datainspektionen som tillsynsmyndighet enligt lagen. Inom Miljö- och energidepartementets verksamhetsområde finns det sektorsspecifik dataskyddsreglering. Författningarna innehåller kompletterande eller avvikande bestämmelser i förhållande till personuppgiftslagen och föreskriver vilka uppgifter som myndigheter och även i vissa fall enskilda har att utföra. Vissa författningar innehåller bestämmelser om förande av register eller förteckningar. Andra författningar saknar bestämmelser om registerföring, men innehåller bestämmelser om behandling av personuppgifter. Några av författningarna innehåller bestämmelser som uttryckligen reglerar för vilka ändamål personuppgifter får behandlas. 4.2 Dataskyddsförordningen Den 27 april 2016 utfärdades dataskyddsförordningen. Förordningen, som ska börja tillämpas den 25 maj 2018, är en ny generell reglering för personuppgiftsbehandling inom EU. Förordningen ersätter dataskyddsdirektivet och har till syfte att ytterligare harmonisera och effektivisera skyddet för personuppgifter för att förbättra den inre marknadens funktion och öka enskildas kontroll över sina personuppgifter. Dataskyddsförordningens bestämmelser motsvarar i stor utsträckning de bestämmelser som finns i dataskyddsdirektivet, men innehåller även en rad nyheter. Förändringarna innebär bl.a. att den registrerades rättigheter förstärks i syfte att ge den registrerade ökad kontroll över sina personuppgifter. En annan nyhet är att det införs krav på konsekvensanalys om en viss behandling sannolikt kommer att leda till en hög risk för enskildas rättigheter eller skyldigheter. Därtill kan bl.a. nämnas det nya systemet med administrativa sanktionsavgifter som ska tas ut vid överträdelser av dataskyddsförordningen. Dataskyddsförordningen är, till skillnad från dataskyddsdirektivet, direkt tillämplig i EU: s medlemsstater. När dataskyddsförordningen ska börja tillämpas kommer den därför att ersätta personuppgiftslagen som det generella regelverk som reglerar behandling av personuppgifter. Trots att dataskyddsförordningen är direkt tillämplig innehåller den bestämmelser som i vissa avseenden förutsätter eller ger utrymme för kompletterande nationella bestämmelser av olika slag. Förordningen har därmed i vissa delar en direktivliknande karaktär. Av skäl 8 till dataskyddsförordningen framgår att om förordningen föreskriver förtydliganden eller begränsningar av dess bestämmelser genom medlemsstaternas nationella rätt, kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av denna förordning i nationell rätt. 4.2.1 Dataskyddsförordningens tillämpningsområde Artikel 2 i dataskyddsförordningen reglerar förordningens materiella tillämpningsområde. Dataskyddsförordningen ska, liksom dataskyddsdirektivet, tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. I artikel 2.2 räknas det upp vissa undantag från tillämpningsområdet. Dataskyddsförordningen hindrar dock inte att nationell reglering har ett vidare tillämpningsområde än förordningen. Regeringen föreslår i prop. 2017/18:105 att dataskyddsförordningen ska gälla även i verksamhet utanför unionsrättens tillämpningsområde och vid Sveriges deltagande i den gemensamma utrikes- och säkerhetspolitiken, dock inte i verksamhet som omfattas av 6 kap. polisdatalagen (2010:361), lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst samt lagen (2007:259) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet. I prop. 2017/18:105 föreslår regeringen också att bestämmelserna i dataskyddsförordningen och i den nya dataskyddslagen inte ska tillämpas i den utsträckning det strider mot tryckfrihetsförordningen eller yttrandefrihetsgrundlagen (se 1 kap. 7 § dataskyddslagen). 4.2.2 Generella bestämmelser som kompletterar dataskyddsförordningen Regeringen föreslår i prop. 2017/18:105 att personuppgiftslagen och personuppgiftsförordningen ska upphävas och att en ny lag med bestämmelser som kompletterar dataskyddsförordningen på ett generellt plan ska införas (nedan benämnd dataskyddslagen). Dataskyddslagen föreslås vara subsidiär i förhållande till annan författning (se 1 kap. 6 § dataskyddslagen). Det innebär att om en annan lag eller förordning innehåller en bestämmelse som avviker från dataskyddslagen, ska den bestämmelsen tillämpas. Bestämmelsen utvidgar dock inte utrymmet att göra undantag från eller införa nationella begränsningar av dataskyddsförordningens direkt tillämpliga bestämmelser. Principen om unionsrättens företräde medför att en bestämmelse i en sektorsspecifik författning får tillämpas endast om den är förenlig med dataskyddsförordningen och avser en fråga som enligt förordningen får särregleras eller specificeras i nationell rätt. 4.3 Anpassning av nationell sektorsspecifik dataskyddsreglering Dataskyddsförordningen medför ett behov av att se över nationell sektorsspecifik dataskyddsreglering. Nationella bestämmelser som avviker från eller dubblerar dataskyddsförordningen kan behållas endast om förordningen ger utrymme för det. Inom Miljö- och energidepartementets verksamhetsområde finns ett antal författningar som innehåller bestämmelser om personuppgiftsbehandling, som hänvisar till bestämmelser i personuppgiftslagen eller som upplyser om var bestämmelser om personuppgiftsbehandling finns. De identifierade sektorsspecifika lagarna, som innehåller bestämmelser om behandling av personuppgifter, omfattas av unionsrätten och därmed även av dataskyddsförordningens tillämpningsområde. Författningarna behöver därför anpassas till dataskyddsförordningen. Anpassningen av lagarna sker endast med anledning av att dataskyddsförordningen ska börja tillämpas och avser endast sådana ändringar som är nödvändiga till följd av förordningen. Det finns därmed inte skäl att ompröva tidigare ställningstaganden eller göra en mer allmän översyn över de lagar som tillhör departementets verksamhetsområde och som i dag innehåller bestämmelser om behandling av personuppgifter eller annan dataskyddsreglering. 5 Rättslig grund för behandling av personuppgifter Regeringens bedömning: Det krävs inga lagändringar inom Miljö- och energidepartementets verksamhetsområde med anledning av bestämmelserna i EU:s dataskyddsförordning om att den rättsliga grunden för behandling av personuppgifter i vissa fall ska vara fastställd i unionsrätten eller nationell rätt. Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Flertalet av remissinstanserna har inga invändningar mot promemorians bedömning. Datainspektionen efterfrågar dock ett tydligare utpekande av de rättsliga grunderna. Den önskar också en analys som visar att lagstiftningen dels är förenlig med och proportionell mot de legitima mål som eftersträvas, dels så tydlig och precis som förordningen kräver. När det gäller bestämmelser om myndigheters utlämnande av uppgifter och elektroniska utlämnanden efterfrågar Datainspektionen en identifiering av de rättsliga grunderna, en beskrivning av hur bestämmelserna förhåller sig till artikel 5 i dataskyddsförordningen samt att lagstiftaren tar ställning till om en allmän konsekvensbedömning enligt artikel 35 behöver utföras. Havs- och vattenmyndigheten framhåller att det är viktigt att det tydligt framgår när ett register eller en förteckning får upprättas och av vem, för att det inte ska råda osäkerhet om huruvida det finns en rättslig grund för hållande av registret. Enligt Dataskydd.net är det tveksamt om den författningsreglerade personuppgiftsbehandlingen inom Miljö- och energidepartementets verksamhetsområde kan utföras med stöd av den rättsliga grunden i artikel 6.1 e i dataskyddsförordningen (uppgift av allmänt intresse eller som ett led i myndighetsutövning). Det bör i stället utredas om personuppgifter måste samlas in på grund av rättsliga förpliktelser samt i vilka fall personuppgiftsbehandlingen faktiskt är nödvändig. Det bör också utredas vilken rättslig grund som är tillämplig i fråga om behandling av personuppgifter för ändamål enligt 4 kap. 16 § lagen (2004:1199) om handel med utsläppsrätter, 3 kap. 18 § lagen (2011:1200) om elcertifikat och 18 § lagen (2006:985) om energideklaration för byggnader. Skälen för regeringens bedömning För laglig behandling av personuppgifter krävs en rättslig grund För att behandling av personuppgifter ska vara laglig enligt dataskyddsförordningen måste den ha stöd i minst en av de rättsliga grunder som räknas upp i artikel 6.1. Uppräkningen är uttömmande och i viss mån överlappande, vilket innebär att flera rättsliga grunder kan vara tillämpliga för en och samma behandling. Om ingen av de uppräknade rättsliga grunderna är tillämplig är behandlingen av personuppgifter inte laglig och får därmed inte utföras. Enligt artikel 6.1 är behandlingen av personuppgifter laglig om den registrerade har lämnat sitt samtycke till behandlingen (artikel 6.1 a), eller om behandlingen är nödvändig - för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås (artikel 6.1 b), - för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (artikel 6.1 c), - för att skydda intressen som är av grundläggande betydelse för den registrerade eller annan fysisk person (artikel 6.1 d), - för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 e), eller - för ändamål som rör den personuppgiftsansvariges eller tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn (artikel 6.1 f). Artikel 6.1 i dataskyddsförordningen motsvarar i stora drag artikel 7 i dataskyddsdirektivet. Till skillnad från dataskyddsdirektivet gäller dock enligt artikel 6.1 andra stycket att myndigheter inte längre får behandla personuppgifter med stöd av den sistnämnda rättsliga grunden i artikel 6.1 f när de fullgör sina uppgifter. En annan skillnad är att dataskyddsförordningen ställer krav på att grunden för behandlingen av personuppgifter som avses i artikel 6.1 c (fullgörande av en rättslig förpliktelse) och e (utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning) ska vara fastställd i unionsrätten eller i den nationella rätten (artikel 6.3 första stycket). Detta krav innebär dock inte att själva behandlingen av personuppgifter måste regleras. Det är i stället den rättsliga förpliktelsen, uppgiften av allmänt intresse respektive myndighetsutövningen som ska ha stöd i rättsordningen. I prop. 2017/18:105 bedömer regeringen att den rättsliga förpliktelsen, uppgiften av allmänt intresse och myndighetsutövningen är fastställd i enlighet med svensk rätt om den har stöd i författning eller beslut som antagits i enlighet med regeringsformens bestämmelser. Kravet på att grunden för behandlingen ska vara fastställd är egentligen ingen nyhet eftersom de svenska myndigheternas maktutövning måste ha stöd i rättsordningen, även i den mån den innefattar behandling av personuppgifter (jfr legalitetsprincipen, 1 kap. 1 § regeringsformen). Regeringen föreslår i prop. 2017/18:105 att dataskyddslagen ska innehålla förtydligande bestämmelser om hur de rättsliga grunderna i artikel 6.1 c och e fastställs i svensk rätt (jfr 2 kap. 1 och 2 §§ dataskyddslagen). I artikel 6.3 andra stycket uppställs ett krav på att syftet med behandlingen, i fråga om behandling som grundar sig på en rättslig förpliktelse (artikel 6.1 c), ska framgå av förpliktelsen. Vad gäller behandling som sker i myndighetsutövning och för att utföra uppgifter av allmänt intresse (artikel 6.1 e) anges i stället att syftet med behandlingen ska vara nödvändigt för att utföra uppgiften eller myndighetsutövningen. Av artikel 6.3 andra stycket följer även ett krav på att unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas. Detta återspeglar det krav som Europakonventionen ställer på lagstiftaren i en rättsstat. Av 2 kap. 19 § regeringsformen följer att lagar och andra föreskrifter inte får meddelas i strid med Sveriges åtaganden enligt Europakonventionen. Som regeringen konstaterar i prop. 2017/18:105 bör utgångspunkten vara att även dataskyddsförordningens motsvarande krav är uppfyllt i fråga om de rättsliga förpliktelser, uppgifter av allmänt intresse och den myndighetsutövning som fastställts i enlighet med svensk rätt. Den personuppgiftsansvarige behöver alltså inte göra någon proportionalitetsbedömning avseende regleringen av den rättsliga grunden för behandlingen, utan kan utgå från att svensk rätt uppfyller detta krav. Däremot måste behandlingen vara nödvändig i förhållande till den rättsliga grunden, t.ex. nödvändig för att utföra en uppgift av allmänt intresse, och följa principerna i artikel 5.1 i dataskyddsförordningen. I skäl 41 till dataskyddsförordningen anförs att den rättsliga grunden bör vara tydlig och precis och att dess tillämpning bör vara förutsägbar för dem som omfattas av den. Även detta får, liksom regeringen anför i prop. 2017/18:105, anses vara ett uttryck för legalitetsprincipen. Vilken grad av tydlighet och precision som krävs i fråga om den rättsliga grunden för att en viss behandling av personuppgifter ska anses vara nödvändig får bedömas från fall till fall, utifrån behandlingens och verksamhetens karaktär. Utöver kravet på att personuppgiftsbehandlingen måste vara laglig, dvs. utföras med stöd av en rättslig grund i artikel 6.1, omges varje personuppgiftsbehandling även av andra krav. I artikel 5 i dataskyddsförordningen uppställs principer för behandling av personuppgifter. Principerna anger vilka allmänna krav som gäller vid personuppgiftsbehandlingen. Enligt artikel 5.1 a ska personuppgifter behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. Den allmänna dataskyddsrättsliga principen att personuppgifter bara får samlas in för särskilda, uttryckligt angivna och berättigade ändamål framgår av artikel 5.1 b. Personuppgifter får inte senare behandlas på ett sätt som är oförenligt med de ändamål för vilka de har samlats in. Detta är ett uttryck för den s.k. finalitetsprincipen (jfr 9 § personuppgiftslagen). Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 anses inte vara oförenlig med de ursprungliga ändamålen. Sådan behandling är tillåten under förutsättning att lämpliga skyddsåtgärder vidtas för att säkerställa den registrerades rättigheter och friheter (se bl.a. principerna om lagringsminimering, integritet och konfidentialitet, artiklarna 5.1 e och f i dataskyddsförordningen). Finalitetsprincipen i artikel 5.1 b innebär att personuppgifter, som med stöd av en rättslig grund, har samlats in för ett visst ändamål inte senare får behandlas på ett sätt som är oförenligt med det ursprungliga insamlingsändamålet. Behandling av personuppgifter för andra ändamål än det ursprungliga insamlingsändamålet är därmed tillåten endast om behandlingen är förenlig med insamlingsändamålet. Enligt skäl 50 till dataskyddsförordningen krävs det i sådant fall inte någon annan separat rättslig grund än den med stöd av vilken personuppgifterna samlades in. Dataskyddsförordningen ställer inga krav på att de särskilda ändamålen ska vara fastställda i författning, men det finns inget hinder mot att göra det, så länge bestämmelserna uppfyller ett mål av allmänt intresse och är proportionella mot det legitima mål som eftersträvas (artikel 6.3 andra stycket). Oavsett om ändamålen fastställs i författning eller inte är det alltid den personuppgiftsansvarige som ansvarar för att kunna visa att principerna i artikel 5 efterlevs (artikel 5.2). Enligt artikel 5.1 c, d och e ska personuppgifterna även vara adekvata, relevanta, korrekta och inte förvaras under en längre tid än vad som är nödvändigt. Uppgifterna måste också behandlas på ett sätt som säkerställer lämplig säkerhet (artikel 5.1 f). Av artikel 35 i dataskyddsförordningen följer också en skyldighet för den personuppgiftsansvarige att i vissa fall göra en konsekvensbedömning innan behandling av personuppgifter sker som sannolikt medför hög risk för fysiska personers rättigheter och friheter. Artiklarna 5 och 6 anger tillsammans de principer och grundläggande krav för när en behandling av personuppgifter är tillåten enligt dataskyddsförordningen. Rättslig grund för behandling av personuppgifter inom Miljö- och energidepartementets verksamhetsområde Inom Miljö- och energidepartementets verksamhetsområde finns författningar som innehåller bestämmelser som innebär att personuppgifter får eller ska behandlas på ett sådant sätt att dataskyddsförordningens bestämmelser blir tillämpliga. Det handlar främst om behandling av personuppgifter i samband med att författningsreglerade uppgifter utförs av myndigheter. Behandlingen avser i många fall myndighetsutövning. Ett fåtal författningar reglerar enskilda organs behandling av personuppgifter i samband med att de utför författningsreglerade uppgifter. Exempel på detta är lagen (1976:997) om vattenförbund, som reglerar förutsättningar för bildande av vattenförbund med uppgift att främja ett ändamålsenligt utnyttjande av vattnet i ett vattenområde. Ett annat exempel är lagen (2010:1539) om överlämnande av vissa förvaltningsuppgifter till den ideella föreningen Svenskt Friluftsliv, enligt vilken regeringen delegerar åt en enskild förening att pröva frågor om fördelning av statsbidrag till friluftsorganisationer. Det är knappast möjligt att, som Datainspektionen efterfrågar, peka ut samtliga författningsbestämmelser inom Miljö- och energidepartementets verksamhetsområde som kan utgöra rättslig grund för behandling av personuppgifter. På ett övergripande plan kan det dock konstateras att de uppgifter inom Miljö- och energidepartementets verksamhetsområde som myndigheter och även enskilda har ålagts inte kan utföras utan författningsstöd. I den mån den behandling av personuppgifter som myndigheter och enskilda utför har stöd i en i författning eller ett beslut som antagits i enlighet med regeringsformens bestämmelser kan det därmed förutsättas att den rättsliga förpliktelsen, uppgiften av allmänt intresse och myndighetsutövningen är fastställd i nationell rätt och har stöd i rättsordningen på det sätt som dataskyddsförordningen kräver. När det gäller dataskyddsförordningens krav om att lagstiftningen ska vara proportionell i förhållande till de legitima mål som eftersträvas (artikel 6.3 andra stycket) kan det, som ovan nämnts, konstateras att kravet återspeglar det krav som Europakonventionen ställer på lagstiftaren i en rättsstat. Enligt regeringsformens bestämmelser får lagar och andra föreskrifter inte meddelas i strid med Sveriges åtaganden enligt Europakonventionen. Regeringen bedömer att det är mycket ovanligt att svensk rätt inte uppfyller Europakonventionens krav. Utgångspunkten bör därför vara att dataskyddsförordningens motsvarande krav är uppfyllt i fråga om de rättsliga förpliktelser, uppgifter av allmänt intresse och den myndighetsutövning som har fastställts i enlighet med svensk rätt. De författningsreglerade uppgifter som myndigheter och enskilda utför inom departementets verksamhetsområde, har fastställts i enlighet med den svenska rättsordningen. Det kan därför förutsättas att dessa uppgifter, som myndigheter eller enskilda getts i uppdrag att utföra, även uppfyller regeringsformens legalitetsprincip och därmed också de krav som kommer till uttryck i skäl 41 i dataskyddsförordningen om att den rättsliga grunden eller en lagstiftningsåtgärd bör vara tydlig och precis och dess tillämpning bör vara förutsebar för personer som omfattas av den. Regeringen bedömer därmed att den aktuella lagstiftningen inom departementets verksamhetsområde generellt är proportionerlig i förhållande till de legitima mål som eftersträvas, att den är tydlig och precis och att dess tillämpning är förutsebar på det sätt som dataskyddsförordningen kräver. Regeringen bedömer, till skillnad från Dataskydd.net, att de författningsreglerade uppgifter, inom Miljö- och energidepartementets verksamhetsområde, som myndigheters och enskildas behandling av personuppgifter avser under alla förhållanden får anses utgöra uppgifter av allmänt intresse (artikel 6.1 e). En uppgift av allmänt intresse får rent språkligt antas avse något som är av intresse för eller berör många människor på ett bredare plan och begreppet bör ges en vid betydelse, vilket regeringen anför i prop. 2017/18:105. De uppgifter som riksdagen eller regeringen gett i uppdrag åt statliga myndigheter att utföra får anses vara av allmänt intresse. Om uppgifterna inte vore av allmänt intresse skulle myndigheterna inte ha ålagts att utföra dem. På motsvarande sätt bör de obligatoriska uppgifter som ålagts kommuner att utföra anses vara av allmänt intresse. Även författningsreglerade uppgifter som enskilda, privata aktörer, utför på uppdrag av regeringen eller riksdag kan utgöra uppgifter av allmänt intresse. Den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e bör därmed vanligen tillämpas när myndigheter och enskilda utför författningsreglerade uppdrag inom Miljö- och energidepartementets verksamhetsområde. Eftersom de rättsliga grunderna är överlappande utesluter detta inte att även andra rättsliga grunder samtidigt kan vara tillämpliga, t.ex. fullgörande av en rättslig förpliktelse (artikel 6.1 c) eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 e). Detta kan t.ex. bli aktuellt när en myndighet eller en enskild aktör enligt lag är skyldig att utföra en uppgift av allmänt intresse som kräver behandling av personuppgifter och samtidigt är ålagd att utföra en rättslig förpliktelse som kräver personuppgiftsbehandling. Förvaltningsmyndigheter kan, vid sidan av sina uppgifter och uppdrag, sägas ha rättsliga förpliktelser. En myndighets uppdrag enligt en förordning med myndighetsinstruktion eller ett regleringsbrev kan i vissa fall utgöra en i enlighet med nationell rätt fastställd rättslig förpliktelse i dataskyddsförordningens mening, t.ex. om myndigheten ges i uppdrag att föra ett visst register. Det är möjligt att även andra rättsliga grunder kan vara tillämpliga, dock inte artikel 6.1 f såvitt avser myndigheters behandling. Denna eventuella överlappning bedöms dock få en begränsad praktisk betydelse. När myndigheter och enskilda behandlar personuppgifter i samband med att de utför författningsreglerade uppgifter inom Miljö- och energidepartementets verksamhetsområde bör det normalt kunna ske med stöd av den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e. Inom Miljö- och energidepartementets verksamhetsområde finns det lagstiftning som innehåller bestämmelser som uttryckligen anger för vilka ändamål personuppgifter får behandlas. Vidare finns det bestämmelser som anger vilka författningsreglerade uppgifter som en myndighet eller ett enskilt organ har att utföra, men som inte uttryckligen specificerar för vilka ändamål uppgifter får behandlas. Den sistnämnda kategorin av bestämmelser finns t.ex. i ellagen (1997:857) och i lagen om vattenförbund. Uttryckliga ändamålsbestämmelser, som närmare specificerar för vilka ändamål behandling av personuppgifter är tillåten, finns i lagen om energideklaration för byggnader. Av 16 § lagen om energideklaration för byggnader följer att Boverket ska föra ett register över de energideklarationer som har lämnats till verket. I 18 § samma lag framgår ändamålet med registret. Enligt 18 § får uppgifterna i energideklarationsregistret behandlas för 1) framtagande av statistik, 2) forskning, 3) uppföljning och utvärdering av energianvändningen och inomhusmiljön i bebyggelsen, 4) tillsyn och 5) annan allmän och enskild verksamhet där information om byggnader och deras energiprestanda och inomhusmiljö utgör underlag för bedömningar och beslut. Regeringen får meddela föreskrifter om vilka uppgifter som får registreras i registret, urval och bearbetningar av personuppgifter, utlämnande och direktåtkomst till registret (se vidare 19 § samma lag och förordningen (2006:1592) om energideklaration för byggnader). En annan lag som uttryckligen reglerar för vilka ändamål uppgifter får behandlas är lagen om elcertifikat. Enligt 3 kap. 1 § lagen om elcertifikat ska kontoföringsmyndigheten föra ett elektroniskt register över elcertifikat. Registret ska bestå av certifikatkonton som kontoföringsmyndigheten ska lägga upp för elcertifikatberättigade innehavare av anläggningar samt för kvotpliktiga och deklarationsskyldiga. I fråga om personuppgifter ska registret ha till ändamål att tillhandahålla uppgifter för 1) verksamhet för vilken stat eller kommun ansvarar enligt lag eller annan författning och som a) avser elcertifikat som registreras i elcertifikatsregistret, b) för att kunna fullgöras förutsätter tillgång till information om elcertifikat, eller c) avser fullgörande av underrättelseskyldighet, 2) omsättning av elcertifikat, och 3) affärsverksamhet, kreditgivning eller annan allmän eller enskild verksamhet där information om elcertifikat utgör underlag för prövningar eller beslut (3 kap. 18 § samma lag). En liknande reglering finns också i 4 kap. 16 § lagen om handel med utsläppsrätter, som närmare reglerar för vilka ändamål personuppgifter som kontoföringsmyndigheten administrerar i unionsregistret kan behandlas. Ingen av de sektorsspecifika lagarna innehåller någon reglering om finalitetsprincipen. Av artikel 6.3 dataskyddsförordningen följer att medlemsstater får införa särskilda ändamålsbestämmelser när personuppgiftsbehandlingen sker med stöd av någon av de rättsliga grunderna, rättslig förpliktelse, uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 c eller e) i förordningen. De uttryckliga ändamålsbestämmelserna i lagen om energideklaration för byggnader, lagen om elcertifikat och lagen om handel med utsläppsrätter är enligt regeringens bedömning sådana bestämmelser som anpassar tillämpningen av dataskyddsförordningen och säkerställer kraven på laglig och rättvis behandling enligt artiklarna 6.2 och 6.3 i dataskyddsförordningen. Ändamålsbestämmelserna utgör därmed en tillåten specificering i nationell rätt och kan behållas. Artikel 5.1 b i dataskyddsförordningen är direkt tillämplig, vilket innebär att finalitetsprincipen gäller vid behandling av personuppgifter. Enligt regeringens bedömning finns det därmed inte heller något behov av att i lagen om energideklaration för byggnader, lagen om elcertifikat eller lagen om handel med utsläppsrätter införa nya bestämmelser som reglerar finalitetsprincipen. Ändamålsbestämmelserna ger tillsammans med den enligt dataskyddsförordningen direkt tillämpliga finalitetsprincipen myndigheterna ändamålsenliga möjligheter att behandla personuppgifter och minskar samtidigt risken för obefogade intrång i den personliga integriteten. Ändamålsbestämmelserna kan därmed, till skillnad från vad Dataskydd.net är inne på, behållas oförändrade. När det gäller bestämmelser om myndigheters utlämnanden av uppgifter, kan det angående Datainspektionens efterfrågan av de rättsliga grunderna och hur bestämmelserna förhåller sig till principerna i artikel 5, konstateras att dataskyddsförordningen saknar särskilda bestämmelser om elektroniskt utlämnande och om uppgiftslämnande mellan myndigheter. I författningar som reglerar registerföring finns ibland bestämmelser som syftar till att reglera formen för ett utlämnande av uppgifter. Sådana bestämmelser finns exempelvis i lagen om energideklaration för byggnader, som innehåller bestämmelser om elektronisk överföring av energideklarationer till Boverket och om krav på behörighet för att utföra sådan överföring (se 12 och 15 §§). Enligt 19 § den lagen får regeringen meddela föreskrifter om bl.a. urval och bearbetningar av personuppgifter, utlämnande på medium för automatiserad behandling och om direktåtkomst till registret. En författningsreglerad skyldighet att lämna ut uppgifter, t.ex. elektroniskt via e-post, kan i vissa fall medföra en sådan behandling av personuppgifter som innebär att dataskyddsförordningen blir tillämplig. I sådana fall ska de grundläggande kraven för laglig behandling i artikel 6 och principerna i artikel 5 i dataskyddsförordningen följas. Det finns däremot inte anledning att, som Datainspektionen efterfrågar, särskilt redogöra för varje enskild bestämmelse som föreskriver uppgiftsskyldighet för myndigheter eller enskilda eller som tillåter ett elektroniskt utlämnande av personuppgifter eller någon närmare redogörelse för hur principerna i artikel 5 följs vid tillämpningen av bestämmelserna. Det är inte heller behövligt med en allmän konsekvensbedömning enligt artikel 35 för de anpassningar av lagstiftning som görs i detta lagstiftningsärende. Den personuppgiftsansvarige är dock skyldig att i vissa fall göra en konsekvensbedömning innan behandling sker av personuppgifter som sannolikt medför hög risk för fysiska personers rättigheter och friheter. Vid anpassningen av de nu aktuella lagarna ser regeringen, till skillnad från Datainspektionen, inte heller något behov av att definiera vad som avses med direktåtkomst (jfr Högsta förvaltningsdomstolens dom, HFD 2015 ref. 61). Sammanfattningsvis medför dataskyddsförordningens krav om att den rättsliga grunden för behandling av personuppgifter ska vara fastställd i unionsrätten eller nationell rätt inga lagändringar inom Miljö- och energidepartementets verksamhetsområde. Regeringen bedömer att de aktuella lagarna genom de ändringar som föreslås i denna proposition är förenliga med dataskyddsförordningen. Värt att betona är dock att det är den personuppgiftsansvarige som har ansvaret att för varje behandling av personuppgifter försäkra sig om att den är laglig och nödvändig, i fråga om de rättsliga grunderna i artikel 6.1 b-f, och följer dataskyddsförordningens principer i artikel 5. 6 Bestämmelser om behandling av personuppgifter 6.1 Tillämpnings- och upplysningsbestämmelser Regeringens förslag: Tillämpningsbestämmelser som anger att bestämmelser i personuppgiftslagen ska gälla tas bort. En upplysningsbestämmelse i lagen om geografisk miljöinformation ändras genom att hänvisningen till personuppgiftslagen ersätts med en upplysning om att bestämmelser om behandling av personuppgifter finns i EU:s dataskyddsförordning, dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen. Promemorians förslag överensstämmer i huvudsak med regeringens förslag. I fråga om upplysningsbestämmelsen i lagen om geografisk miljöinformation föreslår promemorian ingen hänvisning till föreskrifter som har meddelats i anslutning till dataskyddslagen. Remissinstanserna: Flertalet av remissinstanserna har inga särskilda synpunkter på förslagen. I fråga om lagen om geografisk miljöinformation, anser Naturvårdsverket att den föreslagna regleringen kan skapa viss otydlighet eftersom dataskyddslagen gäller i den mån inte annat följer av sektorsspecifika författningar. Havs- och vattenmyndigheten framhåller däremot att det är positivt att upplysningsbestämmelsen i lagen om geografisk miljöinformation finns kvar och att det kan vara positivt att införa fler sådana upplysningsbestämmelser även i andra författningar. Skälen för regeringens förslag Inom Miljö- och energidepartementets verksamhetsområde finns tillämpningsbestämmelser som innebär att personuppgiftslagens bestämmelser ska gälla, generellt eller i vissa frågor. Sådana bestämmelser finns i lagen om handel med utsläppsrätter, lagen om geografisk miljöinformation och lagen om elcertifikat. Lagen om geografisk miljöinformation innehåller, förutom regleringen i 15 § andra stycket, även en upplysning som anger att bestämmelser om behandling av personuppgifter finns i personuppgiftslagen (se 15 § första stycket 1). Upplysningsbestämmelsen innehåller en uppräkning av i vilka lagar det finns bestämmelser som myndigheter, kommuner och enskilda organ, som omfattas av lagen om geografisk miljöinformation, kan komma att behöva tillämpa (se vidare prop. 2009/10:224 s. 103). I denna uppräkning ingår en upplysning om att bestämmelser om behandling av personuppgifter i fastighetsregistret finns i lagen (2000:224) om fastighetsregister (se 15 § första stycket 2). Dataskyddsförordningen är direkt tillämplig. Det innebär att från och med den 25 maj 2018 kommer den allmänna regleringen om behandling av personuppgifter att finnas i förordningens direkt tillämpliga bestämmelser. Även om dataskyddsförordningen är direkt tillämplig förutsätter den och ger i vissa avseenden utrymme för medlemsstaterna att införa kompletterande bestämmelser i form av preciseringar och begränsningar (se skäl 8 till dataskyddsförordningen). Sådana nationella bestämmelser kan bl.a. avse begränsningar av en registrerads rättigheter enligt förordningen eller preciseringar av för vilka ändamål personuppgifter får behandlas. Personuppgiftslagen kommer att upphävas när dataskyddsförordningen börjar tillämpas (se övergångsbestämmelserna i dataskyddslagen, prop. 2017/18:105). Kompletterande bestämmelser av generell karaktär kommer även att finnas i den nya lagen med kompletterande bestämmelser till dataskyddsförordningen som regeringen föreslår i prop. 2017/18:105. Dataskyddslagen föreslås vara subsidiär i förhållande till avvikande bestämmelser om behandling av personuppgifter i annan lag eller förordning (se 1 kap. 6 § dataskyddslagen, prop. 2017/18:105). Om det finns avvikande bestämmelser i en annan lag eller förordning ska den avvikande bestämmelsen tillämpas, om bestämmelsen är förenlig med dataskyddsförordningen och avser en fråga som enligt förordningen får särregleras eller specificeras genom nationell rätt (se även avsnitt 4.2.2). Detta innebär att avvikande bestämmelser om personuppgiftsbehandling i sektorsspecifik lagstiftning inom Miljö- och energidepartementets verksamhetsområde, eller annan lagstiftning som dessa bestämmelser hänvisar till (se särskilt 15 § lagen om geografisk miljöinformation) kommer att gälla, om bestämmelserna är förenliga med dataskyddsförordningen och får regleras särskilt i nationell rätt. Tillämpningsbestämmelserna ska tas bort Tillämpningsbestämmelser, som anger att personuppgiftslagens bestämmelser ska gälla, måste tas bort i och med att den lagen upphävs. Eftersom dataskyddsförordningen är direkt tillämplig och kompletterande bestämmelser i dataskyddslagen gäller, i den mån inte annat följer av sektorsspecifika författningar, bedömer regeringen att det inte finns något särskilt behov av att införa nya hänvisningar i befintliga bestämmelser eller nya bestämmelser om dataskyddslagens förhållande till dataskyddsförordningen och de sektorsspecifika lagarna inom Miljö- och energidepartementets verksamhetsområde. De generella tillämpningsbestämmelserna i lagen om handel med utsläppsrätter, lagen om geografisk miljöinformation och lagen om elcertifikat kan därmed upphävas utan att någon hänvisning till dataskyddsförordningen eller dataskyddslagen behöver införas. När det gäller bestämmelser om rättelse behöver dock i vissa fall kompletterande upplysningar införas. I bestämmelser om skadestånd behöver lydelsen av vissa rubrikers ändras, se övervägandena i avsnitt 7 och 8. Upplysningsbestämmelsen kan vara kvar Det saknas skäl att ta bort upplysningsbestämmelsen i lagen om geografisk miljöinformation. Bestämmelsen kan enligt regeringens bedömning vara kvar, men bör ändras så att 15 § första stycket 1 i stället upplyser om att bestämmelser om behandling av personuppgifter finns i dataskyddsförordningen, dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen. Den nuvarande upplysningen, i 15 § första stycket 2, om att bestämmelser om behandling av personuppgifter i fastighetsregistret finns i lagen om fastighetsregister kan vara kvar oförändrad. Eftersom bestämmelsen i 15 § endast lämnar upplysning om i vilken EU-förordning och i vilka författningar som det finns bestämmelser om behandling av personuppgifter finns det enligt regerings mening inte, såsom Naturvårdsverket anser, något behov av att välja en annan lagteknisk utformning eller skäl att i lagen om geografisk miljöinformation närmare förtydliga dataskyddsförordningens och de respektive lagarnas förhållanden till varandra. Dataskyddslagens förhållande till dataskyddsförordningen och annan lag eller förordning behandlas i prop. 2017/18:105. 6.2 Bestämmelser om personuppgiftsansvar Regeringens förslag: Hänvisningar till personuppgiftslagen i bestämmelser som pekar ut en personuppgiftsansvarig tas bort. Regeringens bedömning: Bestämmelser som pekar ut en registerförande myndighet behöver inte kompletteras med en reglering om vem som är personuppgiftsansvarig. Promemorians förslag och bedömning överensstämmer med regeringens. Remissinstanser: Flertalet av remissinstanserna har inga särskilda synpunkter på förslaget eller bedömningen. Skälen för regeringens förslag: Vad som ingår i personuppgiftsansvaret framgår av artikel 24 i dataskyddsförordningen. I definitionen i artikel 4.7 i dataskyddsförordningen anges att en personuppgiftsansvarig är en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur den personuppgiftsansvarige ska utses föreskrivas i unionsrätten eller medlemsstaternas nationella rätt. En liknande formulering finns i dataskyddsdirektivet (artikel 2 d). Inom Miljö- och energidepartementets verksamhetsområde finns det författningar som pekar ut en myndighet att föra ett närmare angivet register eller en förteckning. En del av dessa anger även att den utpekade myndigheten är personuppgiftsansvarig för behandlingen av personuppgifter i det aktuella registret. Andra saknar uppgift om personuppgiftsansvar, t.ex. lagen om vattenförbund och lagen (1990:613) om miljöavgift på utsläpp av kväveoxider vid energiproduktion författningar. Vissa av de lagar som pekar ut en personuppgiftsansvarig myndighet innehåller också en hänvisning till personuppgiftslagen. Det gäller lagen om handel med utsläppsrätter och lagen om elcertifikat. Dataskyddsförordningen förutsätter att det finns en personuppgiftsansvarig för den personuppgiftsbehandling som utförs, men förordningen kräver inte att det ska finnas bestämmelser om vem som är personuppgiftsansvarig. Begreppet personuppgiftsansvarig har inte ändrats genom dataskyddsförordningen. Regeringen bedömer därför att det inte behövs kompletterande bestämmelser om vem som är personuppgiftsansvarig i de sektorsspecifika lagar som pekar ut en registerförande myndighet, men där bestämmelser om personuppgiftsansvar saknas. I lagen om handel med utsläppsrätter och lagen om elcertifikat, där det anges vilken myndighet som är personuppgiftsansvarig enligt personuppgiftslagen, måste dock hänvisningarna till personuppgiftslagen tas bort. 6.3 Bestämmelser om behandling av personnummer Regeringens bedömning: Bestämmelserna om behandling av personnummer i lagar inom Miljö- och energidepartementets verksamhetsområde bör behållas. Promemorians bedömning överensstämmer i huvudsak med regeringens bedömning. Remissinstanserna har inga särskilda synpunkter på bedömningen. Skälen för regeringens bedömning: Enligt 22 § personuppgiftslagen får personnummer och samordningsnummer behandlas utan samtycke bara när det är klart motiverat med hänsyn till a) ändamålet med behandlingen, b) vikten av en säker identifiering, eller c) något annat beaktansvärt skäl. Regeringen eller den myndighet som regeringen bestämmer får enligt 50 § c personuppgiftslagen meddela närmare föreskrifter om i vilka fall användningen av personnummer är tillåten. Inom Miljö- och energidepartementets verksamhetsområde finns det författningar som reglerar vilka uppgifter myndigheter och i vissa fall även enskilda har att utföra. I vissa fall anges det även uttryckligen i författningarna vilken behandling av personuppgifter som är tillåten. Bestämmelser om behandling av personuppgifter finns exempelvis i lagen om miljöavgift på utsläpp av kväveoxider vid energiproduktion. Enligt 18 § den lagen ska Naturvårdsverket föra ett register över vad som förekommer i ett avgiftsärende. Från det register som förs får vissa angivna uppgifter lämnas ut till en enskild, om det inte av särskild anledning kan antas att den enskilde eller någon närstående lider men om uppgiften röjs. Enligt uppräkningen i tredje stycket får bl.a. uppgifter om namn och personnummer lämnas ut. I artikel 87 i dataskyddsförordningen finns det bestämmelser om identifikationsnummer. Enligt artikeln får medlemsstaterna närmare bestämma på vilka särskilda villkor ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering får behandlas. Ett nationellt identifikationsnummer eller ett annat vedertaget sätt för identifiering ska i sådana fall endast användas med iakttagande av lämpliga skyddsåtgärder för de registrerades rättigheter och friheter enligt denna förordning. Regeringen bedömer i prop. 2017/18:105 att en särskild reglering av personnummer och samordningsnummer i den nya dataskyddslagen är motiverad och konstaterar att den intresseavvägning som i dag sker enligt personuppgiftslagen är flexibel och väl anpassad för att förhindra omotiverad behandling av personnummer och samordningsnummer. Mot denna bakgrund föreslår regeringen i det lagstiftningsärendet att det ska införas en bestämmelse i dataskyddslagen som motsvarar 22 § personuppgiftslagen (3 kap. 10 § dataskyddslagen). Vidare föreslås att regeringen ska få meddela föreskrifter om i vilka fall behandling av personnummer och samordningsnummer är tillåten (3 kap. 11 § dataskyddslagen). Bestämmelser om behandling av personnummer i lagar inom Miljö- och energidepartementets verksamhetsområde bedöms vara förenliga med 22 § personuppgiftslagen och bedöms därmed även vara förenlig med dataskyddsförordningen och den föreslagna bestämmelsen i dataskyddslagen. Bestämmelserna kan därmed behållas. 7 Den registrerades rättigheter Regeringens förslag: En bestämmelse i lagen om energideklaration för byggnader som hänvisar till bestämmelser om rättelse i personuppgiftslagen tas bort. En bestämmelse i lagen om elcertifikat som särreglerar rätten till rättelse kompletteras med en upplysning om att rättelsebestämmelsen i den lagen gäller i stället för bestämmelsen om rättelse i EU:s dataskyddsförordning. En bestämmelse i lagen om handel med utsläppsrätter, som reglerar rätten till rättelse utanför dataskyddsförordningens tillämpningsområde, kompletteras med en upplysning om att vid behandling av personuppgifter enligt den lagen gäller i stället rätten till rättelse enligt dataskyddsförordningen. Promemorians förslag överensstämmer delvis med regeringens förslag. I fråga om rätten att göra invändningar överensstämmer promemorians förslag inte med regeringens bedömning. I promemorian föreslås att en förtydligande hänvisning till dataskyddsförordningens bestämmelser om rätten att göra invändningar ska införas i 18 § 5 lagen om energideklaration för byggnader. Regeringen lämnar inget förslag till ändring av den bestämmelsen. Vidare finns det några lagtekniska skillnader mellan promemorians och regeringens förslag. Remissinstanser: Flertalet av remissinstanserna har inga särskilda synpunkter på förslagen. Statens energimyndighet tillstyrker förslagen avseende lagen om handel med utsläppsrätter och lagen om elcertifikat. Datainspektionen tillstyrker däremot inte den förslagna ändringen i fråga om rätten till rättelse i lagen om elcertifikat. Datainspektionen efterfrågar en analys av huruvida rättelsebestämmelsen i lagen om elcertifikat är förenlig med dataskyddsförordningen, och särskilt det tidsutrymme som enligt artikel 16 finns att utreda om rättelse ska ske och en närmare beskrivning av bedömningen som visar att kraven i artikel 23.2 i förordningen är uppfyllda. I fråga om rätten att göra invändningar avstyrker Datainspektionen promemorians förslag och ifrågasätter om det är fråga om enbart ett återgivande av dataskyddsförordningens bestämmelser samt framhåller att den föreslagna regleringen lämnar utrymme för olika tolkningar. Dataskydd.net framhåller bl.a. att förslagen innebär försämringar av privatpersoners rättigheter till dataskydd i förhållande till nuvarande rätt och att privatpersoners rättigheter försvagas samt att flera registreringsåtgärder undantas från räckvidden av dataskyddsbestämmelserna. När det gäller förslaget att 20 § lagen om energideklaration för byggnader ska tas bort anser Dataskydd.net att borttagandet av bestämmelsen medför att rätten till rättelse inte går att tillämpa på 18 § 1-4 samma lag. Skälen för regeringens förslag I dataskyddsförordningens tredje kapitel finns bestämmelser om den registrerades rättigheter. Bestämmelserna rör bl.a. rätten till information, rätten till rättelse, rätten att göra invändningar och rätten till begränsning av behandling. Bestämmelserna om den registrerades rättigheter, med motsvarande skyldigheter för den personuppgiftsansvarige, är direkt tillämpliga. Regeringen bedömer därmed att det inte behövs några nya bestämmelser som slår fast att dessa rättigheter gäller. Av artikel 16 i dataskyddsförordningen följer att den enskilde utan onödigt dröjsmål har rätt till rättelse av felaktiga personuppgifter. Med beaktande av ändamålet med behandlingen, ska den registrerade vidare ha rätt att komplettera ofullständiga personuppgifter, bl.a. genom att tillhandahålla ett kompletterande utlåtande. I skäl 59 till dataskyddsförordningen anges bl.a. att personuppgiftsansvariga utan onödigt dröjsmål och senast inom en månad bör vara skyldiga att besvara registrerades önskemål och lämna en motivering om de inte avser att uppfylla sådana önskemål. Enligt artikel 5.1 d gäller därutöver som princip för behandling av personuppgifter att de ska vara korrekta och om nödvändigt uppdaterade och att alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål. Av artikel 23 i dataskyddsförordningen följer att rättigheterna under vissa förutsättningar kan begränsas. Enligt artikel 23.1 får begränsning av rättigheter under vissa förutsättningar ske för att säkerställa skydd för den registrerades eller andras fri- och rättigheter. I den mån sådana begränsningar kan medföra ytterligare skyldigheter för enskilda eller kommuner eller innebära ingrepp i enskildas personliga förhållanden ska de enligt 8 kap. 2 § första stycket 2 och 3 regeringsformen föreskrivas genom lag. Det krävs därmed i vissa fall ett bemyndigande i lag för att sektorsspecifik särreglering i förordningsform även i fortsättningen ska kunna innehålla föreskrifter om undantag. I prop. 2017/18:105 föreslår regeringen därför att det ska införas ett bemyndigande för regeringen att meddela ytterligare föreskrifter om begränsningar enligt artiklarna 23, 89.2 och 89.3 i dataskyddsförordningen. Vidare föreslår regeringen att artiklarna 13-15 om information och rätt att få tillgång till personuppgifter inte ska gälla sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning. Regeringen föreslår också att artikel 15 under vissa förutsättningar inte ska gälla personuppgifter i löpande text som inte fått sin slutliga utformning när begäran gjordes eller som utgör minnesanteckning eller liknande (se 5 kap. dataskyddslagen). I artikel 23.2 anges att de lagstiftningsåtgärder som avses i punkten 1 ska innehålla specifika bestämmelser åtminstone, när så är relevant, avseende a) ändamålen med behandlingen eller kategorierna av behandling, b) kategorierna av personuppgifter, c) omfattningen av de införda begränsningarna, d) skyddsåtgärder för att förhindra missbruk eller olaglig tillgång eller överföring, e) specificeringen av den personuppgiftsansvarige eller kategorierna av personuppgiftsansvariga, f) lagringstiden samt tillämpliga skyddsåtgärder med beaktande av behandlingens art, omfattning och ändamål eller kategorierna av behandling, g) riskerna för de registrerades rättigheter och friheter, och h) de registrerades rätt att bli informerade om begränsningen, såvida detta inte kan inverka menligt på begränsningen. Rätten till rättelse av personuppgifter i energideklarationsregistret följer av dataskyddsförordningens direkt tillämpliga bestämmelse Dataskyddsdirektivet och personuppgiftslagen innehåller en rätt för en enskild att få personuppgifter rättade, utplånade eller blockerade. Personuppgiftslagens bestämmelse om rättelse avser endast behandling som har skett enligt personuppgiftslagen eller föreskrifter som har meddelats i anslutning till lagen (jfr 28 § personuppgiftslagen). För att bestämmelsen i 28 § personuppgiftslagen ska bli tillämplig på en behandling enligt en annan författning krävs det en hänvisning i den författningen till personuppgiftslagens bestämmelser. En sådan hänvisning finns i lagen om energideklaration för byggnader. När dataskyddsförordningen ska börja tillämpas kommer den registrerades rätt till rättelse av personuppgifter att framgå av förordningens direkt tillämpliga bestämmelse i artikel 16. Det behövs därmed inte någon hänvisning till denna bestämmelse i författningar inom Miljö- och energidepartementets verksamhetsområde för att den ska bli tillämplig. Bestämmelsen i 20 § lagen om energideklaration för byggnader, som hänvisar till personuppgiftslagens bestämmelse om rättelse, måste tas bort. Ett borttagande av bestämmelsen i 20 § innebär inte, såsom Dataskydd.net anför, att rätten till rättelse av personuppgifter i energideklarationsregistret begränsas i förhållande till dataskyddsförordningens bestämmelser eller att rätten till rättelse av personuppgifter inte omfattar samtliga delar av registret. Rätten till rättelse av personuppgifter i energideklarationsregistret kommer att följa av dataskyddsförordningens direkt tillämpliga bestämmelser. Rätten till rättelse enligt 3 kap. 15 § lagen om elcertifikat ska gälla i stället för dataskyddsförordningens bestämmelse om rättelse Av 3 kap. 15 § lagen om elcertifikat följer att en uppgift på ett certifikatkonto ska rättas om den innehåller någon uppenbar oriktighet till följd av skrivfel, räknefel eller liknande förbiseende eller till följd av något tekniskt fel. Den vars rätt berörs ska ges möjlighet att yttra sig, om inte rättelsen är till förmån för denne eller yttrandet annars är uppenbart obehövligt. Bestämmelsen har vissa likheter med den lagstadgade möjligheten för en myndighet att rätta ett av myndigheten meddelat beslut som innehåller uppenbara skrivfel, räknefel eller något annat liknande förbiseende (jfr 26 § förvaltningslagen (1986:223) och 36 § nya förvaltningslagen (2017:900)). Bestämmelsen är en särreglering i förhållande till 28 § personuppgiftslagen och dataskyddsdirektivet. Vid införandet av bestämmelsen gjorde regeringen bedömningen att de begränsningar som rättelsebestämmelsen innefattar avser bl.a. att skydda enskilds äganderätt och att begränsningarna därmed omfattas av undantaget i dataskyddsdirektivet (se prop. 2002/03:40 s. 91 och 169-170). Enligt artikel 13.1 g i direktivet får omfattningen av rätten till rättelse begränsas i nationell lagstiftning i de fall då en sådan begränsning är en nödvändig åtgärd med hänsyn till skyddet för den registrerades eller andras fri- och rättigheter. Artikel 23.1 i dataskyddsförordningen motsvarar till stor del regleringen i dataskyddsdirektivets artikel 13.1 g. Enligt artikel 23.1 i i dataskyddsförordningen är det möjligt att begränsa den registrerades rättigheter om begränsningen sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en proportionerlig åtgärd i ett demokratiskt samhälle i syfte att säkerställa skydd av den registrerade eller andras rättigheter. Elcertifikatssystemet är ett marknadsbaserat stödsystem, som syftar till att främja en ökad elproduktion från förnybara energikällor. Systemet innebär att producenter av förnybar el under vissa förutsättningar blir tilldelade elcertifikat av staten och att elleverantörer och vissa elanvändare har en skyldighet att inneha elcertifikat i förhållande till sin försäljning respektive användning av el (kvotplikt). På det sättet skapas en marknad för elcertifikat som innebär att förnybar el kan produceras kostnadseffektivt (se prop. 2010/11:155 s. 29). Uppgifterna i elcertifikatregistret består av certifikatkonton som kontoföringsmyndigheten lägger upp för elcertifikatberättigade innehavare av anläggningar, för kvotpliktiga och deklarationsskyldiga samt efter skriftlig ansökan (3 kap. 1 §). Kontoföringsmyndigheten tilldelar elcertifikat genom att certifikatet registreras på det certifikatkonto som tillhör den elcertifikatberättigade innehavaren av en anläggning (3 kap. 2 §). Enligt 3 kap. 10 § får en innehavare av ett certifikatkonto, med de begränsningar som framgår av registreringar på kontot, förfoga över de elcertifikat som finns registrerade på kontot. Bestämmelsen i 3 kap. 10 § ger därmed uttryck för presumtionen att en innehavare anses ha rätt att förfoga över de elcertifikat som finns registrerade på dennes konto, om annat inte framgår av informationen på kontot. En registrering om kontohavarens konkurs, eller pantsättning, utmätning, kvarstad eller betalningssäkring avseende ett elcertifikat kan vara sådan information, som visar att kontohavaren inte har rätt att förfoga över certifikaten på kontot. En registrerad uppgift på ett certifikatkonto är alltså sådan information som visar vem som inom ramen för elcertifikatsystemet är behörig respektive inte behörig att förfoga över certifikat på kontot. Registreringen av uppgifter på ett certifikatkonto medför därmed viktiga rättsverkningar för den registrerade innehavaren och utgör även grunden för ett väl fungerande elcertifikatsystem. Mot denna bakgrund gör regeringen, till skillnad från Datainspektionen, bedömningen att en begränsning av rätten till rättelse kan ske i syfte att bl.a. skydda enskilds äganderätt (se även bedömningen i det tidigare lagstiftningsärendet, prop. 2002/03:40 s. 91 och 169-170). Det är enligt regeringens mening fråga om en begränsning som syftar till att säkerställa skydd för den registrerades eller andras fri- och rättigheter på sätt som föreskrivs i artikel 23.1 i i dataskyddsförordningen. Begränsningen är nödvändig och proportionell för att säkerställa registrerade innehavares behörighet att förfoga över certifikat på kontot och för att kontoföringsmyndigheten effektivt ska kunna utföra de uppgifter som myndigheten tilldelats av riksdag och regering. Innan rättelse görs enligt lagen om elcertifikat ska kommunicering ske med den vars rätt berörs, om inte rättelsen är till förmån för denne eller yttrandet annars är uppenbart obehövligt. Den personuppgiftsansvarige har därmed en utredningsskyldighet innebärande att denne, i de fall som rättelsen inte är till förmån för den berörde, ska kommunicera med den vars rätt berörs om det inte är uppenbart obehövlig. Även detta bedöms förenligt med det tidsutrymme som enligt artikel 16 i dataskyddsförordningen finns att utreda om rättelse ska ske. När det gäller dataskyddsförordningens krav på begränsande lagstiftning i artikel 23.2 kan det konstateras att omfattningen av den aktuella begränsningen framgår av ordalydelsen i 3 kap. 15 § lagen om elcertifikat. Vidare innehåller lagen om elcertifikat bl.a. specifika ändamålsbestämmelser och bestämmelser om personuppgiftsansvar som enligt regeringens uppfattning uppfyller de krav som enligt artikel 23.2 dataskyddsförordningen ställs på begränsande lagstiftning. Sammantaget anser regeringen att det är förenligt med dataskyddsförordningen att behålla den särskilda rättelsebestämmelsen i lagen om elcertifikat. För att tydliggöra att det vid rättelse av personuppgifter är bestämmelsen i 3 kap. 15 § lagen om elcertifikat som ska tillämpas i stället för dataskyddsförordningens bestämmelse om rättelse ska en upplysning om det införas i den lagen. Bestämmelsen i 4 kap. 19 § första stycket lagen om handel med utsläppsrätter innebär inte någon begränsning av rätten till rättelse enligt dataskyddsförordningen I 4 kap. 19 § lagen om handel med utsläppsrätter finns en bestämmelse om rättelse som är delvis likalydande med rättelsebestämmelsen i lagen om elcertifikat. Av bestämmelsens första stycke följer att en uppgift på ett konto i unionsregistret ska rättas, om den innehåller någon uppenbar oriktighet till följd av skrivfel, räknefel eller liknande förbiseende eller till följd av något tekniskt fel. Den vars rätt berörs ska ges möjlighet att yttra sig, om inte rättelsen är till förmån för denne eller yttrandet annars är uppenbart obehövligt. I bestämmelsens andra stycke anges att bestämmelser om återkallande av transaktioner i unionsregistret finns i artikel 70 i registerförordningen. Slutligen uttrycks det, i bestämmelsens tredje stycke, att vid behandling av personuppgifter enligt denna lag gäller i stället för första stycket bestämmelserna om rättelse i 28 § personuppgiftslagen. I förarbetena till lagen om handel med utsläppsrätter anges bl.a. att med den utformning som den kommande registerförordningen fått uppställs inga hinder för tillämpning av personuppgiftslagens bestämmelser och det saknas anledning att komplettera lagen med särskilda bestämmelser avseende utsläppsrättsregistret (se prop. 2004/05:18 s. 61). Av artikel 2.1 i dataskyddsförordningen följer att förordningen ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår eller kommer att ingå i ett register. Eftersom den särskilda regleringen om rättelse av uppenbara oriktigheter, i 4 kap. 19 § första stycket lagen om handel med utsläppsrätter, inte gäller vid behandling av personuppgifter bedöms regleringen inte stå i strid med dataskyddsförordningen eller utgöra någon begränsning av rätten till rättelse enligt förordningen. Vid rättelse av personuppgifter på ett konto i unionsregistret gäller alltså dataskyddsförordningens direkt tillämpliga bestämmelse om rättelse i artikel 16. Bestämmelsen i 4 kap. 19 § första stycket lagen om handel med utsläppsrätter föranleder därmed inte några lagändringar. För att tydliggöra vilken reglering som ska tillämpas vid personuppgiftsbehandling och att 4 kap. 19 § första stycket lagen om handel med utsläppsrätter inte utgör någon begränsning av dataskyddsförordningens bestämmelser om rättelse bör dock hänvisningen till personuppgiftslagen ersättas med en hänvisning till dataskyddsförordningens bestämmelse om rättelse. Rätten till begränsning av behandling föranleder inte några lagändringar inom Miljö- och energidepartementets verksamhetsområde Enligt artikel 18 i dataskyddsförordningen har den registrerade rätt att under vissa förutsättningar kräva att behandlingen av personuppgifter begränsas. Den registrerade kan kräva att behandlingen begränsas om a) den registrerade bestrider personuppgifternas korrekthet, b) behandlingen är olaglig och den registrerade motsätter sig att personuppgifterna raderas, c) den personuppgiftsansvarige inte längre behöver personuppgifterna för ändamålen med behandlingen men den registrerade behöver uppgifterna för att kunna fastställa, göra gällande eller försvara rättsliga anspråk eller d) den registrerade har invänt mot behandling i enlighet med artikel 21.1 i väntan på kontroll av huruvida den personuppgiftsansvariges berättigade skäl väger tyngre än den registrerades berättigade skäl (artikel 18.1). Med begränsning av behandling avses, enligt definitionen i artikel 4.3 i dataskyddsförordningen, markering av lagrade personuppgifter med syftet att begränsa behandlingen av dessa i framtiden. Rätten till begränsning av behandling ersätter den åtgärd som i artikel 12 b i dataskyddsdirektivet benämns som blockering. Bestämmelsen har genomförts i 28 § personuppgiftslagen, tillsammans med rätten till rättelse och utplåning. Artikel 18 i dataskyddsförordningen är direkt tillämplig och det behövs inte någon ny bestämmelse som slår fast att denna rätt till begränsning av behandling gäller. Det finns inte heller anledning att införa mer långtgående rätt till begränsning än den som följer av dataskyddsförordningen. I fråga om lagen om elcertifikat, som med hänsyn till enskilds äganderätt innehåller en begränsning av rätten till rättelse av uppgifter på ett certifikatkonto, har det inte framkommit något behov av att inskränka rätten till begränsning av behandling. Förutsättningarna för begränsning av behandling enligt artikel 18 i dataskyddsförordningen framstår som proportionella i förhållande till elcertifikatregistrets funktion. Om behandlingen har begränsats med anledning av att någon av förutsättningarna för begränsning är uppfyllda, får sådana personuppgifter enligt artikel 18.2 i dataskyddsförordningen dock behandlas med den registrerades samtycke eller för att fastställa, göra gällande eller försvara ett rättsligt anspråk eller för att skydda någon annan fysisk eller juridisk persons rättigheter eller för skäl som rör något viktigt allmänintresse för unionen eller en medlemsstat. De beaktansvärda intressen som kan finnas mot en begränsning av behandling av uppgifter på ett certifikatkonto bedöms därmed i förevarande fall anses tillgodosedda genom de direkt tillämpliga bestämmelserna i artikel 18 i dataskyddsförordningen. Rätten till begränsning av behandling föranleder därmed inte några förslag till lagändringar inom Miljö- och energidepartementets verksamhetsområde. Rätten att göra invändningar föranleder inte några lagändringar inom Miljö- och energidepartementets verksamhetsområde Enligt artikel 21 i dataskyddsförordningen har den registrerade rätt att, under vissa förutsättningar, invända mot den personuppgiftsansvariges behandling av registrerades personuppgifter. För personuppgifter som behandlas för att utföra en uppgift av allmänt intresse, som ett led i myndighetsutövning (artikel 6.1 e) eller efter en intresseavvägning (artikel 6.1 f) får en invändning göras när som helst. Om behandlingen av personuppgifter grundar sig på en rättslig förpliktelse för den personuppgiftsansvarige enligt artikel 6.1 c i dataskyddsförordningen finns det däremot inte någon rätt att invända mot behandlingen. Görs en invändning, får den personuppgiftsansvarige fortsätta att behandla personuppgifterna bara om han eller hon kan påvisa tvingande berättigade skäl som väger tyngre än den registrerades intressen, rättigheter och friheter, eller om behandlingen sker för fastställande, utövande eller försvar av rättsliga anspråk. För personuppgifter som behandlas för direkt marknadsföring får en invändning göras när som helst (artikel 21.2). Om en invändning mot behandling för direkt marknadsföring görs, får personuppgifterna inte längre behandlas för sådana ändamål (artikel 21.3). För personuppgifter som behandlas för vetenskapliga och historiska forskningsändamål eller statistiska ändamål gäller rätten till invändningar, om behandlingen inte är nödvändig för att utföra en uppgift av allmänt intresse (artikel 21.6). Rätten att göra invändningar mot behandlingen av personuppgifter gäller enligt artikel 21 i dataskyddsförordningen och är direkt tillämplig. Det medför att det i sektorsspecifika lagar inte behövs någon hänvisning till denna artikel i dataskyddsförordningen för att rätten till invändningar ska gälla. Enligt artikel 23 i dataskyddsförordningen är det dock möjligt att begränsa rätten att göra invändningar. Behandlingen av personuppgifter som regleras i lagar inom Miljö- och energidepartementets verksamhetsområde genomförs huvudsakligen med stöd av den rättsliga grunden att den är nödvändig för att utföra en uppgift av allmänt intresse (artikel 6.1 e), men även andra rättsliga grunder kan samtidigt vara tillämpliga, t.ex. fullgörande av en rättslig förpliktelse (artikel 6.1 c) eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 e). Vid behandling som görs med stöd av den rättsliga grunden i 6.1 e gäller, som ovan nämnts, rätten för den registrerade att göra invändningar mot behandlingen, men den personuppgiftsansvarige kan dock fortsätta med behandlingen om denne kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter, eller om behandlingen sker för fastställande, utövande eller försvar av rättsliga anspråk (artikel 21.1). Rätten att göra invändningar är i dag inte reglerad i de sektorspecifika lagarna inom Miljö- och energidepartementets verksamhetsområde. I lagen om energideklaration för byggnader regleras energideklarationsregistret. Uppgifterna i energideklarationsregistret får bl.a. behandlas för annan allmän eller enskild verksamhet där information om byggnader och deras energiprestanda och inomhusmiljö utgör underlag för bedömningar och beslut (se 18 § 5). I 15 § förordningen om energideklaration för byggnader begränsas den behandling som Boverket får göra för någon annans räkning för direkt marknadsföring. I fråga om energideklarationsregistret och de ändamål för vilka uppgifterna i registret kan komma att behandlas har promemorian föreslagit att en förtydligande hänvisning till dataskyddsförordningens bestämmelser om rätten att göra invändningar ska införas i 18 § 5 lagen om energideklaration för byggnader. Regeringen bedömer dock, i likhet med Datainspektionen, att det finns en risk att den tydlighet som eftersträvas med en sådan hänvisning till artikel 21.1-21.3 i dataskyddsförordningen är svår att uppnå med den av promemorian föreslagna regleringen. Denna synpunkt gör sig framför allt gällande med beaktande av de ändamål för vilka uppgifterna i energideklarationsregistret kan komma att behandlas. Vidare är det enligt regeringens mening önskvärt att enhetlighet eftersträvas i de anpassningar till dataskyddsförordningen som genomförs inom Miljö- och energidepartementets verksamhetsområde. Rätten att göra invändningar följer av dataskyddsförordningens direkt tillämpliga bestämmelser. Sammantaget bedömer regeringen därmed att rätten att göra invändningar inte bör föranleda några lagändringar inom Miljö- och energidepartementets verksamhetsområde. 8 Rättsmedel och skadestånd Regeringens förslag: Bestämmelser som innehåller hänvisningar till bestämmelser om skadestånd i personuppgiftslagen tas bort. I lagen om handel med utsläppsrätter och lagen om energideklaration för byggnader, som innehåller bestämmelser om skadestånd vid tekniskt fel och skadestånd vid felaktig registrering, ändras rubrikernas lydelse i förtydligande syfte. Upplysningsbestämmelsen i lagen om energideklaration för byggnader, som anger att tillsynsmyndighetens beslut om rättelse får överklagas till allmän förvaltningsdomstol, tas bort. Promemorians förslag överensstämmer med regeringens med några lagtekniska och redaktionella skillnader. Remissinstanserna: Flertalet av remissinstanserna har inga särskilda synpunkter på promemorians förslag. Dataskydd.net framhåller dock att förslaget, att hänvisningarna till personuppgiftslagens bestämmelser om skadestånd ska tas bort, ser ut att innebära att privatpersoner inte ska ha några möjligheter att juridiskt agera mot Boverket eller annan personuppgiftsansvarig myndighet som hanterar registrerades uppgifter på ett felaktigt sätt. Om det inte sker ett klargörande av att den personuppgiftsansvariga myndighetens status som personuppgiftsansvarig innebär att myndigheten ärver alla därtill hörande skyldigheter från dataskyddsförordningen är det en allvarlig försvagning av privatpersoners rättigheter. Skälen för regeringens förslag Hänvisningar till personuppgiftslagens tas bort Dataskyddsförordningens åttonde kapitel innehåller bestämmelser om rättsmedel, ansvar och sanktioner. Rätten till ett effektivt rättsmedel mot tillsynsmyndighetens beslut och mot en personuppgiftsansvarig eller ett personuppgiftsbiträde framgår av artiklarna 78 och 79 i dataskyddsförordningen. I artikel 82 i dataskyddsförordningen regleras personuppgiftsansvarigas och personuppgiftsbiträdens ansvar samt den registrerades rätt till ersättning. Av artikel 82 följer att varje person som har lidit skada till följd av en överträdelse av förordningen har rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan. Någon möjlighet till nationella undantag från rätten till ersättning finns inte. Artikeln är direkt tillämplig och omfattar behandling av personuppgifter som strider mot medlemsstaternas nationella rätt med närmare specifikation av förordningens bestämmelser (jfr skäl 146 till dataskyddsförordningen). I prop. 2017/18:105 föreslår regeringen en förtydligande bestämmelse om att rätten till ersättning enligt artikel 82 i dataskyddsförordningen gäller vid överträdelser av bestämmelser i dataskyddslagen och i andra föreskrifter som kompletterar dataskyddsförordningen (7 kap. 1 § dataskyddslagen). När dataskyddsförordningen ska börja tillämpas kommer personuppgiftsansvariga myndigheter, däribland Boverket och Statens energimyndighet, att omfattas av dataskyddsförordningens direkt tillämpliga bestämmelser och, i den mån inte annat följer av en sektorsspecifik författning, även av dataskyddslagens kompletterande bestämmelser. Boverkets personuppgiftsansvar för behandling av personuppgifter i energideklarationsregistret och Statens energimyndighets personuppgiftsansvar, i egenskap av kontoföringsmyndighet, för behandling av personuppgifter i elcertifikatsregistret och i unionsregistret kvarstår därmed alltjämt även om myndigheterna har att tillämpa ett nytt regelverk från och med den 25 maj 2018. Inom Miljö- och energidepartementets verksamhetsområde finns det lagar som innehåller bestämmelser som innebär att personuppgiftslagens bestämmelser om skadestånd gäller även vid behandling av personuppgifter i strid med dessa författningar. Sådana bestämmelser finns i lagen om handel med utsläppsrätter, lagen om energideklaration för byggnader och lagen om elcertifikat. Eftersom personuppgiftslagens bestämmelser om skadestånd endast reglerar skadeståndsskyldigheten av en personuppgiftsbehandling som skett i strid med personuppgiftslagen och inte en behandling som skett i strid med andra författningar (jfr 48 § personuppgiftslagen) har det ansetts nödvändigt med de aktuella bestämmelserna, av vilka det följer att personuppgiftslagens bestämmelser om skadestånd gäller även vid personuppgiftsbehandling i strid med de nämnda lagarna. När dataskyddsförordningen ska börja tillämpas kommer den registrerades rätt till ersättning vid överträdelser av bestämmelser som kompletterar dataskyddsförordningen att följa av artikel 82 i förordningen. Med hänsyn härtill och den föreslagna regleringen i 7 kap. 1 § dataskyddslagen ska bestämmelserna i lagen om handel med utsläppsrätter, lagen om energideklaration för byggnader och lagen om elcertifikat som innehåller hänvisningar till personuppgiftslagens bestämmelser om skadestånd tas bort. Rubrikernas lydelse ändras När bestämmelser med hänvisningar till personuppgiftslagens bestämmelser om skadestånd tas bort finns det i lagen om handel med utsläppsrätter och lagen om energideklaration för byggnader behov av att tydliggöra att de kvarvarande bestämmelserna om skadestånd gäller skadestånd vid tekniskt fel såvitt avser lagen om energideklaration för byggnader och skadestånd vid felregistrering i lagen om handel med utsläppsrätter. Detta ska ske genom en ändring av rubrikernas lydelse. Överklagande av beslut om rättelse enligt lagen om energideklaration för byggnader I 26 § lagen om energideklaration för byggnader regleras rätten att överklaga vissa beslut enligt den lagen. Av bestämmelsen framgår att en tillsynsmyndighets beslut om rättelse enligt 20 §, föreläggande som har förenats med vite enligt 25 § och om återkallelse av behörighet enligt 25 a §, får överklagas till allmän förvaltningsdomstol. 20 §, i dess nuvarande lydelse, hänvisar till personuppgiftslagens bestämmelser om rättelse (förslag om upphävande av 20 § framgår av propositionens författningsförslag). Enligt den i dag gällande regleringen är det inte tillsynsmyndigheten, utan den personuppgiftsansvarige som kan besluta om rättelse (jfr 28, 43-47 och 52 §§ personuppgiftslagen). Den delen av bestämmelsen i 26 § som reglerar överklagande av tillsynsmyndighetens beslut om rättelse ska därför upphävas. När dataskyddsförordningen ska börja tillämpas kommer allmänna, direkt tillämpliga, bestämmelser om rättelse att finnas i dataskyddsförordningen, i den mån den registrerades rättigheter inte har begränsats i en sektorsspecifik författning. Kompletterande bestämmelser om överklagande av beslut som fattats av en myndighet i egenskap av personuppgiftsansvarig kommer att finnas i dataskyddslagen. Enligt förslaget i prop. 2017/18:105 kan ett beslut som har meddelats av en personuppgiftsansvarig myndighet med anledning av att en registrerad utövar sin rätt till rättelse överklagas till allmän förvaltningsdomstol (se 7 kap. 2 § dataskyddslagen och artikel 16 i dataskyddsförordningen). 9 Övriga frågor Regeringens bedömning: Hänvisningarna till EU:s dataskyddsförordning bör vara dynamiska. Promemorians bedömning överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över bedömningen. Skälen för regeringens bedömning: De förslag till anpassningar av sektorsspecifika lagbestämmelser som lämnas i denna proposition innehåller i vissa delar hänvisningar till bestämmelser i dataskyddsförordningen, som är en EU-förordning. Hänvisningar till EU-rättsakter kan göras statiska eller dynamiska. En statisk hänvisning innebär att hänvisningen avser EU-rättsakten i en viss angiven lydelse. En dynamisk hänvisning innebär att hänvisningen avser EU-rättsakten i den vid varje tidpunkt gällande lydelsen. Dataskyddsförordningen är direkt tillämplig. Medlemsstaternas utrymme att införa bestämmelser i nationell rätt på detta område är därmed begränsat. För att säkerställa att ändringar i dataskyddsförordningen får omedelbart genomslag är det lämpligt att hänvisningarna dit görs dynamiska. Detta hindrar emellertid inte att de sektorsspecifika bestämmelserna kan komma att behöva ändras om dataskyddsförordningens innehåll ändras. De hänvisningar till dataskyddsförordningen som föreslås i propositionen är därför dynamiska, dvs. avser förordningen i dess vid varje tid gällande lydelse. Hänvisningarna till dataskyddsförordningen kommer därmed att omfatta även eventuella framtida ändringar i dataskyddsförordningen. De föreslagna hänvisningarna till dataskyddsförordningen är i huvudsak av upplysande karaktär. Dynamiska hänvisningar framstår även av detta skäl enligt regeringens mening som det mest lämpliga. 10 Ikraftträdande- och övergångsbestämmelser Regeringens förslag: Författningsändringarna ska träda i kraft den 25 maj 2018. Regeringens bedömning: Det behövs inte några övergångsbestämmelser. Promemorians förslag och bedömning överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget och bedömningen. Skälen för regeringens förslag och bedömning: Dataskyddsförordningen ska tillämpas från och med den 25 maj 2018. De anpassningar av lagar inom Miljö- och energidepartementets verksamhetsområde som föreslås bör träda i kraft samma dag som dataskyddsförordningen ska börja tillämpas. I prop. 2017/18:105 lämnar regeringen förslag till övergångsbestämmelser som bl.a. innebär att personuppgiftslagen upphävs, att personuppgiftslagen fortfarande gäller för överklagande av beslut som har meddelats med stöd av den lagen och att straffbestämmelsen i 49 § personuppgiftslagen fortfarande gäller för överträdelser som har skett före ikraftträdandet av den nya dataskyddslagen. Från och med den 25 maj 2018 kommer dataskyddsförordningens bestämmelser om skadestånd att tillämpas på överträdelser av dataskyddsförordningen och nationell rätt som kompletterar förordningen. För skadefall som inträffar innan den 25 maj 2018 får i stället hittillsvarande bestämmelser om skadestånd tillämpas. Detta följer av allmänna rättsgrundsatser och behöver inte regleras i särskilda övergångsbestämmelser (se prop. 1972:5 s. 593). En av de föreslagna lagändringarna avser 26 § lagen om energideklaration för byggnader. Ändringen innebär att upplysningen om att tillsynsmyndighetens beslut om rättelse enligt 20 § (som i sin tur hänvisar till personuppgiftslagens bestämmelser om rättelse) får överklagas till allmän förvaltningsdomstol tas bort. Enligt den i dag gällande regleringen är det inte tillsynsmyndigheten, utan den personuppgiftsansvarige som kan besluta om rättelse (jfr 28, 43-47 och 52 §§ personuppgiftslagen). Det finns därmed inte heller något behov av övergångsbestämmelser i denna del. 11 Konsekvenser Regeringens bedömning: Förslagen bedöms inte medföra några negativa effekter för företagens arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt. Förslagen har inte någon påverkan på vare sig jämställdheten mellan kvinnor och män eller möjligheten att nå de integrationspolitiska målen. Förslagen har inte några sociala eller miljömässiga konsekvenser. Promemorians bedömning överensstämmer med regeringens bedömning. Remissinstanserna: Flertalet av remissinstanserna har inga särskilda synpunkter på promemorians bedömning. Dataskydd.net framhåller dock att poängen med dataskyddslagstiftningen är att skydda privatpersoners grundläggande rättigheter till dataskydd och privatliv, att förslagen innebär försämringar av privatpersoners rättigheter till dataskydd i förhållande till nuvarande rätt och att privatpersoners rättigheter försvagas, bl.a. genom att flera registreringsåtgärder undantas från räckvidden av dataskyddsbestämmelserna. Skälen för regeringens bedömning: Dataskyddsförordningen skyddar fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Dataskyddsförordningen är, till skillnad från dataskyddsdirektivet, direkt tillämplig i EU:s medlemsstater. Dataskyddsförordningen innehåller också bestämmelser som i vissa avseende ger utrymme för kompletterande nationella bestämmelser av olika slag. Genom dataskyddsförordningen förstärks den registrerades rättigheter. Ett exempel på detta är att dataskyddsförordningen ställer strängare krav på att den som behandlar personuppgifter ska informera om hur registrerades personuppgifter hanteras. Ett annat exempel är att förordningen ställer krav på att en konsekvensanalys utförs av den personuppgiftsansvarige om en viss behandling sannolikt kommer att leda till en hög risk för enskildas rättigheter eller skyldigheter. Lagförslagen som läggs fram i denna proposition syftar till att genomföra de nödvändiga anpassningar av lagar inom Miljö- och energidepartementets verksamhetsområde som krävs när dataskyddsförordningen träder i kraft. Enligt regeringens bedömning är det, såsom regeringen konstaterar i avsnitt 7, förenligt med dataskyddsförordningen att behålla den nuvarande bestämmelsen om rättelse av uppgifter på ett certifikatkonto, som avser att bl.a. skydda enskilds äganderätt. I övrigt medför lagförslagen, till skillnad från vad Dataskydd.net anför, inga begränsningar av dataskyddsförordningens bestämmelser. Förslagen utgör en mindre del av ett stort arbete inom Regeringskansliet där tyngdpunkten ligger i de förändringar som dataskyddsförordningen medför. De viktigaste konsekvenserna av det förändrade dataskyddet beror därmed på regeländringar som ligger utanför denna proposition och utgör inte effekter av de förslag som läggs fram i denna proposition. Förslag till generella anpassningar av svensk rätt i anledning av dataskyddsförordningen och dess konsekvenser framgår av lagrådsremissen Ny dataskyddslag. Genom de förslag som läggs fram i denna proposition bedöms de aktuella lagarna vara förenliga med dataskyddsförordningen. I den bedömningen ligger bl.a. att dataskyddsregleringen är proportionerlig i förhållande till de legitima mål som eftersträvas. Förslagen bedöms inte leda till några kostnadsökningar för personuppgiftsansvariga. Förslagen bedöms inte heller medföra några ökade kostnader för enskilda eller det allmänna. Förslagen berör i första hand de myndigheter under Miljö- och energidepartementet som har att tillämpa de relevanta lagarna, men även andra enskilda aktörer som har ett personuppgiftsansvar berörs. Förslagen innebär inte någon större ändring av rättsläget och görs uteslutande i befintliga dataskyddsregleringar. Förslagen bedöms inte leda till några kostnadsökningar för berörda aktörer. Förslagen bedöms inte innebära några negativa effekter för företagens arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt. Förslagen bedöms inte ha någon påverkan på vare sig jämställdheten mellan kvinnor och män eller möjligheten att nå de integrationspolitiska målen. Förslagen bedöms inte ha några sociala eller miljömässiga konsekvenser. 12 Författningskommentar 12.1 Förslaget till lag om ändring i lagen (2004:1199) om handel med utsläppsrätter 4 kap. 15 § Paragrafen innehåller bestämmelser om personuppgiftsansvar. Ändringen innebär att det nuvarande första stycket och en hänvisning till personuppgiftslagen i det nuvarande andra stycket tas bort. Innebörden av detta personuppgiftsansvar framgår av dataskyddsförordningen. Övervägandena finns i avsnitt 6.1 och 6.2. 19 § Paragrafen innehåller bestämmelser om rättelse av uppgift på ett konto i unionsregistret och om återkallande av transaktioner i unionsregistret. Första och andra styckena är oförändrade. Tredje stycket ändras så att hänvisningen till personuppgiftslagens bestämmelser om rättelse tas bort. Den nuvarande hänvisningen ersätts med en ny hänvisning till direkt tillämpliga bestämmelser om rättelse i dataskyddsförordningen. Ändringen innebär att vid behandling av personuppgifter gäller rätten till rättelse enligt artikel 16 i dataskyddsförordningen i stället för regleringen i första stycket. Hänvisningen till dataskyddsförordningen i denna bestämmelse är dynamisk, dvs. avser förordningen i dess vid varje tidpunkt gällande lydelse. Övervägandena finns i avsnitt 7. 8 kap. Rubriken närmast efter 8 a § ändras för att tydliggöra att bestämmelserna om skadestånd i 8 kap. avser skadestånd vid felregistrering. En paragraf, 8 kap. 11 §, med hänvisning till bestämmelser om skadestånd i personuppgiftslagen tas bort. Bestämmelser om en registrerads rätt till ersättning vid överträdelser av dataskyddsförordningen och rätt till ersättning vid överträdelser av dataskyddslagen och andra föreskrifter som kompletterar förordningen finns i artikel 82 i dataskyddsförordningen och 7 kap. 1 § dataskyddslagen. Övervägandena finns i avsnitt 8. Behovet av övergångsbestämmelser behandlas i avsnitt 10. 12.2 Förslaget till lag om ändring i lagen (2006:985) om energideklaration för byggnader Två paragrafer i lagen tas bort, 20 och 22 §§. Vid behandling av personuppgifter finns bestämmelser om rättelse i artikel 16 i dataskyddsförordningen. Bestämmelser om en registrerads rätt till ersättning vid överträdelser av dataskyddsförordningen och rätt till ersättning vid överträdelser av dataskyddslagen och andra föreskrifter som kompletterar förordningen finns i artikel 82 i dataskyddsförordningen och 7 kap. 1 § dataskyddslagen. Övervägandena finns i avsnitt 7 och 8. Behovet av övergångsbestämmelser behandlas i avsnitt 10. Rubriken närmast före 21 § ändras för att tydliggöra att bestämmelserna om skadestånd avser skadestånd vid tekniskt fel. Övervägandena finns i avsnitt 8. 26 § I paragrafen regleras överklagande av en viss typ av beslut. Ändringen i första stycket innebär att upplysningen om att tillsynsmyndighetens beslut om rättelse enligt 20 § får överklagas till allmän förvaltningsdomstol tas bort. Enligt den i dag gällande regleringen är det inte tillsynsmyndigheten, utan den personuppgiftsansvarige som kan besluta om rättelse (jfr 28, 43?47 och 52 §§ personuppgiftslagen). Det finns därmed inte något behov av övergångsbestämmelser. När dataskyddsförordningen ska börja tillämpas kommer allmänna bestämmelser om rättelse av personuppgifter att finnas där. Bestämmelser om överklagande av beslut som fattats av en myndighet i egenskap av personuppgiftsansvarig kommer att finnas i dataskyddslagen. Övervägandena finns i avsnitt 8. Behovet av övergångsbestämmelser behandlas i avsnitt 10. 12.3 Förslaget till lag om ändring i lagen (2010:1767) om geografisk miljöinformation 15 § Paragrafens första stycke innehåller upplysningar om tillämpliga bestämmelser i andra lagar. Andra-femte punkten är oförändrad. Genom ändringen i första punkten tas hänvisningen till personuppgiftslagen bort. Hänvisningen ersätts med en upplysning om att bestämmelser om behandling av personuppgifter finns i dataskyddsförordningen, dataskyddslagen med kompletterande bestämmelser till dataskyddsförordningen och föreskrifter som har meddelats i anslutning till dataskyddslagen. Hänvisningen till dataskyddsförordningen i denna bestämmelse är dynamisk, dvs. avser förordningen i dess vid varje tidpunkt gällande lydelse. Paragrafens andra stycke, som innehåller en upplysning om förhållandet till en bestämmelse i personuppgiftslagen, tas bort. Övervägandena finns i avsnitt 6.1. 12.4 Förslaget till lag om ändring i lagen (2011:1200) om elcertifikat 3 kap. 15 § Paragrafen innehåller bestämmelser om rättelse av uppgift på ett certifikatkonto. I ett nytt andra stycke tydliggörs att vid rättelse av personuppgifter ska bestämmelserna om rättelse i första stycket tillämpas i stället för artikel 16 i dataskyddsförordningen. Hänvisningen till dataskyddsförordningen i denna bestämmelse är dynamisk, dvs. avser förordningen i dess vid varje tidpunkt gällande lydelse. Övervägandena finns i avsnitt 7. 17 § Paragrafen innehåller bestämmelser om personuppgiftsansvar. Ändringen innebär att det nuvarande första stycket och en hänvisning till personuppgiftslagen i det nuvarande andra stycket tas bort. Innebörden av detta personuppgiftsansvar framgår av dataskyddsförordningen. Övervägandena finns i avsnitt 6.1 och 6.2. 7 kap. En paragraf, 7 §, med hänvisning till bestämmelser om skadestånd i personuppgiftslagen tas bort. Bestämmelser om en registrerads rätt till ersättning vid överträdelser av dataskyddsförordningen och rätt till ersättning vid överträdelser av dataskyddslagen och andra föreskrifter som kompletterar förordningen finns i artikel 82 i dataskyddsförordningen och 7 kap. 1 § dataskyddslagen. Övervägandena finns i avsnitt 8. Behovet av övergångsbestämmelser behandlas i avsnitt 10. Dataskyddsförordningen Promemorians lagförslag Förslag till lag om ändring i lagen (2004:1199) om handel med utsläppsrätter Härigenom föreskrivs i fråga om lagen (2004:1199) om handel med utsläppsrätter dels att 8 kap. 11 § ska upphöra att gälla, dels att 4 kap. 15 och 19 §§ ska ha följande lydelse, dels att rubriken närmast efter 8 kap. 8 a § ska lyda "Skadestånd vid felregistrering". Nuvarande lydelse Föreslagen lydelse 4 kap. 15 § Om inget annat följer av denna lag eller föreskrifter som meddelats med stöd av lagen, tillämpas personuppgiftslagen (1998:204) vid behandling av personuppgifter vid kontoföring av utsläppsrätter och kyotoenheter i de konton i unionsregistret som kontoföringsmyndigheten administrerar enligt 1 §. Kontoföringsmyndigheten är personuppgiftsansvarig enligt personuppgiftslagen för den behandling av personuppgifter som utförs i unionsregistret. Kontoföringsmyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som utförs i unionsregistret. 19 § En uppgift på ett konto i unionsregistret ska rättas, om den innehåller någon uppenbar oriktighet till följd av skrivfel, räknefel eller liknande förbiseende eller till följd av tekniskt fel. Den vars rätt berörs ska ges möjlighet att yttra sig, om inte rättelsen är till förmån för denne eller yttrandet annars är uppenbart onödigt. Bestämmelser om återkallande av transaktioner i unionsregistret finns i artikel 70 i registerförordningen. Vid behandling av personuppgifter enligt denna lag gäller i stället för första stycket bestämmelserna om rättelse i 28 § personuppgiftslagen (1998:204). Vid behandling av personuppgifter enligt denna lag gäller i stället för första stycket bestämmelserna om rättelse i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Denna lag träder i kraft den 25 maj 2018. Förslag till lag om ändring i lagen (2006:985) om energideklaration för byggnader Härigenom föreskrivs i fråga om lagen (2006:985) om energideklaration för byggnader dels att 20 och 22 §§ ska upphöra att gälla, dels att 18 och 26 §§ ska ha följande lydelse, dels att rubriken närmast före 21 § ska lyda "Skadestånd vid tekniskt fel". Nuvarande lydelse Föreslagen lydelse 18 § Uppgifterna i energideklarationsregistret får behandlas för 1. framtagande av statistik, 2. forskning, 3. uppföljning och utvärdering av energianvändningen och inomhusmiljön i bebyggelsen, 4. tillsyn, och 5. annan allmän eller enskild verksamhet där information om byggnader och deras energiprestanda och inomhusmiljö utgör underlag för bedömningar och beslut. 5. annan allmän eller enskild verksamhet där information om byggnader och deras energiprestanda och inomhusmiljö utgör underlag för bedömningar och beslut, dock med den begränsning som följer av artikel 21.1-21.3 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). 26 § En tillsynsmyndighets beslut om rättelse enligt 20 §, föreläggande som har förenats med vite enligt 25 § och om återkallelse av behörighet enligt 25 a § får överklagas till allmän förvaltningsdomstol. En tillsynsmyndighets beslut om föreläggande som har förenats med vite enligt 25 § och om återkallelse av behörighet enligt 25 a § får överklagas till allmän förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten. Denna lag träder i kraft den 25 maj 2018. Förslag till lag om ändring i lagen (2010:1767) om geografisk miljöinformation Härigenom föreskrivs att 15 § lagen (2010:1767) om geografisk miljöinformation ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 15 § Bestämmelser om 1. behandling av personuppgifter finns i personuppgiftslagen (1998:204), Bestämmelser om 1. behandling av personuppgifter finns i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) och lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning, 2. behandling av personuppgifter i fastighetsregistret finns i lagen (2000:224) om fastighetsregister, 3. krav på tillstånd för spridning av en sammanställning av geografisk information finns i lagen (2016:319) om skydd för geografisk information, 4. säkerhetsskydd finns i säkerhetsskyddslagen (1996:627), och 5. upphovsrätt finns i lagen (1960:729) om upphovsrätt till litterära och konstnärliga verk. I fråga om behandling av personuppgifter enligt denna lag gäller inte 2 § personuppgiftslagen (1998:204). Denna lag träder i kraft den 25 maj 2018. Förslag till lag om ändring i lagen (2011:1200) om elcertifikat Härigenom föreskrivs i fråga om lagen (2011:1200) om elcertifikat dels att 7 kap. 7 § ska upphöra att gälla, dels att 3 kap. 15 och 17 §§ ska ha följande lydelse, dels att rubriken närmast före 7 kap. 5 § ska lyda "Skadestånd vid tekniskt fel". Nuvarande lydelse Föreslagen lydelse 3 kap. 15 § En uppgift på ett certifikatkonto ska rättas, om den innehåller någon uppenbar oriktighet till följd av skrivfel, räknefel eller liknande förbiseende eller till följd av något tekniskt fel. Den vars rätt berörs ska ges möjlighet att yttra sig, om inte rättelsen är till förmån för denne eller yttrandet annars är uppenbart obehövligt. I fråga om rättelse av personuppgifter ska första stycket tillämpas i stället för bestämmelserna om rättelse i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). 17 § Om inget annat följer av denna lag eller av föreskrifter som meddelats med stöd av lagen, tillämpas personuppgiftslagen (1998:204) vid behandling av personuppgifter när elcertifikat kontoförs i elcertifikatsregistret. Kontoföringsmyndigheten är personuppgiftsansvarig enligt personuppgiftslagen för den behandling av personuppgifter som utförs i elcertifikatsregistret. Kontoföringsmyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som utförs i elcertifikatsregistret. Denna lag träder i kraft den 25 maj 2018. Förteckning över remissinstanserna Yttrande över departementspromemorian En anpassning till dataskyddsförordningen av författningar inom Miljö- och energidepartementets verksamhetsområde (Ds 2017:54) har lämnats av följande instanser. Kammarrätten i Stockholm, Förvaltningsrätten i Stockholm, Affärsverket svenska kraftnät, Boverket, Datainspektionen, Elsäkerhetsverket, Energimarknadsinspektionen, Forskningsrådet för miljö, areella näringar och samhällsbyggande, Finsk-svenska gränsälvskommissionen, Försvarsmakten, Havs- och vattenmyndigheten, Justitiekanslern, Kemikalieinspektionen, Kommerskollegium, Länsstyrelsen i Norrbottens län, Länsstyrelsen i Västra Götalands län, Naturvårdsverket, Riksarkivet, Statens energimyndighet, Statens Jordbruksverk, Strålsäkerhetsmyndigheten, Sveriges meteorologiska och hydrologiska institut, Transportstyrelsen och Sveriges kommuner och landsting. Följande remissinstanser har avstått från att lämna synpunkter eller inte svarat på remissen. Riksdagens ombudsmän, Nacka tingsrätt, mark- och miljödomstolen, Lantmäteriet, Länsstyrelsen i Stockholms län, Statens geotekniska institut, Energiföretagen Sverige, Föreningen Svenskt Friluftsliv, Näringslivets regelnämnd, Oberoende elhandlare och Sveriges Energiföreningars Riksorganisation. Yttrande har dessutom inkommit från Dataskydd.net. Lagrådsremissens lagförslag Förslag till lag om ändring i lagen (2004:1199) om handel med utsläppsrätter Härigenom föreskrivs i fråga om lagen (2004:1199) om handel med utsläppsrätter dels att 8 kap 11 § ska upphöra att gälla, dels att 4 kap. 15 och 19 §§ ska ha följande lydelse, dels att rubriken närmast efter 8 kap. 8 a § ska lyda "Skadestånd vid felregistrering". Nuvarande lydelse Föreslagen lydelse 4 kap. 15 § Om inget annat följer av denna lag eller föreskrifter som meddelats med stöd av lagen, tillämpas personuppgiftslagen (1998:204) vid behandling av personuppgifter vid kontoföring av utsläppsrätter och kyotoenheter i de konton i unionsregistret som kontoföringsmyndigheten administrerar enligt 1 §. Kontoföringsmyndigheten är personuppgiftsansvarig enligt personuppgiftslagen för den behandling av personuppgifter som utförs i unionsregistret. Kontoföringsmyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som utförs i unionsregistret. 19 § En uppgift på ett konto i unionsregistret ska rättas, om den innehåller någon uppenbar oriktighet till följd av skrivfel, räknefel eller liknande förbiseende eller till följd av tekniskt fel. Den vars rätt berörs ska ges möjlighet att yttra sig, om inte rättelsen är till förmån för denne eller yttrandet annars är uppenbart onödigt. Bestämmelser om återkallande av transaktioner i unionsregistret finns i artikel 70 i registerförordningen. Vid behandling av personuppgifter enligt denna lag gäller i stället för första stycket bestämmelserna om rättelse i 28 § personuppgiftslagen (1998:204). Vid behandling av personuppgifter enligt denna lag gäller i stället för första stycket rätten till rättelse enligt artikel 16 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Denna lag träder i kraft den 25 maj 2018. Förslag till lag om ändring i lagen (2006:985) om energideklaration för byggnader Härigenom föreskrivs i fråga om lagen (2006:985) om energideklaration för byggnader dels att 20 och 22 §§ ska upphöra att gälla, dels att 26 § ska ha följande lydelse, dels att rubriken närmast före 21 § ska lyda "Skadestånd vid tekniskt fel". Nuvarande lydelse Föreslagen lydelse 26 § En tillsynsmyndighets beslut om rättelse enligt 20 §, föreläggande som har förenats med vite enligt 25 § och om återkallelse av behörighet enligt 25 a § får överklagas till allmän förvaltningsdomstol. En tillsynsmyndighets beslut om föreläggande som har förenats med vite enligt 25 § och om återkallelse av behörighet enligt 25 a § får överklagas till allmän förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten. Denna lag träder i kraft den 25 maj 2018. Förslag till lag om ändring i lagen (2010:1767) om geografisk miljöinformation Härigenom föreskrivs att 15 § lagen (2010:1767) om geografisk miljöinformation ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 15 § Bestämmelser om 1. behandling av personuppgifter finns i personuppgiftslagen (1998:204), Bestämmelser om 1. behandling av personuppgifter finns i a) Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), b) lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning, och c) föreskrifter som har meddelats i anslutning till den lagen, 2. behandling av personuppgifter i fastighetsregistret finns i lagen (2000:224) om fastighetsregister, 3. krav på tillstånd för spridning av en sammanställning av geografisk information finns i lagen (2016:319) om skydd för geografisk information, 4. säkerhetsskydd finns i säkerhetsskyddslagen (1996:627), och 5. upphovsrätt finns i lagen (1960:729) om upphovsrätt till litterära och konstnärliga verk. I fråga om behandling av personuppgifter enligt denna lag gäller inte 2 § personuppgiftslagen (1998:204). Denna lag träder i kraft den 25 maj 2018. Förslag till lag om ändring i lagen (2011:1200) om elcertifikat Härigenom föreskrivs i fråga om lagen (2011:1200) om elcertifikat dels att 7 kap. 7 § ska upphöra att gälla, dels att 3 kap. 15 och 17 §§ ska ha följande lydelse, dels att rubriken närmast före 7 kap. 5 § ska lyda "Skadestånd vid tekniskt fel". Nuvarande lydelse Föreslagen lydelse 3 kap. 15 § En uppgift på ett certifikatkonto ska rättas, om den innehåller någon uppenbar oriktighet till följd av skrivfel, räknefel eller liknande förbiseende eller till följd av något tekniskt fel. Den vars rätt berörs ska ges möjlighet att yttra sig, om inte rättelsen är till förmån för denna eller yttrandet annars är uppenbart obehövligt. I fråga om rättelse av personuppgifter ska första stycket tillämpas i stället för artikel 16 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). 17 § Om inget annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen, tillämpas personuppgiftslagen (1998:204) vid behandling av personuppgifter när elcertifikat kontoförs i elcertifikatsregistret. Kontoföringsmyndigheten är personuppgiftsansvarig enligt personuppgiftslagen för den behandling av personuppgifter som utförs i elcertifikatsregistret. Kontoföringsmyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som utförs i elcertifikatsregistret. Denna lag träder i kraft den 25 maj 2018. Lagrådets yttrande Utdrag ur protokoll vid sammanträde 2018-02-15 Närvarande: F.d. justitieråden Gustaf Sandström och Lena Moore samt justitierådet Anders Eka En anpassning till dataskyddsförordningen av lagar inom Miljö- och energidepartementets verksamhetsområde Enligt en lagrådsremiss den 1 februari 2018 har regeringen (Miljö- och energidepartementet) beslutat inhämta Lagrådets yttrande över förslag till 1. lag om ändring i lagen (2004:1199) om handel med utsläppsrätter, 2. lag om ändring i lagen (2006:985) om energideklaration för byggnader, 3. lag om ändring i lagen (2010:1767) om geografisk miljöinformation, 4. lag om ändring i lagen (2011:1200) om elcertifikat. Förslagen har inför Lagrådet föredragits av rättssakkunniga Hanna Granberger. Lagrådet lämnar förslagen utan erinran. Miljö- och energidepartementet Utdrag ur protokoll vid regeringssammanträde den 1 mars 2018 Närvarande: statsminister Löfven, ordförande, och statsråden Wallström, Y Johansson, M Johansson, Baylan, Bucht, Hultqvist, Andersson, Damberg, Shekarabi, Linde, Skog, Ekström, Fritzon Föredragande: statsrådet Skog Regeringen beslutar proposition En anpassning till dataskyddsförordningen av lagar inom Miljö- och energidepartementets verksamhetsområde