Post 1455 av 7189 träffar
EU:s dataskyddsförordning och lagstiftningen inom Näringsdepartementets ansvarsområden Prop. 2017/18:122
Ansvarig myndighet: Näringsdepartementet
Dokument: Prop. 122
Regeringens proposition
2017/18:122
EU:s dataskyddsförordning och lagstiftningen inom Näringsdepartementets ansvarsområden
Prop.
2017/18:122
Regeringen överlämnar denna proposition till riksdagen.
Stockholm den 22 februari 2018
Stefan Löfven
Sven-Erik Bucht
(Näringsdepartementet)
Propositionens huvudsakliga innehåll
I propositionen lämnar regeringen förslag som anpassar befintliga data-skyddsbestämmelser inom Näringsdepartementets ansvarsområden till EU:s nya dataskyddsförordning.
Dataskyddsförordningen kommer att stärka skyddet och rättigheterna för den som får sina personuppgifter behandlade. Förordningen är direkt tillämplig i Sverige, men kräver att svenska författningar anpassas för att säkerställa dels att svensk rätt inte strider mot förordningen, dels att förordningen får ett effektivt genomslag.
Regeringen föreslår ändringar i bl.a. rennäringslagen, postlagen och lagen om behörighet för lokförare. Förslagen innebär inga större ändringar i sak utan går främst ut på att hänvisningar till person-uppgiftslagen i relevanta fall ersätts med hänvisningar till dataskydds-förordningen och att dubbelregleringar tas bort.
Lagändringarna föreslås träda i kraft den 25 maj 2018.
Innehållsförteckning
1 Förslag till riksdagsbeslut 4
2 Lagtext 5
2.1 Förslag till lag om ändring i rennäringslagen (1971:437) 5
2.2 Förslag till lag om ändring i skogsvårdslagen (1979:429) 7
2.3 Förslag till lag om ändring i lagen (2003:389) om elektronisk kommunikation 9
2.4 Förslag till lag om ändring i lagen (2006:24) om nationella toppdomäner för Sverige på Internet 11
2.5 Förslag till lag om ändring i lagen (2007:1150) om tillsyn över hundar och katter 12
2.6 Förslag till lag om ändring i lagen (2009:619) om djurskyddskontrollregister 13
2.7 Förslag till lag om ändring i postlagen (2010:1045) 16
2.8 Förslag till lag om ändring i lagen (2011:725) om behörighet för lokförare 17
2.9 Förslag till lag om ändring i lagen (2013:315) om intelligenta transportsystem vid vägtransporter 20
2.10 Förslag till lag om ändring i lagen (2013:1164) om elektroniska vägtullssystem 21
2.11 Förslag till lag om ändring i lagen (2014:52) om infrastrukturavgifter på väg 23
3 Ärendet och dess beredning 24
4 Dataskyddsreformen 24
5 Rättslig grund för behandling av personuppgifter 26
6 Bestämmelser om behandling av personuppgifter och övrig dataskyddsreglering 31
6.1 Upplysningsbestämmelser 31
6.2 Ändamålsbestämmelser och finalitetsprincipen 33
6.3 Personuppgiftsansvar 35
6.4 Känsliga personuppgifter 36
6.5 Överföring av personuppgifter till tredjeländer 40
7 Den registrerades rättigheter 41
8 Rättsmedel och skadestånd 44
9 Anpassning av vissa bestämmelser i lagen om elektronisk kommunikation 45
10 Ikraftträdande- och övergångsbestämmelser 48
11 Konsekvenser 49
12 Författningskommentar 49
12.1 Förslaget till lag om ändring i rennäringslagen (1971:437) 49
12.2 Förslaget till lag om ändring i skogsvårdslagen (1979:429) 50
12.3 Förslaget till lag om ändring i lagen (2003:389) om elektronisk kommunikation 52
12.4 Förslaget till lag om ändring i lagen (2006:24) om nationella toppdomäner för Sverige på Internet 54
12.5 Förslaget till lag om ändring i lagen (2007:1150) om tillsyn över hundar och katter 55
12.6 Förslaget till lag om ändring i lagen (2009:619) om djurskyddskontrollregister 56
12.7 Förslaget till lag om ändring i postlagen (2010:1045) 59
12.8 Förslaget till lag om ändring i lagen (2011:725) om behörighet för lokförare 59
12.9 Förslaget till lag om ändring i lagen (2013:315) om intelligenta transportsystem vid vägtransporter 63
12.10 Förslaget till lag om ändring i lagen (2013:1164) om elektroniska vägtullssystem 64
12.11 Förslaget till lag om ändring i lagen (2014:52) om infrastrukturavgifter på väg 66
Bilaga 1 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) 67
Bilaga 2 Sammanfattning av departementspromemorian En anpassning till dataskyddsförordningen av dataskyddsbestämmelser inom Näringsdepartementets verksamhetsområde (Ds 2017:28) 155
Bilaga 3 Promemorians lagförslag 156
Bilaga 4 Förteckning över remissinstanserna 172
Bilaga 5 Lagrådsremissens lagförslag 173
Bilaga 6 Lagrådets yttrande 191
Utdrag ur protokoll vid regeringssammanträde den 22 februari 2018 192
1
Förslag till riksdagsbeslut
Regeringen föreslår att riksdagen antar regeringens förslag till
1. lag om ändring i rennäringslagen (1971:437),
2. lag om ändring i skogsvårdslagen (1979:429),
3. lag om ändring i lagen (2003:389) om elektronisk kommunikation,
4. lag om ändring i lagen (2006:24) om nationella toppdomäner för Sverige på Internet,
5. lag om ändring i lagen (2007:1150) om tillsyn över hundar och katter,
6. lag om ändring i lagen (2009:619) om djurskyddskontrollregister,
7. lag om ändring i postlagen (2010:1045),
8. lag om ändring i lagen (2011:725) om behörighet för lokförare,
9. lag om ändring i lagen (2013:315) om intelligenta transportsystem vid vägtransporter,
10. lag om ändring i lagen (2013:1164) om elektroniska vägtullssystem,
11. lag om ändring i lagen (2014:52) om infrastrukturavgifter på väg.
2 Lagtext
Regeringen har följande förslag till lagtext.
2.1 Förslag till lag om ändring i rennäringslagen (1971:437)
Härigenom föreskrivs att 74 § rennäringslagen (1971:437) ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
74 §
Ärenden om registrering av renmärke prövas av Sametinget.
Sametinget är personuppgifts-ansvarigt för renmärkesregistret.
Registret får användas för att fastställa vem som är ägare till en ren. Registret skall innehålla upp-gifter om ett renmärkes utseende, den sameby där märket får använ-das samt märkesinnehavarens namn, person- eller organisations-nummer och adress.
Personuppgiftslagen (1998:204) gäller för behandling av person-uppgifter, utöver vad som sägs i andra och tredje styckena.
Sametinget är personuppgifts-ansvarigt för behandlingen av personuppgifter i renmärkesregistret.
Registret får användas för att fastställa vem som är ägare till en ren. Registret ska innehålla upp-gifter om ett renmärkes utseende, den sameby där märket får använ-das samt märkesinnehavarens namn, person- eller organisations-nummer och adress.
Bestämmelserna i andra och tredje styckena kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på be-handling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Vid behandling av personupp-gifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s data-skyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Denna lag träder i kraft den 25 maj 2018.
1.1
2.2 Förslag till lag om ändring i skogsvårdslagen (1979:429)
Härigenom föreskrivs i fråga om skogsvårdslagen (1979:429)
dels att 32 g § ska upphöra att gälla,
dels att 32 b, 32 c, 32 e och 40 §§ ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
32 b §
I fråga om personuppgifter skall registret över fysiska och juridiska personer, som yrkesmässigt be-driver produktion eller införsel för saluföring av skogsodlingsmaterial eller handel med sådant material, ha till ändamål att tillhandahålla uppgifter för
I fråga om personuppgifter ska registret över fysiska och juridiska personer, som yrkesmässigt be-driver produktion eller införsel för saluföring av skogsodlingsmaterial eller handel med sådant material, ha till ändamål att tillhandahålla uppgifter för
1. verksamhet för vilken staten ansvarar enligt lag eller annan författning, och
a) som avser sådana näringsidkare som registrerats i registret, eller
b) som för att kunna utföras förutsätter tillgång till uppgifter om sådana näringsidkare,
2. aktualisering, komplettering eller kontroll av uppgifter om sådana näringsidkare i kund- eller verksamhetsregister eller liknande register, eller
3. uttag av urval av person-uppgifter för direkt marknads-föring, dock med den begränsning som följer av 11 § personupp-giftslagen (1998:204).
3. uttag av urval av person-uppgifter för direkt marknads-föring, dock med den begränsning som följer av artikel 21.2 och 21.3 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på be-handling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän data-skyddsförordning), här benämnd EU:s dataskyddsförordning.
32 c §
I fråga om personuppgifter skall registret över godkända frökällor ha till ändamål att tillhandhålla uppgifter för
I fråga om personuppgifter ska registret över godkända frökällor ha till ändamål att tillhandahålla uppgifter för
1. verksamhet för vilken staten ansvarar enligt lag eller annan författning, och
a) som avser sådana frökällor som registrerats i registret, eller
b) som för att kunna utföras förutsätter tillgång till uppgifter om sådana frökällor,
2. omsättning av skogsodlingsmaterial och fast egendom på vilken en frökälla registrerats,
3. aktualisering, komplettering eller kontroll av uppgifter om frökällor i kund- eller verksamhetsregister eller liknande register, eller
4. uttag av urval av person-uppgifter för direkt marknads-föring, dock med den begränsning som följer av 11 § person-uppgiftslagen (1998:204).
4. uttag av urval av person-uppgifter för direkt marknads-föring, dock med den begränsning som följer av artikel 21.2 och 21.3 i EU:s dataskyddsförordning.
32 e §
Skogsstyrelsen är person-uppgiftsansvarig enligt person-uppgiftslagen (1998:204) för de register som avses i 32 a § första stycket.
Skogsstyrelsen är person-uppgiftsansvarig för behandlingen av personuppgifter i de register som avses i 32 a § första stycket.
40 §
Skogsstyrelsens beslut enligt denna lag eller enligt föreskrifter som har meddelats med stöd av lagen får överklagas hos allmän förvaltningsdomstol. Detsamma gäller beslut om avslag på ansökan om information enligt 26 § person-uppgiftslagen (1998:204) och beslut om rättelse enligt 28 § samma lag.
Skogsstyrelsens beslut enligt denna lag eller enligt föreskrifter som har meddelats med stöd av lagen får överklagas till allmän förvaltningsdomstol.
Naturvårdsverket får överklaga Skogsstyrelsens beslut i fall som avses i 25 § andra stycket.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Denna lag träder i kraft den 25 maj 2018.
2.3 Förslag till lag om ändring i lagen (2003:389) om elektronisk kommunikation
Härigenom föreskrivs att 6 kap. 1 och 2 §§ och rubriken närmast före 6 kap. 2 § lagen (2003:389) om elektronisk kommunikation ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
6 kap.
1 §
I detta kapitel avses med
elektroniskt meddelande: all information som utbyts eller överförs mellan ett begränsat antal parter genom en allmänt tillgänglig elektronisk kommunikationstjänst, utom information som överförs som del av sändningar av ljudradio- och tv-program som är riktade till allmänheten via ett elektroniskt kommunikationsnät om denna information inte kan sättas i samband med den enskilda abonnenten eller användaren av informationen,
integritetsincident: en händelse som leder till oavsiktlig eller otillåten utplåning, förlust eller ändring, eller otillåtet avslöjande av eller otillåten åtkomst till uppgifter som behandlas i samband med tillhandahållandet av allmänt tillgängliga elektroniska kommunikationstjänster,
internetåtkomst: möjlighet till överföring av ip-paket som ger användaren tillgång till internet,
meddelandehantering: utbyte eller överföring av elektroniskt meddelande som inte är samtal och inte heller är information som överförs som del av sändningar av ljudradio- och tv-program,
misslyckad uppringning: uppringning som kopplas fram utan att nå en mottagare,
trafikuppgift: uppgift som behandlas i syfte att befordra ett elektroniskt meddelande via ett elektroniskt kommunikationsnät eller för att fakturera detta meddelande.
Begreppen behandling, person-uppgiftsansvarig och samtycke har i kapitlet samma innebörd som i personuppgiftslagen (1998:204).
Förhållande till annan lag
Begreppen behandling, person-uppgiftsansvarig och samtycke har i kapitlet samma innebörd som i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på be-handling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän data-skyddsförordning), här benämnd EU:s dataskyddsförordning.
Förhållande till annan reglering
2 §
I fråga om behandling av person-uppgifter vid tillhandahållande av elektroniska kommunikationsnät och elektroniska kommunikations-tjänster samt vid abonnentupp-lysning gäller personuppgiftslagen (1998:204), om inte annat följer av denna lag.
Bestämmelserna i personuppgiftslagen om rättelse och skadestånd gäller även vid behandling av personuppgifter enligt denna lag.
Bestämmelser om behandling av personuppgifter finns förutom i detta kapitel i EU:s dataskyddsförordning och i lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning samt i föreskrifter som har meddelats i anslutning till den lagen.
Bestämmelserna i EU:s dataskyddsförordning om rättelse, radering, begränsning och skadestånd gäller även vid behandling av personuppgifter enligt denna lag.
I det allmännas verksamhet ska offentlighets- och sekretesslagen (2009:400) tillämpas i stället för 20-23 §§.
Denna lag träder i kraft den 25 maj 2018.
2.4 Förslag till lag om ändring i lagen (2006:24) om nationella toppdomäner för Sverige på Internet
Härigenom föreskrivs att 3 § och rubriken närmast före 3 § lagen (2006:24) om nationella toppdomäner för Sverige på Internet ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
Förhållandet till personuppgifts-lagen
Förhållandet till annan data-skyddsreglering
3 §
Bestämmelserna i personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter i administrationen av en nationell toppdomän för Sverige, om inte annat följer av denna lag.
Bestämmelserna i 6 § kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Bestämmelserna i personuppgiftslagen om rättelse och skadestånd gäller även vid behandling av personuppgifter enligt denna lag eller enligt föreskrifter som meddelats med stöd av lagen.
Vid behandling av personupp-gifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s data-skyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Denna lag träder i kraft den 25 maj 2018.
2.5 Förslag till lag om ändring i lagen (2007:1150) om tillsyn över hundar och katter
Härigenom föreskrivs att 6 och 7 §§ lagen (2007:1150) om tillsyn över hundar och katter ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
6 §
Jordbruksverket är personuppgiftsansvarigt enligt personuppgifts-lagen (1998:204) för hundregistret. Regeringen eller, efter regeringens bemyndigande, Jordbruksverket får besluta att överlåta driften av registret till en annan myndighet eller till en organisation.
Jordbruksverket är personuppgiftsansvarigt för behandlingen av personuppgifter i hundregistret. Regeringen eller, efter regeringens bemyndigande, Jordbruksverket får besluta att överlåta driften av registret till en annan myndighet eller till en organisation.
7 §
För behandling av personuppgifter gäller, utöver vad som sägs i 5 och 6 §§, personuppgiftslagen (1998:204). Bestämmelserna i personuppgiftslagen om rättelse och skadestånd gäller även vid behandling av personuppgifter som utförs enligt denna lag.
Bestämmelserna i 5 och 6 §§ kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Denna lag träder i kraft den 25 maj 2018.
2.6 Förslag till lag om ändring i lagen (2009:619) om djurskyddskontrollregister
Härigenom föreskrivs i fråga om lagen (2009:619) om djurskydds-kontrollregister
dels att 11 § ska upphöra att gälla,
dels att rubrikerna närmast före 3 och 11 §§ ska utgå,
dels att nuvarande 2 § ska betecknas 3 § och nuvarande 3 § ska betecknas 2 §,
dels att 2, 3, 5, 6 och 12 §§ ska ha följande lydelse,
dels att rubriken närmast före 1 § ska lyda "Inledande bestämmelse",
dels att det närmast före 2 och 3 §§ ska införas nya rubriker av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
Förhållandet till annan reglering
3 §
Personuppgiftslagen (1998:204) gäller vid behandling av person-uppgifter i djurskyddskontroll-registret om inte annat följer av denna lag eller av föreskrifter som har meddelats med stöd av denna lag.
2 §
Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på be-handling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s data-skyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Rätten att göra invändningar
2 §
Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den enskilde motsätter sig behandlingen.
3 §
Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.
5 §
Personuppgifter får behandlas i djurskyddskontrollregistret för att
1. i verksamhet hos Jordbruks-verket planera, samordna, admini-strera, följa upp och rapportera om djurskyddskontrollen enligt djur-skyddslagen (1988:534) samt enligt de EG-förordningar som kompletteras av den lagen,
2. tillhandahålla information om djurskyddskontrollen som behövs i verksamhet hos länsstyrelserna för deras planering, uppföljning och kontroll enligt djurskyddslagen samt enligt de EG-förordningar som kompletteras av den lagen, och
3. tillhandahålla information som behövs i verksamhet hos Jordbruks-verket och länsstyrelserna som underlag för beslut om och kontroll av direktstöd och stöd för lands-bygdsutvecklingsåtgärder enligt lagen (1994:1710) om EG:s förordningar om jordbruksprodukter samt enligt lagen (1994:1708) om EG:s förordningar om struktur-stöd och om stöd till utveckling av landsbygden.
1. i verksamhet hos Jordbruks-verket planera, samordna, admini-strera, följa upp och rapportera om djurskyddskontrollen enligt djur-skyddslagen (1988:534) samt enligt de EU-förordningar som den lagen kompletterar,
2. tillhandahålla information om djurskyddskontrollen som behövs i verksamhet hos länsstyrelserna för deras planering, uppföljning och kontroll enligt djurskyddslagen samt enligt de EU-förordningar som den lagen kompletterar, och
3. tillhandahålla information som behövs i verksamhet hos Jordbruks-verket och länsstyrelserna som underlag för beslut om och kontroll av direktstöd och stöd för lands-bygdsutvecklingsåtgärder enligt lagen (1994:1710) om EG:s förordningar om jordbruksprodukter samt enligt lagen (1994:1708) om EU:s förordningar om struktur-stöd och om stöd till utveckling av landsbygden.
Personuppgifter som behandlas för ändamål som anges i första stycket får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med annan lag eller förordning. I övrigt gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204).
Personuppgifter som behandlas för ändamål som anges i första stycket får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med annan lag eller förordning.
Personuppgifter som behandlas enligt första stycket får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
6 §
I djurskyddskontrollregistret får endast behandlas sådana uppgifter om den som är föremål för djurskyddskontroll enligt djur-skyddslagen (1988:534) och de EG-förordningar som kompletteras av den lagen, som behövs för de ändamål som anges i 5 §.
I djurskyddskontrollregistret får endast behandlas sådana uppgifter om den som är föremål för djurskyddskontroll enligt djur-skyddslagen (1988:534) och de EU-förordningar som den lagen kompletterar, som behövs för de ändamål som anges i 5 §.
Sådana personuppgifter som avses i 13 § personuppgiftslagen (1998:204) får inte behandlas.
Personuppgifter som avses i artikel 9.1 i EU:s dataskydds-förordning (känsliga person-uppgifter) får inte behandlas.
Regeringen meddelar närmare föreskrifter om vilka personuppgifter som får behandlas i djurskyddskontrollregistret.
12 §
Personuppgifter som behandlas i djurskyddskontrollregistret ska gallras när de inte längre är nödvändiga för de ändamål som anges i 5 §.
Regeringen eller den myndighet som regeringen bestämmer får dock meddela föreskrifter, eller i det enskilda fallet besluta, om
1. att personuppgifter får bevaras för historiska, statistiska och vetenskapliga ändamål, och
1. att personuppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, och
2. att gallring av personuppgifter ska ske senast vid en viss tidpunkt.
Denna lag träder i kraft den 25 maj 2018.
1.1
2.7 Förslag till lag om ändring i postlagen (2010:1045)
Härigenom föreskrivs att 2 kap. 17 § postlagen (2010:1045) ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
2 kap.
17 §
I det allmännas verksamhet ska offentlighets- och sekretesslagen (2009:400) tillämpas i stället för 14 och 15 §§.
För utlämnande av annan person-uppgift i postverksamhet än som avses i 14 § första och tredje styckena gäller personuppgiftslagen (1998:204).
Denna lag träder i kraft den 25 maj 2018.
2.8 Förslag till lag om ändring i lagen (2011:725) om behörighet för lokförare
Härigenom föreskrivs i fråga om lagen (2011:725) om behörighet för lokförare
dels att 4 kap. 4 § ska upphöra att gälla,
dels att 4 kap. 1, 3, 8, 9, 13, 16, 22 och 25 §§ och rubriken närmast före 4 kap. 9 § ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
4 kap.
1 §
I detta kapitel finns bestämmelser om register över förarbevis (förarbevisregistret), kompletterande intyg (intygsregister) och tillståndshavare (tillståndsregistret).
Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter i de register som anges i första stycket, om inte annat följer av denna lag eller förordning som har meddelats med stöd av lagen.
Bestämmelserna kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på be-handling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
3 §
Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den enskilde motsätter sig behandlingen.
Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.
8 §
Personuppgifter som behandlas för ändamål som anges i 7 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med 10 §, annan lag eller förordning. I övrigt gäller 9 § första stycket d) och andra stycket personuppgiftslagen (1998:204).
Personuppgifter som behandlas för ändamål som anges i 7 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med 10 §, annan lag eller förordning.
Personuppgifter som behandlas enligt 7 § får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
Känsliga personuppgifter om hälsa
Känsliga personuppgifter
9 §
Känsliga personuppgifter som rör den registrerades hälsa får behandlas i förarbevisregistret
Sådana personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personupp-gifter) och som rör den registrera-des hälsa får behandlas i förarbevisregistret
1. om uppgifterna är nödvändiga för handläggning av ett ärende, eller
2. för något av de ändamål som anges i 8 §, om det är nödvändigt med hänsyn till ändamålet.
Andra känsliga personuppgifter får inte behandlas i förarbevisregistret.
13 §
Känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) får inte användas som sökbegrepp.
Det är förbjudet att använda sökbegrepp som avslöjar känsliga personuppgifter.
16 §
Personuppgifter som behandlas för ändamål som anges i 15 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med 17 §, annan lag eller förordning. I övrigt gäller 9 § första stycket d) och andra stycket personuppgiftslagen (1998:204).
Personuppgifter som behandlas för ändamål som anges i 15 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med 17 §, annan lag eller förordning.
Personuppgifter som behandlas enligt 15 § får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
22 §
Personuppgifter som behandlas för ändamål som anges i 21 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med annan lag eller förordning. I övrigt gäller 9 § första stycket d) och andra stycket personuppgiftslagen (1998:204).
Personuppgifter som behandlas för ändamål som anges i 21 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med annan lag eller förordning.
Personuppgifter som behandlas enligt 21 § får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
25 §
Regeringen eller den myndighet som regeringen bestämmer får beträffande de intygsregister som inte förs av det allmänna meddela föreskrifter eller i det enskilda fallet besluta om att
1. personuppgifter ska bevaras för historiska, statistiska eller vetenskapliga ändamål, eller
1. personuppgifter ska bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, eller
2. gallring av personuppgifter ska ske senast vid en viss tidpunkt.
Regeringen meddelar föreskrifter om bevarande och gallring som avses i första stycket 1 och 2 för övriga register.
Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om bevarande och gallring som avses i första stycket 1 och 2 för övriga register.
Denna lag träder i kraft den 25 maj 2018.
2.9 Förslag till lag om ändring i lagen (2013:315) om intelligenta transportsystem vid vägtransporter
Härigenom föreskrivs att 8 § lagen (2013:315) om intelligenta transportsystem vid vägtransporter ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
8 §
I personuppgiftslagen (1998:204), lagen (2003:389) om elektronisk kommunikation och lagen (2001:558) om vägtrafikregister finns bestämmelser om behandling av personuppgifter och integritets-skydd.
Bestämmelser om behandling av personuppgifter finns i Europa-parlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), lagen (2018:000) med kompletterande bestämmelser till EU:s data-skyddsförordning och lagen (2001:558) om vägtrafikregister.
I lagen (2003:389) om elektronisk kommunikation finns bestämmelser om behandling av personuppgifter och integritetsskydd.
I lagen (2010:566) om vidareutnyttjande av handlingar från den offentliga förvaltningen finns bestämmelser om vidareutnyttjande av handlingar hos statliga och kommunala myndigheter.
I produktansvarslagen (1992:18) finns bestämmelser om skadeståndsansvar för produkter med säkerhetsbrister.
Denna lag träder i kraft den 25 maj 2018.
2.10 Förslag till lag om ändring i lagen (2013:1164) om elektroniska vägtullssystem
Härigenom föreskrivs att 7, 25, 26 och 28 §§ lagen (2013:1164) om elektroniska vägtullssystem ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
7 §
En betalningsförmedlare ska
1. när ett avtal om förmedling av vägtull träffas med en väganvändare informera denne om den be-handling av personuppgifter som avtalet medför och om väganvändarens rättigheter enligt personuppgiftslagen (1998:204),
1. när ett avtal om förmedling av vägtull träffas med en väganvändare informera denne om den behandling av personuppgifter som avtalet medför och om väganvändarens rättigheter enligt Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på be-handling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning, och lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning samt föreskrifter som har meddelats i anslutning till den lagen,
2. informera väganvändarna om sin täckning enligt 6 § och eventuella förändringar av den,
3. vid behov förse de väganvändare med vilka avtal om förmedling av vägtull har träffats med fordonsutrustning som uppfyller föreskrivna tekniska krav och visa att utrustningen uppfyller kraven,
4. tillhandahålla lämpliga tjänster och tekniskt stöd för anpassning av fordonsutrustning,
5. ansvara för de fasta parametrar för klassificering av ett fordon som är lagrade i fordonsutrustningen eller hos betalningsförmedlaren,
6. se till att variabla parametrar för klassificering av ett fordon kan ställas in manuellt genom fordonsutrustningen,
7. föra en förteckning över fordonsutrustning som inte längre är godkänd och som hänför sig till ett avtal mellan förmedlaren och en väganvändare,
8. offentliggöra sina villkor för att träffa avtal med en väganvändare, och
9. samarbeta med avgiftsupptagare vid indrivning av vägtullar.
25 §
I fråga om behandling av personuppgifter finns bestämmelser i personuppgiftslagen (1998:204).
En avgiftsupptagare, eller den som för avgiftsupptagarens räkning tar upp vägtullar, är person-uppgiftsansvarig enligt personuppgiftslagen för den behandling av personuppgifter som en underrättelse enligt 19 § innebär.
En betalningsförmedlare är personuppgiftsansvarig enligt personuppgiftslagen för den behandling av personuppgifter som verksamheten innebär.
Bestämmelser om behandling av personuppgifter finns i EU:s dataskyddsförordning och i lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning samt i föreskrifter som har meddelats i anslutning till den lagen.
En avgiftsupptagare, eller den som för avgiftsupptagarens räkning tar upp vägtullar, är person-uppgiftsansvarig för den behandling av personuppgifter som en under-rättelse enligt 19 § innebär.
En betalningsförmedlare är personuppgiftsansvarig för den behandling av personuppgifter som verksamheten innebär.
26 §
Den myndighet som regeringen bestämmer ska föra ett register över vägtullsområden och betalningsförmedlare (vägtullsregistret).
Den myndighet som avses i första stycket är personuppgiftsansvarig för registret enligt personuppgiftslagen (1998:204).
Den myndighet som avses i första stycket är personuppgiftsansvarig för behandlingen av personuppgifter i registret.
28 §
Den myndighet som regeringen bestämmer utövar tillsyn över att avgiftsupptagare på enskild väg och betalningsförmedlare följer denna lag och föreskrifter som har meddelats i anslutning till lagen samt över att den tekniska utrustningen i ett vägtullssystem uppfyller föreskrivna krav.
I personuppgiftslagen (1998:204) finns bestämmelser om tillsyn över behandlingen av personuppgifter.
I EU:s dataskyddsförordning och i lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning samt i föreskrifter som har meddelats i anslutning till den lagen finns bestämmelser om tillsyn över behandlingen av personuppgifter.
Denna lag träder i kraft den 25 maj 2018.
1.1
2.11 Förslag till lag om ändring i lagen (2014:52) om infrastrukturavgifter på väg
Härigenom föreskrivs att 18 § lagen (2014:52) om infrastrukturavgifter på väg ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
18 §
Den som tar ut infrastrukturavgifter på vägar som avses i 1 § första stycket 2 är personuppgiftsansvarig enligt personuppgiftslagen (1998:204) för den behandling av personuppgifter som verksamheten innebär.
Den som tar ut infrastrukturavgifter på vägar som avses i 1 § första stycket 2 är personuppgiftsansvarig för den behandling av personuppgifter som verksamheten innebär.
I fråga om infrastrukturavgifter på vägar som avses i 1 § första stycket 1 finns bestämmelser om personuppgiftsansvar i lagen (2001:558) om vägtrafikregister.
Denna lag träder i kraft den 25 maj 2018.
3 Ärendet och dess beredning
Den 27 april 2016 antogs Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), härefter EU:s dataskyddsförordning, se bilaga 1. Förordningen ska börja tillämpas den 25 maj 2018.
I departementspromemorian En anpassning till dataskyddsförordningen av dataskyddsbestämmelser inom Näringsdepartementets verksamhetsområde (Ds 2017:28) lämnas förslag till författningsändringar med an-ledning av dataskyddsförordningen. En sammanfattning av promemorian finns i bilaga 2. Promemorians lagförslag finns i bilaga 3. Promemorian har remissbehandlats och en förteckning över remissinstanserna finns i bilaga 4. En sammanställning av remissyttrandena finns tillgänglig i Näringsdepartementet (dnr N2017/04541/RS).
I propositionen behandlar regeringen dels de lagförslag som lämnats i promemorian, dels några ytterligare frågor som tas upp i promemorian. Några remissinstanser föreslår därutöver författningsändringar som inte krävs med anledning av anpassningen till dataskyddsförordningen och där det saknas beredningsunderlag. Förslagen gäller främst behandling av personnummer i immaterialrättsliga ärenden och hur information får spridas i olika mediekanaler. Översynen som har föregått denna proposition har främst haft till syfte att klarlägga om befintliga dataskyddsbestämmelser är förenliga med dataskyddsförordningen och om det finns behov av att ändra bestämmelserna. Därför vidtar regeringen inga ytterligare lagstiftningsåtgärder än de som föreslås i detta lagstiftningsärende.
Lagrådet
Regeringen beslutade den 18 januari 2018 att inhämta Lagrådets yttrande över de lagförslag som finns i bilaga 5. Lagrådets yttrande finns i bilaga 6. Lagrådet lämnar förslagen utan erinran. I förhållande till lagrådsremissen har vissa språkliga och redaktionella ändringar gjorts.
4 Dataskyddsreformen
Nuvarande dataskyddsreglering
Allmänna regler om behandling av personuppgifter inom EU finns i dag i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om behandling av det fria flödet av sådana uppgifter, härefter kallat dataskyddsdirektivet. Direktivet gäller inte behandling av personuppgifter på områden som faller utanför unionsrätten, t.ex. allmän säkerhet, försvar och statens verksamhet på straffrättens område.
Dataskyddsdirektivet har huvudsakligen genomförts i svensk rätt genom personuppgiftslagen (1998:204). Lagen gäller för både myndigheter och enskilda som behandlar personuppgifter och är tillämplig på personuppgiftsbehandling även utanför dataskyddsdirektivets tillämpningsområde. Lagen är samtidigt subsidiär, vilket innebär att bestämmelserna inte ska tillämpas om det finns avvikande bestämmelser i annan lag eller förordning.
Personuppgiftslagen kompletteras i nationell rätt av ett stort antal registerförfattningar som bl.a. innehåller bestämmelser om hur statliga myndigheter får behandla personuppgifter. Bestämmelser om behandling av personuppgifter finns också i andra lagar som främst syftar till att reglera annat än sådan behandling t.ex. rennäringslagen (1971:437). Det finns även lagar som innehåller bestämmelser som kan medföra behandling av personuppgifter, och som i den meningen kan beröras av den nya dataskyddsförordningen. Ett exempel på en sådan bestämmelse är 23 a § mönstringslagen (1983:929) som reglerar uppgiftslämnande till andra länder.
Nya förutsättningar med anledning av dataskyddsreformen
Dataskyddsförordningen är en ny generell reglering av personuppgiftsbehandling inom EU och ersätter det nuvarande dataskyddsdirektivet. Det huvudsakliga syftet med dataskyddsförordningen är att ytterligare harmonisera och effektivisera behandlingen av personuppgifter inom unionen för att förbättra den fria rörligheten av sådana uppgifter och öka skyddet för fysiska personer.
Dataskyddsförordningen är tillämplig på sådan behandling av personuppgifter som rör en fysisk person och som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. Förordningen baseras till stor del på dataskyddsdirektivets struktur och innehåll, men är i flera avseenden mer detaljerad och innehåller en rad nyheter. Exempelvis utökas skyldigheten att informera den registrerade om personuppgiftsbehandlingen och det införs bestämmelser om administrativa sanktionsavgifter.
Dataskyddsförordningen är direkt tillämplig och innebär begränsningar av medlemsstaternas möjligheter att införa eller behålla nationella regleringar om personuppgiftsbehandling. Förordningen förutsätter dock i vissa fall, och möjliggör i andra fall, att medlemsstater inför eller behåller kompletterande och specificerande nationella bestämmelser eller undantag från den unionsrättsliga regleringen. Eftersom dataskyddsförordningen behöver kompletteras med nationella regler föreslår regeringen en ny dataskyddslag, lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning, härefter dataskyddslagen, som upphäver personuppgiftslagen och på ett generellt plan kompletterar och gör undantag från dataskyddsförordningen (prop. 2017/18:105). Lagen reglerar bl.a. frågor om rättslig grund för behandling av personuppgifter, känsliga personuppgifter, skadestånd och överklagande. Dataskyddslagen föreslås bli subsidiär i förhållande till annan lag eller förordning, vilket möjliggör avvikande bestämmelser.
Anpassningar av nationell rätt
Inom Näringsdepartementets ansvarsområden finns ett antal lagar som innehåller bestämmelser om personuppgiftsbehandling eller som hän-visar till personuppgiftslagen. Dessa författningar behöver anpassas till den nya dataskyddsförordningen. Anpassningen av bestämmelserna sker endast med anledning av att dataskyddsförordningen ska börja tillämpas och avser endast sådana ändringar som är nödvändiga till följd av förordningen. Det finns därför inte skäl att ompröva tidigare ställningstaganden eller göra en mer allmän översyn över de lagar som tillhör departementets ansvarsområden och som i dag innehåller bestämmelser om behandling av personuppgifter eller annan dataskyddsreglering. Vid anpassningen av lagarna bör de begrepp och den terminologi som finns i dataskyddsförordningen följas.
5 Rättslig grund för behandling av personuppgifter
Regeringens bedömning: Bestämmelserna i EU:s dataskydds-förordning om att den rättsliga grunden för behandling av personuppgifter i vissa fall ska vara fastställd i unionsrätten eller i medlemsstaternas nationella rätt kräver inga ändringar i lagstiftningen inom Näringsdepartementets ansvarsområden.
Promemorians bedömning överensstämmer delvis med regeringens. I promemorian görs bedömningen att domänadministratörens skyldighet enligt lagen (2006:24) om nationella toppdomäner för Sverige på Internet att tillgängliggöra vissa uppgifter på internet, vilket i fråga om personuppgifter endast får ske med den registrerades samtycke, utgör rättslig grund för behandlingen.
Remissinstanserna: De flesta remissinstanser lämnar promemorians bedömning utan invändningar. Patent- och registreringsverket (PRV) delar bedömningen som görs i promemorian men efterfrågar förtydliganden av hur begreppen i artikel 6 i dataskyddsförordningen ska tillämpas. Datainspektionen efterfrågar ett tydligare utpekande av de rättsliga grunderna och en analys som visar att lagstiftningen står i proportion till det legitima mål som eftersträvas. I fråga om elektroniska utlämnanden av personuppgifter efterfrågar Datainspektionen ett utpekande av de rättsliga grunderna och en redogörelse för hur bestämmelserna förhåller sig till principerna i artikel 5 i dataskyddsförordningen. Vad gäller direktåtkomst bör det vidare enligt Datainspektionen klargöras vad som avses med detta då det saknas en legaldefinition av begreppet. Vidare anser Datainspektionen att det behöver klargöras om samtycke utgör en rättslig grund för behandling och i så fall hur de övriga reglerna i den aktuella författningen förhåller sig till ett sådant samtycke.
Skälen för regeringens bedömning
För behandling av personuppgifter krävs rättslig grund
För att behandling av personuppgifter ska vara laglig enligt dataskyddsförordningen krävs att behandlingen uppfyller minst en av de rättsliga grunderna i artikel 6.1 i dataskyddsförordningen. Villkoren i artikeln är uttömmande och till viss del överlappande. Flera grunder kan därför vara tillämpliga på samma behandling.
Behandling av personuppgifter är enligt dataskyddsförordningen laglig om den registrerade har lämnat sitt samtycke till att dennes personupp-gifter behandlas för ett eller flera specifika ändamål, om behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås eller för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person. Vidare är behandling laglig om den är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige, om den är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgifts-ansvariges myndighetsutövning. Den sista grunden i artikel 6 anger att behandling är laglig om den är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.
I huvudsak är grunderna i artikel 6 samma som i dataskyddsdirektivet och personuppgiftslagen (jfr artikel 7 respektive 10 §). Sådan vägledning som PRV efterlyser avseende tolkningen av begreppen rättslig förpliktelse, uppgift av allmänt intresse och myndighetsutövning bör därmed enligt regeringens mening till viss del kunna hämtas från hur begreppen har tillämpats i direktivet och i personuppgiftslagen. När det gäller begreppet uppgift av allmänt intresse gör regeringen i propositionen Ny dataskyddslag bedömningen att begreppet måste ges en vid betydelse för att myndigheternas verksamhet ska kunna fungera även fortsättningsvis (prop. 2017/18:105 s. 56).
En väsentlig skillnad i dataskyddsförordningens reglering om när behandling av personuppgifter är laglig jämfört med dataskyddsdirektivets motsvarighet i artikel 7 är att behandling för ändamål som rör ett berättigat intresse inte gäller för behandling som utförs av myndig-heter när de fullgör sina uppgifter (artikel 6.1 andra stycket). Den möjligheten kvarstår dock för enskilda som behandlar personuppgifter. En annan skillnad är att dataskyddsförordningen ställer upp krav på att grunderna i artikel 6.1 c och e, dvs. behandling som är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning, ska fastställas i unionsrätten eller i medlemsstaternas nationella rätt (artikel 6.3 första stycket). Det är den rättsliga förpliktelsen, uppgiften av allmänt intresse eller myndighetsutövningen som ska fastställas och inte själva behandlingen av personuppgifter. Förordningen förutsätter därmed ingen särskild reglering av behandlingen av personuppgifter. Däremot kan inte grunderna i artikel 6.1 c och e användas som stöd för personuppgifts-behandling om inte den rättsliga grunden är fastställd på det sätt som förordningen kräver. Den rättsliga förpliktelsen, uppgiften av allmänt intresse respektive myndighetsutövningen är enligt regeringens bedömning i propositionen Ny dataskyddslag fastställd i enlighet med svensk rätt om den följer av författning eller beslut som har meddelats i enlighet med regeringsformens bestämmelser (prop. 2017/18:105 s. 48-52). Regeringen föreslår att dataskyddslagen ska innehålla förtydligande bestämmelser om hur de rättsliga grunder som avses i artikel 6.1 c och e fastställs i svensk rätt (2 kap. 1 och 2 §§).
Vidare finns i dataskyddsförordningen ett krav på att syftet med behandlingen ska vara fastställt i den rättsliga grunden i fråga om en rättslig förpliktelse eller vara nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.3 andra stycket). Slutligen uppställer förordningen krav på att unionsrätten och medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.
För att behandling av personuppgifter ska vara tillåten enligt dataskyddsförordningen är det emellertid inte tillräckligt att behandlingen faller in under en av grunderna i artikel 6.1. Utöver det grundläggande kravet att all behandling måste vara laglig måste varje behandling också uppfylla de principer som anges i artikel 5. Enligt den artikeln ska personuppgifter behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. Vidare anges och utvecklas vissa principer som gäller vid behandling av personuppgifter, nämligen principerna om ändamålsbegränsning, uppgiftsminimering, korrekthet, lagringsminimering samt integritet och konfidentialitet. Skyldigheterna i artikel 5 kan dock, under vissa förutsättningar, begränsas genom unions-rätten eller medlemsstaternas nationella rätt (artikel 23).
När behandling sker med stöd av någon av grunderna i artikel 6.1 c eller e ger dataskyddsförordningen utrymme för att i nationell rätt behålla eller införa bestämmelser för att anpassa tillämpningen av förordningen (artikel 6.2 och 6.3 andra stycket). Detta får ske genom att medlems-staterna fastställer specifika krav för uppgiftsbehandlingen eller andra åtgärder för att säkerställa en laglig och rättvis behandling. Vilken rättslig grund en behandling vilar på har därmed avgörande betydelse för i vilken utsträckning nationella bestämmelser om behandling av person-uppgifter kan behållas eller införas.
Närmare om rättslig grund inom departementets ansvarsområden
Det finns inom ansvarsområdena ett antal lagar som ålägger såväl myndigheter som privata aktörer uppgifter och förpliktelser som kräver behandling av personuppgifter. Som exempel kan nämnas de register som ska föras enligt 4 kap. lagen (2011:725) om behörighet för lokförare och lagen (2009:619) om djurskyddskontrollregister.
På ett övergripande plan bör det framhållas att de uppgifter som myndigheters och enskildas personuppgiftsbehandling avser till följd av författningsreglerad verksamhet har stöd i nationell rätt. Det är dock enligt regeringen inte möjligt att som Datainspektionen efterfrågar peka ut samtliga författningsbestämmelser som kan utgöra rättslig grund för den personuppgiftsbehandling som är tillåten inom ansvarsområdena. Det kan i stället generellt konstateras att myndighetsutövning i Sverige inte kan ske utan författningsstöd. Det kan därför enligt regeringens mening förutsättas att den rättsliga grunden för personuppgiftsbehandling som sker som ett led i myndighetsutövning är fastställd i nationell rätt på det sätt som dataskyddsförordningen kräver.
Vidare är de uppgifter som statliga myndigheter utför generellt uppgifter av allmänt intresse. Myndigheternas verksamhet och uppdrag är enligt regeringen reglerade på ett sådant sätt att dataskydds-förordningens krav på att grunden för behandlingen ska vara fastställd i nationell rätt är uppfyllt. Även enskilda kan sägas ha uppgifter som är av allmänt intresse och som förutsätter personuppgiftsbehandling. Det kan vara fallet när en enskild aktör enligt lag är skyldig att utföra en viss uppgift. Detsamma gäller när den rättsliga grunden är en rättslig förpliktelse som en myndighet eller en enskild åläggs genom en för-fattning och som kräver personuppgiftsbehandling. Även förvaltnings-myndigheter kan, vid sidan av sina uppgifter och uppdrag, sägas ha rättsliga förpliktelser. En myndighets uppdrag enligt myndighets-instruktionen eller ett regleringsbrev kan i vissa fall vara en fastställd rättslig förpliktelse i dataskyddsförordningens mening t.ex. om myndig-heten ges i uppdrag att föra ett visst register (jfr prop. 2017/18:105 s. 53).
Därutöver kan det, när det gäller sekretessbrytande uppgiftsskyldig-heter och Datainspektionens efterfrågande av hur sådana skyldigheter är fastställda, konstateras att dataskyddsregleringen inte innehåller några särskilda bestämmelser om möjligheterna att lämna personuppgifter mellan myndigheter. I vissa fall kan en skyldighet att lämna ut uppgifter medföra sådan behandling av personuppgifter som omfattas av data-skyddsförordningen. Det finns dock enligt regeringen inte skäl att närmare redogöra för varje enskild bestämmelse om uppgiftsskyldighet som kan utgöra rättslig grund för behandling av personuppgifter.
Datainspektionen anser också att det finns ett behov av att peka ut de rättsliga grunderna i fråga om bestämmelser om elektroniskt utlämnande. I registerförfattningar finns ibland bestämmelser som syftar till att reglera formen för ett utlämnande av personuppgifter. I lagen om djurskydds-kontrollregister finns exempelvis en bestämmelse som anger under vilka förutsättningar personuppgifter får lämnas ut genom s.k. direktåtkomst (10 §). När det gäller elektroniska utlämnanden av personuppgifter innehåller dataskyddsförordningen i likhet med nuvarande reglering inte några bestämmelser om sättet för att lämna ut personuppgifter. Utlämnande av personuppgifter kan vara en form av behandling och då gäller dataskyddsförordningens krav. Det innebär bl.a. att principerna i artikel 5 ska följas. Det finns däremot inte anledning att, som Datainspektionen efterfrågar, särskilt redogöra för varje enskild bestämmelse som tillåter ett elektroniskt utlämnande av personuppgifter eller någon närmare redogörelse för hur principerna i artikel 5 följs vid tillämpningen av bestämmelserna. Till skillnad från Datainspektionen ser regeringen inte heller att dataskyddsförordningen föranleder ett behov av att definiera vad som avses med direktåtkomst vid anpassning av de aktuella lagarna (jfr Högsta förvaltningsdomstolens dom, HFD 2015 ref. 61).
Dataskyddsförordningens krav på att den rättsliga grunden för person-uppgiftsbehandlingen i vissa fall ska vara fastställd medför sammanfattningsvis inte något behov av ändringar i lagarna inom Näringsdepartementets ansvarsområden. Regeringen gör vidare bedömningen att lagstiftningen generellt är proportionerlig i förhållande till de legitima mål som eftersträvas. Kravet på proportionalitet i dataskydds-förordningens reglering återspeglar det krav som Europakonventionen ställer på lagstiftaren i en rättsstat. Enligt 2 kap. 19 § regeringsformen får inte lagar och andra föreskrifter meddelas i strid med Sveriges åtaganden enligt Europakonventionen. Regeringen bedömer att det är mycket ovanligt att svensk rätt inte uppfyller Europakonventionens krav (jfr prop. 2017/18:105 s. 50). Utgångspunkten bör därför vara att även dataskyddsförordningens motsvarande krav är uppfyllt i fråga om de rättsliga förpliktelser, uppgifter av allmänt intresse och den myndighets-utövning som fastställs i enlighet med svensk rätt. Däremot måste behandlingen av personuppgifter vara nödvändig i förhållande till den rättsliga grunden (artikel 6.1 b-f) och följa principerna i artikel 5.
Regeringens bedömning är att de aktuella lagarna genom de ändringar som föreslås i denna proposition är förenliga med dataskydds-förordningen. En annan sak är att den personuppgiftsansvarige för varje behandling under alla omständigheter är skyldig att försäkra sig om att behandlingen av personuppgifter sker lagligt och i enlighet med de principer som dataskyddsförordningen ställer upp.
Samtycke som integritetshöjande åtgärd
Behandling av personuppgifter är bl.a. laglig enligt dataskyddsförord-ningen om den registrerade har lämnat sitt samtycke till att personuppgifterna behandlas för ett eller flera specifika ändamål (artikel 6.1 a). Vid den aktuella genomgången har en lag identifierats som ställer upp ett samtyckeskrav.
Enligt 6 § lagen om nationella toppdomäner för Sverige på Internet ska domänadministratören föra ett register över tilldelade domännamn och löpande upprätta säkerhetskopior av registeruppgifterna. Av bestämmelsen framgår bl.a. att uppgifterna i registret ska kunna hämtas utan avgift via internet (tredje stycket) och att personuppgifter endast får göras tillgängliga på detta sätt om den registrerade har samtyckt till det (fjärde stycket). I promemorian görs bedömningen att det är fråga om samtycke som rättslig grund. Datainspektionen anser att det behöver klargöras om samtycket i denna bestämmelse utgör en rättslig grund för behandlingen, eller om det är den enskilde som avgör om behandlingen får utföras eller inte. I det senare fallet behöver det även klargöras om den enskildes samtycke ska ses som en integritetshöjande åtgärd.
Dataskyddsförordningen ger utrymme för att behålla eller införa kompletterande nationella bestämmelser om behandling av personuppgifter. Det utrymmet omfattar inte behandling som stöder sig på samtycke enligt artikel 6.1 a.
Den behandling av personuppgifter som följer av skyldigheten för domänadministratören att föra registret har i förarbetena bedömts vara nödvändig för att utföra en arbetsuppgift av allmänt intresse (jfr 10 § d personuppgiftslagen och artikel 7 e i dataskyddsdirektivet). Enligt regeringens mening skulle det emellertid krävas samtycke från den registrerade för att personuppgifter ska få göras tillgängliga via internet (prop. 2004/05:175 s. 251). Att personuppgifter endast får göras tillgängliga på internet med den registrerades samtycke är enligt regeringens bedömning en integritetshöjande åtgärd, så som Datainspektionen påpekat, och inte en rättslig grund enligt artikel 6.1 a i dataskyddsförordningen. En sådan bestämmelse om behandling av personuppgifter utgör en tillåten komplettering enligt artikel 6.2 i dataskyddsförordningen.
6 Bestämmelser om behandling av personuppgifter och övrig dataskyddsreglering
6.1 Upplysningsbestämmelser
Regeringens förslag: Bestämmelserna i rennäringslagen, lagen om nationella toppdomäner för Sverige på Internet, lagen om tillsyn över hundar och katter, lagen om djurskyddskontrollregister och lagen om behörighet för lokförare som anger hur respektive författning förhåller sig till personuppgiftslagen ska upplysa om att lagen innehåller kompletterande bestämmelser till EU:s dataskyddsförordning. Bestämmelserna ska också ange hur lagen förhåller sig till dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen.
I övriga upplysningsbestämmelser, som innehåller hänvisningar till personuppgiftslagen, ska hänvisningen ersättas med en hänvisning till EU:s dataskyddsförordning och till dataskyddslagen.
Bestämmelsen i postlagen som syftar till att klargöra förhållandet mellan postlagens bestämmelser om tystnadsplikt och personuppgiftslagens bestämmelser vid utlämnande av personuppgifter ska tas bort.
Promemorians förslag överensstämmer i huvudsak med regeringens. Promemorians förslag har dock en annan lagteknisk utformning. Vidare föreslås inte att bestämmelsen i postlagen ska tas bort.
Remissinstanserna: Alla remissinstanser utom Datainspektionen till-styrker förslaget eller har inget att invända mot det. Datainspektionen påpekar att det av författningsförslagen tydligt bör framgå om en reglering kompletterar eller förtydligar en artikel i dataskyddsförordningen.
Skälen för regeringens förslag
Generellt om upplysningsbestämmelser
Dataskyddsförordningen kommer från och med den 25 maj 2018 att vara den generella regleringen för behandling av personuppgifter som nationella dataskyddsbestämmelser måste förhålla sig till. Förordningen kommer att gälla oberoende av om förhållandet till förordningen regleras i nationell rätt. Något behov av att i samtliga lagar som innehåller dataskyddsbestämmelser inom Näringsdepartementets ansvarsområden införa en bestämmelse som klargör förhållandet till dataskyddsförordningen finns enligt regeringens bedömning inte. Däremot finns det skäl att för tydlighets skull behålla befintliga upplysningsbestämmelser i relevanta fall.
När dataskyddsförordningen börjar tillämpas kommer personuppgiftslagen att upphävas, vilket innebär att hänvisningar till personuppgiftslagen inte kan finnas kvar. Dataskyddsförordningen är direkt tillämplig i varje medlemsstat, vilket innebär att den automatiskt blir en del av den svenska rättsordningen. I vissa avseenden förutsätter respektive tillåter förordningen att medlemsstater inför bestämmelser som kompletterar förordningen, antingen i form av preciseringar eller i form av undantag (jfr avsnitten 4 och 5). Det kan bl.a. handla om specificerande bestämmelser om behandling av personuppgifter eller undantag i förhållande till de rättigheter som de registrerade har enligt förordningen.
Den generella dataskyddsregleringen kommer inte bara att finnas i dataskyddsförordningen utan även i den lag som regeringen föreslår i propositionen Ny dataskyddslag (prop. 2017/18:105). Dataskyddslagen föreslås bli subsidiär i förhållande till avvikande bestämmelser i andra lagar och förordningar. Enligt förslaget innehåller lagen bl.a. processuella bestämmelser, kompletterande bestämmelser om myndigheters behandling av personuppgifter liksom vissa undantag från dataskyddsförordningens bestämmelser.
Bestämmelser om förhållandet till personuppgiftslagen
I några av lagarna inom departementets ansvarsområden finns bestämmelser som klargör lagens förhållande till personuppgiftslagen vid behandling av personuppgifter. Sådana bestämmelser finns bl.a. i 3 § lagen om djurskyddskontrollregister och i 4 kap. 1 § lagen om behörighet för lokförare.
Ovan nämnda lagar har karaktären av registerförfattningar och inne-håller ett flertal bestämmelser om personuppgiftsbehandling som kompletterar dataskyddsförordningen både i form av preciseringar och i form av undantag. För att undvika intrycket av att den primära regleringen om personuppgiftsbehandling finns i dessa lagar bör befintliga upplysnings-bestämmelser behållas och i stället formuleras så att det, på det sätt som Datainspektionen efterfrågat, tydligt framgår att lagen i fråga om behandling av personuppgifter innehåller bestämmelser som kompletterar dataskyddsförordningen.
Bestämmelser om hur lagen förhåller sig till personuppgiftslagen finns också i 74 § rennäringslagen, 3 § lagen om nationella toppdomäner för Sverige på Internet och 7 § lagen (2007:1150) om tillsyn över hundar och katter. Dessa lagar innehåller till skillnad från lagen om djurskyddskontrollregister och lagen om behörighet för lokförare endast en eller ett fåtal kompletterande bestämmelser till dataskyddsförordningen om behandling av personuppgifter. Även i förhållande till dessa lagar finns behov av att tydliggöra att den primära regleringen om personuppgiftsbehandling finns i dataskyddsförordningen. Upplysningsbestämmelserna i dessa lagar bör därför behållas men formuleras så att det tydligt framgår vilka bestämmelser i respektive lag som är kompletterande bestämmelser till dataskyddsförordningen vid behandling av personuppgifter. Då hänvisningarna till dataskyddsförordningen är av upplysande karaktär är det för att undvika osäkerhet ändamålsenligt att dessa görs dynamiska, dvs. avser förordningen i den vid varje tidpunkt gällande lydelsen (jfr prop. 2017/18:105 s. 24-25).
I samtliga lagar som nämnts ovan finns det även anledning att upplysa om att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller vid behandling av personuppgifter enligt lagen om inte annat följer av den aktuella lagen eller föreskrifter som har meddelats i anslutning till den. Om det inte finns några avvikande bestämmelser i lagen eller i den anslutande förordningen, är det således dataskyddslagens bestämmelser och bestämmelser i föreskrifter som har meddelats i anslutning till den lagen som gäller utöver vad som direkt framgår av dataskyddsförordningen.
Övriga upplysningsbestämmelser
Av tydlighetsskäl bör även andra typer av upplysningsbestämmelser än de som redovisats ovan och som hänvisar till personuppgiftslagen behållas. Det gäller exempelvis upplysningar om att personuppgiftslagen innehåller bestämmelser om behandling av personuppgifter eller att det finns tillsynsbestämmelser i personuppgiftslagen. Sådana bestämmelser ska ändras genom att hänvisningen till personuppgiftslagen ersätts med en hänvisning till dataskyddsförordningen och till den föreslagna dataskyddslagen. Ändringar som dessa föreslås i lagen (2013:315) om intelligenta transportsystem vid vägtransporter och lagen (2013:1164) om elektroniska vägtullssystem. Då hänvisningarna till dataskyddsförord-ningen är av upplysande karaktär är det för att undvika osäkerhet ändamålsenligt att dessa görs dynamiska, dvs. avser förordningen i den vid varje tidpunkt gällande lydelsen (jfr prop. 2017/18:105 s. 24-25).
Särskilt om postlagen
I 2 kap. 17 § andra stycket postlagen (2010:1045) finns en reglering som syftar till att klargöra förhållandet mellan 14 § första och tredje styckena samma lag om tystnadsplikt och bestämmelserna i personuppgiftslagen. Bestämmelsen är enligt förarbetena motiverad av regleringen om tystnadsplikt och den i 15 § postlagen reglerade skyldigheten att lämna ut uppgifter i vissa situationer (jfr prop. 1993/94:38 s. 85 och 159 och prop. 1997/98:97 s. 51 och 189).
Bestämmelsen i postlagen är enligt regeringens bedömning endast av klargörande karaktär. En sådan upplysning är enligt regeringens mening inte längre behövlig i lagen. Till skillnad från vad som föreslås i promemorian bedömer regeringen att det inte finns något behov att av tydlighetsskäl upplysa om dataskyddsförordningens tillämplighet vid utlämnanden av personuppgifter som inte omfattas av tystnadsplikten i postlagen. Regleringen i 2 kap. 17 § andra stycket ska därför tas bort.
6.2 Ändamålsbestämmelser och finalitetsprincipen
Regeringens förslag: Hänvisningarna till personuppgiftslagen i anslutning till ändamålsbestämmelserna i lagen om djurskyddskontrollregister och lagen om behörighet för lokförare ska ersättas med bestämmelser som anger att personuppgifter som behandlas enligt ändamålsbestämmelserna i lagen får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
Promemorians förslag överensstämmer i sak med regeringens. Promemorians förslag har dock en annan lagteknisk utformning.
Remissinstanserna har inga invändningar mot förslaget.
Skälen för regeringens förslag: Det är en allmän dataskyddsrättslig princip att personuppgifter bara får samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Enligt den s.k. finalitetsprincipen får uppgifterna inte senare behandlas för något annat ändamål som är oförenligt med insamlingsändamålen. Detta kommer i dag till uttryck i bl.a. 9 § första stycket c och d personuppgiftslagen.
När dataskyddsförordningen börjar tillämpas kommer finalitetsprincipen att följa av artikel 5.1 b i förordningen. I artikeln anges även att ytterligare behandling för arkivändamål av allmänt intresse, veten-skapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 inte ska anses vara oförenlig med de ursprungliga ändamålen. Sådan behandling är således tillåten enligt dataskyddsförordningen under förutsättning att lämpliga skyddsåtgärder för den registrerades rättigheter och friheter vidtas. En motsvarighet till denna reglering finns i dag i 9 § andra stycket personuppgiftslagen.
Utgångspunkten i dataskyddsregleringen är att det är den personuppgiftsansvarige som bestämmer ändamålen för personuppgiftsbehandlingen. Det är dock i registerförfattningar vanligt förekommande att lagstiftaren anger för vilka ändamål personuppgifter får behandlas. Bestämmelser om vilka uppgifter som får registreras och ändamålen med behandlingen utgör tillsammans ramen för vilken behandling som är tillåten. Dataskyddsförordningen ställer inte några krav på att de särskilda ändamålen ska vara fastställda i en författning, men det finns heller ingenting som hindrar att ändamålen fastställs av lagstiftaren. Oavsett om ändamålen fastställts i författning eller inte är det dock alltid den personuppgiftsansvarige som ansvarar för och ska kunna visa att principerna i artikel 5.1 följs (artikel 5.2).
I fråga om personuppgifter finns ändamålsbestämmelser i bl.a. lagen om djurskyddskontrollregister och lagen om behörighet för lokförare. Sådana bestämmelser är en typ av specifika bestämmelser som anpassar tillämpningen av dataskyddsförordningen och säkerställer en laglig och rättvis behandling enligt artikel 6.2 och 6.3.
I anslutning till ändamålsbestämmelserna i lagen om djurskyddskontrollregister och lagen om behörighet för lokförare finns hänvisningar till 9 § första stycket d och andra stycket personuppgiftslagen. En sådan hänvisning finns för att förtydliga att redan insamlade uppgifter får behandlas för andra ändamål än dem för vilka de har samlats in, under förutsättning att de nya ändamålen är förenliga med de ursprungliga ändamålen och att insamlade personuppgifter även får behandlas för historiska, statistiska eller vetenskapliga ändamål.
Finalitetsprincipen är även fortsättningsvis den yttersta ram inom vilken personuppgifter får behandlas enligt ovan nämnda lagar. I promemorian har detta uttryckts genom en hänvisning till artikel 5.1 b i dataskyddsförordningen. Det står visserligen klart att finalitetsprincipen enligt artikel 5.1 b gäller vid aktuell behandling. Artikelns ordalydelse ger dock till skillnad från regleringen i 9 § första stycket d och andra stycket personuppgiftslagen inte endast uttryck för finalitetsprincipen utan också för under vilka förutsättningar personuppgifter får samlas in. Regeringen gör därför bedömningen att det av tydlighetsskäl finns anledning att införa en bestämmelse i lagarna som anger att det är tillåtet att behandla personuppgifter för andra ändamål än de som uttryckligen anges i lagen, så länge behandlingen inte är oförenlig med insamlingsändamålen. Någon ändring i sak i förhållande till vad som gäller i dag är inte avsedd.
6.3 Personuppgiftsansvar
Regeringens förslag: Hänvisningar till personuppgiftslagen i bestämmelser som pekar ut vem som är personuppgiftsansvarig ska tas bort.
Promemorians förslag överensstämmer med regeringens.
Remissinstanserna: Majoriteten av remissinstanserna har inte lämnat några synpunkter på förslaget i promemorian. Datainspektionen efterfrågar en analys av vilka konsekvenser ett utpekande av den personuppgiftsansvarige kan få. Inspektionen framhåller att det är viktigt att den aktör som anges som ansvarig faktiskt har möjlighet att utöva sitt ansvar och att en ny analys bör göras då förordningen innehåller nya skyldigheter för de ansvariga.
Skälen för regeringens förslag: Det förekommer att det i en författning anges vem som är personuppgiftsansvarig för en viss behandling av personuppgifter. Inom Näringsdepartementets ansvarsområden finns sådana bestämmelser bl.a. i rennäringslagen, skogsvårdslagen (1979:429), lagen om nationella toppdomäner för Sverige på Internet, lagen om tillsyn över hundar och katter, lagen om djurskyddskontrollregister, lagen om behörighet för lokförare, lagen om elektroniska vägtullssystem och i lagen (2014:52) om infrastrukturavgifter på väg.
Enligt definitionen i artikel 4.7 i dataskyddsförordningen är en personuppgiftsansvarig en fysisk eller juridisk person, myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Vidare anges att om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige, eller de särskilda kriterierna för hur denne ska utses, föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt. En liknande formulering finns i dataskyddsdirektivet (artikel 2 d).
Det är således enligt dataskyddsförordningen tillåtet, men inte ett krav, att i nationell rätt ange vem som är personuppgiftsansvarig. Det är enligt regeringen tillräckligt vid en anpassning av bestämmelserna att konstatera att dataskyddsförordningen inte innebär någon ändring av definitionen av begreppet personuppgiftsansvarig. Innebörden av ett sådant ansvar framgår av dataskyddsförordningens reglering. Regeringen bedömer mot denna bakgrund att de nuvarande bestämmelserna om vem som är personuppgiftsansvarig kan behållas och att dessa endast bör ändras på så sätt att hänvisningen till personuppgiftslagen tas bort.
Datainspektionen efterfrågar en analys av vilka konsekvenser ett angivande av den personuppgiftsansvarige kan få. Även om förordningen innebär förändringar i regelverket om behandling av personuppgifter har det enligt regeringen inte framkommit skäl att anta att den som anges som personuppgiftsansvarig i lag inte har möjligheter att uppfylla det ansvar som följer av dataskyddsförordningen. En analys av varje personuppgiftsansvarigs faktiska möjligheter att uppfylla sitt ansvar bedöms därmed inte som nödvändig.
6.4 Känsliga personuppgifter
Regeringens förslag: Förbudet mot behandling av känsliga personuppgifter i lagen om djurskyddskontrollregister och begränsningen av sökbegrepp i lagen om behörighet för lokförare ska även omfatta uppgifter om en persons sexuella läggning samt genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person.
Bestämmelsen i lagen om behörighet för lokförare som tillåter behandling av känsliga personuppgifter om hälsa i förarbevisregistret ska anpassas efter terminologin i dataskyddsförordningen.
Promemorians förslag överensstämmer i huvudsak med regeringens. Promemorian innehåller dock inget förslag till språklig anpassning av 4 kap. 9 § lagen om behörighet för lokförare.
Remissinstanserna: Remissinstanserna tillstyrker promemorians förslag eller har inga invändningar mot förslaget. Datainspektionen efterfrågar ett klargörande av vilka undantag i dataskyddsförordningen som behandlingen av känsliga personuppgifter enligt mönstringslagen har stöd av. I de fall då undantag görs med stöd av artikel 9.2 g i dataskyddsförordningen efterfrågas en redovisning av det viktiga allmänintresse som avses samt en analys som visar att behandlingen står i proportion till det eftersträvade syftet och är förenlig med det väsentliga innehållet i rätten till dataskydd.
Skälen för regeringens förslag
Behandling av känsliga personuppgifter
Sedan tidigare finns genom personuppgiftslagen ett förbud mot behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter om hälsa eller om en fysisk persons sexualliv. En nyhet i dataskyddsförordningen är att uppräkningen av särskilda kategorier av personuppgifter utvidgas till att även omfatta genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person samt uppgifter om sexuell läggning (artikel 9.1). Detta innebär således en viss materiell förändring. När det gäller tillägget av sexuell läggning får detta dock redan anses ingå i begreppet sexualliv (jfr prop. 2000/01:126 s. 31 och prop. 2007/08:95 s. 125-129).
I propositionen Ny dataskyddslag gör regeringen bedömningen att det väl inarbetade begreppet känsliga personuppgifter bör användas som samlingsbegrepp för sådana uppgifter som tillhör de särskilda kategorier av personuppgifter som räknas upp i artikel 9.1 i dataskyddsförordningen (prop. 2017/18:105 s. 74). Regeringen bedömer att en sådan ordning är lämplig även i den sektorsspecifika reglering som finns inom Närings-departementets ansvarsområden.
I artikel 9.2 i dataskyddsförordningen finns föreskrifter om i vilka situationer känsliga personuppgifter får behandlas trots förbudet mot behandling. Det är exempelvis tillåtet att behandla känsliga personuppgifter om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, som står i proportion till det eftersträvade syftet. Unionsrätten eller medlemsstaternas nationella rätt ska också vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen (artikel 9.2 g). Regeringen bedömer i propositionen Ny dataskyddslag att undantagen i artikel 9.2 är direkt tillämpliga men att det även krävs annat stöd i rättsordningen utöver det som dataskyddsförordningen ger när undantagen hänvisar till nationell rätt eller unionsrätten (prop. 2017/18:105 s. 74). Något ut-rymme för medlemsstaterna att föreskriva ytterligare undantag från förbudet i artikel 9.1 lämnas inte.
Som regeringen konstaterat i avsnitten 4 och 5 möjliggör dataskyddsförordningen nationella bestämmelser som uppställer särskilda krav på vilka uppgifter som får behandlas när behandlingen sker med stöd av någon av de rättsliga grunderna i artikel 6.1 c eller e i dataskyddsförordningen (jfr artikel 6.2 och 6.3). Medlemsstaterna får i dessa fall dessutom specificera bestämmelser om behandling av känsliga personuppgifter (skäl 10).
Att behandla känsliga personuppgifter i djurskyddskontrollregistret är inte tillåtet
I 6 § lagen om djurskyddskontrollregister anges att sådana känsliga uppgifter som avses i 13 § personuppgiftslagen inte får behandlas i registret. Det är enligt regeringen förenligt med dataskyddsförordningen att behålla en bestämmelse som anger att känsliga personuppgifter inte får behandlas i ett visst register. Hänvisningen till personuppgiftslagen ska dock ersättas med en hänvisning till artikel 9.1 i dataskyddsförordningen. Detta innebär en viss materiell förändring på så sätt att det inte kommer att vara tillåtet att i djurskyddskontrollregistret behandla uppgifter om en persons sexuella läggning samt genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person. Några sådana uppgifter behandlas i dag inte i registret så i praktiken får ändringen inte någon betydelse. När det gäller tillägget av sexuell läggning får detta redan anses ingå i begreppet sexualliv (jfr prop. 2000/01:126 s. 31 och prop. 2007/08:95 s. 125-129). För att undvika osäkerhet är det av stor vikt att terminologin som används i den nationella regleringen följer den begreppsutveckling som sker inom unionen. Det är därför ändamålsenligt att hänvisningen till de uttryck som används i artikel 9.1 i dataskydds-förordningen görs dynamisk, dvs. avser förordningen i den vid varje tid-punkt gällande lydelsen (jfr prop. 2017/18:105 s. 24-25).
Att behandla känsliga personuppgifter om hälsa i förarbevisregistret är tillåtet under vissa förutsättningar
I 4 kap. 9 § lagen om behörighet för lokförare regleras under vilka förutsättningar uppgifter om en persons fysiska och psykiska hälsa får behandlas i det s.k. förarbevisregistret. Registret förs av Transportstyrelsen. Känsliga personuppgifter som rör den registrerades hälsa får behandlas i registret om uppgifterna är nödvändiga för handläggningen av ett ärende, eller för något av de ändamål som anges i 8 § samma lag, om det är nödvändigt med hänsyn till ändamålet. I förarbetena (prop. 2010/11:122 s. 70) gjordes bedömningen att inget av undantagen från förbudet att behandla känsliga personuppgifter i personuppgiftslagen var tillämpligt och att det därför behövdes en särskild bestämmelse som angav att behandling av känsliga personuppgifter som rör hälsa är tillåten i registret. Vidare uttalade regeringen att hälsokrav utgör villkor för att beviljas förarbevis och måste kunna behandlas för att handlägga ärenden om förarbevis. För det andra måste behandling av sådana uppgifter vara tillåten för att kunna lämna ut uppgifter ur förarbevisregistret.
Behandling av personuppgifter om hälsa i förarbevisregistret är således enligt regeringens bedömning nödvändig med hänsyn till ett viktigt allmänt intresse. Lagen om behörighet för lokförare innehåller också bestämmelser som kan utgöra sådana lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter som dataskyddsförordningen förutsätter, i form av förbud mot vissa sökbegrepp och begränsning av åtkomst till uppgifterna. Mot denna bakgrund bedöms bestämmelsen vara förenlig med dataskyddsförordningen. Den bör dock anpassas till artikel 9. Bestämmelsen är alltjämt en särreglering som ska tillämpas framför de generella bestämmelserna om myndigheters behandling av känsliga personuppgifter i den föreslagna dataskyddslagen. För att undvika osäkerhet är det av stor vikt att terminologin som används i den nationella regleringen följer den begreppsutveckling som sker inom unionen. Det är därför ändamålsenligt att hänvisningen till de uttryck som används i artikel 9.1 i dataskyddsförordningen görs dynamisk, dvs. avser förordningen i den vid varje tidpunkt gällande lydelsen (jfr prop. 2017/18:105 s. 24-25).
Lagen om behörighet för lokförare innehåller, som framgår av före-gående stycke, en bestämmelse om att känsliga personuppgifter inte får användas som sökbegrepp i förarbevisregistret (4 kap. 13 §). En sådan bestämmelse har inte någon direkt motsvarighet i dataskyddsdirektivet eller i personuppgiftslagen och frågan regleras inte heller uttryckligen i dataskyddsförordningen. Dataskyddsförordningen hindrar emellertid inte att mer specifika krav fastställs i nationell rätt när behandlingen grundar sig på en rättslig förpliktelse, en uppgift av allmänt intresse eller myndighetsutövning. Hänvisningen till 13 § personuppgiftslagen måste emellertid tas bort och bestämmelsen anpassas till förbudet mot behandling av personuppgifter som avslöjar sådana uppgifter som anges i artikel 9.1 i dataskyddsförordningen. Ändringen innebär att begränsningen av sökbegrepp även omfattar uppgifter om en persons sexuella läggning samt genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person. Detta innebär således en viss materiell förändring. När det gäller tillägget av sexuell läggning får detta dock redan anses ingå i begreppet sexualliv (jfr prop. 2000/01:126 s. 31 och prop. 2007/08:95 s. 125-129). Enligt regeringen bör bestämmelsen vid anpassningen till artikel 9.1 omformuleras så att den tydligare anger vad som avses med regleringen. Någon ändring i sak är inte avsedd.
Att behandla känsliga personuppgifter i sjömansregistret är tillåtet under vissa förutsättningar
Enligt mönstringslagen ska Transportstyrelsen med hjälp av automatisk databehandling föra ett register över sjömän och handelsfartyg där sjömän tjänstgör (sjömansregistret). Genom bestämmelsen uppfylls de krav på att föra ett register som finns i Europaparlamentets och rådets direktiv 2012/35/EU av den 21 november 2012 om ändring av direktiv 2008/106/EG om minimikrav på utbildning för sjöfolk och i den s.k. STCW-konventionen (International Convention on Standards of Training, Certification and Watchkeeping for Seafarers). Registret ska bl.a. innehålla uppgifter om de enskilda sjömännens identitet, kvalifikationer och statusen på sjömännens behörighetsbevis (23 §). Någon uttrycklig reglering om att behandling av känsliga personuppgifter är tillåten i registret finns inte i lagen.
Datainspektionen har efterfrågat ett klargörande av vilka undantag i dataskyddsförordningen som behandlingen av känsliga personuppgifter enligt mönstringslagen har stöd av och en redovisning av att något undantag är uppfyllt. I den mån det förekommer känsliga uppgifter om hälsa i sjömansregistret bl.a. med anledning av de unionsrättsliga och internationella åtaganden som regleringen om sjömän bygger på har behandling av sådana personuppgifter enligt regeringens bedömning stöd i nationell rätt. Under förutsättning att behandlingen uppfyller villkoren i artiklarna 5 och 6 i dataskyddsförordningen skulle sådan behandling kunna ske om den är nödvändig med hänsyn till ett viktigt allmänt intresse (artikel 9.2 g). Exempel på sådana lämpliga och särskilda åtgärder som anges i artikel 9.2 g kan vara bestämmelsen om sökbegrepp vid direktåtkomst till registret (jfr 17 § mönstringsförordningen [1984:831]). Vidare gäller enligt 22 kap. 1 § offentlighets- och sekretesslagen (2009:400) sekretess för uppgift om en enskilds personliga förhållanden, om det av särskild anledning kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs och uppgiften förekommer i verksamhet som avser förande av eller uttag ur sjömansregistret. Även en sådan reglering kan enligt regeringens bedömning vara ett exempel på sådana bestämmelser om lämpliga och särskilda åtgärder som krävs för att säkerställa den registrerades grundläggande rättigheter och intressen.
Konsekvensbedömning avseende dataskydd
Den personuppgiftsansvarige kommer i vissa fall enligt artikel 35 i dataskyddsförordningen att vara skyldig att göra en konsekvensbedömning innan behandling sker av personuppgifter som sannolikt medför hög risk för fysiska personers rättigheter och friheter. Enligt Datainspektionen bör artikel 35 övervägas i samband med att nationell rätt tas fram med stöd av artikel 6.2 och 6.3 i dataskyddsförordningen vid behandling av känsliga personuppgifter i stor omfattning. Regeringen ser i motsats till Datainspektionen inte anledning att i detta sammanhang ta ställning till om en konsekvensbedömning enligt artikel 35 krävs. Den behandling av känsliga personuppgifter om hälsa som förekommer i det ovan nämnda förarbevisregistret avser ett ganska begränsat antal personer (jfr prop. 2010/11:122 s. 63) och det är fråga om befintliga behandlingar. I enlighet med de riktlinjer som antagits av den s.k. artikel 29-gruppen är kravet på konsekvensbedömning dessutom primärt tillämpligt på sådana behandlingssituationer som initierats efter att dataskyddsförordningen börjar tillämpas den 25 maj 2018 och på befintliga behandlingar där riskerna av något skäl har ändrats (Riktlinjer om konsekvensbedömning avseende dataskydd och fastställande av huruvida behandlingen "sannolikt leder till en hög risk" i den mening som avses i förordning 2016/679, WP 248 rev.01). Någon konsekvensbedömning enligt artikel 35 är därmed enligt regeringens mening inte behövlig för de anpassningar som görs i denna proposition.
6.5 Överföring av personuppgifter till tredjeländer
Regeringens bedömning: Bestämmelsen i mönstringslagen som bl.a. innebär en rätt för en stat som har tillträtt STCW-konventionen att få del av vissa uppgifter från sjömansregistret är förenlig med EU:s dataskyddsförordning.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Det stora flertalet remissinstanser har inga invändningar mot förslaget. Datainspektionen avstyrker bestämmelser som innebär ett generellt godkännande av överföring till tredjeland. Enligt inspektionens bedömning saknas det i artikel 49.1 d i dataskyddsförordningen en möjlighet att i nationell rätt generellt tillåta överföring till tredjeland på det sätt som föreslås.
Skälen för regeringens bedömning: Överföring av personuppgifter till tredjeländer och internationella organisationer regleras i kapitel V i dataskyddsförordningen. Det innebär att sådan överföring av personuppgifter kommer att kunna ske under de förutsättningar som anges där. Bestämmelserna är direkt tillämpliga. Om det inte finns något beslut om adekvat skyddsnivå (artikel 45) eller vidtagna lämpliga skyddsåtgärder (artikel 46) kommer en överföring till tredjeland bl.a. vara möjlig om den är nödvändig av viktiga skäl som rör allmänintresset (artikel 49.1 d). Detta gäller dock endast under förutsättning att allmänintresset är erkänt i unionsrätten eller i den nationella rätt som den personuppgiftsansvarige omfattas av (artikel 49.4).
Överföringar av personuppgifter får endast ske i överenstämmelse med regleringen i kapitel V i dataskyddsförordningen. Bestämmelsen i mönstringslagen om under vilka förutsättningar som andra länder efter begäran har rätt att få ut uppgifter (23 a §) är inte en sådan reglering som generellt tillåter en överföring av personuppgifter till ett tredjeland. Den aktuella bestämmelsen innebär bl.a. en rätt enligt STCW-konventionen för en stat som har tillträtt konventionen att få uppgifter från sjömansregistret om statusen på behörighetsbevis, intyg om erkännande och dispenser för sjömän. Det förutsätts därmed att personuppgifter förs över till tredjeländer i vissa fall. Bestämmelsen, som är sekretessbrytande, har införts för att garantera rätten för EU:s medlemsstater och övriga konventionsparter att få ut uppgifter om sjömän ur sjömansregistret enligt Europaparlamentets och rådets direktiv 2008/106/EG av den 19 november 2008 om minimikrav på utbildning för sjöfolk. Bestämmelsen ersätter de bestämmelser i personuppgiftslagen som reglerar möjligheten att överföra personuppgifter till ett tredjeland. När bestämmelsen infördes bedömde regeringen att regleringen inte står i strid med dataskyddsdirektivet (prop. 2013/14:132 s. 13-14). Det aktuella allmänintresset får mot denna bakgrund anses erkänt i både nationell rätt och i unionsrätten.
Om det inte finns något beslut om adekvat skyddsnivå enligt artikel 45.3 eller om lämpliga skyddsåtgärder enligt artikel 46 i dataskyddsförordningen, bör alltså en överföring av personuppgifter till ett tredjeland som sker till följd av bestämmelsen i mönstringslagen ha stöd i artikel 49.1 d i nämnda förordning. Enligt regeringens bedömning är således bestämmelsen i mönstringslagen alltjämt förenlig med den unionsrättsliga dataskyddsregleringen.
7 Den registrerades rättigheter
Regeringens förslag: Bestämmelser som anger att bestämmelsen om rättelse i personuppgiftslagen gäller för behandling som sker enligt lagen i fråga ska tas bort.
Bestämmelser i skogsvårdslagen som anger att ett visst register har till ändamål att tillhandahålla uppgifter för uttag av urval av personuppgifter för direkt marknadsföring, med den begränsning som följer av personuppgiftslagen, ska hänvisa till motsvarande begräns-ning i EU:s dataskyddsförordning.
Bestämmelserna i lagen om behörighet för lokförare och lagen om djurskyddskontrollregister som innebär att den registrerade inte har rätt att motsätta sig sådan personuppgiftsbehandling som är tillåten i förarbevisregistret, intygsregister, tillståndsregistret och djurskyddskontrollregistret ska ges en ny utformning. I bestämmelserna ska det anges att artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar inte gäller vid sådan behandling som är tillåten enligt respektive lag eller föreskrifter som har meddelats i anslutning till lagen.
Promemorians förslag överensstämmer i huvudsak med regeringens. Promemorian lämnar dock inte något förslag till omformulering av bestämmelser om att den registrerade inte har rätt att motsätta sig sådan personuppgiftsbehandling som är tillåten i förarbevisregistret, intygsregister, tillståndsregistret och djurskyddskontrollregistret.
Remissinsatserna har inga synpunkter på bedömningen eller invändningar mot förslagen.
Skälen för regeringens förslag
Den registrerades rätt till rättelse, radering och begränsning av behandling
Flera lagar inom Näringsdepartementets ansvarsområden innehåller en reglering som anger att bestämmelsen om rättelse i 28 § personuppgiftslagen gäller vid behandling av personuppgifter som sker enligt lagen. Bestämmelsen i personuppgiftslagen innefattar även åtgärderna blockering och utplåning. Sådana hänvisningar finns i skogsvårdslagen, lagen om nationella toppdomäner för Sverige på Internet, lagen om tillsyn över hundar och katter, lagen om djurskyddskontrollregister och i lagen om behörighet för lokförare.
I dataskyddsförordningen är den registrerades rättigheter i stället uppdelade i olika artiklar. Att den registrerade har rätt till rättelse av felaktiga personuppgifter som rör honom eller henne framgår av artikel 16. Rätten till radering och begränsning av behandling regleras i artiklarna 17 och 18. Samtliga artiklar är direkt tillämpliga och det behövs inte någon hänvisning till dem i nationell rätt. Bestämmelser som i dag hänvisar till 28 § personuppgiftslagen ska därför tas bort.
Den registrerades rätt att invända
I författningar som är en särreglering i förhållande till personuppgiftslagen förekommer bestämmelser som anger att den registrerade inte kan motsätta sig den behandling av personuppgifter som är tillåten enligt författningen i fråga. Sådana bestämmelser finns i lagen om djurskyddskontrollregister och i lagen om behörighet för lokförare.
Enligt artikel 21.1 har den registrerade, av skäl som hänför sig till hans eller hennes specifika situation, rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på en uppgift av allmänt intresse, myndighetsutövning eller en intresseavvägning, inbegripet profilering som grundar sig på dessa bestämmelser. Artikeln är direkt tillämplig och den personuppgiftsansvarige får vid en invändning inte längre behandla personuppgifterna om inte denne kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter, eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk. Artikeln grundar sig, liksom de ovan angivna bestämmelserna, på artikel 14 i dataskyddsdirektivet med vissa förändringar, bl.a. när det gäller bevisbördan. En annan skillnad i jämförelse med direktivet är möjligheten att i nationell rätt göra undantag från rätten att invända mot behandling. Undantag kan enligt dataskyddsförordningen göras under de förutsättningar som anges i artikel 23.1. Nationella begränsningar måste vara nödvändiga, proportionerliga och grunda sig på något av de skäl som artikeln ställer upp.
Den behandling av personuppgifter som regleras i lagen om djurskyddskontrollregister och i lagen om behörighet för lokförare kan vara nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 e i dataskyddsförordningen). Om behandlingen sker med stöd av artikel 6.1 e, är rätten att göra invändningar i artikel 21.1 tillämplig.
För att de register som förs med stöd av lagen om djurskyddskontrollregister och lagen om behörighet för lokförare ska tjäna sina syften är det inte möjligt att låta den enskilde avgöra om relevanta uppgifter om honom eller henne ska få dokumenteras i registren eller inte. Mot denna bakgrund bör den registrerade inte heller fortsättningsvis ha någon rätt att motsätta sig behandling som är tillåten enligt lagarna i fråga. En sådan bestämmelse i nationell rätt är enligt regeringens bedömning en begränsning av rätten att invända enligt artikel 21.1 i dataskydds-förordningen. Bestämmelserna i de aktuella lagarna är enligt regeringen en nödvändig och proportionerlig åtgärd i syfte att säkerställa viktiga mål av generellt allmänt intresse (artikel 23.1 e i dataskyddsförordningen). Vidare innehåller lagarna flera specifika bestämmelser som kan utgöra sådana lagstiftningsåtgärder som en författning ska innehålla enligt artikel 23.2 a-h i dataskyddsförordningen t.ex. om ändamålen med behandlingen och specificering av den personuppgiftsansvarige. Det finns därmed förutsättningar för att behålla bestämmelser som innebär att den registrerade inte kan motsätta sig sådan behandling av personuppgifter som är tillåten enligt lagen.
Enligt regeringens mening bör bestämmelserna i de aktuella lagarna dock omformuleras så att det är tydligt hur de förhåller sig till regleringen i dataskyddsförordningen. I bestämmelserna bör det anges att artikel 21.1 i dataskyddsförordningen om rätten att göra invändningar inte gäller vid sådan behandling som är tillåten enligt lagen eller föreskrifter som har meddelats i anslutning till lagen. Någon ändring i sak i förhållande till vad som gäller i dag är inte avsedd.
Rätten att invända mot direkt marknadsföring
I skogsvårdslagen finns en reglering om direkt marknadsföring i ändamålsbestämmelserna (32 b och 32 c §§). Bestämmelserna innehåller en hänvisning till 11 § personuppgiftslagen. Enligt den bestämmelsen får inte personuppgifter behandlas för ändamål som rör direkt marknadsföring, om den registrerade hos den personuppgiftsansvarige skriftligen anmält att han eller hon motsätter sig sådan behandling. Även dataskyddsförordningen innehåller en rätt för den registrerade att när som helst invända mot behandling av personuppgifter som avser honom eller henne för direkt marknadsföring (artikel 21.2). Om den registrerade invänder mot behandling för direkt marknadsföring ska personuppgifterna inte längre behandlas för sådana ändamål (artikel 21.3). Bestämmelserna i skogsvårdslagen ska därmed ändras genom att hänvisningen till personuppgiftslagen ersätts med en hänvisning till artikel 21.2 och 21.3 i dataskyddsförordningen. Med hänsyn till vikten av att den registrerades intressen upprätthålls, bör det säkerställas att ändringar av förordningen får omedelbart genomslag. Det är därför ändamålsenligt att hänvisningen till de aktuella artiklarna i dataskyddsförordningen görs dynamisk, dvs. avser förordningen i den vid varje tidpunkt gällande lydelsen (jfr prop. 2017/18:105 s. 24-25).
8 Rättsmedel och skadestånd
Regeringens förslag: Bestämmelsen i skogsvårdslagen som anger att beslut om avslag på en ansökan om information eller beslut om rättelse enligt personuppgiftslagen får överklagas till allmän förvaltningsdomstol ska tas bort. Detsamma gäller bestämmelser i lagar inom Näringsdepartementets ansvarsområden som anger att bestämmelsen om skadestånd i personuppgiftslagen gäller vid behandling av person-uppgifter enligt den aktuella lagen.
Promemorians förslag överensstämmer med regeringens.
Remissinstanserna har inga invändningar mot förslagen.
Skälen för regeringens förslag
Överklagandebestämmelsen i skogsvårdslagen
I kapitel VIII i dataskyddsförordningen finns bestämmelser om rättsmedel, ansvar och sanktioner. I propositionen Ny dataskyddslag föreslår regeringen att dataskyddslagen ska innehålla generella processuella bestämmelser. Enligt förslaget kan beslut som fattas av en personuppgiftsansvarig myndighet med anledning av att en registrerad utövar sin rätt till information och tillgång till personuppgifter, rättelse, radering, begränsning, invändning eller dataportabilitet överklagas till allmän förvaltningsdomstol (7 kap. 2 § dataskyddslagen och artiklarna 12.5 och 15-21 i dataskyddsförordningen).
Skogsvårdslagen innehåller en bestämmelse som bl.a. anger att Skogs-styrelsens beslut om avslag på ansökan om information enligt 26 § personuppgiftslagen och beslut om rättelse enligt 28 § samma lag får överklagas hos allmän förvaltningsdomstol (40 §). Eftersom den föreslagna dataskyddslagen kommer att innehålla generella bestämmelser om vilka myndighetsbeslut som kan överklagas är regleringen i skogs-vårdslagen överflödig och ska därför tas bort.
Skadestånd
Personuppgiftsansvarigas och personuppgiftsbiträdens ansvar samt den registrerades rätt till ersättning regleras i artikel 82 i dataskyddsförordningen. Någon möjlighet till nationella undantag från rätten till ersättning finns inte. Artikeln är direkt tillämplig och omfattar behandling som strider mot medlemsstaternas nationella rätt med närmare specifikation av förordningens bestämmelser (jfr skäl 146). I propositionen Ny dataskyddslag föreslås en förtydligande bestämmelse om att rätten till ersättning enligt artikel 82 även gäller vid överträdelser av bestämmelser i dataskyddslagen och andra föreskrifter som kompletterar dataskyddsförordningen (7 kap. 1 §).
Flera av lagarna inom departementets ansvarsområden innehåller bestämmelser som innebär att bestämmelsen om skadestånd i personuppgiftslagen gäller när behandling sker i strid med författningen i fråga. Sådana bestämmelser finns i skogsvårdslagen, lagen om nationella toppdomäner för Sverige på Internet, lagen om tillsyn över hundar och katter, lagen om djurskyddskontrollregister och i lagen om behörighet för lokförare. Anledningen till att det finns sådana bestämmelser är att 48 § personuppgiftslagen endast reglerar skadeståndsskyldigheten i för-hållande till behandling av personuppgifter som skett i strid med personuppgiftslagen och inte behandling som skett i strid med andra författningar. Att den registrerade har rätt till ersättning vid överträdelser av bestämmelser som kompletterar dataskyddsförordningen framgår numera direkt av artikel 82. Regleringar som anger att bestämmelsen om skadestånd i personuppgiftslagen gäller ska därför tas bort.
9 Anpassning av vissa bestämmelser i lagen om elektronisk kommunikation
Regeringens förslag: Begreppen behandling, samtycke och personuppgiftsansvarig i 6 kap. lagen om elektronisk kommunikation ska ha samma innebörd som i EU:s dataskyddsförordning.
Bestämmelsen om hur lagen förhåller sig till annan reglering ska upplysa om att det förutom i 6 kap. finns bestämmelser om behandling av personuppgifter i EU:s dataskyddsförordning och i dataskyddslagen samt i föreskrifter som har meddelats i anslutning till den lagen.
Hänvisningen till personuppgiftslagens reglering om rättelse och skadestånd ska ersättas med en hänvisning till motsvarande bestämmelser i EU:s dataskyddsförordning.
Promemorians förslag överensstämmer delvis med regeringens. I promemorian föreslås att artikel 95 i dataskyddsförordningen ska tas in i 6 kap. lagen (2003:389) om elektronisk kommunikation. Vidare föreslås att regleringen i 6 kap. 2 § andra stycket som anger att bestämmelserna i personuppgiftslagen om rättelse och skadestånd även gäller vid behandling av personuppgifter enligt lagen om elektronisk kommunikation tas bort.
Remissinstanserna: Majoriteten av remissinstanserna lämnar förslagen utan synpunkter. Datainspektionen efterfrågar ett klargörande av vilka bestämmelser i lagen om elektronisk kommunikation som från och med den 25 maj 2018 kommer att regleras av dataskyddsförordningen. Post- och telestyrelsen framför inga synpunkter på förslagen men framhåller att det bör förtydligas att den i promemorian nämnda materiella förändringen endast gäller i fråga om behandling av personuppgifter och att tillhandahållare av elektroniska kommunikationsnät och elektroniska kommunikationstjänster som inte är allmänna i övrigt omfattas av bestämmelserna i lagen om elektronisk kommunikation.
Skälen för regeringens förslag
Lagen om elektronisk kommunikation gäller elektroniska kommunika-tionsnät och kommunikationstjänster med tillhörande installationer och tjänster samt annan radioanvändning. I 6 kap. finns bestämmelser om behandling av trafikuppgifter och integritetsskydd. Det är huvudsakligen genom bestämmelserna i detta kapitel som Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation ändrat genom direktiv 2009/136/EG, härefter kallat direktivet om integritet och elektronisk kommunikation, har genomförts i svensk rätt. Direktivet preciserar och kompletterar dataskyddsdirektivet och gäller för all behandling av personuppgifter på de områden som direktivet reglerar. För att klargöra förhållandet mellan dataskyddsförordningen och direktivet om integritet och elektronisk kommunikation kommer direktivet att ändras för att säkerställa konsekvens med dataskyddsförordningen (skäl 173 i dataskyddsförordningen). EU-kommissionen har lämnat ett förslag till en ny förordning om integritet och elektronisk kommunikation (COM [2017] 10 final) som ska gälla för tele- och internetoperatörer och ersätta direktivet om integritet och elektronisk kommunikation. Den nya förordningen är avsedd att specificera och komplettera dataskyddsförordningen. Av artikel 29 i förslaget framgår att förordningen är tänkt att börja tillämpas samtidigt som dataskyddsförordningen, dvs. den 25 maj 2018.
Av artikel 95 i dataskyddsförordningen framgår hur förordningens bestämmelser förhåller sig till bestämmelserna i direktivet om integritet och elektronisk kommunikation. Dataskyddsförordningen ska enligt artikeln inte innebära några ytterligare förpliktelser för fysiska eller juridiska personer som behandlar personuppgifter inom ramen för tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster i allmänna kommunikationsnät i unionen, när det gäller områden inom vilka de redan omfattas av särskilda skyldigheter för samma ändamål i enlighet med direktivet om integritet och elektronisk kommunikation. Som ett förtydligande till artikeln anges i skäl 173 i dataskyddsförordningen att dataskyddsförordningen bör vara tillämplig på alla frågor som gäller skyddet av grundläggande rättigheter och friheter i förhållande till behandlingen av personuppgifter, vilka inte omfattas av särskilda skyldigheter med samma mål som anges i direktivet om integritet och elektronisk kommunikation, däribland den personuppgiftsansvariges skyldigheter och fysiska personers rättigheter. Artikel 95 överensstämmer med tillämpningsområdet för berörda tjänster vid behandling av personuppgifter i direktivet om integritet och elektronisk kommunikation (jfr artikel 3) och innebär att förordningen inte ska tillämpas där direktivet om integritet och elektronisk kommunikation innehåller särskilda bestämmelser som har samma mål (i den engelska språkversionen "same objective set out").
Begreppen behandling, samtycke och personuppgiftsansvarig bör ha samma innebörd som i EU:s dataskyddsförordning
Enligt artikel 2 i direktivet om integritet och elektronisk kommunikation gäller definitionerna i dataskyddsdirektivet, om inte annat anges i direktivet. Definitionen av en användares eller en abonnents samtycke motsvarar definitionen av den registrerades samtycke i dataskyddsdirektivet (artikel 2 f). Sådana hänvisningar till dataskyddsdirektivet utgör enligt artikel 94 i dataskyddsförordningen från och med den 25 maj 2018 hänvisningar till dataskyddsförordningen. Den hänvisning som i dag finns i 6 kap. 1 § lagen om elektronisk kommunikation till definitionerna av begreppen behandling, samtycke och personuppgiftsansvarig i personuppgiftslagen bör mot denna bakgrund ändras till att avse motsvarande definitioner i dataskyddsförordningen. För att undvika osäkerhet är det av stor vikt att terminologin som används i den nationella regleringen följer den begreppsutveckling som sker inom unionen. Det är därför ändamålsenligt att hänvisningen till de uttryck som används i dataskyddsförordningen görs dynamisk, dvs. avser förordningen i den vid varje tidpunkt gällande lydelsen (jfr prop. 2017/18:105 s. 24-25).
EU:s dataskyddsförordning och lagen om elektronisk kommunikation
Eftersom personuppgiftslagen kommer att upphävas måste bestämmelsen i 6 kap. 2 § om hur lagen förhåller sig till annan lag delvis ändras. Artikel 95 i dataskyddsförordningen anger hur dataskyddsförordningens bestämmelser ska tillämpas fram till att direktivet om integritet och elektronisk kommunikation ändras för att uppnå överensstämmelse med förordningen. Artikeln är direkt tillämplig. Det är därmed enligt regeringens mening tillräckligt att upplysa om att bestämmelser om behandling av personuppgifter, förutom i 6 kap. lagen om elektronisk kommunikation, även finns i dataskyddsförordningen och i dataskyddslagen samt i föreskrifter som meddelats i anslutning till den lagen.
Artikel 95 kan, som Post- och telestyrelsen uppmärksammat, innebära en viss materiell förändring i förhållande till den nuvarande lydelsen av 6 kap. 2 § första stycket. Artikel 95 gäller nämligen endast behandling av personuppgifter inom ramen för tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster i allmänna kommunikationsnät. Det medför att behandling av personuppgifter, som utförs av dem som tillhandahåller elektroniska kommunikationsnät och elektroniska kommunikationstjänster som inte är allmänna, kan komma att regleras av dataskyddsförordningen. I övrigt omfattas tillhandahållande av elektroniska kommunikationsnät och elektroniska kommunikationstjänster som inte är allmänna alltjämt av bestämmelserna i lagen om elektronisk kommunikation. Vilka regler som ska tillämpas får avgöras av tillämparen i det enskilda fallet med utgångspunkt i den samlade regleringen. Något förtydligande av vilka bestämmelser i 6 kap. som kan tillämpas vid tillhandahållande av elektroniska kommunikationsnät och elektroniska kommunikationstjänster som inte är allmänna vid behandling av personuppgifter på det sätt som Datainspektionen efterfrågar kan därmed inte göras.
Rättelse och skadestånd
Enligt 6 kap. 2 § andra stycket lagen om elektronisk kommunikation gäller bestämmelserna i personuppgiftslagen om rättelse och skadestånd även vid behandling av personuppgifter enligt den lagen. I promemorian görs bedömningen att denna reglering kan tas bort eftersom dataskyddsförordningens bestämmelser om rättelse och rätt till ersättning är direkt tillämpliga. Enligt promemorians bedömning behövs ingen hänvisning i sektorsspecifika författningar för att bestämmelserna ska gälla. Bestämmelsen i 6 kap. 2 § andra stycket genomför emellertid delvis artikel 15.2 i direktivet om integritet och elektronisk kommunikation och kan därför inte tas bort. Enligt artikel 15.2 ska bestämmelserna om rättslig prövning, ansvar och sanktioner i kapitel III i dataskyddsdirektivet gälla för de nationella bestämmelser som antas i enlighet med direktivet om integritet och elektronisk kommunikation och för de individuella rättigheter som kan härledas från detsamma. Hänvisningen till personuppgiftslagens bestämmelse om skadestånd ska därmed i stället ersättas med en hänvisning till dataskyddsförordningens reglering om rätt till ersättning.
När det gäller hänvisningen till bestämmelsen om rättelse i personuppgiftslagen innefattar bestämmelsen i 28 § personuppgiftslagen åtgärderna rättelse, blockering och utplåning. I dataskyddsförordningen är motsvarande åtgärder uppdelade i tre artiklar. Rätten till rättelse följer numera av artikel 16 i dataskyddsförordningen. Rätten till radering och begränsning av behandling framgår av artiklarna 17 och 18. Att dessa artiklar även gäller vid behandling av personuppgifter enligt lagen om elektronisk kommunikation ska framgå genom en hänvisning till dataskyddsförordningen. För att undvika osäkerhet bör det säkerställas att ändringar av förordningen får omedelbart genomslag. Det är därför ändamålsenligt att hänvisningen till dataskyddsförordningen görs dynamisk, dvs. avser förordningen i den vid varje tidpunkt gällande lydelsen (jfr prop. 2017/18:105 s. 24-25).
10 Ikraftträdande- och övergångsbestämmelser
Regeringens förslag och bedömning: Lagändringarna ska träda i kraft den 25 maj 2018. Det finns inget behov av övergångsbestämmelser.
Promemorians förslag och bedömning överensstämmer med regeringens.
Remissinstanserna: Ingen remissinstans yttrar sig i denna del.
Skälen för regeringens förslag och bedömning: EU:s dataskyddsförordning ska börja tillämpas den 25 maj 2018. De anpassningar till förordningen som föreslås i propositionen bör träda i kraft samma dag som förordningen ska börja tillämpas. Något behov av övergångs-bestämmelser i de berörda lagarna finns inte.
Dataskyddsförordningens bestämmelser om skadestånd kommer att tillämpas på överträdelser av förordningen och nationell rätt som kompletterar förordningen. Bestämmelserna kommer alltså inte att tillämpas för skador som orsakats före den 25 maj 2018. I sådana fall ska hittillsvarande skadeståndsbestämmelser tillämpas. Detta behöver inte regleras i särskilda övergångsbestämmelser utan får anses följa av allmänna rättsgrundsatser (jfr prop. 1972:5 s. 593).
11 Konsekvenser
Regeringens bedömning: De föreslagna ändringarna medför inga konsekvenser för personuppgiftsansvariga myndigheter eller för enskilda.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Ingen remissinstans yttrar sig särskilt över bedömningen.
Skälen för regeringens bedömning: Genom de förslag som läggs fram i propositionen genomförs nödvändiga anpassningar av data-skyddsregleringar inom Näringsdepartementets ansvarsområden till data-skyddsförordningen. Förslagen berör tillämpande myndigheter och aktörer i den privata sektorn i deras egenskap av personuppgiftsansvariga.
Rättsläget ändras i mycket begränsad omfattning genom förslagen och ändringarna görs uteslutande i befintliga dataskyddsregleringar. Genom förslagen bedöms lagarna inom aktuella ansvarsområden överensstämma med dataskyddsförordningen. I den bedömningen ligger bl.a. att dataskyddsregleringen är proportionerlig i förhållande till de legitima mål som eftersträvas och att det i vederbörlig utsträckning har tagits hänsyn till den registrerades rätt till personlig integritet. Några alternativa lösningar tycks inte finnas för anpassningen.
Förslagen bedöms inte leda till några kostnadsökningar för person-uppgiftsansvariga. Förslagen bedöms inte heller medföra några ökade kostnader för enskilda eller det allmänna.
Ändringarna bedöms inte innebära några negativa effekter för företagens arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt. Inte heller bedöms förslagen ha någon påverkan på vare sig jämställd-heten mellan män och kvinnor eller möjligheten att nå de integrationspolitiska målen. Förslagen bedöms inte heller ha några sociala eller miljömässiga konsekvenser.
12 Författningskommentar
12.1 Förslaget till lag om ändring i rennäringslagen (1971:437)
Renmärken och renmärkesregister
74 § Ärenden om registrering av renmärke prövas av Sametinget.
Sametinget är personuppgiftsansvarigt för behandlingen av personuppgifter i renmärkesregistret.
Registret får användas för att fastställa vem som är ägare till en ren. Registret ska innehålla uppgifter om ett renmärkes utseende, den sameby där märket får användas samt märkesinnehavarens namn, person- eller organisationsnummer och adress.
Bestämmelserna i andra och tredje styckena kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
I paragrafen anges vilken myndighet som är personuppgiftsansvarig för renmärkesregistret, hur registret får användas och vilka uppgifter registret ska innehålla. Paragrafen upplyser också om att det finns bestämmelser om behandling av personuppgifter i dataskyddsförordningen och i dataskyddslagen. Övervägandena finns i avsnitt 6.1.
I fjärde stycket ersätts hänvisningen till personuppgiftslagen med en upplysning om att bestämmelserna i andra och tredje styckena kompletterar EU:s dataskyddsförordning vid behandling av personuppgifter. Dataskyddsförordningen kommer, när den börjar tillämpas, att vara direkt tillämplig i varje medlemsstat och utgöra den huvudsakliga rättsakten i fråga om behandling av personuppgifter. Det innebär att den automatiskt blir en del av den svenska rättsordningen. Hänvisningen till dataskyddsförordningen är dynamisk dvs. avser förordningen i den vid varje tidpunkt gällande lydelsen.
Ett nytt femte stycke införs som upplyser om att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller vid behandling av personuppgifter i renmärkesregistret. Detta gäller dock endast om inte annat följer av lagen eller föreskrifter som har meddelats i anslutning till lagen. I dataskyddslagen finns bl.a. generella begränsningar av den registrerades rättigheter och processuella bestämmelser.
Övriga ändringar är enbart av språklig karaktär och någon ändring i sak i förhållande till vad som gäller i dag är inte avsedd.
12.2 Förslaget till lag om ändring i skogsvårdslagen (1979:429)
Register
32 b § I fråga om personuppgifter ska registret över fysiska och juridiska personer, som yrkesmässigt bedriver produktion eller införsel för saluföring av skogsodlingsmaterial eller handel med sådant material, ha till ändamål att tillhandahålla uppgifter för
1. verksamhet för vilken staten ansvarar enligt lag eller annan författning, och
a) som avser sådana näringsidkare som registrerats i registret, eller
b) som för att kunna utföras förutsätter tillgång till uppgifter om sådana näringsidkare,
2. aktualisering, komplettering eller kontroll av uppgifter om sådana näringsidkare i kund- eller verksamhetsregister eller liknande register, eller
3. uttag av urval av personuppgifter för direkt marknadsföring, dock med den begränsning som följer av artikel 21.2 och 21.3 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Paragrafen behandlar ändamål för behandling av personuppgifter i registret över fysiska och juridiska personer som yrkesmässigt bedriver produktion eller införsel för saluföring av skogsodlingsmaterial eller handel med sådant material. Övervägandena finns i avsnitt 7.
Genom ändringen i tredje punkten ersätts hänvisningen till personuppgiftslagen med en hänvisning till motsvarande reglering i EU:s dataskyddsförordning. Enligt artikel 21.2 i dataskyddsförordningen har den registrerade rätt att invända mot behandling av personuppgifter för direkt marknadsföring. Om den registrerade invänder mot sådan behandling ska den personuppgiftsansvarige enligt artikel 21.3 inte längre behandla personuppgifterna för sådana ändamål. Hänvisningen till dataskyddsförordningen är dynamisk dvs. avser förordningen i den vid varje tidpunkt gällande lydelsen.
I övrigt görs en ändring av språklig karaktär.
32 c § I fråga om personuppgifter ska registret över godkända frökällor ha till ändamål att tillhandahålla uppgifter för
1. verksamhet för vilken staten ansvarar enligt lag eller annan författning, och
a) som avser sådana frökällor som registrerats i registret, eller
b) som för att kunna utföras förutsätter tillgång till uppgifter om sådana frökällor,
2. omsättning av skogsodlingsmaterial och fast egendom på vilken en frökälla registrerats,
3. aktualisering, komplettering eller kontroll av uppgifter om frökällor i kund- eller verksamhetsregister eller liknande register, eller
4. uttag av urval av personuppgifter för direkt marknadsföring, dock med den begränsning som följer av artikel 21.2 och 21.3 i EU:s dataskyddsförordning.
Paragrafen behandlar ändamål för behandling av personuppgifter i registret över godkända frökällor. Övervägandena finns i avsnitt 7.
Genom ändringen i fjärde punkten ersätts hänvisningen till personuppgiftslagen med en hänvisning till motsvarande reglering i EU:s data-skyddsförordning. Enligt artikel 21.2 i dataskyddsförordningen har den registrerade rätt att invända mot behandling av personuppgifter för direkt marknadsföring. Om den registrerade invänder mot sådan behandling ska den personuppgiftsansvarige enligt artikel 21.3 inte längre behandla personuppgifterna för sådana ändamål. Hänvisningen till dataskydds-förordningen är dynamisk dvs. avser förordningen i den vid varje tid-punkt gällande lydelsen.
Övriga ändringar är av språklig karaktär.
32 e § Skogsstyrelsen är personuppgiftsansvarig för behandlingen av person-uppgifter i de register som avses i 32 a § första stycket.
Av paragrafen framgår att Skogsstyrelsen är personuppgiftsansvarig för behandlingen av personuppgifter i registret över fysiska och juridiska personer som yrkesmässigt bedriver produktion eller införsel för saluföring av skogsodlingsmaterial eller handel med sådant material samt registret över godkända frökällor. Övervägandena finns i avsnitt 6.3.
Genom ändringen tas hänvisningen till personuppgiftslagen bort. Någon ändring i sak i förhållande till vad som gäller i dag är inte avsedd.
Ansvar och överklagande m.m.
40 § Skogsstyrelsens beslut enligt denna lag eller enligt föreskrifter som har meddelats med stöd av lagen får överklagas till allmän förvaltningsdomstol.
Naturvårdsverket får överklaga Skogsstyrelsens beslut i fall som avses i 25 § andra stycket.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Paragrafen innehåller bl.a. bestämmelser om rätten att överklaga Skogsstyrelsens beslut. Övervägandena finns i avsnitt 8.
Ändringen innebär att första stycket andra meningen, som anger att Skogsstyrelsens beslut om avslag på ansökan om information enligt 26 § personuppgiftslagen och beslut om rättelse enligt 28 § personuppgifts-lagen får överklagas till allmän förvaltningsdomstol, tas bort. Att beslut som fattas av en personuppgiftsansvarig myndighet med anledning av att den registrerade utövar sin rätt till information och tillgång till person-uppgifter eller rättelse får överklagas till allmän förvaltningsdomstol framgår av dataskyddslagen.
I övrigt görs en ändring av språklig karaktär.
12.3 Förslaget till lag om ändring i lagen (2003:389) om elektronisk kommunikation
6 kap. Behandling av trafikuppgifter samt integritetsskydd
Särskilda definitioner
1 § I detta kapitel avses med
elektroniskt meddelande: all information som utbyts eller överförs mellan ett begränsat antal parter genom en allmänt tillgänglig elektronisk kommunikationstjänst, utom information som överförs som del av sändningar av ljudradio- och tv-program som är riktade till allmänheten via ett elektroniskt kommunikationsnät om denna information inte kan sättas i samband med den enskilda abonnenten eller användaren av informationen,
integritetsincident: en händelse som leder till oavsiktlig eller otillåten utplåning, förlust eller ändring, eller otillåtet avslöjande av eller otillåten åtkomst till uppgifter som behandlas i samband med tillhandahållandet av allmänt tillgängliga elektroniska kommunikationstjänster,
internetåtkomst: möjlighet till överföring av ip-paket som ger användaren tillgång till internet,
meddelandehantering: utbyte eller överföring av elektroniskt meddelande som inte är samtal och inte heller är information som överförs som del av sändningar av ljudradio- och tv-program,
misslyckad uppringning: uppringning som kopplas fram utan att nå en mottagare,
trafikuppgift: uppgift som behandlas i syfte att befordra ett elektroniskt meddelande via ett elektroniskt kommunikationsnät eller för att fakturera detta meddelande.
Begreppen behandling, personuppgiftsansvarig och samtycke har i kapitlet samma innebörd som i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
I paragrafen anges vad som avses med en rad uttryck som används i kapitlet vid behandling av trafikuppgifter och integritetsskydd t.ex. behandling, personuppgiftsansvarig och samtycke. Övervägandena finns i avsnitt 9.
När det gäller uttrycken behandling, personuppgiftsansvarig och sam-tycke tas hänvisningen till personuppgiftslagen bort och ersätts av en hänvisning till EU:s dataskyddsförordning. Dessa uttryck kommer således ha samma innebörd som i artikel 4 i förordningen. Hänvisningen till dataskyddsförordningen är dynamisk dvs. avser förordningen i den vid varje tidpunkt gällande lydelsen.
Förhållande till annan reglering
2 § Bestämmelser om behandling av personuppgifter finns förutom i detta kapitel i EU:s dataskyddsförordning och i lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning samt i föreskrifter som har meddelats i anslutning till den lagen.
Bestämmelserna i EU:s dataskyddsförordning om rättelse, radering, begränsning och skadestånd gäller även vid behandling av personuppgifter enligt denna lag.
I det allmännas verksamhet ska offentlighets- och sekretesslagen (2009:400) tillämpas i stället för 20-23 §§.
Paragrafen upplyser bl.a. om lagens förhållande till annan reglering om behandling av personuppgifter. Övervägandena finns i avsnitt 9.
Genom ändringen tas hänvisningen till personuppgiftslagen i första stycket bort. Bestämmelsen upplyser i stället om att det förutom i 6 kap. finns bestämmelser om behandling av personuppgifter i EU:s data-skyddsförordning och i dataskyddslagen samt i föreskrifter som har meddelats i anslutning till den lagen. Hänvisningen till dataskydds-förordningen är dynamisk dvs. avser förordningen i den vid varje tid-punkt gällande lydelsen.
Enligt artikel 95 i dataskyddsförordningen ska förordningen inte innebära några ytterligare förpliktelser för fysiska eller juridiska personer som behandlar personuppgifter inom ramen för tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster i allmänna kommunikationsnät i unionen. Det gäller områden inom vilka tillhandahållaren redan omfattas av särskilda skyldigheter för samma ändamål i enlighet med direktiv 2002/58/EG. Bestämmelserna i 6 kap. ska under dessa förutsättningar tillämpas framför dataskyddsförordningens reglering. Behandling av personuppgifter vid tillhandahållande av elektroniska kommunikationsnät och elektroniska kommunikationstjänster som inte är allmänna kan därmed komma att regleras av dataskyddsförordningen. Eftersom dataskyddslagen är subsidiär i förhållande till avvikande bestämmelser i annan lag eller förordning gäller dataskyddslagen endast om inte annat anges i 6 kap.
I andra stycket tas hänvisningen till bestämmelserna i personuppgiftslagen om rättelse och skadestånd bort och ersätts med en hänvisning till motsvarande reglering i dataskyddsförordningen. Rätten till ersättning regleras i artikel 82 i förordningen. Rätten till rättelse, radering och begränsning av behandling av personuppgifter som sker enligt lagen framgår av artiklarna 16-18. Någon ändring i sak i förhållande till vad som gäller i dag är inte avsedd.
12.4 Förslaget till lag om ändring i lagen (2006:24) om nationella toppdomäner för Sverige på Internet
Förhållandet till annan dataskyddsreglering
3 § Bestämmelserna i 6 § kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Paragrafen upplyser om att det vid behandling av personuppgifter finns bestämmelser i annan dataskyddsreglering. Övervägandena finns i avsnitt 6.1, 7 och 8.
I första stycket ersätts hänvisningen till personuppgiftslagen med en upplysning om att bestämmelserna i 6 § kompletterar EU:s dataskyddsförordning vid behandling av personuppgifter. Dataskyddsförordningen kommer, när den börjar tillämpas, att vara direkt tillämplig i EU och utgöra den huvudsakliga rättsakten på området för personuppgiftsbehandling. Det innebär att den automatiskt blir en del av den svenska rättsordningen. I vissa avseenden förutsätter respektive tillåter dataskyddsförordningen att medlemsstater inför bestämmelser som kompletterar förordningen, antingen i form av preciseringar eller i form av undantag. Bestämmelserna i 6 § utgör en sådan kompletterande precisering (jfr artikel 6.2). Hänvisningen till dataskyddsförordningen är dynamisk dvs. avser förordningen i den vid varje tidpunkt gällande lydelsen.
Genom ändringen i andra stycket tas hänvisningen till personuppgiftslagens bestämmelser om rättelse och skadestånd bort och ersätts med en upplysning om att bestämmelser om behandling av personuppgifter finns i dataskyddslagen samt tillhörande förordning. Att rätten till rättelse och skadestånd gäller vid behandling av personuppgifter enligt lagen framgår direkt av dataskyddsförordningen. Bestämmelserna i dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller vid behandling av personuppgifter i administrationen av en nationell topp-domän för Sverige. Detta gäller dock endast om inte annat följer av lagen eller föreskrifter som har meddelats i anslutning till lagen. I data-skyddslagen finns bl.a. generella begränsningar av den registrerades rättigheter och processuella bestämmelser.
12.5 Förslaget till lag om ändring i lagen (2007:1150) om tillsyn över hundar och katter
Märkning och registrering av hundar
6 § Jordbruksverket är personuppgiftsansvarigt för behandlingen av personuppgifter i hundregistret. Regeringen eller, efter regeringens bemyndigande, Jordbruksverket får besluta att överlåta driften av registret till en annan myndighet eller till en organisation.
Av paragrafen framgår att Jordbruksverket är personuppgiftsansvarigt för behandlingen av personuppgifter i hundregistret. Övervägandena finns i avsnitt 6.3.
Genom ändringen tas hänvisningen till personuppgiftslagen bort. Någon ändring i sak i förhållande till vad som gäller i dag är inte avsedd.
7 § Bestämmelserna i 5 och 6 §§ kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
I paragrafen finns bestämmelser om tillämplig dataskyddsreglering vid behandling av personuppgifter i hundregistret. Övervägandena finns i avsnitt 6.1, 7 och 8.
Hänvisningen till personuppgiftslagen i första meningen ersätts med en upplysning om att bestämmelserna i 5 och 6 §§ kompletterar EU:s data-skyddsförordning vid behandling av personuppgifter. Dataskydds-förordningen kommer, när den börjar tillämpas, att vara direkt tillämplig i varje medlemsstat och utgöra den huvudsakliga rättsakten i fråga om behandling av personuppgifter. Det innebär att den automatiskt blir en del av den svenska rättsordningen. Hänvisningen till dataskyddsförordningen är dynamisk dvs. avser förordningen i den vid varje tidpunkt gällande lydelsen.
Ändringen innebär också att hänvisningen i andra meningen till personuppgiftslagens bestämmelser om rättelse och skadestånd tas bort. Att rätten till rättelse och skadestånd gäller vid behandling av personuppgifter enligt lagen framgår direkt av dataskyddsförordningen.
I ett nytt andra stycke upplyses om att bestämmelserna i dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller vid behandling av personuppgifter i hundregistret. Detta gäller dock endast om inte annat följer av lagen eller föreskrifter som har meddelats i anslutning till lagen. I dataskyddslagen finns bl.a. generella begränsningar av den registrerades rättigheter och processuella bestämmelser.
12.6 Förslaget till lag om ändring i lagen (2009:619) om djurskyddskontrollregister
Förhållandet till annan reglering
2 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Paragrafen upplyser om tillämplig lag vid behandling av personuppgifter i djurskyddskontrollregistret. Bestämmelsen har flyttats från nuvarande 3 § och har anpassats till regleringen i EU:s dataskyddsförordning genom en ny lydelse. Övervägandena finns i avsnitt 6.1.
Hänvisningen till personuppgiftslagen ersätts med en upplysning om lagens förhållande till dataskyddsförordningen. Förordningen kommer, när den börjar tillämpas, att vara direkt tillämplig i EU och utgöra den huvudsakliga rättsakten på området för personuppgiftsbehandling. Det innebär att den automatiskt blir en del av den svenska rättsordningen. I vissa avseenden förutsätter respektive tillåter dataskyddsförordningen att medlemsstater inför bestämmelser som kompletterar förordningen, an-tingen i form av preciseringar eller i form av undantag. Bestämmelserna i denna lag innehåller preciseringar och undantag i förhållande till dataskyddsförordningens bestämmelser (jfr artiklarna 6.2, 6.3 och 23). Hänvisningen till dataskyddsförordningen är dynamisk dvs. avser förordning-en i den vid varje tidpunkt gällande lydelsen.
Vidare införs ett nytt andra stycke med en upplysning om att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller vid behandling av personuppgifter i djurskyddskontrollregistret. Detta gäller dock endast om inte annat följer av lagen eller föreskrifter som har meddelats med stöd av lagen. I dataskyddslagen finns bl.a. generella begränsningar av den registrerades rättigheter och processuella bestämmelser.
Rätten att göra invändningar
3 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.
I paragrafen görs undantag från den registrerades rätt att invända mot behandling av personuppgifter som följer av artikel 21.1 i EU:s data-skyddsförordning. Bestämmelsen har flyttats från nuvarande 2 § och har anpassats till regleringen i dataskyddsförordningen genom en ny lydelse. Övervägandena finns i avsnitt 7.
Undantaget är en sådan begränsning i den nationella rätten som är tillåten enligt artikel 23 i EU:s dataskyddsförordning. Vid sådan behandling av personuppgifter i djurskyddskontrollregistret som är tillåten enligt lagen eller föreskrifter som har meddelats i anslutning till den gäller således inte rätten att göra invändningar enligt artikel 21.1. Hänvisningen till dataskyddsförordningen är dynamisk dvs. avser förordningen i den vid varje tidpunkt gällande lydelsen. Någon ändring i sak är inte avsedd.
Ändamål med behandlingen
5 § Personuppgifter får behandlas i djurskyddskontrollregistret för att
1. i verksamhet hos Jordbruksverket planera, samordna, administrera, följa upp och rapportera om djurskyddskontrollen enligt djurskyddslagen (1988:534) samt enligt de EU-förordningar som den lagen kompletterar,
2. tillhandahålla information om djurskyddskontrollen som behövs i verksamhet hos länsstyrelserna för deras planering, uppföljning och kontroll enligt djurskyddslagen samt enligt de EU-förordningar som den lagen kompletterar, och
3. tillhandahålla information som behövs i verksamhet hos Jordbruksverket och länsstyrelserna som underlag för beslut om och kontroll av direktstöd och stöd för landsbygdsutvecklingsåtgärder enligt lagen (1994:1710) om EG:s förordningar om jordbruksprodukter samt enligt lagen (1994:1708) om EU:s för-ordningar om strukturstöd och om stöd till utveckling av landsbygden.
Personuppgifter som behandlas för ändamål som anges i första stycket får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med annan lag eller förordning.
Personuppgifter som behandlas enligt första stycket får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
I paragrafen regleras för vilka ändamål personuppgifter i djurskyddskontrollregistret får behandlas. Övervägandena finns i avsnitt 6.2.
I paragrafen har ett nytt tredje stycke lagts till. Ändringen innebär att hänvisningen i andra stycket till den s.k. finalitetsprincipen i 9 § första stycket d och andra stycket personuppgiftslagen tas bort och ersätts med en bestämmelse som anger att personuppgifter som behandlas enligt ändamålsbestämmelserna i lagen får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
Att personuppgifter som samlats in för särskilda, uttryckligt angivna och berättigade ändamål inte senare får behandlas på ett sätt som är oförenligt med dessa ändamål följer av artikel 5.1 b i EU:s dataskyddsförordning. Regleringen är utformad i nära anslutning till den artikeln och bör tolkas på samma sätt. Detta innebär bl.a. att behandling för arkiv-ändamål av allmänt intresse, vetenskapliga eller historiska forsknings-ändamål eller statistiska ändamål i enlighet med artikel 89.1 i förord-ningen inte ska anses vara oförenlig med de ursprungliga ändamålen. Det innebär också att de omständigheter som anges i artikel 6.4 a-e i för-ordningen ska beaktas vid bedömningen om behandlingen är förenlig med finalitetsprincipen. Någon ändring i sak i förhållande till vad som gäller i dag är inte avsedd.
Övriga ändringar är av språklig karaktär.
Personuppgifter som får behandlas
6 § I djurskyddskontrollregistret får endast behandlas sådana uppgifter om den som är föremål för djurskyddskontroll enligt djurskyddslagen (1988:534) och de EU-förordningar som den lagen kompletterar, som behövs för de ändamål som anges i 5 §.
Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får inte behandlas.
Regeringen meddelar närmare föreskrifter om vilka personuppgifter som får behandlas i djurskyddskontrollregistret.
I paragrafen regleras vilka personuppgifter som får och inte får behandlas i djurskyddskontrollregistret, däribland känsliga personuppgifter. Övervägandena finns i avsnitt 6.4.
Ändringen i andra stycket innebär att hänvisningen till 13 § person-uppgiftslagen ersätts med en hänvisning till artikel 9.1 i EU:s data-skyddsförordning. Detta innebär att förbudet mot att behandla känsliga personuppgifter i djurskyddskontrollregistret utvidgas till att även omfatta genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person. Detta innebär också att det blir tydligt att uppgifter om en persons sexuella läggning ska anses utgöra känsliga personuppgifter. Hänvisningen till dataskyddsförordningen är dynamisk dvs. avser förordningen i den vid varje tidpunkt gällande lydelsen.
Övriga ändringar är enbart av språklig karaktär och någon ändring i sak i förhållande till vad som gäller i dag är inte avsedd.
Gallring
12 § Personuppgifter som behandlas i djurskyddskontrollregistret ska gallras när de inte längre är nödvändiga för de ändamål som anges i 5 §.
Regeringen eller den myndighet som regeringen bestämmer får dock meddela föreskrifter, eller i det enskilda fallet besluta, om
1. att personuppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, och
2. att gallring av personuppgifter ska ske senast vid en viss tidpunkt.
Paragrafen reglerar när personuppgifter som behandlas i djurskyddskontrollregistret ska gallras. Övervägandena finns i avsnitt 4.
Genom ändringen i andra stycket 1 anpassas bestämmelsen till dataskyddsförordningens terminologi (artikel 89) genom att det föreskrivs att personuppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Anpassningen av terminologin är inte avsedd att innebära någon ändring i sak i förhållande till vad som gäller i dag.
12.7 Förslaget till lag om ändring i postlagen (2010:1045)
2 kap. Postverksamhet
Tystnadsplikt m.m.
17 § I det allmännas verksamhet ska offentlighets- och sekretesslagen (2009:400) tillämpas i stället för 14 och 15 §§.
Av paragrafen framgår att postlagens bestämmelser om tystnadsplikt och uppgiftsskyldighet inte gäller i det allmännas verksamhet. Övervägandena finns i avsnitt 6.1.
Genom ändringen tas bestämmelsen i andra stycket som syftar till att klargöra förhållandet mellan postlagens bestämmelser om tystnadsplikt (14 § första och tredje styckena) och personuppgiftslagens bestämmelser, vid utlämnande av personuppgifter, bort. EU:s dataskyddsförordning kommer, när den börjar tillämpas, att vara direkt tillämplig i EU och utgöra den huvudsakliga rättsakten på området för personuppgifts-behandling. Bestämmelser om personuppgiftsbehandling finns också i dataskyddslagen.
12.8 Förslaget till lag om ändring i lagen (2011:725) om behörighet för lokförare
4 kap. Register
Allmänna bestämmelser
1 § I detta kapitel finns bestämmelser om register över förarbevis (förarbevisregistret), kompletterande intyg (intygsregister) och tillståndshavare (tillståndsregistret).
Bestämmelserna kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Paragrafen upplyser om lagens förhållande till regleringen om behandling av personuppgifter i EU:s dataskyddsförordning och i dataskydds-lagen. Övervägandena finns i avsnitt 6.1.
I andra stycket ersätts hänvisningen till personuppgiftslagen med en upplysning om lagens förhållande till EU:s dataskyddsförordning. Dataskyddsförordningen kommer, när den börjar tillämpas, att vara direkt tillämplig i EU och utgöra den huvudsakliga rättsakten på området för personuppgiftsbehandling. Det innebär att den automatiskt blir en del av den svenska rättsordningen. I vissa avseenden förutsätter respektive tillåter dataskyddsförordningen att medlemsstaterna inför bestämmelser som kompletterar förordningen, antingen i form av preciseringar eller i form av undantag. Bestämmelserna i 4 kap. är sådana kompletterande bestämmelser vid behandling av personuppgifter i förarbevisregistret, intygsregister och tillståndsregistret (jfr artiklarna 6.2, 6.3 och 23). Hänvisningen till dataskyddsförordningen är dynamisk dvs. avser förordningen i den vid varje tidpunkt gällande lydelsen.
I ett nytt tredje stycke upplyses om att dataskyddslagen och föreskrifter som meddelats i anslutning till den lagen gäller för behandling av personuppgifter i förarbevisregistret, intygsregister och tillståndsregistret. Detta gäller dock endast om inte annat följer av lag eller förordning som meddelats i anslutning till lagen. I dataskyddslagen finns bl.a. generella begränsningar av den registrerades rättigheter och processuella bestämmelser.
3 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.
I paragrafen görs undantag från den registrerades rätt att invända mot be-handling av personuppgifter som följer av artikel 21.1 i EU:s dataskydds-förordning. Övervägandena finns i avsnitt 7.
Ändringen innebär att bestämmelsen har anpassats till regleringen i dataskyddsförordningen. Vid sådan behandling av personuppgifter i förarbevisregistret, intygsregister och tillståndsregistret som är tillåten enligt lagen eller föreskrifter som har meddelats i anslutning till den gäller således inte rätten att göra invändningar enligt artikel 21.1 i dataskyddsförordningen. Undantaget är en sådan begränsning i den nationella rätten som är tillåten enligt artikel 23 i förordningen. Hänvisningen till dataskyddsförordningen är dynamisk dvs. avser förordningen i den vid varje tidpunkt gällande lydelsen. Någon ändring i sak är inte avsedd.
Förarbevisregistrets ändamål
8 § Personuppgifter som behandlas för ändamål som anges i 7 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med 10 §, annan lag eller förordning.
Personuppgifter som behandlas enligt 7 § får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
I paragrafen finns bestämmelser om behandling av personuppgifter vid fullgörande av uppgiftslämnande i vissa specifika fall och när vidarebehandling av redan insamlade uppgifter är tillåten. Övervägandena finns i avsnitt 6.2.
I paragrafen har ett nytt andra stycke lagts till. Ändringen innebär att hänvisningen i första stycket till den s.k. finalitetsprincipen i 9 § första stycket d och andra stycket personuppgiftslagen tas bort och ersätts med en bestämmelse som anger att personuppgifter som behandlas enligt ändamålsbestämmelserna i 7 § får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oför-enligt med det ändamål för vilket uppgifterna samlades in.
Att personuppgifter som samlats in för särskilda, uttryckligt angivna och berättigade ändamål inte senare får behandlas på ett sätt som är oförenligt med dessa ändamål följer av artikel 5.1 b i EU:s dataskyddsförordning. Regleringen är utformad i nära anslutning till den artikeln och bör tolkas på samma sätt. Detta innebär bl.a. att behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i förordningen inte ska anses vara oförenlig med de ursprungliga ändamålen. Det innebär också att de omständigheter som anges i artikel 6.4 a-e i förordningen ska beaktas vid bedömningen om behandlingen är förenlig med finalitetsprincipen. Någon ändring i sak i förhållande till vad som gäller i dag är inte avsedd.
Känsliga personuppgifter
9 § Sådana personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) och som rör den registrerades hälsa får behandlas i förarbevisregistret
1. om uppgifterna är nödvändiga för handläggning av ett ärende, eller
2. för något av de ändamål som anges i 8 §, om det är nödvändigt med hänsyn till ändamålet.
Andra känsliga personuppgifter får inte behandlas i förarbevisregistret.
Paragrafen reglerar behandlingen av känsliga personuppgifter i förarbevisregistret. Övervägandena finns i avsnitt 6.4.
Ändringen innebär att en hänvisning införs till artikel 9.1 i EU:s data-skyddsförordning. Enligt definitionen i artikel 4.15 i förordningen är personuppgifter som rör en fysisk persons fysiska eller psykiska hälsa, inbegripet tillhandahållandet av hälso- och sjukvårdstjänster, vilket ger information om dennes hälsostatus, uppgifter om hälsa i förordningens mening. Bestämmelsen gäller före den föreslagna regleringen i dataskyddslagen om när myndigheter får behandla känsliga personuppgifter. Hänvisningen till dataskyddsförordningen är dynamisk dvs. avser förordningen i den vid varje tidpunkt gällande lydelsen. Någon ändring i sak i förhållande till vad som gäller i dag är inte avsedd.
Begränsning av sökbegreppen
13 § Det är förbjudet att använda sökbegrepp som avslöjar känsliga person-uppgifter.
Paragrafen begränsar vilka uppgifter som får användas som sökbegrepp. Övervägandena finns i avsnitt 6.4.
Ändringen innebär att hänvisningen till 13 § personuppgiftslagen tas bort och att bestämmelsen anpassas till artikel 9.1 i EU:s dataskyddsförordning. Detta innebär att förbudet mot att använda sökbegrepp som avslöjar känsliga personuppgifter utvidgas till att även omfatta genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person. Det innebär vidare att det blir tydligt att sökbegrepp som avslöjar uppgifter om en persons sexuella läggning omfattas av sökförbudet. Någon ändring i sak i förhållande till vad som gäller i dag är inte avsedd.
Intygsregistrens ändamål
16 § Personuppgifter som behandlas för ändamål som anges i 15 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med 17 §, annan lag eller förordning.
Personuppgifter som behandlas enligt 15 § får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
I paragrafen anges att personuppgifter som behandlas i intygsregister för ändamålen som anges i 15 § även får behandlas för vissa andra ändamål. Övervägandena finns i avsnitt 6.2.
I paragrafen har ett nytt andra stycke lagts till. Ändringen innebär att hänvisningen i första stycket till den s.k. finalitetsprincipen i 9 § första stycket d och andra stycket personuppgiftslagen tas bort och ersätts med en bestämmelse som anger att personuppgifter som behandlas enligt ändamålsbestämmelserna i 15 § får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oför-enligt med det ändamål för vilket uppgifterna samlades in.
Att personuppgifter som samlats in för särskilda, uttryckligt angivna och berättigade ändamål inte senare får behandlas på ett sätt som är oförenligt med dessa ändamål följer av artikel 5.1 b i EU:s dataskydds-förordning. Regleringen är utformad i nära anslutning till den artikeln och bör tolkas på samma sätt. Detta innebär bl.a. att behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i förordningen inte ska anses vara oförenlig med de ursprungliga ändamålen. Det innebär också att de omständigheter som anges i artikel 6.4 a-e i förordningen ska beaktas vid bedömningen om behandlingen är förenlig med finalitetsprincipen. Någon ändring i sak i förhållande till vad som gäller i dag är inte avsedd.
Tillståndsregistrets ändamål
22 § Personuppgifter som behandlas för ändamål som anges i 21 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med annan lag eller förordning.
Personuppgifter som behandlas enligt 21 § får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
I paragrafen anges att personuppgifter som behandlas i tillståndsregistret för ändamålen som anges i 21 § även får behandlas för vissa andra ändamål. Övervägandena finns i avsnitt 6.2.
I paragrafen har ett nytt andra stycke lagts till. Ändringen innebär att hänvisningen i första stycket till den s.k. finalitetsprincipen i 9 § första stycket d och andra stycket personuppgiftslagen tas bort och ersätts med en bestämmelse som anger att personuppgifter som behandlas enligt ändamålsbestämmelserna i 21 § får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oför-enligt med det ändamål för vilket uppgifterna samlades in.
Att personuppgifter som samlats in för särskilda, uttryckligt angivna och berättigade ändamål inte senare får behandlas på ett sätt som är oförenligt med dessa ändamål följer av artikel 5.1 b i EU:s dataskydds-förordning. Regleringen är utformad i nära anslutning till den artikeln och bör tolkas på samma sätt. Detta innebär bl.a. att behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i förordningen inte ska anses vara oförenlig med de ursprungliga ändamålen. Det innebär också att de omständigheter som anges i artikel 6.4 a-e i förordningen ska beaktas vid bedömningen om behandlingen är förenlig med finalitetsprincipen. Någon ändring i sak i förhållande till vad som gäller i dag är inte avsedd.
Bemyndiganden
25 § Regeringen eller den myndighet som regeringen bestämmer får beträffande de intygsregister som inte förs av det allmänna meddela föreskrifter eller i det enskilda fallet besluta om att
1. personuppgifter ska bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, eller
2. gallring av personuppgifter ska ske senast vid en viss tidpunkt.
Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om bevarande och gallring som avses i första stycket 1 och 2 för övriga register.
I paragrafen regleras bl.a. vilka föreskrifter som regeringen eller den myndighet som regeringen har bestämt får meddela i fråga om bevarande och gallring av uppgifter i intygsregister som inte förs av det allmänna. Övervägandena finns i avsnitt 4.
Genom ändringen i första stycket 1 anpassas bestämmelsen till dataskyddsförordningens terminologi (artikel 89). Någon ändring i sak i förhållande till vad som gäller i dag är inte avsedd.
Ändringen i andra stycket är enbart av redaktionell karaktär.
12.9 Förslaget till lag om ändring i lagen (2013:315) om intelligenta transportsystem vid vägtransporter
Krav på ITS
8 § Bestämmelser om behandling av personuppgifter finns i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän data-skyddsförordning), lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och lagen (2001:558) om vägtrafikregister.
I lagen (2003:389) om elektronisk kommunikation finns bestämmelser om behandling av personuppgifter och integritetsskydd.
I lagen (2010:566) om vidareutnyttjande av handlingar från den offentliga förvaltningen finns bestämmelser om vidareutnyttjande av handlingar hos statliga och kommunala myndigheter.
I produktansvarslagen (1992:18) finns bestämmelser om skadeståndsansvar för produkter med säkerhetsbrister.
Paragrafen upplyser om var bestämmelser om behandling av personuppgifter, integritetsskydd, offentlig förvaltning och skadeståndsansvar finns. Övervägandena finns i avsnitt 6.1.
Genom ändringen i första stycket tas hänvisningen till personuppgiftslagen bort och ersätts med en hänvisning till EU:s dataskyddsförordning och till dataskyddslagen som båda innehåller allmänna bestämmelser om behandling av personuppgifter. Hänvisningen till dataskyddsförord-ningen är dynamisk dvs. avser förordningen i den vid varje tidpunkt gällande lydelsen.
I ett nytt andra stycke anges att det i lagen om elektronisk kommunikation finns bestämmelser om behandling av personuppgifter och integritetsskydd.
12.10 Förslaget till lag om ändring i lagen (2013:1164) om elektroniska vägtullssystem
Betalningsförmedlare
7 § En betalningsförmedlare ska
1. när ett avtal om förmedling av vägtull träffas med en väganvändare informera denne om den behandling av personuppgifter som avtalet medför och om väganvändarens rättigheter enligt Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning, och lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning samt föreskrifter som har meddelats i anslutning till den lagen,
2. informera väganvändarna om sin täckning enligt 6 § och eventuella förändringar av den,
3. vid behov förse de väganvändare med vilka avtal om förmedling av vägtull har träffats med fordonsutrustning som uppfyller föreskrivna tekniska krav och visa att utrustningen uppfyller kraven,
4. tillhandahålla lämpliga tjänster och tekniskt stöd för anpassning av fordonsutrustning,
5. ansvara för de fasta parametrar för klassificering av ett fordon som är lagrade i fordonsutrustningen eller hos betalningsförmedlaren,
6. se till att variabla parametrar för klassificering av ett fordon kan ställas in manuellt genom fordonsutrustningen,
7. föra en förteckning över fordonsutrustning som inte längre är godkänd och som hänför sig till ett avtal mellan förmedlaren och en väganvändare,
8. offentliggöra sina villkor för att träffa avtal med en väganvändare, och
9. samarbeta med avgiftsupptagare vid indrivning av vägtullar.
Av paragrafen framgår vilka skyldigheter en betalningsförmedlare har bl.a. i fråga om att upplysa en väganvändare om behandling av person-uppgifter. Övervägandena finns i avsnitt 6.1.
Genom ändringen i första punkten ersätts hänvisningen till personuppgiftslagen med en hänvisning till EU:s dataskyddsförordning och till dataskyddslagen som båda innehåller allmänna bestämmelser om behandling av personuppgifter. Vilka rättigheter väganvändare har vid personuppgiftsbehandling framgår av förordningen. Hänvisningen till dataskyddsförordningen är dynamisk dvs. avser förordningen i den vid varje tidpunkt gällande lydelsen.
Personuppgiftsansvar
25 § Bestämmelser om behandling av personuppgifter finns i EU:s dataskyddsförordning och i lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning samt i föreskrifter som har meddelats i anslutning till den lagen.
En avgiftsupptagare, eller den som för avgiftsupptagarens räkning tar upp vägtullar, är personuppgiftsansvarig för den behandling av personuppgifter som en underrättelse enligt 19 § innebär.
En betalningsförmedlare är personuppgiftsansvarig för den behandling av personuppgifter som verksamheten innebär.
Paragrafen upplyser om var bestämmelser om behandling av personuppgifter finns och anger vem som är personuppgiftsansvarig. Övervägandena finns i avsnitt 6.1 och 6.3.
I första stycket tas hänvisningen till personuppgiftslagen bort och ersätts med en upplysning om att allmänna bestämmelser om personuppgiftsbehandling finns i EU:s dataskyddsförordning och i dataskyddslagen samt i föreskrifter som har meddelats i anslutning till den lagen. Hänvisningen till dataskyddsförordningen är dynamisk dvs. avser förordningen i den vid varje tidpunkt gällande lydelsen.
I andra och tredje styckena tas hänvisningen till personuppgiftslagen bort. Någon ändring i sak i förhållande till vad som gäller i dag är inte avsedd.
Vägtullsregistret
26 § Den myndighet som regeringen bestämmer ska föra ett register över vägtullsområden och betalningsförmedlare (vägtullsregistret).
Den myndighet som avses i första stycket är personuppgiftsansvarig för behandlingen av personuppgifter i registret.
Paragrafen reglerar vem som ska föra vägtullsregistret och ha personuppgiftsansvaret för detta. Övervägandena finns i avsnitt 6.3.
Ändringen i andra stycket innebär att hänvisningen till personuppgiftslagen tas bort. Övriga ändringar är av språklig karaktär och någon ändring i sak i förhållande till vad som gäller i dag är inte avsedd.
Tillsyn
28 § Den myndighet som regeringen bestämmer utövar tillsyn över att avgiftsupptagare på enskild väg och betalningsförmedlare följer denna lag och föreskrifter som har meddelats i anslutning till lagen samt över att den tekniska utrustningen i ett vägtullssystem uppfyller föreskrivna krav.
I EU:s dataskyddsförordning och i lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning samt i föreskrifter som har meddelats i anslutning till den lagen finns bestämmelser om tillsyn över behandlingen av personuppgifter.
Paragrafen innehåller bestämmelser om utövande av tillsyn och upplyser bl.a. om var bestämmelser om tillsyn över behandling av personuppgifter finns. Övervägandena finns i avsnitt 6.1.
Genom ändringen i andra stycket tas hänvisningen till personuppgiftslagen bort och ersätts av en hänvisning till dataskyddsförordningen och till dataskyddslagen samt föreskrifter som har meddelats i anslutning till den lagen. Hänvisningen till dataskyddsförordningen är dynamisk dvs. avser förordningen i den vid varje tidpunkt gällande lydelsen.
12.11 Förslaget till lag om ändring i lagen (2014:52) om infrastrukturavgifter på väg
Personuppgiftsansvar
18 § Den som tar ut infrastrukturavgifter på vägar som avses i 1 § första stycket 2 är personuppgiftsansvarig för den behandling av personuppgifter som verksamheten innebär.
I fråga om infrastrukturavgifter på vägar som avses i 1 § första stycket 1 finns bestämmelser om personuppgiftsansvar i lagen (2001:558) om vägtrafikregister.
I paragrafen regleras personuppgiftsansvaret för behandling av personuppgifter som aktualiseras vid uttag av infrastrukturavgifter. Övervägandena finns i avsnitt 6.3.
Ändringen i första stycket innebär att hänvisningen till personuppgiftslagen tas bort. Någon ändring i sak i förhållande till vad som gäller i dag är inte avsedd.
Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)
Sammanfattning av departementspromemorian En anpassning till dataskyddsförordningen av dataskyddsbestämmelser inom Näringsdepartementets verksamhetsområde (Ds 2017:28)
EU:s dataskyddsförordning (EU) 2016/679 som ersätter dataskyddsdirektivet 95/46/EG ska börja tillämpas den 25 maj 2018. Det innebär att den svenska regleringen om behandling av personuppgifter måste anpassas efter EU:s nya dataskyddsreform. I promemorian redogörs för de konsekvenser som dataskyddsförordningen medför i fråga om personuppgiftsbehandling inom Näringsdepartementets verksamhetsområde och de författningsändringar som bedöms nödvändiga med anledning av dataskyddsförordningen och personuppgiftslagens (1998:204) och personuppgiftsförordningens (1998:1191) upphävande. Uppdraget omfattar att se över de s.k. registerförfattningarna eller annan sektorsspecifik reglering om behandling av personuppgifter som tillhör verksamhetsområdet. Att analysera eller beskriva vilka förändringar i stort som dataskyddsförordningen i sig innebär innefattas inte i uppdraget och redovisas därför inte i promemorian.
För att en bestämmelse om personuppgiftsbehandling i en registerförfattning eller annan sektorslagstiftning ska vara tillåten i nationell rätt måste den vara förenlig med dataskyddsförordningen. Sådana bestämmelser behöver således anpassas efter den nya dataskyddsreformen. De genomgångna författningarna innehåller kompletterande bestämmelser till dataskyddsförordningen och gäller utöver eller före den nya nationella regleringen som på ett generellt plan kompletterar dataskyddsförordningen. En utgångspunkt för anpassningen av författningarna har varit att den personuppgiftsbehandling som är tillåten i dag ska kunna fortsätta om det finns förutsättningar för sådan behandling i dataskyddsförordningen. Förslagen berör bestämmelser om bl.a. rätten till rättelse och begränsning av behandling. Vidare föreslås att hänvisningar till personuppgiftslagen i vissa fall ska ersättas av hänvisningar till dataskyddsförordningen. Promemorian innefattar också en redogörelse för de anpassningar som vissa av författningarna inom sektorn för elektronisk kommunikation bedöms behöva med anledning av att personuppgiftslagen och personuppgiftsförordningen ska upphävas.
Författningsändringarna föreslås träda i kraft den 25 maj 2018. Samma dag ska dataskyddsförordningen börja tillämpas. Enligt förslaget till dataskyddslag kommer den också att börja gälla den 25 maj 2018 (SOU 2017:39).
Promemorians lagförslag
Förslag till lag om ändring i rennäringslagen (1971:437)
Härigenom föreskrivs att 74 § rennäringslagen (1971:437) ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
74 §
Ärenden om registrering av renmärke prövas av Sametinget.
Sametinget är personuppgiftsansvarigt för renmärkesregistret.
Sametinget är personuppgifts-ansvarigt för behandlingen av personuppgifter i renmärkes-registret.
Registret får användas för att fastställa vem som är ägare till en ren. Registret skall innehålla upp-gifter om ett renmärkes utseende, den sameby där märket får användas samt märkes-innehavarens namn, person- eller organisationsnummer och adress.
Personuppgiftslagen (1998:204) gäller för behandling av person-uppgifter, utöver vad som sägs i andra och tredje styckena.
Registret får användas för att fastställa vem som är ägare till en ren. Registret ska innehålla uppgifter om ett renmärkes utseende, den sameby där märket får användas samt märkes-innehavarens namn, person- eller organisationsnummer och adress.
Bestämmelser om behandling av personuppgifter finns i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Utöver vad som sägs i andra och tredje styckena gäller även lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning vid behandling av personuppgifter.
Denna lag trädet i kraft den 25 maj 2018.
Förslag till lag om ändring i skogsvårdslagen (1979:429)
Härigenom föreskrivs i fråga om skogsvårdslagen (1979:429)
dels att 32 g § ska upphöra att gälla,
dels att 32 b, 32 c, 32 e och 40 §§ ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
32 b §
I fråga om personuppgifter skall registret över fysiska och juridiska personer, som yrkesmässigt bedriver produktion eller införsel för saluföring av skogsodlingsmaterial eller handel med sådant material, ha till ändamål att tillhandahålla uppgifter för
I fråga om personuppgifter ska registret över fysiska och juridiska personer, som yrkesmässigt bedriver produktion eller införsel för saluföring av skogsodlingsmaterial eller handel med sådant material, ha till ändamål att tillhandahålla uppgifter för
1. verksamhet för vilken staten ansvarar enligt lag eller annan författning, och
a) som avser sådana näringsidkare som registrerats i registret, eller
b) som för att kunna utföras förutsätter tillgång till uppgifter om sådana näringsidkare,
2. aktualisering, komplettering eller kontroll av uppgifter om sådana näringsidkare i kund- eller verksamhetsregistret eller liknande register, eller
3. uttag av urval av personuppgifter för direkt marknadsföring, dock med den begränsning som följer av 11 § personuppgiftslagen (1998:204).
3. uttag av urval av personuppgifter för direkt marknadsföring, dock med den begränsning som följer av artikel 21.2 och 21.3 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
32 c §
I fråga om personuppgifter skall registret över godkända frökällor ha till ändamål att tillhandhålla uppgifter för
I fråga om personuppgifter ska registret över godkända frökällor ha till ändamål att tillhandahålla uppgifter för
1. verksamhet för vilken staten ansvarar enligt lag eller annan författning, och
a) som avser sådana frökällor som registrerats i registret, eller
b) som för att kunna utföras förutsätter tillgång till uppgifter om sådana frökällor,
2. omsättning av skogsodlingsmaterial och fast egendom på vilken en frökälla registrerats,
3. aktualisering, komplettering eller kontroll av uppgifter om frökällor i kund- eller verksamhetsregister eller liknande register, eller
4. uttag av urval av personuppgifter för direkt marknadsföring, dock med den begränsning som följer av 11 § personuppgiftslagen (1998:204).
4. uttag av urval av personuppgifter för direkt marknadsföring, dock med den begränsning som följer av artikel 21.2 och 21.3 i Europaparlamentets och rådets förordning (EU) 2016/679.
32 e §
Skogsstyrelsen är personuppgiftsansvarig enligt personuppgiftslagen (1998:204) för de register som avses i 32 a § första stycket.
Skogsstyrelsen är personuppgiftsansvarig för behandlingen av personuppgifter i de register som avses i 32 a § första stycket.
40 §
Skogsstyrelsen beslut enligt denna lag eller enligt föreskrifter som har meddelats med stöd av lagen får överklagas hos allmän förvaltningsdomstol. Detsamma gäller beslut om avslag på ansökan om information enligt 26 § personuppgiftslagen (1998:204) och beslut om rättelse enligt 28 § samma lag.
Skogsstyrelsen beslut enligt denna lag eller enligt föreskrifter som har meddelats med stöd av lagen får överklagas hos allmän förvaltningsdomstol.
Naturvårdsverket får överklaga Skogsstyrelsens beslut i fall som avses i 25 § andra stycket.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Denna lag träder i kraft den 25 maj 2018.
Förslag till lag om ändring i lagen (2003:389) om elektronisk kommunikation
Härigenom föreskrivs att 6 kap. 1 och 2 §§ lagen om (2003:389) om elektronisk kommunikation ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
6 kap.
1 §
I detta kapitel avses med
elektroniskt meddelande: all information som utbyts eller överförs mellan ett begränsat antal parter genom en allmänt tillgänglig elektronisk kommunikationstjänst, utom information som överförs som del av sändningar av ljudradio- och tv-program som är riktade till allmänheten via ett elektroniskt kommunikationsnät om denna information inte kan sättas i samband med den enskilda abonnenten eller användaren av
informationen,
integritetsincident: en händelse som leder till oavsiktlig eller otillåten utplåning, förlust eller ändring, eller otillåtet avslöjande av eller otillåten åtkomst till uppgifter som behandlas i samband med tillhandahållandet av allmänt tillgängliga elektroniska kommunikationstjänster,
internetåtkomst: möjlighet till överföring av ip-paket som ger användaren tillgång till internet,
meddelandehantering: utbyte eller överföring av elektroniskt meddelande som inte är samtal och inte heller är information som överförs som del av sändningar av ljudradio- och tv-program,
misslyckad uppringning: uppringning som kopplas fram utan att nå en mottagare,
trafikuppgift: uppgift som behandlas i syfte att befordra ett elektroniskt meddelande via ett elektroniskt kommunikationsnät eller för att fakturera detta meddelande.
Begreppen behandling, personuppgiftsansvarig och samtycke har i kapitlet samma innebörd som i personuppgiftslagen (1998:204).
Begreppen behandling, personuppgiftsansvarig och samtycke har i kapitlet samma innebörd som i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
2 §
I fråga om behandling av personuppgifter vid tillhandahållande av elektroniska kommunikationsnät och elektroniska kommunikationstjänster samt vid abonnentupplysning gäller personuppgiftslagen (1998:204), om inte annat följer av denna lag.
I fråga om behandling av personuppgifter vid tillhandahållande av elektroniska kommunikationsnät och elektroniska kommunikationstjänster samt vid abonnentupplysning gäller Europaparlamentets och rådets förordning (EU) 2016/679. Bestämmelserna i förordningen (EU) 2016/679 ska dock inte tillämpas vid behandling av personuppgifter inom ramen för tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster i allmänna kommunikationsnät, inom sådana områden där tillhandahållaren redan omfattas av särskilda skyldigheter för samma ändamål enligt denna lag.
Bestämmelserna i personuppgiftslagen om rättelse och skadestånd gäller även vid behandling av personuppgifter enligt denna lag.
Även lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid sådan behandling som avses i första stycket, om inte annat följer av denna lag.
I det allmännas verksamhet ska offentlighets- och sekretesslagen (2009:400) tillämpas i stället för 20-23 §§.
Denna lag träder i kraft den 25 maj 2018.
Förslag till lag om ändring i lagen (2006:24) om nationella toppdomäner för Sverige på Internet
Härigenom föreskrivs att 3 § och rubriken närmast 3 § lagen (2006:24) om nationella toppdomäner för Sverige på Internet ska ha följande lydelse.
Nuvarande lydelse
Förhållandet till personuppgiftslagen
Föreslagen lydelse
Förhållandet till annan lag
3 §
Bestämmelserna i personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter i administrationen av en nationell toppdomän för Sverige, om inte annat följer av denna lag.
Bestämmelserna i personuppgiftslagen om rättelse och skadestånd gäller även vid behandling av personuppgifter enligt denna lag eller enligt föreskrifter som meddelats med stöd av lagen.
Bestämmelser om behandling av personuppgifter finns i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Denna lag innehåller kompletterande bestämmelser om behandling av personuppgifter. Om inte annat följer av denna lag, gäller även lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning vid behandling av personuppgifter i administrationen av en nationell toppdomän för Sverige.
Denna lag träder i kraft den 25 maj 2018.
Förslag till lag om ändring i lagen (2007:1150) om tillsyn över hundar och katter
Härigenom föreskrivs att 6 och 7 §§ lagen (2007:1150) om tillsyn över hundar och katter ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
6 §
Jordbruksverket är personuppgiftsansvarigt enligt personuppgiftslagen (1998:204) för hundregistret. Regeringen eller, efter regeringens bemyndigande, Jordbruksverket får besluta att överlåta driften av registret till en annan myndighet eller till en organisation.
Jordbruksverket är personuppgiftsansvarigt för behandlingen av personuppgifter i hundregistret. Regeringen eller, efter regeringens bemyndigande, Jordbruksverket får besluta att överlåta driften av registret till en annan myndighet eller till en organisation.
7 §
För behandling av personuppgifter gäller, utöver vad som sägs i 5 och 6 §§, personuppgiftslagen (1998:204). Bestämmelserna i personuppgiftslagen om rättelse och skadestånd gäller även vid behandling av personuppgifter som utförs enligt denna lag.
Bestämmelser om behandling av personuppgifter finns i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Denna lag innehåller kompletterande bestämmelser om sådan behandling. Utöver vad som sägs i 5 och 6 §§ denna lag gäller vid behandling av personuppgifter även lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning.
Denna lag träder i kraft den 25 maj 2018.
Förslag till lag om ändring i lagen (2009:619) om djurskyddskontrollregister
Härigenom föreskrivs i fråga om lagen (2009:619) om djurskyddskontrollregister
dels att 11 § ska upphöra att gälla,
dels att 3, 5, 6 och 12 §§ ska ha följande lydelse,
dels att rubriken närmast före 3 § ska ha följande lydelse och att rubriken närmast före 11 § ska utgå.
Nuvarande lydelse
Förhållandet till personuppgiftslagen
Föreslagen lydelse
Förhållandet till annan lag
3 §
Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter i djurskyddskontrollregistret om inte annat följer av denna lag eller av föreskrifter som har meddelats med stöd av denna lag.
Bestämmelser om behandling av personuppgifter finns i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Denna lag innehåller kompletterande bestämmelser om sådan behandling. Om inte annat följer av denna lag eller av föreskrifter som har meddelats med stöd av denna lag, gäller vid behandling av personuppgifter i djurskyddskontrollregistret även lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning.
5 §
Personuppgifter får behandlas i djurskyddskontrollregistret för att
1. i verksamhet hos Jordbruksverket planera, samordna, administrera, följa upp och rapportera om djurskyddskontrollen enligt djurskyddslagen (1988:534) samt enligt de EG-förordningar som kompletteras av den lagen,
2. tillhandahålla information om djurskyddskontrollen som behövs i verksamhet hos länsstyrelserna för deras planering, uppföljning och kontroll enligt djurskyddslagen samt enligt de EG-förordningar som kompletteras av den lagen, och
3. tillhandahålla information som behövs i verksamhet hos Jordbruksverket och länsstyrelserna som underlag för beslut om och kontroll av direktstöd och stöd för landsbygdsutvecklingsåtgärder enligt lagen (1994:1710) om EG:s förordningar om jordbruksprodukter samt enligt lagen (1994:1708) om EG:s förordningar om strukturstöd och om stöd till utveckling av landsbygden.
Personuppgifter som behandlas för ändamål som anges i första stycket får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med annan lag eller förordning. I övrigt gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204).
Personuppgifter som behandlas för ändamål som anges i första stycket får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med annan lag eller förordning. Att personuppgifter även får behandlas för andra ändamål framgår av artikel 5.1 b i Europaparlamentets och rådets förordning (EU) 2016/679.
6 §
I djurskyddskontrollregistret får endast behandlas sådana uppgifter om den som är föremål för djurskyddskontroll enligt djurskyddslagen (1988:534) och de EG-förordningar som kompletteras av den lagen, som behövs för de ändamål som anges i 5 §.
Sådana personuppgifter som avses i 13 § personuppgiftslagen (1998:204) får inte behandlas.
Sådana personuppgifter som avses i artikel 9 i Europaparlamentets och rådets förordning (EU) 2016/679 får inte behandlas.
Regeringen meddelar närmare föreskrifter om vilka personuppgifter som får behandlas i djurskyddskontrollregistret.
12 §
Personuppgifter som behandlas i djurskyddskontrollregistret ska gallras när de inte längre är nödvändiga för de ändamål som anges i 5 §.
Regeringen eller den myndighet som regeringen bestämmer får dock meddela föreskrifter, eller i det enskilda fallet besluta, om
1. att personuppgifter får bevaras för historiska, statistiska och vetenskapliga ändamål, och
1. att personuppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål och,
2. att gallring av personuppgifter ska ske senast vid en viss tidpunkt.
Denna lag träder i kraft den 28 maj 2018.
Förslag till lag om ändring i postlagen (2010:1045)
Härigenom föreskrivs att 2 kap. 17 § postlagen (2010:1045) ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
2 kap.
17 §
I det allmännas verksamhet ska offentlighets- och sekretesslagen (2009:400) tillämpas i stället för 14 och 15 §§.
För utlämnande av annan personuppgift i postverksamhet än som avses i 14 § första och tredje styckena gäller personuppgiftslagen (1998:204),
För utlämnande av annan personuppgift i postverksamhet än som avses i 14 § första och tredje styckena gäller Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Även lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid sådan behandling av personuppgifter.
Denna lag träder i kraft den 25 maj 2018.
Förslag till lag om ändring i lagen (2011:725) om behörighet för lokförare
Härigenom föreskrivs i fråga om lagen (2011:725) om behörighet för lokförare
dels 4 kap. 4 § ska upphöra att gälla,
dels att 4 kap. 1, 8, 13, 16, 22 och 25 §§ ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
4 kap.
1 §
I detta kapitel finns bestämmelser om register över förarbevis (förarbevisregistret), kompletterande intyg (intygsregister) och tillståndshavare (tillståndsregistret).
Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter i de register som anges i första stycket, om inte annat följer av denna lag eller förordning som har meddelats med stöd av lagen.
Bestämmelser om behandling av personuppgifter finns i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Denna lag innehåller kompletterande bestämmelser om sådan behandling. Om inte annat följer av denna lag eller förordning som har meddelats med stöd av lagen, gäller vid behandling av personuppgifter i de register som anges i första stycket även lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning.
8 §
Personuppgifter som behandlas för ändamål som anges i 7 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med 10 §, annan lag eller förordning. I övrigt gäller 9 § första stycket d) och andra stycket personuppgiftslagen (1998:204).
Personuppgifter som behandlas för ändamål som anges i 7 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med 10 §, annan lag eller förordning. Att personuppgifter även får behandlas för andra ändamål framgår av artikel 5.1 b i Europaparlamentets och rådets förordning (EU) 2016/679.
13 §
Känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) får inte användas som sökbegrepp.
Känsliga personuppgifter som avses i artikel 9 i Europaparlamentets och rådets förordning (EU) 2016/679 får inte användas som sökbegrepp.
16 §
Personuppgifter som behandlas för ändamål som anges i 15 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med 17 §, annan lag eller förordning. I övrigt gäller 9 § första stycket d) och andra stycket personuppgiftslagen (1998:204).
Personuppgifter som behandlas för ändamål som anges i 15 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med 17 §, annan lag eller förordning. Att personuppgifter även får behandlas för andra ändamål framgår av artikel 5.1 b i Europaparlamentets och rådets förordning (EU) 2016/679.
22 §
Personuppgifter som behandlas för ändamål som anges i 21 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med annan lag eller förordning. I övrigt gäller 9 § första stycket d) och andra stycket personuppgiftslagen (1998:204).
Personuppgifter som behandlas för ändamål som anges i 21 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med annan lag eller förordning. Att personuppgifter även får behandlas för andra ändamål framgår av artikel 5.1 b i Europaparlamentets och rådets förordning (EU) 2016/679.
25 §
Regeringen eller den myndighet som regeringen bestämmer får beträffande de intygsregister som inte förs av det allmänna meddela föreskrifter eller i det enskilda fallet besluta om att
1. personuppgifter ska bevaras för historiska, statistiska eller vetenskapliga ändamål, eller
1. personuppgifter ska bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål eller
2. gallring av personuppgifter ska ske senast vid en viss tidpunkt.
Regeringen meddelar föreskrifter om bevarande och gallring som avses i första stycket 1 och 2 för övriga register.
Denna lag träder i kraft den 25 maj 2018.
Förslag till lag om ändring i lagen (2013:315) om intelligenta transportsystem vid vägtransporter
Härigenom föreskrivs att 8 § lagen (2013:315) om intelligenta transportsystem vid vägtransporter ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
8 §
I personuppgiftslagen (1998:204), lagen (2003:389) om elektronisk kommunikation och lagen (2001:558) om vägtrafikregister finns bestämmelser om behandling av personuppgifter och integritetsskydd.
I Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning, lagen (2003:389) om elektronisk kommunikation och lagen (2001:558) om vägtrafikregister finns bestämmelser om behandling av personuppgifter och integritetsskydd.
I lagen (2010:566) om vidareutnyttjande av handlingar från den offentliga förvaltningen finns bestämmelser om vidareutnyttjande av handlingar hos statliga och kommunala myndigheter.
I produktansvarslagen (1992:18) finns bestämmelser om skadeståndsansvar för produkter med säkerhetsbrister.
Denna lag träder i kraft den 25 maj 2018.
Förslag till lag om ändring i lagen (2013:1164) om elektroniska vägtullsystem
Härigenom föreskrivs att 7, 25, 26 och 28 §§ lagen (2013:1164) om elektroniska vägtullsystem ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
7 §
En betalningsförmedlare ska
1. när ett avtal om förmedling av vägtull träffas med en väganvändare informera denne om den behandling av personuppgifter som avtalet medför och om väganvändarens rättigheter enligt personuppgiftslagen (1998:204).
1. när ett avtal om förmedling av vägtull träffas med en väganvändare informera denne om den behandling av personuppgifter som avtalet medför och om väganvändarens rättigheter enligt Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
2. informera väganvändarna om sin täckning enligt 6 § och eventuella förändringar av den,
3. vid behov förse de väganvändare med vilka avtal om förmedling av vägtull har träffats med fordonsutrustning som uppfyller föreskrivna tekniska krav och visa att utrustningen uppfyller kraven,
4. tillhandahålla lämpliga tjänster och tekniskt stöd för anpassning av fordonsutrustning,
5. ansvara för de fasta parametrar för klassificering av ett fordon som är lagrade i fordonsutrustningen eller hos betalningsförmedlaren,
6. se till att variabla parametrar för klassificering av ett fordon kan ställas in manuellt genom fordonsutrustningen,
7. föra en förteckning över fordonsutrustning som inte längre är godkänd och som hänför sig till ett avtal mellan förmedlaren och en väganvändare,
8. offentliggöra sina villkor för att träffa avtal med en väganvändare, och
9. samarbeta med avgiftsupptagare vid indrivning av vägtullar.
25 §
I fråga om behandling av personuppgifter finns bestämmelser i personuppgiftslagen (1998:204).
I fråga om behandling av personuppgifter finns bestämmelser i Europaparlamentets och rådets förordning (EU) 2016/679 och i lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning.
En avgiftsupptagare, eller den som för avgiftsupptagarens räkning tar upp vägtullar, är personuppgiftsansvarig enligt personuppgiftslagen för den behandling av personuppgifter som en underrättelse enligt 19 § innebär.
En betalningsförmedlare är personuppgiftsansvarig enligt personuppgiftslagen för den behandling av personuppgifter som verksamheten innebär.
En avgiftsupptagare, eller den som för avgiftsupptagarens räkning tar upp vägtullar, är personuppgiftsansvarig för den behandling av personuppgifter som en underrättelse enligt 19 § innebär.
En betalningsförmedlare är personuppgiftsansvarig för den behandling av personuppgifter som verksamheten innebär.
26 §
Den myndighet som regeringen bestämmer ska föra ett register över vägtullsområden och betalningsförmedlare (vägtullsregistret).
Den myndighet som avses i första stycket är personuppgiftsansvarig för registret enligt personuppgiftslagen (1998:204).
Den myndighet som avses i första stycket är personuppgiftsansvarig för behandling av personuppgifter i registret.
28 §
Den myndighet som regeringen bestämmer utövar tillsyn över att avgiftsupptagare på enskild väg och betalningsförmedlare följer denna lag och föreskrifter som har meddelats i anslutning till lagen samt över att den tekniska utrustningen i ett vägtullsystem uppfyller föreskrivna krav.
I personuppgiftslagen (1998:204) finns bestämmelser om tillsyn över behandlingen av personuppgifter.
I Europaparlamentets och rådets förordning (EU) 2016/679 och i lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning finns bestämmelser om tillsyn över behandlingen av personuppgifter.
Denna lag träder i kraft den 25 maj 2018.
Förslag till lag om ändring i lagen (2014:52) om infrastrukturavgifter på väg
Härigenom föreskrivs att 18 § lagen (2014:52) om infrastrukturavgifter på väg ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
18 §
Den som tar ut infrastrukturavgifter på vägar som avses i 1 § första stycket 2 är personuppgiftsansvarig enligt personuppgiftslagen (1998:204) för den behandling av personuppgifter som verksamheten innebär.
Den som tar ut infrastrukturavgifter på vägar som avses i 1 § första stycket 2 är personuppgiftsansvarig för den behandling av personuppgifter som verksamheten innebär.
I fråga om infrastrukturavgifter på vägar som avses i 1 § första stycket 1 finns bestämmelser om personuppgiftsansvar i lagen (2001:558) om vägtrafikregister.
Denna lag träder i kraft den 25 maj 2018.
Förteckning över remissinstanserna
Yttrande över departementspromemorian En anpassning till dataskyddsförordningen av dataskyddsbestämmelser inom Näringsdepartementets verksamhetsområde (Ds 2017:28) har lämnats av följande instanser. Umeå tingsrätt, Kammarrätten i Göteborg, Förvaltningsrätten i Härnösand, Åklagarmyndigheten, Ekobrottsmyndigheten, Säkerhetspolisen, Polismyndigheten, Datainspektionen, Tullverket, Skatteverket, Länsstyrelsen i Stockholms län, Länsstyrelsen i Skåne län, Länsstyrelsen i Västra Götalands län, Länsstyrelsen i Norrbottens län, Kungl. Biblioteket, Vetenskapsrådet, Naturvårdsverket, Havs- och vattenmyndigheten, Post- och telestyrelsen, Trafikverket, Transportstyrelsen, Sveriges geologiska undersökning, Patent- och registreringsverket, Patentombudsnämnden, Bolagsverket, Verket för innovationssystem (Vinnova), Tillväxtverket, Myndigheten för tillväxtpolitiska utvärderingar och analyser (Tillväxtanalys), Skogsstyrelsen, Statens jordbruksverk, Sveriges lantbruksuniversitet, Statens veterinärmedicinska anstalt, Livsmedelsverket, Lantmäteriet, Riksarkivet, Sametinget, Internetstiftelsen i Sverige och Svenska Djurskyddsföreningen.
Följande remissinstanser har beretts tillfälle att yttra sig men har avstått. Regelrådet, Hi3GAB, IT & Telekomföretagen, Lantbrukarnas Riksförbund, Metria, Postnord Sverige AB, Research Institutes of Sweden (RISE), Swedish Incubators & Science Parks (SISP), Swedish Space Corporation (SSC), Svea skog, Svensk handel, Svenska samernas riksförbund (SSR), Sveriges universitets- och högskoleförbund (SUHF), Teknikföretagen, Tele2 AB, Telenor AB, Telia Company AB och Teracom.
Lagrådsremissens lagförslag
Förslag till lag om ändring i rennäringslagen (1971:437)
Härigenom föreskrivs att 74 § rennäringslagen (1971:437) ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
74 §
Ärenden om registrering av renmärke prövas av Sametinget.
Sametinget är personuppgifts-ansvarigt för renmärkesregistret.
Registret får användas för att fastställa vem som är ägare till en ren. Registret skall innehålla upp-gifter om ett renmärkes utseende, den sameby där märket får använ-das samt märkesinnehavarens namn, person- eller organisations-nummer och adress.
Personuppgiftslagen (1998:204) gäller för behandling av person-uppgifter, utöver vad som sägs i andra och tredje styckena.
Sametinget är personuppgifts-ansvarigt för behandlingen av personuppgifter i renmärkesregistret.
Registret får användas för att fastställa vem som är ägare till en ren. Registret ska innehålla upp-gifter om ett renmärkes utseende, den sameby där märket får använ-das samt märkesinnehavarens namn, person- eller organisations-nummer och adress.
Bestämmelserna i andra och tredje styckena kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Vid behandling av personupp-gifter i renmärkesregistret gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Denna lag träder i kraft den 25 maj 2018.
Förslag till lag om ändring i skogsvårdslagen (1979:429)
Härigenom föreskrivs i fråga om skogsvårdslagen (1979:429)
dels att 32 g § ska upphöra att gälla,
dels att 32 b, 32 c, 32 e och 40 §§ ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
32 b §
I fråga om personuppgifter skall registret över fysiska och juridiska personer, som yrkesmässigt be-driver produktion eller införsel för saluföring av skogsodlingsmaterial eller handel med sådant material, ha till ändamål att tillhandahålla uppgifter för
I fråga om personuppgifter ska registret över fysiska och juridiska personer, som yrkesmässigt be-driver produktion eller införsel för saluföring av skogsodlingsmaterial eller handel med sådant material, ha till ändamål att tillhandahålla uppgifter för
1. verksamhet för vilken staten ansvarar enligt lag eller annan författning, och
a) som avser sådana näringsidkare som registrerats i registret, eller
b) som för att kunna utföras förutsätter tillgång till uppgifter om sådana näringsidkare,
2. aktualisering, komplettering eller kontroll av uppgifter om sådana näringsidkare i kund- eller verksamhetsregister eller liknande register, eller
3. uttag av urval av person-uppgifter för direkt marknads-föring, dock med den begränsning som följer av 11 § personupp-giftslagen (1998:204).
3. uttag av urval av person-uppgifter för direkt marknads-föring, dock med den begränsning som följer av artikel 21.2 och 21.3 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän data-skyddsförordning), här benämnd EU:s dataskyddsförordning.
32 c §
I fråga om personuppgifter skall registret över godkända frökällor ha till ändamål att tillhandhålla uppgifter för
I fråga om personuppgifter ska registret över godkända frökällor ha till ändamål att tillhandahålla uppgifter för
1. verksamhet för vilken staten ansvarar enligt lag eller annan författning, och
a) som avser sådana frökällor som registrerats i registret, eller
b) som för att kunna utföras förutsätter tillgång till uppgifter om sådana frökällor,
2. omsättning av skogsodlingsmaterial och fast egendom på vilken en frökälla registrerats,
3. aktualisering, komplettering eller kontroll av uppgifter om frökällor i kund- eller verksamhetsregister eller liknande register, eller
4. uttag av urval av person-uppgifter för direkt marknads-föring, dock med den begränsning som följer av 11 § person-uppgiftslagen (1998:204).
4. uttag av urval av person-uppgifter för direkt marknads-föring, dock med den begränsning som följer av artikel 21.2 och 21.3 i EU:s dataskyddsförordning.
32 e §
Skogsstyrelsen är person-uppgiftsansvarig enligt person-uppgiftslagen (1998:204) för de register som avses i 32 a § första stycket.
Skogsstyrelsen är person-uppgiftsansvarig för behandlingen av personuppgifter i de register som avses i 32 a § första stycket.
40 §
Skogsstyrelsens beslut enligt denna lag eller enligt föreskrifter som har meddelats med stöd av lagen får överklagas hos allmän förvaltningsdomstol. Detsamma gäller beslut om avslag på an-sökan om information enligt 26 § personuppgiftslagen (1998:204) och beslut om rättelse enligt 28 § samma lag.
Skogsstyrelsens beslut enligt denna lag eller enligt föreskrifter som har meddelats med stöd av lagen får överklagas till allmän förvaltningsdomstol.
Naturvårdsverket får överklaga Skogsstyrelsens beslut i fall som avses i 25 § andra stycket.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Denna lag träder i kraft den 25 maj 2018.
Förslag till lag om ändring i lagen (2003:389) om elektronisk kommunikation
Härigenom föreskrivs att 6 kap. 1 och 2 §§ och rubriken närmast före 2 § lagen (2003:389) om elektronisk kommunikation ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
6 kap.
1 §
I detta kapitel avses med
elektroniskt meddelande: all information som utbyts eller överförs mellan ett begränsat antal parter genom en allmänt tillgänglig elektronisk kommunikationstjänst, utom information som överförs som del av sändningar av ljudradio- och tv-program som är riktade till allmänheten via ett elektroniskt kommunikationsnät om denna information inte kan sättas i samband med den enskilda abonnenten eller användaren av informationen,
integritetsincident: en händelse som leder till oavsiktlig eller otillåten utplåning, förlust eller ändring, eller otillåtet avslöjande av eller otillåten åtkomst till uppgifter som behandlas i samband med tillhandahållandet av allmänt tillgängliga elektroniska kommunikationstjänster,
internetåtkomst: möjlighet till överföring av ip-paket som ger användaren tillgång till internet,
meddelandehantering: utbyte eller överföring av elektroniskt meddelande som inte är samtal och inte heller är information som överförs som del av sändningar av ljudradio- och tv-program,
misslyckad uppringning: uppringning som kopplas fram utan att nå en mottagare,
trafikuppgift: uppgift som behandlas i syfte att befordra ett elektroniskt meddelande via ett elektroniskt kommunikationsnät eller för att fakturera detta meddelande.
Begreppen behandling, person-uppgiftsansvarig och samtycke har i kapitlet samma innebörd som i personuppgiftslagen (1998:204).
Förhållande till annan lag
Begreppen behandling, person-uppgiftsansvarig och samtycke har i kapitlet samma innebörd som i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän data-skyddsförordning), här benämnd EU:s dataskyddsförordning.
Förhållande till annan reglering
2 §
I fråga om behandling av personuppgifter vid tillhandahållande av elektroniska kommunikationsnät och elektroniska kommunikationstjänster samt vid abonnentupplysning gäller personuppgiftslagen (1998:204), om inte annat följer av denna lag.
Bestämmelserna i personuppgiftslagen om rättelse och skadestånd gäller även vid behandling av personuppgifter enligt denna lag.
Bestämmelser om behandling av personuppgifter finns förutom i detta kapitel i EU:s dataskyddsförordning och i lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning samt i föreskrifter som har meddelats i anslutning till den lagen.
Bestämmelserna i EU:s dataskyddsförordning om rättelse, radering, begränsning och skadestånd gäller även vid behandling av personuppgifter enligt denna lag.
I det allmännas verksamhet ska offentlighets- och sekretesslagen (2009:400) tillämpas i stället för 20-23 §§.
Denna lag träder i kraft den 25 maj 2018.
Förslag till lag om ändring i lagen (2006:24) om nationella toppdomäner för Sverige på Internet
Härigenom föreskrivs att 3 § och rubriken närmast före 3 § lagen (2006:24) om nationella toppdomäner för Sverige på Internet ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
Förhållandet till personuppgifts-lagen
Förhållandet till annan data-skyddsreglering
3 §
Bestämmelserna i personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter i administrationen av en nationell toppdomän för Sverige, om inte annat följer av denna lag.
Bestämmelserna i personuppgiftslagen om rättelse och skadestånd gäller även vid behandling av personuppgifter enligt denna lag eller enligt föreskrifter som meddelats med stöd av lagen.
Bestämmelserna i 6 § kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Vid behandling av personupp-gifter i administrationen av en nationell toppdomän för Sverige gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Denna lag träder i kraft den 25 maj 2018.
Förslag till lag om ändring i lagen (2007:1150) om tillsyn över hundar och katter
Härigenom föreskrivs att 6 och 7 §§ lagen (2007:1150) om tillsyn över hundar och katter ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
6 §
Jordbruksverket är personuppgiftsansvarigt enligt personuppgiftslagen (1998:204) för hundregistret. Regeringen eller, efter regeringens bemyndigande, Jordbruksverket får besluta att överlåta driften av registret till en annan myndighet eller till en organisation.
Jordbruksverket är personuppgiftsansvarigt för behandling av personuppgifter i hundregistret. Regeringen eller, efter regeringens bemyndigande, Jordbruksverket får besluta att överlåta driften av registret till en annan myndighet eller till en organisation.
7 §
För behandling av personuppgifter gäller, utöver vad som sägs i 5 och 6 §§, personuppgiftslagen (1998:204). Bestämmelserna i personuppgiftslagen om rättelse och skadestånd gäller även vid behandling av personuppgifter som utförs enligt denna lag.
Bestämmelserna i 5 och 6 §§ kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Vid behandling av personuppgifter i hundregistret gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Denna lag träder i kraft den 25 maj 2018.
Förslag till lag om ändring i lagen (2009:619) om djurskyddskontrollregister
Härigenom föreskrivs i fråga om lagen (2009:619) om djurskydds-kontrollregister
dels att 11 § ska upphöra att gälla,
dels att rubrikerna närmast före 3 och 11 §§ ska utgå,
dels att nuvarande 2 § ska betecknas 3 § och nuvarande 3 § ska betecknas 2 §,
dels att 2, 3, 5, 6 och 12 §§ ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
3 §
Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter i djurskyddskontrollregistret om inte annat följer av denna lag eller av föreskrifter som har meddelats med stöd av denna lag.
2 §
Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s data-skyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller av föreskrifter som har meddelats i anslutning till lagen.
2 §
Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den enskilde motsätter sig behandlingen.
3 §
Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.
5 §
Personuppgifter får behandlas i djurskyddskontrollregistret för att
1. i verksamhet hos Jordbruks-verket planera, samordna, admini-strera, följa upp och rapportera om djurskyddskontrollen enligt djur-skyddslagen (1988:534) samt enligt de EG-förordningar som kompletteras av den lagen,
2. tillhandahålla information om djurskyddskontrollen som behövs i verksamhet hos länsstyrelserna för deras planering, uppföljning och kontroll enligt djurskyddslagen samt enligt de EG-förordningar som kompletteras av den lagen, och
3. tillhandahålla information som behövs i verksamhet hos Jordbruksverket och länsstyrelserna som underlag för beslut om och kontroll av direktstöd och stöd för landsbygdsutvecklingsåtgärder en-ligt lagen (1994:1710) om EG:s förordningar om jordbruksprodukter samt enligt lagen (1994:1708) om EG:s förordningar om struk-turstöd och om stöd till utveckling av landsbygden.
1. i verksamhet hos Jordbruks-verket planera, samordna, admini-strera, följa upp och rapportera om djurskyddskontrollen enligt djur-skyddslagen (1988:534) samt enligt de EU-förordningar som den lagen kompletterar,
2. tillhandahålla information om djurskyddskontrollen som behövs i verksamhet hos länsstyrelserna för deras planering, uppföljning och kontroll enligt djurskyddslagen samt enligt de EU-förordningar som den lagen kompletterar, och
3. tillhandahålla information som behövs i verksamhet hos Jordbruksverket och länsstyrelserna som underlag för beslut om och kontroll av direktstöd och stöd för landsbygdsutvecklingsåtgärder en-ligt lagen (1994:1710) om EG:s förordningar om jordbruksprodukter samt enligt lagen (1994:1708) om EU:s förordningar om struk-turstöd och om stöd till utveckling av landsbygden.
Personuppgifter som behandlas för ändamål som anges i första stycket får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med annan lag eller förordning. I övrigt gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204).
Personuppgifter som behandlas för ändamål som anges i första stycket får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med annan lag eller förordning.
Personuppgifter som behandlas enligt första stycket får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
6 §
I djurskyddskontrollregistret får endast behandlas sådana uppgifter om den som är föremål för djurskyddskontroll enligt djur-skyddslagen (1988:534) och de EG-förordningar som kompletteras av den lagen, som behövs för de ändamål som anges i 5 §.
I djurskyddskontrollregistret får endast behandlas sådana uppgifter om den som är föremål för djurskyddskontroll enligt djur-skyddslagen (1988:534) och de EU-förordningar som den lagen kompletterar, som behövs för de ändamål som anges i 5 §.
Sådana personuppgifter som avses i 13 § personuppgiftslagen (1998:204) får inte behandlas.
Personuppgifter som avses i artikel 9.1 i EU:s dataskydds-förordning får inte behandlas.
Regeringen meddelar närmare föreskrifter om vilka personuppgifter som får behandlas i djurskyddskontrollregistret.
12 §
Personuppgifter som behandlas i djurskyddskontrollregistret ska gallras när de inte längre är nödvändiga för de ändamål som anges i 5 §.
Regeringen eller den myndighet som regeringen bestämmer får dock meddela föreskrifter, eller i det enskilda fallet besluta, om
1. att personuppgifter får bevaras för historiska, statistiska och vetenskapliga ändamål, och
1. att personuppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, och
2. att gallring av personuppgifter ska ske senast vid en viss tidpunkt.
Denna lag träder i kraft den 25 maj 2018.
Förslag till lag om ändring i postlagen (2010:1045)
Härigenom föreskrivs att 2 kap. 17 § postlagen (2010:1045) ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
2 kap.
17 §
I det allmännas verksamhet ska offentlighets- och sekretesslagen (2009:400) tillämpas i stället för 14 och 15 §§.
För utlämnande av annan personuppgift i postverksamhet än som avses i 14 § första och tredje styckena gäller personuppgifts-lagen (1998:204).
Denna lag träder i kraft den 25 maj 2018.
Förslag till lag om ändring i lagen (2011:725) om behörighet för lokförare
Härigenom föreskrivs i fråga om lagen (2011:725) om behörighet för lokförare
dels att 4 kap. 4 § ska upphöra att gälla,
dels att 4 kap. 1, 3, 8, 9, 13, 16, 22 och 25 §§ ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
4 kap.
1 §
I detta kapitel finns bestämmelser om register över förarbevis (förarbevisregistret), kompletterande intyg (intygsregister) och tillståndshavare (tillståndsregistret).
Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter i de register som anges i första stycket, om inte annat följer av denna lag eller förordning som har meddelats med stöd av lagen.
Bestämmelserna kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Vid behandling av personuppgifter i de register som anges i första stycket gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller av föreskrifter som har meddelats i anslutning till lagen.
3 §
Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den enskilde motsätter sig behandlingen.
Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.
8 §
Personuppgifter som behandlas för ändamål som anges i 7 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med 10 §, annan lag eller förordning. I övrigt gäller 9 § första stycket d) och andra stycket personuppgiftslagen (1998:204).
Personuppgifter som behandlas för ändamål som anges i 7 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med 10 §, annan lag eller förordning.
Personuppgifter som behandlas enligt 7 § får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
9 §
Känsliga personuppgifter som rör den registrerades hälsa får behandlas i förarbevisregistret
Sådana personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personupp-gifter) och som rör den registrera-des hälsa får behandlas i förarbevisregistret
1. om uppgifterna är nödvändiga för handläggning av ett ärende, eller
2. för något av de ändamål som anges i 8 §, om det är nödvändigt med hänsyn till ändamålet.
Andra känsliga personuppgifter får inte behandlas i förarbevisregistret.
13 §
Känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) får inte användas som sökbegrepp.
Det är förbjudet att använda sökbegrepp som avslöjar känsliga personuppgifter.
16 §
Personuppgifter som behandlas för ändamål som anges i 15 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med 17 §, annan lag eller förordning. I övrigt gäller 9 § första stycket d) och andra stycket personuppgiftslagen (1998:204).
Personuppgifter som behandlas för ändamål som anges i 15 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med 17 §, annan lag eller förordning.
Personuppgifter som behandlas enligt 15 § får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
22 §
Personuppgifter som behandlas för ändamål som anges i 21 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med annan lag eller förordning. I övrigt gäller 9 § första stycket d) och andra stycket personuppgiftslagen (1998:204).
Personuppgifter som behandlas för ändamål som anges i 21 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med annan lag eller förordning.
Personuppgifter som behandlas enligt 21 § får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
25 §
Regeringen eller den myndighet som regeringen bestämmer får beträffande de intygsregister som inte förs av det allmänna meddela föreskrifter eller i det enskilda fallet besluta om att
1. personuppgifter ska bevaras för historiska, statistiska eller vetenskapliga ändamål, eller
1. personuppgifter ska bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, eller
2. gallring av personuppgifter ska ske senast vid en viss tidpunkt.
Regeringen meddelar före-skrifter om bevarande och gallring som avses i första stycket 1 och 2 för övriga register.
Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om bevarande och gallring som avses i första stycket 1 och 2 för övriga register.
Denna lag träder i kraft den 25 maj 2018.
Förslag till lag om ändring i lagen (2013:315) om intelligenta transportsystem vid vägtransporter
Härigenom föreskrivs att 8 § lagen (2013:315) om intelligenta transportsystem vid vägtransporter ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
8 §
I personuppgiftslagen (1998:204), lagen (2003:389) om elektronisk kommunikation och lagen (2001:558) om vägtrafikregister finns bestämmelser om behandling av personuppgifter och integritets-skydd.
Bestämmelser om behandling av personuppgifter och integritetsskydd finns i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning, lagen (2003:389) om elektronisk kommunikation och lagen (2001:558) om vägtrafikregister.
I lagen (2010:566) om vidareutnyttjande av handlingar från den offentliga förvaltningen finns bestämmelser om vidareutnyttjande av handlingar hos statliga och kommunala myndigheter.
I produktansvarslagen (1992:18) finns bestämmelser om skadeståndsansvar för produkter med säkerhetsbrister.
Denna lag träder i kraft den 25 maj 2018.
Förslag till lag om ändring i lagen (2013:1164) om elektroniska vägtullssystem
Härigenom föreskrivs att 7, 25, 26 och 28 §§ lagen (2013:1164) om elektroniska vägtullssystem ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
7 §
En betalningsförmedlare ska
1. när ett avtal om förmedling av vägtull träffas med en väganvändare informera denne om den be-handling av personuppgifter som avtalet medför och om väganvändarens rättigheter enligt personuppgiftslagen (1998:204),
1. när ett avtal om förmedling av vägtull träffas med en väganvändare informera denne om den behandling av personuppgifter som avtalet medför och om väganvändarens rättigheter enligt Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning, och lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning samt föreskrifter som har meddelats i anslutning till den lagen,
2. informera väganvändarna om sin täckning enligt 6 § och eventuella förändringar av den,
3. vid behov förse de väganvändare med vilka avtal om förmedling av vägtull har träffats med fordonsutrustning som uppfyller föreskrivna tekniska krav och visa att utrustningen uppfyller kraven,
4. tillhandahålla lämpliga tjänster och tekniskt stöd för anpassning av fordonsutrustning,
5. ansvara för de fasta parametrar för klassificering av ett fordon som är lagrade i fordonsutrustningen eller hos betalningsförmedlaren,
6. se till att variabla parametrar för klassificering av ett fordon kan ställas in manuellt genom fordonsutrustningen,
7. föra en förteckning över fordonsutrustning som inte längre är godkänd och som hänför sig till ett avtal mellan förmedlaren och en väganvändare,
8. offentliggöra sina villkor för att träffa avtal med en väganvändare, och
9. samarbeta med avgiftsupptagare vid indrivning av vägtullar.
25 §
I fråga om behandling av personuppgifter finns bestämmelser i personuppgiftslagen (1998:204).
En avgiftsupptagare, eller den som för avgiftsupptagarens räkning tar upp vägtullar, är personuppgiftsansvarig enligt personuppgiftslagen för den behandling av personuppgifter som en underrättelse enligt 19 § innebär.
En betalningsförmedlare är personuppgiftsansvarig enligt personuppgiftslagen för den behandling av personuppgifter som verksamheten innebär.
Bestämmelser om behandling av personuppgifter finns i EU:s dataskyddsförordning och i lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning samt i före-skrifter som har meddelats i anslutning till den lagen.
En avgiftsupptagare, eller den som för avgiftsupptagarens räkning tar upp vägtullar, är personuppgiftsansvarig för den behandling av personuppgifter som en underrättelse enligt 19 § innebär.
En betalningsförmedlare är personuppgiftsansvarig för den behandling av personuppgifter som verksamheten innebär.
26 §
Den myndighet som regeringen bestämmer ska föra ett register över vägtullsområden och betalningsförmedlare (vägtullsregistret).
Den myndighet som avses i första stycket är personuppgiftsansvarig för registret enligt personuppgiftslagen (1998:204).
Den myndighet som avses i första stycket är personuppgiftsansvarig för behandling av personuppgifter i registret.
28 §
Den myndighet som regeringen bestämmer utövar tillsyn över att avgiftsupptagare på enskild väg och betalningsförmedlare följer denna lag och föreskrifter som har meddelats i anslutning till lagen samt över att den tekniska utrustningen i ett vägtullssystem uppfyller föreskrivna krav.
I personuppgiftslagen (1998:204) finns bestämmelser om tillsyn över behandlingen av personuppgifter.
I EU:s dataskyddsförordning och i lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning samt i föreskrifter som har meddelats i anslutning till den lagen finns bestämmelser om tillsyn över behandlingen av personuppgifter.
Denna lag träder i kraft den 25 maj 2018.
Förslag till lag om ändring i lagen (2014:52) om infrastrukturavgifter på väg
Härigenom föreskrivs att 18 § lagen (2014:52) om infrastrukturavgifter på väg ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
18 §
Den som tar ut infrastrukturavgifter på vägar som avses i 1 § första stycket 2 är personuppgiftsansvarig enligt personuppgiftslagen (1998:204) för den behandling av personuppgifter som verksamheten innebär.
Den som tar ut infrastrukturavgifter på vägar som avses i 1 § första stycket 2 är personuppgiftsansvarig för den behandling av personuppgifter som verksamheten innebär.
I fråga om infrastrukturavgifter på vägar som avses i 1 § första stycket 1 finns bestämmelser om personuppgiftsansvar i lagen (2001:558) om vägtrafikregister.
Denna lag träder i kraft den 25 maj 2018.
Lagrådets yttrande
Utdrag ur protokoll vid sammanträde 2018-01-30
Närvarande: F.d. justitieråden Gustaf Sandström och Lena Moore samt justitierådet Anders Eka.
EU:s dataskyddsförordning och lagstiftningen inom Näringsdepartementets ansvarsområden
Enligt en lagrådsremiss den 18 januari 2018 har regeringen (Närings-departementet) beslutat inhämta Lagrådets yttrande över förslag till
1. lag om ändring i rennäringslagen (1971:437),
2. lag om ändring i skogsvårdslagen (1979:429),
3. lag om ändring i lagen (2003:389) om elektronisk kommunikation,
4. lag om ändring i lagen (2006:24) om nationella toppdomäner för
Sverige på Internet,
5. lag om ändring i lagen (2007:1150) om tillsyn över hundar och
katter,
6. lag om ändring i lagen (2009:619) om djurskyddskontrollregister,
7. lag om ändring i postlagen (2010:1045),
8. lag om ändring i lagen (2011:725) om behörighet för lokförare,
9. lag om ändring i lagen (2013:315) om intelligenta transportsystem
vid vägtransporter,
10. lag om ändring i lagen (2013:1164) om elektroniska vägtulls-
system,
11. lag om ändring i lagen (2014:52) om infrastrukturavgifter på väg.
Förslagen har inför Lagrådet föredragits av rättssakkunniga Jenny Lundberg och ämnessakkunniga Chatarina Nilsson.
Lagrådet lämnar förslagen utan erinran.
Näringsdepartementet
Utdrag ur protokoll vid regeringssammanträde den 22 februari 2018
Närvarande: statsminister Löfven, ordförande, och statsråden Lövin, Wallström, Y Johansson, Baylan, Bucht, Hultqvist, Regnér, Andersson, Hellmark Knutsson, Bolund, Bah Kuhnke, Strandhäll, Shekarabi, Fridolin, Eriksson, Linde, Skog, Ekström, Eneroth
Föredragande: statsrådet Bucht
Regeringen beslutar proposition EU:s dataskyddsförordning och lagstiftningen inom Näringsdepartementets ansvarsområden