Post 1469 av 7186 träffar
Ny dataskyddslag Prop. 2017/18:105
Ansvarig myndighet: Justitiedepartementet
Dokument: Prop. 105
Regeringens proposition
2017/18:105
Ny dataskyddslag
Prop.
2017/18:105
Regeringen överlämnar denna proposition till riksdagen.
Stockholm den 15 februari 2018
Stefan Löfven
Morgan Johansson
(Justitiedepartementet)
Propositionens huvudsakliga innehåll
Regeringen föreslår att personuppgiftslagen upphävs och att en ny lag med kompletterande bestämmelser till EU:s dataskyddsförordning införs. Vidare föreslås att vissa bestämmelser i offentlighets- och sekretesslagen ändras.
Den föreslagna lagen innehåller bl.a. bestämmelser om att dataskyddsförordningen med vissa undantag ska gälla även utanför sitt egentliga tillämpningsområde, t.ex. i verksamhet som rör nationell säkerhet. Lagen ska dock vara subsidiär i förhållande till annan lag eller förordning, vilket möjliggör avvikande bestämmelser i s.k. registerförfattningar. Lagförslaget förtydligar under vilka förutsättningar personuppgifter får behandlas med stöd av dataskyddsförordningen. Regeringen föreslår bl.a. att ett barn som är minst 13 år ska kunna samtycka till behandling av personuppgifter i samband med användning av informationssamhällets tjänster, t.ex. sociala medier. Vidare föreslås att sanktionsavgifter ska kunna tas ut även då en myndighet bryter mot dataskyddsförordningen. Förslaget till ny lag innehåller också vissa bestämmelser om begränsning av de registrerades rättigheter samt om skadestånd och överklagande av bl.a. tillsynsmyndighetens beslut.
Slutligen anges att dataskyddsförordningen och den nya lagen inte ska tillämpas i den utsträckning det strider mot tryckfrihetsförordningen eller yttrandefrihetsgrundlagen.
Lagändringarna föreslås träda i kraft den 25 maj 2018.
Innehållsförteckning
1 Förslag till riksdagsbeslut 6
2 Lagtext 7
2.1 Förslag till lag med kompletterande bestämmelser till EU:s dataskyddsförordning 7
2.2 Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400) 15
3 Ärendet och dess beredning 16
4 EU:s dataskyddsreform 17
4.1 Gällande rätt 17
4.2 En ny förordning och ett nytt direktiv 17
4.3 Förordningens syfte 18
4.4 Tillämpningsområdet 19
4.5 Sakliga förändringar 19
5 Ett nytt svenskt regelverk om dataskydd 21
5.1 En ny lag införs och personuppgiftslagen upphävs 21
5.1.1 Termer och uttryck 23
5.1.2 Hänvisningsteknik 24
5.1.3 Avvikande bestämmelser i annan lag eller i förordning ska ha företräde 26
6 Tillämpningsområdet 28
6.1 Behandling av personuppgifter utanför dataskyddsförordningens tillämpningsområde 28
6.1.1 Förordningens tillämpningsområde utsträcks 28
6.1.2 Bestämmelserna om personuppgiftsincidenter ska inte gälla om incidenten rör rikets säkerhet 32
6.2 Dataskyddslagens tillämpning vid gränsöverskridande behandling 36
7 Förhållandet till yttrande- och informationsfriheten 40
7.1 Förhållandet till tryckfrihetsförordningen och yttrandefrihetsgrundlagen förtydligas 40
7.2 Undantag utanför det grundlagsskyddade området 44
8 Rättslig grund för behandling av personuppgifter 45
8.1 Laglig behandling 45
8.2 Grunden för behandlingen ska ha stöd i rättsordningen 48
8.3 Behandling för att uppfylla en rättslig förpliktelse 52
8.4 Behandling för att utföra uppgifter av allmänt intresse 55
8.5 Behandling som ett led i myndighetsutövning 62
8.6 Inledande upplysningsbestämmelse? 63
9 Barns samtycke som rättslig grund 64
10 Känsliga personuppgifter 74
10.1 Förbudet och undantagen föreskrivs i dataskyddsförordningen 74
10.2 Den registrerades samtycke 76
10.3 Arbetsrätt, social trygghet och socialt skydd 77
10.4 Viktigt allmänt intresse 80
10.5 Hälso- och sjukvård och social omsorg 92
10.6 Folkhälsa 95
11 Personuppgifter som rör lagöverträdelser 97
12 Personnummer och samordningsnummer 101
13 Begränsningar av vissa rättigheter och skyldigheter i dataskyddsförordningen 103
14 Arkiv och statistik 109
14.1 Arkivändamål av allmänt intresse 109
14.1.1 Föreskrifter om arkiv ger stöd för behandling av personuppgifter 109
14.1.2 Rättsligt stöd för behandling som utförs av enskilda arkivinstitutioner 112
14.1.3 Behandling av bland annat känsliga personuppgifter för arkivändamål 115
14.1.4 Användningsbegränsning 118
14.1.5 Undantag från vissa av den registrerades rättigheter 120
14.2 Statistiska ändamål 121
15 Sekretess 126
15.1 Sekretess hos tillsynsmyndigheten 126
15.2 Tystnadsplikt för dataskyddsombud 130
15.3 Sekretess för uppgifter som behandlas i strid med personuppgiftsregleringen 135
15.4 Generalklausulen 136
16 Sanktioner 138
16.1 Sanktionsavgifter enligt dataskyddsförordningen 138
16.2 Sanktionsavgifter inom offentlig sektor 139
16.3 Övriga sanktioner 142
16.3.1 Medlemsstaternas skyldigheter 142
16.3.2 Straff och vite 143
16.3.3 Sanktionsavgift och uppgifter om lagöverträdelser 145
16.4 Förfarandebestämmelser om sanktionsavgift 147
17 Rättsmedel och processuella frågor 148
17.1 Rättsmedel mot den personuppgiftsansvarige eller personuppgiftsbiträdet 148
17.1.1 Rätt att föra talan om ersättning 148
17.1.2 Rätt att överklaga en myndighets beslut om personuppgiftsbehandling 150
17.2 Klagomål till tillsynsmyndigheten 152
17.3 En rättssäker handläggning hos tillsynsmyndigheten 154
17.3.1 Förordningens krav på skyddsåtgärder 154
17.3.2 Tillsynsmyndighetens befogenheter gäller vid tillsyn enligt dataskyddslagen och sektorsspecifika författningar 155
17.3.3 Kommunikation och delgivning 156
17.3.4 Platsundersökning ska inte kunna ske med tvång 157
17.3.5 Ansökan till domstol om tillsynsåtgärd 159
17.4 Gemensamma tillsynsinsatser 160
17.4.1 Tilldelning av befogenheter enligt svensk rätt 160
17.4.2 Medgivande att utöva befogenheter enligt utländsk rätt 161
17.5 Överklagande av tillsynsmyndighetens beslut och av vissa beslut enligt dataskyddslagen 162
17.6 Ideella organisationer som är verksamma inom dataskyddsområdet 165
17.7 Parallella domstolsförfaranden 167
18 Ikraftträdande- och övergångsbestämmelser 170
19 Konsekvenser 178
19.1 Ekonomiska konsekvenser för det allmänna 178
19.2 Ekonomiska konsekvenser för enskilda 180
19.3 Konsekvenser i övrigt 182
20 Författningskommentar 183
20.1 Förslaget till lag med kompletterande bestämmelser till EU:s dataskyddsförordning 183
20.2 Förslaget till lag om ändring i offentlighets- och sekretesslagen (2009:400) 210
Bilaga 1 EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) 211
Bilaga 2 Sammanfattning av betänkandet Ny dataskyddslag - Kompletterande bestämmelser till EU:s dataskyddsförordning (SOU 2017:39) 299
Bilaga 3 Lagförslagen i SOU 2017:39 305
Bilaga 4 Förteckning över remissinstanserna (SOU 2017:39) 315
Bilaga 5 Sammanfattning av promemorian Kompletterande promemoria till betänkandet Ny dataskyddslag (SOU 2017:39) 317
Bilaga 6 Lagförslaget i Kompletterande promemoria till betänkandet Ny dataskyddslag (SOU 2017:39) 319
Bilaga 7 Förteckning över remissinstanserna (kompletterande promemoria) 320
Bilaga 8 Lagrådsremissens lagförslag 321
Bilaga 9 Lagrådets yttrande 330
Utdrag ur protokoll vid regeringssammanträde den 15 februari 2018 335
1
Förslag till riksdagsbeslut
Regeringen föreslår att riksdagen antar regeringens förslag till
1. lag med kompletterande bestämmelser till EU:s dataskyddsförordning,
2. lag om ändring i offentlighets- och sekretesslagen (2009:400).
2 Lagtext
Regeringen har följande förslag till lagtext.
2.1 Förslag till lag med kompletterande bestämmelser till EU:s dataskyddsförordning
Härigenom föreskrivs följande.
1 kap. Inledande bestämmelser
1 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Termer och uttryck i denna lag har samma betydelse som i EU:s dataskyddsförordning.
Utvidgad tillämpning av bestämmelserna i EU:s dataskyddsförordning
2 § Bestämmelserna i EU:s dataskyddsförordning, i den ursprungliga lydelsen, och denna lag ska gälla även vid behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten och i verksamhet som omfattas av avdelning V kapitel 2 i fördraget om Europeiska unionen.
3 § Bestämmelserna i 2 § gäller inte i verksamhet som omfattas av
1. lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst,
2. lagen (2007:259) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet, eller
3. 6 kap. polisdatalagen (2010:361).
4 § Artiklarna 33 och 34 i EU:s dataskyddsförordning tillämpas inte i fråga om personuppgiftsincidenter som ska rapporteras enligt säkerhetsskyddslagen (1996:627) eller föreskrifter som har meddelats i anslutning till den lagen.
Lagens territoriella tillämpningsområde
5 § Denna lag gäller vid behandling av personuppgifter som utförs inom ramen för verksamhet som bedrivs vid personuppgiftsansvarigas eller personuppgiftsbiträdens verksamhetsställen i Sverige. Lagen gäller även vid behandling av personuppgifter som utförs av personuppgiftsansvariga som inte är etablerade i Sverige, men på en plats där svensk rätt gäller enligt folkrätten.
Lagen gäller också vid behandling av personuppgifter som utförs av personuppgiftsansvariga eller personuppgiftsbiträden som endast är etablerade i tredjeland, om behandlingen avser registrerade som befinner sig i Sverige och har anknytning till
1. utbjudande av varor eller tjänster till sådana registrerade, eller
2. övervakning av deras beteende i Sverige.
Bestämmelsen i 2 kap. 4 § gäller vid behandling av personuppgifter som avser barn som bor i Sverige, oavsett var de personuppgiftsansvariga eller personuppgiftsbiträdena är etablerade.
Avvikande bestämmelser i annan författning
6 § Om en annan lag eller en förordning innehåller någon bestämmelse som avviker från denna lag, tillämpas den bestämmelsen.
Förhållandet till tryck- och yttrandefriheten
7 § EU:s dataskyddsförordning och denna lag ska inte tillämpas i den utsträckning det skulle strida mot tryckfrihetsförordningen eller yttrandefrihetsgrundlagen.
Artiklarna 5-30 och 35-50 i EU:s dataskyddsförordning samt 2-5 kap. denna lag ska inte tillämpas vid behandling av personuppgifter som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande.
Tystnadsplikt för dataskyddsombud
8 § Den som fullgör uppgift som dataskyddsombud enligt artikel 37 i EU:s dataskyddsförordning får inte obehörigen röja det som han eller hon vid fullgörandet av sin uppgift har fått kännedom om.
I det allmännas verksamhet tillämpas offentlighets- och sekretesslagen (2009:400) i stället för första stycket.
2 kap. Rättslig grund för behandling av personuppgifter
Rättslig förpliktelse
1 § Personuppgifter får behandlas med stöd av artikel 6.1 c i EU:s dataskyddsförordning, om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning.
Uppgift av allmänt intresse och myndighetsutövning
2 § Personuppgifter får behandlas med stöd av artikel 6.1 e i EU:s dataskyddsförordning, om behandlingen är nödvändig
1. för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning, eller
2. som ett led i den personuppgiftsansvariges myndighetsutövning enligt lag eller annan författning.
Enskilda arkiv
3 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att personuppgiftsansvariga som inte omfattas av föreskrifter om arkiv får behandla personuppgifter för arkivändamål av allmänt intresse.
Den myndighet som regeringen bestämmer får i enskilda fall besluta att sådana personuppgiftsansvariga får behandla personuppgifter för arkivändamål av allmänt intresse. Ett beslut får förenas med villkor.
Barns samtycke
4 § Vid erbjudande av informationssamhällets tjänster direkt till ett barn som bor i Sverige ska behandling av personuppgifter vara tillåten med stöd av barnets samtycke, om barnet är minst 13 år. Om barnet är under 13 år, ska sådan behandling vara tillåten endast om samtycke ges eller godkänns av den som har föräldraansvar för barnet.
3 kap. Behandling av vissa kategorier av personuppgifter
Känsliga personuppgifter
1 § Med känsliga personuppgifter avses i denna lag sådana uppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning.
Arbetsrätt, social trygghet och socialt skydd
2 § Känsliga personuppgifter får behandlas med stöd av artikel 9.2 b i EU:s dataskyddsförordning, om behandlingen är nödvändig för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och inom områdena social trygghet och socialt skydd.
Personuppgifter som behandlas med stöd av första stycket får lämnas ut till tredje part endast om det inom arbetsrätten eller inom områdena social trygghet och socialt skydd finns en skyldighet för den personuppgiftsansvarige att göra det eller om den registrerade uttryckligen har samtyckt till utlämnandet.
Viktigt allmänt intresse
3 § Känsliga personuppgifter får behandlas av en myndighet med stöd av artikel 9.2 g i EU:s dataskyddsförordning
1. om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag,
2. om behandlingen är nödvändig för handläggningen av ett ärende, eller
3. i annat fall, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
Vid behandling som sker enbart med stöd av första stycket är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
Vid tillämpningen av första stycket 1 ska andra än myndigheter jämställas med myndigheter, i den utsträckning bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400) gäller i deras verksamhet.
4 § Regeringen får meddela ytterligare föreskrifter om sådan behandling av känsliga personuppgifter som är nödvändig med hänsyn till ett viktigt allmänt intresse.
Hälso- och sjukvård och social omsorg
5 § Känsliga personuppgifter får behandlas med stöd av artikel 9.2 h i EU:s dataskyddsförordning, om behandlingen är nödvändig för
1. förebyggande hälso- och sjukvård och yrkesmedicin,
2. bedömningen av en arbetstagares arbetskapacitet,
3. medicinska diagnoser,
4. tillhandahållande av hälso- och sjukvård eller behandling,
5. social omsorg, eller
6. förvaltning av hälso- och sjukvårdstjänster, social omsorg samt deras system.
Behandling enligt första stycket får ske under förutsättning att kravet på tystnadsplikt i artikel 9.3 i EU:s dataskyddsförordning är uppfyllt.
Arkiv
6 § Känsliga personuppgifter får behandlas för arkivändamål av allmänt intresse med stöd av artikel 9.2 j i EU:s dataskyddsförordning, om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att personuppgiftsansvariga som inte omfattas av föreskrifter om arkiv får behandla känsliga personuppgifter för arkivändamål av allmänt intresse.
Den myndighet som regeringen bestämmer får i enskilda fall besluta att sådana personuppgiftsansvariga får behandla känsliga personuppgifter för arkivändamål av allmänt intresse. Ett beslut får förenas med villkor.
Statistik
7 § Känsliga personuppgifter får behandlas med stöd av artikel 9.2 j i EU:s dataskyddsförordning, om behandlingen är nödvändig för statistiska ändamål och samhällsintresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära.
Personuppgifter som rör lagöverträdelser
8 § Personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning får behandlas av myndigheter.
Även andra än myndigheter får behandla sådana personuppgifter, om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv.
9 § Regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om i vilka fall andra än myndigheter får behandla sådana personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning.
Den myndighet som regeringen bestämmer får i enskilda fall besluta att andra än myndigheter får behandla sådana uppgifter. Ett beslut får förenas med villkor.
Personnummer och samordningsnummer
10 § Personnummer och samordningsnummer får behandlas utan samtycke endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.
11 § Regeringen får meddela ytterligare föreskrifter om i vilka fall behandling av personnummer och samordningsnummer är tillåten.
4 kap. Användningsbegränsningar
Arkiv
1 § Personuppgifter som behandlas enbart för arkivändamål av allmänt intresse får användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen.
Första stycket hindrar inte myndigheter från att använda personuppgifter som finns i allmänna handlingar.
Vid tillämpningen av andra stycket ska andra än myndigheter jämställas med myndigheter, i den utsträckning bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400) gäller i deras verksamhet.
Statistik
2 § Personuppgifter som behandlas enbart för statistiska ändamål får användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen.
5 kap. Begränsningar av vissa rättigheter och skyldigheter
Information och tillgång till personuppgifter
1 § Artiklarna 13-15 i EU:s dataskyddsförordning om information och rätt att få tillgång till personuppgifter gäller inte sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning.
Om den personuppgiftsansvarige inte är en myndighet, gäller undantaget i första stycket även för uppgifter som hos en myndighet skulle ha varit sekretessbelagda enligt offentlighets- och sekretesslagen (2009:400).
2 § Artikel 15 i EU:s dataskyddsförordning gäller inte personuppgifter i löpande text som inte har fått sin slutliga utformning när begäran gjordes eller som utgör minnesanteckning eller liknande.
Undantaget i första stycket gäller inte om personuppgifterna
1. har lämnats ut till tredje part,
2. behandlas enbart för arkivändamål av allmänt intresse eller statistiska ändamål, eller
3. har behandlats under längre tid än ett år i löpande text som inte har fått sin slutliga utformning.
Bemyndigande
3 § Regeringen får meddela ytterligare föreskrifter om begränsningar enligt artiklarna 23, 89.2 och 89.3 i EU:s dataskyddsförordning.
6 kap. Tillsynsmyndighetens handläggning och beslut
Befogenheter
1 § De befogenheter som tillsynsmyndigheten har enligt artikel 58.1, 58.2 och 58.3 i EU:s dataskyddsförordning gäller vid tillsyn över att bestämmelserna i denna lag och andra föreskrifter som kompletterar EU:s dataskyddsförordning följs.
Första stycket innebär inte att tillsynsmyndigheten får ta ut sanktionsavgifter vid andra överträdelser än de som avses i artikel 83 i EU:s dataskyddsförordning.
Sanktionsavgifter
2 § Tillsynsmyndigheten får ta ut en sanktionsavgift av en myndighet vid överträdelser som avses i artikel 83.4, 83.5 och 83.6 i EU:s dataskyddsförordning, i den ursprungliga lydelsen. Då ska artikel 83.1, 83.2 och 83.3 i förordningen tillämpas.
Sanktionsavgiften ska bestämmas till högst 5 000 000 kronor vid överträdelser som avses i artikel 83.4 i EU:s dataskyddsförordning och till högst 10 000 000 kronor vid överträdelser som avses i artikel 83.5 och 83.6 i förordningen.
3 § Tillsynsmyndigheten får ta ut en sanktionsavgift vid överträdelser av artikel 10 i EU:s dataskyddsförordning, i den ursprungliga lydelsen. Då ska artikel 83.1, 83.2 och 83.3 i förordningen tillämpas. Avgiftens storlek ska bestämmas med tillämpning av artikel 83.5 i förordningen.
4 § En sanktionsavgift får inte beslutas om den som avgiften ska tas ut av inte har fått tillfälle att yttra sig inom fem år från den dag då överträdelsen ägde rum.
Ett beslut om sanktionsavgift ska delges.
5 § En sanktionsavgift tillfaller staten.
6 § En sanktionsavgift ska betalas till den myndighet som regeringen bestämmer inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft eller inom den längre tid som anges i beslutet.
Om sanktionsavgiften inte betalas inom den tid som anges i första stycket, ska myndigheten lämna den obetalda avgiften för indrivning. Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m. Vid indrivning får verkställighet ske enligt utsökningsbalken.
7 § Regeringen får meddela ytterligare föreskrifter om sanktionsavgifter enligt EU:s dataskyddsförordning och denna lag.
7 kap. Skadestånd och överklagande
Skadestånd
1 § Rätten till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet enligt artikel 82 i EU:s dataskyddsförordning gäller vid överträdelser av bestämmelser i denna lag och andra föreskrifter som kompletterar EU:s dataskyddsförordning.
Överklagande av personuppgiftsansvariga myndigheters beslut
2 § Beslut enligt artiklarna 12.5 och 15-21 i EU:s dataskyddsförordning som har meddelats av en myndighet i egenskap av personuppgiftsansvarig får överklagas till allmän förvaltningsdomstol.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Första stycket gäller inte beslut av regeringen, Högsta domstolen, Högsta förvaltningsdomstolen eller Riksdagens ombudsmän.
Överklagande av tillsynsmyndighetens beslut
3 § Tillsynsmyndighetens beslut enligt EU:s dataskyddsförordning och enligt 6 kap. 2 och 3 §§ denna lag får överklagas till allmän förvaltningsdomstol. När ett beslut överklagas, är tillsynsmyndigheten motpart i domstolen.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Överklagande av vissa andra beslut
4 § Beslut enligt 2 kap. 3 § andra stycket, 3 kap. 6 § tredje stycket och 3 kap. 9 § andra stycket denna lag får överklagas till allmän förvaltningsdomstol.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Överklagandeförbud
5 § Andra beslut enligt EU:s dataskyddsförordning eller denna lag än de som avses i 2-4 §§ får inte överklagas.
1. Denna lag träder i kraft den 25 maj 2018.
2. Genom lagen upphävs personuppgiftslagen (1998:204).
3. I stället för vad som sägs i 1 kap. 2 § ska den upphävda lagen fortsätta att gälla i sådan verksamhet hos Försvarsmakten, Försvarets radioanstalt och Totalförsvarets rekryteringsmyndighet som inte omfattas av unionsrätten.
4. Den upphävda lagen gäller fortfarande vid sådan behandling av personuppgifter som avses i artikel 2.2 d i EU:s dataskyddsförordning, i den ursprungliga lydelsen.
5. Den upphävda lagen gäller fortfarande i den utsträckning som det i en annan lag eller en förordning finns bestämmelser som innehåller hänvisningar till den lagen.
6. Den upphävda lagen gäller fortfarande för överklagande av beslut som har meddelats med stöd av den lagen.
7. Bestämmelsen i 49 § den upphävda lagen gäller fortfarande för överträdelser som har skett före ikraftträdandet.
8. Beslut som har meddelats med stöd av 21 § fjärde stycket den upphävda lagen gäller fortfarande.
2.2 Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)
Härigenom föreskrivs att 10 kap. 27 § och 21 kap. 7 § och rubriken närmast före 21 kap. 7 § offentlighets- och sekretesslagen (2009:400) ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
10 kap.
27 §
Utöver vad som följer av 2, 3, 5 och 15-26 §§ får en sekretessbelagd uppgift lämnas till en myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda.
Första stycket gäller inte i fråga om sekretess enligt 24 kap. 2 a och 8 §§, 25 kap. 1-8 §§, 26 kap. 1-6 §§, 29 kap. 1 och 2 §§, 31 kap. 1 § första stycket, 2 och 12 §§, 33 kap. 2 §, 36 kap. 3 § samt 40 kap. 2 och 5 §§.
Första stycket gäller inte heller om utlämnandet strider mot lag eller förordning eller föreskrift som har meddelats med stöd av personuppgiftslagen (1998:204).
Första stycket gäller inte heller om utlämnandet strider mot lag eller förordning.
21 kap.
Behandling i strid med personuppgiftslagen
Behandling i strid med dataskyddsregleringen
7 §
Sekretess gäller för personuppgift, om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgiftslagen (1998:204).
Sekretess gäller för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), i den ursprungliga lydelsen, eller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning.
Denna lag träder i kraft den 25 maj 2018.
3 Ärendet och dess beredning
Den 27 april 2016 utfärdades Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen. Dataskyddsförordningen, som börjar tillämpas den 25 maj 2018, finns i svensk lydelse i bilaga 1.
Den 25 februari 2016 beslutade regeringen att ge en särskild utredare i uppdrag att föreslå de anpassningar och kompletterande författningsbestämmelser på generell nivå som dataskyddsförordningen ger anledning till (dir. 2016:15). Utredningen, som tog namnet Dataskyddsutredningen (Ju 2016:04), överlämnade den 12 maj 2017 betänkandet Ny dataskyddslag - Kompletterande bestämmelser till EU:s dataskyddsförordning (SOU 2017:39). En sammanfattning av betänkandet finns i bilaga 2. Betänkandets lagförslag finns i bilaga 3.
Betänkandet har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 4. Remissvaren finns tillgängliga i Justitiedepartementet (Ju2017/04264/L6).
Justitiedepartementet har i en promemoria som kompletterar betänkandet lämnat förslag avseende den nya lagens territoriella tillämpningsområde. En sammanfattning av promemorian finns i bilaga 5. Promemorians lagförslag finns i bilaga 6. Promemorian har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 7. Remissvaren finns tillgängliga i Justitiedepartementet (Ju2017/06940/L6).
Förslag till undantag från bestämmelsen som utsträcker dataskyddsförordningens tillämpningsområde har beretts med Säkerhetspolisen, Datainspektionen, Säkerhets- och integritetsskyddsnämnden, Myndigheten för samhällsskydd och beredskap, Försvarsmakten, Försvarets radioanstalt och Totalförsvarets rekryteringsmyndighet. Myndigheternas svar finns tillgängliga i Justitiedepartementet (Ju2017/04264/L6).
Vissa frågor av övergångskaraktär behandlas i Utredningen om 2016 års dataskyddsdirektivs delbetänkande Brottsdatalag (SOU 2017:29, Ju2017/03283/L4).
Lagrådet
Regeringen beslutade den 21 december 2017 att inhämta Lagrådets yttrande över de lagförslag som finns i bilaga 8. Lagrådets yttrande finns i bilaga 9. Lagrådets synpunkter och förslag behandlas och bemöts i avsnitt 5.1.3, 6.1.1, 6.2, 8.5, 10.4, 17.3.5 och i författningskommentaren. Regeringen följer i allt väsentligt Lagrådets förslag. I förhållande till lagrådsremissens lagförslag har vissa språkliga och redaktionella ändringar gjorts.
4 EU:s dataskyddsreform
4.1 Gällande rätt
Den allmänna regleringen om behandling av personuppgifter inom EU finns i dag i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet). Dataskyddsdirektivet gäller inte för behandling av personuppgifter på områden som faller utanför unionsrätten, t.ex. allmän säkerhet och försvar samt statens verksamhet på straffrättens område. Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsrambeslutet) är tillämpligt på informationsutbyte över gränserna. Dataskyddsrambeslutet gäller däremot inte för rent nationell personuppgiftsbehandling inom exempelvis polisens område. Från dataskyddsrambeslutets tillämpningsområde undantas också personuppgiftsbehandling inom området nationell säkerhet. På detta område finns det således inte någon EU-gemensam reglering om behandling av personuppgifter.
Dataskyddsdirektivet har genomförts i svensk rätt huvudsakligen genom personuppgiftslagen (1998:204), förkortad PUL. Bestämmelserna i personuppgiftslagen har till syfte att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Personuppgiftslagen följer i princip dataskyddsdirektivets struktur och innehåller liksom direktivet bestämmelser om bl.a. personuppgiftsansvar, grundläggande krav för behandling av personuppgifter och information till den registrerade.
Personuppgiftslagen är tillämplig även utanför EU-rättens område och gäller både för myndigheter och enskilda som behandlar personuppgifter. Personuppgiftslagen är samtidigt subsidiär, vilket innebär att lagens bestämmelser inte ska tillämpas om det finns avvikande bestämmelser i en annan lag eller en förordning. Det finns en stor mängd sådana bestämmelser i sektorsspecifika författningar som främst reglerar hur olika myndigheter får behandla personuppgifter.
Personuppgiftslagen kompletteras också av bestämmelser i personuppgiftsförordningen (1998:1191), förkortad PUF, som bl.a. pekar ut Datainspektionen som tillsynsmyndighet. Datainspektionen bemyndigas i förordningen att meddela närmare föreskrifter om bl.a. i vilka fall behandling av personuppgifter är tillåten och vilka krav som ställs på den personuppgiftsansvarige.
4.2 En ny förordning och ett nytt direktiv
Europeiska kommissionen lade fram sitt förslag till en reformerad dataskyddsreglering i EU år 2012. Förslaget bestod av dels en förordning med allmänna regler om skydd av personuppgifter som skulle ersätta dataskyddsdirektivet, dels ett direktiv med regler om skydd av personuppgifter som behandlas i samband med förebyggande, utredning, avslöjande eller lagföring av brott och därmed förbunden rättslig verksamhet som skulle ersätta dataskyddsrambeslutet.
Den 27 april 2016 antogs dataskyddsförordningen. Samma dag antogs Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, nedan kallat det nya dataskyddsdirektivet. Genomförandet av det direktivet omfattas inte av detta lagstiftningsärende.
Dataskyddsförordningen kommer från och med den 25 maj 2018 att ersätta dataskyddsdirektivet och utgöra den generella regleringen av personuppgiftsbehandling inom EU. Enligt artikel 288 andra stycket i fördraget om Europeiska unionens funktionssätt ska en EU-förordning ha allmän giltighet och vara till alla delar bindande och direkt tillämplig i varje medlemsstat. Trots att dataskyddsförordningen, till skillnad från dataskyddsdirektivet, är direkt tillämplig innehåller den många bestämmelser som förutsätter eller ger utrymme för kompletterande nationella bestämmelser av olika slag. Förordningen har därmed i vissa delar en direktivliknande karaktär. I skäl 8 till förordningen anges också att om förordningen föreskriver förtydliganden eller begränsningar av dess bestämmelser genom medlemsstaternas nationella rätt kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av förordningen i nationell rätt.
4.3 Förordningens syfte
I skäl 9 till förordningen konstateras att dataskyddsdirektivet inte har kunnat förhindra bristande enhetlighet i genomförandet och tillämpningen av dataskyddet i olika delar av unionen. Skillnader i nivån på skyddet av personuppgifter kan enligt skälet förhindra det fria flödet av personuppgifter och kan därför utgöra ett hinder för att bedriva ekonomisk verksamhet på unionsnivå, snedvrida konkurrensen och hindra myndigheterna från att fullgöra sina skyldigheter enligt unionsrätten.
För att säkerställa en enhetlig skyddsnivå över hela unionen och undvika avvikelser som hindrar den fria rörligheten av personuppgifter inom den inre marknaden behövs, enligt skäl 13 till förordningen, en förordning som skapar rättslig säkerhet och öppenhet för ekonomiska aktörer och som ger fysiska personer i alla medlemsstater samma rättsligt verkställbara rättigheter och skyldigheter samt ålägger personuppgiftsansvariga och personuppgiftsbiträden samma ansvar. På så sätt blir övervakningen av behandling av personuppgifter enhetlig, sanktionerna i alla medlemsstater likvärdiga och samarbetet mellan tillsynsmyndigheterna i olika medlemsstater effektivt.
4.4 Tillämpningsområdet
Dataskyddsförordningen ska, precis som dataskyddsdirektivet, tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.
Från dataskyddsförordningens tillämpningsområde undantas behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten eller som utförs av medlemsstaterna när de bedriver verksamhet som omfattas av den gemensamma utrikes- och säkerhetspolitiken. Behandling av personuppgifter som utförs av en fysisk person som ett led i verksamhet av privat natur eller som har samband med hans eller hennes hushåll omfattas inte heller av förordningens bestämmelser. Vidare gäller förordningen inte för sådan behandling av personuppgifter som utförs av behöriga myndigheter för ändamålen att förebygga, utreda, upptäcka eller lagföra brott eller verkställa straffrättsliga påföljder. Sådan behandling regleras i stället genom det nya dataskyddsdirektivet. Slutligen ska förordningens bestämmelser inte tillämpas av EU:s institutioner, organ och byråer. Den behandling av personuppgifter som sker där regleras i stället genom Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter. Ett förslag till reviderad förordning om skydd för personuppgifter som behandlas av unionens institutioner, organ, kontor och byråer har lagts fram av kommissionen (COM(2017) 8 final).
Dataskyddsförordningen ska tillämpas på all behandling av personuppgifter som sker inom ramen för den verksamhet som bedrivs av personuppgiftsansvariga eller personuppgiftsbiträden som är etablerade i unionen, oavsett om behandlingen utförs i unionen eller inte. En skillnad jämfört med dataskyddsdirektivet är att förordningen under vissa omständigheter ska tillämpas även på behandling av personuppgifter som utförs av personuppgiftsansvariga eller personuppgiftsbiträden som inte är etablerade i unionen. Detta gäller om behandlingen avser registrerade som befinner sig i unionen, under förutsättning att behandlingen har anknytning till antingen utbjudande av varor eller tjänster till sådana registrerade i unionen eller övervakning av deras beteende, så länge beteendet sker inom unionen. Slutligen ska dataskyddsförordningen också tillämpas på behandling av personuppgifter som utförs av en personuppgiftsansvarig som inte är etablerad i unionen, men på en plats där en medlemsstats nationella rätt gäller enligt folkrätten.
4.5 Sakliga förändringar
Dataskyddsförordningen baseras till stor del på dataskyddsdirektivets struktur och innehåll, men innebär även en rad förändringar. Några av dessa förtjänar att nämnas särskilt.
Den registrerades rättigheter förstärks i syfte att ge den registrerade ökad kontroll över sina personuppgifter. Den information som ska tillhandahållas den registrerade preciseras och utvidgas och det anges uttryckligen att den personuppgiftsansvarige ska tillhandahålla informationen i en begriplig och lättillgänglig form. Förordningen innebär även en förstärkning av rätten för den registrerade att få åtkomst till sina personuppgifter i syfte att föra över dem till en annan leverantör av elektroniska tjänster, s.k. dataportabilitet. Vidare införs en tydligare rätt till radering (rätt att bli bortglömd).
När informationssamhällets tjänster erbjuds direkt till ett barn, krävs enligt dataskyddsförordningen att samtycke eller godkännande av barnets samtycke i vissa fall inhämtas av den som har föräldraansvar för barnet för att personuppgifter som rör barnet ska få behandlas. Barns särställning och särskilda utsatthet poängteras på flera ställen i förordningen.
Genom förordningen införs en skyldighet för den personuppgiftsansvarige att anmäla till tillsynsmyndigheten om det inträffar en så kallad personuppgiftsincident, dvs. en säkerhetsincident som oavsiktligt påverkar behandlingen av personuppgifter. Även den registrerade ska informeras om incidenten om den sannolikt leder till en hög risk för enskildas rättigheter och friheter.
Det införs krav på konsekvensanalyser om en viss behandling sannolikt kommer att leda till hög risk för enskildas rättigheter eller skyldigheter. Den allmänna anmälningsskyldigheten till tillsynsmyndigheten tas däremot bort. Vidare införs det tydligare regler för kommunikation med den registrerade och ansvar för dem som behandlar personuppgifter. Ett krav på inbyggt dataskydd och dataskydd som standard införs.
Genom förordningen införs ett nytt gemensamt system med sanktionsavgifter som ska tas ut vid överträdelser av förordningen. Även på andra sätt innebär förordningen ett ökat fokus på en enhetlig tillämpning av dataskyddsreglerna inom EU, t.ex. genom åtgärder som godkännande av uppförandekoder och certifiering. Det införs även en skyldighet för de nationella tillsynsmyndigheterna att samarbeta med varandra och en mekanism för enhetlighet när flera tillsynsmyndigheter är inblandade. Det införs samtidigt en ny princip om en enda kontaktpunkt, som ska underlätta för sådana personuppgiftsansvariga som är verksamma i flera medlemsstater, genom att de endast ska behöva vara i kontakt med en av de behöriga tillsynsmyndigheterna. Det införs även ett nytt unionsorgan, Europeiska dataskyddsstyrelsen, som får långtgående befogenheter att uttala sig om tolkningen av förordningen även i enskilda fall.
Utrymmet för att ge offentlighetsprincipen företräde framför dataskyddsregleringen blir tydligare, genom en uttrycklig och direkt tillämplig bestämmelse i artikel 86 i dataskyddsförordningen. Av bestämmelsen följer att personuppgifter i allmänna handlingar får lämnas ut i enlighet med nationell rätt, för att jämka samman allmänhetens rätt att få tillgång till handlingar med rätten till skydd för personuppgifter i enlighet med förordningen. Artikeln möjliggör alltså en tillämpning av bestämmelserna i tryckfrihetsförordningen, förkortad TF, om allmänhetens tillgång till handlingar när det gäller allmänna handlingar som innehåller personuppgifter.
5 Ett nytt svenskt regelverk om dataskydd
5.1 En ny lag införs och personuppgiftslagen upphävs
Regeringens förslag: Personuppgiftslagen upphävs och en ny lag med bestämmelser som kompletterar EU:s dataskyddsförordning på ett generellt plan införs.
Utredningens förslag överensstämmer med regeringens.
Remissinstanserna tillstyrker förslaget eller har inga synpunkter på det. Bland andra Myndigheten för vård- och omsorgsanalys och Göteborgs universitet påpekar, utan att invända mot utredningens förslag, att dataskyddsreformen medför att rättsområdet blir mer komplext. Några myndigheter, bl.a. Pensionsmyndigheten och Lantmäteriet, framhåller behovet av en samlad översyn av registerförfattningarna. Ett par remissinstanser, bl.a. Sveriges konsumenter och Stiftelsen för internetinfrastruktur, ifrågasätter utredningens strävan att varken utvidga eller inskränka möjligheterna till behandling av personuppgifter, annat än då dataskyddsförordningen kräver en sådan förändring. Flera remissinstanser, bl.a. Domstolsverket, Myndigheten för vård- och omsorgsanalys, Konkurrensverket och Riksidrottsförbundet, efterlyser mer vägledning kring hur olika termer och begrepp i dataskyddsförordningen ska tolkas och tillämpas. Vidare tar flera remissinstanser, bl.a. Arbetsförmedlingen, Riksidrottsförbundet och Tjänstemännens centralorganisation, upp frågor som är specifika för deras verksamhet eller den reglering som styr den.
Skälen för regeringens förslag: Dataskyddsförordningen ersätter dataskyddsdirektivet, som har genomförts i svensk rätt huvudsakligen genom personuppgiftslagen, personuppgiftsförordningen och Datainspektionens föreskrifter. Dataskyddsförordningen ska däremot inte implementeras i svensk rätt, utan i stället tillämpas direkt av enskilda, myndigheter och domstolar. När dataskyddsförordningen börjar tillämpas kommer alltså den generella regleringen om behandling av personuppgifter att finnas i dataskyddsförordningen. Det svenska generella regelverket om dataskydd kan då inte längre finnas kvar, eftersom det skulle leda till en otillåten dubbelreglering. Personuppgiftslagen bör därför upphävas.
Den omständigheten att den nya generella unionsrättsakten om dataskydd är en förordning, och inte ett direktiv, innebär således omfattande begränsningar av möjligheten att införa eller behålla nationella bestämmelser om dataskydd. Dataskyddsförordningen både förutsätter och medger emellertid nationella bestämmelser som kompletterar eller föreskriver undantag från förordningens regler. I skäl 8 till förordningen anges att om förordningen föreskriver förtydliganden eller begränsningar av dess bestämmelser genom medlemsstaternas nationella rätt, kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av förordningen i nationell rätt.
Vissa av de kompletterande bestämmelser som behövs eller är lämpliga är av generell karaktär, i betydelsen att de rör hela samhället eller flertalet myndigheter och inte bara en viss sektor. Denna typ av generella bestämmelser bör samlas i en ny övergripande lag om dataskydd. För att betona att lagen inte är heltäckande, utan endast utgör ett komplement till dataskyddsförordningen, bör den i enlighet med utredningens förslag benämnas lagen med kompletterande bestämmelser till EU:s dataskyddsförordning. I det följande kallas den nya lagen för dataskyddslagen.
Vidare har förordningen, framför allt när det gäller den offentliga sektorn, en direktivliknande karaktär och tillåter att förordningens regler specificeras i nationell rätt. Detta följer bl.a. av artikel 6.2, där det anges att medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen när det gäller behandling som sker enligt artikel 6.1 c (rättslig förpliktelse) och 6.1 e (uppgift av allmänt intresse och myndighetsutövning). Detta får ske genom att medlemsstaterna närmare fastställer specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling. Av skäl 10 framgår att detta även gäller för behandlingen av känsliga personuppgifter. Av artikel 6.3 framgår vidare att, vid behandling enligt artikel 6.1 c och e, ska den rättsliga grunden fastställas i unionsrätten eller i nationell rätt. Där anges också att den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen, bl.a. de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling. Detta innebär att det även fortsättningsvis finns ett utrymme för sådan sektorsspecifik särreglering om behandling av personuppgifter som finns i de svenska registerförfattningarna, t.ex. studiestödsdatalagen (2009:287) och domstolsdatalagen (2015:728). Anpassningen av sådana sektorsspecifika författningar behandlas dock inte i detta lagstiftningsärende.
Flera remissinstanser tar upp frågor som är specifika för deras verksamhet och den reglering som styr den. Sådana sektorsspecifika frågor omfattas dock inte av detta lagstiftningsärende. Flera remissinstanser efterlyser också mer vägledning kring hur dataskyddsförordningens bestämmelser ska tolkas och tillämpas, framför allt i fråga om tillämplig rättslig grund. I detta lagstiftningsärende behandlas dock inte frågor som rör tillämpningen av dataskyddsförordningens direkt tillämpliga bestämmelser, annat än i samband med resonemang kring behovet och lämpligheten av kompletterande lagstiftning på generell nivå. Regeringen kan också konstatera att det i många fall är svårt att ge mer vägledning än den utredningen ger i betänkandet. När det gäller de nya begrepp som introduceras genom dataskyddsreformen finns det ännu inte någon praxis eller annan rättskälla att luta sig mot.
Det bör dock understrykas att tillsynsmyndigheten, enligt artikel 57.1 b, har i uppgift att öka personuppgiftsansvarigas och personuppgiftsbiträdens medvetenhet om sina skyldigheter enligt dataskyddsförordningen. Av skäl 132 framgår att medvetandehöjande kampanjer från tillsynsmyndighetens sida bör innefatta särskilda åtgärder riktade dels till personuppgiftsansvariga och personuppgiftsbiträden, inbegripet mikroföretag samt små och medelstora företag, dels till fysiska personer, särskilt i utbildningssammanhang. Dessutom har tillsynsmyndigheten, enligt artikel 57.1 b, i uppgift att öka allmänhetens medvetenhet om och förståelse för risker, regler, skyddsåtgärder och rättigheter i fråga om behandling. Särskild uppmärksamhet ska ägnas åt insatser som riktar sig till barn. Vidare har regeringen gett Datainspektionen i uppdrag att förstärka sitt arbete med att underlätta näringslivets anpassning till dataskyddsförordningen, för att svenska företag inte ska tappa tempo i sitt digitaliseringsarbete och samtidigt upprätthålla ett gott integritetsskydd (N2016/07306/FÖF).
Bland andra Myndigheten för vård- och omsorgsanalys och Göteborgs universitet påpekar, utan att invända mot utredningens förslag, att dataskyddsreformen medför att rättsområdet blir mer komplext. Regeringen har förståelse för dessa synpunkter. Det förhållandet att personuppgiftslagen ersätts av den mer omfattande regleringen i dataskyddsförordningen och en kompletterande nationell reglering på generell nivå, innebär att regelverket kan uppfattas som mer komplext. Det bör dock framhållas att den ökade komplexiteten är en följd av att det nya EU-rättsliga regelverket är direkt tillämpligt och att detta förutsätter kompletterande nationell reglering. Samtidigt kan konstateras att för de allra flesta personuppgiftsansvariga kommer endast dataskyddsförordningen och dataskyddslagen att vara tillämpliga. För personuppgiftsansvariga som har verksamhet i flera medlemsstater finns dessutom stora fördelar med en dataskyddsreglering som är direkt tillämplig i hela EU. Vidare har tillsynsmyndigheten, som beskrivs ovan, redan enligt dataskyddsförordningen ett uppdrag att informera om regleringen.
Några myndigheter, bl.a. Pensionsmyndigheten och Lantmäteriet, framhåller behovet av en samlad översyn av registerförfattningarna. Ett par remissinstanser, bl.a. Sveriges konsumenter och Stiftelsen för internetinfrastruktur, ifrågasätter utredningens strävan att varken utvidga eller inskränka möjligheterna till behandling av personuppgifter, annat än då dataskyddsförordningen kräver en sådan förändring. Regeringen kan emellertid konstatera att den korta tid som står till buds för att anpassa den svenska dataskyddsregleringen till den nya EU-regleringen inte medger mer omfattande nationella reformer på detta område. Det utesluter inte att vissa sådana övergripande förändringar skulle kunna vara befogade och därför bli föremål för överväganden i ett annat sammanhang.
5.1.1 Termer och uttryck
Regeringens förslag: Termer och uttryck i dataskyddslagen ska ha samma betydelse som i EU:s dataskyddsförordning.
Utredningens förslag överensstämmer med regeringens.
Remissinstanserna: I stort sett alla instanser tillstyrker förslaget eller har inga synpunkter på det. Myndigheten för vård- och omsorgsanalys anser dock att det inte är användarvänligt att definitionerna inte anges i lagen.
Skälen för regeringens förslag: Många av de termer och uttryck som används i dataskyddsförordningen definieras i artikel 4 i förordningen. Andra begrepp definieras visserligen inte, men är av unionsrättslig karaktär och kan inte ges en särskild betydelse i nationell rätt, t.ex. begreppet tredjeland. Termer och uttryck som används i dataskyddslagen bör därför ha samma betydelse som i dataskyddsförordningen.
Med anledning av Myndigheten för vård- och omsorgsanalys synpunkt att förordningens definitioner bör anges i lagen, bör framhållas att lagen endast utgör ett komplement till dataskyddsförordningen. Det stora flertalet av de regler som ska tillämpas finns i dataskyddsförordningen och ska tillämpas direkt av myndigheter, företag och andra personuppgiftsansvariga. Om förordningens definitioner infördes i dataskyddslagen skulle det kunna ge intrycket av att lagen är fristående från förordningen.
5.1.2 Hänvisningsteknik
Regeringens förslag: De hänvisningar till EU:s dataskyddsförordning som finns i dataskyddslagen ska, med undantag för bestämmelsen om behandling av personuppgifter utanför dataskyddsförordningens egentliga tillämpningsområde och bestämmelserna om sanktionsavgifter, vara dynamiska, dvs. avse förordningen i den vid varje tidpunkt gällande lydelsen.
Utredningens förslag överensstämmer delvis med regeringens. Utredningen föreslår dynamiska hänvisningar till dataskyddsförordningen även i bestämmelserna om sanktionsavgifter.
Remissinstanserna tillstyrker förslaget eller har inga synpunkter på det.
Skälen för regeringens förslag: Den föreslagna dataskyddslagen innehåller hänvisningar till bestämmelser i dataskyddsförordningen. Hänvisningar till EU-rättsakter kan göras antingen statiska eller dynamiska. En statisk hänvisning innebär att hänvisningen avser EU-rättsakten i en viss angiven lydelse. En dynamisk hänvisning innebär att hänvisningen avser EU-rättsakten i den vid varje tidpunkt gällande lydelsen.
Dataskyddsförordningen är direkt tillämplig. För att säkerställa att ändringar i dataskyddsförordningen får omedelbart genomslag är det lämpligt att hänvisningarna dit görs dynamiska. Detta hindrar emellertid inte att dataskyddslagen kan behöva ändras om dataskyddsförordningens innehåll ändras. De hänvisningar till dataskyddsförordningen som finns i dataskyddslagen bör med vissa undantag vara dynamiska, dvs. avse förordningen i dess vid varje tidpunkt gällande lydelse. Hänvisningarna kommer således att omfatta även eventuella framtida ändringar i dataskyddsförordningen.
Flera av hänvisningarna till dataskyddsförordningen i de bestämmelser som regeringen föreslår är av upplysande karaktär. Det gäller främst hänvisningarna i bestämmelserna om rättslig grund, känsliga personuppgifter och skadestånd. Dynamiska hänvisningar behövs i dessa fall för att undvika osäkerhet. Detsamma gäller för hänvisningarna till dataskyddsförordningen avseende betydelsen av de termer och uttryck som används i lagen. Terminologin som används i den nationella reglering som kompletterar EU-förordningen måste följa den begreppsutveckling som sker inom unionen, även vid en eventuell ändring av uttryckliga definitioner i dataskyddsförordningen.
Andra hänvisningar till dataskyddsförordningen finns i förslagen till bestämmelser som rör bl.a. vilka myndigheter som är behöriga att pröva olika frågor eller som har att vidta åtgärder enligt dataskyddsförordningen samt vilka förfarandebestämmelser som ska gälla när förordningen saknar bestämmelser eller hänvisar till att nationell rätt ska tillämpas. Förslaget till dataskyddslag innehåller också en bestämmelse om tystnadsplikt för den som fullgör uppgift som dataskyddsombud enligt dataskyddsförordningen.
Samtliga författningsförslag som nämns i föregående stycke avser bestämmelser av ett slag som måste finnas i svensk rätt för att Sverige ska uppfylla sina unionsrättsliga förpliktelser. Hänvisningarna till dataskyddsförordningen i dessa bestämmelser bör enligt regeringens mening vara dynamiska. Den omständigheten att somliga förändringar i dataskyddsförordningen skulle kunna föranleda behov av justeringar av svensk rätt, t.ex. rörande vilken myndighet eller domstol som ska hantera en viss fråga, utgör inte skäl för att välja statiska hänvisningar i dessa paragrafer.
Vidare förekommer det i lagförslaget bestämmelser som föreskriver undantag från dataskyddsförordningens bestämmelser om de registrerades rättigheter och den personuppgiftsansvariges skyldigheter. Flera av dessa undantag är nära förknippade med den svenska grundlagsregleringen om tryck- och yttrandefrihet och rätt till tillgång till allmänna handlingar eller med behovet av skydd för rikets säkerhet. Med hänsyn till vikten av att dessa intressen upprätthålls, bör dessa undantag gälla även om dataskyddsförordningens lydelse skulle komma att ändras i något avseende. Regeringen föreslår även undantag som motiveras av behovet av en balans mellan det skydd som dataskyddsförordningen ger den registrerade och det skydd som annan lagstiftning ger den personuppgiftsansvariges verksamhet eller tredje parts personliga integritet, t.ex. i form av sekretess. Även i dessa bestämmelser behövs det dynamiska hänvisningar för att säkerställa att balansen består även vid en eventuell ändring av dataskyddsförordningen.
När det gäller regleringen om behandling av personuppgifter utanför dataskyddsförordningens egentliga tillämpningsområde, finns det dock skäl att välja en statisk hänvisningsteknik, innebärande att hänvisningen ska avse den ursprungliga lydelsen av dataskyddsförordningen. Skälen för detta ställningstagande utvecklas i avsnitt 6.1.1. Dataskyddsförordningen innebär vidare att det i svensk rätt får eller måste införas bestämmelser om sanktioner vid överträdelser av förordningen. I de bestämmelser som avser sådana sanktioner bör hänvisningarna till dataskyddsförordningen vara statiska, se avsnitt 16.2 och 16.3.3.
Denna proposition innehåller även förslag till ändringar i offentlighets- och sekretesslagen (2009:400), förkortad OSL, som innebär att en hänvisning till dataskyddsförordningen ska införas i en bestämmelse. Frågan om hänvisningens karaktär i det fallet behandlas i avsnitt 15.3.
5.1.3 Avvikande bestämmelser i annan lag eller i förordning ska ha företräde
Regeringens förslag: Om en annan lag eller en förordning innehåller någon bestämmelse som avviker från dataskyddslagen, tillämpas den bestämmelsen.
Utredningens förslag överensstämmer i sak med regeringens. Utredningen föreslår dock en annan utformning av författningsbestämmelsen.
Remissinstanserna: Det stora flertalet tillstyrker förslaget eller har inga synpunkter på det. Kungliga tekniska högskolan anser dock att det av lagtexten bör framgå att även direkt tillämpliga EU-förordningar omfattas. Sveriges advokatsamfund anser att det bör framgå av bestämmelsen att bestämmelser som avviker från dataskyddslagen ska tillämpas såvida de inte är oförenliga med dataskyddsförordningen.
Skälen för regeringens förslag: Personuppgiftslagen är subsidiär på så sätt att om det i en annan lag eller i en förordning finns bestämmelser som avviker från lagen, ska de bestämmelserna gälla (2 § PUL). Frågan är om en sådan ordning bör gälla även i fråga om dataskyddslagen.
Dataskyddsförordningen ger i viss utsträckning utrymme för undantag eller kompletteringar avseende en särskild typ av verksamhet, se avsnitt 5.1. Dataskyddslagen kommer endast att innehålla övergripande och generella bestämmelser. De flesta bestämmelser som kompletterar förordningen kommer således att finnas i någon annan författning.
Dataskyddslagen är, i likhet med personuppgiftslagen, av offentligrättslig karaktär. Som helhet måste den även betraktas som betungande i förhållande till de personuppgiftsansvariga och personuppgiftsbiträden som träffas av den. Dataskyddslagens bestämmelser gäller inte bara för statliga myndigheter, utan även för kommuner, företag och enskilda. Det krävs därför enligt 8 kap. 2 § första stycket 2 och 3 § regeringsformen, förkortad RF, bemyndiganden i lag för att anslutande föreskrifter ska kunna meddelas av regeringen eller av en förvaltningsmyndighet.
När det däremot gäller sektorsspecifika författningar som enbart rör behandling av personuppgifter som utförs av statliga myndigheter som lyder under regeringen förhåller det sig annorlunda. Med undantag för de fall som avses i 2 kap. 6 § andra stycket RF kan sådana föreskrifter som direkt eller indirekt rör behandling av personuppgifter meddelas av regeringen med stöd av dess restkompetens enligt 8 kap. 7 § första stycket 2 RF. Det finns i dag ett stort antal förordningar av detta slag. Vidare kan sektorsspecifika föreskrifter som reglerar kommunala myndigheters eller enskilda organs behandling av personuppgifter meddelas med stöd av bemyndiganden i annan lag än dataskyddslagen.
Lagrådet efterfrågar ytterligare överväganden angående skälen för en ordning som innebär att föreskrifter i förordning ska gälla framför dataskyddslagens bestämmelser. Som Lagrådet påpekar innebär detta att räckvidden av den formella lagkraftens princip enligt 8 kap. 18 § RF begränsas. På dataskyddsområdet är det emellertid en väl etablerad ordning att även föreskrifter på förordningsnivå kan ges företräde framför den generella regleringen om skydd för personuppgifter. En förutsättning för detta är givetvis att föreskrifterna har beslutats med stöd av regeringens restkompetens eller med stöd av ett bemyndigande i lag.
Vidare kommer det enligt regeringens bedömning även i fortsättningen att finnas ett stort behov av både lagar och förordningar som innehåller bestämmelser som rör behandling av personuppgifter. Dessa bestämmelser kommer i första hand att komplettera dataskyddsförordningen, men kan i vissa fall avse frågor som också regleras i dataskyddslagen. Det kan vara bestämmelser som direkt rör behandling av personuppgifter, t.ex. om möjligheten att behandla känsliga personuppgifter i en viss verksamhet. Bestämmelserna kan också indirekt röra behandling av personuppgifter, t.ex. skyldigheter att lämna ut vissa uppgifter eller särskilda förfaranderegler.
Regeringen gör mot denna bakgrund bedömningen att såväl lagar som förordningar som avviker från dataskyddslagen bör ha företräde framför bestämmelserna i dataskyddslagen, på motsvarande sätt som har gällt i förhållande till personuppgiftslagen.
Bestämmelser som rör behandling av personuppgifter kan också förekomma i andra EU-förordningar än dataskyddsförordningen. I Sverige jämställs sådana förordningar med lag och kommer därmed, på samma sätt som lagar beslutade av riksdagen, att ha företräde framför dataskyddslagen. Det finns enligt regeringens mening inte skäl att, som Kungliga tekniska högskolan förordar, särskilt ange detta i lagtexten.
Regeringen anser att den bestämmelse som anger att dataskyddslagen är subsidiär till avvikande bestämmelser i annan författning bör utformas på samma sätt som 4 § i den nya förvaltningslagen (2017:900). Detta innebär ingen saklig skillnad jämfört med den formulering som används i personuppgiftslagen. Det bör dock betonas att den bestämmelse om subsidiaritet som föreslås i dataskyddslagen kommer att få en betydligt mer begränsad betydelse än dess motsvarighet i 2 § PUL, även om dess innebörd är densamma. Detta beror på att dataskyddslagen, till skillnad från personuppgiftslagen, inte är heltäckande. Dataskyddslagen utgör endast ett komplement till dataskyddsförordningen och reglerar bara vissa frågor. Bestämmelsen om att annan lag eller förordning ska ha företräde framför dataskyddslagen utvidgar inte utrymmet för att göra nationella undantag från de direkt tillämpliga bestämmelserna i dataskyddsförordningen. Principen om unionsrättens företräde innebär att en bestämmelse i en sektorsspecifik författning får tillämpas endast om den är förenlig med dataskyddsförordningen och avser en fråga som enligt förordningen får särregleras eller specificeras genom nationell rätt. Det finns enligt regeringens mening inte skäl att, som Sveriges advokatsamfund förespråkar, ange detta särskilt i lagtexten.
6 Tillämpningsområdet
6.1 Behandling av personuppgifter utanför dataskyddsförordningens tillämpningsområde
6.1.1 Förordningens tillämpningsområde utsträcks
Regeringens förslag: Bestämmelserna i EU:s dataskyddsförordning och dataskyddslagen ska gälla även i verksamhet utanför unionsrättens tillämpningsområde och vid Sveriges deltagande i den gemensamma utrikes- och säkerhetspolitiken. Detta ska dock inte gälla i verksamhet som omfattas av lagen om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst, lagen om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet eller 6 kap. polisdatalagen.
Utredningens förslag överensstämmer delvis med regeringens. Utredningen föreslår inte något undantag. Vidare har utredningens förslag en annan språklig utformning.
Remissinstanserna: Det stora flertalet remissinstanser tillstyrker utredningens förslag eller har inga synpunkter på det. Förvaltningsrätten i Stockholm och Centrala studiestödsnämnden efterfrågar dock fördjupade överväganden i denna del. Försvarsmakten motsätter sig att förordningen ska vara tillämplig i verksamhet som omfattas av lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst. Försvarets radioanstalt anser att det bör framgå av lagen att dataskyddsförordningen inte gäller i verksamhet som omfattas av lagen (2007:259) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet. Sveriges advokatsamfund ifrågasätter utvidgningen i den del som avser den gemensamma utrikes- och säkerhetspolitiken och menar att regleringen kan komma i konflikt med framtida bestämmelser inom det området som beslutas av rådet. Lunds universitet anser att det behövs en mer utförlig motivering till att förordningens tillämpningsområde utvidgas till att omfatta även den gemensamma utrikes- och säkerhetspolitiken. Försvarsmakten, Lunds universitet och Sveriges advokatsamfund anser att det av lagtexten ska framgå vilka delar av dataskyddsförordningen som ska gälla utanför dess tillämpningsområde. Ytterligare ett par remissinstanser, bl.a. Centrala studiestödsnämnden, påpekar att den föreslagna utformningen av bestämmelsen kan medföra tillämpningssvårigheter.
Skälen för regeringens förslag
Dataskyddsförordningens tillämpningsområde bör utsträckas
Dataskyddsdirektivet gäller inte för sådan behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten, exempelvis sådan verksamhet som avses i avdelningarna V och VI i fördraget om Europeiska unionen, och inte under några omständigheter behandlingar som rör allmän säkerhet, försvar, statens säkerhet (inbegripet statens ekonomiska välstånd när behandlingen har samband med frågor om statens säkerhet) och statens verksamhet på straffrättens område. Personuppgiftslagen är däremot generellt tillämplig, vilket innebär att den också gäller för sådan behandling som faller utanför det nuvarande dataskyddsdirektivets tillämpningsområde.
Dataskyddsförordningen har, i likhet med dataskyddsdirektivet, ett begränsat tillämpningsområde. Enligt artikel 2.2 a ska förordningen inte tillämpas på behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten. I skäl 16 till dataskyddsförordningen anges verksamhet rörande nationell säkerhet som ett exempel på en sådan verksamhet. Dataskyddsförordningen ska enligt artikel 2.2 b inte heller tillämpas på behandling av personuppgifter som medlemsstaterna utför när de bedriver verksamhet som omfattas av den gemensamma utrikes- och säkerhetspolitiken.
EU-domstolen har ansett att dataskyddsdirektivet ska ha ett brett tillämpningsområde, se dom Lindqvist, C-101/01, EU:C:2003:596, punkterna 34-35 och 44. Det finns ingenting i dataskyddsförordningen som antyder att unionslagstiftaren har avsett att inskränka det materiella tillämpningsområdet för dataskyddsförordningen jämfört med direktivet. Exakt vilka verksamheter som faller utanför unionsrättens tillämpningsområde och därmed inte omfattas av förordningens bestämmelser om behandling av personuppgifter är dock inte helt klart, förutom när det gäller verksamhet rörande nationell säkerhet som uttryckligen nämns i skälen. Även en restriktiv tolkning av undantaget från förordningens tillämpningsområde bör emellertid innebära att det inom den offentliga sektorn också finns annan verksamhet som faller utanför unionsrättens tillämpningsområde.
Anledningen till att personuppgiftslagen gjordes generellt tillämplig var bl.a. att det ansågs särskilt viktigt med ett starkt integritetsskydd för personuppgifter inom all offentlig verksamhet. Vidare ansågs den lösningen garantera att behovet av särregler i förhållande till personuppgiftslagen alltid övervägs noga i den ordning som krävs för författningsgivning (prop. 1997/98:44 s. 40-41). Dessa skäl är enligt regeringens bedömning alltjämt aktuella.
Sverige har vidare gjort vissa andra internationella åtaganden att skydda enskilda individers personliga integritet. Sverige har bl.a. tillträtt Europarådets dataskyddskonvention (CETS 108) som ställer krav på att konventionsstaterna har en generellt tillämplig reglering om dataskydd. När personuppgiftslagen upphävs måste det därför införas en reglering om dataskydd för det område som inte omfattas av det nya EU-regelverket. Utredningen föreslår att detta ska åstadkommas genom att dataskyddsförordningen görs tillämplig inom detta område.
Vissa remissinstanser, bl.a. Centrala studiestödsnämnden och Förvaltningsrätten i Stockholm, efterlyser en mer utförlig motivering till förslaget. Som konstateras ovan är det vanskligt att bedöma närmare var gränserna för unionsrättens tillämpningsområde går. Det är därför svårt att klart avgränsa vilka verksamheter som behöver en komplett nationell dataskyddsreglering. Dessa svårigheter kan undvikas med utredningens förslag. Att utsträcka förordningens tillämpningsområde har också den fördelen att en myndighet som ägnar sig både åt verksamhet som faller inom unionsrättens tillämpningsområde och verksamhet som skulle kunna anses falla utanför denna, inte behöver definiera denna gräns utan i stället kan tillämpa ett och samma regelverk.
Sveriges advokatsamfund anser att det är vanskligt att utvidga dataskyddsförordningens tillämpning till den gemensamma utrikes- och säkerhetspolitiken, eftersom rådet med stöd av artikel 39 i fördraget om Europeiska unionen har befogenhet att anta beslut om bestämmelser om behandling av personuppgifter i medlemsstaterna på detta område. Det kan dock konstateras att rådet ännu inte har antagit några sådana bestämmelser. För det fall att rådet skulle göra det kan detta hanteras genom att bestämmelser som avviker från dataskyddslagen tas in i en förordning beslutad med stöd av regeringens restkompetens, se avsnitt 5.1.3. Regeringen bedömer därför att de farhågor som Sveriges advokatsamfund hyser inte utgör skäl att frångå utredningens förslag.
Regeringen anser därför, i likhet med utredningen, att förordningens bestämmelser om behandling av personuppgifter bör utsträckas till att gälla även vid sådan behandling av personuppgifter som enligt artikel 2.2 a och b inte omfattas av dataskyddsförordningens tillämpningsområde. Bestämmelserna i dataskyddslagen bör också gälla i dessa fall. Se dock nedan om undantag samt avsnitt 18 om ikraftträdande- och övergångsbestämmelser.
Lagrådet anser att den nu aktuella paragrafen bör utformas så att verksamhet som omfattas av avdelning V kapitel 2 i fördraget om Europeiska unionen anges före verksamhet som inte omfattas av unionsrätten. Regeringen anser emellertid att de verksamheter som ska omfattas av det utsträckta tillämpningsområdet bör anges i samma ordning som i artikel 2.2 i dataskyddsförordningen. Någon ändring i förhållande till lagrådsremissen föreslås därför inte i denna del.
Utredningen föreslår att dataskyddsförordningen ska gälla i tillämpliga delar inom det utsträckta tillämpningsområdet. Anledningen till detta är att det finns bestämmelser i förordningen som inte kan tillämpas utanför dess egentliga tillämpningsområde. Som utredningen påpekar är det inte möjligt att i nationell rätt ålägga tillsynsmyndigheter i andra länder att samarbeta med den svenska tillsynsmyndigheten. De bestämmelser som ålägger tillsynsmyndigheterna en skyldighet att samarbeta är således inte tillämpliga. Däremot finns det förstås ingenting som hindrar att den svenska tillsynsmyndigheten söker sådant samarbete, om det i det enskilda fallet skulle vara värdefullt. Vidare är det inte möjligt att genom nationell rätt ge Europeiska dataskyddsstyrelsen behörighet att t.ex. utfärda riktlinjer och rekommendationer inom det område där EU inte har befogenheter i enlighet med fördragen. Det är inte heller möjligt att ge kommissionen rätt att anta delegerade akter eller att ålägga kommissionen andra uppgifter. Även i lagrådsremissen föreslås att förordningen ska gälla i tillämpliga delar inom det utsträckta tillämpningsområdet
Som Lagrådet påpekar kommer emellertid denna begränsning att gälla även om det inte anges i bestämmelsen. Att förordningen ska gälla i tillämpliga delar behöver därmed inte anges i lagtexten. Regeringen anser inte heller, till skillnad från Försvarsmakten, Lunds universitet och Sveriges advokatsamfund, att det är lämpligt att i detalj ange i lagtexten vilka bestämmelser i förordningen som är tillämpliga.
Enligt regeringens bedömning bör den föreslagna ordningen inte föranleda några tillämpningssvårigheter som Centrala studiestödsnämnden befarar, eftersom det inte råder något tvivel om att alla materiella bestämmelser som rör den registrerades rättigheter och den personuppgiftsansvariges skyldigheter och ansvar kan tillämpas.
Viss verksamhet bör undantas från det utsträckta tillämpningsområdet
I avsnitt 5.1.3 föreslår regeringen att dataskyddslagen ska vara subsidiär till avvikande bestämmelser i annan lag eller i förordning. Det är således möjligt att genom sektorsspecifik författning göra undantag från den föreslagna bestämmelsen om utsträckt tillämpning av dataskyddsförordningens bestämmelser, om det för en viss verksamhet anses vara mer lämpligt med en heltäckande nationell reglering. Det finns också möjlighet att i en sådan författning göra undantag endast från vissa bestämmelser i dataskyddsförordningen som inte bör gälla i den aktuella verksamheten. Detta motsvarar den ordning som gäller i dag, eftersom personuppgiftslagen är generellt tillämplig men subsidiär till avvikande bestämmelser i annan lag eller förordning.
Det finns inom det utsträckta tillämpningsområdet ett fåtal författningar som avser behandling av personuppgifter i verksamhet som rör nationell säkerhet. Dessa avser bl.a. behandling av personuppgifter hos Försvarsmakten (lagen om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst) och Försvarets radioanstalt (lagen om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet). Båda dessa författningar gäller i stället för personuppgiftslagen. Utanför lagarnas respektive tillämpningsområden tillämpas dock personuppgiftslagen hos Försvarsmakten och Försvarets radioanstalt. Lagarna är för närvarande föremål för översyn, men detta arbete kommer inte att vara slutfört den 25 maj 2018.
Inom det utsträckta tillämpningsområdet för dataskyddsförordningen ligger också delar av Säkerhetspolisens verksamhet. Behandling av personuppgifter i denna verksamhet, som rör nationell säkerhet, regleras av 6 kap. polisdatalagen (2010:361). Utredningen om 2016 års dataskyddsdirektiv (Ju 2016:06) föreslår i sitt slutbetänkande, SOU 2017:74, att det ska införas en ny lag om Säkerhetspolisens behandling av personuppgifter och att 6 kap. polisdatalagen ska upphävas. Utredningen bedömer att Säkerhetspolisens verksamhet är av sådan karaktär att det med hänsyn både till effektivitets- och integritetsskäl krävs en reglering som avviker från dataskyddsförordningen. Utredningen föreslår därför att dataskyddslagen, och därmed den bestämmelse som utsträcker dataskyddsförordningens tillämpningsområde, inte ska gälla vid behandling som rör nationell säkerhet i Säkerhetspolisens brottsbekämpande och lagförande verksamhet. Förslaget är för närvarande föremål för beredning inom Regeringskansliet, men kommer inte att vara genomfört den 25 maj 2018.
Regeringen anser att det med hänsyn till rikets säkerhet inte är lämpligt att låta dataskyddsförordningen bli tillämplig även inom de mest känsliga verksamhetsområdena innan den pågående översynen av författningarna på försvarsområdet och beredningen av förslagen rörande Säkerhetspolisen har avslutats. Detta bör, som Försvarsmakten och Försvarets radioanstalt förordar, åstadkommas genom undantag från den bestämmelse som utsträcker dataskyddsförordningens tillämpningsområde. I verksamhet som omfattas av lagen om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst, lagen om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet samt 6 kap. polisdatalagen bör därför den bestämmelse som utsträcker dataskyddsförordningens tillämpningsområde inte gälla. Frågan har beretts med Säkerhetspolisen, Datainspektionen, Säkerhets- och integritetsskyddsnämnden, Försvarsmakten, Försvarets radioanstalt, Totalförsvarets rekryteringsmyndighet och Myndigheten för samhällsskydd och beredskap, som inte invänder mot förslaget.
Sammanfattande bedömning
Regeringen anser således i likhet med utredningen att bestämmelserna i dataskyddsförordningen och i dataskyddslagen bör gälla även vid behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten och i verksamhet som omfattas av avdelning V kapitel 2 i fördraget om Europeiska unionen. Dataskyddsförordningen och dataskyddslagen bör dock inte gälla i verksamhet som omfattas av lagen om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst, lagen om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet samt 6 kap. polisdatalagen.
Sverige har inte överlåtit beslutskompetens till EU inom de områden där dataskyddsförordningens bestämmelser ska gälla enligt förslaget i denna del. Om förordningen ändras bör därför den svenska lagstiftaren ta ställning till om dessa ändringar ska få genomslag även på de områden som är undantagna från förordningens tillämpningsområde. Hänvisningen till förordningen i den nu aktuella bestämmelsen i dataskyddslagen bör därför vara statisk, dvs. avse den ursprungliga lydelsen av förordningen.
6.1.2 Bestämmelserna om personuppgiftsincidenter ska inte gälla om incidenten rör rikets säkerhet
Regeringens förslag: Bestämmelserna i EU:s dataskyddsförordning om anmälan till tillsynsmyndigheten av en personuppgiftsincident samt information till den registrerade om en sådan incident ska inte tillämpas i fråga om incidenter som ska rapporteras enligt säkerhetsskyddslagen eller föreskrifter som har meddelats i anslutning till den lagen.
Utredningen föreslår inte något sådant undantag.
Remissinstanserna: Säkerhetspolisen, Försvarsmakten och Försvarets radioanstalt invänder mot utredningens förslag i den del detta innebär att dataskyddsförordningens bestämmelser om personuppgiftsincidenter ska tillämpas utanför förordningens egentliga tillämpningsområde.
Skälen för regeringens förslag
Förordningens reglering rörande personuppgiftsincidenter
En personuppgiftsincident är enligt definitionen i artikel 4.12 i dataskyddsförordningen en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. Om en sådan incident inträffar ska den personuppgiftsansvarige utan onödigt dröjsmål och, om så är möjligt, inte senare än 72 timmar efter att ha fått vetskap om den, anmäla incidenten till tillsynsmyndigheten (artikel 33). Undantag från denna anmälningsskyldighet gäller endast om det är osannolikt att incidenten medför en risk för fysiska personers rättigheter och friheter. Anmälan ska åtminstone a) beskriva personuppgiftsincidentens art, inbegripet, om så är möjligt, de kategorier av och det ungefärliga antalet registrerade som berörs samt de kategorier av och det ungefärliga antalet personuppgiftsposter som berörs, b) förmedla namnet på och kontaktuppgifterna för dataskyddsombudet eller andra kontaktpunkter där mer information kan erhållas, c) beskriva de sannolika konsekvenserna av personuppgiftsincidenten, och d) beskriva de åtgärder som den personuppgiftsansvarige har vidtagit eller föreslagit för att åtgärda personuppgiftsincidenten, inbegripet, när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekter.
Om personuppgiftsincidenten sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige utan onödigt dröjsmål informera den registrerade om personuppgiftsincidenten (artikel 34). Informationen ska innehålla en tydlig och klar beskrivning av personuppgiftsincidentens art och åtminstone de upplysningar och åtgärder som avses i artikel 33.3 b, c och d. Information till den registrerade krävs dock inte om vissa särskilt angivna villkor är uppfyllda, t.ex. om den personuppgiftsansvarige har genomfört lämpliga tekniska och organisatoriska skyddsåtgärder och dessa åtgärder tillämpats på de personuppgifter som påverkades av personuppgiftsincidenten, i synnerhet sådana som ska göra uppgifterna oläsbara för alla personer som inte är behöriga att få tillgång till personuppgifterna, såsom kryptering.
Enligt artikel 23 får det i unionsrätten eller nationell rätt föreskrivas ytterligare undantag från skyldigheten att informera de registrerade om en personuppgiftsincident, förutsatt att en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa vissa särskilt angivna intressen, t.ex. den nationella säkerheten eller försvaret.
Andra skyldigheter att anmäla incidenter
Skyldigheten att anmäla incidenter till tillsynsmyndigheten är en av nyheterna i dataskyddsförordningen. Någon motsvarighet finns således inte enligt personuppgiftslagen. Liknande rapporteringsskyldigheter finns däremot på andra områden i svensk rätt, bl.a. till skydd för rikets säkerhet.
Enligt 10 a § första stycket säkerhetsskyddsförordningen (1996:633) ska en myndighet skyndsamt anmäla vissa it-incidenter till den myndighet som enligt 39 § utövar tillsyn över säkerhetsskyddet, dvs. till Försvarsmakten eller Säkerhetspolisen. Rapporteringsskyldigheten gäller bl.a. om incidenten allvarligt kan påverka säkerheten i ett informationssystem där hemliga uppgifter behandlas i en omfattning som inte är ringa eller om incidenten allvarligt kan påverka säkerheten i ett informationssystem som särskilt behöver skyddas mot terrorism. Med uttrycket hemliga uppgifter avses i säkerhetsskyddsförordningen uppgifter som omfattas av sekretess enligt offentlighets- och sekretesslagen och som rör rikets säkerhet.
Enligt 20 § förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap (krisberedskapsförordningen) ska en myndighet till Myndigheten för samhällsskydd och beredskap skyndsamt rapportera it-incidenter som inträffat i myndighetens informationssystem och som allvarligt kan påverka säkerheten i den informationshantering som myndigheten ansvarar för eller i tjänster som myndigheten tillhandahåller åt en annan organisation. Denna rapporteringsskyldighet omfattar dock inte sådana incidenter som ska rapporteras enligt 10 a § säkerhetsskyddsförordningen.
Utredningen om genomförande av NIS-direktivet (Ju 2016:11) föreslår i sitt betänkande (SOU 2017:36) en ny lag om informationssäkerhet för vissa tillhandahållare av samhällsviktiga tjänster och digitala tjänster. Förslaget innebär bl.a. att leverantörer av samhällsnyttiga tjänster utan onödigt dröjsmål ska rapportera incidenter som har en betydande inverkan på kontinuiteten i den samhällsviktiga tjänst som de tillhandahåller. Rapporteringen ska göras till Myndigheten för samhällsskydd och beredskap. Bestämmelserna i den föreslagna lagen ska emellertid inte tillämpas på verksamhet som är av betydelse för Sveriges säkerhet. Detta innebär att den rapportering av it-incidenter som myndigheter är skyldiga att göra enligt 10 a § säkerhetsskyddsförordningen även fortsättningsvis ska rapporteras enligt säkerhetsskyddsförordningen och inte enligt den nya lagen (SOU 2017:36 s. 95).
Utredningen om 2016 års dataskyddsdirektiv lämnar i sitt delbetänkande (SOU 2017:29) förslag till en ny brottsdatalag. Förslaget innebär bl.a. att en personuppgiftsincident ska anmälas till tillsynsmyndigheten, utom i de fall där incidenten rör nationell säkerhet. Om incidenten rör nationell säkerhet ska den personuppgiftsansvarige inte heller vara skyldig att underrätta den registrerade om incidenten. Utredningen om 2016 års dataskyddsdirektiv anför att behovet av att skydda hemliga uppgifter som rör Sveriges säkerhet är så viktigt att endast den myndighet som utövar tillsyn över säkerhetsskyddet ska få ta del av den. Även om den rapporteringen har ett annat syfte än rapporteringen av personuppgiftsincidenter, anser utredningen att behovet av skydd för uppgifter som rör Sveriges säkerhet väger tyngre än behovet av att skydda enskilda från eventuella intrång i den personliga integriteten. Eftersom nationell säkerhet ligger utanför direktivets tillämpningsområde anser utredningen att sådana personuppgiftsincidenter som ska anmälas enligt 10 a § säkerhetsskyddsförordningen inte bör anmälas till tillsynsmyndigheten (SOU 2017:29 s. 337).
Bör förordningens bestämmelser om personuppgiftsincidenter gälla i all verksamhet som inte omfattas av unionsrätten?
Av säkerhetsskyddsskäl måste det, vilket Säkerhetspolisen framhåller, ställas höga krav på informationssäkerheten för uppgifter som kan avslöja svagheter i skyddet av uppgifter som rör rikets säkerhet eller mot terrorism, i synnerhet när uppgifterna kan ge en samlad bild av sådana svagheter. Som Försvarsmakten påpekar kommer dokumentation kring incidenter att visa på sårbarheter i berörda system och kan t.ex. visa på hur man kan kringgå skyddsåtgärder för att få obehörig tillgång till systemen. Kunskap om en personuppgiftsincident kan på så vis ge en motståndare uppgifter som underlättar vidare angrepp och inhämtning. Sådana uppgifter bör därför inte spridas till fler myndigheter än vad som är nödvändigt.
Incidentrapporteringen enligt säkerhetsskyddsförordningen eller krisberedskapsförordningen tar visserligen inte främst sikte på säkerhetsincidenter där personuppgifter på olika sätt röjts. Oavsett anledningen till att en it-incident rapporteras syftar en sådan rapportering till att uppmärksamma brister i skyddet av information för att därefter vidta åtgärder för att säkerställa detta. Om en it-incident inträffar i ett system med personuppgifter kommer alltså de skyddsåtgärder och säkerhetshöjande åtgärder som vidtas med anledning av incidenten att stärka skyddet även för personuppgifterna och därmed för den personliga integriteten.
Mot bakgrund av behovet av skydd för rikets säkerhet anser regeringen att det bör införas en begränsning i fråga om tillämpningen av dataskyddsförordningen utanför dess egentliga tillämpningsområde, när det gäller bestämmelserna om personuppgiftsincidenter. Eftersom dataskyddsförordningen egentligen inte gäller i verksamhet som rör nationell säkerhet, finns det heller inga unionsrättsliga hinder mot en sådan begränsning.
Frågan har beretts med Säkerhetspolisen, Datainspektionen, Säkerhets- och integritetsskyddsnämnden, Försvarsmakten, Försvarets radioanstalt, Totalförsvarets rekryteringsmyndighet och Myndigheten för samhällsskydd och beredskap, som i sak delar bedömningen att dataskyddsförordningens bestämmelser om anmälan och information om personuppgiftsincidenter inte bör gälla för incidenter som rör nationell säkerhet. Datainspektionen anser emellertid att bestämmelsen i artikel 33.5 om skyldighet att dokumentera incidenter ska gälla även i dessa fall. Regeringen, som i och för sig instämmer i att även incidenter som rör nationell säkerhet bör dokumenteras, anser dock att dataskyddsförordningens dokumentationsskyldighet inte bör gälla i fråga om incidenter som inte ska rapporteras enligt det regelverket.
När det gäller frågan om hur ett undantag från rapporteringsskyldigheten bör utformas har regeringen övervägt flera alternativ. I förslaget till brottsdatalag anges att anmälningsskyldighet inte gäller incidenter som rör nationell säkerhet. En liknande formulering återfinns även i skäl 16 till dataskyddsförordningen, som ett exempel på verksamhet som inte omfattas av unionsrätten. Det skulle mot den bakgrunden kunna anges i dataskyddslagen att artiklarna 33 och 34 i dataskyddsförordningen inte ska gälla personuppgiftsincidenter som rör nationell säkerhet. Det finns dock, som Säkerhetspolisen anför, en risk för att det skulle innebära tillämpningssvårigheter, eftersom andra begrepp används i svensk rätt rörande samma sak. Som exempel kan nämnas att begreppet rikets säkerhet används i säkerhetsskyddslagen (1996:627). Det begreppet har dock i svensk rätt successivt ersatts av uttrycket Sveriges säkerhet, bl.a. i 19 kap. brottsbalken. I regeringens lagrådsremiss, Ett modernt och stärkt skydd för Sveriges säkerhet - ny säkerhetsskyddslag, föreslås att uttrycket Sveriges säkerhet ska ersätta rikets säkerhet även i säkerhetsskyddslagen.
Säkerhetspolisen och Försvarets radioanstalt föreslår i sina remissvar över betänkandet att det av dataskyddslagen bör framgå att artiklarna 33 och 34 i dataskyddsförordningen inte ska gälla personuppgiftsincidenter som ska rapporteras enligt 10 a § säkerhetsskyddsförordningen. Regeringen anser dock inte att det är lämpligt att i lag hänvisa till en förordning. Undantaget bör i stället ange att artiklarna 33 och 34 inte ska tillämpas i fråga om incidenter som ska rapporteras enligt säkerhetsskyddslagen eller föreskrifter som har meddelats i anslutning till den lagen.
6.2 Dataskyddslagens tillämpning vid gränsöverskridande behandling
Regeringens förslag: Dataskyddslagen ska gälla vid behandling av personuppgifter som utförs inom ramen för verksamhet som bedrivs vid personuppgiftsansvarigas och personuppgiftsbiträdens verksamhetsställen i Sverige. Lagen ska även gälla för personuppgiftsansvariga som inte är etablerade i Sverige, men på en plats där svensk rätt gäller enligt folkrätten. Lagen ska också gälla för personuppgiftsansvariga och personuppgiftsbiträden som endast är etablerade i tredje land, om behandlingen har anknytning till utbjudande av varor eller tjänster till registrerade i Sverige eller övervakning av registrerades beteende i Sverige.
Dataskyddslagens reglering om barns samtycke till behandling av personuppgifter vid erbjudande av informationssamhällets tjänster ska gälla alla barn som bor i Sverige, oavsett var de personuppgifts-ansvariga eller personuppgiftsbiträdena är etablerade.
Utredningen föreslår inte någon sådan bestämmelse.
Promemorians förslag överensstämmer i sak med regeringens.
Remissinstanserna: Det stora flertalet remissinstanser tillstyrker förslaget i promemorian eller har inga synpunkter på det. Umeå universitet är inte övertygat om att etableringslandsprincipen leder till färre problem och anser att frågan bör utredas grundligt. Sveriges advokatsamfund avstyrker förslaget i den del som innebär att effektlandsprincipen ska gälla som utgångspunkt för dataskyddslagens territoriella tillämpningsområde. Förvaltningsrätten i Stockholm uppfattar förslaget som att vissa situationer hamnar utanför tillämpningsområdet och efterlyser mer problematiserande överväganden kring det. Lunds universitet invänder mot uttrycket barn som bor i Sverige och förordar i stället uttrycket varaktigt vistas. Även Uppsala universitet invänder mot uttrycket barn som bor i Sverige. Universitet har också synpunkter på formuleringen på en plats där svensk rätt gäller enligt folkrätten och förordar som enligt folkrätten lyder under svensk rätt eller som enligt folkrätten ska följa svensk rätt.
Skälen för regeringens förslag
Dataskyddslagens territoriella tillämpningsområde bör regleras
Behandling av personuppgifter är i många fall en gränsöverskridande aktivitet. Det är t.ex. inte ovanligt att den som behandlar personuppgifter om personer i Sverige inte själv är etablerad genom ett verksamhetsställe i landet. På motsvarande sätt kan svenska företag och organisationer behandla personuppgifter om individer i andra länder utan att ha något verksamhetsställe där. I dessa situationer uppkommer fråga om vilket lands lag som ska tillämpas - den lag som gäller i den registrerades land (effektlandsprincipen) eller den lag som gäller i det land där den personuppgiftsansvarige är etablerad (etableringslandsprincipen). Dataskyddsförordningen innehåller inte några regler om vilken nationell rätt som ska gälla vid gränsöverskridande personuppgiftsbehandling.
Det är ur ett tillämpningsperspektiv viktigt att det står klart i vilka fall dataskyddslagen gäller vid gränsöverskridande behandling av personuppgifter. Utan reglering av det territoriella tillämpningsområdet kommer det att råda osäkerhet i denna fråga. Av rättssäkerhetsskäl bör det därför införas en uttrycklig bestämmelse om det territoriella tillämpningsområdet i dataskyddslagen.
En reglering som följer förordningens principer
Etableringslandsprincipen kan sägas vara utgångspunkten i dataskyddsförordningens reglering om det territoriella tillämpningsområdet (artikel 3.1 och 3.3). Ett val av etableringslandsprincipen som huvudregel för dataskyddslagens tillämpningsområde skulle således harmoniera väl med regleringen i förordningen. Till skillnad från Umeå universitet bedömer regeringen inte att en sådan ordning skulle riskera att leda till otillbörlig konkurrenspåverkan. Det kan också konstateras att personuppgiftslagens reglering om tillämpningsområdet utgår från etableringslandsprincipen (4 § PUL). Ett val av denna princip skulle således även innebära en kontinuitet i förhållande till den nuvarande regleringen. Det kan också noteras att det vid möten i kommissionens expertgrupp har framkommit att kommissionen förordar etableringslandsprincipen samt att flertalet medlemsstater avser att välja denna princip som utgångspunkt för sin nationella kompletteringslagstiftning, se Kompletterande promemoria till betänkandet Ny dataskyddslag (SOU 2017:39), Ju2017/04264/L6.
Mot denna bakgrund bör etableringslandsprincipen gälla som utgångspunkt för dataskyddslagens territoriella tillämpningsområde. Det saknar därmed betydelse var behandlingen faktiskt utförs och var den registrerade befinner sig. Omvänt bör lagen, enligt huvudregeln, inte gälla för personuppgiftsansvariga som saknar verksamhetsställe i Sverige, även om de behandlar uppgifter om personer i Sverige.
I den svenska språkversionen av dataskyddsförordningen anges i artikel 3.1 att förordningen ska tillämpas på behandling av personuppgifter inom ramen för verksamhet som bedrivs av personuppgiftsansvariga och personuppgiftsbiträden som är etablerade i unionen eller på en plats där en medlemsstats nationella rätt gäller enligt folkrätten, oavsett om behandlingen utförs i unionen eller inte. Vid en jämförelse med andra språkversioner framgår dock att avsikten är att förordningen endast ska tillämpas vid behandling som sker inom ramen för den verksamhet som bedrivs på verksamhetsställen i unionen. Om en personuppgiftsansvarig är etablerad såväl inom som utanför unionen, ska förordningen således inte tillämpas på den behandling som sker endast inom ramen för den verksamhet som bedrivs vid verksamhetsstället i tredjeland. Justitiedepartementet har mot denna bakgrund gett in en begäran om korrigering av den svenska lydelsen av artikel 3.1 (Ju2016/00482/L6).
På motsvarande sätt bör lagen vara tillämplig endast i fråga om behandling som utförs inom ramen för den verksamhet som bedrivs vid ett verksamhetsställe i Sverige. Den bör således inte gälla för behandling som utförs endast inom ramen för verksamhet som den personuppgiftsansvarige bedriver vid ett verksamhetsställe i ett annat EU-land, även om den personuppgiftsansvarige också har ett verksamhetsställe i Sverige.
Förvaltningsrätten i Stockholm förstår förslaget på så sätt att både den behandling av personuppgifter som utförs av personuppgiftsansvariga med etablering i Sverige och verksamhetsställe i en annan medlemsstat och den behandling som utförs av de som har etablering i en annan medlemsstat och verksamhetsställe i Sverige faller utanför lagens tillämpningsområde. Förvaltningsrättens synpunkter tycks bygga på uppfattningen att en personuppgiftsansvarig endast kan vara etablerad i ett land samt att en personuppgiftsansvarig kan ha ett verksamhetsställe i ett land utan att vara etablerad där. Regeringen finner mot den bakgrunden anledning att understryka att en personuppgiftsansvarig kan ha verksamhetsställen, och därmed vara etablerad i dataskyddsförordningens mening, i flera stater. En personuppgiftsansvarig som har ett verksamhetsställe i Sverige anses således etablerad här. På motsvarande sätt kan en personuppgiftsansvarig inte anses etablerad i Sverige utan att ha ett verksamhetsställe här. Förslagets innebörd är att etablering i Sverige inte är en tillräcklig förutsättning för att lagen ska gälla. Lagen ska nämligen vara tillämplig bara i fråga om behandling som utförs inom ramen för den verksamhet som bedrivs vid verksamhetsstället i Sverige. Detta bör förtydligas i enlighet med Lagrådets förslag.
Dataskyddsförordningen är enligt artikel 3.3 tillämplig på behandling av personuppgifter som utförs av en personuppgiftsansvarig som inte är etablerad i unionen, men på en plats där en medlemsstats nationella rätt gäller enligt folkrätten. Som exempel nämns i skäl 25 en medlemsstats diplomatiska beskickning eller konsulat. På motsvarande sätt bör dataskyddslagen vara tillämplig vid behandling av personuppgifter som utförs av personuppgiftsansvariga som inte är etablerade i Sverige, men som är etablerade på en plats där svensk rätt gäller enligt folkrätten, t.ex. vid svenska utlandsmyndigheter. Uppsala universitet invänder mot den föreslagna formuleringen och anser att ordet plats är alltför likt ordet ort, som avser en geografisk plats. Regeringen anser dock att den ordalydelse som används i förordningen också bör användas i lagen, för att det ska vara tydligt att innebörden är densamma.
Dataskyddsförordningen är i vissa fall tillämplig även för personuppgiftsansvariga och personuppgiftsbiträden som inte alls är etablerade inom EU. Enligt artikel 3.2 är förordningen tillämplig, trots att etablering inom unionen saknas, om behandlingen avser registrerade i unionen och har anknytning till antingen utbjudande av varor eller tjänster till registrerade i unionen eller övervakning av registrerades beteende i unionen. Enligt dataskyddsförordningen gäller således i dessa fall effektlandsprincipen. Eftersom dataskyddsförordningen måste kompletteras av nationell rätt, t.ex. i fråga om rättsmedel, kommer frågan att uppstå om vilken nationell lag som ska gälla. Det framstår i en sådan situation som lämpligast att den nationella regleringen utgår från samma princip som förordningen när det gäller personuppgiftsansvariga och personuppgiftsbiträden som inte är etablerade inom EU. Detta innebär att dataskyddslagen i sådana fall bör gälla vid behandling av personuppgifter som avser registrerade som befinner sig i Sverige, om behandlingen har anknytning till antingen utbjudande av varor eller tjänster till registrerade i Sverige eller övervakning av registrerades beteende i Sverige. Detta innebär i praktiken att dataskyddslagen kommer att gälla i de situationer då dataskyddsförordningen är tillämplig i fråga om behandling som avser registrerade i Sverige och som utförs av personuppgiftsansvariga som endast är etablerade i tredjeland.
Sveriges advokatsamfund förordar att etableringsprincipen ska gälla även i fråga om behandling som utförs av en personuppgiftsansvarig som inte är etablerad i unionen och som omfattas av dataskyddsförordningen enligt artikel 3.2. Advokatsamfundet påpekar att frågan om den territoriella räckvidden hos dataskyddsdirektivet inom den närmaste tiden kommer att prövas av EU-domstolen och att prövningen kan resultera i att EU-domstolen konstaterar att en utsträckning av tillämpningsområdet utanför unionen kommer i konflikt med folkrätten (mål nr C-136/17). Regeringen kan i det sammanhanget konstatera att dataskyddslagen kompletterar dataskyddsförordningen och kan alltså inte tillämpas självständigt. Om dataskyddsförordningen inte skulle vara tillämplig i de situationer som avses i artikel 3.2 kommer inte heller en tillämpning av dataskyddslagen att kunna aktualiseras.
Samma åldersgräns för samtycke bör gälla för alla barn som bor i Sverige
Regeringen föreslår i avsnitt 9 att barn som har fyllt 13 år själva ska kunna lämna samtycke till behandling av personuppgifter vid erbjudande av informationssamhällets tjänster. Bestämmelsen utgör ett undantag från den 16-årsgräns som regleras i artikel 8 i dataskyddsförordningen. Denna bestämmelses tillämpningsområde bör inte följa etableringslandsprincipen, eftersom det skulle kunna leda till olika åldersgränser för barn i Sverige beroende på vilken åldersgräns som valts i tjänsteleverantörens etableringsland. Det skulle också kunna leda till otillbörliga lättnader för företag och organisationer som är etablerade i Sverige och som riktar sig till barn i andra länder. Dessutom vore det olämpligt av Sverige att införa en sänkt åldersgräns som skulle kunna åberopas vid personuppgiftsbehandling avseende barn i andra medlemsstater, där lagstiftaren gjort en annan bedömning av vilken åldersgräns som bör gälla.
Mot denna bakgrund bör bestämmelsen om barns samtycke gälla vid behandling av personuppgifter som avser barn som bor i Sverige, oavsett var de personuppgiftsansvariga eller deras biträden är etablerade. Detta hindrar inte det fria flödet av personuppgifter, eftersom den sänkta åldersgränsen utgör en lättnad för de personuppgiftsansvariga i förhållande till deras skyldigheter enligt förordningen.
Lunds universitet och Uppsala universitet anser att uttrycket bor i Sverige är alltför vagt. Regeringen anser dock att det i detta sammanhang är angeläget att använda ett uttryck som var och en förstår innebörden av, inte minst de barn som berörs av bestämmelsen. Begreppet bor är av det skälet att föredra framför varaktigt vistas eller hemvist. Som framgår av promemorian ska ett barn inte anses bo i Sverige om det endast är på genomresa eller besök i landet. Detta torde också överensstämma med hur begreppet bor används i vanligt språkbruk. Det ska däremot inte krävas att barnet är folkbokfört i landet, att det redan har vistats i Sverige under en viss tidsperiod eller att det har beviljats uppehållstillstånd här. Även asylsökande barn i Sverige omfattas således av bestämmelsen.
7 Förhållandet till yttrande- och informationsfriheten
7.1 Förhållandet till tryckfrihetsförordningen och yttrandefrihetsgrundlagen förtydligas
Regeringens förslag: EU:s dataskyddsförordning och dataskyddslagen ska inte tillämpas i den utsträckning det skulle strida mot tryckfrihetsförordningen eller yttrandefrihetsgrundlagen.
Utredningens förslag överensstämmer i huvudsak med regeringens. Utredningen föreslår att dataskyddsförordningen och dataskyddslagen inte ska tillämpas i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen.
Remissinstanserna: Det stora flertalet remissinstanser tillstyrker förslaget eller har inga synpunkter på det. Flera remissinstanser, bl.a. Vetenskapsrådet, Landsorganisationen i Sverige, Sveriges akademikers centralorganisation, Sveriges Ingenjörer, Myndigheten för press, radio och TV, Tidningsutgivarna och Stiftelsen Svenska Filminstitutet, lyfter särskilt fram vikten av en tydlig reglering om undantag för grundlagsskyddad verksamhet. Mörbylånga kommun påpekar att frågor om förhållandet mellan personuppgiftslagen och offentlighetsprincipen fortfarande dyker upp i verksamheten. Forskningsrådet för hälsa, arbetsliv och välfärd framhåller att det är ytterst angeläget att den svenska offentlighetsprincipen inte förändras av dataskyddslagen. Datainspektionen ifrågasätter förslagets förenlighet med EU-rätten och föreslår att bestämmelsen ska utgå. Enligt Datainspektionen ger dataskyddsförordningen inte utrymme för ett sådant generellt undantag i nationell rätt som föreslås. Datainspektionen framhåller vidare att myndigheten tidigare påpekat de risker som grundlagsskyddet medför för integritetsskyddet, särskilt avseende personuppgiftsbehandling på internet som omfattas av utgivningsbevis för databaser. Kommerskollegium, som delar utredningens bedömning om att undantag från vissa av dataskyddsförordningens bestämmelser får göras, ifrågasätter upplysningsbestämmelsens breda formulering och menar att den kan strida mot principen om EU-rättens företräde. Södertörns tingsrätt anser att ökad digitalisering och utveckling av vissa typer av databaser ger anledning till inskränkningar på det grundlagsskyddade området och hänvisar bl.a. till de förslag som lämnas i betänkandet Ändrade mediegrundlagar (SOU 2016:58). Stiftelsen för internetinfrastruktur anser att utredningens förslag inte löser problemet med att aktörer ansöker om utgivningsbevis för webbplatser för att undkomma personuppgiftslagens bestämmelser, t.ex. för behandling av personuppgifter som rör lagöverträdelser.
Skälen för regeringens förslag: Enligt artikel 9 i dataskyddsdirektivet ska medlemsstaterna, med avseende på behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande, besluta om undantag och avvikelser från delar av direktivet endast om de är nödvändiga för att förena rätten till privatlivet med reglerna om yttrandefriheten. Vid genomförandet av dataskyddsdirektivet gjorde regeringen bedömningen att tryckfrihetsförordningen och yttrandefrihetsgrundlagen inte behövde ändras (prop. 1997/98:44 s. 50). I 7 § första stycket PUL infördes en upplysningsbestämmelse som anger att bestämmelserna i lagen inte ska tillämpas i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihetsförordningen och yttrandefrihetsgrundlagen. Det innebär bl.a. att de grundlagsskyddade rättigheterna att framställa och sprida yttranden samt meddelar- och anskaffarfriheten undantas från personuppgiftslagens tillämpningsområde.
I dataskyddsförordningen regleras förhållandet till yttrande- och informationsfriheten i artikel 85.1. Där anges att medlemsstaterna i sin nationella lagstiftning ska förena rätten till integritet i enlighet med förordningen med rätten till yttrande- och informationsfrihet, inbegripet personuppgiftsbehandling för journalistiska ändamål samt för akademiskt, konstnärligt eller litterärt skapande. Vid behandling för sådana ändamål ska medlemsstaterna enligt artikel 85.2 föreskriva om undantag eller avvikelser från i artikeln angivna delar av förordningens bestämmelser, om det är nödvändigt för att förena rätten till integritet med yttrande- och informationsfriheten.
Enligt regeringens bedömning ger regleringen i artikel 85 i dataskyddsförordningen ett något större utrymme för undantag än direktivet, bl.a. genom att det inte längre krävs att behandling ska ske uteslutande för journalistiska ändamål för att undantag ska kunna göras. Därutöver anger skäl 153 att begreppet yttrandefrihet måste ges en bred tolkning för att beakta vikten av rätten till yttrandefrihet i varje demokratiskt samhälle. Regeringen bedömer mot denna bakgrund, till skillnad från Datainspektionen och Kommerskollegium, att den unionsrättsliga dataskyddsregleringen även fortsättningsvis ger utrymme för bestämmelserna om tryck- och yttrandefrihet i tryckfrihetsförordningen och yttrandefrihetsgrundlagen. Med anledning av Södertörns tingsrätts och Datainspektionens synpunkter kan framhållas att regeringen i propositionen Ändrade mediegrundlagar (prop. 2017/18:49) gör bedömningen att det med hänsyn till skyddet för den personliga integriteten finns skäl att begränsa grundlagsskyddet för vissa söktjänster som innehåller personuppgifter av särskilt integritetskänslig karaktär. I propositionen föreslår regeringen därför att det införs bestämmelser i tryckfrihetsförordningen och yttrandefrihetsgrundlagen som ger utrymme att under vissa förutsättningar i lag föreskriva om förbud mot offentliggörande av sådana personuppgifter, om de är tillgängliga på ett sätt som innebär särskilda risker för intrång i enskildas personliga integritet.
Frågan är då om det finns behov av en bestämmelse i dataskyddslagen som tydliggör förhållandet mellan dataskyddsförordningen och bestämmelserna om tryck- och yttrandefrihet i tryckfrihetsförordningen och yttrandefrihetsgrundlagen. Som utredningen och flera remissinstanser konstaterar är det angeläget att dataskyddsförordningens och dataskyddslagens bestämmelser inte ger upphov till osäkerhet kring möjligheterna till personuppgiftsbehandling på det grundlagsskyddade området. En sådan osäkerhet skulle kunna påverka vitala delar av opinionsskapande verksamhet som är av grundläggande betydelse för demokratin och som skyddas genom bl.a. censurförbudet och meddelarfriheten. Som utredningen konstaterar innebär det förhållandet att den unionsrättsliga dataskyddsregleringen är en direkt tillämplig förordning, som dessutom kan leda till kännbara sanktionsavgifter, ett än större behov av ett förtydligande av förhållandet till tryck- och yttrandefrihetsregleringen. Regeringen instämmer därför i utredningens bedömning att det bör införas en bestämmelse som tydliggör att dataskyddsförordningen och dataskyddslagen inte ska tillämpas i den utsträckning det skulle strida mot grundlagsregleringen om tryck- och yttrandefrihet.
Utredningen föreslår inte att det ska införas någon bestämmelse om dataskyddsregelverkets förhållande till handlingsoffentligheten. Som bl.a. Mörbylånga kommun ger uttryck för är det emellertid angeläget att även förhållandet mellan dataskyddsregelverket och offentlighetsprincipen är tydligt. Förhållandet till offentlighetsprincipen regleras i dag i skäl 72 i dataskyddsdirektivet, där det anges att det är möjligt att vid genomförandet av direktivet ta hänsyn till principen om allmänhetens tillgång till allmänna handlingar. Som framgår ovan gjorde regeringen vid genomförandet av dataskyddsdirektivet bedömningen att tryckfrihetsförordningen inte behövde ändras. I 8 § PUL infördes en bestämmelse som förtydligade förhållandet till offentlighetsprincipen. Av bestämmelsen framgår att lagens bestämmelser inte ska tillämpas i den utsträckning det skulle inskränka en myndighets skyldighet att enligt 2 kap. TF lämna ut personuppgifter.
I dataskyddsförordningen regleras förhållandet till offentlighetsprincipen i artikel 86. Där anges att personuppgifter i allmänna handlingar som förvaras av en myndighet, ett offentligt organ eller ett privat organ för utförande av en uppgift av allmänt intresse får lämnas ut av myndigheten eller organet i enlighet med medlemsstatens nationella lagstiftning för att jämka samman allmänhetens rätt att få tillgång till allmänna handlingar med rätten till skydd för personuppgifter i enlighet med förordningen. Förordningens artikel 86 innebär till sin ordalydelse en något mer omfattande reglering än motsvarande bestämmelse i personuppgiftslagen, eftersom även offentliga organ och privata organ som förvarar allmänna handlingar för utförande av en uppgift av allmänt intresse omfattas. Av skäl 154 i förordningen framgår att allmänhetens rätt att få tillgång till handlingar kan betraktas som ett allmänt intresse och att handlingarna bör kunna lämnas ut offentligt om utlämning stadgas i den nationella lagstiftningen. Vidare anges att den nationella rätten bör sammanjämka allmänhetens rätt att få tillgång till allmänna handlingar och vidareutnyttjande av information från den offentliga sektorn med rätten till skydd för personuppgifter samt att nationell lagstiftning därför får innehålla föreskrifter om den nödvändiga sammanjämkningen med rätten till skydd för personuppgifter enligt förordningen.
Enligt regeringens bedömning ger regleringen i förordningen ett ännu tydligare stöd än dataskyddsdirektivet för att den EU-rättsliga dataskyddsregleringen inte inkräktar på den grundlagsreglerade offentlighetsprincipen. Den nödvändiga sammanjämkning som avses i dataskyddsförordningen kommer i svensk rätt till uttryck bl.a. genom bestämmelserna i offentlighets- och sekretesslagen, som är resultatet av noggranna avvägningar mellan allmänhetens intresse av insyn i det allmännas verksamhet och den enskildes behov av skydd för sin personliga integritet.
Det tydliga stöd som dataskyddsförordningen ger skulle kunna tala för att något ytterligare förtydligande i nationell rätt inte behövs. Som konstateras ovan innebär dock det förhållandet att den unionsrättsliga dataskyddsregleringen är en direkt tillämplig förordning, som dessutom kan leda till kännbara sanktionsavgifter, att behovet av att klargöra förhållandet till grundlagarna blir ännu tydligare än i dag. Regeringen anser mot denna bakgrund att det i dataskyddslagen bör tydliggöras att dataskyddsförordningen och dataskyddslagen inte ska tillämpas i den utsträckning det skulle strida mot bestämmelserna om offentlighetsprincipen i 2 kap. TF. Utredningens förslag innebär att dataskyddsförordningen och dataskyddslagen inte ska tillämpas i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen. Genom att begränsningen till bestämmelser om tryck- och yttrandefrihet tas bort kan det klargöras att bestämmelsen även avser bestämmelserna om allmänna handlingars offentlighet i 2 kap. TF.
Regeringen föreslår alltså att det införs en bestämmelse i dataskyddslagen med innebörden att dataskyddsförordningen och dataskyddslagen inte ska tillämpas i den utsträckning det skulle strida mot tryckfrihetsförordningen eller yttrandefrihetsgrundlagen.
7.2 Undantag utanför det grundlagsskyddade området
Regeringens förslag: Bestämmelserna i EU:s dataskyddsförordning och dataskyddslagen om principer, den registrerades rättigheter, vissa skyldigheter för den personuppgiftsansvarige och personuppgiftsbiträdet, uppförandekoder och certifiering samt överföring av personuppgifter till tredjeländer eller internationella organisationer ska inte tillämpas vid behandling av personuppgifter som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande utanför tryckfrihetsförordningens och yttrandefrihetsgrundlagens tillämpningsområde. Bestämmelserna om syfte, tillämpningsområde och definitioner samt bestämmelser om säkerhet för personuppgifter, tillsyn, rättsmedel, ansvar och sanktioner ska dock tillämpas även i dessa fall.
Utredningens förslag överensstämmer i sak med regeringens.
Remissinstanserna: Det stora flertalet remissinstanser tillstyrker förslaget eller har inga synpunkter på det. Sveriges Radio AB delar utredningens bedömning och anför att rätten att informera, utöva kritik samt väcka debatt om samhällsfrågor är av central betydelse även utanför det grundlagsskyddade området. Stiftelsen Svenska Filminstitutet, som ser positivt på utredningens förslag, understryker vikten av att filmarbetare inte hämmas i sin skapandeprocess av en omfattande dataskyddsreglering. Enligt Vetenskapsrådet riskerar rådande oklarhet om innebörden av begreppet akademiskt skapande leda till tolkningsproblem och oönskade konsekvenser innan praxis hunnit utvecklats på området.
Skälen för regeringens förslag: I 7 § andra stycket PUL görs undantag från stora delar av lagens bestämmelser vid personuppgiftsbehandling som inte omfattas av tryckfrihetsförordningen eller yttrandefrihetsgrundlagen, men som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande. Undantaget har införts med stöd av artikel 9 i dataskyddsdirektivet (se avsnitt 7.1) och innebär i praktiken att bara de bestämmelser i lagen som rör tillsyn och säkerhet vid behandling ska tillämpas i sådan verksamhet. Undantagsbestämmelsen i 7 § andra stycket PUL har ansetts tillämplig exempelvis på journalistisk verksamhet utanför det grundlagsskyddade området på internet som resulterar i yttranden som endast sprids där och även för viss kommunikation som inte bedrivs av yrkesverksamma journalister (prop. 1997/98:44 s. 52-53 och NJA 2001 s. 409).
Genom artikel 85.2 i förordningen åläggs medlemsstaterna att göra vissa undantag från förordningen för behandling som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande. Undantag får dock bara göras om de är nödvändiga för att förena rätten till integritet med yttrande- och informationsfriheten. I skäl 153 i dataskyddsförordningen anges att undantag särskilt bör gälla vid personuppgiftsbehandling inom det audiovisuella området och i nyhetsarkiv samt pressbibliotek.
Begreppet akademiskt skapande är nytt och definieras inte närmare vare sig i skäl eller i artikeltext. Utredningen bedömer att begreppet inte torde omfatta forskning, eftersom personuppgiftsbehandling för forskningsändamål är särreglerad på annat sätt i förordningen. Möjligen skulle behandling i samband med själva färdigställandet och spridningen av texter med vetenskapligt innehåll kunna avses. Det är dock vanskligt att uttala sig närmare om begreppets innebörd i nuläget. Innebörden av begreppet kommer i stället att få utvecklas i praxis.
Som konstateras i avsnitt 7.1 innebär artikel 85.2 att möjligheterna till undantag från förordningen är något större än de som i dag gäller enligt dataskyddsdirektivet. Regeringen delar därför utredningens bedömning att det även fortsättningsvis finns möjlighet att ha ett undantag av det slag som finns i 7 § andra stycket PUL. Det kan konstateras att betydelsen av opinionsbildning genom alternativa kanaler såsom sociala medier, bloggar och liknande har ökat dramatiskt under senare år. Detta medför att skälen för ett undantag utanför tryckfrihetsförordningens och yttrandefrihetsgrundlagens tillämpningsområde inte har minskat och inte heller kan förutses göra det framöver. I likhet med utredningen anser regeringen därför att det bör införas ett undantag för behandling av personuppgifter som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande i den utsträckning som förordningen tillåter det.
Enligt artikel 85.2 är det inte möjligt att införa undantag beträffande kapitel I om syfte, tillämpningsområde och definitioner, kapitel VIII om rättsmedel, ansvar och sanktioner samt kapitel X och XI som innehåller genomförande- och slutbestämmelser. Förordningens bestämmelser om särskilda behandlingssituationer i kapitel IX torde knappast bli tillämpliga för den behandling som avses här, varför de inte behöver undantas uttryckligen. I likhet med vad som gäller enligt 7 § andra stycket PUL, bör undantag inte heller göras från de bestämmelser som rör säkerhet för personuppgifter och tillsyn. Sammantaget innebär detta att undantaget bör omfatta bestämmelserna i artiklarna 5-30 och 35-50 i dataskyddsförordningen, liksom de delar av dataskyddslagen som har stöd i de aktuella bestämmelserna.
8 Rättslig grund för behandling av personuppgifter
8.1 Laglig behandling
Den europeiska dataskyddsregleringen utgår från att varje behandling av personuppgifter måste vila på en rättslig grund. I dataskyddsförordningen räknas dessa rättsliga grunder upp i artikel 6.1. Behandling är enligt denna bestämmelse laglig endast om och i den mån som åtminstone ett av följande villkor är uppfyllt:
a) Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.
b) Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.
c) Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.
d) Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.
e) Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.
f) Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.
Bestämmelsen motsvarar i stora drag artikel 7 i dataskyddsdirektivet, som har genomförts i svensk rätt genom 10 § PUL. Den största skillnaden är att det enligt förordningen inte är tillåtet för myndigheter att, när de fullgör sina uppgifter, behandla personuppgifter med stöd av den rättsliga grund som utgår från en avvägning mellan den ansvariges berättigade intressen och den registrerades rättigheter och intressen (artikel 6.1 f). I detta sammanhang kan nämnas att flera remissinstanser efterfrågar en definition av begreppet myndighet. Artikel 29-arbetsgruppen för skydd av personuppgifter anser att detta begrepp bör definieras i nationell lagstiftning (Riktlinjer om dataskyddsombud, WP 243 rev.01). Regeringen bedömer mot den bakgrunden att det är regeringsformens terminologi som i Sverige bör vara utgångspunkten vid tolkningen av begreppet myndighet i dataskyddsförordningen. Enligt denna terminologi är samtliga statliga och kommunala organ myndigheter, med undantag av riksdagen, kommun- och landstingsfullmäktige. Organ som är organiserade i privaträttsliga former, t.ex. kommunala och statliga bolag, är inte myndigheter, även om de utövar offentlig makt.
Uppräkningen i artikel 6.1 är uttömmande. Om ingen av de grunder som anges där är tillämplig är behandlingen inte laglig och får därmed inte utföras. Detta gäller all behandling av personuppgifter, även sådan ostrukturerad behandling som i dag kan ske utan stöd av rättslig grund enligt missbruksregeln i 5 a § PUL. De rättsliga grunderna är i viss mån överlappande. Flera rättsliga grunder kan därför vara tillämpliga avseende en och samma behandling.
För att en behandling av personuppgifter ska vara tillåten enligt artikel 6.1 b-f måste den vara nödvändig i förhållande till den rättsliga grunden, t.ex. nödvändig för att utföra en uppgift av allmänt intresse. Enligt Svenska Akademiens Ordbok betyder det svenska ordet nödvändig att någonting absolut fordras eller inte kan underlåtas. Det unionsrättsliga begreppet har dock inte denna strikta innebörd. Nödvändighetsrekvisitet i artikel 7 i dataskyddsdirektivet har t.ex. inte ansetts utgöra ett krav på att det ska vara omöjligt att utföra en uppgift av allmänt intresse utan att behandlingsåtgärden vidtas. Detta synsätt kommer till uttryck i EU-domstolens dom i målet Huber mot Tyskland, som rörde tolkningen av motsvarande nödvändighetsrekvisit i artikel 7 e i direktivet (C-524/06, EU:C:2008:724). EU-domstolen uttalade att en myndighets förande av ett centralt register över uppgifter som redan fanns i regionala register är nödvändigt om det bidrar till att effektivisera tillämpningen av relevanta bestämmelser. Domen bör kunna utgöra stöd även vid tolkningen av dataskyddsförordningen. På motsvarande sätt bör det i dagsläget mer eller mindre regelmässigt anses vara nödvändigt att använda tekniska hjälpmedel och därmed behandla personuppgifter på automatisk väg, eftersom en manuell informationshantering inte utgör ett realistiskt alternativ för vare sig myndigheter eller företag.
Utöver det grundläggande kravet på att all behandling måste vara laglig, i betydelsen att någon av de rättsliga grunder som anges i artikel 6.1 i dataskyddsförordningen är tillämplig, omgärdas varje behandling av personuppgifter också av andra krav. Principerna för behandling av personuppgifter, dvs. vilka allmänna krav som gäller för all personuppgiftsbehandling, anges i artikel 5.1 i dataskyddsförordningen. Den bestämmelsen motsvarar i stora drag artikel 6 i dataskyddsdirektivet, som har genomförts i svensk rätt genom 9 § PUL.
Den första principen som läggs fast i artikel 5.1 är att personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (led a). Principen om laglighet kan sägas utgöra en hänvisning till de rättsliga grunderna i artikel 6.1. Såvitt avser principen om korrekthet kan det vid en jämförelse med andra språkversioner ifrågasättas om den svenska termen korrekt motsvarar avsikten med bestämmelsen. I den danska språkversionen anges i stället att uppgifterna ska behandlas rimeligt. På motsvarande sätt används i den engelska språkversionen termen fairly, vilket betyder rättvist, skäligt eller rimligt. I den franska språkversionen används termen loyale, vilken har motsvarande betydelse som engelskans fairly. I den tyska språkversionen används uttrycket Treu und Glauben, vilket brukar översättas med god tro eller tro och heder. Alla dessa termer indikerar enligt regeringens mening, tydligare än den svenska termen korrekt, att en intresseavvägning ska göras. I det enskilda fallet kan det således t.ex. vara oförenligt med principen om korrekthet att vidta en viss behandlingsåtgärd, även om denna i och för sig skulle kunna anses vara rättsligt grundad enligt artikel 6, nämligen om behandlingen är oskälig i förhållande till den registrerade.
I artikel 5.1 anges vidare att personuppgifterna ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och att de inte senare får behandlas på ett sätt som är oförenligt med dessa ändamål (led b). Principen om att ändamålen ska vara berättigade utgör i likhet med principen om laglighet en direkt koppling till de rättsliga grunderna i artikel 6.1. Ett ändamål som inte är berättigat i förhållande till den tillämpliga rättsliga grunden är således inte förenligt med artikel 5. Ett tydligt angivet ändamål är för övrigt som regel en förutsättning för att man ska kunna bedöma om en viss behandling är laglig, dvs. om den är nödvändig i något av de sammanhang som räknas upp i artikel 6.1 b-f.
Kopplingen mellan den rättsliga grunden och kravet på särskilda, uttryckligt angivna och berättigade ändamål förstärks genom dataskyddsförordningen, där det av artikel 6.3 andra stycket framgår att syftet med behandlingen, i fråga om behandling som grundar sig på en rättslig förpliktelse, ska framgå av förpliktelsen. Vad gäller behandling som sker i myndighetsutövning och för att utföra uppgifter av allmänt intresse anges i stället att syftet med behandlingen ska vara nödvändigt för att utföra uppgiften eller myndighetsutövningen.
Vidare ska uppgifterna enligt artikel 5.1 bl.a. vara adekvata och korrekta (accurate) och får inte förvaras under en längre tid än vad som är nödvändigt (leden c, d och e). Uppgifterna måste också behandlas på ett sätt som säkerställer lämplig säkerhet (led f).
Förordningen ställer inte något krav på att de särskilda ändamålen ska vara fastställda i författning, men det finns heller ingenting som hindrar att detta görs, förutsatt att bestämmelserna uppfyller ett mål av allmänt intresse och är proportionella mot det legitima mål som eftersträvas (artikel 6.3 andra stycket). Oavsett om ändamålen fastställts i författning eller inte är det dock alltid den personuppgiftsansvarige som ansvarar för, och ska kunna visa att, principerna i artikel 5 efterlevs (artikel 5.2).
Artiklarna 5 och 6 i dataskyddsförordningen är grundläggande och kumulativa. Dels måste någon av de rättsliga grunder som anges i artikel 6.1 vara tillämplig, dels måste samtliga principer i artikel 5.1 följas.
8.2 Grunden för behandlingen ska ha stöd i rättsordningen
Regeringens bedömning: Kravet i EU:s dataskyddsförordning på att den grund för behandling som avses i artikel 6.1 c och e ska vara fastställd i enlighet med unionsrätten eller den nationella rätten innebär inte ett krav på att själva behandlingen av personuppgifter måste regleras. Det är i stället den rättsliga förpliktelsen, uppgiften av allmänt intresse respektive myndighetsutövningen som ska ha stöd i rättsordningen.
Den rättsliga förpliktelsen, uppgiften av allmänt intresse respektive myndighetsutövningen är fastställd i enlighet med svensk rätt, om den följer av författning eller beslut som har meddelats i enlighet med regeringsformens bestämmelser. Som en följd av den svenska arbetsmarknadsmodellen kan rättsliga förpliktelser och uppgifter av allmänt intresse även följa av kollektivavtal.
Utredningens bedömning överensstämmer med regeringens.
Remissinstanserna: Nästan alla remissinstanser instämmer i utredningens bedömning eller har inga synpunkter på denna. Srf konsulternas förbund ifrågasätter bedömningen i fråga om kollektivavtal och påpekar att avtalen inte är allmänt tillgängliga. Även Datainspektionen och Dataskydd.net ifrågasätter utredningens bedömning i fråga om kollektivavtal. Flera remissinstanser, bl.a. Arbetsgivarverket, Karlskrona kommun, Landsorganisationen i Sverige och Collectum, uttrycker å andra sidan sitt stöd för denna bedömning. Datainspektionen menar att det finns risk för att behandling av personuppgifter av vikt för samhällets funktioner inte kan utföras, om det inte säkerställs att särskild nationell lagstiftning införs där behov finns. Vidare menar Datainspektionen att de personuppgiftsansvariga som ska tillämpa förordningen måste göra en bedömning av om den författning som kan utgöra rättslig grund för behandlingen uppfyller kraven bl.a. på tydlighet, precisering och förutsägbarhet i skäl 41 samt kraven på proportionalitet i artikel 6.3 andra stycket sista meningen.
Skälen för regeringens bedömning
Vad ska fastställas i unionsrätten eller nationell rätt?
Som nämns i avsnitt 8.1 får behandling av personuppgifter bara ske under de omständigheter som särskilt anges i unionsrätten eller i den nationella rätten. Detta rättsliga stöd ges direkt i dataskyddsförordningen såvitt gäller behandling som sker på grundval av den registrerades samtycke, för att fullgöra ett avtal, för att skydda en fysisk persons grundläggande intressen samt för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen (artikel 6.1 a, b, d och f). Eftersom dessa bestämmelser inte föranleder några nationella författningsåtgärder behandlas de inte här (se dock avsnitt 9 angående barns samtycke).
När det gäller behandling som är nödvändig för att fullgöra en rättslig förpliktelse (artikel 6.1 c), som ett led i myndighetsutövning eller för att utföra en uppgift av allmänt intresse (artikel 6.1 e) måste det emellertid även finnas ett annat stöd i rättsordningen än det som ges i dataskyddsförordningen. I artikel 6.3 första stycket i dataskyddsförordningen anges det nämligen att den grund för behandlingen som avses i artikel 6.1 c och e ska fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. I skäl 45 till dataskyddsförordningen anges att förordningen inte medför något krav på en särskild lag för varje enskild behandling, utan att det kan räcka med en lag som grund för flera behandlingar som bygger på en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller om behandlingen krävs för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning.
Av ordalydelsen i artikel 6.3 första stycket framgår att det som ska fastställas i unionsrätten eller i nationell rätt är den grund för behandlingen som avses i artikel 6.1 c och e. Det krävs således inte en reglering i unionsrätten eller i nationell rätt av den personuppgiftsbehandling som ska ske med stöd av dessa rättsliga grunder. Det som måste ha stöd i rättsordningen är i stället den rättsliga förpliktelsen respektive uppgiften av allmänt intresse eller rätten att utöva myndighet.
Vad menas med att grunden för behandlingen ska vara fastställd?
Kravet i artikel 6.3 första stycket på att grunden för behandlingen i vissa fall ska fastställas utgör ett villkor som måste vara uppfyllt för att personuppgiftsansvariga ska kunna åberopa de rättsliga grunder som avses i artikel 6.1 c och e. Rättsliga förpliktelser, uppgifter av allmänt intresse och myndighetsutövning som inte är fastställda i enlighet med unionsrätten eller medlemsstatens nationella rätt kan därmed inte läggas till grund för behandling av personuppgifter.
Något motsvarande krav på att grunden för behandlingen ska vara fastställd finns inte i dataskyddsdirektivet. Det har därför t.ex. ansetts möjligt att med stöd av 10 § d PUL utföra behandling av personuppgifter som är nödvändig för att utföra en arbetsuppgift av allmänt intresse, även om uppgiften inte är fastställd i författning eller liknande.
Det bör emellertid betonas att dataskyddsförordningens krav på att grunden för behandlingen ska vara fastställd inte utgör någon nyhet när det gäller svenska myndigheters behandling av personuppgifter. Legalitetsprincipen är en av de principer som kännetecknar Sverige som rättsstat. Principen är grundlagsfäst genom 1 kap. 1 § RF, som anger att den offentliga makten utövas under lagarna. Med uttrycket lagarna avses inte bara sådana föreskrifter som riksdagen har beslutat, utan även andra författningar och t.ex. sedvanerätt (prop. 1973:90 s. 397 och KU 1973:26 s. 59). Legalitetsprincipen innebär alltså att myndigheternas maktutövning i vidsträckt mening, även i den mån denna förutsätter behandling av personuppgifter, måste ha stöd i någon av de källor som tillsammans bildar rättsordningen.
Datainspektionen menar att det finns risk för att behandling av personuppgifter av vikt för samhällets funktioner inte kan utföras, om det inte säkerställs att särskild nationell lagstiftning införs där behov finns. Regeringen bedömer emellertid att denna risk är mycket liten, eftersom det inte torde förekomma någon offentlig verksamhet i Sverige av vikt för samhällets funktioner som saknar stöd i författning eller beslut som har meddelats i enlighet med regeringsformens bestämmelser.
Vidare menar Datainspektionen att de personuppgiftsansvariga som ska tillämpa förordningen måste göra en bedömning av om den författning som kan utgöra rättslig grund för behandlingen uppfyller kraven på proportionalitet i artikel 6.3 andra stycket sista meningen. Regeringen kan konstatera att den bestämmelsen anger att unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas. Detta motsvarar det krav som Europakonventionen ställer på lagstiftaren i en rättsstat. Genom lagen (1994:1219) om den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna har Europakonventionen inkorporerats i svensk rätt. Vidare gäller enligt 2 kap. 19 § RF att lagar och andra föreskrifter inte får meddelas i strid med Sveriges åtaganden enligt Europakonventionen. Det bör därför vara mycket ovanligt att svensk rätt inte uppfyller Europakonventionens krav. Mot denna bakgrund bör utgångspunkten vara att även dataskyddsförordningens motsvarande krav är uppfyllt i fråga om de rättsliga förpliktelser, uppgifter av allmänt intresse och den myndighetsutövning som fastställs i enlighet med svensk rätt. Den personuppgiftsansvarige behöver därmed inte göra någon proportionalitetsbedömning avseende regleringen av den rättsliga grunden för behandlingen, utan kan utgå från att svensk rätt uppfyller detta krav. Däremot måste behandlingen vara nödvändig i förhållande till den rättsliga grunden och följa de grundläggande principerna i artikel 5. Dessutom ankommer det på varje svensk myndighet att i all verksamhet iaktta proportionalitetskravet. Detta krav kommer numera även till uttryck i 5 § i den nya förvaltningslagen, där det anges att en åtgärd aldrig får vara mer långtgående än vad som behövs och att den får vidtas endast om det avsedda resultatet står i rimligt förhållande till de olägenheter som kan antas uppstå för den som åtgärden riktas mot.
Av skäl 41 till förordningen framgår att den rättsliga grunden bör vara tydlig och precis och dess tillämpning förutsägbar för dem som omfattas av den, i enlighet med rättspraxis vid Europeiska unionens domstol och Europeiska domstolen för de mänskliga rättigheterna. Även detta är ett uttryck för legalitetsprincipen och utgör således inte någon nyhet inom den svenska offentliga förvaltningen. Vilken grad av tydlighet och precision som krävs i fråga om den rättsliga grunden för att en viss behandling av personuppgifter ska anses vara nödvändig måste enligt regeringens mening bedömas från fall till fall, utifrån behandlingens och verksamhetens karaktär. Det torde stå klart att en behandling av personuppgifter som inte utgör någon egentlig kränkning av den personliga integriteten, såsom när det gäller behandling av elevers namn i reguljär skolverksamhet, kan ske med stöd av en rättslig grund som är allmänt hållen. Ett mer kännbart intrång, t.ex. behandling av känsliga personuppgifter inom hälso- och sjukvården, kräver att den rättsliga grunden är mer preciserad och därmed gör intrånget förutsebart. Om intrånget är betydande och innebär övervakning eller kartläggning av den enskildes personliga förhållanden krävs dessutom särskilt lagstöd enligt 2 kap. 6 och 20 §§ RF.
Hur fastställs en rättslig grund i enlighet med svensk rätt?
Grunden för behandlingen ska enligt artikel 6.3 första stycket i dataskyddsförordningen fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Med detta avses inte att den rättsliga grunden nödvändigtvis måste fastställas i eller i enlighet med en av riksdagen beslutad lag. Däremot måste grunden vara fastställd i laga ordning, på ett konstitutionellt korrekt sätt.
I Sverige följer det av grundlag att den offentliga makten utövas under lagarna. De grundläggande bestämmelserna om hur normgivningen går till finns i 8 kap. RF. Föreskrifter ska meddelas av riksdagen genom lag bl.a. om föreskrifterna avser förhållandet mellan enskilda och det allmänna under förutsättning att föreskrifterna gäller skyldigheter för enskilda eller i övrigt avser ingrepp i enskildas personliga och ekonomiska förhållanden. Regeringen får dock, efter bemyndigande från riksdagen, meddela sådana föreskrifter i en förordning. Normgivningskompetensen kan även vidaredelegeras till en myndighet eller en kommun, som därmed bemyndigas att meddela föreskrifter på ett visst område. När det gäller föreskrifter som är gynnande för den enskilde får regeringen, inom ramen för sin restkompetens, meddela föreskrifter om åtgärder utan stöd av ett bemyndigande från riksdagen.
Av 1 kap. 6 § RF framgår att regeringen styr riket. Under regeringen lyder de statliga förvaltningsmyndigheter som inte är myndigheter under riksdagen. Regeringen styr dessa myndigheter genom regeringsbeslut och genom att med stöd av restkompetensen meddela föreskrifter. Det kommunala självstyret innebär att fullmäktige har visst utrymme att styra de kommunala myndigheternas verksamhet genom reglementen.
Enligt lagen (1994:1500) med anledning av Sveriges anslutning till Europeiska unionen gäller EU-rättsakter här i landet med den verkan som följer av EU-fördragen. Detta innebär att även unionsrätten har stöd i svensk lag, t.ex. i fråga om förpliktelser, myndighetsutövning och uppgifter av allmänt intresse som följer av direkt tillämpliga EU-förordningar eller som meddelas med stöd av sådana förordningar.
Den svenska arbetsmarknadsmodellen innebär att arbetsmarknadens parter i stor utsträckning reglerar arbets- och anställningsvillkor genom kollektivavtal. Kollektivavtalen innehåller en rad bestämmelser som arbetsmarknadens parter och medlemmarna i de avtalsslutande organisationerna är skyldiga att följa, t.ex. om föräldratillägg, semesterlön, övertidsersättning och ersättning för läkarbesök och läkemedel. Överträdelser av bestämmelserna kan föranleda skadeståndsansvar. Kollektivavtalen har även betydelse för tredje man eftersom de ska tillämpas på samma sätt i förhållande till alla arbetstagare och således även i förhållande till oorganiserade arbetstagare och arbetstagare som är medlemmar i en annan arbetstagarorganisation än den som avtalet slutits med.
Reglering i kollektivavtal har i Europadomstolens praxis ansetts i sig förenlig med kravet enligt Europakonventionen att åtgärder med rättighetsbegränsande effekter ska ha stöd i lag (jfr Europadomstolens dom i målet Evaldsson mot Sverige, nr 75252/01, dom den 13 februari 2007). Denna praxis talar för att samma princip bör gälla vid tillämpningen av EU-lagstiftning som rör fri- och rättigheter, såsom dataskyddsförordningen. Eftersom kollektivavtal utgör en del av den svenska rättsordningen bör således grunden för behandlingen av personuppgifter kunna anses vara fastställd i enlighet med svensk rätt om den följer av kollektivavtal. Regeringen delar mot den bakgrunden, i likhet med bl.a. Arbetsgivarverket och Landsorganisationen i Sverige, utredningens bedömning.
Med anledning av Srf konsulternas förbunds synpunkter vill regeringen betona att för att ett kollektivavtal ska kunna läggas till grund för behandling av personuppgifter så måste det vara tillgängligt för den registrerade. I annat fall är det grundläggande legalitetskravet i dataskyddsförordningen inte uppfyllt.
Sammanfattningsvis konstaterar regeringen att en rättslig grund är fastställd i enlighet med svensk rätt om den följer av författning eller beslut som meddelats i enlighet med regeringsformens bestämmelser. Som en följd av den svenska arbetsmarknadsmodellen kan en rättslig grund även följa av kollektivavtal.
8.3 Behandling för att uppfylla en rättslig förpliktelse
Regeringens förslag: Personuppgifter får behandlas om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning.
Utredningens förslag överensstämmer i sak med regeringens.
Remissinstanserna: Nästan alla remissinstanser tillstyrker förslaget eller har inga synpunkter på det. Datainspektionen anser att det i bestämmelsen ska anges att kraven i artikel 6.3 måste följas. Några remissinstanser, bl.a. Skatteverket och Collectum, efterfrågar ett tydliggörande kring hur förordningens bestämmelse om att syftet med behandlingen ska fastställas i den rättsliga grunden ska tolkas och tillämpas i praktiken.
Skälen för regeringens förslag
Begreppet rättslig förpliktelse
Bestämmelsen i artikel 6.1 c i dataskyddsförordningen överensstämmer i sak med artikel 7 c i dataskyddsdirektivet. Enligt båda bestämmelserna får personuppgifter behandlas om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Enligt regeringens bedömning bör utgångspunkten vara att begreppet rättslig förpliktelse i de båda rättsakterna ska tolkas och tillämpas på samma sätt. Vägledning bör därför kunna hämtas från praxis som utvecklats i anslutning till dataskyddsdirektivet och personuppgiftslagen.
I första hand torde offentligrättsliga förpliktelser omfattas av begreppet rättslig förpliktelse. Det finns dock även i civilrättsliga författningar bestämmelser som i sig utgör eller kan medföra rättsliga skyldigheter, t.ex. inom arbetsrätten. Rent språkligt omfattar begreppet rättslig förpliktelse även sådana skyldigheter som har lagts fast i ett avtal. Förpliktelser som följer av avtal där den registrerade själv är part utgör emellertid en separat rättslig grund för personuppgiftsbehandling enligt både dataskyddsdirektivet och dataskyddsförordningen, nämligen led b i respektive artikel. Detta talar för att de rättsliga förpliktelser som avses i led c är av ett annat slag, även om förpliktelser som följer av vissa lagreglerade avtal, t.ex. försäkringsavtal av betydelse för andra än parterna eller gynnande tredjemansavtal, skulle kunna omfattas av bestämmelsen.
Rättsliga förpliktelser har stöd i rättsordningen
Som nämns i avsnitt 8.2 följer det av grundlag att den offentliga makten utövas under lagarna. Förpliktelser som åligger enskilda eller kommuner kan regleras direkt i lag, i förordningar eller andra föreskrifter. Förpliktelser kan också fastställas i domar eller myndighetsbeslut som meddelats med stöd av lag eller andra föreskrifter. Som en följd av den svenska arbetsmarknadsmodellen kan rättsliga förpliktelser även anges i kollektivavtal. Sådana avtal omfattas inte av artikel 6.1 b, eftersom den registrerade inte själv är part.
Även domstolar och förvaltningsmyndigheter kan, vid sidan av sina uppgifter och uppdrag, sägas ha rättsliga förpliktelser. Domstolar och förvaltningsmyndigheter har t.ex. när det gäller personaladministration författningsreglerade förpliktelser som i sig kräver personuppgiftsbehandling. Vidare kan en myndighets uppdrag enligt instruktionen till myndigheten eller ett regleringsbrev i vissa fall utgöra en i enlighet med nationell rätt fastställd rättslig förpliktelse i dataskyddsförordningens mening, t.ex. om myndigheten ges i uppdrag att föra ett visst register. I normalfallet torde dock myndighetens uppdrag i första hand utgöra en rättslig grund för behandling av personuppgifter med stöd av artikel 6.1 e i dataskyddsförordningen, dvs. på grundval av att uppdraget avser en uppgift av allmänt intresse, se avsnitt 8.4.
Syftet med behandlingen ska framgå av förpliktelsen
Enligt artikel 6.3 andra stycket första meningen i dataskyddsförordningen ska syftet med behandlingen, då denna grundar sig på en rättslig förpliktelse, fastställas i den rättsliga grunden. Några remissinstanser, bl.a. Skatteverket och Collectum, efterfrågar ett tydliggörande av hur bestämmelsen ska tolkas och tillämpas i praktiken. Kravet torde innebära att en förpliktelse inte kan läggas till grund för behandling av personuppgifter om syftet med behandlingen inte framgår. Det ska alltså vara möjligt för såväl den personuppgiftsansvarige som den registrerade att förstå varför behandlingen av personuppgifter ska ske. Detta kan exempelvis ske genom en författning som anger att en näringsidkare i en viss situation är skyldig att lämna uppgifter till en myndighet eller en domstol.
Behov av förtydligande i nationell rätt
Regeringen gör bedömningen att det i och för sig inte behövs någon ytterligare nationell reglering på generell nivå för att sådan behandling av personuppgifter som är nödvändig för att uppfylla en rättslig förpliktelse ska kunna ske med stöd av den rättsliga grunden i artikel 6.1 c i dataskyddsförordningen. Detta gäller oavsett om den personuppgiftsansvarige är en myndighet eller ett privaträttsligt organ. Regeringen anser dock, i likhet med utredningen, att det finns anledning att ta in en bestämmelse i dataskyddslagen som tydliggör att en förpliktelse utgör en rättslig grund för behandling av personuppgifter om förpliktelsen följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning. Detta är enligt skäl 8 till dataskyddsförordningen förenligt med unionsrätten, även om åtgärden kan sägas utgöra ett införlivande av en direkt tillämplig förordningsbestämmelse.
Datainspektionen anser att det i bestämmelsen ska anges att kraven i artikel 6.3 andra stycket i dataskyddsförordningen måste följas och anför att det måste vara tydligt för den enskilde tillämparen att behandlingen av personuppgifter i varje enskilt fall ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas. Som regeringen utvecklar i avsnitt 8.2 måste dock kravet i artikel 6.3 andra stycket sista meningen på att unionsrätten eller medlemsstatens nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas i första hand anses riktat till lagstiftaren och andra som har befogenhet att fastställa rättsliga förpliktelser och inte till personuppgiftsansvariga eller personuppgiftsbiträden. Det finns därför inte skäl att föra in en hänvisning till dessa krav i dataskyddslagen.
8.4 Behandling för att utföra uppgifter av allmänt intresse
Regeringens förslag: Personuppgifter får behandlas om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning.
Utredningens förslag överensstämmer i huvudsak med regeringens. Utredningen föreslår att det i bestämmelsen ska anges att behandlingen ska vara nödvändig för att den personuppgiftsansvarige ska kunna utföra en uppgift av allmänt intresse.
Remissinstanserna: Nästan alla remissinstanser tillstyrker förslaget eller har inga synpunkter på det. Pensionsmyndigheten och Statens servicecenter anser att den föreslagna regleringen tillsammans med principerna i artikel 5 förtydligar det som redan gäller. Malmö kommun och Piteå kommun anser att förslaget underlättar förståelsen av dataskyddslagstiftningen. Datainspektionen anser att det i bestämmelsen ska anges att kraven i artikel 6.3 andra stycket måste följas. Vidare anför Datainspektionen att det kan utgöra ett allmänt intresse att myndigheter även kan vidta administrativa åtgärder, men att det är svårt att se att dessa alltid kan anses vara fastställda i enlighet med unionsrätten eller den nationella rätten. Åklagarmyndigheten anser att det behövs ett tydligt stöd för behandling av personuppgifter för ändamål som statistik och uppföljning av verksamheten. Tjänstemännens centralorganisation anser att det bör klargöras att arbetsmarknadsparternas framtagande och behandling av lönestatistik m.m. är att betrakta som en uppgift av allmänt intresse. Stiftelsen Svenska Filminstitutet efterfrågar ledning för tolkningen av begreppen offentligt organ samt sådant privat organ som utför uppgifter av allmänt intresse, som omnämns i förordningens artikel 86. Svenska kyrkan ser en konflikt mellan dataskyddsförordningen och kravet på handlingsoffentlighet gentemot envar i 11 § lagen (1998:1591) om Svenska kyrkan. Dataskydd.net anser att bestämmelsen är onödig.
Skälen för regeringens förslag
Begreppet uppgift av allmänt intresse
Enligt artikel 6.1 e i dataskyddsförordningen får personuppgifter behandlas om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Flera remissinstanser efterlyser vägledning rörande begreppets innebörd. Rent språkligt kan begreppet uppgift av allmänt intresse antas avse något som är av intresse för eller berör många människor på ett bredare plan, i motsats till ett särintresse eller ett enskilt intresse. Av skäl 45 till förordningen följer att allmänintresset inbegriper hälso- och sjukvårdsändamål, folkhälsa, socialt skydd och förvaltning av hälso- och sjukvårdstjänster. Det kan vidare konstateras att begreppet förekommer i motsvarande bestämmelser i dataskyddsdirektivet (artikel 7 e) och personuppgiftslagen (10 § d) och ledning kan hämtas från hur begreppet tolkats enligt dessa bestämmelser.
Vid tillämpningen av personuppgiftslagen har den behandling av personuppgifter som är nödvändig i t.ex. myndigheternas verksamhet i vissa fall ansetts vara tillåten efter en intresseavvägning enligt 10 § f PUL. Den motsvarande bestämmelsen i dataskyddsförordningen, artikel 6.1 f, ska dock inte gälla för behandling som utförs av offentliga myndigheter när de utför sina uppgifter. Myndigheternas utrymme för att grunda behandling på samtycke från den registrerade är också alltjämt begränsat, i vart fall i sådana situationer där det är osannolikt att ett samtycke lämnas frivilligt (skäl 43). För att myndigheternas verksamhet ska kunna fungera även i fortsättningen anser regeringen att begreppet uppgift av allmänt intresse måste ges en vid betydelse.
I förhållande till den privata sektorn innebär dataskyddsförordningen en väsentlig förändring på så sätt att det inte längre är självklart att en personuppgiftsansvarig inom den sektorn som utför en uppgift av allmänt intresse kan utföra nödvändig behandling av personuppgifter på den grunden. Genom kravet på att grunden för behandlingen ska fastställas i enlighet med unionsrätten eller den nationella rätten begränsas nämligen tillämpningsområdet för artikel 6.1 e. Det räcker inte att en behandling av personuppgifter är nödvändig för att utföra en uppgift av allmänt intresse - uppgiften måste också vara fastställd i enlighet med gällande rätt. När det gäller Tjänstemännens centralorganisations synpunkt om arbetsmarknadsparternas framtagande och behandling av lönestatistik m.m., kan konstateras att Datalagskommittén ansåg att denna uppgift var av allmänt intresse enligt personuppgiftslagen (SOU 1997:39 s. 305). Det finns inte anledning att göra någon annan bedömning enligt dataskyddsförordningen. För att personuppgifter ska kunna behandlas på denna rättsliga grund krävs emellertid också att uppgiften är fastställd i enlighet med svensk rätt och att behandlingen är nödvändig.
När det däremot gäller svenska myndigheters behandling av personuppgifter innebär dataskyddsförordningens krav på att grunden för behandlingen ska vara fastställd inte någon egentlig förändring. Som utvecklas i avsnitt 8.2 innebär legalitetsprincipen nämligen att myndigheternas verksamhet redan i dag måste vara fastställd enligt svensk rätt.
Enligt artikel 6.3 andra stycket första meningen i dataskyddsförordningen ska syftet med behandlingen, i fråga om behandling enligt punkt 1 e, vara nödvändigt för att utföra en uppgift av allmänt intresse. Till skillnad mot vad som gäller avseende grunden rättslig förpliktelse behöver ändamålet således inte framgå. Ändamålet med varje enskild behandling måste dock vara nödvändigt för att utföra den fastställda uppgiften. Bestämmelsen uttrycker det samband som måste finnas mellan behandlingen och den fastställda uppgiften och riktar sig till den som bestämmer de särskilda ändamålen för behandlingen, vilket i normalfallet är den personuppgiftsansvarige men i vissa fall även kan vara lagstiftaren. Detta krav på samband framgår även av artikel 5.1 b, där det anges att de särskilda ändamålen ska vara berättigade.
Myndigheters verksamhet är av allmänt intresse
Alla uppgifter som riksdag eller regering gett i uppdrag åt statliga myndigheter att utföra är enligt regeringens mening av allmänt intresse. Om uppgifterna inte vore av allmänt intresse skulle myndigheterna inte ha ålagts att utföra dem. På motsvarande sätt är de obligatoriska uppgifter som ålagts kommuner och landsting att utföra av allmänt intresse. Detta måste enligt regeringens mening gälla även i dataskyddsförordningens mening, eftersom det är upp till varje medlemsstat att fastställa de uppgifter som är av allmänt intresse.
Begreppet uppgifter av allmänt intresse omfattar dock inte bara sådant som utförs som en följd av ett offentligrättsligt och uttryckligt åliggande eller uppdrag. Till skillnad från vad som gäller enligt artikel 6.1 c i dataskyddsförordningen behöver den personuppgiftsansvarige inte vara skyldig att utföra uppgiften för att den rättsliga grunden i led e ska vara tillämplig.
Som en följd av det kommunala självstyret har kommuner och landsting en vidsträckt möjlighet att göra frivilliga åtaganden. Befogenheten är emellertid enligt kommunallagen (2017:725) begränsad till angelägenheter av just allmänt intresse. Kommuner och landsting får driva näringsverksamhet, men bara om den drivs utan vinstsyfte och syftar till att tillhandahålla allmännyttiga anläggningar eller tjänster åt medlemmarna. Som exempel på sådana uppgifter av allmänt intresse som kommunerna utför på frivillig grund kan nämnas tillhandahållande av bostäder och fritids- och idrottsanläggningar, åtgärder för att främja ortens näringsliv och annan kulturell verksamhet än bibliotek (som i stället är en obligatorisk uppgift).
Vissa myndigheter, t.ex. Lantmäteriet, har av riksdagen eller regeringen getts befogenhet att bedriva viss uppdragsverksamhet. Även denna typ av verksamhet måste enligt regeringens mening anses vara motiverad av ett allmänt intresse.
Den verksamhet som en statlig eller kommunal myndighet bedriver, inom ramen för sin befogenhet, är således av allmänt intresse. Det är därmed den rättsliga grunden i artikel 6.1 e i dataskyddsförordningen som vanligen bör tillämpas av myndigheter, även utanför området för myndighetsutövning. Detta utesluter dock inte, som utredningen påpekar, att också andra rättsliga grunder samtidigt kan vara tillämpliga i vissa situationer.
Myndigheters verksamhet har stöd i rättsordningen
För att artikel 6.1 e i dataskyddsförordningen ska vara tillämplig räcker det inte att den verksamhet som myndigheterna bedriver är av allmänt intresse. Den måste också vara fastställd i enlighet med unionsrätten eller den nationella rätten. Som nämns ovan anges det i regeringsformen att den offentliga makten utövas under lagarna. Myndigheters verksamhet måste således ha stöd i någon av de källor som tillsammans bildar rättsordningen. Myndigheternas uppdrag och åligganden framgår av författningar, regeringsbeslut och kommunala reglementen, antagna i enlighet med regeringsformens bestämmelser om normgivningskompetens och kommunalt självstyre. De åtgärder som myndigheterna vidtar i syfte att utföra dessa uppdrag eller uppfylla dessa åligganden har därmed i sig en legal grund, som har offentliggjorts genom tydliga, precisa och förutsebara regler.
Statliga myndigheter får sina uppdrag och befogenheter av riksdag och regering - i myndighetsinstruktioner, regleringsbrev och andra regeringsbeslut. På motsvarande sätt följer de kommunala myndigheternas obligatoriska uppgifter av åligganden som fastställts i lag eller förordning. Även sådana frivilliga åtaganden som en kommun gör inom ramen för sin allmänna befogenhet ska framgå av gällande rätt, nämligen av det reglemente som fullmäktige utfärdar för den ansvariga nämnden.
Även privata aktörer kan utföra fastställda uppgifter av allmänt intresse
Vid tillämpningen av artikel 6.1 e spelar det ingen roll om den personuppgiftsansvarige är en offentlig eller en privat aktör. Om den uppgift som den personuppgiftsansvarige utför är av allmänt intresse och denna uppgift är fastställd i enlighet med unionsrätten eller den nationella rätten finns en rättslig grund för nödvändig behandling enligt artikel 6.1 e. Det saknar då betydelse om en privat aktör utför verksamheten på direkt uppdrag av en myndighet eller på eget initiativ.
Avmonopolisering och konkurrensutsättning av offentlig verksamhet i Sverige har inneburit att privaträttsliga organ numera utför en inte obetydlig del av de uppgifter som sannolikt skulle anses vara av allmänt intresse, även i begreppets mest snäva bemärkelse. Detta gäller inom den kommunala sektorn exempelvis avseende förskoleverksamhet och skola, hälso- och sjukvård samt stöd och service till funktionshindrade. Inom den traditionellt statliga sektorn kan nämnas rikstäckande infrastruktur, kommunikation och energiförsörjning. Ibland bedrivs verksamheten alltjämt under kommunal eller statlig styrning, i form av kommunala eller statliga bolag, men på andra områden förekommer också eller enbart privata subjekt som är associationsrättsligt helt fristående från den offentliga sektorn.
I flera av dessa fall är verksamheten av kommersiell karaktär och bygger i viss utsträckning på avtal med den registrerade. I den mån behandling av personuppgifter är nödvändig kan den i sådana fall ske med stöd av artikel 6.1 b i dataskyddsförordningen, även om uppgiften inte skulle vara fastställd i lagstiftningen. När det gäller hälso- och sjukvårdsverksamhet, i både offentlig och privat regi, fastställs dock uppgiften i bl.a. hälso- och sjukvårdslagen (2017:30). På motsvarande sätt regleras uppgiften att tillhandahålla stöd och service till funktionshindrade av lagen (1993:387) om stöd och service till vissa funktionshindrade och uppgiften att tillhandahålla insatser inom socialtjänsten av socialtjänstlagen (2001:453). Skolväsendets uppgifter fastställs i skollagen (2010:800), som gäller för både offentliga och enskilda anordnare av utbildning.
De uppgifter av allmänt intresse som utförs i syfte att utföra ett uttryckligt uppdrag eller till följd av ett åliggande måste anses vara av denna karaktär oavsett om de faktiskt utförs i myndighetens egen regi eller om de genom utkontraktering eller entreprenad utförs av någon annan. När en juridisk eller fysisk person, på uppdrag av en kommunal eller statlig myndighet, utför en förvaltningsuppgift som åligger kommunen eller myndigheten, bör alltså även den privata utföraren, entreprenören eller det kommunala bolaget anses utföra en uppgift av allmänt intresse. Ett privaträttsligt organ som fullgör ett uppdrag från en myndighet avseende en sådan uppgift som är fastställd i författning, regeringsbeslut eller kommunalt beslut i fullmäktige kan därför vidta nödvändiga behandlingsåtgärder på samma rättsliga grund som om myndigheten själv utfört uppgiften, dvs. med stöd av artikel 6.1 e i dataskyddsförordningen. Det bör noteras att en uppdragstagare som är personuppgiftsbiträde åt myndigheten i stället behandlar personuppgifter med stöd av artikel 28 i dataskyddsförordningen.
När det är tveksamt om den verksamhet som en privaträttslig aktör, t.ex. ett statligt eller kommunalt bolag, bedriver är av allmänt intresse i unionsrättslig mening är det i stället ofta möjligt att grunda nödvändig behandling av personuppgifter på en intresseavvägning i enlighet med artikel 6.1 f i dataskyddsförordningen eller att inhämta den registrerades samtycke. Detsamma gäller om verksamheten visserligen är av allmänt intresse, men uppgiften inte är fastställd i enlighet med vare sig unionsrätten eller den nationella rätten.
Privata organ som omfattas av offentlighetsprincipen
Enligt artikel 86 i dataskyddsförordningen får personuppgifter i allmänna handlingar som förvaras av en myndighet eller ett offentligt organ eller ett privat organ för utförande av en uppgift av allmänt intresse lämnas ut av myndigheten eller organet i enlighet med den nationella rätt som myndigheten eller det offentliga organet omfattas av. Bestämmelsen möjliggör en tillämpning av tryckfrihetsförordningens bestämmelser om allmänhetens tillgång till allmänna handlingar när det gäller handlingar som innehåller personuppgifter. Detta innebär att den svenska grundlagsfästa handlingsoffentligheten är förenlig med dataskyddsförordningen. Detta gäller enligt artikel 86 inte bara hos myndigheter och offentliga organ, utan även hos sådana privaträttsliga organ som utför uppgifter av allmänt intresse.
Offentlighetsprincipen gäller hos myndigheter, men inte hos alla privata organ som utför uppgifter av allmänt intresse. Tryckfrihetsförordningens bestämmelser om rätt att ta del av allmänna handlingar hos myndigheter ska dock enligt 2 kap. 3 § OSL i tillämpliga delar gälla också handlingar hos aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser där kommuner eller landsting utövar ett rättsligt bestämmande inflytande. Enligt 2 kap. 4 § OSL ska rätten att ta del av allmänna handlingar hos myndigheter i tillämpliga delar också gälla handlingar hos de organ som anges i bilagan till offentlighets- och sekretesslagen, om handlingarna hör till den verksamhet som nämns där. Vissa av de organ som anges i den bilagan står under statlig styrning, medan andra är associationsrättsligt fristående från staten.
Gemensamt för de privata organ som enligt offentlighets- och sekretesslagen omfattas av offentlighetsprincipen är att de antingen anförtrotts förvaltningsuppgifter som rör myndighetsutövning eller att organets verksamhet helt eller delvis finansieras med allmänna medel. Detta innebär enligt regeringens mening att t.ex. Stiftelsen Svenska Filminstitutet och andra organ, vars handlingar omfattas av handlingsoffentlighet, i motsvarande utsträckning måste anses utföra uppgifter av allmänt intresse i den mening som avses i dataskyddsförordningen. Eftersom bestämmelsen i artikel 86 anger att även privata organ som utför uppgifter av allmänt intresse får lämna ut handlingar som innehåller personuppgifter, finns det således inte någon konflikt mellan offentlighetsprincipens tillämpning hos dessa organ och dataskyddsförordningen.
Svenska kyrkan undrar om det finns en konflikt mellan dataskyddsförordningen och det krav på att lämna ut handlingar som gäller i kyrkans verksamhet. Enligt 11 § lagen om Svenska kyrkan ska var och en ha rätt att ta del av Svenska kyrkans handlingar. Denna rätt får begränsas bara om det är särskilt motiverat med hänsyn till vissa särskilt angivna intressen. Den lagstadgade handlingsoffentlighet som gäller för dessa handlingar liknar således den som gäller i fråga om myndigheternas handlingar enligt tryckfrihetsförordningen. Enligt regeringens bedömning bör Svenska kyrkans handlingar därför betraktas som allmänna i den mening som avses i artikel 86 i dataskyddsförordningen. Dataskyddsförordningen ger således stöd för att Svenska kyrkan lämnar ut handlingar i enlighet med lagen om Svenska kyrkan.
Syftet med behandlingen ska vara nödvändigt
För att behandling av personuppgifter ska vara tillåten enligt artikel 6.1 e i dataskyddsförordningen krävs att ändamålet med behandlingen är nödvändigt för att utföra uppgiften. Detta ska enligt regeringens bedömning inte tolkas som att uppgiften av allmänt intresse måste vara avgränsad så att den bara kan utföras på ett sätt. Den metod som den personuppgiftsansvarige väljer för att utföra sin uppgift måste dock - som all offentlig förvaltning - vara ändamålsenlig, effektiv och proportionerlig och får därmed inte medföra ett onödigt intrång i enskildas privatliv. Ju mer detaljerat en viss uppgift har reglerats, desto mindre utrymme torde det finnas för den personuppgiftsansvarige att välja olika tillvägagångssätt. Detta medför i sin tur en större förutsebarhet i fråga om vilken personuppgiftsbehandling som kan aktualiseras. Om ett uppdrag i stället har reglerats på en mer övergripande och resultatinriktad nivå kan det sannolikt utföras på många olika sätt, vilka i förhållande till varandra kan vara mer eller mindre nödvändiga i dataskyddsförordningens mening. Kravet på att ändamålet ska vara nödvändigt för att utföra en uppgift av allmänt intresse innebär alltså i sig en spärr mot helt onödig behandling av personuppgifter eller sådan behandling som utgör ett oproportionerligt intrång i privatlivet som inte kunnat förutses.
Alla myndigheter, såväl statliga som kommunala, vidtar en rad administrativa åtgärder som krävs för att myndigheten ska fungera. Som exempel kan nämnas myndigheternas interna säkerhetsarbete och information, personalvård samt, som bl.a. Åklagarmyndigheten påpekar, olika former av uppföljning och utvärdering av den egna verksamheten. Krav på myndigheterna att vidta sådana administrativa åtgärder kan framgå direkt eller indirekt av författning eller beslut. När det gäller myndigheternas säkerhetsarbete finns det t.ex. bestämmelser i förordningen om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap. I fråga om personalvård finns det bestämmelser i bl.a. arbetsmiljölagen (1977:1160). Allmänna krav på myndigheterna att följa upp och utvärdera den egna verksamheten följer av bestämmelserna i myndighetsförordningen (2007:515). Det förekommer dock även att myndigheterna, för att fungera, behöver vidta administrativa åtgärder som varken direkt eller indirekt kan sägas följa av författning eller beslut.
I skäl 27 till den rättsakt som gäller för EU-institutionernas personuppgiftsbehandling, förordning 45/2001, anges att behandling av personuppgifter för utförandet av de uppgifter av allmänt intresse som gemenskapsinstitutionerna och gemenskapsorganen utför inbegriper sådan behandling av personuppgifter som är nödvändig för förvaltningen av dessa institutioner och organ för att de ska fungera. En motsvarande skrivning finns i skäl 17 i kommissionens förslag till ny förordning på området (COM(2017) 8 final).
Någon motsvarighet till skäl 27 i förordning 45/2001 finns inte i dataskyddsförordningen. Bestämmelsen i artikel 6.3 andra stycket, om att syftet med behandlingen ska vara nödvändigt för att utföra uppgiften, fyller dock samma funktion. Den specifika behandlingen måste vara nödvändig för ett ändamål som i sin tur är nödvändigt för att myndigheten ska kunna utföra sitt uppdrag. Om myndigheten inte fungerar kan den inte utföra sina fastställda uppgifter. Behandling av personuppgifter som utförs som ett led i sådana administrativa åtgärder som är nödvändiga för myndighetens förvaltning och funktion är därmed enligt regeringens uppfattning rättsligt grundad i dataskyddsförordningens mening. Det krävs alltså inte att de administrativa åtgärderna är fastställda i enlighet med svensk rätt, så som Datainspektionen är inne på. Däremot måste de administrativa åtgärderna vara nödvändiga för att myndigheten ska kunna utföra sina uppgifter. Dessa uppgifter måste vara fastställda i enlighet med gällande rätt, vilket de som framgår ovan redan är.
Behov av förtydligande i nationell rätt
För att behandling av personuppgifter ska vara laglig enligt artikel 6.1 e i dataskyddsförordningen måste den uppgift som den personuppgiftsansvarige utför dels vara av allmänt intresse (eller utgöra ett led i myndighetsutövning), dels vara fastställd i enlighet med unionsrätten eller den nationella rätten. Vidare måste behandlingen vara nödvändig för ett ändamål som är nödvändigt för att utföra uppgiften. Detta framgår av direkt tillämpliga bestämmelser i dataskyddsförordningen. Det behövs därmed inte någon ytterligare nationell reglering, på generell nivå, för att sådan behandling av personuppgifter som är nödvändig för att utföra uppgifter av allmänt intresse ska kunna ske med stöd av den rättsliga grunden i artikel 6.1 e i förordningen. Detta gäller oavsett om den personuppgiftsansvarige är en offentlig eller en privat aktör.
Regeringen anser dock, i likhet med utredningen, att det finns anledning att ta in en bestämmelse i dataskyddslagen som tydliggör hur en uppgift av allmänt intresse ska fastställas för att kunna utgöra grund för behandling av personuppgifter. Uppgiften ska följa av lag eller annan författning eller av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning. En sådan upplysningsbestämmelse bidrar till förståelsen av dataskyddsregleringen och kan mot bakgrund av skäl 8 i förordningen inte anses vara en otillåten implementeringsåtgärd. Bestämmelsen bör utformas i linje med den formulering som används i artikel 6.1 e i dataskyddsförordningen. Regeringen föreslår därför en mindre justering av författningstexten jämfört med utredningens förslag.
Datainspektionen anser att det i bestämmelsen ska anges att kraven i artikel 6.3 andra stycket i dataskyddsförordningen måste följas. Som regeringen konstaterar i avsnitt 8.3 finns det dock inte skäl att införa ett sådant tillägg.
8.5 Behandling som ett led i myndighetsutövning
Regeringens förslag: Personuppgifter får behandlas om behandlingen är nödvändig som ett led i myndighetsutövning som den personuppgiftsansvarige utövar enligt lag eller annan författning.
Utredningens förslag överensstämmer med regeringens.
Remissinstanserna: Nästan alla remissinstanser tillstyrker förslaget eller har inga synpunkter på det. Datainspektionen anser att det i bestämmelsen ska anges att kraven i artikel 6.3 andra stycket måste följas. Migrationsverket och Lunds universitet anser att begreppet myndighetsutövning inte bör användas. Lunds universitet menar att det är svårt att tänka sig någon myndighetsutövning som inte utförs i allmänt intresse och att det därför riskerar att leda till oklarheter att särskilt nämna myndighetsutövning. Dataskydd.net anser att bestämmelsen är onödig.
Skälen för regeringens förslag: Enligt artikel 6.1 e i dataskyddsförordningen får personuppgifter behandlas bl.a. om behandlingen är nödvändig som ett led i den personuppgiftsansvariges myndighetsutövning. Begreppet myndighetsutövning förekommer även i dataskyddsdirektivet (artikel 7 e) och i personuppgiftslagen (10 § e) och har en EU-gemensam innebörd. Utgångspunkten i svensk rätt är att det som i Sverige brukar anses som myndighetsutövning faller under begreppet (SOU 1997:39 s. 362). Detta bör gälla även fortsättningsvis.
Myndighetsutövning mot enskilda karaktäriseras av beslut eller andra ensidiga åtgärder som ytterst är uttryck för samhällets maktbefogenheter i förhållande till medborgarna. Myndighetsutövning kan också ske i förhållandet mellan myndigheter, t.ex. när en myndighet har tillsyn över en annan myndighets verksamhet. Utanför begreppet myndighetsutövning faller däremot råd, upplysningar och andra inte bindande uttalanden samt sådan faktisk verksamhet som inte innebär tvång. Av naturliga skäl är det i första hand statliga och kommunala myndigheter som ägnar sig åt myndighetsutövning. Även juridiska och fysiska personer kan dock med stöd av lag anförtros förvaltningsuppgifter som innefattar myndighetsutövning (12 kap. 4 § RF).
Enligt artikel 6.3 andra stycket första meningen i dataskyddsförordningen ska syftet med behandlingen, i fråga om behandling enligt punkt 1 e, vara nödvändigt som ett led i den personuppgiftsansvariges myndighetsutövning. Ändamålet med behandlingen behöver således inte, till skillnad från behandling som grundas på en rättslig förpliktelse, framgå av det sammanhang där befogenheten att utöva myndighet fastställs.
Kravet att ändamålet med behandlingen av personuppgifter måste vara nödvändigt för att utöva myndighetsutövningen ger uttryck för det samband som måste finnas mellan behandlingen och myndighetsutövningen. Detta samband framgår även av kravet i artikel 5.1 b på att de särskilda ändamålen ska vara berättigade.
Myndighetsutövning som medför skyldigheter för den enskilde eller i övrigt avser ingrepp i den enskildes personliga eller ekonomiska förhållanden måste enligt regeringsformen ha sin grund i lag eller i föreskrifter som meddelats med stöd av lag. Att meddela föreskrifter om åtgärder som är gynnande för den enskilde ryms däremot inom regeringens restkompetens. Myndighetsutövning kan även vara fastställd i enlighet med unionsrätten. Befogenhet att utöva myndighet fastställs i svensk rätt ofta direkt i den författning som reglerar en viss rättighet, skyldighet, åtgärd eller verksamhet. Befogenheten kan även framgå genom att en myndighet i lag eller förordning har pekats ut som behörig myndighet enligt en viss unionsrättsakt. Myndighetsutövning kan dock aldrig utövas utan stöd i gällande rätt.
Befogenhet att utöva myndighet i Sverige är således alltid fastställd i en författning. Det krävs därför inte någon ny nationell reglering på generell nivå för att sådan behandling av personuppgifter som är nödvändig som ett led i den personuppgiftsansvariges myndighetsutövning ska kunna ske med stöd av den rättsliga grunden i artikel 6.1 e i förordningen. Det bör noteras att denna rättsliga grund för behandling av personuppgifter kan tillämpas av alla personuppgiftsansvariga som tilldelats myndighetsutövande befogenheter.
Regeringen anser dock, i likhet med utredningen, att det finns anledning att ta in en bestämmelse i dataskyddslagen som tydliggör att myndighetsutövning utgör en rättslig grund för behandling av personuppgifter. Detta är enligt skäl 8 till dataskyddsförordningen förenligt med unionsrätten, även om åtgärden kan sägas utgöra ett införlivande av en direkt tillämplig förordningsbestämmelse. Eftersom begreppet myndighetsutövning används i dataskyddsförordningen anser regeringen till skillnad från Migrationsverket och Lunds universitet att det bör användas även i dataskyddslagen, trots att det inte förekommer i den nya förvaltningslagen och trots att det i princip inryms i begreppet uppgift av allmänt intresse.
I lagrådsremissen föreslår regeringen, i likhet med utredningen, att det i dataskyddslagen ska anges att personuppgifter får behandlas med stöd av artikel 6.1 e i dataskyddsförordningen, om behandlingen är nödvändig som ett led i den personuppgiftsansvariges myndighetsutövning enligt lag eller annan författning. Lagrådet anser att kravet på stöd i lag eller annan författning inte bör anges i bestämmelsen. Enligt regeringens mening behövs dock denna upplysning för att tydliggöra att myndighetsutövning är fastställd i dataskyddsförordningens mening, om den sker enligt lag eller annan författning.
Som regeringen konstaterar i avsnitt 8.3 finns det inte skäl att som Datainspektionen efterfrågar ange i bestämmelsen att kraven i artikel 6.3 andra stycket i dataskyddsförordningen måste följas.
8.6 Inledande upplysningsbestämmelse?
Regeringens bedömning: Det behövs inte någon bestämmelse som upplyser om att EU:s dataskyddsförordning anger att personuppgifter får behandlas endast om minst ett av de villkor som anges i artikel 6.1 i förordningen är uppfyllt.
Utredningens bedömning överensstämmer inte med regeringens. Utredningen föreslår en upplysningsbestämmelse.
Remissinstanserna: Hovrätten för Västra Sverige, Kungliga tekniska högskolan och Swedish Direct Marketing Association ifrågasätter behovet av en upplysningsbestämmelse. Bolagsverket anser att det bör införas en motsvarande hänvisning till artikel 5 i dataskyddsförordningen.
Skälen för regeringens bedömning: Dataskyddsförordningen är direkt tillämplig. I likhet med bl.a. Hovrätten för Västra Sverige och Kungliga tekniska högskolan anser regeringen att behovet av den upplysningsbestämmelse som utredningen föreslår angående rättslig grund kan ifrågasättas. Dataskyddslagen utgör endast ett komplement till förordningen och kan inte tillämpas självständigt. Som Bolagsverkets synpunkt indikerar är behovet av en upplysningsbestämmelse i fråga om artikel 6 inte större än det är avseende andra bestämmelser i dataskyddsförordningen, t.ex. artikel 5. Mot denna bakgrund anser regeringen att den upplysningsbestämmelse som utredningen föreslår riskerar att vara förvirrande i stället för vägledande. En sådan bestämmelse bör därför inte införas.
9 Barns samtycke som rättslig grund
Regeringens förslag: Vid erbjudande av informationssamhällets tjänster direkt till ett barn som bor i Sverige ska behandling av personuppgifter vara tillåten med stöd av barnets samtycke, om barnet är minst 13 år. Om barnet är under 13 år, ska sådan behandling vara tillåten endast om samtycke ges eller godkänns av den som har föräldraansvar för barnet.
Utredningens förslag överensstämmer med regeringens.
Remissinstanserna: Majoriteten av remissinstanserna tillstyrker eller har inga invändningar mot utredningens förslag. Av de remissinstanser som särskilt yttrar sig i denna fråga anser t.ex. Hovrätten för Västra Sverige, Kommerskollegium, Socialstyrelsen, Centrala studiestödsnämnden, Myndigheten för press, radio och TV, Falköpings kommun, Malmö kommun, Barnens Rätt i Samhället, Företagarna, Surfa Lugnt, Sveriges Radio AB, Sveriges Television AB, Swedish Direct Marketing Association, Dataspelsbranschen och Sveriges elevkårer att en 13-årsgräns är att föredra. Flera av dessa remissinstanser, såsom Centrala studiestödsnämnden, Barnens Rätt i Samhället och Surfa Lugnt, framhåller att övervägande skäl talar för att åldersgränsen ska sättas lågt med hänsyn till det stora genomslag och betydelse som informationssamhällets tjänster har fått i unga personers liv, bl.a. som kommunikationskanal. Enligt Barnens Rätt i Samhället har barn som är 13 år och yngre insikt och förmåga att kunna fatta beslut med konsekvenser för den egna integriteten. Svenskt Näringsliv betonar att det finns en överhängande risk att den åldersgräns som införs i praktiken innebär en begränsning i användningen av olika nättjänster för barn och unga. Därutöver anser Svenskt Näringsliv att det är mest naturligt att utgå från en 13-årsgräns eftersom denna gräns gäller internationellt, t.ex. i USA. Myndigheten för press, radio och TV pekar på att barns rätt till yttrande- och informationsfrihet bör väga tungt och upplyser om att det i radio- och tv-lagen föreskrivs att reklam i tv-sändningar inte får syfta till att fånga uppmärksamheten hos barn under tolv år. Forskningsrådet för hälsa, arbetsliv och välfärd framhåller att förslaget är i linje med Sveriges syn om att värna barns rättigheter och integritet. Sveriges elevkårer tillägger att Sverige har en tradition av att skapa låga trösklar för att möjliggöra ungas engagemang och deltagande som samhällsmedborgare och att det därför är viktigt att fortsatt värna det demokratiska värdet av att ge barn och unga rätt till självbestämmande liksom yttrande- och informationsfrihet.
Surfa Lugnt ifrågasätter hur en bestämd åldersgräns i praktiken ska kunna följas. Kommerskollegium, som ifrågasätter om en åldersgräns överhuvudtaget kommer att leda till ett stärkt integritetsskydd, framför att en högre åldersgräns kan anses onödigt betungande för tjänsteleverantörer ur ett handelsperspektiv. Även Företagarna pekar på stora problem för tillhandahållare men också för användare av tjänsterna som kan komma att blockeras i sin användning av nättjänster med anledning av ålder. Malmö kommun lyfter bl.a. fram det förhöjda skydd som dataskyddsförordningen generellt ger vid behandling av barns personuppgifter. Att goda skyddsmekanismer kan uppnås genom dataskyddsförordningen och annan lagstiftning anser även Barnens Rätt i Samhället.
Om åldersgränsen bestäms till 13 år anser länsstyrelserna i Kronobergs län och Stockholms län att regleringen bör följas upp med utbildningsinsatser i hem och skola. Även Falköpings kommun lyfter fram att information om personuppgiftsbehandling bör ingå som en del i att öka elevers digitala kompetens. Sveriges elevkårer anser också att information och dialog om beteenden på internet är bättre än att utestänga barn från sociala nätverksforum. Surfa Lugnt instämmer i att en utökad och förbättrad dialog kring internet mellan barn och vuxna är viktig. Barnens Rätt i Samhället framhåller att det hade varit önskvärt med ett förslag om att Datainspektionen ska kunna ta fram en sammanfattning av lagtexten på lättbegriplig svenska i syfte att spridas som information i skolor för att barn lättare ska tillgodogöra sig innehållet.
Några remissinstanser, såsom Kammarrätten i Göteborg, Barnombudsmannen, Datainspektionen, Mörbylånga kommun, Jönköpings läns landsting och Sveriges läkarförbund, anser, bl.a. med utgångspunkt i hur åldersgränsen för barns samtycke och möjlighet att agera i rättsliga och andra sammanhang är satt i Sverige, att det finns skäl att överväga en åldersgräns om 15 år. Datainspektionen betonar att den hittills tillämpade åldersgränsen för när barn normalt ska anses förstå innebörden och konsekvenserna av en viss behandling av personuppgifter och därmed kunna ge sitt samtycke till den är 15 år. Statens skolinspektion, Statens skolverk och Dorotea kommun är av samma uppfattning. Skolinspektionen hänvisar också till sin granskning som visar att elevers interaktion på internet ofta sker utan insyn av vuxna vilket medför att kränkningar på internet kan vara svåra att upptäcka och utreda. Enligt Skolinspektionen skulle integritetsskyddet för unga öka markant med en åldersgräns om 15 år.
Ett antal remissinstanser, såsom Riksdagens ombudsmän, Förvaltningsrätten i Linköping, Försäkringskassan, Pensionsmyndigheten, Östergötlands läns landsting, länsstyrelserna i Värmland, Skåne och Stockholms län, Specialpedagogiska skolmyndigheten, Lunds universitet, Grästorps kommun, Stiftelsen för internetinfrastruktur och Lärarnas riksförbund, avstyrker eller är tveksamma till utredningens förslag och menar bl.a. att det underlag som utredningen presenterar inte är tillräckligt för att avvika från förordningens 16-årsgräns liksom att 13 år är en för lågt satt åldersgräns. Folkhälsomyndigheten understryker att utredningens förslag vilar på ett bristfälligt kunskapsunderlag där resonemanget till stora delar saknar ett barnperspektiv. Förvaltningsrätten i Linköping framför att barn utgör en utsatt grupp som måste ha ett särskilt skydd och att ett barn bör ha uppnått en sådan ålder att han eller hon förstår vad samtycket avser och konsekvenserna av det. Enligt Stiftelsen för internetinfrastruktur är det inte relevant vilka andra skyddsmekanismer som finns för att "rätta till" det ogiltiga samtycket.
Några remissinstanser, t.ex. Förvaltningsrätten i Jönköping, Uppsala universitet, Umeå universitet, Länsstyrelsen i Kronobergs län, Västerbottens läns landsting och Östergötlands läns landsting efterfrågar en närmare analys av frågan om åldersgräns. Kammarrätten i Göteborg, Polismyndigheten, Datainspektionen, Försäkringskassan, Socialstyrelsen, Karlskrona kommun och Sveriges Kommuner och Landsting framhåller vikten av en harmonisering av åldersgränsen för barns samtycke till personuppgiftsbehandling. Av det skälet menar flera av dessa remissinstanser att det är tveksamt att avvika från förordningens 16-årsgräns. Företagarna menar dock att det saknas behov av att anpassa åldersgränsen efter andra länders val.
Kammarrätten i Göteborg föreslår att uttrycket den person som har föräldraansvar i den föreslagna paragrafen ändras till barnets vårdnadshavare. Länsstyrelsen i Kronobergs län betonar att det i förslaget bör förtydligas om ett samtycke krävs från båda vårdnadshavarna vid gemensam vårdnad.
Östergötlands läns landsting och Sveriges advokatsamfund anser att begreppet informationssamhällets tjänster behöver utredas vidare. Statistiska centralbyrån väcker frågan om även tjänster på distans, som sker elektroniskt via en individuell begäran av en tjänstemottagare, men utan ersättning och som erbjuds av t.ex. en myndighet omfattas av begreppet informationssamhällets tjänster. När det gäller begreppet direkt till barn delar Kommerskollegium utredningens tolkning att begreppet bör ta sikte på sådana tjänster som kan antas användas av barn. Barnens Rätt i Samhället efterlyser ett förtydligande av formuleringen förebyggande och rådgivande tjänster som erbjuds direkt till barn som föreskrivs i skäl 38 i förordningen och konkreta exempel på hur krav på utformning av information och samtycke ur ett barnperspektiv kan uppfyllas. Surfa Lugnt föreslår att en myndighet eller organisation ska få i uppgift att utvärdera konsekvenserna av ett införande av en åldersgräns.
Skälen för regeringens förslag
Allmänt om regleringen i dataskyddsförordningen
För att en personuppgiftsbehandling ska vara laglig krävs att det finns en rättslig grund för behandlingen enligt artikel 6 i dataskyddsförordningen. Samtycke från den registrerade utgör enligt artikel 6.1 a en sådan rättslig grund. I artikel 8.1 i dataskyddsförordningen anges att vid erbjudande av informationssamhällets tjänster direkt till ett barn, ska behandling av personuppgifter få ske med stöd av den registrerades samtycke om barnet är minst 16 år. Om barnet är under 16 år ska sådan behandling vara tillåten endast om och i den mån samtycket ges eller godkänns av den person som har föräldraansvar för barnet. Medlemsstaterna får föreskriva en lägre ålder i sin nationella rätt, under förutsättning att denna ålder inte är lägre än 13 år. I skäl 38 uttalas att barns personuppgifter förtjänar ett särskilt skydd, eftersom barn kan vara mindre medvetna om risker, skyddsåtgärder och rättigheter. Det särskilda skyddet bör i synnerhet gälla användningen av barns personuppgifter i marknadsföringssyfte, för att skapa personlighets- eller användarprofiler samt för insamling av uppgifter när tjänster som erbjuds direkt till barn utnyttjas. Samtycke från den person som har föräldraansvar över ett barn bör enligt skältexten inte krävas för förebyggande eller rådgivande tjänster som erbjuds direkt till barn. I likhet med Barnens Rätt i Samhället anser regeringen att det ligger närmast till hands att tolka förebyggande eller rådgivande tjänster som erbjuds direkt till barn som tjänster som enbart innefattar insatser direkt riktade mot utsatta barn och att det är önskvärt att uttrycket inte får en alltför bred tolkning. Det kan dock konstateras att den aktuella begränsningen av kravet på samtycke från den person som har föräldraansvaret inte återfinns i artikeltexten och att den närmare innebörden är oklar.
Det är enligt dataskyddsförordningen endast vid erbjudande av informationssamhällets tjänster till någon som är under 16 år som samtycket till behandlingen av personuppgifter behöver ges eller godkännas av den som har föräldraansvaret för barnet. När det gäller personuppgiftsbehandling som sker i andra sammanhang får en bedömning, liksom tidigare, göras i varje enskilt fall av den registrerades förmåga att förstå innebörden av ett lämnat samtycke.
Begreppet informationssamhällets tjänster
Informationssamhällets tjänster är ett EU-rättsligt begrepp och definieras i artikel 4.25 i dataskyddsförordningen som alla tjänster enligt definitionen i artikel 1.1 b i Europaparlamentets och rådets direktiv (EU) 2015/1535 av den 9 september 2015 om ett informationsförfarande beträffande tekniska föreskrifter och beträffande föreskrifter för informationssamhällets tjänster (direktiv 2015/1535). I sistnämnda artikel anges att informationssamhällets tjänster är tjänster som vanligtvis utförs mot ersättning, på distans, på elektronisk väg och på individuell begäran av en tjänstemottagare. I denna artikel anges vidare att med på distans avses att tjänsten tillhandahålls utan att parterna är närvarande samtidigt. Med på elektronisk väg avses att tjänsten sänds vid utgångspunkten och tas emot vid slutpunkten med hjälp av utrustning för elektronisk behandling och lagring av uppgifter och i sin helhet sänds, befordras och tas emot genom tråd, radio, optiska medel eller andra elektromagnetiska medel. Med på individuell begäran av en tjänstemottagare avses att tjänsten tillhandahålls genom överföring av uppgifter på individuell begäran.
Begreppet används även i bl.a. Europaparlamentets och rådets direktiv 2000/31/EG av den 8 juni 2000 om vissa rättsliga aspekter på informationssamhällets tjänster, särskilt elektronisk handel, på den inre marknaden (e-handelsdirektivet). Vid tolkningen av begreppet har EU-domstolen konstaterat att det inte krävs att tjänsten betalas av den som åtnjuter tjänsten för att den ska omfattas av definitionen. Tjänsten kan t.ex. finansieras genom inkomster via reklam som visas på en webbplats (dom Papasavvas, C-291/13, EU:C:2014:2209, punkterna 28-30). Redan definitionen av begreppet i direktiv 2015/1535 indikerar att ersättning inte nödvändigtvis måste utgå vid utförandet av tjänsten och att det, som Statistiska centralbyrån lyfter fram, inte finns något direkt hinder mot att en sådan tjänst erbjuds av t.ex. en myndighet. När e-handelsdirektivet genomfördes i svensk rätt uttalade dock regeringen att med informationssamhällets tjänster avses - förenklat uttryckt - varje aktivitet som sker online, med någon ekonomisk innebörd. Regeringen menade att begreppet omfattar en mängd olika tjänster, däribland informationstjänster och söktjänster (prop. 2001/02:150 s. 1 och 19). Begreppet informationssamhällets tjänster kan enligt sin definition också innefatta bl.a. olika sociala medier, t.ex. bloggar, internetforum, webbplatser för videoklipp, chattprogram och sociala nätverk. Även onlinespel och olika applikationer (appar) för smarta enheter kan omfattas av definitionen. Eftersom det är fråga om ett EU-rättsligt begrepp är det vanskligt att, som Östergötlands läns landsting och Sveriges advokatsamfund efterlyser, ge ytterligare vägledning om begreppets innebörd.
Vissa av informationssamhällets tjänster kan tillhandahållas och användas utan att någon behandling av personuppgifter sker. I praktiken är det emellertid mycket vanligt att användaren måste dela med sig av vissa personuppgifter för att kunna utnyttja tjänsten. Vilka personuppgifter som samlas in, hur de används av tjänstetillhandahållaren själv och hur dessa uppgifter delas med andra varierar från tjänst till tjänst. De uppgifter som samlas in kan vara uppgifter som den enskilde måste uppge för att få använda en tjänst, såsom ett namn, användarnamn, födelsedatum, kön, adress, e-postadress och mobiltelefonnummer. Det kan även vara uppgifter om kreditkorts- och betalningsinformation. Ofta behandlas också personuppgifter vid användningen av en tjänst. Det kan röra sig om bl.a. geografiska lokaliseringsuppgifter eller uppgifter om vem användaren interagerar med. Även webbläsarhistorik kan skapas och bli föremål för senare behandling. Uppgifter kan också synkroniseras med andra användares uppgifter, exempelvis uppgifter från adressboken på en telefon. Uppgifterna kan användas i olika syften, t.ex. för direktmarknadsföring.
Uttrycket direkt till barn
Det framgår inte av dataskyddsförordningen vad som avses med uttrycket att en tjänst ska erbjudas direkt till barn. Det skulle kunna tolkas på flera olika sätt. En möjlig tolkning är att det endast omfattar tjänster som uttryckligen riktar sig till barn. Det skulle också kunna vara användarens faktiska ålder som avgör om tjänsten omfattas av uttrycket. Regeringen anser, i likhet med utredningen, att mycket talar för att det avgörande bör vara om tjänsten kan antas användas av barn. Bedömningen blir då inte beroende av hur tjänsteleverantören presenterar sin tjänst utåt. Både tjänster som direkt marknadsförs mot barn och tjänster som i och för sig inte marknadsförs som särskilt anpassade för barn, men som på grund av sin utformning eller sitt innehåll och funktion är av det slaget att de typiskt sett kan antas användas av barn, omfattas vid en sådan tolkning av bestämmelsen. Uttrycket direkt till barn är emellertid EU-rättsligt och det är EU-domstolen som ytterst kan ge vägledning för tolkningen.
Uttrycket den person som har föräldraansvar för barnet
Som framgår ovan förekommer uttrycket den person som har föräldraansvar i artikel 8.1 i dataskyddsförordningen. Vad som avses med uttrycket framgår dock inte av förordningen och Länsstyrelsen i Kronobergs län efterlyser därför närmare vägledning om hur det bör tolkas.
Begreppet föräldraansvar förekommer också i artikel 2.7 i förordningen (EG) nr 2201/2003 om domstols behörighet och om erkännande och verkställighet av domar i äktenskapsmål och mål om föräldraansvar samt om upphävande av förordning (EG) nr 1347/2000 (Bryssel II-förordningen). I den förordningen definieras föräldraansvar som alla rättigheter och skyldigheter som en fysisk eller juridisk person har tillerkänts genom en dom, på grund av lag eller genom en överenskommelse med rättslig verkan, med avseende på ett barn eller dess egendom. Det anges vidare att föräldraansvar omfattar bl.a. vårdnad och umgänge. På motsvarande sätt definieras föräldraansvar i artikel 1.2 i den i Haag den 19 oktober 1996 dagtecknade konventionen om behörighet, tillämplig lag, erkännande, verkställighet och samarbete i frågor om föräldraansvar och åtgärder till skydd för barn (1996 års Haagkonvention). I Sverige finns regler om barn och deras ställföreträdare i föräldrabalken. Den som har vårdnaden om ett barn har ansvar för barnets personliga förhållanden. Därmed har vårdnadshavaren rätt och skyldighet att bestämma i olika frågor som rör barnet.
Enligt regeringens bedömning bör med uttrycket den person som har föräldraansvar för barnet i dataskyddsförordningen i första hand avses ett barns vårdnadshavare eller någon annan med uppdrag att vara i vårdnadshavarens ställe, t.ex. god man för ensamkommande barn. Om uttrycket skulle ges motsvarande innebörd som i Bryssel II-förordningen kan dock även andra omfattas, exempelvis föräldrar med umgängesrätt. Eftersom uttrycket är EU-rättsligt är det ytterst EU-domstolen som avgör dess innebörd. Det är mot denna bakgrund inte möjligt att, som Kammarrätten i Göteborg föreslår, ersätta uttrycket med vårdnadshavare.
Det finns ingen reglerad åldersgräns i dag
Det finns i dag ingen uttrycklig reglering vare sig i dataskyddsdirektivet eller i personuppgiftslagen om barns samtycke till personuppgiftsbehandling. En bedömning av om den underåriges samtycke ska anses utgöra rättslig grund för personuppgiftsbehandling har därför fått göras från fall till fall.
Datainspektionen har uttalat att det krävs att den som ger samtycket kan förstå innebörden av det. En person som inte själv kan tillgodogöra sig informationen om vad ett samtycke till personuppgiftsbehandling innebär kan inte ge ett rättsligt bindande samtycke. Datainspektionen har vidare ansett att barn under 15 år i allmänhet inte kan anses ha nått en sådan mognad att de kan förstå innebörden av att samtycka till personuppgiftsbehandling. Samtidigt har Datainspektionen i ett samrådsyttrande som rörde användande av personnummer som spärr för deltagande på en chattsajt framhållit att föräldrarnas samtycke till barns registrering av sina personuppgifter måste inhämtas i vart fall när det gäller barn som inte har fyllt 13 år (SOU 2017:39 s. 137 och 138). Detta visar att det inte är helt tydligt vad som i dag gäller i frågan om åldersgräns för barns samtycke till personuppgiftsbehandling.
I Sverige får en omyndig person, dvs. en person som är under 18 år, som huvudregel inte själv råda över sin egendom eller åta sig förbindelser. Det finns dock ett antal undantag från denna huvudregel. I vissa sammanhang får barnet självt ingå rättshandlingar och föra sin talan. Dessutom ska ibland barnets samtycke ges avgörande betydelse. I flera författningar, t.ex. 21 kap. 5 § föräldrabalken och 4 kap. 3 § patientlagen (2014:821), föreskrivs även att barnets vilja ska tillmätas betydelse med ökad ålder och mognad. När det gäller barnets möjligheter att ingå avtal och sköta andra angelägenheter av ekonomisk natur gäller i vissa fall en åldersgräns om 16 år. I några enstaka fall har åldersgränsen bestämts till 12 år. Denna åldersgräns gäller t.ex. vid samtycke till adoption och när reklam i tv-sändningar får syfta till att fånga uppmärksamheten hos barn. I andra sammanhang har åldersgränsen för barns samtycke och möjlighet att själva agera ofta satts vid 15 år. Barn som har fyllt 15 år har t.ex. rätt att själva föra sin talan i mål och ärenden enligt lagen (1990:52) med särskilda bestämmelser om vård av unga. Vidare kan en person som har fyllt 15 år dömas till påföljd för brott som han eller hon begått. Dessutom är sexuellt umgänge med barn kriminaliserat endast såvitt gäller barn under 15 år.
I svensk lag är det således ovanligt att det stipuleras en lägre åldersgräns än 15 år. Detta talar enligt regeringens mening för att åldersgränsen i Sverige för att kunna lämna ett giltigt samtycke inte bör sättas lägre än 15 år. Samtidigt talar bl.a. avsaknaden av en lagstadgad åldersgräns - och det förhållandet, som Svenskt Näringsliv framhåller, att de flesta bolag som riktar sig till unga med digitala varor och tjänster utgår från den 13-årsgräns som föreskrivs i amerikansk rätt - för att åldersgränsen bör vara så låg som förordningen medger. Även barns yttrande- och informationsfrihet samt självbestämmelserätt talar för det. Se vidare nedan.
Olika åldersgränser gäller i olika länder
Ett antal remissinstanser, t.ex. Datainspektionen, pekar på den harmoniseringstanke som genomsyrar dataskyddsreformen och framhåller vikten av en harmonisering av åldersgränsen. I pågående lagstiftningsarbeten i andra länder behandlas bl.a. frågan om en åldersgräns för barns samtycke till personuppgiftsbehandling. Det faktum att den aktuella regleringen i dataskyddsförordningen ger nationell flexibilitet visar dock att harmonisering inte har ansetts avgörande i denna fråga. Till bilden hör också, som exempelvis Svenskt Näringsliv poängterar, att en 13-årsgräns gäller i några andra länder, t.ex. i USA. Detta talar för att Sverige bör välja en åldersgräns om 13 år.
Barn har yttrande- och informationsfrihet samt självbestämmanderätt
Som flera remissinstanser, t.ex. Myndigheten för press, radio och TV och Sveriges elevkårer, framhåller måste stor vikt fästas vid de fri- och rättigheter som barn åtnjuter. I FN:s konvention om barnets rättigheter, den s.k. barnkonventionen, anges bl.a. att konventionsstaterna ska tillförsäkra det barn som är i stånd att bilda egna åsikter rätten att fritt uttrycka dessa i alla frågor som rör barnet, varvid barnets åsikter ska tillmätas betydelse i förhållande till barnets ålder och mognad. Barnkonventionen slår också fast att barnet har rätt till yttrandefrihet. Denna rätt innefattar frihet att oberoende av territoriella gränser söka, motta och sprida information och tankar av alla slag, i tal, skrift eller tryck, i konstnärlig form eller genom annat uttrycksmedel som barnet väljer.
Det finns anledning att understryka att föräldrar och andra vårdnadshavare har både en rätt och en skyldighet att ge barnet lämplig ledning och råd vid utövandet av barnets rättigheter. Vägledning ska ges på ett sätt som överensstämmer med barnets fortlöpande utveckling. Barnet ska alltså med stigande ålder få större möjlighet att själv styra över på vilket sätt det vill ta vara på sina rättigheter. Eftersom barn håller på att utvecklas fysiskt och psykiskt, måste dock utövandet av barnets rättigheter anpassas till dess utvecklingsnivå.
Dagens barn och unga använder internet bl.a. för att ta del av information, sprida åsikter liksom förmedla tankar och därigenom utöva de fri- och rättigheter som beskrivs ovan. Som flera remissinstanser konstaterar har tillgången till information via söktjänster och deltagandet i olika onlineaktiviteter stor social betydelse för barn och unga. Det är ett sätt att skapa och behålla kontakt med kamrater, delta i politiska och andra diskussionsforum, söka information till skolarbeten, spela spel, se på film och lyssna på musik. Studier visar att användningen av sociala nätverkssajter, såsom Facebook, Instagram och Kik, har ökat markant de senaste åren (SOU 2016:41 s. 374-376). En hög åldersgräns för när ett barn själv kan ge giltigt samtycke till personuppgiftsbehandling kan i praktiken leda till att barn i mitten av sin tonårstid utestängs från möjligheten till social och kulturell samvaro inom ramen för det som avses med informationssamhällets tjänster, om dess vårdnadshavare inte samtycker till den personuppgiftsbehandling som krävs för att barnet ska kunna använda tjänsten. Detta kan i sin tur leda till en inskränkning i barnets rätt att fritt söka information och uttrycka sig i olika sammanhang. Det innebär också en begränsning av barnets självbestämmanderätt. Dessa oönskade effekter talar med styrka för att åldersgränsen bör bestämmas till den lägsta tillåtna, dvs. 13 år. Samtidigt måste de oönskade effekterna vägas emot de integritetsvinster som en högre åldersgräns skulle kunna ge.
Det finns tillräckliga skyddsmekanismer
Integritetsriskerna för barn som använder informationssamhällets tjänster är i första hand kopplade till att ett samtycke i de flesta fall innebär att en stor mängd uppgifter om barnet kan lagras och spridas i marknadsföringssyfte. Direktmarknadsföring är ofta ett grundläggande inslag i affärsmodellen för sociala nätverkstjänster och andra typer av informationssamhällets tjänster. Användarnas personuppgifter samlas in och sparas, bl.a. för att beteendebaserad reklam ska kunna riktas till användaren. Detta kan betraktas som en slags kartläggning av användarnas personliga förhållanden, i den mån de kommer till uttryck i deras aktiviteter online, t.ex. vid användning av en söktjänst eller ett socialt medium. En sådan kartläggning kan, särskilt om den pågår under lång tid, i sig medföra stora risker för intrång i den personliga integriteten.
Flera remissinstanser invänder mot utredningens förslag av den anledningen att ett barn vid 13 års ålder inte har uppnått en sådan mognad att det kan förstå innebörden och konsekvenserna av ett samtycke. Samtidigt menar Barnens Rätt i Samhället att barn som är 13 år och yngre har insikt och förmåga att kunna fatta beslut med konsekvenser för den egna integriteten. Att förstå i vilken utsträckning och för vilket syfte personuppgifter behandlas i samband med att en tjänst erbjuds och används kräver, som utredningen uttalar, en hög grad av insikt och mognad. Det kan vara komplex information att ta till sig och det kan vara svårt att förstå och värdera riskerna med personuppgiftsbehandlingen. Regleringen i dataskyddsförordningen innebär dock att det ställs höga krav på tjänstetillhandahållarna att utforma informationen om vad ett samtycke innebär, särskilt i förhållande till barn, för att samtycket ska ses som giltigt i förordningens mening.
För att förstå innebörden och konsekvenserna av ett samtycke menar regeringen, i likhet med bland andra Falköpings kommun, att en avgörande förutsättning är att barn och unga erhåller information som syftar till att öka deras digitala kompetens. I detta sammanhang kan nämnas att regeringen i mars 2017 beslutade om förtydliganden och förstärkningar i bl.a. läroplaner, kursplaner och ämnesplaner för grundskolan och gymnasieskolan i syfte att tydliggöra skolans uppdrag att stärka elevernas digitala kompetens (U2017/01134/S). Vidare beslutade regeringen i oktober 2017 om en nationell digitaliseringsstrategi där det övergripande målet för skolväsendet är att det svenska skolväsendet ska vara ledande i att använda digitaliseringens möjligheter på bästa sätt för att uppnå en hög digital kompetens hos barn och elever och för att främja kunskapsutvecklingen och likvärdigheten (U2017/04119/S).
Liksom Förvaltningsrätten i Linköping anser regeringen att barn måste ha ett starkt skydd för den personliga integriteten. Det kan emellertid konstateras att redan de allmänna bestämmelserna om samtycke i dataskyddsförordningen ger ett starkt skydd. Av artikel 7.2 framgår att en begäran om samtycke ska läggas fram på ett sätt som klart och tydligt kan särskiljas från de andra frågorna i en begriplig och lätt tillgänglig form, med användning av ett klart och tydligt språk. Enligt artikel 7.3 ska den registrerade när som helst ha rätt att återkalla samtycket. Dataskyddsförordningen ger också ett särskilt starkt skydd för barn i vissa avseenden. I skäl 38 uttalas att barns personuppgifter förtjänar ett särskilt skydd, eftersom barn kan vara mindre medvetna om risker, skyddsåtgärder och rättigheter. Det särskilda skyddet bör, enligt samma skäl, i synnerhet gälla användningen av barns personuppgifter i marknadsföringssyfte, för att skapa personlighets- eller användarprofiler samt för insamling av uppgifter när tjänster som erbjuds direkt till barn utnyttjas. Av artikel 12.1 och skäl 58 följer att information och kommunikation som riktar sig till barn ska utformas på ett tydligt och enkelt språk som barnet lätt kan förstå. Det är i nuläget inte möjligt att, som Barnens Rätt i Samhället efterfrågar, ge närmare vägledning för hur samtycket och informationen till barn bör utformas. Enligt artikel 57.1 b i dataskyddsförordningen ska dock varje tillsynsmyndighet ansvara för att bl.a. öka allmänhetens medvetenhet om och förståelse för risker, regler, skyddsåtgärder och rättigheter i fråga om behandling. Särskild uppmärksamhet ska ägnas åt insatser som riktar sig till barn. Inom detta ansvar skulle sådana insatser som att ta fram sammanfattningar av lagtexten på lättbegriplig svenska, som Barnens Rätt i Samhället föreslår, kunna ingå.
Det finns vidare, som utredningen pekar på, även annan lagstiftning på t.ex. marknadsföringsområdet och branschpraxis som syftar till att hindra att barns personuppgifter används i marknadsföringssyfte. Enligt svensk rätt strider det även som huvudregel mot god marknadsföringssed att rikta direktreklam till barn under 16 år (se MD 1999:26 och MD 2012:14).
I likhet med utredningen bedömer regeringen att det finns tillräckliga skyddsmekanismer för att förhindra omfattande insamling och annan behandling av barns personuppgifter i marknadsföringssyfte och som minskar riskerna i samband med att barn lämnar samtycke till behandling av personuppgifter vid användningen av informationssamhällets tjänster.
Sammanfattande bedömning
Tillgången till information via söktjänster och deltagandet i olika onlineaktiviteter har stor social betydelse för barn och unga. Genom olika tjänster på internet kan barn och unga i dag ta del av information, bilda sin egen åsikt och förmedla sina tankar på ett enkelt sätt och därigenom utöva flera av de fri- och rättigheter som kommer till uttryck i barnkonventionen. En hög åldersgräns för när ett barn själv kan lämna ett giltigt samtycke till personuppgiftsbehandling kan leda till att barn utestängs från möjligheten att delta i och utnyttja sådana sociala medier som innefattas i begreppet informationssamhällets tjänster. Enligt regeringens mening finns det tillräckliga skyddsmekanismer för att skydda barn både i dataskyddsregleringen och inom marknadsrätten. Regeringen bedömer därför att vikten av barns rätt till självbestämmande och yttrande- och informationsfrihet väger tyngre än det ökade integritetsskydd som en hög åldersgräns skulle kunna leda till. Till skillnad från t.ex. Riksdagens ombudsmän och Förvaltningsrätten i Linköping anser regeringen att det finns tillräckligt underlag för att komma fram till slutsatsen att barn som har fyllt 13 år själva ska kunna samtycka till personuppgiftsbehandling i samband med att informationssamhällets tjänster erbjuds direkt till barn. Det kan dock finnas anledning att, som Surfa Lugnt föreslår, vid behov återkomma till frågan och i framtiden utvärdera konsekvenserna av den reglerade åldersgränsen.
10 Känsliga personuppgifter
10.1 Förbudet och undantagen föreskrivs i dataskyddsförordningen
Regeringens förslag: Personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa och uppgifter om en fysisk persons sexualliv eller sexuella läggning ska i dataskyddslagen benämnas känsliga personuppgifter.
Regeringens bedömning: Behandling av känsliga personuppgifter får ske endast under de förutsättningar som anges i EU:s dataskyddsförordning. Undantagen från förbudet mot behandling är direkt tillämpliga.
Utredningens förslag och bedömning överensstämmer delvis med regeringens. Utredningen bedömer att vissa av undantagen i sig måste föreskrivas i nationell rätt, antingen i generell eller i sektorsspecifik reglering, för att vara tillämpliga. Vidare föreslår utredningen en upplysningsbestämmelse avseende behandling av känsliga personuppgifter.
Remissinstanserna: Det stora flertalet remissinstanser instämmer i utredningens bedömning eller kommenterar den inte. Polismyndigheten anser att begreppet känsliga personuppgifter, som är väl inarbetat, inte bör utökas till att omfatta genetiska och biometriska uppgifter. Vetenskapsrådet och Sveriges advokatsamfund anser att begreppet särskilda kategorier av personuppgifter bör användas i stället för begreppet känsliga personuppgifter. Förvaltningsrätten i Stockholm efterfrågar förtydliganden avseende skillnaden mellan nödvändighetsrekvisitets innebörd i artiklarna 6 och 9 samt anser att upplysningsbestämmelsen har en något svår lagteknisk lösning. Datainspektionen anser att det är en brist att utredningen inte gjort någon analys av hur de föreslagna undantagsbestämmelserna för behandling av känsliga personuppgifter förhåller sig till kravet på rättslig grund. Pensionsmyndigheten anser inte att det är självklart att det finns ett behov av att i dataskyddslagen eller i annan nationell lagstiftning ta in bestämmelser om undantag från förbudet att behandla känsliga personuppgifter. Dataskydd.net anser att upplysningsbestämmelsen ska tas bort och att utredningen missar poängen med bestämmelserna i artikel 9.2 b, g, h, i och j.
Skälen för regeringens förslag och bedömning: Enligt dataskyddsförordningen måste all behandling av personuppgifter vila på en rättslig grund. En grundläggande förutsättning för behandling är således att någon av de rättsliga grunder som anges i artikel 6 är tillämpliga. Dessutom ska den personuppgiftsansvarige följa de principer för behandlingen som framgår av artikel 5. För vissa typer av personuppgifter måste därutöver särskilda krav vara uppfyllda för att behandling ska få ske.
Enligt artikel 9.1 i dataskyddsförordningen är det förbjudet att behandla uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa och uppgifter om en fysisk persons sexualliv eller sexuella läggning. Bestämmelsen är direkt tillämplig och kräver inga åtgärder av medlemsstaterna.
Ett liknande förbud finns i artikel 6 i dataskyddskonventionen och i artikel 8.1 i dataskyddsdirektivet. Genetiska och biometriska uppgifter liksom uppgifter om sexuell läggning är dock nya kategorier som lagts till i dataskyddsförordningen.
I såväl direktivet som förordningen anges det i rubriken till bestämmelsen att den avser behandling av särskilda kategorier av personuppgifter. I förordningens skäl 10 och 51 omnämns dessa uppgifter i stället som känsliga respektive särskilt känsliga uppgifter. I personuppgiftslagen och andra svenska författningar används benämningen känsliga personuppgifter. Det begreppet är väl inarbetat, även på EU-nivå, och är språkligt enklare att använda och förstå, inte minst i författningstext. Regeringen anser därför, till skillnad från Polismyndigheten och Sveriges advokatsamfund, att begreppet känsliga personuppgifter bör användas i dataskyddslagen som samlingsbenämning för sådana uppgifter som tillhör de särskilda kategorier av personuppgifter som anges i artikel 9 i dataskyddsförordningen.
Förordningens förbud ska enligt artikel 9.2 inte tillämpas om någon av de situationer som beskrivs i punkterna a-j föreligger. Något utrymme för medlemsstaterna att föreskriva ytterligare undantag från förbudet lämnas inte. Däremot får medlemsstaterna behålla eller införa mer specifika bestämmelser i fråga om behandling som sker med stöd av artikel 6.1 c och e, även när det gäller känsliga personuppgifter (artikel 6.2 och skäl 10). Vissa av undantagen i artikel 9.2 innehåller också uttryckliga hänvisningar till och krav på innehållet i unionsrätten och medlemsstaternas nationella rätt. Detta gäller bestämmelserna i artikel 9.2 b (arbetsrätt m.m.), g (viktigt allmänt intresse), h (hälso- och sjukvård m.m.), i (folkhälsa) och j (arkiv, forskning och statistik) samt artikel 9.3. Utredningen bedömer att dessa hänvisningar i vissa fall innebär att undantagen i sig bör föreskrivas i nationell rätt, antingen i generell eller i sektorsspecifik reglering. Pensionsmyndigheten ifrågasätter den bedömningen.
Det är som utredningen påpekar inte helt klart vilken innebörd hänvisningarna till och kraven på unionsrätten och den nationella rätten har eller vilken betydelse det har att de utformats på olika sätt. Enligt regeringens mening är det dock uppenbart att det vid behandling av känsliga personuppgifter i de situationer som beskrivs i nämnda bestämmelser krävs ett annat stöd i rättsordningen, utöver det som dataskyddsförordningen ger. De särskilda krav som i respektive punkt ställs på det rättsliga stödet för behandlingen måste nämligen vara uppfyllda för att undantagen i artikel 9.2 ska vara tillämpliga. Dessa krav går utöver de som ställs på rättslig grund enligt artikel 6 i dataskyddsförordningen. Tröskeln för att den personuppgiftsansvarige ska få behandla känsliga personuppgifter är således högre än den som gäller för behandling av andra personuppgifter i samma situation. Detta innebär dock inte att undantagen i sig måste genomföras i svensk rätt för att vara tillämpliga. Vidare är innebörden av kravet på att behandlingen ska vara nödvändig, som Förvaltningsrätten i Stockholm efterfrågar förtydliganden om, enligt regeringens bedömning densamma i artikel 9 som i artikel 6, se avsnitt 8.1.
Det bör noteras att flera av undantagsbestämmelserna i artikel 9.2 inte innehåller någon hänvisning till nationell rätt, närmare bestämt de som anges i artikel 9.2 c, d, e och f. Dessa undantag gäller vid behandling som sker för att skydda en persons grundläggande intressen (c), inom vissa icke vinstdrivande organ (d), då personuppgifterna har offentliggjorts av den registrerade (e) respektive i samband med rättsliga anspråk eller i dömande verksamhet (f). Eftersom det är uppenbart att dessa bestämmelser inte föranleder några nationella författningsåtgärder behandlas de inte här. I den utsträckning det inte framkommer något annat i förordningen eller genom EU-domstolens praxis, framstår det dock som naturligt att dessa undantagsbestämmelser tolkas i linje med den praxis som utvecklats enligt motsvarande bestämmelser i dataskyddsdirektivet och personuppgiftslagen.
Regeringen anser inte att det finns skäl att, som utredningen föreslår, införa någon allmän upplysningsbestämmelse avseende behandling av känsliga personuppgifter.
Överväganden och förslag när det gäller behandling av känsliga personuppgifter för arkivändamål av allmänt intresse och statistiska ändamål finns i avsnitt 14.
10.2 Den registrerades samtycke
Regeringens bedömning: Det bör inte införas något undantag från bestämmelsen om att känsliga personuppgifter får behandlas med stöd av den registrerades uttryckliga samtycke.
Utredningens bedömning överensstämmer med regeringens.
Remissinstanserna ger inte uttryck för någon annan uppfattning.
Skälen för regeringens bedömning: I artikel 9.2 a i dataskyddsförordningen finns en möjlighet för medlemsstaterna att föreskriva att den registrerade inte kan samtycka till behandling av känsliga personuppgifter. Bestämmelsen motsvarar artikel 8.2 a i dataskyddsdirektivet. Vid införandet av personuppgiftslagen ansåg regeringen att det inte fanns något integritetsskyddsintresse som gjorde det befogat att förbjuda en behandling som den registrerade och den personuppgiftsansvarige var överens om (prop. 1997/98:44 s. 69). Det infördes därför varken någon sådan bestämmelse i lag eller någon möjlighet för regeringen eller Datainspektionen att föreskriva om förbud mot behandling trots den registrerades samtycke. Utredningen anser att det inte heller nu bör införas ett förbud mot behandling trots den registrerades samtycke.
Regeringen ansluter sig till utredningens bedömning i denna fråga, som inte heller ifrågasätts av remissinstanserna. Den registrerades uttryckliga samtycke bör alltså även fortsättningsvis medföra att känsliga personuppgifter får behandlas. Att behandling av känsliga personuppgifter får ske då den registrerade har lämnat sitt samtycke framgår direkt av artikel 9.2 a och behöver inte föreskrivas i nationell rätt. Det innebär att någon nationell reglering inte bör införas på grund av artikel 9.2 a.
10.3 Arbetsrätt, social trygghet och socialt skydd
Regeringens förslag: Känsliga personuppgifter får behandlas om det är nödvändigt för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och inom områdena social trygghet och socialt skydd. Personuppgifter som behandlas med stöd av detta undantag får lämnas ut till tredje part endast om det inom arbetsrätten eller inom områdena social trygghet och socialt skydd finns en skyldighet för den personuppgiftsansvarige att göra det eller om den registrerade uttryckligen har samtyckt till utlämnandet.
Utredningens förslag överensstämmer i sak med regeringens. I utredningens förslag anges dock inte områdena social trygghet och socialt skydd uttryckligen i bestämmelsen.
Remissinstanserna: En majoritet av remissinstanserna tillstyrker förslaget eller har inga synpunkter på det. Centrala studiestödsnämnden anser att det är klokt att inta en försiktig hållning och inte föreslå någon reglering på områdena social trygghet och socialt skydd. Uppsala universitet ifrågasätter i stället utredningens resonemang och anser att antagandet att den sociala trygghetslagstiftningen ligger långt bort från arbetsrätten är olyckligt och riskerar att skapa fel slutsatser om när och hur arbetsgivare får behandla personuppgifter. Malmö kommun och Piteå kommun anser att det är oklart om begreppet social trygghet och socialt skydd ska ha den EU-rättsliga innebörd som utredningen menar. Svensk Försäkring påpekar att gruppförsäkringar och i de flesta fall även tjänstepensionerna tillhandahålls av försäkringsföretag, som behöver behandla känsliga personuppgifter för att kunna tillhandahålla det avsedda försäkringsskyddet. Pensionsmyndigheten avstyrker förslaget och anser att det inte finns något i förordningstexten som ger skäl för nationella regler. Dataskydd.net avstyrker förslaget och anser att artikel 9.2 inte kan kringgås annat än genom lagstiftning som ger behandlingen en rättslig grund, vilket i så fall sker i annan lagstiftning än dataskyddslagen. Flera remissinstanser, bl.a. Svensk Handel och Svenskt Näringsliv, har synpunkter på hur bestämmelsen om utlämnande till tredje part bör tolkas och tillämpas.
Skälen för regeringens förslag
I artikel 9.2 b i dataskyddsförordningen föreskrivs ett undantag från förbudet mot behandling av känsliga personuppgifter på arbetsrättens område. Undantaget motsvaras delvis av artikel 8.2 b i dataskyddsdirektivet, som har genomförts i svensk rätt genom 16 § första stycket a PUL. Förordningens undantag är dock vidare och avser behandling som är nödvändig för att både den personuppgiftsansvarige och den registrerade ska kunna fullgöra sina rättigheter och skyldigheter inom arbetsrätten. Vidare omfattar bestämmelsen i förordningen även områdena social trygghet och socialt skydd. Undantaget gäller i den omfattning behandlingen är tillåten enligt nationell rätt eller ett kollektivavtal och under förutsättning att lämpliga skyddsåtgärder som säkerställer den registrerades grundläggande rättigheter och intressen fastställs.
Termen arbetsrätt har vid tillämpningen av personuppgiftslagen getts en vid tolkning som innebär att i stort sett alla skyldigheter och rättigheter för arbetsgivare beträffande de anställda och deras organisationer innefattas, såsom exempelvis behandling i samband med sjuklön och rehabilitering av arbetstagare. Även skyldigheter och rättigheter för fackliga organisationer i förhållande till arbetsgivare och deras organisationer omfattas.
Utredningen anser att det inte är helt klart vad som avses med begreppen social trygghet och socialt skydd i artikel 9.2 b, men konstaterar att sociallagstiftning och den lagstiftning som återfinns på socialförsäkringsområdet sakligt sett tycks ligga långt ifrån arbetsrätten. Med tanke på det sammanhang där begreppen förekommer bedömer utredningen att avsikten sannolikt i stället är att reglera behandling som är nödvändig för att arbetsgivare, fackförbund eller arbetsgivarorganisationer ska kunna erbjuda eller förmedla pensioner och försäkringar med anknytning till den registrerades anställning eller yrkesliv, såsom tjänstepensioner och olika typer av gruppförsäkringar. Eftersom sådan behandling i många fall ändå kan ske med stöd av undantaget som rör arbetsrätten, undantaget som rör viktiga allmänna intressen eller med stöd av samtycke, ser utredningen inte behov av att införa denna del av artikel 9.2 b i dataskyddslagen.
Uppsala universitet ifrågasätter utredningens bedömning i denna del. Universitetet menar att begreppen social trygghet och socialt skydd har en viss innebörd enligt EU-rätten samt att det är avsett att vara ett vitt begrepp. Utredningens antagande om att den sociala trygghetslagstiftningen ligger långt bort från arbetsrätten är enligt universitet olyckligt och riskerar att skapa fel slutsatser om när och hur arbetsgivare får behandla personuppgifter.
Enligt regeringens bedömning torde det stå klart att bestämmelsen i artikel 9.2 b gör det möjligt att behandla även känsliga personuppgifter när det är nödvändigt för att i vart fall arbetsgivare, arbetstagare, fackliga organisationer och arbetsgivarorganisationer ska kunna fullgöra sina skyldigheter eller utöva sina rättigheter med koppling till arbetslivet. Det är således inte bara behandling av personuppgifter som har sin rättsliga grund i arbetsrätten, i snäv bemärkelse, som omfattas. Bestämmelsen bör, precis som 16 § PUL, även kunna tillämpas vid behandling av personuppgifter som en arbetsgivare utför som en följd av lagstiftningen på socialförsäkringsområdet, t.ex. i samband med en arbetstagares sjukdom och rehabilitering. Det kan därför ifrågasättas om det tillägg som gjorts i dataskyddsförordningen avseende områdena social trygghet och social omsorg innebär någon egentlig förändring jämfört med vad som gäller enligt personuppgiftslagen. För närvarande går det dock inte att dra några helt säkra slutsatser om begreppens innebörd. Som Uppsala universitet påpekar har begreppen en unionsrättslig innebörd och denna kommer efter hand att klargöras genom bl.a. EU-domstolens praxis. Det kan därför inte uteslutas att begreppen har en vidare innebörd än vad som följer av utredningens bedömning.
En förutsättning för att behandlingen ska omfattas av undantaget i artikel 9.2 b är att den är tillåten enligt gällande rätt, t.ex. enligt kollektivavtal, och att detta rättsliga stöd innehåller bestämmelser om lämpliga skyddsåtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Detta innebär dock inte att undantaget i sig måste genomföras i svensk rätt för att vara tillämpligt.
Det finns inte bara en, utan många olika tänkbara rättsliga grunder för behandling av personuppgifter med koppling till arbetslivet. I de fall den rättsliga grunden är en rättslig förpliktelse eller en uppgift av allmänt intresse ska den, enligt artikel 6.3 första stycket i dataskyddsförordningen, vara fastställd i enlighet med unionsrätten eller den nationella rätten. Sådana fastställda förpliktelser och uppgifter för exempelvis arbetsgivare förekommer i Sverige i kollektivavtal och arbetsrättslig lagstiftning, men också på andra områden, t.ex. i socialförsäkringsbalken, lagen (1991:1047) om sjuklön och diskrimineringslagen (2008:567).
Behov av att behandla också känsliga personuppgifter i dessa sammanhang förekommer i alla sektorer av samhället. Det finns inte någon sektorsspecifik reglering som på ett övergripande plan tillgodoser förordningens krav på skyddsåtgärder. Motsvarande krav på skyddsåtgärder i dataskyddsdirektivet har i stället tillgodosetts genom bestämmelsen i 16 § första stycket a samt andra stycket PUL.
För att möjliggöra sådan nödvändig behandling som avses i artikel 9.2 b och samtidigt tillgodose kravet på skyddsåtgärder anser regeringen, till skillnad från bl.a. Pensionsmyndigheten, att det krävs en generell reglering i svensk rätt även fortsättningsvis. Med avvikelse från utredningens förslag bör denna uttryckligen omfatta även områdena social trygghet och socialt skydd. Den svenska bestämmelsen skulle annars, mot bakgrund av att förordningen nämner dessa områden särskilt, kunna uppfattas som snävare än avsett.
En begränsning av möjligheten att lämna ut uppgifter till utomstående, i likhet med vad som gäller enligt 16 § andra stycket PUL, framstår som en i sammanhanget effektiv och lämplig skyddsåtgärd. Känsliga personuppgifter som behandlas med stöd av detta undantag bör således få lämnas ut till tredje part bara om det inom arbetsrätten eller inom områdena social trygghet och socialt skydd finns en uttrycklig skyldighet för den personuppgiftsansvarige att göra det eller den registrerade har samtyckt till utlämnandet. De synpunkter som bl.a. Svenskt Näringsliv framför angående behovet av att även i andra fall än dessa lämna ut uppgifter till utomstående föranleder inte regeringen att göra någon annan bedömning än utredningen i fråga om den generella reglering som det nu är fråga om. Den skyldighet att lämna ut personuppgifter som avses i 16 § andra stycket PUL ska följa av lagstiftning, myndighetsbeslut eller av ett muntligt eller skriftligt avtal (jfr prop. 1997/98:44 s. 124). Detsamma bör gälla även fortsättningsvis. På motsvarande sätt bör den praxis som finns kring tillämpningen av 16 § andra stycket PUL kunna vara vägledande även vid tillämpningen av bestämmelsen i dataskyddslagen.
Det förtjänar att poängteras att den föreslagna bestämmelsen inte ersätter vare sig artikel 6 eller artikel 9.2 b i dataskyddsförordningen. De skyldigheter och rättigheter som gör behandlingen nödvändig, och därmed utgör rättslig grund, måste fastställas någon annanstans än i dataskyddslagen. Vidare kan de särskilda krav som ställs i artikel 9.2 b vara uppfyllda även genom andra bestämmelser än den föreslagna. Behandling av känsliga personuppgifter kan alltså ske med stöd av artikel 9.2 b även i andra fall, nämligen om behandlingen är tillåten enligt kollektivavtal eller enligt annan författning än dataskyddslagen, under förutsättning att lämpliga skyddsåtgärder fastställts.
Många gruppförsäkringar och kanske särskilt flera av de som har anknytning till arbetslivet eller som följer av kollektivavtal kan fylla en viktig funktion inom området social trygghet och socialt skydd (jfr prop. 2003/04:150 s. 314 och 343). Den föreslagna bestämmelsen skulle därför kunna vara tillämplig även för de som tillhandahåller eller administrerar sådana försäkringar. Bestämmelsen utgör inte heller någon inskränkning av de möjligheter att behandla känsliga personuppgifter som följer av andra undantagsbestämmelser i artikel 9.2 i dataskyddsförordningen. Flera undantagsbestämmelser kan vara tillämpliga samtidigt. Således kommer exempelvis försäkringsföretag även i fortsättningen att, med stöd av artikel 9.2 f, kunna behandla känsliga personuppgifter när detta är nödvändigt till följd av avtal med fackliga organisationer om gruppförsäkring för deras medlemmar (jfr prop. 1997/98:44 s. 125). På motsvarande sätt kan det vara nödvändigt för t.ex. en arbetsgivare att med stöd av artikel 9.2 f lämna ut uppgifter till en advokat eller annan rådgivare, för att kunna göra gällande eller försvara rättsliga anspråk i arbetsrättsliga ärenden.
10.4 Viktigt allmänt intresse
Regeringens förslag: Myndigheter och andra som omfattas av offentlighetsprincipen får behandla känsliga personuppgifter, om uppgifterna har lämnats till den personuppgiftsansvarige och behandlingen krävs enligt lag. Dessutom får en myndighet behandla känsliga personuppgifter, om det är nödvändigt för handläggningen av ett ärende. Vidare får känsliga personuppgifter behandlas av en myndighet i annat fall, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
Vid behandling som sker enbart med stöd av de nämnda grunderna, är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
Regeringen får meddela ytterligare föreskrifter om sådan behandling av känsliga personuppgifter som är nödvändig med hänsyn till ett viktigt allmänt intresse.
Utredningens förslag överensstämmer i huvudsak med regeringens. Utredningen föreslår att myndigheter ska få behandla känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Dessutom innebär utredningens förslag att myndigheter i enstaka fall ska få behandla känsliga personuppgifter om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Slutligen föreslår utredningen ett absolut sökförbud samt att bemyndigandet ska ha en annan språklig utformning.
Remissinstanserna: En majoritet av remissinstanserna tillstyrker förslaget eller har inga synpunkter på det. Socialstyrelsen, Malmö kommun, Piteå kommun och Västra Götalands läns landsting anser att den generella regleringen behövs bl.a. för att täcka in behandling som inte omfattas av någon sektorsspecifik reglering. Kronofogdemyndigheten anser att utredningens förslag är viktiga för att myndigheten ska kunna behandla personuppgifter som är nödvändiga i verksamheten. Lunds universitet konstaterar att förslaget i princip följer Informationshanteringsutredningens förslag och anser att detta är lämpligt, men skulle inte heller motsätta sig en viss utvidgning av myndigheternas möjligheter att hantera personuppgifter i allmänt intresse. Diskrimineringsombudsmannen påpekar att vad som anses vara viktiga allmänna intressen varierar över tid och är beroende av samhällsutvecklingen samt anser att myndigheters möjligheter till behandling av känsliga personuppgifter i enstaka fall ska begränsas särskilt. Riksrevisionen anser att utredningens uttalande om att begränsningen till löpande text inte behöver utesluta att handlingar med ostrukturerade känsliga personuppgifter lagras elektroniskt i ärendehanteringssystem eller liknande behöver utvecklas. Vidare menar Riksrevisionen att det vore önskvärt att ett sådant undantag från förbudet att behandla känsliga personuppgifter kommer till uttryck i lagen. Riksrevisionen påpekar vidare att känsliga personuppgifter kan behöva behandlas på annat sätt än i löpande text för att utföra lagstadgad revision. Barnombudsmannen ser ett behov av förtydligande i författningstexten som klargör och säkerställer att myndighetens behandling av känsliga personuppgifter kan ske i den faktiska verksamheten. Skatteverket anser att det är oklart vad förslaget om undantag från förbudet att behandla känsliga personuppgifter i enstaka fall ska omfatta. Piteå kommun anser att kravet på absolut nödvändighet för ändamålet skulle kunna mildras och förordar i stället en skrivning som ger möjlighet till behandling liknande den som medges enligt 5 a § PUL. Datainspektionen avstyrker förslaget och anser att bestämmelsen bör utformas så att det klart framgår att behandling av känsliga personuppgifter endast är tillåten om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse. Om denna särskilda förutsättning för behandlingen inte framgår finns enligt Datainspektionen risk för att myndigheter vilseleds av formuleringen, särskilt som det inte finns någon egentlig begränsning av vad myndigheter kan behandla som ärende. Datainspektionen håller med utredningen om att myndigheters hantering av inkomna handlingar torde utgöra ett sådant viktigt allmänt intresse. För att uppnå det som utredningen har avsett och som den har bedömt proportionerligt krävs att förslaget i den delen begränsas till den lagstiftning som reglerar myndigheters och likställda organs hantering av inkomna handlingar. Att införa ett nytt begrepp, absolut nödvändigt, riskerar enligt Datainspektionen att leda till förvirring hos den enskilde personuppgiftsansvarige och en felaktig tillämpning av dataskyddsregleringen. Även Kungliga tekniska högskolan anser att begreppet absolut nödvändigt har språkliga likheter med begreppet nödvändigt och att en begreppsförvirring är oundviklig. Förvaltningsrätten i Stockholm ifrågasätter varför nödvändighetskravet inte finns med i vissa av förslagen. Lunds universitet anför, angående det föreslagna undantaget för behandling som krävs enligt lag, att det bör framgå tydligare av lagtexten om avsikten är att knyta undantaget till offentlighetsprincipen. Pensionsmyndigheten anser inte att det är självklart att förordningen ska tolkas så att det finns ett behov av att i dataskyddslagen eller i annan nationell lagstiftning ta in bestämmelser om undantag från förbudet att behandla känsliga personuppgifter. Pensionsmyndigheten anser att det bör analyseras ytterligare om det är det viktiga allmänna intresset, snarare än behandlingen, som ska regleras i nationell rätt. Vidare anser Pensionsmyndigheten att den föreslagna bestämmelsen rörande behandling i löpande text kan bli svår att tillämpa för myndigheter som har helt automatiserade handläggningsflöden och anser därför att den bör göras teknikneutral. Pensionsmyndigheten vill också framhålla att den lagtekniska utformningen, som innebär att bestämmelserna avgränsats till uppgifter som lämnats i ett ärende eller till myndigheten, gör att det inte är möjligt att tillämpa bestämmelsen när behandling av känsliga personuppgifter sker i myndigheters s.k. egna utrymmen. Likartade synpunkter angående myndigheternas egna utrymmen har lämnats av Bolagsverket och Sveriges advokatsamfund. Dataskydd.net avstyrker förslaget och anser att artikel 9.2 inte kan kringgås annat än genom lagstiftning som ger behandlingen en rättslig grund, vilket i så fall sker i annan lagstiftning än i dataskyddslagen. Hovrätten för Västra Sverige anser att det är positivt att utredningen föreslår att myndigheter inte får använda sökbegrepp som avslöjar känsliga personuppgifter. Domstolsverket anser att ett sökförbud som utformats i enlighet med utredningens förslag är lätt att tillämpa och därmed leder till tydlighet och enkelhet. Domstolsverket påpekar dock att det vid behandling för arkivändamål av allmänt intresse inte finns något sökförbud, vilket torde få till följd att det sökförbud som gäller för myndigheters personuppgiftsbehandling upphör i samband med att uppgifter arkiveras. Polismyndigheten tillstyrker förslaget om generellt sökförbud men framhåller att det behövs ett undantag för sökningar på känsliga personuppgifter som sker i registervårdande syfte. Säkerhets- och integritetsskyddsnämnden ifrågasätter utformningen av det föreslagna sökförbudet och anser att dess ordalydelse i praktiken förhindrar all användning av sökbegrepp, vilket bl.a. kan omöjliggöra en effektiv registervård och tillsyn. Migrationsverket anser att det, utifrån ett integritetsperspektiv, är bra att det föreslås ett sökförbud gällande känsliga personuppgifter, men påpekar att det medför en risk för att viss nödvändig personuppgiftsbehandling inte kan genomföras. Migrationsverket anser att sökning, även gällande känsliga personuppgifter, borde tillåtas med förbehållet att uppgifterna endast får tas fram för helt avidentifierad statistik. Skatteverket anser att det skulle underlätta om sökbegränsningarna utformas på samma sätt i dataskyddslagen och brottsdatalagen. Specialpedagogiska skolmyndigheten påpekar att sökförbudet kan leda till problem för specialskolan när det gäller att ta fram verksamhetsstatistik. Transportstyrelsen anser att det, om det införs ett sökförbud för känsliga personuppgifter, bör övervägas undantag för myndigheters sökningar i verksamhetssystem där syftet är att följa upp och kvalitetssäkra den egna verksamheten. Piteå kommun ser stora administrativa svårigheter med att leva upp till ett förbud mot att använda sökbegrepp som avslöjar känsliga personuppgifter. Detta förslag riskerar enligt kommunen att bli kostnadsdrivande för kommunerna utan tydlig nytta. Sveriges advokatsamfund anser att den föreslagna sökbegränsningen bör anpassas till den service som myndigheter ger åt privatpersoner.
Skälen för regeringens förslag
Begreppet viktigt allmänt intresse
Av artikel 9.2 g framgår att förbudet mot behandling av känsliga personuppgifter inte gäller om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande intressen. Bestämmelsen motsvarar artikel 8.4 i dataskyddsdirektivet.
En första förutsättning för att detta undantag ska vara tillämpligt är att behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse. Vad som är ett allmänt intresse respektive ett viktigt allmänt intresse är dock inte definierat i vare sig dataskyddsdirektivet eller dataskyddsförordningen, och begreppens innebörd har inte heller utvecklats närmare av EU-domstolen.
I förordningen används begreppet viktigt allmänt intresse, förutom i artikel 9.2 g, även i artikel 17 angående folkhälsoområdet och i artikel 23.1 e angående unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet. I skäl 19 andra stycket anges att när privata organs behandling av personuppgifter omfattas av förordningens tillämpningsområde, bör förordningen ge medlemsstaterna möjlighet att, under särskilda villkor, i lag begränsa vissa skyldigheter och rättigheter, om en sådan begränsning utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda särskilda viktiga intressen, däribland allmän säkerhet samt förebyggande, förhindrande, utredning, avslöjande och lagföring av brott eller verkställande av straffrättsliga påföljder eller skydd mot samt förebyggande och förhindrande av hot mot den allmänna säkerheten. Detta är enligt samma skäl exempelvis relevant i samband med bekämpning av penningtvätt eller verksamhet vid kriminaltekniska laboratorier. I skäl 112 anges internationella utbyten av uppgifter mellan konkurrensmyndigheter, skatte- eller tullmyndigheter, finanstillsynsmyndigheter, socialförsäkringsmyndigheter eller hälsovårdsmyndigheter, t.ex. vid kontaktspårning för smittsamma sjukdomar eller för att minska och/eller undanröja dopning inom idrott, som exempel på viktiga allmänintressen.
Det är, som utredningen påpekar, svårt att på ett generellt plan definiera vad som skiljer ett allmänt intresse från ett viktigt allmänt intresse. Enligt regeringens bedömning torde det dock stå klart att verksamhet som innefattar myndighetsutövning utgör ett viktigt allmänt intresse. När det gäller myndigheters behandling måste det enligt regeringens mening också anses utgöra ett viktigt allmänt intresse att svenska myndigheter, även utanför området för myndighetsutövning, kan bedriva den verksamhet som tydligt faller inom ramen för deras befogenheter på ett korrekt, rättssäkert och effektivt sätt.
Av de exempel som ges i förordningen framgår dock att också viss verksamhet som bedrivs av privata aktörer kan omfattas av begreppet viktigt allmänt intresse. Utrymmet för att privata aktörer ska kunna tillämpa artikel 9.2 g behandlas dock inte i utredningens betänkande och omfattas inte heller av detta lagstiftningsärende.
Särskilda krav ställs på det rättsliga stödet
En andra förutsättning för att undantaget i artikel 9.2 g ska vara tillämpligt är att behandlingen sker på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet. Enligt regeringens bedömning innebär detta att den rättsliga grunden för behandlingen typiskt sett kommer att vara någon av de som avses i artikel 6.1 c eller e, dvs. en rättslig förpliktelse, en uppgift av allmänt intresse eller myndighetsutövning som har stöd i rättsordningen på det sätt som beskrivs i avsnitt 8.
För att behandling av känsliga personuppgifter ska få ske ställs emellertid särskilda krav på det rättsliga stödet. Detta måste vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande intressen. Det kan konstateras att dessa krav på det rättsliga stödet motsvarar kraven för att begränsa de rättigheter som skyddas av EU:s stadga om de grundläggande rättigheterna. I artikel 52 i stadgan anges att varje begränsning i utövandet av de rättigheter och friheter som erkänns i denna stadga ska vara föreskriven i lag och förenlig med det väsentliga innehållet i dessa rättigheter och friheter.
Vad som utgör det väsentliga innehållet i rätten till dataskydd definieras inte i dataskyddsförordningen. Regeringen har dock svårt att föreställa sig en rättslig grund för behandling av personuppgifter som uppfyller kraven i artikel 6, men som ändå inte är förenlig med det väsentliga innehållet i rätten till dataskydd. Om grunden för behandlingen inte är förenlig med det väsentliga innehållet i rätten till dataskydd torde den inte utgöra en godtagbar rättslig grund för behandling av personuppgifter över huvud taget. Det kan därför ifrågasättas om tillägget i artikel 9.2 g utgör ett krav som går utöver de krav som gäller enligt artikel 6 och som måste vara uppfyllda vid all behandling av personuppgifter i allmänt intresse.
Däremot tillkommer enligt artikel 9.2 g ett krav på att gällande rätt innehåller bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande intressen. Detta krav överensstämmer med det som har gällt även enligt dataskyddsdirektivet och innebär således ingen ny begränsning av möjligheten att behandla känsliga personuppgifter. Det innebär inte heller att undantaget i sig måste genomföras i svensk rätt för att vara tillämpligt.
Det behövs en generell reglering avseende myndigheters behandling
För att myndigheter ska kunna bedriva sin verksamhet är det ofta nödvändigt att behandla känsliga personuppgifter och i många fall sker behandlingen i den registrerades eget intresse. Det finns därför ett behov av en tydlig reglering som tillåter viss behandling av känsliga personuppgifter hos myndigheterna. I många fall finns sådana bestämmelser i sektorsspecifika författningar om behandling av personuppgifter. Det finns också bestämmelser som tillåter behandling av känsliga personuppgifter på ett mer indirekt sätt, t.ex. i form av bestämmelser som anger att uppgifter eller handlingar ska överlämnas till andra myndigheter eller till enskilda som begär det. Det behov av att behandla känsliga personuppgifter som därutöver finns hos myndigheter är i dag tillgodosett genom att viss behandling är tillåten genom den s.k. missbruksregeln i 5 a § PUL och enligt 8 § PUF.
Dataskyddsdirektivets krav på skyddsåtgärder har i svensk rätt ofta ansetts tillgodosett genom att uppgifterna omfattas av bestämmelser om sekretess. Det har också ansetts utgöra en skyddsåtgärd att bara tillåta behandling av känsliga personuppgifter som inte innefattar ett missbruk av personuppgifterna (prop. 2005/06:173 s. 34).
Missbruksregeln i 5 a § PUL anger att flertalet bestämmelser i personuppgiftslagen inte ska tillämpas vid behandling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter. Bestämmelsen innebär bl.a. att förbudet mot behandling av känsliga personuppgifter inte gäller vid sådan ostrukturerad behandling. I stället gäller en allmän begränsning om att behandling inte får utföras om den innebär en kränkning av den registrerades personliga integritet. Bestämmelsen är enligt förarbetena avsedd att gälla t.ex. vid behandling av personuppgifter i löpande text i ordbehandlingsprogram, i e-post eller på internet (prop. 2005/06:173 s. 58).
Enligt 8 § PUF får känsliga personuppgifter behandlas av en myndighet i löpande text, om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Bestämmelsen möjliggör t.ex. att känsliga personuppgifter får finnas i skälen till ett beslut, när det krävs för att uppfylla kraven på att beslut ska innehålla de skäl som bestämt utgången. Dessutom har bestämmelsen ansetts ge stöd för att uppgifter behandlas i ärendehanteringssystem, då de förekommer i handlingar med löpande text (SOU 2015:39 s. 306). Den formulering som används i 8 § PUF har däremot inte ansetts omfatta s.k. faktisk verksamhet som en myndighet bedriver (jfr Lagrådets yttrande över förslaget till lag om behandling av personuppgifter inom socialtjänsten, prop. 2000/01:80 s. 272), t.ex. rådgivning och annan service, uppföljning eller olika former av samverkan utan ärendeanknytning. Vid faktisk verksamhet är det således bara 5 a § PUL som kan tillämpas, om sektorsspecifik reglering saknas.
Det kan enligt regeringens mening inte råda något tvivel om att det är ett viktigt allmänt intresse att myndigheterna kan sköta sitt uppdrag på ett korrekt, rättssäkert och effektivt sätt. Det gäller även, som bl.a. Barnombudsmannen påpekar, i den faktiska verksamheten. Missbruksregeln i 5 a § PUL har dock ingen motsvarighet i dataskyddsförordningen. Det kan inte heller tas för givet att det för all offentlig verksamhet redan finns sådana lämpliga och särskilda åtgärder som krävs enligt artikel 9.2 g i dataskyddsförordningen för att känsliga personuppgifter ska få behandlas. Regeringen bedömer därför, till skillnad från bl.a. Pensionsmyndigheten, att det behövs särskilda bestämmelser i dataskyddslagen som är tillämpliga för alla myndigheter och som uppfyller kraven i artikel 9.2 g i dataskyddsförordningen.
Pensionsmyndigheten, Bolagsverket och Sveriges advokatsamfund påpekar att det inte är möjligt att tillämpa de bestämmelser som utredningen föreslår när känsliga personuppgifter behandlas i myndigheters s.k. egna utrymmen. Regeringen kan dock konstatera att de särskilda frågeställningar som rör sådan behandling inte föranleds av dataskyddsförordningen. Därmed behandlas de inte i detta lagstiftningsärende.
Behandling som krävs enligt lag
Viss behandling av känsliga personuppgifter är oundviklig i myndigheternas verksamhet som en direkt följd av exempelvis offentlighets- och sekretesslagens och förvaltningslagens krav, såsom krav på diarieföring och skyldighet att ta emot e-post. Samma skyldigheter gäller i viss utsträckning för vissa andra organ än myndigheter, som en följd av att dessa organ jämställs med myndigheter enligt offentlighets- och sekretesslagen. Utredningen föreslår mot denna bakgrund en bestämmelse om att myndigheter och andra organ som omfattas av offentlighetsprincipen får behandla känsliga personuppgifter som har lämnats till myndigheten eller organet om behandlingen krävs enligt lag.
Den grundlagsfästa rätten att ta del av allmänna handlingar måste enligt regeringens mening anses utgöra ett viktigt allmänt intresse. Ordning och reda bland allmänna handlingar är en förutsättning för att handlingsoffentligheten ska fungera och fylla sitt syfte. Den hantering av allmänna handlingar som krävs enligt svensk rätt är därför motiverad med hänsyn till ett viktigt allmänt intresse. En stor del av denna hantering sker i den elektroniska miljön och medför behandling av personuppgifter.
Den nödvändiga behandling av personuppgifter som sker vid hanteringen av allmänna handlingar har rättslig grund i svensk rätt, framför allt i offentlighets- och sekretesslagen, arkivlagstiftningen och förvaltningslagen. Denna lagstiftning innehåller lämpliga och särskilda åtgärder som skyddar enskildas integritet, t.ex. i form av sekretess, rätt till partsinsyn och föreskrifter om informationssäkerhet och gallring. Enligt regeringens bedömning kan därmed även känsliga personuppgifter behandlas då det är nödvändigt i dessa sammanhang, med stöd av artikel 9.2 g i dataskyddsförordningen.
För att det inte ska råda något tvivel om att denna nödvändiga behandling är tillåten också efter den 25 maj 2018 bör dataskyddslagen innehålla en uttrycklig bestämmelse som tydliggör detta. Enligt regeringens mening saknas det skäl att, som Datainspektionen och Lunds universitet förordar, tydligare än utredningens förslag koppla bestämmelsen till den behandling som sker som en följd av offentlighetsprincipen. Den föreslagna formuleringen, som innebär att behandling är tillåten endast om den krävs enligt lag i kombination med att bestämmelsen endast avser uppgifter som har lämnats till myndigheten, utgör enligt regeringens bedömning en tillräckligt tydlig begränsning av bestämmelsens tillämpningsområde. Således bör det av dataskyddslagen framgå att myndigheter och andra som omfattas av offentlighetsprincipen får behandla känsliga personuppgifter, om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag.
Det bör noteras att ett utlämnande av en allmän handling som sker på begäran av en enskild inte sker med stöd av dataskyddsförordningen eller dataskyddslagen. Ett sådant utlämnande sker i stället med stöd av tryckfrihetsförordningen, som enligt artikel 86 och den bestämmelse som föreslås i avsnitt 7.1 har företräde framför dataskyddsförordningen. Detta gäller även om den allmänna handlingen innehåller känsliga personuppgifter.
Behandling som är nödvändig för handläggningen av ett ärende
Utredningen föreslår att myndigheter ska få behandla känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Förslaget motsvarar 8 § PUF. Regeringen kan dock konstatera att uppgifter som har lämnats i ett ärende, men som inte är nödvändiga för handläggningen av ärendet, inte bör behandlas i större utsträckning än vad som krävs enligt lag. Sådan behandling är tillåten enligt vad som anförs ovan. Stödet för denna behandling behöver inte upprepas i den bestämmelse som nu övervägs.
Som framgår av avsnitt 8 är myndighetsutövning och övriga uppgifter av allmänt intresse som myndigheter har befogenhet att utföra alltid fastställda i enlighet med svensk rätt. Behandling av personuppgifter kan därmed ske på denna rättsliga grund. Enligt regeringens bedömning står det klart att det också är ett viktigt allmänt intresse att myndigheternas ärendehandläggning kan ske på ett effektivt och rättssäkert sätt. Datainspektionen anser att det inte finns någon egentlig begränsning av vad myndigheter kan behandla som ärende och anser att bestämmelsen bör utformas så att det klart framgår att behandling av känsliga personuppgifter endast är tillåten om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse. Regeringens uppfattning är dock att ärendebegreppet i de allra flesta fall är förhållandevis tydligt (jfr prop. 2016/17:180 s. 23-25 och s. 286). Begreppet används som avgränsning för förvaltningslagens tillämpningsområde och bör enligt regeringens mening användas även här. Bestämmelsen bör således vara tillämplig vid handläggningen av ett ärende.
Som Förvaltningsrätten i Stockholm påpekar innehåller utredningens förslag inget krav på att behandlingen ska vara nödvändig vid handläggningen av ett ärende. I stället anges att uppgifterna ska vara nödvändiga. Regeringen anser att det uttryck som används i artikel 9.2 g i dataskyddsförordningen, dvs. att behandlingen ska vara nödvändig, bör användas även i dataskyddslagen. Detta utgör ingen förändring i sak, eftersom det inte kan anses vara nödvändigt att behandla sådana uppgifter som i sig inte behövs. Således bör det i bestämmelsen anges att behandlingen ska vara nödvändig för handläggningen av ett ärende.
Utredningens förslag är begränsat till behandling i löpande text. Utredningen uttalar dock att denna begränsning inte bör utesluta att handlingar med ostrukturerade känsliga personuppgifter lagras elektroniskt i ärendehanteringssystem eller liknande. Riksrevisionen anser att detta uttalande behöver utvecklas och att det vore önskvärt att ett sådant undantag från förbudet att behandla känsliga personuppgifter kommer till uttryck i lagen. Pensionsmyndigheten anser att den föreslagna bestämmelsen kan bli svår att tillämpa för myndigheter som har helt automatiserade handläggningsflöden och anser därför att den bör göras teknikneutral.
Regeringen kan konstatera att den tekniska utvecklingen har lett till att de flesta ordbehandlingsprogram och e-postapplikationer, liksom dokument- och ärendehanteringssystem, innehåller sök- och sorteringsfunktioner som gör det mycket enkelt att strukturera informationen, även om detta inte varit syftet med den ursprungliga registreringen av uppgifterna. Gränsen mellan vad som utgör strukturerad och ostrukturerad behandling är således inte alltid helt lätt att dra och därmed mindre ändamålsenlig som avgränsning i fråga om vad som utgör ett otillbörligt integritetsintrång.
Som Informationshanteringsutredningen konstaterade i sitt betänkande hanteras myndigheters ärenden i dag vanligen inom ramen för ett elektroniskt ärendehanteringssystem, dvs. i en databas (SOU 2015:39 s. 306). Nödvändig behandling av känsliga personuppgifter, bl.a. i sådana system, bör enligt regeringens mening vara tillåten vid handläggningen av ett ärende oavsett om uppgifterna förekommer i löpande text eller inte. De skyddsåtgärder som omgärdar myndigheternas behandling, bl.a. genom bestämmelserna om sekretess i offentlighets- och sekretesslagen och bestämmelserna om partsinsyn m.m. i förvaltningslagen, bör i stället kompletteras med en sökbegränsning (se nedan).
Sammanfattningsvis föreslår regeringen att myndigheter ska få behandla känsliga personuppgifter om behandlingen är nödvändig för handläggningen av ett ärende.
Behandling som inte innebär ett otillbörligt intrång
Även inom ramen för myndigheters faktiska verksamhet, dvs. sådan verksamhet som inte utgör handläggning av ärenden, är behandling av känsliga personuppgifter ofta nödvändig med hänsyn till viktiga allmänna intressen. Det kan t.ex. röra sig om att myndigheten besvarar en fråga från en medborgare som via e-post uppgett känsliga personuppgifter eller att känsliga personuppgifter framkommer vid kommunikationen mellan skola och föräldrar eller inom en myndighet i samband med utvärdering av den egna verksamheten. Enligt nuvarande ordning är sådan behandling tillåten med stöd av missbruksregeln i 5 a § PUL, om behandlingen inte innebär en kränkning av den registrerades personliga integritet. Regeringen anser, mot bakgrund av vikten av att samhällets funktioner upprätthålls, att dataskyddslagen på ett likartat sätt bör ge myndigheterna ett visst utrymme för behandling av känsliga personuppgifter även i den faktiska verksamheten.
Utredningen föreslår att myndigheter i enstaka fall ska få behandla känsliga personuppgifter om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Datainspektionen invänder mot användningen av begreppet absolut nödvändigt och anser, liksom Kungliga tekniska högskolan, att det leder till begreppsförvirring. Datainspektionen föreslår att begreppet synnerlig vikt används i stället. Piteå kommun anser att kravet på absolut nödvändighet för ändamålet skulle kunna mildras.
Regeringen instämmer i att användningen av olika rekvisit, vars närmare innebörd i förhållande till varandra inte är uppenbar, skulle kunna leda till vissa tillämpningssvårigheter. Det krav som gäller enligt dataskyddsförordningen, dvs. att behandlingen ska vara nödvändig, bör därför användas även i dataskyddslagen. Att bestämmelsen är avsedd att användas restriktivt bör i stället markeras genom ett snävt tillämpningsområde.
Inom myndigheternas faktiska verksamhet kan det förekomma situationer där behandling av känsliga personuppgifter inte kan anses vara nödvändig med hänsyn till ett viktigt allmänt intresse, även om behandlingen är nödvändig för något annat ändamål. Utredningens förslag innehåller dock ingen begränsning i fråga om tillåtna ändamål. Datainspektionen anser att bestämmelsen bör utformas så att det klart framgår att behandling av känsliga personuppgifter endast är tillåten om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse. Regeringen är av samma uppfattning. Bestämmelsen bör således, för att bättre överensstämma med artikel 9.2 g i dataskyddsförordningen, avgränsas till behandling som är nödvändig med hänsyn till ett viktigt allmänt intresse. Detta utgör ett tillkommande villkor, jämfört med vad som gäller enligt missbruksregeln i 5 a § PUL. Den närmare EU-rättsliga innebörden av begreppet viktigt allmänt intresse bör överlämnas till rättstillämpningen att utveckla.
I lagrådsremissen föreslår regeringen, i likhet med utredningen, att bestämmelsen bör vara tillämplig endast i enstaka fall. Regeringen kan emellertid instämma i Lagrådets uppfattning att uttrycket i annat fall bör användas i stället. På så vis förtydligas att bestämmelsen tar sikte på sådan behandling som inte omfattas av övriga bestämmelser i lagen om behandling av känsliga personuppgifter för viktiga allmänna intressen.
Bestämmelsen bör utformas på ett sätt som säkerställer att det alltid finns lämpliga och särskilda åtgärder för den registrerade, på det sätt som krävs för att nödvändig behandling av känsliga personuppgifter ska vara tillåten enligt artikel 9.2 g. Till en början kan konstateras att det i svensk rätt redan finns en omfattande sekretessreglering, till skydd för enskildas ekonomiska och personliga förhållanden, som i många fall utgör en tillräcklig skyddsåtgärd. Dessutom föreslås att en särskild sökbegränsning ska införas i dataskyddslagen (se nedan). En bestämmelse som reglerar möjligheten att behandla känsliga personuppgifter i myndigheternas faktiska verksamhet, bör dock innehålla ytterligare särskilda skyddsåtgärder. Det är angeläget även mot bakgrund av vad Diskrimineringsombudsmannen påpekar, nämligen att vad som anses vara viktiga allmänna intressen varierar över tid och är beroende av samhällsutvecklingen.
Bestämmelsen bör därför, som utredningen föreslår, innehålla ett krav på att behandlingen inte får ske om den innebär ett otillbörligt intrång i de registrerades integritet. Detta krav motverkar att känsliga personuppgifter behandlas slentrianmässigt i den löpande verksamheten, utan att annat författningsstöd finns. För att avgöra om intrånget är otillbörligt måste myndigheten göra en proportionalitetsbedömning där behovet av att utföra behandlingen viktas mot de registrerades intresse av att behandlingen inte sker. Detta innebär inte att den personuppgiftsansvarige måste göra en bedömning i förhållande till varje berörd individ. Ju mindre tydligt myndighetens behov av att behandla uppgifterna är, desto större är dock sannolikheten för att de registrerades intresse typiskt sett väger tyngre och att intrånget därför bör betraktas som otillbörligt. Vid bedömningen av de registrerades intresse bör vikt läggas vid sådana aspekter som uppgifternas känslighet, behandlingens karaktär, den inställning de registrerade kan antas ha till behandlingen, den spridning uppgifterna kan komma att få och risken för vidarebehandling för andra ändamål än insamlingsändamålet. Den närmare betydelsen av begreppet otillbörligt intrång bör dock också ges utrymme att utvecklas i rättstillämpningen.
I detta sammanhang bör noteras att det vid behandling som innebär betydande intrång i den personliga integriteten och innebär övervakning eller kartläggning av den enskildes personliga förhållanden krävs särskilt lagstöd enligt 2 kap. 6 och 20 §§ RF.
Sökbegränsning
Utredningen föreslår, som en ytterligare skyddsåtgärd, att myndigheter inte ska få använda sökbegrepp som avslöjar känsliga personuppgifter. Sökförbudet är avsett att omfatta alla typer av tekniska åtgärder som innebär att uppgifter används för att strukturera eller systematisera information så att känsliga personuppgifter avslöjas. Sökförbudet har dock begränsats till att avse de fall då behandlingen sker enbart med de generella myndighetsundantagen som grund. Det innebär bl.a., som Domstolsverket noterar, att sökförbudet inte ska gälla vid behandling för arkivändamål av allmänt intresse (avsnitt 14).
Regeringen kan konstatera att en sökning som avslöjar och sammanställer känsliga personuppgifter är en åtgärd som i sig innebär en integritetskränkning. Företeelsen ligger nära det som ursprungligen har motiverat förbudet mot behandling av känsliga personuppgifter, nämligen möjligheten att kartlägga personer på grundval av exempelvis etnicitet eller politiska åsikter. Med en sökbegränsning uppnås därmed ett skydd av just de intressen som bestämmelserna om känsliga personuppgifter ska värna. Detta utgör enligt regeringens mening ett starkt skäl för att införa en sådan begränsning för myndigheter.
En majoritet av remissinstanserna tillstyrker utredningens förslag eller har inga invändningar mot det. Som Domstolsverket påpekar är ett absolut sökförbud lätt att tillämpa. Flera instanser invänder dock mot bestämmelsens kategoriska utformning och menar att det behövs undantag för att myndigheternas verksamhet ska fungera. Polismyndigheten framhåller att det behövs ett undantag för sökningar på känsliga personuppgifter som sker i registervårdande syfte. Säkerhets- och integritetsskyddsnämnden anser att förslagets ordalydelse i praktiken kan omöjliggöra en effektiv registervård och tillsyn. Migrationsverket och Specialpedagogiska skolmyndigheten har synpunkter som rör möjligheterna att ta fram statistik. Transportstyrelsen anser att det bör övervägas undantag för myndigheters sökningar i verksamhetssystem där syftet är att följa upp och kvalitetssäkra den egna verksamheten.
Regeringen anser att de synpunkter som lämnats visar att konsekvenserna av ett absolut sökförbud inte är tillräckligt utredda. Detta gäller även i förhållande till offentlighetsprincipen. Det bör också beaktas att den behandling av känsliga personuppgifter som i dag sker med stöd av 8 § PUF eller enligt missbruksregeln i 5 a § PUL inte omfattas av någon sökbegränsning.
Utredningen om 2016 års dataskyddsdirektiv föreslår i sitt delbetänkande Brottsdatalag (SOU 2017:29) en sökbegränsning som i stället utgår från syftet med sökningen. Enligt förslaget till brottsdatalag ska det vara förbjudet att utföra sökningar i syfte att få fram ett personurval grundat på känsliga personuppgifter. En sådan utformning innebär inte större möjligheter att använda känsliga personuppgifter som sökbegrepp vid sådana sökningar som sökförbudet är avsett att hindra, såsom kartläggning av personer på grundval av etnicitet. Detta skulle inte vara tillåtet vare sig enligt Dataskyddsutredningens förslag eller förslaget till brottsdatalag. Däremot skulle en sökbegränsning som utformats i enlighet med förslaget till brottsdatalag inte hindra sökningar som görs för andra ändamål, t.ex. i syfte att utöva tillsyn, för att ta fram verksamhetsstatistik eller för registervård, dvs. då syftet med sökningen inte är att identifiera ett urval av individer.
Regeringen anser, liksom Skatteverket, att sökbegränsningarna bör utformas på samma sätt i dataskyddslagen och brottsdatalagen. Mot bakgrund av vad som anförs ovan anser regeringen att en utformning i linje med den som föreslås av Utredningen om 2016 års dataskyddsdirektiv är att föredra även i dataskyddslagen. Det bör således vara förbjudet för myndigheter att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Precis som Dataskyddsutredningen föreslår bör dock detta förbud gälla endast vid sådan behandling av känsliga personuppgifter som utförs med stöd av de särskilda bestämmelser som föreslås i detta avsnitt med hänsyn till viktiga allmänna intressen. Detta innebär bl.a. att sökbegränsningen inte gäller vid behandling som sker med stöd av bestämmelser i en registerförfattning. Eftersom dataskyddslagen ska vara subsidiär till avvikande bestämmelser i annan lag eller i förordning kan det även införas undantag från sökbegränsningen på de områden där det behövs, förutsatt att det finns andra lämpliga och särskilda skyddsåtgärder för den registrerade.
Sektorsspecifik reglering
De nu föreslagna bestämmelserna är avsedda att gälla för offentlig verksamhet där sektorsspecifik reglering avseende behandling av känsliga personuppgifter saknas. Det kan finnas anledning att för vissa sektorer närmare precisera och avgränsa möjligheterna att behandla känsliga personuppgifter ytterligare. Ett berättigat behov av att behandla känsliga personuppgifter i större omfattning än vad dessa bestämmelser medger, exempelvis ett behov av att använda sökbegrepp som avslöjar känsliga personuppgifter, kommer också att finnas i vissa verksamheter. Det finns då, precis som i dag, möjlighet att införa sektorsspecifika bestämmelser som är mer tillåtande - exempelvis genom undantag från sökbegränsningen - så länge dessa undantag utformas så att de är förenliga med regeringsformens och dataskyddsförordningens bestämmelser.
Det förtjänar att poängteras att de föreslagna bestämmelserna inte ersätter vare sig artikel 6 eller artikel 9.2 g i dataskyddsförordningen. Den rättsliga grunden för behandlingen måste sökas någon annanstans än i dataskyddslagen. Vidare kan de krav på lämpliga och särskilda åtgärder som ställs i artikel 9.2 g vara uppfyllda även genom andra bestämmelser än de föreslagna. Behandling av känsliga personuppgifter kan alltså ske med stöd av artikel 9.2 g även i andra fall, under förutsättning att lämpliga och särskilda åtgärder fastställts.
Bemyndigande
I 20 § PUL bemyndigas regeringen eller den myndighet som regeringen bestämmer att föreskriva ytterligare undantag om det behövs med hänsyn till ett viktigt allmänt intresse. Bemyndigandet har utnyttjats för att i förordning föreskriva att vissa myndigheter och privata organ får behandla känsliga personuppgifter. Det kommer även i fortsättningen att finnas ett behov av att i förordning kunna tillåta behandling av känsliga personuppgifter med hänsyn till viktiga allmänna intressen för vissa tydligt avgränsade ändamål eller för vissa särskilda verksamheter, utöver de generella bestämmelser som föreslås här. På grund av att dataskyddsförordningen inte innehåller någon motsvarighet till den så kallade missbruksregeln i 5 a § PUL, kommer sannolikt behovet av ytterligare bestämmelser om behandling av känsliga personuppgifter att öka.
Dataskyddslagen bör därför innehålla ett bemyndigande för regeringen att meddela ytterligare föreskrifter om sådan behandling av känsliga personuppgifter som är nödvändig med hänsyn till ett viktigt allmänt intresse. Eftersom regeringen hittills inte har sett anledning att utnyttja möjligheten i 20 § PUL att bemyndiga Datainspektionen att meddela föreskrifter och något behov av sådan vidaredelegation inte har framkommit, föreslås ingen sådan möjlighet.
När nya bestämmelser övervägs med stöd av bemyndigandet måste givetvis en noggrann bedömning göras av om lagform ändå krävs enligt 2 kap. 6 och 20 §§ RF. Det måste också säkerställas att dataskyddsförordningens krav i övrigt är uppfyllda, framför allt när det gäller lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.
10.5 Hälso- och sjukvård och social omsorg
Regeringens förslag: Under förutsättning att kravet på tystnadsplikt enligt EU:s dataskyddsförordning är uppfyllt får känsliga personuppgifter behandlas, om behandlingen är nödvändig för förebyggande hälso- och sjukvård och yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet, medicinska diagnoser, tillhandahållande av hälso- och sjukvård eller behandling, social omsorg eller förvaltning av hälso- och sjukvårdstjänster, social omsorg samt deras system.
Utredningens förslag överensstämmer i sak med regeringens.
Remissinstanserna: Det stora flertalet remissinstanser tillstyrker förslaget eller har inga synpunkter på det. Socialstyrelsen och Diskrimineringsombudsmannen anser att det är av stor vikt att förutsättningarna för att behandla känsliga personuppgifter är reglerade på ett tydligt sätt. Hälso- och sjukvårdens ansvarsnämnd anser att det är angeläget att det finns ett tydligt stöd för att behandla personuppgifter inom tillsyn över hälso- och sjukvård. Vidare anser ansvarsnämnden att det är angeläget att användandet av begreppet arbetstagare inte innebär någon förändring av möjligheten att behandla uppgifter om hälsotillstånd avseende yrkesutövare i reglerade yrken som inte är anställda. Myndigheten för vård- och omsorgsanalys anser att det bör förtydligas att begreppet förvaltning av hälso- och sjukvårdstjänster ska tolkas vitt och bl.a. inbegripa behandling som utförs av centrala nationella hälso- och sjukvårdsmyndigheter samt vid tillsyn över hälso- och sjukvård och social omsorg. Myndigheten för vård- och omsorgsanalys anser vidare att begreppet hör samman med medicinska diagnoser bör tydliggöras. Datainspektionen anser att det skyndsamt bör utredas huruvida den behandling av personuppgifter som sker i dag inom hälso- och sjukvård och social omsorg är förenlig med artikel 9.2 h och 9.3 i dataskyddsförordningen, eller om det behöver införas en lagstadgad tystnadsplikt för de personuppgiftsbiträden som i dag inte omfattas av en sådan. Pensionsmyndigheten anser inte att det är självklart att förordningen ska tolkas så att det finns ett behov av att i dataskyddslagen eller i annan nationell lagstiftning ta in bestämmelser om undantag från förbudet att behandla känsliga personuppgifter. Dataskydd.net avstyrker förslaget och anser att artikel 9.2 inte kan kringgås annat än genom lagstiftning som ger behandlingen en rättslig grund, vilket i så fall sker i annan lagstiftning än i dataskyddslagen.
Skälen för regeringens förslag: I dataskyddsförordningen regleras behandling av känsliga personuppgifter på bl.a. hälso- och sjukvårdsområdet i artikel 9.2 h. Bestämmelsen motsvarar artikel 8.3 i dataskyddsdirektivet, som har genomförts i 18 § PUL. Den bestämmelsen anses täcka nästan all behandling av personuppgifter som förekommer inom hälso- och sjukvårdsområdet. Bland annat omfattas internationellt folkhälsoarbete, kvalitetshöjande behandling av personuppgifter och debitering av avgifter. Behandling av personuppgifter inom hälso- och sjukvården regleras även i t.ex. patientdatalagen (2008:355). Patientdatalagen är dock inte tillämplig hos tillsynsmyndigheterna på hälso- och sjukvårdsområdet.
I dataskyddsförordningen har ytterligare några verksamhetstyper lagts till den uppräkning av verksamheter som anges i direktivets motsvarande artikel, nämligen yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet och social omsorg. Sannolikt omfattar tillägget avseende arbetskapacitet behandling av uppgifter relaterade till sjukskrivning och rehabilitering på arbetet och begreppet social omsorg snarast uppgifter som utförs inom socialtjänsten. Det är dock i avsaknad av praxis svårt att närmare avgränsa innebörden av begreppen.
Vissa andra justeringar, jämfört med direktivets artikeltext, har också gjorts. Bland annat har begreppet administration av hälso- och sjukvård ersatts med förvaltning av hälso- och sjukvårdstjänster och deras system. Av skäl 53 framgår att avsikten är att begreppet förvaltning av hälso- och sjukvårdstjänster ska tolkas vitt och bl.a. inbegripa behandling som utförs av centrala nationella hälsovårdsmyndigheter samt vid tillsyn över hälso- och sjukvård och social omsorg. Detta innebär för svenskt vidkommande att bestämmelsen även omfattar den verksamhet som bedrivs av bl.a. Socialstyrelsen, Inspektionen för vård och omsorg, Folkhälsomyndigheten och Myndigheten för vård- och omsorgsanalys.
För att artikel 9.2 h ska vara tillämplig ställs tre krav som alla måste vara uppfyllda. För det första ska behandlingen vara nödvändig av skäl som hör samman med någon av de angivna verksamheterna, t.ex. medicinska diagnoser eller förvaltning av hälso- och sjukvårdstjänster. De uppräknade verksamhetsområdena torde täcka allt det som omfattas av den befintliga regleringen i 18 § PUL samt social omsorg, liksom tillsyn på hälso- och sjukvårdsområdet och över social omsorg.
För det andra ska den aktuella verksamheten utföras på grundval av unionsrätten eller medlemsstaternas nationella rätt eller enligt avtal med yrkesverksamma på hälsoområdet. Denna förutsättning är enligt regeringens bedömning uppfylld så snart verksamheten bedrivs i enlighet med verksamhetslagstiftningen på de aktuella områdena, t.ex. hälso- och sjukvårdslagen, socialtjänstlagen och andra relevanta författningar. Det är i dessa författningar som den personuppgiftsansvarige finner den rättsliga grunden för att överhuvudtaget få behandla personuppgifter utan den registrerades samtycke.
För att känsliga personuppgifter ska få behandlas i dessa verksamheter krävs dessutom, för det tredje, att förutsättningarna i artikel 9.3 är uppfyllda. Där anges att personuppgifter bara får behandlas av eller under ansvar av en yrkesutövare, eller av en annan person, som omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fastställs av nationella behöriga organ. Sådan tystnadsplikt gäller inom den svenska offentliga sektorn enligt offentlighets- och sekretesslagen. För de privata utförarna finns bestämmelser om tystnadsplikt i bl.a. patientsäkerhetslagen (2010:659) och socialtjänstlagen. Datainspektionen anser att det behöver utredas om det därutöver bör införas en lagstadgad tystnadsplikt för hälso- och sjukvårdens personuppgiftsbiträden. Denna fråga bör övervägas i samband med anpassningen till dataskyddsförordningen av den sektorslagstiftning som finns på hälso- och sjukvårdsområdet och behandlas därför inte i detta lagstiftningsärende.
Regeringen delar i och för sig bl.a. Pensionsmyndighetens uppfattning om att det inte behövs någon ytterligare reglering på nationell nivå för att nödvändig behandling av känsliga personuppgifter ska vara tillåten med stöd av artikel 9.2 h. Det är dock, som bl.a. Socialstyrelsen betonar, av stor vikt för verksamheten inom de områden som omfattas av bestämmelsen att förutsättningarna för att behandla känsliga personuppgifter framgår tydligt, även för de aktörer som inte omfattas av sektorsspecifika författningar om behandling av känsliga personuppgifter. Det bör därför, i enlighet med utredningens förslag, uttryckligen anges i dataskyddslagen att känsliga personuppgifter får behandlas om behandlingen är nödvändig av skäl som hör samman med förebyggande hälso- och sjukvård och yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet, medicinska diagnoser, tillhandahållande av hälso- och sjukvård eller behandling, social omsorg samt förvaltning av hälso- och sjukvårdstjänster, social omsorg och deras system. Bestämmelsen bör även erinra om att sådan behandling får ske endast under förutsättning att kravet på tystnadsplikt i artikel 9.3 i dataskyddsförordningen är uppfyllt.
Innebörden av de begrepp som används i bestämmelsen bör tolkas och tillämpas på samma sätt som artikel 9.2 h i dataskyddsförordningen. Som nämns ovan framgår det av skäl 53 till dataskyddsförordningen att avsikten är att begreppet förvaltning av hälso- och sjukvårdstjänster ska tolkas vitt och inbegripa bl.a. tillsyn över hälso- och sjukvård. Tolkningen av begreppet arbetstagares arbetskapacitet, som Hälso- och sjukvårdens ansvarsnämnd tar upp, påverkar således inte möjligheten till behandling av känsliga personuppgifter inom tillsyn över hälso- och sjukvård.
10.6 Folkhälsa
Regeringens bedömning: Känsliga personuppgifter får enligt EU:s dataskyddsförordning behandlas om behandlingen är nödvändig av skäl av allmänt intresse på folkhälsoområdet, under förutsättning att gällande rätt innehåller lämpliga och specifika åtgärder för att skydda den registrerades rättigheter och friheter, särskilt tystnadsplikt. Det behövs inte någon bestämmelse om detta i dataskyddslagen.
Utredningens bedömning överensstämmer delvis med regeringens. Utredningen bedömer att undantaget måste genomföras i nationell rätt för att vara tillämpligt och att det inte bör införas något sådant undantag i dataskyddslagen.
Remissinstanserna: Endast ett fåtal instanser yttrar sig över utredningens bedömning i denna del. Folkhälsomyndigheten invänder mot utredningens bedömning och anser att ett folkhälsoundantag väsentligen skulle underlätta myndighetens arbete och minimera riskerna för att myndigheten inte kommer att kunna genomföra de undersökningar och bearbetningar som behövs för att följa befolkningens hälsa. Även Forskningsrådet för hälsa, arbetsliv och välfärd invänder mot utredningens bedömning och anför att datainsamling inom folkhälsoområdet inte bara gäller det som utredningen definierar som hälso- och sjukvård. Västra Götalands läns landsting anser att det vore värdefullt med ett särskilt undantag i dataskyddslagen för behandling av känsliga personuppgifter inom folkhälsoområdet.
Skälen för regeringens bedömning: I förordningens artikel 9.2 i finns ett särskilt undantag från förbudet att behandla känsliga personuppgifter som tar sikte på behandling som är nödvändig av skäl av allmänt intresse på folkhälsoområdet, såsom behovet av att säkerställa ett skydd mot allvarliga gränsöverskridande hot mot hälsan eller säkerställa höga kvalitets- och säkerhetsnormer för vård och läkemedel eller medicintekniska produkter. Bestämmelsen saknar motsvarighet i dataskyddsdirektivet eller personuppgiftslagen.
I skäl 54 anges att termen folkhälsa bör tolkas i enlighet med förordning 1338/2008 om gemenskapsstatistik om folkhälsa och hälsa och säkerhet i arbetet. Den definition som anges där är mycket vid och omfattar alla aspekter som rör hälsosituationen, dvs. allmänhetens hälsotillstånd, inbegripet sjuklighet och funktionshinder, hälsans bestämningsfaktorer, hälso- och sjukvårdsbehov, resurser inom hälso- och sjukvården, tillhandahållande av och allmän tillgång till hälso- och sjukvård, utgifter för och finansiering av hälso- och sjukvården samt dödsorsaker.
För att behandling av känsliga personuppgifter ska vara tillåten enligt artikel 9.2 i krävs för det första att behandlingen är nödvändig av skäl av allmänt intresse på folkhälsoområdet, på grundval av unionsrätten eller medlemsstatens nationella rätt. Detta innebär enligt regeringens bedömning att den personuppgiftsansvarige ska ha stöd i rättsordningen för att utföra en uppgift på folkhälsoområdet. Detta rättsliga stöd ska enligt artikel 9.2 i innehålla lämpliga och specifika åtgärder för att skydda den registrerades rättigheter och friheter, särskilt tystnadsplikt. Tröskeln för att den personuppgiftsansvarige ska få behandla känsliga personuppgifter som ett led i att utföra sin uppgift på folkhälsoområdet är således högre än den som gäller för behandling av andra personuppgifter i samma verksamhet.
Utredningen bedömer att undantaget i artikel 9.2 i måste genomföras i nationell rätt för att vara tillämpligt. Regeringen anser emellertid att undantaget är direkt tillämpligt och att känsliga personuppgifter får behandlas med stöd av artikel 9.2 i, om kravet på lämpliga och specifika åtgärder för att skydda den registrerades rättigheter och friheter är uppfyllt. Regeringen gör således till skillnad från utredningen bedömningen att undantaget i sig inte måste genomföras i svensk rätt för att vara tillämpligt.
Folkhälsoarbete anses i Sverige vara tvärsektoriellt och involverar såväl statliga som kommunala myndigheter. I den mån känsliga personuppgifter behöver behandlas som ett led i detta folkhälsoarbete bör dessa vara sekretessreglerade i verksamheten. Till exempel regleras sekretess hos statistikmyndigheterna i 24 kap. 8 § OSL och sekretess inom hälso- och sjukvården liksom vid åtgärder mot smittsamma sjukdomar i 25 kap. OSL. Vidare gäller viss sekretess enligt offentlighets- och sekretesslagen och offentlighets- och sekretessförordningen (2009:641) hos bl.a. Folkhälsomyndigheten, Tandvårds- och läkemedelsförmånsverket och Forskningsrådet för hälsa, arbetsliv och välfärd samt vid tillsyn enligt bl.a. livsmedelslagen (2006:804) och läkemedelslagen (2015:315). Dessutom gäller under vissa förutsättningar sekretess enligt 21 kap. 1 § OSL för uppgift som rör en enskilds hälsa eller sexualliv, oavsett var uppgiften förekommer.
Enligt regeringens bedömning är förutsättningarna för att behandling ska få ske enligt artikel 9.2 i uppfyllda om de känsliga personuppgifterna är sekretessreglerade i verksamheten. Om sekretessreglering saknas kan det däremot inte tas för givet att dataskyddsförordningens krav på lämpliga och specifika åtgärder för att skydda den registrerades rättigheter och friheter är uppfyllda.
Det hade i och för sig varit möjligt att, på motsvarande sätt som föreslås avseende artikel 9.2 h, införa en motsvarighet till förordningens bestämmelse i dataskyddslagen. Utredningen lämnar dock inte något sådant förslag. Enligt regeringens bedömning, som skiljer sig från utredningens, behövs det heller inte någon ytterligare reglering på generell nivå för att behandling av känsliga personuppgifter ska kunna ske med stöd av artikel 9.2 i. Om det på något specifikt område eller för någon enskild myndighet bedöms att befintliga skyddsåtgärder är otillräckliga, bör den frågan övervägas i ett annat sammanhang.
11 Personuppgifter som rör lagöverträdelser
Regeringens förslag: Personuppgifter som rör lagöverträdelser får behandlas av myndigheter.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter som tillåter andra än myndigheter att behandla sådana uppgifter. Den myndighet som regeringen bestämmer får i enskilda fall besluta om att tillåta sådan behandling. Ett beslut får förenas med villkor.
Utredningens förslag överensstämmer i huvudsak med regeringens. I utredningens förslag anges inte att beslut får förenas med villkor. Vidare har utredningens förslag en annan språklig utformning.
Remissinstanserna: Det stora flertalet remissinstanser tillstyrker förslaget eller har inga synpunkter på det. Datainspektionen delar utredningens uppfattning om att artikel 10 i dataskyddsförordningen kan tolkas som att inspektionen i viss mån kan vara något mindre restriktiv än tidigare med att tillåta andra än myndigheter att behandla uppgifter om lagöverträdelser, men efterlyser mer vägledning för när det kan vara motiverat. Sveriges akademikers centralorganisation och Sveriges Ingenjörer anser att beslut som tillåter behandling av personuppgifter i enskilda fall bör meddelas mycket restriktivt. Riksidrottsförbundet påtalar idrottsrörelsens behov av att behandla personuppgifter som rör lagöverträdelser, bl.a. för att motverka dopning och matchfixning. Flera remissinstanser som företräder näringslivet, bl.a. Svensk Handel, Teknikföretagen och Svenskt Näringsliv, anser att det ska vara tillåtet att behandla personuppgifter som rör lagöverträdelser när detta krävs enligt utländska regelverk, bl.a. vid handel med tredjeland. Några av dessa, samt Svensk Försäkring och Sveriges advokatsamfund, ifrågasätter utredningens bedömning av i vilken mån misstanke om brott innefattas i begreppet överträdelser. Dataskydd.net anser att bestämmelsen bör ange att de myndigheter som regeringen bestämmer får behandla personuppgifter som rör lagöverträdelser och att dessa myndigheter får medge andra än myndigheter att behandla sådana uppgifter i vissa specifika fall.
Skälen för regeringens förslag
Fällande domar i brottmål samt överträdelser
Uppgifter som rör lagöverträdelser tillhör inte de särskilda kategorier av personuppgifter som omfattas av förbudet mot behandling i artikel 9 i dataskyddsförordningen, men anses ändå vara en kategori personuppgifter som förtjänar särskilt skydd. Enligt artikel 10 får behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder utföras endast under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet.
Artikel 10 i dataskyddsförordningen motsvarar artikel 8.5 i dataskyddsdirektivet, som har genomförts i svensk rätt genom 21 § PUL. Tillämpningsområdet för förordningens bestämmelse är dock något mer begränsad. Vid en jämförelse med andra språkversioner tycks begreppet överträdelser i artikel 10 inte avse vilka överträdelser som helst, utan endast sådana som utgör en brottslig gärning. Begreppet överträdelser kan därför anses som likvärdigt med det snävare uttryck som används i personuppgiftslagen, dvs. lagöverträdelser som innefattar brott. Justitiedepartementet har mot denna bakgrund lämnat in en begäran om korrigering av den svenska språkversionen av dataskyddsförordningen (Ju2016/00482/L6).
En betydande skillnad jämfört med direktivet är att artikel 10 i förordningen inte ger medlemsstaterna någon möjlighet att på denna grund begränsa behandlingen av personuppgifter om administrativa sanktioner och avgöranden i tvistemål. Uppgifter om administrativa frihetsberövanden omfattas således inte av någon särskild reglering enligt dataskyddsförordningen, om de inte utgör känsliga personuppgifter enligt artikel 9.1, exempelvis om de också avslöjar uppgifter om etniskt ursprung eller psykisk ohälsa.
Begreppet säkerhetsåtgärder bedömdes vid genomförandet av dataskyddsdirektivet som likvärdigt med straffprocessuella tvångsmedel. Denna bedömning framstår som rimlig även i förhållande till begreppet därmed sammanhängande säkerhetsåtgärder, som används i dataskyddsförordningen.
Särskilt om misstanke om brott
Frågan om i vilken utsträckning brottsmisstankar omfattas av begreppet lagöverträdelser som innefattar brott har varit föremål för diskussion. Datalagskommittén menade att en uppgift om att någon har eller kan ha begått stöld otvivelaktigt utgör en uppgift om lagöverträdelse, även om det inte finns någon dom beträffande brottet. Uppgifter om faktiska iakttagelser om en persons handlande kunde dock enligt Datalagskommittén inte rimligen anses som uppgifter om lagöverträdelser i alla de fall handlandet kan innebära en lagöverträdelse (SOU 1997:39 s. 380). Högsta förvaltningsdomstolen har i det s.k. TankStopp-målet (HFD 2016 ref. 8) uttalat att registrering av uppgifter om fordon som förekommit i samband med obetalda tankningar ska anses innefatta en behandling av personuppgifter om lagöverträdelser som innefattar brott i den mening som avses i personuppgiftslagen. Utredningen har mot denna bakgrund, i avsaknad av klargörande EU-rättslig praxis, bedömt att misstankar om brott bör omfattas av artikel 10 i dataskyddsförordningen i samma utsträckning som de gör enligt personuppgiftslagen. Flera remissinstanser invänder mot denna bedömning och anser att den saknar stöd i dataskyddsförordningen. Svensk Handel konstaterar bl.a. att kamerabevakning skulle bli omöjlig och helt utan verkan för det fall det alltid skulle vara förbjudet för andra än myndigheter att behandla personuppgifter som innefattar misstanke om brott. Svensk Handel menar att det inte kan vara avsikten med vare sig dataskyddsförordningen, dataskyddslagen eller kamerabevakningslagen.
Ett av de huvudsakliga syftena med dataskyddsförordningen är att åstadkomma en ytterligare harmonisering av dataskyddsregleringen för att undanröja hindren för det fria flödet av personuppgifter inom EU (se t.ex. skäl 9 och 13). Det är därför angeläget att artikel 10 inte tolkas på ett mer extensivt sätt i Sverige än i andra medlemsstater. Som konstateras ovan har artikel 10 en annan utformning än motsvarande reglering i dataskyddsdirektivet och personuppgiftslagen. Det är därför, som bl.a. Svensk Handel är inne på, inte säkert att praxis enligt personuppgiftslagen kring vilka uppgifter som omfattas av regleringen om personuppgifter som rör lagöverträdelser fortfarande är aktuell.
När det gäller kameraövervakning kan konstateras att Utredningen om kameraövervakning - Brottsbekämpning och integritetsskydd (Ju 2015:14) anser att artikel 10 måste tolkas så att den inte tar sikte på sådana möjliga lagöverträdelser som kan fångas på bild vid kameraövervakning (SOU 2017:55 s. 121). Regeringen instämmer i den bedömningen.
Behandling under kontroll av en myndighet
Den del av artikel 10 som rör behandling av uppgifter under kontroll av myndighet är direkt tillämplig. Det är emellertid inte tydligt vad begreppet under kontroll av myndighet innebär för svenskt vidkommande. Begreppet skulle kunna tolkas som att behandlingen ska ske av ett organ som anförtrotts uppgifter som ankommer på den offentliga sektorn. Till skillnad från Dataskydd.net bedömer regeringen att bestämmelsen i artikel 10 i vart fall bör innebära att det är tillåtet att behandla uppgifter som rör lagöverträdelser om den personuppgiftsansvarige är en myndighet. Det är angeläget att tydliggöra detta, eftersom det innebär att myndigheter inte behöver uttryckligt stöd i föreskrifter eller särskilda beslut för att få behandla sådana uppgifter. Förordningens skäl 8 ger uttryck för att medlemsstaterna får införliva delar av förordningen i nationell rätt, om det krävs för att göra de nationella bestämmelserna begripliga för de personer de tillämpas på. Det finns således ett visst utrymme att förtydliga innebörden av artikel 10 i svensk rätt. Som utredningen föreslår bör det därför uttryckligen framgå av dataskyddslagen att personuppgifter som rör lagöverträdelser får behandlas av myndigheter.
Behandling som är tillåten enligt nationell rätt
Huvudregeln i 21 § PUL innebär att det är förbjudet för andra än myndigheter att behandla personuppgifter som rör lagöverträdelser. Undantag från detta förbud kan dock meddelas genom föreskrifter eller beslut i enskilda fall. Något sådant principiellt förbud mot behandling av denna typ av personuppgifter finns inte i dataskyddsförordningen. Enligt artikel 10 i dataskyddsförordningen får behandling ske utan kontroll av myndighet då behandlingen är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder fastställs. Regleringen i artikel 10 syftar således till att säkerställa att det i unionsrätten eller den nationella rätten finns lämpliga skyddsåtgärder för de registrerades rättigheter och friheter, när behandling utförs av andra än myndigheter.
Enligt regeringens mening är det inte lämpligt att i dataskyddslagen ange vilka skyddsåtgärder som bör finnas vid behandling av uppgifter om lagöverträdelser. I stället bör detta övervägas i särskild ordning där behovet kan analyseras särskilt från fall till fall. Regeringen föreslår därför i likhet med utredningen att regeringen eller den myndighet regeringen bestämmer ska ges befogenhet att meddela föreskrifter som tillåter andra än myndigheter att behandla personuppgifter som rör lagöverträdelser. Regeringen har för avsikt att, som utredningen föreslår, vidaredelegera denna normgivningskompetens till tillsynsmyndigheten.
Eftersom dataskyddslagen föreslås vara subsidiär i förhållande till andra lagar och förordningar, kommer det även i fortsättningen att finnas utrymme för särreglering som tillåter behandling av personuppgifter som rör lagöverträdelser, t.ex. av sådant slag som i dag finns i lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang. Det bör dock noteras att det inte krävs en uttrycklig undantagsreglering för att behandling av uppgifter som rör lagöverträdelser ska vara tillåten. Således är det tillåtet att behandla sådana personuppgifter om det krävs för att t.ex. uppfylla en editionsplikt eller ett informationsföreläggande som meddelats av domstol med stöd av lag.
Som utredningen föreslår bör den myndighet som regeringen bestämmer även ges befogenhet att i enskilda fall besluta att andra än myndigheter får behandla uppgifter om lagöverträdelser. Regeringen har för avsikt att peka ut tillsynsmyndigheten som ansvarig för den uppgiften. Enligt regeringens bedömning kan kravet på lämpliga skyddsåtgärder i artikel 10 i princip vara uppfyllt genom den tillståndsprövning som föregår sådana beslut i enskilda fall. Besluten kan dock vid behov även förenas med villkor såsom återkallelseförbehåll, tidsbegränsningar eller krav på återrapportering samt krav på att den personuppgiftsansvarige ska vidta vissa åtgärder till skydd för de registrerades rättigheter och friheter.
Utöver kravet på lämpliga skyddsåtgärder ställer dataskyddsförordningen inte upp några begränsningar i fråga om medlemsstaternas möjlighet att i sin nationella rätt tillåta andra än myndigheter att behandla personuppgifter som rör lagöverträdelser. Detta innebär att utrymmet för att tillåta sådan behandling genom föreskrifter och beslut i enskilda fall blir större än enligt personuppgiftslagen, eftersom denna utgår från att behandlingen är förbjuden. Tillsynsmyndighetens utrymme att avslå en begäran om tillstånd torde i princip vara begränsat till de fall där behandlingen skulle vara oförenlig med dataskyddsförordningen i övrigt, i synnerhet principerna i artikel 5 och kravet på rättslig grund i artikel 6. I annat fall bör tillstånd beviljas, men vid behov förenas med krav på lämpliga skyddsåtgärder för de registrerades rättigheter och friheter.
Flera remissinstanser, bl.a. Svensk Handel, Teknikföretagen och Svenskt Näringsliv, påtalar att svenska exportföretag måste behandla vissa uppgifter som rör lagöverträdelser på grund av att utländska regelverk ställer krav på kontroll mot vissa sanktions- eller spärrlistor. De ger uttryck för en oro för att Sverige ska inta en mer restriktiv hållning än vad dataskyddsförordningen kräver, vilket skulle försämra möjligheterna för svenska företag att konkurrera på en internationell marknad. Det är regeringens uppfattning att svenska företag inte ska ges sämre möjligheter att behandla uppgifter som rör lagöverträdelser än företag i andra länder. Regeringen kan också konstatera att det typiskt sett bör vara möjligt för svenska exportföretag att få tillstånd att behandla sådana uppgifter i den mån detta krävs för sådan kontroll mot sanktions- och spärrlistor som är nödvändig för export till vissa länder. Detta bör i vart fall gälla om dessa listor är fastställda i demokratisk ordning och allmänt tillgängliga.
Några remissinstanser pekar på att systemet med särskilda beslut i enskilda fall är betungande för både tillsynsmyndigheten och företagen, varför föreskrifter som tillåter nödvändig behandling är att föredra. Med anledning av denna synpunkt vill regeringen understryka att det, t.ex. i fråga om vissa viktigare spärr- och sanktionslistor, kan finnas anledning för tillsynsmyndigheten att använda möjligheten att meddela föreskrifter. Detta kan minska den administrativa bördan både för företagen och för tillsynsmyndigheten själv.
I detta sammanhang bör även nämnas att behovet av särskilda föreskrifter eller beslut i enskilda fall också torde öka som en följd av att den så kallade missbruksregeln i 5 a § PUL saknar motsvarighet i dataskyddsförordningen.
12 Personnummer och samordningsnummer
Regeringens förslag: Personnummer och samordningsnummer får behandlas utan samtycke endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.
Regeringen får meddela ytterligare föreskrifter om behandling av personnummer och samordningsnummer.
Utredningens förslag överensstämmer med regeringens.
Remissinstanserna: Det stora flertalet tillstyrker förslaget eller har inga synpunkter på det. Kammarrätten i Göteborg konstaterar att 22 § PUL inte behöver tillämpas vid sådan behandling av personuppgifter i ostrukturerat material som avses i 5 a § PUL och efterfrågar överväganden om det är ett undantag som fortsatt bör gälla avseende personnummer och samordningsnummer. Dataskydd.net anser att uppgifter om personnummer eller samordningsnummer ska få behandlas utan samtycke endast när det är klart motiverat med hänsyn till ändamålet med behandlingen samt att tillsynsmyndigheten bör bemyndigas att meddela föreskrifter.
Skälen för regeringens förslag: Personnummer och samordningsnummer utgör inte känsliga personuppgifter i dataskyddsförordningens mening, men har ändå getts en särställning genom att medlemsstaterna getts möjlighet att införa särskilda villkor för behandlingen (artikel 87). Villkoren ska i sådana fall säkerställa att identifikationsuppgifterna bara får användas med iakttagande av lämpliga skyddsåtgärder för de registrerades fri- och rättigheter. Något uttryckligt krav på skyddsåtgärder finns inte enligt dataskyddsdirektivet. Förordningens bestämmelse överensstämmer i övrigt med artikel 8.7 i dataskyddsdirektivet, som har genomförts i 22 § PUL. De villkor som uppställs i 22 § PUL innebär att uppgifter om personnummer och samordningsnummer får behandlas utan samtycke bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.
Regleringen i 22 § PUL ger uttryck för att behandlingen av personnummer och samordningsnummer bör vara restriktiv och föregås av en intresseavvägning mellan behovet av behandlingen och de integritetsrisker som den innebär. Bestämmelsen ligger väl i linje också med förordningens intentioner och är enligt regeringens mening flexibel och väl avpassad för att förhindra omotiverad behandling av personnummer och samordningsnummer. Regeringen anser därför, till skillnad från Dataskydd.net, att en bestämmelse som i sin helhet motsvarar 22 § PUL bör införas i dataskyddslagen.
I 50 § c PUL anges att regeringen eller den myndighet som regeringen bestämmer, dvs. Datainspektionen enligt 16 § PUF, får meddela närmare föreskrifter om i vilka fall användning av personnummer är tillåten. Några sådana föreskrifter har inte meddelats av Datainspektionen. Det är däremot relativt vanligt med sektorsspecifika förordningsbestämmelser om behandling av personnummer och samordningsnummer. Det kommer även fortsättningsvis att finnas behov för regeringen att meddela sådana föreskrifter. Det saknas dock skäl för regeringen att i detta lagstiftningsärende ta ställning till om det finns ett sådant behov när det gäller den typ av ostrukturerad behandling som Kammarrätten i Göteborg nämner.
Som utredningen föreslår bör det därför införas ett bemyndigande i dataskyddslagen som avser föreskrifter om personnummer och samordningsnummer. Eftersom Datainspektionen hittills inte har sett anledning att utnyttja möjligheten enligt 16 § PUF att meddela föreskrifter och något behov av sådan vidaredelegation inte har framkommit, föreslås däremot ingen sådan möjlighet.
En bestämmelse om behandling av personnummer och samordningsnummer kan, oavsett om den tas in direkt i sektorsspecifik lag eller i förordning med stöd av bemyndigandet, tillåta behandling i andra fall än de som tillåts enligt den föreslagna bestämmelsen i dataskyddslagen. En avvikande bestämmelse måste dock leva upp till förordningens krav på lämpliga skyddsåtgärder för de registrerades fri- och rättigheter.
Sammanfattningsvis föreslår alltså regeringen att personnummer och samordningsnummer ska få behandlas utan samtycke endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Vidare föreslås att regeringen ska få meddela ytterligare föreskrifter om behandling av personnummer och samordningsnummer.
13 Begränsningar av vissa rättigheter och skyldigheter i dataskyddsförordningen
Regeringens förslag: Bestämmelserna i EU:s dataskyddsförordning om information och rätt att få tillgång till personuppgifter gäller inte uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som meddelats med stöd av författning. Om den personuppgiftsansvarige inte är en myndighet gäller undantaget för uppgifter som hos en myndighet skulle ha varit sekretessbelagda enligt offentlighets- och sekretesslagen.
Bestämmelsen i EU:s dataskyddsförordning om den registrerades rätt till tillgång till personuppgifter m.m. gäller inte personuppgifter i löpande text som utgör utkast eller minnesanteckning eller liknande. Undantaget gäller dock inte om uppgifterna har lämnats ut till tredje part, om uppgifterna behandlas enbart för arkivändamål av allmänt intresse eller för statistiska ändamål eller om de har behandlats under längre tid än ett år i löpande text som inte har fått sin slutliga utformning.
Regeringen får meddela ytterligare föreskrifter om begränsningar enligt EU:s dataskyddsförordning.
Regeringens bedömning: Rätten att göra invändningar mot myndigheters behandling av personuppgifter bör inte begränsas genom ett undantag i dataskyddslagen. Sådana begränsningar bör i stället vid behov övervägas på sektorspecifik nivå.
Utredningens förslag och bedömning överensstämmer i huvudsak med regeringens. I utredningens förslag till bemyndigande nämns inte artikel 89.2-3 i dataskyddsförordningen i författningstexten.
Remissinstanserna: Det stora flertalet remissinstanser tillstyrker utredningens förslag och instämmer i dess bedömning eller har inga synpunkter på dem. Enligt Kronofogdemyndigheten utgör de föreslagna bestämmelserna om undantag från informationsskyldigheten nödvändiga anpassningar till tryckfrihetsförordningens och offentlighets- och sekretesslagens bestämmelser. Pensionsmyndigheten anser att det bör förtydligas på vilken grund i artikel 23.1 som den registrerades rättigheter begränsas. Riksrevisionen bedömer att undantagen i artikel 14.5 b och c är tillämpliga i granskningsverksamheten, men anser att det vore önskvärt med ett förtydligande, t.ex. en bestämmelse som särskilt reglerar möjligheten för myndigheter som bedriver granskning och tillsyn att göra undantag från informationsskyldigheten. Svenska bankföreningen anser att den registrerades rätt till dataportabilitet inte ska gälla i fråga om uppgifter som hos en myndighet skulle ha varit sekretessbelagda enligt offentlighets- och sekretesslagen. Förvaltningsrätten i Stockholm kan se problem med att effektuera en begäran om information som ska lämnas enligt artikel 14, dvs. information om personuppgifter som inte har erhållits från den registrerade, och som behandlas i löpande text. Länsstyrelsen i Kronobergs län ifrågasätter utredningens förslag om att utkast till allmänna handlingar ska kunna lämnas ut om de varit utkast i mer än ett år. Även Svensk Försäkring anser att tidsgränsen på ett år ska förlängas. Srf konsulternas förbund anser att vad som kan anses vara minnesanteckningar och när en text är färdigställd kan bli svårdefinierat. Kammarrätten i Göteborg håller med om att den registrerades rätt att göra invändningar inte bör begränsas, men efterfrågar exempel på vad som kan utgöra tvingande berättigade skäl som kan anses väga tyngre än den registrerades intressen. Försvarsmakten anser däremot att undantag ska meddelas avseende den registrerades rätt att göra invändningar. Centrala studiestödsnämnden har förståelse för att utredningen inte bedömer det lämpligt att föreslå en generell inskränkning av rätten att invända, men påpekar att hanteringen mycket väl kan bli administrativt resurskrävande. Post- och telestyrelsen och Konkurrensverket noterar att utredningen inte uttryckligen berör frågan om invändningsrätt vid myndighetsutövning. Malmö kommun anser att det noga bör övervägas om det finns behov att införa ett generellt undantag från rätten att göra invändningar i dataskyddslagen särskilt när det gäller myndigheter, men förstår varför utredningen anser att sådana undantag bör övervägas på sektorspecifik nivå. Svensk Försäkring anser att bemyndigandet att meddela ytterligare begränsningar ska kunna vidaredelegeras till Datainspektionen, då ett sådant förfarande skulle göra regleringen mer flexibel. Dataskydd.net tillstyrker undantag från artikel 15 på grund av sekretess, men avstyrker förslagen i övrigt. Dataskydd.net anför att undantag för löptext saknar stöd i dataskyddsförordningen, som är teknikneutral och inte ska avgränsas till sökbara register.
Skälen för regeringens förslag och bedömning
Regleringen i förordningen
I dataskyddsförordningen har den registrerades rättigheter förstärkts i syfte att ge den registrerade ökad kontroll över sina personuppgifter.
Den information som ska tillhandahållas den registrerade har preciserats och utvidgats och det anges uttryckligen att den personuppgiftsansvarige ska tillhandahålla informationen i en begriplig och lättillgänglig form. Den personuppgiftsansvariges skyldighet att självmant tillhandahålla den registrerade information om behandlingen av personuppgifter anges i artiklarna 13 och 14. Den registrerade har vidare enligt artikel 15 rätt att på begäran få tillgång till de personuppgifter som behandlas och viss information.
Enligt artikel 16 har den registrerade rätt att på begäran få felaktiga personuppgifter rättade. Förutsättningarna för att den registrerade ska få sina personuppgifter raderade anges i artikel 17 (rätten att bli bortglömd). Vidare anges i artikel 18 att den registrerade under vissa omständigheter har rätt att kräva att behandlingen begränsas.
Förordningen innehåller i artikel 20 en bestämmelse som ger den registrerade rätt att få åtkomst till sina personuppgifter i syfte att föra över dem till en annan leverantör av elektroniska tjänster, s.k. dataportabilitet, om behandlingen grundar sig på den registrerades samtycke eller avtal med denne.
Enligt artikel 21 har den registrerade rätt att göra invändningar mot behandling av personuppgifter som grundar sig på artikel 6.1 e eller f, dvs. som sker för att utföra en uppgift av allmänt intresse, i myndighetsutövning eller efter en intresseavvägning. Slutligen har den registrerade enligt huvudregeln i artikel 22 rätt att inte bli föremål för ett automatiserat individuellt beslutsfattande, inbegripet profilering.
I artikel 23.1 i dataskyddsförordningen anges att såväl unionsrätten som en medlemsstats nationella rätt får begränsa tillämpningsområdet för vissa skyldigheter och rättigheter som föreskrivs i förordningen, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa vissa särskilt angivna mål. Bestämmelsen motsvarar delvis artikel 13.1 i dataskyddsdirektivet. Möjlighet att begränsa vissa av de registrerades rättigheter ges även i artikel 89.2 i förordningen, i fråga om behandling av personuppgifter för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Enligt artikel 89.3 får vissa rättigheter också begränsas vid behandling av personuppgifter för arkivändamål av allmänt intresse.
Rätten att göra invändningar
I artikel 21 i dataskyddsförordningen föreskrivs att den registrerade i vissa fall ska ha rätt att invända mot behandling av personuppgifter. Bestämmelsen är direkt tillämplig. En motsvarande rättighet föreskrivs även i dataskyddsdirektivet, men är genomförd i personuppgiftslagen endast såvitt avser direkt marknadsföring (11 § PUL). Dataskyddsförordningen innebär därmed att rätten att göra invändningar utvidgas jämfört med vad som följer av gällande svensk rätt. Rätten att göra invändningar enligt artikel 21.1 i dataskyddsförordningen avser behandling av personuppgifter som grundar sig på artikel 6.1 e eller f, dvs. som ett led i myndighetsutövning, för att utföra en uppgift av allmänt intresse eller efter en intresseavvägning. Rättigheten gäller alltså inte vid behandling av personuppgifter som exempelvis är nödvändig för att den personuppgiftsansvarige ska kunna uppfylla en rättslig förpliktelse (artikel 6.1 c), t.ex. när en myndighet genom författning har ålagts att föra ett register. Följden av att en invändning görs enligt artikel 21.1 är att den personuppgiftsansvarige inte längre får behandla personuppgifterna, såvida inte denne kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk.
Enligt gällande svensk rätt har den registrerade inte någon generell rätt att göra invändningar mot den behandling av personuppgifter som sker hos myndigheter. Det finns mot den bakgrunden skäl att särskilt överväga om dataskyddsförordningens rätt att göra invändningar bör inskränkas, med stöd av artikel 23, när det gäller sådan behandling som sker med stöd av artikel 6.1 e, dvs. som ett led i myndighetsutövning eller för att utföra en uppgift av allmänt intresse.
Som utredningen anför fyller rätten att göra invändningar en viktig funktion ur rättssäkerhetssynpunkt, i synnerhet i de fall då de närmare villkoren för behandlingen inte har reglerats i en sektorsspecifik författning. Regeringen anser därför i likhet med utredningen, till skillnad från bl.a. Försvarsmakten, att rätten att göra invändningar mot myndigheters behandling av personuppgifter inte bör inskränkas på ett generellt plan genom ett undantag i dataskyddslagen. Sådana undantag bör i stället övervägas på sektorspecifik nivå.
Med anledning av Kammarrätten i Göteborgs synpunkter bör framhållas att en myndighet som kan visa att behandling av personuppgifter är nödvändig som ett led i myndighetsutövning eller för att utföra en uppgift av allmänt intresse typiskt sett bör anses ha påvisat sådana tvingande berättigade skäl som kan anses väga tyngre än den registrerades intressen.
Sekretess och tystnadsplikt ska gå före informationsplikten och rätten till tillgång
Om personuppgifter som rör en registrerad person samlas in från den registrerade, ska den personuppgiftsansvarige enligt artikel 13 självmant lämna viss information till den registrerade, bl.a. om ändamålen med och den rättsliga grunden för behandlingen. Den personuppgiftsansvariges skyldighet att förse den registrerade med sådan information i de fall personuppgifterna inte har erhållits från den registrerade anges i artikel 14.
I artikel 14.5 föreskrivs flera undantag från bestämmelserna om den registrerades rätt till information när personuppgifter inte har erhållits från den registrerade. Enligt artikel 14.5 b ska dessa bestämmelser inte tillämpas i den mån tillhandahållandet av sådan information visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning. Enligt artikel 14.5 c ska bestämmelserna inte heller tillämpas om erhållande eller utlämnande av uppgifter uttryckligen föreskrivs genom unionsrätten eller genom en medlemsstats nationella rätt som den registrerade omfattas av och som fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen. Detta innebär bl.a. att en tillsynsmyndighet som regel inte behöver informera den registrerade om behandlingen av sådana personuppgifter som myndigheten erhållit som en följd av en reglerad uppgiftsskyldighet. Undantagen i artikel 14.5 är direkt tillämpliga och behöver inte, som Riksrevisionen förordar, upprepas eller förtydligas i dataskyddslagen.
I 27 § PUL anges att bestämmelserna i 23-26 §§ om den registrerades rätt till information inte gäller i den utsträckning det är särskilt föreskrivet i lag eller annan författning eller annars framgår av beslut som har meddelats med stöd av författning att uppgifter inte får lämnas ut till den registrerade. En personuppgiftsansvarig som inte är en myndighet får därvid i motsvarande fall som avses i offentlighets- och sekretesslagen vägra att lämna ut uppgifter till den registrerade. Frågan är om motsvarande undantag bör tas in i dataskyddslagen.
I artikel 14.5 d i dataskyddsförordningen anges att den personuppgiftsansvariges informationsplikt när personuppgifter inte har erhållits från den registrerade inte ska tillämpas om personuppgifterna måste förbli konfidentiella till följd av tystnadsplikt enligt unionsrätt eller nationell rätt, inbegripet lagstadgade sekretessförpliktelser. I artikel 15.4 anges endast att den registrerades rätt till tillgång inte ska inverka menligt på andras friheter och rättigheter.
Det befintliga undantaget i 27 § PUL är vidare än de direkt tillämpliga undantagen i artiklarna 14.5 d och 15.4. Något tydligt undantag från rätten till tillgång enligt artikel 15 finns inte i dataskyddsförordningen i fråga om uppgifter som omfattas av sekretess eller tystnadsplikt. Vidare finns det situationer då även en privaträttslig aktör, som inte omfattas av författningsreglerad sekretess eller tystnadsplikt, har berättigad anledning att hemlighålla uppgifter i förhållande till den registrerade. Det kan t.ex. röra sig om information som samlats in inför en domstolsprocess, om det kan antas att ett utlämnande av informationen skulle försämra den personuppgiftsansvariges ställning som part i rättegången. Regeringen anser därför i likhet med utredningen att det finns ett behov av ett undantag motsvarande det som i dag finns i 27 § PUL.
Pensionsmyndigheten efterfrågar förtydliganden av på vilken grund i artikel 23.1 som den registrerades rättigheter begränsas. När det gäller den offentliga sektorn kan konstateras att reglerna om sekretess i offentlighets- och sekretesslagen utgör begränsningar av rätten att ta del av allmänna handlingar. Denna rätt får enligt 2 kap. 2 § TF begränsas endast om det är påkallat med hänsyn till vissa särskilt angivna ändamål, t.ex. rikets säkerhet, intresset att förebygga eller beivra brott eller skyddet för enskildas personliga eller ekonomiska förhållanden. De godtagbara ändamål för sekretess som anges i tryckfrihetsförordningen utgör också godtagbara ändamål för begränsningar av den registrerades rättigheter enligt artikel 23.1 i dataskyddsförordningen. När det gäller andra än myndigheter ger den sistnämnda bestämmelsen också medlemsstaterna utrymme att göra sådana undantag i syfte att säkerställa skydd av andras fri- och rättigheter och verkställighet av civilrättsliga krav. Det är således tillåtet att föreskriva undantag från de registrerades rättigheter med hänsyn till privaträttsliga aktörers berättigade behov av att hemlighålla uppgifter. Enligt regeringens bedömning respekterar ett undantag som motsvarar 27 § PUL andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle.
Det bör därför, som utredningen föreslår, införas ett undantag från informationsplikten som i sak motsvarar 27 § PUL. Praxis rörande 27 § PUL bör kunna vara vägledande även vid tillämpningen av den nya bestämmelsen.
Svenska bankföreningen anser att ett motsvarande undantag bör införas även avseende den registrerades rätt till dataportabilitet, i fråga om uppgifter som hos en myndighet skulle ha varit sekretessbelagda enligt offentlighets- och sekretesslagen. Denna fråga behandlas inte av utredningen. Det har, enligt regeringens bedömning, inte framkommit skäl att införa ett sådant generellt undantag i dataskyddslagen. Undantag från rätten till dataportabilitet får i stället vid behov övervägas på sektorsspecifik nivå.
Löpande text som utgör utkast eller minnesanteckning ska inte omfattas av rätten till tillgång
Den registrerade har enligt 26 § första stycket PUL rätt att på begäran få information om och tillgång till de personuppgifter som behandlas, ett så kallat registerutdrag. Bestämmelsen genomför i svensk rätt artikel 12 a i dataskyddsdirektivet om rätten till tillgång. Rätten till tillgång innebär enligt EU-domstolen inte en rätt att få del av den handling där personuppgifterna förekommer, se dom YS mot Minister voor Immigratie, C-141/12, EU:C:2014:2081, punkt 58. I dataskyddsförordningen regleras rätten till tillgång i artikel 15 i dataskyddsförordningen. Denna rätt ska enligt artikel 15.4 inte inverka menligt på andra rättigheter och friheter.
I 26 § tredje stycket PUL föreskrivs undantag från rätten till tillgång. Enligt bestämmelsen behöver s.k. registerutdrag enligt 26 § första stycket inte lämnas om personuppgifter i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör minnesanteckning eller liknande. Undantaget gäller dock inte om uppgifterna har lämnats ut till tredje man eller om uppgifterna behandlas enbart för historiska, statistiska eller vetenskapliga ändamål eller, när det gäller löpande text som inte fått sin slutliga utformning, om uppgifterna har behandlats under längre tid än ett år.
I förarbetena till detta undantag anges, bl.a. med hänvisning till regleringen i 2 kap. TF, att det på såväl den offentliga som den privata sidan finns goda skäl för en ordning som innebär att ofärdiga alster, minnesanteckningar och liknande inte behöver lämnas ut (prop. 1997/98:44 s. 83-84). Att under en rimlig tid få ha sina ofärdiga alster och minnesanteckningar i fred kan enligt förarbetena anses som en sådan fri- och rättighet som enligt artikel 13.1 i dataskyddsdirektivet berättigar till en begränsning av informationsskyldigheten. Av förarbetena framgår vidare att om uppgifterna behandlats under så lång tid som ett år utan att texten färdigställts, kan dock den registrerades intresse av att få ta del av sina uppgifter anses väga tyngre än den personuppgiftsansvariges intresse av att utan insyn få ytterligare fördröja färdigställandet av texten.
Detta resonemang är enligt regeringens mening fortfarande relevant. I förhållande till myndigheter behövs ett sådant undantag för att säkerställa de mål av allmänt intresse som det ankommer på myndigheter att värna. Dessa intressen utgör grund för undantag från de registrerades rättigheter, särskilt enligt artikel 23.1 e, f och h. I förhållande till den privata sektorn är undantaget nödvändigt bl.a. för att skydda enskildas fri- och rättigheter, vilket är en tillåten grund för undantag enligt artikel 23.1 i. Undantaget respekterar andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle.
Regeringen anser att det befintliga undantaget i 26 § tredje stycket PUL fyller sitt syfte och fungerar väl. Till skillnad från Dataskydd.net anser regeringen att detta även gäller avgränsningen till löpande text. Det bör därför i dataskyddslagen tas in en bestämmelse som på motsvarande sätt gör undantag från rätten till tillgång enligt artikel 15 i dataskyddsförordningen avseende personuppgifter i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör minnesanteckning eller liknande. Undantaget bör i likhet med gällande rätt inte gälla om uppgifterna har lämnats ut till tredje part eller om uppgifterna behandlas enbart för arkivändamål av allmänt intresse eller för statistiska ändamål eller, när det gäller löpande text som inte fått sin slutliga utformning, om uppgifterna har behandlats under längre tid än ett år. Länsstyrelsen i Kronobergs län uppfattar förslaget som att t.ex. utkast till beslut ska lämnas ut efter ett år. Regeringen vill dock i det sammanhanget betona att artikel 15 i dataskyddsförordningen inte ger den registrerade någon rätt att ta del av den handling där uppgifter om honom eller henne förekommer. Själva utkastet behöver således inte lämnas ut. Däremot ska den registrerade, på begäran, få tillgång till uppgifterna i handlingen och den information som anges i artikel 15, om behandlingen har pågått under längre tid än ett år. Regeringen anser inte att det framkommit skäl att förlänga denna tid, på det sätt som bl.a. Svensk Försäkring föreslår. Skulle ett sådant behov föreligga på ett visst område bör det regleras särskilt.
Regeringen ska få meddela ytterligare föreskrifter
Ytterligare undantag kan komma att behöva föreskrivas med stöd av artikel 23 i dataskyddsförordningen. Det kommer också att finnas behov av sådana undantag från de registrerades rättigheter som kan föreskrivas med stöd av artikel 89.2-3. Mot denna bakgrund bör det införas ett bemyndigande i dataskyddslagen som i sak motsvarar det bemyndigande som finns i 8 a § PUL. Regeringen anser, till skillnad från Svensk Försäkring, att det saknas skäl att införa en möjlighet att vidaredelegera rätten att meddela sådana föreskrifter till Datainspektionen.
14 Arkiv och statistik
14.1 Arkivändamål av allmänt intresse
14.1.1 Föreskrifter om arkiv ger stöd för behandling av personuppgifter
Regeringens bedömning: Myndigheter och andra som omfattas av föreskrifter om arkiv har enligt gällande rätt rättslig grund för behandling av personuppgifter för arkivändamål av allmänt intresse.
Vidarebehandling av personuppgifter för arkivändamål av allmänt intresse ska enligt EU:s dataskyddsförordning inte anses vara oförenlig med de ursprungliga ändamålen. Någon rättslig grund behöver inte fastställas för sådan vidarebehandling.
Utredningens bedömning överensstämmer med regeringens.
Remissinstanserna: Det stora flertalet remissinstanser instämmer i utredningens bedömning eller kommenterar den inte. Enligt Riksarkivet ryms myndigheternas arkivering inom det ändamål för vilket uppgifterna ursprungligen samlas in. Riksarkivet anser därför att begreppet arkivändamål av allmänt intresse bör reserveras för den behandling som sker hos arkivinstitutioner. Svenska kyrkan påpekar att utredningen inte har behandlat frågan om huruvida Svenska kyrkans arkivändamål ska anses vara arkivändamål av allmänt intresse. Statens skolverk anger att även kommunala arkivmyndigheter tar över och förvarar enskilda arkiv. Skolverket anser att även denna verksamhet bör regleras.
Skälen för regeringens bedömning
Begreppet arkivändamål av allmänt intresse
I dataskyddsförordningen finns ett antal bestämmelser som särskilt rör personuppgiftsbehandling för arkivändamål av allmänt intresse. Enligt artikel 5.1 b gäller exempelvis att ytterligare behandling (vidarebehandling) av personuppgifter för sådana ändamål, i enlighet med artikel 89.1, inte ska anses oförenlig med de ursprungliga ändamålen. Av artikel 5.1 e följer att personuppgifter får lagras under en längre tid än vad som normalt gäller, om uppgifterna enbart kommer att behandlas för arkivändamål av allmänt intresse. Den förlängda bevarandetiden gäller under förutsättning att lämpliga tekniska och organisatoriska åtgärder vidtas i enlighet med kraven i artikel 89.1. I artikel 89.1 anges att behandling av personuppgifter för arkivändamål av allmänt intresse ska omfattas av lämpliga skyddsåtgärder i enlighet med förordningen för den registrerades rättigheter och friheter. Dessa skyddsåtgärder ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Bestämmelsen är direkt tillämplig och riktar sig till den personuppgiftsansvarige. Detta utesluter dock inte att vissa skyddsåtgärder som avses i artikeln föreskrivs i författning.
Begreppet arkivändamål av allmänt intresse definieras inte i dataskyddsförordningen. I dataskyddsdirektivet används i stället begreppet historiska ändamål. Det är oklart om någon skillnad i innebörd är avsedd. Den närmare innebörden av begreppet arkivändamål av allmänt intresse får därför klargöras i rättstillämpningen, särskilt i förhållande till begreppet historiska forskningsändamål som i dataskyddsförordningen ofta används i samma bestämmelser.
Svenska myndigheter, kommunala bolag och vissa andra organ är enligt arkivlagen (1990:782) skyldiga att bevara sina allmänna handlingar. Myndigheternas arkiv är enligt 3 § arkivlagen en del av det nationella kulturarvet och ska bevaras, hållas ordnade och vårdas så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt forskningens behov. Enligt regeringens mening står det klart att den behandling av personuppgifter som utförs för att uppfylla de krav som ställs i arkivlagen och anslutande föreskrifter måste anses ske för arkivändamål av allmänt intresse. Om begreppet skulle ha den snävare innebörd som Riksarkivet förespråkar, dvs. endast avse den behandling som sker av arkivmyndigheter, skulle det kunna ifrågasättas om myndigheter och andra organ skulle få ha interna arkiv för bevarande av uppgifter som inte längre behövs för det ursprungliga ändamålet. Detta kan inte vara avsikten med regleringen.
Föreskrifter om arkiv finns även på andra områden än inom den offentliga sektorn. Som Svenska kyrkan påpekar anges det i 12 § lagen om Svenska kyrkan att Svenska kyrkans arkiv ska bevaras, hållas ordnade och vårdas så att de tillgodoser rätten att ta del av kyrkans handlingar, behovet av information för rättskipning och förvaltning och forskningens behov. Regeringen gör bedömningen att behandling av personuppgifter som är nödvändig för att uppfylla sådan annan arkivlagstiftning, som på motsvarande sätt som arkivlagen syftar till att bevara och vårda en del av det svenska kulturarvet, också måste anses ske för arkivändamål av allmänt intresse.
Däremot anser regeringen, i likhet med utredningen, att behandling av personuppgifter som utförs för att uppfylla krav på bevarande för andra syften, såsom exempelvis kravet på arkivering av räkenskapsinformation enligt bokföringslagen (1999:1078), inte utgör behandling för arkivändamål av allmänt intresse. Det är dock en annan sak att det, när kravet på bevarande för andra syften inte längre kvarstår, kan finnas skäl att bevara även sådan information för arkivändamål av allmänt intresse, t.ex. för att arkivlagen kräver det.
Rättslig grund och tillåten vidarebehandling
Den behandling av personuppgifter som myndigheter och andra utför när de i enlighet med föreskrifter om arkiv arkiverar sina handlingar utgör en vidarebehandling som sker för arkivändamål av allmänt intresse. Behandlingen ska därmed enligt artikel 5.1 b inte anses som oförenlig med de ursprungliga ändamålen. Det krävs då inte någon annan rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs (skäl 50).
Vidarebehandling är det bara fråga om när ett och samma organ, eller dennes personuppgiftsbiträde, utför ytterligare behandlingar avseende en viss uppgift. När en arkivmyndighet, t.ex. Riksarkivet, övertar arkivmaterial från en annan myndighet övergår hela ansvaret för det materialet till arkivmyndigheten (9 § tredje stycket arkivlagen). Den myndighet som har överlämnat materialet förfogar därefter inte längre över detta. Den myndigheten bestämmer inte heller längre över ändamålen och medlen för arkivmyndighetens behandling av de personuppgifter som förekommer i materialet. Arkivmyndigheten bär i stället personuppgiftsansvaret för de behandlingar som sker därefter (se definitionen av begreppet personuppgiftsansvarig i artikel 4.7 i dataskyddsförordningen).
Detta innebär att det behövs en rättslig grund för arkivmyndigheternas behandling av de personuppgifter som finns i det övertagna materialet. Den behandlingen sker för att utföra en i arkivlagstiftningen fastställd uppgift av allmänt intresse (se avsnitt 8.4). Nödvändig behandling hos arkivmyndigheterna kan därmed ske med dessa bestämmelser som rättslig grund, enligt artikel 6.1 e i dataskyddsförordningen. Detta gäller även t.ex. då Riksarkivet enligt 6 § andra stycket förordningen (2009:1593) med instruktion för Riksarkivet tar emot arkivhandlingar från enskilda som är av särskild betydelse för forskning och kulturarv.
Statens skolverk efterfrågar en reglering för kommunala arkivmyndigheter som övertar arkivmaterial från enskilda organ. Det finns inte något underlag för att i detta lagstiftningsärende bedöma behovet av en sådan reglering. Det kan dock konstateras att det i det enskilda fallet kan vara så att arkiven överlämnas till arkivmyndigheten som deposition, dvs. utan att äganderätten övergår. I sådana fall kan parterna avtala om att arkivmyndigheten ska ges ett privaträttsligt uppdrag att i egenskap av personuppgiftsbiträde förvara och vårda materialet för deponentens räkning.
14.1.2 Rättsligt stöd för behandling som utförs av enskilda arkivinstitutioner
Regeringens förslag: Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att personuppgiftsansvariga som inte omfattas av föreskrifter om arkiv får behandla personuppgifter för arkivändamål av allmänt intresse. Den myndighet som regeringen bestämmer får även i enskilda fall tillåta sådan behandling. Ett beslut får förenas med villkor.
Utredningens förslag överensstämmer i sak med regeringens. Utredningen föreslår en annan språklig utformning av bestämmelsen.
Remissinstanserna: Det stora flertalet remissinstanser tillstyrker utredningens förslag eller har inga synpunkter på det. Riksarkivet ser behovet och nyttan av föreskrifter och beslut inom området, men efterfrågar ett förtydligande av förhållandet mellan de generella föreskrifterna och de förvaltningsbeslut som föreslås beslutas i enstaka fall, samt vad föreskrifterna i praktiken ska reglera. Vidare påpekar Riksarkivet att det inte framgår om de enskilda arkivens eller arkivinstitutionernas behandling av personuppgifter ska stå under Datainspektionens tillsyn. Centrum för näringslivshistoria betonar att det är av yttersta vikt att den här typen av bestämmelse införs. Arbetarrörelsens arkiv och bibliotek anför att det är av yttersta vikt att deras arbete inte försvåras eller omöjliggörs av ny lagstiftning på området. Föreningen svenska länsarkivarier ställer sig bakom förslaget som en temporär lösning i avvaktan på regeringens utredning om arkivsektorn. Vidare anser föreningen att Riksarkivet är den givna myndigheten att hantera ett sådant ackrediteringsförfarande samt att det bör framgå att myndighetsutövningen ska ske i samråd med den enskilda arkivsektorn. Dataskydd.net anser däremot att Datainspektionen ska ha föreskriftsrätten i stället för Riksarkivet. Datainspektionen avstyrker förslaget och anser att bemyndigandet innebär att regeringen och Riksarkivet kan ge enskilda arkiv rätt att behandla personuppgifter för arkivändamål av allmänt intresse trots att en sådan uppgift inte är fastställd i nationell rätt. Östergötlands läns landsting anser att begreppet allmänt intresse bör definieras, särskilt i förhållande till enskilda arkivinstitutioner.
Skälen för regeringens förslag
Begreppet arkivändamål av allmänt intresse
Även de som inte omfattas av arkivlagstiftningen kan i vissa fall behandla personuppgifter för arkivändamål av allmänt intresse. Av skäl 158 till dataskyddsförordningen framgår att ett sådant organ bör ha en rättslig skyldighet att förvärva, bevara, bedöma, organisera, beskriva, kommunicera, främja, sprida och ge tillgång till uppgifter av bestående värde för allmänintresset. Medlemsstaterna bör enligt samma skäl ha rätt att föreskriva att personuppgifter får vidarebehandlas för arkivering, exempelvis i syfte att tillhandahålla specifik information om politiskt beteende under tidigare totalitära regimer, folkmord, brott mot mänskligheten, särskilt Förintelsen, eller krigsförbrytelser.
Östergötlands läns landsting anser att begreppet allmänt intresse bör definieras, särskilt i förhållande till enskilda arkivinstitutioner. Regeringen kan dock konstatera att begreppet är EU-rättsligt och inte kan definieras i nationell lagstiftning. Begreppet måste i stället ges utrymme att utvecklas i rättstillämpningen. Om syftet med behandlingen är just arkivändamål av allmänt intresse, och inte t.ex. historiska forskningsändamål, måste bedömas från fall till fall.
Rättsligt stöd för enskilda arkivorgans behandling av personuppgifter
Det finns i Sverige ett antal enskilda organ som samlar in eller vidarebehandlar personuppgifter för arkivändamål av allmänt intresse. Den rättsliga grunden för denna behandling torde i normalfallet vara att verksamheten är av allmänt intresse enligt 10 § d PUL. Det är dock oklart om uppgifterna för de enskilda arkivorgan, vilkas verksamhet är av allmänt intresse, alltid är fastställda i enlighet med svensk rätt på det sätt som krävs för att artikel 6.1 e i dataskyddsförordningen ska vara tillämplig. När dataskyddsförordningen börjar tillämpas kan därmed den rättsliga grunden för de enskilda organens behandling av personuppgifter komma att ifrågasättas. Det finns därför behov av att förtydliga det rättsliga stödet för sådan personuppgiftsbehandling.
Regeringen delar utredningens bedömning att detta bör ske genom att det införs en möjlighet för regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter som tillåter att personuppgiftsansvariga behandlar personuppgifter för arkivändamål av allmänt intresse. Till skillnad från Datainspektionen anser regeringen att en föreskrift som tillåter en personuppgiftsansvarig att behandla personuppgifter för arkivändamål av allmänt intresse ger det stöd i rättsordningen som behövs. En föreskrift som tillåter att t.ex. en förening behandlar personuppgifter för arkivändamål av allmänt intresse innebär i sig att föreningen erkänns ha befogenhet att bedriva arkivverksamhet av allmänt intresse. Därmed är en uppgift av allmänt intresse fastställd på det sätt som krävs enligt artikel 6.3 första stycket i dataskyddsförordningen.
Regeringen har för avsikt att delegera föreskriftsrätten till Riksarkivet, eftersom det är den myndighet som har bäst förutsättningar att bedöma vilka kriterier som ska vara uppfyllda för att en arkivverksamhet ska anses vara av allmänt intresse i dataskyddsförordningens mening. Riksarkivet bör dock ha en skyldighet att höra Datainspektionen innan föreskrifter meddelas. Vidare bör Riksarkivet vid behov inhämta synpunkter från den enskilda arkivsektorn i allmänhet och de berörda personuppgiftsansvariga i synnerhet.
Med anledning av Riksarkivets önskemål om förtydligande av vad föreskrifterna i praktiken ska reglera kan regeringen nämna att föreskrifterna skulle kunna innehålla generella bestämmelser som bör gälla för all arkivverksamhet av allmänt intresse som inte omfattas av arkivlagstiftningen, i linje med vad som anges i skäl 158. De berörda personuppgiftsansvariga skulle kunna anges i en bilaga till föreskrifterna, med angivande av den verksamhet som bedöms vara av allmänt intresse. I förekommande fall kan begränsningar avseende de generella bestämmelserna eller särskilda villkor för tillämpningen anges. Den närmare utformningen av föreskrifterna och innehållet i dessa bör dock överlämnas till Riksarkivet att bestämma.
Det är tänkbart att det kan uppstå enstaka situationer där föreskriftsformen inte är lämplig, men där det ändå finns skäl att tillåta behandling av personuppgifter för arkivändamål av allmänt intresse. Det kan t.ex. röra sig om behandling som ska ske av en personuppgiftsansvarig under en begränsad tid eller i ett mycket begränsat avseende. I likhet med den ordning som gäller för behandling av personuppgifter om lagöverträdelser som föreslås i avsnitt 11, bör därför den myndighet som regeringen bestämmer i enskilda fall kunna pröva om den behandling som utförs sker för arkivändamål av allmänt intresse i dataskyddsförordningens mening. Regeringen har för avsikt att ge Riksarkivet även denna uppgift. Om Riksarkivet bedömer att sökandens arkivverksamhet uppfyller dataskyddsförordningens krav kan denna genom ett särskilt beslut medges rätt att behandla personuppgifter för arkivändamål av allmänt intresse. Den personuppgiftsbehandling som är nödvändig för detta ändamål kan då ske med beslutet som rättslig grund. Ett beslut som går sökanden emot bör kunna överklagas, se avsnitt 17.5.
Riksarkivet påpekar att det i betänkandet inte framgår om Datainspektionen ska utöva tillsyn över de enskilda arkivens eller arkivinstitutionernas behandling av personuppgifter. Regeringen kan i det sammanhanget nämna att regeringen har för avsikt att, i förordning, utse Datainspektionen som tillsynsmyndighet enligt dataskyddsförordningen. All behandling av personuppgifter som sker inom dataskyddsförordningens och dataskyddslagens tillämpningsområde kommer att omfattas av Datainspektionens tillsyn, oavsett vilken den rättsliga grunden för behandlingen är. Det innebär således, precis som i dag, att en enskild arkivinstitution som förvarar handlingar som innehåller personuppgifter kommer att stå under Datainspektionens tillsyn. Detta gäller oavsett om behandlingen utförs med stöd av Riksarkivets föreskrifter eller beslut, på grund av att behandlingen sker för arkivändamål av allmänt intresse, eller om organet genom ett civilrättsligt avtal med arkivmaterialets ägare endast behandlar personuppgifterna i egenskap av personuppgiftsbiträde åt deponenten.
Regeringen har tidigare bedömt att det finns anledning att genomföra en bred översyn av arkivväsendet i landet och att denna översyn även ska tydliggöra de enskilda arkivens viktiga roll som en del av det gemensamma kulturarvet (prop. 2016/17:116 s. 174-175). Utredningen förutsätter mot denna bakgrund att frågor kring de enskilda arkivens behandling av personuppgifter kommer att utredas närmare. En sådan översyn av arkivväsendet har nu inletts. Enligt regeringens kommittédirektiv, dir. 2017:106, ska en särskild utredare bl.a. analysera om regleringen för de enskilda arkiven bör förändras för att kunna tillgodose behov inom rättsskipning, förvaltning, forskning och skydd för kulturarvet. Utredaren ska även utreda om de enskilda arkivens hantering av personuppgifter kräver ytterligare författningsstöd samt analysera Riksarkivets och övriga arkivmyndigheters roll och uppgifter i relation till de enskilda arkiven och vid behov lämna förslag på hur dessa kan förändras. Precis som Föreningen svenska länsarkivarier påpekar kan därför den ordning som föreslås i detta lagstiftningsärende avseende enskildas behandling av personuppgifter för arkivändamål av allmänt intresse komma att bli en övergångslösning.
14.1.3 Behandling av bland annat känsliga personuppgifter för arkivändamål
Regeringens förslag: Känsliga personuppgifter och personuppgifter som rör lagöverträdelser får behandlas om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att personuppgiftsansvariga som inte omfattas av föreskrifter om arkiv får behandla känsliga personuppgifter för arkivändamål av allmänt intresse. Den myndighet som regeringen bestämmer får även i enskilda fall tillåta sådan behandling. Ett beslut får förenas med villkor.
Utredningens förslag överensstämmer i sak med regeringens. Utredningen föreslår en annan språklig utformning av bestämmelsen.
Remissinstanserna: Det stora flertalet remissinstanser tillstyrker utredningens förslag eller har inga synpunkter på det. Centrum för näringslivshistoria anför att det är av yttersta vikt att den här typen av bestämmelse införs. Arbetarrörelsens arkiv och bibliotek anför att det är av yttersta vikt att deras arbete inte försvåras eller omöjliggörs av ny lagstiftning på området. Föreningen svenska länsarkivarier ställer sig bakom förslaget som en temporär lösning i avvaktan på regeringens utredning om arkivsektorn. Vidare anser föreningen att Riksarkivet är den givna myndigheten att hantera ett sådant ackrediteringsförfarande samt att det bör framgå att myndighetsutövningen ska ske i samråd med den enskilda arkivsektorn. Dataskydd.net anser i stället att Datainspektionen ska ha föreskriftsrätten. Vidare anser Dataskydd.net att bestämmelsen som rör sådan behandling av känsliga personuppgifter som är nödvändig för att följa föreskrifter om arkiv ska tas bort och att bestämmelsen om sådan behandling av personuppgifter som rör lagöverträdelser ska kompletteras med ett krav på dokumentation, om pseudonymiserade uppgifter inte kan användas vid arkiveringen. Pensionsmyndigheten anser inte att det är självklart att förordningen ska tolkas så att det finns ett behov av att i dataskyddslagen eller i annan nationell lagstiftning ta in bestämmelser om undantag från förbudet att behandla känsliga personuppgifter. Om sådana bestämmelser beslutas anser myndigheten att detta inte bör ske utan ett förtydligande av det av utredningen använda uttrycket föreskrifter om bevarande och vård av arkiv. Även Centrala studiestödsnämnden anser det vara av vikt att det fortsatta lagstiftningsarbetet tydliggör vilka delar av arkivlagstiftningen som formuleringen om föreskrifter om bevarande och vård av arkiv syftar på. Datainspektionen anser att utredningen inte har visat att det skydd som finns i dag i nationell lagstiftning för myndigheters arkiv uppfyller kraven på lämpliga skyddsåtgärder.
Skälen för regeringens förslag
Myndigheter och andra organ som omfattas av föreskrifter om arkiv
Bestämmelsen i 8 § andra stycket PUL tydliggör att personuppgiftslagen inte hindrar att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. Bestämmelsen innebär bl.a. att känsliga personuppgifter kan behandlas trots förbudet i 13 § PUL (prop. 1997/98:44 s. 47-48). I praktiken innebär bestämmelsen i 8 § andra stycket PUL att arkivlagstiftningen har företräde framför personuppgiftslagen. Detta är en nödvändig utgångspunkt för att den svenska offentlighetsprincipen fullt ut ska kunna fylla sin funktion. Det finns ingenting i dataskyddsförordningen som förhindrar att ett sådant synsätt bibehålls. Tvärtom säkerställs, som utvecklas i avsnitt 7.1, offentlighetsprincipens ställning genom artikel 86 i förordningen.
I artikel 9.1 i dataskyddsförordningen anges att behandling som avslöjar känsliga personuppgifter ska vara förbjuden, se avsnitt 10.1. Utrymmet för undantag från detta förbud, vid behandling som är nödvändig för arkivändamål av allmänt intresse, regleras i artikel 9.2 j. Där anges att förbudet inte gäller om behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.
För att behandling av känsliga personuppgifter ska vara tillåten för arkivändamål i allmänt intresse krävs således att unionsrätten eller den nationella rätten innehåller bestämmelser om lämpliga och särskilda åtgärder. Detta krav överensstämmer med det som gäller för behandling av känsliga personuppgifter med hänsyn till andra viktiga allmänna intressen enligt artikel 9.2 g i dataskyddsförordningen. Kraven på lämpliga och särskilda åtgärder i artikel 9.2 g och j i dataskyddsförordningen motsvarar det krav på skyddsåtgärder som ställs enligt dataskyddsdirektivet. Kravet på lämpliga och särskilda åtgärder i dataskyddsförordningen innebär således ingen ny begränsning av möjligheten att behandla känsliga personuppgifter för arkivändamål av allmänt intresse.
Den nödvändiga behandling av personuppgifter som sker vid arkiv som omfattar allmänna handlingar har rättslig grund i arkivlagen och anslutande föreskrifter. Regeringen konstaterar i avsnitt 10.4 att svensk rätt innehåller lämpliga och särskilda åtgärder som skyddar enskildas integritet vid hanteringen av allmänna handlingar, t.ex. i form av sekretess, rätt till partsinsyn och föreskrifter om informationssäkerhet och gallring. I synnerhet de nationella författningsbestämmelserna om sekretess utgör en sådan lämplig och särskild åtgärd som avses i artikel 9.2 g och j, eftersom dessa har utformats noggrant efter en avvägning mellan behovet av skydd och intresset av insyn.
Regeringen anser mot denna bakgrund, till skillnad från Datainspektionen, att det skydd som enligt svensk rätt gäller för myndigheters arkiv uppfyller kraven på lämpliga och särskilda åtgärder. Enligt regeringens bedömning kan därmed även känsliga personuppgifter behandlas då det är nödvändigt för att följa föreskrifter om arkiv, med stöd av artikel 9.2 j i dataskyddsförordningen.
Till skillnad från Dataskydd.net anser dock regeringen att dataskyddslagen bör innehålla en uttrycklig bestämmelse som, i likhet med 8 § andra stycket första meningen PUL, tydliggör att en myndighet får arkivera och bevara allmänna handlingar som innehåller känsliga personuppgifter samt att arkivmaterial som innehåller känsliga personuppgifter får tas om hand av en arkivmyndighet.
Utredningen föreslår att känsliga personuppgifter ska få behandlas om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om bevarande och vård av arkiv. Av Pensionsmyndighetens och Centrala studiestödsnämndens remissyttranden framgår att denna formulering skulle kunna förstås på så sätt att den endast syftar på vissa delar av arkivlagstiftningen. Enligt regeringen bör bestämmelsen därför i stället ange att känsliga personuppgifter får behandlas om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv. Bestämmelsen förtydligar bl.a. att dataskyddsförordningen och dataskyddslagen inte hindrar att allmänna handlingar arkiveras och bevaras eller att arkivmaterial tas om hand av en arkivmyndighet. Den författningstekniska skillnaden mellan 8 § andra stycket första meningen PUL och den bestämmelse som regeringen föreslår innebär således ingen saklig förändring i denna del.
Arkivlagen och andra föreskrifter om arkiv omfattar inte bara myndigheter utan även t.ex. kommunala bolag och vissa andra utpekade enskilda organ. För dessa skulle det i enstaka fall kunna uppstå en normkonflikt mellan arkivlagstiftningen och regleringen i artikel 10 i dataskyddsförordningen avseende behandlingen av personuppgifter som rör lagöverträdelser (se avsnitt 11). Dataskyddslagen bör därför även innehålla en bestämmelse som, på motsvarande sätt som avseende känsliga personuppgifter, tillåter behandling av personuppgifter som rör lagöverträdelser, om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv. Bestämmelsen bör inte förenas med ett sådant krav på dokumentation som Dataskydd.net förespråkar.
Personuppgiftsansvariga som inte omfattas av föreskrifter om arkiv
Även hos personuppgiftsansvariga som inte omfattas av föreskrifter om arkiv kan det finnas ett allmänt intresse av att känsliga personuppgifter bevaras. Sådant bevarande bör enligt regeringens bedömning också tillåtas under vissa förutsättningar. Risken är annars uppenbar att viktig information om vår samtid går förlorad. Det bör därför införas en bestämmelse i dataskyddslagen som anger att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter som tillåter att personuppgiftsansvariga som inte omfattas av föreskrifter om arkiv får behandla känsliga personuppgifter för arkivändamål av allmänt intresse. Regeringen har för avsikt att delegera föreskriftsrätten till Riksarkivet. Riksarkivet bör även i enskilda fall få besluta att personuppgiftsansvariga får behandla sådana personuppgifter för arkivändamål av allmänt intresse. Sådana föreskrifter och förvaltningsbeslut bör lämpligen meddelas i samband med att den rättsliga grunden fastställs för den personuppgiftsansvariges behandling av personuppgifter för arkivändamål av allmänt intresse, se föregående avsnitt. Förvaltningsbeslut kan även meddelas som komplement till en tidigare antagen föreskrift som ger den personuppgiftsansvarige rättslig grund för behandling av personuppgifter för detta ändamål.
För enskilda arkiv finns det inte några generella föreskrifter om lämpliga och särskilda åtgärder, utöver dem som följer direkt av dataskyddsförordningen och den som regeringen föreslår i följande avsnitt. Mot bakgrund av att de enskilda arkiven sinsemellan uppvisar stora olikheter är det heller inte lämpligt att i lag slå fast att en viss typ av ytterligare åtgärd alltid ska gälla vid behandling av känsliga personuppgifter. Det bör i stället ankomma på Riksarkivet att, efter samråd med Datainspektionen, bedöma om beslut som tillåter ett enskilt organ att behandla känsliga personuppgifter ska villkoras av att den personuppgiftsansvarige vidtar särskilda åtgärder och i så fall vilka. Det kan t.ex. röra sig om åtkomstbegränsningar, krav på särskilda tekniska säkerhetsåtgärder eller någon annan åtgärd som bedöms lämplig och proportionerlig i det aktuella fallet.
14.1.4 Användningsbegränsning
Regeringens förslag: Personuppgifter som behandlas enbart för arkivändamål av allmänt intresse får användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Denna begränsning hindrar inte myndigheter och andra vars verksamhet omfattas av offentlighetsprincipen och sekretesslagstiftningen från att använda personuppgifter som finns i allmänna handlingar.
Utredningens förslag överensstämmer i sak med regeringens. Utredningens förslag har en annan språklig utformning.
Remissinstanserna: Det stora flertalet remissinstanser tillstyrker utredningens förslag eller har inga synpunkter på det. E-hälsomyndigheten saknar ett förtydligande av om uttrycket vitala intressen ska uppfattas på ett annat sätt än uttrycket intressen som är av grundläggande betydelse. Konkurrensverket efterlyser ett förtydligande kring innebörden av bestämmelsen. Dataskydd.net anser att ordet enbart introducerar en oklarhet och dramatiskt utökar myndigheternas befogenheter att behandla personuppgifter på ett för privatpersonen oönskat sätt. Vidare anser dataskydd.net att undantaget med hänsyn till vitala intressen ska tas bort. Datainspektionen anser att utredningen inte har visat att det skydd som finns i dag i nationell lagstiftning för myndigheters arkiv uppfyller kraven på lämpliga skyddsåtgärder.
Skälen för regeringens förslag: I 9 § fjärde stycket PUL anges att personuppgifter som behandlas för historiska, statistiska eller vetenskapliga ändamål får användas för att vidta åtgärder i fråga om den registrerade bara om den registrerade har lämnat sitt samtycke eller det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Enligt 8 § andra stycket PUL gäller dock denna begränsning inte för en myndighets användning av personuppgifter i allmänna handlingar.
När en personuppgift inte längre behöver behandlas för det ursprungliga ändamålet ska den, enligt huvudregeln i artikel 5.1 e i dataskyddsförordningen, gallras eller anonymiseras. Undantag gäller dock om det finns ett arkivändamål av allmänt intresse. Möjligheten till förlängd bevarandetid förutsätter att uppgiften enbart behandlas för arkivändamål. Det kan emellertid inte uteslutas att en arkiverad uppgift åter kan komma att behövas även för andra ändamål, t.ex. i den personuppgiftsansvariges kärnverksamhet. Begränsningen i 9 § fjärde stycket PUL förhindrar sådan återanvändning i vissa situationer, oavsett om den nya behandlingen ska ske för det ursprungliga insamlingsändamålet eller för något annat därmed förenligt ändamål. Av förarbetena till bestämmelsen framgår dock att bestämmelsen inte aktualiseras om en arkiverad uppgift även behandlas för andra ändamål, dvs. inte enbart för arkivändamål (SOU 1997:39 s. 356-357). En uppgift som fortfarande behövs i kärnverksamheten och därför behandlas där kan alltså användas för att vidta åtgärder i fråga om den registrerade, även om samma uppgift också förekommer i en arkiverad handling hos den personuppgiftsansvarige.
Utredningen föreslår att en bestämmelse som i sak motsvarar 9 § fjärde stycket PUL ska införas i dataskyddslagen. Regeringen anser, till skillnad från Dataskydd.net, att detta utgör en väl avvägd skyddsåtgärd. Precis som i personuppgiftslagen bör bestämmelsen inte bara avse känsliga personuppgifter. Den nya bestämmelsen bör dock, som utredningen föreslår, utformas så att det tydligare än i dag framgår att användningsbegränsningen bara gäller personuppgifter som enbart behandlas för arkivändamål av allmänt intresse. Det är så bestämmelsen i personuppgiftslagen är avsedd att tillämpas och tillägget utgör därmed inte, som Dataskydd.net anger, någon utvidgning av den personuppgiftsansvariges befogenheter. Det finns vidare inte skäl att ange i paragrafen att uppgifter får användas med den registrerades samtycke. Om samtycke inhämtas till att en arkiverad uppgift används för nya ändamål, kan behandlingen nämligen jämställas med personuppgiften samlas in på nytt med stöd av artikel 6.1 a i dataskyddsförordningen.
Personuppgifter som behandlas enbart för arkivändamål av allmänt intresse bör således få användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Någon saklig skillnad mellan förslaget och 9 § fjärde stycket PUL är inte avsedd. Förarbeten och praxis avseende bestämmelsen i personuppgiftslagen bör därmed kunna vara vägledande även vid tillämpningen av dataskyddslagen. Detta medför även att det saknas skäl att, som E-hälsomyndigheten efterfrågar, utveckla förhållandet mellan begreppet vitala intressen och begreppet intressen som är av grundläggande betydelse.
Som framgår av föregående avsnitt anser regeringen, till skillnad från Datainspektionen, att den lagstiftning som rör hanteringen av allmänna handlingar innehåller lämpliga och särskilda åtgärder som skyddar enskildas integritet. Ytterligare skyddsåtgärder hos myndigheter, t.ex. i form av användningsbegränsningar som förhindrar återanvändning av arkiverade uppgifter, bör vid behov införas i sektorsspecifika författningar och inte i den generella lagen. Den föreslagna bestämmelsen om begränsningar av möjligheten att vidta åtgärder i fråga om den registrerade ska därför inte hindra myndigheter från att använda personuppgifter som finns i allmänna handlingar. Förslaget medför därmed ingen förändring i förhållande till vad som gäller enligt personuppgiftslagen. Med anledning av Konkurrensverkets önskemål om förtydligande kan regeringen således konstatera att användningsbegränsningen inte aktualiseras för myndigheternas del, eftersom en handling blir allmän senast i samband med att den omhändertas för arkivering. I likhet med utredningens förslag bör detta undantag från användningsbegränsningen gälla även för andra än myndigheter, i den mån bestämmelserna i tryckfrihetsförordningen och offentlighets- och sekretesslagen om allmänna handlingar och sekretess gäller i deras verksamhet.
14.1.5 Undantag från vissa av den registrerades rättigheter
Regeringens bedömning: Dataskyddslagen bör inte innehålla några generella undantag från den registrerades rättigheter vid behandling av personuppgifter för arkivändamål av allmänt intresse.
Utredningens bedömning överensstämmer med regeringens.
Remissinstanserna: Det stora flertalet remissinstanser instämmer i utredningens bedömning eller kommenterar den inte. Domstolsverket påpekar att det i betänkandet saknas en förklaring till varför utredningen valt att undanta enbart arkivmyndigheternas personuppgiftsbehandling och inte all personuppgiftsbehandling för arkivändamål av allmänt intresse. Statens skolverk anser att undantag från rätten till rättelse och rätten att göra invändningar bör gälla hos alla myndigheter, vid behandling som enbart sker för arkivändamål av allmänt intresse. Lunds universitet föreslår att de undantag som görs rörande arkivmaterial som tagits emot för förvaring av myndigheten utsträcks till att gälla för alla typer av myndigheter med arkivfunktioner, inte bara till arkivmyndigheter. Arbetsmiljöverket anser att allmänna handlingar som omhändertagits för arkivering av en arkivmyndighet eller en arkivfunktion inom en myndighet, ska undantas från rätten till rättelse och begränsning av behandling av personuppgifter. Stockholms kommun anser att undantag från de registrerades rättigheter bör gälla även för övriga offentliga myndigheter som förvaltar och lagrar äldre arkiv och inte bara gälla levererat material till arkivmyndighet utan även avslutade arkiv som förvaras hos myndigheter.
Skälen för regeringens bedömning: Dataskyddsförordningen innehåller i artikel 14.5 b och 17.3 d vissa direkt tillämpliga undantag från de registrerades rättigheter vid behandling av personuppgifter för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Om personuppgifter behandlas för arkivändamål av allmänt intresse får det enligt artikel 89.3 i dataskyddsförordningen dessutom föreskrivas undantag från de rättigheter som avses i artiklarna 15, 16, 18, 19, 20 och 21, med förbehåll för de villkor och skyddsåtgärder som avses i artikel 89.1 (se avsnitt 14.1.1). Detta får emellertid bara göras i den utsträckning som sådana rättigheter sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla de särskilda ändamålen och sådana undantag krävs för att uppnå detta ändamål. Utredningen föreslår att vissa sådana undantag ska införas i arkivförordningen (1991:446), när det gäller personuppgifter i arkivmaterial som tagits emot för förvaring av en arkivmyndighet. Några remissinstanser, bl.a. Statens skolverk, Lunds universitet och Stockholms kommun, anser dock att dessa undantag från de registrerades rättigheter inte bara ska gälla hos arkivmyndigheterna, utan även hos andra myndigheter som behandlar personuppgifter för arkivändamål av allmänt intresse.
Som utredningen påpekar är väl fungerande myndighetsarkiv av grundläggande betydelse för forskning och utveckling, insyn och delaktighet, ansvarsutkrävande och demokrati. Detta intresse kan i vissa situationer väga tyngre än den enskildes intresse av att kunna utöva sina rättigheter enligt dataskyddsförordningen. Regeringens allmänna utgångspunkt är dock att dataskyddslagen inte bör inskränka de registrerades rättigheter i större utsträckning än vad som gäller enligt personuppgiftslagen. Eftersom det i personuppgiftslagen inte finns några generella undantag från de registrerades rättigheter vid behandling av personuppgifter för historiska ändamål bör några undantag vid behandling för arkivändamål av allmänt intresse inte heller införas i dataskyddslagen.
14.2 Statistiska ändamål
Regeringens förslag: Känsliga personuppgifter får behandlas för statistiska ändamål, om samhällsintresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära.
Personuppgifter som enbart behandlas för statistiska ändamål får användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Användningsbegränsningen gäller även för myndigheters användning av statistikuppgifter som finns i allmänna handlingar.
Utredningens förslag överensstämmer i sak med regeringens. Utredningens förslag har en annan språklig utformning.
Remissinstanserna: Det stora flertalet remissinstanser tillstyrker utredningens förslag eller har inga synpunkter på det. Svensk Försäkring menar att möjligheten att vidarebehandla uppgifter för statistikändamål bör vidgas. Tjänstemännens centralorganisation efterfrågar exempel på sådant som kan vara av stort samhällsintresse och anser att lönestatistikprojekt bör vara ett sådant. Statistiska centralbyrån anför att byråns behandling av personuppgifter i samband med uppdrag åt forskare bör betraktas som behandling av personuppgifter för statistiska ändamål. Migrationsverket anser att det är ett väl avvägt förslag att myndigheter inte ska få använda statistikuppgifter för åtgärder mot den registrerade. E-hälsomyndigheten saknar ett förtydligande av om uttrycket vitala intressen ska uppfattas på ett annat sätt än uttrycket intressen som är av grundläggande betydelse. Dataskydd.net anser att ordet enbart introducerar en oklarhet och dramatiskt utökar myndigheternas befogenheter att behandla personuppgifter på ett för privatpersonen oönskat sätt. Vidare anser Dataskydd.net att undantaget med hänsyn till vitala intressen ska tas bort.
Skälen för regeringens förslag
Behandling av personuppgifter för statistiska ändamål
I dataskyddsförordningen avses med statistiska ändamål varje åtgärd som vidtas för den insamling och behandling av personuppgifter som är nödvändig för statistiska undersökningar eller för framställning av statistiska resultat (skäl 162). Ett statistiskt ändamål innebär, enligt samma skäl, att resultatet av behandlingen inte består av personuppgifter, utan av aggregerade personuppgifter, och att resultatet eller uppgifterna inte används till stöd för åtgärder eller beslut som avser en särskild privatperson.
Behandling av personuppgifter för statistiska ändamål förekommer inom såväl offentlig som privat sektor, både som en självständig verksamhet och som en uppföljande åtgärd till annan verksamhet. Statistiska undersökningar kan också utgöra en integrerad del av ett forskningsprojekt. Som Statistiska centralbyrån anför bör byråns behandling av personuppgifter i samband med uppdrag åt forskare betraktas som behandling av personuppgifter för statistiska ändamål. Däremot bör sådan behandling av personuppgifter för statistiska ändamål som utförs under forskarens ansvar bedömas enligt de bestämmelser som gäller vid behandling för forskningsändamål. Vad som ryms inom begreppet forskning har behandlats av Forskningsdatautredningen, vars betänkande nu bereds inom Regeringskansliet (SOU 2017:50). Detta lagstiftningsärende omfattar således inte sådan behandling av personuppgifter för statistiska ändamål som sker i verksamhet som utgör forskning enligt dataskyddsförordningen.
Framställningen av den officiella statistiken, som ska finnas för allmän information, utredningsverksamhet och forskning, regleras av lagen (2001:99) om den officiella statistiken och förordningen (2001:100) om den officiella statistiken. Dessa författningar reglerar bl.a. under vilka förutsättningar känsliga personuppgifter får behandlas och vilken information som den statistikansvariga myndigheten ska lämna. De ändringar som dataskyddsförordningen föranleder i dessa författningar behandlas inte i detta lagstiftningsärende.
Den officiella statistiken och annan reglerad statistik framställs av särskilt utpekade myndigheter, som genom författning har tilldelats en uppgift av allmänt intresse. Personuppgifter kan således samlas in och i övrigt behandlas för detta ändamål, utan samtycke från de registrerade, med stöd av artikel 6.1 e i dataskyddsförordningen. Detsamma bör enligt regeringens mening gälla vid sådan statistikverksamhet som är nödvändig för att t.ex. en myndighet ska kunna utföra sitt fastställda uppdrag, även om statistik inte uttryckligen nämns i uppdraget (jfr avsnitt 8.4).
Behandling av personuppgifter inom ramen för ett statistikprojekt som inte är nödvändigt för att utföra en fastställd uppgift av allmänt intresse och som inte heller i sig utgör en sådan uppgift kan däremot inte ske med stöd av artikel 6.1 e i dataskyddsförordningen. Rättslig grund för behandlingen måste då sökas någon annanstans. I vissa fall kan insamling av personuppgifter för statistiska ändamål ske med stöd av samtycke från de registrerade. I andra fall, utom när myndigheter fullgör sina uppgifter, kan insamling av personuppgifter för viss statistikverksamhet vara tillåten utan samtycke, med stöd av en intresseavvägning enligt artikel 6.1 f i dataskyddsförordningen.
Det är mycket vanligt att personuppgifter som ursprungligen har samlats in för andra ändamål vidarebehandlas för statistiska ändamål, t.ex. som ett led i den personuppgiftsansvariges uppföljning av sin egentliga verksamhet. Sådan vidarebehandling är särskilt gynnad i dataskyddsförordningen, precis som i personuppgiftslagen. Uppgifter som ursprungligen har samlats in för något annat ändamål kan alltså även i fortsättningen användas för statistiska ändamål, utan att denna nya behandling anses vara oförenlig med de ursprungliga ändamålen (artikel 5.1 b i dataskyddsförordningen), under förutsättning att lämpliga tekniska och organisatoriska åtgärder vidtas i enlighet med kraven i artikel 89.1. En nyhet jämfört med personuppgiftslagen är att det vid sådan vidarebehandling inte krävs någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs (skäl 50).
Behandling av känsliga personuppgifter
Känsliga personuppgifter får enligt artikel 9.2 j i dataskyddsförordningen behandlas för statistiska ändamål på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Denna bestämmelse aktualiseras både vid insamling av känsliga personuppgifter för statistiska ändamål och vid vidarebehandling av känsliga personuppgifter för sådana ändamål.
Kravet på lämpliga och särskilda åtgärder överensstämmer med det som gäller för behandling av känsliga personuppgifter med hänsyn till andra viktiga allmänna intressen enligt artikel 9.2 g i dataskyddsförordningen. Dessa krav motsvarar i sin tur det krav på skyddsåtgärder som ställs i dataskyddsdirektivet om viktiga allmänna intressen, som legat till grund för personuppgiftslagens bestämmelser om behandling av personuppgifter för statistiska ändamål. Detta innebär att förutsättningarna för att det ska vara tillåtet att behandla känsliga personuppgifter för statistiska ändamål i huvudsak är desamma som enligt dataskyddsdirektivet.
Vidarebehandling av personuppgifter för statistiska ändamål ska enligt artikel 5.1 b i dataskyddsförordningen visserligen inte anses vara oförenlig med de ursprungliga ändamålen. Det kan däremot inte tas för givet att känsliga personuppgifter kan vidarebehandlas för statistiska ändamål enbart på grundval av det undantag från förbudet som tillämpats vid behandling enligt det ursprungliga ändamålet. Detta följer av att artikel 9.2 j i förordningen förutsätter att gällande rätt innehåller bestämmelser om lämpliga och särskilda skyddsåtgärder för att säkerställa den registrerades rättigheter och intressen.
Enligt 19 § andra stycket PUL får känsliga personuppgifter behandlas för statistikändamål, om behandlingen är nödvändig på sätt som sägs i 10 § och om samhällsintresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära. I 19 § tredje stycket PUL anges att förutsättningarna enligt andra stycket ska anses uppfyllda om behandlingen har godkänts av en forskningsetisk kommitté, dvs. ett sådant särskilt organ för prövning av forskningsetiska frågor som har företrädare för såväl det allmänna som forskningen och som är knutet till ett universitet eller en högskola eller till någon annan instans som i mera betydande omfattning finansierar forskning.
I förarbetena till 19 § andra stycket PUL anges att viss statistik är så viktig att den inte bör vara beroende av att varje berörd enskild har informerats och lämnat sitt samtycke (prop. 1997/98:44 s. 71). Vidare framgår att det mot bakgrund av att det finns många olikartade statistikprojekt, vilka som regel pågår bara under en begränsad tid, förefaller lämpligare att göra en avvägning i varje särskilt fall än att i lag införa generella regler om vilken statistik som ska tillåtas. Vid en sådan individuell avvägning kan olika faktorer kring projektet, t.ex. hur pass viktig den kunskap är som projektet kan ge, vägas mot intrånget i den enskildes personliga integritet.
Regeringen anser att det inte heller nu är lämpligt att genom lagstiftning på förhand avgöra exakt i vilka fall behandling av känsliga personuppgifter ska få ske för statistiska ändamål. I enlighet med utredningens förslag bör det därför i dataskyddslagen införas en avvägningsnorm motsvarande den som finns i 19 § andra stycket PUL. Behandling av känsliga personuppgifter för statistiska ändamål ska således få ske om samhällsintresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära. Detta villkor för behandling utgör en sådan lämplig och särskild åtgärd som avses i artikel 9.2 j i dataskyddsförordningen. Med anledning av Tjänstemännens centralorganisations önskemål om exempel på sådant som kan vara av stort samhällsintresse, kan konstateras att den praxis som finns avseende tillämpningen av 19 § andra stycket PUL bör kunna tjäna som vägledning för tillämpningen även av den föreslagna bestämmelsen. För att bestämmelsen ska aktualiseras förutsätts givetvis att insamlingen av personuppgifter är tillåten med stöd av någon av de rättsliga grunderna i artikel 6.1 i dataskyddsförordningen eller att behandlingen utgör en tillåten vidarebehandling av för andra ändamål insamlade personuppgifter.
Som nämns ovan anser regeringen att sådana statistiska undersökningar som utgör en integrerad del av ett forskningsprojekt ska bedömas enligt de bestämmelser som gäller för behandling av personuppgifter för forskningsändamål. Den avvägningsnorm som föreslås här kommer därmed endast att vara tillämplig vid behandling av personuppgifter inom ramen för andra slags statistikprojekt, t.ex. vid framställning av verksamhetsstatistik. Sådan statistik, som alltså saknar samband med ett forskningsprojekt, torde inte komma att prövas av en forskningsetisk kommitté. Det saknas därför skäl att i dataskyddslagen införa en motsvarighet till 19 § tredje stycket PUL.
Svensk Försäkring menar att möjligheten att vidarebehandla uppgifter för statistikändamål bör vidgas och anför att försäkringsföretagen annars kommer att vara förhindrade att göra de aktuariella analyser som de är skyldiga att utföra för att uppfylla de näringsrättsliga kraven på god kontroll och uppföljning av verksamheten. Regeringen kan dock konstatera att den nu föreslagna bestämmelsen om behandling av känsliga personuppgifter för statistiska ändamål ger samma stöd för sådan behandling som bestämmelsen i 19 § andra stycket PUL. Det förtjänar också att poängteras att både artikel 6 och artikel 9.2 j i dataskyddsförordningen är direkt tillämpliga. De krav på lämpliga och särskilda åtgärder som ställs i artikel 9.2 j kan vara uppfyllda även genom andra bestämmelser än den föreslagna. Behandling av känsliga personuppgifter kan alltså ske med stöd av artikel 9.2 j även i andra fall, under förutsättning att lämpliga och särskilda åtgärder fastställts. Detta innebär t.ex. att en vidarebehandling av känsliga personuppgifter som samlats in av hänsyn till ett viktigt allmänt intresse, med stöd av gällande rätt som innehåller sådana lämpliga och särskilda åtgärder som krävs enligt artikel 9.2 g, får vidarebehandlas med direkt tillämpning av artikel 9.2 j i dataskyddsförordningen. Dataskyddsförordningen innebär således ingen ny begränsning i fråga om möjligheten att behandla känsliga personuppgifter för statistiska ändamål av viktigt allmänt intresse.
Användningsbegränsning
I avsnitt 14.1.4 angående behandling av personuppgifter för arkivändamål av allmänt intresse redogör regeringen för förslaget att dataskyddslagen ska innehålla en begränsning som motsvarar 9 § fjärde stycket PUL, när det gäller möjligheterna att vidta åtgärder i fråga om den registrerade. Regeringen anser, till skillnad från Dataskydd.net, att en sådan användningsbegränsning utgör en väl avvägd skyddsåtgärd även i fråga om personuppgifter som behandlas för statistiska ändamål. Precis som i personuppgiftslagen bör bestämmelsen inte bara avse känsliga personuppgifter. Den nya bestämmelsen bör dock, som utredningen föreslår, utformas så att det tydligare än i dag framgår att användningsbegränsningen bara gäller personuppgifter som enbart behandlas för statistiska ändamål. Det är så bestämmelsen i personuppgiftslagen är avsedd att tillämpas och tillägget utgör därmed inte, som Dataskydd.net anger, någon utvidgning av den personuppgiftsansvariges befogenheter.
Personuppgifter som enbart behandlas för statistiska ändamål bör därför få användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Det saknas även här skäl att ange att uppgifter får användas med den registrerades samtycke. Begreppet vitala intressen bör tolkas och tillämpas likadant som enligt 9 § fjärde stycket PUL. Detta medför att det saknas skäl att, som E-hälsomyndigheten efterfrågar, utveckla förhållandet mellan begreppet vitala intressen och begreppet intressen som är av grundläggande betydelse.
Begränsningen i 9 § fjärde stycket PUL gäller inte vid myndigheters användning av uppgifter i allmänna handlingar (8 § andra stycket PUL). Undantaget motiveras i förarbetena med att det för sådana personuppgifter redan finns lämpliga skyddsåtgärder i form av bestämmelser om sekretess och skydd för arkiv. En allmän utgångspunkt för behandling av personuppgifter för statistiska ändamål är emellertid att resultatet eller uppgifterna inte används till stöd för åtgärder eller beslut som avser en särskild fysisk person (skäl 162). Enligt regeringens mening står det klart att det finns vissa undantagssituationer då uppgifter som annars bara behandlas för statistiska ändamål måste kunna användas även för att vidta sådana åtgärder, nämligen då den registrerades egna vitala intressen står på spel. I övrigt bör däremot inte heller myndigheter kunna använda uppgifterna för att vidta åtgärder i förhållande till den registrerade. Den omständigheten att uppgifterna finns i allmänna handlingar, eftersom dessa ännu inte hunnit anonymiseras eller gallras, föranleder ingen annan bedömning. Myndigheter bör därför inte undantas från den föreslagna användningsbegränsningen. Om det inom något verksamhetsområde eller för någon viss myndighet skulle finnas behov av ett sådant undantag bör det övervägas särskilt.
15 Sekretess
15.1 Sekretess hos tillsynsmyndigheten
Regeringens bedömning: Sekretess gäller enligt offentlighets- och sekretesslagen för skyddsvärda uppgifter i Datainspektionens tillsynsverksamhet. Någon förändring av de sekretessbestämmelser som är tillämpliga i Datainspektionens verksamhet behövs därför inte.
Utredningens bedömning överensstämmer med regeringens.
Remissinstanserna: Det stora flertalet remissinstanser kommenterar inte utredningens bedömning i denna del. Datainspektionen anser att frågan om en sekretessbrytande reglering vid tillsynsmyndighetens internationella samarbete bör övervägas närmare. Vidare anser inspektionen, i likhet med bl.a. Svensk Försäkring, Svenskt Näringsliv och IT&Telekomföretagen, att absolut sekretess alternativt sekretess med omvänt skaderekvisit ska gälla i Datainspektionens verksamhet för anmälningar av personuppgiftsincidenter och för förhandssamråd. Pensionsmyndigheten är i och för sig av uppfattningen att det enligt gällande rätt finns goda möjligheter att skydda känslig information men anser att det är av vikt att frågan ägnas uppmärksamhet och analys under det fortsatta beredningsarbetet. Migrationsverket påpekar att det är av stor vikt att incidentrapporteringen realiseras på ett sådant sätt att den inte i sig bidrar till att negativt påverka den enskildes integritet, informationshanteringen i sig, it- och informationssäkerheten eller andra intressen med bäring på sekretess och säkerhetsskydd.
Skälen för regeringens bedömning: Enligt artikel 54.2 i dataskyddsförordningen ska varje tillsynsmyndighets ledamöter och personal, i enlighet med unionsrätten eller medlemsstaternas nationella rätt, omfattas av tystnadsplikt både under och efter sin mandattid vad avser konfidentiell information som de fått kunskap om under utförandet av deras uppgifter eller utövandet av deras befogenheter. Under mandatperioden ska tystnadsplikten i synnerhet gälla rapportering från fysiska personer om överträdelser av förordningen.
Som framgår av avsnitt 14.1.2 har regeringen för avsikt att, i förordning, peka ut Datainspektionen som tillsynsmyndighet enligt dataskyddsförordningen. Övervägandena kring tystnadsplikt för tillsynsmyndighetens ledamöter och personal sker med detta som utgångspunkt.
Hänvisningen i artikel 54.2 i dataskyddsförordningen till medlemsstaternas nationella rätt och begränsningen till konfidentiell information innebär att medlemsstaterna har relativt stort utrymme att utforma en lämplig reglering. I detta sammanhang finns det därför anledning att noga överväga om de sekretessbestämmelser som är tillämpliga i Datainspektionens verksamhet ger ett väl avvägt skydd för enskilda och allmänna intressen eller om någon av dem bör ändras.
Bestämmelser om sekretess i offentlighets- och sekretesslagen innebär både handlingssekretess och tystnadsplikt. En befattningshavare är skyldig att iaktta sekretess också sedan han eller hon har lämnat sin befattning. Det kan också noteras att tystnadsplikt enligt offentlighets- och sekretesslagen gäller även för företrädare för tillsynsmyndigheter i andra medlemsstater som enligt artikel 62.3 i förordningen förordnats att utföra vissa uppgifter eller att inom ramen för vissa angivna befogenheter annars agera för den svenska tillsynsmyndighetens räkning, så länge kraven i 2 kap. 1 § OSL är uppfyllda.
Enligt 32 kap. 1 § OSL gäller sekretess hos Datainspektionen för uppgift om en enskilds personliga eller ekonomiska förhållanden, bl.a. i ärende om tillstånd eller tillsyn som enligt lag eller annan författning ska handläggas av inspektionen, om det kan antas att den enskilde eller någon närstående till denne lider skada eller men om uppgiften röjs.
Sekretessen tar alltså sikte på uppgifter som förekommer i Datainspektionens ärenden om tillstånd eller tillsyn. Det bör noteras att tillsynsbegreppet i offentlighets- och sekretesslagen är vitt. Således omfattar bestämmelsen exempelvis ärenden om personuppgiftsincidenter enligt artikel 33 och om förhandssamråd enligt artikel 36 i dataskyddsförordningen, eftersom EU-förordningar jämställs med lag. Om uppgifter har lämnats till Datainspektionen från en tillsynsmyndighet i någon annan medlemsstat inom ramen för det samarbete som förutsätts i förordningen sker detta på motsvarande sätt i ärende som omfattas av sekretessens räckvidd.
Sekretessens föremål enligt 32 kap. 1 § OSL är uppgifter om enskildas personliga eller ekonomiska förhållanden. Begreppet enskilda inbegriper förutom fysiska personer också företag, ideella föreningar och andra privaträttsliga juridiska personer. Det är därmed inte bara uppgifter om registrerade individer, t.ex. i ett kundregister eller i en myndighets ärendehanteringssystem, som skyddas av sekretessbestämmelsen. Den är tillämplig också i fråga om uppgifter som avslöjar den personuppgiftsansvariges företagshemligheter och andra affärs- eller driftförhållanden. Dessutom omfattar bestämmelsens föremål identiteten hos en fysisk person som har anmält missförhållanden till tillsynsmyndigheten.
Förutom 32 kap. 1 § OSL finns det flera andra sekretessbestämmelser som kan aktualiseras i Datainspektionens verksamhet. Exempelvis kan bestämmelserna om utrikessekretess i 15 kap. 1 § OSL och om sekretess i det internationella samarbetet i 15 kap. 1 a § OSL vara tillämpliga hos Datainspektionen i vissa situationer, liksom bestämmelsen i 15 kap. 2 § OSL till skydd för rikets säkerhet och försvar. Sekretess enligt 17 kap. 1 § OSL till skydd för inspektionsförberedelser kan också gälla i Datainspektionens tillsynsverksamhet. Samtliga dessa bestämmelser är, precis som flertalet sekretessbestämmelser i offentlighets- och sekretesslagen, försedda med raka skaderekvisit.
Enligt 18 kap. 8 § 3 OSL gäller sekretess bl.a. för uppgift som lämnar eller kan bidra till upplysning om säkerhetsåtgärd som avser system för automatiserad behandling av information, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs. Denna bestämmelse är enligt sin ordalydelse tillämplig hos Datainspektionen både i fråga om säkerhetsåtgärder som redan har vidtagits av den personuppgiftsansvarige och rörande åtgärder som denne planerar. Vidare gäller den oavsett om den personuppgiftsansvarige är en myndighet eller ett privaträttsligt organ. Även denna bestämmelse är försedd med ett rakt skaderekvisit.
Datainspektionen har i en skrivelse till regeringen hemställt om att vissa sekretessfrågor ska utredas (Ju2017/06035/L6). I denna hemställan och i sitt yttrande över utredningens förslag anger Datainspektionen, liksom flera andra remissinstanser, att sekretessen för uppgifter i bl.a. incidentrapporter inte är tillräcklig och att det krävs ett starkare sekretesskydd. Föreningen Grävande journalister, Svenska journalistförbundet och Dataskydd.net invänder i särskilda skrivelser mot Datainspektionens hemställan.
Den omständigheten att samtliga ovan beskrivna sekretessbestämmelser är försedda med ett rakt skaderekvisit innebär inte, som Datainspektionen anför, att sekretesskyddet är svagt. Ett rakt skaderekvisit innebär visserligen att en presumtion för offentlighet gäller. Detta är också utgångspunkten för den svenska offentlighetsprincipen. Presumtionen för offentlighet bryts emellertid om det kan antas att en sådan skada som anges i sekretessbestämmelsen uppstår om uppgiften röjs. Enligt 32 kap. 1 § OSL gäller således sekretess om det kan antas att den enskilde eller någon närstående till denne lider skada eller men om uppgiften röjs. Enligt 15 kap. 1 § OSL gäller sekretess om det kan antas att det stör Sveriges mellanfolkliga förbindelser eller på annat sätt skadar landet om uppgiften röjs, medan det enligt 15 kap. 2 § OSL gäller sekretess om det kan antas att det skadar landets försvar eller på annat sätt vållar fara för rikets säkerhet om uppgiften röjs. Enligt 18 kap. 8 § 3 OSL gäller slutligen sekretess om det kan antas att syftet med säkerhetsåtgärden motverkas om uppgiften röjs.
Om det vid tillämpningen av någon av dessa bestämmelser kan antas att ett röjande skulle leda till den angivna skadan är uppgiften sekretessbelagd och därmed hemlig. Uppgiften får då inte utan särskilt lagstöd lämnas ut och inte heller röjas muntligen. Detta röjandeförbud gäller dessutom oavsett om uppgiften förekommer i en allmän handling eller inte.
Ett rakt skaderekvisit innebär normalt att det är uppgifternas karaktär som får avgöra om sekretess gäller eller inte. Om uppgiften är sådan att den genomsnittligt sett måste betraktas som harmlös ska den alltså normalt anses vara offentlig. Om uppgiften i stället typiskt sett måste betraktas som känslig omfattas den normalt av sekretess. Skaderekvisitet kan alltså uppfattas som en metod att precisera föremålet för sekretessen eller dess räckvidd (prop. 1979/80:2 Del A s. 77-78).
Bestämmelsen i 18 kap. 8 § 3 OSL har i ett tidigare lagstiftningsärende ansetts innebära att uppgifter om ingivare av incidentrapportering avseende säkerhetsbrister i it-system till Post- och telestyrelsen, liksom uppgifter om innehållet i rapporterna, omfattas av sekretess (prop. 2003/04:93 s. 82). Utredningen om genomförande av NIS-direktivet har dessutom nyligen utrett om bestämmelsen behöver ändras för att känslig information i incidentrapporter som lämnas till Myndigheten för samhällsskydd och beredskap ska kunna skyddas. Den utredningen konstaterar i sitt betänkande att 18 kap. 8 § OSL ger ett tillräckligt skydd för uppgifter som kan komma att rapporteras vid en incident (SOU 2017:36 s. 247-257).
Regeringen kan konstatera att såväl incidentrapporter som anmälningar om förhandssamråd, liksom andra handlingar hos Datainspektionen, kan innehålla skyddsvärd information rörande enskildas ekonomiska förhållanden av det slag för vilka sekretess gäller enligt 32 kap. 1 § OSL. Handlingarna kan även innehålla sådan skyddsvärd information rörande säkerhetsåtgärder som avses i 18 kap. 8 § 3 OSL. Det senare gäller oavsett om ingivaren är en myndighet eller ett privaträttsligt organ.
Som utredningen påpekar kan den incidentrapportering som förutsätts ske till tillsynsmyndigheten i enlighet med artikel 33 i förordningen i praktiken innebära en upplysning om att ingivarens it-system är sårbart för attacker. Uppgiften om vem som har lämnat in en sådan rapport utgör alltså i sig en uppgift som kan omfattas av sekretessens föremål enligt 18 kap. 8 § 3 OSL, eftersom den lämnar upplysning om att ingivarens säkerhetsåtgärder har brister. I många fall kan det antas att den personuppgiftsansvariges säkerhetsåtgärder motverkas om det framkommer att dessa har brister. Bestämmelsens skaderekvisit är i sådana situationer uppfyllt, varvid sekretess gäller. Ett utlämnande av uppgifter som avslöjar vid vilka tillfällen en viss personuppgiftsansvarig har lämnat incidentrapporter kan på motsvarande sätt utgöra en säkerhetsrisk, med tanke på att uppgifterna skulle kunna användas för kartläggning av den personuppgiftsansvariges förmåga att upptäcka intrång. Uppgiften om ingivarens identitet bör därmed typiskt sett anses vara känslig, i vart fall under den närmaste tiden efter att incidentrapportering skett.
Konstruktionen med ett rakt skaderekvisit tillgodoser allmänhetens berättigade intresse av insyn i tillsynsmyndighetens verksamhet, eftersom harmlösa uppgifter får lämnas ut. Samtidigt tillgodoser de aktuella sekretessbestämmelserna de registrerades och de personuppgiftsansvarigas berättigade intresse av diskretion, eftersom uppgifter inte får röjas om det kan antas leda till skada. Regeringen anser mot denna bakgrund att den befintliga sekretessregleringen ger ett väl avvägt skydd för såväl enskilda som allmänna intressen. Bestämmelserna i offentlighets- och sekretesslagen, som vid behov bör tolkas unionskonformt (jfr prop. 1997/98:44 s. 146), uppfyller också kraven på skydd för konfidentiell information i dataskyddsförordningen. Någon ändring av den sekretessreglering som gäller i Datainspektionens verksamhet är därmed inte nödvändig för att Sverige ska uppfylla sina unionsrättsliga skyldigheter. Regeringen anser inte heller att det framkommit några omständigheter som medför att en sådan ändring bör ske av andra skäl. Regeringen ser därför för närvarande inte skäl att, som Datainspektionen hemställt, utreda sekretessfrågan ytterligare.
Vidare anför Datainspektionen att frågan om en sekretessbrytande reglering vid tillsynsmyndighetens internationella samarbete bör övervägas närmare. Av 8 kap. 3 § OSL framgår emellertid att en uppgift för vilken sekretess gäller får röjas för en utländsk myndighet eller en mellanfolklig organisation, om utlämnande sker i enlighet med särskild föreskrift i lag eller förordning. EU-förordningar jämställs med lag vid tillämpningen av offentlighets- och sekretesslagen. Sekretess utgör således inget hinder för det informationsutbyte som enligt artikel 57.1 g i dataskyddsförordningen ska ske mellan tillsynsmyndigheterna. Regeringen ser mot denna bakgrund inte skäl att göra några ytterligare överväganden i denna del.
15.2 Tystnadsplikt för dataskyddsombud
Regeringens förslag: Den som fullgör uppgift som dataskyddsombud enligt EU:s dataskyddsförordning får inte obehörigen röja det som han eller hon vid fullgörandet av sin uppgift har fått kännedom om. I det allmännas verksamhet ska i stället offentlighets- och sekretesslagen tillämpas.
Utredningens förslag överensstämmer delvis med regeringens. Enligt utredningens förslag ska tystnadsplikten gälla det som den som utsetts till dataskyddsombud har fått veta om enskilds personliga eller ekonomiska förhållanden.
Remissinstanserna: Majoriteten av remissinstanserna tillstyrker utredningens förslag eller har inga synpunkter på det. Malmö kommun och Piteå kommun konstaterar att förslaget inte innebär någon förändring i sekretesshänseende i förhållande till vad som gäller i dag för ett av kommunen anställt personuppgiftsombud. Förvaltningsrätten i Malmö ställer sig dock tveksam till bedömningen att offentlighets- och sekretesslagens nuvarande bestämmelser uppfyller dataskyddsförordningens krav på tystnadsplikt för dataskyddsombud i det allmännas verksamhet samt anser att frågan bör analyseras ytterligare. Pensionsmyndigheten, Statens servicecenter, Lantmäteriet och Sveriges advokatsamfund anser att utredningens förslag inte är tillräckliga för att uppfylla förordningens krav på tystnadsplikt för dataskyddsombud inom offentlig verksamhet. Jordbruksverket anför att det bör övervägas ett tydliggörande av sekretessregleringen avseende de sammanställningar av uppgifter som kan komma att uppstå i dataskyddsombudets verksamhet och av uppgifter som kommer att uppstå vid sammanställning för att förse den registrerade med kopia av de personuppgifter som är under behandling. Forum för dataskydd anser att det skulle vara tydligare och enklare att reglera dataskyddsombudets tystnadsplikt i dataskyddslagen för den privata sektorn och införa en likalydande bestämmelse i offentlighets- och sekretesslagen. Det bör enligt Forum för dataskydd tydligt framgå att dessa bestämmelser inte bara avser enskildas personliga och ekonomiska förhållanden, utan även personuppgiftsansvarigas och personuppgiftsbiträdens förhållanden. Umeå universitet anser, i fråga om den föreslagna bestämmelsen om tystnadsplikt för dataskyddsombud, att starka skäl talar för att bestämmelsen bör konstrueras på ett mer förutsägbart sätt. Universitetet förordar att det direkt av lagtexten bör framgå att det inte är fråga om ett obehörigt röjande om den som uppgiften rör samtycker till ett utlämnande eller om utlämnandet följer av en skyldighet i lag eller förordning. Vidare bör det enligt universitetet framgå om uppgiftsskyldighet i lag eller förordning bryter tystnadsplikten i förhållande till såväl myndigheter som enskilda eller endast i förhållande till antingen myndigheter eller enskilda. Svensk Försäkring anser att frågan om vad som är ett behörigt utlämnade bör belysas ytterligare, inte minst eftersom tystnadsplikten föreslås bli straffbelagd. Svenskt Näringsliv tillstyrker förslaget om tystnadsplikt för dataskyddsombud men förordar en annan utformning av bestämmelsen, likt den som gäller för revisorer. Även Näringslivets regelnämnd invänder mot den föreslagna formuleringen och anser att den skulle kunna innebära att företagshemligheter röjs. Sveriges Television AB anser att dataskyddsombudets tystnadsplikt även bör omfatta information som avser den personuppgiftsansvariges eller personuppgiftsbiträdets säkerhetsåtgärder och driftsförhållanden. Sveriges advokatsamfund anser att tystnadsplikten bör omfatta alla uppgifter som dataskyddsombudet erhåller i denna sin roll och inte endast uppgifter om enskilds personliga och ekonomiska förhållanden.
Skälen för regeringens förslag
Regleringen i förordningen
Ett dataskyddsombud ska enligt artikel 39 i dataskyddsförordningen ha till uppgift att informera personuppgiftsansvariga, personuppgiftsbiträden och anställda om skyldigheterna enligt förordningen och andra dataskyddsbestämmelser. Ombudet ska också bl.a. övervaka efterlevnaden av förordningen och samarbeta med tillsynsmyndigheten.
Enligt artikel 37.1 i dataskyddsförordningen måste myndigheter och offentliga organ som behandlar personuppgifter utnämna dataskyddsombud. Detsamma gäller personuppgiftsansvariga eller personuppgiftsbiträden som utför behandling där omfattningen, ändamålen eller uppgifternas karaktär motiverar att ett ombud utses. I artiklarna 37.5 och 38 finns bestämmelser om dataskyddsombudets kvalifikationer och ställning. I artikel 37.6 stadgas att dataskyddsombudet får ingå i den personuppgiftsansvariges eller personuppgiftsbiträdets personal eller utföra uppgifterna på grundval av ett tjänsteavtal. Flera myndigheter eller flera bolag i en koncern kan ha ett gemensamt dataskyddsombud under vissa förutsättningar (artikel 37.2-3).
Enligt artikel 38.5 ska dataskyddsombudet, när det gäller dennes genomförande av sina uppgifter, vara bundet av sekretess eller konfidentialitet i enlighet med unionsrätten eller medlemsstaternas nationella rätt. Det finns inget uttalande i skälen till dataskyddsförordningen som ger vägledning vid tolkning av denna bestämmelse. Det faktum att bestämmelsen hänvisar till nationell rätt innebär dock att medlemsstaterna har stor frihet att utforma en lämplig reglering.
Dataskyddsombud i offentlig sektor
I det allmännas verksamhet gäller sekretess för vissa uppgifter enligt offentlighets- och sekretesslagen. Regleringen är detaljerad och differentierad och har anpassats med hänsyn till uppgifternas känslighet, intresset av insyn och intresset av skydd i vissa specifika verksamheter. Det är förbjudet för myndigheter att röja en sekretessbelagd uppgift. Förbudet gäller också för en person som fått kännedom om uppgiften genom att för det allmännas räkning delta i en myndighets verksamhet på grund av anställning eller uppdrag hos myndigheten, på grund av tjänsteplikt eller på annan liknande grund (2 kap. 1 § OSL).
Regeringen bedömer, liksom Förvaltningsrätten i Malmö, att ett dataskyddsombud inte kan anses uppträda självständigt i förhållande till den övriga verksamheten inom myndigheten i den mening som avses i 2 kap. 8 § TF. På många sätt påminner dataskyddsombudets ställning om den som en internrevisor intar när det gäller självständighet och förhållande till ledningen. Högsta förvaltningsdomstolen har i HFD 2013 ref. 40 bedömt att en internrevisor vid Jordbruksverket inte intog en sådan självständig ställning att en rapport som överlämnats till den granskade verksamheten skulle anses expedierad.
För det allmännas räkning kan det enligt utredningens mening inte komma ifråga att särskilt reglera sekretessen för dataskyddsombud, utöver den sekretess som redan gäller i alla de vitt skilda verksamhetstyper som omfattas av dataskyddsförordningens tillämpningsområde. Det får enligt utredningens bedömning förutsättas att det i verksamheter där känsliga uppgifter förekommer redan gäller sekretess enligt offentlighets- och sekretesslagen i den utsträckning som är motiverad i just den verksamheten. Så länge dataskyddsombudet innehar en sådan anställning eller uppdrag som avses i 2 kap. 1 § andra stycket OSL omfattas han eller hon av sekretessen. Utredningens bedömning är att ett dataskyddsombud i allmänhet får anses delta i verksamheten på ett sådant sätt som förutsätts i nämnda bestämmelse.
Förvaltningsrätten i Malmö anser att denna fråga bör analyseras ytterligare. Bland annat anser förvaltningsrätten att dataskyddsombudets uppgifter knappast kan anses vara en del av den personalsociala eller personaladministrativa verksamheten och att ombudet därmed inte skulle kunna omfattas av tystnadsplikt enligt 39 kap. OSL. Liknande invändningar framförs av bl.a. Pensionsmyndigheten.
Regeringen vill dock understryka att skyddet av personuppgifter utgör en integrerad del av all verksamhet där behandling av personuppgifter förekommer. Dataskyddsombudets befattning med personuppgifter är därmed direkt kopplad till den personuppgiftsansvariges verksamhet. Regeringen instämmer i utredningens uppfattning att ett dataskyddsombud måste anses delta i myndighetens verksamhet på det sätt som avses i 2 kap. 1 § OSL. Dataskyddsombudet omfattas därmed av offentlighets- och sekretesslagens förbud att röja eller utnyttja de sekretessbelagda uppgifter som ombudet får kännedom om. Detta gäller oavsett om uppgiften förekommer i ett ärende, i personaladministrativ verksamhet eller i någon annan del av myndighetens verksamhet där sekretess gäller för uppgiften.
Som Malmö kommun och Piteå kommun konstaterar innebär denna bedömning inte någon förändring i förhållande till vad som gäller i dag för ett personuppgiftsombud i offentlig sektor. På motsvarande sätt förändras inte heller synsättet på sådana sammanställningar som skapas enbart för att tillgodose den registrerades rätt till s.k. registerutdrag. Någon sådan förändring är inte heller motiverad med anledning av artikel 38.5 i dataskyddsförordningen, eftersom den bestämmelsen, som nämns ovan, ger medlemsstaterna stor frihet att utforma en lämplig reglering. Mot denna bakgrund anser regeringen att det hittills inte framkommit skäl att ytterligare utreda frågan om tystnadsplikt för dataskyddsombud i det allmännas verksamhet.
Personuppgiftsombud i privat sektor
Offentlighets- och sekretesslagen är, med vissa undantag, inte tillämplig utanför den offentliga sektorn. För att Sverige ska uppfylla dataskyddsförordningens krav måste därför bestämmelser om tystnadsplikt för dataskyddsombud i den privata sektorn införas.
I den privata sektorn gäller som huvudregel att den som disponerar över information själv bestämmer om utlämnande av den till andra, med de begränsningar som dataskyddsregleringen ställer upp. Inom flera olika verksamhetsområden i den privata sektorn gäller emellertid tystnadsplikt enligt lag, ofta reglerad som ett förbud mot att röja vissa uppgifter obehörigen. Det gäller bl.a. verksamheter i välfärdssektorn, t.ex. enskilt bedriven förskola (29 kap. 14 § skollagen) och hälso- och sjukvård (6 kap. 12 § patientsäkerhetslagen). Men det finns också tystnadsplikter i privat verksamhet som inte har någon motsvarighet i det allmännas verksamhet, utan skyddar information som lämnas till personer i olika slag av förtroendeställning, exempelvis tystnadsplikt för revisorer (26 § revisorslagen [2001:883]) och skyddsombud (7 kap. 13 § arbetsmiljölagen), eller den tystnadsplikt som följer av den så kallade banksekretessen (bl.a. 1 kap. 10 § lagen [2004:297] om bank- och finansieringsrörelse).
I dessa fall har obehörighetsrekvisitet sammanfattningsvis tolkats som att ett utlämnande av uppgifter får ske bl.a. om den som uppgiften rör har lämnat sitt samtycke, om uppgifter lämnas vidare till personer inom den berörda verksamheten som behöver dem för verksamheten eller om uppgifterna enligt lag eller annan författning ska lämnas ut, exempelvis till en tillsynsmyndighet (se t.ex. prop. 2002/03:139 s. 479).
Författningsreglerad tystnadsplikt, oavsett om den följer av offentlighets- och sekretesslagen eller av bestämmelser om tystnadsplikt för den privata sektorn, utgör en inskränkning av yttrandefriheten enligt regeringsformen och är som regel förenad med straffansvar. I 20 kap. 3 § brottsbalken regleras det generella straffansvaret för brott mot tystnadsplikt. Straffansvaret gäller var och en som har skyldighet att hemlighålla en uppgift enligt lag eller annan författning, förutsatt att straffansvaret inte har reglerats särskilt. Konsekvensen av att en tystnadsplikt införs i författning blir alltså, om inget annat stadgas, att det med regleringen följer ett straffansvar.
Som framgår ovan finns det en rad tystnadsplikter för personer som, i egenskap av sin ställning och för att kunna utföra sitt uppdrag, måste åtnjuta förtroende, t.ex. revisorer och skyddsombud. Dataskyddsombudets ställning kan i vissa avseenden likställas med revisorns eller skyddsombudets, och tystnadsplikten för dataskyddsombud bör därför utformas på ett liknande sätt.
Utredningens förslag innebär att den som utsetts till dataskyddsombud inte obehörigen får röja det som han eller hon vid fullgörandet av sin uppgift har fått veta om enskilds personliga och ekonomiska förhållanden. Några remissinstanser, bl.a. Svenskt Näringsliv och Sveriges Television AB, invänder mot den föreslagna formuleringen och påpekar att tystnadsplikten bör omfatta information som avser den personuppgiftsansvariges eller personuppgiftsbiträdets säkerhetsåtgärder och driftsförhållanden. Med begreppet enskild avses emellertid både fysiska och juridiska personer. Således omfattas t.ex. ett företags drifts- och affärsförhållanden av den föreslagna formuleringen. Som Sveriges advokatsamfund påpekar kan dock avgränsningen till personliga och ekonomiska förhållanden leda till svåra avvägningar i fråga om vad som omfattas av dataskyddsombudets tystnadsplikt. Någon sådan avgränsning finns inte i motsvarande bestämmelser om tystnadsplikt för advokater eller revisorer. Det framgår inte heller klart av dataskyddsförordningen att det endast är uppgifter om personliga och ekonomiska förhållanden som ska skyddas. Det är vidare, som Forum för dataskydd framhåller, angeläget att personuppgiftsansvariga och personuppgiftsbiträden vågar lämna all den information som dataskyddsombudet behöver för att fullgöra sina uppgifter. Med beaktande av att det inom den privata sektorn inte finns något motstående insynsintresse, anser regeringen därför att den av utredningen föreslagna avgränsningen till enskildas personliga och ekonomiska förhållanden bör tas bort. Tystnadsplikten bör i stället gälla för alla slags uppgifter som dataskyddsombudet vid fullgörandet av sin uppgift har fått kännedom om.
Svensk Försäkring anser att frågan om vad som är ett behörigt utlämnande bör belysas ytterligare, inte minst eftersom tystnadsplikten föreslås bli straffbelagd. Vidare anser Umeå universitet att det direkt av lagtexten bör framgå i vilka fall det inte är fråga om ett obehörigt röjande. Enligt regeringens mening är det dock inte lämpligt att uttömmande reglera i vilka fall utlämnande får ske. Detta måste bedömas utifrån omständigheterna i det enskilda fallet. Uppgifter kan dock normalt lämnas ut med samtycke från den uppgiften avser, till tillsynsmyndigheten eller annars som en följd av en skyldighet i lag eller författning.
Det finns i svensk rätt, som nämns ovan, flera bestämmelser om tystnadsplikt där obehörighetsrekvisitet används. Den praxis som finns rörande dessa bestämmelser bör i fråga om rekvisitets innebörd kunna tjäna som ledning även vid tolkningen och tillämpningen av den nu föreslagna bestämmelsen. Regeringen anser således att bestämmelsen bör ange att den som fullgör uppgift som dataskyddsombud inte får obehörigen röja det som han eller hon vid fullgörandet av sin uppgift har fått kännedom om.
15.3 Sekretess för uppgifter som behandlas i strid med personuppgiftsregleringen
Regeringens förslag: Sekretess gäller för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med EU:s dataskyddsförordning, i den ursprungliga lydelsen, eller dataskyddslagen.
Utredningens förslag överensstämmer med regeringens.
Remissinstanserna: Det stora flertalet remissinstanser tillstyrker förslaget eller har inga synpunkter på det. Domstolsverket påpekar att bestämmelsen, såsom den är utformad, inte torde omfatta bestämmelser i den till dataskyddslagen anslutande förordningen. Centrala studiestödsnämnden, som instämmer i utredningens förslag, anser att hänvisningen till förordningen i statisk lydelse kan medföra vissa lagtekniska svårigheter vid ändringar i förordningen, vilket sammantaget riskerar att göra tillämpningen av bestämmelsen mer oöverskådlig. Arbetsförmedlingen anser att det i bestämmelsen bör införas en hänvisning även till forskningsdatalagen. Svenska journalistförbundet och Tjänstemännens centralorganisation anser att regeln på sikt bör upphävas och kan därför inte tillstyrka förslaget.
Skälen för regeringens förslag: Enligt 21 kap. 7 § OSL gäller sekretess för personuppgifter, om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgiftslagen. Det får numera anses fastslaget i praxis att bestämmelsen enbart tar sikte på mottagarens behandling av personuppgifter (HFD 2014 ref. 66). Det som ska bedömas enligt bestämmelsen är alltså endast huruvida mottagarens avsedda behandling av de personuppgifter som begärs ut uppfyller kraven enligt personuppgiftslagen.
Bestämmelsen i 21 kap. 7 § OSL har utretts flera gånger under 2000-talet, men inga förslag till ändringar har genomförts. Eftersom personuppgiftslagen nu ska upphävas och den generella dataskyddsregleringen i stället kommer att finnas i dataskyddsförordningen och den nya dataskyddslagen, måste dock bestämmelsen ändras. Det finns däremot inte skäl att, som Svenska journalistförbundet och Tjänstemännens centralorganisation föreslår, upphäva sekretessbestämmelsen.
Utredningen föreslår att hänvisningen till personuppgiftslagen ska ersättas med en hänvisning till dataskyddsförordningen och dataskyddslagen. Detta kan, som utredningen påpekar, innebära en risk för att den prövning som ska utföras kompliceras något. Förordningens bestämmelser är betydligt mer omfattande och i vissa avseenden mer detaljerade än personuppgiftslagens. Det bör dock betonas att det som en utlämnande myndighet ska pröva är om det kan antas att en uppgift efter ett utlämnande kommer att behandlas i strid med förordningen eller dataskyddslagen. Som framgår av Riksdagens ombudsmäns uttalanden (dnr 1102-2004) får vidare undersökningar vidtas endast om det finns konkreta omständigheter som indikerar att mottagaren kommer att behandla uppgifterna på ett sätt som strider mot dataskyddsregleringen, t.ex. massuttag eller selekterade uttag. Finns det inga sådana indikationer behöver inte någon bedömning enligt dataskyddsregleringen göras. Rekvisitet kan antas torde också innebära att någon fullständig bedömning av om behandlingen kommer att strida mot förordningen inte krävs.
Som Domstolsverket och Arbetsförmedlingen påpekar kommer det i svensk rätt att finnas andra författningar än dataskyddslagen som innehåller bestämmelser om behandling av personuppgifter. Detta skiljer sig dock inte från hur regelverket är utformat i dag, där personuppgiftslagen kompletteras av en rad andra författningar, bl.a. personuppgiftsförordningen. Bestämmelsen i 21 kap. 7 § OSL hänvisar dock endast till personuppgiftslagen. Utredningen föreslår inte att sekretessbestämmelsens tillämpningsområde ska utsträckas till att även omfatta t.ex. behandling av utlämnade uppgifter som kan antas strida mot registerförfattningar. Konsekvenserna av en sådan utvidgning är således inte heller utredda. Regeringen lämnar därför inte något sådant förslag.
Sekretess enligt 21 kap. 7 § OSL gäller inte om de utlämnade uppgifterna ska behandlas av personuppgiftsansvariga som är etablerade utomlands, där personuppgiftslagen inte är tillämplig (HFD 2014 ref. 66). Förslaget medför emellertid att utlämnanden till utländska mottagare som omfattas av dataskyddsförordningens tillämpningsområde också kommer att omfattas av sekretessbestämmelsen. Regeringen anser, i likhet med utredningen, att denna materiella utvidgning av bestämmelsens tillämpningsområde är rimlig och ligger väl i linje med de grundläggande principerna i dataskyddsförordningen.
Eftersom det numera är klarlagt att prövningen av 21 kap. 7 § OSL gäller den behandling som kommer att ske efter ett eventuellt utlämnande bör lagtexten justeras på det sätt utredningen föreslår så att det tydligt framgår att det är behandling efter ett utlämnande som avses.
Eftersom hänvisningen till dataskyddsförordningen avser förordningen i dess helhet och innebär en inskränkning i den grundlagsstadgade handlingsoffentligheten bör hänvisningen vara statisk, dvs. avse den ursprungliga lydelsen av förordningen. Det medför att lagstiftaren aktivt måste bedöma om eventuella ändringar och tillägg till förordningen ska omfattas av 21 kap. 7 § OSL. Mot bakgrund av att förordningen sannolikt inte kommer att ändras särskilt ofta, delar regeringen inte Centrala studiestödsnämndens farhågor om att den statiska hänvisningen riskerar att göra tillämpningen av bestämmelsen mer oöverskådlig.
Sammanfattningsvis anser regeringen att 21 kap. 7 § OSL bör ändras i enlighet med utredningens förslag, så att sekretess gäller för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med dataskyddsförordningen, i den ursprungliga lydelsen, eller dataskyddslagen.
15.4 Generalklausulen
Regeringens förslag: Hänvisningen till personuppgiftslagen i den s.k. generalklausulen i offentlighets- och sekretesslagen tas bort. Generalklausulen ska enligt den nya lydelsen inte gälla om utlämnandet strider mot lag eller förordning.
Utredningens förslag överensstämmer med regeringens.
Remissinstanserna tillstyrker förslaget eller har inga synpunkter på det.
Skälen för regeringens förslag: Enligt den s.k. generalklausulen i 10 kap. 27 § OSL får en sekretessbelagd uppgift lämnas till en myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda. Bestämmelsen möjliggör informationsutbyte mellan myndigheter av uppgifter som omfattas av sekretess i fall då det saknas uttryckliga sekretessbrytande regler. Utlämnandet ska då prövas enligt den intresseavvägning och med beaktande av det uppenbarhetsrekvisit som framgår av bestämmelsen. Av paragrafens andra stycke framgår att uppgifter som omfattas av viss sekretess, som hälso- och sjukvårdssekretessen och socialtjänstsekretessen, inte kan lämnas ut med stöd av generalklausulen.
I tredje stycket samma paragraf undantas också utlämnanden som strider mot lag eller förordning eller föreskrift som har meddelats med stöd av personuppgiftslagen från tillämpningsområdet. Första ledet har ansetts innebära att en förutsättning för att generalklausulen ska vara tillämplig är att utlämnandet inte strider mot en sådan specialreglering av uppgiftslämnandet som finns i lag eller förordning. Om det t.ex. i lag har föreskrivits att en viss myndighet för sin verksamhet på angivna villkor kan få ta del av även hemliga uppgifter hos en annan myndighet, kommer det inte i fråga att, när de angivna villkoren inte är uppfyllda, lämna ut uppgifterna med stöd av generalklausulen i stället (prop. 1979/80:2, del A s. 328).
Innebörden av tredje styckets andra led är numera oklar. Tidigare avsåg den en möjlighet för Datainspektionen att meddela vissa villkor om utlämnande för vissa register i samband med tillståndsgivning. Utredningen konstaterar dock att bestämmelsen inte längre tycks fylla någon praktisk funktion.
Det första ledet i generalklausulens tredje stycke innebär enligt sin ordalydelse att ett utlämnande till annan myndighet med stöd av generalklausulen inte får ske om det skulle strida mot lag eller förordning, exempelvis mot personuppgiftslagen. En hänvisning till lag i offentlighets- och sekretesslagen innefattar också EU-förordningar. Redan det första ledet torde alltså innebära att ett utlämnande till en annan myndighet som strider mot dataskyddsförordningen eller dataskyddslagen inte kan ske med stöd av generalklausulen. Någon motsvarighet till andra ledet i tredje stycket behövs inte som en följd av den nya regleringen och bör därför tas bort.
16 Sanktioner
16.1 Sanktionsavgifter enligt dataskyddsförordningen
Administrativa sanktionsavgifter är en nyhet i dataskyddsförordningen som saknar motsvarighet i dataskyddsdirektivet och personuppgiftslagen. Sanktionsavgifterna införs enligt skäl 148 för att stärka verkställigheten av förordningen.
Bestämmelserna om administrativa sanktionsavgifter återfinns i förordningens artikel 83 och förtydligas i skäl 148-150. Bestämmelserna är direkt tillämpliga i förhållande till privaträttsliga organ och ger inget utrymme för medlemsstaterna att specificera bestämmelserna eller att föreskriva några undantag i förhållande till sådana organ. Av artikel 83.1 framgår att det är den nationella tillsynsmyndigheten som ska besluta om sanktionsavgifter vid överträdelser av förordningens bestämmelser. I artikel 83.2 anges vilka faktorer som ska beaktas vid beslut om sanktionsavgifter och bestämmande av avgiftens storlek. Tillsynsmyndigheten ska vid beslutet bl.a. beakta överträdelsens karaktär, svårighetsgrad och varaktighet, samt om överträdelsen skett med uppsåt eller genom oaktsamhet. Andra faktorer som tillsynsmyndigheten ska beakta är bl.a. antalet berörda registrerade, vilken skada de har lidit, om den personuppgiftsansvarige har försökt förebygga eller i efterhand komma till rätta med överträdelsen och eventuell ekonomisk vinst som görs, eller ekonomisk förlust som undviks, genom överträdelsen.
I artikel 83.3 stadgas att om flera överträdelser sker får avgiftens totala belopp inte överstiga det belopp som fastställs för den allvarligaste överträdelsen. I artikel 83.4 och 83.5 fastställs övre beloppsgränser för de två olika kategorier av överträdelser som kan föranleda sanktionsavgifter enligt förordningen. För de något mindre allvarliga överträdelserna, såsom överträdelser av regler om inbyggt dataskydd, förteckningar och konsekvensbeskrivningar, fastslås ett maxbelopp på 10 000 000 EUR eller 2 procent av den globala årsomsättningen om det gäller ett företag, beroende på vilket belopp som är högst. För allvarligare överträdelser, såsom överträdelser av reglerna om de grundläggande principerna för behandling, registrerades rätt till information, rättelse och radering, överföring av uppgifter till tredjeland och underlåtenhet att rätta sig efter tillsynsmyndighetens förelägganden, fastslås ett maxbelopp om 20 000 000 EUR eller 4 procent av den globala årsomsättningen, beroende på vilket belopp som är högst.
Det stora flertalet bestämmelser i förordningen som innehåller rättigheter för registrerade eller skyldigheter för personuppgiftsansvariga, personuppgiftsbiträden, certifieringsorgan och övervakningsorgan omfattas av regleringen om sanktionsavgifter, vilket framgår av artikel 83.4-6. Artikel 10, om behandling av personuppgifter som rör lagöverträdelser, nämns dock inte i artikel 83.4-6. Sanktionsavgifter kan alltså enligt förordningen inte påföras vid överträdelser av artikel 10.
Bestämmelserna om sanktionsavgifter innehåller inte enbart en uppräkning av de överträdelser som i sig kan föranleda att sanktionsavgift påförs. De föreskriver också att sanktionsavgifter kan påföras vid underlåtelse att rätta sig efter tillsynsmyndighetens förelägganden eller beslut. En avgift kan då påföras med det högre maxbeloppet, dvs. 20 000 000 EUR eller 4 procent av den globala årsomsättningen, beroende på vilket belopp som är högst (artikel 83.5 e och 83.6). Sanktionsavgiften fyller i dessa fall en vitesliknande funktion.
16.2 Sanktionsavgifter inom offentlig sektor
Regeringens förslag: Tillsynsmyndigheten får ta ut sanktionsavgifter även av statliga och kommunala myndigheter vid överträdelser av bestämmelserna i EU:s dataskyddsförordning. För mindre allvarliga överträdelser ska avgiften uppgå till högst 5 000 000 kronor och för allvarligare överträdelser till högst 10 000 000 kronor. Vid bestämmandet av avgiftens storlek i det enskilda fallet ska dataskyddsförordningens bestämmelser tillämpas.
Utredningens förslag överensstämmer delvis med regeringens. Utredningen föreslår högre maxbelopp. Vidare föreslår utredningen att bestämmelsens hänvisning till dataskyddsförordningen ska vara dynamisk, se avsnitt 5.1.2. Utredningens förslag har även en delvis annan utformning.
Remissinstanserna: En majoritet av remissinstanserna tillstyrker utredningens förslag eller har inga synpunkter på det. Ett antal instanser, bl.a. Polismyndigheten, Försäkringskassan och Myndigheten för vård- och omsorgsanalys, avstyrker förslaget i dess helhet. Några av de instanser som instämmer i att sanktionsavgifter ska kunna tas ut av myndigheter, bl.a. Företagarna och Stiftelsen för internetinfrastruktur, anser att avgiften ska uppgå till lika höga maxbelopp som för enskilda. Andra remissinstanser som instämmer i utredningens bedömning i denna del, t.ex. Centrala studiestödsnämnden, Göteborgs universitet, Trafikverket och Sveriges Kommuner och Landsting, anser att maxbeloppet tvärtom bör vara lägre än vad utredningen föreslår. Vidare menar några remissinstanser, bl.a. Statens skolverk, Falköpings kommun och Östergötlands läns landsting, att beloppet bör vara beroende av myndighetens storlek eller budgetram. Falköpings kommun och Jönköpings läns landsting anser att det behöver klargöras om kommunala bolag omfattas av förslaget.
Skälen för regeringens förslag: Enligt artikel 83.7 är det upp till varje medlemsstat att fastställa regler om och i vilken utsträckning sanktionsavgifter ska kunna påföras offentliga myndigheter och organ i den medlemsstaten. Utredningen föreslår att svenska myndigheter ska kunna påföras sanktionsavgifter vid överträdelser av dataskyddsregleringen, dock med lägre högsta belopp än de som enligt dataskyddsförordningen gäller för privata aktörer.
Enligt regeringsformens terminologi, som bör användas även vid tolkningen av dataskyddsförordningen (se avsnitt 8.1), är alla offentliga organ utom riksdagen och kommun- och landstingsfullmäktige myndigheter. Privaträttsliga organ är varken myndigheter eller offentliga organ, även om de utövar offentlig makt. Med anledning av Falköpings kommuns och Jönköpings läns landstings synpunkt kan det således konstateras att kommunala bolag bör anses som privata organ vid tillämpningen av dataskyddsförordningen och att de därmed inte omfattas av utredningens förslag. Däremot omfattas de av de direkt tillämpliga bestämmelserna om sanktionsavgifter i dataskyddsförordningen.
Flera av de remissinstanser som är kritiska till utredningens förslag om att sanktionsavgifter ska kunna tas ut av myndigheter ifrågasätter sanktionsavgifternas effektivitet, främst i förhållande till statliga myndigheter. Till exempel menar Göteborgs universitet att betalningen av en hög avgift minskar utrymmet för myndigheten att fullgöra sitt egentliga uppdrag och att sanktionsavgifter därför kan leda till att ytterligare medel måste tillföras, vilket skapar en rundgång i statskassan. Vidare framför bl.a. Polismyndigheten och Försäkringskassan att det i den offentliga sektorn - i motsats till den privata sektorn - redan finns en straffrättslig sanktion i form av tjänstefelsansvar, vilket vid sidan av möjligheten att vidta disciplinära åtgärder utgör ett skydd mot att enskilda tjänstemän i offentlig verksamhet gör sig skyldiga till grövre överträdelser. Dessutom påpekar de att myndigheten kan bli skadeståndsskyldig gentemot de registrerade.
Dessa invändningar skulle kunna framföras mot alla former av sanktionsavgifter mot myndigheter. Som framgår av utredningens redogörelse har det dock på flera andra områden ansetts utgöra en effektiv och nödvändig sanktion att kunna rikta viten och sanktionsavgifter mot statliga och kommunala myndigheter. Som exempel kan nämnas vite enligt diskrimineringslagen och upphandlingsskadeavgift enligt lagen (2016:1145) om offentlig upphandling. I detta sammanhang förtjänar det också att nämnas att EU-kommissionen har föreslagit att sanktionsavgifter ska kunna tas ut av EU-institutionerna och andra unionsorgan vid överträdelser av den förordning som reglerar bl.a. institutionernas egen behandling av personuppgifter, parallellt med disciplinära påföljder för den ansvarige tjänstemannen (COM(2017) 8 final).
Vidare måste den enskildes intresse av skydd för sin personliga integritet anses väga lika tungt då uppgifter behandlas i det allmännas verksamhet som då behandlingen sker i den privata sektorn. För att utföra sina uppgifter måste såväl statliga som kommunala myndigheter behandla mycket stora mängder personuppgifter, ofta av känslig karaktär. Denna behandling måste givetvis ske i enlighet med dataskyddsregleringen. Vid tillsynsmyndigheternas granskning under senare år har det dock framkommit fall där myndigheter begått förhållandevis allvarliga överträdelser av dataskyddsregleringen. Det kan alltså inte tas för givet att myndigheter alltid följer regleringen om dataskydd.
Tjänstefelsansvar eller disciplinansvar på individnivå är enligt regeringens mening inte tillräckligt effektiva sanktioner mot systematiska överträdelser. För att komma till rätta med sådana överträdelser krävs ofta investeringar i förbättrad teknik eller tydliga riktlinjer från myndighetens högsta ledning. Vetskapen om att brister i personuppgiftsbehandlingen skulle kunna leda till att höga sanktionsavgifter påförs, kommer enligt regeringens bedömning att leda till att myndighetsledningen, i normalfallet, tillser att åtgärder vidtas för att regleringen ska följas. Beslut om att faktiskt påföra en myndighet sanktionsavgifter torde därmed mycket sällan behöva komma i fråga. Sanktionsavgifter skulle således fylla en viktig preventiv funktion, även när det gäller myndigheter, och innebära en verklig förstärkning av integritetsskyddet för enskilda. Denna effekt kan inte enbart uppnås genom skadeståndsinstitutet, eftersom detta är beroende av att den registrerade driver en skadeståndstalan.
Sammanfattningsvis menar regeringen, liksom utredningen, att övervägande skäl talar för att sanktionsavgifter ska kunna tas ut av statliga och kommunala myndigheter vid överträdelser av bestämmelserna i dataskyddsförordningen.
Bestämmelsen i artikel 83.7 om medlemsstaternas möjligheter att bestämma i vilken utsträckning myndigheter ska kunna påföras avgifter innebär att medlemsstaterna har utrymme att bestämma ett tak för de belopp som kan påföras myndigheter. Visserligen kan det, i enlighet med vad Företagarna och Stiftelsen för internetinfrastruktur anför, framstå som rimligt att samma typ av överträdelse leder till samma typ av sanktion, oavsett om överträdelsen begåtts av en myndighet eller ett privat subjekt. Regeringen anser dock, i likhet med utredningen, att det maximala belopp som ska kunna påföras myndigheter bör ligga i paritet med andra sanktionsavgifter i svensk rätt och därmed vara väsentligt lägre än det högsta belopp som skulle kunna tas ut av ett företag enligt dataskyddsförordningen. Inom den privata sektorn kan en överträdelse av dataskyddsregleringen, förutom att kränka enskildas personliga integritet, medföra otillbörliga konkurrensfördelar som snedvrider den inre marknaden. Någon sådan ekonomisk vinning, på bekostnad av andra aktörer på marknaden, kan myndigheter inte dra. Här kan också noteras att i kommissionens förslag till den förordning som reglerar institutionernas och unionsorganens egen behandling av personuppgifter sätts beloppsgränsen för sanktionsavgifterna betydligt lägre än enligt dataskyddsförordningen. En institution ska enligt förslaget kunna påföras sanktionsavgifter om maximalt 500 000 euro per år.
Sanktionsavgifter ska enligt dataskyddsförordningen tas ut enligt två olika nivåer - en lägre nivå vid överträdelser som betraktas som mindre allvarliga och en högre nivå vid allvarligare överträdelser och underlåtenhet att följa förelägganden eller beslut av tillsynsmyndigheten eller att på annat sätt bistå den. Även för myndigheter finns det skäl att ha två olika avgiftsnivåer. Utredningen föreslår att ett maxbelopp om 10 000 000 kronor ska kunna påföras för mindre allvarliga överträdelser. För allvarliga överträdelser föreslår utredningen att maxbeloppet ska vara 20 000 000 kronor. Vissa remissinstanser, t.ex. Centrala studiestödsnämnden, anser att beloppen är orimliga och främmande för svensk förvaltningstradition. Trafikverket påpekar att 20 000 000 kronor är dubbelt så mycket som den högsta sanktionsavgift som kan påföras en svensk myndighet enligt gällande rätt.
Det kan konstateras att 10 000 000 kronor är vad som i dag maximalt kan påföras en myndighet i upphandlingsskadeavgift. Regeringen anser att högre belopp än så inte heller bör kunna påföras en myndighet vid överträdelser av dataskyddsförordningen. Enligt regeringens bedömning skulle en avgift om 10 000 000 kronor utgöra en effektiv, proportionell och avskräckande sanktion också mot allvarliga överträdelser av förordningen, även för de allra största myndigheterna.
Det finns, utifrån förordningens modell, skäl att bestämma beloppen för mindre allvarliga överträdelser till hälften, dvs. 5 000 000 kronor. Vid bestämmandet av vad som utgör en mindre allvarlig respektive en allvarlig överträdelse bör förordningens artikel 83.4 respektive 83.5 gälla.
I förordningens artikel 83.1-3 anges vilka omständigheter som ska beaktas vid beslut om att ta ut sanktionsavgifter och vid bestämmande av beloppets storlek. Dessa bestämmelser bör tillämpas även då sanktionsavgifter tas ut av myndigheter. Detta innebär att en avgift kan påföras med allt ifrån 0 kronor upp till maxbeloppet, beroende på vad som i det enskilda fallet är lämpligt med hänsyn till de olika omständigheter som anges i artikel 83.1-2.
Statens skolverk, Sveriges Kommuner och Landsting och flera kommuner påpekar i detta sammanhang att en hög sanktionsavgift kan komma att slå orimligt hårt mot mindre myndigheter. Enligt artikel 83.2 a ska dock vederbörlig hänsyn tas till bl.a. den aktuella personuppgiftsbehandlingens omfattning och antalet berörda registrerade. Eftersom små myndigheter ofta behandlar färre personuppgifter innebär detta i praktiken att myndighetens storlek kan få betydelse när avgiften bestäms. Vidare ska tillsynsmyndigheten, enligt artikel 83.1, säkerställa att påförande av administrativa sanktionsavgifter i varje enskilt fall är effektivt, proportionellt och avskräckande. Även denna bestämmelse innebär att tillsynsmyndigheten måste, i enlighet med den proportionalitetsprincip som gäller vid all myndighetsutövning, anpassa avgiftens storlek till den aktuella myndighetens budgetram.
Sammanfattningsvis föreslår regeringen att tillsynsmyndigheten ska få ta ut sanktionsavgifter även av statliga och kommunala myndigheter vid överträdelser av bestämmelserna i dataskyddsförordningen. För mindre allvarliga överträdelser bör avgiften uppgå till högst 5 000 000 kronor och för allvarligare överträdelser till högst 10 000 000 kronor. Vid bestämmandet av avgiftens storlek i det enskilda fallet bör dataskyddsförordningens bestämmelser tillämpas. Med hänsyn till behovet av förutsebarhet i fråga om vilka sanktioner som kan bli följden av överträdelser, bör hänvisningen till dataskyddsförordningen i denna bestämmelse vara statisk, dvs. avse förordningen i den ursprungliga lydelsen.
16.3 Övriga sanktioner
16.3.1 Medlemsstaternas skyldigheter
Enligt artikel 84 i förordningen ska medlemsstaterna fastställa regler om andra sanktioner för överträdelser av förordningen, särskilt för sådana som inte är föremål för administrativa sanktionsavgifter. Sanktionerna ska enligt artikeln vara effektiva, proportionella och avskräckande. I skäl 152 anges att medlemsstaterna bör genomföra ett system med effektiva, proportionella och avskräckande sanktioner om förordningen inte harmoniserar administrativa sanktioner eller om det är nödvändigt i andra fall. Det anges också i nämnda skäl att det ska fastställas om sanktionerna ska vara av straffrättslig eller administrativ art.
I skäl 149 anges att medlemsstaterna bör kunna fastställa bestämmelser om straffrättsliga påföljder och möjligheter att förverka den vinning som gjorts vid överträdelser av förordningen. Där erinras också om att utdömandet av sådana påföljder och administrativa sanktioner inte bör medföra ett åsidosättande av dubbelprövningsförbudet enligt EU-domstolens tolkning.
De sanktionsverktyg som normalt står till buds för staten är främst straff och sanktionsavgifter samt vite och återkallelse av tillstånd. Förordningen föreskriver dock inte något sådant tillståndsförfarande som gör att återkallelse kan användas som sanktion.
16.3.2 Straff och vite
Regeringens bedömning: Överträdelser av EU:s dataskyddsförordning bör inte vara straffsanktionerade.
Någon möjlighet för tillsynsmyndigheten att förena sina förelägganden med vite bör inte införas.
Utredningens bedömning överensstämmer med regeringens.
Remissinstanserna: Alla remissinstanser utom Migrationsverket och Dataskydd.net instämmer i utredningens bedömning eller kommenterar den inte. Migrationsverket anser att det åtminstone bör övervägas om inte sanktionsavgifterna behöver kompletteras med straffbestämmelser för att motverka otillåten och riskfylld personuppgiftsbehandling. Dataskydd.net delar inte utredningens bedömning att viten inte bör ställas till tillsynsmyndighetens förfogande.
Skälen för regeringens bedömning
Straff
Enligt 49 § PUL är vissa bestämmelser i lagen förenade med straffansvar. Utredningen konstaterar att straffbestämmelsen har tillämpats sparsamt under senare tid.
Vid sidan av straffbestämmelsen i personuppgiftslagen finns andra straffbestämmelser som också kan innebära att vissa gärningar som innefattar personuppgiftsbehandling omfattas av straffansvar - såsom bestämmelserna om dataintrång (4 kap. 9 c § brottsbalken), kränkande fotografering (4 kap. 6 a § brottsbalken), förtal (5 kap. 1 § brottsbalken) och tjänstefel (20 kap. 1 § brottsbalken).
I prop. 2016/17:222 föreslår regeringen att ett nytt gradindelat brott införs i brottsbalken, olaga integritetsintrång. Regleringen straffbelägger intrång i någons annans privatliv genom spridning av vissa slag av bilder eller andra uppgifter, om spridningen är ägnad att medföra allvarlig skada för den som bilden eller uppgiften rör. Om gärningen med hänsyn till bildens eller uppgiftens innehåll eller sättet för eller omfattningen av spridningen var ägnad att medföra mycket allvarlig skada för den som bilden eller uppgiften rör, döms för grovt olaga integritetsintrång. Straffet för olaga integritetsintrång föreslås vara böter eller fängelse i högst två år och för grovt olaga integritetsintrång fängelse i lägst sex månader och högst fyra år. Undantag från straffansvar ska gälla om gärningen med hänsyn till syftet och övriga omständigheter var försvarlig.
Kriminalisering som metod för att försöka hindra överträdelser av olika normer i samhället bör användas med försiktighet. Ett skäl till detta är att en alltför omfattande kriminalisering riskerar att undergräva straffsystemets brottsavhållande verkan, särskilt om rättsväsendet inte kan beivra alla brott på ett effektivt sätt. Ett annat skäl är att kriminalisering innebär påtagliga inskränkningar i medborgarnas valfrihet och ingripande tvångsåtgärder mot dem som begår brott.
När det gäller överträdelser av dataskyddsregleringen utgör straff inte en särskilt effektiv sanktion, eftersom det i många fall är svårt att identifiera en fysisk person som ansvarig för överträdelsen samt att leda i bevis att denne haft uppsåt eller varit oaktsam på det sätt som krävs för straffbarhet. Den omständigheten att den personuppgiftsansvarige eller personuppgiftsbiträdet kan påföras höga sanktionsavgifter vid brott mot regelverket bör ha en väsentligt högre avskräckande effekt och leda till att efterlevnaden av regelverket prioriteras högt. Vidare kan införandet av straff aktualisera det dubbelprövningsförbud som gäller enligt Europakonventionen och EU:s stadga om de grundläggande rättigheterna samt göra det svårt för personuppgiftsansvariga att förutse vilken sanktion som kan komma ifråga för vilken överträdelse. Vid sidan av systemet med sanktionsavgifter finns också det i det närmaste strikta skadeståndsansvar som gäller enligt förordningens artikel 82, vilket också får antas ha en avskräckande effekt.
Dessa omständigheter talar enligt regeringens bedömning för att överträdelser av dataskyddsförordningen inte behöver straffsanktioneras och att det till och med skulle kunna vara olämpligt. Migrationsverket anser dock att det åtminstone bör övervägas om inte sanktionsavgifterna behöver kompletteras med straffbestämmelser för att motverka otillåten och riskfylld personuppgiftsbehandling. Regeringen vill i detta sammanhang betona att vissa beteenden som innefattar personuppgiftsbehandling redan är straffsanktionerade enligt andra bestämmelser, såsom exempelvis tjänstefel, dataintrång och förtal. Dessutom kommer det nya brottet olaga integritetsintrång att kunna aktualiseras i vissa fall. Integritetskränkningar som begås vid personuppgiftsbehandling kommer således inte att sakna straffrättsliga sanktioner.
Sammanfattningsvis anser regeringen att det system med sanktionsavgifter som införs genom dataskyddsförordningen utgör en tillräckligt effektiv och avskräckande sanktion mot överträdelser av regelverket. Regeringen föreslår därför ingen straffbestämmelse.
Vite
Enligt 44 och 45 §§ PUL får Datainspektionen vid vite förbjuda en personuppgiftsansvarig att fortsätta att behandla uppgifter på annat sätt än att lagra dem, om inspektionen inte på begäran får tillgång till ett tillräckligt underlag för att konstatera att behandlingen är laglig eller om tillsynsmyndigheten konstaterar att personuppgifter behandlas eller kan komma att behandlas på ett olagligt sätt. Detsamma gäller om den personuppgiftsansvarige inte frivilligt följer ett beslut om säkerhetsåtgärder. Bestämmelserna om vite gäller även för statliga och kommunala myndigheter som är personuppgiftsansvariga. Utredningen konstaterar att Datainspektionen aldrig har utnyttjat möjligheten att vitesförelägga.
Som nämns ovan kan sanktionsavgifterna enligt förordningen användas framåtsyftande, dvs. för att säkerställa ett agerande i enlighet med tillsynsmyndighetens pålagor, genom att det erinras om att sanktionsavgifter kan utgå enligt artikel 83.5 e och artikel 83.6 om föreläggandet eller beslutet inte följs. Regeringen bedömer, till skillnad från Dataskydd.net, att denna möjlighet bör fylla tillsynsmyndighetens behov av handlingsdirigerande sanktion, och att det därför inte finns något behov för tillsynsmyndigheten att också kunna förena sina förelägganden med vite på förordningens tillämpningsområde. Det faktum att dubbelprövningsförbudet kan aktualiseras även då vite utdöms för gärningar som också kan leda till sanktionsavgifter, talar ytterligare emot att införa en sådan möjlighet. Regeringen instämmer därför i utredningens bedömning att en möjlighet för tillsynsmyndigheten att förena sina förelägganden med vite inte bör införas.
16.3.3 Sanktionsavgift och uppgifter om lagöverträdelser
Regeringens förslag: Tillsynsmyndigheten får ta ut sanktionsavgifter enligt EU:s dataskyddsförordning även vid överträdelser av förordningens bestämmelser om behandling av personuppgifter som rör lagöverträdelser. Avgiftens storlek ska bestämmas inom ramen för den högre beloppsgräns som gäller för överträdelser av bl.a. bestämmelserna om känsliga personuppgifter.
Utredningens förslag överensstämmer i huvudsak med regeringens. Utredningen föreslår att bestämmelsens hänvisning till dataskyddsförordningen ska vara dynamisk, se avsnitt 5.1.2. Utredningens förslag har även en delvis annan utformning.
Remissinstanserna: Det stora flertalet remissinstanser tillstyrker förslaget eller har inga synpunkter på det. Några remissinstanser, bl.a. Svenskt Näringsliv, Svensk Handel, Svensk Försäkring, Teknikföretagen, Säkerhets- och försvarsföretagen och Näringslivets regelnämnd, avstyrker förslaget. Svensk Försäkring avstyrker förslaget eftersom bestämmelserna om behandling av uppgifter som rör lagöverträdelser föreslås omfatta även misstanke om brott. Teknikföretagen och Säkerhets- och försvarsföretagen påpekar att förslaget enbart kommer att drabba privata aktörer och menar att detta skulle kunna innebära en kraftig konkurrensbegränsning i förhållande till andra EU-länder. Vissa remissinstanser, bl.a. Svenskt Näringsliv, anser att förslaget utgör en överimplementering av förordningen samt betonar näringslivets intresse av harmonisering för att kunna konkurrera på lika villkor. Näringslivets regelnämnd anser att förslaget utgör en överimplementering som kan få negativa konsekvenser för företagen och som därför måste motiveras och konsekvensutredas.
Skälen för regeringens förslag: Enligt personuppgiftslagen är regleringen om behandling av personuppgifter som rör lagöverträdelser straffsanktionerad på samma sätt som regleringen om känsliga personuppgifter (46 § PUL). Dataskyddsförordningens bestämmelser om sanktionsavgifter gäller däremot inte vid överträdelser av den bestämmelse i förordningen som avser behandling av personuppgifter som rör lagöverträdelser, dvs. artikel 10. Om inga sanktioner införs på nationell nivå mot sådana överträdelser skulle alltså integritetsskyddet försämras jämfört med vad som gäller enligt personuppgiftslagen. Dessutom är medlemsstaterna enligt artikel 84.1 skyldiga att fastställa regler om effektiva, proportionella och avskräckande sanktioner för överträdelser som inte är föremål för administrativa sanktionsavgifter enligt artikel 83. En sådan sanktion måste således införas mot överträdelser av artikel 10. Utredningens förslag utgör därmed inte, som bl.a. Svenskt Näringsliv anför, en överimplementering av förordningen.
Som framgår av föregående avsnitt anser regeringen att överträdelser av förordningen inte bör vara straffsanktionerade. Detta gäller även vid överträdelser mot artikel 10. Frågan är således vilken annan sanktion som bör införas vid behandling av personuppgifter om lagöverträdelser i strid med förordningen.
Regeringen anser att intresset av att upprätthålla efterlevnaden av de begränsningar som anges i artikel 10 väger lika tungt ur integritetssynpunkt som att säkerställa efterlevnaden av förbudet mot behandling av vissa typer av känsliga personuppgifter. Behandling av uppgifter som rör t.ex. fällande domar i brottmål uppfattas många gånger som lika integritetskänslig av den registrerade. Detta talar för att samma system för sanktionsavgifter bör gälla vid överträdelser av artikel 10 som vid överträdelser av regleringen om känsliga personuppgifter i artikel 9.
Flera remissinstanser som företräder näringslivet, bl.a. Teknikföretagen och Svenskt Näringsliv, poängterar vikten av harmonisering och menar att det skulle utgöra en konkurrensnackdel för svenska företag om sanktionsavgifter infördes i svensk rätt vid överträdelser av artikel 10. Regeringen kan dock konstatera att samtliga medlemsstater, till följd av kravet i artikel 84.1, kommer att behöva införa någon form av effektiv, proportionell och avskräckande sanktion mot överträdelser av artikel 10. Ett genomförande av utredningens förslag bör därmed inte kunna leda till den snedvridning av marknaden som dessa remissinstanser befarar.
Regeringen föreslår således att tillsynsmyndigheten ska få ta ut sanktionsavgifter enligt dataskyddsförordningen även vid överträdelser av artikel 10 i dataskyddsförordningen. Avgiftens storlek ska i enlighet med utredningens förslag bestämmas inom ramen för den högre beloppsgräns som gäller för överträdelser av bl.a. bestämmelserna om känsliga personuppgifter, dvs. med tillämpning av artikel 83.5 i förordningen. Med hänsyn till behovet av förutsebarhet i fråga om vilka sanktioner som kan bli följden av överträdelser, bör hänvisningen till dataskyddsförordningen i denna bestämmelse vara statisk, dvs. avse förordningen i den ursprungliga lydelsen.
16.4 Förfarandebestämmelser om sanktionsavgift
Regeringens förslag: En sanktionsavgift får inte tas ut om den som anspråket riktas mot inte har getts tillfälle att yttra sig inom fem år från det att överträdelsen ägde rum. Ett beslut om sanktionsavgift ska delges.
Sanktionsavgifter ska tillfalla staten. En sanktionsavgift ska betalas till den myndighet som regeringen bestämmer inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft eller inom den längre tid som anges i beslutet. Om sanktionsavgiften inte betalas inom denna tid, ska myndigheten lämna den obetalda avgiften för indrivning. Vid indrivning får verkställighet ske enligt utsökningsbalken.
Regeringen får meddela ytterligare föreskrifter om sanktionsavgifter enligt EU:s dataskyddsförordning och dataskyddslagen.
Utredningens förslag överensstämmer i sak med regeringens. Utredningen föreslår inte något bemyndigande för regeringen att meddela ytterligare föreskrifter. Vidare föreslår utredningen att bestämmelsen om betalning och indrivning av sanktionsavgift ska införas i förordning och inte i dataskyddslagen.
Remissinstanserna: Det stora flertalet remissinstanser tillstyrker förslaget eller har inga synpunkter på det. Bland andra Svensk Handel och Svenskt Näringsliv anser dock att preskriptionstidens längd bör begränsas till tre år.
Skälen för regeringens förslag: Beslut om administrativa sanktionsavgifter är en särskilt ingripande åtgärd. Sådana beslut bör därför delges den betalningsskyldige enligt delgivningslagen (2010:1932). Av samma skäl bör beslut om sanktionsavgifter inte få fattas om lång tid har förflutit sedan överträdelsen ägde rum. Någon preskriptionstid anges dock inte i dataskyddsförordningen. En sådan begränsning av tillsynsmyndighetens befogenheter måste i stället anses ingå i medlemsstaternas skyldighet att ställa upp lämpliga skyddsåtgärder för rättssäkerheten i nationell rätt (artikel 58.4).
Utredningen föreslår att en sanktionsavgift inte ska få tas ut om den som anspråket riktas mot inte inom fem år från det att överträdelsen ägde rum har getts tillfälle att yttra sig. Några remissinstanser, bl.a. Svensk Handel och Svenskt Näringsliv, anser att denna preskriptionstid är för lång och att den i stället bör vara tre år. Regeringen anser emellertid, i likhet med utredningen, att preskriptionstidens längd bör bestämmas i enlighet med vad som gäller för t.ex. miljösanktionsavgift, dvs. till fem år.
Det framgår inte av dataskyddsförordningen om de sanktionsavgifter som kan komma att tas ut ska betalas till EU eller till medlemsstaterna. Inte heller regleras det i förordningen hur betalningen eller den närmare verkställigheten av avgifterna ska ske. I avsaknad av reglering i förordningen om vem sanktionsavgifterna tillfaller, måste utgångspunkten vara att avgifterna ska tillfalla staten. Detta bör framgå av dataskyddslagen.
Utredningen anser att det bör lämnas till regeringen att bestämma till vilken myndighet betalning ska ske. Regeringen gör ingen annan bedömning. Vidare föreslår utredningen att den till dataskyddslagen anslutande förordningen ska innehålla vissa bestämmelser om betalning och indrivning av sanktionsavgifter. Bland annat anges i utredningens förslag till förordning att sanktionsavgift ska betalas inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft eller inom den längre tid som anges i beslutet. Om sanktionsavgiften inte betalas inom denna tid, föreslås att myndigheten ska lämna den obetalda avgiften för indrivning samt att verkställighet får ske enligt utsökningsbalken. Den bestämmelsen bör enligt regeringens mening tas in i dataskyddslagen.
Utredningen bedömer att föreskrifter om verkställighet av sanktionsavgifter kan meddelas av regeringen eller den myndighet regeringen bestämmer med stöd av 8 kap. 7 § RF. Regeringen anser dock att det sannolikt kommer att behövas föreskrifter om sanktionsavgifter som går utöver vad som omfattas av denna normgivningskompetens. Det behövs därför ett bemyndigande i dataskyddslagen som anger att regeringen får meddela ytterligare föreskrifter om sanktionsavgifter enligt dataskyddsförordningen och dataskyddslagen.
17 Rättsmedel och processuella frågor
17.1 Rättsmedel mot den personuppgiftsansvarige eller personuppgiftsbiträdet
17.1.1 Rätt att föra talan om ersättning
Regeringens förslag: Rätten till ersättning från den personuppgiftsansvarige och personuppgiftsbiträdet enligt EU:s dataskyddsförordning gäller vid överträdelser av bestämmelser i dataskyddslagen och andra föreskrifter som kompletterar dataskyddsförordningen.
Utredningens förslag överensstämmer i sak med regeringens.
Remissinstanserna: Det stora flertalet remissinstanser tillstyrker utredningens förslag eller har inga synpunkter på det. Vetenskapsrådet välkomnar utredningens förslag att införa en bestämmelse om skadestånd som omfattar övriga tillämpliga författningar. Justitiekanslern anser att den föreslagna lagtexten rörande skadestånd möjligen utvidgar skadeståndsansvaret i förhållande till vad som krävs enligt dataskyddsförordningen. Lunds universitet ifrågasätter om formuleringen andra författningar som kompletterar dataskyddsförordningen är tillräckligt precis. Svensk Handel anser att det finns ett behov av en preskriptionstid för skadeståndsanspråk.
Skälen för regeringens förslag
Rätten till ersättning gäller vid överträdelser av dataskyddslagen och sektorsspecifika föreskrifter
Enligt 48 § PUL ska den personuppgiftsansvarige ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med personuppgiftslagen har orsakat. Bestämmelsen gäller endast vid behandling i strid med personuppgiftslagen och alltså inte vid behandling i strid med sektorsspecifik lagstiftning. Många sektorsspecifika författningar innehåller emellertid en hänvisning till skadeståndsbestämmelsen i personuppgiftslagen.
I dataskyddsförordningen regleras rätten till ersättning genom en direkt tillämplig bestämmelse, som tar över de allmänna skadeståndsreglerna i skadeståndslagen (1 kap. 1 §). Enligt artikel 82 ska varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av förordningen ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan. Enligt dataskyddsförordningen kan således även personuppgiftsbiträden bli skadeståndsskyldiga under vissa förutsättningar. Ersättningen ska täcka såväl materiell som immateriell skada, dvs. med svenska termer ekonomisk och ideell skada. Kränkning, som i 48 § PUL nämns särskilt vid sidan av skada, får anses utgöra en immateriell skada. I skäl 146 och artikel 82.2-5 preciseras närmare under vilka förutsättningar personuppgiftsansvariga och personuppgiftsbiträden kan hållas ansvariga för uppkomna skador. Domstolsförfaranden rörande skadestånd ska enligt artikel 82.6 tas upp vid de domstolar som är behöriga enligt artikel 79.2, dvs. vid en domstol i den medlemsstat där den personuppgiftsansvarige eller personuppgiftsbiträdet är etablerad. Såvida den ansvarige eller biträdet inte är en myndighet får talan i stället väckas vid en domstol i den medlemsstat där den registrerade har sin hemvist. Bestämmelsen tar över rättegångsbalkens allmänna forumregler (10 kap. 21 § rättegångsbalken).
Dataskyddsförordningen innehåller inte någon reglering om preskriptionstid för skadeståndsanspråk som riktas mot den personuppgiftsansvarige eller personuppgiftsbiträdet. Någon särskild föreskriven preskriptionsfrist finns inte heller för skadeståndsanspråk enligt personuppgiftslagen. Det är i stället de allmänna reglerna i preskriptionslagen (1981:130) som gäller. Regeringen anser till skillnad från Svensk Handel inte att det framkommit skäl att införa särskilda regler om preskription för ersättning enligt dataskyddsförordningen.
Enligt ordalydelsen i artikel 82 gäller rätten till ersättning vid skada som uppstått till följd av behandling som strider mot dataskyddsförordningen. Med detta uttryck avses dock enligt skäl 146 även behandling som strider mot nationella bestämmelser som närmare specificerar förordningens bestämmelser. Regeringen anser, i likhet med utredningen, att detta bör förtydligas i dataskyddslagen genom en bestämmelse som upplyser om att rätten till ersättning gäller även vid överträdelser av bestämmelser i dataskyddslagen och andra föreskrifter som kompletterar dataskyddsförordningen. Till skillnad från Lunds universitet anser regeringen att den av utredningen föreslagna avgränsningen är tillräckligt tydlig, eftersom dataskyddsförordningen reglerar gränserna för vad som får regleras i nationell rätt. Sådana föreskrifter som kompletterar förordningen och som skulle kunna läggas till grund för ersättningsanspråk enligt artikel 82 är enligt regeringens bedömning av det slaget att de fastställer mer specifika krav för behandlingen av personuppgifter, på det sätt som anges i t.ex. artikel 6.2 och 6.3 andra stycket i dataskyddsförordningen.
Bestämmelsen innebär emellertid, som Justitiekanslern påpekar, en viss utvidgning av rätten till ersättning jämfört med vad som gäller enligt dataskyddsförordningen. Eftersom dataskyddsförordningens tillämpningsområde utsträcks genom dataskyddslagen till att gälla även i verksamhet som inte omfattas av unionsrätten, kommer rätten till ersättning också som huvudregel att gälla vid överträdelser av sektorsspecifika bestämmelser som kompletterar förordningen inom det utsträckta området. Bestämmelsen utgör även en viss utvidgning av rätten till ersättning jämfört med vad som gäller i dag, eftersom den omfattar överträdelser av bestämmelser i alla sektorsspecifika författningar och inte bara de som särskilt reglerar denna fråga. Detta, vilket är en följd av bestämmelsen i artikel 82 så som den ska tolkas enligt skäl 146, utgör enligt regeringens mening en förstärkning av integritetsskyddet och av den registrerades tillgång till effektiva rättsmedel.
17.1.2 Rätt att överklaga en myndighets beslut om personuppgiftsbehandling
Regeringens förslag: Om den personuppgiftsansvarige är en myndighet, får beslut som myndigheten fattar enligt EU:s dataskyddsförordning med anledning av att en registrerad utövar sin rätt till information och tillgång till personuppgifter, rättelse, radering, begränsning, invändning eller dataportabilitet överklagas till allmän förvaltningsdomstol. Detta gäller inte beslut av regeringen, Högsta domstolen, Högsta förvaltningsdomstolen eller Riksdagens ombudsmän.
Andra beslut som en personuppgiftsansvarig myndighet fattar enligt dataskyddsförordningen får inte överklagas.
Utredningens förslag överensstämmer delvis med regeringens. Utredningen föreslår inte att beslut om dataportabilitet ska anges i bestämmelsen om överklagande av myndighetsbeslut. Vidare anges även riksdagen i utredningens förslag till undantag. Slutligen föreslår utredningen inte något uttryckligt överklagandeförbud i fråga om andra beslut som meddelas enligt dataskyddsförordningen.
Remissinstanserna: Det stora flertalet remissinstanser tillstyrker utredningens förslag eller har inga synpunkter på det. Pensionsmyndigheten och Sveriges advokatsamfund anser att det bör framgå att även beslut om dataportabilitet får överklagas. Dataskydd.net anser att även beslut enligt artiklarna 14.5 b-d och 22 ska kunna överklagas. Förvaltningsrätten i Stockholm saknar överväganden kring, eller en förklaring till, varför de båda högsta domstolsinstansernas beslut har undantagits från rätten att överklaga beslut.
Skälen för regeringens förslag: Om den personuppgiftsansvarige är en myndighet får enligt gällande rätt vissa av de beslut som myndigheten fattar i denna egenskap överklagas till allmän förvaltningsdomstol (52 § PUL). Denna rätt gäller endast myndighetens beslut om information enligt 26 § PUL, om rättelse och underrättelse till tredje man enligt 28 §, om information enligt 29 § andra stycket och om upplysningar enligt 42 §. Bestämmelsen har inte sin grund i dataskyddsdirektivet, utan motiveras av allmänna förvaltningsrättsliga principer om att förvaltningsbeslut som direkt berör en enskild person ska kunna överprövas av domstol (prop. 2005/06:173 s. 51-53).
När den personuppgiftsansvarige är en myndighet kan vissa beslut som meddelas till följd av en begäran av en registrerad sägas vara ett utflöde av myndighetens myndighetsutövning. Sådana beslut bör därför kunna överklagas av den registrerade. I den mån myndigheten omfattas av förvaltningslagens tillämpningsområde är besluten överklagbara enligt allmänna förvaltningsrättsliga principer. När den nya förvaltningslagen träder i kraft kommer rätten att överklaga sådana beslut att följa direkt av den lagen. Det behövs därmed i och för sig inte någon uttrycklig bestämmelse om rätten att överklaga beslut som fattas enligt dataskyddsförordningen i dataskyddslagen. Beslut enligt dataskyddsförordningen kommer emellertid att fattas av personuppgiftsansvariga myndigheter även i andra fall än till följd av att en registrerad utövar sina rättigheter. Sådana andra beslut, t.ex. om att utnämna ett dataskyddsombud eller att anmäla en personuppgiftsincident, bör inte vara överklagbara.
Dataskyddslagen bör därför, i likhet med personuppgiftslagen, förses med en uttrycklig bestämmelse om att endast vissa myndighetsbeslut får överklagas till allmän förvaltningsdomstol. Prövningstillstånd bör krävas vid överklagande till kammarrätten.
Enligt 52 § PUL gäller rätten att överklaga inte sådana beslut som har fattats av riksdagen, regeringen eller riksdagens ombudsmän. Utredningen föreslår att denna begränsning bör gälla även enligt dataskyddslagen. Eftersom riksdagen inte utgör en myndighet enligt svensk rätt behöver den dock inte undantas. Utredningen föreslår därutöver att beslut som fattas av de högsta domstolsinstanserna ska undantas. Som Förvaltningsrätten i Stockholm påpekar lämnas ingen motivering till detta i betänkandet. Regeringen kan dock konstatera att Högsta domstolen är högsta allmänna domstol och Högsta förvaltningsdomstolen är högsta förvaltningsdomstol (11 kap. 1 § RF). Av detta följer att dessa domstolars avgöranden inte kan överklagas. Högsta domstolens och Högsta förvaltningsdomstolens egna beslut enligt dataskyddsförordningen bör därför inte kunna överklagas. Detta överensstämmer med vad som gäller enligt bl.a. offentlighets- och sekretesslagen (6 kap. 7 § tredje stycket OSL). Regeringen anser därför att beslut från regeringen, Riksdagens ombudsmän och de högsta domstolarna ska undantas från rätten att överklaga.
Rätten att överklaga bör omfatta beslut som en personuppgiftsansvarig myndighet fattar med anledning av att en registrerad utövar sina rättigheter enligt kapitel III i dataskyddsförordningen. De bestämmelser som kan föranleda överklagbara beslut rör enligt utredningens bedömning avgifter m.m. (artikel 12.5), tillgång till personuppgifter m.m. (artikel 15), rättelse (artikel 16), radering (artikel 17), begränsning (artikel 18), underrättelse till tredje man om rättelse, radering eller begränsning (artikel 19) och invändningar (artikel 21). Som Pensionsmyndigheten och Sveriges advokatsamfund påpekar skulle dock i vissa fall även bestämmelsen om dataportabilitet i artikel 20 kunna föranleda beslut av en personuppgiftsansvarig myndighet och bör därför av tydlighetsskäl också anges i den föreslagna bestämmelsen om överklagande. Dataskydd.net anser därutöver att bestämmelserna om information i artiklarna 14.5 b-d och om automatiserade beslut i artikel 22 bör omfattas av rätten att överklaga. Regeringen kan dock konstatera att rätten till information inte omfattas av överklagandebestämmelsen i 52 § PUL och att det inte finns skäl att nu införa en annan ordning. När det gäller automatiserade beslut innehåller 52 § PUL visserligen en hänvisning till 29 § andra stycket PUL, som anger att den registrerade har rätt att på begäran få information om vad som har styrt den automatiserade behandling som lett fram till beslutet. Någon sådan rätt till information föreligger emellertid inte enligt artikel 22 i dataskyddsförordningen. Följaktligen bör någon rätt att överklaga beslut enligt artikel 22 inte införas i dataskyddslagen. Vidare bör det av dataskyddslagen framgå att andra beslut som en personuppgiftsansvarig myndighet fattar enligt dataskyddsförordningen inte får överklagas.
17.2 Klagomål till tillsynsmyndigheten
Regeringens bedömning: Det behövs inga särskilda författningsbestämmelser om den registrerades rätt att lämna in klagomål eller om tillsynsmyndighetens skyldigheter att handlägga sådana klagomål inom rimlig tid.
Utredningen föreslår till skillnad från regeringen att särskilda bestämmelser om åtgärder vid dröjsmål ska införas, bl.a. en rätt för den registrerade att föra en dröjsmålstalan i allmän förvaltningsdomstol.
Remissinstanserna: Endast ett fåtal remissinstanser yttrar sig särskilt över utredningens förslag. Riksdagens ombudsmän, Förvaltningsrätten i Jönköping och Uppsala universitet ifrågasätter det praktiska värdet eller behovet av en dröjsmålstalan och anser att frågan bör utredas vidare. Kammarrätten i Göteborg anser att den föreslagna ordningen framstår som onödigt komplicerad och överdimensionerad. Även Justitiekanslern anser att de föreslagna bestämmelserna framstår som komplicerade, tidsödande och kostnadskrävande i förhållande till vad som rimligen går att uppnå. Det bör därför enligt Justitiekanslerns uppfattning övervägas om inte tillgången till ett effektivt rättsmedel kan säkerställas på något annat sätt. Lunds universitet anser att reglerna om dröjsmålstalan bör samordnas med motsvarande regler i förslaget till ny förvaltningslag. Swedish Direct Marketing Association tycker att det är bra att tillsynsmyndigheten ska tvingas lämna besked inom angiven tidsfrist, men anser att det bör övervägas att även den som klagomålet riktats mot ska kunna begära besked på motsvarande sätt som den registrerade.
Skälen för regeringens bedömning: Det finns i gällande svensk rätt inga uttryckliga bestämmelser om rätten att framföra klagomål till Datainspektionen. Dataskyddsförordningen ger inte anledning till att införa nationell reglering av rätten att ge in klagomål eftersom den registrerades rätt att lämna in ett sådant klagomål regleras direkt i artikel 77 i förordningen.
Tillsynsmyndighetens skyldighet att behandla sådana klagomål föreskrivs i artikel 57.1 f. Denna skyldighet innefattar att, där så är lämpligt, undersöka den sakfråga som klagomålet gäller. I samma bestämmelse anges också att tillsynsmyndigheten inom rimlig tid ska underrätta den enskilde om hur undersökningen fortskrider och om resultatet. Av artikel 78.2 framgår att den registrerade i normalfallet inte ska behöva vänta mer än tre månader på detta besked. Det finns mot denna bakgrund inte skäl att också i dataskyddslagen ange tillsynsmyndighetens skyldigheter i förhållande till den registrerade.
Enligt artikel 78.2 ska varje registrerad person ha rätt till ett effektivt rättsmedel om tillsynsmyndigheten underlåter att behandla ett klagomål eller att informera den registrerade inom tre månader om hur det fortskrider med klagomålet eller vilket beslut som har fattats med anledning av detta.
Ett uppenbart ogrundat klagomål bör kunna besvaras av tillsynsmyndigheten tämligen omgående, i vart fall inom tre månader. I andra fall kan tillsynsmyndigheten ha anledning att utnyttja sina tillsynsbefogenheter enligt artikel 58.1, t.ex. att beordra den personuppgiftsansvarige att lämna relevant information eller att göra platsbesök. Besked om huruvida sådan tillsyn ska utövas eller inte bör enligt regeringens mening i princip alltid kunna lämnas till den registrerade inom tre månader. I de undantagsfall ett sådant besked inte kan ges bör tillsynsmyndigheten i vart fall kunna lämna besked om hur ärendet fortskrider. Tillsynsmyndighetens informationsplikt gentemot den registrerade är då uppfylld. Artikel 78.2 i dataskyddsförordningen ger inte den registrerade rätt att inom tidsfristen få ett slutligt besked om vilka eventuella åtgärder gentemot den personuppgiftsansvarige som klagomålet i förlängningen leder till. Bestämmelsen i dataskyddsförordningen syftar i stället till att stävja passivitet hos tillsynsmyndigheten och säkerställer att den registrerade hålls underrättad om handläggningen av ärendet.
Vid sidan av dataskyddsförordningens direkt tillämpliga bestämmelser om tillsynsmyndighetens skyldigheter att bl.a. handlägga klagomål gäller skyndsamhetskrav och informationsskyldighet enligt förvaltningslagens allmänna bestämmelser. Såsom utredningen påpekar förekommer det i dag ingen utebliven eller långsam handläggning av klagomål hos den svenska tillsynsmyndigheten. För det undantagsfall att den registrerade ändå inte skulle få något besked från tillsynsmyndigheten rörande klagomålet inom rimlig tid, kan den registrerade vända sig till Riksdagens ombudsmän och göra en anmälan om brister i handläggningen. Riksdagens ombudsmän har också befogenhet att väcka åtal om tjänstefel. Om den registrerade anser att tillsynsmyndighetens dröjsmål lett till skada kan denne också begära skadestånd enligt skadeståndslagen, antingen genom att väcka talan i allmän domstol eller genom att framställa kravet direkt till myndigheten. Enligt förordningen (1995:1301) om handläggning av skadeståndsanspråk mot staten kan en skadelidande få ett sådant skadeståndskrav prövat inom ramen för statens frivilliga skadereglering. Slutligen bör det noteras att även 12 § i den nya förvaltningslagen, som ger den enskilde rätt att föra en dröjsmålstalan mot myndigheten vid långsam handläggning, skulle kunna aktualiseras i ett ärende som initierats genom ett klagomål, men då avseende tillsynsmyndighetens slutliga avgörande. Detta förutsätter dock att den registrerade anses ha ställning som part i förvaltningslagens mening (se avsnitt 17.5).
Sammanfattningsvis anser regeringen att det i svensk rätt redan finns effektiva rättsmedel som är tillgängliga för den registrerade om tillsynsmyndigheten inte skulle uppfylla sin informationsskyldighet enligt dataskyddsförordningen. Regeringen anser därför, i likhet med bl.a. Riksdagens ombudsmän, Justitiekanslern och Uppsala universitet, att utredningens förslag om åtgärder vid tillsynsmyndighetens dröjsmål inte bör genomföras.
17.3 En rättssäker handläggning hos tillsynsmyndigheten
17.3.1 Förordningens krav på skyddsåtgärder
I artikel 58.4 anges att utövandet av de befogenheter som tillsynsmyndigheten tilldelas enligt denna artikel ska omfattas av lämpliga skyddsåtgärder, inbegripet effektiva rättsmedel och rättssäkerhet, som fastställs i unionsrätten och i medlemsstaternas nationella rätt i enlighet med stadgan. I artikel 83.8 upprepas kravet på lämpliga skyddsåtgärder avseende tillsynsmyndighetens befogenhet att påföra administrativa sanktionsavgifter. Innebörden av kravet på skyddsåtgärder i tillsynsmyndighetens verksamhet utvecklas i skäl 129 till förordningen.
Förordningens krav på att tillsynsmyndighetens befogenheter ska kringgärdas av skyddsåtgärder innefattar en skyldighet för medlemsstaterna att dels se till att den personuppgiftsansvarige och personuppgiftsbiträdet har tillgång till effektiva rättsmedel, dels skapa förutsättningar för en rättssäker handläggning hos tillsynsmyndigheten. Frågan om effektiva rättsmedel mot tillsynsmyndigheten behandlas i avsnitt 17.5. I detta avsnitt behandlas behovet av åtgärder för att säkerställa en rättssäker handläggning hos tillsynsmyndigheten.
Tillsynsmyndighetens ärendehandläggning och verksamhet i övrigt omfattas givetvis av regeringsformens grundsatser om legalitet och objektivitet. Dessutom gäller förvaltningslagens generella bestämmelser om bl.a. effektivitet, partsinsyn, kommunikations- och motiveringsskyldighet - bestämmelser som alla syftar till att stärka rättssäkerheten. Vid utövandet av de flesta av tillsynsmyndighetens befogenheter står det klart att dessa allmänna och särskilda krav på god förvaltning är tillräckliga för att säkerställa de krav på myndighetsutövningen som ställs i dataskyddsförordningen. Det bör dock övervägas om vissa av de mer ingripande befogenheterna föranleder att ytterligare skyddsåtgärder införs. Det bör även övervägas om tillsynsmyndighetens befogenheter att ingripa mot överträdelser av nationella bestämmelser som kompletterar dataskyddsförordningen ska regleras.
17.3.2 Tillsynsmyndighetens befogenheter gäller vid tillsyn enligt dataskyddslagen och sektorsspecifika författningar
Regeringens förslag: Tillsynsmyndighetens befogenheter enligt EU:s dataskyddsförordning gäller vid myndighetens tillsyn över att bestämmelserna i dataskyddslagen och andra föreskrifter som kompletterar förordningen följs. Detta innebär inte att tillsynsmyndigheten får ta ut sanktionsavgifter vid andra överträdelser än de som avses i EU:s dataskyddsförordning.
Utredningens förslag överensstämmer i sak med regeringens. Utredningen föreslår inte någon uttrycklig bestämmelse om befogenheten att ta ut sanktionsavgifter.
Remissinstanserna tillstyrker utredningens förslag eller har inga synpunkter på det. Förvaltningsrätten i Stockholm föreslår att Datainspektionen ges uppgiften att vara tillsynsmyndighet genom en bestämmelse i lagen.
Skälen för regeringens förslag: Dataskyddsförordningen innehåller direkt tillämpliga bestämmelser om tillsynsmyndighetens befogenheter. Dessa befogenheter är fler, eller i vart fall mer detaljerat reglerade, än de som anges i personuppgiftslagen. Tillsynsmyndighetens utredningsbefogenheter, som regleras i artikel 58.1 i förordningen, motsvarar i stora drag de befogenheter som myndigheten har enligt personuppgiftslagen. De s.k. korrigerande befogenheterna, som framgår av artikel 58.2, är däremot mer omfattande. Som exempel kan nämnas att tillsynsmyndigheten enligt led g i den angivna artikeln får förelägga om radering av personuppgifter och att den enligt led i får påföra administrativa sanktionsavgifter. Vidare anges i artikel 58.3 vilken möjlighet myndigheten har att utfärda tillstånd och att ge råd.
Varje medlemsstat får enligt artikel 58.6 föreskriva att dess tillsynsmyndighet ska ha ytterligare befogenheter, utöver de som avses i punkterna 1, 2 och 3. Frågan om den svenska myndigheten bör ges sådana ytterligare befogenheter har övervägts av Utredningen om tillsynen över den personliga integriteten (Ju 2015:02). Utredningen konstaterar i sitt betänkande att det för närvarande inte finns något sådant behov (SOU 2016:65 s. 154-157). Betänkandet bereds för närvarande inom Regeringskansliet.
Bestämmelsen i artikel 58 om tillsynsmyndighetens befogenheter avser enligt dess ordalydelse endast tillsynen över tillämpningen av förordningens bestämmelser. Enligt regeringens bedömning torde dock dessa befogenheter omfatta tillsynen över tillämpningen av de nationella bestämmelser som kompletterar förordningen, på motsvarande sätt som rätten till ersättning gäller vid överträdelser av sådana nationella bestämmelser, se avsnitt 17.1.1. Detta bör, som utredningen föreslår, framgå uttryckligen av dataskyddslagen. Befogenheterna bör gälla oavsett om de kompletterande nationella bestämmelserna har placerats i dataskyddslagen eller om de återfinns i sektorsspecifika författningar som rör behandling av personuppgifter. Eftersom dataskyddsförordningens tillämpningsområde utsträcks genom dataskyddslagen till att gälla även i verksamhet som inte omfattas av unionsrätten, kommer förordningens bestämmelser om tillsynsmyndighetens befogenheter som huvudregel att gälla även vid tillsyn i fråga om sektorsspecifika bestämmelser som kompletterar förordningen inom det utsträckta området.
Tillsynsmyndighetens befogenhet enligt artikel 58.2 i att ta ut administrativa sanktionsavgifter gäller vid sådana överträdelser som anges i artikel 83. Av den artikeln framgår att tillsynsmyndighetens befogenhet att ta ut sanktionsavgifter vid överträdelser av nationella bestämmelser är begränsad, på så sätt att den endast gäller i fråga om bestämmelser som har antagits på grundval av kapitel IX i dataskyddsförordningen. Med stöd av kapitel IX kan medlemsstaterna anta bestämmelser om t.ex. behandling av nationella identifikationsnummer (artikel 87) och behandling i anställningsförhållanden (artikel 88).
Avsikten med utredningens förslag i denna del är inte att utvidga möjligheterna att besluta om administrativa sanktionsavgifter jämfört med vad som gäller enligt dataskyddsförordningen (jfr SOU 2017:39 s. 377). En sådan utvidgning bör inte heller ske på generell nivå, genom en bestämmelse i dataskyddslagen. Regeringen anser att det av tydlighetsskäl uttryckligen bör framgå av dataskyddslagen att tillsynsmyndigheten inte får ta ut sanktionsavgifter vid andra överträdelser än de som avses i artikel 83 i dataskyddsförordningen. För att tillsynsmyndigheten ska kunna ta ut sanktionsavgifter i andra fall, krävs alltså en särskild reglering om detta, jfr avsnitt 16.2 och 16.3.3.
Regeringen anser till skillnad från Förvaltningsrätten i Stockholm att utpekandet av den myndighet som ska vara tillsynsmyndighet bör, liksom i dag, ske i en förordning och inte i dataskyddslagen, se avsnitt 14.1.2.
17.3.3 Kommunikation och delgivning
Regeringens bedömning: Bestämmelser om kommunikation inför och delgivning av beslut behövs inte i dataskyddslagen.
Utredningen föreslår till skillnad från regeringen särskilda bestämmelser om kommunikation inför och delgivning av beslut.
Remissinstanserna: Endast ett fåtal remissinstanser framför synpunkter på utredningens förslag i denna del. Hovrätten för Västra Sverige och Kammarrätten i Göteborg ifrågasätter behovet av särskilda bestämmelser om kommunikation.
Skälen för regeringens bedömning
Kommunikation
I 46 § PUL finns bestämmelser som utgör ytterligare processuella skyddsåtgärder för den personuppgiftsansvarige när tillsynsmyndigheten utövar sin befogenhet att besluta om vitesföreläggande. Bland annat anges att den personuppgiftsansvarige, enligt huvudregeln, ska ha fått tillfälle att yttra sig innan tillsynsmyndigheten beslutar om vite.
Utredningen föreslår att det i dataskyddslagen ska införas en liknande bestämmelse om kommunikation inför beslut som tillsynsmyndigheten avser att fatta med stöd av sina korrigerande tillsynsbefogenheter enligt artikel 58.2 i dataskyddsförordningen. Av 25 § i den nya förvaltningslagen framgår dock att innan en myndighet fattar ett beslut i ett ärende ska den, om det inte är uppenbart obehövligt, underrätta den som är part om allt material av betydelse för beslutet och ge parten tillfälle att inom en bestämd tid yttra sig över materialet. Denna bestämmelse fyller samma funktion som utredningens förslag.
I 25 § första stycket 2 och 3 i den nya förvaltningslagen finns visserligen undantag från kommunikationsplikten som saknar en direkt motsvarighet i utredningens förslag. Undantaget i punkten 2 - som gäller då det kan befaras att det annars skulle bli avsevärt svårare att genomföra beslutet - kommer dock knappast i fråga vid tillämpning av 58.2 i dataskyddsförordningen. När det gäller undantaget i punkten 3 - som gäller då ett väsentligt allmänt eller enskilt intresse kräver att beslutet meddelas omedelbart - aktualiseras endast vid tillfälliga beslut enligt artikel 58.2 f i förordningen. Sådana beslut skulle även enligt utredningens förslag kunna meddelas utan föregående kommunikation. Detta innebär, som Hovrätten för Västra Sverige och Kammarrätten i Göteborg påpekar, att den föreslagna bestämmelsen om kommunikation inte behövs. Regeringen lämnar därför inget sådant förslag.
Underrättelse om beslut
Enligt 46 § andra stycket PUL ska vitesförelägganden delges. Utredningen anser att den omständigheten att underlåtenhet att följa ett föreläggande enligt dataskyddsförordningen kan leda till sanktionsavgifter motiverar ett motsvarande krav på delgivning för alla typer av förelägganden som riktas mot en personuppgiftsansvarig eller ett personuppgiftsbiträde som tillsynsmyndigheten kan besluta enligt artikel 58.2 i förordningen.
Regeringen anser emellertid att detta inte utgör skäl för att frångå den generella principen om att en myndighet själv avgör på vilket sätt parterna ska underrättas om ett beslut (jfr 33 § tredje stycket i den nya förvaltningslagen). Det förtjänar dock att påpekas att formell delgivning kan behövas i vissa fall för att tillsynsmyndigheten i ett senare skede ska kunna visa att mottagaren tagit del av beslutet. Det kan t.ex. bli svårt att genom sanktionsavgift beivra en underlåtenhet att följa ett föreläggande, om föreläggandet inte har delgetts enligt delgivningslagen. Som framgår av avsnitt 16.4 anser regeringen att beslut om sanktionsavgifter alltid bör delges.
17.3.4 Platsundersökning ska inte kunna ske med tvång
Regeringens bedömning: Det bör inte införas några bestämmelser om tillsynsmyndighetens tillträde till personuppgiftsansvarigas eller personuppgiftsbiträdens lokaler.
Utredningens bedömning överensstämmer med regeringens.
Remissinstanserna: Det stora flertalet remissinstanser instämmer i utredningens bedömning eller kommenterar den inte. Kammarrätten i Göteborg delar dock inte utredningens uppfattning och menar att dataskyddsförordningen kräver att bestämmelser införs som ger tillsynsmyndigheten möjlighet att tillgripa tvångsmedel. Centrala studiestödsnämnden anser att det bör klargöras om det föreligger en rätt för tillsynsmyndigheten att genomföra platsundersökningar med tvång även om det inte införs några särskilda nationella regler om detta.
Skälen för regeringens bedömning: Enligt dataskyddsförordningen ska tillsynsmyndigheten från den personuppgiftsansvarige och personuppgiftsbiträdet få tillgång till alla personuppgifter och all information som myndigheten behöver för att kunna fullgöra sina uppgifter (artikel 58.2 e). Tillsynsmyndigheten ska också få tillträde till alla lokaler som tillhör den personuppgiftsansvarige och personuppgiftsbiträdet, inbegripet tillgång till all utrustning och alla andra medel för behandling av personuppgifter (artikel 58.2 f). I skäl 129 till förordningen anges att undersökningsbefogenheten när det gäller tillträde till lokaler bör utövas i enlighet med särskilda krav i medlemsstaternas nationella processrätt, såsom kravet på att inhämta förhandstillstånd från rättsliga myndigheter.
Enligt 43 § c PUL har tillsynsmyndigheten rätt att få tillträde till sådana lokaler som har anknytning till behandlingen av personuppgifter. Tillsynsmyndigheten har dock inte möjlighet att tillgripa tvångsåtgärder. Befogenheten att få tillträde till lokalerna kan därmed sägas vara begränsad av den personuppgiftsansvariges eller biträdets samarbetsvilja, precis som tillgången till information. Vid genomförandet av dataskyddsdirektivet ansågs det olämpligt med regler som innebär att myndigheten skulle få genomdriva sina rättigheter med t.ex. polishjälp, eftersom det skulle kunna leda till ett större intrång i den personliga integriteten än det intrång som myndighetens tillsynsverksamhet syftar till att förebygga. Risken för att tillsynsmyndigheten skulle förbjuda fortsatt behandling av personuppgifter ansågs medföra att de personuppgiftsansvariga blir tillräckligt benägna att ge myndigheten det underlag den behöver (prop. 1997/98:44 s. 101-102).
Dataskyddsförordningen ger, i likhet med personuppgiftslagen, tillsynsmyndigheten en rätt att få tillträde till en personuppgiftsansvarigs eller ett personuppgiftsbiträdes lokaler. Centrala studiestödsnämnden efterfrågar ett klargörande om det föreligger en rätt att genomföra platsundersökningar med tvång även om det inte införs några särskilda nationella regler om detta. Regeringens bedömning är att så inte är fallet. Det kan dock konstateras att en undersökning av lokalerna i de allra flesta fall bör kunna ske med innehavarens medgivande. I vart fall torde risken för att tillsynsmyndigheten annars beslutar om tillfälligt förbud mot behandlingen, med stöd av artikel 58.2 f i dataskyddsförordningen, medföra att innehavaren ger tillsynsmyndigheten det tillträde den har rätt till enligt artikel 58.1 f. Detta gäller i synnerhet då en underlåtelse att rätta sig efter ett föreläggande eller att ge tillsynsmyndigheten tillgång till uppgifter kan medföra att administrativa sanktionsavgifter tas ut enligt artikel 83.5 e. Av utredningen framgår att tvångsåtgärder hittills aldrig behövts och det finns inget skäl att anta att sådana kommer att behövas när dataskyddsförordningen börjar tillämpas.
I likhet med utredningen anser regeringen därför att det inte behövs några bestämmelser som ger tillsynsmyndigheten möjlighet att tillgripa tvångsåtgärder för att genomföra en platsundersökning. Till skillnad från Kammarrätten i Göteborg kan regeringen inte se att dataskyddsförordningen skulle kräva att sådana tvångsåtgärder införs.
17.3.5 Ansökan till domstol om tillsynsåtgärd
Regeringens bedömning: Det saknas för närvarande skäl att ge tillsynsmyndigheten möjlighet att ansöka hos förvaltningsrätten om att en tillsynsåtgärd ska vidtas, i stället för att själv besluta om åtgärden.
Utredningens förslag överensstämmer inte med regeringens bedömning. Utredningen föreslår att tillsynsmyndigheten ska få ansöka hos allmän förvaltningsdomstol om att en åtgärd enligt artikel 58.2 i dataskyddsförordningen ska vidtas, om tillsynsmyndigheten vid handläggningen av ett ärende finner att det finns skäl att ifrågasätta giltigheten av en unionsrättsakt som påverkar tillämpningen av dataskyddsförordningen i ärendet.
Remissinstanserna: Det stora flertalet remissinstanser tillstyrker utredningens förslag eller har inga synpunkter på det. Kammarrätten i Stockholm anser att bestämmelsen utgör en helt ny företeelse i svensk rätt och att det behöver utvecklas hur förfarandet är tänkt att fungera. Riksdagens ombudsmän ifrågasätter behovet av ett särskilt förfarande och anser att utredningen föreslår ett nytt och för nationellt vidkommande främmande processuellt institut, vars konsekvenser inte har analyserats och belysts i tillräcklig utsträckning. Förvaltningsrätten i Jönköping och Uppsala universitet framför liknande invändningar. Kammarrätten i Göteborg noterar att den föreslagna bestämmelsen förefaller ha ett snävare tillämpningsområde än vad artikel 58.5 i dataskyddsförordningen ger uttryck för.
Skälen för regeringens bedömning: Tillsynsmyndigheten ska enligt artikel 58.5 i dataskyddsförordningen ha befogenhet att bl.a. inleda eller på övrigt vis delta i rättsliga förfaranden, för att verkställa bestämmelserna i förordningen. En motsvarande bestämmelse finns i artikel 28.3 tredje strecksatsen i dataskyddsdirektivet, men berördes inte vid genomförandet av direktivet i svensk rätt.
EU-domstolen har, i det mål som gällde giltigheten av kommissionens beslut att de så kallade Safe Harbor-principerna säkerställde ett adekvat skydd för personuppgifter som överförs till USA, klargjort att bestämmelsen i dataskyddsdirektivet kan innebära ett krav på kompletterande processuella bestämmelser i nationell rätt (dom Schrems, C-362/14, EU:C:2015:650). I domen konstateras att EU-domstolen är exklusivt behörig att förklara en EU-rättsakt, såsom ett kommissionsbeslut om adekvat skyddsnivå i ett tredjeland, ogiltigt. Nationella domstolar har således inte någon sådan befogenhet, och än mindre de nationella tillsynsmyndigheterna när de utreder om ett kommissionsbeslut är förenligt med skyddet för privatlivet och enskilda personers grundläggande fri- och rättigheter. EU-domstolen konstaterar mot den bakgrunden att om en nationell tillsynsmyndighet anser att det finns fog för en invändning mot behandling av personuppgifter, som har skett med stöd av ett kommissionsbeslut, måste tillsynsmyndigheten ha möjlighet att inleda ett rättsligt förfarande. Enligt EU-domstolen ankommer det på den nationella lagstiftaren att föreskriva rättsmedel som gör det möjligt för tillsynsmyndigheten att vid nationella domstolar göra gällande sådana invändningar. På så sätt kan den nationella domstolen, om den delar myndighetens tvivel angående en unionsrättsakts giltighet, hänskjuta en begäran om förhandsavgörande till EU-domstolen för att pröva rättsaktens giltighet.
I svensk rätt finns det ingen möjlighet för tillsynsmyndigheter att initiera en domstolsprövning i syfte att skapa förutsättningar för ett klargörande från EU-domstolen. Utredningen föreslår mot den bakgrunden att tillsynsmyndigheten ska få ansöka hos allmän förvaltningsdomstol om att en åtgärd enligt artikel 58.2 i dataskyddsförordningen ska vidtas, om den vid handläggningen av ett ärende finner att det finns skäl att ifrågasätta giltigheten av en unionsrättsakt som påverkar tillämpningen av dataskyddsförordningen i ärendet. Vissa remissinstanser, bl.a. Riksdagens ombudsmän, ifrågasätter om det finns behov av att införa en sådan möjlighet.
Lagrådsremissen innehåller förslag till en bestämmelse som i sak överensstämmer med utredningens förslag. Lagrådet påpekar att artikel 58.5 i dataskyddsförordningen har en annan lydelse än artikel 28.3 i dataskyddsdirektivet. I dataskyddsdirektivet anges att tillsynsmyndigheten ska ha befogenhet att inleda rättsliga förfaranden. I förordningen anges i stället att tillsynsmyndigheten ska ha befogenhet att vid behov inleda "eller på övrigt vis delta i" rättsliga förfaranden, något som enligt Lagrådet svarar mot utövandet av en motpartsfunktion. Mot den bakgrunden konstaterar Lagrådet att det inte framstår som klart att dataskyddsförordningen och EU-rätten i övrigt ställer krav på att en domstolsprövning kan komma till stånd genom tillsynsmyndighetens försorg. Lagrådet avstyrker därför den aktuella bestämmelsen. Med beaktande av dessa synpunkter anser regeringen att det för närvarande inte finns tillräckliga skäl att införa en sådan bestämmelse i svensk rätt. Regeringen lämnar därför inget sådant förslag i denna proposition.
17.4 Gemensamma tillsynsinsatser
17.4.1 Tilldelning av befogenheter enligt svensk rätt
Regeringens bedömning: Den svenska tillsynsmyndigheten får, i enlighet med gällande svensk rätt, förordna företrädare för en utländsk myndighet att agera för tillsynsmyndighetens räkning.
Utredningens bedömning överensstämmer med regeringens.
Remissinstanserna instämmer i utredningens bedömning eller yttrar sig inte särskilt om denna.
Skälen för regeringens bedömning: Vid gränsöverskridande personuppgiftsbehandling kommer det att finnas flera behöriga tillsynsmyndigheter. Förordningen reglerar hur samarbetet mellan myndigheterna ska gå till i sådana situationer. Vid behov ska tillsynsmyndigheterna enligt artikel 62 genomföra gemensamma insatser. Enligt första meningen i artikel 62.3 får en tillsynsmyndighet tilldela befogenheter, även utredningsbefogenheter, till ledamöter eller personal från en annan medlemsstats tillsynsmyndighet som deltar i sådana gemensamma insatser. Bestämmelsen innebär att företrädare för en utländsk tillsynsmyndighet kan ges befogenhet att utöva offentlig makt i Sverige, i enlighet med den lagstiftning som gäller för den svenska tillsynsmyndigheten. Detta är enligt regeringens mening inte detsamma som att en förvaltningsuppgift överlåts till en utländsk tillsynsmyndighet. Av bestämmelsen framgår tvärtom tydligt att avsikten är att det är fysiska personer, ledamöter eller personal, som ska kunna tilldelas sådana befogenheter. Den svenska tillsynsmyndigheten kan således förordna företrädare för den andra myndigheten att utföra vissa uppgifter eller att inom ramen för vissa angivna befogenheter annars agera för tillsynsmyndighetens räkning. Enligt gällande svensk rätt är tillsynsmyndigheten fri att besluta om sådana förordnanden, även om det för anställning hade krävts svenskt medborgarskap. Några författningsåtgärder behövs därmed inte för att uppfylla denna del av bestämmelsen.
Enligt den sista meningen i artikel 62.3 ska den som tilldelas befogenheter omfattas av den medlemsstats nationella rätt som gäller för värdlandets tillsynsmyndighet. Det innebär bl.a. att företrädaren för en utländsk tillsynsmyndighet omfattas av offentlighets- och sekretesslagens bestämmelser om tystnadsplikt och att denne kan ställas till ansvar för eventuella tjänstefel.
17.4.2 Medgivande att utöva befogenheter enligt utländsk rätt
Regeringens bedömning: Det bör för närvarande inte införas något bemyndigande som gör det möjligt för tillsynsmyndigheten att medge företrädare för en utländsk tillsynsmyndighet att inom svenskt territorium agera enligt den medlemsstatens lagstiftning.
Utredningens bedömning överensstämmer med regeringens.
Remissinstanserna instämmer i utredningens bedömning eller yttrar sig inte särskilt om denna. Sveriges Radio AB och Sveriges Television AB påpekar att det förekommer många journalistiska samarbeten över landsgränser och att det är av yttersta vikt att svenska journalister kan förlita sig på det svenska grundlagsskyddet och lagar som gäller för journalistisk verksamhet i övrigt i svensk rätt. Att ge utländska tillsynsmyndigheter rätt att agera enligt utländsk lagstiftning på svenskt territorium skulle enligt Sveriges Radio AB och Sveriges Television AB kunna innebära en ökad rättsosäkerhet.
Skälen för regeringens bedömning: Vid gemensamma tillsynsinsatser får tillsynsmyndigheten, enligt första meningen i artikel 62.3 i dataskyddsförordningen, medge företrädare för den deltagande myndigheten att utöva de utredningsbefogenheter som tilldelats dem enligt lagstiftningen i deras egen medlemsstat. I praktiken skulle ett sådant medgivande innebära att en utländsk tillsynsmyndighet får behörighet att agera på svenskt territorium i enlighet med utländsk lagstiftning. Medgivandet skulle därför enligt regeringens bedömning utgöra en överlåtelse av förvaltningsuppgift i regeringsformens mening. I bestämmelsen anges dock att medgivande får lämnas bara om lagstiftningen i värdlandet tillåter det. Tillsynsmyndigheterna har således inte direkt genom dataskyddsförordningen bemyndigats att medge andra medlemsstaters myndigheter rätt att utöva sina egna befogenheter inom värdlandets gränser. Det är i stället den nationella rätten i värdlandet som avgör om myndigheten överhuvudtaget kan vidta en sådan åtgärd.
En möjlighet för tillsynsmyndigheten att tillåta utländska myndighetsföreträdare att inom svenskt territorium utöva befogenheter enligt utländsk lagstiftning, bör enligt regeringens mening införas endast om det finns ett tydligt och uttalat behov som inte kan uppfyllas på något annat sätt. Något sådant behov har inte framkommit. Det bör därför, som utredningen konstaterar, vara tillräckligt att den utländska myndigheten får delta i insatserna i enlighet med dataskyddsförordningens direkt tillämpliga bestämmelser. Det kan noteras att lagstiftaren har gjort liknande bedömningar i andra ärenden rörande gränsöverskridande tillsyn (se t.ex. prop. 2012/13:4 s. 47 och prop. 2015/16:9 s. 191-192).
17.5 Överklagande av tillsynsmyndighetens beslut och av vissa beslut enligt dataskyddslagen
Regeringens förslag: Beslut i enskilda fall om behandling av personuppgifter som rör lagöverträdelser får överklagas till allmän förvaltningsdomstol. Detsamma gäller förvaltningsbeslut om behandling av personuppgifter för arkivändamål av allmänt intresse.
Tillsynsmyndighetens beslut enligt EU:s dataskyddsförordning och dess beslut om sanktionsavgifter enligt dataskyddslagen får överklagas till allmän förvaltningsdomstol. När ett beslut överklagas, är tillsynsmyndigheten motpart i domstolen.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Andra beslut enligt dataskyddslagen får inte överklagas.
Utredningens förslag överensstämmer i huvudsak med regeringens. I utredningens förslag anges inte uttryckligen att tillsynsmyndigheten har ställning som motpart i domstolen.
Remissinstanserna tillstyrker utredningens förslag eller har inga synpunkter på det.
Skälen för regeringens förslag
Överklagande av vissa beslut enligt dataskyddslagen
I avsnitt 11 föreslås att den myndighet som regeringen bestämmer ska ges befogenhet att i enskilda fall fatta beslut om att andra än myndigheter får behandla personuppgifter som rör lagöverträdelser. De förvaltningsbeslut som myndigheten meddelar med stöd av den föreslagna bestämmelsen bör kunna överklagas till allmän förvaltningsdomstol. Prövningstillstånd bör krävas vid överklagande till kammarrätten.
Vidare föreslås i avsnitt 14.1.2 att den myndighet som regeringen bestämmer ska ges befogenhet att i enskilda fall få fastställa rättslig grund för behandling av personuppgifter för arkivändamål av allmänt intresse. På motsvarande sätt föreslås att den myndighet som regeringen bestämmer ska få fatta beslut som tillåter behandling av känsliga personuppgifter för sådana ändamål. Även sådana förvaltningsbeslut bör kunna överklagas till allmän förvaltningsdomstol. Prövningstillstånd bör krävas vid överklagande till kammarrätten.
Överklagande av tillsynsmyndighetens beslut
Enligt artikel 78.1 i dataskyddsförordningen ska varje fysisk eller juridisk person ha rätt till ett effektivt rättsmedel mot ett rättsligt bindande beslut rörande dem som meddelats av en tillsynsmyndighet. I skäl 143 anges att denna rätt även avser beslut om att avvisa eller avslå ett klagomål, men däremot inte sådana åtgärder som inte är rättsligt bindande, såsom tillsynsmyndighetens yttranden eller rådgivning. Rätten till rättsmedel ska inte påverka något annat administrativt prövningsförfarande eller prövningsförfarande utanför domstol. Talan mot en tillsynsmyndighet ska enligt artikel 78.3 väckas vid domstolarna i den medlemsstat där tillsynsmyndigheten har sitt säte.
Rätten till ett effektivt rättsmedel mot myndighetsbeslut tillgodoses i svensk rätt normalt genom möjligheten att överklaga beslutet till allmän förvaltningsdomstol, dvs. till en förvaltningsrätt som första instans. När det gäller beslut som fattas enligt en EU-förordning följer rätten att överklaga av allmänna förvaltningsrättsliga principer. När den nya förvaltningslagen träder i kraft kommer rätten att överklaga att framgå av den lagen. Någon särskild överklagandebestämmelse behövs därmed i och för sig inte i dataskyddslagen när det gäller de beslut som tillsynsmyndigheten fattar enligt dataskyddsförordningen. Däremot behövs det, som regeringen anger i avsnitt 17.1.2, särskilda bestämmelser om rätten att överklaga vissa beslut som personuppgiftsansvariga myndigheter fattar enligt dataskyddsförordningen. Dessutom bör det i lagen föras in en bestämmelse om rätten att överklaga de beslut som tillsynsmyndigheten får meddela enligt dataskyddslagen, dvs. om att ta ut sanktionsavgifter av myndigheter eller vid överträdelser av artikel 10 samt, som framgår av föregående avsnitt, om överklagande av vissa andra beslut enligt lagen (jfr prop. 2017/18:180 s. 254). Mot bakgrund av den förhållandevis komplexa reglering om överklagande som behövs, och med hänsyn till det stora antalet beslutsfattande myndigheter och klagoberättigade parter, anser regeringen att regleringen om överklagande bör vara uttömmande i dataskyddslagen. Således bör även rätten att överklaga tillsynsmyndighetens beslut enligt dataskyddsförordningen uttryckligen anges i dataskyddslagen.
Sammanfattningsvis bör tillsynsmyndighetens beslut enligt dataskyddsförordningen få överklagas till allmän förvaltningsdomstol. Detsamma gäller tillsynsmyndighetens beslut enligt dataskyddslagen om sanktionsavgifter avseende myndigheter eller vid överträdelser av artikel 10. Andra beslut enligt dataskyddslagen än de i detta och föregående avsnitt nämnda, dvs. om sanktionsavgifter och om behandling av personuppgifter som rör lagöverträdelser eller om behandling av personuppgifter för arkivändamål av allmänt intresse, bör inte kunna överklagas. Detta bör tydliggöras genom ett uttryckligt överklagandeförbud i lagen.
Enligt 42 § nya förvaltningslagen får ett beslut överklagas av den som beslutet angår, om det har gått honom eller henne emot. Ett beslut får enligt 41 § nya förvaltningslagen överklagas om beslutet kan antas påverka någons situation på ett inte obetydligt sätt. I 40 § samma lag anges att beslut överklagas till allmän förvaltningsdomstol och att prövningstillstånd krävs vid överklagande till kammarrätten.
Talerätt tillkommer alltså den som beslutet angår, om beslutet har gått denne emot. Den ordningen överensstämmer enligt regeringens bedömning med kravet på rättsmedel enligt artikel 78.1 i dataskyddsförordningen och bör således gälla även för beslut som tillsynsmyndigheten fattar enligt förordningen och dataskyddslagen. I praktiken innebär detta i normalfallet att det är den som beslutet riktas mot, oftast en personuppgiftsansvarig, ett personuppgiftsbiträde eller ett certifieringsorgan, som har rätt att överklaga. Det kan dock inte uteslutas att ett beslut skulle kunna ha rättsligt bindande följder även för andra än den som beslutet riktas mot. Dessa skulle i så fall också ha rätt att överklaga beslutet, enligt förvaltningslagens generella bestämmelse om talerätt.
Enligt svensk rättspraxis rörande personuppgiftslagen är Datainspektionens beslut att inte vidta någon åtgärd med anledning av en anmälan eller att avskriva ett tillsynsärende inte överklagbart (se RÅ 2010 ref. 29). I skäl 143 till dataskyddsförordningen anges dock att tillsynsmyndighetens beslut att avvisa eller avslå ett klagomål ska kunna angripas med ett effektivt rättsmedel. Den som berörs av ett sådant beslut är den enskilde som har lämnat in klagomålet. Vidare anges i artikel 77.2 att tillsynsmyndigheten ska underrätta den enskilde om hur arbetet fortskrider och vad resultatet blir, inbegripet möjligheten till rättslig prövning enligt artikel 78. EU-domstolen har angett att motsvarande bestämmelse i dataskyddsdirektivet (artikel 28.3) innebär att den person som har kommit in med en begäran till tillsynsmyndigheten ska ha tillgång till rättsmedel med vilka han eller hon vid nationella domstolar kan angripa det beslut som gått vederbörande emot (se t.ex. dom Schrems, C-362/14, EU:C:2015:650, punkt 64). Dessa omständigheter talar för att dataskyddsförordningen förutsätter att den enskilde ska ha en generell rätt att överklaga tillsynsmyndighetens beslut att t.ex. inte vidta någon åtgärd med anledning av ett klagomål.
Det finns emellertid också omständigheter som talar emot en sådan tolkning. Enligt artikel 78.1 är det den som beslutet rör som ska ha rätt till ett effektivt rättsmedel. Dessutom ska beslutet vara rättsligt bindande för denne. Ett beslut om att inte vidta några åtgärder med anledning av ett klagomål medför normalt inte några rättsligt bindande följder för den som har lämnat in klagomålet, även om det inte kan uteslutas att det någon gång skulle kunna förekomma, vilket i så fall skulle medföra överklagbarhet och ge talerätt enligt förvaltningslagen. Dessutom skulle en ovillkorlig rätt till domstolsprövning av ett sådant beslut kunna underminera tillsynsmyndighetens oberoende ställning, såsom denna kommer till uttryck i artikel 8.3 i EU:s stadga om de grundläggande rättigheterna och exempelvis artikel 52.1 i dataskyddsförordningen. Enligt artikel 57.1 f i dataskyddsförordningen ska tillsynsmyndigheten behandla klagomål och där så är lämpligt undersöka den sakfråga som klagomålet gäller. Tillsynsmyndigheten har därmed inte någon skyldighet att vidta tillsynsåtgärder eller ens att alltid närmare undersöka sakförhållandena. Tvärtom har tillsynsmyndigheten enligt dataskyddsförordningen, precis som enligt svensk tillsynstradition, ett tydligt utrymme att själv avgöra vilka tillsynsärenden som ska drivas och på vilket sätt det ska ske. Det framgår inte heller uttryckligen av förordningen att tillsynsmyndigheten måste fatta ett formellt beslut i varje klagomåls- eller tillsynsärende.
Sammanfattningsvis anser regeringen, i likhet med utredningen, att det är oklart om dataskyddsförordningen medför att den registrerade har rätt att överklaga tillsynsmyndighetens beslut att inte vidta någon åtgärd med anledning av ett klagomål. Oavsett hur förordningen ska tolkas i detta avseende, krävs det emellertid inte några författningsåtgärder i svensk rätt. Det bör i stället överlämnas till domstolarna att, genom en tolkning av förvaltningslagens generella bestämmelser om överklagande, ta ställning i frågan om svensk rättspraxis alltjämt är relevant eller om dataskyddsförordningen har förändrat rättsläget.
Av dataskyddslagen bör det, som utredningen föreslår, framgå att tillsynsmyndighetens beslut enligt dataskyddsförordningen samt dess beslut om sanktionsavgifter enligt dataskyddslagen får överklagas till allmän förvaltningsdomstol. Av tydlighetsskäl bör det även framgå av bestämmelsen att tillsynsmyndigheten har ställning som motpart i ett sådant mål hos domstolen (jfr 22 kap. 5 § lagen om offentlig upphandling). Vidare bör det anges att prövningstillstånd krävs vid överklagande till kammarrätten. Formerna för överklagande av tillsynsmyndighetens beslut, vilken överklagandefrist som ska gälla, vem som har talerätt m.m., bör inte avvika från förvaltningslagens bestämmelser. Regeringen föreslår därför inga särskilda bestämmelser om detta.
17.6 Ideella organisationer som är verksamma inom dataskyddsområdet
Regeringens bedömning: Endast fysiska personer får agera ombud, men uppdraget att föra den registrerades talan kan ges till en eller flera företrädare för en organisation. Ideella organisationer bör för närvarande inte ges rätt att föra talan i ärenden och mål om behandling av personuppgifter.
Utredningens bedömning överensstämmer med regeringens.
Remissinstanserna: Det stora flertalet remissinstanser instämmer i utredningens bedömning eller kommenterar den inte. Sveriges Television AB påpekar att de registrerade som önskar biträde av en ideell organisation inte på något sätt är förhindrade från att anlita organisationen i fråga, varför den föreslagna lösningen varken stärker eller försvagar skyddet för deras rättigheter. Förvaltningsrätten i Stockholm, som också instämmer i utredningens bedömning, efterlyser dock ytterligare klargörande uttalanden om hur domstolarna förväntas agera. Kammarrätten i Göteborg anser att den möjlighet som enligt gällande rätt finns att ge fullmakt åt en företrädare för en organisation inte uppfyller de krav förordningen ställer. Dataskydd.net är kritiskt mot att utredningen inte gjort någon ansats att förenkla grupptalan.
Skälen för regeringens bedömning
Förordningens reglering
Dataskyddsförordningen innehåller bestämmelser som tar sikte på organ, organisationer eller sammanslutningar som
- bedrivs utan vinstsyfte,
- är inrättade i enlighet med lagen i en medlemsstat,
- vars stadgeenliga mål är av allmänt intresse, och
- är verksamma inom området skydd av registrerades rättigheter och friheter när det gäller skyddet av deras personuppgifter.
Enligt artikel 80.1 ska den registrerade ha rätt att ge en sådan organisation i uppdrag att för hans eller hennes räkning lämna in ett klagomål till tillsynsmyndigheten och att utöva rätten till effektiva rättsmedel. Den registrerade ska också, om så föreskrivs i medlemsstatens nationella rätt, ha rätt att ge den ideella organisationen i uppdrag att för hans eller hennes räkning utöva rätten till ersättning.
I artikel 80.2 anges att medlemsstaterna får föreskriva att en ideell organisation, oberoende av en registrerads mandat, har rätt att ge in klagomål till tillsynsmyndigheten och utöva de rättigheter som avses i artiklarna 78 och 79. Organisationer får däremot inte ges rätt att kräva ersättning på en registrerad persons vägnar utan den registrerades mandat.
Ideella organisationer som ombud för den registrerade
En juridisk person kan enligt gällande svensk rätt inte företräda en enskild i domstol. En ideell organisation kan således inte vara ombud för den registrerade i ett förvaltningsmål eller i ett skadeståndsmål i allmän domstol. Bestämmelserna om rättegångsombud i 12 kap. rättegångsbalken utgår nämligen från förutsättningen att ombudet är en fysisk person. En ideell organisation skulle därmed sannolikt avvisas som ombud i ett skadeståndsmål i allmän domstol. Detsamma gäller sedan den 1 juli 2013 även i mål i allmän förvaltningsdomstol. Bestämmelser om ombud finns bl.a. i 48 och 49 §§ förvaltningsprocesslagen (1971:291) och av förarbetena till den nuvarande lydelsen framgår att det inte längre kommer att vara möjligt att i allmän förvaltningsdomstol använda sig av juridiska personer som ombud eller biträden (prop. 2012/13:45 s. 106-107).
När den nya förvaltningslagen träder i kraft den 1 juli 2018 kommer en juridisk person inte heller att kunna agera ombud i förvaltningsärenden. Detta följer av 14 § i den nya lagen. Den registrerade kan därmed inte ge en ideell organisation i uppdrag att för hans eller hennes räkning lämna in klagomål till tillsynsmyndigheten. Detsamma gäller vid utövande av rätten att hos Justitiekanslern begära skadestånd, när en personuppgiftsansvarig statlig myndighet har orsakat den enskilde skada genom överträdelser av dataskyddsförordningen.
Ett rättegångsombud ska enligt 12 kap. 2 § rättegångsbalken vara lämplig med hänsyn till redbarhet, insikter och tidigare verksamhet. I 48 § förvaltningsprocesslagen och 14 § nya förvaltningslagen anges endast att ombudet ska vara lämpligt för uppdraget. Det finns varken i rättegångsbalken eller i förvaltningsprocesslagen, eller i den nya förvaltningslagen, något krav på att ombudet ska vara advokat eller jurist. Den företrädare för den ideella organisationen som skulle ha fört talan om organisationen själv hade godkänts som ombud kommer därmed normalt att kunna godkännas som ombud för den registrerade (jfr prop. 2002/03:65 s. 167).
Regeringen anser i likhet med utredningen att ett uppdrag som ombud eller biträde bör vara ett personligt uppdrags- och ansvarsförhållande. Även om en ideell organisation skulle få anlitas som ombud skulle det i realiteten vara en fysisk person som för den enskildes talan. Fullmakten till organisationen kan därmed utan olägenhet utformas så att den också omfattar den eller de fysiska personer som faktiskt utför uppdraget. Mot denna bakgrund anser regeringen, till skillnad från Kammarrätten i Göteborg, att den gällande ordningen är förenlig med dataskyddsförordningen och att det saknas skäl att föreslå några bestämmelser som i detta avseende avviker från rättegångsbalken, förvaltningsprocesslagen och den nya förvaltningslagen.
Ideella organisationer ska inte ges talerätt
Medlemsstaterna får enligt dataskyddsförordningen meddela nationella föreskrifter som ger ideella organisationer en självständig talerätt avseende registrerades rättigheter. En sådan talerätt skulle ge dessa organisationer möjlighet att utan den registrerades mandat t.ex. ge in klagomål till tillsynsmyndigheten, om organisationen anser att den registrerades rättigheter har kränkts.
En liknande ordning gäller enligt svensk rätt i fråga om kränkningar i form av diskriminering. Enligt 6 kap. 2 § diskrimineringslagen får en ideell förening som enligt sina stadgar har att ta till vara sina medlemmars intressen och som inte är en arbetstagarorganisation, som part föra talan om diskriminering. En förutsättning är dock att den enskilde medger detta. Ett annat exempel som kan nämnas är möjligheten till organisationstalan enligt lagen (2002:599) om grupprättegång. I 5 § i den lagen anges att organisationstalan får väckas av en ideell förening som i enlighet med sina stadgar tillvaratar konsument- eller löntagarintressen i tvister mellan konsumenter och en näringsidkare om någon vara, tjänst eller annan nyttighet som näringsidkaren erbjuder till konsumenter.
När det gäller skyddet för den personliga integriteten har det under senare år blivit vanligare med ideella organisationer som är verksamma inom dataskyddsområdet. I Sverige är dock denna typ av verksamhet än så länge liten. För närvarande anser regeringen, i likhet med utredningen, att det inte finns skäl att på detta område införa särskilda bestämmelser om talerätt för ideella organisationer. Beroende på hur den ideella sektorn utvecklas är det dock inte uteslutet att det i framtiden kan komma att finnas skäl att återkomma till denna fråga.
17.7 Parallella domstolsförfaranden
Regeringens bedömning: En svensk domstol kan förklara ett mål vilande, om ett förfarande rörande samma sakfråga pågår i en domstol i en annan medlemsstat. Däremot kan domstolen enligt svensk rätt inte förklara sig obehörig att handlägga målet.
Utredningens bedömning överensstämmer med regeringens.
Remissinstanserna: Kammarrätten i Göteborg anser att det kan behövas kompletterande svenska bestämmelser på detta område. Förvaltningsrätten i Stockholm anser att förordningen med direkt effekt ger domstolarna en möjlighet att i ett enskilt fall förklara sig obehörig. Övriga remissinstanser framför inga invändningar mot utredningens bedömning i denna del.
Skälen för regeringens bedömning: Om en behörig domstol i en medlemsstat har information om att ett förfarande pågår i en domstol i en annan medlemsstat rörande samma sakfråga och samma personuppgiftsansvarig eller personuppgiftsbiträde, ska den förstnämnda domstolen enligt artikel 81.1 i dataskyddsförordningen kontakta den andra domstolen för att få det bekräftat. I artikel 81.2 anges att om förfaranden som rör samma sakfråga och samma personuppgiftsansvarig eller personuppgiftsbiträde pågår i en domstol i en annan medlemsstat, får alla andra behöriga domstolar än den där förfarandet först inleddes vilandeförklara förfarandena. Om ett förfarande prövas i första instans får domstolen, utom den domstol vid vilken förfarandena först inleddes, enligt artikel 81.3 förklara sig obehörig på begäran av en av parterna. Detta gäller under förutsättningen att den domstol vid vilken förfarandet först inleddes är behörig att pröva de berörda förfarandena och dess lagstiftning tillåter förening av dessa.
I skäl 144 till förordningen anges att förfarandena ska anses vara relaterade, om de är så nära förenade att en gemensam handläggning och dom är påkallad för att undvika att oförenliga domar meddelas.
I 32 kap. 5 § rättegångsbalken finns en bestämmelse som innebär att rätten får förklara ett mål vilande, om det för prövning av målet är av synnerlig vikt att en fråga som är föremål för annan rättegång eller behandling i annan ordning först avgörs. Någon motsvarighet till denna bestämmelse finns inte i förvaltningsprocesslagen. Det innebär dock inte att förvaltningsdomstolar är förhindrade att förklara ett mål vilande av motsvarande skäl. Vid införandet av förvaltningsprocesslagen ansågs detta tvärtom så självklart att lagtexten inte behövde belastas med någon hänvisning till rättegångsbalken (prop. 1971:30 del 2 s. 600). Möjligheten till vilandeförklaring har inte bara utnyttjats när flera relaterade mål förekommit i samma domstol eller i olika svenska domstolar, utan har också använts för att invänta EU-domstolens dom i ett annat mål avseende en för målet central rättsfråga (se t.ex. RÅ 2005 ref. 33 och Kammarrätten i Stockholms dom den 22 augusti 2014 i mål nr 1724-13).
Sedan den 1 juli 2013 får Högsta förvaltningsdomstolen enligt 36 a § förvaltningsprocesslagen meddela prövningstillstånd som begränsas till att gälla en viss fråga eller en viss del av målet. I avvaktan på att prövning sker i enlighet med ett sådant begränsat prövningstillstånd får Högsta förvaltningsdomstolen förklara frågan om meddelande av prövningstillstånd rörande målet i övrigt helt eller delvis vilande. Med anledning av ett påpekande under remissbehandlingen från Högsta förvaltningsdomstolens ledamöter underströks i förarbetena att den omständigheten att denna typ av vilandeförklaring numera uttryckligen regleras i förvaltningsprocesslagen inte inskränker allmän förvaltningsdomstols möjligheter att även i andra sammanhang vilandeförklara mål (prop. 2012/13:45 s. 139).
Mot bakgrund av att förvaltningsdomstolarna redan på grundval av förvaltningsprocessrättsliga principer och praxis kan förklara mål vilande när ett mål rörande samma sakfråga pågår i en annan domstol, även en utländsk sådan, finns det inte skäl att införa några särskilda bestämmelser i svensk rätt med anledning av artikel 81.2 i dataskyddsförordningen. Hur sådana situationer ska hanteras i praktiken får lämnas till domstolarna att avgöra.
Möjligheten för en domstol att förklara sig obehörig på begäran av en av parterna, enligt artikel 81.3, förutsätter dels att den domstol där förfarandet först inleddes är behörig att göra prövningen, dels att dess lagstiftning tillåter förening av förfarandena.
Enligt 7 § förvaltningsprocesslagen kan ett mål överlämnas till en annan domstol om domstolen finner att den saknar behörighet att handlägga målet men att en annan motsvarande domstol skulle vara behörig. Vidare följer det av 8 a och 14 §§ lagen (1971:289) om allmänna förvaltningsdomstolar att mål under vissa omständigheter kan överlämnas, om det vid mer än en förvaltningsrätt eller kammarrätt förekommer mål som har nära samband med varandra. Det finns däremot för närvarande inte några bestämmelser i svensk förvaltningsprocessrätt som möjliggör för en domstol att förklara sig obehörig att handlägga ett mål på den grunden att det vid en utländsk domstol förekommer ett mål som rör samma sakfråga. I artikel 81.3 i dataskyddsförordningen anges dock endast att domstolen får förklara sig obehörig. Till skillnad från Kammarrätten i Göteborg instämmer därför regeringen i utredningens bedömning att förordningen i detta avseende inte är tvingande och att det därmed inte finns någon skyldighet för medlemsstaterna att införa processrättsliga bestämmelser som möjliggör ett sådant överlämnade. Regeringen ser heller inte något annat skäl till att införa en sådan ordning. Huruvida bestämmelsen i dataskyddsförordningen ger domstolarna en möjlighet att utan stöd av nationella bestämmelser förklara sig obehörig, som Förvaltningsrätten i Stockholm menar, överlämnas till domstolarna att bedöma.
18 Ikraftträdande- och övergångsbestämmelser
Regeringens förslag: Dataskyddslagen träder i kraft den 25 maj 2018.
Genom lagen upphävs personuppgiftslagen.
I stället för vad som sägs i den bestämmelse i dataskyddslagen som utsträcker dataskyddsförordningens tillämpningsområde, ska personuppgiftslagen fortsätta att gälla i sådan verksamhet hos Försvarsmakten, Försvarets radioanstalt och Totalförsvarets rekryteringsmyndighet som inte omfattas av unionsrätten.
Personuppgiftslagen gäller fortfarande vid behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten.
Personuppgiftslagen gäller fortfarande i den utsträckning som det i en annan lag eller en förordning finns bestämmelser som innehåller hänvisningar till den.
Personuppgiftslagen gäller fortfarande för överklagande av beslut som har meddelats med stöd av den lagen.
Personuppgiftslagens straffbestämmelse gäller fortfarande för överträdelser som har skett före ikraftträdandet.
Sådana beslut i enskilda fall avseende behandling av personuppgifter som rör lagöverträdelser och som har meddelats med stöd av personuppgiftslagen gäller fortfarande.
Utredningens förslag överensstämmer delvis med regeringens. Utredningen föreslår inte några särskilda bestämmelser av övergångskaraktär för sådan verksamhet hos försvarsmyndigheterna som inte omfattas av unionsrätten eller för behöriga myndigheter som omfattas av det nya dataskyddsdirektivet. Utredningen föreslår inte heller någon övergångsbestämmelse rörande beslut i enskilda fall avseende behandling av personuppgifter som rör lagöverträdelser. Däremot föreslår utredningen att personuppgiftslagen fortfarande ska gälla för ärenden hos Datainspektionen som har inletts men inte avgjorts före ikraftträdandet samt i fråga om skadestånd för skada som har orsakats före ikraftträdandet.
Remissinstanserna: Det stora flertalet remissinstanser tillstyrker utredningens förslag eller har inga synpunkter på det. Hovrätten för Västra Sverige, Förvaltningsrätten i Malmö, Datainspektionen, Pensionsmyndigheten, Länsstyrelsen i Kronobergs län, Länsstyrelsen i Skåne, Länsstyrelsen i Östergötlands län, Centrala studiestödsnämnden och Bolagsverket invänder mot utredningens förslag att personuppgiftslagen ska fortsätta gälla i den utsträckning som det i en annan lag eller förordning finns bestämmelser som innehåller hänvisningar till den lagen (punkt 3 i utredningens förslag) samt påpekar att dataskyddsförordningen ska tillämpas från och med den 25 maj 2018. Hovrätten för Västra Sverige anser att övergångsbestämmelsen bör ange att bestämmelserna i dataskyddsförordningen ska tillämpas i stället för bestämmelserna i personuppgiftslagen. Pensionsmyndigheten föreslår att övergångsbestämmelsen ska ange att personuppgiftslagen ska tillämpas så länge dess bestämmelser inte står i strid med förordningen. Länsstyrelsen i Skåne län anser att det i vart fall ska införas en slutlig gräns för hur länge personuppgiftslagen ska fortsätta att tillämpas. Försäkringskassan och Göteborgs universitet efterfrågar ett resonemang kring eventuella normkonflikter som skulle kunna uppstå om personuppgiftslagen fortsätter att gälla. Datainspektionen invänder mot förslaget att personuppgiftslagen ska gälla för ärenden hos Datainspektionen som har inletts men inte avgjorts före ikraftträdandet (punkt 4 i utredningens förslag) och anser att dataskyddsförordningen ska tillämpas även om ärendet inletts före den 25 maj 2018. Datainspektionen invänder även mot förslaget att äldre föreskrifter ska gälla för överträdelser som skett före ikraftträdandet (punkt 7 i utredningens förslag) och menar att utredningen inte visat att det i detta fall är möjligt att frångå gällande bestämmelser rörande principen om lindrigaste lag. Förvaltningsrätten i Malmö invänder mot uttrycket äldre föreskrifter och påpekar att detta även skulle kunna omfatta exempelvis registerförfattningar (punkterna 4-7 i utredningens förslag). Försvarsmakten anser att det bör införas ytterligare en övergångsbestämmelse som innebär att personuppgiftslagen fortsatt ska gälla för de delar av Försvarsmaktens verksamhet som är av betydelse för Sveriges säkerhet. Försvarets radioanstalt anser att det bör införas en övergångsbestämmelse som innebär att personuppgiftslagen ska fortsätta att gälla för myndighetens informationssäkerhetsverksamhet. Svensk Försäkring anser att en övergångsbestämmelse bör övervägas som klargör att nu gällande tillstånd att behandla personuppgifter som rör lagöverträdelser gäller även fortsättningsvis.
Skälen för regeringens förslag
Ikraftträdande
Av artikel 99 i dataskyddsförordningen följer att förordningen trädde i kraft den 25 maj 2016. Förordningen ska enligt samma artikel tillämpas från och med den 25 maj 2018. Av skäl 171 framgår att pågående behandling bör ha bringats i överensstämmelse med förordningen under denna tvåårsperiod.
Dataskyddslagen bör träda i kraft den dag dataskyddsförordningen börjar tillämpas, dvs. den 25 maj 2018. Samtidigt bör personuppgiftslagen upphöra att gälla (jfr avsnitt 5.1).
Viss verksamhet som inte omfattas av unionsrätten
Dataskyddsförordningen ska enligt artikel 2.2 a inte tillämpas vid behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten, t.ex. i verksamhet som rör nationell säkerhet. I avsnitt 6.1 föreslår regeringen emellertid att förordningen och dataskyddslagen ska gälla även i sådan verksamhet. Detta ska dock inte gälla i verksamhet som omfattas av bl.a. lagen om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst samt lagen om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet. Båda dessa författningar är för närvarande föremål för översyn av en särskild utredare (dir. 2017:42). Utredaren ska enligt kommittédirektiven bl.a. analysera vilket utrymme det finns för nationell reglering av den personuppgiftsbehandling i Försvarsmakten och Försvarets radioanstalt som i dag regleras i personuppgiftslagen, och utifrån den analysen bedöma om behandlingen helt eller delvis bör regleras särskilt.
Viss behandling av personuppgifter som sker hos Totalförsvarets rekryteringsmyndighet regleras av lagen (1998:938) respektive förordningen (1998:1229) om behandling av personuppgifter om totalförsvarspliktiga. Även dessa författningar är för närvarande föremål för översyn. I Totalförsvarsdatautredningens betänkande (SOU 2017:97) analyseras bl.a. om fler personalkategorier än de totalförsvarspliktiga ska ingå i särlagstiftningen samt om annan personuppgiftsbehandling som förekommer hos myndigheten bör omfattas av den nya regleringen (dir. 2016:103). Remissbehandling av betänkandet pågår.
De aktuella författningarna reglerar bara vissa delar av den behandling av personuppgifter som sker hos Försvarsmakten, Försvarets radioanstalt och Totalförsvarets rekryteringsmyndighet. I övrigt gäller personuppgiftslagen. Som framgår ovan kan dock den pågående översynen komma att leda till att författningarnas tillämpningsområden utvidgas till att även avse viss behandling som i dag regleras av personuppgiftslagen. Mot den bakgrunden anser regeringen, i likhet med Försvarsmakten och Försvarets radioanstalt, att det behövs en särskild reglering som medför att personuppgiftslagen fortsätter att gälla, i stället för dataskyddsförordningen och dataskyddslagen, i sådan verksamhet hos Försvarsmakten, Försvarets radioanstalt och Totalförsvarets rekryteringsmyndighet som inte omfattas av unionsrätten. Vid behandling av personuppgifter som sker i verksamhet som omfattas av unionsrätten är dock dataskyddsförordningen direkt tillämplig fr.o.m. den 25 maj 2018 även hos dessa myndigheter.
Förslag till övergångsbestämmelser som i sak överensstämmer med regeringens förslag har beretts med Säkerhetspolisen, Datainspektionen, Säkerhets- och integritetsskyddsnämnden, Försvarsmakten, Försvarets radioanstalt, Totalförsvarets rekryteringsmyndighet och Myndigheten för samhällsskydd och beredskap, som inte framför några invändningar.
Mot bakgrund av det anförda bör det införas en bestämmelse som anger att, i stället för vad som sägs i den bestämmelse i dataskyddslagen som utsträcker dataskyddsförordningens tillämpningsområde, ska personuppgiftslagen fortsätta att gälla i sådan verksamhet hos Försvarsmakten, Försvarets radioanstalt och Totalförsvarets rekryteringsmyndighet som inte omfattas av unionsrätten. Bestämmelsen är av övergångskaraktär och ska upphävas i samband med att den anpassade regleringen om behandling av personuppgifter i dessa myndigheters verksamhet träder i kraft.
Verksamhet som omfattas av det nya dataskyddsdirektivet
Dataskyddsförordningen ska enligt artikel 2.2 d inte tillämpas på behandling av personuppgifter som behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. Sådan behandling omfattas i stället av det nya dataskyddsdirektivet, som ska vara genomfört i nationell rätt senast den 6 maj 2018.
Arbetet med att anpassa svensk lagstiftning till den nya EU-regleringen är mycket omfattande och delvis mycket komplicerat. Detta gäller i hög grad genomförandet av det nya dataskyddsdirektivet, som i huvudsak ska ske genom införandet av en ny ramlag, brottsdatalagen. Denna ramlag ska kompletteras genom anpassningar i de brottsbekämpande myndigheternas registerförfattningar. Regeringen kan konstatera att all den lagstiftning som ska genomföra direktivet inte kommer att träda i kraft i tid. För de behöriga myndigheter som i dag har en registerförfattning bör detta inte utgöra något praktiskt problem, eftersom de nuvarande författningarna till stor del uppfyller de nya kraven (se även följande avsnitt om författningar som hänvisar till personuppgiftslagen). För de behöriga myndigheter som inte omfattas av någon registerförfattning, kommer det däremot inte att finnas någon tillämplig dataskyddsreglering då personuppgiftslagen upphävs, eftersom dessa myndigheter enligt artikel 2.2 d i dataskyddsförordningen inte ska tillämpa förordningen. Mot den bakgrunden anser regeringen, i likhet med vad som anförs av Utredningen om 2016 års dataskyddsdirektiv, SOU 2017:29 s. 655-657, att det behövs en övergångsreglering som ger rättsligt stöd för personuppgiftsbehandling på direktivets område under den tid som lagstiftningsarbetet med en ny ramlag på direktivets område pågår. Några invändningar mot Utredningen om 2016 års dataskyddsdirektivs bedömning i denna del har inte framförts vid remissbehandlingen av betänkandet (Ju2017/03283/L4). Det bör därför införas en bestämmelse som anger att personuppgiftslagen fortfarande gäller för sådan behandling av personuppgifter som avses i artikel 2.2 d i EU:s dataskyddsförordning, i den ursprungliga lydelsen. Bestämmelsen, som är av övergångskaraktär, ska sedan upphävas i samband med att den nya ramlagen träder i kraft.
Hänvisningar till personuppgiftslagen
Hänvisningar till personuppgiftslagen förekommer i ett stort antal författningar. Eftersom dataskyddsförordningen är direkt tillämplig från och med den 25 maj 2018 och personuppgiftslagen samtidigt kommer att upphävas är det naturligtvis angeläget att dessa författningar så snart som möjligt ändras och anpassas till förordningen. Alltsedan förordningen antogs har det därför pågått ett intensivt arbete, i en rad utredningar och inom samtliga departement, med att analysera vilka ändringar i lagar och förordningar som behövs eller är lämpliga med anledning av dataskyddsförordningen. Parallellt med detta pågår arbetet med att genomföra det nya dataskyddsdirektivet. Arbetet med att anpassa svensk lagstiftning till den nya EU-regleringen är mycket omfattande och delvis mycket komplicerat. Regeringen kan nu konstatera att detta arbete inte kommer att vara helt avslutat den 25 maj 2018. När personuppgiftslagen upphör att gälla kommer det således fortfarande att finnas ett antal författningar med hänvisningar till personuppgiftslagen som ännu inte har hunnit ändras.
I huvudsak förekommer det två olika slag av så kallade registerförfattningar. Det vanligaste är att sådana författningar gäller utöver personuppgiftslagen, vilket innebär att personuppgiftslagen gäller om inte annat anges i den särskilda författningen. Det finns dock även registerförfattningar som gäller i stället för personuppgiftslagen. I båda dessa fall innehåller författningarna hänvisningar till personuppgiftslagen eller till vissa bestämmelser i denna.
Således anges t.ex. i studiestödsdatalagen att personuppgiftslagen tillämpas vid behandling av personuppgifter i Centrala studiestödsnämndens studiestödsverksamhet, i den mån den lagen innehåller bestämmelser om behandling av personuppgifter som saknar motsvarighet i studiestödsdatalagen. I patientdatalagen anges på motsvarande sätt att personuppgiftslagen gäller om inte annat följer av patientdatalagen eller föreskrifter som meddelats med stöd av den lagen. Utlänningsdatalagen (2016:27) och polisdatalagen utgör däremot exempel på författningar som gäller i stället för personuppgiftslagen. Enligt dessa författningar ska endast vissa särskilt angivna bestämmelser i personuppgiftslagen tillämpas. Det finns också författningar om behandling av personuppgifter som är heltäckande och därmed fristående från personuppgiftslagen. Lagen om behandling av personuppgifter inom Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst och lagen om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet är exempel på sådana författningar.
Författningar som hänvisar till personuppgiftslagen innehåller bestämmelser som specificerar, kompletterar eller gör undantag från personuppgiftslagen. När dataskyddsförordningen börjar tillämpas kommer dessa bestämmelser i praktiken i stället att utgöra kompletterande bestämmelser till förordningen. Eftersom vissa författningar som hänvisar till personuppgiftslagen inte kommer att hinna ändras innan dataskyddsförordningen ska börja tillämpas, kommer sådana författningar fortfarande att hänvisa till personuppgiftslagen vid denna tidpunkt. Det finns ett behov av att klargöra hur sådana hänvisningar ska tolkas, eftersom det annars kan uppstå tillämpningsproblem. I värsta fall skulle författningar med hänvisningar till personuppgiftslagen kunna tolkas som att personuppgiftsbehandlingen delvis är oreglerad, med brister i integritetsskyddet som följd. Regeringen delar därför utredningens bedömning om att det behövs någon form av övergångsreglering.
Utredningen föreslår att personuppgiftslagen ska fortsätta gälla i den utsträckning som det i en annan lag eller förordning finns bestämmelser som innehåller hänvisningar till den lagen. Denna typ av övergångsbestämmelse används även i den nya förvaltningslagen. Några remissinstanser, bl.a. Hovrätten för Västra Sverige, Datainspektionen och Pensionsmyndigheten, invänder mot utredningens förslag och påpekar att dataskyddsförordningen ska tillämpas från och med den 25 maj 2018. Ett par remissinstanser, bl.a. Göteborgs universitet, förutser normkonflikter.
Regeringen kan dock konstatera att de sektorsspecifika författningarna som det nu är fråga om i princip uteslutande avser sådan behandling av personuppgifter som utförs på grundval av rättsliga förpliktelser, uppgifter av allmänt intresse eller som ett led i myndighetsutövning. På dessa områden har medlemsstaterna enligt dataskyddsförordningen i stort sett samma utrymme att införa eller behålla nationella bestämmelser om behandlingen som enligt dataskyddsdirektivet. Bestämmelserna i personuppgiftslagen som de sektorsspecifika författningarna hänvisar till motsvaras också i allt väsentligt av bestämmelser i dataskyddsförordningen. Mot denna bakgrund bedömer regeringen att risken är mycket liten för att normkonflikter ska uppstå under den korta tid som övergångsbestämmelsen behövs. Däremot finns det i dataskyddsförordningen bestämmelser som saknar motsvarighet i personuppgiftslagen, t.ex. rörande anmälan av personuppgiftsincidenter, krav på konsekvensbedömning och sanktionsavgifter. Dessa bestämmelser ska givetvis tillämpas från och med den 25 maj 2018, även om behandlingen också omfattas av bestämmelser i en registerförfattning som hänvisar till personuppgiftslagen. Någon normkonflikt uppstår inte heller i dessa avseenden. Det finns mot denna bakgrund inte skäl att, som Pensionsmyndigheten föreslår, uttryckligen ange i övergångsbestämmelsen att personuppgiftslagen ska tillämpas endast så länge dess bestämmelser inte står i strid med förordningen.
Regeringen har övervägt om övergångsbestämmelsen bör utformas på det sätt som Hovrätten för Västra Sverige förordar, dvs. att bestämmelserna i dataskyddsförordningen ska tillämpas i stället för de bestämmelser i personuppgiftslagen som en viss hänvisning avser. Regeringen anser emellertid att den typen av bestämmelser bör undvikas (Gröna boken - Riktlinjer för författningsskrivning, Ds 2014:1 s. 111-112). Vidare anser regeringen att det saknas skäl att tidsbegränsa övergångsbestämmelsens giltighet, som Länsstyrelsen i Skåne län föreslår, eftersom denna med automatik kommer att sakna betydelse när samtliga författningar som innehåller hänvisningar till personuppgiftslagen har ändrats.
Sammanfattningsvis anser regeringen således, i likhet med utredningen, att det bör införas en övergångsbestämmelse som anger att personuppgiftslagen fortfarande gäller i den utsträckning som det i en annan lag eller en förordning finns bestämmelser som innehåller hänvisningar till den lagen.
Ärendehandläggning och överklagande av beslut
En utgångspunkt i förordningen är som nämns ovan att behandling som pågår den dag då förordningen börjar tillämpas ska ha bringats i överensstämmelse med förordningen. Personuppgiftsansvariga och personuppgiftsbiträden får därför förutsättas ha ordnat sin behandling så att exempelvis en begäran om information från en registrerad som inkommit men inte hunnit besvaras före den 25 maj 2018 kan tillmötesgås i enlighet med förordningens bestämmelser. Även tillsynsmyndighetens verksamhet bör i möjligaste mån ha anpassats till förordningens regelverk vid denna tidpunkt.
Tillsynsärenden kan dock pågå under en längre tid och det är inte självklart att tillsynsmyndigheten helt kan styra över när underlaget är så fullständigt att beslut i ärendet kan fattas. Utredningen föreslår mot denna bakgrund en övergångsbestämmelse om att ärenden som har inletts hos Datainspektionen före ikraftträdandet av dataskyddslagen men som vid den tidpunkten ännu inte har avgjorts, ska handläggas enligt personuppgiftslagen.
Datainspektionen invänder dock mot detta förslag och anför att behandling av personuppgifter i de allra flesta fall är en pågående aktivitet samt att pågående behandling ska bedömas enligt regleringen i dataskyddsförordningen från och med den 25 maj 2018. Regeringen bedömer mot denna bakgrund att det inte finns skäl att införa någon sådan övergångsbestämmelse som utredningen föreslår. Det bör dock noteras att personuppgiftslagen i vissa fall ändå kommer att vara tillämplig även hos Datainspektionen, nämligen vid tillsyn över behandling av personuppgifter som fortfarande regleras av personuppgiftslagen eller författningar som hänvisar till personuppgiftslagen, se föregående avsnitt.
Utredningen föreslår vidare en övergångsbestämmelse om att äldre föreskrifter fortfarande gäller för överklagande av beslut som har meddelats med stöd av personuppgiftslagen. Regeringen anser i likhet med utredningen att en sådan övergångsbestämmelse behövs, vilket inte heller ifrågasätts av remissinstanserna. Som Förvaltningsrätten i Malmö påpekar bör dock uttrycket äldre föreskrifter inte användas, eftersom detta skulle kunna tolkas som att det tar sikte på föreskrifter i andra författningar än den som upphävs genom dataskyddslagen. I stället bör det av övergångsbestämmelsen framgå att den upphävda lagen, dvs. personuppgiftslagen, fortfarande gäller för överklagande av beslut som har meddelats med stöd av den lagen. Motsvarande övergångsbestämmelse bör införas avseende anslutande författningar till personuppgiftslagen, dvs. personuppgiftsförordningen och Datainspektionens föreskrifter.
Skadestånd
I 48 § PUL finns bestämmelser om skadeståndsskyldighet för personuppgiftsansvariga och möjlighet att jämka sådan skadeståndsskyldighet i vissa fall. Genom dataskyddsförordningen utvidgas skadeståndsansvaret till att gälla även personuppgiftsbiträden. Vidare gäller rätten till skadestånd enligt dataskyddsförordningen även vid skada som uppstått på grund av överträdelser av dataskyddslagen och andra föreskrifter som kompletterar dataskyddsförordningen.
Utredningen föreslår en övergångsbestämmelse som anger att äldre föreskrifter om skadestånd fortfarande ska gälla för skada som har orsakats före ikraftträdandet. Det följer emellertid redan av allmänna grundsatser att ny lagstiftning ska gälla i fråga om skadestånd med anledning av skadefall som inträffar efter ikraftträdandet, medan äldre lag ska tillämpas på skadefall som har inträffat dessförinnan (prop. 1972:5 s. 593). Någon särskild övergångsbestämmelse om detta behövs inte. Utredningens förslag i denna del bör därför inte genomföras.
Straffbestämmelsens avskaffande
Eftersom förslaget innebär att den straffrättsliga regleringen upphävs och i praktiken ersätts med sanktionsavgifter, uppkommer frågan om vad som ska gälla för straffbelagda gärningar som har begåtts vid behandling som har upphört före den 25 maj 2018 men där överträdelsen inte har lagförts innan de nya reglerna ska börja tillämpas.
Vid bedömningen av behovet att meddela övergångsbestämmelser för den nu nämnda situationen behöver bestämmelserna i såväl 2 kap. 10 § RF som 5 § andra stycket lagen (1964:163) om införande av brottsbalken beaktas.
I 2 kap. 10 § RF finns ett förbud mot retroaktiv straff- och skattelagstiftning. Förbudet mot retroaktiv skattelag anses analogivis tillämpligt beträffande straffliknande administrativa påföljder. Att ta ut sanktionsavgifter för överträdelser som begåtts före den 25 maj 2018 skulle således kunna strida mot retroaktivitetsförbudet.
Av 5 § andra stycket lagen om införande av brottsbalken framgår att straff ska bestämmas enligt den lag som gällde när gärningen företogs. Detta är dock inte fallet om annan lag gäller när dom meddelas, under förutsättning att den nya lagen leder till frihet från straff eller till lindrigare straff. Denna bestämmelse har enligt förarbetena generell räckvidd, dvs. den gäller även utanför brottsbalkens tillämpningsområde (prop. 1964:10 s. 99). Bestämmelsen ger uttryck för den lindrigaste lagens princip.
Bestämmelserna i dataskyddsförordningen och dataskyddslagen innebär att överträdelser av den gällande dataskyddsregleringen överförs från det straffrättsliga området till ett system med enbart sanktionsavgifter. Formellt sett får sanktionsavgiften anses lindrigare och borde därmed få genomslag bakåt i tiden. Huvudsyftet med dataskyddsförordningens och dataskyddslagens system med kraftfulla sanktionsavgifter är emellertid framför allt att effektivisera sanktionssystemet. Att överträdelser mot dataskyddsregleringen föreslås avkriminaliseras ska inte ses som ett uttryck för att överträdelserna ska bedömas lindrigare än tidigare. Regeringen anser därför, i likhet med utredningen och till skillnad från Datainspektionen, att lindrigaste lagens princip inte gör sig särskilt starkt gällande i detta fall. Det finns därför inte skäl att låta systemet med sanktionsavgifter få retroaktiv effekt. För ett liknande resonemang rörande sanktionsväxling, se prop. 2007/08:107 och prop. 2012/13:143 s. 82. Personuppgiftslagens straffbestämmelse bör i stället tillämpas på överträdelser som skett före dataskyddslagens ikraftträdande.
Beslut om behandling av personuppgifter som rör lagöverträdelser
Av 21 § fjärde stycket PUL och 9 § PUF följer att Datainspektionen får meddela beslut i enskilda fall om undantag från förbudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. I avsnitt 11 föreslår regeringen att den myndighet som regeringen bestämmer på motsvarande sätt ska ges befogenhet att i enskilda fall besluta att andra än myndigheter får behandla sådana uppgifter som avses i artikel 10 i dataskyddsförordningen, dvs. personuppgifter som rör lagöverträdelser. Svensk Försäkring anser att en övergångsbestämmelse bör övervägas som klargör att nu gällande tillstånd att behandla sådana personuppgifter gäller även fortsättningsvis. Regeringen är av samma uppfattning. Det bör således av tydlighetsskäl införas en övergångsbestämmelse till dataskyddslagen som anger att beslut i enskilda fall avseende behandling av personuppgifter som rör lagöverträdelser och som har meddelats med stöd av personuppgiftslagen fortfarande ska gälla.
19 Konsekvenser
19.1 Ekonomiska konsekvenser för det allmänna
Regeringens bedömning: Förslagen innebär att tillsynsmyndigheten och de allmänna förvaltningsdomstolarna får något fler arbetsuppgifter, men kostnadsökningarna kommer inte att bli större än att de ryms inom de befintliga anslagen.
Utredningens bedömning överensstämmer med regeringens.
Remissinstanserna: Det stora flertalet remissinstanser instämmer i utredningens bedömning eller kommenterar den inte. Södertörns tingsrätt anser att det är svårt att närmare se vilka konsekvenser förslaget kommer att få för domstolarna innan det står klart hur domstolarnas registerförfattningar kommer att anpassas. Kammarrätten i Stockholm påpekar att förslagen troligtvis kommer att medföra en ökad måltillströmning. Förvaltningsrätten i Linköping anser att arbetsuppgifterna kommer att öka för förvaltningsrätterna, även om måltillströmningens omfattning i nuläget kan vara svår att uppskatta. Förvaltningsrätten anser att genomförandet av förslaget kommer att bli mer resurskrävande än vad genomförandet av ny lagstiftning normalt sett är och att det därför framstår som mycket tveksamt om genomförandet ryms inom de berörda myndigheternas anslag. Domstolsverket vill framhålla det problematiska i att det inte i något sammanhang görs en samlad bedömning av de konsekvenser som reformen i sin helhet medför. Pensionsmyndigheten instämmer i utredningens bedömning att dataskyddsförordningens direkt tillämpliga bestämmelser och tillhörande nationella regler kan förväntas öka kostnaderna för personuppgiftsansvariga myndigheter. Pensionsmyndigheten anser att det är rimligt, eftersom förordningen leder till ökad rättssäkerhet och förutsebarhet för enskilda. De ökade kostnaderna måste dock enligt Pensionsmyndigheten beaktas när riksdagen och regeringen beslutar om budget och medel för myndigheterna, eftersom annan verksamhet annars konkurreras ut. Kronofogdemyndigheten anser att förslaget om verkställighet av sanktionsavgifter sannolikt medför en viss ökning av Kronofogdens utsökningsärenden och kan därför medföra kostnadsökningar för myndigheten. Centrala studiestödsnämnden anför att nämnden inte kommer att ha några direkta kostnader kopplade till utredningens förslag, vid sidan av den risk som gäller generellt för myndigheterna att påföras sanktionsavgift. Däremot menar nämnden att översynen och anpassningen av verksamhetens system och organisation efter dataskyddsförordningens krav kommer att medföra kostnader för myndigheten. Konkurrensverket bedömer att de nya reglerna kan komma att ha stora och svårförutsägbara konsekvenser för svensk offentlig förvaltning. Konkurrensverket anser att det hade varit värdefullt om reglernas innebörd och konsekvenser för svenska myndigheter hade utretts redan under arbetet med den nya regleringen. Malmö kommun och Piteå kommun anser att dataskyddsförordningen och de kompletterande nationella bestämmelserna kan medföra ökade kostnader, men att flesta kostnaderna är relaterade till genomförandet av dataskyddsförordningen. De anser dock att det finns viss risk för ökade kostnader när det gäller möjligheten att ta ut höga sanktionsavgifter av myndigheter. Stockholms kommun instämmer i bedömningen att det är dataskyddsförordningen och inte det aktuella lagförslaget som kommer att medföra ökad administration och kostnader för kommunen. Skurups kommun anser att det är en brist att utredningen inte har haft i uppdrag att utreda vilka konsekvenser dataskyddsförordningen kommer att innebära för det allmänna.
Skälen för regeringens bedömning: Som flera av remissinstanser påpekar, bl.a. Centrala studiestödsnämnden, Konkurrensverket och Stockholms kommun, står det klart att dataskyddsförordningens direkt tillämpliga bestämmelser kommer att leda till vissa konsekvenser för det allmänna. Förordningens bestämmelser kan bl.a. komma att öka kostnaderna för myndigheter i form av ökad administration och ökade kostnader initialt för anpassning av befintliga it-system. Det kommer också att krävas ökade resurser till utbildningsinsatser och eventuellt nyrekryteringar till tjänster som dataskyddsombud. Konsekvenserna av dataskyddsförordningens direkt tillämpliga bestämmelser behandlas dock inte i detta lagstiftningsärende.
Domstolsverket anser att det är problematiskt att det inte i något sammanhang görs en samlad bedömning av de konsekvenser som reformen i sin helhet medför. Liknande synpunkter lämnas av bl.a. Skurups kommun. Regeringen kan dock konstatera att någon sådan samlad konsekvensanalys inte går att utföra i ett enskilt lagstiftningsärende. Flertalet nationella bestämmelser som kompletterar dataskyddsförordningen kommer att finnas i de sektorsspecifika författningarna om behandling av personuppgifter och det är först när samtliga förslag till anpassningar av dessa författningar har lagts fram som det skulle vara möjligt att göra en samlad bedömning. Värdet av en sådan bedömning skulle dessutom kunna ifrågasättas, eftersom det bara kommer att vara dataskyddslagen som, vid sidan av dataskyddsförordningen, gäller för samtliga myndigheter.
Utredningen bedömer att förslagen medför nya arbetsuppgifter för tillsynsmyndigheten och de allmänna förvaltningsdomstolarna. Flera av dessa nya arbetsuppgifter är emellertid kopplade till utredningens förslag om åtgärder vid tillsynsmyndighetens dröjsmål. Eftersom regeringen inte föreslår att dessa förslag ska genomföras uppstår inga nya arbetsuppgifter för tillsynsmyndigheten och domstolarna i den delen.
Däremot föreslår regeringen, i enlighet med utredningens förslag, att det genom lagen ska införas en möjlighet för tillsynsmyndigheten att påföra en myndighet sanktionsavgifter. I likhet med utredningen anser dock regeringen att sådana beslut får antas bli sällsynta. Det beror dels på att myndigheter i regel kan förväntas anpassa verksamheten efter tillsynsmyndighetens synpunkter utan att det krävs repressiva åtgärder, dels på att sanktionsavgift är den åtgärd som tillsynsmyndigheten bör välja som sista alternativ. Det bör därför inte påverka tillsynsmyndighetens arbetsbörda i någon större utsträckning.
Förslaget innebär även att sanktionsavgifter ska kunna påföras vid överträdelser av artikel 10 i dataskyddsförordningen, dvs. vid behandling av personuppgifter som rör lagöverträdelser. För tillsynsmyndighetens del utgör detta en ny arbetsuppgift i förhållande till vad som följer av dataskyddsförordningen. Regeringen vill dock betona att tillsynsmyndigheten också enligt personuppgiftslagen har möjlighet att vidta åtgärder mot den personuppgiftsansvarige vid behandling av personuppgifter som rör lagöverträdelser. Det bör särskilt noteras att tillsynsmyndigheten enligt personuppgiftslagen har möjlighet att förena förelägganden med vite, en möjlighet som nu försvinner och ersätts med systemet med sanktionsavgifter. Sammanfattningsvis anser regeringen att kostnaderna för tillsynsmyndigheten bör rymmas inom befintliga anslagsramar såvitt avser förslagen i detta lagstiftningsärende. I det sammanhanget kan nämnas att Datainspektionens anslag har ökats med anledning av dataskyddsförordningen (prop. 2017/18:1 utgiftsområde 1, del 9).
Eftersom sanktionsavgifterna kan vara ekonomiskt kännbara är det rimligt att utgå från att inspektionens beslut kommer att överklagas till allmän förvaltningsdomstol i relativt stor utsträckning. Det faktum att sådana beslut mot myndigheter förväntas bli ovanliga innebär dock att även överklagandena bör bli sällsynta. Det är svårt att uppskatta hur vanligt det kommer att bli att tillsynsmyndigheten beslutar om sanktionsavgifter vid överträdelser av artikel 10, men sannolikt kommer det inte bli fråga om särskilt många beslut per år. Däremot kan det antas att dessa mer eller mindre regelmässigt kommer att överklagas till allmän förvaltningsdomstol.
Som nämns ovan har tillsynsmyndigheten enligt personuppgiftslagen möjlighet att förena förelägganden med vite. Vid utdömande av sådana viten krävs domstolsprövning enligt viteslagen. Eftersom möjligheten att vitesförelägga försvinner enligt regeringens förslag, kommer mål om utdömande av sådana viten inte längre att förekomma i allmän förvaltningsdomstol. Med tanke på att tillsynsmyndigheten inte har utnyttjat sin möjlighet att vitesförelägga enligt personuppgiftslagen och det ännu är oklart i vilken mån sanktionsavgifter kommer att tillgripas i motsvarande situationer, kan det dock inte uteslutas att domstolarnas arbetsbelastning ändå kan komma att öka något. Kostnaderna för de allmänna förvaltningsdomstolarna bör emellertid rymmas inom befintliga anslagsramar såvitt avser förslagen i detta lagstiftningsärende.
19.2 Ekonomiska konsekvenser för enskilda
Regeringens bedömning: Förslagen medför inga nya kostnader eller någon ökad administrativ börda för enskilda.
Utredningens bedömning överensstämmer med regeringens.
Remissinstanserna: Det stora flertalet remissinstanser instämmer i utredningens bedömning eller kommenterar den inte. Tillväxtverket ser inte att det finns något som talar emot utredningens bedömning. Företagarna anser att införandet av dataskyddsförordningen kommer att få stora konsekvenser för företag, men att de förslag som utredningen föreslår är en försumbar del av dessa konsekvenser. Företagarna anser att det är viktigt att tillämpningen följs upp så att inte mindre företag slås ut från branscher där det är en omfattande behandling av personuppgifter på grund av kraven på konsekvensbedömningar m.m. Företagarna påpekar vidare att många ideella föreningar kommer att drabbas av ökade krav vad gäller hanteringen av personuppgifter. Småföretagarnas Riksförbund anser att utredningen inte har följt kommittédirektiven beträffande konsekvensbeskrivningar där utredaren särskilt ska ange konsekvenserna för företagen i form av kostnader och administrativa bördor. Vidare menar förbundet att utredningen inte tydligt har redovisat hur förslagen utformats så att företagens administrativa börda inte ökar mer än nödvändigt. Införandet av en ny dataskyddslag är sammankopplat med dataskyddsförordningen och det finns enligt förbundet en stor oro bland landets små företag beträffande denna. För att små företag ska kunna säkerställa att göra rätt uppstår det kostnader för utbildning av personal, utbildning för personuppgiftsbiträde samt översyn och nya rutiner beträffande registerhantering, vilket enligt förbundet borde ha behandlats i konsekvensavsnittet. Några instanser, bl.a. Svenskt friluftsliv, Svenska Brukshundklubben och Villaägarnas riksförbund, anser att det är anmärkningsvärt att lagförslagens inverkan på föreningar och civilsamhället inte nämns av utredningen. Näringslivets regelnämnd anser att utredningens slutsats att förslagen inte medför några kostnader eller någon ökad administrativ börda för företagen är felaktig och att betänkandets konsekvensanalys behöver kompletteras. Nämnden menar bl.a. att negativa konsekvenser för företag som en följd av den befintliga sekretessregleringen hos tillsynsmyndigheten behöver utredas och att alternativet med absolut sekretess behöver övervägas och konsekvensutredas.
Skälen för regeringens bedömning: Som flera av remissinstanser påpekar, bl.a. Företagarna, Småföretagarnas riksförbund, Svenskt friluftsliv och Näringslivets regelnämnd, står det klart att dataskyddsförordningens direkt tillämpliga bestämmelser kommer att leda till vissa konsekvenser för företag, ideella föreningar och andra enskilda organ. Förordningens bestämmelser kan i vissa fall förväntas leda till ökade kostnader för administration och för anpassning av befintliga it-system. Det kommer också att krävas ökade resurser till utbildningsinsatser och eventuellt nyrekryteringar till tjänster som dataskyddsombud. Å andra sidan bedömde EU-kommissionen, i sin konsekvensbedömning av förslaget till dataskyddsförordning, att reformen kommer att stärka den inre marknaden och enbart vad gäller administrativa bördor göra det möjligt för företagen att sammanlagt spara ca 2,3 miljarder euro per år (SEK[2012] 73 final). Oaktat hur det förhåller sig med detta kan regeringen konstatera att konsekvenserna av dataskyddsförordningens direkt tillämpliga bestämmelser inte påverkar behovet, lämpligheten och konsekvenserna av de förslag som lämnas i detta lagstiftningsärende. Dessa konsekvenser redovisas därför inte här.
Av relevans för analysen är vidare endast sådana förslag som medför förändringar för företag och andra enskilda organ, i relation till vad som gäller i dag. De förslag som lämnas i detta lagstiftningsärende medför inga sådana förändringar. Om dataskyddsförordningens direkt tillämpliga bestämmelser leder till en ökad benägenhet att efterleva regelverket som helhet är det givetvis positivt. De eventuella kostnadsökningar som detta medför kan dock inte beaktas, eftersom utgångspunkten måste vara att samtliga aktörer redan följer gällande rätt. Mot denna bakgrund kan regeringen, i likhet med Tillväxtverket, inte se att förslagen i detta lagstiftningsärende leder till några kostnadsökningar eller någon ökad administrativ börda för enskilda.
19.3 Konsekvenser i övrigt
Regeringens bedömning: Förslagen förväntas förbättra skyddet för enskildas personliga integritet. De förväntas inte få några andra konsekvenser.
Utredningens bedömning överensstämmer med regeringens.
Remissinstanserna kommenterar inte utredningens bedömning i denna del.
Skälen för regeringens bedömning: Förslagen innebär bl.a. att det införs särskilda bestämmelser om myndigheternas behandling av känsliga personuppgifter. Avsikten med förslagen i denna del är inte att utvidga möjligheterna till behandling i relation till vad som gäller i dag, utan att i stort sett möjliggöra behandling i motsvarande utsträckning som enligt personuppgiftslagen och personuppgiftsförordningen. Det föreslås dock också ett förbud för myndigheter som behandlar uppgifter med stöd av dessa bestämmelser att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Sökbegränsningen saknar motsvarighet i dag. Regeringen bedömer att det förslaget gynnar enskildas personliga integritet.
Dataskyddsförordningens bestämmelser innebär en förstärkning av enskildas rätt till information och tillgång till personuppgifter jämfört med motsvarande reglering i personuppgiftslagen. De undantag regeringen föreslår från förordningens bestämmelser i detta avseende motsvarar de befintliga undantagen i personuppgiftslagen, trots att mer långtgående undantag i och för sig hade varit möjliga. Regeringen bedömer därför att regleringen sammantaget innebär en förstärkning av skyddet för enskildas personliga integritet.
Vidare bör den föreslagna möjligheten att besluta om sanktionsavgifter mot myndigheter när det gäller felaktig behandling av enskildas personuppgifter öka skyddet för enskildas personliga integritet. Den föreslagna tystnadsplikten för dataskyddsombud innebär slutligen också ett stärkt skydd för den personliga integriteten.
Förslagen kommer att gälla även för personuppgiftsbehandling som sker hos kommuner och landsting, men får inte några särskilda konsekvenser för dessa organ eller för den kommunala självstyrelsen.
Författningsförslagen är könsneutralt utformade och förväntas inte få några konsekvenser för jämställdheten mellan kvinnor och män.
20 Författningskommentar
20.1 Förslaget till lag med kompletterande bestämmelser till EU:s dataskyddsförordning
1 kap. Inledande bestämmelser
1 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Termer och uttryck i denna lag har samma betydelse som i EU:s dataskyddsförordning.
Paragrafen, som har utformats i enlighet med Lagrådets förslag, anger lagens innehåll. Övervägandena finns i avsnitt 5.1.
I första stycket anges att lagen innehåller kompletterande bestämmelser till dataskyddsförordningen. Detta innebär att lagen inte kan tillämpas fristående, utan endast tillsammans med dataskyddsförordningen. Lagen innehåller de kompletterande bestämmelser som gäller på ett generellt plan. Det finns även sektorsspecifika författningar som innehåller bestämmelser som kommer att komplettera dataskyddsförordningen för vissa myndigheter eller inom vissa områden. Som exempel kan nämnas patientdatalagen, studiestödsdatalagen och utlänningsdatalagen. Hänvisningarna i lagen till dataskyddsförordningen är med undantag för 2 § och 6 kap. 2 och 3 §§ dynamiska, dvs. avser förordningen i den vid varje tidpunkt gällande lydelsen.
Av andra stycket framgår att de termer och uttryck som används i lagen ska förstås på samma sätt som i dataskyddsförordningen. Det innebär bl.a. att definitionerna i artikel 4 i dataskyddsförordningen även gäller vid tillämpningen av lagen. Också sådana termer och uttryck som används i dataskyddsförordningen utan att definieras där, ska tolkas och tillämpas på samma sätt när de förekommer i lagen. Som exempel kan nämnas uttrycket tredjeland (se kommentaren till 1 kap. 5 §).
Utvidgad tillämpning av bestämmelserna i EU:s dataskyddsförordning
2 § Bestämmelserna i EU:s dataskyddsförordning, i den ursprungliga lydelsen, och denna lag ska gälla även vid behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten och i verksamhet som omfattas av avdelning V kapitel 2 i fördraget om Europeiska unionen.
Genom paragrafen, som saknar motsvarighet i personuppgiftslagen, utsträcks det materiella tillämpningsområdet för dataskyddsförordningens bestämmelser. Rubriken har utformats enligt Lagrådets förslag, medan paragrafens utformning delvis följer förslaget. Övervägandena finns i avsnitt 6.1.1.
Av paragrafen framgår att dataskyddsförordningens och lagens bestämmelser ska gälla även vid personuppgiftsbehandling som utförs som ett led i en verksamhet som inte omfattas av unionsrätten och i verksamhet som utförs inom ramen för den gemensamma utrikes- och säkerhetspolitiken. Förordningens bestämmelser gäller alltså som svensk rätt även vid personuppgiftsbehandling som utförs i sådan verksamhet som enligt artikel 2.2 a och 2.2 b i dataskyddsförordningen är undantagen från förordningens tillämpningsområde. Verksamhet som inte omfattas av unionsrättens tillämpningsområde är enligt skäl 16 bl.a. verksamhet som rör nationell säkerhet. Som exempel kan nämnas verksamhet på försvarsområdet.
Det finns bestämmelser i förordningen som inte kan tillämpas i rent nationella sammanhang. Som exempel kan nämnas bestämmelserna som rör uppförandekoder och certifiering, till den del de avser kommissionens och Europeiska dataskyddsstyrelsens roll (t.ex. artiklarna 40.11 och 42.8). De bestämmelser som ger kommissionen befogenheter i fråga om överföring till tredjeland (artikel 45) är inte tillämpliga och inte heller bestämmelserna som ålägger kommissionen skyldigheter i fråga om uppföljande åtgärder (artiklarna 97 och 98). Vidare är det inte möjligt att genom nationell rätt ålägga tillsynsmyndigheter i andra länder att samarbeta med den svenska tillsynsmyndigheten. Det är inte heller möjligt att ge Europeiska dataskyddsstyrelsen behörighet att t.ex. utfärda riktlinjer och rekommendationer eller att ge kommissionen rätt att anta delegerade akter inom detta område. Kapitel VII och kapitel X i dataskyddsförordningen är därför inte tillämpliga inom det utsträckta tillämpningsområdet. Hänvisningen till dataskyddsförordningen är statisk, dvs. avser den ursprungliga lydelsen av förordningen.
3 § Bestämmelserna i 2 § gäller inte i verksamhet som omfattas av
1. lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst,
2. lagen (2007:259) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet, eller
3. 6 kap. polisdatalagen (2010:361).
Paragrafen, som saknar motsvarighet i personuppgiftslagen, reglerar undantag från 2 §, som utsträcker dataskyddsförordningens tillämpningsområde. Övervägandena finns i avsnitt 6.1.1.
I paragrafen anges att 2 § inte gäller i verksamhet som omfattas av lagen om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst, lagen om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet eller 6 kap. polisdatalagen. Detta innebär att dataskyddsförordningens och lagens bestämmelser inte gäller i sådan verksamhet.
Även i sektorsspecifika författningar som avser verksamhet utanför dataskyddsförordningens egentliga tillämpningsområde kan det föreskrivas undantag från bestämmelsen i 2 §, se 6 §. Det kan i sådana författningar också anges att endast vissa av dataskyddsförordningens bestämmelser inte ska gälla inom just det området.
4 § Artiklarna 33 och 34 i EU:s dataskyddsförordning tillämpas inte i fråga om personuppgiftsincidenter som ska rapporteras enligt säkerhetsskyddslagen (1996:627) eller föreskrifter som har meddelats i anslutning till den lagen.
Paragrafen, som saknar motsvarighet i personuppgiftslagen, reglerar undantag från 2 §, som utsträcker dataskyddsförordningens tillämpningsområde, när det gäller vissa personuppgiftsincidenter. Övervägandena finns i avsnitt 6.1.2.
Enligt paragrafen ska dataskyddsförordningens bestämmelser i artiklarna 33 och 34 om personuppgiftsincidenter inte tillämpas i fråga om incidenter som ska rapporteras enligt säkerhetsskyddslagen eller föreskrifter som har meddelats i anslutning till den lagen. Detta innebär att sådana incidenter som enligt 10 a § första stycket säkerhetsskyddsförordningen ska anmälas till den myndighet som utövar tillsyn över säkerhetsskyddet, dvs. Försvarsmakten eller Säkerhetspolisen, inte också ska rapporteras till tillsynsmyndigheten enligt dataskyddsförordningen. Vid en sådan incident gäller inte heller skyldigheten enligt dataskyddsförordningen att informera de registrerade.
Lagens territoriella tillämpningsområde
5 § Denna lag gäller vid behandling av personuppgifter som utförs inom ramen för verksamhet som bedrivs vid personuppgiftsansvarigas eller personuppgiftsbiträdens verksamhetsställen i Sverige. Lagen gäller även vid behandling av personuppgifter som utförs av personuppgiftsansvariga som inte är etablerade i Sverige, men på en plats där svensk rätt gäller enligt folkrätten.
Lagen gäller också vid behandling av personuppgifter som utförs av personuppgiftsansvariga eller personuppgiftsbiträden som endast är etablerade i tredjeland, om behandlingen avser registrerade som befinner sig i Sverige och har anknytning till
1. utbjudande av varor eller tjänster till sådana registrerade, eller
2. övervakning av deras beteende i Sverige.
Bestämmelsen i 2 kap. 4 § gäller vid behandling av personuppgifter som avser barn som bor i Sverige, oavsett var de personuppgiftsansvariga eller personuppgiftsbiträdena är etablerade.
I paragrafen, som delvis motsvarar 4 § PUL, finns bestämmelser om lagens territoriella tillämpningsområde. Paragrafen och rubriken har utformats enligt Lagrådets förslag. Övervägandena finns i avsnitt 6.2.
Huvudregeln i första stycket första meningen anger att lagen gäller vid behandling av personuppgifter som utförs inom ramen för verksamhet som bedrivs vid personuppgiftsansvarigas eller personuppgiftsbiträdens verksamhetsställen i Sverige. Det saknar betydelse var den faktiska behandlingen sker. Lagen är däremot, enligt huvudregeln, inte tillämplig vid behandling av personuppgifter som sker endast inom ramen för verksamhet vid ett verksamhetsställe i ett annat land, även om behandlingen avser uppgifter om personer i Sverige och även om den personuppgiftsansvarige också har ett verksamhetsställe i Sverige. Med begreppet verksamhetsställe avses detsamma som i dataskyddsförordningen (jfr skäl 22). Personuppgiftsansvariga och personuppgiftsbiträden bör således anses ha ett verksamhetsställe i Sverige om de bedriver en faktisk och reell verksamhet med hjälp av en stabil struktur här i landet. Det kan t.ex. vara fråga om ett dotterbolag eller en filial, men den rättsliga formen för en sådan struktur bör inte vara en avgörande faktor. Enligt första stycket andra meningen gäller lagen också för personuppgiftsansvariga som inte är etablerade i Sverige, men på en plats där svensk rätt gäller enligt folkrätten. Med detta begrepp avses detsamma som i dataskyddsförordningen (jfr skäl 25). Det innebär exempelvis att behandling av personuppgifter som sker vid svenska utlandsmyndigheter omfattas av lagens bestämmelser.
Genom andra stycket klargörs att lagen under vissa förutsättningar också gäller för personuppgiftsansvariga och personuppgiftsbiträden som endast är etablerade i tredjeland, i den mån dessa behandlar personuppgifter om registrerade som befinner sig i Sverige. Med tredjeland avses detsamma som i dataskyddsförordningen. Andra medlemsstater inom EU utgör således inte tredjeländer i lagens mening. För det fall att dataskyddsförordningen införlivas i avtalet om Europeiska ekonomiska samarbetsområdet (EES) kommer inte heller stater som är parter i EES-avtalet att utgöra tredjeländer. För att lagen ska vara tillämplig krävs att behandlingen rör antingen utbjudande av varor eller tjänster till sådana registrerade eller övervakning av deras beteende i Sverige. Med övervakning av registrerades beteende avses detsamma som i dataskyddsförordningen. Av skäl 24 till förordningen framgår att det, för att avgöra om en viss behandling kan anses övervaka beteendet hos de registrerade, bör fastställas om fysiska personer spåras på internet, i synnerhet om syftet är att fatta beslut rörande dessa personer eller att analysera eller förutsäga deras personliga preferenser, beteende och attityder.
Genom tredje stycket görs undantag från etableringslandsprincipen i fråga om bestämmelsen om barns samtycke i 2 kap. 4 §. Den åldersgräns som anges där gäller vid behandling av personuppgifter som avser barn som bor i Sverige, oavsett var de personuppgiftsansvariga eller personuppgiftsbiträdena är etablerade (se kommentaren till 2 kap. 4 §).
Avvikande bestämmelser i annan författning
6 § Om en annan lag eller en förordning innehåller någon bestämmelse som avviker från denna lag, tillämpas den bestämmelsen.
Paragrafen reglerar lagens förhållande till avvikande bestämmelser i andra författningar. Paragrafen motsvarar 2 § PUL. Övervägandena finns i avsnitt 5.1.3.
I paragrafen anges att om en annan lag eller en förordning innehåller någon bestämmelse som avviker från lagen tillämpas den bestämmelsen. Avvikande bestämmelser som finns i en annan lag eller i en förordning ska alltså ha företräde framför lagen. Det kan t.ex. vara bestämmelser som specificerar eller begränsar rätten att behandla känsliga personuppgifter i en viss verksamhet eller särskilda förfaranderegler. Sådana avvikande bestämmelser som avses i paragrafen finns ofta i författningar som helt eller delvis innehåller bestämmelser om behandling av personuppgifter hos en viss myndighet, inom en viss sektor eller i ett visst sammanhang. Författningar av detta slag förekommer främst för den offentliga sektorn. Som exempel kan nämnas patientdatalagen, studiestödsdatalagen och utlänningsdatalagen. Med lag jämställs EU-förordningar.
Begränsningen i bestämmelsen till avvikande bestämmelser i lag och förordning innebär att myndighetsföreskrifter inte har företräde framför lagen.
Bestämmelsen innebär endast en möjlighet att avvika från lagen och inte en möjlighet att införa bestämmelser som avviker från dataskyddsförordningen.
Förhållandet till tryck- och yttrandefriheten
7 § EU:s dataskyddsförordning och denna lag ska inte tillämpas i den utsträckning det skulle strida mot tryckfrihetsförordningen eller yttrandefrihetsgrundlagen.
Artiklarna 5-30 och 35-50 i EU:s dataskyddsförordning samt 2-5 kap. denna lag ska inte tillämpas vid behandling av personuppgifter som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande.
Paragrafen, som reglerar dataskyddsförordningens och lagens förhållande till tryckfrihetsförordningen och yttrandefrihetsgrundlagen, motsvarar 7 § och 8 § första stycket PUL. Övervägandena finns i avsnitt 7.
I paragrafens första stycke anges att dataskyddsförordningen och lagen inte ska tillämpas i den utsträckning det skulle strida mot tryckfrihetsförordningen eller yttrandefrihetsgrundlagen. Bestämmelsen tydliggör att tryckfrihetsförordningen och yttrandefrihetsgrundlagen har företräde framför dataskyddsförordningens och lagens bestämmelser.
I andra stycket, som har sin grund i artikel 85.2 i dataskyddsförordningen, anges att artiklarna 5-30 och 35-50 i dataskyddsförordningen och 2-5 kap. i lagen inte ska tillämpas vid behandling av personuppgifter för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande utanför det grundlagsreglerade området. Bestämmelsen innebär att endast bestämmelserna om syfte, tillämpningsområde och definitioner (kapitel I), om samarbete med tillsynsmyndigheten och säkerhet för personuppgifter (artiklarna 31-34 i kapitel IV), om oberoende tillsynsmyndigheter (kapitel VI), om samarbete och enhetlighet (kapitel VII) samt om rättsmedel, ansvar och sanktioner (kapitel VIII) är tillämpliga vid behandling för de nämnda ändamålen. Bestämmelserna om tillsyn, rättsmedel, ansvar och sanktioner är därmed i praktiken tillämpliga enbart såvitt avser tillsyn över eller överträdelser av bestämmelserna om säkerhet för personuppgifter.
Tystnadsplikt för dataskyddsombud
8 § Den som fullgör uppgift som dataskyddsombud enligt artikel 37 i EU:s dataskyddsförordning får inte obehörigen röja det som han eller hon vid fullgörandet av sin uppgift har fått kännedom om.
I det allmännas verksamhet tillämpas offentlighets- och sekretesslagen (2009:400) i stället för första stycket.
Paragrafen, som saknar motsvarighet i personuppgiftslagen, reglerar tystnadsplikt för dataskyddsombud. Övervägandena finns i avsnitt 15.2.
Paragrafen har sin grund i artikel 38.5 i dataskyddsförordningen.
Enligt första stycket gäller tystnadsplikt för det som den som fullgör uppgift som dataskyddsombud får kännedom om vid fullgörandet av sin uppgift. Tystnadsplikten är dock begränsad till obehörigt röjande av uppgifter. Det innebär att uppgifter får lämnas ut till exempelvis tillsynsmyndigheten eller annars som en följd av en skyldighet i lag eller annan författning, eftersom ett sådant röjande inte kan anses vara obehörigt. Med tystnadsplikten följer ett straffansvar enligt 20 kap. 3 § brottsbalken.
Andra stycket innehåller en erinran om att offentlighets- och sekretesslagen tillämpas i det allmännas verksamhet. Om ett dataskyddsombud innehar en sådan anställning eller ett sådant uppdrag som avses i 2 kap. 1 § andra stycket OSL och deltar i myndighetens verksamhet, omfattas han eller hon av den sekretess som gäller hos myndigheten. Ett dataskyddsombud som har utnämnts av en myndighet får i allmänhet anses delta i myndighetens verksamhet på ett sådant sätt som förutsätts i den bestämmelsen.
2 kap. Rättslig grund för behandling av personuppgifter
Rättslig förpliktelse
1 § Personuppgifter får behandlas med stöd av artikel 6.1 c i EU:s dataskyddsförordning, om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning.
Paragrafen anger förutsättningarna för att en rättslig förpliktelse ska utgöra rättslig grund för behandling av personuppgifter. Paragrafen saknar motsvarighet i personuppgiftslagen. Övervägandena finns i avsnitt 8.3.
Bestämmelsen har sin grund i artikel 6.3 första stycket i dataskyddsförordningen. Enligt artikeln måste en rättslig förpliktelse vara fastställd i enlighet med unionsrätten eller den nationella rätten för att kunna läggas till grund för behandling av personuppgifter. Paragrafen är avsedd att ge vägledning för rättstillämpningen i Sverige.
I paragrafen tydliggörs att en rättslig förpliktelse utgör rättslig grund för behandling av personuppgifter enligt artikel 6.1 c i dataskyddsförordningen, om förpliktelsen följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning. Förpliktelsen måste alltså vara fastställd i enlighet med gällande rätt, men behöver inte framgå direkt av en författning. Som en följd av den svenska arbetsmarknadsmodellen kan en rättslig förpliktelse även följa av kollektivavtal. Vidare kan en rättslig förpliktelse enligt svensk rätt även följa av t.ex. regeringsbeslut, myndighetsbeslut eller dom. Med lag jämställs EU-förordningar.
Vid bedömningen av om något följer av exempelvis en lagbestämmelse kan bl.a. förarbetsuttalanden, bestämmelsens syfte och den rättsliga kontext bestämmelsen befinner sig i behöva beaktas. Det är alltså inte bara lagtextens ordalydelse som är av relevans för att avgöra om något följer av lag. Den rättsliga förpliktelsen behöver inte heller återfinnas direkt i t.ex. en lag eller ett kollektivavtal. Det kan också vara fråga om förpliktelser som även har sin grund i särskilt reglerade avtal, såsom försäkringsavtal. I sådana avtal finns ofta förpliktelser som kan härledas från krav i t.ex. lag eller kollektivavtal och som inte bara gäller mellan avtalsparterna och som förutsätter behandling av personuppgifter.
För att en behandling av personuppgifter ska vara tillåten enligt artikel 6.1 c måste den också vara nödvändig för att fullgöra den rättsliga förpliktelsen. Detta innebär inte ett krav på att behandlingsåtgärden ska vara oundgänglig. Behandlingen kan anses nödvändig och därmed tillåten enligt artikel 6, om behandlingen leder till effektivitetsvinster. Att behandlingen skulle kunna ske manuellt, dvs. utan tekniska hjälpmedel, medför därför normalt inte att automatisk behandling inte anses nödvändig.
Uppgift av allmänt intresse och myndighetsutövning
2 § Personuppgifter får behandlas med stöd av artikel 6.1 e i EU:s dataskyddsförordning, om behandlingen är nödvändig
1. för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning, eller
2. som ett led i den personuppgiftsansvariges myndighetsutövning enligt lag eller annan författning.
Paragrafen anger förutsättningarna för att en uppgift av allmänt intresse och myndighetsutövning ska utgöra rättslig grund för behandling av personuppgifter. Paragrafen saknar motsvarighet i personuppgiftslagen. Övervägandena finns i avsnitt 8.4 och 8.5.
Bestämmelsen har sin grund i artikel 6.3 första stycket i dataskyddsförordningen där det anges att en uppgift av allmänt intresse respektive myndighetsutövning måste fastställas i enlighet med unionsrätten eller den nationella rätten för att kunna läggas till grund för behandling av personuppgifter. Paragrafen är avsedd att ge vägledning för rättstillämpningen i Sverige.
I paragrafen anges att personuppgifter får behandlas med stöd av artikel 6.1 e i dataskyddsförordningen om behandlingen är nödvändig. Detta innebär inte ett krav på att behandlingsåtgärden ska vara oundgänglig, se kommentaren till 1 §.
I punkt 1 tydliggörs att en uppgift av allmänt intresse utgör en rättslig grund för behandling av personuppgifter enligt artikel 6.1 e i dataskyddsförordningen, om uppgiften följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning. Det är alltså inte tillräckligt att uppgiften är av allmänt intresse - uppgiften måste också vara fastställd i enlighet med gällande rätt.
I fråga om vad som kan behöva beaktas vid bedömningen av om en uppgift följer av exempelvis en lagbestämmelse, se kommentaren till 1 §. Detta innebär inte att uppgiften måste framgå direkt av en författning. Som en följd av den svenska arbetsmarknadsmodellen kan en uppgift av allmänt intresse även följa av kollektivavtal. Uppgifter av allmänt intresse kan enligt svensk rätt även följa av beslut som har meddelats med stöd av lag eller annan författning. Till exempel kan en sådan uppgift tilldelas en statlig myndighet eller ett statligt bolag genom ett regeringsbeslut. Formuleringen omfattar även uppgifter som med stöd av kommunallagen lämnas till kommunala myndigheter och kommunala bolag genom beslut i fullmäktige. Även privaträttsligt bedriven verksamhet av allmänt intresse omfattas av formuleringen, förutsatt att uppgiften följer av lag eller annan författning eller följer av kollektivavtal eller av beslut som meddelats med stöd av lag eller annan författning. Med lag jämställs EU-förordningar.
I punkt 2 tydliggörs att myndighetsutövning utgör en rättslig grund för behandling av personuppgifter bara om myndighetsutövningen sker enligt lag eller annan författning. Begreppet myndighetsutövning ska tolkas och tillämpas på samma sätt som enligt dataskyddsförordningen. Det som i Sverige brukar anses som myndighetsutövning torde omfattas av begreppet. Om en författning ställer upp krav för att myndighetsutövning ska få ske, t.ex. att ett privat subjekt ska vara certifierat, måste det vara uppfyllt för att myndighetsutövningen ska anses ske enligt författningen och utgöra en grund för behandling av personuppgifter.
Enskilda arkiv
3 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att personuppgiftsansvariga som inte omfattas av föreskrifter om arkiv får behandla personuppgifter för arkivändamål av allmänt intresse.
Den myndighet som regeringen bestämmer får i enskilda fall besluta att sådana personuppgiftsansvariga får behandla personuppgifter för arkivändamål av allmänt intresse. Ett beslut får förenas med villkor.
Paragrafen innehåller bl.a. ett bemyndigande för regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om behandling av personuppgifter för arkivändamål av allmänt intresse utanför arkivlagstiftningens tillämpningsområde. Paragrafen saknar motsvarighet i personuppgiftslagen. Övervägandena finns i avsnitt 14.1.2.
Paragrafen har sin grund i artikel 6.3 första stycket i dataskyddsförordningen, som innebär att en uppgift av allmänt intresse utgör rättslig grund för behandling av personuppgifter endast om uppgiften är fastställd i enlighet med unionsrätten eller den nationella rätten.
Enligt första stycket får regeringen eller den myndighet som regeringen bestämmer meddela föreskrifter om att personuppgiftsansvariga som inte omfattas av föreskrifter om arkiv får behandla personuppgifter för arkivändamål av allmänt intresse. Med föreskrifter om arkiv avses sådana föreskrifter som säkerställer att arkiv som utgör en del av det svenska kulturarvet bevaras, hålls ordnade och vårdas. Sådana föreskrifter finns i arkivlagen och arkivförordningen samt i Riksarkivets och andra arkivmyndigheters föreskrifter. Även i t.ex. lagen om Svenska kyrkan finns sådana föreskrifter.
Befogenhet att behandla personuppgifter kan enligt andra stycket även fastställas i förvaltningsbeslut.
En förutsättning för att föreskrifter ska få meddelas eller beslut fattas är att den personuppgiftsansvariges arkivverksamhet är av allmänt intresse i dataskyddsförordningens mening. Föreskrifter eller beslut som meddelas enligt dessa bestämmelser innebär att den personuppgiftsansvarige erkänns ha befogenhet att bedriva sådan arkivverksamhet. Föreskrifterna eller beslutet utgör därmed, på motsvarande sätt som föreskrifter om arkiv, en fastställd rättslig grund för behandling av personuppgifter för arkivändamål av allmänt intresse. Beslut i enskilda fall får förenas med villkor såsom återkallelseförbehåll, tidsbegränsningar eller krav på återrapportering eller tekniska och organisatoriska åtgärder, om det behövs för att säkerställa att kraven i dataskyddsförordningen uppfylls.
Barns samtycke
4 § Vid erbjudande av informationssamhällets tjänster direkt till ett barn som bor i Sverige ska behandling av personuppgifter vara tillåten med stöd av barnets samtycke, om barnet är minst 13 år. Om barnet är under 13 år, ska sådan behandling vara tillåten endast om samtycke ges eller godkänns av den som har föräldraansvar för barnet.
Paragrafen, som har placerats enligt Lagrådets förslag, reglerar vid vilken ålder barn som erbjuds informationssamhällets tjänster själva kan samtycka till behandling av personuppgifter. Paragrafen har ingen motsvarighet i personuppgiftslagen. Övervägandena finns i avsnitt 9.
Bestämmelsen har sin grund i artikel 8.1 i dataskyddsförordningen, som anger att sådan behandling av personuppgifter som avses i paragrafen får ske med stöd av barnets eget samtycke, om barnet har fyllt 16 år. Medlemsstaterna får föreskriva en lägre åldersgräns, dock lägst 13 år.
Genom bestämmelsen bestäms åldersgränsen i Sverige till 13 år. Bestämmelsen gäller för barn som bor i Sverige, oavsett var de personuppgiftsansvariga eller personuppgiftsbiträdena är etablerade (se kommentaren till 1 kap. 5 § tredje stycket). Bestämmelsen är inte tillämplig avseende barn som endast är på genomresa eller besök i landet. Det krävs däremot inte att barnet är folkbokfört i landet, att det redan har vistats i Sverige under en viss tidsperiod eller att det har beviljats uppehållstillstånd här för att det ska anses bo i Sverige. Även asylsökande barn i Sverige omfattas således av bestämmelsen.
Med informationssamhällets tjänster avses enligt artikel 4.25 i dataskyddsförordningen alla tjänster enligt definitionen i artikel 1.1 b i direktiv 2015/1535. I det direktivet definieras begreppet som tjänster som vanligtvis utförs mot ersättning på distans, på elektronisk väg och på individuell begäran av en tjänstemottagare. Det rör sig således om t.ex. sociala medier, söktjänster och s.k. appar på smarta enheter. Bestämmelsen är tillämplig när sådana tjänster erbjuds direkt till barn. Uttrycket direkt till barn ska tolkas och tillämpas på samma sätt som enligt dataskyddsförordningen. Det torde omfatta både tjänster som direkt marknadsförs mot barn och sådana tjänster vars utformning eller innehåll och funktion är av det slaget att de typiskt sett kan antas användas även av barn.
Om barnet är under 13 år, får behandling av personuppgifter ske antingen om samtycket ges av den som har föräldraansvar för barnet eller om barnets samtycke godkänns av den personen. Begreppet den som har föräldraansvar för barnet har samma innebörd som i dataskyddsförordningen. I första hand bör avses ett barns vårdnadshavare eller annan med uppdrag att vara i vårdnadshavarens ställe, t.ex. god man för ensamkommande barn. Eftersom begreppet är EU-rättsligt är det ytterst EU-domstolen som avgör begreppets innebörd. Det kan tänkas att begreppet har en vidare innebörd och även omfattar andra än vårdnadshavare, exempelvis föräldrar med umgängesrätt (jfr artikel 2.7 i Bryssel II-förordningen).
3 kap. Behandling av vissa kategorier av personuppgifter
Känsliga personuppgifter
1 § Med känsliga personuppgifter avses i denna lag sådana uppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning.
Paragrafen definierar begreppet känsliga personuppgifter. Bestämmelsen har placerats enligt Lagrådets förslag. Övervägandena finns i avsnitt 10.1. Kapitlets rubrik har utformats enligt Lagrådets förslag.
I paragrafen anges att med känsliga personuppgifter avses i lagen sådana uppgifter som tillhör de särskilda kategorier av personuppgifter som anges i artikel 9.1 i dataskyddsförordningen. De särskilda kategorier av personuppgifter som anges i den artikeln är personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa och uppgifter om en fysisk persons sexualliv eller sexuella läggning.
Arbetsrätt, social trygghet och socialt skydd
2 § Känsliga personuppgifter får behandlas med stöd av artikel 9.2 b i EU:s dataskyddsförordning, om behandlingen är nödvändig för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och inom områdena social trygghet och socialt skydd.
Personuppgifter som behandlas med stöd av första stycket får lämnas ut till tredje part endast om det inom arbetsrätten eller inom områdena social trygghet och socialt skydd finns en skyldighet för den personuppgiftsansvarige att göra det eller om den registrerade uttryckligen har samtyckt till utlämnandet.
I paragrafen regleras när känsliga personuppgifter får behandlas inom bl.a. arbetsrättens område. Paragrafen motsvarar 16 § första stycket a och andra stycket PUL. Övervägandena finns i avsnitt 10.3.
Bestämmelsen har sin grund i artikel 9.2 b i dataskyddsförordningen.
Enligt första stycket får känsliga personuppgifter behandlas om behandlingen är nödvändig för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och inom områdena social trygghet och socialt skydd. Vad som avses med känsliga personuppgifter anges i 1 §, se kommentaren till den bestämmelsen. Att behandlingen ska vara nödvändig innebär inte ett krav på att behandlingsåtgärden ska vara oundgänglig, jfr kommentaren till 2 kap. 1 §.
Begreppen arbetsrätten och områdena social trygghet och socialt skydd är unionsrättsliga begrepp som ska tolkas EU-konformt. I stort sett alla skyldigheter och rättigheter för arbetsgivare beträffande de anställda och deras organisationer bör kunna omfattas av uttrycken, exempelvis behandling i samband med sjuklön och rehabilitering av arbetstagare. Även skyldigheter och rättigheter för fackliga organisationer i förhållande till arbetsgivare och deras organisationer bör innefattas.
I andra stycket begränsas möjligheterna att lämna ut personuppgifter som behandlas med stöd av första stycket. Sådana uppgifter får lämnas ut till tredje part endast om det inom arbetsrätten eller inom områdena social trygghet och socialt skydd finns en skyldighet för den personuppgiftsansvarige att göra det eller om den registrerade uttryckligen har samtyckt till utlämnandet. Med skyldighet att lämna ut uppgifter avses sådan skyldighet som följer av författning, myndighetsbeslut eller avtal inom de aktuella områdena.
Termen tredje part definieras i artikel 4.10 i dataskyddsförordningen som en fysisk eller juridisk person, offentlig myndighet, institution eller ett organ som inte är den registrerade, den personuppgiftsansvarige, personuppgiftsbiträdet eller de personer som under den personuppgiftsansvariges eller personuppgiftsbiträdets direkta ansvar är behöriga att behandla personuppgifterna. Detta innebär exempelvis att en arbetsgivares utlämnande av personuppgifter till en facklig organisation omfattas av kravet på skyldighet eller samtycke.
Bestämmelsen i andra stycket innebär ingen begränsning av allmänhetens rätt till tillgång till handlingar enligt tryckfrihetsförordningen, se 1 kap. 7 §.
Viktigt allmänt intresse
3 § Känsliga personuppgifter får behandlas av en myndighet med stöd av artikel 9.2 g i EU:s dataskyddsförordning
1. om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag,
2. om behandlingen är nödvändig för handläggningen av ett ärende, eller
3. i annat fall, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
Vid behandling som sker enbart med stöd av första stycket är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
Vid tillämpningen av första stycket 1 ska andra än myndigheter jämställas med myndigheter, i den utsträckning bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400) gäller i deras verksamhet.
Paragrafen, som har utformats i enlighet med Lagrådets förslag, anger att myndigheter och andra som omfattas av offentlighetsprincipen får behandla känsliga personuppgifter i vissa fall. Bestämmelsen i andra punkten motsvarar delvis 8 § PUF. Övervägandena finns i avsnitt 10.4.
Bestämmelserna har sin grund i artikel 9.2 g i dataskyddsförordningen.
Av första stycket framgår att känsliga personuppgifter får behandlas av en myndighet under vissa förutsättningar. Vad som avses med känsliga personuppgifter anges i 1 §, se kommentaren till den bestämmelsen. Med myndighet avses samtliga statliga och kommunala organ, utom riksdagen och de beslutande kommunala församlingarna. Organ som är organiserade i privaträttsliga former, t.ex. kommunala och statliga bolag, är inte myndigheter, även om de utövar offentlig makt.
Punkt 1 anger att känsliga personuppgifter får behandlas av en myndighet om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag. Bestämmelsen klargör att det är tillåtet för myndigheter att utföra sådan behandling av känsliga personuppgifter som krävs i myndigheternas verksamhet som en direkt följd av framför allt offentlighets- och sekretesslagens och förvaltningslagens bestämmelser om hur allmänna handlingar ska hanteras, exempelvis genom krav på diarieföring och skyldighet att ta emot e-post. Behandling av känsliga personuppgifter med stöd av denna punkt får bara ske om uppgifterna har lämnats till myndigheten. Uppgifterna ska alltså antingen finnas i handlingar som definieras som inkomna enligt 2 kap. 6 § TF eller lämnas till myndigheten på annat sätt, t.ex. muntligen. Vidare ska själva behandlingen av uppgifterna utgöra ett krav enligt lag.
Av punkt 2 framgår att känsliga personuppgifter får behandlas av en myndighet, om behandlingen är nödvändig för handläggningen av ett ärende. Begreppen handläggning och ärende ska tolkas på samma sätt som enligt 1 § förvaltningslagen (2017:900). Begreppet handläggning innefattar alla åtgärder som en myndighet vidtar från det att ett ärende inleds till dess att det avslutas. Kännetecknande för ett ärende är att det regelmässigt avslutas genom ett uttalande från myndighetens sida som är avsett att få faktiska verkningar för en mottagare i det enskilda fallet. Ett ärende avslutas således genom ett beslut av något slag. Vid bedömningen av om en myndighets uttalande är att anse som ett beslut i denna mening är det uttalandets syfte och innehåll som är avgörande, inte dess yttre form. Av paragrafen framgår vidare att behandlingen måste vara nödvändig för handläggningen av ärendet. Detta innebär bl.a. att bara sådana uppgifter som behövs i ärendet får behandlas. Begreppet nödvändig innebär inte ett krav på att behandlingsåtgärden ska vara oundgänglig, jfr kommentaren till 2 kap. 1 §.
Punkt 3 anger att känsliga personuppgifter får behandlas av en myndighet i annat fall, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Bestämmelsen möjliggör under vissa omständigheter behandling av känsliga personuppgifter hos myndigheter då behandlingen varken sker med koppling till ett visst ärende eller krävs enligt annan lag. Bestämmelsen är således tillämplig i s.k. faktisk verksamhet hos myndigheter, dvs. i sådan förvaltningsverksamhet som inte utgör ärendehandläggning. Bestämmelsen är inte avsedd att tillämpas slentrianmässigt i den löpande verksamheten. Det krävs att den personuppgiftsansvarige, i det enskilda fallet, gör en bedömning av om behandlingen innebär ett otillbörligt intrång i den registrerades personliga integritet. Om behandlingen skulle innebära ett sådant intrång, får den inte ske enligt denna bestämmelse. För att avgöra om intrånget är otillbörligt måste myndigheten göra en proportionalitetsbedömning där behovet av att utföra behandlingen viktas mot de registrerades intresse av att behandlingen inte sker. Bedömningen av de registrerades intresse av att behandlingen inte sker bör utgå från det intresse av integritetsskydd som de registrerade typiskt sett har. Den personuppgiftsansvarige måste således inte göra en bedömning i förhållande till varje berörd individ. Vid bedömningen av intrånget i den enskildes personliga integritet ska vikt läggas vid bl.a. uppgifternas känslighet, behandlingens karaktär, den inställning de registrerade kan antas ha till behandlingen, den spridning uppgifterna kan komma att få och risken för vidarebehandling för andra ändamål än insamlingsändamålet. Detta innebär t.ex. att bestämmelsen inte kan läggas till grund för att skapa integritetskänsliga sammanställningar av känsliga personuppgifter.
Enligt andra stycket är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter, då känsliga personuppgifter behandlas enbart med stöd av första stycket. Detta innebär att sökbegränsningen inte gäller vid behandling som sker med stöd av någon av de övriga bestämmelserna i detta kapitel eller i enlighet med bestämmelser i en registerförfattning. Sökbegränsningen är inte heller tillämplig om behandlingen av känsliga personuppgifter sker med direkt tillämpning av något av undantagen i artikel 9.2 i dataskyddsförordningen. Sökbegränsningen omfattar alla tekniska åtgärder som innebär att uppgifter används för att strukturera eller systematisera information i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Därmed förbjuds sökningar som görs för att få fram ett urval av personer som t.ex. har en viss politisk åsikt, religiös åskådning eller sexuell läggning. Däremot hindrar bestämmelsen inte sökningar som görs i ett annat syfte än att identifiera ett urval av individer, t.ex. för att utöva tillsyn, för att ta fram verksamhetsstatistik eller för registervård.
I tredje stycket anges att vid tillämpningen av första stycket första punkten ska andra än myndigheter jämställas med myndigheter, i den utsträckning bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekretesslagen gäller i deras verksamhet. Bestämmelsen innebär att alla personuppgiftsansvariga vars verksamhet omfattas av offentlighetsprincipen får behandla känsliga personuppgifter, om uppgifterna har lämnats till dem och behandlingen krävs enligt lag. Sökbegränsningen i andra stycket gäller även vid sådan behandling.
4 § Regeringen får meddela ytterligare föreskrifter om sådan behandling av känsliga personuppgifter som är nödvändig med hänsyn till ett viktigt allmänt intresse.
Paragrafen innehåller ett bemyndigande för regeringen att meddela ytterligare föreskrifter om sådan behandling av känsliga personuppgifter som är nödvändig med hänsyn till ett viktigt allmänt intresse. Paragrafen motsvarar delvis 20 § PUL. Övervägandena finns i avsnitt 10.4.
Hälso- och sjukvård och social omsorg
5 § Känsliga personuppgifter får behandlas med stöd av artikel 9.2 h i EU:s dataskyddsförordning, om behandlingen är nödvändig för
1. förebyggande hälso- och sjukvård och yrkesmedicin,
2. bedömningen av en arbetstagares arbetskapacitet,
3. medicinska diagnoser,
4. tillhandahållande av hälso- och sjukvård eller behandling,
5. social omsorg, eller
6. förvaltning av hälso- och sjukvårdstjänster, social omsorg samt deras system.
Behandling enligt första stycket får ske under förutsättning att kravet på tystnadsplikt i artikel 9.3 i EU:s dataskyddsförordning är uppfyllt.
I paragrafen anges förutsättningarna för att känsliga personuppgifter ska få behandlas på hälso- och sjukvårdsområdet samt inom social omsorg. Paragrafen motsvarar delvis 18 § PUL. Övervägandena finns i avsnitt 10.5.
Bestämmelsen har sin grund i artikel 9.2 h i dataskyddsförordningen. Paragrafen är av upplysningskaraktär.
I första stycket anges de ändamål för vilka behandling av känsliga personuppgifter får ske. Vad som avses med känsliga personuppgifter anges i 1 §, se kommentaren till den bestämmelsen. Att behandlingen ska vara nödvändig innebär inte ett krav på att behandlingsåtgärden ska vara oundgänglig, jfr kommentaren till 2 kap. 1 §. De tillåtna ändamålen motsvarar de som anges i artikel 9.2 h i dataskyddsförordningen och har en EU-rättslig innebörd. Någon saklig skillnad i förhållande till förordningen är inte avsedd.
Andra stycket erinrar om kravet på tystnadsplikt i artikel 9.3 i dataskyddsförordningen som innebär att behandling av personuppgifter för de ändamål som avses i första stycket enbart får ske av eller under ansvar av en person som omfattas av tystnadsplikt enligt unionsrätten eller nationell rätt.
Arkiv
6 § Känsliga personuppgifter får behandlas för arkivändamål av allmänt intresse med stöd av artikel 9.2 j i EU:s dataskyddsförordning, om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att personuppgiftsansvariga som inte omfattas av föreskrifter om arkiv får behandla känsliga personuppgifter för arkivändamål av allmänt intresse.
Den myndighet som regeringen bestämmer får i enskilda fall besluta att sådana personuppgiftsansvariga får behandla känsliga personuppgifter för arkivändamål av allmänt intresse. Ett beslut får förenas med villkor.
Paragrafen reglerar när behandling av känsliga personuppgifter får ske för arkivändamål av allmänt intresse. Paragrafen motsvarar delvis 8 § andra stycket första meningen PUL. Övervägandena finns i avsnitt 14.1.3.
Bestämmelsen har sin grund i artikel 9.2 j i dataskyddsförordningen.
I första stycket tydliggörs att känsliga personuppgifter får behandlas för arkivändamål av allmänt intresse, om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv. Detta gäller oavsett om personuppgifterna samlas in för arkivändamål av allmänt intresse eller om uppgifter som samlats in för andra ändamål vidarebehandlas för arkivändamål av allmänt intresse. Vad som avses med känsliga personuppgifter anges i 1 §, se kommentaren till den bestämmelsen. Att behandlingen ska vara nödvändig innebär inte ett krav på att behandlingsåtgärden ska vara oundgänglig, jfr kommentaren till 2 kap. 1 §. Med föreskrifter om arkiv avses föreskrifter som säkerställer att sådana arkiv som utgör en del av det svenska kulturarvet bevaras, hålls ordnade och vårdas. Sådana föreskrifter finns i arkivlagen och arkivförordningen samt i Riksarkivets och andra arkivmyndigheters föreskrifter. Föreskrifter om arkiv finns även t.ex. i lagen om Svenska kyrkan. Bestämmelsen förtydligar att dataskyddsförordningen och lagen inte hindrar att myndigheter eller andra som omfattas av offentlighetsprincipen arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet.
I andra stycket bemyndigas regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter som tillåter att personuppgiftsansvariga som inte omfattas av föreskrifter om arkiv får behandla känsliga personuppgifter för arkivändamål av allmänt intresse.
Enligt tredje stycket får den myndighet som regeringen bestämmer genom beslut i enskilda fall tillåta sådan behandling.
Föreskrifter eller beslut enligt andra och tredje styckena kan aktualiseras om en enskild arkivinstitution samlar in känsliga personuppgifter för arkivändamål av allmänt intresse. De kan också aktualiseras i fall där t.ex. ett företag eller en förening har samlat in känsliga uppgifter för andra ändamål, men vidarebehandlar uppgifterna för arkivändamål av allmänt intresse. Beslut i enskilda fall som tillåter behandling av känsliga personuppgifter för arkivändamål av allmänt intresse får förenas med villkor, om det behövs för att uppfylla kraven enligt artikel 9.2 j på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Sådana villkor kan t.ex. avse begränsningar av åtkomsten till de känsliga uppgifterna, krav på särskilda tekniska säkerhetsåtgärder eller någon annan åtgärd som bedöms lämplig och proportionerlig i det aktuella fallet.
Statistik
7 § Känsliga personuppgifter får behandlas med stöd av artikel 9.2 j i EU:s dataskyddsförordning, om behandlingen är nödvändig för statistiska ändamål och samhällsintresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära.
I paragrafen regleras behandling av känsliga personuppgifter för statistiska ändamål. Paragrafen motsvarar 19 § andra stycket PUL. Övervägandena finns i avsnitt 14.2.
Bestämmelsen har sin grund i artikel 9.2 j i dataskyddsförordningen.
Enligt paragrafen får behandling av känsliga personuppgifter som är nödvändig för statistiska ändamål ske, om samhällsintresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära. Vad som avses med känsliga personuppgifter anges i 1 §, se kommentaren till den bestämmelsen. Att behandlingen ska vara nödvändig innebär inte ett krav på att behandlingsåtgärden ska vara oundgänglig, jfr kommentaren till 2 kap. 1 §.
Det krävs för det första att behandlingen är nödvändig för statistiska ändamål. Vidare är den personuppgiftsansvarige skyldig att göra en avvägning mellan de motstående intressena. Avvägningen ska ske genom en helhetsbedömning av samtliga omständigheter. Vid denna bedömning bör beaktas bl.a. statistikprojektets samhällsintresse och behovet av personuppgifter i projektet. Den personuppgiftsansvarige måste också noga överväga möjligheten att i stället inhämta de registrerades samtycke. Vid bedömningen av intrånget i den enskildes personliga integritet ska vikt läggas vid sådana aspekter som uppgifternas känslighet, den inställning de registrerade kan antas ha till behandlingen, säkerheten vid behandlingen och risken för att uppgifterna sprids eller att enskilda personer skulle kunna identifieras i statistiken. Bestämmelsen bör tolkas och tillämpas på ett likartat sätt som 19 § andra stycket PUL. Praxis kring tillämpningen av bestämmelsen i personuppgiftslagen bör således vara vägledande.
Personuppgifter som rör lagöverträdelser
8 § Personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning får behandlas av myndigheter.
Även andra än myndigheter får behandla sådana personuppgifter, om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv.
Paragrafen reglerar behandling av personuppgifter som rör lagöverträdelser. Paragrafen motsvarar delvis 21 § första stycket PUL. Övervägandena finns i avsnitt 11 och 14.1.3.
I första stycket anges att myndigheter får behandla sådana personuppgifter som avses i artikel 10 i dataskyddsförordningen. De personuppgifter som avses i artikel 10 är personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder. Begreppet därmed sammanhängande säkerhetsåtgärder torde vara likvärdigt med straffprocessuella tvångsmedel.
I andra stycket anges att även andra än myndigheter får behandla sådana personuppgifter som avses i artikel 10 i dataskyddsförordningen, om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv. Att behandlingen ska vara nödvändig innebär inte ett krav på att behandlingsåtgärden ska vara oundgänglig, jfr kommentaren till 2 kap. 1 §. Med föreskrifter om arkiv avses detsamma som i 2 kap. 3 § första stycket, se kommentaren till den bestämmelsen. Bestämmelsen innebär, tillsammans med 6 § första stycket och bestämmelserna i dataskyddsförordningen, att dataskyddsförordningen och lagen inte hindrar att de personuppgiftsansvariga som omfattas av offentlighetsprincipen arkiverar och bevarar allmänna handlingar.
9 § Regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om i vilka fall andra än myndigheter får behandla sådana personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning.
Den myndighet som regeringen bestämmer får i enskilda fall besluta att andra än myndigheter får behandla sådana uppgifter. Ett beslut får förenas med villkor.
Paragrafen innehåller bl.a. ett bemyndigande för regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter som tillåter andra än myndigheter att behandla personuppgifter som rör lagöverträdelser. Paragrafen motsvarar delvis 21 § tredje och fjärde styckena PUL. Övervägandena finns i avsnitt 11.
Bestämmelsen har sin grund i artikel 10 i dataskyddsförordningen.
Enligt första stycket får regeringen eller den myndighet som regeringen bestämmer meddela föreskrifter om i vilka fall andra än myndigheter får behandla personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning. Sådana föreskrifter kan exempelvis reglera behandling på vissa områden eller för vissa ändamål.
Enligt andra stycket får den myndighet som regeringen bestämmer meddela beslut i enskilda fall som tillåter sådan behandling. Det som ska bedömas är om behandlingen är tillåten enligt dataskyddsförordningen, t.ex. om det finns en tillämplig rättslig grund enligt artikel 6 och om behandlingen är förenlig med principerna i artikel 5. Tillstånd bör i så fall beviljas, men vid behov förenas med krav på särskilda skyddsåtgärder för de registrerades rättigheter och friheter. Beslut kan vid behov även förenas med villkor såsom återkallelseförbehåll, tidsbegränsningar eller krav på återrapportering.
Personnummer och samordningsnummer
10 § Personnummer och samordningsnummer får behandlas utan samtycke endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.
Paragrafen reglerar när personnummer och samordningsnummer får behandlas utan samtycke. Bestämmelsen motsvarar 22 § PUL. Övervägandena finns i avsnitt 12.
Bestämmelsen, som har sin grund i artikel 87 i dataskyddsförordningen, anger att personnummer och samordningsnummer får behandlas utan samtycke endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Med personnummer och samordningsnummer avses detsamma som i folkbokföringslagen (1991:481). Bestämmelsen innebär att en intresseavvägning mellan behovet av behandlingen och de integritetsrisker som den innebär ska göras. Omständigheter som bör tillmätas betydelse vid intresseavvägningen är exempelvis om det eftersträvade syftet med behandlingen kan uppnås på annat sätt, behandlingens omfattning och om den förutsätter samkörning av register. Som ett exempel på sådan behandling som är tillåten enligt bestämmelsen kan nämnas den behandling som sker vid hanteringen av allmänna handlingar enligt t.ex. offentlighets- och sekretesslagen eller arkivlagen. Bestämmelsen bör tolkas och tillämpas på ett likartat sätt som 22 § PUL. Praxis kring tillämpningen av bestämmelsen i personuppgiftslagen bör således vara vägledande.
11 § Regeringen får meddela ytterligare föreskrifter om i vilka fall behandling av personnummer och samordningsnummer är tillåten.
Paragrafen innehåller ett bemyndigande för regeringen att meddela föreskrifter som tillåter behandling av personnummer och samordningsnummer i andra fall än enligt 10 §. Bestämmelsen motsvarar delvis 50 § c PUL. Övervägandena finns i avsnitt 12.
Bestämmelsen har sin grund i artikel 87 i dataskyddsförordningen.
4 kap. Användningsbegränsningar
Arkiv
1 § Personuppgifter som behandlas enbart för arkivändamål av allmänt intresse får användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen.
Första stycket hindrar inte myndigheter från att använda personuppgifter som finns i allmänna handlingar.
Vid tillämpningen av andra stycket ska andra än myndigheter jämställas med myndigheter, i den utsträckning bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400) gäller i deras verksamhet.
Paragrafen fastställer begränsningar för hur arkiverade personuppgifter får användas. Paragrafen motsvarar delvis 9 § fjärde stycket PUL och delvis 8 § andra stycket andra meningen PUL. Övervägandena finns i avsnitt 14.1.4.
Första stycket, som har sin grund i artiklarna 6.2, 9.2 j och 89.1 i dataskyddsförordningen, förhindrar att personuppgifter som behandlas av den personuppgiftsansvarige enbart för arkivändamål av allmänt intresse används för att vidta åtgärder rörande den registrerade. Sådana åtgärder får dock vidtas om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Användningsbegränsningen gäller alla typer av personuppgifter och inte bara känsliga sådana. Med vitala intressen avses intressen som är av avgörande betydelse för den registrerades liv. Bestämmelsen skulle t.ex. kunna aktualiseras om arkiverade uppgifter måste användas för att identifiera och kontakta personer som utan deras vetskap har exponerats för farliga ämnen. Det är den personuppgiftsansvarige som har att visa att det finns sådana omständigheter som utgör synnerliga skäl. För att undantaget från användningsbegränsningen ska aktualiseras krävs att den aktuella användningen inte är oförenlig med det ändamål för vilket uppgifterna ursprungligen samlades in. Bestämmelsen kan alltså inte tillämpas till stöd för en vidarebehandling som i sig är otillåten.
Enligt andra stycket gäller inte användningsbegränsningen i första stycket för myndigheters användning av personuppgifter i allmänna handlingar. Myndigheter kan alltså använda arkiverade uppgifter för att vidta åtgärder gentemot den registrerade, förutsatt att övriga bestämmelser i dataskyddsregleringen följs, bl.a. att vidarebehandlingen är förenlig med det ursprungliga ändamålet (artikel 5.1 b i dataskyddsförordningen).
Av tredje stycket framgår att undantaget från användningsbegränsningen gäller även för andra än myndigheter, i den mån offentlighetsprincipen och offentlighets- och sekretesslagen gäller i deras verksamhet.
Bestämmelsen bör tolkas och tillämpas på ett likartat sätt som 9 § fjärde stycket PUL och 8 § andra stycket andra meningen PUL. Praxis kring tillämpningen av bestämmelsen i personuppgiftslagen bör således vara vägledande.
Statistik
2 § Personuppgifter som behandlas enbart för statistiska ändamål får användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen.
Paragrafen fastställer begränsningar för hur personuppgifter som behandlas för statistikändamål får användas. Paragrafen motsvarar delvis 9 § fjärde stycket PUL. Övervägandena finns i avsnitt 14.2.
Bestämmelsen, som har sin grund i artiklarna 6.2, 9.2 j och 89.1 i dataskyddsförordningen, förhindrar att personuppgifter som behandlas av den personuppgiftsansvarige enbart för statistiska ändamål används för att vidta åtgärder rörande den registrerade. Sådana åtgärder får dock vidtas om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Begränsningen gäller alla typer av personuppgifter och inte bara känsliga sådana. Med vitala intressen avses intressen som är av avgörande betydelse för den registrerades liv. Ett exempel är när ett statistikregister används för att varna de personer som har köpt en apparat som visar sig ha ett allvarligt och farligt fel. Det är den personuppgiftsansvarige som har att visa att det finns sådana omständigheter som utgör synnerliga skäl. För att det ska vara tillåtet att använda uppgifterna för att vidta åtgärder i fråga om den registrerade krävs också att användningen inte är oförenlig med det ändamål för vilket uppgifterna ursprungligen samlades in (se artikel 5.1 b i dataskyddsförordningen). Undantaget från användningsbegränsningen kan alltså inte tillämpas till stöd för en vidarebehandling som i sig är otillåten enligt dataskyddsförordningen.
Bestämmelsen utgör, till skillnad från vad som gäller enligt 1 §, en begränsning även av myndigheters möjligheter att använda personuppgifter i allmänna handlingar för att vidta åtgärder i fråga om den registrerade. I övrigt bör bestämmelsen tolkas och tillämpas på ett likartat sätt som 9 § fjärde stycket PUL. Praxis kring tillämpningen av bestämmelsen i personuppgiftslagen bör således vara vägledande.
5 kap. Begränsningar av vissa rättigheter och skyldigheter
Information och tillgång till personuppgifter
1 § Artiklarna 13-15 i EU:s dataskyddsförordning om information och rätt att få tillgång till personuppgifter gäller inte sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning.
Om den personuppgiftsansvarige inte är en myndighet, gäller undantaget i första stycket även för uppgifter som hos en myndighet skulle ha varit sekretessbelagda enligt offentlighets- och sekretesslagen (2009:400).
Paragrafen, som har utformats enligt Lagrådets förslag, föreskriver undantag från den registrerades rätt till information och rätt att få tillgång till personuppgifter m.m. enligt dataskyddsförordningen. Paragrafen motsvarar 27 § PUL. Övervägandena finns i avsnitt 13.
Bestämmelsen har sin grund i artikel 23 i dataskyddsförordningen.
I första stycket anges att artiklarna 13-15 i dataskyddsförordningen om information och rätt att få tillgång till personuppgifter inte gäller uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning. Med lag jämställs EU-förordningar. Bestämmelsen innebär att sådan sekretess eller tystnadsplikt gentemot den registrerade som har stöd i författning har företräde framför rätten att få information och tillgång till personuppgifter m.m. Sådan sekretess kan i vissa fall gälla enligt offentlighets- och sekretesslagen till skydd för andra enskilda eller till skydd för allmänna intressen. Motsvarande sekretess kan också gälla enligt författningar som reglerar tystnadsplikt inom den privata sektorn, t.ex. enligt rättegångsbalken för advokater och enligt skollagen. Med beslut som har meddelats med stöd av författning avses t.ex. beslut om utlämnande av uppgift med förbehåll enligt 10 kap. 14 § OSL.
Andra stycket innebär att en personuppgiftsansvarig som inte omfattas av offentlighets- och sekretesslagens tillämpningsområde får vägra att lämna ut information till den registrerade, om en bestämmelse i den lagen hade hindrat utlämnande till den registrerade om den personuppgiftsansvarige hade varit en myndighet. Det kan t.ex. röra sig om information som samlats in inför en facklig förhandling eller en domstolsprocess, om det kan antas att ett utlämnande av informationen skulle försämra den personuppgiftsansvariges ställning som part i förhandlingen eller rättegången (jfr 19 kap. 6 och 9 §§ OSL).
Bestämmelsen bör tolkas och tillämpas på ett likartat sätt som 27 § PUL. Praxis kring tillämpningen av bestämmelsen i personuppgiftslagen bör således vara vägledande.
2 § Artikel 15 i EU:s dataskyddsförordning gäller inte personuppgifter i löpande text som inte har fått sin slutliga utformning när begäran gjordes eller som utgör minnesanteckning eller liknande.
Undantaget i första stycket gäller inte om personuppgifterna
1. har lämnats ut till tredje part,
2. behandlas enbart för arkivändamål av allmänt intresse eller statistiska ändamål, eller
3. har behandlats under längre tid än ett år i löpande text som inte har fått sin slutliga utformning.
Paragrafen, som har utformats enligt Lagrådets förslag, föreskriver undantag från den registrerades rätt till bekräftelse på om personuppgifter som rör honom eller henne behandlas och i så fall att få tillgång till personuppgifterna och viss ytterligare information. Bestämmelsen motsvarar i sak 26 § tredje stycket PUL. Övervägandena finns i avsnitt 13.
Bestämmelsen har sin grund i artikel 23 i dataskyddsförordningen.
Av första stycket framgår att artikel 15 i dataskyddsförordningen inte gäller personuppgifter i löpande text som inte har fått sin slutliga utformning när begäran gjordes eller som utgör minnesanteckning eller liknande. Bestämmelsen innebär att den personuppgiftsansvarige inte behöver söka fram och till den registrerade lämna ut personuppgifter som finns i arbetsmaterial i form av löpande text. Med löpande text avses information som inte har strukturerats så att sökning av personuppgifter underlättas. Med text som inte har fått sin slutliga utformning avses koncept, utkast och liknande. Text som är avsedd att ändras eller kompletteras löpande och således aldrig kommer att få någon slutlig utformning omfattas inte av undantaget. Med text som utgör minnesanteckning avses promemorior och liknande som har kommit till bara för att bereda ett ärende, jfr 2 kap. 9 § TF.
Undantaget i första stycket från rätten till tillgång till personuppgifter m.m. enligt dataskyddsförordningen begränsas genom andra stycket. Punkt 1 innebär att rätten ändå gäller, om den handling där personuppgifterna förekommer har lämnats ut till tredje part. Termen tredje part definieras i artikel 4.10 i dataskyddsförordningen som en fysisk eller juridisk person, offentlig myndighet, institution eller ett organ som inte är den registrerade, den personuppgiftsansvarige, personuppgiftsbiträdet eller de personer som under den personuppgiftsansvariges eller personuppgiftsbiträdets direkta ansvar är behöriga att behandla personuppgifterna. Punkt 2 innebär att rätten till tillgång till personuppgifter m.m. omfattar personuppgifter som behandlas enbart för arkivändamål av allmänt intresse eller statistiska ändamål. Rätten omfattar således t.ex. sådana utkast eller minnesanteckningar som har tagits om hand för arkivering, liksom uppgifter i löpande text som behandlas för statistiska ändamål. Med behandling för arkivändamål av allmänt intresse eller statistiska ändamål avses detsamma som i dataskyddsförordningen. Slutligen innebär punkt 3 att personuppgifter som förekommer i löpande text som inte har fått sin slutliga utformning omfattas av rätten till tillgång till personuppgifter m.m., om behandlingen har pågått under längre tid än ett år. Minnesanteckningar, som normalt får sin slutliga utformning i samband med att de förs, omfattas däremot inte av punkt 3. Personuppgifter som förekommer i sådana handlingar omfattas således inte av rätten, även om behandlingen pågått i mer än ett år, under förutsättning att inte någon av punkterna 1 eller 2 är tillämplig.
Bestämmelsen bör tolkas och tillämpas på ett likartat sätt som 26 § tredje stycket PUL. Praxis kring tillämpningen av bestämmelsen i personuppgiftslagen bör således vara vägledande.
Bemyndigande
3 § Regeringen får meddela ytterligare föreskrifter om begränsningar enligt artiklarna 23, 89.2 och 89.3 i EU:s dataskyddsförordning.
Paragrafen innehåller ett bemyndigande för regeringen att meddela föreskrifter med stöd av artiklarna 23, 89.2 och 89.3 i dataskyddsförordningen. Bestämmelsen motsvarar 8 a § PUL. Övervägandena finns i avsnitt 13.
Föreskrifter som meddelas med stöd av bemyndigandet kan begränsa tillämpningsområdet för vissa av de registrerades rättigheter och de personuppgiftsansvarigas skyldigheter som föreskrivs i dataskyddsförordningen. Förutsättningarna för att sådana begränsningar ska kunna föreskrivas anges i artikel 23 och, i fråga om behandling för vetenskapliga eller historiska forskningsändamål, statistiska ändamål och arkivändamål av allmänt intresse, i artikel 89.2 och 89.3.
6 kap. Tillsynsmyndighetens handläggning och beslut
Befogenheter
1 § De befogenheter som tillsynsmyndigheten har enligt artikel 58.1, 58.2 och 58.3 i EU:s dataskyddsförordning gäller vid tillsyn över att bestämmelserna i denna lag och andra föreskrifter som kompletterar EU:s dataskyddsförordning följs.
Första stycket innebär inte att tillsynsmyndigheten får ta ut sanktionsavgifter vid andra överträdelser än de som avses i artikel 83 i EU:s dataskyddsförordning.
Paragrafen handlar om tillsynsmyndighetens befogenheter och saknar motsvarighet i personuppgiftslagen. Övervägandena finns i avsnitt 17.3.2.
Av första stycket framgår att de befogenheter som tillsynsmyndigheten har enligt artikel 58.1, 58.2 och 58.3 i dataskyddsförordningen gäller vid tillsyn över att bestämmelserna i lagen och andra föreskrifter som kompletterar förordningen följs. I artikel 58.1 regleras tillsynsmyndighetens utredningsbefogenheter, t.ex. att beordra den personuppgiftsansvarige eller personuppgiftsbiträdet att lämna den information som myndigheten behöver för att kunna fullgöra sina uppgifter samt att genomföra undersökningar i form av dataskyddstillsyn. I artikel 58.2 anges tillsynsmyndighetens korrigerande befogenheter, t.ex. att utfärda varningar och att förelägga om rättelse eller radering av personuppgifter. Av artikel 58.3 framgår att tillsynsmyndigheten har befogenhet att utfärda tillstånd och att ge råd, t.ex. att godkänna utkast till uppförandekoder eller bindande företagsbestämmelser.
Med föreskrifter som kompletterar dataskyddsförordningen avses föreskrifter som rör behandling av personuppgifter i sådan verksamhet där dataskyddsförordningen gäller. Föreskrifter som kompletterar dataskyddsförordningen förekommer främst inom den offentliga sektorn och kan fastställa mer specifika krav för den behandling av personuppgifter som sker hos en viss myndighet eller inom en viss verksamhet. Som exempel kan nämnas patientdatalagen, studiestödsdatalagen och utlänningsdatalagen.
I andra stycket anges att första stycket inte innebär att tillsynsmyndigheten får ta ut sanktionsavgifter vid andra överträdelser än de som avses i artikel 83 i dataskyddsförordningen. Av bestämmelserna i artikel 83.4, 83.5 och 83.6 framgår att sanktionsavgifter kan tas ut vid överträdelser av vissa artiklar i förordningen samt av nationella bestämmelser som antagits på grundval av kapitel IX i dataskyddsförordningen. Med stöd av kapitel IX kan medlemsstaterna anta bestämmelser om t.ex. behandling av nationella identifikationsnummer (artikel 87) och behandling i anställningsförhållanden (artikel 88). Paragrafen utvidgar således inte det sanktionerade området och ger inte tillsynsmyndigheten en vidare befogenhet att ta ut sanktionsavgifter än vad som framgår av artikel 58.2 i.
Sanktionsavgifter
2 § Tillsynsmyndigheten får ta ut en sanktionsavgift av en myndighet vid överträdelser som avses i artikel 83.4, 83.5 och 83.6 i EU:s dataskyddsförordning, i den ursprungliga lydelsen. Då ska artikel 83.1, 83.2 och 83.3 i förordningen tillämpas.
Sanktionsavgiften ska bestämmas till högst 5 000 000 kronor vid överträdelser som avses i artikel 83.4 i EU:s dataskyddsförordning och till högst 10 000 000 kronor vid överträdelser som avses i artikel 83.5 och 83.6 i förordningen.
Paragrafen slår fast att sanktionsavgifter enligt dataskyddsförordningen kan tas ut även av myndigheter, och anger de övre beloppsgränser som gäller i sådana fall. Paragrafen har ingen motsvarighet i personuppgiftslagen. Övervägandena finns i avsnitt 16.2.
Bestämmelserna i paragrafen har sin grund i artikel 83.7 i dataskyddsförordningen, enligt vilken varje medlemsstat får reglera om och i vilken utsträckning det ska vara möjligt att besluta om administrativa sanktionsavgifter mot offentliga myndigheter och organ.
Bestämmelsen i första stycket innebär att tillsynsmyndigheten får ta ut en sanktionsavgift även av en myndighet vid överträdelser av dataskyddsförordningen samt att de allmänna villkor för påförande av sanktionsavgifter som anges i artikel 83.1-3 i förordningen då ska tillämpas. Med myndighet avses detsamma som i 3 kap. 3 §, se kommentaren till den paragrafen. Hänvisningen till dataskyddsförordningen i första stycket är statisk, dvs. avser den ursprungliga lydelsen av förordningen.
I andra stycket fastställs de beloppsgränser som gäller vid sanktionsavgifter mot myndigheter. Sanktionsavgiften ska bestämmas till högst 5 000 000 kronor vid överträdelser som avses i artikel 83.4 i dataskyddsförordningen. Vid överträdelser som avses i artikel 83.5 och 83.6 i förordningen ska avgiften bestämmas till högst 10 000 000 kronor.
3 § Tillsynsmyndigheten får ta ut en sanktionsavgift vid överträdelser av artikel 10 i EU:s dataskyddsförordning, i den ursprungliga lydelsen. Då ska artikel 83.1, 83.2 och 83.3 i förordningen tillämpas. Avgiftens storlek ska bestämmas med tillämpning av artikel 83.5 i förordningen.
Paragrafen, som saknar motsvarighet i personuppgiftslagen, reglerar möjligheten att ta ut sanktionsavgifter vid överträdelser av artikel 10 i dataskyddsförordningen om behandling av personuppgifter som rör lagöverträdelser. Övervägandena finns i avsnitt 16.3.3.
Paragrafen har sin grund i artikel 84 i dataskyddsförordningen.
Bestämmelsen innebär att tillsynsmyndigheten får ta ut en sanktionsavgift även vid överträdelser av artikel 10 i dataskyddsförordningen om behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder. Vidare innebär bestämmelsen att artikel 83.1, 83.2 och 83.3 ska gälla vid beslut om sådana sanktionsavgifter och att den övre beloppsgränsen enligt artikel 83.5 i förordningen är tillämplig. Hänvisningen till dataskyddsförordningen i denna paragraf är statisk, dvs. avser den ursprungliga lydelsen av förordningen.
Enligt 3 kap. 8 § första stycket får myndigheter behandla personuppgifter som rör lagöverträdelser. I fråga om myndigheter blir det därmed inte aktuellt att ta ut sanktionsavgifter enligt den nu kommenterade paragrafen.
4 § En sanktionsavgift får inte beslutas om den som avgiften ska tas ut av inte har fått tillfälle att yttra sig inom fem år från den dag då överträdelsen ägde rum.
Ett beslut om sanktionsavgift ska delges.
Paragrafen, som saknar motsvarighet i personuppgiftslagen, reglerar bl.a. den bortre tidsgränsen för när en sanktionsavgift får beslutas. Övervägandena finns i avsnitt 16.4.
Första stycket innebär att om kommunikation enligt förvaltningslagen med den som avgiften ska tas ut av inte har skett inom fem år från den dag då överträdelsen ägde rum, får en sanktionsavgift inte tas ut. Bevisbördan för att kommunikation har skett ligger på tillsynsmyndigheten.
Av andra stycket framgår att ett beslut om sanktionsavgift ska delges. Det innebär att myndigheten ska använda sig av de metoder för delgivning som regleras i delgivningslagen.
5 § En sanktionsavgift tillfaller staten.
Paragrafen, som saknar motsvarighet i personuppgiftslagen, föreskriver att sanktionsavgifter ska tillfalla staten. Övervägandena finns i avsnitt 16.4.
6 § En sanktionsavgift ska betalas till den myndighet som regeringen bestämmer inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft eller inom den längre tid som anges i beslutet.
Om sanktionsavgiften inte betalas inom den tid som anges i första stycket, ska myndigheten lämna den obetalda avgiften för indrivning. Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m. Vid indrivning får verkställighet ske enligt utsökningsbalken.
Paragrafen, som saknar motsvarighet i personuppgiftslagen, reglerar betalning och indrivning av sanktionsavgifter. Övervägandena finns i avsnitt 16.4.
7 § Regeringen får meddela ytterligare föreskrifter om sanktionsavgifter enligt EU:s dataskyddsförordning och denna lag.
Paragrafen innehåller ett bemyndigande för regeringen att meddela föreskrifter om sanktionsavgifter enligt dataskyddsförordningen och lagen. Övervägandena finns i avsnitt 16.4.
Föreskrifter som meddelas med stöd av bemyndigandet i denna paragraf ska avse sådana sanktionsavgifter som regleras i dataskyddsförordningen eller lagen. Bemyndigandet kan således inte läggas till grund för föreskrifter som utvidgar det sanktionerade området.
7 kap. Skadestånd och överklagande
Skadestånd
1 § Rätten till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet enligt artikel 82 i EU:s dataskyddsförordning gäller vid överträdelser av bestämmelser i denna lag och andra föreskrifter som kompletterar EU:s dataskyddsförordning.
Paragrafen upplyser om rätten till skadestånd vid överträdelser av föreskrifter som kompletterar dataskyddsförordningen. Bestämmelsen saknar motsvarighet i personuppgiftslagen. Övervägandena finns i avsnitt 17.1.1.
Bestämmelsen har sin grund i artikel 82 i dataskyddsförordningen och i skäl 146 till förordningen.
I paragrafen anges att rätten till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet enligt dataskyddsförordningen gäller vid överträdelser av bestämmelser i lagen och i andra föreskrifter som kompletterar dataskyddsförordningen. Med föreskrifter som kompletterar dataskyddsförordningen avses detsamma som i 6 kap. 1 §, se kommentaren till den paragrafen.
Överklagande av personuppgiftsansvariga myndigheters beslut
2 § Beslut enligt artiklarna 12.5 och 15-21 i EU:s dataskyddsförordning som har meddelats av en myndighet i egenskap av personuppgiftsansvarig får överklagas till allmän förvaltningsdomstol.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Första stycket gäller inte beslut av regeringen, Högsta domstolen, Högsta förvaltningsdomstolen eller Riksdagens ombudsmän.
Paragrafen reglerar rätten att överklaga beslut som en personuppgiftsansvarig myndighet meddelar med anledning av att en registrerad utövar sina rättigheter enligt dataskyddsförordningen. Paragrafen motsvarar delvis 52 § PUL. Övervägandena finns i avsnitt 17.1.2.
Av första stycket framgår vilka bestämmelser i dataskyddsförordningen som kan föranleda överklagbara beslut, nämligen artiklarna 12.5 och 15-21. Med myndighet avses detsamma som i 3 kap. 3 §, se kommentaren till den paragrafen.
I andra stycket anges att prövningstillstånd krävs vid överklagande till kammarrätten.
Enligt tredje stycket gäller rätten att överklaga inte sådana beslut som fattas av regeringen, Högsta domstolen, Högsta förvaltningsdomstolen eller Riksdagens ombudsmän.
Överklagande av tillsynsmyndighetens beslut
3 § Tillsynsmyndighetens beslut enligt EU:s dataskyddsförordning och enligt 6 kap. 2 och 3 §§ denna lag får överklagas till allmän förvaltningsdomstol. När ett beslut överklagas, är tillsynsmyndigheten motpart i domstolen.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Paragrafen, som reglerar rätten att överklaga tillsynsmyndighetens beslut, motsvarar i sak 51 § och 53 § andra stycket PUL. Övervägandena finns i avsnitt 17.5.
Bestämmelsen har sin grund i artikel 78.1 i dataskyddsförordningen.
Av första stycket framgår att tillsynsmyndighetens beslut enligt dataskyddsförordningen samt om sanktionsavgifter enligt lagen får överklagas till allmän förvaltningsdomstol. Vidare anges att tillsynsmyndigheten är motpart i domstolen när ett beslut överklagas.
Enligt andra stycket krävs prövningstillstånd vid överklagande till kammarrätten.
Överklagande av vissa andra beslut
4 § Beslut enligt 2 kap. 3 § andra stycket, 3 kap. 6 § tredje stycket och 3 kap. 9 § andra stycket denna lag får överklagas till allmän förvaltningsdomstol.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Paragrafen reglerar rätten att överklaga vissa beslut i enskilda fall. Rubriken har utformats enligt Lagrådets förslag. Övervägandena finns i avsnitt 17.5.
Av första stycket framgår att beslut i enskilda fall om att personuppgiftsansvariga som inte omfattas av föreskrifter om arkiv får behandla personuppgifter för arkivändamål av allmänt intresse samt om att andra än myndigheter får behandla personuppgifter som rör lagöverträdelser får överklagas till allmän förvaltningsdomstol.
Enligt andra stycket krävs prövningstillstånd vid överklagande till kammarrätten.
Överklagandeförbud
5 § Andra beslut enligt EU:s dataskyddsförordning eller denna lag än de som avses i 2-4 §§ får inte överklagas.
Paragrafen, som innehåller ett förbud mot att överklaga andra beslut än de som anges i 2-4 §§, motsvarar i sak 53 § PUL. Övervägandena finns i avsnitt 17.1.2 och 17.5.
Bestämmelsen innebär att beslut om att meddela föreskrifter med stöd av bemyndigandena i lagen inte får överklagas. Vidare innebär bestämmelsen att beslut som personuppgiftsansvariga myndigheter fattar enligt dataskyddsförordningen inte får överklagas i andra fall än de som anges i 2 §.
Ikraftträdande- och övergångsbestämmelser
1. Denna lag träder i kraft den 25 maj 2018.
2. Genom lagen upphävs personuppgiftslagen (1998:204).
3. I stället för vad som sägs i 1 kap. 2 § ska den upphävda lagen fortsätta att gälla i sådan verksamhet hos Försvarsmakten, Försvarets radioanstalt och Totalförsvarets rekryteringsmyndighet som inte omfattas av unionsrätten.
4. Den upphävda lagen gäller fortfarande vid sådan behandling av personuppgifter som avses i artikel 2.2 d i EU:s dataskyddsförordning, i den ursprungliga lydelsen.
5. Den upphävda lagen gäller fortfarande i den utsträckning som det i en annan lag eller en förordning finns bestämmelser som innehåller hänvisningar till den lagen.
6. Den upphävda lagen gäller fortfarande för överklagande av beslut som har meddelats med stöd av den lagen.
7. Bestämmelsen i 49 § den upphävda lagen gäller fortfarande för överträdelser som har skett före ikraftträdandet.
8. Beslut som har meddelats med stöd av 21 § fjärde stycket den upphävda lagen gäller fortfarande.
Lagen träder enligt bestämmelsen i punkt 1 i kraft den 25 maj 2018, dvs. den dag då dataskyddsförordningen börjar tillämpas. Bestämmelsen hindrar inte att tillsynsmyndigheten, en personuppgiftsansvarig eller ett personuppgiftsbiträde innan dess vidtar de administrativa åtgärder som behövs för att dataskyddsförordningen och lagen ska kunna tillämpas i sin helhet från och med ikraftträdandet.
Av punkt 2 framgår att personuppgiftslagen upphävs genom lagen.
Enligt punkt 3 ska, i stället för vad som sägs i 1 kap. 2 §, personuppgiftslagen fortsätta att gälla i sådan verksamhet hos Försvarsmakten, Försvarets radioanstalt och Totalförsvarets rekryteringsmyndighet som inte omfattas av unionsrätten. Bestämmelsen innebär att dataskyddsförordningen och lagen inte ska tillämpas i sådan verksamhet. Bestämmelsen är av övergångskaraktär och ska upphävas i samband med att en anpassad lagstiftning om behandling av personuppgifter i denna verksamhet träder i kraft.
Enligt punkt 4 ska personuppgiftslagen fortfarande gälla vid sådan behandling av personuppgifter som avses i artikel 2.2 d i dataskyddsförordningen. Den behandling som avses är behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. Sådan behandling är undantagen från dataskyddsförordningens tillämpningsområde och regleras i stället i det nya dataskyddsdirektivet. Bestämmelsen är av övergångskaraktär och ska upphävas i samband med att den lagstiftning som genomför det nya dataskyddsdirektivet träder i kraft.
Punkt 5 anger att personuppgiftslagen fortfarande gäller i den utsträckning som det i en annan lag eller en förordning finns bestämmelser som innehåller hänvisningar till den lagen. Bestämmelsen innebär att personuppgiftslagen övergångsvis fortsätter att gälla, vid sidan av dataskyddsförordningen, i den utsträckning som det finns hänvisningar i specialförfattningar till personuppgiftslagen.
Enligt punkt 6 gäller personuppgiftslagen fortfarande för överklagande av beslut som har meddelats med stöd av den lagen.
Bestämmelsen i punkt 7 innebär att personuppgiftslagens straffbestämmelse fortfarande gäller för straffbelagda gärningar som har begåtts vid behandling före den 25 maj 2018, men som inte har lagförts före ikraftträdandet av den nya lagen. Administrativa sanktionsavgifter enligt dataskyddsförordningen kan däremot inte tas ut för en sådan överträdelse.
Slutligen ska enligt punkt 8 sådana beslut i enskilda fall avseende behandling av personuppgifter om lagöverträdelser m.m. som har meddelats med stöd av 21 § fjärde stycket PUL fortfarande gälla. Sådana äldre beslut innebär således att det är tillåtet enligt svensk rätt att behandla personuppgifter som avses i artikel 10 i dataskyddsförordningen.
Övervägandena finns i avsnitt 18.
20.2 Förslaget till lag om ändring i offentlighets- och sekretesslagen (2009:400)
10 kap.
27 § Utöver vad som följer av 2, 3, 5 och 15-26 §§ får en sekretessbelagd uppgift lämnas till en myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda.
Första stycket gäller inte i fråga om sekretess enligt 24 kap. 2 a och 8 §§, 25 kap. 1-8 §§, 26 kap. 1-6 §§, 29 kap. 1 och 2 §§, 31 kap. 1 § första stycket, 2 och 12 §§, 33 kap. 2 §, 36 kap. 3 § samt 40 kap. 2 och 5 §§.
Första stycket gäller inte heller om utlämnandet strider mot lag eller förordning.
Paragrafen reglerar utlämnande av uppgifter som omfattas av sekretess mellan myndigheter i fall då det saknas uttryckliga sekretessbrytande regler. Ändringen innebär att tredje styckets hänvisning till föreskrifter som har meddelats med stöd av personuppgiftslagen stryks. Övervägandena finns i avsnitt 15.4.
21 kap.
Behandling i strid med dataskyddsregleringen
7 § Sekretess gäller för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), i den ursprungliga lydelsen, eller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning.
Paragrafen reglerar sekretess i fall där det kan antas att utlämnade uppgifter kommer att behandlas i strid med dataskyddsregleringen. Övervägandena finns i avsnitt 15.3.
Ändringen i paragrafen innebär dels ett förtydligande av att prövningen gäller den behandling som kommer att ske efter ett eventuellt utlämnande, dels att hänvisningen till personuppgiftslagen ersätts med en hänvisning till dataskyddsförordningen och dataskyddslagen. En konsekvens av att hänvisningen inte enbart avser nationell rätt är att utlämnanden till utländska mottagare som omfattas av dataskyddsförordningens tillämpningsområde också omfattas av sekretessbestämmelsen.
Hänvisningen till dataskyddsförordningen i denna paragraf är statisk, dvs. avser den ursprungliga lydelsen av förordningen.
EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)
Sammanfattning av betänkandet Ny dataskyddslag - Kompletterande bestämmelser till EU:s dataskyddsförordning (SOU 2017:39)
Inledning
EU:s nya dataskyddsförordning ska tillämpas från och med den 25 maj 2018. Dataskyddsförordningen är direkt tillämplig i Sverige men ger utrymme för kompletterande nationella bestämmelser av olika slag.
Vårt övergripande uppdrag har varit att föreslå en ny nationell reglering som på ett generellt plan kompletterar dataskyddsförordningen. I vårt uppdrag har däremot inte ingått att se över de s.k. registerförfattningarna eller annan sektorsspecifik reglering om behandling av personuppgifter. Vi har inte heller haft i uppdrag att analysera eller beskriva vilka förändringar som dataskyddsförordningen i sig innebär. Det är därmed bara ett fåtal av alla de frågor som regleras i dataskyddsförordningen som behandlas eller ens nämns i detta betänkande.
Vi har, inom ramen för vårt uppdrag, strävat efter att den personuppgiftsbehandling som är tillåten i dag i möjligaste mån ska kunna fortsätta. Vårt arbete har alltså inte syftat till att vare sig utvidga eller inskränka möjligheterna till behandling av personuppgifter, annat än då dataskyddsförordningen kräver en sådan förändring.
Ett nytt svenskt regelverk om dataskydd
Vi föreslår att personuppgiftslagen (1998:204) och personuppgiftsförordningen (1998:1191) ska upphävas och att de kompletterande bestämmelser som är av generell karaktär samlas i en ny övergripande lag och förordning om dataskydd. För att betona att författningarna inte är heltäckande, utan endast utgör komplement till dataskyddsförordningen, bör de benämnas lagen med kompletterande bestämmelser till EU:s dataskyddsförordning respektive förordningen med kompletterande bestämmelser till EU:s dataskyddsförordning. Vi har valt att kalla den nya lagen dataskyddslagen i detta betänkande.
Dataskyddsförordningen ska gälla även i verksamhet som inte omfattas av unionsrätten
Behandling av personuppgifter som utförs som ett led i en verksamhet som inte omfattas av unionsrätten, t.ex. i verksamhet som rör nationell säkerhet, omfattas inte av dataskyddsförordningen. Detsamma gäller behandling av personuppgifter i verksamhet som omfattas av EU:s gemensamma utrikes- och säkerhetspolitik. För att säkerställa att det inom varje verksamhet finns ett fullgott skydd av personuppgifter anser vi dock att förordningens bestämmelser i tillämpliga delar bör gälla även i dessa fall. Vårt förslag om utsträckt tillämpningsområde hindrar dock inte att det för en viss sådan verksamhet införs en särskild reglering, om det skulle anses mer lämpligt.
Sektorsspecifika bestämmelser ska ha företräde framför dataskyddslagen
De bestämmelser som vi föreslår är av generell karaktär. På vissa områden kommer det att finnas behov av lag- eller förordningsbestämmelser kring behandling av personuppgifter som avviker från dataskyddslagens reglering. Det kan t.ex. röra sig om bestämmelser som specificerar den rättsliga grunden för en myndighets behandling av personuppgifter, begränsningar av rätten att behandla känsliga personuppgifter i en viss verksamhet eller särskilda förfaranderegler. Vi föreslår att sådana avvikande bestämmelser ska ha företräde framför dataskyddslagen. Det innebär dock inte att de därigenom också får företräde framför dataskyddsförordningen inom det aktuella området. För att en avvikande bestämmelse i exempelvis en registerförfattning ska kunna tillämpas, måste den vara förenlig med dataskyddsförordningen och avse en fråga som får särregleras genom nationell rätt.
Annorlunda förhåller det sig när det gäller verksamhet som inte omfattas av unionsrätten, dvs. där dataskyddsförordningen inte är direkt tillämplig men där den har fått ett utsträckt tillämpningsområde genom dataskyddslagen. I det fallet kan det genom ett undantag i lag eller förordning föreskrivas att dataskyddsförordningen inte ska gälla i verksamheten. Ett sådant undantag kan också ange att endast vissa delar av dataskyddsförordningen inte ska gälla.
Förhållandet till våra grundlagar förändras inte
Våra detaljerade tryck- och yttrandefrihetsgrundlagar är unika i jämförelse med hur motsvarande reglering ser ut i övriga Europa. Dataskyddsförordningen inskränker inte möjligheterna att behandla personuppgifter på det grundlagsreglerade området. Det får inte råda någon osäkerhet kring detta, eftersom det skulle kunna få påverkan på vitala och mycket känsliga delar av den opinionsskapande verksamheten, såsom meddelarfrihet och källskydd. Vi föreslår därför en upplysningsbestämmelse som tydliggör att bestämmelserna i dataskyddsförordningen och i dataskyddslagen inte ska tillämpas i den utsträckning det skulle strida mot grundlagsbestämmelserna om tryck- och yttrandefrihet.
Utanför det grundlagsskyddade området föreslår vi att ett undantag från dataskyddsförordningen införs för sådan behandling av personuppgifter som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande. Vissa av dataskyddsförordningens bestämmelser, bland annat de som rör säkerhet för personuppgifter, ska dock tillämpas även i dessa fall.
Utrymmet för att ge offentlighetsprincipen företräde framför personuppgiftsregleringen är tydligt i dataskyddsförordningen. Tryckfrihetsförordningens reglering om allmänhetens tillgång till handlingar kan alltså fortsätta att tillämpas, även när det gäller allmänna handlingar som innehåller personuppgifter.
Barn som har fyllt 13 år ska i vissa fall kunna samtycka till behandling av personuppgifter
Enligt förordningen ska ett barn ha fyllt 16 år för att självt kunna samtycka till behandling av personuppgifter vid erbjudandet av informationssamhällets tjänster, t.ex. sociala medier, söktjänster och s.k. appar för smarta enheter. Vi föreslår att denna åldersgräns ska sänkas till 13 år i Sverige. För barn yngre än så krävs att samtycket lämnas av vårdnadshavaren eller att barnets samtycke godkänns av denne.
Rättsliga förpliktelser, myndighetsutövning och uppgifter av allmänt intresse ska vara särskilt reglerade för att utgöra rättslig grund
Enligt dataskyddsförordningen måste en rättslig förpliktelse, myndighetsutövning eller uppgift av allmänt intresse vara fastställd i enlighet med nationell rätt eller unionsrätt för att kunna utgöra rättslig grund för behandling av personuppgifter. Vi föreslår bestämmelser i dataskyddslagen som förtydligar hur dessa företeelser fastställs i enlighet med svensk rätt. En rättslig förpliktelse är enligt svensk rätt fastställd om den gäller enligt lag eller annan författning eller följer av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning. Myndighetsutövning fastställs i svensk rätt genom lag eller annan författning. Uppgifter av allmänt intresse är fastställda i enlighet med svensk rätt om de följer av lag eller annan författning eller av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning.
Med anledning av att vårt uppdrag har omfattat arkivfrågor har vi uppmärksammat att enskilda arkivinstitutioner kan sakna en fastställd rättslig grund för behandling av personuppgifter. I avvaktan på den breda översyn av arkivväsendet som regeringen har aviserat, föreslår vi att rättslig grund ska kunna fastställas av Riksarkivet, genom föreskrifter eller beslut i enskilda fall.
Känsliga personuppgifter får behandlas bara om det uttryckligen är tillåtet
Enligt dataskyddsförordningen gäller som huvudregel, liksom tidigare, ett förbud mot behandling av känsliga personuppgifter. Behandling av sådana personuppgifter får ske bara om det finns stöd i någon av förordningens undantagsbestämmelser. Vissa undantag från förbudet följer direkt av förordningen, medan andra förutsätter stöd även i nationell rätt. Vi föreslår att ett sådant stöd ska införas i dataskyddslagen när det gäller nödvändig behandling av personuppgifter på arbetsrättens område, inom hälso- och sjukvård, i social omsorg, i arkivverksamhet och i statistisk verksamhet. Stödet för behandlingen ska vara förenat med vissa restriktioner.
Myndigheter ska få behandla känsliga personuppgifter med stöd av ett nytt myndighetsundantag
Myndigheter har ofta berättigade skäl att behandla känsliga personuppgifter och i många fall sker detta i den registrerades eget intresse. För att säkerställa att nödvändig behandling kan ske även efter det att dataskyddsförordningen börjar gälla bedömer vi att det krävs ett nytt undantag för behandling av känsliga personuppgifter hos myndigheter. Vi föreslår att sådan behandling ska få ske
- i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende,
- om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag, eller
- i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
Vi föreslår också att det vid behandling som sker med stöd av det nya myndighetsundantaget ska vara förbjudet att använda sökbegrepp som avslöjar känsliga personuppgifter.
Personuppgifter som rör lagöverträdelser ska få behandlas av myndigheter och annars bara om det uttryckligen är tillåtet
Vi föreslår att behandling av personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel även fortsättningsvis ska få utföras av myndigheter.
För att andra än myndigheter ska få behandla sådana uppgifter föreslår vi att det måste finnas uttryckligt stöd i lag eller förordning eller i föreskrifter eller förvaltningsbeslut från Datainspektionen. Vi föreslår ett sådant stöd i lag när det gäller uppgifter som behandlas för arkivändamål av allmänt intresse, förutsatt att behandlingen sker som en följd av de skyldigheter att bevara och vårda handlingar som anges i arkivlagstiftningen och andra föreskrifter.
Personnummer får under vissa förutsättningar behandlas även i fortsättningen
Vi föreslår att uppgifter om personnummer eller samordningsnummer även fortsättningsvis ska få behandlas när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.
Det finns begränsningar för när arkiverade uppgifter och statistikuppgifter får användas för åtgärder mot den registrerade
Personuppgifter som behandlas enbart för arkivändamål av allmänt intresse eller för statistiska ändamål får enligt vårt förslag inte användas för att vidta åtgärder i fråga om den registrerade, annat än om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen.
Begränsningen i fråga om arkiverade uppgifter ska inte gälla för myndigheter. Det ska däremot begränsningen rörande statistikuppgifter göra.
Rätten till registerutdrag och information m.m. ska i vissa fall vara begränsad
Den registrerades rättigheter stärks genom dataskyddsförordningen. Dessa rättigheter är dock inte ovillkorliga. Vissa viktiga undantag från rättigheterna regleras direkt i förordningen. Vi föreslår därutöver att rätten till information och s.k. registerutdrag inte ska gälla uppgifter som omfattas av sekretess. Rätten till registerutdrag ska som huvudregel inte heller gälla personuppgifter som finns i löpande text som utgör utkast eller minnesanteckning. Hos Riksarkivet och andra arkivmyndigheter ska rätten till registerutdrag, rättelse m.m. vara begränsad när det gäller personuppgifter som finns i arkivmaterial som tagits emot för förvaring av myndigheten.
Vissa beslut som fattas av en personuppgiftsansvarig myndighet får överklagas till domstol
I likhet med vad som gäller enligt personuppgiftslagen ska vissa beslut som en myndighet fattar i egenskap av personuppgiftsansvarig kunna överklagas till allmän förvaltningsdomstol. Det gäller sådana beslut som myndigheten fattar med anledning av att den registrerade utövar sina rättigheter enligt dataskyddsförordningen. Det kan t.ex. röra sig om avslagsbeslut på begäran om att den registrerade ska få tillgång till sina personuppgifter, att uppgifter ska rättas eller raderas eller att en behandling ska begränsas.
Den registrerade kan begära skadestånd
Den registrerade har enligt dataskyddsförordningen rätt till ersättning från den personuppgiftsansvarige eller ett personuppgiftsbiträde om skada har uppstått på grund av överträdelser av förordningen. Vi föreslår att det i dataskyddslagen förtydligas att denna rätt till skadestånd även gäller vid överträdelser av bestämmelser i dataskyddslagen och andra författningar som kompletterar förordningen.
Datainspektionen ska utöva tillsyn
Datainspektionen ska vara den myndighet som ska utöva tillsyn och övervaka att bestämmelserna i dataskyddsförordningen och dataskyddslagen efterlevs. Inspektionens tillsynsbefogenheter anges i dataskyddsförordningen. Dessa befogenheter ska enligt vårt förslag gälla även vid tillsynen över att dataskyddslagen och annan kompletterande lagstiftning följs.
Datainspektionens beslut enligt dataskyddsförordningen och dataskyddslagen får överklagas till allmän förvaltningsdomstol.
Datainspektionen ska behandla klagomål inom tre månader
Om en registrerad anser att personuppgifter behandlas på ett sätt som strider mot dataskyddsförordningen kan ett klagomål lämnas in till Datainspektionen. Klagomålet ska behandlas inom tre månader. Om det inte sker får den registrerade enligt vårt förslag begära ett besked i frågan om Datainspektionen avser att utöva tillsyn eller inte. Om Datainspektionen behöver mer tid för att behandla klagomålet, får begäran avslås genom ett motiverat beslut. Den registrerade får överklaga detta beslut till allmän förvaltningsdomstol genom en s.k. dröjsmålstalan.
Sanktionsavgift kan tas ut även av myndigheter som gör fel
Genom dataskyddsförordningen införs en möjlighet för Datainspektionen att ta ut en administrativ sanktionsavgift av ett företag eller andra enskilda som bryter mot dataskyddsregleringen. En sådan sanktionsavgift ska enligt vårt förslag även kunna tas ut av en myndighet.
Vi föreslår inte någon straffbestämmelse motsvarande den som gäller enligt personuppgiftslagen.
Sekretessfrågor
Genom dataskyddsförordningen införs en skyldighet för myndigheter och vissa företag att utse ett dataskyddsombud. Ombudet ska vara bundet av sekretess enligt unionsrätten eller den nationella rätten.
För dataskyddsombud som deltar i det allmännas verksamhet gäller offentlighets- och sekretesslagens bestämmelser om sekretess. För den privata sektorn föreslår vi att tystnadsplikt ska gälla för dataskyddsombud i fråga om sådant som ombudet har fått veta om enskilds personliga eller ekonomiska förhållanden.
Konsekvenser
Dataskyddsförordningens direkt tillämpliga bestämmelser kommer att leda till konsekvenser, både för det allmänna och för enskilda. Vi har dock inte haft i uppgift att bedöma eller redovisa dessa konsekvenser. I vårt uppdrag ingår däremot att bedöma konsekvenserna av våra förslag, i den mån dessa medför förändringar jämfört med vad som gäller i dag.
Våra förslag innebär att Riksarkivet, Datainspektionen och de allmänna förvaltningsdomstolarna får något fler arbetsuppgifter. Vi bedömer dock att kostnadsökningarna för berörda aktörer inte kommer att bli större än att de ryms inom de befintliga anslagen.
Våra förslag medför inga nya kostnader eller ökad administrativ börda för enskilda.
Vi anser att förslagen stärker skyddet för enskildas personliga integritet.
Lagförslagen i SOU 2017:39
Förslag till lag med kompletterande bestämmelser till EU:s dataskyddsförordning
Härigenom föreskrivs följande.
1 kap. Inledande bestämmelser
1 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen.
Termer och uttryck som används i denna lag har samma betydelse som i dataskyddsförordningen.
2 § Bestämmelserna i dataskyddsförordningen, i den ursprungliga lydelsen, och i denna lag ska i tillämpliga delar gälla även vid behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten och i verksamhet som omfattas av avdelning V kapitel 2 i fördraget om Europeiska unionen.
Avvikande bestämmelser i annan författning
3 § Om en annan lag eller en förordning innehåller någon bestämmelse som rör behandling av personuppgifter och som avviker från denna lag tillämpas den bestämmelsen.
Förhållandet till tryck- och yttrandefriheten
4 § Bestämmelserna i dataskyddsförordningen och i denna lag ska inte tillämpas i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen.
Bestämmelserna i kapitel II och III, artiklarna 24-30 och 35-43 och kapitel V i dataskyddsförordningen samt i 2-5 kap. denna lag ska inte tillämpas på behandling av personuppgifter som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande.
Organ som ska jämställas med myndigheter
5 § Vid tillämpningen av 3 kap. 3 § 2 och 4 § samt 4 kap. 1 § andra stycket ska andra organ än myndigheter jämställas med myndigheter, i den utsträckning bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400) gäller i organets verksamhet.
Tystnadsplikt för dataskyddsombud
6 § Den som utsetts till dataskyddsombud enligt artikel 37 i dataskyddsförordningen får inte obehörigen röja det som han eller hon vid fullgörandet av sin uppgift har fått veta om enskilds personliga och ekonomiska förhållanden.
I det allmännas verksamhet tillämpas offentlighets- och sekretesslagen (2009:400) i stället för första stycket.
2 kap. Rättslig grund
1 § Av dataskyddsförordningen framgår att personuppgifter får behandlas endast om minst ett av de villkor som anges i artikel 6.1 i förordningen är uppfyllt.
2 § Vid erbjudande av informationssamhällets tjänster direkt till ett barn, ska vid tillämpningen av artikel 6.1 a i dataskyddsförordningen behandling av personuppgifter som rör ett barn vara tillåten om barnet är minst 13 år. Om barnet är under 13 år ska sådan behandling vara tillåten endast om och i den mån samtycke ges eller godkänns av den person som har föräldraansvar för barnet.
Rättslig förpliktelse
3 § Personuppgifter får behandlas med stöd av artikel 6.1 c i dataskyddsförordningen om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse som
1. gäller enligt lag eller annan författning,
2. följer av kollektivavtal, eller
3. följer av beslut som har meddelats med stöd av lag eller annan författning.
Uppgift av allmänt intresse och myndighetsutövning
4 § Personuppgifter får behandlas med stöd av artikel 6.1 e i dataskyddsförordningen om behandlingen är nödvändig
1. för att den personuppgiftsansvarige ska kunna utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning, eller
2. som ett led i den personuppgiftsansvariges myndighetsutövning enligt lag eller annan författning.
Enskilda arkiv
5 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om behandling av personuppgifter för arkivändamål av allmänt intresse, när det gäller andra enskilda organ än de som omfattas av bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400).
Den myndighet som regeringen bestämmer får även i enskilda fall besluta att sådana enskilda organ som avses i första stycket får behandla personuppgifter för arkivändamål av allmänt intresse.
3 kap. Vissa kategorier av personuppgifter
Känsliga personuppgifter
1 § Utöver vad som framgår av artikel 9.2 a, c, d, e eller f i dataskyddsförordningen får sådana särskilda kategorier av personuppgifter som anges i artikel 9.1 i dataskyddsförordningen (känsliga personuppgifter) behandlas om förutsättningarna i någon av 2-8 §§ är uppfyllda.
Arbetsrätt
2 § Känsliga personuppgifter får med stöd av artikel 9.2 b i dataskyddsförordningen behandlas om det är nödvändigt för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten.
Personuppgifter som behandlas med stöd av första stycket får lämnas ut till tredje part endast om det inom arbetsrätten finns en skyldighet att göra det eller om den registrerade uttryckligen har samtyckt till utlämnandet.
Myndigheters behandling i vissa fall
3 § Känsliga personuppgifter får med stöd av artikel 9.2 g i dataskyddsförordningen behandlas av en myndighet
1. i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende,
2. om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag, eller
3. i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
4 § Vid behandling som sker enbart med stöd av 3 § får en myndighet inte använda sökbegrepp som avslöjar känsliga person-uppgifter.
Hälso- och sjukvård och social omsorg
5 § Känsliga personuppgifter får med stöd av artikel 9.2 h i dataskyddsförordningen behandlas om behandlingen är nödvändig av skäl som hör samman med
1. förebyggande hälso- och sjukvård och yrkesmedicin,
2. bedömningen av en arbetstagares arbetskapacitet,
3. medicinska diagnoser,
4. tillhandahållande av hälso- och sjukvård eller behandling,
5. social omsorg, eller
6. förvaltning av social omsorg, hälso- och sjukvårdstjänster samt deras system.
Behandling enligt första stycket får ske under förutsättning att kravet på tystnadsplikt i artikel 9.3 i dataskyddsförordningen är uppfyllt.
Arkiv
6 § Känsliga personuppgifter får med stöd av artikel 9.2 j i data-skyddsförordningen behandlas för arkivändamål av allmänt intresse om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om bevarande och vård av arkiv.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att känsliga personuppgifter får behandlas för arkivändamål av allmänt intresse även i andra fall än de som avses i första stycket.
Den myndighet som regeringen bestämmer får även i enskilda fall besluta att andra enskilda organ än de som omfattas av bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400) får behandla känsliga personuppgifter för arkivändamål av allmänt intresse.
Statistik
7 § Känsliga personuppgifter får med stöd av artikel 9.2 j i dataskyddsförordningen behandlas om behandlingen är nödvändig för statistiska ändamål och samhällsintresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära.
Bemyndigande
8 § Regeringen får meddela föreskrifter om ytterligare undantag från förbudet att behandla känsliga personuppgifter i artikel 9.1 i dataskyddsförordningen om det behövs med hänsyn till ett viktigt allmänt intresse.
Personuppgifter som rör lagöverträdelser
Behandling under kontroll av myndighet
9 § Personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel får enligt artikel 10 i dataskyddsförordningen behandlas av myndigheter.
10 § Den myndighet som regeringen bestämmer får i enskilda fall besluta att andra än myndigheter får behandla sådana uppgifter som avses i 9 §.
Arkiv
11 § Behandling av sådana personuppgifter som avses i 9 § får ske om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om bevarande och vård av arkiv.
Bemyndigande
12 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om i vilka fall andra än myndigheter får behandla sådana personuppgifter som avses i 9 §.
Personnummer och samordningsnummer
13 § Uppgifter om personnummer eller samordningsnummer får behandlas utan samtycke endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.
14 § Regeringen får meddela ytterligare föreskrifter om i vilka fall behandling av personnummer och samordningsnummer är tillåten.
4 kap. Användningsbegränsningar
Arkiverade personuppgifter
1 § Personuppgifter som behandlas enbart för arkivändamål av allmänt intresse får inte användas för att vidta åtgärder i fråga om den registrerade, annat än om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen.
Begränsningen i första stycket hindrar dock inte myndigheter från att använda personuppgifter som finns i allmänna handlingar.
Statistikuppgifter
2 § Personuppgifter som behandlas enbart för statistiska ändamål får inte användas för att vidta åtgärder i fråga om den registrerade, annat än om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen.
5 kap. Begränsningar av vissa rättigheter och skyldigheter
Information och tillgång till personuppgifter
1 § Den registrerades rätt till information och tillgång till personuppgifter enligt artiklarna 13-15 i dataskyddsförordningen gäller inte sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning.
Om den personuppgiftsansvarige inte är en myndighet gäller undantaget i första stycket även för uppgifter som hos en myndighet skulle ha varit sekretessbelagda enligt offentlighets- och sekretesslagen (2009:400).
2 § Bestämmelsen om den registrerades rätt till tillgång till personuppgifter i artikel 15 i dataskyddsförordningen gäller inte personuppgifter i löpande text som inte fått sin slutliga utformning när begäran gjordes eller som utgör minnesanteckning eller liknande.
Undantaget i första stycket gäller inte om personuppgifterna
1. har lämnats ut till tredje part,
2. behandlas enbart för arkivändamål av allmänt intresse eller statistiska ändamål eller,
3. har behandlats under längre tid än ett år i löpande text som inte fått sin slutliga utformning.
Bemyndigande
3 § Regeringen får meddela föreskrifter om ytterligare begränsningar av vissa rättigheter och skyldigheter enligt artikel 23 i dataskyddsförordningen.
6 kap. Tillsynsmyndighetens handläggning och beslut
Befogenheter
1 § De befogenheter som tillsynsmyndigheten har enligt artikel 58.1, 58.2 och 58.3 i dataskyddsförordningen gäller även vid tillsyn över efterlevnaden av bestämmelserna i denna lag och andra författningar som kompletterar dataskyddsförordningen.
Ansökan hos allmän förvaltningsdomstol
2 § Om tillsynsmyndigheten vid handläggningen av ett ärende finner att det finns skäl att ifrågasätta giltigheten av en unionsrättsakt som påverkar tillämpningen av dataskyddsförordningen i ärendet, får tillsynsmyndigheten hos allmän förvaltningsdomstol ansöka om att en åtgärd enligt artikel 58.2 i dataskyddsförordningen ska vidtas.
Ansökan ska göras hos den förvaltningsrätt som är behörig att pröva ett överklagande av tillsynsmyndighetens beslut.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Kommunikation
3 § Innan tillsynsmyndigheten fattar ett beslut som avses i artikel 58.2 i dataskyddsförordningen, ska den som beslutet gäller ges tillfälle att inom en bestämd tid yttra sig över allt material av betydelse för beslutet, om det inte är uppenbart obehövligt.
Om saken är brådskande får myndigheten, i avvaktan på yttrandet, besluta att behandlingen av personuppgifter tillfälligt ska begränsas eller förbjudas i enlighet med artikel 58.2 f i dataskyddsförordningen. Det tillfälliga beslutet ska omprövas, när tiden för yttrande har gått ut.
Delgivning
4 § Ett beslut som avses i 3 § första stycket ska delges, om det inte är uppenbart obehövligt. Delgivning enligt 34-37 §§ delgivningslagen (2010:1932) får användas endast om det finns särskild anledning att anta att mottagaren har avvikit eller på annat sätt håller sig undan.
Besked angående handläggningen av ett klagomål
5 § Om tillsynsmyndigheten inte inom tre månader från den dag då ett klagomål kom in till myndigheten har behandlat klagomålet, ska tillsynsmyndigheten på skriftlig begäran av den registrerade antingen lämna besked i frågan om myndigheten avser att utöva tillsyn med anledning av klagomålet, eller i ett särskilt beslut avslå begäran om besked.
Besked eller beslut enligt första stycket ska meddelas inom två veckor från den dag då begäran om besked kom in till myndigheten.
Om tillsynsmyndigheten har avslagit en begäran om besked enligt första stycket, har den registrerade inte rätt till ett nytt besked i ärendet förrän tidigast tre månader efter det att myndighetens beslut meddelades.
7 kap. Administrativa sanktionsavgifter
1 § Sanktionsavgift får tas ut av en myndighet vid överträdelser som avses i artikel 83.4, 83.5 och 83.6 i dataskyddsförordningen, varvid artikel 83.1, 83.2 och 83.3 i förordningen ska tillämpas.
Vid överträdelser som avses i artikel 83.4 i dataskyddsförordningen ska avgiften bestämmas till högst 10 000 000 kronor och annars till högst 20 000 000 kronor.
2 § Sanktionsavgift får tas ut vid överträdelser av artikel 10 i dataskyddsförordningen, varvid artikel 83.1, 83.2 och 83.3 i förordningen ska tillämpas. Avgiftens storlek ska bestämmas med tillämpning av artikel 83.5 i förordningen.
3 § Sanktionsavgift får inte beslutas, om den som avgiften ska tas ut av inte har fått tillfälle att yttra sig enligt 6 kap. 3 § inom fem år från den dag då överträdelsen ägde rum.
4 § En sanktionsavgift som beslutats enligt dataskyddsförordningen eller denna lag tillfaller staten.
8 kap. Skadestånd och rättsmedel
Skadestånd
1 § Rätten till ersättning enligt artikel 82 i dataskyddsförordningen gäller även vid överträdelser av bestämmelser i denna lag och andra författningar som kompletterar dataskyddsförordningen.
Överklagande av beslut som fattats av en myndighet i egenskap av personuppgiftsansvarig
2 § Beslut enligt artiklarna 12.5, 15-19 eller 21 i dataskyddsförordningen som har meddelats av en myndighet i egenskap av personuppgiftsansvarig får överklagas till allmän förvaltningsdomstol.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Första stycket gäller inte beslut av riksdagen, regeringen, Högsta domstolen, Högsta förvaltningsdomstolen eller riksdagens ombudsmän.
Dröjsmålstalan
3 § Tillsynsmyndighetens beslut att avslå en begäran om besked enligt 6 kap. 5 § får överklagas till allmän förvaltningsdomstol.
Om domstolen bifaller överklagandet, ska den förelägga tillsynsmyndigheten att inom en bestämd tid lämna besked till den registrerade i frågan om tillsyn kommer att utövas.
Domstolens beslut får inte överklagas.
Överklagande av tillsynsmyndighetens beslut
4 § Tillsynsmyndighetens beslut enligt dataskyddsförordningen och enligt 7 kap. 1 och 2 §§ denna lag får överklagas till allmän förvaltningsdomstol.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Överklagande av beslut i enskilda fall
5 § Beslut enligt 2 kap. 5 § andra stycket, 3 kap. 6 § tredje stycket och 3 kap. 10 § denna lag får överklagas till allmän förvaltningsdomstol.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Överklagandeförbud
6 § Andra beslut enligt denna lag än de som avses i 2-5 §§ och 6 kap. 2 § får inte överklagas.
1. Denna lag träder i kraft den 25 maj 2018.
2. Genom lagen upphävs personuppgiftslagen (1998:204).
3. Den upphävda lagen gäller dock fortfarande i den utsträckning som det i en annan lag eller förordning finns bestämmelser som innehåller hänvisningar till den lagen.
4. Äldre föreskrifter gäller fortfarande för ärenden hos Datainspektionen som har inletts men inte avgjorts före ikraftträdandet.
5. Äldre föreskrifter gäller fortfarande för överklagande av beslut som har meddelats med stöd av dessa föreskrifter.
6. Äldre föreskrifter om skadestånd gäller fortfarande för skada som har orsakats före ikraftträdandet.
7. Äldre föreskrifter gäller fortfarande för överträdelser som har skett före ikraftträdandet.
Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)
Härigenom föreskrivs att 10 kap. 27 §, 21 kap. 7 § och 40 kap. 5 § samt rubriken närmast före 21 kap. 7 § offentlighets- och sekretesslagen (2009:400) ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
10 kap.
27 §
Utöver vad som följer av 2, 3, 5 och 15-26 §§ får en sekretessbelagd uppgift lämnas till en myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda.
Första stycket gäller inte i fråga om sekretess enligt 24 kap. 2 a och 8 §§, 25 kap. 1-8 §§, 26 kap. 1-6 §§, 29 kap. 1 och 2 §§, 31 kap. 1 § första stycket, 2 och 12 §§, 33 kap. 2 §, 36 kap. 3 § samt 40 kap. 2 och 5 §§.
Första stycket gäller inte heller om utlämnandet strider mot lag eller förordning eller föreskrift som har meddelats med stöd av personuppgiftslagen (1998:204).
Första stycket gäller inte heller om utlämnandet strider mot lag eller förordning.
21 kap.
Behandling i strid med personuppgiftslagen
Behandling i strid med data-skyddsregleringen
7 §
Sekretess gäller för person-uppgift, om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgiftslagen (1998:204).
Sekretess gäller för person-uppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), i den ursprungliga lydelsen, eller lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning.
40 kap.
5 §
Sekretess gäller i verksamhet för enbart teknisk bearbetning eller teknisk lagring för någon annans räkning av personuppgifter som avses i personuppgiftslagen (1998:204) för uppgift om en enskilds personliga eller ekonomiska förhållanden.
Sekretess gäller för uppgift om en enskilds personliga eller ekonomiska förhållanden i verksamhet för enbart teknisk bearbetning eller teknisk lagring för någon annans räkning av sådana personuppgifter som avses i artikel 4.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Denna lag träder i kraft den 25 maj 2018.
Förteckning över remissinstanserna
(SOU 2017:39)
Remissvar har lämnats av Riksdagens ombudsmän, Riksrevisionen, Svea hovrätt, Hovrätten för Västra Sverige, Södertörns tingsrätt, Umeå tingsrätt, Kammarrätten i Stockholm, Kammarrätten i Göteborg, Kammarrätten i Jönköping, Förvaltningsrätten i Stockholm, Förvaltningsrätten i Malmö, Förvaltningsrätten i Jönköping, Förvaltningsrätten i Linköping, Justitiekanslern, Hyres- och arrendenämnden i Stockholm, Domstolsverket, Åklagarmyndigheten, Polismyndigheten, Säkerhetspolisen, Brottsoffermyndigheten, Säkerhets- och integritetsskyddsnämnden, Kriminalvården, Brottsförebyggande rådet, Rättsmedicinalverket, Statens haverikommission, Myndigheten för samhällsskydd och beredskap, Kustbevakningen, Migrationsverket, Datainspektionen, Styrelsen för ackreditering och teknisk kontroll, Kommerskollegium, Försvarsmakten, Försvarets radioanstalt, Totalförsvarets forskningsinstitut, Totalförsvarets rekryteringsmyndighet, Försäkringskassan, Socialstyrelsen, Inspektionen för vård och omsorg, Läkemedelsverket, Hälso- och sjukvårdens ansvarsnämnd, Folkhälsomyndigheten, Myndigheten för vård- och omsorgsanalys, Statens institutionsstyrelse, Barnombudsmannen, Forskningsrådet för hälsa, arbetsliv och välfärd, Tandvårds- och läkemedelsförmånsverket, Inspektionen för socialförsäkringen, Pensionsmyndigheten, E-hälsomyndigheten, Tullverket, Finansinspektionen, Skatteverket, Kronofogdemyndigheten, Kammarkollegiet, Statistiska centralbyrån, Arbetsgivarverket, Tillväxtverket, Havs- och vattenmyndigheten, Försvarets materielverk, Livsmedelsverket, E-legitimationsnämnden, Specialpedagogiska skolmyndigheten, Överklagandenämnden för studiestöd, Verket för innovationssystem, Länsstyrelsen i Stockholms län, Länsstyrelsen i Östergötlands län, Länsstyrelsen i Kronobergs län, Länsstyrelsen i Gotlands län, Länsstyrelsen i Skåne län, Länsstyrelsen i Västra Götalands län, Länsstyrelsen i Värmlands län, Länsstyrelsen i Gävleborgs län, Länsstyrelsen i Västernorrlands län, Länsstyrelsen i Norrbottens län, Statskontoret, Statens servicecenter, Konsumentverket, Statens skolverk, Statens skolinspektion, Myndigheten för ungdoms- och civilsamhällesfrågor, Myndigheten för yrkeshögskolan, Universitetskanslersämbetet, Universitets- och högskolerådet, Kungliga Biblioteket, Vetenskapsrådet, Centrala etikprövningsnämnden, Centrala studiestödsnämnden, Uppsala universitet, Örebro universitet, Lunds universitet, Göteborgs universitet, Umeå universitet, Kungliga tekniska högskolan, Karolinska institutet, Post- och telestyrelsen, Transportstyrelsen, Konkurrensverket, Patent- och registreringsverket, Bolagsverket, Regelrådet, Statens jordbruksverk, Lantmäteriet, Riksarkivet, Statens medieråd, Myndigheten för press, radio och TV, Valmyndigheten, Diskrimineringsombudsmannen, Arbetsförmedlingen, Arbetsmiljöverket, Institutet för arbetsmarknads- och utbildningspolitisk utvärdering, Inspektionen för arbetslöshetsförsäkringen, Dorotea kommun, Falköpings kommun, Grästorps kommun, Karlskrona kommun, Kristinehamns kommun, Malmö kommun, Mullsjö kommun, Munkedals kommun, Mörbylånga kommun, Piteå kommun, Skurups kommun, Stockholms kommun, Töreboda kommun, Västra Götalands läns landsting, Västerbottens läns landsting, Barnens rätt i samhället, Centrum för näringslivshistoria, Forum för dataskydd, IT& Telekomföretagen, Landsorganisationen i Sverige, Svensk Handel, Almega, Teknikföretagen, Vårdföretagarna, Läkemedelsindustriföreningen, Sveriges konsumenter, Riksidrottsförbundet, Småföretagarnas riksförbund, Stiftelsen för internetinfrastruktur, Surfa lugnt, Svensk Försäkring, Svenska bankföreningen, Svenska journalistförbundet, Svenskt Näringsliv, Sveriges advokatsamfund, Sveriges allmännyttiga bostadsföretag, Sveriges Akademikers Centralorganisation, Sveriges Kommuner och Landsting, Sveriges Radio AB, Sveriges Television AB, Swedish Direct Marketing Association, Tidningsutgivarna, Tjänstemännens centralorganisation, Svenskt Friluftsliv, Dataspelsbranschen, Svensk inkasso och Institutet för språk och folkminnen.
Askersunds kommun, Borgholms kommun, Bräcke kommun, Danderyds kommun, Ekerö kommun, Eksjö kommun, Falu kommun, Kramfors kommun, Lycksele kommun, Nordmalings kommun, Storfors kommun, Strömstads kommun, Timrå kommun, Vansbro kommun, Västerås kommun, Örkelljunga kommun, Skåne läns landsting, Arkivrådet AAS, Civil Rights Defenders, Dataföreningen i Sverige, FAI, Handikappförbunden, Postnord AB, Svenska avdelningen av Internationella juristkommissionen, Svenska sektionen av Amnesty International, Sveriges apoteksförening, Sveriges universitets- och högskoleförbund, Svensk Adressändring AB och Swedish Incubators & Science Parks har avstått från att lämna synpunkter på förslagen i betänkandet eller har inte svarat på remissen.
Synpunkter har även lämnats av Säkerhets- och försvarsföretagen, Dataskydd.net, Sveriges Elevkårer, Svenska Brukshundsklubben, Friluftsfrämjandet, Föreningen Sveriges länsarkivarier, Villaägarnas Riksförbund, Srf Konsulternas förbund, Lärarnas riksförbund, Svenska Jägareförbundet, Collectum, Stiftelsen Svenska Filminstitutet, Sveriges sportfiske- och fiskevårdsförbund, Sveriges ingenjörer, Sveriges läkareförbund, Näringslivets regelnämnd, Svenska kyrkan, Svenska kanotförbundet, Arbetarrörelsens arkiv och bibliotek samt Finansbolagen.
Sammanfattning av promemorian Kompletterande promemoria till betänkandet
Ny dataskyddslag (SOU 2017:39)
Promemorians bakgrund och syfte
Behandling av personuppgifter är i många fall en gränsöverskridande aktivitet. Det är till exempel inte ovanligt att den som behandlar personuppgifter om personer i Sverige inte själv är etablerad genom ett verksamhetsställe i landet. På motsvarande sätt kan svenska företag och organisationer behandla personuppgifter om individer i andra länder utan att ha något verksamhetsställe där. I dessa situationer uppkommer fråga om vilket lands lag som ska tillämpas - den lag som gäller i den registrerades land (effektlandsprincipen) eller den lag som gäller i det land där den personuppgiftsansvarige är etablerad (etableringslandsprincipen). Dataskyddsförordningen innehåller inte några regler om vilken nationell rätt som ska gälla vid gränsöverskridande personuppgiftsbehandling. Dataskyddsutredningen har inte heller behandlat frågan om dataskyddslagens territoriella tillämpningsområde i det remitterade betänkandet.
Det finns ett behov av att reglera dataskyddslagens territoriella tillämpningsområde
Dataskyddsförordningen innehåller, till skillnad från dataskyddsdirektivet, inte någon reglering om tillämplig nationell lag. Förordningens territoriella tillämpningsområde anges dock i artikel 3. Eftersom förordningen inte reglerar tillämpningsområdet för kompletterande nationell lagstiftning bör medlemsstaterna i princip vara fria att bestämma detta själva. Det är ur ett tillämpningsperspektiv viktigt att det står klart i vilka fall dataskyddslagen gäller vid gränsöverskridande behandling av personuppgifter. Av rättssäkerhetsskäl bör det därför införas en uttrycklig bestämmelse om det territoriella tillämpningsområdet i dataskyddslagen.
En huvudregel som följer förordningens principer
Etableringslandsprincipen kan sägas vara utgångspunkten i dataskyddsförordningens reglering om det territoriella tillämpningsområdet. Ett val av etableringslandsprincipen som huvudregel för dataskyddslagens tillämpningsområde skulle således harmoniera väl med regleringen i förordningen. Det kan också konstateras att personuppgiftslagens reglering om tillämpningsområdet utgår från etableringslandsprincipen. Ett val av denna princip skulle således innebära en kontinuitet i förhållande till den nuvarande regleringen.
Mot denna bakgrund bör etableringslandsprincipen gälla som utgångs-punkt för dataskyddslagens territoriella tillämpningsområde, i fråga om behandling som utförs inom ramen för den verksamhet som bedrivs vid ett verksamhetsställe i Sverige. Det saknar därmed betydelse var behandlingen faktiskt utförs och var den registrerade befinner sig. Omvänt kommer lagen, enligt huvudregeln, inte att gälla för personuppgiftsansvariga som saknar verksamhetsställe i Sverige, även om de behandlar uppgifter om personer i Sverige. Lagen kommer inte heller att gälla för behandling som utförs endast inom ramen för verksamhet som den personuppgiftsansvarige bedriver vid ett verksamhetsställe i ett annat EU-land, även om den personuppgiftsansvarige också har ett verksamhetsställe i Sverige.
Dataskyddsförordningen är också tillämplig på behandling av personuppgifter som utförs av en personuppgiftsansvarig som inte är etablerad i unionen, men på en plats där en medlemsstats nationella rätt gäller enligt folkrätten. På motsvarande sätt bör dataskyddslagen vara tillämplig vid behandling av personuppgifter som utförs av personuppgiftsansvariga som inte är etablerade i Sverige, men på en plats där svensk rätt gäller enligt folkrätten, till exempel vid svenska utlandsmyndigheter.
Dataskyddsförordningen är tillämplig även för personuppgiftsansvariga och personuppgiftsbiträden som inte alls är etablerade inom EU, om behandlingen avser registrerade i unionen och har anknytning till antingen utbjudande av varor eller tjänster till registrerade i unionen eller övervakning av registrerades beteende i unionen. Enligt dataskyddsförordningen gäller således i dessa fall effektlandsprincipen. Det framstår som lämpligast att den nationella regleringen utgår från samma princip när det gäller personuppgiftsansvariga och personuppgiftsbiträden som inte är etablerade inom EU. Detta innebär att dataskyddslagen i sådana fall bör gälla vid behandling av personuppgifter som avser registrerade som befinner sig i Sverige, om behandlingen har anknytning till antingen utbjudande av varor eller tjänster till registrerade i Sverige eller övervakning av registrerades beteende i Sverige.
Samma åldersgräns för samtycke bör gälla för alla barn som bor i Sverige
Dataskyddsutredningen har föreslagit att barn som har fyllt 13 år själva ska kunna lämna samtycke till behandling av personuppgifter vid erbjudande av informationssamhällets tjänster. För det fall att det ska föreskrivas en åldersgräns som avviker från dataskyddsförordningens, bör en sådan bestämmelses tillämpningsområde inte följa etableringslandsprincipen. I annat fall skulle det kunna leda till olika åldersgränser för barn i Sverige beroende på vilken åldersgräns som valts i tjänsteleverantörens etableringsland. Det skulle också kunna leda till otillbörliga lättnader för företag och organisationer som är etablerade i Sverige och som riktar sig till barn i andra länder. Dessutom vore det olämpligt av Sverige att införa en sänkt åldersgräns som skulle kunna åberopas vid personuppgiftsbehandling avseende barn i andra medlemsstater, där lagstiftaren gjort en annan bedömning av sakfrågan.
Mot denna bakgrund bör en eventuell bestämmelse om barns samtycke gälla vid behandling av personuppgifter som avser barn som bor i Sverige, oavsett var de personuppgiftsansvariga eller deras biträden är etablerade.
Lagförslaget i Kompletterande promemoria till betänkandet Ny dataskyddslag (SOU 2017:39)
Förslag till lag (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning
Nuvarande lydelse enligt
SOU 2017:39
Föreslagen lydelse
1 kap.
1a §
Denna lag gäller vid behandling av personuppgifter som utförs av personuppgiftsansvariga eller personuppgiftsbiträden som är etablerade i Sverige, om behand-lingen utförs inom ramen för verk-samhet som bedrivs vid verksam-hetsställen här i landet. Lagen gäller även vid behandling av personuppgifter som utförs av personuppgiftsansvariga som inte är etablerade i Sverige, men på en plats där svensk rätt gäller enligt folkrätten.
Lagen gäller också vid behand-ling av personuppgifter som avser registrerade som befinner sig i Sverige och som utförs av person-uppgiftsansvariga eller person-uppgiftsbiträden som endast är etablerade i tredjeland, om behandlingen har anknytning till
1. utbjudande av varor eller tjänster till registrerade i Sverige, eller
2. övervakning av registrerades beteende i Sverige.
Bestämmelsen i 2 kap. 2 § gäller vid behandling av personuppgifter som avser barn som bor i Sverige, oavsett var de personuppgiftsansvariga eller deras biträden är etablerade.
Förteckning över remissinstanserna (kompletterande promemoria)
Remissvar har lämnats av Riksdagens ombudsmän, Svea hovrätt, Hovrätten för Västra Sverige, Södertörns tingsrätt, Kammarrätten i Stockholm, Kammarrätten i Göteborg, Kammarrätten i Jönköping, Förvaltningsrätten i Stockholm, Förvaltningsrätten i Malmö, Förvaltningsrätten i Jönköping, Förvaltningsrätten i Linköping, Justitiekanslern, Säkerhetspolisen, Säkerhets- och integritetsskyddsnämnden, Datainspektionen, Kommerskollegium, Försvarsmakten, Försvarets radioanstalt, Socialstyrelsen, Barnombudsmannen, Verket för innovationssystem, Konsumentverket, Myndigheten för ungdoms- och civilsamhällesfrågor, Uppsala universitet, Lunds universitet, Göteborgs universitet, Umeå universitet, Kungliga tekniska högskolan, Karolinska institutet, Post- och telestyrelsen, Konkurrensverket, Regelrådet, Statens medieråd, Almega, Sveriges advokatsamfund, Sveriges Akademikers Centralorganisation och Swedish Direct Marketing Association.
Umeå tingsrätt, Tillväxtverket, Örebro universitet, Barnens rätt i samhället, Civil Rights Defenders, Forum för dataskydd, Företagarna, IT&Telekomföretagen, Landsorganisationen i Sverige, Svensk Handel, Teknikföretagen, Sveriges konsumenter, Småföretagarnas riksförbund, Surfa lugnt, Svenska avdelningen av Internationella juristkommissionen, Svenska journalistförbundet, Svenska sektionen av Amnesty International, Svenskt Näringsliv, Tidningsutgivarna och Tjänstemännens centralorganisation har avstått från att lämna synpunkter på förslagen i promemorian eller har inte svarat på remissen.
Lagrådsremissens lagförslag
Förslag till lag med kompletterande bestämmelser till EU:s dataskyddsförordning
Härigenom föreskrivs följande.
1 kap. Inledande bestämmelser
1 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Termer och uttryck i denna lag har samma betydelse som i EU:s dataskyddsförordning. Med känsliga personuppgifter avses i denna lag sådana uppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning.
Tillämpningsområde
2 § EU:s dataskyddsförordning, i den ursprungliga lydelsen, ska i tillämpliga delar gälla även vid behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten och i verksamhet som omfattas av avdelning V kapitel 2 i fördraget om Europeiska unionen. Denna lag kompletterar EU:s dataskyddsförordning även vid sådan behandling.
3 § Bestämmelserna i 2 § gäller inte i verksamhet som omfattas av
1. lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst,
2. lagen (2007:259) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet, eller
3. 6 kap. polisdatalagen (2010:361).
4 § Artiklarna 33 och 34 i EU:s dataskyddsförordning tillämpas inte i fråga om personuppgiftsincidenter som ska rapporteras enligt säkerhetsskyddslagen (1996:627) eller föreskrifter som har meddelats i anslutning till den lagen.
5 § Denna lag gäller vid behandling av personuppgifter som utförs av personuppgiftsansvariga eller personuppgiftsbiträden som är etablerade i Sverige, om behandlingen utförs inom ramen för verksamhet som bedrivs vid verksamhetsställen här i landet. Lagen gäller även vid behandling av personuppgifter som utförs av personuppgiftsansvariga som är etablerade på en annan plats där svensk rätt gäller enligt folkrätten.
Lagen gäller också vid behandling av personuppgifter som utförs av personuppgiftsansvariga eller personuppgiftsbiträden som endast är etablerade i tredjeland, om behandlingen avser registrerade som befinner sig i Sverige och har anknytning till
1. utbjudande av varor eller tjänster till sådana registrerade, eller
2. övervakning av deras beteende i Sverige.
Bestämmelsen i 2 kap. 1 § gäller vid behandling av personuppgifter som avser barn som bor i Sverige, oavsett var de personuppgiftsansvariga eller personuppgiftsbiträdena är etablerade.
Avvikande bestämmelser i annan författning
6 § Om en annan lag eller en förordning innehåller någon bestämmelse som avviker från denna lag, tillämpas den bestämmelsen.
Förhållandet till tryck- och yttrandefriheten
7 § EU:s dataskyddsförordning och denna lag ska inte tillämpas i den utsträckning det skulle strida mot tryckfrihetsförordningen eller yttrandefrihetsgrundlagen.
Artiklarna 5-30 och 35-50 i EU:s dataskyddsförordning samt 2-5 kap. denna lag ska inte tillämpas på behandling av personuppgifter som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande.
Tystnadsplikt för dataskyddsombud
8 § Den som fullgör uppgift som dataskyddsombud enligt artikel 37 i EU:s dataskyddsförordning får inte obehörigen röja det som han eller hon vid fullgörandet av sin uppgift har fått kännedom om.
I det allmännas verksamhet tillämpas offentlighets- och sekretesslagen (2009:400) i stället för första stycket.
2 kap. Rättslig grund för behandling av personuppgifter
Barns samtycke
1 § Vid erbjudande av informationssamhällets tjänster direkt till ett barn som bor i Sverige ska behandling av personuppgifter vara tillåten med stöd av barnets samtycke, om barnet är minst 13 år. Om barnet är under 13 år, ska sådan behandling vara tillåten endast om samtycke ges eller godkänns av den person som har föräldraansvar för barnet.
Rättslig förpliktelse
2 § Personuppgifter får behandlas med stöd av artikel 6.1 c i EU:s dataskyddsförordning, om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning.
Uppgift av allmänt intresse och myndighetsutövning
3 § Personuppgifter får behandlas med stöd av artikel 6.1 e i EU:s dataskyddsförordning, om behandlingen är nödvändig
1. för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning, eller
2. som ett led i den personuppgiftsansvariges myndighetsutövning enligt lag eller annan författning.
Enskilda arkiv
4 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att personuppgiftsansvariga som inte omfattas av föreskrifter om arkiv får behandla personuppgifter för arkivändamål av allmänt intresse.
Den myndighet som regeringen bestämmer får även i enskilda fall besluta att sådana personuppgiftsansvariga får behandla personuppgifter för arkivändamål av allmänt intresse. Ett beslut får förenas med villkor.
3 kap. Vissa kategorier av personuppgifter
Känsliga personuppgifter
Arbetsrätt, social trygghet och socialt skydd
1 § Känsliga personuppgifter får behandlas med stöd av artikel 9.2 b i EU:s dataskyddsförordning, om behandlingen är nödvändig för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och inom områdena social trygghet och socialt skydd.
Personuppgifter som behandlas med stöd av första stycket får lämnas ut till tredje part endast om det inom arbetsrätten eller inom områdena social trygghet och socialt skydd finns en skyldighet för den personuppgiftsansvarige att göra det eller om den registrerade uttryckligen har samtyckt till utlämnandet.
Viktigt allmänt intresse
2 § Känsliga personuppgifter får behandlas av en myndighet med stöd av artikel 9.2 g i EU:s dataskyddsförordning
1. om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag,
2. om behandlingen är nödvändig för handläggningen av ett ärende, eller
3. i enstaka fall, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
Vid tillämpningen av första stycket 1 ska andra än myndigheter jämställas med myndigheter, i den utsträckning bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400) gäller i deras verksamhet.
3 § Vid behandling som sker enbart med stöd av 2 § är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
4 § Regeringen får meddela ytterligare föreskrifter om sådan behandling av känsliga personuppgifter som är nödvändig med hänsyn till ett viktigt allmänt intresse.
Hälso- och sjukvård och social omsorg
5 § Känsliga personuppgifter får behandlas med stöd av artikel 9.2 h i EU:s dataskyddsförordning, om behandlingen är nödvändig för
1. förebyggande hälso- och sjukvård och yrkesmedicin,
2. bedömningen av en arbetstagares arbetskapacitet,
3. medicinska diagnoser,
4. tillhandahållande av hälso- och sjukvård eller behandling,
5. social omsorg, eller
6. förvaltning av social omsorg, hälso- och sjukvårdstjänster samt deras system.
Behandling enligt första stycket får ske under förutsättning att kravet på tystnadsplikt i artikel 9.3 i EU:s dataskyddsförordning är uppfyllt.
Arkiv
6 § Känsliga personuppgifter får behandlas för arkivändamål av allmänt intresse med stöd av artikel 9.2 j i EU:s dataskyddsförordning, om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att personuppgiftsansvariga som inte omfattas av föreskrifter om arkiv får behandla känsliga personuppgifter för arkivändamål av allmänt intresse.
Den myndighet som regeringen bestämmer får även i enskilda fall besluta att sådana personuppgiftsansvariga får behandla känsliga personuppgifter för arkivändamål av allmänt intresse. Ett beslut får förenas med villkor.
Statistik
7 § Känsliga personuppgifter får behandlas med stöd av artikel 9.2 j i EU:s dataskyddsförordning, om behandlingen är nödvändig för statistiska ändamål och samhällsintresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära.
Personuppgifter som rör lagöverträdelser
8 § Personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning får behandlas av myndigheter.
Även andra än myndigheter får behandla sådana personuppgifter, om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv.
9 § Regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om i vilka fall andra än myndigheter får behandla sådana personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning.
Den myndighet som regeringen bestämmer får även i enskilda fall besluta att andra än myndigheter får behandla sådana uppgifter. Ett beslut får förenas med villkor.
Personnummer och samordningsnummer
10 § Personnummer och samordningsnummer får behandlas utan samtycke endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.
11 § Regeringen får meddela ytterligare föreskrifter om i vilka fall behandling av personnummer och samordningsnummer är tillåten.
4 kap. Användningsbegränsningar
Arkiv
1 § Personuppgifter som behandlas enbart för arkivändamål av allmänt intresse får användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen.
Första stycket hindrar inte myndigheter från att använda personuppgifter som finns i allmänna handlingar.
Vid tillämpningen av andra stycket ska andra än myndigheter jämställas med myndigheter, i den utsträckning bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400) gäller i deras verksamhet.
Statistik
2 § Personuppgifter som behandlas enbart för statistiska ändamål får användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen.
5 kap. Begränsningar av vissa rättigheter och skyldigheter
Information och tillgång till personuppgifter
1 § Artiklarna 13-15 i EU:s dataskyddsförordning om information och tillgång till personuppgifter gäller inte sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning.
Om den personuppgiftsansvarige inte är en myndighet, gäller undantaget i första stycket även för uppgifter som hos en myndighet skulle ha varit sekretessbelagda enligt offentlighets- och sekretesslagen (2009:400).
2 § Artikel 15 i EU:s dataskyddsförordning om den registrerades rätt till tillgång gäller inte personuppgifter i löpande text som inte har fått sin slutliga utformning när begäran gjordes eller som utgör minnesanteckning eller liknande.
Undantaget i första stycket gäller inte om personuppgifterna
1. har lämnats ut till tredje part,
2. behandlas enbart för arkivändamål av allmänt intresse eller statistiska ändamål, eller
3. har behandlats under längre tid än ett år i löpande text som inte har fått sin slutliga utformning.
Bemyndigande
3 § Regeringen får meddela ytterligare föreskrifter om begränsningar enligt artiklarna 23, 89.2 och 89.3 i EU:s dataskyddsförordning.
6 kap. Tillsynsmyndighetens handläggning och beslut
Befogenheter
1 § De befogenheter som tillsynsmyndigheten har enligt artikel 58.1, 58.2 och 58.3 i EU:s dataskyddsförordning gäller vid tillsyn över att bestämmelserna i denna lag och andra föreskrifter som kompletterar EU:s dataskyddsförordning följs.
Första stycket innebär inte att tillsynsmyndigheten får ta ut sanktionsavgifter vid andra överträdelser än de som avses i artikel 83 i EU:s dataskyddsförordning.
Ansökan hos allmän förvaltningsdomstol
2 § Om tillsynsmyndigheten anser att det finns synnerliga skäl, får den ansöka hos allmän förvaltningsdomstol om att en åtgärd enligt artikel 58.2 i EU:s dataskyddsförordning ska vidtas, i stället för att själv besluta om åtgärden.
Ansökan ska göras hos den förvaltningsrätt som är behörig att pröva ett överklagande av tillsynsmyndighetens beslut.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Sanktionsavgifter
3 § Tillsynsmyndigheten får ta ut en sanktionsavgift av en myndighet vid överträdelser som avses i artikel 83.4, 83.5 och 83.6 i EU:s dataskyddsförordning, i den ursprungliga lydelsen. Då ska artikel 83.1, 83.2 och 83.3 i förordningen tillämpas.
Sanktionsavgiften ska bestämmas till högst 5 000 000 kronor vid överträdelser som avses i artikel 83.4 i EU:s dataskyddsförordning och till högst 10 000 000 kronor vid överträdelser som avses i artikel 83.5 och 83.6 i förordningen.
4 § Tillsynsmyndigheten får ta ut en sanktionsavgift vid överträdelser av artikel 10 i EU:s dataskyddsförordning, i den ursprungliga lydelsen. Då ska artikel 83.1, 83.2 och 83.3 i förordningen tillämpas. Avgiftens storlek ska bestämmas med tillämpning av artikel 83.5 i förordningen.
5 § En sanktionsavgift får inte beslutas, om den som avgiften ska tas ut av inte har fått tillfälle att yttra sig inom fem år från den dag då överträdelsen ägde rum.
Ett beslut om sanktionsavgift ska delges.
6 § En sanktionsavgift tillfaller staten.
7 § En sanktionsavgift ska betalas till den myndighet som regeringen bestämmer inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft eller inom den längre tid som anges i beslutet.
Om sanktionsavgiften inte betalas inom den tid som anges i första stycket, ska myndigheten lämna den obetalda avgiften för indrivning. Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m. Vid indrivning får verkställighet ske enligt utsökningsbalken.
8 § Regeringen får meddela ytterligare föreskrifter om sanktionsavgifter enligt EU:s dataskyddsförordning och denna lag.
7 kap. Skadestånd och överklagande
Skadestånd
1 § Rätten till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet enligt artikel 82 i EU:s dataskyddsförordning gäller vid överträdelser av bestämmelser i denna lag och andra föreskrifter som kompletterar EU:s dataskyddsförordning.
Överklagande av personuppgiftsansvariga myndigheters beslut
2 § Beslut enligt artiklarna 12.5 och 15-21 i EU:s dataskyddsförordning som har meddelats av en myndighet i egenskap av personuppgiftsansvarig får överklagas till allmän förvaltningsdomstol.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Första stycket gäller inte beslut av regeringen, Högsta domstolen, Högsta förvaltningsdomstolen eller Riksdagens ombudsmän.
Överklagande av tillsynsmyndighetens beslut
3 § Tillsynsmyndighetens beslut enligt EU:s dataskyddsförordning och enligt 6 kap. 3 och 4 §§ denna lag får överklagas till allmän förvaltningsdomstol. När ett beslut överklagas, är tillsynsmyndigheten motpart i domstolen.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Överklagande av andra beslut
4 § Beslut enligt 2 kap. 4 § andra stycket, 3 kap. 6 § tredje stycket och 3 kap. 9 § andra stycket denna lag får överklagas till allmän förvaltningsdomstol.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Överklagandeförbud
5 § Andra beslut enligt EU:s dataskyddsförordning eller denna lag än de som avses i 2-4 §§ och 6 kap. 2 § får inte överklagas.
1. Denna lag träder i kraft den 25 maj 2018.
2. Genom lagen upphävs personuppgiftslagen (1998:204).
3. I stället för vad som sägs i 1 kap. 2 §, ska den upphävda lagen fortsätta att gälla i sådan verksamhet hos Försvarsmakten, Försvarets radioanstalt och Totalförsvarets rekryteringsmyndighet som inte omfattas av unionsrätten.
4. Den upphävda lagen gäller fortfarande vid sådan behandling av personuppgifter som avses i artikel 2.2 d i EU:s dataskyddsförordning, i den ursprungliga lydelsen.
5. Den upphävda lagen gäller fortfarande i den utsträckning som det i en annan lag eller en förordning finns bestämmelser som innehåller hänvisningar till den lagen.
6. Den upphävda lagen gäller fortfarande för överklagande av beslut som har meddelats med stöd av den lagen.
7. Bestämmelsen i 49 § den upphävda lagen gäller fortfarande för överträdelser som har skett före ikraftträdandet.
8. Beslut som har meddelats med stöd av 21 § fjärde stycket den upphävda lagen gäller fortfarande.
Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)
Härigenom föreskrivs att 10 kap. 27 § och 21 kap. 7 § och rubriken närmast före 21 kap. 7 § offentlighets- och sekretesslagen (2009:400) ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
10 kap.
27 §
Utöver vad som följer av 2, 3, 5 och 15-26 §§ får en sekretessbelagd uppgift lämnas till en myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda.
Första stycket gäller inte i fråga om sekretess enligt 24 kap. 2 a och 8 §§, 25 kap. 1-8 §§, 26 kap. 1-6 §§, 29 kap. 1 och 2 §§, 31 kap. 1 § första stycket, 2 och 12 §§, 33 kap. 2 §, 36 kap. 3 § samt 40 kap. 2 och 5 §§.
Första stycket gäller inte heller om utlämnandet strider mot lag eller förordning eller föreskrift som har meddelats med stöd av personuppgiftslagen (1998:204).
Första stycket gäller inte heller om utlämnandet strider mot lag eller förordning.
21 kap.
Behandling i strid med personuppgiftslagen
Behandling i strid med dataskyddsregleringen
7 §
Sekretess gäller för personuppgift, om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgiftslagen (1998:204).
Sekretess gäller för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), i den ursprungliga lydelsen, eller lagen (2018:00) med kompletterande bestämmelser till EU:s dataskyddsförordning.
Denna lag träder i kraft den 25 maj 2018.
Lagrådets yttrande
Utdrag ur protokoll vid sammanträde 2018-01-25
Närvarande: F.d. justitieråden Gustaf Sandström och Lena Moore samt justitierådet Thomas Bull
Ny dataskyddslag
Enligt en lagrådsremiss den 21 december 2017 har regeringen (Justitiedepartementet) beslutat inhämta Lagrådets yttrande över förslag till
1. lag med kompletterande bestämmelser till EU:s dataskyddsförordning,
2. lag om ändring i offentlighets- och sekretesslagen (2009:400).
Förslagen har inför Lagrådet föredragits av kanslirådet Maria Jonsson.
Förslagen föranleder följande yttrande av Lagrådet:
Förslaget till lag med kompletterande bestämmelser till EU:s dataskyddsförordning
1 kap. 1 §
Enligt andra stycket har termer och uttryck i lagen samma betydelse som i EU:s dataskyddsförordning. Andra meningen definierar begreppet känsliga personuppgifter. Meningen bör lämpligen placeras i 3 kap. i en ny 1 §, efter rubriken Känsliga personuppgifter.
I 3 § personuppgiftslagen anges vad som i den lagen avses med "tredje land". Det kan finnas skäl att även i det här sammanhanget tydliggöra vad som avses med tredjeland eftersom termen förekommer i 1 kap. 5 §. Motsvarande frågeställning förekommer, i en eller annan form, i olika sektorsremisser.
Rubriken före 1 kap. 2 §
Rubriken, Tillämpningsområde, är inte rättvisande för innehållet i de paragrafer som följer under den rubriken (2-5 §§). Dessa är så disparata att de inte kan inordnas under en gemensam rubrik. Lagrådet föreslår att rubriken före 2 § ersätts med "Utvidgad tillämpning av bestämmelserna i EU:s dataskyddsförordning" och att en ny rubrik "Lagens territoriella tillämpningsområde" placeras före 5 § (jfr rubriken före 4 § personuppgiftslagen).
1 kap. 2 §
Den utvidgade tillämpningen av EU:s dataskyddsförordning till att i Sverige gälla ytterligare verksamheter kan självfallet inte avse bestämmelser i förordningen som tar sikte på kommissionen, Europeiska dataskyddsstyrelsen och tillsynsmyndigheter i andra länder (se uppräknade artiklar i författningskommentaren). Detta behöver inte särskilt regleras. Orden "i tillämpliga delar"- som snarare gör bestämmelsen otydlig - bör därför utgå. Vidare bör verksamhet som omfattas av avdelning V kapitel 2 i fördraget om Europeiska unionen anges före verksamhet som inte omfattas av unionsrätten. Paragrafen kan med vissa tillkommande redaktionella ändringar formuleras enligt följande.
Bestämmelserna i EU:s dataskyddsförordning, i den ursprungliga lydelsen, och denna lag ska gälla även vid behandling av personuppgifter i verksamhet som omfattas av avdelning V kapitel 2 i fördraget om Europeiska unionen. Detsamma gäller vid behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten.
1 kap. 5 §
Första stycket första meningen bör formuleras i överensstämmelse med dataskyddsförordningens artikel 3.1 (i den korrigerade lydelse som Justitiedepartementet begärt och som i sak överensstämmer med den engelska språkversionen) och andra meningen på det sätt som föreslogs i den kompletterande promemorian (bilaga 6 i remissen) enligt följande.
Denna lag gäller vid behandling av personuppgifter som utförs inom ramen för verksamhet som bedrivs vid personuppgiftsansvarigas eller personuppgiftsbiträdens verksamhetsställen i Sverige. Lagen gäller även vid behandling av personuppgifter som utförs av personuppgiftsansvariga som inte är etablerade i Sverige, men på en plats där svensk rätt gäller enligt folkrätten.
Angående andra stycket, se kommentaren till 1 kap. 1 §.
1 kap. 6 §
Enligt paragrafen ska, om en annan lag eller en förordning innehåller någon bestämmelse som avviker från denna lag, den bestämmelsen tillämpas. En motsvarande reglering finns i 2 § personuppgiftslagen.
Den aktuella bestämmelsen har utformats på samma sätt som 4 § i den nya förvaltningslagen (2017:900). I förarbetena till den lagen redovisas hur bestämmelsen förhåller sig till den formella lagkraftens princip i 8 kap. 18 § regeringsformen. Bland annat sägs att förvaltningslagens subsidiaritetsbestämmelse snarast får uppfattas som en reglering som begränsar räckvidden av denna princip så att den inte hindrar att regeringen trots lagen utnyttjar sin normgivningskompetens enligt 8 kap. 7 § regeringsformen och meddelar föreskrifter på samma område som regleras i lagen. Det sägs vidare att det från rent principiella utgångspunkter kan framstå som tveksamt att regeringen ges frihet att meddela föreskrifter som avviker från lagen men att det finns beaktansvärda fördelar med en ordning som ger regeringen möjlighet att meddela föreskrifter om förvaltningsförfarandet. (Prop. 2016/17:180 s. 39 ff.)
Enligt remissen kommer det även i fortsättningen att finnas både lagar och förordningar som innehåller bestämmelser som rör behandling av personuppgifter som kommer att ha företräde. Det anges att förordningar kan beslutas med stöd av regeringens restkompetens enligt 8 kap. 7 § första stycket 2 regeringsformen eller med stöd av bemyndiganden i annan lag än dataskyddslagen. Det framgår inte i vilken omfattning det är tänkt att förekomma förordningsbestämmelser på området och det redovisas inga överväganden om hur regleringen förhåller sig till 8 kap. 18 § regeringsformen.
De skäl som i förarbetena till nya förvaltningslagen anfördes till stöd för regleringen i den lagen var uteslutande hänförliga till förvaltningsförfarandet och har ingen bäring på dataskyddslagen. Regleringen i förvaltningslagen kan heller inte ges den innebörden att subsidiaritetsbestämmelser generellt kan utformas så att de utan närmare överväganden inbegriper förordningar. Att personuppgiftslagen innehåller en sådan subsidiaritetsbestämmelse och att det i dag förekommer förordningar som rör behandling av personuppgifter bör inte vara tillräckligt för att begränsa den formella lagkraftens princip.
Skälen för en ordning som innebär att föreskrifter i förordning ska gälla framför dataskyddslagens bestämmelser får övervägas vidare under den fortsatta beredningen.
2 kap. 1 §
Bestämmelsen, som behandlar barns samtycke till behandling av personuppgifter, har fått en alltför framskjuten placering i kapitlet. Eftersom den närmast utgör en kompletterande bestämmelse till artikel 8 i dataskyddsförordningen (och inte till artikel 6.1 a) bör den placeras efter de kompletterande bestämmelserna till artikel 6.1 c och 6.1 e (remissens 2 och 3 §§). Lagrådet förordar att bestämmelsen om barns samtycke placeras sist i kapitlet, som 4 §, med den följden att remissens 2-4 §§ utgör 1-3 §§.
2 kap. 3 § (ny 2 §)
Eftersom myndighetsutövning kräver stöd i lag eller annan författning bör orden "enligt lag eller annan författning" sist i punkt 2 utgå.
3 kap.
Kapitlets rubrik bör, för att tydligare spegla paragrafernas innehåll och dessutom överensstämma med rubriken till 2 kap., lyda "Behandling av vissa kategorier av personuppgifter".
Kapitlet bör inledas med en ny 1 § som behandlar vad som avses med känsliga personuppgifter, se Lagrådets synpunkter vid 1 kap. 1 §, med den följden att numreringen av de första paragraferna i remissens 3 kap. förskjuts.
3 kap. 2 § (ny 3 §)
Uttrycket "i enstaka fall" i punkt 3 svarar inte mot syftet med bestämmelsen. Uttrycket "i annat fall", dvs. i andra fall än de som anges i punkterna 1 och 2, torde bättre spegla vad som avses.
Lagrådet föreslår att remissens 3 § placeras som ett nytt andra stycke i paragrafen och att den ges följande lydelse.
Känsliga personuppgifter får behandlas av en myndighet med stöd av artikel 9.2 g i EU:s dataskyddsförordning
1. om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag,
2. om behandlingen är nödvändig för handläggningen av ett ärende, eller
3. i annat fall, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
Vid behandling som sker enbart med stöd av första stycket är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
Vid tillämpningen av första stycket 1 ska andra än myndigheter jämställas med myndigheter, i den utsträckning bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400) gäller i deras verksamhet.
3 kap. 3 §
Lagrådet föreslår att paragrafen utgår, se vid remissens 2 § ovan.
5 kap. 1 och 2 §§
I 2 § (liksom upprepade gånger i författningskommentaren) används det nakna uttrycket "den registrerades rätt till tillgång". Därmed avses vad som regleras i artikel 15.1 i dataskyddsförordningen (jfr artikelns rubrik "Den registrerades rätt till tillgång"), nämligen den registrerades rätt att få veta om dennes personuppgifter håller på att behandlas och, om så är fallet, att få tillgång till personuppgifterna och viss angiven information. Enligt Lagrådets mening kan uttrycket inte användas i svensk lagtext.
Eftersom bestämmelsen i alla händelser måste läsas tillsammans med artikel 15.1 i dataskyddsförordningen bör orden "om den registrerades rätt till tillgång" i 2 § strykas. Samtidigt bör 1 § förtydligas genom att orden "rätt att få" läggs till i paragrafens inledning enligt följande.
"Artiklarna 13-15 i EU:s dataskyddsförordning om information och rätt att få tillgång till personuppgifter ...".
6 kap. 2 §
I paragrafen introduceras ett förfarande som närmast är avsett för fall då tillsynsmyndigheten ifrågasätter giltigheten av en unionsrättsakt som meddelats med stöd av dataskyddsförordningen (delegerade akter eller genomförandeakter). Genom att tillsynsmyndigheten ges möjlighet att ansöka om att förvaltningsrätten ska vidta en tillsynsåtgärd skapas förutsättningar för att, efter en begäran om förhandsavgörande från förvaltningsrättens sida, få giltighetsfrågan prövad av EU-domstolen.
Grunden för bestämmelsen är EU-domstolens dom i målet Schrems, C-362/14, EU:C:2015:650). EU-domstolen gjorde där en tolkning av tredje strecksatsen i artikel 28.3 i direktiv 95/46/EG. Den bestämmelsen har nu med en ändrad lydelse förts över till artikel 58.5 i dataskyddsförordningen. I den nya artikeln markeras tydligt att tillsynsmyndigheten har möjlighet inte bara att inleda ett rättsligt förfarande utan även att "på övrigt vis delta" i ett sådant förfarande, något som innefattar utövandet av en motpartsfunktion (jfr remissens 7 kap. 3 §).
Lagrådet kan konstatera att det inte framstår som klart att dataskyddsförordningen eller EU-rätten i övrigt ställer krav på att en domstolsprövning kan komma till stånd genom tillsynsmyndighetens försorg.
På det underlag som föreligger i ärendet avstyrker Lagrådet förslaget.
Rubriken före 7 kap. 4 §
Rubriken bör lyda "Överklagande av vissa andra beslut".
Förslaget till lag om ändring i offentlighets- och sekretesslagen
Lagrådet lämnar förslaget utan erinran.
Justitiedepartementet
Utdrag ur protokoll vid regeringssammanträde den 15 februari 2018
Närvarande: statsminister Löfven, ordförande, och statsråden Lövin, Y Johansson, M Johansson, Baylan, Bucht, Hultqvist, Regnér, Andersson, Hellmark Knutsson, Bolund, Damberg, Bah Kuhnke, Strandhäll, Shekarabi, Fridolin, Eriksson, Linde, Skog, Ekström, Fritzon, Eneroth
Föredragande: statsrådet M Johansson
Regeringen beslutar proposition Ny dataskyddslag