Regeringskansliets rättsdatabaser

Regeringens proposition 2017/18:120 Kreditupplysningslagen och dataskyddsförordningen Prop. 2017/18:120 Regeringen överlämnar denna proposition till riksdagen. Stockholm den 1 mars 2018 Stefan Löfven Heléne Fritzon (Justitiedepartementet) Propositionens huvudsakliga innehåll Regeringen lämnar förslag som anpassar kreditupplysningslagen till EU:s nya dataskyddsförordning i fråga om vilka krav som ställs vid behandling av personuppgifter och vilken information som ska lämnas till den registrerade. Förslagen innebär att behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person och uppgifter om sexuell läggning förbjuds i kreditupplysningsverksamhet. De innebär också att när en kreditupplysning lämnas ut ska fysiska personer ges rätt till information om bl.a. varifrån uppgifterna har hämtats, hur länge de kommer att lagras och möjligheten att framställa klagomål till Datainspektionen. Rätten för en fysisk person att få tillgång till personuppgifter som rör honom eller henne kommer i fortsättningen att regleras i EU:s dataskyddsförordning. En ändring föreslås även i lagen om 1996 års Haagkonvention. Ändringen innebär att en hänvisning till personuppgiftslagen tas bort. I propositionen görs en bedömning som inte har koppling till EU:s dataskyddsförordning. Den innebär att det inte bör införas något förbud i kreditupplysningslagen mot att en kreditupplysning om en näringsidkare innehåller uppgifter om betalningsförsummelser som inte har blivit fastställda av en domstol eller Kronofogdemyndigheten. Lagändringarna föreslås träda i kraft den 25 maj 2018, vilket är samma dag som EU:s dataskyddsförordning börjar tillämpas. Innehållsförteckning 1 Förslag till riksdagsbeslut 4 2 Lagtext 5 2.1 Förslag till lag om ändring i kreditupplysningslagen (1973:1173) 5 2.2 Förslag till lag om ändring i lagen (2012:318) om 1996 års Haagkonvention 12 3 Ärendet och dess beredning 13 4 Dataskyddsreformen 14 4.1 Dataskyddsdirektivet och den nationella personuppgiftsregleringen 14 4.2 Dataskyddsförordningen och behovet att anpassa nationell reglering 14 5 Kreditupplysningsverksamhet i Sverige 15 6 En anpassning till dataskyddsförordningen 16 6.1 Förhållandet mellan nationell reglering och dataskyddsförordningen 16 6.2 En fastställd rättslig grund för behandling av personuppgifter 18 6.3 Grundläggande krav för behandling av personuppgifter 21 6.4 Krav på tillstånd för att bedriva verksamhet 23 6.5 Behandling av känsliga personuppgifter och uppgifter om lagöverträdelser 24 6.6 Information till den registrerade 25 6.7 Rättelse och begränsning av behandling 31 6.8 Invändning mot behandling av personuppgifter 35 6.9 Säkerhet vid behandling av personuppgifter 38 6.10 Tillsyn och överklagande 39 6.11 Straff och vite 41 6.12 Skadestånd 44 6.13 Automatiserat beslutsfattande 45 6.14 Överföring av personuppgifter till tredjeland 47 7 Innehållet i en kreditupplysning om ett företag 48 8 Ikraftträdande- och övergångsbestämmelser 51 9 Konsekvenser 51 10 Författningskommentar 52 10.1 Förslaget till lag om ändring i kreditupplysningslagen (1973:1173) 52 10.2 Förslaget till lag om ändring i lagen (2012:318) om 1996 års Haagkonvention 59 Bilaga 1 Europaparlamentets och rådets förordning (EU) 2016/679 60 Bilaga 2 Sammanfattning av departementspromemorian (Ds 2017:26) 148 Bilaga 3 Promemorians lagförslag 149 Bilaga 4 Förteckning över remissinstanserna 155 Bilaga 5 Sammanfattning av betänkandet (SOU 2015:77) 156 Bilaga 6 Förteckning över remissinstanserna 168 Bilaga 7 Lagrådsremissens lagförslag 169 Bilaga 8 Lagrådets yttrande 177 Utdrag ur protokoll vid regeringssammanträde den 1 mars 2018 178 1 Förslag till riksdagsbeslut Regeringen föreslår att riksdagen antar regeringens förslag till 1. lag om ändring i kreditupplysningslagen (1973:1173), 2. lag om ändring i lagen (2012:318) om 1996 års Haagkonvention. 2 Lagtext Regeringen har följande förslag till lagtext. 2.1 Förslag till lag om ändring i kreditupplysningslagen (1973:1173) Härigenom föreskrivs i fråga om kreditupplysningslagen (1973:1173) dels att 5, 6, 10-12, 15 och 21 §§ och rubriken närmast före 12 § ska ha följande lydelse, dels att det ska införas två nya paragrafer, 1 a och 12 a §§, och närmast före 12 a § en ny rubrik av följande lydelse. Nuvarande lydelse Föreslagen lydelse 1 a § Denna lag innehåller, i den del den avser behandling av personuppgifter, bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Vid sådan behandling av personuppgifter som omfattas av EU:s dataskyddsförordning gäller även lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som regeringen har meddelat i anslutning till lagen. 5 § Kreditupplysningsverksamhet skall bedrivas så att den inte leder till otillbörligt intrång i personlig integritet genom innehållet i de upplysningar som förmedlas eller på annat sätt eller till att oriktiga eller missvisande uppgifter lagras eller lämnas ut. För sådan behandling av personuppgifter som omfattas av personuppgiftslagen (1998:204) gäller i stället 9 § första stycket a, b och d-h den lagen. Kreditupplysningsverksamhet ska bedrivas så att den inte leder till otillbörligt intrång i personlig integritet genom innehållet i de upplysningar som förmedlas eller på annat sätt eller till att oriktiga eller missvisande uppgifter lagras eller lämnas ut. För sådan behandling av personuppgifter som omfattas av EU:s dataskyddsförordning gäller i stället artikel 5 i den förordningen. Uppgifter om fysiska personer får samlas in endast för kreditupplysningsändamål. Vid helt eller delvis automatiserad behandling av uppgifter om juridiska personer skall den som bedriver kreditupplysningsverksamhet vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att hindra att behandlingen sker på ett otillåtet sätt och att uppgifterna utsätts för otillåten insyn. Bestämmelser om säkerheten vid behandling av personuppgifter finns i 30-32 §§ personuppgiftslagen. Vid helt eller delvis automatiserad behandling av uppgifter om juridiska personer ska den som bedriver kreditupplysningsverksamhet vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att hindra att behandlingen sker på ett otillåtet sätt och att uppgifterna utsätts för otillåten insyn. Bestämmelser om säkerheten vid behandling av personuppgifter finns i EU:s dataskyddsförordning. Utan hinder av 10 § personuppgiftslagen får personuppgifter behandlas utan samtycke i kreditupplysningsverksamhet. Den registrerade kan inte heller motsätta sig behandlingen. I kreditupplysningsverksamhet får personuppgifter behandlas utan samtycke. Den registrerade har inte rätt att göra invändningar enligt artikel 21.1 i EU:s dataskyddsförordning mot behandlingen. Bestämmelsen i andra stycket tillämpas inte i den utsträckning det skulle strida mot bestämmelserna i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen. Andra stycket tillämpas inte i den utsträckning det skulle strida mot bestämmelserna i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen. 6 § Uppgifter om en persons ras, etniska ursprung, politiska uppfattning, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv får inte behandlas i kreditupplysningsverksamhet. Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får inte behandlas i kreditupplysningsverksamhet. Uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden får inte utan medgivande av Datainspektionen behandlas i kreditupplysningsverksamhet. Uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden får inte utan medgivande av Datainspektionen behandlas i kreditupplysningsverksamhet. Ett medgivande får lämnas endast om det finns synnerliga skäl för det. Ett medgivande som avses i andra stycket får lämnas endast om det finns synnerliga skäl. Andra stycket hindrar inte att uppgifter om betalningsförsummelser, kreditmissbruk eller näringsförbud behandlas i kreditupplysningsverksamhet. Vad som anges i andra stycket hindrar inte att uppgifter om betalningsförsummelser, kreditmissbruk eller näringsförbud behandlas i kreditupplysningsverksamhet. 10 § Var och en har rätt att mot skälig avgift hos den som bedriver kreditupplysningsverksamhet få skriftligt besked om huruvida det i verksamheten behandlas uppgifter om honom. Fysiska personer har rätt att en gång per kalenderår få ett besked gratis. Behandlas sådana uppgifter skall besked lämnas om En juridisk person har rätt att mot skälig avgift hos den som bedriver kreditupplysningsverksamhet få skriftligt besked om huruvida det i verksamheten behandlas uppgifter om den juridiska personen. Behandlas sådana uppgifter ska besked lämnas om a) vilka uppgifter som behandlas, a) vilka uppgifter som behandlas, b) om den registrerade är en fysisk person: varifrån uppgifterna har hämtats, b) ändamålen med behandlingen, och c) ändamålen med behandlingen och c) till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut. d) till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut. Bestämmelserna i första stycket tillämpas inte i den utsträckning det skulle strida mot bestämmelserna i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen. Första stycket tillämpas inte i den utsträckning det skulle strida mot bestämmelserna i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen. En begäran om besked enligt första stycket om en fysisk person skall göras skriftligen och vara egenhändigt undertecknad. Bestämmelser om en fysisk persons rätt till tillgång till personuppgifter och annan information finns i artiklarna 12 och 15 i EU:s dataskyddsförordning. 11 § När en kreditupplysning om en fysisk person lämnas ut, ska till den som avses med upplysningen samtidigt och kostnadsfritt sändas ett skriftligt meddelande om 1. vem som bedriver kreditupplysningsverksamheten, 1. vem som bedriver kreditupplysningsverksamheten och kontaktuppgifter till dataskyddsombudet, om ett sådant ombud krävs enligt artikel 37 i EU:s dataskyddsförordning, 2. ändamålen med behandlingen, 2. ändamålen med och den rättsliga grunden för behandlingen, 3. de uppgifter, omdömen och råd som upplysningen innehåller om honom eller henne, 3. vilka kategorier av personuppgifter som behandlas, varifrån uppgifterna hämtats och hur länge uppgifterna kommer att lagras, 4. möjligheten att få rättelse av de uppgifter som rör honom eller henne, och 4. de uppgifter, omdömen och råd som upplysningen innehåller om honom eller henne, 5. möjligheten att få tillgång till och rättelse av de uppgifter som rör honom eller henne, 5. vem som har begärt upplysningen. 6. vilka kategorier av mottagare som kan ta del av personuppgifterna och vem som har begärt upplysningen, och 7. möjligheten att framställa klagomål till Datainspektionen. Om kreditupplysningen lämnas ut till ett svenskt kreditinstitut eller värdepappersbolag, eller till ett motsvarande utländskt företag, för att användas endast som underlag för beräkning av kapitalkravet för kreditrisker med en sådan metod som avses i artikel 143.1 i Europaparlamentets och rådets förordning (EU) nr 575/2013 av den 26 juni 2013 om tillsynskrav för kreditinstitut och värdepappersföretag och om ändring av förordning (EU) nr 648/2012, får meddelandet sändas senare men utan onödigt dröjsmål och begränsas till information enligt första stycket 1, 2 och 5. Om den som avses med upplysningen begär det, ska även information enligt 3 och 4 sändas till honom eller henne. Om kreditupplysningen lämnas ut till ett svenskt kreditinstitut eller värdepappersbolag, eller till ett motsvarande utländskt företag, för att användas endast som underlag för beräkning av kapitalkravet för kreditrisker med en sådan metod som avses i artikel 143.1 i Europaparlamentets och rådets förordning (EU) nr 575/2013 av den 26 juni 2013 om tillsynskrav för kreditinstitut och värdepappersföretag och om ändring av förordning (EU) nr 648/2012, får meddelandet sändas senare men utan onödigt dröjsmål och begränsas till information enligt första stycket 1, 2 och 6. Om den som avses med upplysningen begär det, ska även information enligt 3, 4, 5 och 7 sändas till honom eller henne. Första och andra styckena gäller också när en kreditupplysning lämnas om ett handelsbolag eller kommanditbolag. Första-tredje styckena gäller inte kreditupplysningar som lämnas genom offentliggörande på ett sådant sätt som avses i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen, utom när upplysningarna tillhandahålls ur en databas enligt 1 kap. 9 § yttrandefrihetsgrundlagen på sätt som avses i den paragrafens första stycke 1 och 2. Rättelse Rättelse, komplettering och radering 12 § Finns det anledning att misstänka att en uppgift som behandlas i kreditupplysningsverksamhet eller som har lämnats i en kreditupplysning under den senaste tolvmånadersperioden är oriktig eller missvisande, eller att den annars har behandlats i strid med denna lag, ska den som bedriver verksamheten utan dröjsmål vidta skäliga åtgärder för att utreda förhållandet. Om det finns anledning att misstänka att en uppgift som behandlas i kreditupplysningsverksamhet eller som har lämnats i en kreditupplysning under den senaste tolvmånadersperioden är oriktig eller missvisande, eller att den annars har behandlats i strid med denna lag eller EU:s dataskyddsförordning, ska den som bedriver verksamheten utan dröjsmål vidta skäliga åtgärder för att utreda förhållandet. Visar det sig att uppgiften är oriktig eller missvisande, eller att den annars har behandlats i strid med lagen, ska den, om den förekommer i register, rättas, kompletteras eller uteslutas ur registret. Om det visar sig att uppgiften är oriktig eller missvisande, eller att den annars har behandlats i strid med lagen eller EU:s dataskyddsförordning, ska den, om den förekommer i register, rättas, kompletteras eller raderas. Om en oriktig eller missvisande uppgift har tagits in i en kreditupplysning som lämnats ut, ska rättelse eller komplettering så snart det kan ske tillställas var och en som under den senaste tolvmånadersperioden fått del av uppgiften. Detta gäller inte offentliggörande av en kreditupplysning på ett sådant sätt som avses i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen, utom när upplysningen tillhandahållits ur en databas enligt 1 kap. 9 § yttrandefrihetsgrundlagen på sätt som avses i den paragrafens första stycke 1 och 2. Har uppgiften under den senaste tolvmånadersperioden lämnats i en periodisk skrift eller i en kreditupplysningsverksamhet som bedrivs genom återkommande offentliggöranden enligt yttrandefrihetsgrundlagen, ska rättelse eller komplettering så snart det kan ske införas i ett följande nummer av skriften eller motsvarande form av offentliggörande enligt yttrandefrihetsgrundlagen. Om uppgiften under den senaste tolvmånadersperioden har lämnats i en periodisk skrift eller i en kreditupplysningsverksamhet som bedrivs genom återkommande offentliggöranden enligt yttrandefrihetsgrundlagen, ska rättelse eller komplettering så snart det kan ske införas i ett följande nummer av skriften eller motsvarande form av offentliggörande enligt yttrandefrihetsgrundlagen. Andra-fjärde styckena gäller inte om uppgiften uppenbarligen saknar betydelse för bedömningen av vederbörandes vederhäftighet i ekonomiskt hänseende. Andra-fjärde styckena gäller inte om uppgiften uppenbarligen saknar betydelse för bedömningen av personens vederhäftighet i ekonomiskt hänseende. Har en fråga om rättelse eller liknande åtgärd tagits upp efter framställning från den som uppgiften avser, ska denne kostnadsfritt underrättas om huruvida en sådan åtgärd vidtagits. Om en fråga om rättelse eller liknande åtgärd har tagits upp efter framställning från den som uppgiften avser, ska han eller hon kostnadsfritt underrättas om huruvida en sådan åtgärd har vidtagits. En fysisk person ska på begäran även få information om vem som har tillställts en rättelse eller komplettering enligt tredje stycket. Begränsning av behandling av personuppgifter 12 a § I artikel 18 i EU:s dataskyddsförordning finns bestämmelser om fysiska personers rätt att begära att behandlingen av personuppgifter begränsas. 15 § Datainspektionen utövar tillsyn över efterlevnaden av denna lag. Tillsynen skall utövas så, att den icke vållar större kostnad eller olägenhet än som är nödvändig. Tillsynen ska utövas så att den inte vållar större kostnad eller olägenhet än som är nödvändig. Vid tillsyn över sådan behandling av personuppgifter som omfattas av EU:s dataskyddsförordning gäller Datainspektionens befogenheter enligt denna lag utöver de befogenheter som tillsynsmyndigheten har enligt artikel 58.1-58.3 i den förordningen. 21 § Den som bedriver kreditupplysningsverksamhet skall ersätta skada som till följd av verksamheten tillfogas någon genom otillbörligt intrång i hans personliga integritet eller genom att oriktig uppgift lämnas om honom, om icke den som bedriver verksamheten kan visa att tillbörlig omsorg och varsamhet iakttagits. Vid bedömande om och i vad mån skada har uppstått tages hänsyn även till lidande och andra omständigheter av annan än rent ekonomisk betydelse Den som bedriver kreditupplysningsverksamhet ska ersätta skada som till följd av verksamheten tillfogas någon genom otillbörligt intrång i hans eller hennes personliga integritet eller genom att en oriktig uppgift lämnas om honom eller henne, om inte den som bedriver verksamheten kan visa att tillbörlig omsorg och varsamhet har iakttagits. Vid bedömningen av i vilken utsträckning skada har uppstått ska hänsyn tas även till lidande och andra omständigheter av annan än rent ekonomisk betydelse. För sådan behandling av personuppgifter som omfattas av EU:s dataskyddsförordning gäller artikel 82 i den förordningen i stället för första stycket. Denna lag träder i kraft den 25 maj 2018. 2.2 Förslag till lag om ändring i lagen (2012:318) om 1996 års Haagkonvention Härigenom föreskrivs att 10 § lagen (2012:318) om 1996 års Haagkonvention ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 10 § En svensk myndighet får utan hinder av 33 § personuppgiftslagen (1998:204) föra över personuppgifter till en myndighet i ett land utanför det Europeiska ekonomiska samarbetsområdet, om det behövs för att den myndigheten ska kunna överväga en nödvändig åtgärd enligt 1996 års Haagkonvention. En svensk myndighet får föra över personuppgifter till en myndighet i ett land utanför Europeiska ekonomiska samarbetsområdet, om det behövs för att den myndigheten ska kunna överväga en nödvändig åtgärd enligt 1996 års Haagkonvention. Denna lag träder i kraft den 25 maj 2018. 3 Ärendet och dess beredning Den 27 april 2016 utfärdades Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), EU:s dataskyddsförordning. Förordningen, som börjar tillämpas den 25 maj 2018, finns i svensk lydelse som bilaga 1. I Justitiedepartementet har departementspromemorian En anpassning till dataskyddsförordningen - kreditupplysningslagen och några andra författningar (Ds 2017:26) tagits fram. I promemorian lämnas förslag på anpassningar av författningar på familjerättens och den allmänna förmögenhetsrättens områden till följd av dataskyddsförordningen. En sammanfattning av promemorian finns i bilaga 2. Promemorians lagförslag finns i bilaga 3. Promemorian har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 4. Remissyttrandena finns tillgängliga i Justitiedepartementet (dnr Ju2017/05721/L2). Flera remissinstanser har synpunkter och förslag i frågor som inte har samband med anpassningen till dataskyddsförordningen. Synpunkterna gäller främst kreditupplysningsverksamhet, men även i viss mån inkassoverksamhet. Dessa frågor behandlas inte i propositionen. Ett par remissinstanser framhåller i sina yttranden de bedömningar som Integritetskommittén i betänkandet Så stärker vi den personliga integriteten (SOU 2017:52) gör i fråga om den enskildes integritet i kreditupplysningsverksamhet. Betänkandet har remissbehandlats och bereds för närvarande i Regeringskansliet. En ny fråga i propositionen är om en kreditupplysning om en näringsidkare ska få innehålla uppgifter om skulder som inte har fastställts av en domstol eller Kronofogdemyndigheten. Regeringen gav i februari 2014 en särskild utredare i uppdrag att kartlägga omfattningen och karaktären av problemen med fakturabedrägerier och att med beaktande av kartläggningen överväga behovet av lagändringar och andra åtgärder. I uppdraget ingick att överväga om regleringen i fråga om uppgifter i Kronofogdemyndighetens register och om kreditupplysning bör ändras för att minska effekten av ett otillbörligt hot om att ge in en ansökan om betalningsföreläggande. Utredningen överlämnade i september 2015 betänkandet Fakturabedrägerier (SOU 2015:77). En sammanfattning av betänkandet finns i bilaga 5. Betänkandet har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 6. Remissyttrandena finns tillgängliga i Justitiedepartementet (dnr Ju2015/06504/L2). Våren 2016 beslutade riksdagen ett tillkännagivande om att regeringen bör överväga en ändring i kreditupplysningslagen så att kreditupplysningar om näringsidkare inte omfattar skulder som inte blivit fastställda av en domstol eller Kronofogdemyndigheten (bet. 2015/16:FiU22 punkt 5, rskr. 2015/16:195). Genom övervägandena i propositionen (se avsnitt 7) anser regeringen att riksdagsskrivelsen är slutbehandlad. Lagrådet Regeringen beslutade den 11 januari 2017 att inhämta Lagrådets yttrande över de lagförslag som finns i bilaga 7. Lagrådets yttrande finns i bilaga 8. Lagrådets synpunkt behandlas i författningskommentaren. Regeringen följer Lagrådets förslag. 4 Dataskyddsreformen 4.1 Dataskyddsdirektivet och den nationella personuppgiftsregleringen Allmänna EU-regler om behandling av personuppgifter finns i dag i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (här kallat dataskyddsdirektivet). Direktivet syftar till att garantera skyddet för enskildas grundläggande fri- och rättigheter vid personuppgiftsbehandling. Det syftar också till att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU. Det gäller inte för behandling av personuppgifter på områden som faller utanför unionsrätten. Dataskyddsdirektivet har genomförts i svensk rätt huvudsakligen genom personuppgiftslagen (1998:204). Personuppgiftslagen är tillämplig även utanför direktivets tillämpningsområde och gäller för myndigheter och enskilda som behandlar personuppgifter. Lagen är samtidigt subsidiär, vilket innebär att lagens bestämmelser inte ska tillämpas om det finns avvikande regler i en annan författning. Det finns en stor mängd sådan sektorspecifik dataskyddsreglering i vad som brukar kallas särskilda registerförfattningar eller andra informationshanteringsförfattningar. De särskilda registerförfattningarna föreskriver framför allt hur olika statliga och kommunala myndigheter får behandla personuppgifter. Vissa författningar reglerar dataskyddet i det närmaste heltäckande medan andra författningar innehåller enstaka bestämmelser som i något avseende anger hur författningarna förhåller sig till personuppgiftslagens reglering. Utöver de särskilda registerförfattningarna finns det även författningar som innehåller bestämmelser om personuppgiftsbehandling, men som saknar regler om registerföring. Personuppgiftsbestämmelser finns även i författningar som främst har andra syften än att reglera personuppgiftsbehandling. 4.2 Dataskyddsförordningen och behovet att anpassa nationell reglering Den 27 april 2016 utfärdades dataskyddsförordningen. Förordningen är en ny generell reglering för personuppgiftsbehandling inom EU och ersätter, när den börjar tillämpas den 25 maj 2018, dataskyddsdirektivet. Dataskyddsförordningen baseras till stor del på dataskyddsdirektivets struktur och innehåll, men innehåller även en rad nyheter. Det huvudsakliga syftet med förordningen är att ytterligare harmonisera och effektivisera skyddet för personuppgifter för att förbättra den inre marknadens funktion och öka enskildas kontroll över sina personuppgifter. En EU-förordning är direkt tillämplig i medlemsstaterna. När dataskyddsförordningen börjar tillämpas, kommer den därför att ersätta personuppgiftslagen som det generella regelverk som reglerar behandling av personuppgifter. Regeringen föreslår i prop. 2017/18:105 en ny lag - lagen med kompletterande bestämmelser till EU:s dataskyddsförordning (den föreslagna dataskyddslagen) - som upphäver personuppgiftslagen och på ett generellt plan kompletterar och i viss utsträckning gör undantag från dataskyddsförordningen. Dataskyddsreformen medför ett behov av att se över nationell sektorspecifik dataskyddsreglering. Bestämmelser som avviker från eller dubblerar bestämmelser i dataskyddsförordningen kan behållas endast om förordningen ger utrymme för det. Dataskyddsförordningen ger dock ett förhållandevis stort utrymme att behålla eller införa särregleringar för sådan personuppgiftsbehandling som är nödvändig för att den som är personuppgiftsansvarig ska kunna uppfylla en rättslig skyldighet, utföra en uppgift av allmänt intresse eller behandla uppgifter i samband med myndighetsutövning. Hänvisningar i olika författningar till personuppgiftslagen behöver också tas bort. 5 Kreditupplysningsverksamhet i Sverige Kreditupplysningslagen (1973:1173) innehåller regler för kreditupplysningsverksamhet som bedrivs yrkesmässigt. Lagen syftar främst till att undanröja risker för att kreditupplysningar ska medföra otillbörligt intrång i enskildas personliga integritet. Samtidigt är den avsedd att bidra till en effektivt fungerande kreditupplysningsverksamhet. Kreditupplysningslagen gäller för kreditupplysningar om både fysiska och juridiska personer. Lagen är inte en heltäckande reglering - även personuppgiftslagen kan vara tillämplig i kreditupplysningsverksamhet. Kreditupplysningar om fysiska personer utgör som regel personuppgifter. Personuppgiftslagens reglering av behandlingen av sådana uppgifter är därför tillämplig, om inte något annat följer av kreditupplysningslagen. I kreditupplysningslagen finns också ett antal bestämmelser som reglerar förhållandet mellan kreditupplysningslagen och personuppgiftslagen. Med kreditupplysningar avses enligt kreditupplysningslagen uppgifter, omdömen eller råd som lämnas till ledning för bedömning av någon annans kreditvärdighet eller vederhäftighet i övrigt i ekonomiskt hänseende. En kreditupplysning består främst av ekonomisk information, såsom uppgifter om inkomster, fastighetsinnehav och betalningsförsummelser. Även andra uppgifter kan ingå, t.ex. uppgifter om civilstånd. Några beslut om kredit fattas inte i kreditupplysningsverksamhet. Även om en kreditgivares beslut grundas enbart på automatiserad behandling av uppgifter som är avsedda för att bedöma en persons kreditvärdighet, är det inte i kreditupplysningsverksamheten som beslutet fattas (jfr Ds 1998:44 s. 43). Kreditupplysningslagen ställer upp vissa grundläggande krav på hur verksamheten ska bedrivas. Särskilda och strängare regler gäller för känsliga uppgifter, t.ex. uppgifter om etniskt ursprung, hälsa och lagöverträdelser som innefattar brott. För uppgifter om fysiska personer som inte är näringsidkare uppställs en frist för när gallring senast ska ske. När en kreditupplysning om en fysisk person lämnas, ska den omfrågade få en kreditupplysningskopia. Var och en har också rätt att få besked om vilka uppgifter som finns registrerade om honom eller henne och att få felaktiga eller missvisande uppgifter rättade. I kreditupplysningslagen finns även bestämmelser om skadestånd och straff för överträdelser av vissa bestämmelser. Sådan kreditupplysningsverksamhet som omfattas av lagen får som regel bedrivas endast efter tillstånd av Datainspektionen. Datainspektionen utövar också tillsyn över efterlevnaden av kreditupplysningslagen. 6 En anpassning till dataskyddsförordningen 6.1 Förhållandet mellan nationell reglering och dataskyddsförordningen Regeringens förslag: Det ska föreskrivas i kreditupplysningslagen att lagen, i den del den avser behandling av personuppgifter, innehåller kompletterande bestämmelser till EU:s dataskyddsförordning och att, vid sådan behandling av personuppgifter som omfattas av dataskyddsförordningen, gäller även den föreslagna dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av kreditupplysningslagen eller föreskrifter som regeringen har meddelat i anslutning till lagen. Promemorian innehåller inte något förslag som motsvarar regeringens. Remissinstanserna: Datainspektionen anser att det är viktigt att det tydligt framgår av den nationella personuppgiftsregleringen - särskilt kreditupplysningslagen - att den kompletterar dataskyddsförordningen. Inspektionen efterfrågar också ytterligare analys av dataskyddsförordningens förhållande till yttrande- och informationsfriheten, så som den kommer till uttryck i kreditupplysningslagen. Skälen för regeringens förslag: Dataskyddsförordningen blir bindande och direkt tillämplig i Sverige. Förordningen ska därför inte genomföras i svensk rätt. Det krävs dock att svenska författningar kompletteras, ändras eller upphävs för att säkerställa både att förordningen får ett effektivt genomslag och att svensk rätt inte strider mot förordningen. Syftet med förslagen i propositionen är att i nyssnämnda avseenden anpassa lagar på familjerättens och den allmänna förmögenhetsrättens områden till den nya förordningen. Anpassningen ska mynna ut i att de nationella regleringarna uppfyller ett mål av allmänt intresse och är proportionella mot de legitima mål som eftersträvas (artikel 6.3 i förordningen). En utgångspunkt för anpassningen bör enligt regeringen vara att personuppgiftsbehandling som i dag är laglig - om det är möjligt - ska vara det även i framtiden. I de avseenden dataskyddsförordningens reglering inte innebär någon saklig ändring i förhållande till dataskyddsdirektivet och det tidigare har bedömts att svenska regler är förenliga med direktivet bör utgångspunkten vara att gällande regelverk inte bör förändras i sak. Den generella dataskyddsregleringen kommer inte bara att finnas i dataskyddsförordningen utan även i kompletterande nationella författningar. Regeringen föreslår i prop. 2017/18:105 kompletterande lagbestämmelser till EU:s dataskyddsförordning, som även upphäver personuppgiftslagen. Hänvisningar till personuppgiftslagen behöver därför tas bort eller ersättas av hänvisningar till dataskyddsförordningen. I den ovan nämnda propositionen konstateras vidare att den EU-rättsliga dataskyddsregleringen inte inkräktar på området för tryckfrihetsförordningen och yttrandefrihetsgrundlagen (se s. 40-43 och 1 kap. 7 § första stycket i den föreslagna dataskyddslagen). Bedömningarna i förevarande proposition (se avsnitt 6.6 och 6.7) utgår från de överväganden som görs där. Synpunkten från Datainspektionen om behovet av ytterligare analys av förhållandet mellan dataskyddsförordningen och den grundlagsfästa yttrande- och informationsfriheten behandlas därför inte ytterligare här. Den författning på familjerättens och den allmänna förmögenhetsrättens områden som i störst utsträckning berörs av dataskyddsreformen och förslagen i denna proposition är kreditupplysningslagen. Lagen innehåller flera bestämmelser som genomför dataskyddsdirektivet i svensk rätt. Lagen reglerar inte personuppgiftsbehandling heltäckande - även personuppgiftslagen är tillämplig i kreditupplysningsverksamhet. När dataskyddsförordningen börjar tillämpas, kommer förordningens bestämmelser att gälla oberoende av om förhållandet till förordningen regleras i nationella författningar. Något behov av att i varje författning införa en upplysningsbestämmelse som klargör förhållandet till dataskyddsförordningen finns inte enligt regeringen. Som Datainspektionen framhåller ökar dock risken att en enskild tillämpare felaktigt uppfattar att den nationella författningen är det primära regelverket på området, om författningen - i likhet med kreditupplysningslagen - reglerar många frågor om personuppgiftsbehandling. För att tydliggöra kreditupplysningslagens förhållande till dataskyddsförordningen och undvika missförstånd bör det därför införas en bestämmelse i lagen som klargör att den innehåller kompletterande bestämmelser till dataskyddsförordningen. Det bör även föreskrivas att vid behandling av personuppgifter som omfattas av dataskyddsförordningen gäller även dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av kreditupplysningslagen eller föreskrifter som regeringen har meddelat i anslutning till denna lag (jfr 1 kap. 6 § i den föreslagna dataskyddslagen). I samband med att dataskyddsdirektivet genomfördes gjordes bedömningen att även om kreditupplysningslagen inte innehåller en fullständig personuppgiftsreglering, bör det eftersträvas att lagen reglerar frågor som är av särskild betydelse för kreditupplysningsverksamhet (se prop. 2000/01:50 s. 14). Den föresats som då gällde bör - så långt det är möjligt - gälla även nu när lagen ska anpassas till dataskyddsförordningen. I den mån dataskyddsförordningen tillåter det bör därför kreditupplysningslagen innehålla regler av särskild betydelse för kreditupplysningsverksamheten. Kreditupplysningslagen bör alltså i fortsättningen stå i en i många avseenden liknande relation till dataskyddsförordningen som lagen hittills gjort till personuppgiftslagen. Förordningen har dock - som Datainspektionen uppmärksammar - givetvis företräde framför lagen vid en eventuell normkonflikt. Även i övrigt bör kreditupplysningslagens struktur så långt det är möjligt behållas. Det innebär att när lagen reglerar behandling av uppgifter om juridiska personer, bör det - antingen genom en direkt reglering eller genom en hänvisning till dataskyddsförordningen - klargöras vad som gäller för behandling av uppgifter om fysiska personer. De hänvisningar till dataskyddsförordningen som föreslås i denna proposition bör, liksom den befintliga hänvisningen till en annan EU-förordning i 11 § andra stycket kreditupplysningslagen, vara dynamiska till sin karaktär, dvs. avse förordningarna i den vid varje tidpunkt gällande lydelsen. Hänvisningarna kommer alltså att omfatta eventuella ändringar i dataskyddsförordningen. Det hindrar dock inte att de hänvisande bestämmelserna ändå kan behöva ändras i samband med framtida ändringar i förordningarna, om förordningarnas innehåll då ändras i sak. 6.2 En fastställd rättslig grund för behandling av personuppgifter Regeringens bedömning: Bestämmelserna i EU:s dataskyddsförordning om att vissa rättsliga grunder för behandling av personuppgifter ska vara fastställda i unionsrätten eller den nationella rätten kräver inga ändringar i kreditupplysningslagen eller andra lagar på familjerättens och den allmänna förmögenhetsrättens områden. Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: De flesta remissinstanser delar promemorians bedömning eller lämnar den utan invändning. Datainspektionen efterfrågar, särskilt när det gäller behandling som sker inom ramen för statliga och kommunala myndigheters verksamhet, ett tydligare utpekande av vilka rättsliga grunder som behandlingen av personuppgifter grundar sig på. Inspektionen efterfrågar även en analys av att lagstiftningen är proportionell mot det legitima mål som eftersträvas. Flera remissinstanser - bl.a. Bisnode Sverige AB, Svensk Inkasso och CreditSafe i Sverige AB - framför att det bör klargöras i kreditupplysningslagen och inkassolagen att bedrivandet av kreditupplysnings- respektive inkassoverksamhet är uppgifter av allmänt intresse. Andra remissinstanser - Umeå universitet och Dataskydd.net - ifrågasätter dock om bedrivandet av kreditupplysningsverksamhet kan anses utgöra en uppgift av allmänt intresse. Universitetet anser att det inte är helt klart vad som omfattas av det begreppet och att frågan skulle behöva utredas ytterligare. Skälen för regeringens bedömning: Dataskyddsförordningen utgår från att varje behandling av personuppgifter ska vila på en rättslig grund (artikel 6). Att den registrerade har samtyckt till personuppgiftsbehandlingen är en sådan rättslig grund. Behandlingen är också rättsligt grundad om den är nödvändig för att fullgöra ett avtal som den registrerade är part i eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås. Detsamma gäller om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som vilar på den som är personuppgiftsansvarig, eller för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning. Det finns även rättslig grund om behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller en annan fysisk person eller för ändamål som rör ett berättigat intresse. Det sistnämnda gäller dock bara under förutsättning att inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver ett skydd av personuppgifterna. Dataskyddsförordningens artikel 6 motsvarar i många avseenden artikel 7 i dataskyddsdirektivet och 10 § personuppgiftslagen. En väsentlig skillnad är att den rättsliga grunden om behandling för ändamål som rör ett berättigat intresse enligt förordningen inte gäller för behandling som utförs av myndigheter (artikel 6.1 andra stycket). En annan betydelsefull skillnad är att det i förordningen ställs upp krav på att vissa rättsliga grunder för behandling ska vara fastställda i unionsrätten eller den nationella rätten (artikel 6.3 första stycket). Det nya kravet gäller behandling som är nödvändig för att fullgöra en rättslig förpliktelse som den som är personuppgiftsansvarig har (artikel 6.1 c). Det gäller även behandling som är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning (artikel 6.1 e). Kravet innebär alltså att de nyssnämnda rättsliga grunderna - rättslig förpliktelse, allmänt intresse och myndighetsutövning - ska vara fastställda i unionsrätten eller den nationella rätten för att kunna läggas till grund för personuppgiftsbehandling. Det innebär däremot inte att det krävs en särskild reglering med anledning av att dataskyddsförordningen börjar tillämpas. Vilken rättslig grund en behandling vilar på har betydelse för hur en verksamhet får regleras. Om personuppgiftsbehandlingen är nödvändig för att fullgöra en rättslig förpliktelse eller för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning, ger dataskyddsförordningen medlemsstaterna visst utrymme att i nationell lagstiftning behålla eller införa specifika bestämmelser för att anpassa tillämpningen av förordningen (artikel 6.2 och 6.3 andra stycket). Det är alltså möjligt att i angivna situationer på nationell nivå föreskriva särskilda krav som ska gälla för behandlingen. Den rättsliga grund som en behandling vilar på får därmed avgörande betydelse för om nationella bestämmelser som reglerar personuppgiftsbehandling i en verksamhet kan behållas. Den författning eller det beslut som utgör den rättsliga grunden för behandling av personuppgifter enligt dataskyddsförordningen måste uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas (artikel 6.3). Regeringen föreslår i prop. 2017/18:105 bestämmelser som anger hur de rättsliga grunderna i artikel 6.1 c och e i förordningen ska vara fastställda för att utgöra en rättslig grund för behandling av personuppgifter (2 kap. i den föreslagna dataskyddslagen). I propositionen utvecklas även regeringens bedömningar i fråga om statliga och kommunala myndigheters verksamhet och uppgifter samt innebörden av förordningens krav på proportionalitet. Datainspektionen vill se ett tydligare utpekande av de rättsliga grunderna för statliga och kommunala myndigheters verksamhet på familjerättens och den allmänna förmögenhetsrättens områden. Det är inte möjligt att ange samtliga författningsbestämmelser som kan utgöra grund för en personuppgiftsbehandling i sådan verksamhet. Regeringen konstaterar dock att myndighetsutövning i Sverige inte kan ske utan författningsstöd. Det kan därför förutsättas att den rättsliga grunden för personuppgiftsbehandling som sker som ett led i myndighetsutövning är fastställd på det sätt som dataskyddsförordningen kräver. Detsamma gäller när den rättsliga grunden är en rättslig förpliktelse som en myndighet eller en enskild har och som kräver personuppgiftsbehandling. Rättsliga förpliktelser framgår redan av eller meddelas med stöd av författning. Exempel på rättsliga förpliktelser på familjerättens och den allmänna förmögenhetsrättens områden är kraven att Skatteverket ska föra ett äktenskapsregister (16 kap. 1 § äktenskapsbalken) och att Bolagsverket ska föra ett konkursregister (15 kap. 5 § konkurslagen). De uppgifter som statliga och kommunala myndigheter getts i uppdrag att utföra får dessutom anses vara av allmänt intresse. Myndigheters verksamhet och uppdrag är vidare enligt regeringen reglerade på ett sådant sätt att dataskyddsförordningens krav på att grunden för behandlingen ska vara fastställd är uppfyllt (jfr skäl 41). Ett exempel på en lag på familjerättens område som ger statliga och kommunala myndigheter uppgifter som är av allmänt intresse och som förutsätter personuppgiftsbehandling är lagen (2012:318) om 1996 års Haagkonvention (se avsnitt 6.14). Även enskilda kan ha uppgifter som är av allmänt intresse och som förutsätter personuppgiftsbehandling. Umeå universitet lyfter fram att begreppet allmänt intresse är oklart och behöver utredas ytterligare. Begreppet är inte nytt utan förekommer även i dataskyddsdirektivet. Däremot innebär dataskyddsförordningens regleringskrav att tillämpningsområdet begränsas. Någon definition av begreppet finns inte i förordningen eller dataskyddsdirektivet och dess innebörd i det nu aktuella sammanhanget har inte utvecklats av EU-domstolen. Att på nationell nivå vidta ytterligare åtgärder för att klargöra begreppets innebörd kan inte förväntas ge ytterligare ledning. Dataskyddsutredningen bedömer att kreditupplysningsverksamhet och tillhandahållande av finansiella tjänster i princip skulle kunna anses vara verksamhet av allmänt intresse (se SOU 2017:39 s. 125 och 126). Bedömningen ligger i linje med de överväganden som gjordes i samband med att kreditupplysningslagen anpassades till dataskyddsdirektivet (se prop. 2000/01:50 s. 20 och 21). I förarbetena till kreditupplysningslagen anges att kreditupplysningsverksamheten har betydelse för dels kreditgivarens möjligheter att skydda sig mot förlust (kreditskydd), dels kreditsökandens möjligheter att få den sökta krediten. Men även från samhällelig synpunkt är det väsentligt att kreditgivningen fungerar så friktionsfritt som möjligt. Av särskild betydelse är att kreditgivningen inte bromsas upp enbart på grund av svårigheter att bedöma riskerna för kreditförlust och liknande olägenheter. Samhället har därför ett behov av kreditupplysningsverksamhet och ett starkt intresse av att denna på ett effektivt sätt fyller sin kreditskyddande funktion (se prop. 1973:155 s. 13). Mot den angivna bakgrunden bedömer regeringen att bedrivandet av kreditupplysningsverksamhet, som är noga lagreglerad, får anses vara en uppgift av allmänt intresse. Detsamma får anses vara fallet med inkassoverksamhet, som är väsentlig för att flödet av betalningar i samhället ska fungera och att det effektivt ska gå att driva in fordringar som är förfallna till betalning. Någon anledning att, som efterfrågas av några remissinstanser, lagfästa dessa bedömningar finns inte. De aktuella verksamheterna regleras genom lag och förordning samt Datainspektionens föreskrifter och tillståndsbeslut. Härigenom är dataskyddsförordningens krav på att den rättsliga grunden ska vara fastställd uppfyllt. Dataskyddsförordningens krav på att den rättsliga grunden för personuppgiftsbehandlingen i vissa fall ska vara fastställd medför alltså inte något behov av ändringar i kreditupplysningslagen eller andra lagar på familjerättens och den allmänna förmögenhetsrättens områden. Det bör dock uppmärksammas att personuppgiftsbehandlingen även måste uppfylla förordningens övriga krav för att behandling ska få ske. Datainspektionen efterfrågar en analys av om lagstiftningen är proportionell mot det legitima mål som eftersträvas. Som framgår av avsnitt 6.1 är syftet med förslagen att anpassningen ska mynna ut i att de nationella regleringarna uppfyller ett mål av allmänt intresse och är proportionella mot de legitima mål som eftersträvas (artikel 6.3 i förordningen). Regeringens bedömning att lagarna på familjerättens och den allmänna förmögenhetsrättens områden med de föreslagna ändringarna är förenliga med dataskyddsförordningen innefattar alltså även ett ställningstagande i denna del. Överväganden i fråga om lagstiftningens proportionalitet finns även i avsnitt 6.6-6.8. Personuppgiftsbehandling på familjerättens och den allmänna förmögenhetsrättens områden kan, utifrån omständigheterna, även vila på någon annan av dataskyddsförordningens rättsliga grunder. I flera fall, t.ex. när det gäller inkassoverksamhet, torde en behandling kunna vila på flera alternativa rättsliga grunder. Eftersom övriga rättsliga grunder inte behöver fastställas i unionsrätten eller den nationella rätten, behandlas de dock inte i propositionen. Det är den som är personuppgiftsansvarig som är skyldig att försäkra sig om att behandlingen i varje enskilt fall har stöd i en rättslig grund och att övriga krav på behandlingen efterlevs. 6.3 Grundläggande krav för behandling av personuppgifter Regeringens förslag: Hänvisningen i kreditupplysningslagen till personuppgiftslagens grundläggande krav för personuppgiftsbehandling ska ersättas med en hänvisning till motsvarande artikel i EU:s dataskyddsförordning. Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Remissinstanserna tillstyrker förslaget eller har ingen invändning mot det. Skälen för regeringens förslag: Utöver kravet på att all personuppgiftsbehandling ska vila på en rättslig grund, som i vissa fall ska vara fastställd i unionsrätten eller den nationella rätten, omgärdas varje behandling av personuppgifter av ytterligare krav. Principerna för behandling finns i artikel 5 i dataskyddsförordningen. Av denna framgår de grundläggande kraven för behandling av personuppgifter, dvs. att uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. Vidare anges och utvecklas vissa principer som gäller vid personuppgiftsbehandling, nämligen principerna om ändamålsbegränsning, uppgiftsminimering, korrekthet, lagringsminimering, integritet och konfidentialitet. Slutligen anges att det är den som är personuppgiftsansvarig som ansvarar för - och ska kunna visa - att de grundläggande principerna efterlevs. Artikel 5 i dataskyddsförordningen motsvarar i stora drag dataskyddsdirektivets artikel 6, som har genomförts i svensk rätt genom 9 § personuppgiftslagen. En hänvisning till personuppgiftslagens grundläggande krav finns i 5 § första stycket andra meningen kreditupplysningslagen. I första meningen i det angivna stycket föreskrivs att kreditupplysningsverksamhet ska bedrivas så att den inte leder till otillbörligt intrång i personlig integritet genom innehållet i de uppgifter som förmedlas eller på annat sätt eller till att oriktiga eller missvisande uppgifter lagras eller lämnas ut. I andra meningen finns en hänvisning som klargör att för behandling av personuppgifter som omfattas av personuppgiftslagen gäller i stället 9 § första stycket a, b och d-h i den lagen. När dataskyddsförordningen börjar tillämpas, kommer personuppgiftslagen att upphävas och artikel 5 i förordningen i stället vara tillämplig. Hänvisningen till personuppgiftslagen måste därför tas bort. När kreditupplysningslagen anpassades till dataskyddsdirektivet och personuppgiftslagen, konstaterades att tillämpningsområdena för den allmänna regleringen i 5 § första stycket första meningen kreditupplysningslagen och 9 § personuppgiftslagen inte var identiska (se prop. 2000/01:50 s. 17). Motsvarande gäller för förhållandet till artikel 5 i dataskyddsförordningen. Kraven i artikel 5 är inriktade på den som är personuppgiftsansvarig och avser hur personuppgifter ska behandlas, medan kraven i 5 § avser hur kreditupplysningsverksamheten som sådan ska bedrivas. Kreditupplysningslagens regel kan vidare fylla en funktion vid behandling av uppgifter om juridiska personer och för sådan ostrukturerad manuell behandling som inte omfattas av dataskyddsförordningen. Regeringen anser mot denna bakgrund att det finns anledning och utrymme att behålla regleringen i 5 § första stycket första meningen kreditupplysningslagen. Hänvisningen till personuppgiftslagen i 5 § första stycket andra meningen kreditupplysningslagen bör då ersättas med en hänvisning till artikel 5 i dataskyddsförordningen. Det innebär att kraven i 5 § första stycket första meningen kreditupplysningslagen i fortsättningen kommer att gälla i kreditupplysningsverksamhet i den mån inte dataskyddsförordningen i stället ska tillämpas. 6.4 Krav på tillstånd för att bedriva verksamhet Regeringens bedömning: Kraven på att den som bedriver kreditupplysnings- eller inkassoverksamhet som huvudregel ska ha tillstånd för att bedriva verksamheten är förenliga med EU:s dataskyddsförordning och kan behållas. Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Bara en remissinstans, Datainspektionen, yttrar sig särskilt i frågan. Datainspektionen påpekar att tillståndsplikten i inkassolagen inte kan jämställas med ett förhandstillstånd som avses i artikel 36.5 i dataskyddförordningen. Inspektionen ifrågasätter också om tillståndsplikten i kreditupplysningslagen kan jämställas med ett sådant förhandstillstånd. Datainspektionen anser vidare att det bör göras en generell konsekvensbedömning avseende dataskydd för personuppgiftsbehandling i kreditupplysningsverksamhet (jfr artikel 35.10 i förordningen). Skälen för regeringens bedömning: För att få bedriva kreditupplysningsverksamhet eller inkassoverksamhet krävs som huvudregel tillstånd från Datainspektionen (3 § första stycket kreditupplysningslagen respektive 2 § inkassolagen). Som en naturlig följd av tillståndskraven uppställs även krav på medgivande från Datainspektionen för att överlåta eller upplåta register som förs i verksamheterna till någon annan. Något hinder för att uppställa krav på tillstånd respektive medgivande finns inte i dataskyddsförordningen, och bestämmelserna kan och bör därför behållas. I linje med vad Datainspektionen för fram kan dock den nuvarande regleringen av tillståndskraven i kreditupplysnings- och inkassoverksamhet inte anses utgöra ett sådant förhandstillstånd till personuppgiftsbehandling som avses i artikel 36.5 i dataskyddsförordningen. Den som är personuppgiftsansvarig ska - liksom alla andra personuppgiftsansvariga - göra en konsekvensbedömning av dataskyddet om en planerad behandling sannolikt leder till hög risk för fysiska personers rättigheter och friheter (artikel 35). Han eller hon ska också samråda med tillsynsmyndigheten, om konsekvensbedömningen bekräftar att det finns en hög risk. Det gäller dock inte om den som är personuppgiftsansvarig vidtar åtgärder för att minska risken (artikel 36.1). Kravet på en personuppgiftsansvarig att genomföra en konsekvensbedömning faller bort om en sådan gjorts som en del av en allmän konsekvensbedömning i samband med att den rättsliga grunden för behandlingen i fråga antogs (artikel 35.10). I motsats till Datainspektionen anser regeringen dock att det inte finns förutsättningar att i det här lagstiftningsärendet göra en generell konsekvensbedömning av dataskyddet för personuppgiftsbehandling i kreditupplysningsverksamhet. Någon sådan generell konsekvensanalys bör alltså inte genomföras. 6.5 Behandling av känsliga personuppgifter och uppgifter om lagöverträdelser Regeringens förslag: Förbudet mot behandling av känsliga personuppgifter i kreditupplysningsverksamhet ska omfatta även behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person och uppgifter om sexuell läggning. Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Remissinstanserna tillstyrker promemorians förslag eller har ingen invändning mot det. Datainspektionen anser att förbudet i kreditupplysningslagen mot behandling av administrativa frihetsberövanden bör tas bort med hänsyn till att Dataskyddsutredningen har gjort bedömningen att det inte finns stöd i förordningen för att föreskriva ett förbud mot behandling av sådana uppgifter (se SOU 2017:39 s. 192). Skälen för regeringens förslag: I artiklarna 9 och 10 i dataskyddsförordningen finns föreskrifter om i vilka situationer särskilda kategorier av personuppgifter (s.k. känsliga personuppgifter) och personuppgifter som rör fällande domar i brottmål samt lagöverträdelser får behandlas. Regleringen motsvarar i stort artikel 8 i dataskyddsdirektivet. En nyhet i dataskyddsförordningen är att uppräkningen av känsliga personuppgifter i artikel 9 även omfattar genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person och uppgifter om sexuell läggning. Dessutom begränsas reglerna som enligt direktivet rör behandling av personuppgifter om brottmålsdomar till att i artikel 10 i förordningen bara gälla behandling av personuppgifter om fällande domar i brottmål. I 6 § kreditupplysningslagen finns bestämmelser som genomför artikel 8 i dataskyddsdirektivet. I paragrafen förbjuds behandling av känsliga personuppgifter och uppgifter om lagöverträdelser och administrativa frihetsberövanden. Paragrafen gäller i stället för de generella bestämmelserna i 13-21 §§ personuppgiftslagen. Det innebär att de undantag från förbudet att behandla känsliga personuppgifter som finns i dataskyddsdirektivet och personuppgiftslagen inte är tillämpliga i kreditupplysningsverksamhet. Datainspektionen kan dock i undantagsfall lämna tillstånd att behandla uppgifter om lagöverträdelser och administrativa frihetsberövanden i kreditupplysningsverksamhet. Bestämmelser som begränsar möjligheten att behandla vissa särskilt känsliga uppgifter och uppgifter om lagöverträdelser har tidigare bedömts vara av sådan vikt för kreditupplysningsverksamheten att de bör finnas i kreditupplysningslagen (se t.ex. prop. 2000/01:50 s. 22). Det finns inte anledning att anlägga något annat synsätt nu. Det saknas också anledning att göra någon annan bedömning än som gjordes då av behovet att behandla denna typ av uppgifter i kreditupplysningsverksamhet. Bestämmelserna i 6 § kreditupplysningslagen, som är centrala för enskildas integritetsskydd, bör därför - så långt det är möjligt - behållas. Som konstateras i avsnitt 6.4 möjliggör dataskyddsförordningen bestämmelser i nationell rätt som uppställer särskilda krav på vilka uppgifter som får behandlas i en verksamhet som är av allmänt intresse (artikel 6.2 och 6.3). Ett införlivande av delar av förordningen i den nationella rätten är vidare tillåtet, bl.a. om det underlättar förståelsen av förordningen (skäl 8). Det bedöms därför vara förenligt med dataskyddsförordningen att i kreditupplysningslagen behålla särskilda bestämmelser om förbud mot behandling av känsliga personuppgifter och uppgifter om lagöverträdelser. Bestämmelsen i 6 § första stycket kreditupplysningslagen bör dock justeras så att den anger att behandling av personuppgifter som avses i artikel 9.1 i dataskyddsförordningen är förbjuden. Hänvisningen kommer att innebära att förbudet mot behandling svarar mot förordningens regler. I förhållande till vad som gäller i dag kommer förbudet att omfatta även genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person och uppgifter om en persons sexuella läggning. Någon ändring av paragrafen i övrigt är inte motiverad. Som Datainspektionen framhåller bedömer Dataskyddsutredningen att det inte finns stöd i artikel 10 i dataskyddsförordningen för att föreskriva ett generellt förbud mot att behandla uppgifter om administrativa frihetsberövanden (se SOU 2017:39 s. 196). Regeringen konstaterar att det från integritetssynpunkt skulle vara olyckligt om behandlingen av uppgifter om administrativa frihetsberövanden inte skulle få begränsas. Regeringen anser att det finns utrymme att genomföra en begränsning av rätten att behandla uppgifter om administrativa frihetsberövanden i kreditupplysningsverksamhet med stöd av artikel 6.2 och 6.3. Detta innebär att det även i fortsättningen bör vara förbjudet att i kreditupplysningsverksamhet behandla uppgifter om frikännande domar i brottmål och uppgifter om administrativa frihetsberövanden och att Datainspektionen även i fortsättningen i undantagsfall bör kunna lämna tillstånd till behandling av uppgifter om lagöverträdelser och administrativa frihetsberövanden. 6.6 Information till den registrerade Regeringens förslag: EU:s dataskyddsförordning ska ersätta kreditupplysningslagens regler om fysiska personers rätt till registerbesked. En hänvisning till dataskyddsförordningens bestämmelser om en fysisk persons rätt till tillgång till personuppgifter och annan information ska tas in i kreditupplysningslagen. Kreditupplysningslagens regler om kreditupplysningskopior ska anpassas till dataskyddsförordningen. Anpassningen innebär att fysiska personer även ska få information om - dataskyddsombudets kontaktuppgifter, om ett sådant ombud krävs enligt dataskyddsförordningen, - den rättsliga grunden för behandlingen, - vilka kategorier av personuppgifter som behandlas, varifrån uppgifterna hämtats och hur länge uppgifterna kommer att lagras, - möjligheten att få tillgång till uppgifter som rör den fysiska personen, - vilka kategorier av mottagare som kan ta del av personuppgifterna, och - möjligheten att framställa klagomål till Datainspektionen. I lagen ska det också föreskrivas hur och när denna information ska ges om en kreditupplysning avseende en fysisk person lämnas ut till ett svenskt kreditinstitut eller värdepappersbolag eller till ett motsvarande utländskt företag för beräkning av kapitalkravet med en s.k. internmetod. Promemorians förslag överensstämmer väsentligen med regeringens. I promemorian föreslås dock att kravet på att ett registerbesked ska vara skriftligt ska tas bort även i förhållande till juridiska personer och att kreditupplysningskopior till fysiska personer ska innehålla information om vem som är dataskyddsombud. I promemorians förslag anges inte att det är en förutsättning att ett dataskyddsombud krävs enligt dataskyddsförordningen. Remissinstanserna: Flertalet remissinstanser tillstyrker förslagen eller har ingen invändning mot dem. Bisnode Sverige AB och UC AB avstyrker förslaget att dataskyddsförordningen ska ersätta kreditupplysningslagens regler om fysiska personers rätt till registerbesked. Bolagen anser att kreditupplysningslagens regler bör behållas och anpassas till dataskyddsförordningen. Om promemorians förslag genomförs, efterlyser bolagen ytterligare förklaringar om hur dataskyddsförordningens regler ska tillämpas i kreditupplysningsverksamhet, bl.a. i fråga om möjligheten att begränsa antalet kostnadsfria besked och i vilken form som besked bör lämnas. Datainspektionen anser att den föreslagna upplysningsbestämmelsen bör följa dataskyddsförordningens terminologi och hänvisa till förordningens bestämmelser om fysiska personers rätt till tillgång. Företagarna motsätter sig att kravet på skriftlighet för registerbesked till juridiska personer tas bort, eftersom det kommer att försvåra för företagen. Datainspektionen efterlyser ytterligare analys av om det är nödvändigt att begränsa rätten till information när det gäller kreditupplysningskopior, dvs. en analys av om bestämmelserna om kreditupplysningskopior bör behållas i kreditupplysningslagen. Om rätten till information begränsas i förhållande till dataskyddsförordningen, anser Datainspektionen att begränsningen bör framgå av lagtexten. CreditSafe i Sverige AB vill att det förtydligas att reglerna om kreditupplysningskopior ersätter dataskyddsförordningen. Några remissinstanser, däribland Sveriges advokatsamfund och UC AB, menar att det bör vara tillräckligt att lämna kontaktuppgifter till dataskyddsombudet, när ett sådant utsetts. Bisnode Sverige AB, CreditSafe i Sverige AB och UC AB vill att kravet på kreditupplysningskopior till handelsbolag och kommanditbolag tas bort. Skälen för regeringens förslag: Den registrerades rätt till information och rätt till tillgång till personuppgifter som rör honom eller henne regleras i artiklarna 12-15 i dataskyddsförordningen. Bestämmelserna handlar om hur och när information och uppgifter ska lämnas. Bestämmelserna är mer utförliga och ger den registrerade rätt till mer information än motsvarande regler i dataskyddsdirektivet (artiklarna 10-12 a). En nyhet är att den som är personuppgiftsansvarig är skyldig att informera om att uppgifterna kan komma att vidarebehandlas för ett annat syfte än det som personuppgifterna samlades in för (artikel 14.4). Även artikel 12.1 i dataskyddsförordningen, som öppnar för att information kan lämnas i elektronisk form eller - i vissa fall - muntligt, saknar motsvarighet i dataskyddsdirektivet. Detsamma gäller regleringen av vilka åtgärder som kan vidtas om en begäran om information är uppenbart ogrundad eller orimlig (artikel 12.5). Den registrerades rättigheter kan enligt artikel 23 i dataskyddsförordningen begränsas endast om det sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionerlig åtgärd i ett demokratiskt samhälle i syfte att säkerställa vissa särskilt viktiga intressen. Ett sådant intresse kan vara en medlemsstats viktiga ekonomiska och finansiella intressen. Artikeln motsvarar artikel 13.1 i dataskyddsdirektivet. I artiklarna 14.5 och 15.4 i förordningen finns mer specifika undantag från rätten till information. Utrymmet för undantag från rätten till information är större i fråga om information som ska lämnas självmant (artikel 14) än om den som ska lämnas på begäran (artikel 15). Undantag finns bl.a. om erhållande eller utlämnande av uppgifter uttryckligen föreskrivs i unionsrätten eller den nationella rätten och denna rätt fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen (artikel 14.5 c) och om personuppgifterna måste förbli konfidentiella till följd av tystnadsplikt eller sekretessförpliktelser som föreskrivs i lag (artikel 14.5 d). Av artikel 15.4 följer att rätten till en kopia av de personuppgifter som behandlas inte får påverka andras fri- och rättigheter på ett menligt sätt. Regeringen föreslår i prop. 2017/18:105 generellt tillämpliga undantag från förordningens regler om information till den registrerade (5 kap. i den föreslagna dataskyddslagen). Bestämmelser som genomför dataskyddsdirektivets regler om information till den registrerade finns i 10 och 11 §§ kreditupplysningslagen. Frågan är om - och i så fall hur - bestämmelserna behöver ändras med anledning av dataskyddsförordningen. Den registrerades rätt till information på begäran - dvs. rätten till ett registerbesked - regleras i 10 § kreditupplysningslagen. Fysiska personer har rätt att en gång per kalenderår få ett besked gratis. För juridiska personer gäller att besked ska lämnas mot skälig avgift. En begäran om ett registerbesked ska göras skriftligen och vara egenhändigt undertecknad. Rätten till information i övrigt framgår av 11 § kreditupplysningslagen, som ger en fysisk person rätt till en skriftlig s.k. kreditupplysningskopia, när en kreditupplysning lämnas ut. I stort sett ges juridiska personer samma rätt till registerbesked och handels- och kommanditbolag samma rätt till kreditupplysningskopior som fysiska personer. Att den registrerade får information om vilka upplysningar som lämnas ut och till vem är värdefullt av flera skäl - bl.a. för att det ger den enskilde möjlighet att kontrollera att de uppgifter som lämnas är korrekta, adekvata och relevanta. Den registrerades intressen sammanfaller här med kreditupplysningsföretagens och kreditgivarnas. Det är för samtliga parter väsentligt att den information som tillhandahålls i kreditupplysningsverksamheten är tillförlitlig och korrekt och att uppgifterna är relevanta för kreditbedömningen. Informationsreglerna har därför bedömts utgöra en av grundvalarna för kreditupplysningslagen (se prop. 2000/01:50 s. 29). Kreditupplysningslagens bestämmelser om registerbesked har utformats för att uppfylla dataskyddsdirektivets krav på information och innebär inte någon begränsning av rätten till information i förhållande till dataskyddsdirektivet. Någon anledning att införa en begränsning i förhållande till den ytterligare information som ska lämnas enligt artikel 15 i dataskyddsförordningen finns inte. En fysisk person bör alltså ha samma rätt att på begäran få tillgång till sina personuppgifter och annan information i kreditupplysningsverksamhet som i annan verksamhet där personuppgifter behandlas. Att i en sådan situation införliva dataskyddsförordningens regler i kreditupplysningslagen, vilket Bisnode Sverige AB och UC AB vill, bedöms inte vara förenligt med skäl 8 till förordningen och är alltså inte möjligt. Dataskyddsförordningens reglering om rätt till tillgång till personuppgifter och annan information bör därför ersätta kreditupplysningslagens regler om fysiska personers rätt till registerbesked i kreditupplysningsverksamhet. Eftersom kreditupplysningslagen även i fortsättningen kommer att innehålla bestämmelser om juridiska personers rätt till besked om vilken information som behandlas och då informationsreglerna utgör en av grundvalarna för kreditupplysningslagen, bör det framgå av lagen att fysiska personer har rätt till tillgång till sådan information enligt dataskyddsförordningen. Som Datainspektionen påpekar bör en sådan upplysningsbestämmelse knyta an till dataskyddsförordningens terminologi och hänvisa till de relevanta artiklarna i förordningen. I 10 § andra stycket kreditupplysningslagen finns en bestämmelse som påminner om att ett besked om var uppgifterna kommer ifrån inte ska lämnas om det skulle strida mot meddelarskyddet i 3 kap. 3 § tryckfrihetsförordningen eller 2 kap. 3 § yttrandefrihetsgrundlagen. Upplysningsbestämmelsen kommer framöver bara att avse juridiska personers rätt till besked, eftersom fysiska personers rätt till information regleras i dataskyddsförordningen. Den EU-rättsliga dataskyddsregleringen inkräktar dock inte på området för tryckfrihetsförordningen och yttrandefrihetsgrundlagen (se 1 kap. 7 § första stycket i den föreslagna dataskyddslagen). Dataskyddsförordningen ger också en möjlighet att begränsa rätten till information om ett utlämnande skulle inverka negativt på andras rättigheter och friheter (artikel 15.4). Utlämnande av uppgifter kommer därför inte heller i framtiden att kunna ske i strid med meddelarskyddet. Kravet i 10 § tredje stycket kreditupplysningslagen på att en ansökan om registerbesked ska göras skriftligen och vara egenhändigt undertecknad är inte förenligt med artikel 15.3 i dataskyddsförordningen, som anger att en begäran kan göras i elektronisk form. Skriftlighetskravet bör därför tas bort. Det bör dock framhållas att det enligt artikel 12.6 i förordningen är möjligt för en personuppgiftsansvarig att begära den ytterligare information som krävs för att kunna bekräfta den registrerades identitet. Det kommer därmed även i fortsättningen att finnas förutsättningar för att kontrollera att informationen lämnas till rätt person. Bisnode Sverige AB och UC AB frågar hur dataskyddsförordningen i olika avseenden ska tillämpas i kreditupplysningsverksamhet. Regeringen konstaterar att de frågor som ställs handlar om en renodlad tillämpning av EU-rätten. Frågorna är inte nödvändiga att besvara för att anpassa den svenska lagstiftningen till dataskyddsförordningen. Dessutom är det ytterst EU-domstolen som är behörig att fastställa innebörden av unionsrätten. Det är alltså inte möjligt att i lagstiftningsärendet göra några auktoritativa uttalanden om hur förordningen ska tolkas. Rätten till registerbesked för andra än fysiska personer behöver inte ändras med hänsyn till dataskyddsförordningen. Kravet på att ett registerbesked till en juridisk person ska vara skriftligt bör, som Företagarna framför önskemål om, kvarstå. Ett slopande av kravet skulle få mycket begränsad inverkan på det sätt som besked lämnas på. Kravet i 5 § tredje stycket kreditupplysningslagen på att förhindra otillåten insyn och behovet av att säkerställa att uppgifterna lämnas till rätt person torde nämligen i de flesta fall förutsätta att besked lämnas skriftligen. Det är därför rimligt att formkravet för besked till juridiska personer behålls. Rätten till information i övrigt framgår av 11 § kreditupplysningslagen, som ger en fysisk person rätt till en skriftlig kreditupplysningskopia när en kreditupplysning lämnas ut. Om en kreditupplysning lämnats ut för beräkning av kapitalkravet för kreditrisker med en s.k. internmetod, behöver dock information i vissa fall lämnas ut först på begäran. Handels- och kommanditbolag ges i stort sett samma rätt till kreditupplysningskopior som fysiska personer. De personuppgifter som behandlas i kreditupplysningsverksamhet härrör i huvudsak från olika offentliga register. Det är fråga om information som samlas in från andra källor än den registrerade (artikel 14 i förordningen). Dataskyddsförordningen medger här fler undantagsmöjligheter än beträffande information som ska lämnas på begäran. Enligt artikel 14.5 c är artikeln inte tillämplig om, och i den mån, erhållande eller utlämnande av uppgifter uttryckligen föreskrivs i nationell rätt och denna fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen. Det samlade regelverk som omgärdar kreditupplysningsverksamheten innebär att det i nationell rätt finns tydliga regler om erhållande och utlämnande av uppgifter. Regleringen finns i kreditupplysningslagen, kreditupplysningsförordningen och i de tillstånd att bedriva verksamhet och villkor för denna som Datainspektionen meddelar respektive föreskriver. I andra författningar finns föreskrifter som medger för myndigheter att lämna ut uppgifter elektroniskt till kreditupplysningsföretag, se t.ex. 8 § förordningen (1998:1234) om det statliga personadressregistret. Verksamheten är också i övrigt reglerad på ett sådant sätt att det fastställs lämpliga åtgärder för att skydda den registrerades berättigade intressen, bl.a. i form av bestämmelser om hur verksamheten ska bedrivas, vilken typ av uppgifter som får respektive inte får behandlas och vem som kan få tillgång till dem. Regeringen bedömer att detta innebär att artikel 14 i dataskyddsförordningen om information som ska tillhandahållas när personuppgifter inte har erhållits från den registrerade, i enlighet med undantaget i artikel 14.5 c, inte behöver tillämpas i kreditupplysningsverksamhet. Den befintliga rätten till information när en kreditupplysning lämnas ut bör dock finnas kvar. Rätten till en kreditupplysningskopia har likheter med rätten till information enligt artikel 14.3 c, men är, till skillnad från denna rätt, inte tillämplig bara första gången personuppgifterna lämnas ut, utan varje gång det sker. Rätten till en kreditupplysningskopia bidrar till att skydda den registrerades berättigade intressen (artikel 14.5 c). Den bidrar också till att säkerställa en laglig och rättvis behandling i en verksamhet av allmänt intresse och bedöms därför vara tillåten enligt artikel 6.2 och 6.3 i dataskyddsförordningen. Det bedöms alltså sammantaget vara förenligt med förordningen att behålla regler i kreditupplysningslagen om att den registrerade ska få information om kreditupplysningens innehåll. Regeringens överväganden innebär dock inte - vilket Datainspektionen synes förutsätta - en begränsning av den registrerades rättigheter enligt artikel 23, utan har stöd i det angivna undantaget i artikel 14.5 c och i artikel 6.2 och 6.3. Att, som Datainspektionen och CreditSafe Sverige AB förespråkar, ha uttryckliga föreskrifter i 11 § kreditupplysningslagen om hur paragrafen förhåller sig till dataskyddsförordningen bedöms inte vara behövligt eller lämpligt. En sådan reglering skulle skapa osäkerhet om hur andra bestämmelser, som med stöd av artikel 6.2 och 6.3 i förordningen anpassar tillämpningen av förordningen och som inte innehåller någon motsvarande föreskrift, ska uppfattas. Paragrafens förhållande till dataskyddsförordningen utvecklas dock i författningskommentaren (se avsnitt 9.1). En ytterligare fråga är i vilken form informationen ska tillhandahållas. Enligt nuvarande ordning ska det sändas ett skriftligt meddelande till den registrerade. Kravet innebär att det finns möjlighet för enskilda att kontrollera att de uppgifter som lämnas om dem är korrekta och fullständiga och att de regler som gäller för verksamheten har iakttagits, t.ex. att den som har mottagit kreditupplysningen har ett legitimt behov. Denna möjlighet till insyn och kontroll är viktig för skyddet av den enskildes personliga integritet (se prop. 2009/10:151 s. 16). Genom att informationen tillhandahålls skriftligen underlättas den enskildes möjligheter att tillgodogöra sig informationen. Om den avser detaljerade eller komplicerade förhållanden, kan informationen vara svår att tillgodogöra sig om den lämnas i annan form än skriftlig. Skriftlighetskravet bedöms mot denna bakgrund vara ett tillåtet inslag i en åtgärd för att säkerställa en laglig och rättvis behandling (artikel 6.2 och 6.3). Kravet bidrar också till att skydda den registrerades berättigade intressen (artikel 14.5 c). Kravet kan alltså behållas i svensk rätt. Slutligen finns det i kreditupplysningslagens bestämmelser om kreditupplysningskopior ett undantag för vissa grundlagsskyddade offentliggöranden (11 § fjärde stycket). Även detta undantag bedöms vara förenligt med dataskyddsförordningen, eftersom den EU-rättsliga dataskyddsregleringen inte inkräktar på området för tryckfrihetsförordningen och yttrandefrihetsgrundlagen (se 1 kap. 7 § första stycket i den föreslagna dataskyddslagen). En anpassning till dataskyddsförordningen bör dock göras när det gäller vilka uppgifter som ska framgå av en kreditupplysningskopia. Den nuvarande regleringen i kreditupplysningslagen motsvarar i huvudsak rätten till information enligt dataskyddsdirektivet (jfr prop. 2000/01:50 s. 29). Dataskyddsförordningen ger en registrerad rätt till mer information än dataskyddsdirektivet. Någon anledning att inte ge registrerade rätt till de tillkommande uppgiftskategorier som dataskyddsförordningen föreskriver finns inte. Informationsskyldighetens omfattning bör därför anpassas så att den information som ska lämnas i tillämpliga delar motsvarar den som föreskrivs i artikel 14.1 och 14.2 i förordningen. Den registrerade bör alltså i framtiden även ges information om kontaktuppgifter till dataskyddsombudet, den rättsliga grunden för behandlingen, vilka kategorier av personuppgifter som behandlas, varifrån uppgifterna hämtats och hur länge de kommer att lagras, möjligheten att få tillgång till uppgifter som rör den registrerade, vilka kategorier av mottagare som kan ta del av personuppgifterna samt möjligheten att framställa klagomål till Datainspektionen. Det är, som bl.a. Sveriges advokatsamfund och UC AB påtalar, inte fråga om att dataskyddsombudet ska namnges, utan om att ange hur ombudet kan kontaktas. Som remissinstanserna framhåller bör skyldigheten att informera om dataskyddsombudets kontaktuppgifter bara gälla om det enligt förordningen krävs att ett sådant utses. I vilka fall ett dataskyddsombud behöver utses framgår av artikel 37 i förordningen. De andra uppgiftskategorier som anges i förordningen bedöms inte vara relevanta inom ramen för en kreditupplysning (artikel 14.1 f och artikel 14.2 b, del av c, d och g). Det finns därför inte anledning att inkludera dessa. När en kreditupplysning lämnas ut enligt 11 § andra stycket första meningen kreditupplysningslagen för beräkning av kapitalkravet för kreditrisker med en internmetod, bör information även lämnas om kontaktuppgifter till dataskyddsombudet, när ett sådant krävs enligt artikel 37 i dataskyddsförordningen, vilka kategorier av mottagare som kan ta del av personuppgifterna och den rättsliga grunden för behandlingen. Övriga tillkommande uppgifter behöver skickas endast om den som upplysningen avser begär det (se 11 § andra stycket andra meningen). Några remissinstanser vill att kravet på kreditupplysningskopior till handelsbolag och kommanditbolag tas bort och att bestämmelserna om kreditupplysningar för beräkning av kapitalkravet för kreditrisker ska kunna tillämpas i förhållande till fler kreditinstitut. Synpunkterna har inte samband med anpassningen till dataskyddsförordningen och kräver andra typer av överväganden än de som aktualiseras här. Det finns därför inte anledning att gå närmare in på synpunkterna. 6.7 Rättelse och begränsning av behandling Regeringens förslag: I kreditupplysningslagen ska det föreskrivas att skyldigheten att vidta skäliga utredningsåtgärder även ska gälla om det finns anledning att misstänka att en uppgift som behandlas i kreditupplysningsverksamhet eller som har lämnats i en kreditupplysning under den senaste tolvmånadersperioden har behandlats i strid med dataskyddsförordningen. Skyldigheten att rätta, komplettera eller radera en uppgift ska även gälla om det visar sig att uppgiften har behandlats i strid med EU:s dataskyddsförordning. En fysisk person ska på begäran få information om vem som har tillställts en rättelse eller en komplettering. I kreditupplysningslagen ska det anges att det i dataskyddsförordningen finns bestämmelser om fysiska personers rätt att begära att behandlingen av personuppgifter begränsas. Promemorians förslag överensstämmer delvis med regeringens. Promemorian innehåller inget förslag om skyldighet att vidta utredningsåtgärder och att rätta, komplettera eller radera uppgifter som misstänks respektive visar sig ha behandlats i strid med dataskyddsförordningen. Remissinstanserna: De flesta remissinstanser tillstyrker eller har ingen invändning mot förslagen. Datainspektionen efterfrågar ytterligare analys dels av om det är nödvändigt att begränsa rätten till rättelse, dels av vilken effekt rätten till radering enligt artikel 17 i förordningen får i kreditupplysningsverksamhet. Om rätten till rättelse och radering begränsas, anser inspektionen att det bör framgå av lagen att rätten är begränsad. Företagarna anser att även juridiska personer bör ges rätt att få veta vilka mottagare av en kreditupplysning som har underrättats om en rättelse eller komplettering av uppgifter. Flera remissinstanser - bl.a. Sveriges advokatsamfund och UC AB - ställer sig med delvis olika utgångspunkter frågande till hur förordningens regler om begränsning av behandling ska tillämpas i kreditupplysningsverksamhet och hur de förhåller sig till t.ex. kreditupplysningslagens bestämmelser om gallring. Om en rätt till begränsning av behandling införs i kreditupplysningsverksamhet, menar UC AB att det bör ske genom att en för verksamheten särskilt anpassad bestämmelse tas in i kreditupplysningslagen. Skälen för regeringens förslag: Enligt artiklarna 16-19 i dataskyddsförordningen har den registrerade rätt till rättelse, radering och begränsning av behandling. I artikel 12 i förordningen finns också bestämmelser om hur och när information ska lämnas samt om möjligheten att begära ytterligare information för att bekräfta den registrerades identitet. Rätten till rättelse innefattar en rätt till komplettering som är ny i förhållande till dataskyddsdirektivet (jfr artikel 12 b i direktivet). Rätten till radering motsvarar begreppet utplåning, som används i dataskyddsdirektivet. Rätten till radering är dock mer detaljerat reglerad än rätten enligt dataskyddsdirektivet till utplåning. Den registrerade ges vidare rätt att i vissa fall kräva att behandlingen av personuppgifter begränsas. Denna begränsningsmöjlighet har ersatt den åtgärd som i dataskyddsdirektivet benämns blockering. Rätten att begära att behandlingen begränsas innebär i förhållande till dataskyddsdirektivet en ny skyldighet att på begäran bevara personuppgifter och att begränsa behandlingen medan det utreds om det är korrekt att behandla uppgifterna. I likhet med dataskyddsdirektivet föreskriver förordningen att personuppgiftsansvariga ska informera mottagare av uppgifter om senare rättelser, raderingar eller begränsningar, om det inte är omöjligt eller medför en oproportionell ansträngning. En nyhet är dock att den som är personuppgiftsansvarig på begäran även ska informera den registrerade om dessa mottagare. Den registrerades rättigheter är under vissa omständigheter begränsade. Rätten till radering gäller t.ex. inte i den utsträckning behandlingen av personuppgifter är nödvändig för att uppfylla en rättslig förpliktelse som kräver behandling enligt unionsrätten eller en medlemsstats nationella rätt, eller för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning (artikel 17.3 b). Rättigheterna kan i övrigt begränsas med stöd av artikel 23 i förordningen. Rätten till rättelse, komplettering, radering och begränsning - former som ofta ges samlingsbeteckningen rättelse - är enligt dataskyddsförordningen parallella och självständiga, medan de enligt dataskyddsdirektivet är alternativa. Svensk sektorspecifik dataskyddsreglering innehåller sällan några särskilt utformade bestämmelser om rättelse, utan hänvisar i stället till personuppgiftslagens bestämmelser om rättelse som finns i 28 § i den lagen. I 12 § kreditupplysningslagen finns det dock särskilda rättelsebestämmelser, i form av en rätt till rättelse, komplettering eller uteslutning (utplåning med dataskyddsdirektivets terminologi), som gäller i stället för 28 § personuppgiftslagen i kreditupplysningsverksamhet. Bestämmelserna ger alltså den registrerade rätt att få uppgifter rättade, kompletterade eller raderade, men ger till skillnad från personuppgiftslagen inte den registrerade någon rätt till blockering. Frågan är om kreditupplysningslagens rättelsebestämmelser är förenliga med dataskyddsförordningen och kan behållas. Behovet av särskilda rättelsebestämmelser för kreditupplysningsverksamheten är stort. Många av de uppgifter som behandlas i verksamheten utgör personuppgifter, och behandlingen av uppgifterna är vanligtvis sådan att dataskyddsförordningen kommer att vara tillämplig. Om de uppgifter som behandlas om en fysisk person är felaktiga, ger dataskyddsförordningens rättelsebestämmelser ett gott skydd. Skyddet enligt kreditupplysningslagen omfattar dock uttryckligen även missvisande uppgifter. Rättelsebestämmelserna i kreditupplysningslagen är därutöver även tillämpliga i andra fall, t.ex. när behandling sker av oriktiga eller missvisande uppgifter om juridiska personer och uppgifterna inte utgör personuppgifter. Med särskilt anpassade och enhetliga rättelsebestämmelser för både juridiska och fysiska personer kan effektiviteten i verksamheten upprätthållas samtidigt som det säkerställs att den information som tillhandahålls är tillförlitlig och korrekt och att uppgifterna är relevanta för kreditbedömningen. Det är därför önskvärt att den nuvarande rättelseregleringen kan behållas. Datainspektionen efterfrågar ytterligare analys av dels om det är nödvändigt att begränsa rätten till rättelse på det sätt som föreslås i promemorian, dels effekten av rätten till radering i kreditupplysningsverksamhet. Regeringen anser att frågan om huruvida det är nödvändigt att begränsa rätten till rättelse måste ses i det större perspektivet - nämligen vikten av en väl fungerande kreditupplysningsverksamhet. Som redovisas i avsnitt 6.2 bedöms bedrivandet av kreditupplysningsverksamhet utgöra en uppgift av allmänt intresse i dataskyddsförordningens mening. En väl fungerande kreditupplysningsverksamhet bedöms vara av sådan betydelse för Sveriges ekonomiska och finansiella intressen att begränsningar med stöd av artikel 23.1 e i förordningen är möjliga. I fråga om rätten till radering innebär denna bedömning att förordningen medger undantag för nödvändig behandling enligt artikel 17.3 b. Rättelsebestämmelserna i kreditupplysningslagen ger den enskilde rätt till rättelse, komplettering eller radering. Bestämmelserna innebär dock inskränkningar för den enskilde i förhållande till förordningens föreskrifter genom att rätten enligt kreditupplysningslagen förutsätter att en uppgift behandlas i verksamheten eller har lämnats i en kreditupplysning under den senaste tolvmånadersperioden och att uppgiften inte uppenbarligen saknar betydelse för bedömningen av den registrerades vederhäftighet i ekonomiskt hänseende. Det finns även inskränkningar som tar sikte på att en uppgift offentliggjorts på ett sådant sätt som avses i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen. Regeringen bedömer att dessa inskränkningar är såväl nödvändiga för att säkerställa effektiviteten i kreditupplysningsverksamheten som proportionella genom att de balanserar de olika intressen som gör sig gällande i verksamheten. Verksamheten är väl reglerad även i övrigt och regleringen bedöms uppfylla de krav som i dataskyddsförordningen ställs på en begränsande lagstiftningsåtgärd (artikel 23.1 e och 23.2). I de delar som rättelsebestämmelserna i sak återger dataskyddsförordningens föreskrifter bidrar de till förståelsen av denna (skäl 8 till förordningen). Rättelsereglerna i kreditupplysningslagen bedöms därför vara förenliga med dataskyddsförordningen och kan behållas. I några avseenden bör rättelsereglerna i kreditupplysningslagen dock ändras. Eftersom väsentliga delar av den generella dataskyddsregleringen i framtiden kommer att finnas i dataskyddsförordningen bör skyldigheten, enligt 12 § första stycket, att vidta utredningsåtgärder gälla även när det finns anledning att misstänka att en uppgift har behandlats i strid med dataskyddsförordningen. På motsvarande sätt bör skyldigheten, enligt 12 § andra stycket, att rätta, komplettera eller radera felaktiga eller missvisande uppgifter även gälla om det visar sig att en uppgift har behandlats i strid med förordningen. En rätt för en fysisk person att på begäran få information om vilka som har tillställts en rättelse - vilket kan innefatta information om att en uppgift har raderats - eller en komplettering bör också införas i kreditupplysningslagen. En sådan rätt ger ett stärkt skydd för den enskilde samtidigt som informationsplikten inte är alltför betungande för den som bedriver kreditupplysningsverksamheten. Det saknas dock anledning att som en del i arbetet med att anpassa kreditupplysningslagen till dataskyddsförordningen, som Företagarna vill, utsträcka denna rätt även till juridiska personer. För att tydliggöra kopplingen till rätten till radering enligt dataskyddsförordningen bör kreditupplysningslagens bestämmelse om rätt till uteslutning anpassas till dataskyddsförordningens terminologi. Det innebär att förordningens rätt till rättelse, komplettering eller radering vid felaktig behandling av personuppgifter i kreditupplysningsverksamhet ska tillämpas med de inskränkningar som framgår av kreditupplysningslagen. Skyldigheten att rätta, komplettera eller radera oriktiga eller missvisande uppgifter kommer därmed även i fortsättningen bara att omfatta uppgifter som har betydelse för bedömningen av någons vederhäftighet i ekonomiskt hänseende. Om det är fråga om t.ex. identifieringsuppgifter, finns det alltså inte någon rättelse- eller underrättelseskyldighet. Det bör dock framhållas att det i många fall torde finnas skäl för ett kreditupplysningsföretag att ändå rätta sådana uppgifter (se prop. 1973:155 s. 115 och 153). En allmän skyldighet att hålla uppgifter som behandlas korrekta och uppdaterade följer även av artikel 5.1 d i dataskyddsförordningen. De uppgifter som behandlas i kreditupplysningsverksamhet härrör också vanligen från offentliga register som förs av myndigheter. Eventuella felaktigheter torde därmed oftast ha sin grund i en felaktig registrering i ett annat register. En registrerad kan då åstadkomma en ändring genom att vända sig till den registerförande myndigheten, varefter ändringen får genomslag även hos kreditupplysningsföretagen. Att, som Datainspektionen förespråkar, ange direkt i 12 § kreditupplysningslagen att paragrafen begränsar den registrerades rättigheter enligt artiklarna 16 och 17 i dataskyddsförordningen bedöms inte vara behövligt eller lämpligt. En sådan konstruktion skulle leda till en otymplig reglering, bl.a. eftersom paragrafen är tillämplig även vid behandling av andra uppgifter än personuppgifter. Hur 12 § kreditupplysningslagen förhåller sig till dataskyddsförordningen utvecklas dock i författningskommentaren. Någon rätt till en begränsning av behandlingen finns i dag inte i kreditupplysningsverksamhet. Artikel 18 i dataskyddsförordningen, som reglerar rätten till begränsning, är direkt tillämplig. Det saknas anledning att genom nationell normgivning inskränka denna rätt. Det bedöms vidare inte vara förenligt med dataskyddsförordningen att - som UC AB efterfrågar - i stället införa en för verksamheten särskilt anpassad bestämmelse i kreditupplysningslagen. För att det tydligt ska framgå av kreditupplysningslagen att fysiska personer även har rätt att kräva att behandlingen begränsas bör dock en upplysningsbestämmelse om detta införas. Flera remissinstanser efterlyser vägledande uttalanden i förarbetena om innebörden av dataskyddsförordningens bestämmelser om begränsning av behandling i kreditupplysningsverksamhet. Det är ytterst EU-domstolen som är behörig att fastställa innebörden av unionsrätten. Det är alltså inte möjligt att i lagstiftningsärendet göra några auktoritativa uttalanden om hur förordningen ska tolkas. Den närmare tillämpningen av bestämmelserna, t.ex. i fråga om vad som vid tillämpning av artikel 18.2 utgör skäl som rör ett sådant viktigt allmänintresse som kan göra fortsatt behandling av begränsade uppgifter möjlig, får bli en fråga för rättstillämpningen. I motsats till vad några remissinstanser menar torde det dock inte vara möjligt att tolka bestämmelsen som att all behandling inom kreditupplysningsverksamhet kan fortgå, trots att uppgifterna har begränsats. Det bör vidare - mot bakgrund av vad som förts fram under remissbehandlingen - framhållas att kreditupplysningslagens bestämmelser om rättelse och gallring, trots att de bedöms vara förenliga med dataskyddsförordningen, inte har företräde framför förordningens bestämmelser om begränsning av behandling. Om en registrerad motsätter sig att uppgifter gallras eller raderas och i stället begär en begränsning av deras användning, har en sådan begäran alltså företräde framför kreditupplysningslagens föreskrifter och ska prövas enligt artikel 18. 6.8 Invändning mot behandling av personuppgifter Regeringens bedömning: Kreditupplysningslagens bestämmelse som innebär att en registrerad inte har rätt att invända mot behandling av personuppgifter i kreditupplysningsverksamhet är förenlig med EU:s dataskyddsförordning och kan behållas. Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Flertalet remissinstanser delar promemorians bedömning eller har inte någon invändning mot den. Datainspektionen och Umeå universitet ifrågasätter om en begränsning av den registrerades rätt att göra invändningar utgör en nödvändig och proportionell åtgärd för att säkerställa ett viktigt mål av generellt allmänt intresse. Nämnda remissinstanser - liksom Dataskydd.net - pekar på att en möjlighet att invända inte innebär att den registrerade måste välja mellan att antingen vara registrerad i alla kreditupplysningsregister eller inte förekomma i några. Den registrerade måste rikta en invändning mot vart och ett av de kreditupplysningsföretag som behandlar den registrerades uppgifter och får därigenom makt att själv bestämma vilka aktörer som ska få behandla personuppgifterna. Datainspektionen framhåller vidare att den omständigheten att behandling i vissa fall kan behöva fortsätta trots invändning från den registrerade har beaktats i dataskyddsförordningen, eftersom en personuppgiftsansvarig som kan påvisa tvingande berättigade skäl som väger tyngre än den registrerades intressen får fortsätta att behandla personuppgifterna. Skälen för regeringens bedömning: Enligt artikel 21.1 i dataskyddsförordningen har den registrerade - av skäl som hänför sig till hans eller hennes specifika situation - rätt att när som helst göra invändningar mot personuppgiftsbehandling som sker med artikel 6.1 e eller f som rättslig grund - dvs. när personuppgiftsbehandlingen är nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning eller för ändamål som rör ett berättigat intresse. Den som är personuppgiftsansvarig får då inte längre behandla personuppgifterna såvida inte han eller hon kan visa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter. Den som är personuppgiftsansvarig får även fortsätta att behandla personuppgifterna om behandlingen sker för fastställande, utövande eller försvar av rättsliga anspråk. Regleringen i dataskyddsförordningen skiljer sig från den i dataskyddsdirektivet på så sätt att det inte längre är den registrerade som ska ha berättigade skäl (artikel 14 a i dataskyddsdirektivet). I stället är det den som är personuppgiftsansvarig som ska påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter eller friheter. En annan skillnad i jämförelse med direktivet är möjligheten att i nationell rätt göra undantag från rätten att invända mot behandlingen. Undantag kan enligt dataskyddsförordningen göras under de förutsättningar som anges i artikel 23.1. Nationella begränsningar måste vara nödvändiga och proportionella och grunda sig på något av de särskilda skäl som artikeln ställer upp. Av 5 § fjärde stycket kreditupplysningslagen framgår att en registrerad inte kan motsätta sig behandling av personuppgifter om honom eller henne i kreditupplysningsverksamhet. Datainspektionen och Umeå universitet ifrågasätter om en begränsning av den registrerades rätt att göra invändningar är nödvändig för att säkerställa ett viktigt mål av generellt allmänt intresse och då särskilt ett viktigt ekonomiskt eller finansiellt intresse. De ifrågasätter också om en sådan åtgärd utgör en nödvändig och proportionell åtgärd för att säkerställa ett sådant intresse. Regeringen anser att frågan måste ses i det större perspektivet - nämligen vikten av en väl fungerande kreditupplysningsverksamhet. Sådan verksamhet får, som redovisas i avsnitt 6.1 och 6.7, anses vara av ett sådant allmänt intresse som möjliggör att begränsningar får ske med stöd av artikel 23.1 e i dataskyddsförordningen. Kreditupplysningsverksamhet fungerar på olika sätt i olika medlemsstater. I Sverige är verksamheten sedan lång tid väl reglerad. De register som förs tillåts innehålla bl.a. ekonomisk information som i huvudsak kommer från olika offentliga register om stora delar av befolkningen. En rätt för den registrerade att invända mot behandling skulle i grunden förändra förutsättningarna för att bedriva kreditupplysningsverksamhet i Sverige och kräva stora anpassningar av verksamheten. En sådan förändring riskerar därmed att få konsekvenser för kreditgivningen och kreditskyddet i samhället (se avsnitt 6.2). Frågan om den registrerades rätt att motsätta sig behandling i kreditupplysningsverksamhet har övervägts vid flera tillfällen (se bl.a. prop. 2000/01:50 s. 19-21 och SOU 1993:110 s. 135 och 136). De argument som då fördes fram mot att den registrerade ska ha en sådan rätt har fortfarande goda skäl för sig. Det finns ett allmänt intresse av att kreditupplysningsverksamhet kan bedrivas effektivt. Om möjligheten att behandla uppgifter förändras, påverkas effektiviteten och fördyringar uppkommer. Det får vidare som regel förutsättas att en enskild som söker en kredit går med på att uppgifter om honom eller henne lämnas ut. Det finns också en risk för att enskilda som väljer att motsätta sig ett utlämnande inte alltid inser nackdelarna med det. De flesta människor kan visserligen normalt planera sin ekonomi med god framförhållning och själva bedöma om de kommer att vara i behov av en kredit inom överskådlig framtid. Någon gång i livet har dock de flesta människor behov av att snabbt kunna vidta åtgärder som kräver en kreditupplysning. Det kan handla om att ordna med ny bostad i samband med en separation eller betala en resa i samband med sjukdom eller dödsfall. Få människor skulle på förhand beakta konsekvenserna i en sådan situation av att de har invänt mot registrering, nämligen att de riskerar att nekas att t.ex. hyra en lägenhet eller få kredit för att betala resan. Några remissinstanser invänder att den registrerade bör ha möjlighet att bestämma vilka aktörer som ska få behandla den registrerades personuppgifter. Det kan dock konstateras att det inte torde finnas någon möjlighet för en registrerad att påverka vilket kreditupplysningsföretag en kreditgivare anlitar. En invändning som skulle göras till ett kreditupplysningsföretag skulle i praktiken hindra den registrerade från att söka krediter hos vissa kreditgivare, utan att han eller hon skulle veta vilka dessa kreditgivare är. Regeringen anser att det förhållandet att en rätt att invända mot behandling skulle kunna få långtgående och svårförutsebara konsekvenser inte bara för effektiviteten i kreditgivningen i samhället utan även för den enskilde måste kunna beaktas i den proportionalitetsbedömning som ska göras. En möjlighet att invända mot behandling av personuppgifter skulle också kunna få konsekvenser på längre sikt. Även om en person senare medger att uppgifter om honom eller henne får samlas in igen, kan vissa uppgifter vara svåra eller tidskrävande att då få fram, eftersom de inte fångas upp av de löpande uppdateringar av uppgifter som kreditupplysningsföretagen gör. Det gäller uppgifter om utslag i mål om betalningsförelägganden och tredskodomar som ligger några år tillbaka i tiden eller som har undanröjts. Det finns därför en risk att informationen om den som har förhindrat att sådana uppgifter samlas in även efter att en invändning har dragits tillbaka förblir ofullständig. Det innebär att den enskilde kan få vänta på kredit även efter det att han eller hon har medgett att uppgifter åter får samlas in. Till detta kommer att en invändning mot registrering i många fall inte skulle kunna beviljas, eftersom befintliga kreditgivare kan ha ett intresse av fortsatta kreditupplysningar för att kunna bevaka krediterna och därför kan påvisa skäl för fortsatt behandling som väger tyngre än den registrerades intressen i det enskilda fallet (se t.ex. 11 § andra stycket kreditupplysningslagen). I vilken utsträckning ett kreditupplysningsföretag kan erbjuda uppgifter om enskilda påverkar också företagets konkurrenskraft. En ordning där en invändning kan göras hos vissa kreditupplysningsföretag men inte hos andra skulle därmed påverka konkurrensen på kreditupplysningsmarknaden. Även dessa omständigheter får betydelse för frågan om huruvida en begränsning av rätten till invändning är proportionell. En rätt för den registrerade att invända mot behandlingen av personuppgifter om honom eller henne kan alltså påverka effektiviteten i kreditupplysningsverksamheten samtidigt som den kan få oförutsedda och oönskade effekter för den enskilde. Regeringen anser mot denna bakgrund att det finns utrymme att behålla bestämmelsen i 5 § fjärde stycket kreditupplysningslagen som en nödvändig och proportionell begränsning av den registrerades rättigheter. Den reglering som finns av kreditupplysningsverksamheten uppfyller vidare de krav som i artikel 23.2 i dataskyddsförordningen ställs på en begränsande lagstiftningsåtgärd. Bestämmelsen i 5 § fjärde stycket kreditupplysningslagen kan således i sak behållas. Den bör dock anpassas språkligt till dataskyddsförordningen. För att underlätta för rättstillämparna bör det även anges vilken artikel som begränsningen avser. Ett par remissinstanser framhåller de bedömningar som Integritetskommittén gör i betänkandet Så stärker vi den personliga integriteten (SOU 2017:52) bl.a. i fråga om behovet av att utreda frågan om en strykningsrätt i kreditupplysningsverksamhet. Bedömningarna har inte sin grund i behovet av att anpassa kreditupplysningslagen till dataskyddsförordningen. Kommitténs betänkande har remissbehandlats och bereds för närvarande i Regeringskansliet. 6.9 Säkerhet vid behandling av personuppgifter Regeringens förslag: Hänvisningen till personuppgiftslagen i kreditupplysningslagens regler om säkerhet vid behandling av personuppgifter ska ersättas av en hänvisning till EU:s dataskyddsförordning. Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Flertalet remissinstanser tillstyrker utredningens förslag eller har ingen invändning mot det. Ett antal remissinstanser - bl.a. Förvaltningsrätten i Stockholm och CreditSafe i Sverige AB - framhåller att tillämpningen underlättas om det i hänvisningen kan klargöras vilka artiklar i dataskyddsförordningen som reglerar säkerhet vid behandling av personuppgifter. Skälen för regeringens förslag: En personuppgiftsansvarig har i grunden samma skyldigheter enligt dataskyddsförordningen som enligt dataskyddsdirektivet. Det handlar t.ex. om att behandlingen av personuppgifter ska ske på ett korrekt och säkert sätt. I 5 § tredje stycket kreditupplysningslagen finns när det gäller säkerheten vid behandling av personuppgifter en hänvisning till 30-32 §§ personuppgiftslagen. Hänvisningen ska ses mot bakgrund av att tredje stycket i övrigt innehåller bestämmelser om datasäkerhet vid behandling av uppgifter om juridiska personer. Bestämmelsen upplyser om att för behandling av personuppgifter gäller i stället personuppgiftslagens bestämmelser om säkerhet. För behandling av personuppgifter i kreditupplysningsverksamhet blir dataskyddsförordningens bestämmelser om säkerhet tillämpliga när förordningen börjar tillämpas. Dessa bestämmelser finns företrädesvis i förordningens kapitel IV, som innehåller bestämmelser om skyldigheter för personuppgiftsansvariga och personuppgiftsbiträden. Det bör framgå direkt av kreditupplysningslagen att det finns bestämmelser om säkerhet även vid behandling av personuppgifter. Hänvisningen till personuppgiftslagen i 5 § tredje stycket kreditupplysningslagen bör därför ersättas med en hänvisning till dataskyddsförordningen. Som flera remissinstanser pekar på kan det finnas fördelar för rättstillämparna om hänvisningen anger vilka artiklar i förordningen som kan bli tillämpliga. Dataskyddsförordningens bestämmelser om säkerhet är dock mer utförliga än personuppgiftslagens och finns inte heller samlade på ett sådant sätt att en fullständig hänvisning låter sig göras. 6.10 Tillsyn och överklagande Regeringens förslag: Det ska föreskrivas i kreditupplysningslagen att vid tillsyn över sådan behandling av personuppgifter som omfattas av EU:s dataskyddsförordning gäller Datainspektionens befogenheter enligt lagen utöver de befogenheter som en tillsynsmyndighet har enligt förordningen. Regeringens bedömning: EU:s dataskyddsförordning kräver inga ändringar av kreditupplysningslagens regler om överklagande. Promemorians förslag överensstämmer i huvudsak med regeringens. I promemorian ges bestämmelsen som reglerar förhållandet till dataskyddsförordningens tillsynsbestämmelser en annan utformning och placering. Promemorian innehåller inte någon uttrycklig bedömning av kreditupplysningslagens regler om överklagande. Remissinstanserna: Flertalet remissinstanser tillstyrker promemorians förslag eller har ingen invändning mot det. UC AB menar att det inte behövs ytterligare tillsynsbestämmelser i kreditupplysningsverksamhet. UC AB och CreditSafe i Sverige AB anser vidare att det är oklart vad avsikten med och innebörden av den föreslagna bestämmelsen är. Datainspektionen delar promemorians bedömning att det inte finns några formella hinder mot att särskilt reglera frågor om tillsyn i kreditupplysningslagen, men anser att det bör analyseras om det är lämpligt att ha kvar reglerna. Inspektionen efterfrågar ytterligare redogörelse för hur bestämmelserna ska tillämpas i praktiken. Inspektionen anser vidare att kreditupplysningslagens överklaganderegler bör svara mot dem som finns i förslaget till dataskyddslag. Skälen för regeringens förslag och bedömning: Dataskyddsförordningen föreskriver - i likhet med dataskyddsdirektivet - att medlemsstaterna ska utse en eller flera självständiga tillsynsmyndigheter som ska ansvara för att övervaka tillämpningen av regleringen. Förordningen innehåller en mer detaljerad reglering av tillsynsmyndighetens roll, organisation och uppgifter än vad dataskyddsdirektivet och personuppgiftslagen gör (kapitel VI och VII i förordningen). Flertalet av förordningens bestämmelser som rör tillsynsmyndigheten gäller direkt och kräver inga kompletterande nationella bestämmelser. Andra frågor är i och för sig reglerade genom förordningen, men tillåter ytterligare nationell reglering. Enligt artikel 58.6 i dataskyddsförordningen får också varje medlemsstat i lagstiftning föreskriva att dess tillsynsmyndighet ska ha ytterligare befogenheter utöver dem som framgår av artikel 58.1-3. Av prop. 2017/18:105 framgår att regeringen har för avsikt att peka ut Datainspektionen som tillsynsmyndighet enligt dataskyddsförordningen (se avsnitt 14.1.2 och 15.1) och i förslaget till ny dataskyddslag klargörs att inspektionens befogenheter enligt förordningen även gäller vid tillsyn över efterlevnaden av bestämmelserna i dataskyddslagen och andra författningar som kompletterar förordningen (6 kap. 1 § i den föreslagna dataskyddslagen). En sådan ordning är nödvändig för att förordningens intentioner ska få fullt genomslag. I kreditupplysningslagen finns tillsynsbestämmelser som pekar ut Datainspektionen som tillsynsmyndighet över att lagen följs. Eftersom dataskyddsförordningens tillsynsbestämmelser är direkt tillämpliga, kommer tillsynen över personuppgiftsbehandling i kreditupplysningsverksamhet i fortsättningen sannolikt att i huvudsak ske enligt förordningens bestämmelser. Det kommer alltså inte att bli aktuellt, vilket UC AB synes förorda, att uteslutande tillämpa kreditupplysningslagens tillsynsbestämmelser i kreditupplysningsverksamhet. Kreditupplysningslagens tillsynsbestämmelser bedöms dock vara förenliga med dataskyddsförordningen och de kan därför behållas oförändrade. Datainspektionen efterfrågar en analys av om bestämmelserna bör vara kvar samt en ytterligare redogörelse för hur de ska tillämpas i praktiken. Regeringen konstaterar att bestämmelserna visserligen även omfattar den personuppgiftsbehandling som sker i kreditupplysningsverksamhet. Tillsynsbestämmelserna i kreditupplysningslagen har dock ett vidare syfte - nämligen att reglera tillsynen över de tillstånd och villkor som Datainspektionen kan meddela respektive föreskriva för verksamheten. De kan således ge ytterligare befogenheter för Datainspektionen. Reglerna bör därför behållas. Som även UC AB och CreditSafe i Sverige AB framhåller kan dubbla regleringar ibland innebära en osäkerhet för den som är föremål för tillsyn. Det gäller dock främst i fråga om vilka sanktioner eller straff som kan följa av tillsynen (se avsnitt 6.11). Det är därför av vikt att tillsynsmyndigheten, när det finns anledning till det, klargör på vilken rättslig grund en tillsynsåtgärd - t.ex. ett föreläggande om rättelse - vidtas. I många situationer torde det dock sakna praktisk betydelse om tillsynen utförs med stöd av dataskyddsförordningens eller kreditupplysningslagens tillsynsbestämmelser, eller för den delen har sin grund i båda regelverken. Det kan t.ex. handla om att Datainspektionen utför en inspektion eller begär upplysningar från ett kreditupplysningsbolag. För att det tydligt ska framgå av kreditupplysningslagen att lagens tillsynsbestämmelser inte gäller i stället för dataskyddsförordningen bör det i lagen införas en bestämmelse som klargör att kreditupplysningslagens bestämmelser, vid tillsyn över sådan behandling av personuppgifter som omfattas av dataskyddsförordningen, gäller utöver dataskyddsförordningens bestämmelser. Datainspektionen lyfter även frågan om hur inspektionens beslut ska överklagas. Av 23 § kreditupplysningslagen följer att Datainspektionens beslut får överklagas till allmän förvaltningsdomstol. Prövningstillstånd för överklagande till kammarrätten krävs endast om beslutet avser föreläggande av vite. Av 7 kap. 3 § i den förslagna dataskyddslagen följer däremot att prövningstillstånd vid överklagande till kammarrätten krävs när det gäller tillsynsmyndighetens beslut enligt dataskyddsförordningen. Regeringen konstaterar att ett införande av ett generellt krav på prövningstillstånd i kammarrätten vid överklagande av beslut enligt kreditupplysningslagen skulle ligga väl i linje med den allmänna utgångspunkten att rättskipningen ska ha sin tyngdpunkt i förvaltningsrätt. Därigenom sätts kammarrättens kontrollerande funktion i fokus (se t.ex. prop. 2012/13:45 s. 133). Systemet med prövningstillstånd vid överklagande från förvaltningsrätten till kammarrätten har också getts en i princip allmän tillämpning (jfr t.ex. prop. 1994/95:27, prop. 1995/96:22 och prop. 1997/98:101). Någon ändring av den befintliga ordningen krävs dock inte med anledning av dataskyddsförordningen och något förslag om att införa prövningstillstånd lämnas inte i promemorian. Det saknas därför beredningsunderlag för att inom ramen för detta lagstiftningsärende föreslå några ändringar i kreditupplysningslagens regler om överklagande. 6.11 Straff och vite Regeringens bedömning: Kreditupplysningslagens straff- och vitesbestämmelser är förenliga med EU:s dataskyddsförordning och kan behållas. Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: De flesta remissinstanser delar promemorians bedömning eller invänder inte mot den. Datainspektionen delar bedömningen att det inte finns några formella hinder mot att särskilt reglera frågor om straff och vite i kreditupplysningslagen, men anser att det bör analyseras om det är lämpligt att ha kvar reglerna. Datainspektionen efterfrågar vidare en utförligare redogörelse för hur kreditupplysningslagens bestämmelser om straff och vite ska tillämpas i praktiken. Helsingborgs tingsrätt anser att det bör tydliggöras med exempel hur principen om ne bis in idem bör tillämpas i olika situationer. Finansbolagens Förening menar att om principen om ne bis in idem lagfästs, underlättas handläggningen och minimeras risken för misstag hos den myndighet som hanterar ett ärende. CreditSafe i Sverige AB menar att situationen för kreditupplysningsbolagen blir rättsosäker om det i praktiken lämnas till Datainspektionen att bestämma enligt vilken ordning prövning ska ske. Skälen för regeringens bedömning: En nyhet i dataskyddsförordningen i förhållande till dataskyddsdirektivet och personuppgiftslagen är möjligheten enligt artikel 83 att ålägga administrativa sanktionsavgifter vid överträdelser av förordningen. Uppräkningen i artikel 83 av vilka överträdelser som föranleder sanktionsavgifter är uttömmande. Av artikel 84 framgår att medlemsstaterna ska fastställa regler om andra sanktioner för överträdelser av förordningen, särskilt för överträdelser som inte är föremål för administrativa sanktionsavgifter. I prop. 2017/18:105 föreslår regeringen att tillsynsmyndigheten ska få påföra administrativa sanktionsavgifter enligt artikel 83 även vid överträdelser av artikel 10 i förordningen, dvs. vid behandling av uppgifter om lagöverträdelser i strid med förordningen (6 kap. 3 § i den föreslagna dataskyddslagen). I dataskyddslagen föreslås dock inte några straffrättsliga påföljder för överträdelser av förordningen. Någon möjlighet för tillsynsmyndigheten att förena sina förelägganden med vite föreslås inte heller. Frågan är vad dataskyddsförordningens sanktionsföreskrifter och ovan angivna förslag och överväganden innebär för straff- och vitesbestämmelserna i 19 och 22 §§ kreditupplysningslagen. Bestämmelserna straffbelägger bl.a. behandling av känsliga uppgifter i kreditupplysningsverksamhet. Straffbestämmelserna omfattar dock även andra typer av ageranden, t.ex. bedrivande av kreditupplysningsverksamhet utan tillstånd, brott mot villkor som Datainspektion föreskrivit för en verksamhet samt överlåtelse eller upplåtelse av kreditupplysningsregister utan Datainspektionens godkännande. Vitesbestämmelserna ger Datainspektionen möjlighet att förelägga om vite, om den som bedriver verksamheten inte fullgör vad som åligger honom eller henne t.ex. i fråga om information till den registrerade och i fråga om rättelse av oriktiga eller missvisande uppgifter. Enligt skäl 149 till förordningen bör medlemsstaterna kunna fastställa bestämmelser om straffrättsliga påföljder för överträdelser av förordningen. Sådana påföljder får även avse överträdelser av nationella bestämmelser som antagits i enlighet med och inom ramen för förordningen. Mot den bakgrunden bedöms 19 och 22 §§ kreditupplysningslagen vara förenliga med dataskyddsförordningen. I artikel 83 i förordningen räknas de överträdelser som kan föranleda sanktionsavgifter upp. Av uppräkningen framgår motsatsvis att sådana avgifter kan påföras vid överträdelser av nationella bestämmelser endast om dessa bestämmelser har antagits med stöd av kapitel IX i dataskyddsförordningen. Om kreditupplysningslagens straff- och vitesbestämmelser inte längre skulle gälla i fråga om sådan kreditupplysningsverksamhet som avser behandling av personuppgifter, skulle därmed ageranden i strid med lagens regler i vissa fall inte kunna leda till några andra konsekvenser än förlust av tillståndet att bedriva kreditupplysningsverksamhet eller skadeståndsskyldighet. Bestämmelserna i 19 och 22 §§ kreditupplysningslagen bör därför behållas. CreditSafe i Sverige AB menar att situationen för kreditupplysningsbolagen blir rättsosäker om det lämnas till Datainspektionen att bestämma enligt vilken ordning prövning ska ske. Även om straff- och vitesbestämmelserna i kreditupplysningslagen endast avser ageranden som skett i strid med bestämmelser i kreditupplysningslagen, kan det inte uteslutas att det skulle kunna uppstå en situation där samma agerande skulle kunna bli föremål för en sanktionsavgift enligt dataskyddsförordningen. En sådan situation skulle kunna vara att någon bedriver kreditupplysningsverksamhet utan att ha rätt till det. Ett sådant agerande är straffbelagt enligt 19 § första stycket 1 kreditupplysningslagen, men torde även kunna innebära att det i verksamheten behandlas personuppgifter i strid med dataskyddsförordningens bestämmelser. En annan situation skulle kunna vara att personuppgifter inte gallras inom den treårsfrist som uppställs i 8 § andra stycket kreditupplysningslagen. Ett sådant agerande är straffbelagt enligt 19 § första stycket 2 kreditupplysningslagen, samtidigt som det torde kunna strida mot principerna för behandling i artikel 5 i dataskyddsförordningen (jfr artikel 83.5 a i förordningen). Det kan här konstateras att straffansvar enligt kreditupplysningslagen i praktiken sällan aktualiseras. Ett individuellt straffansvar förutsätter att det kan bevisas att brottsförutsättningarna är uppfyllda och att de täcks av den misstänktes uppsåt eller oaktsamhet. För brott som har begåtts i utövningen av näringsverksamhet kan en näringsidkare åläggas företagsbot, som är en särskild rättsverkan av brott. Företagsboten bör ha företräde framför det individuella straffansvaret vid viss mindre allvarlig brottslighet (prop. 2005/06:59 s. 43-45). En förutsättning för företagsbot är att näringsidkaren inte har gjort vad som skäligen kan krävas för att förebygga brottsligheten, eller att brottet har begåtts av en person i ledande ställning eller en person som annars haft ett särskilt ansvar för tillsyn eller kontroll i verksamheten (36 kap. 7 § brottsbalken). Om ett brott som kan föranleda talan om företagsbot har begåtts av oaktsamhet och inte kan antas föranleda annan påföljd än böter, får åklagaren väcka åtal endast om det är påkallat från allmän synpunkt (36 kap. 10 a § brottsbalken). Det ankommer på berörda myndigheter att i det enskilda fallet avgöra med stöd av vilka bestämmelser det är lämpligt att ingripa mot ett visst agerande. I de mycket få fall som det kan antas bli fråga om där ett agerande skulle kunna bli föremål för sanktioner enligt både dataskyddsförordningen och kreditupplysningslagen måste den myndighet som hanterar ärendet, oavsett om det är en domstol, Datainspektionen eller någon annan myndighet, handlägga ärendet med hänsyn till principen om ne bis in idem. Principen innebär en rättighet att inte bli lagförd eller straffad två gånger för samma sak och kommer till uttryck i både artikel 4.1 i sjunde tilläggsprotokollet till Europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) och artikel 50 i Europeiska unionens stadga om de grundläggande rättigheterna (EU:s rättighetsstadga). Några särskilda regler kring handläggningen behöver inte införas. I stället får den befintliga principen beaktas vid handläggningen av varje enskilt ärende med utgångspunkt i ärendets särskilda omständigheter (jfr prop. 2014/15:57 s. 51 och 52). Några remissinstanser efterfrågar förtydliganden av hur principen om ne bis in idem ska tillämpas i olika situationer. Med hänsyn till att beslut om sanktionsavgift fattas av Datainspektionen - medan straffansvar förutsätter anmälan till polis eller åklagare - torde frågan om sanktionsavgift i många fall komma att aktualiseras först. Syftet med att införa sanktionsavgifter är just att skapa en effektiv sanktionsform. Det är viktigt att Datainspektionen i förekommande fall uppmärksammar berörda myndigheter, närmast domstolen och åklagaren, på det förhållandet att ett agerande är föremål för prövning i såväl ett straffrättsligt som ett administrativt förfarande. På detta sätt kan myndigheterna beakta principen i sin handläggning. Med hänvisning till det anförda kan det konstateras att dataskyddsförordningens bestämmelser om administrativa sanktionsavgifter inte medför något behov av ändringar i kreditupplysningslagen. 6.12 Skadestånd Regeringens förslag: I kreditupplysningslagen ska det i fråga om en registrerads rätt till skadestånd föreskrivas att för sådan behandling av personuppgifter som omfattas av EU:s dataskyddsförordning gäller förordningens bestämmelse om skadestånd i stället för kreditupplysningslagens bestämmelser. Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Flertalet remissinstanser tillstyrker promemorians förslag eller lämnar det utan invändning. Bisnode Sverige AB och UC AB avstyrker att den föreslagna bestämmelsen införs, eftersom den, enligt bolagen, är oklar och svårtillämpad. Om förslaget läggs fram, anser UC AB att det bör förtydligas hur dataskyddsförordningens och kreditupplysningslagens ersättningsbestämmelser förhåller sig till varandra. Även Justitiekanslern uppmärksammar denna frågeställning. Datainspektionen delar bedömningen att det inte finns några formella hinder mot att särskilt reglera frågor om skadestånd i kreditupplysningslagen, men anser att det bör analyseras om det är lämpligt att ha kvar reglerna. Datainspektionen efterfrågar vidare en tydligare redogörelse för hur kreditupplysningslagens bestämmelser om skadestånd ska tillämpas i praktiken. Skälen för regeringens förslag: Personuppgiftsansvarigas och personuppgiftsbiträdens ansvar och registrerades rätt till ersättning regleras i artikel 82 i dataskyddsförordningen. Någon möjlighet till nationella undantag från rätten till ersättning finns inte. Enligt 21 § kreditupplysningslagen ska den som bedriver kreditupplysningsverksamhet ersätta skada och kränkning som till följd av verksamheten tillfogas någon genom otillbörligt intrång i hans eller hennes personliga integritet eller genom att oriktig uppgift lämnas om honom eller henne, om inte den som bedriver verksamheten kan visa att tillbörlig omsorg och varsamhet har iakttagits. Skadeståndssanktionen i 21 § kreditupplysningslagen är alltså kopplad till aktsamhetskraven i 5 § kreditupplysningslagen. Utformningen av 5 § kreditupplysningslagen innebär att skadeståndsbestämmelsen i 48 § personuppgiftslagen ska tillämpas vid sådan behandling av personuppgifter i kreditupplysningsverksamhet som görs i strid med 9 § a, b och d-h i den lagen. Om behandlingen däremot görs i strid med bestämmelserna i kreditupplysningslagen, gäller 21 § kreditupplysningslagen (se prop. 2000/01:50 s. 17). En fråga som Datainspektionen tar upp är vad artikel 82 i dataskyddsförordningen innebär för kreditupplysningslagens skadeståndsbestämmelse. I avsnitt 6.3 föreslås att hänvisningen i 5 § första stycket andra meningen kreditupplysningslagen till personuppgiftslagens bestämmelser ska ersättas av en hänvisning till artikel 5 i dataskyddsförordningen. Utformningen av 5 § kreditupplysningslagen förblir därmed i sak väsentligen oförändrad. All behandling av uppgifter som sker i kreditupplysningsverksamhet kommer inte att omfattas av dataskyddsförordningen. Om den nuvarande skadeståndsregleringen i 21 § skulle tas bort, kan det inte uteslutas att vissa överträdelser av kreditupplysningslagen inte skulle kunna leda till skadestånd för en enskild som har orsakats skada. Liksom 5 § första stycket första meningen kreditupplysningslagen kan regleringen i 21 § första meningen fylla en funktion vid behandling som inte omfattas av dataskyddsförordningen, t.ex. vid behandling av uppgifter om juridiska personer och i fråga om viss manuell behandling. Regeringen anser därför att bestämmelserna om skadestånd i kreditupplysningslagen bör finnas kvar. Dataskyddsförordningen kommer dock att förändra bestämmelsens tillämpningsområde. Bestämmelsen i 48 § personuppgiftslagen gäller bara vid behandling av personuppgifter i strid med bestämmelserna i den lagen. Skadeståndsansvaret enligt artikel 82 i dataskyddsförordningen omfattar däremot - utöver behandling som strider mot förordningen - även behandling som strider mot en medlemsstats nationella rätt med närmare specifikation av förordningens bestämmelser (skäl 146 till förordningen). Artikel 82 i förordningen kan alltså komma att reglera skadeståndsansvaret i kreditupplysningsverksamhet i situationer när behandlingen görs med stöd av bestämmelser i kreditupplysningslagen, under förutsättning att det är fråga om en behandling som omfattas av dataskyddsförordningen. I motsats till Bisnode Sverige AB och UC AB anser regeringen att det bör klargöras i lagen. Några remissinstanser - bl.a. Justitiekanslern och Datainspektionen - menar att det är osäkert hur skadeståndsregleringarna i kreditupplysningslagen och dataskyddsförordningen förhåller sig till varandra. Avsikten är inte att de två regleringarna ska vara tillämpliga parallellt. Ett anspråk på ersättning för en personuppgiftsbehandling som omfattas av dataskyddsförordningen prövas enligt artikel 82 i dataskyddsförordningen. I andra fall prövas anspråket enligt 21 § första stycket kreditupplysningslagen. 6.13 Automatiserat beslutsfattande Regeringens bedömning: Bestämmelserna om automatiserat beslutsfattande i EU:s dataskyddsförordning kräver inte några lagändringar på familjerättens och den allmänna förmögenhetsrättens områden. Promemorians bedömning: Promemorian innehåller inte någon uttrycklig bedömning av behovet av lagändringar med anledning av dataskyddsförordningens bestämmelser om automatiserat beslutsfattande. I promemorian görs dock den övergripande bedömningen att de förslag som lämnas är tillräckliga för att anpassa regleringarna på familjerättens och den allmänna förmögenhetsrättens områden till dataskyddsförordningen. Remissinstanserna: Några remissinstanser, däribland Sveriges advokatsamfund och UC AB, väcker frågan om huruvida dataskyddsförordningens regler om automatiserat beslutsfattande (artikel 22) är tillämpliga i kreditupplysningsverksamhet. Svensk Inkasso menar att några automatiserade beslut som påverkar gäldenärens rättsliga ställning inte fattas i inkassoverksamhet, men uttrycker en oro för att de automatiserade processer som används i verksamheten ska uppfattas som ett automatiskt beslutsfattande i dataskyddsförordningens mening och vill därför att det klargörs i lag att automatiserat beslutsfattande, inbegripet profilering, får förekomma i inkassoverksamhet. Enligt Umeå universitet kan det finnas anledning att utreda hur bestämmelserna om automatiserat beslutsfattande ska hanteras vid kreditprövning. Skälen för regeringens förslag: Av artikel 22 i dataskyddsförordningen framgår att den registrerade ska ha rätt att inte bli föremål för beslut som grundas enbart på automatiserad behandling, inbegripet profilering, om beslutet har rättsliga följder för den registrerade eller på liknande sätt i betydande grad påverkar honom eller henne. Det sagda gäller dock inte om beslutet - är nödvändigt för ingående eller fullgörande av ett avtal mellan den registrerade och den som är personuppgiftsansvarig (a), - tillåts enligt unionsrätten eller enligt en medlemsstats nationella rätt och som fastställer lämpliga åtgärder till skydd för den registrerades rättigheter, friheter och berättigade intressen (b), eller - grundar sig på den registrerades uttryckliga samtycke (c). I fall som avses i a och c ska den som är personuppgiftsansvarig genomföra lämpliga åtgärder för att säkerställa den registrerades rättigheter, friheter och rättsliga intressen - åtminstone rätten till personlig kontakt med den som är personuppgiftsansvarig för att kunna uttrycka sin åsikt och bestrida beslutet. I skäl 71 anges som exempel på sådana automatiserade beslut som omfattas av artikel 22 automatiserade avslag på kreditansökningar online eller e-rekrytering utan personlig kontakt. Rätten att motsätta sig automatiskt individuellt beslutsfattande finns även i artikel 15 i dataskyddsdirektivet, som i svensk rätt har genomförts genom 29 § personuppgiftslagen. Det finns inte några bestämmelser om automatiserat beslutsfattande vare sig i kreditupplysningslagen eller inkassolagen. Några automatiserade beslut med rättsliga följder eller som i betydande grad påverkar den registrerade torde inte heller fattas i kreditupplysnings- eller inkassoverksamhet. I kreditupplysningsverksamhet förekommer visserligen att ett profilerat kreditbetyg räknas fram och lämnas ut som en del av en kreditupplysning. Det är dock kreditgivaren som fattar beslut om att bevilja eller avslå krediten (se även Ds 1998:44 s. 43). Även i inkassoverksamhet används automatiserade processer med inslag av profilering. De automatiserade processerna påverkar dock inte gäldenärens rättsliga ställning och det automatiska förfarandet syftar snarast till att skilja ut de ärenden där en för den enskilde mindre ingripande indrivningsåtgärd kan vidtas. Vid kreditgivning torde automatiserade avslagsbeslut i framtiden i många fall vara möjliga med stöd av ett uttryckligt samtycke från den registrerade i kombination med åtgärder som ger den registrerade en rätt till personlig kontakt med den som är personuppgiftsansvarig (artikel 22.1 c och 22.3). Någon anledning att utreda den frågan, vilket Umeå universitet är inne på, finns enligt regeringens mening inte. Mot denna bakgrund bedöms dataskyddsförordningens bestämmelser om automatiserat beslutsfattande inte kräva några lagändringar på familjerättens och den allmänna förmögenhetsrättens områden. 6.14 Överföring av personuppgifter till tredjeland Regeringens förslag: I lagen om 1996 års Haagkonvention finns en bestämmelse om tillstånd att överföra personuppgifter till tredjeland. Hänvisningen i den bestämmelsen till personuppgiftslagen ska tas bort. Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Endast Datainspektionen yttrar sig särskilt över förslaget. Inspektionen avstyrker förslaget i dess nuvarande utformning med hänvisning till att artikel 49.1 d i dataskyddsförordningen inte ger möjlighet att i nationell rätt generellt tillåta överföring till tredjeland. Skälen för regeringens förslag: I 10 § lagen (2012:318) om 1996 års Haagkonvention finns en bestämmelse som anger att en svensk myndighet, trots förbudet mot överföring i 33 § personuppgiftslagen, får föra över personuppgifter till en myndighet i ett land utanför Europeiska ekonomiska samarbetsområdet, om det behövs för att den myndigheten ska kunna överväga en nödvändig åtgärd enligt 1996 års Haagkonvention. Konventionen reglerar frågor om föräldraansvar och åtgärder till skydd för barn och syftar till att förbättra skyddet för barn i internationella situationer. Samtliga EU:s medlemsstater är anslutna till konventionen. Grunden för undantaget i 10 § lagen om 1996 års Haagkonvention är att undantaget behövs med hänsyn till ett viktigt allmänt intresse (35 § andra stycket personuppgiftslagen jämförd med artikel 26.1 d i dataskyddsdirektivet). Samarbetet enligt konventionen har alltså bedömts vara ett sådant viktigt allmänt intresse som motiverar ett undantag från huvudregeln i 33 § personuppgiftslagen om förbud mot överföring av personuppgifter till tredjeland (se prop. 2011/12:85 s. 49). Överföring av personuppgifter till tredjeländer och internationella organisationer kommer framöver att regleras av kapitel V i dataskyddsförordningen. Det innebär att en överföring av personuppgifter till ett tredjeland i framtiden kommer att kunna ske under de förutsättningar som anges där. Om det inte finns något beslut om adekvat skyddsnivå (artikel 45) eller vidtagna lämpliga skyddsåtgärder (artikel 46), kommer en överföring till ett tredjeland att vara möjlig om den är nödvändig av viktiga skäl som rör allmänintresset (artikel 49.1 d). Detta gäller dock endast under förutsättning att allmänintresset är erkänt i unionsrätten eller i den nationella rätt som den som är personuppgiftsansvarig omfattas av (artikel 49.4). När dataskyddsförordningen börjar tillämpas, är 10 § i lagen om 1996 års Haagkonvention inte längre nödvändig. Överföringen kan ske direkt med stöd av dataskyddsförordningen. Lagens bestämmelse fyller dock fortfarande en funktion genom att den klargör för myndigheterna när förutsättningarna för en överföring av uppgifter till ett tredjeland är uppfyllda. Regeringen bedömer att en sådan klargörande bestämmelse är tillåten enligt artikel 6.2 och 6.3 i dataskyddsförordningen och att den bör behållas. Eftersom personuppgiftslagen kommer att upphävas, bör dock hänvisningen till den lagen tas bort. 7 Innehållet i en kreditupplysning om ett företag Regeringens bedömning: Det bör inte införas något förbud i kreditupplysningslagen mot att en kreditupplysning om en näringsidkare innehåller uppgifter om betalningsförsummelser som inte har blivit fastställda av en domstol eller Kronofogdemyndigheten. Utredningens bedömning överensstämmer med regeringens. Remissinstanserna: De flesta remissinstanser, bl.a. Lantbrukarnas Riksförbund, Svensk Handel och Sveriges Kommuner och Landsting, delar utredningens bedömning eller lämnar den utan invändning. Visita framhåller att det är angeläget för seriösa företagare att en kreditupplysning i ett tidigt skede indikerar att det företag som man avser att göra affärer med har betalningsproblem. Organisationen pekar dock på vikten av att en ansökan om betalningsföreläggande som görs av ett företag på Svensk Handels varningslista inte registreras som en betalningsanmärkning i kreditupplysningsregistren. Srf konsulternas förbund delar inte utredningens bedömning och anser att kreditupplysningslagen bör ändras. Förbundet menar att informationsvärdet av uppgiften om att en ansökan om betalningsföreläggande har gjorts är begränsat, eftersom en ansökan om betalningsföreläggande som avser en verklig fordran inom relativt kort tid därefter fastställs genom ett utslag. Skälen för regeringens bedömning: Ett krav mot en näringsidkare (ett företag) som framställs i en ansökan om betalningsföreläggande till Kronofogdemyndigheten får enligt kreditupplysningslagen ingå i en kreditupplysning och registreras som en betalningsanmärkning. En motsvarande ansökan mot en privatperson måste däremot ha lett till ett utslag för att få ingå i en kreditupplysning (7 § kreditupplysningslagen). Skillnaden mellan vad som gäller för företag och privatpersoner har sin grund i den avvägning mellan olika intressen som gjordes vid införandet av kreditupplysningslagen (prop. 1973:155 s. 94-98). Mot kreditgivarens - och kreditsökandens - intresse av att bilden av kreditsökandens situation är fullständig och rättvisande ställdes skyddet för den kreditsökande. Det framhölls att behovet av skydd gör sig mindre starkt gällande när kreditupplysningen avser ett företag. I de fallen bedömdes det vara av största vikt att kreditupplysningarna är så uttömmande som möjligt för att en potentiell kreditgivare ska kunna undvika kreditförluster. Om en uppgift skulle vara felaktig, har också ett företag i praktiken större möjlighet än en privatperson att åstadkomma rättelse. En undersökning hade dessutom visat att ansökningar om betalningsföreläggande mot företag i de flesta fall motsvarade en verklig skuld, medan ansökningar som riktades mot en privatperson och som inte ledde till utslag ofta hade sin grund i tvistiga förhållanden och därför inte var av samma intresse för bedömningen av hans eller hennes kreditvärdighet. Mot den bakgrunden gjordes bedömningen att betalningsförsummelser som inte blivit prövade rättsligt skulle få ingå i kreditupplysningar om företag, men inte om privatpersoner. På senare år har frågan om vad som ska få ingå i en kreditupplysning om ett företag uppmärksammats med anledning av den ökade förekomsten av fakturabedrägerier i samhället. Fakturabedrägerier är ett allvarligt problem för dem som drabbas och samhället i stort. Utöver obehag och skada för de drabbade riskerar tilltron till betalnings- och faktureringsrutiner att påverkas negativt. Det är därför angeläget att vidta åtgärder för att bekämpa denna form av bedrägerier och att underlätta för drabbade att hävda sin rätt. Utredningen om åtgärder mot fakturabedrägerier överväger i betänkandet Fakturabedrägerier (SOU 2015:77) om regleringen av frågor om uppgifter i Kronofogdemyndighetens register och om kreditupplysning bör ändras för att minska effekten av ett otillbörligt hot om att ge in en ansökan om betalningsföreläggande. I betänkandet kartläggs också omfattningen och karaktären av problemen med fakturabedrägerier. Rädslan för en betalningsanmärkning kan få ett företag att betala i stället för att bestrida ett oriktigt krav. Utredningens kartläggning visar emellertid att de flesta som har blivit utsatta för fakturabedrägeri i någon form har vägrat att betala. Den visar också att de företag som drabbas inte löper någon större risk att få betalningsanmärkningar, eftersom det är sällsynt att en ansökan om betalningsföreläggande görs till Kronofogdemyndigheten i dessa fall. I det fåtal fall en ansökan om betalningsföreläggande görs kan det dock få konsekvenser - i vart fall för de mindre företagen. Av utredningens kartläggning framgår även att endast en mindre del av det totala antalet ansökningar om betalningsföreläggande görs som ett led i ett fakturabedrägeri. Det stora flertalet ansökningar om betalningsföreläggande motsvarar en verklig skuld och endast en mindre andel av ansökningarna bestrids. Generellt sett måste därför en uppgift om att en ansökan om betalningsföreläggande har gjorts betraktas som en viktig indikation på att den som ansökan riktas mot inte har betalat sina skulder, särskilt när det förekommer flera ansökningar mot samma företag. De betalningsanmärkningar som ansökningar om betalningsföreläggande ger upphov till ger således i många fall en korrekt bild av hur ett företag hanterar sina skulder. Regeringen kan konstatera, vilket Visita också pekar på, att möjligheten att upptäcka om ett företag har likviditetsproblem skulle försämras om reglerna ändrades. Som Srf konsulternas förbund framhåller kan visserligen ett utslag i många fall meddelas kort efter det att en ansökan om betalningsföreläggande har gjorts. Det förutsätter dock att motparten kan delges och inte bestrider ansökan. En ändring av reglerna skulle öka risken för att företag som ligger efter med sina betalningar under en inte oansenlig tid kan förlänga sina krediter och få nya krediter, trots att företaget inte är kreditvärdigt. Det skulle kunna ske genom att företaget bestrider ansökningar om betalningsföreläggande eller undanhåller sig delgivning. Ett förbud mot att det i en kreditupplysning om ett företag får ingå uppgifter om ansökningar om betalningsförelägganden bedöms kunna leda till ökade kreditförluster för näringslivet. Den som har lånat ut pengar eller sålt varor under tiden fram till dess att ett krav har slagits fast i ett utslag eller i en dom riskerar att inte få betalt. Det slår särskilt hårt mot mindre företag. Det finns också en risk att en sådan ordning utnyttjas i brottslig verksamhet. I förlängningen kan även kostnaderna för krediter öka, eftersom kreditgivarna måste kompensera sig för den ökade risken för kreditförluster. Att en kreditupplysning får innehålla en uppgift om att en ansökan om betalningsföreläggande har gjorts betyder inte att uppgiften måste tas med eller beaktas. Uppgifter om betalningsförelägganden mot enskilda näringsidkare registreras i praktiken inte i kreditupplysningsföretagens register. Det beror på att den information som skickas till kreditupplysningsföretagen bara gör skillnad på fysiska personer och juridiska personer - av informationen framgår alltså inte om en fysisk person bedriver näringsverksamhet. Sedan ett antal år tillbaka samarbetar kreditupplysningsföretagen också med Svensk Handel och avstår från att registrera uppgifter om betalningsförelägganden mot juridiska personer när sökanden finns med på Svensk Handels varningslista över oseriösa företag. En del kreditupplysningsföretag redovisar också motpartens inställning till ansökan om betalningsföreläggande. För anmärkningar som grundar sig på krav som har bestridits redan innan ansökan om betalningsföreläggande gavs in eller på fakturabedrägerier finns det även en möjlighet att vända sig till kreditupplysningsbolagen och begära att uppgiften rättas eller till Kronofogdemyndigheten för att få uppgiften blockerad eller rättad. Mot denna bakgrund delar regeringen utredningens slutsats att nackdelarna med att införa ytterligare generella begränsningar av vilka uppgifter om betalningsförsummelser som får tas med i kreditupplysningar som avser näringsidkare överväger de fördelar som kan vinnas därmed. Arbetet för att komma till rätta med fakturabedrägerier bör i stället bedrivas på annat sätt. Fakturabedrägerier skulle inte existera om fakturorna och betalningskraven inte betalades. I regel krävs det inte några större arbetsinsatser för att bestrida ett oriktigt krav. Det är angeläget att höja kunskapsnivån i samhället så att den som tar emot ett oriktigt krav kan ta till vara sina rättigheter gentemot dem som framställer kraven. På det området utför redan i dag olika myndigheter och branschorganisationer ett viktigt arbete. Utredningen lämnar också förslag om bl.a. informationsinsatser för att förmå fler att våga bestrida oriktiga krav. Förslagen bereds för närvarande inom Regeringskansliet. Det är även viktigt att brottsliga förfaranden lagförs. För att åstadkomma en effektivare sanktion mot fakturabedrägerier har det nyligen införts en straffbestämmelse i 9 kap. brottsbalken som tar sikte på systematiska bedrägerier med bluffakturor (grovt fordringsbedrägeri, 9 kap. 3 a §). 8 Ikraftträdande- och övergångsbestämmelser Regeringens förslag: Lagändringarna ska träda i kraft den 25 maj 2018. Regeringens bedömning: Det behövs inte några övergångsbestämmelser. Promemorians förslag och bedömning överensstämmer med regeringens. Remissinstanserna: Remissinstanserna yttrar sig inte särskilt över förslaget eller bedömningen. Skälen för regeringens förslag och bedömning: Dataskyddsförordningen börjar tillämpas den 25 maj 2018. De anpassningar till dataskyddsförordningen som föreslås bör träda i kraft samma dag som förordningen börjar tillämpas. Ändringarna i 6 och 11 §§ kreditupplysningslagen innebär att det straffbara området enligt 19 § samma lag i viss mån utvidgas. På motsvarande sätt utvidgas förutsättningarna enligt 22 § kreditupplysningslagen att döma ut vite till följd av ändringarna i 11 och 12 §§ i lagen. Straff- och vitesbestämmelserna får inte ges retroaktiv verkan. Detta följer av allmänna principer och behöver inte regleras i någon övergångsbestämmelse. Dataskyddsförordningens bestämmelser om skadestånd kommer att tillämpas på överträdelser av förordningen och nationell rätt som kompletterar förordningen. Bestämmelserna kommer alltså inte att tillämpas i fråga om skadefall som inträffar innan förordningen börjar tillämpas. I sådana fall får hittillsvarande skadeståndsbestämmelser tillämpas. Det får anses följa av allmänna rättsgrundsatser och behöver inte heller regleras i särskilda övergångsbestämmelser (jfr prop. 1972:5 s. 593). 9 Konsekvenser Regeringens bedömning: Genom EU:s dataskyddsförordning stärks enskildas rättigheter vid personuppgiftsbehandling samtidigt som nya krav ställs på myndigheter, företag och organisationer som behandlar personuppgifter. Förslagen i propositionen bedöms medföra kostnader för kreditupplysningsföretagen. Förslagen bedöms inte föranleda några kostnader för andra enskilda eller det allmänna. Förslagen innebär inte några negativa effekter för företagens arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt. Förslagen har inte någon påverkan på vare sig jämställdheten mellan män och kvinnor eller möjligheten att nå de integrationspolitiska målen. Förslagen har inte heller några sociala eller miljömässiga konsekvenser. Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: De flesta remissinstanserna delar promemorians bedömning eller lämnar den utan invändning. Småföretagarnas Riksförbund efterlyser en utvecklad konsekvensbeskrivning. Skälen för regeringens bedömning: Genom dataskyddsförordningen stärks enskildas rättigheter vid personuppgiftsbehandling. Ett exempel på detta är att förordningen ställer strängare krav på att den som behandlar personuppgifter ska informera om hur enskildas personuppgifter hanteras. Ett annat exempel är att förordningen innehåller mer utförliga regler för när uppgifter kan raderas. Förslagen i propositionen innebär att kreditupplysningslagen och lagen om 1996 års Haagkonvention anpassas till dataskyddsförordningen. Förslagen medför i sig inte några ytterligare förstärkningar av enskildas rättigheter eller ytterligare krav på myndigheter, företag och organisationer som behandlar personuppgifter jämfört med de rättigheter och krav som dataskyddsförordningen medför. Jämfört med gällande ordning stärker dock förslagen enskildas rättigheter i kreditupplysningsverksamhet. Ytterligare krav kommer att ställas på kreditupplysningsbolagen att lämna information till enskilda. Förslagen bedöms medföra kostnader främst för kreditupplysningsföretagen, som behöver anpassa sin verksamhet. Det är inte möjligt att beräkna kostnadernas storlek, eftersom det inte går att särskilja kostnaderna för anpassningarna från de kostnader som anpassningen till dataskyddsförordningen kräver. Förslagen bedöms inte medföra några ökade kostnader för andra enskilda eller det allmänna. Förslagen bedöms inte innebära några negativa effekter för företagens arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt. De bedöms inte ha någon påverkan på vare sig jämställdheten mellan män och kvinnor eller möjligheten att nå de integrationspolitiska målen. Förslagen bedöms inte ha några sociala eller miljömässiga konsekvenser. 10 Författningskommentar 10.1 Förslaget till lag om ändring i kreditupplysningslagen (1973:1173) Inledande bestämmelser 1 a § Denna lag innehåller, i den del den avser behandling av personuppgifter, bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Vid sådan behandling av personuppgifter som omfattas av EU:s dataskyddsförordning gäller även lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som regeringen har meddelat i anslutning till lagen. Paragrafen, som är ny, upplyser om kreditupplysningslagens förhållande till EU:s dataskyddsförordning och förslaget till lag med kompletterande bestämmelser till EU:s dataskyddsförordning (den föreslagna dataskyddslagen). Övervägandena finns i avsnitt 6.1. Av första stycket framgår att kreditupplysningslagen innehåller bestämmelser som kompletterar dataskyddsförordningen. Dataskyddsförordningen kommer, när den börjar tillämpas, att vara direkt tillämplig. Den blir med andra ord automatiskt en del av den svenska rättsordningen. I vissa avseenden förutsätter eller tillåter dataskyddsförordningen att det i nationell rätt finns bestämmelser som kompletterar förordningen, antingen i form av preciseringar eller i form av undantag. Kreditupplysningslagens bestämmelser utgör, i de delar de avser behandling av personuppgifter, sådana kompletterande bestämmelser. I 5 § andra stycket och i 8 § finns föreskrifter om ändamål respektive gallring, som preciserar artikel 5 i dataskyddsförordningen. Ytterligare bestämmelser som i olika avseenden preciserar förordningen finns bl.a. i 6, 7 och 9 §§, medan det i 5 § fjärde stycket och i 11 och 12 §§ finns bestämmelser som i något avseende innebär undantag från förordningens reglering. I andra stycket upplyses om att den föreslagna dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller för behandling av personuppgifter i kreditupplysningsverksamhet, om inte annat följer av kreditupplysningslagen eller av en förordning som meddelats i anslutning till lagen. I den föreslagna dataskyddslagen finns bestämmelser som kan komma att tillämpas i kreditupplysningsverksamhet. Det gäller t.ex. föreskrifter om tystnadsplikt för dataskyddsombud (1 kap. 8 §) och om användningen av person- och samordningsnummer (3 kap. 10 §). Dataskyddslagen innehåller även generella begränsningar av den registrerades rättigheter (5 kap. 1 och 2 §§). Den innehåller också processuella bestämmelser (6 och 7 kap.). Verksamhetens bedrivande m.m. 5 § Kreditupplysningsverksamhet ska bedrivas så att den inte leder till otillbörligt intrång i personlig integritet genom innehållet i de upplysningar som förmedlas eller på annat sätt eller till att oriktiga eller missvisande uppgifter lagras eller lämnas ut. För sådan behandling av personuppgifter som omfattas av EU:s dataskyddsförordning gäller i stället artikel 5 i den förordningen. Uppgifter om fysiska personer får samlas in endast för kreditupplysningsändamål. Vid helt eller delvis automatiserad behandling av uppgifter om juridiska personer ska den som bedriver kreditupplysningsverksamhet vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att hindra att behandlingen sker på ett otillåtet sätt och att uppgifterna utsätts för otillåten insyn. Bestämmelser om säkerheten vid behandling av personuppgifter finns i EU:s dataskyddsförordning. I kreditupplysningsverksamhet får personuppgifter behandlas utan samtycke. Den registrerade har inte rätt att göra invändningar enligt artikel 21.1 i EU:s dataskyddsförordning mot behandlingen. Andra stycket tillämpas inte i den utsträckning det skulle strida mot bestämmelserna i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen. I paragrafen finns bestämmelser om hur kreditupplysningsverksamhet ska bedrivas. Övervägandena finns i avsnitt 6.3, 6.8 och 6.9. I den andra meningen i första stycket ersätts hänvisningen till personuppgiftslagen (1998:204) med en hänvisning till dataskyddsförordningen. För sådan behandling av personuppgifter som omfattas av dataskyddsförordningen gäller alltså inte de allmänna krav på kreditupplysningsverksamhet som finns i första meningen, utan i stället de principer för behandling av personuppgifter som föreskrivs i artikel 5 i förordningen. Av den artikeln framgår bl.a. att uppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och att uppgifter inte får förvaras i en form som möjliggör identifiering av den registrerade under längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna behandlas. Föreskrifter som kompletterar artikel 5 i dessa delar finns i 5 § andra stycket respektive 8 §. De allmänna kraven i första meningen är fortsatt tillämpliga utanför dataskyddsförordningens tillämpningsområde, t.ex. för behandling av uppgifter om juridiska personer och för sådan behandling av personuppgifter som inte omfattas av dataskyddsförordningen (dvs. i praktiken manuell behandling av personuppgifter som inte ingår eller kommer att ingå i ett register). Även i andra meningen i tredje stycket ersätts hänvisningen till personuppgiftslagen med en hänvisning till dataskyddsförordningen. Av hänvisningen framgår att bestämmelser om säkerheten vid behandling av personuppgifter finns i dataskyddsförordningen (främst i kapitel IV). I fjärde stycket, som bl.a. reglerar rätten att invända mot behandlingen av personuppgifter i kreditupplysningsverksamhet, tas hänvisningen till personuppgiftslagen bort. Vidare anpassas terminologin till dataskyddsförordningen och den berörda artikeln i förordningen anges. Anpassningen av terminologin innebär inte någon förändring i sak. Begränsningen av rätten att invända mot behandling har stöd i artikel 23 i dataskyddsförordningen. Hänvisningarna till dataskyddsförordningen avser förordningen i den vid varje tidpunkt gällande lydelsen, s.k. dynamiska hänvisningar. Känsliga uppgifter m.m. 6 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får inte behandlas i kreditupplysningsverksamhet. Uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden får inte utan medgivande av Datainspektionen behandlas i kreditupplysningsverksamhet. Ett medgivande får lämnas endast om det finns synnerliga skäl för det. Andra stycket hindrar inte att uppgifter om betalningsförsummelser, kreditmissbruk eller näringsförbud behandlas i kreditupplysningsverksamhet. Paragrafen reglerar bl.a. behandlingen av känsliga personuppgifter och uppgifter om lagöverträdelser i kreditupplysningsverksamhet. Övervägandena finns i avsnitt 6.5. Första stycket anpassas till artikel 9.1 i dataskyddsförordningen. Det innebär att förbudet mot att behandla känsliga personuppgifter i kreditupplysningsverksamhet utvidgas till att omfatta även uppgifter om sexuell läggning, genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person. Övriga ändringar är språkliga eller redaktionella. Hänvisningen till dataskyddsförordningen avser förordningen i den vid varje tidpunkt gällande lydelsen, en s.k. dynamisk hänvisning. Registerbesked 10 § En juridisk person har rätt att mot skälig avgift hos den som bedriver kreditupplysningsverksamhet få skriftligt besked om huruvida det i verksamheten behandlas uppgifter om den juridiska personen. Behandlas sådana uppgifter ska besked lämnas om a) vilka uppgifter som behandlas, b) ändamålen med behandlingen, och c) till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut. Första stycket tillämpas inte i den utsträckning det skulle strida mot bestämmelserna i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen. Bestämmelser om en fysisk persons rätt till tillgång till personuppgifter och annan information finns i artiklarna 12 och 15 i EU:s dataskyddsförordning. I paragrafen behandlas rätten till registerbesked. Övervägandena finns i avsnitt 6.6. Ändringen i första stycket innebär att regleringen om fysiska personers rätt till registerbesked tas bort. Bestämmelserna om registerbesked kommer alltså bara att tillämpas i förhållande till juridiska personer. Detta som en följd av att fysiska personers rätt till information som svarar mot ett registerbesked regleras i dataskyddsförordningen (se författningskommentaren till tredje stycket). I det nya tredje stycket upplyses om att dataskyddsförordningen är tillämplig i fråga om en fysisk persons rätt att få tillgång till personuppgifter och viss annan information. Där regleras vilken information som ska tillhandahållas, hur den ska begäras och i vilken form den ska lämnas. Dataskyddsförordningen tillämpas dock inte i den utsträckning som det skulle strida mot tryckfrihetsförordningen och yttrandefrihetsgrundlagen (se 1 kap. 7 § i den föreslagna dataskyddslagen). Utlämnande av uppgifter kommer därför inte heller i framtiden att kunna ske i strid med meddelarskyddet i 3 kap. 3 § tryckfrihetsförordningen eller 2 kap. 3 § yttrandefrihetsgrundlagen. Hänvisningen till dataskyddsförordningen avser förordningen i den vid varje tidpunkt gällande lydelsen, en s.k. dynamisk hänvisning. Kreditupplysningskopia 11 § När en kreditupplysning om en fysisk person lämnas ut, ska till den som avses med upplysningen samtidigt och kostnadsfritt sändas ett skriftligt meddelande om 1. vem som bedriver kreditupplysningsverksamheten och kontaktuppgifter till dataskyddsombudet, om ett sådant ombud krävs enligt artikel 37 i EU:s dataskyddsförordning, 2. ändamålen med och den rättsliga grunden för behandlingen, 3. vilka kategorier av personuppgifter som behandlas, varifrån uppgifterna hämtats och hur länge uppgifterna kommer att lagras, 4. de uppgifter, omdömen och råd som upplysningen innehåller om honom eller henne, 5. möjligheten att få tillgång till och rättelse av de uppgifter som rör honom eller henne, 6. vilka kategorier av mottagare som kan ta del av personuppgifterna och vem som har begärt upplysningen, och 7. möjligheten att framställa klagomål till Datainspektionen. Om kreditupplysningen lämnas ut till ett svenskt kreditinstitut eller värdepappersbolag, eller till ett motsvarande utländskt företag, för att användas endast som underlag för beräkning av kapitalkravet för kreditrisker med en sådan metod som avses i artikel 143.1 i Europaparlamentets och rådets förordning (EU) nr 575/2013 av den 26 juni 2013 om tillsynskrav för kreditinstitut och värdepappersföretag och om ändring av förordning (EU) nr 648/2012, får meddelandet sändas senare men utan onödigt dröjsmål och begränsas till information enligt första stycket 1, 2 och 6. Om den som avses med upplysningen begär det, ska även information enligt 3, 4, 5 och 7 sändas till honom eller henne. Första och andra styckena gäller också när en kreditupplysning lämnas om ett handelsbolag eller kommanditbolag. Första-tredje styckena gäller inte kreditupplysningar som lämnas genom offentliggörande på ett sådant sätt som avses i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen, utom när upplysningarna tillhandahålls ur en databas enligt 1 kap. 9 § yttrandefrihetsgrundlagen på sätt som avses i den paragrafens första stycke 1 och 2. Paragrafen innehåller bestämmelser om skyldigheten att när en kreditupplysning lämnas ut ge viss information till den person som avses med kreditupplysningen. Skyldigheten uppfylls i regel genom att en kopia på kreditupplysningen med kompletterande information sänds till personen i fråga. Övervägandena finns i avsnitt 6.6. Bestämmelserna har stöd i artiklarna 6.2, 6.3 och 14.5 c i dataskyddsförordningen. Det får till följd att förordningens bestämmelser om information som ska tillhandahållas den registrerade om personuppgifter har samlats in från någon annan än den registrerade - delar av artikel 12 samt artikel 14 - inte ska tillämpas i kreditupplysningsverksamhet. I första stycket anpassas informationsplikten till dataskyddsförordningens bestämmelser om vilken information som självmant ska lämnas till en registrerad när uppgifter har samlats in från någon annan än den som är registrerad (artikel 14.1 och 14.2). Ändringarna innebär att en fysisk person som avses med en kreditupplysning ges en utvidgad rätt till information. I ett tillägg i första punkten anges att det ska ges information om kontaktuppgifter till dataskyddsombudet, om ett sådant krävs enligt dataskyddsförordningen (artikel 37). Genom ett tillägg i andra punkten krävs att information även lämnas om den rättsliga grunden för behandlingen. I den nya tredje punkten ställs upp krav på att information ska lämnas om vilka kategorier av personuppgifter som behandlas, varifrån uppgifterna har hämtats och lagringstid. Som en konsekvensändring av den nya punkten omnumreras hittillsvarande tredje-femte punkterna och betecknas fjärde-sjätte punkterna. I femte punkten görs ett tillägg om att information ska lämnas inte bara om möjligheten att begära rättelse av uppgifter utan även om möjligheten att få tillgång till uppgifterna. I sjätte punkten läggs till ett krav på att information ska ges om vilka kategorier av mottagare som kan ta del av personuppgifterna. I sjunde punkten, som är ny, föreskrivs att information ska lämnas om möjligheten att framställa klagomål till Datainspektionen. Ändringarna i andra stycket, som reglerar frågan om vilken information som ska sändas till den som avses med en kreditupplysning när upplysningen har lämnats för att användas endast som underlag för beräkning av kapitalkravet för kreditrisker, är en följd av de ändringar som görs i första stycket. Hänvisningen till dataskyddsförordningen avser förordningen i den vid varje tidpunkt gällande lydelsen, en s.k. dynamisk hänvisning. Rättelse, komplettering och radering 12 § Om det finns anledning att misstänka att en uppgift som behandlas i kreditupplysningsverksamhet eller som har lämnats i en kreditupplysning under den senaste tolvmånadersperioden är oriktig eller missvisande, eller att den annars har behandlats i strid med denna lag eller EU:s dataskyddsförordning, ska den som bedriver verksamheten utan dröjsmål vidta skäliga åtgärder för att utreda förhållandet. Om det visar sig att uppgiften är oriktig eller missvisande, eller att den annars har behandlats i strid med lagen eller EU:s dataskyddsförordning, ska den, om den förekommer i register, rättas, kompletteras eller raderas. Om en oriktig eller missvisande uppgift har tagits in i en kreditupplysning som lämnats ut, ska rättelse eller komplettering så snart det kan ske tillställas var och en som under den senaste tolvmånadersperioden fått del av uppgiften. Detta gäller inte offentliggörande av en kreditupplysning på ett sådant sätt som avses i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen, utom när upplysningen tillhandahållits ur en databas enligt 1 kap. 9 § yttrandefrihetsgrundlagen på sätt som avses i den paragrafens första stycke 1 och 2. Om uppgiften under den senaste tolvmånadersperioden har lämnats i en periodisk skrift eller i en kreditupplysningsverksamhet som bedrivs genom återkommande offentliggöranden enligt yttrandefrihetsgrundlagen, ska rättelse eller komplettering så snart det kan ske införas i ett följande nummer av skriften eller motsvarande form av offentliggörande enligt yttrandefrihetsgrundlagen. Andra-fjärde styckena gäller inte om uppgiften uppenbarligen saknar betydelse för bedömningen av personens vederhäftighet i ekonomiskt hänseende. Om en fråga om rättelse eller liknande åtgärd har tagits upp efter framställning från den som uppgiften avser, ska han eller hon kostnadsfritt underrättas om huruvida en sådan åtgärd har vidtagits. En fysisk person ska på begäran även få information om vem som har tillställts en rättelse eller komplettering enligt tredje stycket. Paragrafen innehåller bestämmelser om vilka åtgärder den som bedriver kreditupplysningsverksamhet ska vidta när uppgifter är oriktiga, missvisande eller annars har behandlats i strid med kreditupplysningslagen eller dataskyddsförordningen. Övervägandena finns i avsnitt 6.7. Paragrafen motsvarar i stort artiklarna 16 och 17 i dataskyddsförordningen. I två avseenden avviker bestämmelserna i begränsande riktning från förordningens reglering. Bestämmelserna innebär att rätten till rättelse, komplettering och radering i kreditupplysningsverksamhet är begränsad till uppgifter som behandlas eller har lämnats i en kreditupplysning under det senaste året. Det finns också en begränsning i fråga om uppgifter som uppenbarligen saknar betydelse för bedömningen av den registrerades vederhäftighet i ekonomiskt hänseende. Begränsningarna har stöd i artikel 23 i dataskyddsförordningen. I första stycket görs ett tillägg som innebär att det finns en skyldighet att utreda förhållanden även när det finns anledning att misstänka att uppgifter har behandlats i strid med dataskyddsförordningen. På motsvarande sätt görs i andra stycket tillägget att skyldigheten att vidta åtgärder omfattar även fall där uppgifter har behandlats i strid med förordningen. Vidare anpassas terminologin i bestämmelsen till dataskyddsförordningen genom att det föreskrivs att en uppgift ska raderas i stället för uteslutas ur registret (jfr artikel 17 i dataskyddsförordningen). Anpassningen av terminologin innebär inte någon ändring i sak. I den nya andra meningen i sista stycket införs en skyldighet att på begäran informera en fysisk person om vem som har tillställts en rättelse eller komplettering. Tillägget är en anpassning till artikel 19 i dataskyddsförordningen. Begränsning av behandling av personuppgifter 12 a § I artikel 18 i EU:s dataskyddsförordning finns bestämmelser om fysiska personers rätt att begära att behandlingen av personuppgifter begränsas. Paragrafen, som är ny, upplyser om att fysiska personer har rätt att enligt artikel 18 i dataskyddsförordningen begära att behandlingen av personuppgifter om dem begränsas. Övervägandena finns i avsnitt 6.7. Rubriken närmast före paragrafen är utformad i enlighet med Lagrådets förslag. Hänvisningen till dataskyddsförordningen avser förordningen i den vid varje tidpunkt gällande lydelsen, en s.k. dynamisk hänvisning. Tillsyn m.m. 15 § Datainspektionen utövar tillsyn över efterlevnaden av denna lag. Tillsynen ska utövas så att den inte vållar större kostnad eller olägenhet än som är nödvändig. Vid tillsyn över sådan behandling av personuppgifter som omfattas av EU:s dataskyddsförordning gäller Datainspektionens befogenheter enligt denna lag utöver de befogenheter som tillsynsmyndigheten har enligt artikel 58.1-58.3 i den förordningen. Paragrafen innehåller regler om Datainspektionens tillsyn över efterlevnaden av kreditupplysningslagen. Övervägandena finns i avsnitt 6.10. I tredje stycket, som är nytt, anges att vid behandling av personuppgifter i kreditupplysningsverksamhet gäller Datainspektionens befogenheter enligt kreditupplysningslagen utöver de befogenheter som inspektionen har enligt dataskyddsförordningen (artikel 58.1-58.3). Tillsynsbefogenheterna i kreditupplysningslagen ger bl.a. Datainspektionen rätt att kostnadsfritt ta del av kreditupplysningar som offentliggjorts på sådant sätt som avses i tryckfrihetsförordningen och yttrandefrihetsgrundlagen (16 § tredje stycket) och möjlighet att meddela eller ändra villkor eller att återkalla tillstånd för att bedriva kreditupplysningsverksamhet (17 §). Att tillsynsmyndighetens befogenheter enligt dataskyddsförordningen gäller även vid tillsyn över efterlevnaden av kreditupplysningslagen i de delar lagen kompletterar dataskyddsförordningen framgår av 6 kap. 1 § i den föreslagna dataskyddslagen. Hänvisningen till dataskyddsförordningen avser förordningen i den vid varje tidpunkt gällande lydelsen, en s.k. dynamisk hänvisning. Straff och skadestånd m.m. 21 § Den som bedriver kreditupplysningsverksamhet ska ersätta skada som till följd av verksamheten tillfogas någon genom otillbörligt intrång i hans eller hennes personliga integritet eller genom att en oriktig uppgift lämnas om honom eller henne, om inte den som bedriver verksamheten kan visa att tillbörlig omsorg och varsamhet har iakttagits. Vid bedömningen av i vilken utsträckning skada har uppstått ska hänsyn tas även till lidande och andra omständigheter av annan än rent ekonomisk betydelse. För sådan behandling av personuppgifter som omfattas av EU:s dataskyddsförordning gäller artikel 82 i den förordningen i stället för första stycket. Paragrafen behandlar rätten till skadestånd. Övervägandena finns i avsnitt 6.12. Av andra stycket, som är nytt, framgår att dataskyddsförordningen (artikel 82) reglerar rätten till ersättning för felaktig personuppgiftsbehandling om behandlingen omfattas av förordningen. Det innebär att fysiska personers rätt att få ersättning för felaktig personuppgiftsbehandling i kreditupplysningsverksamhet i de allra flesta fall ska prövas mot förordningens ersättningsbestämmelse. I fråga om behandling av uppgifter om juridiska personer och sådan behandling av personuppgifter som inte omfattas av förordningen, dvs. manuell behandling av personuppgifter som inte ingår eller kommer att ingå i ett register, sker prövningen enligt första stycket. Hänvisningen till dataskyddsförordningen avser förordningen i den vid varje tidpunkt gällande lydelsen, en s.k. dynamisk hänvisning. 10.2 Förslaget till lag om ändring i lagen (2012:318) om 1996 års Haagkonvention Överföring av personuppgifter 10 § En svensk myndighet får föra över personuppgifter till en myndighet i ett land utanför Europeiska ekonomiska samarbetsområdet, om det behövs för att den myndigheten ska kunna överväga en nödvändig åtgärd enligt 1996 års Haagkonvention. Paragrafen behandlar rätten att föra över personuppgifter till tredjeland. Övervägandena finns i avsnitt 6.14. Ändringen innebär att en hänvisning till personuppgiftslagen (1998:204) tas bort. I paragrafen klargörs när förutsättningarna för en överföring av uppgifter till tredjeland är uppfyllda. Överföring med stöd av bestämmelsen är möjlig även om det inte finns något beslut om adekvat skyddsnivå enligt artikel 45.3 i dataskyddsförordningen eller lämpliga skyddsåtgärder enligt artikel 46 i förordningen. Detta eftersom det samarbete som sker med stöd av den aktuella Haagkonventionen har bedömts vara ett viktigt allmänintresse (jfr artikel 49.1 d och 49.4 i förordningen och prop. 2011/12:85 s. 49). Europaparlamentets och rådets förordning (EU) 2016/679 Sammanfattning av departementspromemorian (Ds 2017:26) I promemorian lämnas förslag som anpassar lagar och förordningar på familjerättens och den allmänna förmögenhetsrättens områden till EU:s nya dataskyddsförordning. Dataskyddsförordningen kommer att stärka skyddet och rättigheterna för den som får sina personuppgifter behandlade och förväntas få konsekvenser för företag, myndigheter och organisationer som hanterar personuppgifter. Dataskyddsförordningen är direkt tillämplig i Sverige, men kräver att svenska författningar anpassas för att säkerställa både att förordningen får ett effektivt genomslag och att svensk rätt inte strider mot förordningen. Flera författningar på familjerättens och den allmänna förmögenhetsrättens områden berörs av dataskyddsförordningen. Den författning som berörs i störst utsträckning är kreditupplysningslagen. Promemorian innehåller förslag till anpassningar av den lagen i fråga om vilka krav som ställs vid behandling av personuppgifter och vilken information som ska lämnas till den registrerade. Förslagen innebär att behandling av bl.a. genetiska och biometriska uppgifter förbjuds i kreditupplysningsverksamhet. När en kreditupplysning lämnas ut ska fysiska personer ges rätt till information om bl.a. varifrån uppgifterna har hämtats, hur länge de kommer att lagras och möjligheten att framställa klagomål hos Datainspektionen. Vidare innehåller promemorian överväganden om huruvida kreditupplysningslagens tillsyns- och sanktionsbestämmelser är förenliga med dataskyddsförordningen. Upplysningsbestämmelser som klargör förhållandet till dataskyddsförordningen föreslås där det bedöms nödvändigt. I övrigt innehåller promemorian förslag som innebär att hänvisningar till personuppgiftslagen i olika författningar tas bort eller ersätts av hänvisningar till dataskyddsförordningen. Författningsändringarna föreslås träda i kraft den 25 maj 2018. Promemorians lagförslag Förslag till lag om ändring i kreditupplysningslagen (1973:1173) Härigenom föreskrivs i fråga om kreditupplysningslagen (1973:1173) dels att 5, 6, 10-12 och 21 §§ och rubrikerna närmast före 5, 6 och 12 §§ ska ha följande lydelse, dels att rubrikerna närmast före 3, 15 och 19 §§ ska lyda "Tillstånd", "Tillsyn" respektive "Straff och skadestånd", dels att det ska införas två nya paragrafer, 12 a och 17 a §§, av följande lydelse. Nuvarande lydelse Föreslagen lydelse Verksamhetens bedrivande m.m. Verksamhetens bedrivande 5 § Kreditupplysningsverksamhet skall bedrivas så att den inte leder till otillbörligt intrång i personlig integritet genom innehållet i de upplysningar som förmedlas eller på annat sätt eller till att oriktiga eller missvisande uppgifter lagras eller lämnas ut. För sådan behandling av personuppgifter som omfattas av personuppgiftslagen (1998:204) gäller i stället 9 § första stycket a, b och d-h den lagen. Kreditupplysningsverksamhet ska bedrivas så att den inte leder till otillbörligt intrång i personlig integritet genom innehållet i de upplysningar som förmedlas eller på annat sätt eller till att oriktiga eller missvisande uppgifter lagras eller lämnas ut. För sådan behandling av personuppgifter som omfattas av Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) gäller i stället artikel 5 i den förordningen. Uppgifter om fysiska personer får samlas in endast för kreditupplysningsändamål. Vid helt eller delvis automatiserad behandling av uppgifter om juridiska personer skall den som bedriver kreditupplysningsverksamhet vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att hindra att behandlingen sker på ett otillåtet sätt och att uppgifterna utsätts för otillåten insyn. Bestämmelser om säkerheten vid behandling av personuppgifter finns i 30-32 §§ personuppgiftslagen. Vid helt eller delvis automatiserad behandling av uppgifter om juridiska personer ska den som bedriver kreditupplysningsverksamhet vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att hindra att behandlingen sker på ett otillåtet sätt och att uppgifterna utsätts för otillåten insyn. Bestämmelser om säkerheten vid behandling av personuppgifter finns i Europaparlamentets och rådets förordning (EU) 2016/679. Utan hinder av 10 § personuppgiftslagen får personuppgifter behandlas utan samtycke i kreditupplysningsverksamhet. Den registrerade kan inte heller motsätta sig behandlingen. Personuppgifter får behandlas utan samtycke i kreditupplysningsverksamhet. Den registrerade kan inte heller invända mot behandlingen. Bestämmelsen i andra stycket tillämpas inte i den utsträckning det skulle strida mot bestämmelserna i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen. Andra stycket tillämpas inte i den utsträckning det skulle strida mot bestämmelserna i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen. Känsliga uppgifter m.m. Känsliga uppgifter 6 § Uppgifter om en persons ras, etniska ursprung, politiska uppfattning, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv får inte behandlas i kreditupplysningsverksamhet. Sådana särskilda kategorier av personuppgifter som omfattas av artikel 9.1 i Europaparlamentets och rådets förordning (EU) 2016/679 får inte behandlas i kreditupplysningsverksamhet. Uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden får inte utan medgivande av Datainspektionen behandlas i kreditupplysningsverksamhet. Ett medgivande som avses i andra stycket får lämnas endast om det finns synnerliga skäl. Ett medgivande får lämnas endast om det finns synnerliga skäl. Vad som anges i andra stycket hindrar inte att uppgifter om betalningsförsummelser, kreditmissbruk eller näringsförbud behandlas i kreditupplysningsverksamhet. Andra stycket hindrar inte att uppgifter om betalningsförsummelser, kreditmissbruk eller näringsförbud behandlas i kreditupplysningsverksamhet. 10 § Var och en har rätt att mot skälig avgift hos den som bedriver kreditupplysningsverksamhet få skriftligt besked om huruvida det i verksamheten behandlas uppgifter om honom. Fysiska personer har rätt att en gång per kalenderår få ett besked gratis. Behandlas sådana uppgifter skall besked lämnas om Juridiska personer har rätt att mot skälig avgift hos den som bedriver kreditupplysningsverksamhet få besked om huruvida det i verksamheten behandlas uppgifter om personen. Behandlas sådana uppgifter ska besked lämnas om a) vilka uppgifter som behandlas, a) vilka uppgifter som behandlas, b) om den registrerade är en fysisk person: varifrån uppgifterna har hämtats, b) ändamålen med behandlingen, och c) ändamålen med behandlingen och c) till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut. d) till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut. Bestämmelserna i första stycket tillämpas inte i den utsträckning det skulle strida mot bestämmelserna i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen. Bestämmelser om besked till fysiska personer finns i Europaparlamentets och rådets förordning (EU) 2016/679. En begäran om besked enligt första stycket om en fysisk person skall göras skriftligen och vara egenhändigt undertecknad. Första stycket tillämpas inte i den utsträckning det skulle strida mot bestämmelserna i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen. 11 § När en kreditupplysning om en fysisk person lämnas ut, ska till den som avses med upplysningen samtidigt och kostnadsfritt sändas ett skriftligt meddelande om När en kreditupplysning om en fysisk person lämnas ut, ska till den som avses med upplysningen samtidigt och kostnadsfritt sändas ett skriftligt meddelande om 1. vem som bedriver kreditupplysningsverksamheten, 1. vem som bedriver kreditupplysningsverksamheten och vem som är dataskyddsombud, 2. ändamålen med behandlingen, 2. ändamålen med och den rättsliga grunden för behandlingen, 3. de uppgifter, omdömen och råd som upplysningen innehåller om honom eller henne, 3. vilka kategorier av personuppgifter som behandlas, varifrån uppgifterna hämtats och hur länge uppgifterna kommer att lagras, 4. möjligheten att få rättelse av de uppgifter som rör honom eller henne, och 4. de uppgifter, omdömen och råd som upplysningen innehåller om honom eller henne, 5. möjligheten att begära tillgång till och få rättelse av de uppgifter som rör honom eller henne, 5. vem som har begärt upplysningen. 6. vilka kategorier av mottagare som kan ta del av personuppgifterna och vem som har begärt upplysningen, och 7. möjligheten att framställa klagomål till Datainspektionen. Om kreditupplysningen lämnas ut till ett svenskt kreditinstitut eller värdepappersbolag, eller till ett motsvarande utländskt företag, för att användas endast som underlag för beräkning av kapitalkravet för kreditrisker med en sådan metod som avses i artikel 143.1 i Europaparlamentets och rådets förordning (EU) nr 575/2013 av den 26 juni 2013 om tillsynskrav för kreditinstitut och värdepappersföretag och om ändring av förordning (EU) nr 648/2012, får meddelandet sändas senare men utan onödigt dröjsmål och begränsas till information enligt första stycket 1, 2 och 5. Om den som avses med upplysningen begär det, ska även information enligt 3 och 4 sändas till honom eller henne. Om kreditupplysningen lämnas ut till ett svenskt kreditinstitut eller värdepappersbolag, eller till ett motsvarande utländskt företag, för att användas endast som underlag för beräkning av kapitalkravet för kreditrisker med en sådan metod som avses i artikel 143.1 i Europaparlamentets och rådets förordning (EU) nr 575/2013 av den 26 juni 2013 om tillsynskrav för kreditinstitut och värdepappersföretag och om ändring av förordning (EU) nr 648/2012, får meddelandet sändas senare men utan onödigt dröjsmål och begränsas till information enligt första stycket 1, 2 och 6. Om den som avses med upplysningen begär det, ska även information enligt 3, 4, 5 och 7 sändas till honom eller henne. Första och andra styckena gäller också när en kreditupplysning lämnas om ett handelsbolag eller kommanditbolag. Första-tredje styckena gäller inte kreditupplysningar som lämnas genom offentliggörande på ett sådant sätt som avses i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen, utom när upplysningarna tillhandahålls ur en databas enligt 1 kap. 9 § yttrandefrihetsgrundlagen på sätt som avses i den paragrafens första stycke 1 och 2. Rättelse Rättelse och begränsning av behandling 12 § Finns det anledning att misstänka att en uppgift som behandlas i kreditupplysningsverksamhet eller som har lämnats i en kreditupplysning under den senaste tolvmånadersperioden är oriktig eller missvisande, eller att den annars har behandlats i strid med denna lag, ska den som bedriver verksamheten utan dröjsmål vidta skäliga åtgärder för att utreda förhållandet. Om det finns anledning att misstänka att en uppgift som behandlas i kreditupplysningsverksamhet eller som har lämnats i en kreditupplysning under den senaste tolvmånadersperioden är oriktig eller missvisande, eller att den annars har behandlats i strid med denna lag, ska den som bedriver verksamheten utan dröjsmål vidta skäliga åtgärder för att utreda förhållandet. Visar det sig att uppgiften är oriktig eller missvisande, eller att den annars har behandlats i strid med lagen, ska den, om den förekommer i register, rättas, kompletteras eller uteslutas ur registret. Om det visar sig att uppgiften är oriktig eller missvisande, eller att den annars har behandlats i strid med lagen, ska den, om den förekommer i register, rättas, kompletteras eller uteslutas ur registret. Om en oriktig eller missvisande uppgift har tagits in i en kreditupplysning som lämnats ut, ska rättelse eller komplettering så snart det kan ske tillställas var och en som under den senaste tolvmånadersperioden fått del av uppgiften. Detta gäller inte offentliggörande av en kreditupplysning på ett sådant sätt som avses i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen, utom när upplysningen tillhandahållits ur en databas enligt 1 kap. 9 § yttrandefrihetsgrundlagen på sätt som avses i den paragrafens första stycke 1 och 2. Har uppgiften under den senaste tolvmånadersperioden lämnats i en periodisk skrift eller i en kreditupplysningsverksamhet som bedrivs genom återkommande offentliggöranden enligt yttrandefrihetsgrundlagen, ska rättelse eller komplettering så snart det kan ske införas i ett följande nummer av skriften eller motsvarande form av offentliggörande enligt yttrandefrihetsgrundlagen. Om uppgiften under den senaste tolvmånadersperioden har lämnats i en periodisk skrift eller i en kreditupplysningsverksamhet som bedrivs genom återkommande offentliggöranden enligt yttrandefrihetsgrundlagen, ska rättelse eller komplettering så snart det kan ske införas i ett följande nummer av skriften eller motsvarande form av offentliggörande enligt yttrandefrihetsgrundlagen. Andra-fjärde styckena gäller inte om uppgiften uppenbarligen saknar betydelse för bedömningen av vederbörandes vederhäftighet i ekonomiskt hänseende. Andra-fjärde styckena gäller inte om uppgiften uppenbarligen saknar betydelse för bedömningen av personens vederhäftighet i ekonomiskt hänseende. Har en fråga om rättelse eller liknande åtgärd tagits upp efter framställning från den som uppgiften avser, ska denne kostnadsfritt underrättas om huruvida en sådan åtgärd vidtagits. Om en fråga om rättelse eller liknande åtgärd har tagits upp efter framställning från den som uppgiften avser, ska han eller hon kostnadsfritt underrättas om huruvida en sådan åtgärd vidtagits. En fysisk person ska på begäran även få information om vem som har fått del av en rättelse eller komplettering. 12 a § I Europaparlamentets och rådets förordning (EU) 2016/679 finns bestämmelser om fysiska personers rätt att begära att behandlingen av personuppgifter begränsas. 17 a § I Europaparlamentets och rådets förordning (EU) 2016/679 finns ytterligare bestämmelser om tillsyn i fråga om sådan behandling av personuppgifter som omfattas av den förordningen. 21 § Den som bedriver kreditupplysningsverksamhet skall ersätta skada som till följd av verksamheten tillfogas någon genom otillbörligt intrång i hans personliga integritet eller genom att oriktig uppgift lämnas om honom, om icke den som bedriver verksamheten kan visa att tillbörlig omsorg och varsamhet iakttagits. Vid bedömande om och i vad mån skada har uppstått tages hänsyn även till lidande och andra omständigheter av annan än rent ekonomisk betydelse. Den som bedriver kreditupplysningsverksamhet ska ersätta skada som till följd av verksamheten tillfogas någon genom otillbörligt intrång i hans eller hennes personliga integritet eller genom att en oriktig uppgift lämnas om honom eller henne, om inte den som bedriver verksamheten kan visa att tillbörlig omsorg och varsamhet har iakttagits. Vid bedömande om och i vad mån skada har uppstått tas hänsyn även till lidande och andra omständigheter av annan än rent ekonomisk betydelse. För sådan behandling av personuppgifter som omfattas av Europaparlamentets och rådets förordning (EU) 2016/679 gäller i stället artikel 82 i den förordningen. Denna lag träder i kraft den 25 maj 2018. Förteckning över remissinstanserna (Ds 2017:26) Efter remiss har yttranden över promemorian lämnats av Helsingborgs tingsrätt, Kammarrätten i Stockholm, Förvaltningsrätten i Stockholm, Justitiekanslern, Åklagarmyndigheten, Datainspektionen, Kammarkollegiet, Försäkringskassan, Finansinspektionen, Skatteverket, Kronofogdemyndigheten, Länsstyrelsen i Dalarnas län, Länsstyrelsen i Västra Götalands län, Fastighetsmäklarinspektionen, Juridiska fakultetsnämnden vid Stockholms universitet, Samhällsvetenskapliga fakultetsnämnden vid Umeå universitet, Bisnode Sverige AB, CreditSafe i Sverige AB, Finansbolagens Förening, Företagarna, Småföretagarnas Riksförbund, Sparbankernas Riksförbund, Svensk Försäkring, Svensk Inkasso, Svenska Bankföreningen, Sveriges advokatsamfund och UC AB. Riksdagens ombudsmän, Bolagsverket, Regelrådet, Decidas Info AB, Fastighetsägarna, Företagarförbundet Fria Företagare, Sergel Kredittjänster AB, Svensk Handel, Svenska Journalistförbundet, Svenska Tidningsutgivareföreningen, Svenskt Näringsliv, Sveriges Kommuner och Landsting och Syna AB har avstått från att yttra sig. Ett yttrande har dessutom kommit in från Dataskydd.net. Sammanfattning av betänkandet (SOU 2015:77) Uppdraget Utredningen har haft i uppdrag att dels kartlägga omfattningen och karaktären av problemen med fakturabedrägerier och dels att utifrån kartläggningen överväga behovet av förändringar i framför allt civilrättslig, näringsrättslig och civilprocessrättslig lagstiftning. I uppdraget har ingått att föreslå de åtgärder som utredaren ansett det finnas behov av. En allmän riktlinje för uppdraget har varit att de åtgärder som föreslås ska vara ändamålsenliga och proportionerliga i förhållande till problemens omfattning och karaktär. I direktiven har särskilt betonats att utredningen inte ska föreslå åtgärder som riskerar att få mer generella konsekvenser för näringslivet. Slutsatser Fakturabedrägeri förekommer i stor omfattning och drabbar alla delar av samhället. Långt ifrån alla betalningar som görs beror på att den som betalat har blivit vilseledd och inte upptäckt att det varit fråga om fakturabedrägeri. I många fall, framförallt hos privatpersoner och företag, sker betalning därför att det finns en starkt överdriven rädsla för betalningsanmärkningar. Betalning görs också bl.a. därför att det bedöms vara enklare och mer ekonomiskt än att bestrida eller därför att de som betalar bedömer sina chanser till framgång vid rättslig prövning av kraven som små. Att bestrida ett krav som framställts vid fakturabedrägeri kräver emellertid ingen större arbetsinsats. I regel är ett bestridande också det enda som behöver göras. Det är mycket ovanligt att de som står bakom kraven vänder sig till Kronofogdemyndigheten eller till tingsrätten. Skulle så ske ger de avtalsrättsliga regler som finns i dag ett tillräckligt gott skydd för att den som drabbas av fakturabedrägeri ska kunna undgå betalningsskyldighet. De marknadsrättsliga regler och etiska riktlinjer för marknadsföring som finns i dag motverkar också fakturabedrägeri och bör i högre utsträckning än i dag åberopas vid den civilrättsliga prövningen av avtal som ingås efter marknadsföringsåtgärder, särskilt vid telefonförsäljning. Näringslivet bör ta ett mer aktivt ansvar för den utvecklingen. Fakturabedrägeri är i stor utsträckning kriminaliserat. Ansvaret för att utreda brotten och lagföra personerna bakom förfarandena åvilar samhället. Det är emellertid inte rimligt att förvänta sig att det ens med obegränsade resurser skulle vara möjligt att helt eliminera förfarandena. Så länge det är lönsamt kommer det finnas personer som ägnar sig åt fakturabedrägeri. Det mest effektiva sättet att motverka fakturabedrägeri är därför att förmå dem som utsätts för bluffakturor och liknande krav att hävda sina rättigheter enligt de regler finns och att vägra betala. Det allmänna bör i det syftet tillhandahålla information som uppmärksammar enskilda personer och företag på riskerna att drabbas av fakturabedrägeri och som underlättar för dem att ta tillvara sina rättigheter om de drabbas. Kartläggningen Utgångspunkter och metod Den kartläggning som omfattats av utredningens uppdrag har till övervägande del genomförts i form av en marknadsundersökning som ett externt marknadsundersökningsföretag har utfört på uppdrag av utredningen. Marknadsundersökningen har riktats till ett urval av respondenter i grupperna privatpersoner, företag, kommuner och statliga förvaltningsmyndigheter. De frågeunderlag som använts vid marknadsundersökningen har utarbetats av utredningen. Frågeunderlaget har baserats på de kunskaper om förekommande former av fakturabedrägeri som utredningen har inhämtat genom kontakter med myndigheter och företag, sammantagna med den information om förfarandena som beskrivits i Egendomsskyddsutredningens betänkande, Stärkt straffrättsligt skydd för egendom (SOU 2013:85). Landstingens erfarenheter av fakturabedrägeri har inhämtats genom telefonintervjuer. Domstolarnas erfarenheter som mottagare av bluffakturor och andra betalningskrav vid fakturabedrägeri har inhämtats genom en mindre omfattande enkät som Domstolsverket har bistått utredningen med. Fakturabedrägeri förekommer i olika varianter Utredningen har delat in fakturabedrägeri i två huvudkategorier, bluffakturor och fakturabedrägeri efter kontakt. Med bluffakturor avses bluffakturor som skickats ut utan föregående kontakt mellan fakturautställare och fakturamottagare. Inom denna kategori faller fakturor som skickats ut från tidigare okända leverantörer, fakturor där fakturautställaren medvetet har utformat fakturan så att den liknar en faktura från någon välkänd leverantör (kapade fakturor), samt erbjudanden som varit utformade som fakturor men där det varit svårt att upptäcka att det har varit fråga om ett erbjudande, (erbjudandefakturor). Med fakturabedrägeri efter kontakt avses fakturor som skickats ut efter en kontakt mellan fakturautställare och fakturamottagare, vilken enligt fakturautställaren har resulterat i någon form av avtal mellan dem. Efterföljande faktura eller betalningskrav påstås vara i enlighet med avtalet. Till denna kategori hör både grundlösa påståenden om att avtal har ingåtts och avtal som fakturamottagaren på olika sätt har blivit vilseledd eller pressad att ingå. Fakturabedrägeri drabbar en stor del av samhället Den kartläggning som utredningen har låtit göra visar att fakturabedrägeri drabbar en stor del av samhället. Vanligast är bluffakturorna. I genomsnitt har femte person, vart tredje företag, var tredje statliga förvaltningsmyndighet, var sjätte domstol och nära nog varenda kommun under det senaste året fått en eller flera bluffakturor. Uppgifterna är mer osäkra när det gäller landstingen. Även hos dem har det emellertid förekommit att man mottagit bluffakturor. Fakturabedrägerier efter kontakt är inte lika vanliga som bluffakturorna. Dessa former av fakturabedrägeri har ändå under det senaste året drabbat över en femtedel av företagen, omkring en fjärdedel av de statliga förvaltningsmyndigheterna, omkring en åttondel av privatpersonerna och omkring en tolftedel av domstolarna och attestanterna inom kommunerna. Om man ser till kommunerna som helhet har omkring nio av tio kommuner drabbats. När det gäller landstingen är det mer osäkert i hur stor omfattning problemen har förekommit. Klart vanligast, oavsett till vem förfarandet riktat sig, har varit att det rört sig om avtal som påstås ha ingåtts per telefon. Krav som riktats till privatpersoner har till övervägande del understigit 1 000 kronor. Krav riktade till företag, kommuner och statliga förvaltningsmyndigheter har till övervägande del uppgått till ett belopp mellan 1 000 och 5 000 kronor. Betalningskrav som grundar sig på påståenden om avtal betalas i högre utsträckning än bluffakturor De flesta som får en bluffaktura betalar den inte. Av de privatpersoner som under det senaste året har fått en bluffaktura är det är endast fem procent som har betalat något. Bland företagen har det varit något vanligare att betalning skett. Av de företag som under det senaste året har fått en eller flera bluffakturor har nio procent i något fall gjort en betalning. Av de statliga förvaltningsmyndigheterna är det 19 procent som har uppgett att myndigheten vid något tillfälle har betalat en bluffaktura. Bland attestanterna inom kommunerna är det fyra procent som någon gång betalat. Betalningar har förekommit också hos landstingen och hos domstolarna. Det är sammantaget procentuellt sett betydligt vanligare att de som utsätts för fakturabedrägeri efter kontakt betalar enligt kravet jämfört med de som utsätts för bluffakturor. I genomsnitt har omkring 20-30 procent av dem som i den stora enkätundersökningen uppgett att de har mottagit ett eller flera sådana betalningskrav någon gång betalat. Hos domstolarna har endast tre procent betalat. Betalningar har förekommit också hos landstingen, dock oklart i vilken omfattning. Utredningen har gjort en grov uppskattning av vilka belopp privatpersoner och företag under det senaste året har betalat till personerna bakom fakturabedrägerierna och kommit fram till att det totalt sett rör sig om ett belopp på från omkring en halv miljard och upp till över en miljard kronor. De flesta betalningar sker utan att andra åtgärder än att skicka betalningspåminnelser eller inkassokrav behöver göras I de fall bluffakturor och andra fakturabedrägerier leder till betalning sker det i de flesta fall utan att fakturautställaren behöver göra något annat än att skicka en betalningspåminnelse. I de flesta fall behöver fakturautställaren inte ens göra det. Av dem som har betalat, i alla kategorier, har i snitt omkring hälften gjort det inom den förfallotid som angetts på fakturan. Inkassokrav skickas emellertid också ut för att driva fram betalning. Det har varit vanligare att företag betalat först efter de har fått ett inkassokrav än att privatpersoner och myndigheter har gjort det. I snitt har omkring fem procent av de privatpersoner och företag som betalat gjort det först efter att en ansökan om betalningsföreläggande har gjorts mot dem. Betalning efter stämning i tingsrätt har förekommit hos en liten andel av privatpersonerna och företagen. Det är i princip inga statliga förvaltningsmyndigheter eller kommuner som har betalat efter att personerna bakom fakturabedrägerierna har ansökt om betalningsföreläggande eller stämning mot dem. Privatpersoner betalar bluffakturor främst av rädsla för betalningsanmärkning - övriga betalar främst av misstag Bland privatpersonerna är det främsta skälet till betalning av blufffakturor att man vill undvika att få en betalningsanmärkning. Det är också vanligt att man betalar därför att man anser det vara enklare och billigare än att bestrida. Det är däremot mindre vanligt att man betalar av misstag, därför att man inte inser att det rör sig om en bluffaktura. Hos företagen, de statliga förvaltningsmyndigheterna, attestanterna inom kommunerna och domstolarna sker däremot betalningarna av bluffakturorna främst av misstag. Även företagen betalar dock i hög utsträckning för att undvika att få en betalningsanmärkning eller ett betalningsföreläggande från Kronofogdemyndigheten. Skälen till varför betalning sker vid fakturabedrägeri med påstående om avtal varierar Det främsta skälet till att privatpersoner betalar är även när det gäller fakturabedrägeri med påstående om avtal att de vill undvika en betalningsanmärkning. Betalning sker också för att det är enklare, billigare, för att man vill undvika betalningsföreläggande och därför att man är osäker på om man har ingått något avtal eller inte. Endast ett fåtal betalar därför att de bedömer utsikterna till framgång vid en rättslig prövning som små. Hos de drabbade företagen har det inte varit något skäl som har varit klart mer framträdande än något annat. Skäl som att det bedömts vara enklare eller billigare att betala än att bestrida har angetts i ungefär lika stor utsträckning som att man velat undvika att företaget skulle få en betalningsanmärkning eller ett betalningsföreläggande från Kronofogdemyndigheten. Andra skäl, såsom att man inte insett att det varit fråga om fakturabedrägeri eller att man upplevt situationen som obehaglig har också förekommit. Risken att förlora vid en rättslig prövning av saken har motiverat betalning hos endast ett fåtal. När det gäller de statliga myndigheterna, attestanterna hos kommunerna och landstingen synes det övervägande skälet till betalning däremot ha varit att man bedömt sina utsikter till framgång vid en rättslig prövning som små. Det har också varit relativt vanligt att man inte har insett att det rört sig om fakturabedrägeri innan betalningen gjorts. I motsats till vad man kan tro finns det även inom myndigheterna en viss aversion mot betalningsanmärkningar och en önskan att undvika att bli föremål för ansökan om betalningsföreläggande. Det fåtal domstolar som har betalat har uppgett att det skett av misstag. Man bör dock hålla i minnet att underlaget när det gäller myndigheterna är litet och att det därför inte går att dra alltför långtgående slutsatser av resultaten. Bestridande leder oftast inte till annat än betalningspåminnelser I de flesta fall händer inget när betalning uteblir. I en del fall vidtar emellertid personerna bakom kraven åtgärder för att förmå mottagarna av kraven att betala. Generellt sett är det vanligare att åtgärder vidtas vid fakturabedrägeri efter kontakt än när det rör sig om bluffakturor. Av de åtgärder som vidtas är utskick av betalningspåminnelser vanligast. Grovt sett har mellan en tredjedel och en fjärdedel av dem som vägrat betala fått en betalningspåminnelse. Privatpersoner har dock fått betalningspåminnelser i något mindre utsträckning än övriga. Inkassokrav har också skickats till i genomsnitt mellan en tjugondel och en tiondel av dem som vägrat att betala. Det har varit något vanligare med inkassokrav vid fakturabedrägeri efter kontakt än vid bluffakturor. Privatpersoner har i mindre utsträckning än övriga drabbats av inkassokrav. Ansökan om betalningsföreläggande har gjorts endast i ett fåtal fall, i snitt mot färre än tre procent av dem som vägrat betala. Hos de statliga förvaltningsmyndigheterna har det i princip inte förekommit. Det är ytterst sällan som personerna bakom fakturabedrägerierna har vänt sig till tingsrätten. De flesta som utsätts för fakturabedrägeri gör ingen polisanmälan De som drabbas av fakturabedrägeri anmäler i regel inte det till polisen. Anmälningsbenägenheten är låg i alla respondentgrupper. Anmälningsbenägenheten är lägst hos privatpersoner, något lite högre hos företagen och högst hos de statliga förvaltningsmyndigheterna. Grovt uppskattat har bara omkring en tiondel av dem som under det senaste året har utsatts för fakturabedrägeri gjort en polisanmälan om det. Svaren tyder på stora kunskapsbrister i avgörande frågor Respondenterna i samtliga grupper har i stor utsträckning själva ansett sig sakna tillräckliga kunskaper på områden som måste betraktas som centrala för deras val mellan att betala eller bestrida ett betalningskrav som utgör någon form av fakturabedrägeri. Nära en tredjedel av privatpersonerna och omkring en fjärdedel av företagen har ansett sig sakna tillräcklig kunskap om hur man kan komma ur ett avtal som man har blivit vilseledd att ingå. Hos de statliga förvaltningsmyndigheterna och attestanterna inom kommunerna har omkring en sjundedel ansett att sådan kunskap saknas. Omkring en fjärdedel av privatpersonerna och en femtedel av företagen har ansett att de saknar tillräcklig kunskap om hur man bemöter ett oriktigt krav från en leverantör och vet inte heller vart de kan vända sig för att få veta mer. När det gäller respondenternas kunskaper i fråga om hur det går till att få en betalningsanmärkning har i genomsnitt mellan en femtedel och en tiondel av de tillfrågade privatpersonerna, företagen, de statliga förvaltningsmyndigheterna och attestanterna på kommunerna själva ansett att de, respektive den verksamhet de arbetar inom, saknar tillräckliga kunskaper i frågan. De egna kunskaperna om vilka möjligheter det finns att begära rättelse av felaktiga uppgifter i Kronofogdemyndighetens register har också bedömts som otillräckliga, i vart fall av en stor andel av privatpersonerna och företagen. De marknadsrättsliga reglerna bör tillmätas större betydelse vid den avtalsrättsliga bedömningen Många former av fakturabedrägeri utgör även otillbörlig marknadsföring enligt marknadsföringslagen. Reglerna begränsar möjligheterna att använda sig av otillbörliga marknadsföringsmetoder och samtidigt framstå som en seriös aktör på marknaden. Sanktionerna enligt marknadsföringslagen är emellertid i huvudsak framåtsyftande. Konsumentombudsmannen, som har tillsynsansvar enligt marknadsföringslagen, ser till konsumentkollektivets intressen. Näringsidkarkollektivets intressen bevakas i princip inte, vilket medför att förfaranden som främst riktar sig mot näringsidkare inte uppmärksammas i samma utsträckning. Det huvudsakliga ansvaret för rättsutvecklingen när det gäller marknadsföring mellan näringsidkare måste därför bäras av näringslivet självt. Enskilda näringsidkare kan emellertid inte förväntas avsätta tid för driva förbuds- eller åläggandetalan till förmån för näringsidkarkollektivet i stort. Rättsutvecklingen på det marknadsrättsliga området måste i stället drivas av bransch- och intresseorganisationerna. Näringslivets egenåtgärder har också stor betydelse för rättsutveckligen och klargör vad som ska anses vara god sed i marknadsföring. De marknadsrättsliga normerna bör också i högre utsträckning än vad som görs i dag tillmätas betydelse vid den civilrättsliga bedömningen av ett visst förfarande, eftersom de tjänar som ett riktmärke för vad som är godtagbart. Näringslivets etiska regler för marknadsföring bör tillmätas betydelse som sedvana eller branschpraxis, förutsett att riktlinjerna kan anses ha tillräckligt stöd av aktörerna på marknaden. Innehåller riktlinjerna regler för hur avtal ska ingås bör dessa respekteras vid den avtalsrättsliga bedömningen. Det bör dock inte införas någon ny bestämmelse med en civilrättslig sanktion i marknadsföringslagen. I stället bör näringslivet på ett mer aktivt sätt än i dag ta ansvar för utvecklingen av tydliga normer för marknadsföring mellan näringsidkare. De avtalsrättsliga reglerna skyddar den som drabbas av fakturabedrägeri Avtalslagens regler är generellt tillämpliga och har betydelse för många typer av avtalssituationer. Det avtalsrättsliga skyddet mot olika former av fakturabedrägeri utgörs dels av avtalslagens regler om ogiltighet m.m. men också av de avtalsrättsliga regler och den praxis som bestämmer hur avtalsbundenhet överhuvudtaget uppstår. Tillsammans ger den avtalsrättsliga reglering som finns i dag i huvudsak det rättsliga skydd som behövs för att de drabbade ska kunna undgå betalningsskyldighet vid fakturabedrägeri. Såsom civilprocessen fungerar förutsätter emellertid tillämpningen av reglerna att den enskilde själv åberopar de omständigheter som är relevanta i sammanhanget. Reglerna skulle visserligen kunna moderniseras eller förtydligas men det skulle förutsätta noggranna överväganden om ändringar i 1 och 3 kap. avtalslagen och att såväl den praxis som de principer som är av betydelse i sammanhanget kodifierades. Det låter sig inte göras inom ramen för utredningens uppdrag. Utredningen lämnar därför inte några förslag till ändringar av avtalslagens bestämmelser. Det bör ställas högre krav på bevisningen vid telefonförsäljning Ett vanligt förfaringssätt vid fakturabedrägeri är att den drabbade vilseleds av en telefonförsäljare som därefter kräver betalning enligt ett avtal som denne hävdar har träffats vid telefonsamtalet. Det råder ingen tvekan om att det i dessa fall är telefonförsäljaren som har att styrka sitt påstående om att avtal har träffats. Vad som krävs för att muntligt avtal per telefon ska anses styrkt kan emellertid variera. I en del avgöranden har det ansetts tillräckligt att det som hörts under ljudinspelningen av telefonsamtalet har tolkats som en bekräftelse på ett avtal som har ingåtts tidigare under samtalet. I praktiken kan bevisläget i vissa fall därför vara sådant att den drabbade kan ha svårt att få rätt. Risken för missförstånd och utrymmet för oegentligheter, i förening med telefonförsäljarens överlägset bästa förutsättningar att säkra bevisning, talar för att ställa högre krav på försäljarens bevisning vid direktmarknadsföring per telefon. Som minimikrav bör gälla att det tydligt ska framgå av bevisningen att den som tar emot samtalet har förstått att avtal har träffats och vad avtalet går ut på. En förändring kan visserligen åstadkommas genom att formkrav avseende telefonförsäljning införs i lag. I första hand bör emellertid eftersträvas en lösning som stämmer bättre överens med vår rättstradition. De etiska riktlinjer för telefonförsäljning som branschen själv har tagit fram ålägger försäljaren att visa bl.a. att kunden har varit införstådd med villkoren för avtalet. Riktlinjerna bör tillmätas betydelse också vid den civilrättsliga bedömningen av avtal som träffas vid telefonförsäljning. Mot bakgrund av den uppmärksamhet som de senaste åren har ägnats åt fakturabedrägeri och andra problem vid telefonförsäljning är det rimligt att utgå ifrån att praxis kommer att utvecklas i denna riktning. När det gäller telefonförsäljning till konsumenter har Utredningen om konsumentskydd vid telefonförsäljning dessutom föreslagit att ett skriftlighetskrav införs. Vi anser därför att det för närvarande inte är motiverat att föreslå lagstiftningsåtgärder för att ytterligare reglera telefonförsäljning. Reglerna om ansvar för rättegångskostnaderna i förenklade tvistemål bör ändras för att ge ett bättre skydd mot missbruk Tappande parts ersättningsskyldighet för motpartens rättegångskostnader är begränsad i förenklade tvistemål. Det gäller även när parten har inlett rättegången trots att parten insett eller borde ha insett att dennes talan var ogrundad. Understiger kravet ett halvt basbelopp kan det därför vara mer ekonomiskt att betala än att bestrida, även för den part som har goda chanser att vinna målet. Det finns visserligen straffrättsliga bestämmelser som syftar till att motverka dessa former av rättegångsmissbruk men de tillämpas restriktivt. Detsamma gäller den processrättsliga bestämmelse som möjliggör omedelbar dom vid uppenbart ogrundad talan. Att ta bort begränsningen av ersättningsskyldigheten för rättegångskostnaderna i alla förenklade tvistemål skulle motverka syftet med processformen och skulle därför inte vara någon bra lösning. Det framstår också alltjämt som olämpligt att införa ett krav på att käranden i vissa fall ska ställa säkerhet för rättegångskostnaderna. Utredningen föreslår i stället att det införs en regel om full ersättningsskyldighet för rättegångskostnaderna när part i förenklat tvistemål har inlett rättegången trots att parten insett eller borde ha insett att käromålet var ogrundat. Regeln föreslås träffa enbart kärandeparter som är eller i rättegången uppträder som näringsidkare. En rättegångskostnadssanktion av detta slag väntas få en avskräckande effekt på dem som överväger att ansöka om stämning för att driva in oriktiga krav, även om regeln kan förväntas bli tillämpad endast i undantagsfall. Regeln är också av principiell betydelse. En regel om solidariskt ersättningsansvar för motpartens rättegångskostnader föreslås också för ställföreträdare, ombud och biträden som företrätt eller biträtt käranden i dessa fall, trots att de insett eller borde ha insett att käromålet var ogrundat. En sådan rättegångskostnadssanktion bedöms kunna motverka att dessa aktörer åtar sig uppdrag från företag som har som affärsidé att driva in oriktiga eller tveksamma krav, t.ex. s.k. katalogtjänstföretag. Det bör inte införas några ändringar i regelverket för inkassoverksamhet Den som tar emot ett inkassokrav får i regel uppfattningen att kravet kommer från en tredje part, ett inkassoföretag. Det kan i sig öka pressen att betala, bl.a. därför att den enskilde kan ha svårt att avgöra till vem denne ska vända sig för att invända mot kravet. Många inkassokrav kommer emellertid från samma part som står bakom kravet. Egeninkasso eller koncerninkasso får bedrivas utan inkassotillstånd och tillsynen över verksamheten är därmed begränsad. För att åstadkomma en mer transparent inkassoverksamhet och förbättra förutsättningarna för tillsynen har utredningen övervägt att införa en generell tillståndsplikt alternativt en registreringsplikt. Sådana åtgärder skulle emellertid öka den administrativa bördan - och därmed leda till högre kostnader - för såväl företagen som myndigheterna. Om en tillståndsplikt infördes skulle de företag som inte har tillstånd antingen få ökade kostnader för inkassotjänster eller för ansökan om betalningsföreläggande alternativt tvingas avstå från kraven. Det skulle i sin tur leda till att fler skulle ansöka om betalningsföreläggande utan föregående inkassoåtgärder. Fler ansökningar om betalningsföreläggande skulle rimligen leda till fler betalningsanmärkningar för företag och enskilda. Ett krav på registrering skulle visserligen vara mindre ingripande men skulle samtidigt inte heller hindra oseriösa företag eftersom förfarandet inte skulle innefatta någon lämplighetsprövning. Som alternativ har utredningen övervägt att begränsa användningen av ordet inkasso till de företag som bedriver tillståndspliktig inkassoverksamhet. Inkassoåtgärder ska emellertid följa god inkassosed oavsett om åtgärderna förutsätter tillstånd eller inte. Ordet inkasso bör få användas för inkassoåtgärder. Om inte alla inkassoåtgärder ska kräva tillstånd bör därför inte heller användningen av ordet inkasso begränsas. Ett krav på tillstånd skulle inte heller hindra obefogad användning av ordet. Dessutom skulle andra ord kunna ha samma effekt på gäldenären. Som ett fjärde alternativ har utredningen övervägt att införa ett krav på att vid inkasso informera om med vilken rätt en inkassoåtgärd vidtas. En sådan åtgärd skulle kunna bidra till att minska pressen på den som får kravet. Det skulle dock förutsätta att mottagaren av kravet var insatt i reglerna kring inkasso, vilket i allmänhet inte är fallet. De administrativa kostnader som ett krav på information skulle medföra för företag och myndigheter står därför inte i proportion till de positiva effekter som ett sådant krav kan förväntas få. Sammanfattningsvis lämnar utredningen inte några förslag på ändringar i regelverket för inkassoverksamhet. Effekten av hot om ansökan om betalningsföreläggande bör motverkas genom informationsinsatser En uppgift om att ansökan om betalningsföreläggande har gjorts får tas in i en kreditupplysning avseende juridiska personer och fysiska personer som är näringsidkare. För juridiska personer innebär det att redan en ansökan om betalningsföreläggande leder till en betalningsanmärkning hos kreditupplysningsföretagen, vilket kan få kännbara konsekvenser för företagets möjligheter att få kredit. Hot om att ansökan om betalningsföreläggande kan komma att göras är därför ett effektivt påtryckningsmedel för att framkalla betalning. Resultaten från utredningens kartläggning visar emellertid att hoten sällan sätts i verket när betalning uteblir. Kreditupplysningsföretagen har dessutom frivilligt åtagit sig att bevaka ansökningar som kommer från företag som finns med på Svensk Handels varningslista och att inte registrera sådana ansökningar som betalningsanmärkningar. Ett förbud mot att ta med en uppgift om att en ansökan har gjorts skulle därför inte leda till någon större minskning av antalet näringsidkare som drabbas av en betalningsanmärkning till följd av fakturabedrägeri. Ändringen skulle visserligen kunna få den effekten att risken att drabbas upplevs som mindre. För att den effekten skulle uppnås skulle dock krävas att informationsinsatser också vidtogs för att upplysa om ändringen. En likvärdig effekt skulle kunna uppnås genom enbart informationsinsatser. Dessutom fyller en uppgift om att ansökan om betalningsföreläggande har gjorts en viktig funktion vid kreditgivning, eftersom en sådan ansökan i de flesta fall motsvarar en verklig skuld. Utredningen föreslår därför inte något generellt förbud mot att i kreditupplysning ta med uppgift om att ansökan har gjorts. I teorin skulle ett krav på förskottsbetalning av ansökningsavgiften hos Kronofogdemyndigheten kunna avskräcka oseriösa aktörer från att ansöka om betalningsföreläggande som ett led i fakturabedrägeri. I praktiken görs emellertid sällan sådana ansökningar. Dessutom betalas de flesta ansökningsavgifter som enligt nuvarande system faktureras i efterhand. Ett krav på förskottsbetalning kan därför förväntas få begränsad effekt. Samtidigt kan kostnaderna för Kronofogdemyndigheten för att ställa om till förskottsbetalning förväntas bli höga. Utredningen föreslår därför inte att det införs något krav på förskottsbetalning. Utredningen har också övervägt om den summariska processen bör stramas upp i syfte att renodla den från tvistiga fordringar och möjliggöra ett snabbare rättelseförfarande hos Kronofogdemyndigheten. Sådana åtgärder skulle kunna förbättra situationen för företagen i de fall en ansökan trots allt görs som ett led i fakturabedrägeri. De regler som skulle krävas för att åstadkomma ett sådant resultat skulle emellertid kunna missbrukas av de gäldenärer som inte vill betala sina skulder eller som vill tilltvinga sig längre kredittid. Den summariska processen skulle därmed inte längre erbjuda samma effektiva indrivning av fordringar som den gör i dag. De negativa effekter som sådana regler kan få för näringslivet i stort uppvägs inte av den betydelse som ändringarna skulle kunna ha för att motverka fakturabedrägeri. Några sådana regler föreslås därför inte. De drabbade kan redan i dag åstadkomma snabbare rättelse genom att vända sig direkt till kreditupplysningsföretagen. För att den drabbade inte ska behöva söka rättelse hos varje kreditupplysningsföretag bör rättelseförfarandet synkroniseras. Det är dock att föredra att kreditupplysningsföretagen på frivillig väg upprättar ett system för ett samlat rättelseförfarande. Utredningen föreslår därför inte någon utvidgning av den lagstadgade skyldigheten för kreditupplysningsföretagen att underrätta tredje man när rättelse har skett. Rädslan för betalningsföreläggande och betalningsanmärkningar är många gånger obefogad. Det gäller i synnerhet för fysiska personer för vilka en ansökan inte i sig leder till någon betalningsanmärkning. Utredningen bedömer därför att det finns ett behov av informationsinsatser för att förmå fler att våga bestrida kraven trots hot om att ansökan om betalningsföreläggande kan komma att göras. Fakturabedrägeri bekämpas med samma åtgärder som ekonomisk brottslighet De åtgärder som kan vidtas för att göra det svårare för företagen att ägna sig åt fakturabedrägeri är i huvudsak desamma som kan vidtas för att motverka även annan ekonomisk brottslighet och organiserad och systematiskt bedriven förmögenhetsbrottslighet. Det faller utanför utredningens uppdrag att ge konkreta förslag på hur det arbetet kan förbättras. Några synpunkter lämnas emellertid. Utredningen anser att det vore en god idé att ge Bolagsverket ett tydligare brottsförebyggande uppdrag och en möjlighet att vägra registrering vid misstanke om att bolaget kan komma att användas i brottsligt syfte. Utredningen anser också att det borde övervägas att besluta att Bolagsverket ska delta i samverkan mot organiserad brottslighet. Informationsutbytet mellan bankerna och Bolagsverket kan också behöva förenklas. Det kan kräva ändringar i reglerna om banksekretess, alternativt en förbättring av de tekniska förutsättningarna för att internt inom bankerna kunna behandla relevanta ändringar i Bolagsverkets register. Regelverket är väl balanserat mellan olika intressen Utredningen har analyserat ett flertal rättsområden som har bedömts kunna vara av betydelse för att motverka fakturabedrägeri. Detaljer kring den praktiska handläggningen hos ett flertal myndigheter och enskilda företag vars verksamhet i olika avseenden kan komma i kontakt med fakturabedrägeri har också analyserats. I de flesta fall, vissa regler om rättegångskostnader undantagna, har utredningen dragit slutsatsen att de regler som finns ger ett tillräckligt skydd mot fakturabedrägeri och att en ändring av dem skulle medföra oacceptabla nackdelar i andra avseenden. På flera rättsområden har utredningen konstaterat att problemen med fakturabedrägeri snarast har att göra med att reglerna inte tillämpas som det är tänkt. Fakturabedrägeri skulle inte existera om fakturorna och betalningskraven inte betalades. I regel krävs heller inte några större arbetsinsatser för att bestrida dessa oriktiga krav. Ett sätt att få fler enskilda personer och företag, men också offentliganställda, att vägra betala krav av detta slag är att höja deras beredskap för förfarandena och att förse dem med nödvändiga kunskaper för att kunna ta tillvara sina rättigheter gentemot dem som framställer kraven. Utredningen har föreslagit att informationsinsatser ska vidtas i detta syfte. Beredskapen hos dem som riskerar att drabbas måste höjas genom förebyggande information Det finns ett behov av förebyggande information om fakturabedrägeri hos såväl näringsidkare som konsumenter. Samhället bör tillhandahålla sådan information. Informationen bör anpassas till respektive målgrupp och tillhandahållas av de myndigheter som företagen respektive konsumenterna vanligtvis vänder sig till för att söka efter samhällsinformation som angår dem. För konsumenter framstår Konsumentverkets upplysningstjänst för konsumenter som en naturlig informationskanal. För företag finns ingen motsvarande informationstjänst. Tillväxtverket har dock i uppdrag att bl.a. erbjuda företagen samlad myndighetsinformation och tillhandahåller i det syftet en webbplats som riktar sig till företagen. Tillväxtverket framstår därför som den myndighet som är bäst lämpad att ansvara även för information rörande fakturabedrägeri i förhållande till företagen. För dem som redan har drabbats, eller som redan har viss kunskap om fakturabedrägeri, framstår det också som naturligt att söka efter mer information hos Polismyndigheten. Utredningen föreslår att ett regeringsuppdrag ska ges åt var och en av myndigheterna Konsumentverket, Tillväxtverket och Polismyndigheten att tillhandahålla relevant information för att motverka att fler drabbas av fakturabedrägeri. Myndigheternas uppdrag bör omfatta att samla in och sammanställa relevant information från olika källor, bl.a. andra myndigheter och privata aktörer. Informationsuppdragen bör innefatta direktvägledning åt enskilda konsumenter och näringsidkare men inte enskild rådgivning. I uppdragen föreslås ingå att myndigheterna tillsammans får det huvudsakliga ansvaret för att utarbeta en strategi för att öka kännedomen om vart man kan vända sig för att få information om fakturabedrägeri. Utredningen föreslår också att ett särskilt uppdrag ska ges åt var och en av Bolagsverket, Datainspektionen, Kronofogdemyndigheten och Skatteverket att utifrån varje myndighets verksamhetsområde bidra med information till Polismyndigheten, Tillväxtverket och Konsumentverket om olika former av fakturabedrägeri och att bidra med sakkunskaper på områden som är av betydelse för att kunna hantera fakturabedrägeri. Myndigheterna föreslås få informationsansvar för den information de lämnar. Utredningen föreslår vidare att förordningen (2014:110) om en upplysningstjänst för konsumenter ska ändras så att det framgår att även Polismyndigheten, Skatteverket, Datainspektionen och Bolagsverket ska vara informationsansvariga enligt förordningen. Utredningen anser dock att det inte bör införas någon myndighetsadministrerad varningslista motsvarande dem som tillhandahålls inom näringslivet. Förteckning över remissinstanserna (SOU 2015:77) Efter remiss har yttranden över betänkandet lämnats av Riksdagens ombudsmän, Svea hovrätt, Göteborgs tingsrätt, Lunds tingsrätt, Domstolsverket, Åklagarmyndigheten, Ekobrottsmyndigheten, Polismyndigheten, Brottsförebyggande rådet, Datainspektionen, Riksgäldskontoret, Finansinspektionen, Ekonomistyrningsverket, Skatteverket, Kronofogdemyndigheten, Kammarkollegiet, Statens servicecenter, Marknadsdomstolen, Konsumentverket, Juridiska fakultetsnämnden vid Uppsala universitet, Juridiska fakultetsnämnden vid Stockholms universitet, Post- och telestyrelsen, Bolagsverket, Tillväxtverket, CreditSafe i Sverige AB, FAR, Finansbolagens Förening, Förenade Bolag, Lantbrukarnas Riksförbund, Näringslivets Regelnämnd, Småföretagarnas Riksförbund, Svensk Handel, Svensk Inkasso, Svenska Bankföreningen, Svenskt Näringsliv, Sveriges advokatsamfund, Sveriges Kommuner och Landsting och Srf konsulternas förbund. Bisnode Kredit AB, Etiska nämnden för direktmarknadsföring, Företagarna, Inyett AB, Internetstiftelsen i Sverige, Kontakta, Pensionärernas Riksorganisation, Stiftelsen Reklamombudsmannen, Sveriges Konsumenter, SWEDMA och UC AB har avstått från att yttra sig. Ett yttrande har dessutom kommit in från Visita. Lagrådsremissens lagförslag Regeringen har följande förslag till lagtext. 1 Förslag till lag om ändring i kreditupplysningslagen (1973:1173) Härigenom föreskrivs i fråga om kreditupplysningslagen (1973:1173) dels att 5, 6, 10-12, 15 och 21 §§ och rubriken närmast före 12 § ska ha följande lydelse, dels att det ska införas två nya paragrafer, 1 a och 12 a §§, och närmast före 12 a § en ny rubrik av följande lydelse. Nuvarande lydelse Föreslagen lydelse 1 a § Denna lag innehåller, i den del den avser behandling av personuppgifter, bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Vid sådan behandling av personuppgifter som omfattas av EU:s dataskyddsförordning gäller även lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som regeringen har meddelat i anslutning till lagen. 5 § Kreditupplysningsverksamhet skall bedrivas så att den inte leder till otillbörligt intrång i personlig integritet genom innehållet i de upplysningar som förmedlas eller på annat sätt eller till att oriktiga eller missvisande uppgifter lagras eller lämnas ut. För sådan behandling av personuppgifter som omfattas av personuppgiftslagen (1998:204) gäller i stället 9 § första stycket a, b och d-h den lagen. Kreditupplysningsverksamhet ska bedrivas så att den inte leder till otillbörligt intrång i personlig integritet genom innehållet i de upplysningar som förmedlas eller på annat sätt eller till att oriktiga eller missvisande uppgifter lagras eller lämnas ut. För sådan behandling av personuppgifter som omfattas av EU:s dataskyddsförordning gäller i stället artikel 5 i den förordningen. Uppgifter om fysiska personer får samlas in endast för kreditupplysningsändamål. Vid helt eller delvis automatiserad behandling av uppgifter om juridiska personer skall den som bedriver kreditupplysningsverksamhet vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att hindra att behandlingen sker på ett otillåtet sätt och att uppgifterna utsätts för otillåten insyn. Bestämmelser om säkerheten vid behandling av personuppgifter finns i 30-32 §§ personuppgiftslagen. Vid helt eller delvis automatiserad behandling av uppgifter om juridiska personer ska den som bedriver kreditupplysningsverksamhet vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att hindra att behandlingen sker på ett otillåtet sätt och att uppgifterna utsätts för otillåten insyn. Bestämmelser om säkerheten vid behandling av personuppgifter finns i EU:s dataskyddsförordning. Utan hinder av 10 § personuppgiftslagen får personuppgifter behandlas utan samtycke i kreditupplysningsverksamhet. Den registrerade kan inte heller motsätta sig behandlingen. I kreditupplysningsverksamhet får personuppgifter behandlas utan samtycke. Den registrerade har inte rätt att göra invändningar enligt artikel 21.1 i EU:s dataskyddsförordning mot behandlingen. Bestämmelsen i andra stycket tillämpas inte i den utsträckning det skulle strida mot bestämmelserna i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen. Andra stycket tillämpas inte i den utsträckning det skulle strida mot bestämmelserna i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen. 6 § Uppgifter om en persons ras, etniska ursprung, politiska uppfattning, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv får inte behandlas i kreditupplysningsverksamhet. Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får inte behandlas i kreditupplysningsverksamhet. Uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden får inte utan medgivande av Datainspektionen behandlas i kreditupplysningsverksamhet. Uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden får inte utan medgivande av Datainspektionen behandlas i kreditupplysningsverksamhet. Ett medgivande får lämnas endast om det finns synnerliga skäl för det. Ett medgivande som avses i andra stycket får lämnas endast om det finns synnerliga skäl. Andra stycket hindrar inte att uppgifter om betalningsförsummelser, kreditmissbruk eller näringsförbud behandlas i kreditupplysningsverksamhet. Vad som anges i andra stycket hindrar inte att uppgifter om betalningsförsummelser, kreditmissbruk eller näringsförbud behandlas i kreditupplysningsverksamhet. 10 § Var och en har rätt att mot skälig avgift hos den som bedriver kreditupplysningsverksamhet få skriftligt besked om huruvida det i verksamheten behandlas uppgifter om honom. Fysiska personer har rätt att en gång per kalenderår få ett besked gratis. Behandlas sådana uppgifter skall besked lämnas om En juridisk person har rätt att mot skälig avgift hos den som bedriver kreditupplysningsverksamhet få skriftligt besked om huruvida det i verksamheten behandlas uppgifter om den juridiska personen. Behandlas sådana uppgifter ska besked lämnas om a) vilka uppgifter som behandlas, a) vilka uppgifter som behandlas, b) om den registrerade är en fysisk person: varifrån uppgifterna har hämtats, b) ändamålen med behandlingen, och c) ändamålen med behandlingen och c) till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut. d) till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut. Bestämmelserna i första stycket tillämpas inte i den utsträckning det skulle strida mot bestämmelserna i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen. Första stycket tillämpas inte i den utsträckning det skulle strida mot bestämmelserna i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen. En begäran om besked enligt första stycket om en fysisk person skall göras skriftligen och vara egenhändigt undertecknad. Bestämmelser om en fysisk persons rätt till tillgång till personuppgifter och annan information finns i artiklarna 12 och 15 i EU:s dataskyddsförordning. 11 § När en kreditupplysning om en fysisk person lämnas ut, ska till den som avses med upplysningen samtidigt och kostnadsfritt sändas ett skriftligt meddelande om 1. vem som bedriver kreditupplysningsverksamheten, 1. vem som bedriver kreditupplysningsverksamheten och kontaktuppgifter till dataskyddsombudet, om ett sådant ombud krävs enligt artikel 37 i EU:s dataskyddsförordning, 2. ändamålen med behandlingen, 2. ändamålen med och den rättsliga grunden för behandlingen, 3. de uppgifter, omdömen och råd som upplysningen innehåller om honom eller henne, 3. vilka kategorier av personuppgifter som behandlas, varifrån uppgifterna hämtats och hur länge uppgifterna kommer att lagras, 4. möjligheten att få rättelse av de uppgifter som rör honom eller henne, och 4. de uppgifter, omdömen och råd som upplysningen innehåller om honom eller henne, 5. möjligheten att få tillgång till och rättelse av de uppgifter som rör honom eller henne, 5. vem som har begärt upplysningen. 6. vilka kategorier av mottagare som kan ta del av personuppgifterna och vem som har begärt upplysningen, och 7. möjligheten att framställa klagomål till Datainspektionen. Om kreditupplysningen lämnas ut till ett svenskt kreditinstitut eller värdepappersbolag, eller till ett motsvarande utländskt företag, för att användas endast som underlag för beräkning av kapitalkravet för kreditrisker med en sådan metod som avses i artikel 143.1 i Europaparlamentets och rådets förordning (EU) nr 575/2013 av den 26 juni 2013 om tillsynskrav för kreditinstitut och värdepappersföretag och om ändring av förordning (EU) nr 648/2012, får meddelandet sändas senare men utan onödigt dröjsmål och begränsas till information enligt första stycket 1, 2 och 5. Om den som avses med upplysningen begär det, ska även information enligt 3 och 4 sändas till honom eller henne. Om kreditupplysningen lämnas ut till ett svenskt kreditinstitut eller värdepappersbolag, eller till ett motsvarande utländskt företag, för att användas endast som underlag för beräkning av kapitalkravet för kreditrisker med en sådan metod som avses i artikel 143.1 i Europaparlamentets och rådets förordning (EU) nr 575/2013 av den 26 juni 2013 om tillsynskrav för kreditinstitut och värdepappersföretag och om ändring av förordning (EU) nr 648/2012, får meddelandet sändas senare men utan onödigt dröjsmål och begränsas till information enligt första stycket 1, 2 och 6. Om den som avses med upplysningen begär det, ska även information enligt 3, 4, 5 och 7 sändas till honom eller henne. Första och andra styckena gäller också när en kreditupplysning lämnas om ett handelsbolag eller kommanditbolag. Första-tredje styckena gäller inte kreditupplysningar som lämnas genom offentliggörande på ett sådant sätt som avses i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen, utom när upplysningarna tillhandahålls ur en databas enligt 1 kap. 9 § yttrandefrihetsgrundlagen på sätt som avses i den paragrafens första stycke 1 och 2. Rättelse Rättelse, komplettering och radering 12 § Finns det anledning att misstänka att en uppgift som behandlas i kreditupplysningsverksamhet eller som har lämnats i en kreditupplysning under den senaste tolvmånadersperioden är oriktig eller missvisande, eller att den annars har behandlats i strid med denna lag, ska den som bedriver verksamheten utan dröjsmål vidta skäliga åtgärder för att utreda förhållandet. Om det finns anledning att misstänka att en uppgift som behandlas i kreditupplysningsverksamhet eller som har lämnats i en kreditupplysning under den senaste tolvmånadersperioden är oriktig eller missvisande, eller att den annars har behandlats i strid med denna lag eller EU:s dataskyddsförordning, ska den som bedriver verksamheten utan dröjsmål vidta skäliga åtgärder för att utreda förhållandet. Visar det sig att uppgiften är oriktig eller missvisande, eller att den annars har behandlats i strid med lagen, ska den, om den förekommer i register, rättas, kompletteras eller uteslutas ur registret. Om det visar sig att uppgiften är oriktig eller missvisande, eller att den annars har behandlats i strid med lagen eller EU:s dataskyddsförordning, ska den, om den förekommer i register, rättas, kompletteras eller raderas. Om en oriktig eller missvisande uppgift har tagits in i en kreditupplysning som lämnats ut, ska rättelse eller komplettering så snart det kan ske tillställas var och en som under den senaste tolvmånadersperioden fått del av uppgiften. Detta gäller inte offentliggörande av en kreditupplysning på ett sådant sätt som avses i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen, utom när upplysningen tillhandahållits ur en databas enligt 1 kap. 9 § yttrandefrihetsgrundlagen på sätt som avses i den paragrafens första stycke 1 och 2. Har uppgiften under den senaste tolvmånadersperioden lämnats i en periodisk skrift eller i en kreditupplysningsverksamhet som bedrivs genom återkommande offentliggöranden enligt yttrandefrihetsgrundlagen, ska rättelse eller komplettering så snart det kan ske införas i ett följande nummer av skriften eller motsvarande form av offentliggörande enligt yttrandefrihetsgrundlagen. Om uppgiften under den senaste tolvmånadersperioden har lämnats i en periodisk skrift eller i en kreditupplysningsverksamhet som bedrivs genom återkommande offentliggöranden enligt yttrandefrihetsgrundlagen, ska rättelse eller komplettering så snart det kan ske införas i ett följande nummer av skriften eller motsvarande form av offentliggörande enligt yttrandefrihetsgrundlagen. Andra-fjärde styckena gäller inte om uppgiften uppenbarligen saknar betydelse för bedömningen av vederbörandes vederhäftighet i ekonomiskt hänseende. Andra-fjärde styckena gäller inte om uppgiften uppenbarligen saknar betydelse för bedömningen av personens vederhäftighet i ekonomiskt hänseende. Har en fråga om rättelse eller liknande åtgärd tagits upp efter framställning från den som uppgiften avser, ska denne kostnadsfritt underrättas om huruvida en sådan åtgärd vidtagits. Om en fråga om rättelse eller liknande åtgärd har tagits upp efter framställning från den som uppgiften avser, ska han eller hon kostnadsfritt underrättas om huruvida en sådan åtgärd har vidtagits. En fysisk person ska på begäran även få information om vem som har tillställts en rättelse eller komplettering enligt tredje stycket. Begränsning av behandling 12 a § I artikel 18 i EU:s dataskyddsförordning finns bestämmelser om fysiska personers rätt att begära att behandlingen av personuppgifter begränsas. 15 § Datainspektionen utövar tillsyn över efterlevnaden av denna lag. Tillsynen skall utövas så, att den icke vållar större kostnad eller olägenhet än som är nödvändig. Tillsynen ska utövas så att den inte vållar större kostnad eller olägenhet än som är nödvändig. Vid tillsyn över sådan behandling av personuppgifter som omfattas av EU:s dataskyddsförordning gäller Datainspektionens befogenheter enligt denna lag utöver de befogenheter som tillsynsmyndigheten har enligt artikel 58.1-58.3 i den förordningen. 21 § Den som bedriver kreditupplysningsverksamhet skall ersätta skada som till följd av verksamheten tillfogas någon genom otillbörligt intrång i hans personliga integritet eller genom att oriktig uppgift lämnas om honom, om icke den som bedriver verksamheten kan visa att tillbörlig omsorg och varsamhet iakttagits. Vid bedömande om och i vad mån skada har uppstått tages hänsyn även till lidande och andra omständigheter av annan än rent ekonomisk betydelse Den som bedriver kreditupplysningsverksamhet ska ersätta skada som till följd av verksamheten tillfogas någon genom otillbörligt intrång i hans eller hennes personliga integritet eller genom att en oriktig uppgift lämnas om honom eller henne, om inte den som bedriver verksamheten kan visa att tillbörlig omsorg och varsamhet har iakttagits. Vid bedömningen av i vilken utsträckning skada har uppstått ska hänsyn tas även till lidande och andra omständigheter av annan än rent ekonomisk betydelse. För sådan behandling av personuppgifter som omfattas av EU:s dataskyddsförordning gäller artikel 82 i den förordningen i stället för första stycket. Denna lag träder i kraft den 25 maj 2018. 2 Förslag till lag om ändring i lagen (2012:318) om 1996 års Haagkonvention Härigenom föreskrivs att 10 § lagen (2012:318) om 1996 års Haagkonvention ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 10 § En svensk myndighet får utan hinder av 33 § personuppgiftslagen (1998:204) föra över personuppgifter till en myndighet i ett land utanför det Europeiska ekonomiska samarbetsområdet, om det behövs för att den myndigheten ska kunna överväga en nödvändig åtgärd enligt 1996 års Haagkonvention. En svensk myndighet får föra över personuppgifter till en myndighet i ett land utanför Europeiska ekonomiska samarbetsområdet, om det behövs för att den myndigheten ska kunna överväga en nödvändig åtgärd enligt 1996 års Haagkonvention. Denna lag träder i kraft den 25 maj 2018. Lagrådets yttrande Utdrag ur protokoll vid sammanträde 2018-02-01 Närvarande: F.d. justitieråden Gustaf Sandström och Lena Moore samt justitierådet Anders Eka Kreditupplysningslagen och dataskyddsförordningen Enligt en lagrådsremiss den 11 januari 2018 har regeringen (Justitiedepartementet) beslutat inhämta Lagrådets yttrande över förslag till 1. lag om ändring i kreditupplysningslagen (1973:1173), 2. lag om ändring i lagen (2012:318) om 1996 års Haagkonvention. Förslagen har inför Lagrådet föredragits av rättssakkunniga Anna-Karin Larsson. Förslagen föranleder följande yttrande av Lagrådet: Förslaget till lag om ändring i kreditupplysningslagen Rubriken före 12 a § Rubriken blir tydligare om orden "av personuppgifter" läggs till efter ordet behandling (jfr Lagrådets yttrande över remissen Några civil-rättsliga anpassningar till EU:s dataskyddsförordning). Förslaget till lag om ändring i lagen om 1996 års Haagkonvention Lagrådet lämnar förslaget utan erinran. Justitiedepartementet Utdrag ur protokoll vid regeringssammanträde den 1 mars 2018 Närvarande: statsminister Löfven, ordförande, och statsråden Wallström, Y Johansson, M Johansson, Baylan, Bucht, Hultqvist, Andersson, Damberg, Shekarabi, Linde, Skog, Ekström, Fritzon, Föredragande: statsrådet Fritzon Regeringen beslutar proposition 2017/18:120 Kreditupplysningslagen och dataskyddsförordningen