Regeringskansliets rättsdatabaser

Regeringens proposition 2017/18:113 Anpassning av domstolsdatalagen till EU:s dataskyddsförordning Prop. 2017/18:113 Regeringen överlämnar denna proposition till riksdagen. Stockholm den 22 februari 2018 Stefan Löfven Peter Hultqvist (Justitiedepartementet) Propositionens huvudsakliga innehåll EU:s dataskyddsförordning ska börja tillämpas den 25 maj 2018. Regeringen bedömer att dataskyddsförordningen ger utrymme för en sådan särskild reglering om personuppgiftsbehandling som finns i domstolsdatalagen. Det krävs dock vissa ändringar i domstolsdatalagen för att anpassa den till dataskyddsförordningen. De flesta av de föreslagna ändringarna är en direkt följd av att dataskyddsförordningen ska börja tillämpas och att personuppgiftslagen kommer att upphävas. Regeringen föreslår bl.a. regler om dataskyddsombud och att domstolsdatalagens förbud mot att använda integritetskänsliga sökbegrepp ska omfatta fler typer av uppgifter. Förslagen innebär en förstärkning av skyddet för enskildas personliga integritet. Lagändringarna föreslås träda i kraft den 25 maj 2018. Innehållsförteckning 1 Förslag till riksdagsbeslut 4 2 Förslag till lag om ändring i domstolsdatalagen (2015:728) 5 3 Ärendet och dess beredning 8 4 Personuppgiftsbehandling i domstol 9 4.1 Gällande bestämmelser om personuppgiftsbehandling i domstol 9 4.2 EU:s dataskyddsreform 10 4.3 Dataskyddslagen 10 4.4 En fortsatt särskild reglering om personuppgiftsbehandling i domstol 10 5 Domstolsdatalagens förhållande till annan reglering 12 5.1 Förhållandet till den generella dataskyddsregleringen 12 5.2 Förhållandet till den föreslagna brottsdatalagen 15 6 Hyres- och arrendenämndernas rättsliga ställning 16 7 Ändamålsbestämmelserna kan behållas 17 8 Ingen förändring av domstolarnas personuppgiftsansvar 19 9 Dataskyddsombud även i den dömande verksamheten 20 10 Bestämmelserna om känsliga personuppgifter anpassas 26 10.1 Dataskyddsförordningen tillåter att domstolarna behandlar känsliga personuppgifter 26 10.2 Begränsning av behandling av känsliga personuppgifter och integritetskänsliga sökningar 29 11 Enskildas rättigheter bör inte begränsas 30 12 Uppgiftsskyldighet i förhållande till allmänheten och den registrerade 35 12.1 Upplysningar till allmänheten 35 12.2 Sekretess ska gå före skyldigheten att informera om personuppgiftsincidenter 35 13 Domstolarnas arkivering 37 13.1 Bestämmelserna i personuppgiftslagen och domstolsdatalagen 37 13.2 Bestämmelserna i dataskyddsförordningen och dataskyddslagen 38 13.3 Dataskyddsförordningen tillåter behandling av personuppgifter för arkivändamål 39 13.4 Behandling av känsliga personuppgifter för arkivändamål 43 13.5 Användningsbegränsningar för arkiverade personuppgifter 43 14 Rättsmedel 44 14.1 Bestämmelser om skadestånd behövs inte i domstolsdatalagen 44 14.2 Bestämmelserna om överklagande i domstolsdatalagen är inte uttömmande 45 15 Ikraftträdande- och övergångsbestämmelser 48 15.1 Bestämmelser som kompletterar dataskyddsförordningen 48 15.2 Behandling av personuppgifter som omfattas av 2016 års dataskyddsdirektiv 49 16 Konsekvenser av förslagen 51 17 Författningskommentar 52 Bilaga 1 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) 57 Bilaga 2 Sammanfattning av departementspromemorian En omarbetad domstolsdatalag - anpassning till EU:s dataskyddsförordning (Ds 2017:41) 145 Bilaga 3 Promemorians lagförslag 149 Bilaga 4 Förteckning över remissinstanserna (Ds 2017:41) 155 Bilaga 5 Sammanfattning av betänkandet Brottsdatalag - kompletterande lagstiftning (SOU 2017:74) 156 Bilaga 6 Förteckning över remissinstanserna (SOU 2017:74) 157 Bilaga 7 Lagrådsremissens lagförslag 158 Bilaga 8 Lagrådets yttrande 161 Utdrag ur protokoll vid regeringssammanträde den 22 februari 2018 162 1 Förslag till riksdagsbeslut Regeringen föreslår att riksdagen antar regeringens förslag till lag om ändring i domstolsdatalagen (2015:728). 2 Förslag till lag om ändring i domstolsdatalagen (2015:728) Härigenom föreskrivs i fråga om domstolsdatalagen (2015:728) dels att 5, 11, 12, 19 och 22 §§ ska upphöra att gälla, dels att rubrikerna närmast före 4, 11 och 12 §§ ska utgå, dels att nuvarande 3 § ska betecknas 5 §, dels att 4, 7, 10, 13, 14 och 20 §§ och rubriken närmast före 10 § ska ha följande lydelse, dels att det ska införas två nya paragrafer, 3 och 11 §§, och närmast före 3 och 11 §§ nya rubriker av följande lydelse. Nuvarande lydelse Föreslagen lydelse Förhållandet till annan reglering 3 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. 4 § Om inte något annat anges i 5 §, gäller denna lag i stället för personuppgiftslagen (1998:204). Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. 7 § Personuppgifter som behandlas enligt 6 § får även behandlas om det behövs för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Personuppgifter som behandlas enligt 6 § får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in. Personuppgiftsombud Dataskyddsombud 10 § Den personuppgiftsansvarige ska utse ett eller flera personuppgiftsombud. Den personuppgiftsansvarige ska utse ett eller flera dataskyddsombud. Den personuppgiftsansvarige ska anmäla till tillsynsmyndigheten enligt personuppgiftslagen (1998:204) när ett personuppgiftsombud utses eller entledigas. Information om personuppgiftsincidenter 11 § Den personuppgiftsansvariges skyldighet att informera den registrerade om en personuppgiftsincident enligt artikel 34 i EU:s dataskyddsförordning gäller inte sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning. 13 § Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personen utifrån sådana uppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter). 14 § Vid sökning i personuppgifter är det förbjudet att som sökbegrepp använda uppgifter som avslöjar 1. ras eller etniskt ursprung, 2. politiska åsikter, 3. religiös eller filosofisk övertygelse, 4. medlemskap i fackförening, 5. hälsa, 6. sexualliv, 7. nationell anknytning, eller 8. brott eller misstanke om brott. Vid sökning i personuppgifter är det förbjudet att använda sökbegrepp som avslöjar känsliga personuppgifter, uppgifter om nationell anknytning eller uppgifter om brott eller misstanke om brott. Användning av särskilda beteckningar för identifiering av en viss mål- eller ärendetyp som sökbegrepp omfattas inte av förbudet i första stycket. 20 § En hovrätts, tingsrätts eller förvaltningsrätts beslut om upplysningar enligt 12 § eller om information till den registrerade enligt 26 § personuppgiftslagen (1998:204) och om rättelse och underrättelse till tredje man enligt 28 § samma lag får överklagas till kammarrätten. En kammarrätts beslut i sådana frågor får överklagas till Högsta förvaltningsdomstolen. Beslut enligt artiklarna 12.5 och 15-21 i EU:s dataskyddsförordning som har meddelats av en hovrätt, tingsrätt eller förvaltningsrätt i egenskap av personuppgiftsansvarig får överklagas till kammarrätten. En kammarrätts beslut i sådana frågor får överklagas till Högsta förvaltningsdomstolen. Högsta domstolens och Högsta förvaltningsdomstolens beslut i frågor som avses i första stycket får inte överklagas. 1. Denna lag träder i kraft den 25 maj 2018. 2. Äldre föreskrifter gäller fortfarande för överklagande av beslut som har meddelats före ikraftträdandet. 3. Äldre föreskrifter gäller fortfarande vid sådan behandling av personuppgifter som avses i artikel 2.2 d i EU:s dataskyddsförordning, i den ursprungliga lydelsen. 3 Ärendet och dess beredning Den 27 april 2016 antogs Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), kallad EU:s dataskyddsförordning. Förordningen, som ska tillämpas från och med den 25 maj 2018, finns i bilaga 1. Chefen för Justitiedepartementet gav i september 2016 en utredare i uppdrag att biträda departementet med att lämna förslag på de författningsändringar som behövs i domstolsdatalagen (2015:728) och domstolsdataförordningen (2015:729) med anledning av dataskyddsförordningen (Ju2016/06265/LP). Uppdraget redovisades i augusti 2017 i departementspromemorian En omarbetad domstolsdatalag - anpassning till EU:s dataskyddsförordning (Ds 2017:41). En sammanfattning av promemorian i relevanta delar finns i bilaga 2, och promemorians lagförslag i relevanta delar finns i bilaga 3. Promemorian har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 4. Remissyttrandena finns tillgängliga i Justitiedepartementet (Ju2017/06965/DOM). I propositionen behandlar regeringen promemorians förslag om anpassning av domstolsdatalagen till dataskyddsförordningen. Övriga delar av promemorian bereds vidare i Regeringskansliet. Regeringen gav i mars 2016 en särskild utredare i uppdrag att föreslå hur EU:s direktiv om skydd av personuppgifter vid brottsbekämpning, brottmålshantering och straffverkställighet ska genomföras i svensk rätt (dir. 2016:21). Utredningen, som tog namnet Utredningen om 2016 års dataskyddsdirektiv, överlämnade i oktober 2017 betänkandet Brottsdatalag - kompletterande lagstiftning (SOU 2017:74). En sammanfattning av betänkandet i relevanta delar finns i bilaga 5. Betänkandet har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 6. Remissyttrandena finns tillgängliga i Justitiedepartementet (Ju2017/07698/L4). I propositionen behandlar regeringen utredningens bedömning att det kan behövas en övergångsreglering i domstolsdatalagen om genomförandet av direktivet fördröjs. Bedömningen innebär att domstolsdatalagen i dess äldre lydelse och personuppgiftslagen (1998:204), förkortad PUL, bör fortsätta att gälla tills vidare för sådan behandling av personuppgifter som undantas från dataskyddsförordningens tillämpningsområde. Övriga delar av betänkandet bereds vidare i Regeringskansliet. Lagrådet Regeringen beslutade den 11 januari 2018 att inhämta Lagrådets yttrande över det lagförslag som finns i bilaga 7. Lagrådets yttrande finns i bilaga 8. Regeringen följer Lagrådets synpunkter, som behandlas i författningskommentaren. I förhållande till lagrådsremissen har även en språklig ändring gjorts. 4 Personuppgiftsbehandling i domstol 4.1 Gällande bestämmelser om personuppgiftsbehandling i domstol 1995 års dataskyddsdirektiv och personuppgiftslagen Den allmänna regleringen om behandling av personuppgifter inom EU finns i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (1995 års dataskyddsdirektiv). Direktivets syfte är att skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter. Syftet är vidare att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU. Sverige har genomfört direktivet främst genom personuppgiftslagen. Lagen har till syfte att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Lagen följer i princip samma struktur som direktivet och innehåller bestämmelser om bl.a. personuppgiftsansvar, grundläggande krav för behandling av personuppgifter och information till den registrerade. Personuppgiftslagen gäller för både myndigheter och enskilda som behandlar personuppgifter. Lagen är subsidiär, vilket innebär att personuppgiftslagens bestämmelser inte ska tillämpas om det finns avvikande bestämmelser i en annan lag eller förordning. Det finns ett stort antal sådana bestämmelser i de sektorsspecifika s.k. registerförfattningar som reglerar myndigheters personuppgiftsbehandling. Personuppgiftslagen kompletteras av bestämmelser i personuppgiftsförordningen (1998:1191) som bl.a. pekar ut Datainspektionen som tillsynsmyndighet. Domstolsdatalagen Sedan den 1 januari 2016 regleras all automatiserad behandling av personuppgifter i den rättskipande och rättsvårdande verksamheten i de allmänna domstolarna, de allmänna förvaltningsdomstolarna och hyres- och arrendenämnderna i domstolsdatalagen. Syftet med lagen är att ge domstolarna och nämnderna möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin rättskipande och rättsvårdande verksamhet och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Lagen innehåller hänvisningar till personuppgiftslagens bestämmelser om bl.a. grundläggande krav på behandling av personuppgifter, överföring av personuppgifter till tredjeland och skadestånd. Kompletterande bestämmelser finns i domstolsdataförordningen. För enkelhetens skull används i fortsättningen domstolarna som samlingsbegrepp för de myndigheter som omfattas av domstolsdatalagens tillämpningsområde. Om inget annat särskilt anges, avses med detta de allmänna domstolarna, de allmänna förvaltningsdomstolarna och hyres- och arrendenämnderna. 4.2 EU:s dataskyddsreform Europeiska kommissionen presenterade 2012 förslag till en genomgripande reform av EU:s regler om skydd för personuppgifter. Förslagen avsåg dels en förordning som ersätter 1995 års dataskyddsdirektiv, dels ett nytt direktiv med särregler för personuppgiftsbehandling som utförs för bl.a. brottsbekämpning, lagföring och straffverkställighet. Dataskyddsförordningen antogs den 27 april 2016. Syftet med förordningen är att skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd för personuppgifter, och att främja det fria flödet av personuppgifter inom unionen. Dataskyddsförordningen kommer från och med den 25 maj 2018 att ersätta 1995 års dataskyddsdirektiv och utgöra den generella regleringen av personuppgiftsbehandling inom EU. Samtidigt med dataskyddsförordningen antogs Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (2016 års dataskyddsdirektiv). Dataskyddsförordningen gäller inte för sådan personuppgiftsbehandling som omfattas av direktivets tillämpningsområde (artikel 2.2 d i dataskyddsförordningen). 4.3 Dataskyddslagen Den föreslagna lagen med kompletterande bestämmelser till EU:s dataskyddsförordning, här kallad dataskyddslagen, innehåller bestämmelser som kompletterar dataskyddsförordningen på ett generellt plan. Lagen reglerar bl.a. frågor om rättslig grund för behandling av personuppgifter, känsliga personuppgifter, tillsynsmyndighetens handläggning och beslut samt skadestånd och överklagande. Dataskyddslagen är subsidiär i förhållande till annan lag eller förordning, vilket möjliggör avvikande bestämmelser i registerförfattningar. Regeringen utgår i denna proposition från att dataskyddslagen kommer att få det innehåll som föreslås i propositionen Ny dataskyddslag (prop. 2017/18:105). 4.4 En fortsatt särskild reglering om personuppgiftsbehandling i domstol Regeringens bedömning: EU:s dataskyddsförordning ger utrymme för en sådan särskild reglering om behandling av personuppgifter som finns i domstolsdatalagen. Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Samtliga remissinstanser instämmer i promemorians bedömning eller har ingen invändning mot den. Skälen för regeringens bedömning: EU-förordningar ska enligt artikel 288 i fördraget om Europeiska unionens funktionssätt ha allmän giltighet och vara till alla delar bindande och direkt tillämpliga i varje medlemsstat. Förordningar gäller alltså fullt ut och med samma innehåll inom hela EU och ska inte genomföras i nationell rätt. En medlemsstat kan dock behålla eller införa nationell lagstiftning på det område som en förordning reglerar om förordningen ger utrymme för det. Även om dataskyddsförordningen är direkt tillämplig så både förutsätter och medger förordningen nationella bestämmelser som kompletterar delar av förordningen genom specificeringar eller undantag. Detta gäller särskilt sådan personuppgiftsbehandling som sker inom den offentliga sektorn. Enligt artikel 6.2 i dataskyddsförordningen får medlemsstaterna behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen genom att närmare fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling. Detta förutsätter emellertid att det är fråga om sådan personuppgiftsbehandling som är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (artikel 6.1 c) eller för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 e). När myndigheter behandlar personuppgifter för att fullgöra sina uppgifter sker det normalt med stöd av de rättsliga grunder som avses i artikel 6.1 c och e i förordningen. I enlighet med skäl 8 till dataskyddsförordningen kan medlemsstaterna dessutom under vissa förutsättningar, och i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga, införliva delar av förordningen i nationell rätt. Enligt artikel 6.3 första stycket i dataskyddsförordningen ska de grunder för behandlingen som avses i artikel 6.1 c och e fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Enligt artikel 6.3 andra stycket ska vidare syftet med behandlingen fastställas i den rättsliga grunden eller, i fråga om behandling enligt artikel 6.1 e, vara nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Den rättsliga grunden kan enligt artikel 6.3 andra stycket innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen. Bestämmelserna kan bl.a. gälla de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas och vilka registrerade som berörs. Bestämmelserna kan vidare gälla de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstider samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling. De särskilda bestämmelserna i den nationella rätten ska i detta avseende uppfylla ett mål av allmänt intresse och vara proportionerliga mot det legitima mål som eftersträvas. Enligt artikel 23 i dataskyddsförordningen får begränsningar ske i nationell rätt av vissa av de rättigheter och skyldigheter som föreskrivs i förordningen. Detta förutsätter dock att begränsningarna sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle. Det förutsätter också att begränsningen sker i syfte att säkerställa något av de ändamål som anges i artikel 23, t.ex. unionens eller en medlemsstats viktiga mål av generellt allmänt intresse eller skydd av rättsväsendets oberoende och rättsliga åtgärder (artikel 23.1 e och f). Regeringen bedömer att det finns ett utrymme att behålla nationell reglering av myndigheters personuppgiftsbehandling. Det måste dock vara fråga om sådana kompletteringar eller undantag till förordningens bestämmelser, eller sådana specifika bestämmelser som kan anses anpassa tillämpningen av förordningens bestämmelser, som är tillåtna enligt förordningen. I domstolsdatalagen finns bestämmelser om bl.a. tillåtna ändamål (6 och 7 §§), tillgången till personuppgifter (8 §), behandling av känsliga personuppgifter (13 §), sökbegränsningar (14 och 15 §§) och elektroniskt utlämnande av personuppgifter (16 och 17 §§). Bestämmelserna innehåller specifika krav för uppgiftsbehandlingen som säkerställer en laglig och rättvis behandling av personuppgifter. Det bedöms därmed vara möjligt att behålla denna typ av kompletterande reglering även när dataskyddsförordningen ska börja tillämpas (artikel 6.2 i dataskyddsförordningen). Det finns dock behov av att ändra bestämmelserna om hur lagen förhåller sig till annan reglering (avsnitt 5). Vidare finns det skäl att överväga om vissa av bestämmelserna i lagen bör ändras eller upphävas med anledning av dataskyddsförordningen (avsnitt 6-14). Domstolsdatalagens bestämmelser om lagens syfte (1 §), lagens tillämpningsområde (2 och 3 §§), tillgången till personuppgifter (8 §) och elektroniskt utlämnande av personuppgifter (16 och 17 §§) behandlas inte särskilt i följande avsnitt. Regeringen instämmer i promemorians bedömning att dessa bestämmelser är förenliga med dataskyddsförordningen och därför inte bör ändras. 5 Domstolsdatalagens förhållande till annan reglering 5.1 Förhållandet till den generella dataskyddsregleringen Regeringens förslag: Domstolsdatalagens bestämmelse om hur lagen förhåller sig till personuppgiftslagen upphävs och alla hänvisningar till personuppgiftslagen tas bort. I domstolsdatalagen införs en bestämmelse som klargör att lagen kompletterar EU:s dataskyddsförordning. Vid behandling av personuppgifter enligt domstolsdatalagen gäller dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av domstolsdatalagen eller föreskrifter som har meddelats i anslutning till den. Promemorians förslag överensstämmer i huvudsak med regeringens. I promemorian föreslås att domstolsdatalagen ska gälla i stället för dataskyddslagen och att det i lagen särskilt ska anges vilka bestämmelser i dataskyddslagen som ska gälla. Remissinstanserna: De flesta av remissinstanserna, såsom Svea hovrätt och Förvaltningsrätten i Stockholm, tillstyrker förslagen eller har ingen invändning mot dem. Dataskydd.net avstyrker förslaget att domstolsdatalagen ska gälla i stället för dataskyddslagen och att det i lagen särskilt ska anges vilka bestämmelser i dataskyddslagen som ska gälla. Dataskydd.net anser att dataskyddslagen bör gälla om inget annat framgår av domstolsdatalagen. Justitiekanslern anser det viktigt att så långt möjligt eftersträva en likartad systematik i alla lagar som reglerar personuppgiftsbehandling och uppmärksammar att vissa andra promemorior och betänkanden tillämpar en annan lagteknisk lösning. Kammarrätten i Göteborg anser att domstolsdatalagens förhållande till dataskyddsförordningen och dataskyddslagen bör framgå redan i inledningen av domstolsdatalagen. Skälen för regeringens förslag Förhållandet till personuppgiftslagen Enligt 4 § domstolsdatalagen gäller den lagen i stället för personuppgiftslagen om inte något annat anges i 5 §. Den senare bestämmelsen innehåller i sin tur hänvisningar till de bestämmelser i personuppgiftslagen som gäller när personuppgifter behandlas enligt domstolsdatalagen eller enligt föreskrifter som har meddelats i anslutning till lagen. Domstolsdatalagen innehåller även andra bestämmelser som hänvisar till personuppgiftslagen. När dataskyddsförordningen börjar tillämpas kommer personuppgiftslagen att upphävas, vilket innebär att hänvisningar till den lagen inte kan finnas kvar. Domstolsdatalagens bestämmelse om hur lagen förhåller sig till personuppgiftslagen bör därför upphävas och alla hänvisningar till personuppgiftslagen tas bort. Förhållandet till dataskyddsförordningen och hänvisningsteknik Dataskyddsförordningen kommer från och med den 25 maj 2018 att utgöra den generella reglering för behandling av personuppgifter som domstolsdatalagen måste anpassas till. Domstolsdatalagen kommer, som konstateras i avsnitt 4.4, att innehålla bestämmelser som kompletterar dataskyddsförordningen. Det bör införas en bestämmelse i lagen som upplyser om detta. Regeringen anser, till skillnad från Kammarrätten i Göteborg, att bestämmelserna om förhållandet till annan reglering på samma sätt som i dag bör placeras efter bestämmelserna om lagens syfte och tillämpningsområde. De hänvisningar till dataskyddsförordningen som föreslås i denna proposition bör vara dynamiska till sin karaktär. Att hänvisningarna är dynamiska innebär att de avser förordningen i den vid varje tidpunkt gällande lydelsen. På så sätt säkerställs att eventuella ändringar i dataskyddsförordningen får omedelbart genomslag. Det kan emellertid inte uteslutas att domstolsdatalagen ändå kan behöva ändras i samband med framtida ändringar i förordningen (prop. 2017/18:105 s. 24 f.). I fråga om övergångsbestämmelserna har särskilda överväganden gjorts och regeringen föreslår i det fallet en statisk hänvisningsteknik (avsnitt 15.2). Förhållandet till dataskyddslagen Dataskyddslagen är, i likhet med personuppgiftslagen, subsidiär i förhållande till bestämmelser om behandling av personuppgifter i andra lagar och förordningar. Domstolsdatalagen gäller i dag i stället för personuppgiftslagen och i lagen anges vilka bestämmelser i personuppgiftslagen som ändå ska tillämpas. I promemorian föreslås att domstolsdatalagen ska ha motsvarande förhållande till dataskyddslagen. Som skäl anförs att regleringen på detta sätt blir tydlig och att bestämmelserna i domstolsdatalagen inte måste jämföras med bestämmelserna i dataskyddslagen för att det ska kunna fastställas vilka regler som är tillämpliga i ett enskilt fall. En annan lagteknisk lösning är att dataskyddslagen gäller inom domstolsdatalagens tillämpningsområde, om inte annat följer av domstolsdatalagen eller föreskrifter som har meddelats i anslutning till den. För en sådan lösning talar att den huvudsakliga regleringen på området, dvs. dataskyddsförordningen, är direkt tillämplig och inte kan göras subsidiär i förhållande till domstolsdatalagen. Domstolsdatalagen kan alltså inte som tidigare innehålla en uttömmande reglering av personuppgiftsbehandling inom lagens tillämpningsområde. Till detta kommer att den kompletterande regleringen på generell nivå, dvs. dataskyddslagen, nära anknyter till bestämmelserna i dataskyddsförordningen. Som Dataskydd.net påpekar riskerar den lagtekniska lösning som föreslås i promemorian därmed, trots ansatsen att skapa tydlighet, att leda till oklarhet om vad som gäller i förhållande till vissa bestämmelser i dataskyddslagen som det enligt förslaget i promemorian saknas hänvisningar till. Det gäller t.ex. sådana bestämmelser i dataskyddslagen som införlivar delar av dataskyddsförordningen i nationell rätt eller upplyser om innehållet i förordningen. Regeringen bedömer att dataskyddslagens bestämmelser i stora delar är relevanta för domstolarnas verksamhet och att det endast i begränsad utsträckning kommer att bli nödvändigt att införa undantag från dataskyddslagens regler i domstolsdatalagen. Vidare föreslår Utredningen om 2016 års dataskyddsdirektiv att direktivet i huvudsak genomförs genom en ny ramlag, brottsdatalagen, som för domstolarnas del kompletteras av en särskild registerförfattning, domstolarnas brottsdatalag. Domstolarnas brottsdatalag ska enligt utredningens förslag gälla utöver brottsdatalagen (SOU 2017:29 s. 141 och SOU 2017:74 s. 513). Regeringen anser att det finns ett värde i att domstolarnas personuppgiftsreglering i lagtekniskt hänseende utformas på ett enhetligt sätt. Som Justitiekanslern påpekar är det även i övrigt viktigt att eftersträva en likartad systematik i de lagar som reglerar personuppgiftsbehandling. Enligt förslag som gäller andra registerförfattningar kommer dataskyddslagen att gälla om inte annat följer av den aktuella registerförfattningen eller föreskrifter som har meddelats i anslutning till den, se t.ex. propositionen Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning (prop. 2017/18:95) och propositionen Anpassning till EU:s dataskyddsförordning av lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar (prop. 2017/18:115). Sammantaget talar alltså övervägande skäl för att dataskyddslagen bör gälla vid behandling av personuppgifter enligt domstolsdatalagen om inte annat följer av domstolsdatalagen eller anslutande föreskrifter. Detsamma bör gälla föreskrifter som har meddelats i anslutning till dataskyddslagen. När det gäller de bestämmelser i personuppgiftslagen som det hänvisas till i 5 § domstolsdatalagen kan det konstateras att dataskyddsförordningen och dataskyddslagen innehåller motsvarigheter till de flesta av dessa. Promemorian innehåller en redogörelse för detta (Ds 2017:41 s. 129-138). Dessa frågor behandlas nedan i den mån de föranleder särskilda överväganden. Det kan också nämnas att även om dataskyddslagen gäller, och det inte finns avvikande bestämmelser i domstolsdatalagen, kan vissa bestämmelser i dataskyddslagen sakna betydelse för domstolarnas behandling av personuppgifter. Som exempel kan nämnas 6 kap. 3 § dataskyddslagen om administrativa sanktionsavgifter vid överträdelser av dataskyddsförordningens reglering av behandling av uppgifter om lagöverträdelser. Sådana bestämmelser blir därmed inte aktuella att tillämpa. Flera av promemorians förslag innebär att domstolsdatalagen ska innehålla en hänvisning till en viss bestämmelse i dataskyddslagen. Dessa förslag behandlas nedan i fråga om enskildas rättigheter (avsnitt 11), användningsbegränsningar för arkiverade personuppgifter (avsnitt 13.5) och skadestånd (avsnitt 14.1). När det gäller övriga hänvisningar instämmer regeringen i promemorians bedömning att aktuella bestämmelser i dataskyddslagen bör gälla i domstolarnas rättskipande och rättsvårdande verksamhet. Att bestämmelserna blir tillämpliga följer av regeringens förslag att dataskyddslagen ska gälla vid behandling av personuppgifter enligt domstolsdatalagen, om inte annat följer av domstolsdatalagen eller anslutande föreskrifter. 5.2 Förhållandet till den föreslagna brottsdatalagen Som redogörs för ovan föreslår Utredningen om 2016 års dataskyddsdirektiv att direktivet i huvudsak genomförs genom en ny ramlag, brottsdatalagen (SOU 2017:29). Domstolsdatalagen gäller för närvarande i domstolarnas hela rättskipande och rättsvårdande verksamhet. Om ingen ändring görs kommer domstolsdatalagen att vara tillämplig på behandling av personuppgifter inom både dataskyddsförordningens och brottsdatalagens tillämpningsområde. Utredningen om 2016 års dataskyddsdirektiv föreslår att en ny lag ska införas som ersätter domstolsdatalagen inom brottsdatalagens tillämpningsområde, domstolarnas brottsdatalag (SOU 2017:74). Domstolsdatalagen föreslås därför inte gälla vid behandling av personuppgifter i de allmänna domstolarna och de allmänna förvaltningsdomstolarna som omfattas av brottsdatalagens tillämpningsområde. Mycket talar för att regleringen av domstolarnas personuppgiftsbehandling lämpligen bör delas upp i två separata regelverk - ett för dataskyddsförordningens område och ett för brottsdatalagens. Regeringen avser dock att återkomma i denna fråga och då även bl.a. behandla frågan om avgränsningen av domstolsdatalagens tillämpningsområde i förhållande till den föreslagna brottsdatalagen. I detta lagstiftningsärende behandlas enbart de anpassningar av domstolsdatalagen som behövs med anledning av dataskyddsförordningen. 6 Hyres- och arrendenämndernas rättsliga ställning Regeringens bedömning: Hyres- och arrendenämnderna är domstolar i EU:s dataskyddsförordnings mening. Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Ett fåtal remissinstanser kommenterar promemorians bedömning medan övriga lämnar den utan invändningar. Hyres- och arrendenämnden i Sundsvall och Sundsvalls tingsrätt framhåller att hyres- och arrendenämndernas sammansättning och uppgifter liknar domstolarnas. Umeå tingsrätt anser att en stor del av personuppgiftsbehandlingen i hyres- och arrendenämnderna sker i verksamhet där det är tveksamt om nämnderna är att betrakta som domstolar i EU-rättslig mening. Tingsrätten nämner ärenden om medling och godkännande av avstående från besittningsskydd som exempel på handläggning som inte innefattar rättskipning i egentlig mening. Skälen för regeringens bedömning: Det finns flera bestämmelser i dataskyddsförordningen som specifikt berör domstolars behandling av personuppgifter. I artikel 9.2 f undantas domstolarnas dömande verksamhet från förbudet att behandla känsliga personuppgifter. Av artikel 37.1 a framgår att den personuppgiftsansvarige inte behöver utse dataskyddsombud när behandlingen av personuppgifter sker som en del av domstolarnas dömande verksamhet. Vidare anges i artikel 55.3 att tillsynsmyndigheterna inte ska vara behöriga att utöva tillsyn över domstolar som behandlar personuppgifter i sin dömande verksamhet. Hyres- och arrendenämnderna har domstolsliknande uppgifter men betraktas enligt svensk rätt som förvaltningsmyndigheter. Nämnderna ingår i Sveriges Domstolar och flera hyres- och arrendenämnders administration är sedan 2006 samordnad med en tingsrätt på samma ort och nämnderna använder samma datasystem som domstolarna. I förarbetena till domstolsdatalagen uttalade regeringen att den nya regleringen bör omfatta hyres- och arrendenämnderna även om de inte är domstolar i formell mening, se propositionen Domstolsdatalag (prop. 2014/15:148 s. 24). Det finns mot bakgrund av regleringen i dataskyddsförordningen anledning att överväga om hyres- och arrendenämnderna ska anses utgöra domstolar i förordningens mening. Skälen till dataskyddsförordningen ger ingen vägledning om hur begreppet domstol ska tolkas. Det kan dock konstateras att EU-domstolen i andra sammanhang använder ett vidare domstolsbegrepp än det svenska. En domstol i en medlemsstat får begära förhandsavgöranden från EU-domstolen i EU-rättsliga frågor (artikel 267 i fördraget om Europiska unionens funktionssätt). EU-domstolen har i olika avgöranden tagit ställning till vilka organ som utgör domstolar enligt denna bestämmelse. Enligt denna praxis ska det beaktas om organet är upprättat enligt lag, om det är av stadigvarande karaktär och om dess jurisdiktion är av tvingande art. Vidare ska det beaktas om förfarandet är kontradiktoriskt, om organet tillämpar rättsregler och om det har en oberoende ställning (dom Gabalfrisa m.fl., C-110/98-C-147/98, EU:C:2000:145, punkt 33). EU-domstolen har konstaterat att Överklagandenämnden för högskolan utgör en domstol i den mening som avses i artikel 267 och därmed har rätt att begära förhandsavgörande (dom Abrahamsson och Andersson, C-407/98, EU:C:2000:367, punkterna 28-38). Skatterättsnämnden har dock inte ansetts utgöra en domstol i artikelns mening (dom Victoria Film, C-134/97, EU:C:1998:535, punkterna 12-19). EU-domstolens praxis som anknyter till artikel 267 bör kunna ge ledning även när det gäller dataskyddsförordningens domstolsbegrepp. Hyres- och arrendenämnderna är inrättade enligt lag och är av stadigvarande karaktär. De består av kvalificerade ledamöter och har en lagfaren ordförande som utses av regeringen. Förfarandet är kontradiktoriskt. Hyres- och arrendenämnderna är behöriga att pröva vissa hyres- och bostadsrättstvister respektive arrendetvister (8 kap. 30 § och 12 kap. 69 § jordabalken samt 1 och 4 §§ lagen [1973:188] om arrendenämnder och hyresnämnder). Denna behörighet att pröva tvister är av tvingande art och besluten är bindande för parterna. Hyres- och arrendenämndernas självständighet vid myndighetsutövning och lagtillämpning garanteras genom 12 kap. 2 § regeringsformen. Sammantaget uppvisar nämndernas uppgifter och ställning stora likheter med de allmänna domstolarnas och de allmänna förvaltningsdomstolarnas (jfr prop. 1987/88:69 om europakonventionen och rätten till domstolsprövning i Sverige s. 36). Detta gäller även med beaktande av att delar av nämndernas verksamhet, såsom medling och godkännande av avstående från besittningsskydd, uppvisar vissa särdrag, vilket tas upp av Umeå tingsrätt. Regeringen bedömer mot denna bakgrund, i likhet med Hyres- och arrendenämnden i Sundsvall och Sundsvalls tingsrätt, att hyres- och arrendenämnderna bör betraktas som domstolar i dataskyddsförordningens mening. När det i förordningen föreskrivs vissa regler för domstolar bör utgångspunkten därför vara att detta gäller även för hyres- och arrendenämnderna. 7 Ändamålsbestämmelserna kan behållas Regeringens bedömning: Domstolsdatalagens verksamhetsspecifika ändamålsbestämmelser är förenliga med EU:s dataskyddsförordning och kan därför behållas. Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: De flesta av remissinstanserna, bl.a. Helsingborgs tingsrätt och Kammarrätten i Göteborg, instämmer i promemorians bedömning eller har ingen invändning mot den. Umeå tingsrätt och Datainspektionen anser att de rättsliga grunderna för domstolarnas personuppgiftsbehandling bör framgå av domstolsdatalagen. Skälen för regeringens bedömning: Domstolsdatalagen innehåller, i likhet med många andra registerförfattningar, verksamhetsspecifika ändamålsbestämmelser som anger den yttersta ram inom vilken personuppgifter får behandlas. Enligt 6 § domstolsdatalagen får domstolarna behandla personuppgifter om det behövs för handläggning av mål och ärenden (primära ändamål). Enligt 7 § får personuppgifter som har samlats in eller på annat sätt behandlas för handläggningen av mål och ärenden även behandlas om det behövs för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning (sekundära ändamål). Ändamålsbestämmelser i lagstiftning som reglerar myndigheters personuppgiftsbehandling är en typ av specifika bestämmelser som anpassar tillämpningen av dataskyddsförordningen och säkerställer en laglig och rättvis behandling. Sådana bestämmelser är tillåtna enligt artikel 6.2 och 6.3 i dataskyddsförordningen. I enlighet med artikel 23.2 a i dataskyddsförordningen ska dessutom, när så är relevant, lagstiftning som begränsar tillämpningsområdet för förordningens rättigheter och skyldigheter innehålla specifika ändamålsbestämmelser. Dataskyddsförordningen ger alltså utrymme för att ha bestämmelser om tillåtna ändamål i nationella registerförfattningar. Regeringen bedömer mot denna bakgrund att de nuvarande ändamålsbestämmelserna i domstolsdatalagen är förenliga med dataskyddsförordningen och därför kan behållas. Umeå tingsrätt och Datainspektionen anser att de rättsliga grunderna för domstolarnas personuppgiftsbehandling bör framgå av domstolsdatalagen. Enligt regeringens förslag kommer bl.a. 2 kap. 1 och 2 §§ dataskyddslagen om rättslig grund att gälla vid behandling av personuppgifter enligt domstolsdatalagen (avsnitt 5.1). Det bedöms därför inte nödvändigt att i domstolsdatalagen införa bestämmelser om rättslig grund för behandling av personuppgifter. Regeringen föreslår i avsnitt 13.3 att den sekundära ändamålsbestämmelsen i 7 § domstolsdatalagen ska kompletteras med en bestämmelse om finalitetsprincipen, som innebär att insamlade personuppgifter inte får behandlas för ändamål som är oförenliga med insamlingsändamålen. 8 Ingen förändring av domstolarnas personuppgiftsansvar Regeringens bedömning: EU:s dataskyddsförordning ger utrymme för en bestämmelse som anger att en allmän domstol, en allmän förvaltningsdomstol eller en hyres- och arrendenämnd är personuppgiftsansvarig för den behandling av personuppgifter som den domstolen eller nämnden utför. Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans invänder mot promemorians bedömning. Domstolsverket anser att utformningen av 9 § domstolsdatalagen har orsakat vissa tillämpningsproblem och att bestämmelsen därför bör ses över. Skälen för regeringens bedömning: Av 9 § domstolsdatalagen framgår att en allmän domstol, en allmän förvaltningsdomstol eller en hyres- och arrendenämnd är personuppgiftsansvarig för den behandling av personuppgifter som den domstolen eller nämnden utför. I förarbetena framhölls att fördelarna med att varje enskild domstol ska vara personuppgiftsansvarig bl.a. är att det blir tydligt för den enskilde vem han eller hon ska vända sig till med klagomål och att det skapas förutsättningar för en effektiv tillsyn av tillsynsmyndigheten. Enligt regeringen skulle ett delat eller gemensamt personuppgiftsansvar (mellan en domstol och Domstolsverket) medföra beaktansvärda nackdelar, inte minst gränsdragningsproblem och otydligheter (prop. 2014/15:148 s. 34). Dataskyddsförordningens reglering om personuppgiftsansvar innebär att det fortfarande är den som ensam eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter som är personuppgiftsansvarig. Om ändamålen och medlen för behandlingen bestäms av medlemsstaternas nationella rätt, kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i medlemsstaternas nationella rätt (artikel 4.7). Förordningen ger alltså möjlighet att fastställa personuppgiftsansvaret i författning. Regeringen bedömer mot denna bakgrund att den nuvarande bestämmelsen om personuppgiftsansvar i domstolsdatalagen är förenlig med dataskyddsförordningen och därför kan behållas. Domstolsverket anser att utformningen av 9 § domstolsdatalagen har orsakat vissa tillämpningsproblem och att bestämmelsen därför bör ses över. Regeringen konstaterar att det saknas underlag för att i detta lagstiftningsärende göra en sådan översyn. 9 Dataskyddsombud även i den dömande verksamheten Regeringens förslag: Den personuppgiftsansvarige ska utse ett eller flera dataskyddsombud. Domstolsdatalagens bestämmelse om att den personuppgiftsansvarige ska anmäla till tillsynsmyndigheten när ett personuppgiftsombud utses eller entledigas upphävs. Domstolsdatalagens bestämmelse om att den som är personuppgiftsombud ska föra en förteckning över personuppgiftsbehandlingar upphävs. Detsamma gäller upplysningsbestämmelsen om att regeringen eller den myndighet som regeringen bestämmer kan meddela närmare föreskrifter om vilka uppgifter en sådan förteckning ska innehålla. Regeringens bedömning: Behandling av personuppgifter i den dömande verksamheten bör inte undantas från dataskyddsombudets ansvarsområde. Promemorians förslag överensstämmer med regeringens. I promemorian görs ingen bedömning. Remissinstanserna: En stor majoritet av remissinstanserna, bl.a. Hovrätten för Västra Sverige, Umeå tingsrätt, Kammarrätten i Stockholm och Förvaltningsrätten i Malmö, tillstyrker eller har ingen invändning mot att dataskyddsombud ska utses även för den dömande verksamheten. Helsingborgs tingsrätt och Domstolsverket anser att en fördel är att gränsdragningsproblem på så sätt kan undvikas. Kammarrätten i Stockholm anser att det ur ett integritetsperspektiv finns ett behov av att domstolarna biträds av en person som är kunnig i dataskyddsbestämmelserna eftersom större delen av domstolarnas kärnverksamhet kommer att vara undantagen från tillsynsmyndighetens tillsyn. Kammarrätten instämmer i promemorians överväganden om att den valda lösningen nog är den bästa, men anser att den kommer att leda till gränsdragningsproblem som bör analyseras ytterligare. Eftersom det finns oklarheter i det aktuella regelverket är det enligt Södertörns tingsrätt svårt att komma ifrån att det någonstans uppstår gränsdragningsproblem. Med hänsyn till att tillsynsmyndigheten inte är behörig att utöva tillsyn över domstolarna i deras dömande verksamhet och att dataskyddsombudets uppgifter enligt dataskyddsförordningen bl.a. är att övervaka efterlevnaden av dataskyddet och att samarbeta med tillsynsmyndigheten, anser Riksdagens ombudsmän att det inte är lämpligt att dataskyddsombud också ska utses i domstolarnas dömande verksamhet. Förvaltningsrätten i Jönköping anser att ombudens ansvar inte bör utvidgas utan ytterligare överväganden och att domarnas självständighet skulle begränsa dataskyddsombudens övervakande roll i en inte obetydlig utsträckning. Förvaltningsrätten i Stockholm väcker frågan om dataskyddsförordningen ska läsas på så sätt att domstolarnas dömande verksamhet helt undantas från förordningens både möjlighet och skyldighet att utse dataskyddsombud. Kammarrätten i Göteborg uppmärksammar att uppdraget som dataskyddsombud ställer höga krav på självständighet och integritet och anser att ombudet lämpligen bör vara ordinarie domare. För att inte belasta domstolens kärnverksamhet anser Hyres- och arrendenämnden i Sundsvall och Sundsvalls tingsrätt att det med fördel kan vara en utomstående lämplig person och inte en på domstolen anställd domare som utses till dataskyddsombud. Dataskydd.net påpekar att bestämmelser om dataskyddsombud redan finns i dataskyddsförordningen och därför inte behöver upprepas i domstolsdatalagen. Skälen för regeringens förslag och bedömning Regleringen i 1995 års dataskyddsdirektiv, personuppgiftslagen och domstolsdatalagen I 1995 års dataskyddsdirektiv finns bestämmelser om motsvarigheten till det som i dataskyddsförordningen kallas för dataskyddsombud. Där framgår att en anmälan om behandling till tillsynsmyndigheten kan underlåtas om den registeransvarige i enlighet med nationell lagstiftning utser ett uppgiftsskyddsombud. Ombudet ska ha till uppgift att på ett oberoende sätt säkerställa den interna tillämpningen av de nationella bestämmelser som antagits till följd av direktivet. Ombudet ska även ha till uppgift att föra ett register över de behandlingar som utförs av den registeransvarige (artikel 18.2 i 1995 års dataskyddsdirektiv). Direktivets bestämmelser har genomförts i svensk rätt genom bestämmelserna om personuppgiftsombud i 37-40 §§ PUL. Enligt domstolsdatalagen ska den personuppgiftsansvarige utse ett eller flera personuppgiftsombud. Den personuppgiftsansvarige ska anmäla till tillsynsmyndigheten när ett personuppgiftsombud utses eller entledigas (10 § domstolsdatalagen). Den som är personuppgiftsombud ska föra en förteckning över de behandlingar som utförs med stöd av domstolsdatalagen (11 §). Personuppgiftslagens bestämmelser om personuppgiftsombudets uppgifter gäller i domstolarnas verksamhet (5 § första stycket 9 domstolsdatalagen). Regleringen i dataskyddsförordningen I dataskyddsombudets uppgifter ingår att informera den personuppgiftsansvarige eller personuppgiftsbiträdet och de anställda om deras skyldigheter enligt dataskyddsförordningen och andra dataskyddsbestämmelser. Ombudet ska också bl.a. övervaka att förordningen följs och samarbeta med tillsynsmyndigheten (artikel 39 i dataskyddsförordningen). I artiklarna 37.5 och 38 finns bestämmelser om dataskyddsombudets kvalifikationer och ställning. Enligt artikel 37.1 i dataskyddsförordningen ska den personuppgiftsansvarige under alla omständigheter utnämna ett dataskyddsombud när behandling av personuppgifter genomförs av en myndighet eller ett offentligt organ, förutom när detta sker som en del av domstolarnas dömande verksamhet. I andra fall än de som avses i artikel 37.1 får eller, om så krävs enligt unionsrätten eller medlemsstaternas nationella rätt, ska den personuppgiftsansvarige utnämna ett dataskyddsombud (artikel 37.4). Bör domstolarnas dömande verksamhet undantas från dataskyddsombudets ansvarsområde? Ett personuppgiftsombud som utses enligt domstolsdatalagen har i dag ett ansvarsområde som omfattar behandling av personuppgifter inom hela den rättskipande och rättsvårdande verksamheten. Enligt dataskyddsförordningen finns det ingen skyldighet att utse dataskyddsombud när behandling av personuppgifter sker som en del av domstolarnas dömande verksamhet. Undantaget motiveras inte särskilt i skälen till dataskyddsförordningen (jfr skäl 97). Det kan dock noteras att ett likartat undantag när det gäller tillsynsmyndighetens behörighet har införts i syfte att säkerställa domstolsväsendets oberoende när det utför sin rättskipande verksamhet (skäl 20). Förvaltningsrätten i Stockholm väcker frågan om huruvida dataskyddsförordningen ska läsas på så sätt att domstolarnas dömande verksamhet helt undantas från både möjligheten och skyldigheten att utse dataskyddsombud. Regeringen bedömer dock att artikel 37.4 ger möjlighet att föreskriva att den personuppgiftsansvarige ska utse dataskyddsombud även i den dömande verksamheten. Det finns inget i skälen till dataskyddsförordningen som motsäger en sådan tolkning. Det kan i detta sammanhang noteras att medlemsstaterna enligt artikel 32.1 i 2016 års dataskyddsdirektiv får undanta domstolars dömande verksamhet från skyldigheten att utse dataskyddsombud. Någon skyldighet att undanta den dömande verksamheten finns dock inte enligt direktivet och det framstår som rimligt att dataskyddsförordningen ska förstås på samma sätt. Det är mot denna bakgrund som det bör övervägas om den nuvarande ordningen ska behållas eller om den dömande verksamheten bör undantas från dataskyddsombudets ansvarsområde. I förarbetena till domstolsdatalagen framhölls att hanteringen av personuppgifter i den rättskipande och rättsvårdande verksamheten indirekt begränsas av de processuella regelverken och att risken för att det i verksamheten utförs obefogade integritetskänsliga behandlingar därför får anses vara mindre än inom t.ex. polisen. Regeringen ansåg dock att det finns flera fördelar med att göra det obligatoriskt för domstolarna att utse personuppgiftsombud. Ett personuppgiftsombud torde ofta få särskilda kunskaper om personuppgiftsfrågor och kan ge god service åt enskilda för att kunna ta tillvara sin rätt. Personuppgiftsombudet kan också bidra till kunskapsspridningen inom sin domstol och vara ett stöd för andra myndigheter. I syfte att åstadkomma ett stärkt integritetsskydd ansåg regeringen av dessa skäl att domstolarna borde vara skyldiga att utse ett eller flera personuppgiftsombud (prop. 2014/15:148 s. 91). Regleringen i domstolsdatalagen framstår som ändamålsenlig och det är inte känt att den har medfört några problem. Regeringen bedömer att ombuden fortfarande är av central betydelse för skyddet för den personliga integriteten, även i den dömande verksamheten. Dataskyddsförordningens möjlighet att göra undantag för den dömande verksamheten bör därför utnyttjas endast om det finns särskilda skäl för det. Som skäl mot att ha dataskyddsombud i den dömande verksamheten kan anföras att det riskerar att inskränka domstolarnas och domarnas självständighet. Förvaltningsrätten i Jönköping anser i linje med detta att domarnas självständighet skulle begränsa dataskyddsombudens övervakande roll i en inte obetydlig utsträckning. På det sätt dataskyddsombudets uppgifter beskrivs i dataskyddsförordningen bedömer regeringen dock att ombudets roll gentemot den personuppgiftsansvarige och dess medarbetare i första hand är rådgivande. Ett dataskyddsombud ska visserligen följa upp att förordningen efterlevs, men denna kontroll torde vara inriktad på dataskyddsfrågor av betydelse för verksamheten i stort. Dataskyddsombudets ansvarsområde bör mot denna bakgrund kunna omfatta den dömande verksamheten utan att inskränka domarnas oberoende. Om dataskyddsombud ska utses även för den dömande verksamheten kan det uppstå vissa gränsdragningsproblem, vilket tas upp i promemorian och av Kammarrätten i Stockholm. Dataskyddsombudet ska enligt artikel 39.1 d och e i dataskyddsförordningen samarbeta med och fungera som kontaktpunkt för tillsynsmyndigheten. Tillsynsmyndighetens behörighet enligt artikel 55.3 omfattar emellertid inte domstolarnas dömande verksamhet, vilket torde innebära att dataskyddsombudet inte kan förväntas samråda med tillsynsmyndigheten i fråga om personuppgiftsbehandling som sker i denna verksamhet. De gränsdragningsproblem som kan uppstå i detta sammanhang framstår dock som mindre än de som skulle bli följden av att dataskyddsombudet över huvud taget inte ska verka inom den dömande verksamheten. Som Södertörns tingsrätt påpekar är det svårt att komma ifrån att det någonstans uppstår gränsdragningsproblem som har att göra med förordningens undantag för dömande verksamhet. Innebörden av uttrycket domstolarnas dömande verksamhet berörs inte i artikel 37.1 i dataskyddsförordningen eller i skälen till den bestämmelsen. Enligt regeringen bör begreppet i första hand tolkas mot bakgrund av övriga bestämmelser i förordningen och skälen till dessa. Tillsynsmyndigheterna ska enligt artikel 55.3 i dataskyddsförordningen inte vara behöriga att utöva tillsyn över domstolar som behandlar personuppgifter i sin dömande verksamhet. Syftet med denna bestämmelse är enligt skäl 20 till förordningen att säkerställa domstolsväsendets oberoende när det utför sin rättskipande verksamhet, inbegripet när det fattar beslut. Avsikten med bestämmelsen synes alltså vara att undanta hela den rättskipande verksamheten, i vilken beslutsfattande ingår som en av flera delar. Enligt artikel 9.2 f i dataskyddsförordningen är behandling som sker som en del av domstolarnas dömande verksamhet undantagen från förbudet mot att behandla känsliga personuppgifter. Domstolarna har behov av att behandla känsliga personuppgifter redan från det att ett mål inleds, vilket talar för att bestämmelsen tar sikte på all handläggning av mål i domstol. Dataskyddsförordningens övriga bestämmelser och skälen till dessa ger således visst stöd för att begreppet dömande verksamhet i artikel 37.1 väsentligen motsvarar det som i domstolsdatalagen betecknas som rättskipande och rättsvårdande verksamhet. Den närmare innebörden av begreppet får dock betraktas som oklar och bör överlämnas till rättstillämpningen att utveckla. Om den dömande verksamheten undantas från dataskyddsombudets ansvarsområde skulle det därmed, i vart fall inledningsvis, vara otydligt vilka delar av domstolarnas verksamhet som dataskyddsombuden ska verka inom, vilket påtalas av Helsingborgs tingsrätt och Domstolsverket. Dataskyddsförordningens reglering är mer utförlig än 1995 års dataskyddsdirektivs och personuppgiftslagens reglering vad gäller ombudets kvalifikationer och arbetsuppgifter. Även förhållandet till den personuppgiftsansvarige och dennes skyldigheter gentemot ombudet beskrivs mer detaljerat i förordningen. Regeringen bedömer dock att regleringen i dataskyddsförordningen inte innebär någon större skillnad i sak vad gäller de uppgifter som ett dataskyddsombud förväntas utföra. Det som främst kommer att orsaka merarbete jämfört med i dag är troligtvis det faktum att det införs helt ny och relativt komplicerad lagstiftning på området. Detta talar i sig för att ombudets ansvarsområde ska omfatta domstolarnas hela kärnverksamhet, eftersom intern sakkunskap inom rättsområdet bidrar till att upprätthålla skyddet för de registrerades integritet. Som anförs ovan ska tillsynsmyndigheten enligt artikel 55.3 i dataskyddsförordningen inte vara behörig att utöva tillsyn över domstolar som behandlar personuppgifter i sin dömande verksamhet. Detta innebär att i vart fall delar av domstolarnas kärnverksamhet kommer att vara undantagen från sådan tillsyn som sker enligt dataskyddsförordningen. Som Kammarrätten i Stockholm är inne på finns det ur ett integritetsperspektiv därför ett ökat behov av att domstolarna biträds av en person som har goda kunskaper om dataskyddsbestämmelserna. Regeringen anser sammantaget - i enlighet med promemorians förslag och i likhet med Helsingborgs tingsrätt, Förvaltningsrätten i Malmö och Domstolsverket - att ombudets arbetsuppgifter även i fortsättningen bör omfatta domstolarnas dömande verksamhet. Domstolsdatalagens bestämmelse om att den personuppgiftsansvarige ska utse ett eller flera personuppgiftsombud bör därför behållas. Till skillnad från Riksdagens ombudsmän anser regeringen att en sådan ordning framstår som lämplig även med beaktande av dataskyddsförordningens reglering av tillsynsmyndighetens behörighet och dataskyddsombudets uppgifter. Som en följd av dataskyddsförordningens begreppsbildning bör ordet personuppgiftsombud i bestämmelsen ersättas med ordet dataskyddsombud. I artikel 37 i dataskyddsförordningen anges att den personuppgiftsansvarige ska utse ett dataskyddsombud. Enligt regeringens mening bör bestämmelsen inte tolkas så att endast ett ombud får utses. Den nuvarande möjligheten för domstolen att utse fler än ett ombud kan därför behållas. Dataskydd.net påpekar att bestämmelser om dataskyddsombud redan finns i dataskyddsförordningen och därför inte behöver upprepas i domstolsdatalagen. Som anförs ovan medför dataskyddsförordningen emellertid ingen skyldighet för domstolarna att utse dataskyddsombud när behandlingen av personuppgifter sker som en del av den dömande verksamheten. Det behövs därför en nationell föreskrift när det gäller den dömande verksamheten. För att göra regeln om dataskyddsombud i domstolsdatalagen begriplig bör den enligt regeringens mening omfatta lagens hela tillämpningsområde. Kammarrätten i Göteborg uppmärksammar att uppdraget som dataskyddsombud ställer höga krav på självständighet och integritet och anser att ombudet lämpligen bör vara ordinarie domare. Hyres- och arrendenämnden i Sundsvall och Sundsvalls tingsrätt anser å sin sida att det med fördel kan vara en utomstående lämplig person och inte en på domstolen anställd domare som utses till dataskyddsombud. Regeringen konstaterar att dataskyddsförordningen ger utrymme för båda dessa alternativ (artikel 37.6). Det är upp till den enskilda domstolen att avgöra vem som lämpligen bör utses till dataskyddsombud. Anmälan till tillsynsmyndigheten Enligt 10 § andra stycket domstolsdatalagen ska den personuppgiftsansvarige anmäla till tillsynsmyndigheten när ett personuppgiftsombud utses eller entledigas. Den personuppgiftsansvariges anmälningsskyldighet framgår direkt av artikel 37.7 i dataskyddsförordningen. Bestämmelsen i domstolsdatalagen bör därför upphävas. Förteckning över personuppgiftsbehandlingar Enligt domstolsdatalagen ska den som är personuppgiftsombud föra en förteckning över de behandlingar som utförs med stöd av lagen. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om vilka uppgifter en sådan förteckning ska innehålla (11 § domstolsdatalagen). Enligt personuppgiftslagen ska den personuppgiftsansvarige anmäla till tillsynsmyndigheten vilka behandlingar som kommer att utföras (36 § PUL). Om den personuppgiftsansvarige har anmält till tillsynsmyndigheten att ett personuppgiftsombud har utsetts, behöver en sådan anmälan dock inte göras (37 § PUL). Dataskyddsförordningens bestämmelser ser något annorlunda ut. Det finns inte längre någon anmälningsskyldighet för personuppgiftsbehandlingar. Dataskyddsombudets uppgifter enligt förordningen innefattar inte heller att föra en förteckning över sådana behandlingar. I stället har den personuppgiftsansvarige (och i tillämpliga fall personuppgiftsbiträdet) en skyldighet att föra ett register över den personuppgiftsbehandling som utförs under dess ansvar. Den personuppgiftsansvarige ska på begäran göra registret tillgängligt för tillsynsmyndigheten (artikel 30 i dataskyddsförordningen). Ansvaret för att föra en förteckning över personuppgiftsbehandlingar har alltså flyttats från personuppgiftsombudet till den personuppgiftsansvarige. Domstolsdatalagens bestämmelse om att den som är personuppgiftsombud ska föra en förteckning över personuppgiftsbehandlingar bör därför upphävas. Detsamma gäller upplysningsbestämmelsen om att regeringen eller den myndighet som regeringen bestämmer kan meddela närmare föreskrifter om vilka uppgifter en sådan förteckning ska innehålla. 10 Bestämmelserna om känsliga personuppgifter anpassas 10.1 Dataskyddsförordningen tillåter att domstolarna behandlar känsliga personuppgifter Regeringens bedömning: EU:s dataskyddsförordning innebär att känsliga personuppgifter får behandlas inom domstolsdatalagens tillämpningsområde. Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Datainspektionen anser att det i domstolsdatalagen bör göras en hänvisning till artikel 9.2 f och g i dataskyddsförordningen för att klargöra med vilket stöd behandlingen av känsliga personuppgifter sker. Övriga remissinstanser har inga invändningar mot bedömningen. Skälen för regeringens bedömning: Dataskyddsförordningen innehåller i likhet med 1995 års dataskyddsdirektiv och personuppgiftslagen ett principiellt förbud mot att behandla vissa särskilda kategorier av personuppgifter (artikel 9.1 i dataskyddsförordningen). Förbudet omfattar uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Artikel 9.1 i förordningen omfattar nya kategorier av uppgifter jämfört med motsvarande bestämmelse i 1995 års dataskyddsdirektiv (artikel 8.1 i direktivet). Direktivets bestämmelse innefattar inte genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person eller uppgifter om en persons sexuella läggning. Artikel 8.1 i direktivet har genomförts i svensk rätt genom 13 § PUL, som är avsedd att ha samma innebörd som direktivets bestämmelse, se propositionen Personuppgiftslag (prop. 1997/98:44 s. 122 f.). Uppgifter om sexuell läggning har i svensk rätt ansetts ingå i begreppet sexualliv och införandet av det uttrycket i förordningen innebär således inte någon egentlig utvidgning från svenskt perspektiv, se propositionen Behandling av personuppgifter inom kriminalvården (prop. 2000/01:126 s. 31) och propositionen Ett starkare skydd mot diskriminering (prop. 2007/08:95 s. 125-129). Tillägget av genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person utgör dock en utvidgning jämfört med den nuvarande ordningen. I rubriken till artikel 9 i dataskyddsförordningen anges att bestämmelsen avser behandling av särskilda kategorier av personuppgifter. I skäl 10 och 51 omnämns dessa uppgifter i stället som känsliga respektive särskilt känsliga uppgifter. I personuppgiftslagen och andra svenska författningar används benämningen känsliga personuppgifter. Den benämningen är väl inarbetad, även på EU-nivå, och är språkligt lättare att använda och förstå, inte minst i författningstext. Regeringen anser därför att uttrycket känsliga personuppgifter bör användas som samlingsbenämning för sådana uppgifter som tillhör de särskilda kategorier av personuppgifter som avses i artikel 9 i dataskyddsförordningen (prop. 2017/18:105 s. 75). Dataskyddsförordningens förbud mot behandling av känsliga personuppgifter kompletteras av ett antal undantag som tillåter sådan behandling i vissa fall. Ett av undantagen innebär att förbudet inte gäller om behandlingen är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk eller som en del av domstolarnas dömande verksamhet (artikel 9.2 f i dataskyddsförordningen). Det första ledet i bestämmelsen har en motsvarighet i 1995 års dataskyddsdirektiv, där det bl.a. framgår att förbudet mot att behandla känsliga personuppgifter inte gäller om behandlingen är nödvändig för att kunna fastslå, göra gällande eller försvara rättsliga anspråk (artikel 8.2 e i direktivet). Motsvarande framgår av personuppgiftslagen (16 § första stycket c). Det uttryckliga undantaget för domstolarnas dömande verksamhet är en nyhet i dataskyddsförordningen. Enligt dataskyddsförordningen får känsliga personuppgifter alltså behandlas om det är nödvändigt för att fastställa, göra gällande eller försvara rättsliga anspråk. Själva behandlingen behöver inte gå ut på att fastställa, göra gällande eller försvara sådana anspråk. Det är tillräckligt att behandlingen är nödvändig för att någon, t.ex. den personuppgiftsansvarige, ska kunna göra detta. Denna grund för behandling av känsliga personuppgifter återspeglar tydligt den kärnverksamhet som bedrivs i domstolarna och som, vad gäller personuppgiftsbehandlingen, kommer till uttryck i domstolsdatalagens ändamålsbestämmelser (prop. 2014/15:148 s. 48). I dataskyddsförordningen anges dessutom uttryckligen att domstolarnas dömande verksamhet är undantagen från förbudet mot att behandla känsliga personuppgifter. Regeringen bedömer mot denna bakgrund att bestämmelsen i artikel 9.2 f i dataskyddsförordningen innebär att känsliga personuppgifter får behandlas i domstolarnas rättskipande och rättsvårdande verksamhet. Enligt domstolsdatalagens sekundära ändamålsbestämmelse får personuppgifter som behandlas för handläggningen av mål och ärenden även behandlas om det behövs för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning (7 §). Genom bestämmelsen tillåts domstolarna, även i andra fall än när det krävs enligt offentlighetsprincipen, att behandla personuppgifter för att kunna lämna uppgifter till utomstående eller till en annan del av verksamheten. Det kan röra sig om situationer där domstolarna enligt bestämmelser i olika författningar är skyldiga att lämna uppgifter till utpekade myndigheter, t.ex. uppgifter om domar i upphandlingsmål till Konkurrensverket. En domstol har också enligt 6 kap. 5 § offentlighets- och sekretesslagen (2009:400), förkortad OSL, en skyldighet att på begäran av en annan myndighet lämna uppgift som domstolen förfogar över, om uppgiften inte är sekretessbelagd eller det skulle hindra arbetets behöriga gång. Bestämmelsen tillåter emellertid även att personuppgifter behandlas för att kunna lämnas ut i situationer då det inte finns någon uttrycklig skyldighet att lämna ut uppgifterna. Det kan t.ex. vara fråga om en åtgärd som vidtas för att fullgöra serviceskyldigheten gentemot enskilda enligt 4 § förvaltningslagen (1986:223), se prop. 2014/15:148 s. 108 f. I promemorian görs bedömningen att den behandling av personuppgifter som sker med stöd av domstolsdatalagens sekundära ändamålsbestämmelse inte kan anses nödvändig i den dömande verksamheten eller för att fastställa rättsliga anspråk. Sådan behandling av känsliga personuppgifter skulle enligt promemorian i stället kunna ske med stöd av artikel 9.2 g i dataskyddsförordningen om behandling som är nödvändig för ett viktigt allmänt intresse. Regeringen bedömer emellertid att sådant uppgiftslämnande som omfattas av bestämmelsen i 7 § domstolsdatalagen är en del av domstolarnas kärnverksamhet och i den meningen är nödvändigt för att fastställa rättsliga anspråk (jfr prop. 2014/15:148 s. 48). I den mån uppgiftslämnandet omfattar behandling av känsliga personuppgifter är behandlingen därför tillåten enligt artikel 9.2 f i dataskyddsförordningen. Det kan också nämnas att dataskyddslagen innehåller en generellt tillämplig bestämmelse om myndigheters behandling av känsliga personuppgifter i vissa fall (3 kap. 3 § första stycket). Bestämmelsen har sin grund i dataskyddsförordningens bestämmelse om behandling som är nödvändig med hänsyn till ett viktigt allmänt intresse. Enligt bestämmelsen får känsliga personuppgifter behandlas av en myndighet med stöd av artikel 9.2 g i dataskyddsförordningen (1) om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag, (2) om behandlingen är nödvändig för handläggningen av ett ärende eller (3) i annat fall, om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Enligt regeringens förslag kommer dataskyddslagen att gälla vid behandling av personuppgifter enligt domstolsdatalagen, om inte annat följer av domstolsdatalagen eller anslutande föreskrifter (avsnitt 5.1). Bestämmelsen i 3 kap. 3 § första stycket dataskyddslagen kan bli aktuell att tillämpa om en domstols behandling av känsliga personuppgifter i något fall inte kan ske med stöd av artikel 9.2 f i dataskyddsförordningen. Eftersom frågan om sökbegränsningar är särskilt reglerad i domstolsdatalagen blir det emellertid inte aktuellt att tillämpa 3 kap. 3 § andra stycket dataskyddslagen om förbud att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Datainspektionen anser att det i domstolsdatalagen bör göras en hänvisning till artikel 9.2 f och g i dataskyddsförordningen för att klargöra med vilket stöd behandlingen av känsliga personuppgifter sker. Regeringen bedömer att en sådan hänvisning är överflödig. 10.2 Begränsning av behandling av känsliga personuppgifter och integritetskänsliga sökningar Regeringens förslag: Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personen utifrån sådana uppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning. Vid sökning i personuppgifter är det som huvudregel förbjudet att använda sökbegrepp som avslöjar sådana uppgifter som avses i artikel 9.1 i dataskyddsförordningen, uppgifter om nationell anknytning eller uppgifter om brott eller misstanke om brott. Domstolsdatalagens bestämmelser om behandling av känsliga personuppgifter och sökförbud utvidgas till att omfatta genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en person och uppgifter om en persons sexuella läggning. Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Det stora flertalet remissinstanser, bl.a. Södertörns tingsrätt och Justitiekanslern, tillstyrker promemorians förslag eller har ingen invändning mot det. Förvaltningsrätten i Stockholm påpekar att de sökbegränsningar som föreslås går längre än kraven i dataskyddsförordningen och är tveksam till bedömningen att förordningen inte hindrar mer restriktiva bestämmelser för myndigheternas personuppgiftsbehandling än vad som följer av förordningen. Helsingborgs tingsrätt anser att hänvisningen till artikel 9.1 i dataskyddsförordningen innebär att lagstiftningen kommer att brista i tydlighet och att det därför bör övervägas att i stället komplettera den nuvarande uppräkningen med de tre nya kategorierna av uppgifter som numera ingår i begreppet känsliga personuppgifter. Skälen för regeringens förslag: Regleringen i domstolsdatalagen innebär att behandling av känsliga personuppgifter som utgångspunkt är tillåten och begränsas endast genom de grundläggande kraven för behandling av personuppgifter och de verksamhetsspecifika ändamålsbestämmelserna. Uppgifter om en person får dock inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv (13 § domstolsdatalagen). Syftet med bestämmelsen är att minimera riskerna för att känsliga personuppgifter missbrukas (prop. 2014/15:148 s. 49 f.). Enligt domstolsdatalagen är det vid sökning i personuppgifter som huvudregel förbjudet att som sökbegrepp använda uppgifter som avslöjar känsliga personuppgifter, nationell anknytning eller brott eller misstanke om brott (14 §). Regeringen uttalade i förarbetena att det finns risker med att tillåta domstolspersonalen att använda känsliga sökbegrepp, inte minst eftersom allmänheten med stöd av offentlighetsprincipen därigenom får möjlighet att begära att domstolspersonalen ska använda dessa sökbegrepp för att sammanställa och lämna ut personuppgifter (prop. 2014/15:148 s. 62). Domstolsdatalagens bestämmelser om begränsning av behandling av känsliga personuppgifter och sökförbud har införts i syfte att skydda den personliga integriteten. Som Förvaltningsrätten i Stockholm påpekar är sökbegränsningarna mer långtgående än vad dataskyddsförordningen kräver. Regeringen bedömer dock att bestämmelserna om begränsning av behandling av känsliga personuppgifter och sökförbud är sådana specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen, som är tillåtna enligt artikel 6.2 i förordningen. Av skäl 10 till förordningen framgår att medlemsstaternas handlingsutrymme att specificera sina bestämmelser även gäller för behandlingen av känsliga personuppgifter. Reglerna i domstolsdatalagen kan därför behållas, men behöver anpassas till den utvidgade innebörd av begreppet känsliga personuppgifter som gäller enligt dataskyddsförordningen. Detta kan lämpligen göras genom en hänvisning till artikel 9.1 i dataskyddsförordningen, där de särskilda kategorierna av personuppgifter räknas upp. Helsingborgs tingsrätt anser att en sådan lösning innebär att lagstiftningen kommer att brista i tydlighet. Regeringen har förståelse för denna synpunkt men anser att det finns ett värde i att domstolsdatalagen uttryckligen knyter an till de grundläggande bestämmelser om behandling av känsliga personuppgifter som finns i dataskyddsförordningen. 11 Enskildas rättigheter bör inte begränsas Regeringens bedömning: Domstolsdatalagen bör inte innehålla några undantag från den registrerades rättigheter enligt artiklarna 13-19 och 21 i EU:s dataskyddsförordning. Promemorians bedömning överensstämmer i huvudsak med regeringens. Promemorians bedömning gäller dock artiklarna 16-19 och 21 i dataskyddsförordningen. I övrigt lämnas förslag i promemorian som i sak överensstämmer med regeringens bedömning. Remissinstanserna: De flesta av remissinstanserna, såsom Svea hovrätt och Sveriges advokatsamfund, är positiva till promemorians förslag och bedömning eller har ingen invändning mot dem. Förvaltningsrätten i Stockholm anser att det finns behov av undantag från rätten till tillgång till personuppgifter enligt artikel 15 i dataskyddsförordningen, utöver vad som följer av 5 kap. 2 § dataskyddslagen. Förvaltningsrätten anser också att regelverket skulle bli tydligare och mer lättillgängligt om domstolsdatalagen påminner om de undantag från de registrerades rättigheter som finns i artiklarna 16-19, 21 och 22 i dataskyddsförordningen. Förvaltningsrätten i Malmö och Domstolsverket tar upp frågan om hur sökförbudet avseende direkta personuppgifter i 4 § domstolsdataförordningen förhåller sig till rätten till registerutdrag enligt artikel 15 i dataskyddsförordningen. Skälen för regeringens bedömning Kapitel III i dataskyddsförordningen innehåller en omfattande reglering av den registrerades rättigheter. Det finns bestämmelser om bl.a. information och tillgång till uppgifter, rättelse och radering, begränsning av behandling och rätt att göra invändningar. Förordningen innehåller flera direkt tillämpliga undantag från de rättigheter som föreskrivs. Förvaltningsrätten i Stockholm anser att domstolsdatalagen bör påminna om dessa undantag för att göra regelverket tydligare och mer lättillgängligt. Regeringen anser dock att det inte finns tillräckliga skäl för att införa en sådan upplysningsbestämmelse. Enligt artikel 23.1 i dataskyddsförordningen finns det en generell möjlighet att i nationell rätt begränsa tillämpningsområdet för bestämmelserna om den registrerades rättigheter. Sådana begränsningar måste göras med respekt för andemeningen i de grundläggande rättigheterna och friheterna och vara en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa vissa angivna viktiga intressen. I detta avsnitt behandlas frågan om huruvida det finns behov av att i domstolsdatalagen införa särskilda regler om begränsningar av enskildas rättigheter enligt dataskyddsförordningen. Information och tillgång till personuppgifter Av 5 § första stycket 5 domstolsdatalagen framgår att bestämmelser om information till den registrerade i 23 och 25-27 §§ PUL gäller vid tillämpning av lagen. Däremot hänvisas inte till 24 § PUL om information som ska lämnas om personuppgifter som har samlats in från någon annan källa än den registrerade. Artiklarna 13 och 14 i dataskyddsförordningen reglerar vilken information som ska lämnas till den registrerade och har i allt väsentligt motsvarande innebörd som 23 och 24 §§ PUL, även om omfattningen av den information som ska tillhandahållas har utvidgats. Artikel 15 i dataskyddsförordningen reglerar den registrerades rätt till tillgång till personuppgifter och motsvarar 26 § PUL om information som ska lämnas efter ansökan (s.k. registerutdrag). I dataskyddslagen finns undantag från vissa av dataskyddsförordningens rättigheter och skyldigheter. Artiklarna 13-15 i dataskyddsförordningen om information och rätt att få tillgång till personuppgifter gäller inte sådana uppgifter som omfattas av sekretess eller tystnadsplikt (5 kap. 1 § första stycket dataskyddslagen). Vidare gäller rätten till registerutdrag som huvudregel inte personuppgifter som finns i löpande text som inte har fått sin slutliga utformning eller som utgör minnesanteckning eller liknande (5 kap. 2 §). Bestämmelserna, som motsvarar 26 § tredje stycket och 27 § PUL, bör gälla även när personuppgifter behandlas enligt domstolsdatalagen. I promemorian föreslås mot denna bakgrund att domstolsdatalagen ska innehålla hänvisningar till bestämmelserna i dataskyddslagen. Att bestämmelserna i 5 kap. 1 § första stycket och 2 § dataskyddslagen blir tillämpliga följer emellertid redan av regeringens förslag att dataskyddslagen ska gälla vid behandling av personuppgifter enligt domstolsdatalagen, om inte annat följer av domstolsdatalagen eller anslutande föreskrifter (avsnitt 5.1). Förvaltningsrätten i Stockholm tar upp frågan om hur informationsskyldigheten enligt artikel 15 i dataskyddsförordningen ska kunna fullföljas i fråga om personuppgifter i löptext i domstolarnas domar och anser att det finns behov av undantag för sådana uppgifter. Det kan konstateras att 5 a § PUL om undantag för behandling av personuppgifter i ostrukturerat material för närvarande inte gäller i domstolarnas rättskipande och rättsvårdande verksamhet (jfr 5 § domstolsdatalagen och prop. 2014/15:148 s. 28). Regleringen innebär således att rätten till registerutdrag enligt 26 § PUL i princip även omfattar uppgifter som endast förekommer i löptext. Detta har dock inte ansetts innebära några skyldigheter för domstolarna att inrätta sökfunktioner eller andra sammanställningsfunktioner endast för att kunna lämna så fullständig information som möjligt till den registrerade (prop. 2014/15:148 s. 105). Ett sådant synsätt har även stöd i artikel 11 i dataskyddsförordningen, enligt vilken den personuppgiftsansvarige inte är tvungen att behandla ytterligare information för att identifiera den registrerade endast i syfte att följa förordningen. Om den personuppgiftsansvarige inte kan identifiera den registrerade, ska den personuppgiftsansvarige om möjligt informera den registrerade om detta. I sådana fall ska bl.a. artikel 15 om rätten till tillgång till personuppgifter inte gälla, förutom när den registrerade tillhandahåller ytterligare information som gör identifieringen möjlig. Regeringen anser mot denna bakgrund att det saknas skäl att i domstolsdatalagen införa ytterligare begränsningar av rätten till registerutdrag utöver vad som följer av dataskyddslagen. I 4 § domstolsdataförordningen finns en bestämmelse som begränsar domstolars möjligheter att använda direkta personuppgifter som sökbegrepp vid sökning i slutligt avgjorda brottmål. Förvaltningsrätten i Malmö och Domstolsverket väcker frågan om hur denna bestämmelse förhåller sig till rätten till registerutdrag enligt artikel 15 i dataskyddsförordningen. I den mån som en nationell sökbegränsning begränsar rätten till registerutdrag bedömer regeringen att den kan ha stöd i artikel 23.1 i i dataskyddsförordningen, under förutsättning att begränsningen syftar till att skydda den registrerades rättigheter och friheter. Sådana tillåtna sökbegränsningar bör således kunna ha företräde framför rätten till registerutdrag. Som nämns ovan är 24 § PUL, som rör personuppgifter som har samlats in från någon annan källa än den registrerade, inte tillämplig enligt domstolsdatalagen. Enligt 24 § andra stycket PUL, som baseras på artikel 11.2 i 1995 års dataskyddsdirektiv, behöver information inte lämnas till den registrerade om det finns bestämmelser om registreringen eller utlämnandet av personuppgifterna i en lag eller någon annan författning. I förarbetena till domstolsdatalagen konstaterades att det i fråga om domstolarnas rättskipande och rättsvårdande verksamhet kommer att finnas sådana bestämmelser i domstolsdatalagen, rättegångsbalken, förvaltningsprocesslagen (1971:291) och övrig lagstiftning som styr domstolarnas verksamhet. Regeringen ansåg därför att det inte borde tas in någon hänvisning till 24 § PUL i domstolsdatalagen (prop. 2014/15:148 s. 87). En motsvarighet till 24 § PUL finns i artikel 14 i dataskyddsförordningen (information som ska tillhandahållas om personuppgifterna inte har erhållits från den registrerade). Enligt artikel 14.5 c tillämpas bestämmelsen inte om och i den mån erhållande eller utlämnande av uppgifter uttryckligen föreskrivs genom en medlemsstats nationella rätt som den registrerade omfattas av och som fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen. Den typ av reglering som avses i artikel 14.5 c finns i domstolsdatalagen och de processuella regelverken. Domstolsdatalagen innehåller lämpliga skyddsåtgärder i form av bestämmelser om tillåtna ändamål, tillgången till personuppgifter, sökbegränsningar och elektroniskt utlämnande av personuppgifter. Regeringen bedömer, liksom promemorian, att detta innebär att förordningens bestämmelser om information som ska tillhandahållas när personuppgifter inte har erhållits från den registrerade, inte behöver tillämpas i domstolarnas rättskipande och rättsvårdande verksamhet. Eftersom undantaget följer direkt av dataskyddsförordningen finns det inget behov av att reglera frågan i domstolsdatalagen. Regeringen anser sammanfattningsvis att rätten till information och tillgång till personuppgifter enligt artiklarna 13-15 i dataskyddsförordningen inte bör begränsas för behandling av personuppgifter i domstolarnas rättskipande och rättsvårdande verksamhet, utöver vad som följer av dataskyddslagen. Rättelse och radering av personuppgifter Enligt 28 § PUL är den personuppgiftsansvarige skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som har utfärdats med stöd av lagen. Bestämmelsen gäller vid behandling av personuppgifter enligt domstolsdatalagen (5 § första stycket 6 domstolsdatalagen). I förarbetena uttalades att felaktig behandling av personuppgifter innebär ett integritetsintrång och att det är viktigt att personuppgifter som behandlas felaktigt i domstolarna rättas, blockeras eller utplånas (prop. 2014/15:148 s. 92). När det gäller rättelse motsvaras 28 § PUL av artikel 16 i dataskyddsförordningen, som innebär att den registrerade har rätt att utan dröjsmål få felaktiga personuppgifter rättade. Med beaktande av ändamålet med behandlingen ska den registrerade även ha rätt att komplettera ofullständiga personuppgifter. Regeringen anser att det inte finns skäl att i domstolsdatalagen begränsa rätten till rättelse enligt dataskyddsförordningen. Möjligheterna för en enskild att enligt artikel 17 i dataskyddsförordningen få personuppgifter raderade är mer omfattande än möjligheterna till utplåning av personuppgifter enligt 28 § PUL. Bestämmelsen i förordningen gäller dock inte i den utsträckning som behandlingen är nödvändig bl.a. för att fastställa, göra gällande eller försvara rättsliga anspråk (artikel 17.3 e). Detta skäl för behandling återspeglar tydligt den kärnverksamhet som bedrivs i domstolarna och som, vad gäller personuppgiftsbehandlingen, kommer till uttryck i domstolsdatalagens ändamålsbestämmelser (prop. 2014/15:148 s. 48). Rätten till radering ska inte heller gälla i den utsträckning som den sannolikt omöjliggör eller avsevärt försvårar uppnåendet av syftet med sådan behandling som sker för bl.a. arkivändamål av allmänt intresse (artikel 17.3 d i dataskyddsförordningen). Regeringen bedömer att regleringen i dataskyddsförordningen innebär att personuppgifter i pågående och avslutade mål och ärenden normalt är undantagna från rätten till radering. Det saknas skäl att i domstolsdatalagen ytterligare begränsa denna rätt. Rätten att göra invändningar och begära begränsning av behandling Artikel 21 i dataskyddsförordningen reglerar enskildas möjligheter att motsätta sig behandling av personuppgifter. Den registrerade ska, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på artikel 6.1 e (behandling som är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning) eller artikel 6.1 f (den allmänna intresseavvägning som inte gäller för myndigheter när de fullgör sina uppgifter). Den personuppgiftsansvarige får då inte längre behandla personuppgifterna såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk. Rätten att göra invändningar enligt dataskyddsförordningen är mer generell än rätten att motsätta sig behandling enligt 11 § och 12 § första stycket PUL. Bestämmelserna i personuppgiftslagen gäller endast direkt marknadsföring och behandling som sker med stöd av samtycke. Domstolars behandling av personuppgifter sker för att utföra en uppgift av allmänt intresse eller som ett led i domstolens myndighetsutövning. När så är fallet är dataskyddsförordningens bestämmelse om rätten att göra invändningar tillämplig. Som anförs ovan får domstolarnas behandling av personuppgifter i kärnverksamheten emellertid anses ske för fastställande, utövande eller försvar av rättsliga anspråk. Detta innebär att domstolen får fortsätta att behandla personuppgifter även om en enskild har gjort en invändning mot denna behandling. Undantaget följer direkt av dataskyddsförordningen och frågan behöver därför inte regleras i domstolsdatalagen. Enligt artikel 18 i dataskyddsförordningen har den registrerade i vissa fall rätt att kräva att den personuppgiftsansvarige begränsar behandlingen av personuppgifter. Det gäller t.ex. under den tid som den personuppgiftsansvarige tar ställning till personuppgifters korrekthet eller till en invändning mot behandling av personuppgifter. Även om behandlingen har begränsats får personuppgifterna dock behandlas för att fastställa, göra gällande eller försvara rättsliga anspråk (artikel 18.2). Undantaget innebär enligt regeringens bedömning att handläggningen av mål och ärenden kan fortgå även om behandlingen av personuppgifter ska begränsas enligt artikel 18 i dataskyddsförordningen. Det saknas skäl att i domstolsdatalagen införa ytterligare undantag från rätten till begränsning av behandling. I artikel 19 i dataskyddsförordningen finns bestämmelser om underrättelse till mottagare av personuppgifter om rättelser, raderingar eller begränsningar av behandling. Artikeln motsvarar i huvudsak vad som gäller i dag (28 § PUL och 5 § första stycket 6 domstolsdatalagen). Det har inte framkommit skäl att i domstolsdatalagen begränsa denna rättighet. 12 Uppgiftsskyldighet i förhållande till allmänheten och den registrerade 12.1 Upplysningar till allmänheten Regeringens förslag: Domstolsdatalagens bestämmelse om skyldigheten att lämna upplysningar till allmänheten upphävs. Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans invänder mot promemorians förslag. Skälen för regeringens förslag: Den personuppgiftsansvarige ska enligt 12 § domstolsdatalagen skyndsamt och på lämpligt sätt lämna upplysningar om de behandlingar som utförs med stöd av lagen till var och en som begär det. Upplysningarna ska omfatta de uppgifter som en förteckning enligt 11 § domstolsdatalagen ska innehålla. Den personuppgiftsansvarige är dock inte skyldig att lämna ut sekretessbelagda uppgifter eller uppgifter om vilka säkerhetsåtgärder som har vidtagits. En bestämmelse om upplysningar till allmänheten finns även i personuppgiftslagen. Regeringen anförde i förarbetena till domstolsdatalagen att en skyldighet som motsvarar den som följer av 42 § PUL bör gälla även enligt domstolsdatalagen. Av lagtekniska skäl ansågs det dock inte lämpligt att hänvisa till 42 § PUL. En uttrycklig bestämmelse med motsvarande innehåll togs därför in i domstolsdatalagen (prop. 2014/15:148 s. 86). Det finns ingen motsvarighet till 42 § PUL i dataskyddsförordningen eller dataskyddslagen. Det saknas skäl för att domstolarna ska ha mer långtgående skyldigheter än andra personuppgiftsansvariga i detta avseende. Domstolsdatalagens bestämmelse om skyldighet att lämna upplysningar till allmänheten bör därför upphävas. 12.2 Sekretess ska gå före skyldigheten att informera om personuppgiftsincidenter Regeringens förslag: Den personuppgiftsansvariges skyldighet att informera den registrerade om en personuppgiftsincident enligt artikel 34 i EU:s dataskyddsförordning gäller inte sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning. Promemorians förslag överensstämmer med regeringens. Remissinstanserna: De flesta av remissinstanserna, såsom Förvaltningsrätten i Jönköping och Hyresnämnden i Stockholm, tillstyrker promemorians förslag eller har ingen invändning mot det. Dataskydd.net påpekar att bestämmelser om personuppgiftsincidenter redan finns i dataskyddsförordningen och därför inte behöver upprepas i domstolsdatalagen. Skälen för regeringens förslag: Genom dataskyddsförordningen införs en skyldighet för den personuppgiftsansvarige att anmäla till tillsynsmyndigheten om det inträffar en s.k. personuppgiftsincident (artikel 33). Med personuppgiftsincident avses en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats (artikel 4.12). Om personuppgiftsincidenten sannolikt leder till en hög risk för fysiska personers rättigheter och friheter, ska den personuppgiftsansvarige utan onödigt dröjsmål informera den registrerade om personuppgiftsincidenten. Sådan information krävs dock inte om (a) den personuppgiftsansvarige har genomfört lämpliga tekniska och organisatoriska skyddsåtgärder och dessa åtgärder tillämpats på de personuppgifter som påverkas av personuppgiftsincidenten, (b) den personuppgiftsansvarige har vidtagit ytterligare åtgärder som säkerställer att den höga risken för de registrerades rättigheter och friheter sannolikt inte längre kommer att uppstå eller (c) det skulle inbegripa en oproportionell ansträngning. I det sistnämnda fallet ska i stället allmänheten informeras eller en liknande åtgärd vidtas genom vilken de registrerade informeras på ett lika effektivt sätt (artikel 34). Till skillnad från vad Dataskydd.net tycks göra gällande omfattar de direkt tillämpliga undantagen i dataskyddsförordningen inte situationen att de uppgifter som ska lämnas till den registrerade omfattas av sekretess eller tystnadsplikt. Dataskyddsförordningen ger emellertid en möjlighet att i nationell rätt föreskriva begränsningar av skyldigheten att informera den registrerade om en personuppgiftsincident (artikel 23). Det finns därför anledning att överväga om en sådan begränsning bör införas i domstolsdatalagen. Domstolarnas rättskipande och rättsvårdande verksamhet präglas av öppenhet och insyn. Bestämmelser som begränsar rätten till information är dock nödvändiga med hänsyn till enskilda och allmänna intressen. Det är framför allt regleringen i offentlighets- och sekretesslagen som tillgodoser det behovet. Det kan t.ex. vara nödvändigt att hemlighålla uppgifter om en tvångs- eller säkerhetsåtgärd för den som åtgärden avser, se t.ex. 17 kap. 2 § OSL och propositionen Offentlighet och sekretess för uppgifter i domstolsavgöranden (prop. 2015/16:144 s. 35). Ett exempel på när domstolen kan avstå från att underrätta en enskild om en tvångsåtgärd finns i 46 kap. 13 § skatteförfarandelagen (2011:1244) som gäller betalningssäkring. Huvudregeln avseende underrättelse vid betalningssäkring är att den betalningsskyldige omedelbart ska underrättas om ett beslut om betalningssäkring. Underrättelse får dock ske i samband med att beslutet verkställs om det finns risk för att den betalningsskyldige undanskaffar egendom som kan betalningssäkras. Skyldigheten att informera den registrerade om en personuppgiftsincident skulle i vissa fall kunna leda till att den betalningsskyldige får kännedom om en ansökan om betalningssäkring innan verkställighetsåtgärder har hunnit vidtas. Regeringen anser mot denna bakgrund att den personuppgiftsansvariges skyldighet att informera den registrerade om en personuppgiftsincident inte bör gälla sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning. En sådan begränsning av den personuppgiftsansvariges skyldigheter bedöms möjlig eftersom den sker i syfte att säkerställa skyddet för rättsliga åtgärder (artikel 23.1 f i dataskyddsförordningen). Regeringen bedömer också att begränsningen kan göras med respekt för andemeningen i de grundläggande rättigheterna och friheterna och att den är en nödvändig och proportionell åtgärd i ett demokratiskt samhälle. Det bör framhållas att den föreslagna begränsningen endast gäller under den tid som uppgifterna omfattas av sekretess. När sekretessen inte längre gäller, t.ex. för att verkställighet har skett, bör den personuppgiftsansvarige alltså informera den registrerade om personuppgiftsincidenten, om inte något av undantagen i artikel 34.3 i dataskyddsförordningen är tillämpligt. Regeringen anser till skillnad från vad som föreslås i promemorian att bestämmelsens utformning bör ta sin utgångspunkt i den personuppgiftsansvariges skyldighet att informera om personuppgiftsincidenter. 13 Domstolarnas arkivering 13.1 Bestämmelserna i personuppgiftslagen och domstolsdatalagen Varje myndighet är enligt 3 § arkivförordningen (1991:446) skyldig att arkivera allmänna handlingar i ett ärende sedan ärendet har slutbehandlats. Att allmänna handlingar bevaras hos myndigheterna är en förutsättning för att offentlighetsprincipen ska kunna utnyttjas. Myndigheternas arkivbildning syftar också till att tillgodose behovet av information för rättskipningen och förvaltningen samt forskningens behov (3 § arkivlagen [1990:782]). I personuppgiftslagen finns vissa centrala bestämmelser som gäller lagens förhållande till myndigheters arkivering av allmänna handlingar och sådan personuppgiftsbehandling som sker för historiska, statistiska eller vetenskapliga ändamål. Av 8 § andra stycket PUL framgår att lagens bestämmelser inte hindrar att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. I 9 § PUL - där de grundläggande kraven på behandlingen av personuppgifter regleras - finns vissa bestämmelser som särskilt gäller behandling för historiska, statistiska eller vetenskapliga ändamål. Enligt 9 § första stycket d, som ger uttryck för den s.k. finalitetsprincipen, får personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. En behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål ska dock inte anses som oförenlig med de ändamål för vilka uppgifterna samlades in (9 § andra stycket). Det finns vidare regler om hur länge personuppgifter får behandlas för historiska, statistiska eller vetenskapliga ändamål (9 § tredje stycket) och begränsningar av när personuppgifter som behandlas för sådana ändamål får användas för att vidta åtgärder i fråga om den registrerade (9 § fjärde stycket). Enligt 8 § andra stycket PUL gäller begränsningen i 9 § fjärde stycket dock inte för myndigheters användning av personuppgifter i allmänna handlingar. Sammanfattningsvis innebär regleringen i personuppgiftslagen att behandling av personuppgifter för arkivändamål är särskilt gynnad och att sådan behandling kan ske i större omfattning och under längre tid än behandling för andra ändamål. Domstolsdatalagen innehåller hänvisningar till de aktuella bestämmelserna i personuppgiftslagen (5 § första stycket 2 och 3 domstolsdatalagen). Enligt uttalanden i förarbetena är syftet med hänvisningen till 8 § andra stycket PUL att möjliggöra en elektronisk hantering av uppgifter i mål och ärenden genom det arkivrättsliga regelverket (prop. 2014/15:148 s. 81). I 18 § domstolsdatalagen finns en upplysning om att regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen kan meddela ytterligare föreskrifter om begränsningar för behandling av personuppgifter som hänför sig till ett mål eller ärende som har avgjorts genom en dom eller ett beslut som har fått laga kraft. Sådana föreskrifter finns i domstolsdataförordningens bestämmelser om sökbegränsningar och direktåtkomst (3-5 och 13 §§). 13.2 Bestämmelserna i dataskyddsförordningen och dataskyddslagen Dataskyddsförordningen innehåller ett antal bestämmelser som särskilt gäller behandling av personuppgifter för arkivändamål. Enligt artikel 5.1 b ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de ursprungliga ändamålen. Av artikel 89.1 framgår att behandling för bl.a. arkivändamål av allmänt intresse ska omfattas av lämpliga skyddsåtgärder i enlighet med förordningen för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. I artikel 6.4 anges vilka omständigheter den personuppgiftsansvarige ska beakta för att fastställa om en ytterligare behandling för andra ändamål är förenlig med det ändamål för vilket personuppgifterna ursprungligen samlades in. Enligt artikel 5.1 e i dataskyddsförordningen får personuppgifter inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt förordningen genomförs för att säkerställa den registrerades rättigheter och friheter. Behandling av känsliga personuppgifter ska enligt artikel 9.1 i dataskyddsförordningen vara förbjuden. Begränsningen enligt artikel 9.1 ska dock inte tillämpas om behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen (artikel 9.2 j). Dataskyddslagen innehåller ingen direkt motsvarighet till 8 § andra stycket första meningen PUL som tydliggör att dataskyddsregleringen inte hindrar att en myndighet arkiverar och bevarar allmänna handlingar. Den behandling av personuppgifter som myndigheter utför när de i enlighet med föreskrifter om arkiv arkiverar sina handlingar, är emellertid en vidarebehandling som sker för arkivändamål av allmänt intresse. Behandlingen ska därmed enligt artikel 5.1 b i dataskyddsförordningen inte anses som oförenlig med de ursprungliga ändamålen. Det krävs då enligt skäl 50 till förordningen inte någon annan rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs (prop. 2017/18:105 s. 111). Enligt 3 kap. 6 § dataskyddslagen får känsliga personuppgifter behandlas för arkivändamål av allmänt intresse med stöd av artikel 9.2 j i dataskyddsförordningen, om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv. Bestämmelsen tydliggör att en myndighet får arkivera och bevara allmänna handlingar som innehåller känsliga personuppgifter. Den författningstekniska skillnaden mellan 8 § andra stycket första meningen PUL och 3 kap. 6 § dataskyddslagen innebär ingen saklig förändring (prop. 2017/18:105 s. 116 f.). Enligt 4 kap. 1 § dataskyddslagen får personuppgifter som behandlas enbart för arkivändamål av allmänt intresse inte användas för att vidta åtgärder i fråga om den registrerade, annat än om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Begränsningen hindrar dock inte myndigheter från att använda personuppgifter som finns i allmänna handlingar (jfr 8 § andra stycket och 9 § fjärde stycket PUL). 13.3 Dataskyddsförordningen tillåter behandling av personuppgifter för arkivändamål Regeringens förslag: Personuppgifter som behandlas för handläggningen av mål och ärenden får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in. Regeringens bedömning: Domstolarna har enligt gällande rätt en rättslig grund för att behandla personuppgifter för arkivändamål av allmänt intresse. Promemorians förslag överensstämmer i sak med regeringens. I promemorian föreslås en annan lagteknisk utformning. I promemorian görs ingen bedömning. Remissinstanserna: Majoriteten av remissinstanserna, bl.a. Kammarrätten i Stockholm och Domstolsverket, tillstyrker promemorians förslag eller har ingen invändning mot det. Datainspektionen anser att kompletteringen av ändamålsbestämmelsen även bör innehålla en hänvisning till artikel 5.1 b i dataskyddsförordningen. Förvaltningsrätten i Stockholm anser att det bör tydliggöras vilken lag som gäller för personuppgiftsbehandlingen när handlingarna arkiveras på domstolen respektive lämnas till en arkivmyndighet. Hovrätten för Västra Sverige påpekar att det skulle vara resurskrävande att avidentifiera exempelvis föredragningspromemorior och anser att det bör klargöras om detta är nödvändigt enligt dataskyddsförordningen. Skälen för regeringens förslag och bedömning Innebörden av regleringen i dataskyddsförordningen Av 8 § andra stycket PUL följer att den nu gällande dataskyddsregleringen inte hindrar att domstolarna arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. Varken dataskyddsförordningen eller dataskyddslagen innehåller någon direkt motsvarighet till den bestämmelsen. Däremot framgår av dataskyddsförordningen att ytterligare behandling för arkivändamål av allmänt intresse inte ska anses oförenlig med de ursprungliga ändamålen (artikel 5.1 b). Finalitetsprincipen är alltså inte något hinder mot ytterligare behandling för arkivändamål av allmänt intresse. När personuppgifter vidarebehandlas för ändamål som är förenliga med ursprungsändamålen, krävs det enligt skäl 50 till dataskyddsförordningen inte någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs. Av skäl 50 framgår också att ytterligare behandling för arkivändamål av allmänt intresse bör betraktas som en förenlig och laglig behandling av uppgifter. Det står enligt regeringens mening klart att den behandling av personuppgifter som domstolarna utför när de arkiverar allmänna handlingar i enlighet med det arkivrättsliga regelverket sker för arkivändamål av allmänt intresse. Behandlingen bör därmed enligt artikel 5.1 b i dataskyddsförordningen inte anses som oförenlig med de ursprungliga ändamålen. Det krävs då inte någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs. Domstolarna har alltså rättslig grund för behandling av personuppgifter för arkivändamål av allmänt intresse (jfr prop. 2017/18:105 s. 109-111). Med anledning av Förvaltningsrätten i Stockholms synpunkter kan det noteras att det endast är behandling av personuppgifter i domstolens egen verksamhet som omfattas av domstolsdatalagens tillämpningsområde. Sådan behandling kan bestå i att domstolen själv arkiverar handlingar eller att den överlämnar uppgifterna till en arkivmyndighet. Den personuppgiftsbehandling som sker hos arkivmyndigheten regleras inte i domstolsdatalagen. Ändamålsbestämmelserna ska kompletteras med en bestämmelse om finalitetsprincipen Enligt domstolsdatalagens ändamålsbestämmelser får personuppgifter behandlas för vissa särskilt angivna ändamål (6 och 7 §§). Bestämmelserna är enligt uttalanden i förarbetena en uttömmande reglering av vilka ändamål personuppgifter får behandlas för i domstolarnas rättskipande och rättsvårdande verksamhet. Bestämmelsen i 9 § första stycket d PUL, som ger uttryck för finalitetsprincipen, har därför inte ansetts ha någon självständig funktion inom domstolsdatalagens tillämpningsområde (prop. 2014/15:148 s. 104). Förutsättningarna för att behandla personuppgifter för arkivändamål framgår i dataskyddsförordningen i anslutning till finalitetsprincipen i artikel 5.1 b. När 8 § andra stycket PUL upphör att gälla uppkommer därför frågan om domstolsdatalagens ändamålsbestämmelser kan uppfattas som ett hinder mot att behandla personuppgifter för arkivändamål. Som anförs i promemorian bör det därför i domstolsdatalagen klargöras att bestämmelserna i lagen inte hindrar att personuppgifter vidarebehandlas för arkivändamål av allmänt intresse. I promemorian föreslås att det i domstolsdatalagens sekundära ändamålsbestämmelse anges att personuppgifter som behandlas för handläggning av mål och ärenden även får behandlas om det behövs för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i dataskyddsförordningen. Detta bedöms vara ett sådant införlivande av dataskyddsförordningen som är tillåtet enligt skäl 8 till förordningen. Regeringen anser emellertid att kompletteringen av den sekundära ändamålsbestämmelsen lämpligen bör ta sin utgångspunkt i att finalitetsprincipen gäller och att behandling som är förenlig med denna är tillåten. På så sätt blir det tydligare att vidarebehandling för arkivändamål av allmänt intresse i enlighet med dataskyddsförordningen ska betraktas som en sådan ytterligare behandling som är förenlig med finalitetsprincipen. I domstolsdatalagen bör det således anges att personuppgifter som behandlas för handläggningen av mål och ärenden får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in. Med en sådan utformning anser regeringen till skillnad från Datainspektionen att bestämmelsen inte behöver innehålla en uttrycklig hänvisning till artikel 5.1 b i dataskyddsförordningen. En konsekvens av den lagtekniska lösning som regeringen föreslår är att domstolsdatalagens sekundära ändamålsbestämmelse inte längre kan betraktas som uttömmande. En nackdel med en sådan reglering är att det kan bli mindre tydligt för domstolar och enskilda vilken personuppgiftsbehandling som får förekomma med stöd av domstolsdatalagen. Regeringen bedömer dock att finalitetsprincipen i sig innebär ett integritetsskydd eftersom den förbjuder ytterligare behandling av personuppgifter som är oförenlig med ursprungsändamålen och att den föreslagna ordningen är godtagbar ur integritetssynpunkt. Det är inte ovanligt att sekundära ändamålsbestämmelser i registerförfattningar innehåller hänvisningar till finalitetsprincipen (2 kap. 5 § patientdatalagen [2008:355] och 6 § lagen [2015:898] om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter). Den praktiska skillnaden mellan promemorians och regeringens förslag lär sannolikt vara mycket begränsad. Enligt den primära ändamålsbestämmelsen i 6 § domstolsdatalagen får domstolarna samla in och på annat sätt behandla uppgifter om det behövs för handläggningen av mål och ärenden. Denna bestämmelse har tidigare ansetts uttömmande och någon ändring i detta avseende är inte avsedd (jfr prop. 2014/15:148 s. 104). Domstolarna kommer alltså att ha samma möjligheter som tidigare att samla in personuppgifter. När det gäller de sekundära ändamålen medger 7 § domstolsdatalagen i dag att uppgifter vidarebehandlas för uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Bestämmelsen omfattar både fall där domstolarna är skyldiga att lämna ut uppgifter och fall där ett uppgiftslämnande kan anses påbjudet eller önskvärt. Det kan t.ex. vara fråga om en åtgärd som vidtas för att fullgöra den allmänna förvaltningsrättsliga serviceskyldigheten gentemot enskilda (prop. 2014/15:148 s. 41 f.). Domstolarnas möjligheter att lämna personuppgifter till utomstående eller till en annan del av verksamheten påverkas inte av regeringens förslag. Bevarande av personuppgifter som inte finns i allmänna handlingar Regeringen anförde i förarbetena till domstolsdatalagen att det kan finnas behov av elektroniskt bevarande av vissa personuppgifter som inte finns i allmänna handlingar, t.ex. personuppgifter i en föredragningspromemoria. För att åstadkomma en heltäckande bevarandereglering infördes därför en hänvisning till 9 § första stycket i och tredje stycket PUL (prop. 2014/15:148 s. 81). En reglering som motsvarar aktuella bestämmelser i personuppgiftslagen finns i artikel 5.1 e i dataskyddsförordningen. Hovrätten för Västra Sverige påpekar att det skulle vara resurskrävande att avidentifiera exempelvis föredragningspromemorior och anser att det bör klargöras om dataskyddsförordningen kräver sådan avidentifiering. Regeringen konstaterar att principen om lagringsminimering innebär att personuppgifter inte får förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas (artikel 5.1 e i dataskyddsförordningen). Avgörande för hur länge personuppgifter i exempelvis en föredragningspromemoria får behandlas är således om behandlingen är nödvändig för handläggningen av mål och ärenden (6 § domstolsdatalagen). Bedömningen bör göras i förhållande till mål- och ärendehandläggningen i stort och inte i förhållande till ett specifikt mål eller ärende (prop. 2014/15:148 s. 39 f.). 13.4 Behandling av känsliga personuppgifter för arkivändamål Regeringens bedömning: Bestämmelsen i dataskyddslagen om behandling av känsliga personuppgifter för arkivändamål av allmänt intresse bör gälla när personuppgifter behandlas enligt domstolsdatalagen. Promemorians bedömning överensstämmer i sak med regeringens. Mot bakgrund av promemorians förslag om komplettering av ändamålsbestämmelserna görs bedömningen att det inte behövs någon hänvisning till dataskyddslagens bestämmelse om möjligheten att behandla känsliga personuppgifter för arkivändamål av allmänt intresse. Remissinstanserna: Ingen remissinstans invänder mot promemorians bedömning eller kommenterar den särskilt. Skälen för regeringens bedömning: Enligt 3 kap. 6 § dataskyddslagen får känsliga personuppgifter behandlas för arkivändamål av allmänt intresse med stöd av artikel 9.2 j i dataskyddsförordningen om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv. Denna bestämmelse motiveras av att dataskyddslagen bör innehålla en uttrycklig bestämmelse som tydliggör att en myndighet får arkivera och bevara allmänna handlingar som innehåller känsliga personuppgifter (prop. 2017/18:105 s. 117). Dessa överväganden gör sig gällande även i domstolarnas rättskipande och rättsvårdande verksamhet. I promemorian görs bedömningen att det inte behövs någon hänvisning till 3 kap. 6 § dataskyddslagen. Som skäl anförs att den nya ändamålsbestämmelse som föreslås i promemorian ger stöd för att känsliga personuppgifter behandlas för arkivändamål i domstol. Den ändring av ändamålsbestämmelserna som regeringen föreslår innehåller dock ingen uttrycklig hänvisning till behandling för arkivändamål (avsnitt 13.3). Av tydlighetsskäl bör bestämmelsen i 3 kap. 6 § dataskyddslagen därför gälla på domstolsdatalagens tillämpningsområde. Att bestämmelsen blir tillämplig följer av regeringens förslag att dataskyddslagen ska gälla vid behandling av personuppgifter enligt domstolsdatalagen, om inte annat följer av domstolsdatalagen eller anslutande föreskrifter (avsnitt 5.1). 13.5 Användningsbegränsningar för arkiverade personuppgifter Regeringens bedömning: Bestämmelsen i dataskyddslagen om användningsbegränsningar för arkiverade personuppgifter bör gälla när personuppgifter behandlas enligt domstolsdatalagen. Promemorians förslag överensstämmer i sak med regeringens bedömning. I promemorian föreslås en annan lagteknisk lösning. Remissinstanserna: Ingen remissinstans invänder mot promemorians förslag eller kommenterar det särskilt. Skälen för regeringens bedömning: Enligt 4 kap. 1 § dataskyddslagen får personuppgifter som behandlas enbart för arkivändamål av allmänt intresse inte användas för att vidta åtgärder i fråga om den registrerade, annat än om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Begränsningen hindrar dock inte myndigheter från att använda personuppgifter som finns i allmänna handlingar. Paragrafen motsvarar delvis 8 § andra stycket andra meningen och delvis 9 § fjärde stycket PUL. Bestämmelsen har sin grund i bl.a. artikel 9.2 j i dataskyddsförordningen som rör behandling av känsliga personuppgifter för arkivändamål. Enligt bestämmelsen förutsätts att den nationella rätten ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Domstolsdatalagen innehåller i dag hänvisningar till 8 § andra stycket andra meningen och 9 § fjärde stycket PUL (5 § första stycket 2 och 3 domstolsdatalagen). Av regleringen följer att domstolarna, i likhet med andra myndigheter, är oförhindrade att använda personuppgifter i arkiverade allmänna handlingar för att vidta åtgärder i fråga om den registrerade. Som anförs i promemorian bör bestämmelsen i 4 kap. 1 § dataskyddslagen gälla vid personuppgiftsbehandling enligt domstolsdatalagen. Detta innebär att domstolarna även i fortsättningen, under de i dataskyddslagen angivna förutsättningarna, kommer att kunna återanvända personuppgifter i arkiverade mål och ärenden. I promemorian föreslås att domstolsdatalagen ska innehålla en uttrycklig hänvisning till 4 kap. 1 § dataskyddslagen. Att bestämmelsen blir tillämplig följer emellertid redan av regeringens förslag att dataskyddslagen ska gälla vid behandling av personuppgifter enligt domstolsdatalagen, om inte annat följer av domstolsdatalagen eller anslutande föreskrifter (avsnitt 5.1). 14 Rättsmedel 14.1 Bestämmelser om skadestånd behövs inte i domstolsdatalagen Regeringens bedömning: Rätten till ersättning enligt artikel 82 i EU:s dataskyddsförordning gäller vid överträdelser av bestämmelser i domstolsdatalagen eller föreskrifter som har meddelats i anslutning till den lagen. Bestämmelser om skadestånd behövs därför inte i domstolsdatalagen. Promemorian innehåller inte någon bedömning i denna del. I promemorian föreslås att domstolsdatalagen ska innehålla en hänvisning till 7 kap. 1 § dataskyddslagen om skadestånd. Förslaget överensstämmer i sak med regeringens bedömning. Remissinstanserna: De flesta av remissinstanserna, bl.a. Svea hovrätt och Helsingborgs tingsrätt, tillstyrker promemorians förslag eller har ingen invändning mot det. Justitiekanslern ifrågasätter om den föreslagna hänvisningen är nödvändig och påpekar att en sådan lagteknisk lösning inte synes ha tillämpats i vissa andra promemorior och betänkanden. Skälen för regeringens bedömning: Artikel 82 i dataskyddsförordningen föreskriver att en person ska ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för materiell eller immateriell skada som denne har lidit till följd av en överträdelse av förordningen. Av skäl 146 till dataskyddsförordningen följer att behandling som strider mot förordningen även avser behandling som strider mot medlemsstaternas nationella rätt med närmare specifikation av förordningens bestämmelser. Regeringen bedömer därför att rätten till ersättning enligt artikel 82 i dataskyddsförordningen gäller vid överträdelser av bestämmelser i domstolsdatalagen eller föreskrifter som har meddelats i anslutning till den lagen. I 7 kap. 1 § dataskyddslagen finns en bestämmelse som tydliggör att rätten till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet enligt artikel 82 i förordningen gäller även vid överträdelser av bestämmelser i dataskyddslagen och andra föreskrifter som kompletterar dataskyddsförordningen (prop. 2017/18:105 s. 148-150). Att bestämmelsen i dataskyddslagen blir tillämplig följer av regeringens förslag att dataskyddslagen ska gälla vid behandling av personuppgifter enligt domstolsdatalagen, om inte annat följer av domstolsdatalagen eller anslutande föreskrifter (avsnitt 5.1). Regeringen anser därför att det inte behövs några regler om skadestånd i domstolsdatalagen. Den lagtekniska lösning som föreslås ligger i linje med Justitiekanslerns synpunkter. 14.2 Bestämmelserna om överklagande i domstolsdatalagen är inte uttömmande Regeringens förslag: Beslut enligt artiklarna 12.5 och 15-21 i EU:s dataskyddsförordning som har meddelats av en domstol i egenskap av personuppgiftsansvarig får överklagas. Högsta domstolens och Högsta förvaltningsdomstolens beslut får dock inte överklagas. Beslut av en hovrätt, tingsrätt eller förvaltningsrätt överklagas till kammarrätten. Beslut av en kammarrätt överklagas till Högsta förvaltningsdomstolen. Beslut av en hyres- och arrendenämnd överklagas till allmän förvaltningsdomstol. Prövningstillstånd krävs i dessa fall vid överklagande till kammarrätten. Övriga bestämmelser om överklagande i domstolsdatalagen upphävs. Promemorians förslag överensstämmer i huvudsak med regeringens. I promemorian föreslås en annan lagteknisk lösning som innebär att det i domstolsdatalagen anges vad som gäller i fråga om överklagande av tillsynsmyndighetens och domstolarnas beslut. Promemorian innehåller inget förslag om att beslut enligt artikel 20 i dataskyddsförordningen ska få överklagas. Remissinstanserna: De flesta av remissinstanserna, bl.a. Umeå tingsrätt och Kammarrätten i Göteborg, tillstyrker promemorians förslag eller har ingen invändning mot det. Hyres- och arrendenämnden i Sundsvall och Sundsvalls tingsrätt anser i likhet med promemorian att dataskyddsförordningen inte bör föranleda någon ändring av domstolsdatalagens reglering av instansordningen beträffande de beslut som en hyres- och arrendenämnd fattar som personuppgiftsansvarig. Dataskydd.net menar att bestämmelser om överklagande finns i dataskyddslagen och därför inte behöver upprepas i domstolsdatalagen. Skälen för regeringens förslag Bestämmelser om överklagande finns i dataskyddslagen I 7 kap. dataskyddslagen finns bestämmelser om överklagande. Bestämmelserna reglerar rätten att överklaga personuppgiftsansvariga myndigheters beslut, tillsynsmyndighetens beslut och vissa andra beslut i enskilda fall. Det finns även ett förbud mot att överklaga andra beslut enligt dataskyddslagen än de som särskilt anges. I promemorian föreslås att domstolsdatalagen, på samma sätt som i dag, ska innehålla en uttömmande reglering av vad som gäller i fråga om överklagande av tillsynsmyndighetens och domstolarnas beslut. Regeringen föreslår i avsnitt 5.1 att dataskyddslagen ska gälla vid behandling av personuppgifter enligt domstolsdatalagen, om inte annat följer av domstolsdatalagen eller anslutande föreskrifter. Det framstår mot denna bakgrund inte som ändamålsenligt att i domstolsdatalagen ta in överklagandebestämmelser med samma innehåll som de i dataskyddslagen. Domstolsdatalagen bör i stället endast innehålla bestämmelser om överklagande som avviker från den generella regleringen. Den lagtekniska lösning som föreslås tillgodoser Dataskydd.nets synpunkt att bestämmelser som finns i dataskyddslagen inte bör upprepas i domstolsdatalagen. Beslut av den personuppgiftsansvarige överklagas på samma sätt som tidigare Bestämmelser om överklagande av beslut som har meddelats av en personuppgiftsansvarig domstol finns i 20 § domstolsdatalagen. En hovrätts, tingsrätts eller förvaltningsrätts beslut om upplysningar enligt 12 § domstolsdatalagen eller om information till den registrerade enligt 26 § PUL och om rättelse och underrättelse till tredje man enligt 28 § samma lag får överklagas till kammarrätten. En kammarrätts beslut i sådana frågor får överklagas till Högsta förvaltningsdomstolen. Högsta domstolens och Högsta förvaltningsdomstolens beslut får inte överklagas. Bestämmelsen i 20 § domstolsdatalagen motsvarar 52 § och 53 § andra stycket PUL, men föreskriver en avvikande instansordning som motiveras av att förvaltningsrätterna inte ska behöva överpröva sina egna eller högre instansers beslut (jfr prop. 2014/15:148 s. 94). För beslut av en hyres- och arrendenämnd gäller den vanliga ordningen för överklagande av förvaltningsbeslut, dvs. att nämndernas beslut överklagas till allmän förvaltningsdomstol och att prövningstillstånd krävs vid överklagande till kammarrätten (21 § domstolsdatalagen). Enligt 7 kap. 2 § dataskyddslagen får beslut enligt artiklarna 12.5 och 15-21 i dataskyddsförordningen som har meddelats av en myndighet i egenskap av personuppgiftsansvarig överklagas till allmän förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten. Beslut av regeringen, Högsta domstolen, Högsta förvaltningsdomstolen eller riksdagens ombudsmän får dock inte överklagas. Bestämmelsen motiveras av att rätten att överklaga bör omfatta beslut som en personuppgiftsansvarig myndighet fattar med anledning av att en registrerad utövar sina rättigheter enligt kapitel III i dataskyddsförordningen (prop. 2017/18:105 s. 151). De typer av beslut enligt dataskyddsförordningen som kan överklagas rör information till den registrerade (artikel 12.5), tillgång till personuppgifter och annan information, s.k. registerutdrag (artikel 15), rättelse (artikel 16), radering (artikel 17), begränsning av behandling (artikel 18), anmälningsskyldighet om rättelse eller radering och begränsning av behandling (artikel 19), dataportabilitet (artikel 20) och invändningar (artikel 21). Det saknas skäl att för domstolarnas del ha avvikande bestämmelser om vilka beslut som får överklagas. Detsamma gäller för hyres- och arrendenämnderna. Den särskilda instansordning som gäller för beslut av personuppgiftsansvariga domstolar bör dock gälla även i fortsättningen. En bestämmelse med detta innehåll bör därför införas i domstolsdatalagen. Som Hyres- och arrendenämnden i Sundsvall och Sundsvalls tingsrätt anför ger dataskyddsförordningen inte anledning till någon ändring av instansordningen avseende personuppgiftsansvariga hyres- och arrendenämnders beslut. Regeringen föreslår i avsnitt 12.1 att bestämmelsen i 12 § domstolsdatalagen om upplysningar till allmänheten ska upphävas. Det som anges i 20 § domstolsdatalagen om möjligheten att överklaga sådana beslut bör därför utgå. Beslut av tillsynsmyndigheten överklagas enligt dataskyddslagen I 19 § domstolsdatalagen anges att tillsynsmyndighetens beslut enligt domstolsdatalagen eller enligt de bestämmelser i personuppgiftslagen som anges i 5 § domstolsdatalagen om annat än föreskrifter får överklagas till allmän förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten. Bestämmelsen i 19 § domstolsdatalagen motsvarar 51 § och 53 § andra stycket PUL med den skillnaden att tillsynsmyndigheten enligt domstolsdatalagen inte har möjlighet att bestämma att dess beslut ska gälla även om det överklagas. Av 7 kap. 3 § dataskyddslagen framgår att tillsynsmyndighetens beslut enligt dataskyddsförordningen och enligt 6 kap. 2 och 3 §§ dataskyddslagen får överklagas till allmän förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten. Bestämmelser om när beslut får verkställas kommer från och med den 1 juli 2018 att finnas i 35 § förvaltningslagen (2017:900). Regeringen instämmer i promemorians bedömning att det saknas skäl att ha avvikande regler om överklagande av tillsynsmyndighetens beslut på domstolsdatalagens tillämpningsområde. Bestämmelsen i 19 § domstolsdatalagen bör därför upphävas. Överklagandeförbud och prövningstillstånd i vissa fall Enligt nuvarande ordning får andra beslut än sådana som avses i 19-21 §§ domstolsdatalagen eller i 47 § PUL inte överklagas (22 § första stycket domstolsdatalagen). Enligt 7 kap. 5 § dataskyddslagen får andra beslut än de som avses i 7 kap. 2-4 §§ den lagen inte överklagas. Överklagandeförbudet i dataskyddslagen kommer enligt regeringens förslag att gälla även på domstolsdatalagens tillämpningsområde och den nu gällande bestämmelsen i 22 § första stycket domstolsdatalagen bör därför upphävas. Av 22 § andra stycket domstolsdatalagen följer att det krävs prövningstillstånd vid överklagande av förvaltningsrättens beslut med anledning av tillsynsmyndighetens ansökan om att personuppgifter som har behandlats på ett olagligt sätt ska utplånas (47 § PUL). Som en följd av att personuppgiftslagen upphävs bör även bestämmelsen i 22 § andra stycket domstolsdatalagen upphöra att gälla. 15 Ikraftträdande- och övergångsbestämmelser 15.1 Bestämmelser som kompletterar dataskyddsförordningen Regeringens förslag: Lagändringarna träder i kraft den 25 maj 2018. Äldre föreskrifter gäller fortfarande för överklagande av beslut som har meddelats före ikraftträdandet. Promemorians förslag överensstämmer i sak med regeringens. I promemorian föreslås att äldre föreskrifter fortfarande ska gälla för överklagande av beslut som har meddelats med stöd av de föreskrifterna. Remissinstanserna: Ingen remissinstans invänder mot promemorians förslag. Skälen för regeringens förslag Regleringen i dataskyddsförordningen Enligt artikel 99 i dataskyddsförordningen ska förordningen träda i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning och tillämpas från och med den 25 maj 2018. Utgångspunkten enligt dataskyddsförordningen är att behandling som pågår den dag då förordningen börjar tillämpas från och med den dagen ska bringas i överensstämmelse med förordningen (skäl 171). De personuppgiftsansvariga förutsätts alltså ha anpassat sin behandling av personuppgifter till regleringen i dataskyddsförordningen vid den tidpunkt när den ska börja tillämpas. Det innebär t.ex. att en begäran om information som kommit in men inte besvarats före den 25 maj 2018 ska hanteras enligt dataskyddsförordningens bestämmelser, inklusive bestämmelserna om när i förhållande till begäran informationen senast ska lämnas (artikel 12.3). Lagändringarna bör träda i kraft den 25 maj 2018 Genom de lagändringar som föreslås i detta lagstiftningsärende bedöms domstolsdatalagen vara i överensstämmelse med dataskyddsförordningen. Ändringarna bör träda i kraft samtidigt som dataskyddsförordningen börjar tillämpas, dvs. den 25 maj 2018. Överklagande av tillsynsmyndighetens och domstolarnas beslut Enligt allmänna förvaltningsrättsliga principer gäller att de föreskrifter som är i kraft när prövningen hos en myndighet eller förvaltningsdomstol sker som huvudregel ska tillämpas. Detta gäller i fråga om både förfarandet och prövningen i sak och även om ett överklagat beslut har fattats före ikraftträdandet. Principen är inte undantagslös och det kan också följa av övergångsbestämmelser eller motiven till lagstiftningen att en annan ordning är avsedd (jfr RÅ 1996 ref. 57). Det finns mot denna bakgrund skäl att överväga behovet av övergångsbestämmelser när det gäller överklagande av tillsynsmyndighetens och domstolarnas beslut. När det gäller överklagande finns i domstolsdatalagen bestämmelser om tillsynsmyndighetens beslut (19 §), beslut av de personuppgiftsansvariga domstolarna och nämnderna (20 och 21 §§), överklagandeförbud (22 § första stycket) och prövningstillstånd i vissa fall (22 § andra stycket). Regeringen föreslår i avsnitt 14.2 att dessa bestämmelser ska upphävas och, när det gäller beslut av den personuppgiftsansvarige, ersättas av bestämmelser som hänvisar till dataskyddsförordningen. Enligt punkt 6 i ikraftträdande- och övergångsbestämmelserna till dataskyddslagen gäller personuppgiftslagen fortfarande för överklagande av beslut som har meddelats med stöd av den lagen. Samma ordning bör gälla på domstolsdatalagens område och klargöras genom en särskild övergångsbestämmelse som anger att äldre föreskrifter fortfarande gäller för överklagande av beslut som har meddelats före ikraftträdandet. Förslaget innebär bl.a. att beslut som fattats av en personuppgiftsansvarig domstol, t.ex. om rättelse enligt 28 § PUL, överklagas enligt de regler som gällde när beslutet fattades. 15.2 Behandling av personuppgifter som omfattas av 2016 års dataskyddsdirektiv Regeringens förslag: Äldre föreskrifter gäller fortfarande vid sådan behandling av personuppgifter som avses i artikel 2.2 d i EU:s dataskyddsförordning, i den ursprungliga lydelsen. Utredningen om 2016 års dataskyddsdirektiv föreslår ingen övergångsbestämmelse om sådan personuppgiftsbehandling i domstol som omfattas av tillämpningsområdet för 2016 års dataskyddsdirektiv. Utredningen gör i stället bedömningen att om ändringarna i domstolsdatalagen träder i kraft före domstolarnas brottsdatalag, bör domstolsdatalagen i dess lydelse före den 25 maj 2018 och personuppgiftslagen fortsätta att gälla tills vidare för sådan behandling av personuppgifter som undantas från dataskyddsförordningens tillämpningsområde. Remissinstanserna: Domstolsverket anför i sitt remissyttrande över betänkandet Brottsdatalag (SOU 2017:29) att det bör säkerställas att personuppgiftslagen, men även vid behov den hittills gällande lydelsen av domstolsdatalagen, blir fortsatt tillämpliga för det fall genomförandet av direktivet blir försenat. I övrigt kommenterar ingen remissinstans utredningens bedömning. Skälen för regeringens förslag: Utredningen om 2016 års dataskyddsdirektiv föreslår att direktivet i huvudsak ska genomföras genom en ny ramlag, brottsdatalagen (SOU 2017:29). Utredningen föreslår också att en ny lag ska införas som ersätter domstolsdatalagen inom brottsdatalagens tillämpningsområde, domstolarnas brottsdatalag (SOU 2017:74). Förslagen bereds inom Regeringskansliet. Regeringen bedömer att den nya regleringen för domstolarna inte kommer att kunna träda i kraft förrän efter den 25 maj 2018, vilket innebär att övergångsproblem kan uppstå. I detta lagstiftningsärende föreslår regeringen ingen avgränsning av domstolsdatalagens tillämpningsområde. Lagen kommer därför tills vidare att gälla även personuppgiftsbehandling som omfattas av 2016 års dataskyddsdirektiv, t.ex. behandling inom ramen för brottmålshanteringen i allmän domstol. De nya reglerna är emellertid anpassade till dataskyddsförordningen. Förordningen ska inte tillämpas på behandling av personuppgifter som behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, dvs. personuppgiftsbehandling som regleras i direktivet (artikel 2.2 d i dataskyddsförordningen). Det framstår mot denna bakgrund inte som lämpligt att låta de föreslagna bestämmelserna gälla på direktivets tillämpningsområde. Som Domstolsverket är inne på bör i stället en övergångsbestämmelse införas som innebär att äldre föreskrifter i domstolsdatalagen fortfarande gäller för sådan behandling av personuppgifter som avses i artikel 2.2 d i dataskyddsförordningen. Genom hänvisningarna i den nu gällande 5 § domstolsdatalagen kommer detta även att gälla de bestämmelser i personuppgiftslagen som anges i den paragrafen. Av punkt 5 i övergångsbestämmelserna till dataskyddslagen följer att personuppgiftslagen fortfarande gäller i den utsträckning som det i en annan lag eller en förordning finns bestämmelser som innehåller hänvisningar till den lagen. Den föreslagna övergångsbestämmelsen bör upphävas när domstolarnas personuppgiftsreglering anpassas till 2016 års dataskyddsdirektiv. Eftersom det är fråga om en tillfällig lösning bör en statisk hänvisningsteknik användas. Hänvisningen bör alltså avse den ursprungliga lydelsen av bestämmelsen i dataskyddsförordningen. 16 Konsekvenser av förslagen Regeringens bedömning: Förslagen innebär en viss förstärkning av skyddet för enskildas personliga integritet. Förslaget om dataskyddsombud kan medföra marginellt ökade kostnader för Sveriges Domstolar. Dessa kostnader ryms inom befintliga anslag. Förslagen har inte någon påverkan på jämställdheten mellan män och kvinnor. Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: De flesta av remissinstanserna, t.ex. Svea hovrätt, Södertörns tingsrätt, Kammarrätten i Stockholm och Förvaltningsrätten i Malmö, instämmer i promemorians bedömning eller har ingen invändning mot den. Förvaltningsrätten i Jönköping, Förvaltningsrätten i Linköping, Hyres- och arrendenämnden i Sundsvall och Sundsvalls tingsrätt ifrågasätter om kostnaderna för domstolarna ryms inom befintliga ekonomiska ramar. Hovrätten för Västra Sverige instämmer i promemorians bedömning om förslagen i promemorian ses isolerade. Om konsekvenserna av de samlade förändringar som föranleds av bl.a. dataskyddsförordningen och dataskyddsdirektivet beaktas, torde det enligt hovrätten krävas en inte oväsentlig insats för att utbilda domstolarnas personal. Domstolsverket påpekar att ingen av de utredningar som redovisats har haft i uppdrag att göra en konsekvensanalys av dataskyddsreformens sammantagna effekter för Domstolsverket eller domstolarna. Kammarrätten i Göteborg anser att utformningen av informationen till enskilda enligt artikel 13 i dataskyddsförordningen och därmed sammanhängande frågor med fördel kan samordnas av Domstolsverket. Förvaltningsrätten i Linköping utgår från att Domstolsverket kommer att hjälpa domstolarna i deras arbete med anledning av dataskyddsreformen genom att ta fram utbildningsmaterial och rekommendationer. Skälen för regeringens bedömning: När det gäller konsekvenserna av de förslag som läggs fram i denna proposition ska det först framhållas att syftet är att föreslå de anpassningar som är nödvändiga med anledning av den nya dataskyddsförordningen. Det innebär att flera bestämmelser i domstolsdatalagen kvarstår oförändrade och att vissa bestämmelser anpassas till dataskyddsförordningen utan att det sakliga innehållet förändras på ett avgörande sätt. Förvaltningsrätten i Jönköping, Förvaltningsrätten i Linköping, Hyres- och arrendenämnden i Sundsvall och Sundsvalls tingsrätt anser att förslaget om dataskyddsombud kan medföra ökade kostnader för domstolarna. Regeringen konstaterar att förslaget innebär att dataskyddsombuden kommer att ha samma ansvarsområde som de nuvarande personuppgiftsombuden. De merkostnader som kan uppstå på grund av dataskyddsombudens förändrade arbetsuppgifter torde vara marginella. Regeringen bedömer att kostnaderna ryms inom befintliga anslag. I övrigt bedömer regeringen att förslagen inte har några ekonomiska konsekvenser för det allmänna eller för enskilda. Med anledning av Hovrätten för Västra Sveriges och Domstolsverkets synpunkter konstateras att dataskyddsreformens sammantagna effekter för Domstolsverket och domstolarna inte kan analyseras inom ramen för detta lagstiftningsärende. Dataskyddsreformen kommer att ställa nya krav på domstolarna, liksom på övriga myndigheter, vid den personuppgiftsbehandling som sker i respektive verksamhet. Flera domstolar, bl.a. Kammarrätten i Göteborg och Förvaltningsrätten i Linköping, efterfrågar hjälp av Domstolsverket med att bl.a. ta fram utbildningsmaterial och vägledning i olika frågor. Det ligger i Domstolsverkets uppdrag att bistå domstolarna med information, utbildning och administrativt stöd för att ge domstolarna goda förutsättningar att leva upp till kraven i dataskyddsförordningen och domstolsdatalagen. Enligt dataskyddsförordningen finns det ingen skyldighet att utse dataskyddsombud när behandling av personuppgifter sker som en del av domstolarnas dömande verksamhet. Trots detta föreslår regeringen att domstolarna ska utse dataskyddsombud i syfte att åstadkomma ett stärkt integritetsskydd för den registrerade. När det gäller de registrerades rättigheter hänvisar domstolsdatalagen till bestämmelser i personuppgiftslagen. När dataskyddsförordningen ska börja tillämpas kommer i stället en omfattande reglering av enskildas rättigheter i kapitel III i dataskyddsförordningen att bli tillämplig. Enligt artikel 23.1 i förordningen finns det en generell möjlighet att i nationell rätt begränsa tillämpningsområdet för rättigheterna. Regeringen föreslår emellertid inga sådana begränsningar i domstolsdatalagen. Detta medför en viss förstärkning av enskildas rättigheter i förhållande till vad som gäller enligt personuppgiftslagen, t.ex. i fråga om information och tillgång till personuppgifter. Regeringen bedömer sammantaget att förslagen innebär en viss förstärkning av skyddet för enskildas personliga integritet. Regeringen bedömer att förslagen inte har någon påverkan på jämställdheten mellan män och kvinnor och att de inte får några sociala eller miljömässiga konsekvenser. 17 Författningskommentar 3 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. I paragrafen, som är ny, anges lagens förhållande till dataskyddsförordningen. Rubriken närmast före paragrafen har utformats i enlighet med Lagrådets förslag. Övervägandena finns i avsnitt 5.1. I paragrafen anges att lagen kompletterar dataskyddsförordningen. Dataskyddsförordningen är direkt tillämplig i varje medlemsstat. Det innebär att den automatiskt är en del av den svenska rättsordningen. I vissa avseenden förutsätter eller tillåter dataskyddsförordningen emellertid att medlemsstaterna inför bestämmelser som kompletterar förordningen, antingen i form av preciseringar eller i form av undantag. Denna lag innehåller bestämmelser som kompletterar dataskyddsförordningen i den verksamhet som anges i 2 §, dvs. de allmänna domstolarnas, de allmänna förvaltningsdomstolarnas och hyres- och arrendenämndernas rättskipande och rättsvårdande verksamhet. Hänvisningarna i lagen till dataskyddsförordningen är dynamiska, dvs. avser förordningen i dess vid varje tidpunkt gällande lydelse. 4 § Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. Paragrafen upplyser om hur lagen förhåller sig till lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen). Övervägandena finns i avsnitt 5.1. Paragrafen ändras så att den anger att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller vid behandling av personuppgifter enligt denna lag. Detta gäller dock endast om inte något annat följer av denna lag eller av föreskrifter som har meddelats i anslutning till lagen. 7 § Personuppgifter som behandlas enligt 6 § får även behandlas om det behövs för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Personuppgifter som behandlas enligt 6 § får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in. Paragrafen innehåller bestämmelser om de sekundära ändamål som personuppgifter får behandlas för. Övervägandena finns i avsnitt 13.3. I andra stycket, som är nytt, anges att personuppgifter som behandlas för handläggningen av mål och ärenden får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in. Det är en allmän dataskyddsrättslig princip att personuppgifter endast får samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Enligt den s.k. finalitetsprincipen får uppgifterna inte senare behandlas för något annat ändamål som är oförenligt med insamlingsändamålen. Finalitetsprincipen kommer till uttryck i artikel 5.1 b i dataskyddsförordningen. Enligt den bestämmelsen gäller att ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i dataskyddsförordningen inte ska anses vara oförenlig med de ursprungliga ändamålen. Genom bestämmelsen i andra stycket tydliggörs att insamlade personuppgifter får behandlas för ändamål som inte är oförenliga med insamlingsändamålen. Det innebär t.ex. att personuppgifter som samlats in för handläggningen av mål och ärenden även får behandlas för arkivändamål av allmänt intresse. 10 § Den personuppgiftsansvarige ska utse ett eller flera dataskyddsombud. I paragrafen finns en bestämmelse om dataskyddsombud. Övervägandena finns i avsnitt 9. I paragrafen ersätts ordet personuppgiftsombud med ordet dataskyddsombud. Enligt paragrafen är den personuppgiftsansvarige skyldig att utse dataskyddsombud. Bestämmelser om när dataskyddsombud ska utses samt dataskyddsombudets ställning och uppgifter finns i artiklarna 37-39 i dataskyddsförordningen. 11 § Den personuppgiftsansvariges skyldighet att informera den registrerade om en personuppgiftsincident enligt artikel 34 i EU:s dataskyddsförordning gäller inte sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning. I paragrafen, som är ny, finns en bestämmelse om den personuppgiftsansvariges skyldighet att informera om personuppgiftsincidenter. Övervägandena finns i avsnitt 12.2. I paragrafen anges att den personuppgiftsansvariges skyldighet att informera den registrerade om en personuppgiftsincident enligt artikel 34 i dataskyddsförordningen inte gäller sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning. Undantaget har stöd i artikel 23 i dataskyddsförordningen. Ytterligare undantag från skyldigheten att informera den registrerade om en personuppgiftsincident finns i artikel 34.3 i dataskyddsförordningen. Paragrafen innebär att sekretess eller tystnadsplikt gentemot den registrerade som har stöd i författning har företräde framför skyldigheten att informera den registrerade om en personuppgiftsincident. Det är främst sekretess enligt offentlighets- och sekretesslagen (2009:400), förkortad OSL, som avses. Sekretess kan gälla i förhållande till den registrerade för uppgifter om en tvångs- eller säkerhetsåtgärd. Det kan t.ex. vara av synnerlig vikt att uppgifter i ett mål om betalningssäkring enligt 46 kap. skatteförfarandelagen (2011:1244) inte röjs för den betalningsskyldige (17 kap. 2 § OSL och prop. 2015/16:144 s. 35). Om den registrerade på grund av partsinsyn har rätt att ta del av uppgifterna i ett mål kan den personuppgiftsansvarige inte med stöd av denna paragraf underlåta att informera den registrerade om en personuppgiftsincident. Begränsningen av skyldigheten att informera den registrerade gäller endast under den tid som uppgifterna omfattas av sekretess. När sekretessen inte längre gäller, t.ex. för att verkställighet har skett, bör den personuppgiftsansvarige alltså informera den registrerade om personuppgiftsincidenten, om inte något av undantagen i artikel 34.3 i dataskyddsförordningen är tillämpligt. 13 § Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personen utifrån sådana uppgifter som avses i artikel 9.1 i EU:s dataskydds-förordning (känsliga personuppgifter). Paragrafen innehåller en bestämmelse om behandling av känsliga personuppgifter. Övervägandena finns i avsnitt 10.2. I artikel 9.1 i dataskyddsförordningen finns ett förbud mot att behandla s.k. känsliga personuppgifter. Förbudet ska dock inte tillämpas om behandlingen är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk eller som en del av domstolarnas dömande verksamhet (artikel 9.2 f). Regleringen innebär att behandling av känsliga personuppgifter som utgångspunkt är tillåten i domstolarnas rättskipande och rättsvårdande verksamhet. Enligt paragrafen får känsliga personuppgifter emellertid inte utgöra den enda grunden för personuppgiftsbehandling (prop. 2014/15:148 s. 111 f.). I paragrafen ersätts uppräkningen av vissa kategorier av personuppgifter med en hänvisning till artikel 9.1 i dataskyddsförordningen. De kategorier av personuppgifter som avses i artikeln är uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i en fackförening, genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa och uppgifter om en fysisk persons sexualliv eller sexuella läggning. Ändringen innebär att bestämmelsen utvidgas till att omfatta genetiska och biometriska uppgifter. Genom hänvisningen till dataskyddsförordningen förtydligas att uppgifter om en persons sexuella läggning ska anses utgöra känsliga personuppgifter. 14 § Vid sökning i personuppgifter är det förbjudet att använda sökbegrepp som avslöjar känsliga personuppgifter, uppgifter om nationell anknytning eller uppgifter om brott eller misstanke om brott. Användning av särskilda beteckningar för identifiering av en viss mål- eller ärendetyp som sökbegrepp omfattas inte av förbudet i första stycket. Paragrafen innehåller bestämmelser som förbjuder användningen av integritetskänsliga sökbegrepp. Övervägandena finns i avsnitt 10.2. I första stycket ersätts en del av uppräkningen av integritetskänsliga sökbegrepp med uttrycket känsliga personuppgifter. Med känsliga personuppgifter avses sådana uppgifter som avses i artikel 9.1 i dataskyddsförordningen (jfr författningskommentaren till 13 §). Ändringen innebär att sökförbudet utvidgas till att omfatta sökbegrepp som avslöjar genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en person. Dessutom blir det tydligt att sökbegrepp som avslöjar uppgifter om en persons sexuella läggning omfattas av sökförbudet (jfr författningskommentaren till 13 §). Övriga ändringar är språkliga och redaktionella. 20 § Beslut enligt artiklarna 12.5 och 15-21 i EU:s dataskyddsförordning som har meddelats av en hovrätt, tingsrätt eller förvaltningsrätt i egenskap av personuppgiftsansvarig får överklagas till kammarrätten. En kammarrätts beslut i sådana frågor får överklagas till Högsta förvaltningsdomstolen. Högsta domstolens och Högsta förvaltningsdomstolens beslut i frågor som avses i första stycket får inte överklagas. Paragrafen innehåller bestämmelser om överklagande av beslut som har meddelats av en personuppgiftsansvarig domstol. Övervägandena finns i avsnitt 14.2. Ändringen i första stycket innebär att en personuppgiftsansvarig domstols beslut enligt artiklarna 12.5 och 15-21 i dataskyddsförordningen får överklagas. De typer av beslut enligt dataskyddsförordningen som kan överklagas rör information till den registrerade (artikel 12.5), tillgång till personuppgifter och annan information, s.k. registerutdrag (artikel 15), rättelse (artikel 16), radering (artikel 17), begränsning av behandling (artikel 18), anmälningsskyldighet om rättelse eller radering av personuppgifter och begränsning av behandling (artikel 19), dataportabilitet (artikel 20) och invändningar (artikel 21). Den särskilda instansordning som regleras i första stycket och överklagandeförbudet i andra stycket gäller för beslut enligt de angivna artiklarna. Ikraftträdande- och övergångsbestämmelser 1. Denna lag träder i kraft den 25 maj 2018. 2. Äldre föreskrifter gäller fortfarande för överklagande av beslut som har meddelats före ikraftträdandet. 3. Äldre föreskrifter gäller fortfarande vid sådan behandling av personuppgifter som avses i artikel 2.2 d i EU:s dataskyddsförordning, i den ursprungliga lydelsen. Övervägandena om ikraftträdande- och övergångsbestämmelser finns i avsnitt 15. Enligt punkt 1 träder lagändringarna i kraft den 25 maj 2018. Av punkt 2 framgår att äldre föreskrifter fortfarande gäller för överklagande av beslut som har meddelats före den 25 maj 2018. Enligt punkt 3 gäller fortfarande äldre föreskrifter vid sådan behandling av personuppgifter som avses i artikel 2.2 d i dataskyddsförordningen, i den ursprungliga lydelsen, dvs. personuppgiftsbehandling som omfattas av tillämpningsområdet för 2016 års dataskyddsdirektiv. Detta innebär att domstolsdatalagen i den hittills gällande lydelsen fortfarande gäller vid sådan behandling. Detta gäller samtliga bestämmelser inklusive bestämmelser om överklagande. Av punkt 5 i ikraftträdande- och övergångsbestämmelserna till dataskyddslagen framgår att personuppgiftslagen fortfarande gäller i den utsträckning som det i en annan lag eller en förordning finns bestämmelser som innehåller hänvisningar till den lagen. Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) Sammanfattning av departementspromemorian En omarbetad domstolsdatalag - anpassning till EU:s dataskyddsförordning (Ds 2017:41) Anpassningar till EU:s dataskyddsförordning EU:s dataskyddsreform innebär att en ny dataskyddsförordning kommer att utgöra grunden för generell personuppgiftsbehandling inom EU från och med den 25 maj 2018. Reformen omfattar även ett nytt direktiv med särregler för den personuppgiftsbehandling som utförs av behöriga myndigheter för bl.a. brottsbekämpning, lagföring och straffverkställighet. Promemorian innehåller förslag till de författningsändringar som behövs i domstolsdatalagen (2015:728) och domstolsdataförordningen (2015:729) med anledning av dataskyddsförordningen. Tillämpningsområdet Domstolsdatalagen omfattar för närvarande både sådan personuppgiftsbehandling som kommer att omfattas av dataskyddsförordningens tillämpningsområde och sådan som kommer att omfattas av det nya direktivets tillämpningsområde. För att anpassa domstolsdatalagen till det nya regelverket för personuppgiftsbehandling föreslås att lagen endast ska gälla för sådan behandling av personuppgifter som omfattas av dataskyddsförordningens tillämpningsområde. I övrigt innebär promemorians förslag att lagens tillämpningsområde ska kvarstå oförändrat, med undantag för den bestämmelse som reglerar förhållandet till lagen (2013:329) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, som ska upphävas. Dataskyddsförordningen ska tillämpas i Sverige som om den vore nationell rätt, men hindrar inte förekomsten av nationella registerförfattningar. Dessa kommer framöver dock endast att utgöra en komplettering till dataskyddsförordningen, vilket enligt promemorians förslag ska klargöras i domstolsdatalagen. Grundläggande bestämmelser Den rättsliga grunden för den personuppgiftsbehandling som utförs inom domstolsdatalagens tillämpningsområde utgörs enligt promemorians bedömning av att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse, för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning. Någon förändring av lagens befintliga ändamålsbestämmelser föranleds enligt promemorians mening inte av dataskyddsförordningen. I promemorians föreslås dock en komplettering av dessa bestämmelser i två avseenden. För det första ska det klargöras att personuppgifter som behandlas eller har behandlats för handläggning av mål och ärenden ska få behandlas också om det behövs för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, förutsatt att de säkerhetsåtgärder som framgår av artikel 89.1 i dataskyddsförordningen vidtas. För det andra ska även personuppgifter som behandlas eller har behandlats med stöd av de författningar som genomför 2016 års dataskyddsdirektiv få behandlas för det nyss nämnda ändamålet samt om det behövs för att fullgöra uppgiftslämnande som sker i enlighet med lag eller förordning. De sistnämnda kompletteringarna har sin grund i att sådan behandling av personuppgifter omfattas av dataskyddsförordningen och inte av 2016 års dataskyddsdirektiv. Begreppet dömande verksamhet förekommer i olika sammanhang i dataskyddsförordningen. Som exempel kan nämnas att de nationella tillsynsmyndigheterna inte kommer att vara behöriga att utöva tillsyn över domstolar som behandlar personuppgifter i sin dömande verksamhet och att den personuppgiftsbehandling som genomförs som en del av domstolarnas dömande verksamhet är undantagen från myndigheters skyldighet att utse dataskyddsombud (i dag kallat personuppgiftsombud). Dataskyddsförordningens begrepp dömande verksamhet är unionsrättsligt och innefattar enligt promemorians bedömning sannolikt all den personuppgiftsbehandling som utförs i det enskilda målet eller ärendet från att detta anhängiggörs vid domstolen tills ett slutligt avgörande har meddelats. Utifrån den bedömningen omfattas en stor del av, men inte hela, den personuppgiftsbehandling som sker inom domstolsdatalagens tillämpningsområde av begreppet. Detta medför en gränsdragningsproblematik, som kommer att få betydelse för regelverket kring domstolarnas personuppgiftsbehandling. Exempelvis kommer frågor om tillsynsmyndighetens behörighet att utfärda förelägganden mot domstolarna eller att påföra dem administrativa sanktionsavgifter att avgöras utifrån var gränsen för den dömande verksamheten går. För att bl.a. kompensera tillsynsmyndighetens begränsade behörighet och skapa ett ytterligare skydd för de registrerades personliga integritet föreslås att domstolarna, trots dataskyddsförordningens undantag för den dömande verksamheten, även fortsättningsvis ska utse ett eller flera ombud som har hela den rättskipande och rättsvårdande verksamheten som sitt ansvarsområde. Övriga materiella bestämmelser Till stora delar föranleder dataskyddsförordningen ingen ändring av domstolsdatalagen. Exempelvis kommer bestämmelserna om behörighetsbegränsningar, personuppgiftsansvar, utlämnande av personuppgifter på medium för automatiserad behandling och direktåtkomst att kunna kvarstå oförändrade. Även vad gäller domstolarnas behandling av känsliga personuppgifter kan nuvarande bestämmelser finnas kvar i princip oförändrade. Dock bör dessa bestämmelser anpassas så att definitionen av känsliga personuppgifter överensstämmer med dataskyddsförordningens begrepp, där sexuell läggning, genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person har tillkommit. När dataskyddsförordningen börjar tillämpas ska personuppgiftslagen (1998:204) upphävas. I enlighet med vad som tidigare gällt i förhållande till personuppgiftslagen föreslås att domstolsdatalagen ska gälla i stället för den föreslagna lagen med kompletterande bestämmelser till EU:s dataskyddsförordning (förkortad dataskyddslagen), som föreslås komplettera EU:s dataskyddsförordning på ett generellt plan i svensk rätt (Dataskyddsutredningens betänkande SOU 2017:39). Det ska i domstolsdatalagen särskilt anges vilka bestämmelser i dataskyddslagen som ska gälla inom tillämpningsområdet. Genom hänvisningar till dataskyddslagens bestämmelser kommer stora delar av den tidigare regleringen för personuppgiftsbehandling att behållas. Det gäller bl.a. domstolarnas rätt att behandla uppgifter om personnummer och samordningsnummer, begränsningen av den registrerades rätt till registerutdrag för uppgifter i löpande text eller minnesanteckningar och rätten för domstolarna att återanvända personuppgifter i arkiverade mål och ärenden. Även de undantag som för närvarande finns från den registrerades rätt till information vid insamling av personuppgifter samt från rätten till ett s.k. registerutdrag kommer på detta sätt att upprätthållas. Dataskyddsförordningen innehåller bestämmelser som i vissa fall ger den registrerade rätt till information om en inträffad personuppgiftsincident. För att säkerställa att den registrerade inte genom sådan information får del av uppgifter som det råder sekretess för gentemot honom eller henne, föreslås att det införs ett undantag från denna rättighet. Undantaget ska gälla om den personuppgiftsansvarige, enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning, inte får lämna ut uppgifter till den registrerade. De undantag från dataskyddsförordningens bestämmelser om den registrerades rättigheter som föreslagits får - tillsammans med de undantag som finns i dataskyddsförordningen - till följd att domstolarnas verksamhet kan fortgå även om den registrerade utnyttjar sina rättigheter enligt dataskyddsförordningen. Handläggning av enskilda mål eller ärenden behöver inte avstanna, bevarande och arkivering av processmaterialet kommer att vara möjlig, personuppgifter i avslutade och arkiverade mål och ärenden kan fortsätta behandlas och allmänhetens tillgång till allmänna handlingar inskränks inte. Tillsyn och överklagande Dataskyddsförordningen och förslaget till dataskyddslag kommer att förändra systemet för sanktioner vid otillåten personuppgiftsbehandling. I promemorian föreslås att dataskyddslagens bestämmelser om administrativa sanktionsavgifter mot myndigheter ska gälla även för domstolarna i tillämpliga delar. Detsamma gäller för dataskyddslagens bestämmelser om tillsynsmyndighetens handläggning och beslut. Genom en hänvisning till dataskyddslagen ska det även klargöras att den rätt till skadestånd för registrerade som framgår av dataskyddsförordningen även gäller vid överträdelser av dataskyddslagens (i tillämpliga delar) och domstolsdatalagens bestämmelser. Domstolsdatalagen ska alltjämt innehålla uttömmande överklagandebestämmelser för tillämpningsområdet. Det kommer att finnas en rätt att överklaga tillsynsmyndighetens beslut, exempelvis vad gäller administrativa sanktionsavgifter eller besked om handläggningen av ett klagomål. Detsamma gäller de beslut som domstolarna fattat i egenskap av personuppgiftsansvariga myndigheter. För dessa överklaganden ska även fortsättningsvis en speciell instansordning gälla för samtliga domstolar utom hyres- och arrendenämnderna. Promemorians lagförslag Förslag till lag om ändring i domstolsdatalagen (2015:728) Härigenom föreskrivs i fråga om domstolsdatalagen (2015:728) dels att 12 § ska upphävas, dels att rubrikerna närmast före 4 och 12 §§ ska utgå, dels att 2-5, 7, 10, 11, 13, 14, 19, 20 och 22 §§ samt rubrikerna närmast före 10 och 11 §§ ska ha följande lydelse, dels att det ska införas tre nya paragrafer, 3 a, 5 a och 19 a §§, och närmast före 3 a § en ny rubrik av följande lydelse. Nuvarande lydelse Föreslagen lydelse 2 § Denna lag gäller vid behandling av personuppgifter i de allmänna domstolarnas, de allmänna förvaltningsdomstolarnas och hyres- och arrendenämndernas rättskipande och rättsvårdande verksamhet. Lagen gäller också när personuppgifterna vidarebehandlas i den administrativa verksamheten för att lämnas ut efter begäran. Om inte annat anges i 3 §, gäller denna lag vid behandling av personuppgifter i de allmänna domstolarnas, de allmänna förvaltningsdomstolarnas och hyres- och arrendenämndernas rättskipande och rättsvårdande verksamhet. Lagen gäller också när personuppgifterna vidarebehandlas i den administrativa verksamheten för att lämnas ut efter begäran. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. 3 § De avvikande bestämmelser som finns i lagen (2013:329) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen eller i föreskrifter som regeringen har meddelat i anslutning till den lagen, ska tillämpas i stället för bestämmelserna i denna lag. Detsamma gäller i fråga om Europaparlamentets och rådets förordning (EU) nr 655/2014 av den 15 maj 2014 om inrättande av ett europeiskt förfarande för kvarstad på bankmedel för att underlätta gränsöverskridande skuldindrivning i mål och ärenden av privaträttslig natur. Denna lag gäller inte vid behandling av personuppgifter i de allmänna domstolarnas och de allmänna förvaltningsdomstolarnas verksamhet som omfattas av brottsdatalagens (2018:xx) tillämpningsområde. Förhållandet till annan lagstiftning 3 a § Denna lag innehåller kompletterande bestämmelser till Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG. 4 § Om inte något annat anges i 5 §, gäller denna lag i stället för personuppgiftslagen (1998:204). Om inte något annat anges i 5 §, gäller denna lag i stället för lagen med kompletterande bestämmelser till EU:s dataskyddsförordning (2018:xx). 5 § När personuppgifter behandlas enligt denna lag, eller enligt föreskrifter som har meddelats i anslutning till lagen, gäller följande bestämmelser i personuppgiftslagen (1998:204): 1. 3 § om definitioner, 2. 8 § om förhållandet till offentlighetsprincipen, 3. 9 § om grundläggande krav på behandling av personuppgifter, 4. 22 § om behandling av personnummer, 5. 23 och 25-27 §§ om information till den registrerade, 6. 28 § om rättelse, 7. 30 och 31 §§ samt 32 § första stycket om säkerheten vid behandling, 8. 33-35 §§ om överföring av personuppgifter till tredjeland, 9. 38, 40 och 41 §§ om personuppgiftsombud m.m., 10. 43 och 44 §§, 45 § första stycket och 47 § om tillsynsmyndighetens befogenheter, och 11. 48 § om skadestånd. När personuppgifter behandlas enligt denna lag, eller enligt föreskrifter som har meddelats i anslutning till lagen, gäller följande bestämmelser i lagen med kompletterande bestämmelser till EU:s dataskyddsförordning (2018:xx): 1. 1 kap. 4 § första stycket om förhållandet till tryck- och yttrandefriheten, 2. 3 kap. 13 § om behandling av personnummer och samordningsnummer, 3. 4 kap. 1 § om användningsbegränsningar för arkiverade personuppgifter, 4. 5 kap. 1 § första stycket och 5 kap. 2 § om begränsning av vissa rättigheter och skyldigheter, 5. 6 kap. 1-5 §§ om tillsynsmyndighetens handläggning och beslut, 6. 7 kap. 1, 3 och 4 §§ om administrativa sanktionsavgifter, och 7. 8 kap. 1 § om skadestånd. Förbud enligt 44 eller 45 § personuppgiftslagen får inte förenas med vite. 5 a § De avvikande bestämmelser som finns i Europaparlamentets och rådets förordning (EU) nr 655/2014 av den 15 maj 2014 om inrättande av ett europeiskt förfarande för kvarstad på bankmedel för att underlätta gränsöverskridande skuldindrivning i mål och ärenden av privaträttslig natur, ska tillämpas i stället för bestämmelserna i denna lag. 7 § Personuppgifter som behandlas enligt 6 § får även behandlas om det behövs för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Personuppgifter som behandlas eller har behandlats enligt 6 § får även behandlas om det behövs 1. för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning, eller 2. för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i Europaparlamentets och rådets förordning (EU) 2016/679. Personuppgifter får även behandlas för de ändamål som framgår av första stycket när de behandlas eller har behandlats med stöd av brottsdatalagen (2018:xx) eller [namnet på den registerförfattning som kompletterar brottsdatalagen för domstolarnas verksamhet] (2018:xx). Personuppgiftsombud Dataskyddsombud 10 § Den personuppgiftsansvarige ska utse ett eller flera personuppgiftsombud. Den personuppgiftsansvarige ska anmäla till tillsynsmyndigheten enligt personuppgiftslagen (1998:204) när ett personuppgiftsombud utses eller entledigas. Den personuppgiftsansvarige ska utse ett eller flera dataskyddsombud. Förteckning över personuppgiftsbehandlingar Begränsningar av vissa rättigheter och skyldigheter 11 § Den som är personuppgiftsombud ska föra en förteckning över de behandlingar som utförs med stöd av denna lag. Bestämmelserna om den registrerades rätt att få information om en personuppgiftsincident enligt artikel 34 i Europaparlamentets och rådets förordning (EU) 2016/679, gäller inte om den personuppgiftsansvarige, enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning, inte får lämna ut uppgifter till den registrerade. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om vilka uppgifter en sådan förteckning ska innehålla. 13 § Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personen genom sådana särskilda kategorier av uppgifter som anges i artikel 9.1 i Europaparlamentets och rådets förordning (EU) 2016/679 (känsliga personuppgifter). 14 § Vid sökning i personuppgifter är det förbjudet att som sökbegrepp använda uppgifter som avslöjar 1. ras eller etniskt ursprung, 2. politiska åsikter, 3. religiös eller filosofisk övertygelse, 4. medlemskap i fackförening, 5. hälsa, 6. sexualliv, 7. nationell anknytning, eller 8. brott eller misstanke om brott. Vid sökning i personuppgifter är det förbjudet att använda sökbegrepp som avslöjar känsliga personuppgifter enligt 13 §, uppgifter om nationell anknytning eller uppgifter om brott eller misstanke om brott. Användning av särskilda beteckningar för identifiering av en viss mål- eller ärendetyp som sökbegrepp omfattas inte av förbudet i första stycket. 19 § Tillsynsmyndighetens beslut enligt denna lag eller enligt de bestämmelser i personuppgiftslagen (1998:204) som anges i 5 § om annat än föreskrifter får överklagas till allmän förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten. Tillsynsmyndighetens beslut enligt Europaparlamentets och rådets förordning (EU) 2016/679 och enligt 7 kap. 1 § lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning får överklagas till allmän förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten. 19 a § Tillsynsmyndighetens beslut att avslå en begäran om besked enligt 6 kap. 5 § lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning får överklagas till allmän förvaltningsdomstol. Om domstolen bifaller överklagandet, ska den förelägga tillsynsmyndigheten att inom en bestämd tid lämna besked till den registrerade i frågan om tillsyn kommer att utövas. Domstolens beslut får inte överklagas. 20 § En hovrätts, tingsrätts eller förvaltningsrätts beslut om upplysningar enligt 12 § eller om information till den registrerade enligt 26 § personuppgiftslagen (1998:204) och om rättelse och underrättelse till tredje man enligt 28 § samma lag får överklagas till kammarrätten. En kammarrätts beslut i sådana frågor får överklagas till Högsta förvaltningsdomstolen. En hovrätts, tingsrätts eller förvaltningsrätts beslut om registrerades rättigheter enligt artiklarna 12.5, 15-19 och 21 i Europaparlamentets och rådets förordning (EU) 2016/679, får överklagas till kammarrätt. En kammarrätts beslut i sådana frågor får överklagas till Högsta förvaltningsdomstolen. Högsta domstolens och Högsta förvaltningsdomstolens beslut i frågor som avses i första stycket får inte överklagas. 22 § Andra beslut än sådana som avses i 19-21 §§ eller i 47 § personuppgiftslagen (1998:204) får inte överklagas. Vid överklagande av förvaltningsrättens beslut i frågor som avses i 47 § personuppgiftslagen krävs prövningstillstånd vid överklagande till kammarrätten. Andra beslut än sådana som avses i 19-21 §§ får inte överklagas. 1. Denna lag träder i kraft den 1 maj 2018 i fråga om 3 och 5 a §§ och i övrigt den 25 maj 2018. 2. Äldre föreskrifter gäller fortfarande för överklagande av beslut som har meddelats med stöd av de föreskrifterna. Förteckning över remissinstanserna (Ds 2017:41) Efter remiss har yttranden över promemorian En omarbetad domstols-datalag - anpassning till EU:s dataskyddsförordning (Ds 2017:41) inkommit från Riksdagens ombudsmän, Svea hovrätt, Hovrätten för Västra Sverige, Nacka tingsrätt (mark- och miljödomstolen), Södertörns tingsrätt, Växjö tingsrätt (mark- och miljödomstolen), Helsingborgs tingsrätt, Vänersborgs tingsrätt (mark- och miljödomstolen), Umeå tingsrätt, Kammarrätten i Stockholm, Kammarrätten i Göteborg, Förvaltningsrätten i Stockholm, Förvaltningsrätten i Malmö, Förvaltningsrätten i Jönköping, Förvaltningsrätten i Linköping, Justitiekanslern, Hyresnämnden i Stockholm, Hyres- och arrendenämnden i Sundsvall, Myndigheten för samhällsskydd och beredskap, Domstolsverket, Migrationsverket, Datainspektionen, Försäkringskassan, Skatteverket, Kronofogdemyndigheten, Kammarkollegiet, Länsstyrelsen i Stockholms län, Länsstyrelsen i Skåne län, Länsstyrelsen i Västra Götalands län, Stockholms universitet (Juridiska fakultetsnämnden), Naturvårdsverket, Havs- och vattenmyndigheten, Lantmäteriet, Sveriges advokatsamfund och Sveriges Kommuner och Landsting. Yttranden har även inkommit från Sundsvalls tingsrätt och Dataskydd.net. Norrköpings tingsrätt och Uppsala universitet (Juridiska fakultetsnämnden) har avstått från att yttra sig. Svar har inte inkommit från Svensk Vattenkraftförening, Svenskt Näringsliv eller Sveriges Energiföreningars Riksorganisation. Sammanfattning av betänkandet Brottsdatalag - kompletterande lagstiftning (SOU 2017:74) Utredningen bedömer att om ändringarna i domstolsdatalagen träder i kraft före domstolarnas brottsdatalag, bör domstolsdatalagen i dess lydelse före den 25 maj 2018 och personuppgiftslagen fortsätta att gälla tills vidare för sådan behandling av personuppgifter som undantas från dataskyddsförordningens tillämpningsområde. Förteckning över remissinstanserna (SOU 2017:74) Efter remiss har yttranden över betänkandet Brottsdatalag - kompletterande lagstiftning (SOU 2017:74) inkommit från Riksdagens ombudsmän, Svea hovrätt, Hovrätten för Västra Sverige, Södertörns tingsrätt, Eskilstuna tingsrätt, Helsingborgs tingsrätt, Umeå tingsrätt, Kammarrätten i Stockholm, Kammarrätten i Göteborg, Förvaltningsrätten i Stockholm, Förvaltningsrätten i Malmö, Förvaltningsrätten i Jönköping, Förvaltningsrätten i Linköping, Justitiekanslern, Domstolsverket, Åklagarmyndigheten, Ekobrottsmyndigheten, Polismyndigheten, Säkerhetspolisen, Säkerhets- och integritetsskyddsnämnden, Kriminalvården, Övervakningsnämnd Stockholm Centrum, Brottsförebyggande rådet, Brottsoffermyndigheten, Rättsmedicinalverket, Myndigheten för samhällsskydd och beredskap, Kustbevakningen, Migrationsverket, Datainspektionen, Försvarsmakten, Försvarets radioanstalt, Försäkringskassan, Socialstyrelsen, Inspektionen för vård och omsorg, Statens institutionsstyrelse, Pensionsmyndigheten, Tullverket, Finansinspektionen, Skatteverket, Kronofogdemyndigheten, Arbetsgivarverket, Länsstyrelsen Skåne, Länsstyrelsen Värmland, Länsstyrelsen Västernorrland, Avesta kommun, Hallstahammars kommun, Kiruna kommun, Luleå kommun, Norrköpings kommun, Sala kommun, Stockholms kommun, Statskontoret, Uppsala universitet (juridiska fakulteten), Umeå universitet (juridiska institutionen), Naturvårdsverket, Havs- och vattenmyndigheten, Post- och telestyrelsen, Sjöfartsverket, Riksarkivet, Sveriges advokatsamfund, Svenska Journalistförbundet, Tidningsutgivarna, Dataskydd.net och Svenska Fotbollförbundet. Ett yttrande har även inkommit från Riksidrottsförbundet. Följande remissinstanser har meddelat att de avstår från att yttra sig eller har inte hörts av: Länsstyrelsen Stockholm, Blekinge läns landsting, Stockholms läns landsting, Västerbottens läns landsting, Alingsås kommun, Borgholms kommun, Danderyds kommun, Falu kommun, Göteborgs kommun, Helsingborgs kommun, Karlstads kommun, Laholms kommun, Lycksele kommun, Malmö kommun, Ronneby kommun, Sandvikens kommun, Sundsvalls kommun, Tierps kommun, Tranås kommun, Trelleborgs kommun, Uppsala kommun, Värnamo kommun, Växjö kommun, Åmåls kommun, Örebro kommun, Östersunds kommun, Sveriges Akademikers Centralorganisation (SACO), Landsorganisationen i Sverige (LO), Tjänstemännens centralorganisation (TCO), Svenskt Näringsliv, Sveriges Kommuner och Landsting (SKL), Sveriges Förenade Ordningsvakter, IT&Telekomföretagen, Civil Rights Defenders och Svenska Ishockeyförbundet. Lagrådsremissens lagförslag Förslag till lag om ändring i domstolsdatalagen (2015:728) Härigenom föreskrivs i fråga om domstolsdatalagen (2015:728) dels att 5, 11, 12, 19 och 22 §§ ska upphöra att gälla, dels att rubrikerna närmast före 4, 11 och 12 §§ ska utgå, dels att nuvarande 3 § ska betecknas 5 §, dels att 4, 7, 10, 13, 14 och 20 §§ och rubriken närmast före 10 § ska ha följande lydelse, dels att det ska införas två nya paragrafer, 3 och 11 §§, och närmast före 3 och 11 §§ nya rubriker av följande lydelse. Nuvarande lydelse Föreslagen lydelse Förhållandet till annan författning 3 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. 4 § Om inte något annat anges i 5 §, gäller denna lag i stället för personuppgiftslagen (1998:204). Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. 7 § Personuppgifter som behandlas enligt 6 § får även behandlas om det behövs för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Personuppgifter som behandlas enligt 6 § får behandlas även om det behövs för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Personuppgifter som behandlas enligt 6 § får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in. Personuppgiftsombud Dataskyddsombud 10 § Den personuppgiftsansvarige ska utse ett eller flera personuppgiftsombud. Den personuppgiftsansvarige ska utse ett eller flera dataskyddsombud. Den personuppgiftsansvarige ska anmäla till tillsynsmyndigheten enligt personuppgiftslagen (1998:204) när ett personuppgiftsombud utses eller entledigas. Information om personuppgiftsincidenter 11 § Den personuppgiftsansvariges skyldighet att informera den registrerade om en personuppgiftsincident enligt artikel 34 i EU:s dataskyddsförordning gäller inte sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning. 13 § Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personen utifrån sådana uppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter). 14 § Vid sökning i personuppgifter är det förbjudet att som sökbegrepp använda uppgifter som avslöjar 1. ras eller etniskt ursprung, 2. politiska åsikter, 3. religiös eller filosofisk övertygelse, 4. medlemskap i fackförening, 5. hälsa, 6. sexualliv, 7. nationell anknytning, eller 8. brott eller misstanke om brott. Vid sökning i personuppgifter är det förbjudet att använda sökbegrepp som avslöjar känsliga personuppgifter, uppgifter om nationell anknytning eller uppgifter om brott eller misstanke om brott. Användning av särskilda beteckningar för identifiering av en viss mål- eller ärendetyp som sökbegrepp omfattas inte av förbudet i första stycket. 20 § En hovrätts, tingsrätts eller förvaltningsrätts beslut om upplysningar enligt 12 § eller om information till den registrerade enligt 26 § personuppgiftslagen (1998:204) och om rättelse och underrättelse till tredje man enligt 28 § samma lag får överklagas till kammarrätten. En kammarrätts beslut i sådana frågor får överklagas till Högsta förvaltningsdomstolen. Beslut enligt artiklarna 12.5 och 15-21 i EU:s dataskyddsförordning som har meddelats av en hovrätt, tingsrätt eller förvaltningsrätt i egenskap av personuppgiftsansvarig får överklagas till kammarrätten. En kammarrätts beslut i sådana frågor får överklagas till Högsta förvaltningsdomstolen. Högsta domstolens och Högsta förvaltningsdomstolens beslut i frågor som avses i första stycket får inte överklagas. 1. Denna lag träder i kraft den 25 maj 2018. 2. Äldre föreskrifter gäller fortfarande för överklagande av beslut som har meddelats före ikraftträdandet. 3. Äldre föreskrifter gäller fortfarande vid sådan behandling av personuppgifter som avses i artikel 2.2 d i EU:s dataskyddsförordning, i den ursprungliga lydelsen. Lagrådets yttrande Utdrag ur protokoll vid sammanträde 2018-01-30 Närvarande: F.d. justitieråden Gustaf Sandström och Lena Moore samt justitierådet Anders Eka Anpassning av domstolsdatalagen till EU:s dataskyddsförordning Enligt en lagrådsremiss den 11 januari 2018 har regeringen (Justitiedepartementet) beslutat inhämta Lagrådets yttrande över förslag till lag om ändring i domstolsdatalagen (2015:728). Förslaget har inför Lagrådet föredragits av rättssakkunnige David Brandell. Förslaget föranleder följande yttrande av Lagrådet: Rubriken före 3 § Den föreslagna rubriken lyder "Förhållandet till annan författning". I andra lagstiftningsärenden som också avser anpassningar till EU:s dataskyddsförordning har rubriken "Förhållandet till annan reglering" i stället valts som rubrik till motsvarande bestämmelser. Enligt Lagrådets mening är det senare alternativet att föredra och bör användas här. Lagrådet vill framhålla att rubriken "Förhållandet till annan dataskyddsreglering" i vissa fall, bl.a. när det inte är fråga om en registerförfattning, kan vara att föredra. Det gäller t.ex. i lagen (2006:24) om nationella toppdomäner för Sverige på Internet i remissen rörande lagstiftningen inom Näringsdepartementets ansvarsområden (jfr också den föreslagna rubriken före 21 kap. 7 § offentlighets- och sekretesslagen, "Behandling i strid med dataskyddsregleringen" i remissen Ny dataskyddslag). Justitiedepartementet Utdrag ur protokoll vid regeringssammanträde den 22 februari 2018 Närvarande: statsminister Löfven, ordförande, och statsråden Lövin, Wallström, Y Johansson, Baylan, Bucht, Hultqvist, Regnér, Andersson, Hellmark Knutsson, Bolund, Bah Kuhnke, Strandhäll, Shekarabi, Fridolin, Eriksson, Linde, Skog, Ekström, Eneroth Föredragande: statsrådet Hultqvist Regeringen beslutar proposition Anpassning av domstolsdatalagen till EU:s dataskyddsförordning