Post 1422 av 7149 träffar
Anpassning till EU:s dataskyddsförordning av lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar Prop. 2017/18:115
Ansvarig myndighet: Justitiedepartementet
Dokument: Prop. 115
Regeringens proposition
2017/18:115
Anpassning till EU:s dataskyddsförordning av lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar
Prop.
2017/18:115
Regeringen överlämnar denna proposition till riksdagen.
Stockholm den 22 februari 2018
Stefan Löfven
Peter Hultqvist
(Justitiedepartementet)
Propositionens huvudsakliga innehåll
I propositionen föreslår regeringen ändringar i lagen (2001:183) om behandling av personuppgifter i verksamhet med val och folkomröstningar.
EU:s dataskyddsförordning, som ska börja tillämpas den 25 maj 2018, är direkt tillämplig i Sverige. Förordningen kräver dock att svenska författningar anpassas för att säkerställa både att förordningen får ett effektivt genomslag och att svensk rätt inte strider mot förordningen. I propositionen finns förslag till anpassningar av lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar till dataskyddsförordningen.
Lagändringarna föreslås träda i kraft den 25 maj 2018.
Innehållsförteckning
1 Förslag till riksdagsbeslut 4
2 Förslag till lag om ändring i lagen (2001:183) om behandling av personuppgifter i verksamhet med val och folkomröstningar 5
3 Ärendet och dess beredning 8
4 Bakgrund 8
4.1 Den nuvarande generella regleringen - dataskyddsdirektivet och personuppgiftslagen 8
4.2 Behandling av personuppgifter i verksamhet med val och folkomröstningar 9
4.3 Dataskyddsförordningen och dataskyddslagen 9
4.4 Verksamhet med val och folkomröstningar 10
5 Anpassning av regleringen om personuppgiftsbehandling i verksamhet med val och folkomröstningar till dataskyddsförordningen 11
5.1 Utgångspunkter 11
5.2 Generellt om utrymmet att behålla nationell reglering inom dataskyddsförordningens tillämpningsområde 12
5.3 Förhållandet till den generella dataskyddsregleringen 14
5.4 Ändamålsbestämmelser och finalitetsprincipen 16
5.5 Personuppgiftsansvar 17
5.6 Behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser 18
5.7 Enskildas rättigheter 22
5.8 Automatiserat beslutsfattande 29
5.9 Avgifter 32
6 Personuppgiftsbehandling vid medborgarinitiativ, medborgarförslag och folkinitiativ 33
7 Ikraftträdande- och övergångsbestämmelser 36
8 Konsekvenser av förslagen 37
9 Författningskommentar 38
Bilaga 1 EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) 42
Bilaga 2 Sammanfattning av promemorian Anpassning av lagen (2001:183) om behandling av personuppgifter i verksamhet med val och folkomröstningar 130
Bilaga 3 Promemorians lagförslag 131
Bilaga 4 Förteckning över remissinstanserna 135
Bilaga 5 Lagrådsremissens lagförslag 136
Bilaga 6 Lagrådets yttrande 139
Utdrag ur protokoll vid regeringssammanträde den 22 februari 2018 140
1
Förslag till riksdagsbeslut
Regeringen föreslår att riksdagen antar regeringens förslag till lag om ändring i lagen (2001:183) om behandling av personuppgifter i verksamhet med val och folkomröstningar.
2 Förslag till lag om ändring i lagen (2001:183) om behandling av personuppgifter i verksamhet med val och folkomröstningar
Härigenom föreskrivs i fråga om lagen (2001:183) om behandling av personuppgifter i verksamhet med val och folkomröstningar
dels att 3 kap. ska upphöra att gälla,
dels att 1 kap. 2, 3 och 7 §§, 2 kap. 14 och 24 §§ och rubriken närmast före 1 kap. 2 § ska ha följande lydelse,
dels att det ska införas två nya paragrafer, 1 kap. 5 a och 8 §§, och närmast före 1 kap. 8 § en ny rubrik av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
1 kap.
Förhållandet till personuppgiftslagen
Förhållandet till annan reglering
2 §
Om inte annat anges i 3 § eller 3 kap. gäller denna lag i stället för personuppgiftslagen (1998:204).
Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
En registrerad har inte rätt att motsätta sig sådan behandling som är tillåten enligt denna lag.
3 §
När personuppgifter behandlas enligt denna lag eller enligt andra föreskrifter i det ämne som regleras i lagen gäller personuppgiftslagens (1998:204) bestämmelser om
1. definitioner i 3 §,
2. förhållandet till offentlighetsprincipen m.m. i 8 §,
3. grundläggande krav på behandling i 9 § med undantag för vad som sägs i första stycket i och tredje stycket,
4. säkerheten vid behandling i 30-32 §§,
5. överföring av personuppgifter till tredje land i 33-35 §§,
6. personuppgiftsombud, m.m. i 36 § andra stycket och 38-41 §§,
7. upplysningar till allmänheten om vissa behandlingar i 42 §,
8. tillsynsmyndighetens befogenheter i 43 och 47 §§, och
9. straff i 49 §.
Vid behandling av personuppgifter som inte sker i databaser gäller även 22 § personuppgiftslagen.
Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
5 a §
Personuppgifter som behandlas enligt 4 eller 5 § får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
7 §
Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) och uppgifter om lagöverträdelser m.m. som anges i 21 § samma lag får behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.
Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) och personuppgifter som avses i artikel 10 i förordningen får behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.
Uppgifter som avses i första stycket får i annat fall behandlas endast om det särskilt anges i 2 kap.
Rätten att göra invändningar
8 §
Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.
2 kap.
14 §
Den centrala valmyndigheten och länsstyrelserna får ta ut avgifter för att lämna ut uppgifter ur databasen enligt de närmare föreskrifter som meddelas av regeringen.
Den centrala valmyndigheten och länsstyrelserna får ta ut avgifter för att lämna ut uppgifter ur databasen. Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om sådana avgifter.
Rätten att ta ut avgifter enligt första stycket får inte innebära inskränkning i rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen.
Rätten att ta ut avgifter får inte innebära en inskränkning i
1. rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen, eller
2. en registrerads rätt enligt artikel 12.5 i EU:s dataskyddsförordning.
24 §
Den centrala valmyndigheten, Sametinget och länsstyrelsen får ta ut avgifter för att lämna ut uppgifter ur databasen enligt de närmare föreskrifter som meddelas av regeringen.
Den centrala valmyndigheten, Sametinget och länsstyrelsen får ta ut avgifter för att lämna ut uppgifter ur databasen för sametingsvalet. Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om sådana avgifter.
Rätten att ta ut avgifter får inte innebära inskränkning i rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen.
Rätten att ta ut avgifter får inte innebära en inskränkning i
1. rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen, eller
2. en registrerads rätt enligt artikel 12.5 i EU:s dataskyddsförordning.
1. Denna lag träder i kraft den 25 maj 2018.
2. Äldre föreskrifter om straff gäller fortfarande för överträdelser som har skett före ikraftträdandet.
3 Ärendet och dess beredning
Den 27 april 2016 utfärdades Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här kallad dataskyddsförordningen. Förordningen, som börjar tillämpas den 25 maj 2018, finns i svensk lydelse i bilaga 1. Förordningen utgör en ny generell reglering för personuppgiftsbehandling inom EU och ersätter Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, nedan kallat dataskyddsdirektivet. Detta innebär bl.a. att personuppgiftslagen (1998:204), förkortad PUL, måste upphävas och att nationell lagstiftning som i dag hänvisar eller förhåller sig till personuppgiftslagens bestämmelser behöver ses över och anpassas till den nya EU-regleringen.
I Justitiedepartementet har promemorian Anpassning av lagen (2001:183) om behandling av personuppgifter i verksamhet med val och folkomröstningar till dataskyddsförordningen tagits fram. En sammanfattning av promemorian finns i bilaga 2 och promemorians lagförslag finns i bilaga 3.
Promemorian har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 4. Promemorian och remissyttrandena finns tillgängliga i Justitiedepartementet (dnr Ju2017/05728/L6).
Lagrådet
Regeringen beslutade den 25 januari 2018 att inhämta Lagrådets yttrande över det lagförslag som finns i bilaga 5. Lagrådets yttrande finns i bilaga 6. Lagrådet lämnade förslaget utan erinran. Vissa språkliga och redaktionella ändringar har gjorts i förhållande till förslaget i lagrådsremissen.
4 Bakgrund
4.1 Den nuvarande generella regleringen - dataskyddsdirektivet och personuppgiftslagen
Den generella regleringen om behandling av personuppgifter inom EU finns i dag i dataskyddsdirektivet. Direktivet syftar till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter, samt att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU.
Direktivet har genomförts i svensk rätt huvudsakligen genom personuppgiftslagen. Bestämmelserna i personuppgiftslagen har till syfte att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Personuppgiftslagen följer i princip direktivets struktur och innehåller liksom direktivet bestämmelser om bl.a. personuppgiftsansvar, grundläggande krav för behandling av personuppgifter, information till den registrerade, skadestånd och straff. Personuppgiftslagen är tillämplig även utanför EU-rättens område och gäller både för myndigheter och enskilda som behandlar personuppgifter. Lagen är samtidigt subsidiär vilket innebär att lagens bestämmelser inte ska tillämpas om det finns avvikande bestämmelser i en annan lag eller förordning. Det finns en stor mängd sådana bestämmelser i vad som brukar kallas särskilda registerförfattningar eller andra informationshanteringsförfattningar, som framför allt reglerar hur olika myndigheter får behandla personuppgifter. Studiestödsdatalagen (2009:287), polisdatalagen (2010:361) och lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar är exempel på sådana sektorsspecifika regleringar.
4.2 Behandling av personuppgifter i verksamhet med val och folkomröstningar
I lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar finns särskilda bestämmelser om behandlingen av personuppgifter i den centrala valmyndighetens och länsstyrelsernas verksamhet med val och folkomröstningar enligt vallagen (2005:837), folkomröstningslagen (1979:369) och lagen (1994:692) om kommunala folkomröstningar. I lagen finns också bestämmelser om personuppgiftsbehandling i den centrala valmyndighetens, Sametingets och länsstyrelsens verksamhet med val enligt sametingslagen (1992:1433). Bestämmelserna i lagen är tillämpliga om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (1 kap. 1 §).
Lagen gäller med vissa i 1 kap. 3 § och 3 kap. angivna undantag i stället för personuppgiftslagen. Dessa undantag innebär bl.a. att följande bestämmelser i personuppgiftslagen gäller: definitioner (3 §), förhållandet till offentlighetsprincipen m.m. (8 §), grundläggande krav vid behandling (9 §), säkerheten vid behandling (30-32 §§) samt rättelse och skadestånd (28 och 48 §§).
Till den aktuella lagen hör förordningen (2002:61) om behandling av personuppgifter i verksamhet med val, som bl.a. innehåller vissa bestämmelser om överföring av personuppgifter till tredjeland och utlämnande av uppgifter till enskilda på medium för automatiserad behandling.
4.3 Dataskyddsförordningen och dataskyddslagen
Dataskyddsförordningen kommer att utgöra den nya generella regleringen för personuppgiftsbehandling inom EU och ersätta dataskyddsdirektivet när den börjar tillämpas den 25 maj 2018. Det huvudsakliga syftet med förordningen är att ytterligare harmonisera och effektivisera skyddet för personuppgifter för att förbättra den inre marknadens funktion och öka enskildas kontroll över sina personuppgifter. Dataskyddsförordningen baseras till stor del på den struktur och reglering som finns i dataskyddsdirektivet men är i många avseenden mer detaljerad och innehåller även en rad nyheter. Förordningen kommer att vara direkt tillämplig i alla EU:s medlemsstater men förutsätter och möjliggör samtidigt kompletterande och specificerande nationella bestämmelser av olika slag. Som nämns i det föregående innebär det för svensk del bl.a. att personuppgiftslagen måste upphävas och att nationell lagstiftning som i dag hänvisar eller på något sätt förhåller sig till lagens bestämmelser behöver ses över och anpassas till den nya EU-regleringen.
I propositionen Ny dataskyddslag (prop. 2017/18:105) föreslås bl.a. att personuppgiftslagen och personuppgiftsförordningen (1998:1191) ska upphävas och att de i förhållande till dataskyddsförordningen kompletterande bestämmelser som är av generell karaktär ska samlas i en ny övergripande lag om dataskydd. Den föreslagna lagen kallas nedan för dataskyddslagen. Lagen reglerar bl.a. frågor om rättslig grund för behandling av personuppgifter, känsliga personuppgifter, tillsynsmyndighetens handläggning och beslut samt skadestånd och överklagande. Dataskyddslagen är subsidiär i förhållande till annan lag eller förordning, vilket möjliggör avvikande bestämmelser i registerförfattningar. Förslagen i denna proposition utgår ifrån att den svenska generella dataskyddsregleringen i framtiden kommer att ha i allt väsentligt den utformning som föreslås i propositionen Ny dataskyddslag.
4.4 Verksamhet med val och folkomröstningar
I vallagen finns bestämmelser om genomförande av val till riksdagen, landstings- och kommunfullmäktige samt Europaparlamentet. Valmyndigheten är central valmyndighet och ansvarar på central nivå för förberedelserna och genomförandet av de allmänna valen. På regional nivå ansvarar länsstyrelserna och på lokal nivå är det kommunerna genom valnämnderna som är ansvariga för frågor om valen. Valmyndigheten är också central myndighet för folkomröstning enligt folkomröstningslagen, medan valnämnderna svarar för genomförande av folkomröstning i en kommun eller ett landsting enligt lagen om kommunala folkomröstningar. Valmyndigheten och länsstyrelsen har också tillsammans med en av Sametinget utsedd valnämnd uppgifter vid genomförande av val till Sametinget enligt sametingslagen.
Av förordningen (2007:977) med instruktion för Valmyndigheten framgår vidare bl.a. att Valmyndigheten ska vara behörig myndighet för kontroll och intygande av antalet giltiga stödförklaringar som har gjorts av unionsmedborgare från Sverige enligt Europaparlamentets och rådets förordning (EU) nr 211/2011 av den 16 februari 2011 om medborgarinitiativet.
5 Anpassning av regleringen om personuppgiftsbehandling i verksamhet med val och folkomröstningar till dataskyddsförordningen
5.1 Utgångspunkter
I förarbetena till lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar framhöll regeringen att de grundläggande principerna för att skydda den enskildes integritet borde regleras i lag. Att behandling av personuppgifter inte får vara oförenlig med de ändamål för vilka de har samlats in lyfte regeringen fram som en sådan grundläggande princip och det borde därför, enligt regeringen, anges i lagen för vilka ändamål uppgifter får behandlas. Regeringen menade att det därigenom i och för sig gavs en tillräcklig garanti för den registrerades personliga integritet, även utan en närmare reglering av vilka uppgifter som får behandlas. Att helt underlåta en reglering av vilka uppgifter som får behandlas skulle dock kunna leda till oklarheter och svårigheter för de tillämpande myndigheterna och de yttre ramarna för vad registret i fråga får innehålla borde därför också anges i lagen. Vidare borde även frågor om direktåtkomst, utlämnande av uppgifter till enskilda samt frågor om personuppgiftsansvar och därmed sammanhängande frågor regleras i lag (prop. 2000/01:33 s. 84-85).
Såvitt framkommit utgör lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar en i allt väsentligt ändamålsenlig reglering som balanserar skyddet för den enskildes personliga integritet och aktuella myndigheters verksamhetsbehov på ett lämpligt sätt. Enligt regeringens bedömning finns det i detta sammanhang inte skäl att göra en allmän översyn av lagen eller att ompröva tidigare ställningstaganden, om det inte krävs med anledning av dataskyddsförordningen. Tvärtom framstår det som att det både från ett verksamhets- och ett integritetsperspektiv finns goda skäl att behålla huvuddragen i den nuvarande regleringen. Det huvudsakliga syftet med denna proposition är därför att föreslå anpassningar som är nödvändiga med anledning av den nya dataskyddsregleringen.
I propositionen behandlas även frågan om behovet av ett särskilt författningsstöd vid behandling av personuppgifter i medborgar- och folkinitiativ, se avsnitt 6.
Från dataskyddsförordningens tillämpningsområde undantas enligt artikel 2.2 a behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten. Mycket talar för att delar av den behandling av personuppgifter som sker i anslutning till val och folkomröstning inte utgör ett led i verksamhet som omfattas av unionsrätten. Detta skulle innebära att delar av tillämpningsområdet för lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar faller utanför dataskyddsförordningens tillämpningsområde. Frågan om vilken verksamhet som får anses omfattas av unionsrätten är dock svårbedömd (se prop. 2017/18:105 s. 27-29). Enligt regeringens förslag till dataskyddslag ska det införas en bestämmelse som innebär att förordningens bestämmelser ska gälla som svensk rätt även vid personuppgiftsbehandling inom verksamhet som inte omfattas av unionsrätten (1 kap. 2 §). Det innebär alltså att dataskyddsförordningen utsträcks till att gälla även utanför sitt egentliga tillämpningsområde på samma sätt som personuppgiftslagen gjorts tillämplig utanför dataskyddsdirektivets tillämpningsområde (se avsnitt 4.1). Mot denna bakgrund finns det inte skäl att i detta sammanhang närmare utreda var gränsen mellan verksamhet inom och utom unionsrätten går.
5.2 Generellt om utrymmet att behålla nationell reglering inom dataskyddsförordningens tillämpningsområde
Regeringens bedömning: Det finns utrymme att behålla nationell reglering av myndigheters personuppgiftsbehandling inom tillämpningsområdet för EU:s dataskyddsförordning.
Den behandling av personuppgifter som regleras i lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar är nödvändig för att fullgöra en rättslig förpliktelse, för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Datainspektionen efterfrågar en tydligare beskrivning av vilken rättslig grund som personuppgiftsbehandlingen enligt lagen vilar på. Inspektionen efterfrågar också en analys som visar att lagstiftningen är proportionell mot det legitima mål som eftersträvas, i enlighet med artikel 6.3 i dataskyddsförordningen. Övriga remissinstanser som yttrar sig tillstyrker eller har inte några invändningar mot promemorians bedömning.
Skälen för regeringens bedömning: EU-förordningar ska enligt artikel 288 i fördraget om Europeiska unionens funktionssätt ha allmän giltighet samt vara till alla delar bindande och direkt tillämpliga i varje medlemsstat i EU. Förordningar gäller alltså fullt ut och med samma innehåll inom hela EU och ska inte genomföras i nationell rätt. En medlemsstat kan behålla eller införa nationell lagstiftning på det område som en förordning omfattar, endast om förordningen ger utrymme för det.
I svensk rätt har det ofta ansetts nödvändigt med ett särskilt anpassat och reglerat integritetsskydd för behandling av personuppgifter i offentlig verksamhet (se avsnitt 4.1). Detta gäller inte minst när det varit fråga om omfattande behandling av personuppgifter eller personuppgiftsbehandling som av andra skäl har ansetts särskilt integritetskänslig. En sådan ordning innebär att myndigheterna ges ett tydligt rättsligt stöd för den personuppgiftsbehandling som verksamheten kräver och att skyddet för den personliga integriteten säkerställs i olika slag av offentlig verksamhet. En övergripande fråga är vilket utrymme dataskyddsförordningen ger för sådan nationell reglering som finns i de svenska registerförfattningarna.
Det kan konstateras att även om dataskyddsförordningen är direkt tillämplig så både förutsätter och medger förordningen nationella bestämmelser som kompletterar delar av förordningen genom specificeringar eller undantag. Detta gäller särskilt sådan behandling som sker inom den offentliga sektorn.
Enligt artikel 6.2 i dataskyddsförordningen får medlemsstaterna behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen genom att närmare fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling. Detta förutsätter emellertid att det är fråga om sådan personuppgiftsbehandling som är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (artikel 6.1 c) eller för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 e). När myndigheter behandlar personuppgifter för att fullgöra sina uppgifter sker det normalt med stöd av de rättsliga grunderna i artikel 6.1 c och e i förordningen.
I enlighet med skäl 8 i dataskyddsförordningen kan medlemsstaterna dessutom under vissa förutsättningar, och i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga, införliva delar av förordningen i nationell rätt.
Enligt artikel 6.3 första stycket i dataskyddsförordningen ska de grunder för behandlingen som avses i artikel 6.1 c och e fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Med detta avses, enligt skäl 41, inte att den rättsliga grunden nödvändigtvis måste fastställas i eller i enlighet med en av riksdagen beslutad lag. Däremot måste grunden vara fastställd i laga ordning på ett konstitutionellt korrekt sätt. Enligt artikel 6.3 andra stycket ska vidare syftet med behandlingen fastställas i den rättsliga grunden eller, i fråga om behandling enligt artikel 6.1 e, vara nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Den rättsliga grunden kan enligt artikel 6.3 andra stycket innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen, bl.a. de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstider samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling. Den nationella rätten ska i detta avseende uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.
Enligt artikel 23 i dataskyddsförordningen får begränsningar ske av vissa av de rättigheter och skyldigheter som föreskrivs i förordningen. Detta förutsätter att begränsningarna sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle. Det förutsätter också att begränsningen sker för något av de ändamål som anges i artikel 23.1, bl.a. den nationella säkerheten, försvaret och den allmänna säkerheten samt andra av unionens eller en medlemsstats viktiga mål av generellt allmänt intresse.
Det anförda innebär att det finns utrymme att behålla nationell reglering av myndigheters personuppgiftsbehandling.
Datainspektionen efterfrågar en tydligare beskrivning av de rättsliga grunderna för den behandling av personuppgifter som regleras i lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar. Det kan konstateras att den aktuella behandlingen är nödvändig för att fullgöra en rättslig förpliktelse eller för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Behandlingen kan således ske med stöd av artikel 6.1 c och e i dataskyddsförordningen. Enligt artikel 6.3 i förordningen ska den grund för behandlingen som avses i artikel 6.1 c och e vara fastställd i unionsrätten eller medlemsstaternas nationella rätt. När det gäller den personuppgiftsbehandling som nu är aktuell har den rättsliga grunden för behandlingen fastställts genom dels den reglering av verksamheten vid val och folkomröstningar som beskrivs i avsnitt 4.4, dels lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar.
Datainspektionen efterfrågar också en analys som visar att lagstiftningen är proportionell mot det legitima mål som eftersträvas, i enlighet med artikel 6.3 i dataskyddsförordningen. Som anges i propositionen Ny dataskyddslag utgör kravet på proportionalitet inte någon nyhet i svensk rätt, utan speglar det krav som Europakonventionen ställer på lagstiftaren i en rättsstat (prop. 2017/18:105 s. 50). Kravet gällde även vid införandet av den reglering av verksamheten vid val och folkomröstningar som beskrivs i avsnitt 4.4 och lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar. Regleringen bedömdes alltså då uppfylla kravet på proportionalitet. Regeringen anser inte att det finns anledning att nu göra någon annan bedömning.
5.3 Förhållandet till den generella dataskyddsregleringen
Regeringens förslag: Bestämmelserna om hur lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar förhåller sig till personuppgiftslagen utgår. I lagen införs i stället en bestämmelse som klargör att lagen kompletterar EU:s dataskyddsförordning.
Det införs en bestämmelse som anger att dataskyddslagen och föreskrifter som meddelas i anslutning till den lagen gäller, om inte annat följer av lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar eller föreskrifter som meddelats i anslutning till den lagen.
Promemorians förslag överensstämmer med regeringens, med det undantaget att promemorian inte hänvisar till föreskrifter i anslutning till dataskyddslagen.
Remissinstanserna: Samtliga remissinstanser som yttrar sig tillstyrker eller har inga synpunkter på promemorians förslag.
Skälen för regeringens förslag: I 1 kap. 2 § första stycket lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar regleras lagens förhållande till personuppgiftslagen. Där framgår att om inte annat anges i 1 kap. 3 § eller 3 kap. gäller lagen i stället för personuppgiftslagen. I 1 kap. 3 § anges att personuppgiftslagens bestämmelser om bl.a. definitioner, förhållandet till offentlighetsprincipen m.m., grundläggande krav på behandling, säkerheten vid behandling, tillsynsmyndighetens befogenheter och straff ska gälla när personuppgifter behandlas enligt den förstnämnda lagen. I 3 kap. finns bestämmelser som innebär att vissa bestämmelser i personuppgiftslagen om information till den registrerade samt om rättelse och skadestånd ska gälla vid behandling av personuppgifter enligt lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar.
När dataskyddsförordningen börjar tillämpas den 25 maj 2018 kommer personuppgiftslagen att upphävas, vilket innebär att hänvisningar till personuppgiftslagen inte kan finnas kvar. Då kommer i stället förordningen att utgöra den generella reglering för behandling av personuppgifter som lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar måste förhålla sig till. Eftersom förordningen är direkt tillämplig i medlemsstaterna kan inte lagen gälla i stället för förordningen inom förordningens tillämpningsområde. Bestämmelserna om hur lagen förhåller sig till den generella dataskyddsregleringen måste därför förändras.
Lagen kommer att innehålla bestämmelser som kompletterar dataskyddsförordningen. Det bör införas en bestämmelse i lagen som upplyser om detta. Lagen kommer också att innehålla vissa andra hänvisningar till dataskyddsförordningen. Det är fråga om bestämmelser av upplysningskaraktär, hänvisningar till definitioner i och undantag från dataskyddsförordningen. Hänvisningarna föreslås, i likhet med vad som med några få undantag föreslås i dataskyddslagen, vara dynamiska (se prop. 2017/18:105 s. 24-25). Valet av dynamisk hänvisning innebär att hänvisningen kommer att omfatta eventuella ändringar i förordningen efter dess ikraftträdande. Detta hindrar dock inte att den nationella lagstiftningen kan komma att behöva ändras om förordningens innehåll förändras.
Vidare finns det anledning att klarlägga hur lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar förhåller sig till dataskyddslagen. Förslaget till dataskyddslag innehåller bestämmelser på generell nivå som behövs för att komplettera dataskyddsförordningen i Sverige (se prop. 2017/18:105 s. 21-23). Dataskyddslagen och föreskrifter som meddelas i anslutning till den lagen bör gälla om inte annat följer av lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar eller föreskrifter som meddelats i anslutning till lagen. En bestämmelse som anger detta bör införas i lagen.
När det gäller de bestämmelser i personuppgiftslagen som det hänvisas till i 1 kap. 3 § lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar kan det konstateras att dataskyddsförordningen och dataskyddslagen innehåller motsvarigheter till de flesta av de aktuella bestämmelserna i personuppgiftslagen. I fråga om hänvisningen i 1 kap. 3 § första stycket 9 till straffbestämmelsen i 49 § PUL kan det dock konstateras att varken dataskyddsförordningen eller dataskyddslagen innehåller någon motsvarande bestämmelse. I propositionen Ny dataskyddslag gör regeringen bedömningen att det inte bör införas en sådan straffbestämmelse i dataskyddslagen, bl.a. mot bakgrund av dataskyddsförordningens direkt tillämpliga bestämmelser om sanktionsavgifter, vilka föreslås gälla även för myndigheter (prop. 2017/18:105 s. 138-144). Det innebär att överträdelser av lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar inte längre kommer att vara straffbelagda.
5.4 Ändamålsbestämmelser och finalitetsprincipen
Regeringens förslag: I lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar införs en bestämmelse som anger att personuppgifter som behandlas enligt ändamålsbestämmelserna i lagen får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
Regeringens bedömning: Det finns även fortsättningsvis utrymme för sådana ändamålsbestämmelser som finns i lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar.
Promemorians förslag och bedömning överensstämmer i sak med regeringens.
Remissinstanserna: Datainspektionen ifrågasätter om promemorians förslag till upplysningsbestämmelse uppnår syftet att förtydliga dataskyddsförordningen och anser att det bör framgå vilken bestämmelse i dataskyddsförordningen som upplysningsbestämmelsen är avsedd att förtydliga. Övriga remissinstanser som yttrar sig tillstyrker eller har inte några invändningar mot promemorians förslag och bedömning.
Skälen för regeringens förslag och bedömning: En allmän dataskyddsrättslig princip är att personuppgifter bara får samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Enligt den s.k. finalitetsprincipen får uppgifterna inte senare behandlas för något annat ändamål som är oförenligt med insamlingsändamålen. Detta kommer till uttryck bl.a. i 9 § första stycket c och d PUL. När dataskyddsförordningen börjar tillämpas kommer dessa principer att följa av artikel 5.1 b i förordningen. Av regleringen i förordningen följer vidare att behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 inte ska anses vara oförenlig med de ursprungliga ändamålen. En motsvarighet till denna reglering finns i dag i 9 § andra stycket PUL.
Det är vanligt att ändamålsbestämmelser tas in i sektorsspecifika författningar för att ange den yttersta ram inom vilken personuppgifterna får behandlas. I lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar finns sådana bestämmelser i 1 kap. 4 och 5 §§. Där framgår att uppgifter får behandlas för tillhandahållande av information som behövs för 1) framställning av röstlängder och röstkort inför ett val eller en folkomröstning, 2) framställning av valsedlar och sammanräkning av valresultat, och 3) tillsyn, kontroll, uppföljning och planering av verksamheten, samt att uppgifter också får behandlas i databasen för att tillgodose samhällets behov av uppgifter i samband med val och folkomröstningar. Genom att 1 kap. 3 § innehåller en hänvisning till 9 § PUL gäller dessutom finalitetsprincipen, dvs. att uppgifterna inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in.
Ändamålsbestämmelser i lagstiftning som reglerar myndigheters personuppgiftsbehandling är sådana specifika bestämmelser som anpassar tillämpningen av dataskyddsförordningen och säkerställer en laglig och rättvis behandling enligt artikel 6.2. Detta framgår även av artikel 6.3 där det anges att den rättsliga grunden kan innehålla särskilda bestämmelser om bl.a. ändamålsbegränsningar. I enlighet med artikel 23.2 a i dataskyddsförordningen ska dessutom, åtminstone när så är relevant, lagstiftning som begränsar tillämpningsområdet för förordningens skyldigheter och rättigheter innehålla specifika ändamålsbestämmelser. Detta innebär att de nuvarande ändamålsbestämmelserna i lagen, vilka tillsammans med finalitetsprincipen ger myndigheterna ändamålsenliga möjligheter att behandla personuppgifter och samtidigt minskar risken för obefogade intrång i den personliga integriteten, kan behållas.
I föregående avsnitt föreslås att 1 kap. 3 § lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar, som hänvisar till 9 § PUL där finalitetsprincipen regleras, ska upphävas. Registerförfattningar innehåller vanligtvis en uttrycklig hänvisning till finalitetsprincipen (se t.ex. 2 kap. 5 § patientdatalagen [2008:355] och 1 kap. 8 § fjärde stycket polisdatalagen [2010:361]).
Enligt regeringens bedömning bör finalitetsprincipen även fortsättningsvis utgöra den yttersta ram inom vilken personuppgifter får behandlas enligt lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar. Som Datainspektionen anför gäller visserligen finalitetsprincipen enligt artikel 5.1 b i dataskyddsförordningen vid sådan behandling. Enligt regeringens uppfattning finns det dock av tydlighetsskäl anledning att införa en bestämmelse i lagen som anger att det är tillåtet att behandla personuppgifter för andra ändamål än de som uttryckligen anges i lagen, så länge behandlingen inte är oförenlig med insamlingsändamålen. Denna bestämmelse utgör tillsammans med uppräkningen av tillåtna ändamål i 1 kap. 4 och 5 §§ en sådan ändamålsbegränsning som får införas i nationell rätt enligt artikel 6.3 i dataskyddsförordningen. Det finns därför inte skäl att, som Datainspektionen är inne på, införa en hänvisning till dataskyddsförordningen i bestämmelsen.
5.5 Personuppgiftsansvar
Regeringens bedömning: Det finns även fortsättningsvis utrymme för en bestämmelse om personuppgiftsansvar i lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar som anger att den centrala valmyndigheten, Sametinget och länsstyrelserna var för sig är personuppgiftsansvariga för den behandling av personuppgifter som respektive myndighet ska utföra.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Samtliga remissinstanser som yttrar sig tillstyrker eller har inga synpunkter på bedömningen.
Skälen för regeringens bedömning: Av 1 kap. 6 § lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar framgår att den centrala valmyndigheten, Sametinget och länsstyrelserna var för sig är personuppgiftsansvariga för den behandling av personuppgifter som respektive myndighet ska utföra. I förarbetena till lagen framhölls att det inte är möjligt att, för ett komplext system för databehandling, i lag närmare bestämma vilken myndighet som bör vara ansvarig för olika specifika behandlingar. I stället ansågs det lämpligt att för berörda myndighetsorganisationer utforma regleringen så att den myndighet på vilken det ankommer att utföra en viss behandling ska vara ansvarig för just den behandlingen. I mer övergripande frågor, t.ex. om ansvar för att nödvändiga tekniska eller organisatoriska säkerhetsåtgärder vidtas, måste personuppgiftsansvarets fördelning grundas på vilka myndigheter som har befogenhet och skyldighet att utföra dessa åtgärder (prop. 2000/01:33 s. 97-98).
Dataskyddsförordningens reglering om personuppgiftsansvar innebär att det som huvudregel fortfarande är den som ensam eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter som är personuppgiftsansvarig. Den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses kan emellertid i enlighet med artikel 4.7 också föreskrivas i medlemsstaternas nationella rätt.
Dataskyddsförordningen ger således utrymme för att behålla den nuvarande regleringen om personuppgiftsansvar i lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar. Med hänsyn till att de skäl som redovisades när reglerna om personuppgiftsansvar infördes i lagen fortfarande gör sig gällande bör det därför i lagen även fortsättningsvis anges att myndigheterna var för sig är personuppgiftsansvariga för den behandling av personuppgifter som respektive myndighet ska utföra.
5.6 Behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser
Regeringens förslag: Bestämmelsen i lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar om behandling av känsliga personuppgifter och uppgifter om lagöverträdelser ska hänvisa till EU:s dataskyddsförordning i stället för personuppgiftslagen.
Regeringens bedömning: Det är möjligt att i huvudsak behålla bestämmelserna i lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar om behandling av känsliga personuppgifter respektive uppgifter om lagöverträdelser.
Promemorians förslag och bedömning överensstämmer med regeringens.
Remissinstanserna: Datainspektionen avstyrker förslaget och anser att det klart bör framgå att behandling av känsliga personuppgifter och uppgifter om lagöverträdelser m.m. endast är tillåten om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse. Om denna särskilda förutsättning för behandlingen inte framgår finns det enligt Datainspektionen risk för att myndigheter vilseleds av formuleringen. Övriga remissinstanser som yttrar sig tillstyrker eller har inte några invändningar mot promemorians förslag och bedömning.
Skälen för regeringens förslag och bedömning
Regleringen i lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar
Enligt 1 kap. 7 § första stycket lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar får känsliga personuppgifter och uppgifter om lagöverträdelser behandlas om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Enligt 1 kap. 7 § andra stycket får sådana uppgifter annars endast behandlas om det särskilt anges i 2 kap. som reglerar innehållet i val- och folkomröstningsdatabasen respektive databasen för sametingsvalet. I 2 kap. 6 §, som gäller val- och folkbokföringsdatabasen, anges att en handling som har kommit in i ett ärende får behandlas i databasen och får innehålla känsliga personuppgifter och uppgifter om lagöverträdelser. Vidare anges att en handling som upprättats i ett ärende får behandlas i databasen och får innehålla sådana uppgifter om de är nödvändiga för ärendets handläggning. I 2 kap. 11 § finns ett förbud mot att använda känsliga personuppgifter och uppgifter om lagöverträdelser som sökbegrepp. Vad som föreskrivs i 2 kap. 6 och 11 §§ är tillämpligt även i fråga om databasen för sametingsvalet (se 2 kap. 19 och 22 §§).
Känsliga personuppgifter
Dataskyddsförordningen innehåller i likhet med dataskyddsdirektivet och personuppgiftslagen ett principiellt förbud mot att behandla vissa särskilda kategorier av personuppgifter (artikel 9.1). Förbudet omfattar behandling av uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Artikel 9.1 i förordningen omfattar nya kategorier av uppgifter jämfört med motsvarande bestämmelse i dataskyddsdirektivet (artikel 8.1). Direktivets bestämmelse innefattar inte genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person eller uppgifter om en persons sexuella läggning. Artikel 8.1 i direktivet har genomförts i svensk rätt genom 13 § PUL, som är avsedd att ha samma innebörd som direktivets bestämmelse (propositionen Personuppgiftslag, prop. 1997/98:44 s. 124). Uppgifter om sexuell läggning har i svensk rätt ansetts ingå i begreppet "sexualliv" och införandet av det begreppet i förordningen innebär således inte någon egentlig utvidgning från svenskt perspektiv (se t.ex. propositionen Behandling av personuppgifter inom Kriminalvården, prop. 2000/01:126 s. 31 och propositionen Ett starkare skydd mot diskriminering, prop. 2007/08:95 s. 125-129). Tillägget av genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person utgör dock en utvidgning jämfört med den nuvarande ordningen. I rubriken till artikel 9 i dataskyddsförordningen anges att bestämmelsen avser behandling av särskilda kategorier av personuppgifter. I skäl 10 och 51 omnämns dessa uppgifter i stället som känsliga respektive särskilt känsliga personuppgifter. I personuppgiftslagen och andra författningar används benämningen känsliga personuppgifter. Det begreppet är väl inarbetat, även på EU-nivå, och språkligt lättare att använda och förstå, inte minst i författningstext. Regeringen anser därför att begreppet känsliga personuppgifter bör användas som samlingsbenämning för sådana uppgifter som tillhör de särskilda kategorier av personuppgifter som anges i artikel 9 i dataskyddsförordningen (se prop. 2017/18:105 s. 74).
Precis som i dataskyddsdirektivet och personuppgiftslagen kompletteras förbudet i dataskyddsförordningen av ett antal undantag som gör det möjligt att behandla känsliga personuppgifter i vissa fall. Ett sådant undantag är om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades rättigheter och intressen (artikel 9.2 g). Undantaget i artikel 9.2 g är visserligen direkt tillämpligt men det är möjligt för medlemsstaterna att införa mer specifika bestämmelser i nationell rätt (se prop. 2017/18:105 s. 74-76). Motsvarande reglering finns i dag i artikel 8.4 i dataskyddsdirektivet där det anges att känsliga personuppgifter får behandlas under förutsättning av lämpliga skyddsåtgärder och av hänsyn till ett viktigt allmänt intresse.
I propositionen Ny dataskyddslag gör regeringen bedömningen att det är ett viktigt allmänt intresse att myndigheternas ärendehandläggning kan ske på ett effektivt och rättssäkert sätt samt att ärendebegreppet i de allra flesta fall är förhållandevis tydligt och bör kunna användas som avgränsning (prop. 2017/18:105 s. 87-88). Regeringen bedömer därför att den behandling av känsliga personuppgifter som möjliggörs genom lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar får anses nödvändig av hänsyn till ett sådant viktigt allmänt intresse som avses i artikel 9.2 g i dataskyddsförordningen. Till skillnad från Datainspektionen anser regeringen inte att kravet på ett viktigt allmänt intresse behöver framgå uttryckligen. I lagen finns särskilda bestämmelser som är ägnade att värna den enskildes personliga integritet, t.ex. en begränsning till uppgifter som lämnats i ett ärende eller är nödvändiga för handläggningen av det och regler om förbud mot att söka på känsliga personuppgifter i databaser. Denna reglering uppfyller enligt regeringens mening dataskyddsförordningens krav på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.
Det är alltså möjligt att behålla den nuvarande regleringen avseende känsliga personuppgifter i 1 kap. 7 § första stycket och 2 kap. lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar. Förslaget till dataskyddslag (prop. 2017/18:105) innehåller bestämmelser om bl.a. myndigheters behandling av känsliga personuppgifter (3 kap. 3 §). Förslaget innebär att sådan behandling är tillåten (1) om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag, (2) om behandlingen är nödvändig för handläggningen av ett ärende, eller (3) i annat fall, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Ett alternativ skulle kunna vara att låta dataskyddslagens bestämmelser om behandling av känsliga personuppgifter gälla vid behandling enligt i lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar. Detta skulle dock innebära en utvidgning av möjligheterna att behandla känsliga personuppgifter jämfört med vad som gäller i dag. Enligt regeringens mening har det inte framkommit ett behov av en sådan utvidgning. Bestämmelserna om behandling av känsliga personuppgifter i 1 kap. 7 § första stycket och 2 kap. lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar bör därför behållas och därmed utgöra en till 3 kap. 3 § dataskyddslagen avvikande reglering (1 kap. 6 § dataskyddslagen). Bestämmelsen i 1 kap. 7 § måste dock ändras på så sätt att hänvisningen till 13 § PUL ersätts av en hänvisning till artikel 9.1 i dataskyddsförordningen. Som framgår ovan innebär detta en viss förändring i sak, eftersom något fler kategorier av uppgifter omfattas av regleringen om känsliga personuppgifter i dataskyddsförordningen jämfört med motsvarande reglering i personuppgiftslagen. Hänvisningen till dataskyddsförordningen avser förordningen i den vid varje tidpunkt gällande lydelsen (se avsnitt 5.3).
Uppgifter om lagöverträdelser
Behandling av personuppgifter om lagöverträdelser är också föremål för särskilda begränsningar. Enligt artikel 10 i dataskyddsförordningen får behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder endast utföras under kontroll av en myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Regeringen bedömer att artikel 10 i förordningen, för svenskt vidkommande, tar sikte på personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel (se prop. 2017/18:105 s. 97-99). En motsvarande bestämmelse finns i dag i artikel 8.5 i dataskyddsdirektivet, där det framgår att uppgifter om lagöverträdelser får behandlas endast under kontroll av en myndighet eller med stöd av nationella bestämmelser som innehåller lämpliga och specifika skyddsåtgärder.
Artikel 8.5 i dataskyddsdirektivet har genomförts i svensk rätt genom 21 § PUL, vars första stycke är avsett att uppfylla det som krävs enligt artikel 8.5 (se prop. 1997/98:44 s. 129). Artikel 10 i dataskyddsförordningen skiljer sig dock något från regleringen i direktivet. Förordningens bestämmelse har begränsats till enbart fällande brottmålsdomar. En annan skillnad i förordningen jämfört med direktivet är att hänvisningen till personuppgifter om avgöranden i tvistemål och administrativa sanktioner har tagits bort. Som regeringen konstaterar i propositionen Ny dataskyddslag innebär detta att uppgifter om administrativa frihetsberövanden inte omfattas av någon särskild reglering enligt dataskyddsförordningen, om de inte utgör känsliga personuppgifter enligt artikel 9.1, exempelvis om de också avslöjar uppgifter om etniskt ursprung eller psykisk ohälsa (se prop. 2017/18:105 s. 98).
Av artikel 10 i dataskyddsförordningen följer bl.a. att uppgifter om lagöverträdelser får behandlas om det sker "under kontroll av myndighet", vilket enligt regeringens bedömning innebär att myndigheter inte behöver uttryckligt stöd i föreskrifter eller särskilda beslut för att få behandla uppgifter som rör lagöverträdelser (se prop. 2017/18:105 s. 99). Enligt förslaget till dataskyddslag får myndigheter behandla sådana personuppgifter som avses i artikel 10 i dataskyddsförordningen (3 kap. 8 §).
Regleringen i lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar tillåter behandling av personuppgifter som rör lagöverträdelser endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Regleringen innebär en begränsning av möjligheten att behandla sådana uppgifter jämfört med 21 § PUL. Denna begränsning har införts i syfte att skydda den personliga integriteten (se prop. 2000/01:33 s. 100-104). Regleringen innebär även en begränsning i förhållande till dataskyddsförordningen och dataskyddslagen. Enligt regeringens mening har det inte framkommit skäl att utöka möjligheterna till behandling av uppgifter som rör lagöverträdelser i verksamhet med val och folkomröstningar. Den nuvarande regleringen av uppgifter som rör lagöverträdelser, som får anses utgöra en sådan specifik bestämmelse för att anpassa tillämpningen av bestämmelserna i förordningen som är tillåten enligt artikel 6.2 i dataskyddsförordningen, bör därför kvarstå. Hänvisningen till 21 § PUL bör dock ersättas med en hänvisning till artikel 10 i dataskyddsförordningen. Som framhålls ovan innebär det även en viss förändring i sak eftersom artikel 10 i dataskyddsförordningen har en något snävare omfattning än nuvarande reglering av uppgifter om lagöverträdelser i dataskyddsdirektivet och personuppgiftslagen. Hänvisningen till dataskyddsförordningen avser förordningen i den vid varje tidpunkt gällande lydelsen (se avsnitt 5.3).
5.7 Enskildas rättigheter
Regeringens förslag: Bestämmelserna i lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar om information till den registrerade, rättelse, skadestånd och överklagande upphävs. Bestämmelsen om att en registrerad inte har rätt att motsätta sig sådan personuppgiftsbehandling som är tillåten enligt lagen anpassas språkligt till EU:s dataskyddsförordning.
Regeringens bedömning: Det bör även fortsättningsvis framgå av lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar att en registrerad inte har rätt att motsätta sig sådan personuppgiftsbehandling som är tillåten enligt lagen.
Promemorians förslag och bedömning överensstämmer delvis med regeringens. I promemorian föreslås även att bestämmelsen om information om uppgifter i handlingar som den enskilde har tagit del av ska finnas kvar men ändras så att den hänvisar till dataskyddsförordningen i stället för till personuppgiftslagen.
Remissinstanserna: Datainspektionen avstyrker promemorians förslag till bestämmelse om information till den registrerade och anser, när det gäller begränsningar av den registrerades rätt att göra invändningar, att det behöver analyseras om de föreslagna språkliga ändringarna innebär någon förändring i sak. Övriga remissinstanser som yttrar sig tillstyrker eller har inte några invändningar mot promemorians förslag och bedömning.
Skälen för regeringens förslag och bedömning
I lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar finns vissa bestämmelser som tar sikte på enskildas rättigheter. Av 1 kap. 2 § andra stycket framgår att den registrerade inte har rätt att motsätta sig sådan behandling som är tillåten enligt lagen och i 3 kap. regleras rätten till information, rättelse, skadestånd och överklagande.
Rätten till information
Av 3 kap. 1 § lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar framgår att personuppgiftslagens bestämmelser om information till den registrerade i 23 och 25-27 §§ gäller vid tillämpning av lagen. Däremot hänvisas inte till 24 § PUL om information som ska lämnas om personuppgifter har samlats in från någon annan källa än den registrerade. Av 3 kap. 2 § följer vidare att vissa elektroniska handlingar inte behöver lämnas ut till en enskild i samband med att myndigheten fullgör sin informationsskyldighet enligt 26 § PUL, om den enskilde har tagit del av handlingens innehåll. Undantaget förutsätter att den registrerade får tydlig information om att handlingar som han eller hon har skickat in till eller fått från myndigheten finns registrerade samt att han eller hon får en förteckning över dessa handlingar. Om den enskilde begär det ska dock informationen även omfatta uppgift i en sådan handling (se prop. 2000/01:33 s. 204 och 212).
Kapitel III i dataskyddsförordningen innehåller en omfattande reglering av registrerades rättigheter. Artiklarna 13 och 14 i förordningen rör information till den registrerade och har i allt väsentligt motsvarande innebörd som 23 och 24 §§ PUL även om omfattningen av den information som ska tillhandahållas har utvidgats. Av artikel 13.4 respektive artikel 14.5 a följer att den registrerade inte behöver informeras om och i den mån denne redan förfogar över informationen. Artikel 15 i dataskyddsförordningen reglerar vidare den registrerades rätt till tillgång till personuppgifter och viss annan särskilt angiven information. I stora delar motsvarar artikel 15 rätten till information efter ansökan i 26 § PUL, rätten till s.k. registerutdrag.
Under vissa förutsättningar är det möjligt att med stöd av artikel 23.1 i dataskyddsförordningen begränsa tillämpningsområdet för nu nämnda och andra rättigheter enligt förordningen. Sådana begränsningar måste ske med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgöra en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa vissa angivna viktiga intressen.
I propositionen Ny dataskyddslag föreslår regeringen att undantag från vissa av dataskyddsförordningens skyldigheter och rättigheter ska införas i dataskyddslagen. Enligt förslaget ska exempelvis rätten till information och tillgång inte gälla uppgifter som omfattas av sekretess (5 kap. 1 §). Vidare ska rätten till tillgång som huvudregel inte heller gälla personuppgifter som finns i löpande text som utgör utkast eller minnesanteckning (5 kap. 2 §).
Enligt regleringen i 3 kap. 2 § lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar behöver information som ska lämnas enligt 26 § PUL inte omfatta uppgifter i en handling som den enskilde har tagit del av. Om den enskilde begär det ska dock informationen även omfatta uppgifter i en sådan handling. I promemorian görs bedömningen att detta innebär att bestämmelsen inte bör anses utgöra en begränsning av rätten till tillgång enligt artikel 15 i dataskyddsförordningen. Som Datainspektionen påpekar avser dock den registrerades rätt till tillgång enligt artikel 15 inte endast personuppgifter. Den personuppgiftsansvarige ska även informera om bl.a. ändamålen med behandlingen och eventuell överföring till tredjeland. Det förhållandet att en registrerad redan fått tillgång till vissa handlingar som innehåller personuppgifter innebär således inte att rätten till tillgång enligt artikel 15 i sin helhet har tillgodosetts i förhållande till dessa uppgifter. Regeringen instämmer därför i Datainspektionens bedömning att bestämmelsen i 3 kap. 2 § lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar utgör en begränsning i den enskildes rätt till tillgång till sådan information. Frågan är således om det finns tillräckliga skäl för en sådan begränsning. Som Datainspektionen framhåller kan den personuppgiftsansvarige, om denne behandlar en stor mängd uppgifter om den registrerade, efterfråga vilken information eller vilken behandling som en begäran enligt artikel 15 i förordningen avser innan informationen lämnas ut (se skäl 63). I ett sådant sammanhang bör den personuppgiftsansvarige kunna efterfråga om den registrerades begäran omfattar information som lämnats ut vid ett tidigare tillfälle. Det kan vidare konstateras att, enligt artikel 12.5 i dataskyddsförordningen, kan den personuppgiftsansvarige ta ut en rimlig kostnad eller vägra tillmötesgå en begäran, om den är uppenbart ogrundad eller orimlig, särskilt på grund av dess repetitiva art. Enligt regeringens bedömning finns det mot den bakgrunden inte skäl att göra undantag från artikel 15 i förordningen. Bestämmelsen i 3 kap. 2 § lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar bör därför upphävas.
Som nämns i det föregående är inte 24 § PUL om information som ska lämnas om personuppgifter har samlats in från någon annan än den registrerade tillämplig enligt lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar. Enligt 24 § andra stycket PUL, som baseras på artikel 11.2 i dataskyddsdirektivet, behöver inte information lämnas till den registrerade om det finns bestämmelser om registreringen i en lag eller annan författning. I förarbetena till lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar konstaterades att det inte krävs att sådan information ges när behandling av personuppgifter hos en myndighet regleras i särskild lagstiftning med bestämmelser om vilka uppgifter som får behandlas och hur uppgifterna i övrigt får hanteras. Något skäl att trots detta införa ett krav för myndigheterna att lämna sådan information ansågs inte föreligga (prop. 2000/01:33 s. 105). En motsvarighet till 24 § PUL och artikel 11.2 i dataskyddsdirektivet finns i artikel 14 i dataskyddsförordningen som reglerar information som ska tillhandahållas om personuppgifterna inte har erhållits från den registrerade. Enligt artikel 14.5 c tillämpas inte bestämmelsen om, och i den mån, erhållande eller utlämnande av uppgifter uttryckligen föreskrivs genom en medlemsstats nationella rätt som den registrerade omfattas av och som fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen. Den typ av reglering som avses i artikel 14.5 c finns i lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar som innehåller bl.a. bestämmelser om tillåtna ändamål, gallring och elektroniskt utlämnande. Det innebär att förordningens bestämmelser om information som ska tillhandahållas när personuppgifter inte har erhållits från den registrerade inte ska tillämpas i den verksamhet som omfattas av lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar.
Sammanfattningsvis innebär det anförda att den registrerades rätt till information och rätt till tillgång enligt dataskyddsförordningen inte bör begränsas i lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar och att bestämmelserna i 3 kap. 1 och 2 §§ därför bör upphävas.
Rätten att göra invändningar
Enligt artikel 14 a i dataskyddsdirektivet ska medlemsstaterna tillförsäkra den registrerade rätten att, under vissa närmare angivna förutsättningar, när som helst av avgörande och berättigade skäl som rör hans personliga situation motsätta sig behandling av uppgifter som rör honom, utom när den nationella lagstiftningen föreskriver något annat. I personuppgiftslagen har artikeln genomförts på så vis att den registrerade har en uttrycklig rätt att motsätta sig behandling för direkt marknadsföring (11 § PUL) och en rätt att återkalla ett lämnat samtycke då behandling av personuppgifter bara är tillåten med ett sådant samtycke enligt vissa angivna paragrafer (12 § första stycket PUL). När ett sådant samtycke återkallats får ytterligare personuppgifter om den registrerade inte behandlas. I övrigt kan den registrerade inte med rättslig verkan motsätta sig sådan behandling som är tillåten enligt personuppgiftslagen (12 § andra stycket PUL).
I 1 kap. 2 § andra stycket lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar finns, liksom i vissa andra registerförfattningar, en bestämmelse som klargör att den registrerade inte med rättslig verkan kan motsätta sig den behandling av personuppgifter som är tillåten enligt lagen. Av förarbetena framgår att avsikten har varit att göra ett undantag från bestämmelsen om den registrerades rätt att göra invändningar enligt artikel 14 a i dataskyddsdirektivet (prop. 2000/01:33 s. 209 och 346).
Dataskyddsförordningen innehåller en rätt för den registrerade att göra invändningar i artikel 21. Där stadgas att den registrerade ska, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på artikel 6.1 e (behandling som är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning) eller 6.1 f (den allmänna intresseavvägningen som inte gäller för myndigheter när de fullgör sina uppgifter). Den personuppgiftsansvarige får i sådana fall inte längre behandla personuppgifterna om denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk.
Som nämns ovan ges medlemsstaterna genom artikel 23.1 i dataskyddsförordningen möjlighet att begränsa vissa av förordningens rättigheter och skyldigheter, däribland rätten att göra invändningar enligt artikel 21. Enligt artikel 23.1 får en sådan begränsning ske om den sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle, i syfte att säkerställa vissa intressen, bl.a. unionens eller en medlemsstats viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet. I artikel 23.2 föreskrivs vidare att lagstiftningsåtgärder som avses i artikel 23.1 ska innehålla specifika bestämmelser åtminstone, när så är relevant, avseende bl.a. ändamålen med behandlingen eller kategorierna av behandling och lagringstiden samt tillgängliga skyddsåtgärder med beaktande av behandlingens art, omfattning och ändamål eller kategorierna av behandling.
Den behandling av personuppgifter som regleras i lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar kan, som framgår av avsnitt 5.2, vara nödvändig för att fullgöra en rättslig förpliktelse (artikel 6.1 c i dataskyddsförordningen) eller för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 e i dataskyddsförordningen). När behandling sker på den sistnämnda grunden är rätten att göra invändningar enligt artikel 21 tillämplig. I de fall sådan behandling sker för att fastställa, utöva eller försvara ett rättsligt anspråk kan den personuppgiftsansvarige, i enlighet med artikel 21.1, fortsätta att behandla uppgifterna även efter en invändning från den enskilde.
Det är av stor betydelse att personuppgifter får behandlas i verksamhet med val och folkomröstningar oberoende av den registrerades inställning. Den personuppgiftsansvarige får närmast undantagslöst anses kunna påvisa skäl för fortsatt behandling som väger tyngre än den registrerades intressen i det enskilda fallet. Under sådana förhållanden och för att fullt ut säkerställa förutsättningarna för de aktuella myndigheterna att behandla relevanta personuppgifter bör den registrerade inte heller fortsättningsvis ha någon rätt att motsätta sig sådan personuppgiftsbehandling som är tillåten enligt lagen. En sådan begränsning måste anses utgöra en nödvändig och proportionell åtgärd i syfte att säkerställa ett viktigt mål av generellt allmänt intresse. Lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar innehåller dessutom specifika bestämmelser om bl.a. ändamålen med behandlingen, de kategorier av uppgifter som får behandlas och gallring. Denna reglering innebär en förhållandevis snäv ram för personuppgiftsbehandlingen och minimerar risken för kränkning av den registrerades rättigheter och friheter. Den får därför anses uppfylla de krav som uppställs i artikel 23.2 dataskyddsförordningen.
Bestämmelsen i 1 kap. 2 § andra stycket lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar om att en registrerad inte har rätt att motsätta sig behandling kan således i princip behållas. I enlighet med promemorians förslag bör bestämmelsen omformuleras så att det tydligt framgår att den utgör en begränsning av rätten att göra invändningar enligt artikel 21 i dataskyddsförordningen samt ges en annan placering i lagen. Avsikten med den nuvarande bestämmelsen är, som framgår ovan, att begränsa rätten att göra invändningar enligt artikel 14 a i dataskyddsdirektivet som motsvarar artikel 21 i dataskyddsförordningen. Omformuleringen av bestämmelsen innebär således inte någon förändring i sak. Hänvisningen till dataskyddsförordningen avser förordningen i den vid varje tidpunkt gällande lydelsen (se avsnitt 5.3).
Rättelse
Av 3 kap. 3 § lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar framgår att personuppgiftslagens bestämmelser om rättelse (28 §) och skadestånd (48 §) också gäller vid behandling av personuppgifter enligt den aktuella lagen och anslutande författningar. En sådan bestämmelse har bedömts nödvändig eftersom 28 och 48 §§ PUL endast gäller vid behandling i strid med personuppgiftslagen och inte vid felaktig behandling i förhållande till regleringen i registerförfattningar (se t.ex. SOU 1997:39 s. 436-437).
Enligt 28 § PUL är den personuppgiftsansvarige skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som har utfärdats med stöd av lagen. Den personuppgiftsansvarige ska också, enligt bestämmelsen, underrätta tredjeman till vilken uppgifterna har lämnats ut om åtgärden, om den registrerade begär det eller om mera betydande skada eller olägenhet för den registrerade skulle kunna undvikas genom en underrättelse. Någon sådan underrättelse behöver dock inte lämnas, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.
Regleringen i 28 § PUL motsvaras i dataskyddsförordningen av artikel 16 om rätten till rättelse, artikel 17 om rätten till radering, artikel 18 om rätten till begränsning av behandling och artikel 19 om anmälningsskyldighet avseende rättelse, radering eller begränsning av behandling. Artikel 16 innebär att den registrerade har rätt att utan dröjsmål få felaktiga personuppgifter rättade. Regleringen innebär vidare att den registrerade, med beaktande av ändamålet med behandlingen, har rätt att komplettera ofullständiga personuppgifter. Artikel 17 innebär att den registrerade har en rätt till radering av personuppgifter bl.a. om uppgifterna behandlats på ett olagligt sätt. Enligt artikel 18 har den registrerade rätt att kräva att behandlingen begränsas bl.a. om behandlingen är olaglig och den registrerade motsätter sig att uppgifterna raderas och i stället begär en begränsning av deras användning. Av artikel 19 framgår att den personuppgiftsansvarige ska underrätta varje mottagare till vilken personuppgifterna har lämnats ut om rättelse, radering eller begränsning av behandling som skett enligt artiklarna 16, 17 och 18, om inte detta visar sig vara omöjligt eller medför en oproportionell ansträngning.
Utformningen av dessa artiklar innebär att de, till skillnad från 28 § PUL, kommer vara direkt tillämpliga även vid sådan personuppgiftsbehandling som sker i strid med lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar. Någon hänvisning till dataskyddsförordningens bestämmelser om rättelse behövs därför inte.
Skadestånd
När det gäller skadestånd föreskriver artikel 82 i dataskyddsförordningen att en person ska ha rätt till ersättning för skada som denne har lidit till följd av en överträdelse av förordningen. Av skäl 146 i dataskyddsförordningen följer att med behandling som strider mot förordningen avses även behandling som strider mot medlemsstaternas nationella rätt med närmare specifikation av förordningens bestämmelser. Regeringen föreslår i propositionen Ny dataskyddslag att rätten till ersättning enligt dataskyddsförordningen ska gälla vid överträdelser av bestämmelser i dataskyddslagen och andra författningar som kompletterar dataskyddsförordningen (7 kap. 1 §). Någon hänvisning till bestämmelserna om skadestånd i dataskyddsförordningen behövs därför inte i lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar.
Överklagande
I 3 kap. 4 § lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar regleras möjligheten att överklaga en myndighets beslut om rättelse och om information som ska lämnas enligt 26 § PUL. Av artikel 79 i dataskyddsförordningen följer en rätt till effektiva rättsmedel mot en personuppgiftsansvarig. I propositionen Ny dataskyddslag lämnas förslag angående rätten att överklaga beslut som en personuppgiftsansvarig myndighet meddelar med anledning av att en registrerad utövar sina rättigheter enligt dataskyddsförordningen (prop. 2017/18:105 s 150-152). Regeringen föreslår i propositionen att beslut som myndigheten fattar med anledning av att en registrerad utövar sin rätt till information, registerutdrag, rättelse, radering, begränsning, invändning eller dataportabilitet ska få överklagas till allmän förvaltningsdomstol (7 kap. 2 §). Detta gäller dock inte beslut av regeringen, Högsta domstolen, Högsta förvaltningsdomstolen eller Riksdagens ombudsmän. Prövningstillstånd föreslås på samma sätt som i dag krävas vid överklagande till kammarrätten. Dataskyddslagens överklagandebestämmelser kommer att vara generellt tillämpliga. Det finns inte något behov av några särskilda bestämmelser om överklagande i lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar.
5.8 Automatiserat beslutsfattande
Regeringens bedömning: Bestämmelserna i EU:s dataskyddsförordning om automatiserat beslutsfattande kräver inga författningsändringar.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Datainspektionen anser att artikel 22 i dataskyddsförordningen är tillämplig även när profilering inte inbegrips i personuppgiftsbehandlingen. Övriga remissinstanser som yttrar sig tillstyrker eller har inte några invändningar mot promemorians bedömning.
Skälen för regeringens bedömning: Enligt artikel 15.1 i dataskyddsdirektivet har varje person rätt att inte bli föremål för ett beslut som har rättsliga följder för honom eller som märkbart påverkar honom och som enbart grundas på automatisk behandling av uppgifter som är avsedda att bedöma vissa personliga egenskaper hos honom, exempelvis hans arbetsprestationer, kreditvärdighet, pålitlighet och uppträdande. I svensk rätt har artikeln genomförts genom 29 § PUL. Enligt den bestämmelsen gäller att om ett beslut som har rättsliga följder för en fysisk person eller annars har märkbara verkningar för den fysiska personen, grundas enbart på automatiserad behandling av sådana personuppgifter som är avsedda att bedöma egenskaper hos personen, ska den som berörs av beslutet ha möjlighet att på begäran få beslutet omprövat av någon person. Det finns inte någon hänvisning i 1 kap. 3 § lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar som gör personuppgiftslagens bestämmelser om automatiserade beslut tillämpliga vid personuppgiftsbehandling enligt lagen. I förarbetena har detta motiverats med att 29 § PUL förutsätter att de uppgifter på vilka den automatiserade behandlingen grundas är sådana som är avsedda att bedöma vissa personliga egenskaper hos den som är föremål för beslutet, t.ex. arbetsprestationer, kreditvärdighet, pålitlighet och uppträdande, och att det inte torde komma i fråga att fatta sådana beslut helt automatiserat i de aktuella verksamheterna (se prop. 2000/01:33 s. 94).
Regleringen om automatiserade beslut i artikel 22 i dataskyddsförordningen har dock en annan utformning än motsvarande bestämmelser i personuppgiftslagen och dataskyddsdirektivet. Enligt artikel 22.1 har den registrerade rätt att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, inbegripet profilering, vilket har rättsliga följder för honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne. I artikel 4.4 i förordningen definieras profilering som "varje form av automatisk behandling av personuppgifter som består i att dessa personuppgifter används för att bedöma vissa personliga egenskaper hos en fysisk person, i synnerhet för att analysera eller förutsäga denna fysiska persons arbetsprestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet, beteende, vistelseort eller förflyttningar". Från huvudregeln i artikel 22.1 görs vissa undantag i artikel 22.2. Bland annat ska artikel 22.1 inte tillämpas om beslutet tillåts enligt unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av och som fastställer lämpliga åtgärder till skydd för den registrerades rättigheter, friheter och berättigade intressen (artikel 22.2 b). Beslut får enligt artikel 22.4 grunda sig på känsliga personuppgifter endast om behandlingen sker med stöd av artikel 9.2 a (samtycke) eller g (viktigt allmänt intresse) och lämpliga åtgärder som ska skydda den registrerades berättigade intressen har vidtagits. Artikel 22 är direkt tillämplig i medlemsstaterna men med stöd av artikel 23 är det möjligt att i nationell rätt begränsa tillämpningsområdet för artikeln.
Medan artikel 15.1 i dataskyddsdirektivet och 29 § PUL tar sikte på s.k. profilering gäller dataskyddsförordningen enligt sin lydelse beslut som enbart grundas på automatiserad behandling, inbegripet profilering. Frågan är om detta innebär att förordningens reglering har ett bredare tillämpningsområde än den nuvarande regleringen.
Det kan konstateras att artikel 22 till sin ordalydelse kan tolkas på olika sätt. Bestämmelsen kan läsas så, vilket Datainspektionen anser är riktigt, att den är generellt tillämplig på automatiserade beslut. Formuleringen inbegripet profilering skulle då endast vara en upplysning om att bestämmelsen även omfattar profilering. Artikel 22 kan dock även läsas så att den automatiserade behandlingen måste omfatta profilering enligt definitionen i artikel 4.4 för att bestämmelsen ska bli tillämplig. Beslut som grundas på sådan behandling bör inte förekomma enligt lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar.
I skäl 71 i dataskyddsförordningen utvecklas frågan om automatiserat beslutsfattande. Där framgår att den registrerade bör ha rätt att inte bli föremål för ett beslut, vilket kan inbegripa en åtgärd, med bedömning av personliga aspekter rörande honom eller henne, vilket enbart grundas på automatiserad behandling och medför rättsverkan för honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne, såsom ett automatiserat avslag på en kreditansökan online eller e-rekrytering utan personlig kontakt. Vidare framgår att sådan behandling omfattar "profilering" i form av automatisk behandling av personuppgifter med bedömning av personliga aspekter rörande en fysisk person, särskilt för att analysera eller förutse aspekter avseende den registrerades arbetsprestation, ekonomiska situation, hälsa, personliga preferenser eller intressen, pålitlighet eller beteende, vistelseort eller förflyttningar, i den mån dessa har rättsverkan rörande honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne. Beslutsfattande grundat på sådan behandling, inbegripet profilering, bör dock, enligt skäl 71, tillåtas när det uttryckligen beviljas genom unionsrätten eller medlemsstaternas nationella rätt som den personuppgiftsansvarige omfattas av, inbegripet för sådan övervakning och sådant förebyggande av bedrägerier och skatteundandragande som genomförs i enlighet med unionsinstitutionernas eller de nationella tillsynsorganens bestämmelser, standarder och rekommendationer samt för att sörja för tillförlitlighet hos en tjänst som tillhandahålls av den personuppgiftsansvarige, eller när det krävs för ingående eller genomförande av ett avtal mellan den registrerade och en personuppgiftsansvarig eller den registrerade har gett sitt uttryckliga samtycke. Denna form av uppgiftsbehandling bör, enligt skäl 71, under alla omständigheter omgärdas av lämpliga skyddsåtgärder, som bör inkludera specifik information till den registrerade och rätt till mänskligt ingripande, att framföra sina synpunkter, att erhålla en förklaring till det beslut som fattas efter sådan bedömning och att överklaga beslutet.
Det kan alltså konstateras att skäl 71 endast tycks behandla automatiserade beslut grundade på profilering. Det kan vidare konstateras att skäl 73, vid uppräkningen av rättigheter som kan begränsas enligt artikel 23, endast omnämner "profileringsbaserade beslut". Det anförda talar för att avsikten med artikel 22 i dataskyddsförordningen är att endast omfatta automatiserade beslut som innefattar profilering. Någon säker slutsats kan dock i avsaknad av praxis inte dras i denna fråga.
Även om en annan tolkning av artikel 22.1 i dataskyddsförordningen skulle göras, dvs. att bestämmelsen också omfattar automatiserat beslutsfattande som inte grundar sig på profilering, kan det emellertid konstateras att automatiserat beslutsfattande generellt är tillåtet för svenska myndigheter. Detta kommer bl.a. till uttryck i 28 § i förvaltningslagen (2017:900), som träder i kraft den 1 juli 2018. I paragrafens första stycke tydliggörs att ett beslut kan fattas automatiserat och i propositionen uttalar regeringen att detta är ett klargörande av att det inte behövs en reglering i en specialförfattning för att en myndighet ska kunna använda denna beslutsform (propositionen En modern och rättssäker förvaltning - ny förvaltningslag, prop. 2016/17:180 s. 179-180). Sådana automatiserade beslut som fattas inom den svenska förvaltningen är föremål för de rättssäkerhetsgarantier som uppställs i förvaltningslagen. Utöver de allmänna kraven på legalitet, objektivitet och proportionalitet säkerställs rätten till insyn, krav på kommunikation liksom möjligheten till ändring och rättelse av beslut samt rätten att överklaga beslut som kan antas påverka någons situation på ett inte obetydligt sätt. Genom den förvaltningsrättsliga regleringen är beslutsfattandet omgärdat av sådana skyddsåtgärder (lämpliga åtgärder till skydd för den registrerades rättigheter, friheter och berättigade intressen) som anges i artikel 22.2 b. Skulle artikel 22 bedömas vara tillämplig också på annat automatiskt beslutsfattande än profilering, och skulle sådant beslutsfattande förekomma inom den centrala valmyndighetens, Sametingets eller länsstyrelsens verksamhet enligt lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar, kommer det således att finnas författningsstöd för detta beslutsfattande. För det fall det skulle förekomma beslut som grundar sig på känsliga personuppgifter måste det anses utgöra ett sådant viktigt allmänt intresse som omnämns i artikel 22.4, att aktuella myndigheter kan bedriva sin verksamhet med val och folkomröstningar på ett korrekt, rättssäkert och effektivt sätt (se prop. 2017/18:105 s. 85). Artikel 22.4 uppställer även krav på att lämpliga åtgärder som ska skydda den registrerades berättigade intressen har vidtagits. Detta är ett krav som får anses rikta sig direkt till den personuppgiftsansvarige och således inte i sig förutsätter några nationella lagstiftningsåtgärder.
Sammanfattningsvis innebär detta att det inte finns skäl att ändra lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar med anledning av artikel 22 i dataskyddsförordningen.
5.9 Avgifter
Regeringens förslag: Det ska införas en bestämmelse som tydliggör att rätten att ta ut avgifter för att lämna ut uppgifter ur databaser enligt lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar inte får utgöra en inskränkning i förhållande till regleringen i EU:s dataskyddsförordning om registrerades rätt till kostnadsfria åtgärder.
Promemorians förslag överensstämmer med regeringens.
Remissinstanserna: Samtliga remissinstanser som yttrar sig tillstyrker eller har inga synpunkter på förslaget.
Skälen för regeringens förslag: Av 2 kap. 14 och 24 §§ lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar följer att den centrala valmyndigheten, Sametinget och länsstyrelsen får ta ut avgifter för att lämna ut uppgifter ur databaserna enligt de närmare föreskrifter som meddelas av regeringen. Vidare framgår att rätten att ta ut avgifter inte får innebära en inskränkning i rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen. I förarbetena till bestämmelsen uttalade regeringen bl.a. följande. Enskilda har normalt möjlighet att få tillgång till uppgifter med stöd av tryckfrihetsförordningen. För sådant uppgiftsutlämnande finns särskilda bestämmelser om avgifter. När enskilda vill ta del av en större mängd uppgifter på medium för automatiserad behandling - vilket inte omfattas av tryckfrihetsförordningens bestämmelser - av t.ex. marknadsföringsskäl eller av andra orsaker som betingas av bedriven näringsverksamhet, finns det anledning att låta dem som drar nytta av uppgifterna bidra ekonomiskt till den verksamhet från vilken utlämnandet sker. Vid utlämnande på elektronisk väg till enskilda bör de utlämnande myndigheterna således få ta ut avgifter (prop. 2000/01:33 s. 119). I artikel 12.5 a i dataskyddsförordningen fastslås att information som tillhandahålls enligt artiklarna 13 och 14 samt all kommunikation och samtliga åtgärder som vidtas enligt artiklarna 15-22 och 34 ska tillhandahållas kostnadsfritt. För en begäran från en registrerad som är uppenbart ogrundad eller orimlig, särskilt på grund av dess repetitiva art, får den personuppgiftsansvarige dock ta ut en rimlig avgift som täcker de administrativa kostnaderna för att tillhandahålla den information eller vidta den åtgärd som begärts. Bestämmelsen avser alltså bl.a. registrerades rätt till information och till tillgång till personuppgifter m.m. enligt artiklarna 13-15. Det bör tydliggöras att regleringen om avgifter i lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar inte innebär en inskränkning av registrerades rätt till kostnadsfria åtgärder enligt artikel 12.5 a i förordningen. En bestämmelse med denna innebörd bör därför införas i lagen. Hänvisningen till dataskyddsförordningen avser förordningen i den vid varje tidpunkt gällande lydelsen (se avsnitt 5.3).
6 Personuppgiftsbehandling vid medborgarinitiativ, medborgarförslag och folkinitiativ
Regeringens bedömning: Den personuppgiftsbehandling som är nödvändig för att berörda myndigheter ska kunna utföra sina författningsreglerade förpliktelser i samband med medborgarinitiativ, medborgarförslag eller folkinitiativ kräver ingen ytterligare författningsreglering.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Datainspektionen efterlyser en analys av om särreglering krävs för aktuell personuppgiftsbehandling som utgår från dataskyddsförordningens krav. Övriga remissinstanser som yttrar sig tillstyrker eller har inte några invändningar mot promemorians bedömning.
Skälen för regeringens bedömning
Medborgarinitiativ
Från och med den 1 april 2012 kan medborgare i EU, i enlighet med Europaparlamentets och rådets förordning (EU) nr 211/2011 av den 16 februari 2011 om medborgarinitiativet, genomföra ett s.k. medborgarinitiativ för att uppmana Europeiska kommissionen att lägga fram ett visst lagförslag. Medborgarinitiativet är en form av direktkanal för EU:s medborgare att föra fram sina synpunkter och påverka kommissionen att föreslå en rättsakt inom EU:s kompetensområde. För att kommissionen ska behandla initiativet krävs att det stöds av sammanlagt minst en miljon medborgare med medborgarskap i minst sju olika EU-länder som har uppnått rösträttsåldern för val till Europaparlamentet. Ett initiativ stöds genom att medborgaren fyller i ett särskilt stödförklaringsformulär. I varje EU-land är en särskild myndighet utpekad för att kontrollera och intyga stödförklaringar för medborgarinitiativ. I Sverige har regeringen utsett Valmyndigheten som ansvarig myndighet (2 § förordningen [2007:977] med instruktion för Valmyndigheten). Uppdraget innebär bl.a. att myndigheten ska kontrollera och intyga antalet giltiga stödförklaringar som har gjorts av unionsmedborgare från Sverige. De behöriga myndigheterna ska inom tre månader från mottagandet av begäran kontrollera de översända stödförklaringarna på lämpligt sätt, i förekommande fall i enlighet med nationell lagstiftning och praxis (artikel 8.2 i förordningen om medborgarinitiativet). På grundval av denna kontroll ska de tillhandahålla organisatörerna ett intyg som överensstämmer med mallen i en bilaga till förordningen, i vilket antalet giltiga stödförklaringar för den berörda medlemsstaten intygas.
Medborgarförslag och folkinitiativ
I kommunallagen (2017:725) regleras två olika nationella institut som båda syftar till att ge enskilda en möjlighet att påverka den kommunala politiken: medborgarförslag och folkinitiativ. Enligt 8 kap. 1 § KL får den som är folkbokförd i kommunen eller i en kommun inom landstinget, om fullmäktige har beslutat det, väcka ärenden i fullmäktige (medborgarförslag). Detsamma gäller unionsmedborgare som avses i 1 kap. 5 § andra stycket KL. Enligt 8 kap. 2 § första stycket KL får ett ärende om att hålla folkomröstning i en viss fråga väckas i kommunfullmäktige av minst tio procent av de röstberättigade kommun- eller landstingsmedlemmarna enligt lagen om kommunala folkomröstningar (folkinitiativ). Initiativet ska vara skriftligt, ange den aktuella frågan samt innehålla initiativtagarnas egenhändiga namnteckningar, uppgifter om när namnteckningarna gjorts, namnförtydliganden, personnummer och uppgift om deras adresser.
Behandling av personuppgifter vid medborgarinitiativ, medborgarförslag och folkinitiativ
För att Valmyndigheten respektive kommunerna ska kunna hantera medborgarinitiativ, medborgarförslag och folkinitiativ och bl.a. kontrollera att initiativen stöds av tillräckligt många medborgare respektive röstberättigade kommunmedlemmar, krävs viss personuppgiftsbehandling. Sådan behandling av personuppgifter omfattas dock inte av tillämpningsområdet för lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar. Bedömningen har gjorts att det inte behövs någon särreglering av denna personuppgiftsbehandling som i dag omfattas av de generella reglerna i personuppgiftslagen (se t.ex. Justitiedepartementets promemoria den 25 november 2011, Medborgarinitiativ i Europeiska unionen s. 19, Ju2011/06798/D).
Valmyndigheten har dock i ett remissvar beträffande departementspromemorian Några frågor om offentlighet och sekretess (Ds 2016:2) väckt frågan om behovet av ett särskilt författningsstöd vid behandlingen av personuppgifter i den aktuella verksamheten (Ju2016/01065). Valmyndigheten påpekar att vissa skrivningar i promemorian om att de uppgifter som behandlas kan röja en persons åskådning om politik, religion eller liknande känsliga frågor aktualiserar förbudet mot att behandla känsliga personuppgifter. Valmyndigheten menar därför att frågan om tillåtligheten av den aktuella personuppgiftsbehandlingen behöver analyseras ytterligare.
Regeringen bedömer att den behandling av personuppgifter som kan bli aktuell för Valmyndigheten respektive kommunerna i samband med ett medborgarinitiativ, medborgarförslag eller folkinitiativ är nödvändig för att fullgöra en rättslig förpliktelse, för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Personuppgiftsbehandlingen kan således ske med stöd av 10 § b, d och e PUL respektive artikel 6.1 c och e i dataskyddsförordningen. Enligt artikel 6.3 i dataskyddsförordningen krävs att den grund för behandlingen som avses i artikel 6.1 c och e ska vara fastställd i unionsrätten eller i nationell rätt. Genom den ovan redovisade författningsregleringen av medborgarinitiativ, medborgarförslag och folkinitiativ är grunden för behandlingen fastställd på det sätt som krävs enligt förordningen.
När det gäller behandling av känsliga personuppgifter, bl.a. uppgifter som avslöjar politiska åsikter, är sådan behandling förbjuden enligt 13 § första stycket b PUL. För att behandling av känsliga personuppgifter ska vara tillåten krävs att något av lagens undantag är tillämpligt. Enligt 15 § PUL får exempelvis känsliga personuppgifter behandlas om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt offentliggjort uppgifterna. Enligt 16 § första stycket c PUL får känsliga personuppgifter också behandlas om behandlingen är nödvändig för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras. Motsvarande förbud och undantagsregler finns i artikel 9.1 respektive 9.2 a, e och f i dataskyddsförordningen.
Datainspektionen har i ett tillsynsbeslut prövat om en kommuns hantering av personuppgifter i samband med ett folkinitiativ har varit förenligt med bestämmelserna i personuppgiftslagen (beslut 2013-11-15, dnr 440-2013). I beslutet konstaterade Datainspektionen att kommunen hade behandlat känsliga personuppgifter genom att upprätta en lista med personnummer över de personer som undertecknat det aktuella folkinitiativet (som rörde frågan om folkomröstning om trängselskatt) eftersom detta fick anses ha avslöjat personernas politiska åsikter på sätt som avses i 13 § PUL. Datainspektionen ansåg vidare att undantaget från förbudet att behandla känsliga uppgifter när den enskilde på ett tydligt sätt själv offentliggjort uppgifterna i 15 § PUL inte var tillämpligt. Däremot ansåg Datainspektionen att undantaget i 16 § första stycket c PUL var tillämpligt eftersom behandlingen var nödvändig för att fastställa ett rättsligt anspråk. Kommunen hade enligt Datainspektionen behövt fastställa om de som undertecknat folkinitiativet hade rätt att göra gällande sitt rättsliga anspråk på folkomröstning enligt reglerna om folkinitiativ i kommunallagen.
Även om hanteringen av medborgarinitiativ, medborgarförslag och folkinitiativ i vissa fall kan kräva en behandling av uppgifter som kan anses avslöja politiska åsikter eller liknande finns ett stöd för behandling av sådana uppgifter både i den nuvarande och kommande generella personuppgiftsregleringen. Uppgifterna får nämligen behandlas om det är nödvändig för att fastställa ett rättsligt anspråk enligt 16 § första stycket c PUL, respektive artikel 9.2 f i dataskyddsförordningen. Enligt artikel 9.2 g i dataskyddsförordningen får känsliga personuppgifter dessutom under vissa förutsättningar behandlas om det är nödvändigt med hänsyn till ett viktigt allmänt intresse på grundval av unionsrätten eller medlemsstaternas nationella rätt. Motsvarande typ av undantag finns i det nuvarande dataskyddsdirektivet och kommer framförallt till uttryck i sektorsspecifik lagstiftning men också i exempelvis 8 § personuppgiftsförordningen som föreskriver att personuppgifter får behandlas av en myndighet i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Bestämmelsen gäller utöver den behandling som är tillåten enligt den s.k. missbruksregeln i 5 a § PUL. I propositionen Ny dataskyddslag föreslår regeringen bl.a. bestämmelser som innebär att myndigheter ska få behandla känsliga personuppgifter om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag eller är nödvändig för handläggningen av ett ärende, eller, i annat fall, om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet (3 kap. 3 § dataskyddslagen).
Ingen ytterligare författningsreglering krävs
Regeringen konstaterar att det både genom regleringen i personuppgiftslagen och i dataskyddsförordningen finns ett tydligt rättsligt stöd för sådan personuppgiftsbehandling som är nödvändig för att berörda myndigheter ska kunna utföra sina författningsreglerade förpliktelser i samband med medborgarinitiativ, medborgarförslag och folkinitiativ. Mot denna bakgrund saknas anledning att utvidga tillämpningsområdet för lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar eller att på något annat sätt särreglera sådan personuppgiftsbehandling.
7 Ikraftträdande- och övergångsbestämmelser
Regeringens förslag: Författningsändringarna ska träda i kraft den 25 maj 2018. Äldre föreskrifter om straff ska gälla för överträdelser som har skett före ikraftträdandet.
Promemorians förslag överensstämmer med regeringens.
Remissinstanserna: Samtliga remissinstanser som yttrar sig tillstyrker eller har inga synpunkter på promemorians förslag.
Skälen för regeringens förslag: Enligt artikel 99 i dataskyddsförordningen ska förordningen träda i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning och börja tillämpas från och med den 25 maj 2018. Genom de författningsändringar som föreslås i denna proposition bedöms lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar vara i överensstämmelse med dataskyddsförordningen. Ändringarna bör träda i kraft samtidigt som dataskyddsförordningen börjar tillämpas, dvs. den 25 maj 2018.
Utgångspunkten enligt dataskyddsförordningen är att behandling som pågår den dag då förordningen börjar tillämpas från och med den dagen ska bringas i överensstämmelse med förordningen (skäl 171). De personuppgiftsansvariga myndigheterna enligt lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar får därför förutsättas ha ordnat sin behandling så att exempelvis en begäran om information från en registrerad som inkommit, men inte hunnit besvaras, före den 25 maj 2018 kan tillmötesgås i enlighet med förordningens bestämmelser.
Som regeringen konstaterar i propositionen Ny dataskyddslag följer av allmänna grundsatser att ny lagstiftning ska gälla i fråga om skadestånd med anledning av skadefall som inträffar efter ikraftträdandet, medan äldre lag ska tillämpas på skadefall som har inträffat dessförinnan (prop. 2017/18:105 s. 176). Det behöver därför inte införas någon övergångsbestämmelse i denna del. Förslaget till dataskyddslag innebär vidare att den straffrättsliga regleringen i personuppgiftslagen upphävs. Genom förslaget att upphäva hänvisningen till 49 § PUL i 1 kap. 3 § första stycket 9 lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar utmönstras straffregleringen även från denna lag. Som redogörs för i avsnitt 6.3 föreslås dataskyddslagen inte innehålla någon straffbestämmelse. En personuppgiftsansvarig eller ett personuppgiftsbiträde som bryter mot förordningen kommer i stället att kunna drabbas av sanktionsavgifter. Enligt regeringens förslag till dataskyddslag ska sådana avgifter även kunna påföras myndigheter (6 kap. 2 §).
Detta väcker frågan om vad som ska gälla för straffbelagda gärningar som har begåtts vid behandling före den 25 maj 2018. I propositionen Ny dataskyddslag gör regeringen bedömningen att äldre straffbestämmelser bör tillämpas på överträdelser som skett före den nya lagens ikraftträdande och föreslår en sådan övergångsbestämmelse (prop. 2017/18:105 s. 170 och 176-177). Denna bedömning görs även här. Det bör därför införas en övergångsbestämmelse med motsvarande innebörd.
8 Konsekvenser av förslagen
Regeringens bedömning: Förslagen innebär en viss förstärkning av enskildas skydd för den personliga integriteten.
Förslagen föranleder inte några kostnader för enskilda eller det allmänna.
Förslagen innebär inte någon inskränkning i den kommunala självstyrelsen.
Förslagen har inte någon påverkan på jämställdheten mellan män och kvinnor. De medför inte några sociala eller miljömässiga konsekvenser.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Samtliga remissinstanser som yttrar sig tillstyrker eller har inga synpunkter på promemorians bedömning.
Skälen för regeringens bedömning: Inledningsvis kan det konstateras att konsekvenserna av dataskyddsförordningens direkt tillämpliga bestämmelser inte analyseras inom ramen för denna proposition.
När det gäller konsekvenserna av de förslag som läggs fram i propositionen ska det först framhållas att det huvudsakliga syftet är att föreslå de anpassningar som är nödvändiga med anledning av den nya dataskyddsregleringen. Det innebär att merparten av bestämmelserna i lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar kvarstår oförändrade och att flera bestämmelser anpassas till dataskyddsförordningen utan att det sakliga innehållet förändras på ett avgörande sätt. Det kan dock noteras att förslagen innebär att ett antal hänvisningar till personuppgiftslagen ska upphävas och att dataskyddsförordningens bestämmelser i stället ska gälla. Det gäller exempelvis hänvisningarna till personuppgiftslagen i 1 kap. 3 § (avseende vilka bestämmelser i personuppgiftslagen som ska gälla enligt lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar) och i 3 kap. (avseende enskildas rättigheter). I dessa delar ger dataskyddsförordningen i viss utsträckning ett starkare integritetsskydd än personuppgiftslagen, t.ex. avseende säkerhet vid behandling, och registrerades rätt till information. Sammantaget görs därför bedömningen att förslagen innebär en viss förstärkning av enskildas skydd för den personliga integriteten.
I övrigt görs bedömningen att förslagen inte har några ekonomiska konsekvenser, vare sig för det allmänna eller för enskilda, och att de inte innebär någon inskränkning i den kommunala självstyrelsen. De bedöms inte heller ha någon påverkan på jämställdheten mellan kvinnor och män eller få några sociala eller miljömässiga konsekvenser.
9 Författningskommentar
1 kap.
Förhållandet till annan reglering
2 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
I paragrafen anges lagens förhållande till EU:s dataskyddsförordning. Övervägandena finns i avsnitt 5.3.
I paragrafen anges att lagen innehåller kompletterande bestämmelser till dataskyddsförordningen. Hänvisningen till dataskyddsförordningen avser förordningen i den vid varje tidpunkt gällande lydelsen. Dataskyddsförordningen är direkt tillämplig i varje medlemsstat. Det innebär att den automatiskt är en del av den svenska rättsordningen. I vissa avseenden förutsätter eller tillåter dataskyddsförordningen emellertid att Sverige inför bestämmelser som kompletterar förordningen, antingen i form av preciseringar eller i form av undantag. Denna lag innehåller de kompletterande bestämmelser som gäller inom den verksamhet som anges i 1 §.
3 § Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Paragrafen upplyser om hur lagen förhåller sig till lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) och föreskrifter som har meddelats i anslutning till den lagen. Övervägandena finns i avsnitt 5.3.
Paragrafen ändras så att den anger att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller vid sådan behandling av personuppgifter som anges i 1 §. Detta gäller dock endast om inte annat följer av denna lag eller föreskrifter som meddelats i anslutning till den.
5 a § Personuppgifter som behandlas enligt 4 eller 5 § får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
Paragrafen, som är ny, anger att uppgifter som behandlas enligt 4 eller 5 § även får behandlas för andra ändamål. Övervägandena finns i avsnitt 5.4.
I paragrafen anges att uppgifter som behandlas för de ändamål som anges i 4 eller 5 § får behandlas även för andra ändamål under förutsättning att behandlingen inte är oförenlig med insamlingsändamålen. Bestämmelsen, som är ett uttryck för den s.k. finalitetsprincipen, är utformad i nära anslutning till artikel 5.1 b i dataskyddsförordningen och bör tolkas på samma sätt. Detta innebär bl.a. att behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i förordningen inte ska anses vara oförenlig med insamlingsändamålen. Det innebär också att de omständigheter som anges i artikel 6.4 a-e i förordningen ska beaktas vid bedömningen om behandlingen är förenlig med insamlingsändamålen.
7 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) och personuppgifter som avses i artikel 10 i förordningen får behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.
Uppgifter som avses i första stycket får i annat fall behandlas endast om det särskilt anges i 2 kap.
Paragrafen reglerar förutsättningarna för behandling av känsliga personuppgifter och uppgifter om lagöverträdelser m.m. Övervägandena finns i avsnitt 5.6.
Första stycket ändras på så sätt att hänvisningen till personuppgiftslagens definition av känsliga personuppgifter i 13 § ersätts med en hänvisning till artikel 9.1 i dataskyddsförordningen. Hänvisningen till dataskyddsförordningen avser förordningen i den vid varje tidpunkt gällande lydelsen. De kategorier av personuppgifter som anges i artikeln är uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Ändringen innebär att bestämmelsen utvidgas till att omfatta genetiska och biometriska uppgifter. Vidare ändras första stycket på så vis att hänvisningen till uppgifter om lagöverträdelser m.m. som anges i 21 § personuppgiftslagen ersätts av en hänvisning till personuppgifter som avses i artikel 10 i dataskyddsförordningen. Det innebär en viss ändring i sak jämfört med den hittillsvarande regleringen, eftersom förordningens reglering inte omfattar andra domar än fällande brottmålsdomar och inte heller uppgifter om administrativa frihetsberövanden.
Rätten att göra invändningar
8 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Paragrafen, som delvis motsvarar den hittillsvarande bestämmelsen i 1 kap. 2 § andra stycket, föreskriver en begränsning av en registrerads rätt att göra invändningar enligt artikel 21.1 i dataskyddsförordningen. Övervägandena finns i avsnitt 5.7.
Paragrafen innebär att rätten enligt artikel 21.1 i dataskyddsförordningen att göra invändningar inte gäller vid behandling av personuppgifter som är tillåten enligt lagen eller föreskrifter som har meddelats i anslutning till den. Hänvisningen till dataskyddsförordningen avser förordningen i den vid varje tidpunkt gällande lydelsen.
2 kap.
14 § Den centrala valmyndigheten och länsstyrelserna får ta ut avgifter för att lämna ut uppgifter ur databasen. Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om sådana avgifter.
Rätten att ta ut avgifter får inte innebära en inskränkning i
1. rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen, eller
2. en registrerads rätt enligt artikel 12.5 i EU:s dataskyddsförordning.
Paragrafen reglerar den centrala valmyndighetens och länsstyrelsernas möjlighet att ta ut avgifter för att lämna ut uppgifter ur val- och folkomröstningsdatabasen. Övervägandena finns i avsnitt 5.9.
Första stycket ändras så att det tydliggörs att stödet för regeringens föreskrifter om avgifter finns i 8 kap. 7 § regeringsformen.
Andra stycket ändras så att det införs en upplysning om att rätten att ta ut avgifter enligt första stycket inte får innebära någon inskränkning i den registrerades rätt till kostnadsfri information och kommunikation m.m. enligt artikel 12.5 i dataskyddsförordningen. Hänvisningen till dataskyddsförordningen avser förordningen i den vid varje tidpunkt gällande lydelsen. I övrigt ändras andra stycket endast redaktionellt.
24 § Den centrala valmyndigheten, Sametinget och länsstyrelsen får ta ut avgifter för att lämna ut uppgifter ur databasen för sametingsvalet. Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om sådana avgifter.
Rätten att ta ut avgifter får inte innebära en inskränkning i
1. rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen, eller
2. en registrerads rätt enligt artikel 12.5 i EU:s dataskyddsförordning.
Paragrafen reglerar den centrala valmyndighetens, Sametingets och länsstyrelsens möjlighet att ta ut avgifter för att lämna ut uppgifter ur databasen för sametingsvalet. Regleringen motsvarar vad som gäller för val- och folkomröstningsdatabasen enligt 2 kap. 14 §. Övervägandena finns i avsnitt 5.9.
Första stycket ändras så att det tydliggörs att stödet för regeringens föreskrifter om avgifter finns i 8 kap. 7 § regeringsformen.
Andra stycket ändras så att det förs in en upplysning om att rätten att ta ut avgifter enligt första stycket inte får innebära någon inskränkning i den registrerades rätt till kostnadsfri information och kommunikation m.m. enligt artikel 12.5 i dataskyddsförordningen. Hänvisningen till dataskyddsförordningen avser förordningen i den vid varje tidpunkt gällande lydelsen. I övrigt ändras andra stycket endast redaktionellt.
Ikraftträdande- och övergångsbestämmelser
1. Denna lag träder i kraft den 25 maj 2018.
2. Äldre föreskrifter om straff gäller fortfarande för överträdelser som har skett före ikraftträdandet.
Bestämmelsen i punkt 2 innebär att personuppgiftslagens straffbestämmelse fortfarande gäller för straffbelagda gärningar som har begåtts vid behandling före den 25 maj 2018. Övervägandena finns i avsnitt 7.
EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)
Sammanfattning av promemorian Anpassning av lagen (2001:183) om behandling av personuppgifter i verksamhet med val och folkomröstningar
Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen, ska börja tillämpas den 25 maj 2018. I promemorian görs bedömningen att dataskyddsförordningen ger utrymme för sådan särskild reglering om personuppgiftsbehandling som finns i lagen (2001:183) om behandling av personuppgifter i verksamhet med val och folkomröstningar och förordningen (2002:61) om behandling av personuppgifter i verksamhet med val. Samtidigt görs bedömningen att det krävs vissa ändringar i lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar för att anpassa lagen till dataskyddsförordningen. I promemorian lämnas förslag till sådana ändringar. Därutöver behandlas i promemorian frågan om det krävs någon särskild författningsreglering för den personuppgiftsbehandling som är nödvändig för att de ansvariga myndigheterna ska kunna utföra sina uppgifter i samband med ett medborgarinitiativ, medborgarförslag eller folkinitiativ. I promemorian görs bedömningen att någon sådan reglering inte krävs.
Promemorians lagförslag
Förslag till lag om ändring i lagen (2001:183) om behandling av personuppgifter i verksamhet med val och folkomröstningar
Härigenom föreskrivs i fråga om lagen (2001:183) om behandling av personuppgifter i verksamhet med val och folkomröstningar
dels att 3 kap. 1 och 3-4 §§ och rubrikerna närmast före 3 kap. 1 och 3-4 §§ ska upphöra att gälla,
dels att det ska införas nya paragrafer, 1 kap. 5 a § och 3 kap. 1 §, av följande lydelse,
dels att det ska införas en ny rubrik närmast före 3 kap. 1 § av följande lydelse,
dels att 1 kap. 2-3 och 7 §§, 2 kap. 14 och 24 §§, 3 kap. 2§ och rubrikerna närmast före 1 kap. 2 § och 3 kap. 1 § ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
Förhållandet till personuppgiftslagen
Förhållandet till annan reglering
1 kap.
2 §
Om inte annat anges i 3 § eller 3 kap. gäller denna lag i stället för personuppgiftslagen (1998:204).
Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
En registrerad har inte rätt att motsätta sig sådan behandling som är tillåten enligt denna lag.
3 §
När personuppgifter behandlas enligt denna lag eller enligt andra föreskrifter i det ämne som regleras i lagen gäller personuppgiftslagens (1998:204) bestämmelser om
1. definitioner i 3 §,
2. förhållandet till offentlighetsprincipen m.m. i 8 §,
3. grundläggande krav på behandling i 9 § med undantag för vad som sägs i första stycket i och tredje stycket,
4. säkerheten vid behandling i 30-32 §§,
5. överföring av personuppgifter till tredje land i 33-35 §§,
6. personuppgiftsombud, m.m. i 36 § andra stycket och 38-41 §§,
7. upplysningar till allmänheten om vissa behandlingar i 42 §,
8. tillsynsmyndighetens befogenheter i 43 och 47 §§, och
9. straff i 49 §.
Vid behandling av personuppgifter som inte sker i databaser gäller även 22 § personuppgiftslagen.
Även lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt denna lag, om inte annat följer av denna lag eller föreskrifter som meddelats i anslutning till den.
5 a §
Uppgifter som behandlas enligt 4 § får även behandlas för andra ändamål under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in.
7 §
Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) och uppgifter om lagöverträdelser m.m. som anges i 21 § samma lag får behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.
Sådana särskilda kategorier av personuppgifter som anges i artikel 9.1 i Europaparlamentets och rådets förordning (EU) nr 2016/679 (känsliga personuppgifter) och uppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel får behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.
Uppgifter som avses i första stycket får i annat fall behandlas endast om det särskilt anges i 2 kap.
2 kap.
14 §
Den centrala valmyndigheten och länsstyrelserna får ta ut avgifter för att lämna ut uppgifter ur databasen enligt de närmare föreskrifter som meddelas av regeringen.
Rätten att ta ut avgifter enligt första stycket får inte innebära inskränkning i rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen.
Rätten att ta ut avgifter får inte innebära en inskränkning i
1. rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen, eller
2. en registrerads rätt enligt artikel 12.5 i Europaparlamentets och rådets förordning (EU) nr 2016/679.
24 §
Den centrala valmyndigheten, Sametinget och länsstyrelsen får ta ut avgifter för att lämna ut uppgifter ur databasen enligt de närmare föreskrifter som meddelas av regeringen.
innebära inskränkning i rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen.
Rätten att ta ut avgifter får inte innebära en inskränkning i
1. rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen, eller
2. en registrerads rätt enligt artikel 12.5 i Europaparlamentets och rådets förordning (EU) nr 2016/679.
3 kap.
Information till den registrerade
Rätten att göra invändningar
1 §
Rätten att göra invändningar enligt artikel 21.1 i Europaparlamentets och rådets förordning (EU) nr 2016/679 gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Information till den registrerade
2 §
Information som skall lämnas enligt 26 § personuppgiftslagen (1998:204) behöver inte omfatta uppgift i en handling som avses i 2 kap. 6 §, om den enskilde har tagit del av handlingens innehåll. Om den enskilde begär det skall dock informationen även omfatta uppgift i en sådan handling.
Information som ska lämnas enligt artikel 15 i Europaparlamentets och rådets förordning (EU) nr 2016/679 behöver inte omfatta uppgift i en handling som avses i 2 kap. 6 §, om den enskilde har tagit del av handlingens innehåll. Om den enskilde begär det ska dock informationen även omfatta uppgift i en sådan handling.
Om informationen inte innehåller handling som avses i första stycket, skall det av informationen framgå att handlingen behandlas i databasen.
Om informationen inte innehåller handling som avses i första stycket, ska det av informationen framgå att handlingen behandlas i databasen.
1 Denna lag träder i kraft den 25 maj 2018.
2 Äldre föreskrifter om straff gäller fortfarande för överträdelser som har skett före ikraftträdandet.
Förteckning över remissinstanserna
Följande remissinstanser har getts tillfälle att yttra sig: Riksdagens ombudsmän, Justitiekanslern, Kammarrätten i Stockholm, Förvaltningsrätten i Göteborg, Förvaltningsrätten i Umeå, Skatteverket, Datainspektionen, Statistiska centralbyrån, Valmyndigheten, Sametinget, Länsstyrelsen i Hallands län, Länsstyrelsen i Norrbottens län, Länsstyrelsen i Skåne län, Länsstyrelsen i Stockholms län, Länsstyrelsen i Örebro län, Länsstyrelsen i Östergötlands län, Alvesta kommun, Bodens kommun, Bollnäs kommun, Degerfors kommun, Eskilstuna kommun, Falkenbergs kommun, Flens kommun, Gotlands kommun, Gävle kommun, Göteborgs kommun, Håbo kommun, Hultsfreds kommun, Hässleholms kommun, Järfälla kommun, Kalix kommun, Karlstads kommun, Kiruna kommun, Köpings kommun, Lidingö kommun, Linköpings kommun, Mariestads kommun, Norrköpings kommun, Nyköpings kommun, Nässjö kommun, Ovanåkers kommun, Skinnskattebergs kommun, Stockholms kommun, Uppsala kommun, Östersunds kommun, Blekinge läns landsting, Dalarnas läns landsting, Skåne läns landsting, Västerbottens läns landsting och Västmanlands läns landsting.
Lagrådsremissens lagförslag
Förslag till lag om ändring i lagen (2001:183) om behandling av personuppgifter i verksamhet med val och folkomröstningar
Härigenom föreskrivs i fråga om lagen (2001:183) om behandling av personuppgifter i verksamhet med val och folkomröstningar
dels att 3 kap. ska upphöra att gälla,
dels att 1 kap. 2, 3 och 7 §§, 2 kap. 14 och 24 §§ och rubriken närmast före 1 kap. 2 § ska ha följande lydelse,
dels att det ska införas två nya paragrafer, 1 kap. 5 a och 8 §§, och närmast före 1 kap. 8 § en ny rubrik av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
1 kap.
Förhållandet till personuppgiftslagen
Förhållandet till annan författning
2 §
Om inte annat anges i 3 § eller 3 kap. gäller denna lag i stället för personuppgiftslagen (1998:204).
Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
En registrerad har inte rätt att motsätta sig sådan behandling som är tillåten enligt denna lag.
3 §
När personuppgifter behandlas enligt denna lag eller enligt andra föreskrifter i det ämne som regleras i lagen gäller personuppgiftslagens (1998:204) bestämmelser om
1. definitioner i 3 §,
2. förhållandet till offentlighetsprincipen m.m. i 8 §,
3. grundläggande krav på behandling i 9 § med undantag för vad som sägs i första stycket i och tredje stycket,
4. säkerheten vid behandling i 30-32 §§,
5. överföring av personuppgifter till tredje land i 33-35 §§,
6. personuppgiftsombud, m.m. i 36 § andra stycket och 38-41 §§,
7. upplysningar till allmänheten om vissa behandlingar i 42 §,
8. tillsynsmyndighetens befogenheter i 43 och 47 §§, och
9. straff i 49 §.
Vid behandling av personuppgifter som inte sker i databaser gäller även 22 § personuppgiftslagen.
Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
5 a §
Personuppgifter som behandlas enligt 4 eller 5 § får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
7 §
Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) och uppgifter om lagöverträdelser m.m. som anges i 21 § samma lag får behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.
Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) och personuppgifter som avses i artikel 10 i förordningen får behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.
Uppgifter som avses i första stycket får i annat fall behandlas endast om det särskilt anges i 2 kap.
Rätten att göra invändningar
8 §
Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.
2 kap.
14 §
Den centrala valmyndigheten och länsstyrelserna får ta ut avgifter för att lämna ut uppgifter ur databasen enligt de närmare föreskrifter som meddelas av regeringen.
Den centrala valmyndigheten och länsstyrelserna får ta ut avgifter för att lämna ut uppgifter ur databasen. Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om sådana avgifter.
Rätten att ta ut avgifter enligt första stycket får inte innebära inskränkning i rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen.
Rätten att ta ut avgifter får inte innebära en inskränkning i
1. rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen, eller
2. en registrerads rätt enligt artikel 12.5 i EU:s dataskyddsförordning.
24 §
Den centrala valmyndigheten, Sametinget och länsstyrelsen får ta ut avgifter för att lämna ut uppgifter ur databasen enligt de närmare föreskrifter som meddelas av regeringen.
Den centrala valmyndigheten och länsstyrelserna får ta ut avgifter för att lämna ut uppgifter ur databasen. Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om sådana avgifter.
Rätten att ta ut avgifter får inte innebära inskränkning i rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen.
Rätten att ta ut avgifter får inte innebära en inskränkning i
1. rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen, eller
2. en registrerads rätt enligt artikel 12.5 i EU:s dataskyddsförordning.
1. Denna lag träder i kraft den 25 maj 2018.
2. Äldre föreskrifter om straff gäller fortfarande för överträdelser som har skett före ikraftträdandet.
Lagrådets yttrande
Utdrag ur protokoll vid sammanträde 2018-02-01
Närvarande: F.d. justitieråden Gustaf Sandström och Lena Moore samt justitierådet Anders Eka
Anpassning till EU:s dataskyddsförordning av lagen om
behandling av personuppgifter i verksamhet med val och
folkomröstningar
Enligt en lagrådsremiss den 25 januari 2018 har regeringen
(Justitiedepartementet) beslutat inhämta Lagrådets yttrande
över förslag till om ändring i lagen (2001:183) om behandling
av personuppgifter i verksamhet med val och folkomröstningar.
Förslaget har inför Lagrådet föredragits av rättssakkunnige
Mattias Råbe.
Lagrådet lämnar förslaget utan erinran.
Justitiedepartementet
Utdrag ur protokoll vid regeringssammanträde den 22 februari 2018
Närvarande: statsminister Löfven, ordförande, och statsråden Lövin, Wallström, Y Johansson, Baylan, Bucht, Hultqvist, Regnér, Andersson, Hellmark Knutsson, Bolund, Bah Kuhnke, Strandhäll, Shekarabi, Fridolin, Eriksson, Linde, Skog, Ekström, Eneroth
Föredragande: statsrådet Peter Hultqvist
Regeringen beslutar proposition Anpassning till EU:s dataskyddsförordning av lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar