Post 1476 av 7187 träffar
Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning Prop. 2017/18:95
Ansvarig myndighet: Finansdepartementet
Dokument: Prop. 95
Regeringens proposition
2017/18:95
Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning
Prop.
2017/18:95
Regeringen överlämnar denna proposition till riksdagen.
Stockholm den 22 februari 2018
Stefan Löfven
Magdalena Andersson
(Finansdepartementet)
Propositionens huvudsakliga innehåll
Regeringen lämnar förslag som anpassar lagstiftningen om personuppgiftsbehandling inom Skatteverkets, Tullverkets och Kronofogdemyndighetens verksamheter till EU:s nya dataskyddsförordning. De flesta förslagen är följder av eller anpassningar till dataskyddsförordningen och till att personuppgiftslagen till följd av den nya förordningen kommer att upphävas. Förslagen innebär också att lagarna om personuppgiftsbehandling i de berörda myndigheternas verksamheter ska komplettera dataskyddsförordningen och dataskyddslagen. Det föreslås även vissa förtydliganden och justeringar som inte föranleds direkt av dataskyddsförordningen. Ändringarna bidrar bl.a. till att minska eventuell dubbelreglering och klargör de olika regleringarnas förhållande till varandra. Anpassningarna gäller inte personuppgiftsbehandling vid myndigheternas brottsbekämpande verksamhet.
Lagändringarna föreslås träda i kraft den 25 maj 2018.
Innehållsförteckning
1 Förslag till riksdagsbeslut 2
2 Lagtext 2
2.1 Förslag till lag om ändring i lagen (1998:527) om det statliga personadressregistret 2
2.2 Förslag till lag om ändring i lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet 2
2.3 Förslag till lag om ändring i lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet 2
2.4 Förslag till lag om ändring i lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet 2
2.5 Förslag till lag om ändring i lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet 2
2.6 Förslag till lag om ändring i lagen (2015:898) om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter 2
2.7 Förslag till lag om ändring i lagen (2015:899) om identitetskort för folkbokförda i Sverige 2
3 Ärendet och dess beredning 2
4 Bakgrund 2
4.1 EU:s dataskyddsreform 2
4.2 Författningsarbete med anledning av dataskyddsreformen 2
4.3 Översynen som ligger till grund för denna proposition 2
5 Gällande rätt 2
5.1 Dataskyddsdirektivet och personuppgiftslagen 2
5.2 Registerförfattningar på skatte- och tullavdelningens område 2
5.3 Andra författningar på skatte- och tullavdelningens område 2
6 Dataskyddsförordningens tillämplighet 2
7 Överväganden kring vissa grundläggande krav på behandling 2
7.1 Rättslig grund för behandling av personuppgifter 2
7.2 Finalitetsprincipen 2
8 Utrymmet för nationell reglering inom dataskyddsförordningens tillämpningsområde 2
9 Överväganden och förslag som rör bestämmelser i registerförfattningar 2
9.1 Inledning 2
9.2 Förhållandet till dataskyddsförordningen och dataskyddslagen 2
9.3 Ändamålsbestämmelser 2
9.4 Behandling av särskilda kategorier av personuppgifter 2
9.4.1 Känsliga personuppgifter 2
9.4.2 Uppgifter om lagöverträdelser 2
9.5 Enskildas rättigheter 2
9.5.1 Allmänt om rättigheterna i EU:s dataskyddsförordning och bestämmelser i förslaget till dataskyddslag 2
9.5.2 Rätten till information och tillgång till personuppgifter 2
9.5.3 Rätten till rättelse, radering och begränsning av behandling 2
9.5.4 Rätten att göra invändningar 2
9.6 Skadestånd 2
9.7 Sanktioner 2
9.8 Överklagande 2
9.9 Hänvisning till 2013 års lag 2
10 Automatiserade beslut 2
11 Ikraftträdande- och övergångsbestämmelser 2
12 Konsekvenser 2
13 Författningskommentar 2
13.1 Förslaget till lag om ändring i lagen (1998:527) om det statliga personadressregistret 2
13.2 Förslaget till lag om ändring i lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet 2
13.3 Förslaget till lag om ändring i lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet 2
13.4 Förslaget till lag om ändring i lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet 2
13.5 Förslaget till lag om ändring i lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet 2
13.6 Förslaget till lag om ändring i lagen (2015:898) om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter 2
13.7 Förslaget till lag om ändring i lagen (2015:899) om identitetskort för folkbokförda i Sverige 2
Bilaga 1 Promemorians lagförslag 2
Bilaga 2 Förteckning över remissinstanserna 2
Bilaga 3 Lagrådsremissens lagförslag 2
Bilaga 4 Lagrådets yttrande 2
Utdrag ur protokoll vid regeringssammanträde den 22 februari 2018 2
1
Förslag till riksdagsbeslut
Regeringen föreslår att riksdagen antar regeringens förslag till
1. lag om ändring i lagen (1998:527) om det statliga personadressregistret,
2. lag om ändring i lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet,
3. lag om ändring i lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet,
4. lag om ändring i lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet,
5. lag om ändring i lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet,
6. lag om ändring i lagen (2015:898) om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter,
7. lag om ändring i lagen (2015:899) om identitetskort för folkbokförda i Sverige.
2 Lagtext
Regeringen har följande förslag till lagtext.
2.1 Förslag till lag om ändring i lagen (1998:527) om det statliga personadressregistret
Härigenom föreskrivs i fråga om lagen (1998:527) om det statliga personadressregistret
dels att 9 § ska upphöra att gälla,
dels att rubriken närmast före 9 § ska utgå,
dels att 2 § ska ha följande lydelse,
dels att det ska införas en ny paragraf, 3 a §, och närmast före 3 a § en ny rubrik av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
2 §
När personuppgifter behandlas i SPAR gäller personuppgiftslagen (1998:204), om inte avvikande bestämmelser meddelas i denna lag. De beteckningar som används i denna lag har samma betydelse som i 3 § personuppgiftslagen.
Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän data-skyddsförordning), här benämnd EU:s dataskyddsförordning.
Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Rätten att göra invändningar
3 a §
Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Bestämmelser om rätten att göra invändningar mot behandling för direkt marknadsföring finns i artikel 21.2 i samma förordning.
Denna lag träder i kraft den 25 maj 2018.
2.2 Förslag till lag om ändring i lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet
Härigenom föreskrivs i fråga om lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet
dels att 3 kap. 1, 2, 3 och 4 §§ ska upphöra att gälla,
dels att rubrikerna närmast före 3 kap. 3 och 4 §§ ska utgå,
dels att 1 kap. 2-5 och 7 §§, 2 kap. 14 §, 3 kap. 2 a § och rubrikerna närmast före 1 kap. 2 § och 3 kap. 2 a § ska ha följande lydelse,
dels att det ska införas en ny paragraf, 3 kap. 3 §, och närmast före 3 kap. 3 § en ny rubrik av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
1 kap.
Förhållandet till personuppgiftslagen
Förhållandet till annan reglering
2 §
Om inte annat anges i 3 § eller 3 kap. gäller denna lag i stället för personuppgiftslagen (1998:204).
Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
En registrerad har inte rätt att motsätta sig sådan behandling som är tillåten enligt denna lag.
3 §
När personuppgifter behandlas enligt denna lag eller enligt andra föreskrifter i det ämne som regleras i lagen gäller personuppgiftslagens (1998:204) bestämmelser om
1. definitioner i 3 §,
2. förhållandet till offentlighetsprincipen m.m. i 8 §,
3. grundläggande krav på behandling i 9 § med undantag för vad som sägs i första stycket i och tredje stycket,
4. säkerheten vid behandling i 30-32 §§,
5. överföring av personuppgifter till tredje land i 33-35 §§,
6. personuppgiftsombud, m.m. i 36 § andra stycket och 38-41 §§,
7. upplysningar till allmänheten om vissa behandlingar i 42 § med den begränsning som anges i 3 kap. 2 a § i denna lag,
8. tillsynsmyndighetens befogenheter i 43 och 47 §§, och
9. straff i 49 §.
Vid behandling av personuppgifter som inte sker i databaser gäller även 22 § personuppgiftslagen.
Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
4 §
Uppgifter får behandlas för tillhandahållande av information som behövs hos Skatteverket för
Uppgifter får behandlas för att tillhandahålla information som behövs hos Skatteverket för
1. fastställande av underlag för samt bestämmande, redovisning, betalning och återbetalning av skatter och avgifter,
2. bestämmande av pensionsgrundande inkomst,
3. fastighetstaxering,
4. revision och annan analys- eller kontrollverksamhet,
5. tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning,
6. handläggning
a) enligt lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter,
b) av andra frågor om ansvar för någon annans skatter och avgifter,
c) enligt lagen (2015:912) om automatiskt utbyte av upplysningar om finansiella konton och 22 b kap. skatteförfarandelagen (2011:1244), och
d) enligt lagen (2017:182) om automatiskt utbyte av land-för-land-rapporter på skatteområdet och 33 a kap. skatteförfarandelagen.
7. fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande,
8. hantering av underrättelser från arbetsgivare om anställning av utlänningar som avses i lagen (2013:644) om rätt till lön och annan ersättning för arbete utfört av en utlänning som inte har rätt att vistas i Sverige,
9. hantering av uppgifter om sjuklönekostnad, och
10. tillsyn, kontroll, uppföljning och planering av verksamheten.
Uppgifter som får behandlas enligt första stycket får även behandlas för tillhandahållande av information som behövs i Skatteverkets verksamhet enligt lagen (1997:1024) om Skatteverkets brottsbekämpande verksamhet.
5 §
Uppgifter får behandlas för att tillhandahålla information som behövs i författningsreglerad verksamhet hos någon annan än Skatteverket för
1. fastställande av underlag för samt redovisning, bestämmande, betalning och återbetalning av skatter eller avgifter,
2. utsökning, indrivning, skuldsanering och F-skuldsanering,
3. att utgöra underlag för beräkning, beslut och kontroll i fråga om förmån, bidrag och andra stöd,
4. pensionsberäkning,
5. tillsyn och kontroll samt lämplighets- och tillståndsprövning och annan liknande prövning, och
6. aktualisering och komplettering av uppgifter om fastigheter i andra myndigheters register.
Uppgifter som behandlas enligt 4 § får även behandlas för
1. att tillhandahålla information som behövs i författningsreglerad verksamhet hos någon annan än Skatteverket för
a) fastställande av underlag för samt redovisning, bestämmande, betalning och återbetalning av skatter eller avgifter,
b) utsökning, indrivning, skuldsanering och F-skuldsanering,
c) att utgöra underlag för beräkning, beslut och kontroll i fråga om förmån, bidrag och andra stöd,
d) pensionsberäkning,
e) tillsyn och kontroll samt lämplighets- och tillståndsprövning och annan liknande prövning, och
f) aktualisering och komplettering av uppgifter om fastigheter i andra myndigheters register,
2. att tillhandahålla information som behövs i Skatteverkets brottsbekämpande verksamhet enligt lagen (1997:1024) om Skatteverkets brottsbekämpande verksamhet,
3. att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning, och
4. andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
Uppgifter får även behandlas för att tillhandahålla information i den utsträckning som en skyldighet att lämna uppgifterna följer av lag eller förordning.
7 §
Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) och uppgifter om lagöverträdelser m.m. som anges i 21 § samma lag får behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.
Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) och uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden får behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.
Uppgifter som avses i första stycket får i annat fall behandlas endast om det särskilt anges i 2 kap.
2 kap.
14 §
Skatteverket får ta ut avgifter för att lämna ut uppgifter ur databasen enligt de närmare föreskrifter som meddelas av regeringen.
Rätten att ta ut avgifter enligt första stycket får inte innebära inskränkning i rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen.
Rätten att ta ut avgifter får inte innebära en inskränkning i
1. rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen, eller
2. en registrerads rätt enligt artikel 12.5 i EU:s dataskyddsförordning.
3 kap.
Information till den registrerade m. fl.
Rätten till information m.m.
2 a §
Vid behandling av personuppgifter på grund av samarbete enligt lagen (2012:843) om administrativt samarbete inom Europeiska unionen i fråga om beskattning tillämpas inte 23, 25, 26, 28 och 42 §§ personuppgiftslagen (1998:204) om sådana begränsningar är nödvändiga med hänsyn till ett intresse som anges i 8 a § f personuppgiftslagen.
Vid behandling av person-uppgifter på grund av samarbete enligt lagen (2012:843) om administrativt samarbete inom Europeiska unionen i fråga om beskattning ska artiklarna 13 och 15-19 i EU:s dataskyddsförordning inte tillämpas, om sådana begränsningar är nödvändiga med hänsyn till ett viktigt ekonomiskt eller finansiellt intresse hos Europeiska unionen eller en stat som ingår i unionen.
Rätten att göra invändningar
3 §
Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.
1. Denna lag träder i kraft den 25 maj 2018.
2. Äldre föreskrifter om straff gäller fortfarande för överträdelser som har skett före ikraftträdandet.
2.3 Förslag till lag om ändring i lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet
Härigenom föreskrivs i fråga om lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet
dels att 3 kap. 1-4 §§ ska upphöra att gälla,
dels att rubrikerna närmast före 3 kap. 1, 3 och 4 §§ ska utgå,
dels att 1 kap. 2-4 och 6 §§, 2 kap. 12 § och rubriken närmast före 1 kap. 2 § ska ha följande lydelse,
dels att det ska införas en ny paragraf, 3 kap. 1 §, och närmast före 3 kap. 1 § en ny rubrik av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
Förhållandet till personuppgiftslagen
Förhållandet till annan reglering
1 kap.
2 §
Om inte annat anges i 3 § eller 3 kap. gäller denna lag i stället för personuppgiftslagen (1998:204).
Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän data-skyddsförordning), här benämnd EU:s dataskyddsförordning.
En registrerad har inte rätt att motsätta sig sådan behandling som är tillåten enligt denna lag.
3 §
När personuppgifter behandlas enligt denna lag eller enligt andra föreskrifter i det ämne som regleras i lagen gäller personuppgiftslagens (1998:204) bestämmelser om
1. definitioner i 3 §,
2. förhållandet till offentlighetsprincipen m.m. i 8 §,
3. grundläggande krav på behandling i 9 § med undantag för vad som sägs i första stycket i och tredje stycket,
4. säkerheten vid behandling i 30-32 §§,
5. överföring av personuppgifter till tredje land i 33-35 §§,
6. personuppgiftsombud, m.m. i 36 § andra stycket och 38-41 §§,
7. upplysningar till allmänheten om vissa behandlingar i 42 §,
8. tillsynsmyndighetens befogenheter i 43 och 47 §§, och
9. straff i 49 §.
Vid behandling av personuppgifter som inte sker i databaser gäller även 22 § personuppgiftslagen.
Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
4 §
Uppgifter får behandlas för att tillhandahålla information som behövs för
1. samordnad behandling, kontroll och analys av identifieringsuppgifter för fysiska personer och av andra folkbokföringsuppgifter,
2. handläggning av folkbokföringsärenden,
3. fullgörande av underrättelseskyldighet enligt lag eller förordning,
4. framställning av personbevis och andra registerutdrag,
5. aktualisering, komplettering och kontroll av personuppgifter,
6. uttag av urval av personuppgifter, och
7. tillsyn, kontroll, uppföljning och planering av folkbokföringsverksamheten.
Uppgifter får även behandlas för att tillhandahålla information i den utsträckning som en skyldighet att lämna uppgifterna följer av lag eller förordning.
Uppgifter får även behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Insamlade uppgifter får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
6 §
Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) och uppgifter om lagöverträdelser m.m. som anges i 21 § samma lag får behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.
Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) och uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden får behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.
Uppgifter som avses i första stycket får i annat fall behandlas endast om det särskilt anges i 2 kap.
2 kap.
12 §
Skatteverket får ta ut avgifter för att lämna ut uppgifter ur databasen enligt de närmare föreskrifter som meddelas av regeringen.
Rätten att ta ut avgifter enligt första stycket får inte innebära inskränkning i rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen.
Rätten att ta ut avgifter får inte innebära en inskränkning i
1. rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen, eller
2. en registrerads rätt enligt artikel 12.5 i EU:s dataskyddsförordning.
3 kap.
Rätten att göra invändningar
1 §
Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.
1. Denna lag träder i kraft den 25 maj 2018.
2. Äldre föreskrifter om straff gäller fortfarande för överträdelser som har skett före ikraftträdandet.
2.4 Förslag till lag om ändring i lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet
Härigenom föreskrivs i fråga om lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet
dels att 1 kap. 3 a § och 3 kap. 1-3 §§ ska upphöra att gälla,
dels att rubrikerna närmast före 3 kap. 1 och 3 §§ ska utgå,
dels att 1 kap. 2, 3 och 6 §§, 2 kap. 2, 3, 8, 9, 14, 15, 20, 20 a och 30 §§, 3 kap. 3 a och 4 §§ och rubriken närmast före 1 kap. 2 § ska ha följande lydelse,
dels att det ska införas en ny paragraf, 3 kap. 3 §, och närmast före 3 kap. 3 och 3 a §§ nya rubriker av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
1 kap.
Förhållandet till andra bestämmelser om personuppgiftsbehandling
Förhållandet till annan reglering
2 §
Om inte annat anges i 3 § eller 3 kap. gäller denna lag i stället för personuppgiftslagen (1998:204 ).
Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
En registrerad har inte rätt att motsätta sig sådan behandling som är tillåten enligt denna lag.
3 §
När personuppgifter behandlas enligt denna lag eller enligt andra föreskrifter i det ämne som regleras i lagen gäller personuppgiftslagens (1998:204) bestämmelser om
1. definitioner i 3 §,
2. förhållandet till offentlighetsprincipen m.m. i 8 §,
3. grundläggande krav på behandling i 9 § med undantag för vad som sägs i första stycket i och tredje stycket,
4. säkerheten vid behandling i 30-32 §§,
5. överföring av personuppgifter till tredje land i 33-35 §§,
6. personuppgiftsombud, m.m. i 36 § andra stycket och 38-41 §§,
7. upplysningar till allmänheten om vissa behandlingar i 42 §,
8. tillsynsmyndighetens befogenheter i 43 och 47 §§, och
9. straff i 49 §.
Vid behandling av personuppgifter som inte sker i databaser gäller även 22 § personuppgiftslagen.
Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
6 §
Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) och uppgifter om lagöverträdelser m.m. som anges i 21 § samma lag får behandlas endast om uppgifterna har lämnats i ett mål eller ärende eller är nödvändiga för handläggningen av det.
Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) och uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straff-processuella tvångsmedel eller administrativa frihetsberövanden får behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.
Uppgifter som avses i första stycket får i annat fall behandlas endast om det särskilt anges i 2 kap.
2 kap.
2 §
Uppgifter får behandlas i databasen för tillhandahållande av information som behövs i Kronofogdemyndighetens och Skatteverkets verksamhet för
Uppgifter får behandlas i databasen för att tillhandahålla information som behövs i Kronofogdemyndighetens och Skatteverkets verksamhet för
1. verkställighet eller annan åtgärd som särskilt åligger Kronofogdemyndigheten enligt utsökningsbalken eller annan författning,
2. indrivning av statliga fordringar m.m.,
3. avräkning vid återbetalning av skatter och avgifter,
4. ansökan om och tillsyn över näringsförbud,
5. förebyggande av överskuldsättning och information om skuldsanering och F-skuldsanering,
6. fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande, och
7. tillsyn, kontroll, uppföljning och planering av verksamheten.
Uppgifter som får behandlas enligt första stycket får även behandlas i databasen för tillhandahållande av information som behövs i Kronofogdemyndighetens verksamhet för handläggning av ärenden om skuldsanering och F-skuldsanering.
3 §
Uppgifter får behandlas i databasen för att tillhandahålla information som behövs i författningsreglerad verksamhet hos någon annan än Kronofogdemyndigheten för
1. avräkning vid återbetalning av skatter och avgifter,
2. kvittning vid utbetalning av bidrag,
3. planering, samordning och uppföljning av revision och annan kontrollverksamhet vid beskattning och tulltaxering,
4. utredningar vid bestämmande och betalning av skatter, tullar och avgifter,
5. ärenden om ansvar för någon annans skatter och avgifter, och
6. kontroll och tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning.
Uppgifter som behandlas enligt 2 § får även behandlas i databasen för
1. att tillhandahålla information som behövs i författningsreglerad verksamhet hos någon annan än Kronofogdemyndigheten för
a) avräkning vid återbetalning av skatter och avgifter,
b) kvittning vid utbetalning av bidrag,
c) planering, samordning och uppföljning av revision och annan kontrollverksamhet vid beskattning och tulltaxering,
d) utredningar vid bestämmande och betalning av skatter, tullar och avgifter,
e) ärenden om ansvar för någon annans skatter och avgifter, och
f) kontroll och tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning,
2. att tillhandahålla information som behövs i Kronofogdemyndighetens verksamhet för handläggning av ärenden om skuldsanering och F-skuldsanering,
3. att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning, och
4. andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
Uppgifter får även behandlas i databasen för att tillhandahålla information i den utsträckning som en skyldighet att lämna uppgifterna följer av lag eller förordning.
8 §
Uppgifter får behandlas i databasen för tillhandahållande av information som behövs i Kronofogdemyndighetens verksamhet för
Uppgifter får behandlas i databasen för att tillhandahålla information som behövs i Kronofogdemyndighetens verksamhet för
1. handläggningen av mål om betalningsföreläggande, handräckning eller europeiskt betalningsföreläggande,
2. tillhandahållande av utslag i mål om betalningsföreläggande och handräckning samt verkställighetsförklaring i mål om europeiskt betalningsföreläggande,
3. förebyggande av överskuldsättning och information om skuldsanering och F-skuldsanering, och
4. tillsyn, kontroll, uppföljning och planering av verksamheten.
Uppgifter som får behandlas enligt första stycket får även behandlas i databasen för tillhandahållande av information som behövs i Kronofogdemyndighetens verksamhet för handläggning av ärenden om skuldsanering och F-skuldsanering.
9 §
Uppgifter får behandlas i databasen för att tillhandahålla information som behövs i författningsreglerad verksamhet hos någon annan än Kronofogde-myndigheten för tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning.
Uppgifter som behandlas enligt 8 § får även behandlas i databasen för
1. att tillhandahålla information som behövs i författningsreglerad verksamhet hos någon annan än Kronofogdemyndigheten för tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning,
2. att tillhandahålla information som behövs i Kronofogdemyndighetens verksamhet för handläggning av ärenden om skuldsanering och F-skuldsanering,
3. att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning, och
4. andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
Uppgifter får även behandlas i databasen för att tillhandahålla information i den utsträckning som en skyldighet att lämna uppgifterna följer av lag eller förordning.
14 §
Uppgifter får behandlas i databasen för tillhandahållande av information som behövs i Kronofogdemyndighetens verksamhet för
Uppgifter får behandlas i databasen för att tillhandahålla information som behövs i Kronofogdemyndighetens verksamhet för
1. handläggning av ärenden om skuldsanering och F-skuldsanering,
2. förebyggande av överskuldsättning, och
3. tillsyn, kontroll, uppföljning och planering av verksamheten.
15 §
Uppgifter får behandlas i databasen för att tillhandahålla information som behövs i författningsreglerad verksamhet hos någon annan än Kronofogdemyndigheten för tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning.
Uppgifter som behandlas enligt 14 § får även behandlas i databasen för
1. att tillhandahålla information som behövs i författningsreglerad verksamhet hos någon annan än Kronofogdemyndigheten för tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning,
2. att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning, och
3. andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
Uppgifter får även behandlas i databasen för att tillhandahålla information i den utsträckning som en skyldighet att lämna uppgifterna följer av lag eller förordning.
20 §
Uppgifter får behandlas i databasen för tillhandahållande av information som behövs i Kronofogdemyndighetens verksamhet för
Uppgifter får behandlas i databasen för att tillhandahålla information som behövs i Kronofogdemyndighetens verksamhet för
1. handläggningen av konkurstillsynsärenden och mål enligt lönegarantilagen (1992:497),
2. förebyggande av överskuldsättning och information om skuldsanering och F-skuldsanering, och
3. tillsyn, kontroll, uppföljning och planering av verksamheten.
Uppgifter som får behandlas enligt första stycket får även behandlas i databasen för tillhandahållande av information som behövs i Kronofogdemyndighetens verksamhet för handläggning av ärenden om skuldsanering och F-skuldsanering.
20 a §
Uppgifter får utöver det som anges i 20 § behandlas i databasen för att tillhandahålla information i den utsträckning som en skyldighet att lämna uppgifterna följer av lag eller förordning.
Uppgifter som behandlas enligt 20 § får även behandlas i databasen för
1. att tillhandahålla information som behövs i Kronofogdemyndighetens verksamhet för handläggning av ärenden om skuldsanering och F-skuldsanering,
2. att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning, och
3. andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
30 §
Kronofogdemyndigheten får ta ut avgifter för att lämna ut uppgifter ur en databas enligt de närmare föreskrifter som meddelas av regeringen.
Rätten att ta ut avgifter enligt första stycket får inte innebära inskränkning i rätten att ta del av och mot fastställd avgift få kopia eller utskrift av allmän handling enligt tryckfrihetsförordningen.
Rätten att ta ut avgifter får inte innebära en inskränkning i
1. rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen, eller
2. en registrerads rätt enligt artikel 12.5 i EU:s dataskyddsförordning.
3 kap.
Rätten att göra invändningar
3 §
Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Rättelse
3 a §
Kronofogdemyndigheten ska på begäran av den registrerade snarast rätta, blockera eller utplåna sådana uppgifter som
1. inte har behandlats i enlighet med denna lag eller anslutande författningar, eller
2. är missvisande i fråga om den registrerades vilja eller förmåga att uppfylla sina ekonomiska förpliktelser.
Om uppgifterna lämnats ut till tredje man, ska Kronofogdemyndigheten underrätta denne om åtgärd enligt första stycket, om den registrerade begär det eller om mera betydande skada eller olägenhet för den registrerade kan undvikas på detta sätt. Någon underrättelse behöver dock inte lämnas, om detta skulle innebära en oproportionerligt stor arbetsinsats.
I fråga om personuppgifter finns bestämmelser om rättelse m.m. också i EU:s dataskyddsförordning.
4 §
En myndighets beslut om rättelse och om information som skall lämnas enligt 26 § personuppgiftslagen (1998:204) får överklagas hos allmän förvaltningsdomstol. Andra beslut enligt denna lag får inte överklagas.
Beslut om rättelse enligt 3 a § första stycket får överklagas till allmän förvaltningsdomstol.
Prövningstillstånd krävs vid överklagande till kammarrätten.
1. Denna lag träder i kraft den 25 maj 2018.
2. Äldre föreskrifter om straff gäller fortfarande för överträdelser som har skett före ikraftträdandet.
2.5 Förslag till lag om ändring i lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet
Härigenom föreskrivs i fråga om lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet
dels att 3 kap. 1-4 §§ ska upphöra att gälla,
dels att rubrikerna närmast före 3 kap. 1, 3 och 4 §§ ska utgå,
dels att 1 kap. 2-4, 5 och 7 §§, 2 kap. 11 § och rubriken närmast före 1 kap. 2 § ska ha följande lydelse,
dels att det ska införas en ny paragraf, 3 kap. 1 §, och närmast före 3 kap. 1 § en ny rubrik av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
1 kap.
Förhållandet till personuppgiftslagen
Förhållandet till annan reglering
2 §
Om inte annat anges i 3 § eller 3 kap. gäller denna lag i stället för personuppgiftslagen (1998:204).
Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän data-skyddsförordning), här benämnd EU:s dataskyddsförordning.
En registrerad har inte rätt att motsätta sig sådan behandling som är tillåten enligt denna lag.
3 §
När personuppgifter behandlas enligt denna lag eller enligt andra föreskrifter som meddelats med stöd av lagen gäller personuppgiftslagens (1998:204) bestämmelser om
1. definitioner i 3 §,
2. förhållandet till offentlighetsprincipen m.m. i 8 §,
3. grundläggande krav på behandling i 9 §, med undantag för vad som sägs i första stycket i och tredje stycket,
4. säkerheten vid behandling i 30-32 §§,
5. överföring av personuppgifter till tredje land i 33-35 §§,
6. personuppgiftsombud, m.m. i 36 § andra stycket och 38-41 §§,
7. upplysningar till allmänheten om vissa behandlingar i 42 §,
8. tillsynsmyndighetens befogenheter i 43 och 47 §§, och
9. straff i 49 §.
Vid behandling av personuppgifter som inte sker i databasen gäller även 22 § personuppgiftslagen.
Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
4 §
Uppgifter får behandlas för tillhandahållande av information som behövs hos Tullverket för
Uppgifter får behandlas för att tillhandahålla information som behövs hos Tullverket för
1. bestämmande, redovisning, betalning och återbetalning av tull, annan skatt och avgifter,
2. övervakning, revision och annan analys- eller kontrollverksamhet,
3. fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande, och
4. tillsyn, kontroll, uppföljning och planering av verksamheten.
Uppgifter som behandlas enligt första stycket får även behandlas för tillhandahållande av information som behövs i Tullverkets brottsbekämpande verksamhet enligt 2 kap. 5 § tullbrottsdatalagen (2017:447).
5 §
Uppgifter får behandlas för att tillhandahålla information som behövs i författningsreglerad verksamhet hos någon annan än Tullverket för
1. fastställande av underlag för samt bestämmande, redovisning, betalning och återbetalning av skatter eller avgifter,
2. revision och annan analys- eller kontrollverksamhet,
3. tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning, och
4. utsökning och indrivning.
Uppgifter som behandlas enligt 4 § får även behandlas för
1. att tillhandahålla information som behövs i författningsreglerad verksamhet hos någon annan än Tullverket för
a) fastställande av underlag för samt bestämmande, redovisning, betalning och återbetalning av skatter eller avgifter,
b) revision och annan analys- eller kontrollverksamhet,
c) tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning, och
d) utsökning och indrivning,
2. att tillhandahålla information som behövs i Tullverkets brottsbekämpande verksamhet enligt 2 kap. 5 § tullbrottsdatalagen (2017:447),
3. att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning, och
4. andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
Uppgifter får även behandlas för att tillhandahålla information i den utsträckning som en skyldighet att lämna uppgifterna följer av lag eller förordning.
7 §
Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) och uppgifter om lagöverträdelser m.m. som anges i 21 § samma lag får behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.
Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) och uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden får behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.
Uppgifter som avses i första stycket får i annat fall behandlas endast om det särskilt anges i 2 kap.
2 kap.
11 §
Tullverket får ta ut avgifter för att lämna ut uppgifter ur databasen enligt de närmare föreskrifter som meddelas av regeringen.
Rätten att ta ut avgifter enligt första stycket får inte innebära inskränkning i rätten att ta del av och mot fastställd avgift få kopia eller utskrift av allmän handling enligt tryckfrihetsförordningen.
Rätten att ta ut avgifter får inte innebära en inskränkning i
1. rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen, eller
2. en registrerads rätt enligt artikel 12.5 i EU:s dataskyddsförordning.
3 kap.
Rätten att göra invändningar
1 §
Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.
1. Denna lag träder i kraft den 25 maj 2018.
2. Äldre föreskrifter om straff gäller fortfarande för överträdelser som har skett före ikraftträdandet.
2.6 Förslag till lag om ändring i lagen (2015:898) om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter
Härigenom föreskrivs i fråga om lagen (2015:898) om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter
dels att 3 och 10 §§ ska upphöra att gälla,
dels att rubriken närmast före 10 § ska utgå,
dels att 4, 6 och 7 §§ och rubriken närmast före 4 § ska ha följande lydelse,
dels att det ska införas en ny paragraf, 10 §, och närmast före 10 § en ny rubrik av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
Förhållandet till personuppgiftslagen
Förhållandet till annan reglering
4 §
Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Vid behandling av person-uppgifter som omfattas av denna lag gäller personuppgiftslagen (1998:204), om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
6 §
Personuppgifter får behandlas om det behövs i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter.
Personuppgifter som behandlas enligt första stycket får också behandlas om det behövs för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. I övrigt gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204).
Personuppgifter som behandlas enligt första stycket får också behandlas om det behövs för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Sådana uppgifter får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
7 §
Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) får behandlas i en handling som har lämnats i ett ärende. Sådana uppgifter får behandlas även i en handling som har upprättats i ett ärende, om de är nödvändiga för ärendets hand-läggning.
Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas i en handling som har lämnats i ett ärende. Sådana uppgifter får behandlas även i en handling som har upprättats i ett ärende, om de är nödvändiga för ärendets handläggning.
Rätten att göra invändningar
10 §
Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Denna lag träder i kraft den 25 maj 2018.
2.7 Förslag till lag om ändring i lagen (2015:899) om identitetskort för folkbokförda i Sverige
Härigenom föreskrivs i fråga om lagen (2015:899) om identitetskort för folkbokförda i Sverige
dels att 9 och 18 §§ ska upphöra att gälla,
dels att rubriken närmast före 18 § ska utgå,
dels att 10, 12, 13 och 17 §§ och rubriken närmast före 10 § ska ha följande lydelse,
dels att det ska införas en ny paragraf, 18 §, och närmast före 18 § en ny rubrik av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
Förhållandet till personuppgiftslagen
Förhållandet till annan reglering
10 §
Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Vid behandling av person-uppgifter i databasen gäller personuppgiftslagen (1998:204) om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
12 §
Personuppgifter får behandlas i databasen om det behövs i den utfärdande myndighetens verksamhet för utfärdande av identitetskort.
Personuppgifter som behandlas enligt första stycket får också behandlas om det behövs för att fullgöra uppgiftsutlämnande som sker i överensstämmelse med lag eller förordning. I övrigt gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204).
Personuppgifter som behandlas enligt första stycket får också behandlas om det behövs för att fullgöra uppgiftsutlämnande som sker i överensstämmelse med lag eller förordning. Sådana uppgifter får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
13 §
Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) får behandlas i en handling som har lämnats i ett ärende. Sådana uppgifter får behandlas även i en handling som har upprättats i ett ärende, om de är nödvändiga för ärendets hand-läggning.
Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas i en handling som har lämnats i ett ärende. Sådana uppgifter får behandlas även i en handling som har upprättats i ett ärende, om de är nödvändiga för ärendets handläggning.
17 §
Ansiktsbilden enligt 2 § 1 och 14 § får inte användas vid sökning med hjälp av automatiserad behandling.
Känsliga personuppgifter som avses i 13 § och uppgifter om lagöverträdelser som avses i 21 § personuppgiftslagen (1998:204) får inte användas som sökbegrepp.
Känsliga personuppgifter som avses i 13 § och uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straff-processuella tvångsmedel eller administrativa frihetsberövanden får inte användas som sökbegrepp.
Rätten att göra invändningar
18 §
Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Denna lag träder i kraft den 25 maj 2018.
3 Ärendet och dess beredning
I en promemoria (dnr Fi/2017/02899/S3) som remitterades den 29 juni 2017 har Finansdepartementet lämnat förslag till anpassade regler om personuppgiftsbehandling inom skatt, tull och exekution med anledning av Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här kallad EU:s dataskyddsförordning. Dataskyddsförordningen ska börja tillämpas den 25 maj 2018. De lagar som det föreslås ändringar i är s.k. registerförfattningar, dvs. författningar om behandling av personuppgifter, som reglerar Skatteverkets, Tullverkets och Kronofogdemyndighetens behandling av personuppgifter i deras olika verksamheter.
Promemorians lagförslag finns i bilaga 1. Promemorian har remissbehandlats och en förteckning av remissinstanserna finns i bilaga 2. Remissvaren finns tillgängliga i Finansdepartementet (dnr Fi/2017/02899/S3).
Lagrådet
Regeringen beslutade den 11 januari 2018 att inhämta Lagrådets yttrande över de lagförslag som finns i bilaga 3. Lagrådets yttrande finns i bilaga 4. Lagrådet har lämnat förslagen utan erinran. I förhållande till lagrådsremissen har vissa smärre ändringar av redaktionell och språklig karaktär gjorts i lagtexten.
4 Bakgrund
4.1 EU:s dataskyddsreform
Den allmänna regleringen om behandling av personuppgifter inom EU finns i dag i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om behandling av det fria flödet av sådana uppgifter, här kallat 1995 års dataskyddsdirektiv. Direktivet syftar till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter, samt att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU. 1995 års dataskyddsdirektiv har genomförts i svensk rätt genom personuppgiftslagen (1998:204), förkortad PUL, som är generellt tillämplig vid behandling av personuppgifter. Därtill finns ett antal sektorsspecifika författningar som reglerar behandling av personuppgifter hos framför allt myndigheter, registerförfattningar.
År 2012 lade Europeiska kommissionen fram ett förslag till en reformerad dataskyddsreglering i EU. Förslaget avsåg dels en förordning med allmänna EU-regler om skydd av personuppgifter som skulle ersätta 1995 års dataskyddsdirektiv, dels ett direktiv med regler om skydd av personuppgifter som behandlas i samband med förebyggande, utredning, avslöjande eller lagföring av brott och därmed förbunden rättslig verksamhet.
Den 27 april 2016 antogs EU:s dataskyddsförordning. Den är en ny generell reglering för personuppgiftsbehandling inom EU och kommer att ersätta 1995 års dataskyddsdirektiv när den börjar tillämpas den 25 maj 2018. Enligt artikel 288 andra stycket i fördraget om Europeiska unionens funktionssätt ska en EU-förordning ha allmän giltighet och vara till alla delar bindande och direkt tillämplig i varje medlemsstat. Till skillnad från EU-direktiv ska alltså förordningar inte genomföras i nationell rätt. Även om dataskyddsförordningen, till skillnad från 1995 års dataskyddsdirektiv, är direkt tillämplig innehåller den många bestämmelser som förutsätter eller ger utrymme för kompletterande nationella bestämmelser av olika slag. Förordningen har därmed i vissa delar en direktivliknande karaktär.
Samtidigt med dataskyddsförordningen antogs ett nytt dataskyddsdirektiv med bestämmelser om behandling av personuppgifter inom den brottsbekämpande sektorn, Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, här kallat det nya dataskyddsdirektivet. Sådan behandling som omfattas av det nya dataskyddsdirektivet är undantagen från dataskyddsförordningens tillämpningsområde.
4.2 Författningsarbete med anledning av dataskyddsreformen
En utredning har föreslagit de anpassningar och kompletterande författningsändringar på generell nivå som EU:s dataskyddsförordning ger anledning till för svenskt vidkommande, Dataskyddsutredningen (Ju 2016:04, dir. 2016:15). Utredningen lämnade den 12 maj 2017 sitt betänkande Ny dataskyddslag Kompletterande bestämmelser till EU:s dataskyddsförordning (SOU 2017:39). I betänkandet föreslås bl.a. att personuppgiftslagen ska upphävas och att det ska införas en lag med kompletterande bestämmelser till EU:s dataskyddsförordning, här kallad dataskyddslagen. I propositionen Ny dataskyddslag (prop. 2017/18:105) följer regeringen huvudsakligen betänkandets lagförslag.
Dataskyddsutredningens arbete och betänkande har inte omfattat en översyn eller förslag till förändringar av sådan sektorsspecifik reglering om behandling av personuppgifter som finns bl.a. i de särskilda register-författningarna för myndigheter eller i andra författningar som rör sektorsspecifik behandling av personuppgifter. Arbetet med att anpassa sådan reglering till den nya förordningen har i stället utförts på andra sätt. Ett antal utredningar har sett över behovet av författningsändringar med avseende på vissa specifika sektorer. På vissa områden har översynsarbetet bedrivits inom Regeringskansliet.
En utredning tillsattes även för att genomföra det nya dataskydds-direktivet (Utredningen om 2016 års dataskyddsdirektiv, Ju 2016:06). Utredningen lämnade delbetänkande den 5 april 2017 och slutbetänkande den 3 oktober 2017. Förslagen bereds inom Regeringskansliet.
Det kan också nämnas att även Utredningen om tillsynen över den personliga integriteten har lämnat förslag på anpassningar med anledning av dataskyddsreformen i betänkandet Ett samlat ansvar för tillsyn över den personliga integriteten (SOU 2016:65). Det föreslås bl.a. att Datainspektionen ska utses till svensk nationell tillsynsmyndighet enligt dataskyddsförordningen och det nya dataskyddsdirektivet. Betänkandet bereds inom Regeringskansliet.
4.3 Översynen som ligger till grund för denna proposition
På skatte- och tullavdelningen vid Finansdepartementet har det gjorts en översyn av vilka ändringar i avdelningens författningar som föranleds av EU:s dataskyddsförordning. De författningar som berörs av översynen rör i huvudsak behandling av personuppgifter hos Skatteverket, Tullverket och Kronofogdemyndigheten, dock inte personuppgiftsbehandling vid brottsbekämpande verksamhet. Översynen ledde till den promemoria som har remitterats (dnr Fi/2017/02899/S3) och som ligger till grund för denna proposition. I propositionen lämnas förslag till de lagändringar som bedöms nödvändiga eller lämpliga. Vissa överväganden som har gjorts, men som inte har lett till författningsförslag, redovisas också.
Som framgår ovan medför även det nya dataskyddsdirektivet att författningar ses över. Utredningen om 2016 års dataskyddsdirektiv har haft i uppdrag att föreslå de ändringar som behövs för att anpassa vissa centrala författningar om rättsväsendets personuppgiftsbehandling till direktivets förpliktelser. Skattebrottsdatalagen (2017:452) och tullbrottsdatalagen (2017:447) är exempel på sådana författningar. Trots att de avser Skatteverkets och Tullverkets personuppgiftsbehandling omfattas dessa författningar därför inte av den översyn som ligger till grund för denna proposition. Vissa författningar berör både sådan behandling som omfattas av dataskyddsförordningen och det nya dataskyddsdirektivet. Av den anledningen behandlas i denna proposition vissa frågor som har koppling till direktivet.
5 Gällande rätt
5.1 Dataskyddsdirektivet och personuppgiftslagen
I det följande redogörs kort för den centrala nu gällande EU-rättsakt som dataskyddsförordningen ersätter, nämligen 1995 års dataskyddsdirektiv, och för personuppgiftslagen som tillsammans med ett stort antal registerförfattningar har genomfört 1995 års dataskyddsdirektiv. I Dataskyddsutredningens betänkande finns en närmare redogörelse av internationell och svensk rätt på dataskyddsområdet (SOU 2017:39 avsnitt 3).
1995 års dataskyddsdirektiv syftar till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter, samt att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU. Enligt direktivet måste all behandling av personuppgifter vara laglig och korrekt. Uppgifterna måste vara riktiga och aktuella samt adekvata, relevanta och nödvändiga med hänsyn till de ändamål för vilka de behandlas. Ändamålen ska vara uttryckligt angivna vid tiden för insamling av uppgifterna. De ändamål för vilka uppgifterna senare behandlas får inte vara oförenliga med de ursprungliga ändamålen.
1995 års dataskyddsdirektiv gäller inte för behandling av personuppgifter på områden som faller utanför gemenskapsrätten, t.ex. allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område.
Direktivet har genomförts i svensk rätt huvudsakligen genom personuppgiftslagen. Bestämmelserna i personuppgiftslagen har till syfte att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. De följer i princip dataskyddsdirektivets struktur och innehåller liksom direktivet bestämmelser om personuppgiftsansvar, grundläggande krav för behandling av personuppgifter, information till den registrerade, skadestånd och straff.
Personuppgiftslagen är tillämplig även utanför EU-rättens område och gäller både för myndigheter och enskilda som behandlar personuppgifter. Personuppgiftslagen är samtidigt subsidiär, vilket innebär att lagens bestämmelser inte ska tillämpas om det finns avvikande bestämmelser i en annan lag eller förordning. Det finns en stor mängd sådana bestämmelser i sektorsspecifika författningar som främst reglerar hur olika myndigheter får behandla personuppgifter, se t.ex. i avsnittet nedan.
Personuppgiftslagen kompletteras också av bestämmelser i personuppgiftsförordningen (1998:1191) som bl.a. anger Datainspektionen som tillsynsmyndighet.
5.2 Registerförfattningar på skatte- och tullavdelningens område
Skatte- och tullavdelningen vid Finansdepartementet ansvarar för myndigheterna Skatteverket, Tullverket och Kronofogdemyndigheten. För var och en av dessa myndigheter finns registerförfattningar.
Inom Skatteverket, Tullverket och Kronofogdemyndigheten förekommer också viss personuppgiftsbehandling som inte omfattas av de särskilda registerförfattningarna. Sådan behandling sker med stöd av den generella regleringen i personuppgiftslagen.
För Skatteverkets behandling av personuppgifter gäller ett antal olika registerförfattningar. Lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet och den tillhörande förordningen (2001:588) tillämpas vid behandling av personuppgifter i Skatteverkets beskattningsverksamhet och i verkets handläggning enligt lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter, lagen (2013:948) om stöd vid korttidsarbete och lagen (1991:1047) om sjuklön, om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Vid Skatteverkets folkbokföringsverksamhet gäller lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet och den tillhörande förordningen (2001:589). Skatteverket har också verksamhet som avser det statliga personadressregistret, SPAR, varvid lagen (1998:527) om det statliga personadressregistret och den tillhörande förordningen (1998:1234) gäller.
I Skatteverkets verksamheter med äktenskapsregister och bouppteckning gäller lagen (2015:898) om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter och den tillhörande förordningen (2015:905). I lagen (2015:899) om identitetskort för folkbokförda i Sverige och den tillhörande förordningen (2015:904) finns bestämmelser om en databas som innehåller personuppgifter och som ska föras i verksamheten med utfärdande av identitetskort för folkbokförda i Sverige. Sistnämnda lag reglerar inte endast personuppgiftsbehandlingen i databasen utan även verksamheten med utfärdande av id-kort.
I Skatteverkets brottsbekämpande verksamhet gäller skattebrottsdatalagen. Skattebrottsdatalagen omfattas av det nya dataskyddsdirektivet och omfattas därför inte av några förslag i denna proposition.
I fråga om Tullverkets personuppgiftsbehandling gäller lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet och den tillhörande förordningen (2001:646). Vid Tullverkets brottsbekämpande verksamhet gäller tullbrottsdatalagen. I likhet med vad som sägs om Skatteverket omfattas tullbrottsdatalagen av det nya dataskyddsdirektivet och därför inte av några förslag i denna proposition.
I fråga om Kronofogdemyndighetens behandling av personuppgifter gäller lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet och den tillhörande förordningen (2001:590). Lagen tillämpas vid behandling av personuppgifter i Kronofogdemyndighetens verksamhet med utsökning och indrivning, skuldsanering, F-skuldsanering, betalningsföreläggande och handräckning, europeiskt betalningsföreläggande, tillsyn i konkurs samt i annan verksamhet som särskilt åligger Kronofogdemyndigheten.
De flesta av de nämnda författningarna är uppbyggda på samma sätt som lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet vad avser automatiserad behandling. De flesta författningarna är vidare uppbyggda så att de gäller i stället för personuppgiftslagen eller att personuppgiftslagen gäller om det inte finns avvikande bestämmelser i registerförfattningen. I de författningar som gäller i stället för personuppgiftslagen anges de bestämmelser i personuppgiftslagen som gäller när personuppgifter behandlas enligt den författningen. Några av författningarna gäller delvis även vid behandling av uppgifter om juridiska personer och uppgifter om avlidna. De flesta författningarna innehåller bestämmelser om behandling av uppgifter i särskilda databaser.
5.3 Andra författningar på skatte- och tullavdelningens område
Inte bara registerförfattningar innehåller bestämmelser om behandling av personuppgifter. På skatte- och tullavdelningens område finns även andra författningar som innehåller bestämmelser om behandling av personuppgifter, eller som kan medföra behandling av personuppgifter, och som kan beröras av den nya dataskyddsförordningen. Det är t.ex. författningar om internationellt samarbete och författningar som reglerar beskattnings- eller tullverksamheten eller verksamheten med utsökning och indrivning. Som exempel kan nämnas lagen (2000:1219) om internationellt tullsamarbete, lagen (2015:912) om automatiskt utbyte av upplysningar om finansiella konton, lagen (2011:1537) om bistånd med indrivning av skatter och avgifter inom Europeiska unionen, skatteförfarandelagen (2011:1244), tullagen (2016:253) och lagen (2004:629) om trängselskatt. De innehåller t.ex. bestämmelser om uppgiftsskyldighet mellan myndigheter eller från myndigheter till andra länder och om möjligheter att lämna uppgifter till andra, dvs. frivilligt uppgiftslämnande. Sådan uppgiftsskyldighet kan medföra behandling av personuppgifter.
6 Dataskyddsförordningens tillämplighet
Regeringens bedömning: En stor del av den personuppgiftsbehandling som regleras i berörda lagar omfattas av dataskyddsförordningens tillämpningsområde.
Promemorians bedömning: Överensstämmer med regeringens bedömning.
Remissinstanserna: Dataskydd.net tillstyrker bedömningen. I övrigt yttrar sig ingen remissinstans särskilt över bedömningen. Tullverket och Kronofogdemyndigheten framför önskemål om att författningarna för deras respektive personuppgiftsbehandling ska ses över i vissa avseenden, som inte direkt krävs med anledning av de nya dataskyddsreglerna. Justitiekanslern önskar en större samordning av det anpassningsarbete som sker samtidigt i olika lagstiftningsärenden med anledning av de nya dataskyddsreglerna, t.ex. att enhetliga principer bör användas gällande struktur och språk. Sveriges advokatsamfund anser att det på grund av de många registerförfattningarna finns tillämpningsproblem och att det är olyckligt att uppdraget inte har varit att ta fram en enhetlig reglering för berörd del av den offentliga verksamheten.
Skälen för regeringens bedömning
Helt eller delvis automatisk behandling
EU:s dataskyddsförordning är direkt tillämplig, men förutsätter och möjliggör också kompletterande nationella bestämmelser. Att den är direkt tillämplig innebär att förordningens tillämpningsområde direkt avgör huruvida en viss behandling av personuppgifter måste följa reglerna i förordningen. Artikel 2 reglerar dataskyddsförordningens materiella tillämpningsområde. Enligt artikel 2.1 ska förordningen tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.
Den personuppgiftsbehandling som Skatteverket, Tullverket och Kronofogdemyndigheten utför i sina verksamheter äger till stor del rum på det sätt som anges i artikel 2.1. Som framgår i avsnitt 5.2 gäller också registerförfattningarna för myndigheterna om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Personkretsen
I dataskyddsförordningen fastställs bestämmelser om skydd för fysiska personer med avseende på behandlingen av personuppgifter och om det fria flödet av personuppgifter (artikel 1). Dataskyddsförordningen omfattar alltså inte behandling av personuppgifter rörande juridiska personer, vilket också framgår av skäl 14. Av skäl 27 framgår att förordningen inte heller gäller behandling av personuppgifter rörande avlidna personer, men att medlemsstaterna får fastställa bestämmelser för behandlingen av personuppgifter rörande avlidna personer.
De berörda myndigheterna behandlar uppgifter både om fysiska och juridiska personer, men också i vissa fall om avlidna. I likhet med dataskyddsförordningen tar nu aktuella registerförfattningar sikte på behandling av personuppgifter. Vissa bestämmelser i registerförfattningarna gäller dock även vid behandling av uppgifter om juridiska personer eller avlidna. Att vissa bestämmelser gäller även vid behandling av uppgifter om juridiska och/eller avlidna personer medför inte att dataskyddsförordningen blir tillämplig för den kretsen.
Verksamhet som inte omfattas av unionsrätten
Enligt artikel 2.2 a i dataskyddsförordningen ska förordningen inte tillämpas på behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten. I prop. 2017/18:105 behandlar regeringen denna fråga. Exakt vilka verksamheter som faller utanför unionsrättens tillämpningsområde och därmed inte omfattas av förordningens bestämmelser om behandling av personuppgifter är enligt regeringen inte helt klart, förutom när det gäller verksamhet rörande nationell säkerhet som uttryckligen nämns i skälen. Även en restriktiv tolkning av undantaget från förordningens tillämpningsområde bör emellertid innebära att det inom den offentliga sektorn också finns annan verksamhet som faller utanför unionsrättens tillämpningsområde (prop. 2017/18:105 s. 29).
Det är inte otänkbart att viss behandling som omfattas av nu aktuella lagar skulle kunna anses falla utanför förordningens tillämpningsområde på den grunden. Skatteverket behandlar personuppgifter i sin beskattningsverksamhet som bl.a. innefattar frågor om direkt skatt (inkomstskatt), där unionen som utgångspunkt saknar befogenheter och där medlemsstaterna har självständig beslutanderätt. I prop. 2017/18:105 föreslås dock bl.a. att bestämmelserna i dataskyddsförordningen, i den ursprungliga lydelsen, ska gälla även vid behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten. (1 kap. 2 § förslaget till dataskyddslag). Detta kan delvis liknas vid att personuppgiftslagen har gjorts generellt tillämplig, se avsnitt 5.1.
I författningskommentaren till den föreslagna bestämmelsen anges bl.a. att det finns bestämmelser i förordningen som inte kan tillämpas i rent nationella sammanhang. Som exempel nämns att det inte är möjligt att genom nationell rätt ålägga tillsynsmyndigheter i andra länder att samarbeta med den svenska tillsynsmyndigheten. Kapitel VII och kapitel X i dataskyddsförordningen är t.ex. inte tillämpliga inom det utsträckta tillämpningsområdet.
Förebygga, förhindra, utreda, avslöja eller lagföra brott
Artikel 2.2 d i dataskyddsförordningen som undantar den behandling av personuppgifter som behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder innebär att den allra största delen av den personuppgifts-behandling som Skatteverket och Tullverket utför i sin brottsbekämpande verksamhet inte omfattas av dataskyddsförordningens tillämpningsområde. Här gäller i stället det nya dataskyddsdirektivet. Utredningen om 2016 års dataskyddsdirektiv har haft i uppdrag att föreslå hur det nya dataskyddsdirektivet ska genomföras i svensk rätt. I delbetänkandet behandlas gränsdragningsfrågor avseende det nya dataskyddsdirektivet och dataskyddsförordningen (SOU 2017:29, avsnitt 8). Såväl Skatteverkets som Tullverkets personuppgiftsbehandling berörs där. I slutbetänkandet föreslås de författningsändringar som krävs i de brottsbekämpande myndigheternas registerförfattningar (SOU 2017:74). De författningar som reglerar myndigheternas personuppgiftsbehandling vid sådan verksamhet, skattebrottsdatalagen och tullbrottsdatalagen, omfattas som nämnts ovan därför inte av förslagen i denna proposition.
Vissa av lagarna som omfattas av översynen i promemorian som ligger till grund för denna proposition kan omfattas även av det nya dataskyddsdirektivets tillämpningsområde. Detta gäller t.ex. lagen om internationellt tullsamarbete. Lagen tillämpas på internationellt tullsamarbete som 1. följer av en internationell överenskommelse med en annan stat eller mellanfolklig organisation som Sverige har tillträtt eller annars är förpliktat att följa och 2. har till syfte att förhindra, upptäcka, utreda eller beivra överträdelser av tullbestämmelser (1 kap. 1 §). Dessa överträdelser kan avse såväl straffbelagda som rent administrativa överträdelser.
Några övriga frågor
Sveriges advokatsamfund anser att det är olyckligt att uppdraget inte har varit att ta fram en enhetlig reglering för berörd del av den offentliga verksamheten. En sådan generell översyn av registerförfattningarna som Sveriges advokatsamfund men också Tullverket och Kronofogdemyndigheten önskar är inte möjlig i detta lagstiftningsärende. Vid översynen har dock vissa behov av justeringar i lagarna uppmärksammats som inte har direkt samband med dataskyddsförordningen, och som omfattas av den remitterade promemorians förslag. I denna proposition behandlas vissa sådana förslag till ändringar. Justitiekanslern önskar en större samordning av de anpassningar som föreslås i olika lagstiftningsärenden med anledning av de nya dataskyddsreglerna. I detta lagstiftningsärende har pågående förändringsarbete avseende andra författningar med liknande struktur som här aktuella beaktats, för att uppnå en så stor enhetlighet som möjligt.
7 Överväganden kring vissa grundläggande krav på behandling
7.1 Rättslig grund för behandling av personuppgifter
Regeringens bedömning: Den behandling av personuppgifter som får utföras enligt bestämmelser i de berörda lagarna eller som måste utföras med anledning av bestämmelser i dem är tillåten enligt artikel 6.1 och 6.3 i EU:s dataskyddsförordning.
Promemorians bedömning: Överensstämmer med regeringens bedömning.
Remissinstanserna: Datainspektionen efterfrågar ett tydligt utpekande av de rättsliga grunderna och en analys av att lagstiftningen är proportionell mot det legitima mål som eftersträvas. Dataskydd.net tillstyrker bedömningen men anser att det har skett en sammanblandning mellan vad som i dataskyddsrättslig mening är särskilt bestämda ändamål och tillåtna rättsliga grunder för behandling. Vidare bör bestämmelsen i 3 § lagen om det statliga personadressregistret flyttas till Skatteverkets instruktion för att skapa en rättslig grund för registret. UC AB anser att det i den fortsatta lagstiftningsprocessen bör tydliggöras att utlämnande av information för användning i kreditupplysningsverksamheten är en uppgift av allmänt intresse. Sveriges advokatsamfund anser att det finns oklarheter när det gäller frågan om den personuppgiftsbehandling som sker i s.k. eget utrymme hos en myndighet, bl.a. om sådan behandling är rättsligt grundad på det sätt som krävs. Sveriges advokatsamfund anser att denna fråga bör klargöras och att det bör ske genom regler i författning eller uttalanden i lagmotiv, för det fall myndigheten ska anses vara personuppgiftsansvarig för behandling i eget utrymme. I övrigt yttrar sig ingen remissinstans särskilt över bedömningen.
Skälen för regeringens bedömning
Dataskyddsförordningens bestämmelser om rättslig grund
Den europeiska dataskyddsregleringen utgår från att varje behandling av personuppgifter måste vila på en rättslig grund. I EU:s dataskyddsförordning räknas dessa rättsliga grunder upp i artikel 6.1. Behandling är enligt denna bestämmelse endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:
a) Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.
b) Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.
c) Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.
d) Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.
e) Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.
f) Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.
Bestämmelsen motsvarar i stora drag artikel 7 i 1995 års dataskyddsdirektiv, som har genomförts i svensk rätt genom 10 § PUL.
Uppräkningen i artikel 6.1 är uttömmande. Om ingen av de grunder som anges där är tillämplig är behandlingen inte laglig och får därmed inte genomföras. De rättsliga grunderna är i viss mån överlappande. Flera rättsliga grunder kan därför vara tillämpliga avseende en och samma behandling.
För myndigheters verksamhet är grunderna i artikel 6.1 c och 6.1 e i dataskyddsförordningen av särskilt intresse. Bestämmelserna motsvaras av artikel 7 c och 7 e i 1995 års dataskyddsdirektiv.
Artikel 6.1 c i dataskyddsförordningen är i sak likalydande med artikel 7 c i 1995 års dataskyddsdirektiv - personuppgifter får behandlas om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Enligt regeringens bedömning i prop. 2017/18:105 bör utgångspunkten vara att begreppet rättslig förpliktelse i de båda rättsakterna ska tolkas och tillämpas på samma sätt (s. 53).
Artikel 6.1 e i dataskyddsförordningen är i stora delar likalydande med artikel 7 e i 1995 års dataskyddsdirektiv. Av båda bestämmelserna framgår att personuppgifter får behandlas om behandlingen är nödvändig för att fullgöra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. I direktivets bestämmelse anges vidare att uppgifter får behandlas även om behandlingen är ett led i myndighetsutövning som utförs av tredje man till vilken uppgifterna har lämnats ut. Dataskyddsutredningen bedömer att mycket talar för att begreppet uppgift av allmänt intresse måste anses ha fått en vidare unionsrättslig betydelse genom dataskyddsförordningen än det hittills har haft. Bedömningen görs bl.a. eftersom det enligt dataskyddsförordningen, till skillnad från 1995 års dataskyddsdirektiv, inte är tillåtet för myndigheter att behandla personuppgifter med stöd av den rättsliga grund som utgår från en avvägning mellan den ansvariges berättigade intressen och den registrerades rättigheter och intressen när de utför sina uppgifter (SOU 2017:39 s. 123). Regeringen bedömer i prop. 2017/18:105 att för att myndigheternas verksamhet ska kunna fungera även i fortsättningen måste begreppet uppgift av allmänt intresse ges en vid betydelse (s. 56).
Medlemsstaterna får enligt artikel 6.2 fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling för att efterleva punkterna 6.1 c och e.
Den grund för behandling som avses i artikel 6.1 c och e ska enligt artikel 6.3 fastställas i enlighet med unionsrätten eller den medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Något motsvarande krav på att grunden ska vara fastställd finns inte i 1995 års dataskyddsdirektiv eller i personuppgiftslagen. Det har därför ansetts möjligt att med stöd av 10 § d PUL utföra behandling av personuppgifter som är nödvändig för att utföra en arbetsuppgift av allmänt intresse, även om den rättsliga grunden inte är fastställd i författning eller liknande. Dataskyddsförordningen innebär däremot att bl.a. förpliktelser och uppgifter av allmänt intresse inte kan åberopas som rättsliga grunder för behandling av personuppgifter om den rättsliga grunden inte är fastställd i unionsrätten eller medlemsstatens nationella rätt.
Vid behandling som omfattas av artikel 6.1 c och e ska enligt artikel 6.3 också syftet med behandlingen fastställas i den rättsliga grunden eller, i fråga om behandling enligt punkten 6.1 e, vara nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den person-uppgiftsansvariges myndighetsutövning.
Av artikel 6.3 framgår vidare att den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen, bl.a. de allmänna villkor som ska gälla, vilken typ av uppgifter som ska behandlas, ändamålsbegränsningar och lagringstid. Artikel 6.3 ställer också krav på att, i fråga om grunden för personuppgiftsbehandling, unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas. Detta krav på proportionalitet gäller även för sektorsspecifika dataskyddsbestämmelser.
Propositionen Ny dataskyddslag
I prop. 2017/18:105 uttalar sig regeringen bl.a. om vad kravet i dataskyddsförordningen på att den rättsliga grunden i vissa fall ska vara fastställd i unionsrätt eller nationell rätt innebär i fråga om nationell författningsreglering.
Det som ska fastställas i unionsrätten eller i nationell rätt är den grund för behandlingen som avses i artikel 6.1 c och e. Det krävs således inte en reglering i unionsrätten eller i nationell rätt av den personuppgiftsbehandling som ska ske med stöd av dessa rättsliga grunder. Regeringen betonar därvid att dataskyddsförordningens krav på att grunden för behandlingen ska vara fastställd inte utgör någon nyhet när det gäller svenska myndigheters behandling av personuppgifter. I propositionen hänvisas till att legalitetsprincipen är grundlagsfäst genom 1 kap. 1 § regeringsformen, som anger att den offentliga makten utövas under lagarna. Legalitetsprincipen innebär alltså att myndigheternas maktutövning i vidsträckt mening, även i den mån denna förutsätter behandling av personuppgifter, måste ha stöd i någon av de källor som tillsammans bildar rättsordningen. Det torde inte förekomma någon offentlig verksamhet i Sverige av vikt för samhällets funktioner som saknar stöd i författning eller beslut som har meddelats i enlighet med regeringsformens bestämmelser (prop. 2017/18:105 s. 49 f.).
Vidare ska enligt artikel 6.3 andra stycket sista meningen unionsrätten eller medlemsstaternas nationella rätt uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas. Detta motsvarar det krav som Europakonventionen ställer på lagstiftaren i en rättsstat och det bör vara mycket ovanligt att svensk rätt inte uppfyller Europakonventionens krav. Mot denna bakgrund bör utgångspunkten vara att även dataskyddsförordningens motsvarande krav är uppfyllt i fråga om de rättsliga förpliktelser, uppgifter av allmänt intresse och den myndighetsutövning som fastställs i enlighet med svensk rätt (s. 50). Regeringen konstaterar därvid att en rättslig grund är fastställd i enlighet med svensk rätt om den följer av författning eller beslut som meddelats i enlighet med regeringsformens bestämmelser (s. 52).
Regeringen konstaterar som nyss nämnts att det följer av grundlag att den offentliga makten utövas under lagarna. Förpliktelser som åligger enskilda eller kommuner kan regleras direkt i lag, i förordningar eller andra föreskrifter. Förpliktelser kan också fastställas i domar eller myndighetsbeslut som meddelats med stöd av lag eller andra föreskrifter. Även domstolar och förvaltningsmyndigheter kan, vid sidan av sina uppgifter och uppdrag, sägas ha rättsliga förpliktelser. En myndighets uppdrag enligt instruktionen till myndigheten eller ett regleringsbrev kan enligt regeringen i vissa fall utgöra en i enlighet med nationell rätt fastställd rättslig förpliktelse i dataskyddsförordningens mening, t.ex. om myndigheten ges i uppdrag att föra ett visst register. I normalfallet torde dock myndighetens uppdrag i första hand utgöra en rättslig grund för behandling av personuppgifter med stöd av artikel 6.1 e i dataskyddsförordningen, dvs. på grundval av att uppdraget avser en uppgift av allmänt intresse (s. 53 f.).
Regeringen föreslår att det ska införas en bestämmelse i den nya dataskyddslagen som tydliggör att personuppgifter får behandlas med stöd av artikel 6.1 c i dataskyddsförordningen, om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning (2 kap. 1 § förslaget till dataskyddslag). Enligt artikel 6.3 andra stycket första meningen i dataskyddsförordningen ska syftet med behandlingen, då denna grundar sig på en rättslig förpliktelse, fastställas i den rättsliga grunden. Enligt regeringen torde kravet innebära att en förpliktelse inte kan läggas till grund för behandling av personuppgifter om syftet med behandlingen inte framgår. Det ska alltså vara möjligt för såväl den personuppgiftsansvarige som den registrerade att förstå varför behandlingen av personuppgifter ska ske. Detta kan exempelvis ske genom en författning som anger att en näringsidkare i en viss situation är skyldig att lämna uppgifter till en myndighet eller en domstol (s. 54).
I fråga om den rättsliga grund som tar sikte på myndighetsutövning konstaterar regeringen vidare att myndighetsutövning aldrig kan utövas utan stöd i gällande rätt (s. 63). Vad sedan gäller behandling som är nödvändig för att utföra en arbetsuppgift av allmänt intresse görs, som redan nämnts, bedömningen att begreppet uppgift av allmänt intresse måste ges en vid betydelse. Alla uppgifter som riksdag eller regering gett i uppdrag åt statliga myndigheter att utföra bedöms vara av allmänt intresse. Myndigheternas uppdrag och åligganden framgår av bl.a. författningar och regeringsbeslut antagna i enlighet med regeringsformens bestämmelser om normgivningskompetens. De åtgärder som myndigheterna vidtar i syfte att utföra dessa uppdrag eller uppfylla dessa åligganden har enligt regeringen därmed i sig en legal grund, som har offentliggjorts genom tydliga, precisa och förutsebara regler (s. 56 f.). Regeringen föreslår i dataskyddslagen en bestämmelse som tydliggör att personuppgifter får behandlas med stöd av artikel 6.1 e i dataskyddsförordningen, om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning, eller som ett led i den personuppgiftsansvariges myndighetsutövning enligt lag eller annan författning (2 kap. 2 § förslaget till dataskyddslag).
Behandlingen är tillåten enligt artikel 6.1 och 6.3
- Artikel 6.1
I de lagar som är aktuella i denna proposition finns ett flertal bestämmelser som innebär att uppgifter får eller måste behandlas på ett sådant sätt att dataskyddsförordningens bestämmelser blir tillämpliga. Det rör sig både om bestämmelser i de särskilda registerförfattningarna och om bestämmelser i andra lagar. I huvudsak är det fråga om behandling som utförs av myndigheter, framför allt Skatteverket, Tullverket och Kronofogdemyndigheten. Det kan t.ex. vara fråga om att uppgifter ska samlas in för vissa angivna ändamål eller skyldigheter för de nämnda myndigheterna att lämna uppgifter.
Vidare finns även bestämmelser som kan innebära att enskilda behöver behandla personuppgifter på ett visst sätt, t.ex. vid fullgörande av skyldigheter att lämna uppgifter till de berörda myndigheterna. Sådant uppgiftslämnande regleras t.ex. i skatteförfarandelagen som innehåller bestämmelser om förfarandet vid uttag av skatter och avgifter. Bestämmelserna kan innebära att uppgifter måste behandlas av enskilda aktörer på ett sådant sätt att dataskyddsförordningen blir tillämplig.
Sådan behandling som avses i de aktuella författningarna sker regelmässigt för att utföra en uppgift av allmänt intresse. I vissa fall, särskilt i fråga om behandling som utförs av enskilda, är det fråga om att fullgöra rättsliga förpliktelser. För myndigheternas del innefattar uppgifterna dessutom ofta myndighetsutövning. Därutöver har de nyss angivna grunderna i artikel 6.1 sina motsvarigheter i 1995 års dataskyddsdirektiv. Regeringens bedömning är att dataskyddsförordningen i de nu aktuella fallen inte innebär att utrymmet för tillåten behandling har blivit mindre. Regeringen anser att den behandling av personuppgifter som får utföras enligt bestämmelser i de berörda lagarna eller som måste utföras med anledning av bestämmelser i dem har rättslig grund enligt artikel 6.1 i dataskyddsförordningen.
UC AB väcker i detta sammanhang frågan om det i den fortsatta lagstiftningsprocessen bör tydliggöras att utlämnande av information för användning i kreditupplysningsverksamheten är en uppgift av allmänt intresse. Enligt regeringen måste myndigheters verksamhet av detta slag anses vara av allmänt intresse i dataskyddsförordningens mening.
- Artikel 6.3
Som framgår ovan är det en nyhet i dataskyddsförordningen att den rättsliga grund som avses i artikel 6.1 c och e ska vara fastställd i unionsrätten eller nationell rätt (artikel 6.3 första stycket). De uppgifter som åligger de berörda myndigheterna är fastställda i författningar, såsom i myndighetsinstruktioner och författningar som närmare reglerar viss verksamhet, eller i beslut som har meddelats med stöd av författning. För Skatteverket, Tullverket och Kronofogdemyndigheten finns t.ex. bestämmelser om myndigheternas uppgifter i de förordningar som utgör myndigheternas instruktioner, men även i författningar som på ofta detaljerad nivå reglerar myndigheternas uppgifter i olika avseenden. Centrala bestämmelser för myndigheternas verksamhet finns t.ex. i skatteförfarandelagen, tullagen, folkbokföringslagen (1991:481) och utsökningsbalken. När det gäller nyss nämnda myndigheters personuppgiftsbehandling finns i de flesta fall dessutom i registerförfattningarna särskilda bestämmelser som anger att personuppgifter får behandlas för vissa ändamål i verksamheten. Sådan behandling av enskilda aktörer som kan sägas vara en följd av bestämmelser i de berörda lagarna sker för att uppfylla specifika förpliktelser som har ålagts enskilda. Förpliktelserna framgår ofta direkt av bestämmelser i lag.
Datainspektionen vill se ett tydligare utpekande av de rättsliga grunderna. Inspektionen efterfrågar även en analys av om lagstiftningen är proportionell mot det legitima mål som eftersträvas. Det är inte möjligt att ange samtliga författningsbestämmelser som kan utgöra grund för personuppgiftsbehandling på nu aktuellt område. Regeringen konstaterar dock att myndighetsutövning, som enligt ovan är en rättslig grund som ofta är tillämplig vid de aktuella myndigheternas personuppgiftsbehandling i Sverige, inte kan ske utan författningsstöd. Det kan därför förutsättas att den rättsliga grunden för personuppgiftsbehandling som sker som ett led i myndighetsutövning är fastställd på det sätt som dataskyddsförordningen kräver. Detsamma gäller när den rättsliga grunden är en rättslig förpliktelse som en myndighet eller enskild har och som kräver personuppgiftsbehandling. Rättsliga förpliktelser framgår redan av eller meddelas med stöd av författning. Exempel på rättsliga förpliktelser som kräver personuppgiftsbehandling finns i skatteförfarandelagen. Lagen innehåller bl.a. ett flertal bestämmelser som ålägger enskilda att lämna uppgifter till Skatteverket inom ramen för förfarandet vid uttag av skatter och avgifter. De uppgifter som statliga myndigheter utför får som redan nämnts dessutom anses vara av allmänt intresse. Myndigheters verksamhet och uppdrag är vidare enligt regeringen reglerade på ett sådant sätt att dataskyddsförordningens krav på att grunden för behandlingen ska vara fastställd är uppfyllt (jfr skäl 41). I föregående stycke har angetts några exempel på sådan reglering som ger Skatteverket, Tullverket och Kronofogdemyndigheten uppgifter som är av allmänt intresse och som förutsätter personuppgiftsbehandling.
Enligt artikel 6.3 andra stycket krävs bl.a. att medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas. Regeringen anger som framgår ovan i prop. 2017/18:105 i detta avseende att dataskyddsförordningens krav motsvarar det krav som Europakonventionen ställer på lagstiftaren i en rättsstat och att det bör vara mycket ovanligt att svensk rätt inte uppfyller Europakonventionens krav. Regeringen bedömer i propositionen vidare att utgångspunkten bör vara att även dataskyddsförordningens motsvarande krav är uppfyllt i fråga om de rättsliga förpliktelser, uppgifter av allmänt intresse och den myndighetsutövning som fastställs i enlighet med svensk rätt (s. 50). Det kan enligt regeringen mot denna bakgrund förutsättas att när de bestämmelser som utgör grund för behandling av personuppgifter på skatte- och tullavdelningens område infördes, bedömdes de uppfylla mål av allmänt intresse och vara proportionella mot det legitima mål som eftersträvas. Regeringen bedömer vidare att syftet med sådan behandling som är nödvändig för att fullgöra rättsliga förpliktelser regelmässigt framgår i de författningar eller beslut som ger stöd för förpliktelsen. Regeringen finner därför inte skäl att i detta sammanhang generellt ompröva tidigare ställningstaganden beträffande samtliga berörda lagar. Någon ytterligare analys av om lagstiftningen är proportionell mot det legitima mål som eftersträvas är enligt regeringens mening inte heller påkallad.
- Behandlingen är tillåten
Regeringens slutsats är att den rättsliga grunden för den personuppgiftsbehandling som får utföras enligt bestämmelser i de berörda lagarna eller som måste utföras med anledning av bestämmelser i dem är fastställd i den nationella rätten på ett sådant sätt som krävs enligt dataskyddsförordningen. Behandlingen är således tillåten enligt artikel 6.1 och 6.3 i dataskyddsförordningen.
Dataskydd.net menar att det har skett en sammanblandning mellan rättslig grund och ändamål. Dataskydd.net anser vidare att bestämmelsen i 3 § lagen om det statliga personadressregistret, om för vilka registerändamål uppgifterna i SPAR får behandlas, bör flyttas till Skatteverkets instruktion för att skapa en rättslig grund för registret. Regeringen konstaterar att det som diskuteras i detta avsnitt är de rättsliga grunder som anges i dataskyddsförordningens artikel 6. Av regeringens slutsats ovan framgår vidare att regeringen inte anser att det krävs någon flytt av bestämmelsen i 3 § lagen om det statliga personadressregistret för att kravet på rättslig grund ska vara uppfyllt. Sveriges advokatsamfund anser att det behöver klargöras att personuppgiftsbehandling i s.k. eget utrymme är rättsligt grundad i dataskyddsförordningens mening, för det fall att myndigheterna är personuppgiftsansvariga för sådan behandling. Regeringen noterar att dessa frågeställningar inte föranleds av dataskyddsförordningen och de omfattas därför inte av detta lagstiftningsärende. Det kan dock finnas skäl att betona att den behandling som myndigheter och andra utför inom nu aktuella områden måste förhålla sig till och följa det regelverk som är tillämpligt för den behandling som de utför. Till exempel måste bl.a. även de allmänna kraven i artikel 5 i dataskyddsförordningen vara uppfyllda när personuppgifter behandlas. Den personuppgiftsansvarige ansvarar alltid för att bl.a. kraven i artikel 5 efterlevs.
7.2 Finalitetsprincipen
Regeringens bedömning: Bestämmelser i berörda lagar som innebär att personuppgifter får behandlas för andra ändamål än det ändamål för vilket uppgifterna har samlats in är förenliga med EU:s dataskyddsförordning.
Promemorians bedömning: Överensstämmer med regeringens bedömning.
Remissinstanserna: Dataskydd.net avstyrker delvis bedömningen. Enligt dataskydd.net är den bedömning som görs i promemorian färgad av att fastställande av ändamål och fastställande av rättslig grund för behandling betraktas som i princip samma sak, vilket det inte är. För att myndigheter inom skatt, tull och exekution ska kunna behandla uppgifter för ändamål som inte är förenliga med ändamålet för vilket uppgifterna samlades in bör nya rättsliga grunder för behandlingar införas. Om en ny rättslig grund inte skapas bör regeringen ge myndigheterna i uppdrag att göra de bedömningar av lämpligheten i vidarebehandling som anges i artikel 6.4 i EU:s dataskyddsförordning. I övrigt yttrar sig ingen remissinstans särskilt över bedömningen.
Skälen för regeringens bedömning: En allmän dataskyddsrättslig princip är att personuppgifter bara får samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Enligt den s.k. finalitetsprincipen får uppgifterna inte senare behandlas för något annat ändamål som är oförenligt med insamlingsändamålen. Detta kommer till uttryck bl.a. i 9 § första stycket c och d PUL som genomför artikel 6.1 b i 1995 års dataskyddsdirektiv. När dataskyddsförordningen börjar tillämpas kommer dessa principer att följa av artikel 5.1 b i förordningen. Av regleringen i förordningen följer vidare att behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 inte ska anses vara oförenlig med de ursprungliga ändamålen. En motsvarighet till denna reglering finns i dag i 9 § andra stycket PUL.
Av artikel 13 i 1995 års dataskyddsdirektiv följer att det är möjligt att göra undantag från finalitetsprincipen i nationell rätt i vissa fall. Ett sådant undantag får införas om det är en nödvändig åtgärd med hänsyn till bl.a. ett viktigt ekonomiskt eller finansiellt intresse hos en medlemsstat eller hos Europeiska unionen, inklusive bl.a. skattefrågor.
Även enligt dataskyddsförordningen är det under vissa förutsättningar tillåtet med bestämmelser som medger att insamlade personuppgifter vidarebehandlas även om det nya ändamålet är oförenligt med insamlingsändamålet. Detta kan utläsas av skäl 50 där bl.a. följande anges. Om den registrerade har gett sitt medgivande eller behandlingen grundar sig på unionsrätten eller på medlemsstaternas nationella rätt som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa i synnerhet viktiga mål av allmänt intresse, bör den personuppgiftsansvarige tillåtas att behandla personuppgifterna ytterligare, oavsett om detta är förenligt med ändamålen eller inte. Slutsatsen får också stöd av en motsatstolkning av artikel 6.4. Där finns en särskild bestämmelse för det fall då en behandling för andra ändamål än det ändamål för vilket uppgifterna samlades in inte grundar sig på den registrerades samtycke eller på unionsrätten eller medlemsstaternas nationella rätt som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda de mål som avses i artikel 23.1. I artikel 6.4 ges exempel på vissa omständigheter som ska beaktas vid prövningen av om behandlingen är förenlig med det ursprungliga ändamålet. Bland de mål som anges i artikel 23.1 nämns säkerställandet av unionens eller en medlemsstats viktiga mål av generellt allmänt intresse. Det är tydligt att artikel 6.4, liksom skäl 50, utgår från att en sådan ytterligare behandling som utgör en nödvändig och proportionell åtgärd under alla omständigheter skulle vara tillåten.
Regeringen bedömer mot bakgrund av det ovan anförda att dataskyddsförordningen i vart fall inte ger ett mindre utrymme än 1995 års dataskyddsdirektiv att föreskriva i nationell rätt att ytterligare behandling av personuppgifter får ske, även om den ytterligare behandlingen inte är förenlig med det ändamål för vilket uppgifterna samlades in. Lagbestämmelser som innebär att uppgifter som har samlats in för ett ändamål får eller ska behandlas för ett annat ändamål kan i vissa fall utgöra en tillämpning av finalitetsprincipen, dvs. regeringen och riksdagen har gjort bedömningen att behandlingen är förenlig med den principen. I andra fall kan befintliga lagbestämmelser anses utgöra undantag från finalitetsprincipen. Dessa måste i så fall förutsättas vara förenliga med 1995 års dataskyddsdirektiv, och är då i enlighet med ovanstående resonemang även förenliga med dataskyddsförordningen. Någon närmare bedömning av om befintliga bestämmelser är förenliga med artikel 5.1 b i dataskyddsförordningen behöver därför inte göras. Befintliga lagbestämmelser som innebär behandling av personuppgifter för andra ändamål än det ändamål för vilket uppgifterna har samlats in får alltså förutsättas vara förenliga med dataskyddsförordningen.
Dataskydd.net gör gällande att det bör införas nya rättsliga grunder för att behandling för andra ändamål än det för vilket uppgifterna samlades in ska få ske med stöd av dataskyddsförordningen. Om en ny rättslig grund inte skapas anser dataskydd.net vidare att regeringen bör ge myndigheterna i uppdrag att göra de bedömningar av lämpligheten i vidarebehandling som anges i artikel 6.4 i dataskyddsförordningen. Av det ovan anförda framgår enligt regeringen att några nya rättsliga grunder inte behövs. Inte heller finns det något behov för regeringen att ge myndigheterna i uppdrag att iaktta vad som anges i artikel 6.4 i dataskyddsförordningen, som är direkt tillämplig.
Vissa författningsändringsändringar som rör finalitetsprincipen föreslås i avsnitt 9.3.
8 Utrymmet för nationell reglering inom dataskyddsförordningens tillämpningsområde
Regeringens bedömning: EU:s dataskyddsförordning ger utrymme för en sådan särskild reglering om personuppgiftsbehandling som finns i berörda registerlagar och andra lagar.
Promemorians bedömning: Överensstämmer med regeringens bedömning.
Remissinstanserna: Dataskydd.net tillstyrker bedömningen. I övrigt yttrar sig ingen remissinstans särskilt över bedömningen.
Skälen för regeringens bedömning: Enligt artikel 6.2 i EU:s dataskyddsförordning får medlemsstaterna behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen genom att närmare fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling. Detta förutsätter emellertid att det är fråga om sådan personuppgiftsbehandling som är nödvändig för att fullgöra en rättslig förpliktelse (artikel 6.1 c) eller för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 e). När myndigheter behandlar personuppgifter för att fullgöra sina uppgifter sker det normalt med stöd av de rättsliga grunderna i artikel 6.1 c och e i förordningen, se avsnitt 7.1.
I enlighet med skäl 8 i dataskyddsförordningen kan medlemsstaterna dessutom under vissa förutsättningar och i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av förordningen i nationell rätt.
Enligt artikel 6.3 första stycket i dataskyddsförordningen ska de rättsliga grunder för behandlingen som avses i artikel 6.1 c och e fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Enligt artikel 6.3 andra stycket ska vidare syftet med behandlingen fastställas i den rättsliga grunden eller, i fråga om behandling enligt artikel 6.1 e, vara nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges behandling. Den rättsliga grunden kan enligt artikel 6.3 andra stycket innehålla särskilda bestämmelser för att anpassa bestämmelserna i dataskyddsförordningen, bl.a. de allmänna villkor som ska gälla för den personuppgiftsansvariges myndighetsutövning, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid, samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling. Den nationella rätten ska i detta avseende uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.
Enligt artikel 23 i dataskyddsförordningen får begränsningar ske av vissa av de rättigheter och skyldigheter som föreskrivs i förordningen. Detta förutsätter att begränsningarna sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle. Det förutsätter också att begränsningen sker för något av de ändamål som anges i artikel 23.1, bl.a. den nationella säkerheten, försvaret och den allmänna säkerheten samt andra av unionens eller en medlemsstats viktiga mål av generellt allmänt intresse.
Det anförda innebär enligt regeringens bedömning att det även fortsättningsvis finns ett utrymme för sådan sektorsspecifik särreglering om behandling av personuppgifter som finns i de svenska registerförfattningarna (se även prop. 2017/18:105 s. 22).
De registerlagar som reglerar aktuella myndigheters personuppgiftsbehandling innehåller en mängd bestämmelser om under vilka förutsättningar som personuppgiftsbehandling får ske. Det finns t.ex. bestämmelser om för vilka ändamål personuppgifter får behandlas, vilka slag av uppgifter som får behandlas, behandling i särskilda databaser, regler om när utlämnande får ske elektroniskt och regler om när uppgifter ska gallras. Bestämmelserna har sin grund i de särskilda behov som respektive myndighet har att behandla personuppgifter för sin verksamhet. Som exempel kan nämnas Skatteverkets behandling av personuppgifter för att korrekta beskattningsbeslut ska kunna fattas. Avvägningar har gjorts mot andra intressen, huvudsakligen behovet av skydd för den enskildes personliga integritet. Regeringens bedömning är således att denna typ av kompletterande reglering av personuppgiftsbehandling i särskilda registerlagar och andra lagar kan behållas även när dataskyddsförordningen ska börja tillämpas.
9 Överväganden och förslag som rör bestämmelser i registerförfattningar
9.1 Inledning
I avsnitt 5.2 redogörs för berörda registerförfattningar. Det är fråga om författningar som reglerar Skatteverkets, Kronofogdemyndighetens och Tullverkets behandling av personuppgifter i olika verksamheter vid myndigheterna.
I de författningar som gäller i stället för personuppgiftslagen anges vissa bestämmelser i personuppgiftslagen som gäller när personuppgifter behandlas enligt författningen. De författningar som gäller i stället för personuppgiftslagen är lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet och den tillhörande förordningen, lagen om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet och den tillhörande förordningen, lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet och den tillhörande förordningen samt lagen om behandling av uppgifter i Tullverkets verksamhet och den tillhörande förordningen. Dessa författningar är uppbyggda på väsentligen samma sätt och tillkom i samma lagstiftningsärende, se propositionen Behandling av personuppgifter inom skatt, tull och exekution (prop. 2000/01:33). Det kan nämnas att även lagen (2001:183) om behandling av personuppgifter i verksamhet med val och folkomröstningar tillkom genom samma proposition. Även den lagen är föremål för översyn med anledning av EU:s dataskyddsförordning, se propositionen Anpassning till EU:s dataskyddsförordning av lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar (prop. 2017/18:115).
Registerförfattningarna där personuppgiftslagen gäller om inte avvikande bestämmelser finns har mer varierande utformning. Detta gäller lagen om det statliga personadressregistret med tillhörande förordning, lagen om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter med tillhörande förordning samt lagen om identitetskort för folkbokförda i Sverige med tillhörande förordning.
Detta kapitel innehåller överväganden och förslag avseende ovan nämnda lagar. I vissa fall görs samtidigt överväganden för lagar som inte är registerförfattningar, vilket då anges särskilt.
9.2 Förhållandet till dataskyddsförordningen och dataskyddslagen
Regeringens förslag: Bestämmelser i berörda lagar som reglerar förhållandet till personuppgiftslagen och vilka bestämmelser i personuppgiftslagen som gäller ska tas bort. Det ska i stället införas bestämmelser som anger att lagarna innehåller bestämmelser som kompletterar EU:s dataskyddsförordning. Det ska också införas bestämmelser om att vid personuppgiftsbehandling enligt lagarna gäller även dataskyddslagen och föreskrifter som har meddelats i anslutning till dataskyddslagen, om inte annat följer av respektive lag eller föreskrifter som har meddelats i anslutning till dessa.
Hänvisningar till dataskyddsförordningen ska vara dynamiska, dvs. avse förordningen i den vid varje tidpunkt gällande lydelsen.
Promemorians förslag: Överensstämmer med regeringens förslag med det undantaget att i promemorian hänvisas inte till föreskrifter i anslutning till dataskyddslagen. Promemorians förslag är också något annorlunda utformat.
Remissinstanserna: Ingen remissinstans invänder mot förslagen. Skatteverket och dataskydd.net tillstyrker uttryckligen förslagen.
Skälen för regeringens förslag
Registerförfattningarnas förhållande till EU:s dataskyddsförordning och dataskyddslagen ska klargöras
Ikraftträdandet av EU:s dataskyddsförordning innebär att personuppgiftslagen ska upphävas. Nu aktuella registerförfattningar har hänvisningar till personuppgiftslagen. I vissa av lagarna anges att lagen gäller i stället för personuppgiftslagen, och avseende andra anges att personuppgiftslagen gäller om det inte finns avvikande bestämmelser i författningen. Eftersom personuppgiftslagen kommer att upphävas kan dessa bestämmelser inte finnas kvar.
I fråga om de registerförfattningar som gäller i stället för personuppgiftslagen räknas i en inledande paragraf upp de bestämmelser i personuppgiftslagen som gäller när personuppgifter behandlas enligt den aktuella registerförfattningen (se t.ex. 1 kap. 3 § lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet). Även i andra paragrafer hänvisas till personuppgiftslagen. Det anges t.ex. i nästan alla registerförfattningar att bestämmelserna i personuppgiftslagen om rättelse och skadestånd gäller vid behandling av personuppgifter enligt lagen (se t.ex. 9 § lagen om det statliga personadressregistret). Det finns också bestämmelser som anger att personuppgiftslagens bestämmelser om information till den registrerade gäller (se bl.a. 3 kap. 1 § lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet). I lagarna måste sådana slag av hänvisningar som nu nämns av samma skäl som ovan tas bort. I vissa fall bör andra justeringar göras av bestämmelserna. Förutom vad som behandlas i detta avsnitt, presenteras sådana ändringsförslag i senare avsnitt.
I avsnitt 6 redogörs för regeringens bedömning att en stor del av nu aktuella lagar kommer att omfattas av dataskyddsförordningens tillämpningsområde. Som har nämnts tidigare föreslås också en ny dataskyddslag (prop. 2017/18:105). Den lagen föreslås dock bli subsidiär. Om en annan lag eller en förordning innehåller någon bestämmelse som avviker från dataskyddslagen ska den bestämmelsen tillämpas (1 kap. 6 § förslaget till dataskyddslag). Dataskyddsförordningen och dataskyddslagen kommer således att ha stor relevans för nu aktuella registerförfattningar. Eftersom dataskyddsregleringen på området inte bara kommer att bestå av respektive registerförfattning utan även av dataskyddsförordningen och dataskyddslagen, bör registerförfattningarnas förhållande till dessa regleringar klargöras. Detta bör enligt regeringens mening ske i respektive lag.
Regeringen föreslår därför att det i stället för regleringen om förhållandet till personuppgiftslagen införs en bestämmelse som anger att lagen innehåller bestämmelser som kompletterar dataskyddsförordningen. Vidare bör det införas en bestämmelse som anger att vid behandling av personuppgifter enligt lagen gäller även dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av registerförfattningen eller föreskrifter som har meddelats i anslutning till den. Jämfört med promemorians förslag har bestämmelserna fått en något annorlunda utformning.
Förslagen i denna del innebär att det inte längre kommer att finnas en "i stället för"-reglering på nu aktuella områden. Dataskyddsförordningen gäller direkt och kan inte anges som subsidiär. Vad gäller dataskyddslagen är det dock möjligt att peka ut vilka bestämmelser i lagen som ska gälla. Då huvudregleringen, dvs. dataskyddsförordningen, ändå är direkt tillämplig och då en stor del av den kompletterande regleringens, dvs. dataskyddslagens, bestämmelser bedöms bli relevanta för aktuella verksamheter är en sådan lösning som nu föreslås den mest lämpliga. Regeringens förslag innebär också att samtliga berörda registerförfattningar kommer att ha samma systematik, vilket bedöms som en fördel ur rättstillämpningssynpunkt.
Något kan nämnas om innebörden av att dataskyddslagen och föreskrifter som har meddelats i anslutning dataskyddslagen ska gälla om inte annat följer av registerförfattningen eller föreskrifter som har meddelats i anslutning till registerförfattningen. Härvid kan den särskilda bestämmelsen i 1 kap. 2 § förslaget till dataskyddslag nämnas, genom vilken bestämmelserna i dataskyddsförordningen och dataskyddslagen ska gälla även vid behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten. I denna proposition föreslås inga bestämmelser i registerförfattningarna som avviker från detta. För personuppgiftsbehandling enligt registerförfattningarna kommer därmed dataskyddsförordningen, i tillämpliga delar, att ha ett större tillämpningsområde än vad själva förordningen föreskriver.
I flera avseenden kommer registerförfattningarna att ha bestämmelser som avviker från dataskyddslagen, vilket behandlas i efterföljande avsnitt.
Förslagen genomförs genom ändringar i 2 § lagen om det statliga personadressregistret, 1 kap. 2 och 3 §§ lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet, 1 kap. 2 och 3 §§ lagen om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, 1 kap. 2 och 3 §§ lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet, 1 kap. 2 och 3 §§ lagen om behandling av uppgifter i Tullverkets verksamhet, 4 § lagen om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter och 10 § lagen om identitetskort för folkbokförda i Sverige samt i rubriker före dessa bestämmelser. Utöver detta slopas vissa bestämmelser helt, samt ändras vissa bestämmelser som innehåller hänvisningar till personuppgiftslagen.
Dynamiska hänvisningar ska användas
Föreslagna bestämmelser i detta och i flera andra avsnitt innehåller hänvisningar till dataskyddsförordningen. Hänvisningar till EU-rättsakter kan göras antingen statiska eller dynamiska. En statisk hänvisning innebär att hänvisningen avser EU-rättsakten i en viss angiven lydelse. En dynamisk hänvisning innebär att hänvisningen avser EU-rättsakten i den vid varje tidpunkt gällande lydelsen.
Dataskyddsförordningen är direkt tillämplig och är den huvudsakliga rättsakten på området för dataskydd. De hänvisningar till dataskyddsförordningen som föreslås i denna proposition avser klargöranden av förhållandet mellan registerförfattningarna och förordningen, bestämmelser av upplysningskaraktär, hänvisningar till definitioner i och undantag från dataskyddsförordningen. Hänvisningarna föreslås, i likhet med vad som med några få undantag föreslås i den föreslagna dataskyddslagen, vara dynamiska. Valet av dynamisk hänvisning innebär som framgår ovan att hänvisningen kommer att omfatta eventuella ändringar i förordningen efter dess ikraftträdande. Detta hindrar dock inte att den nationella lagstiftningen kan komma att behöva ändras om förordningens innehåll förändras.
9.3 Ändamålsbestämmelser
Regeringens förslag: Hänvisningar till finalitetsprincipen i 9 § första stycket d och andra stycket personuppgiftslagen i sekundära ändamålsbestämmelser i berörda lagar ska ersättas med bestämmelser som innebär att uppgifter som behandlas enligt de primära ändamålen får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in. Sådana bestämmelser ska även införas i vissa lagar som i dag saknar en hänvisning till finalitetsprincipen i ändamålsbestämmelserna.
Bestämmelser om att uppgifter får behandlas för att tillhandahålla information i den utsträckning som en skyldighet att lämna uppgifter-na följer av lag eller förordning ska ersättas med bestämmelser som anger att uppgifter får behandlas om det behövs för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
I vissa sekundära ändamålsbestämmelser ska det förtydligas att de uppgifter som får behandlas för de sekundära ändamålen är sådana uppgifter som redan behandlas för de tillåtna primära ändamålen. De sekundära ändamålsbestämmelserna samlas också i en och samma paragraf i varje lag.
Det ska även göras vissa redaktionella ändringar.
Promemorians förslag: Överensstämmer med regeringens förslag. Vissa redaktionella ändringar har dock gjorts.
Remissinstanserna: Skatteverket tillstyrker förslagen. Dataskydd.net avstyrker förslagen och anför bl.a. att flera av ändamålsbestämmelserna i lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet bör kunna ersättas av den rättsliga grunden i artikel 6.1 c i EU:s dataskyddsförordning (rättslig förpliktelse), eftersom inget av ändamålen rimligen saknar stöd i författning. Datainspektionen ifrågasätter om promemorians förslag till bestämmelse där finalitetsprincipen kommer till uttryck uppnår syftet att förtydliga dataskyddsförordningen och anser att det bör framgå vilken bestämmelse i dataskyddsförordningen som bestämmelsen är avsedd att förtydliga. I övrigt yttrar sig ingen remissinstans särskilt över förslagen.
Skälen för regeringens förslag
Nuvarande reglering
De berörda registerförfattningarna innehåller bestämmelser om för vilka ändamål personuppgifter får behandlas. Sådana ändamålsbestämmelser anger den yttersta ram inom vilken personuppgifterna får behandlas. Bestämmelserna delas ofta in i s.k. primära och sekundära ändamålsbestämmelser. De primära ändamålen avser att tillgodose de behov som finns att behandla personuppgifter i den verksamhet hos den egna myndigheten som författningen, eller del av författningen, gäller för. De sekundära ändamålen reglerar i vilken utsträckning personuppgifter som myndigheten har samlat in för ett primärt ändamål får behandlas för att lämnas ut till annan verksamhet inom den egna myndigheten, till enskilda eller till andra myndigheter i syfte att tillgodose deras behov. Utlämnande av uppgifter kan i vissa fall också omfattas av de primära ändamålen.
Ändamålsbestämmelser finns i 1 kap. 4 och 5 §§ lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet, men också i lagen om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet, lagen om behandling av uppgifter i Tullverkets verksamhet, lagen om identitetskort för folkbokförda i Sverige, lagen om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter och lagen om det statliga personadressregistret. Ändamålsbestämmelserna som gäller för folkbokföringsverksamheten och SPAR skiljer sig från bestämmelserna i andra författningar genom att de inte är uppdelade på primära och sekundära ändamål.
En primär ändamålsbestämmelse kan t.ex. ange att uppgifter får behandlas för tillhandahållande av information som behövs hos Skatteverket för fastställande av underlag för samt bestämmande, redovisning, betalning och återbetalning av skatter och avgifter (1 kap. 4 § lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet). För Kronofogdemyndighetens del anges ändamål för var och en av de databaser som regleras i lagen.
I de sekundära ändamålsbestämmelserna ges ofta en uppräkning över vissa vanligt förekommande ändamål för utlämnande. Därutöver anges ofta att uppgifter får behandlas för att tillhandahålla information i den utsträckning som en skyldighet att lämna uppgifterna följer av lag eller förordning (se t.ex. 1 kap. 5 § andra stycket lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet), eller att uppgifter får behandlas om det behövs för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning (se t.ex. 12 § andra stycket lagen om identitetskort för folkbokförda i Sverige).
I några lagar hänvisas i anslutning till de sekundära ändamålsbestämmelserna till bestämmelsen om den s.k. finalitetsprincipen i 9 § första stycket d och andra stycket PUL (6 § lagen om behandling av uppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter och 12 § lagen om identitetskort för folkbokförda i Sverige). Som anges i avsnitt 7.2 innebär finalitetsprincipen att personuppgifter inte får behandlas för något ändamål som är oförenligt med det ändamål för vilket uppgifterna samlades in. Bestämmelser om att uppgifter får behandlas för att fullgöra föreskrivet uppgiftslämnande och hänvisningar till finalitetsprincipen i ändamålsbestämmelser har införts i förtydligande syfte, se t.ex. propositionen Vissa frågor om behandling av personuppgifter och regleringen av id-kortsverksamheten hos Skatteverket (prop. 2015/16:28 s. 38) och propositionen Informationsutbyte vid samverkan mot organiserad brottslighet (prop. 2015/16:167 s. 44). Att finalitetsprincipen ska tillämpas framgår också i flera lagar av att det hänvisas till relevanta delar av 9 § PUL i den paragraf som anger vilka bestämmelser i personuppgiftslagen som gäller när personuppgifter behandlas enligt lagen (se t.ex. 1 kap. 3 § lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet).
Dataskyddsförordningens bestämmelser
De bestämmelser i dataskyddsförordningen som har betydelse för registerförfattningarnas ändamålsbestämmelser finns i artiklarna 5, 6 och 23. Artikel 6 behandlas i avsnitt 7 och 8. I artikel 5 i dataskyddsförordningen, som behandlas i avsnitt 7.2, finns bl.a. bestämmelser om att uppgifter ska behandlas på ett lagligt sätt och samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Vidare framgår finalitetsprincipen av artikel 5.1 b. Artikel 23 redogörs för nedan.
Propositionen Ny dataskyddslag
Regeringen uttalar i prop. 2017/18:105 att dataskyddsförordningen inte ställer något krav på att de särskilda ändamålen i artikel 5.1 b ska vara fastställda i författning, men att det inte heller finns någonting som hindrar att detta görs, förutsatt att bestämmelserna uppfyller ett mål av allmänt intresse och är proportionella mot det legitima mål som eftersträvas, jfr artikel 6.3 andra stycket (s. 48).
Endast vissa justeringar bör göras med anledning av dataskyddsförordningen
Ändamålsbestämmelser i lagstiftning som reglerar myndigheters personuppgiftsbehandling är sådana specifika bestämmelser som anpassar tillämpningen av dataskyddsförordningen och säkerställer en laglig och rättvis behandling enligt artikel 6.2. Detta framgår även av artikel 6.3 där det anges att den rättsliga grunden kan innehålla särskilda bestämmelser om bl.a. ändamålsbegränsningar. I enlighet med artikel 23.2 a i dataskyddsförordningen ska dessutom, åtminstone när så är relevant, lagstiftning som begränsar tillämpningsområdet för förordningens skyldigheter och rättigheter innehålla specifika ändamålsbestämmelser. Detta innebär att de nuvarande ändamålsbestämmelserna i berörda lagar, vilka tillsammans med finalitetsprincipen ger myndigheterna ändamålsenliga möjligheter att behandla personuppgifter och samtidigt minskar risken för obefogade intrång i den personliga integriteten, kan behållas.
I föregående avsnitt föreslås att bestämmelser om vilka bestämmelser i personuppgiftslagen som gäller ska tas bort. Hänvisningar i ändamålsbestämmelser till 9 § första stycket d och andra stycket PUL (finalitetsprincipen) behöver också upphävas. Enligt regeringens bedömning bör finalitetsprincipen även fortsättningsvis utgöra den yttersta ram inom vilken personuppgifter får behandlas. Som Datainspektionen anför gäller visserligen finalitetsprincipen enligt artikel 5.1 b dataskyddsförordningen vid sådan behandling. Enligt regeringens uppfattning finns det dock av tydlighetsskäl anledning att införa en uttrycklig bestämmelse som innebär att uppgifter som behandlas enligt de primära ändamålen får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in. En sådan bestämmelse utgör tillsammans med uppräkningen av tillåtna ändamål i berörda lagar en sådan ändamålsbegränsning som får införas i nationell rätt enligt artikel 6.3 i dataskyddsförordningen. Det finns därför inte skäl att, som Datainspektionen är inne på, införa en hänvisning till dataskyddsförordningen i bestämmelsen. En bestämmelse av detta slag bör föras in i samtliga berörda registerförfattningar, utom i lagen om det statliga personadressregistret, som skiljer sig i grundläggande avseenden från de övriga registerförfattningarna. Den lagen berörs inte av de ändringar som föreslås i detta avsnitt.
Dataskydd.net anför bl.a. att flera av ändamålsbestämmelserna i lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet bör kunna ersättas av den rättsliga grunden i artikel 6.1 c i dataskyddsförordningen (rättslig förpliktelse), eftersom inget av ändamålen rimligen saknar stöd i författning. Regeringen anser inte att det har framkommit något skäl att ändra dessa ändamålsbestämmelser med anledning av vad dataskydd.net har anfört. Ändamålsbestämmelserna i respektive lag har utformats utifrån den berörda myndighetens verksamhet. Som framgår i avsnitt 8 bedömer regeringen att dataskyddsförordningen ger utrymme för en sådan särskild reglering om personuppgiftsbehandling som finns i bl.a. sådana bestämmelser.
Förslagen genomförs genom ändringar i 1 kap. 5 § lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet, 1 kap. 4 § lagen om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, 2 kap. 3, 9, 15 och 20 a §§ lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet, 1 kap. 5 § lagen om behandling av uppgifter i Tullverkets verksamhet, 6 § lagen om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter och 12 § lagen om identitetskort för folkbokförda i Sverige.
Det ska finnas uttryckligt stöd för behandling för att fullgöra föreskrivet uppgiftslämnande
I samband med nu aktuella ändringar kan det finnas skäl att göra vissa justeringar och förtydliganden i ändamålsbestämmelserna, som inte har direkt samband med den nya dataskyddsregleringen.
De sekundära ändamålsbestämmelser som tar sikte på föreskrivet uppgiftslämnande ser lite olika ut i de olika registerförfattningarna. Som framgår ovan anges i vissa lagar att uppgifter får behandlas för att tillhandahålla information i den utsträckning som en skyldighet att lämna uppgifterna följer av lag eller förordning, medan det i vissa lagar anges att uppgifter får behandlas om det behövs för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Den första typen av bestämmelse tar sikte på situationer när det finns en skyldighet att lämna uppgifter, medan den andra typen av bestämmelse tar sikte även på andra bestämmelser som tillåter uppgiftslämnande. Bestämmelser som tillåter uppgiftslämnande under vissa förutsättningar finns bl.a. i 10 kap. 27 § offentlighets- och sekretesslagen (2009:400), OSL.
När bestämmelser som påbjuder eller tillåter utlämnande har införts, får det förutsättas att det har gjorts en avvägning mellan intresset av att uppgiften lämnas ut och intresset av att skydda enskilda personers integritet, vid vilken man funnit att uppgiften ska eller får lämnas ut. Det har därför i vissa sammanhang anförts att det saknas anledning att i en integritetsskyddslagstiftning förhindra att personuppgifter som finns i den berörda verksamheten lämnas ut i dessa fall bara därför att dessa numera hanteras med modern informationsteknik i stället för som tidigare på papper, se t.ex. propositionen Patientdatalag (prop. 2007/08:126 s. 60).
De sekundära ändamålsbestämmelserna i lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet, lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet och lagen om behandling av uppgifter i Tullverkets verksamhet är visserligen inte uttömmande. Utlämnande som sker med stöd av en föreskrift som innebär att uppgifter får lämnas ut kan därför ske även utan uttryckligt stöd i de författningarna. För att regleringen ska vara tydlig och konsekvent kan det dock vara lämpligt att utforma de sekundära ändamålsbestämmelserna även i dessa lagar så att de omfattar utlämnande som sker både med stöd av en bestämmelse om uppgiftsskyldighet och med stöd av en bestämmelse som tillåter uppgiftslämnande. I de nyss uppräknade författningarna bör därför anges att uppgifter får behandlas om det behövs för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Även bestämmelsen i lagen om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet om att uppgifter får behandlas för att tillhandahålla information i den utsträckning som en skyldighet att lämna uppgifterna följer av lag eller förordning bör justeras på motsvarande sätt som de övriga författningarna. Eftersom ändamålsbestämmelserna i den lagen ser annorlunda ut bör dock bestämmelsen ges en något annorlunda utformning.
Förslaget genomförs genom ändringar i 1 kap. 5 § lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet, 1 kap. 4 § lagen om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, 2 kap. 3, 9, 15 och 20 a §§ lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet och 1 kap. 5 § lagen om behandling av uppgifter i Tullverkets verksamhet.
Vissa ytterligare tydliggöranden i bestämmelserna bör göras
Det är de primära ändamålsbestämmelserna som är styrande för bl.a. vilka uppgifter som får samlas in av myndigheterna. Uppgifter får inte samlas in för att behandlas endast för de sekundära ändamålen. De sekundära ändamålsbestämmelserna är i vissa lagar utformade så att det inte tydligt framgår av lagtexten att behandling för dessa ändamål endast får avse sådana uppgifter som redan behandlas med stöd av primära ändamålsbestämmelser. Regeringen anser därför att bestämmelserna ska formuleras på ett sådant sätt att detta tydligare framgår.
De ändamålsbestämmelser i lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet, lagen om behandling av uppgifter i Tullverkets verksamhet och lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet som rör utlämnande till andra verksamheter inom samma myndighet finns i dag i de paragrafer som reglerar de primära ändamålen. Enligt regeringens bedömning avser bestämmelserna egentligen behandling för sekundära ändamål. De bör därför flyttas till de paragrafer som reglerar övriga sekundära ändamål. Vidare bör vissa ytterligare redaktionella ändringar i bestämmelserna göras. I förhållande till promemorians förslag har några av de sekundära ändamålsbestämmelserna också getts en delvis annan struktur.
Förslagen genomförs genom ändringar i 1 kap. 4 och 5 §§ lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet, 2 kap. 2, 3, 8, 9, 14, 15, 20 och 20 a §§ lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet och 1 kap. 4 och 5 §§ lagen om behandling av uppgifter i Tullverkets verksamhet.
9.4 Behandling av särskilda kategorier av personuppgifter
9.4.1 Känsliga personuppgifter
Regeringens förslag: Hänvisningar i de berörda lagarna till personuppgiftslagens bestämmelse om vad som är känsliga personuppgifter ska ersättas med hänvisningar till dataskyddsförordningens bestämmelse om sådana uppgifter.
Promemorians förslag: Överensstämmer i sak med regeringens förslag. Promemorians förslag är något annorlunda utformat.
Remissinstanserna: Skatteverket tillstyrker förslaget. Datainspektionen avstyrker förslaget, då inspektionen anser att det finns risk för att myndigheterna kan komma att behandla personuppgifter i strid med artikel 9.2 g i EU:s dataskyddsförordning. Datainspektionen ifrågasätter om den föreslagna utformningen av undantaget kan anses avse ett viktigt allmänt intresse. Datainspektionen saknar också överväganden som avser de nya särskilda kategorierna av uppgifter som har införts, såsom genetiska och biometriska uppgifter. Sveriges advokatsamfund anser att det finns oklarheter när det gäller behandling i s.k. eget utrymme hos en myndighet, bl.a. om möjligheten till behandling av känsliga personuppgifter, och anser att det behövs regler i lag när det gäller behandlingen av känsliga personuppgifter i eget utrymme, för det fall myndigheten ska anses vara personuppgiftsansvarig. Dataskydd.net anger att artikel 9.2 i dataskyddsförordningen redan innehåller en uttömmande lista på tillfällen då känsliga personuppgifter kan behandlas, varför det inte är nödvändigt att införa särskilt lagstöd för sådan behandling och avstyrker därför förslaget. Dataskydd.net anser vidare att 13 § lagen om identitetskort för folkbokförda i Sverige är onödig på den grunden att behandling av särskilda personuppgifter, fotografi dvs. biometriska data, redan är en rättslig förpliktelse för den utfärdande myndigheten och att övriga kategorier av känsliga personuppgifter inte är relevanta vid utfärdande av identitetshandling. I övrigt yttrar sig ingen remissinstans särskilt över förslaget.
Skälen för regeringens förslag
Nuvarande reglering
Enligt 13 § PUL är det förbjudet att behandla s.k. känsliga personuppgifter, dvs. personuppgifter som rör hälsa eller sexualliv och personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening. I 15-19 §§ PUL finns vissa undantag från detta förbud, t.ex. i samtyckessituationer, vid viss nödvändig behandling och för forskningsändamål. Av 8 § personuppgiftsförordningen följer att myndigheter, utöver vad som följer av bl.a. 15-19 §§ PUL, får behandla känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.
De registerförfattningar som gäller i stället för personuppgiftslagen innehåller egna bestämmelser om möjligheten att behandla känsliga personuppgifter, dock med hänvisning till personuppgiftslagens definition av känsliga personuppgifter. I 1 kap. 7 § första stycket lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet stadgas bl.a. att känsliga personuppgifter som anges i 13 § PUL får behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Enligt andra stycket får uppgifter som avses i första stycket i annat fall behandlas endast om det särskilt anges i 2 kap. Det kapitlet innehåller bestämmelser om beskattningsdatabasen. I 2 kap. 4 § anges att en handling som har kommit in i ett ärende får behandlas i databasen och får innehålla uppgifter som avses i 1 kap. 7 §. Vidare anges att en handling som upprättats i ett ärende får behandlas i databasen och får innehålla sådana uppgifter om de är nödvändiga för ärendets handläggning. Enligt 2 kap. 10 § andra stycket får inte uppgift som avses i 1 kap. 7 § användas som sökbegrepp.
Lagen om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet och lagen om behandling av uppgifter i Tullverkets verksamhet innehåller också sådana bestämmelser.
I fråga om de författningar där personuppgiftslagen gäller finns i lagen om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter några bestämmelser som liknar de ovan angivna (7 och 8 §§). Även lagen om identitetskort för folkbokförda i Sverige har bestämmelser om känsliga personuppgifter liknande de ovan nämnda, som avser den i lagen angivna databasen. Den lagen har också bestämmelser som avser det fotografi som tas vid ansökan om id-kort. I 14 § anges att en kopia av den ansiktsbild som identitetskortet har försetts med får behandlas i databasen. Enligt 17 § första stycket får ansiktsbilden enligt bl.a. 14 § inte användas vid sökning med hjälp av automatiserad behandling.
Lagen om det statliga personadressregistret och den tillhörande förordningen saknar bestämmelser om känsliga personuppgifter.
Dataskyddsförordningens bestämmelser om känsliga personuppgifter
Dataskyddsförordningen innehåller i likhet med 1995 års dataskyddsdirektiv och personuppgiftslagen ett principiellt förbud mot att behandla vissa särskilda kategorier av personuppgifter (artikel 9.1). Förbudet omfattar personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Artikel 9.1 i förordningen omfattar nya kategorier av uppgifter jämfört med motsvarande bestämmelse i 1995 års dataskyddsdirektiv (artikel 8.1). Direktivets bestämmelse innefattar inte genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person eller uppgifter om en persons sexuella läggning. Artikel 8.1 i direktivet har genomförts i svensk rätt genom 13 § PUL, som är avsedd att ha samma innebörd som direktivets bestämmelse, se propositionen Personuppgiftslag (prop. 1997/98:44 s. 124). Uppgifter om sexuell läggning har i svensk rätt ansetts ingå i begreppet "sexualliv" och införandet av det uttrycket i förordningen innebär således inte någon egentlig utvidgning från svenskt perspektiv, se t.ex. propositionen Behandling av personuppgifter inom Kriminalvården (prop. 2000/01:126 s. 31) och propositionen Ett starkare skydd mot diskriminering (prop. 2007/08:95 s. 125-129). Tilläggen genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person utgör dock en utvidgning jämfört med den nuvarande ordningen. I rubriken till artikel 9 i dataskyddsförordningen anges att bestämmelsen avser behandling av särskilda kategorier av personuppgifter. I skäl 10 och 51 omnämns dessa uppgifter i stället som känsliga respektive särskilt känsliga personuppgifter.
Precis som i 1995 års dataskyddsdirektiv och personuppgiftslagen kompletteras förbudet i dataskyddsförordningen av ett antal undantag som gör det möjligt att behandla känsliga personuppgifter i vissa fall. Ett sådant undantag är om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades rättigheter och intressen (artikel 9.2 g). Ett annat exempel är om behandlingen är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk (artikel 9.2 f).
Dataskyddsutredningen och propositionen Ny dataskyddslag
Uttrycket känsliga personuppgifter är det som används i 13 § PUL och även i de nu gällande registerförfattningarna. Uttrycket har av Dataskyddsutredningen ansetts vara tydligare än särskilda kategorier av uppgifter och därtill vara inarbetat även på EU-nivå. I prop. 2017/18:105 gör regeringen samma bedömning (s. 75). I dataskyddslagen föreslås att det uttryckligen anges att med känsliga personuppgifter avses i dataskyddslagen sådana uppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (3 kap. 1 § förslaget till dataskyddslag).
Undantaget i artikel 9.2 g i dataskyddsförordningen är visserligen direkt tillämpligt men det är enligt regeringen möjligt för medlemsstaterna att införa mer specifika bestämmelser i nationell rätt (se prop. 2017/18:105 s. 75). Motsvarande reglering finns i dag i artikel 8.4 i dataskyddsdirektivet enligt vilken känsliga personuppgifter får behandlas under förutsättning av lämpliga skyddsåtgärder och av hänsyn till ett viktigt allmänt intresse. I nämnda proposition gör regeringen också bedömningen att det är ett viktigt allmänt intresse att myndigheternas ärendehandläggning kan ske på ett effektivt och rättssäkert sätt samt att ärendebegreppet i de allra flesta fall är förhållandevis tydligt och bör kunna användas som avgränsning (s. 87).
Regeringen bedömer vidare i propositionen att det behövs en tydlig reglering som tillåter viss behandling av känsliga personuppgifter hos myndigheterna och anger att det också i många fall finns sådana bestämmelser i sektorsspecifika författningar om behandling av personuppgifter. Regeringen bedömer att det behövs särskilda bestämmelser i dataskyddslagen som är tillämpliga för alla myndigheter och som uppfyller kraven i artikel 9.2 g i dataskyddsförordningen (s. 84 f.). Enligt 3 kap. 3 § första stycket förslaget till dataskyddslag får känsliga personuppgifter behandlas av en myndighet med stöd av artikel 9.2 g i dataskyddsförordningen 1. om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag, 2. om behandlingen är nödvändig för handläggningen av ett ärende, eller 3. i annat fall, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Enligt 3 kap. 3 § andra stycket är det vid behandling som sker enbart med stöd av första stycket förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
Utöver ovanstående föreslås också att regeringen ska få meddela ytterligare föreskrifter om sådan behandling av känsliga personuppgifter som är nödvändig med hänsyn till ett viktigt allmänt intresse (3 kap. 4 § förslaget till dataskyddslag).
Regeringen anger att de föreslagna bestämmelserna är avsedda att gälla för offentlig verksamhet där sektorsspecifik reglering avseende känsliga personuppgifter saknas och att det kan finnas anledning för vissa sektorer att närmare precisera och avgränsa möjligheterna att behandla känsliga personuppgifter ytterligare (s. 91).
Bestämmelserna om känsliga personuppgifter är förenliga med dataskyddsförordningen
I enlighet med regeringens bedömning att det är ett viktigt allmänt intresse att myndigheternas ärendehandläggning kan ske på ett effektivt och rättssäkert sätt bedömer regeringen, till skillnad från Datainspektionen, att den behandling av känsliga personuppgifter som möjliggörs genom berörda registerlagar får anses nödvändig av hänsyn till ett sådant viktigt allmänt intresse som avses i artikel 9.2 g i dataskyddsförordningen. Vad gäller nu aktuell verksamhet kan också skäl 112 i dataskyddsförordningen nämnas, där internationella utbyten av uppgifter mellan konkurrensmyndigheter, skatte- eller tullmyndigheter, finanstillsynsmyndigheter, socialförsäkringsmyndigheter eller hälsovårdsmyndigheter nämns som exempel på viktiga allmänintressen. Regeringen vill också framhålla att det inte är fråga om några nya förslag. Det föreslås således inte några nya bestämmelser, utan befintliga krav på behandling av känsliga personuppgifter behålls. Kraven på viktigt allmänt intresse är som framgår ovan inte heller nya utan gäller även enligt 1995 års dataskyddsdirektiv.
I lagarna finns vidare särskilda bestämmelser som är ägnade att värna den enskildes personliga integritet, t.ex. en begränsning till uppgifter som lämnats i ett ärende eller är nödvändiga för handläggningen av det och regler om förbud mot att söka på känsliga personuppgifter i databaser. Denna reglering uppfyller enligt regeringens mening dataskyddsförordningens krav på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.
Det är alltså möjligt att behålla den nuvarande regleringen avseende känsliga personuppgifter i berörda lagar. I prop. 2017/18:105 föreslås som framgår ovan bestämmelser om bl.a. myndigheters behandling av känsliga personuppgifter (3 kap. 3 § förslaget till dataskyddslag). Ett alternativ skulle kunna vara att låta dataskyddslagens bestämmelser om behandling av känsliga personuppgifter gälla vid behandling enligt berörda lagar. Detta skulle dock innebära en utvidgning av möjligheterna att behandla känsliga personuppgifter jämfört med vad som gäller i dag. Enligt regeringens mening har det inte framkommit behov av en sådan utvidgning. Dataskydd.net anser att bestämmelserna om behandling av känsliga personuppgifter är obehövliga med hänsyn till att dataskyddsförordningen anger när sådana uppgifter får behandlas. Denna syn delas således inte av regeringen. De befintliga bestämmelserna i registerförfattningarna har utformats utifrån de särskilda behov som respektive verksamhet har. Bestämmelserna om behandling av känsliga personuppgifter i berörda lagar bör därför behållas och därmed utgöra en till 3 kap. 3 § dataskyddslagen avvikande reglering (jfr 1 kap. 6 § förslaget till dataskyddslag).
Sveriges advokatsamfund väcker frågan om känsliga personuppgifter bör regleras ytterligare, för det fall att myndigheterna är personuppgiftsansvariga för behandling i s.k. eget utrymme. Så som anges också i avsnitt 7.1 är frågeställningarna inte relaterade till de nya reglerna på EU-nivå och omfattas inte av detta lagstiftningsärende.
Som framgår av avsnitt 7.1 finns både i de aktuella registerförfattningarna och i andra författningar bestämmelser som innebär att myndigheter ska lämna ut uppgifter i vissa fall och även bestämmelser om skyldighet för enskilda att lämna uppgifter till myndigheter. Föranleder utlämnandet behandling av känsliga personuppgifter och finns det bestämmelser om detta i berörd myndighets registerförfattning, är dessa bestämmelser tillämpliga vid sådan behandling. I annat fall är det bestämmelserna om känsliga personuppgifter i dataskyddsförordningen eller den föreslagna dataskyddslagen som ska tillämpas vid sådan behandling, för det fall dessa regelverk är tillämpliga.
Hänvisningarna till personuppgiftslagens definition bör ersättas med hänvisningar till dataskyddsförordningens definition
Som framgår ovan innebär dataskyddsförordningen att vad som är att beteckna som känsliga personuppgifter blir något mer omfattande jämfört med i dag.
Vad gäller de lagar som har särregler om känsliga personuppgifter är samtliga uppbyggda så att det hänvisas till definitionen av känsliga personuppgifter i personuppgiftslagen. Som framgår av avsnitt 9.2 behöver alla hänvisningar till personuppgiftslagen tas bort. De nu aktuella hänvisningarna till personuppgiftslagen bör enligt regeringens bedömning ersättas med hänvisningar till artikel 9.1 i dataskyddsförordningen med innebörd att personuppgiftslagens definition ersätts med dataskyddsförordningens definition. Denna förändring innebär en ändring i sak, då något fler kategorier av uppgifter kommer att omfattas av restriktionerna. Som nämnts ovan bedöms sexuell läggning redan ingå i begreppet sexualliv. Behandling av genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person är dock nyheter. Även denna typ av behandling kommer således framöver att kringgärdas av restriktioner. Datainspektionen saknar överväganden som avser just dessa nya kategorier av känsliga personuppgifter. Regeringens bedömning under föregående rubrik inkluderar samtliga kategorier av känsliga uppgifter.
Dataskydd.net anser att 13 § lagen om identitetskort för folkbokförda i Sverige är onödig på den grunden att behandling av särskilda personuppgifter (fotografi, dvs. biometriska data) redan är en rättslig förpliktelse för den utfärdande myndigheten och att övriga kategorier av känsliga personuppgifter inte är relevanta vid utfärdande av identitetshandling. Vad gäller fotografi vill regeringen framhålla att det är en annan bestämmelse, 14 §, som reglerar behandling av ansiktsbilden i databasen. Vanliga fotografier eller en kopia av ansiktsbilden innehåller inte biometriska uppgifter för att entydigt identifiera en fysisk person (se t.ex. SOU 2017:29 s. 149). Regeringen ser inte något skäl att upphäva den bestämmelsen. Vad gäller behovet av 13 § är det inte uteslutet att känsliga personuppgifter kan komma in i ett ärende om ansökan om identitetskort eller behöva behandlas i ett sådant ärende, varför den bestämmelsen bör finnas kvar.
De föreslagna bestämmelserna har fått en något annorlunda utformning jämfört med promemorians förslag, då inledningen har justerats något. Förslaget genomförs genom ändringar i 1 kap. 7 § första stycket lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet, 1 kap. 6 § första stycket lagen om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, 1 kap. 6 § första stycket lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet, 1 kap. 7 § första stycket lagen om behandling av uppgifter i Tullverkets verksamhet, 7 § lagen om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter och 13 § lagen om identitetskort för folkbokförda i Sverige.
9.4.2 Uppgifter om lagöverträdelser
Regeringens förslag: Hänvisningar i de berörda lagarna till personuppgiftslagens bestämmelse om lagöverträdelser m.m. ska ersättas med en uppräkning som motsvarar personuppgiftslagens definition av sådana överträdelser.
Promemorians förslag: Överensstämmer med regeringens förslag.
Remissinstanserna: Ingen remissinstans har några invändningar mot förslaget. Skatteverket och dataskydd.net tillstyrker uttryckligen förslaget.
Skälen för regeringens förslag
Nuvarande reglering
Enligt 21 § PUL är det förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Förbudet gäller dock inte behandling för forskningsändamål, under vissa i paragrafen angivna förutsättningar. Vidare får regeringen eller den myndighet som regeringen bestämmer meddela föreskrifter om undantag från förbudet. Regeringen får dessutom i enskilda fall besluta om undantag från förbudet samt överlåta åt tillsynsmyndigheten att fatta sådana beslut. I övrigt finns ingen reglering i personuppgiftslagen som gäller möjligheten att behandla sådana slag av personuppgifter.
Nu aktuella registerförfattningar avser myndigheters behandling av personuppgifter, varför 21 § PUL inte i sak är relevant avseende dem. Vissa författningar har dock egna, begränsande regler avseende denna kategori uppgifter. 1 kap. 7 § lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet innehåller utöver hänvisningen till känsliga personuppgifter i personuppgiftslagen även en hänvisning till uppgifter om lagöverträdelser m.m. som anges i 21 § PUL. Detta innebär att begränsningen att uppgifter får behandlas endast om de har lämnats i ett ärende eller är nödvändiga för handläggningen av ärendet även omfattar sådana uppgifter. Detsamma gäller sökförbudet i 2 kap. 10 § andra stycket lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet.
Lagen om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet och lagen om behandling av uppgifter i Tullverkets verksamhet har liknande bestämmelser. Även lagen om identitetskort för folkbokförda i Sverige har bestämmelser om sökbegränsningar avseende lagöverträdelser.
I lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet finns utöver angiven reglering ytterligare en bestämmelse om behandling av uppgifter om överträdelser. I uppräkningen av vad som får behandlas i skuldsaneringsdatabasen för ett i 2 kap. 14 § angivet ändamål ingår lagöverträdelser som innefattar brott eller domar i brottmål, om uppgifterna utgör grund för en fordran i ett ärende (2 kap. 17 § första stycket 6).
Eftersom personuppgiftslagens bestämmelser om lagöverträdelser inte innebär några restriktioner för myndigheters behandling, saknar de författningar som inte har någon egen reglering om lagöverträdelser och där personuppgiftslagen gäller restriktioner avseende denna kategori uppgifter.
Dataskyddsförordningens bestämmelser om lagöverträdelser
Enligt artikel 10 i EU:s dataskyddsförordning får behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 endast utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Ett fullständigt register över fällande domar i brottmål får dock endast föras under kontroll av en myndighet.
Artikeln motsvarar delvis artikel 8.5 i 1995 års dataskyddsdirektiv. En skillnad är att artikel 8.5 i direktivet talar om brottmålsdomar, vilket innefattar även icke fällande domar. Den nya regleringen innebär alltså en begränsning av bestämmelsens tillämpningsområde till enbart fällande brottmålsdomar. En annan skillnad är att artikel 8.5 i direktivet möjliggör för medlemsstaterna att föreskriva att uppgifter som rör administrativa sanktioner eller avgöranden i tvistemål också ska behandlas under kontroll av en myndighet.
Ovanstående innebär att såväl 1995 års dataskyddsdirektiv som den nya förordningen saknar restriktioner avseende myndigheters behandling av uppgifter om lagöverträdelser.
Propositionen Ny dataskyddslag
Regeringen uttalar sig i prop. 2017/18:105 om artikel 10 i dataskyddsförordningen. Artikeln innebär enligt regeringens bedömning att myndigheter inte behöver uttryckligt stöd i föreskrifter eller särskilda beslut för att få behandla uppgifter som rör lagöverträdelser. I propositionen bedömer regeringen också att det finns ett visst utrymme att förtydliga innebörden av artikel 10 i svensk rätt och anser att det uttryckligen bör framgå av dataskyddslagen att personuppgifter som rör lagöverträdelser får behandlas av myndigheter (s. 99). Det föreslås därför en bestämmelse som anger att personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning får behandlas av myndigheter (3 kap. 8 § första stycket förslaget till dataskyddslag). Det föreslås också bestämmelser som rör andra än myndigheters behandling av sådana uppgifter.
Hur bör bestämmelserna om uppgifter om lagöverträdelser justeras?
Som framgår av redovisningen ovan innehåller ett antal av de berörda registerlagarna begränsande regler om möjligheten att behandla uppgifter om lagöverträdelser m.m. jämfört med personuppgiftslagen. Dataskyddsförordningen har inga begränsande regler om detta för myndigheter. Inte heller i prop. 2017/18: 105 föreslås några restriktioner avseende myndigheter. Detta innebär att några sådana bestämmelser inte krävs med anledning av artikel 10 i förordningen eller den föreslagna dataskyddslagen. Det innebär också att regleringen utgör en begränsning i förhållande till dataskyddsförordningen och dataskyddslagen.
Frågan kan därför ställas om de befintliga begränsningarna i lagarna ska finnas kvar. Begränsningarna har införts i syfte att skydda den personliga integriteten (se t.ex. prop. 2000/01:33 s. 100-104). Några skäl att upphäva dessa bestämmelser har inte framkommit. Bestämmelserna bör enligt regeringens bedömning därför finnas kvar.
Nästa fråga är hur bestämmelserna bör vara utformade. Som framgår av avsnitt 9.2 föreslås att hänvisningarna till personuppgiftslagen ska tas bort. Ett alternativ är att ersätta hänvisningen till personuppgiftslagen med en hänvisning till artikel 10 i dataskyddsförordningen. Detta skulle innebära en ändring i sak, då t.ex. uppgifter om friande domar inte skulle omfattas av de mer restriktiva reglerna. Som har nämnts ovan har de begränsande reglerna införts till skydd för den personliga integriteten. Några skäl till lättnader har inte framkommit, även om dataskyddsförordningen inte hindrar detta.
Regeringen föreslår i stället att hänvisningen till personuppgiftslagen ersätts med en uppräkning som motsvarar personuppgiftslagens definition av lagöverträdelser m.m., dvs. lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Justeringen innebär ingen ändring i sak.
Vad gäller den ovan nämnda särbestämmelsen i 2 kap. 17 § lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet finns inga skäl till justeringar varför den bör kvarstå oförändrad.
Förslaget genomförs genom ändringar i 1 kap. 7 § första stycket lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet, 1 kap. 6 § första stycket lagen om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, 1 kap. 6 § första stycket lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet, 1 kap. 7 § första stycket lagen om behandling av uppgifter i Tullverkets verksamhet och 17 § andra stycket lagen om identitetskort för folkbokförda i Sverige.
9.5 Enskildas rättigheter
9.5.1 Allmänt om rättigheterna i EU:s dataskyddsförordning och bestämmelser i förslaget till dataskyddslag
I dataskyddsförordningens tredje kapitel behandlas den registrerades rättigheter. Kapitlet avser rätten till information (artiklarna 13 och 14) och rätten till tillgång (artikel 15), rätten till rättelse (artikel 16), radering (artikel 17), begränsning (artikel 18) och dataportabilitet (artikel 20). Slutligen behandlas rätten att göra invändningar (artikel 21) och att motsätta sig automatiskt individuellt beslutsfattande (artikel 22). I anslutning till dessa rättigheter finns bestämmelser om hur och när information ska lämnas (artikel 12) och bestämmelser om anmälningsskyldighet för det fall rättelse, radering av personuppgifter eller begränsning av behandling sker (artikel 19).
De rättigheter för enskilda som följer av dataskyddsförordningen har, med vissa undantag, sina motsvarigheter i 1995 års dataskyddsdirektiv och personuppgiftslagen. Den registrerades rättigheter har dock förstärkts i vissa avseenden genom dataskyddsförordningen, bl.a. när det gäller rätten till information och tillgång till uppgifter.
Den registrerades rättigheter, med motsvarande skyldigheter för den personuppgiftsansvarige, är direkt tillämpliga. Rättigheterna är emellertid inte absoluta utan kan enligt artikel 23 i dataskyddsförordningen begränsas under vissa i artikeln angivna förutsättningar. Enligt artikel 23.1 får begränsningar införas i nationell rätt, om begränsningen sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa vissa särskilt angivna mål. De angivna målen innefattar bl.a. att säkerställa unionens eller en medlemsstats viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska intressen, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet. Även enligt artikel 13 i 1995 års dataskyddsdirektiv ges en möjlighet att begränsa de rättigheter som ges enskilda i direktivet. En nyhet i dataskyddsförordningen är att det anges att en begränsande lagstiftningsåtgärd, när så är relevant, ska innehålla specifika bestämmelser i vissa avseenden, bl.a. om skyddsåtgärder (artikel 23.2). Möjlighet att begränsa vissa av de registrerades rättigheter ges även i artikel 89.2 i förordningen, i fråga om behandling av personuppgifter för vetenskapliga ändamål eller historiska forskningsändamål eller statistiska ändamål. Enligt artikel 89.3 får vissa rättigheter också begränsas vid behandling av personuppgifter för arkivändamål av allmänt intresse.
I prop. 2017/18:105 föreslår regeringen en bestämmelse som innebär undantag från den registrerades rätt till information och att få tillgång till personuppgifter enligt artiklarna 13-15, om sekretess eller tystnadsplikt föreligger gentemot den registrerade (5 kap. 1 § förslaget till dataskyddslag). Regeringen föreslår vidare en bestämmelse som innebär att den registrerades rätt att få tillgång till personuppgifter som huvudregel inte ska omfatta uppgifter som finns i löpande text som utgör utkast eller minnesanteckningar (5 kap. 2 §). Slutligen föreslås ett generellt bemyndigande för regeringen att meddela ytterligare föreskrifter om begränsningar enligt artiklarna 23, 89.2 och 89.3 i dataskyddsförordningen (5 kap. 3 §).
I det följande behandlas frågor om vilken reglering som kan behövas i registerlagarna med anledning av dataskyddsförordningens bestämmelser om rätten till information och tillgång till personuppgifter, rätten till rättelse, radering och begränsning av behandling av personuppgifter och rätten att göra invändningar mot behandling. Frågor om automatiskt beslutsfattande regleras inte i registerförfattningarna. Dessa frågor behandlas i stället i avsnitt 10.
9.5.2 Rätten till information och tillgång till personuppgifter
Regeringens förslag: Bestämmelser i berörda lagar om information om uppgifter i handlingar som den enskilde har tagit del av ska tas bort.
Undantaget från informationsskyldighet när uppgifter behandlas på grund av visst administrativt samarbete i fråga om beskattning ska omformuleras utan att det innebär någon ändring i sak.
Det ska tydliggöras att lagbestämmelser som anger att myndigheterna får ta ut avgifter för att lämna ut uppgifter inte innebär en inskränkning av den registrerades rätt till kostnadsfria åtgärder enligt artikel 12.5 a i EU:s dataskyddsförordning.
Promemorians förslag: Överensstämmer delvis med regeringens förslag. I promemorian föreslås att bestämmelser om information om uppgifter i handlingar som den enskilde har tagit del av ska finnas kvar men ändras så att de hänvisar till dataskyddsförordningen i stället för till personuppgiftslagen.
Remissinstanserna: Skatteverket tillstyrker promemorians förslag. Datainspektionen avstyrker promemorians förslag i den del de avser rätten till information om personuppgifter i handlingar som den enskilde har tagit del av. Datainspektionen anser att bestämmelser som innebär att information enligt artikel 15 i dataskyddsförordningen inte behöver omfatta en uppgift i en handling som har kommit in till registermyndigheten om den enskilde har tagit del av handlingens innehåll, utgör en begränsning i den enskildes rätt till tillgång enligt denna artikel och att undantaget från detta inte är utfört i enlighet med kraven i artikel 23 i dataskyddsförordningen. Dataskydd.net avstyrker delvis promemorians förslag och anser att bestämmelsen i lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet när uppgifter behandlas på grund av visst administrativt samarbete i fråga om beskattning bör ändras så att bara tillämpningen av artikel 15 i dataskyddsförordningen (registerutdrag) undantas från den enskildes rättigheter, men inte artikel 13. Dataskydd.net anser också att det saknas behov av några av de föreslagna bestämmelserna i vilka det tydliggörs att rätten att ta ut avgifter inte får åsidosätta rätten för en registrerad att kostnadsfritt få information om behandling eller registerutdrag med stöd av artikel 12.5 i dataskyddsförordningen. I övrigt invänder ingen remissinstans mot promemorians förslag.
Skälen för regeringens förslag
Nuvarande reglering
Bestämmelser om information till den registrerade finns i 23-27 §§ PUL. I flera av de aktuella registerförfattningarna pekas det ut vilka bestämmelser i personuppgiftslagen om information till enskilda som är tillämpliga vid sådan behandling som omfattas av respektive lag. De bestämmelser som pekas ut är 23 och 25-27 §§. Hänvisningar till dessa bestämmelser i personuppgiftslagen finns i 3 kap. 1 § lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet men också i lagen om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet och lagen om behandling av uppgifter i Tullverkets verksamhet.
Eftersom personuppgiftslagen gäller vid behandling enligt lagen om identitetskort för folkbokförda i Sverige, lagen om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter och lagen om det statliga personadressregistret om inte annat följer av de respektive lagarna och då de lagarna inte innehåller särskilda bestämmelser om informationsskyldighet, gäller samtliga bestämmelser om informationsskyldighet i personuppgiftslagen vid sådan behandling som omfattas av de lagarna.
I 23 § PUL finns bestämmelser om att den personuppgiftsansvarige självmant ska lämna information till den registrerade om behandlingen av personuppgifterna när uppgifter samlas in från personen själv. I 25 § anges vilken information som den personuppgiftsansvarige ska lämna.
26 § PUL innehåller bestämmelser om att den personuppgiftsansvarige i vissa fall är skyldig att till den som ansöker om det lämna viss särskilt angiven information om de uppgifter rörande den sökande som behandlas (s.k. registerutdrag). I fråga om uppgifter som finns i handlingar finns vissa specialbestämmelser i flera av de berörda registerförfattningarna. Dessa bestämmelser behandlas nedan.
24 § PUL är inte tillämplig för de lagar som gäller i stället för personuppgiftslagen och som anger vilka bestämmelser i personuppgiftslagen som ska gälla. Av bestämmelsen framgår att information om behandling av uppgifterna i vissa fall ska lämnas till den registrerade, när uppgifter samlas in från någon annan källa än den registrerade. I andra stycket anges dock att informationen inte behöver lämnas, om det finns bestämmelser om registrerandet eller utlämnandet av personuppgifterna i en lag eller någon annan författning. När behandling av personuppgifter hos en myndighet regleras i särskild lagstiftning, med bestämmelser om vilka uppgifter som får behandlas och hur uppgifterna i övrigt får hanteras, har därför gjorts bedömningen att det inte krävs att det ges sådan information som avses i 24 § PUL (se t.ex. prop. 2000/01:33 s. 105).
Dataskyddsförordningens bestämmelser om rätt till information och tillgång till personuppgifter
Bestämmelser om att den personuppgiftsansvarige självmant ska lämna viss information till den registrerade om behandling av personuppgifter finns i artikel 13 och 14 i dataskyddsförordningen. Bestämmelserna utgör motsvarigheter till 23 och 24 §§ PUL samt artikel 10 och 11 i 1995 års dataskyddsdirektiv. I artikel 13 i dataskyddsförordningen anges vilken information som ska lämnas till den registrerade när personuppgifter samlas in från denne. I artikel 14.1-14.4 regleras skyldigheten att lämna information när personuppgifterna har erhållits från någon annan än den registrerade. Av artikel 14.5 följer att skyldigheten att lämna information enligt punkterna 1-4 i samma artikel inte ska tillämpas bl.a. då erhållande eller utlämnande av uppgifter uttryckligen föreskrivs genom unionsrätten eller genom en medlemsstats nationella rätt som den registrerade omfattas av och som fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen. Detta innebär bl.a. att en tillsynsmyndighet som regel inte behöver informera den registrerade om behandlingen av sådana personuppgifter som myndigheten erhållit som en följd av en reglerad uppgiftsskyldighet (jfr prop. 2017/18:105 s. 106).
Rätten till tillgång regleras i artikel 15 i dataskyddsförordningen, som i stora delar utgör motsvarighet till rätten till information efter ansökan i 26 § PUL, dvs. rätten till s.k. registerutdrag samt artikel 12 a i 1995 års dataskyddsdirektiv. I artikeln anges bl.a. att den registrerade ska ha rätt att av den personuppgiftsansvarige få bekräftelse på huruvida personuppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna och viss information som finns särskilt angiven i artikeln. Den personuppgiftsansvarige ska förse den registrerade med en kopia av de personuppgifter som är under behandling.
I artikel 12 finns bestämmelser om på vilket sätt och inom vilken tid bl.a. sådan information som avses i artikel 13-15 ska lämnas till den registrerade.
Som framgår av föregående avsnitt finns vissa skillnader mellan dataskyddsförordningens bestämmelser om informationsskyldighet och de skyldigheter som gäller enligt 1995 års dataskyddsdirektiv och personuppgiftslagen. Den information om personuppgiftsbehandlingen som ska lämnas är t.ex. mer utförlig enligt dataskyddsförordningen än enligt direktivet och personuppgiftslagen. I dataskyddsförordningen finns också vissa nya bestämmelser om bl.a. på vilket sätt och inom vilken tidsfrist informationen ska lämnas till den registrerade.
Det behöver inte upplysas om att bestämmelserna i dataskyddsförordningen gäller
De hänvisningar till personuppgiftslagens bestämmelser som finns i berörda lagar behöver tas bort. Det förslaget behandlas i avsnitt 9.2. Eftersom de rättigheter som följer av dataskyddsförordningen är direkt tillämpliga behövs inga bestämmelser som slår fast att dessa gäller. I likhet med dagens reglering kommer informationsskyldigheten då uppgifter har erhållits från någon annan än den registrerade inte att gälla vid sådan behandling som omfattas av de berörda författningarna (se artikel 14.5 c). Den ifrågavarande behandlingen av personuppgifter regleras i författningar som får anses tillräckliga för att uppfylla dataskyddsförordningens krav på lämpliga skyddsåtgärder (jfr prop. 1997/98:44 s. 79).
Någon upplysning om vilka rättigheter i dataskyddsförordningen som gäller bedöms inte behövas.
Undantaget för information om uppgifter i handlingar i vissa fall ska tas bort
I flera av de nu aktuella registerlagarna finns bestämmelser om att information som ska lämnas enligt 26 § PUL (registerutdrag) inte behöver omfatta uppgift i vissa elektroniska handlingar, om den enskilde har tagit del av handlingens innehåll. Om så är fallet behöver dessa handlingar således inte lämnas ut till en enskild i samband med att myndigheten fullgör sin informationsskyldighet enligt 26 § PUL. Detta undantag förutsätter att den registrerade får tydlig information om att handlingar som han eller hon har skickat in till eller fått från myndigheten finns registrerade samt att han eller hon får en förteckning över dessa handlingar. Om den enskilde begär det ska dock informationen även omfatta uppgift i en sådan handling (prop. 2000/01:33 s. 204). Bestämmelser med detta innehåll finns i lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet, lagen om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet och lagen om behandling av uppgifter i Tullverkets verksamhet.
I promemorian görs bedömningen att de aktuella bestämmelserna inte kan anses utgöra en begränsning av rätten till tillgång enligt artikel 15 i dataskyddsförordningen eftersom informationen ska omfatta även uppgifterna i handlingarna om den enskilde begär det. Som Datainspektionen påpekar avser dock den registrerades rätt till tillgång enligt artikel 15 inte endast personuppgifter. Den personuppgiftsansvarige ska även informera om bl.a. ändamålen med behandlingen och eventuell överföring till tredjeland. Det förhållandet att en registrerad redan har fått tillgång till vissa handlingar som innehåller personuppgifter innebär således inte att rätten till tillgång enligt artikel 15 i sin helhet har tillgodosetts i förhållande till dessa uppgifter. Regeringen instämmer därför i Datainspektionens bedömning att de aktuella bestämmelserna utgör en begränsning i den enskildes rätt till tillgång till sådan information.
Frågan är därför om det finns tillräckliga skäl för en sådan begränsning. Som Datainspektionen framhåller kan den personuppgiftsansvarige, om denne behandlar en stor mängd uppgifter om den registrerade, efterfråga vilken information eller vilken behandling som en begäran enligt artikel 15 i förordningen avser innan informationen lämnas ut (se skäl 63). I ett sådant sammanhang bör den personuppgiftsansvarige kunna efterfråga om den registrerades begäran omfattar information som lämnats ut vid ett tidigare tillfälle. Det kan vidare konstateras att, enligt artikel 12.5 i dataskyddsförordningen, kan den personuppgiftsansvarige ta ut en rimlig kostnad eller vägra tillmötesgå en begäran, om den är uppenbart ogrundad eller orimlig, särskilt på grund av dess repetitiva art. Enligt regeringens bedömning finns det mot den bakgrunden inte skäl att göra undantag från artikel 15 i förordningen. Regeringen föreslår därför att bestämmelserna i 3 kap. 2 § lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet, 3 kap. 2 § lagen om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, 3 kap. 2 § lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet och 3 kap. 2 § lagen om behandling av uppgifter i Tullverkets verksamhet ska upphöra att gälla.
Undantaget vid visst administrativt samarbete i fråga om beskattning ska behållas, men justeras
I 3 kap. 2 a § lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet anges att bl.a. bestämmelserna i 23, 25 och 26 §§ PUL inte tillämpas vid behandling av personuppgifter på grund av samarbete enligt lagen (2012:843) om administrativt samarbete inom Europeiska unionen i fråga om beskattning, om sådana begränsningar är nödvändiga med hänsyn till ett intresse som anges i 8 a § f PUL. Det intresse som anges i 8 a § f PUL är ett viktigt ekonomiskt eller finansiellt intresse hos Europeiska unionen eller en stat som ingår i unionen.
Bestämmelsen infördes i samband med genomförandet av rådets direktiv 2011/16/EU av den 15 februari 2011 om administrativt samarbete i fråga om beskattning och om upphävande av direktiv 77/799/EG (handräckningsdirektivet). Direktivet genomfördes i huvudsak genom införandet av lagen om administrativt samarbete inom Europeiska unionen i fråga om beskattning. I den lagen finns bl.a. skyldigheter för Skatteverket att under vissa förutsättningar, både på begäran och utan föregående begäran (s.k. spontant utbyte av upplysningar), lämna sådana upplysningar till en behörig myndighet i en annan medlemsstat som kan antas vara relevanta för administration och verkställighet av den andra medlemsstatens skattelagstiftning (8 och 14 §§). När det gäller utbyte på begäran ska Skatteverket utföra de utredningar som krävs för att få fram de upplysningar som ska lämnas till en behörig myndighet i en annan medlemsstat. Detta gäller dock inte utredningar som det skulle strida mot lag att utföra för svenska beskattningsändamål (9 §). I fråga om vissa uppgifter som Skatteverket har tagit emot i form av bl.a. kontrolluppgifter ska verket överföra upplysningar genom automatiskt utbyte (12 §). Av lagen framgår att Skatteverket, med vissa undantag, får begära att en behörig myndighet i en annan medlemsstat vidtar motsvarande åtgärder som åligger Skatteverket (6 §).
Bakgrunden till bestämmelsen i 3 kap. 2 a § lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet är bl.a. att det föreskrivs i artikel 25 i handräckningsdirektivet att medlemsstaterna för en korrekt tillämpning av direktivet ska begränsa tillämpningsområdet för bl.a. de skyldigheter och rättigheter som avses i artiklarna 10, 11.1 och 12 i 1995 års dataskyddsdirektiv i den utsträckning som behövs för att skydda de intressen som avses i artikel 13.1 e i det direktivet. Bestämmelsen kan t.ex. bli aktuell att tillämpa i en situation när uppgifter behandlas med anledning av en begäran om utbyte av upplysningar och det kan befaras att det skulle försvåra genomförandet av utredning eller beslut i skatteärende i den andra medlemsstaten att lämna sådan information till den registrerade, se propositionen Genomförande av det nya EU-direktivet om administrativt samarbete i fråga om beskattning (prop. 2012/13:4 s. 70-73).
De skyldigheter och rättigheter som ska begränsas enligt handräckningsdirektivet rör bl.a. rätten till information och tillgång till personuppgifter. Dessa rättigheter regleras i artiklarna 13 och 15 i dataskydds-förordningen. Den grund som anges i artikel 13.1 e i 1995 års dataskyddsdirektiv och 8 a § f PUL, på vilken bl.a. rätten till information får begränsas, har sin motsvarighet i artikel 23.1 e i dataskyddsförordningen. Den aktuella bestämmelsen i dataskyddsförordningen ger en något vidare möjlighet att begränsa de enskildas rättigheter.
I de aktuella lagarna finns ett flertal olika integritetsskyddande bestämmelser, som har införts utifrån vad som har bedömts lämpligt för de olika verksamheterna. Lagarna innehåller därför sådana specifika bestämmelser om bl.a. skyddsåtgärder som avses i artikel 23.2.
Regeringen bedömer således att bestämmelsen i 3 kap. 2 a § lagen om behandling av personuppgifter i Skatteverkets beskattningsverksamhet är förenlig med artikel 23 i dataskyddsförordningen. För att bestämmelsens sakliga innebörd ska vara densamma som i dag, bör hänvisningen till 8 a § f PUL inte ersättas av en hänvisning till artikel 23.1 e i dataskyddsförordningen. I stället bör lagtexten utformas så att det framgår att de rättigheter som anges i artiklarna 13 och 15 i dataskyddsförordningen inte ska tillämpas om sådana begränsningar är nödvändiga med hänsyn till ett viktigt ekonomiskt eller finansiellt intresse hos Europeiska unionen eller en stat som ingår i unionen.
Dataskydd.net anser att bestämmelsen bör ändras så att bara tillämpningen av artikel 15 i dataskyddsförordningen (registerutdrag) undantas från den enskildes rättigheter, men inte artikel 13. Regeringen anser dock som framgår ovan att dataskyddsförordningen ger stöd för att begränsa de enskildas rättigheter enligt både artikel 13 och 15 på det sätt som skett.
Förslaget genomförs genom en ändring i 3 kap. 2 a § lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet. Även rubriken före bestämmelsen föreslås få en annan lydelse.
Lagbestämmelser om andra former av informationsskyldighet påverkas inte
Det förekommer lagbestämmelser som ger myndigheter och vissa enskilda aktörer skyldigheter att informera enskilda, utan att informationsskyldigheten är kopplad till rättigheterna i 1995 års dataskyddsdirektiv och personuppgiftslagen. Sådana bestämmelser finns framför allt i andra lagar än de rena registerförfattningarna. Det kan t.ex. handla om att information ska lämnas om att den personuppgiftsansvarige har tillgång till eller har vidtagit vissa åtgärder med uppgifter som rör den enskilde. Sådana bestämmelser finns bl.a. i skatteförfarandelagen, SFL. I 31 kap. 4 § SFL anges t.ex. att Skatteverket, före den 15 april året efter utgången av beskattningsåret, ska underrätta fysiska personer och dödsbon som kan antas vara deklarationsskyldiga om de kontrolluppgifter och övriga uppgifter som har kommit in till verket som underlag för beslut om slutlig skatt och beslut om pensionsgrundande inkomst, samt övriga uppgifter som verket känner till. I bl.a. lagen om internationellt tullsamarbete finns en bestämmelse som innebär att en myndighet i vissa fall ska underrätta en enskild om att uppgifter har översänts till utländsk myndighet (2 kap. 8 §). I samma bestämmelse anges även vissa undantag från informationsskyldigheten.
De angivna bestämmelserna har införts med olika syften. De har det gemensamt att de inte påverkar den rätt till information som ges i personuppgiftslagen och de aktuella registerförfattningarna. Bestämmelserna kommer inte heller att påverka de rättigheter som följer av dataskyddsförordningen. De informationsskyldigheter som följer av bestämmelserna kommer att tillämpas vid sidan av bestämmelserna i förordningen. Det finns mot den bakgrunden inte skäl att föreslå några lagändringar avseende dessa bestämmelser.
Det ska framgå att avgifter inte får tas ut i vissa fall
I lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet, lagen om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet och lagen om behandling av uppgifter i Tullverkets verksamhet finns bestämmelser om att de aktuella myndigheterna får ta ut avgifter för att lämna ut uppgifter ur databaser enligt de närmare föreskrifter som meddelas av regeringen. Vidare anges i dessa bestämmelser att rätten att ta ut avgifter inte får innebära en inskränkning i rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen. I förarbetena till bestämmelserna uttalade regeringen bl.a. följande. "Enskilda har normalt möjlighet att få tillgång till uppgifter med stöd av tryckfrihetsförordningen. För sådant uppgiftsutlämnande finns särskilda bestämmelser om avgifter. När enskilda vill ta del av en större mängd uppgifter på medium för automatiserad behandling - vilket inte omfattas av tryckfrihetsförordningens bestämmelser - av t.ex. marknadsföringsskäl eller av andra orsaker som betingas av bedriven näringsverksamhet, finns det enligt regeringens mening anledning att låta dem som drar nytta av uppgifterna bidra ekonomiskt till den verksamhet från vilken utlämnandet sker. Vid utlämnande på elektronisk väg till enskilda bör de utlämnande myndigheterna således få ta ut avgifter" (prop. 2000/01:33 s. 119).
I artikel 12.5 a i dataskyddsförordningen slås fast att information som har tillhandahållits enligt artiklarna 13 och 14 och att all kommunikation och samtliga åtgärder som vidtas enligt artiklarna 15-22 och 34, ska tillhandahållas kostnadsfritt. För en begäran från en registrerad som är uppenbart ogrundad eller orimlig, särskilt på grund av dess repetitiva art, får den personuppgiftsansvarige dock ta ut en rimlig avgift som täcker de administrativa kostnaderna för att tillhandahålla den information eller vidta den åtgärd som begärts. Bestämmelsen avser alltså bl.a. registrerades rätt till information och till s.k. registerutdrag enligt artiklarna 13-15. Regeringen anser att det bör tydliggöras att bestämmelserna om avgifter i de berörda lagarna inte innebär en inskränkning av registrerades rätt till kostnadsfria åtgärder enligt artikel 12.5 a i förordningen. Bestämmelser med denna innebörd bör därför införas i lagarna.
Dataskydd.net anser att det saknas behov av de föreslagna bestämmelserna. Regeringen är som framgår ovan av en annan uppfattning och anser att det i detta fall är motiverat att tydliggöra den registrerades rättigheter enligt artikel 12.5 a i dataskyddsförordningen.
Förslagen genomförs genom ändringar i 2 kap. 14 § lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet, 2 kap. 12 § lagen om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, 2 kap. 30 § lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet och 2 kap. 11 § lagen om behandling av uppgifter i Tullverkets verksamhet.
9.5.3 Rätten till rättelse, radering och begränsning av behandling
Regeringens förslag: Bestämmelserna om rättelse och om att Kronofogdemyndigheten i vissa fall ska underrätta tredje man i lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet ska kompletteras med en upplysning om att det i fråga om personuppgifter finns bestämmelser om rättelse m.m. i EU:s dataskyddsförordning.
Undantaget från rätten till rättelse m.m. i lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet när uppgifter behandlas på grund av visst administrativt samarbete i fråga om beskattning ska omformuleras utan att det innebär någon ändring i sak.
Promemorians förslag: Överensstämmer med regeringens förslag. Vissa redaktionella ändringar har dock gjorts.
Remissinstanserna: Skatteverket tillstyrker förslagen. Dataskydd.net avstyrker delvis förslagen. Dataskydd.net har synpunkter på rättelsebestämmelserna i lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet och anser bl.a. att den befintliga rättelsebestämmelsen i paragrafen inte behövs och att det föreslagna tillägget om att det i fråga om personuppgifter finns bestämmelser om rättelse också i dataskyddsförordningen, skapar otydlighet för både myndigheten och enskilda kring enskildas rättigheter. Förvaltningsrätten i Stockholm har en synpunkt som gäller placeringen av en bestämmelse. I övrigt yttrar sig ingen remissinstans särskilt över förslagen.
Skälen för regeringens förslag
Nuvarande reglering
Enligt 28 § PUL är den personuppgiftsansvarige skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som har utfärdats med stöd av den lagen. Paragrafen rubriceras "rättelse". Med detta menas rättelse i den vidare bemärkelsen korrigering, som alltså kan ske genom de alternativa metoderna rättelse, blockering och utplåning. Det är i princip den som ska göra korrigeringen, dvs. den personuppgiftsansvarige, som själv väljer mellan alternativen. Av annan lagstiftning, eller av sakens natur, kan det dock följa att vissa korrigeringsmetoder inte kan användas i vissa fall, t.ex. när det gäller korrigering av personuppgifter i bokföring (prop. 1997/98:44 s. 133). En myndighet får inte heller utplåna uppgifter i en allmän handling, om det skulle strida mot andra bestämmelser. Av 28 § PUL framgår därutöver att den personuppgiftsansvarige i vissa fall ska underrätta tredje man, till vilken uppgifterna har lämnats ut, om korrigeringsåtgärden. Bestämmelserna i 28 § PUL genomför artikel 12 b och c i 1995 års dataskyddsdirektiv.
I de flesta av de berörda registerförfattningarna har det tagits in paragrafer som innebär att bestämmelserna i personuppgiftslagen om rättelse gäller när personuppgifter behandlas i strid med registerförfattningarna. Bestämmelser med denna innebörd finns i 3 kap. 3 § lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet men också i lagen om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, lagen om behandling av uppgifter i Tullverkets verksamhet, lagen om det statliga personadressregistret, lagen om identitetskort för folkbokförda i Sverige och lagen om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter. Med hänsyn till hur bestämmelserna i 28 § PUL är utformade har det ansetts att en särskild hänvisning behövs i särlagstiftning för att bestämmelserna ska gälla för behandling som sker i strid med särlagstiftningen (se t.ex. prop. 2015/16:28 s. 43).
Rättelsereglerna i 28 § PUL tillämpas således vid behandling av personuppgifter i de berörda verksamheterna. För Kronofogdemyndighetens verksamhet gäller vissa särskilda bestämmelser, vilket behandlas nedan.
Dataskyddsförordningens bestämmelser om rättelse, radering och begränsning av behandling
Dataskyddsförordningens motsvarigheter till de rättigheter som följer av 28 § PUL finns i artikel 16-19. I artiklarna regleras den registrerades rätt till rättelse, radering och begränsning av behandling samt skyldigheten för den personuppgiftsansvarige att underrätta mottagare av personuppgifter om vidtagna korrigeringsåtgärder.
- Närmare om rätten till rättelse
I artikel 16 stadgas en rätt för den registrerade att av den personuppgiftsansvarige utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade. Med beaktande av ändamålet med behandlingen ska den registrerade också ha rätt att komplettera ofullständiga personuppgifter, bl.a. genom att tillhandahålla ett kompletterande utlåtande.
Rätten för den registrerade att på begäran få uppgifter rättade innebär ingen nyhet. Rätten till komplettering saknar uttrycklig motsvarighet i 1995 års dataskyddsdirektiv och personuppgiftslagen. Enligt 9 § PUL gäller dock redan att den personuppgiftsansvarige ska se till att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga och ofullständiga med hänsyn till ändamålen med behandlingen. Den bestämmelsen är tillämplig vid behandling enligt nu aktuella registerförfattningar.
- Närmare om rätten till radering
Enligt artikel 17 ska den registrerade under vissa omständigheter ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få sina personuppgifter raderade. Den personuppgiftsansvarige ska under samma omständigheter vara skyldig att utan onödigt dröjsmål radera personuppgifter. Rätten till radering gäller bl.a. om personuppgifterna inte längre är nödvändiga för de ändamål för vilka de samlats in eller på annat sätt behandlas eller om de har behandlats på olagligt sätt.
I artikel 17.3 regleras vissa undantag från rätten till radering. Av artikel 17.3 b följer t.ex. att rätten till radering inte gäller i den utsträckning behandlingen är nödvändig för att uppfylla en rättslig förpliktelse som kräver behandling enligt unionsrätten eller enligt en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av, eller för att utföra en uppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den personuppgiftsansvarige.
- Närmare om rätten till begränsning av behandling
I artikel 18.1 ges en rätt för den registrerade att av den personuppgiftsansvarige kräva att behandlingen begränsas i vissa fall. Rätten gäller i fall den registrerade bestrider personuppgifternas korrekthet, under en tid som ger den personuppgiftsansvarige möjlighet att kontrollera om personuppgifterna är korrekta (artikel 18.1 a), i fall behandlingen är olaglig och den registrerade motsätter sig att personuppgifterna raderas och i stället begär en begränsning av deras användning (artikel 18.1 b), i fall den personuppgiftsansvarige inte längre behöver personuppgifterna för ändamålen med behandlingen men den registrerade behöver dem för att kunna fastställa, göra gällande eller försvara rättsliga anspråk (artikel 18.1 c), och i fall den registrerade har invänt mot behandling i enlighet med artikel 21.1 i väntan på kontroll av huruvida den personuppgiftsansvariges berättigade skäl väger tyngre än den registrerades berättigade skäl (artikel 18.1.d).
En definition av uttrycket begränsning av behandling finns i artikel 4.3. Där framgår att med begränsning av behandling avses markering av lagrade personuppgifter med syftet att begränsa behandlingen av dessa i framtiden. Begränsning av behandling behandlas även i skäl 67. Där anges att sätten att begränsa behandlingen av personuppgifter bland annat kan inbegripa att man tillfälligt flyttar de valda personuppgifterna till ett annat databehandlingssystem, gör de valda uppgifterna otillgängliga för användare eller tillfälligt avlägsnar offentliggjorda uppgifter från en webbplats. I automatiserade register bör begränsningen av behandlingen i princip ske med tekniska medel på ett sådant sätt att personuppgifterna inte blir föremål för ytterligare behandling och inte kan ändras. Det förhållandet att behandlingen av personuppgifterna är begränsad bör klart anges inom systemet.
- Skyldighet att underrätta tredje man om vidtagna korrigeringsåtgärder
Enligt artikel 19 i dataskyddsförordningen gäller att den personuppgiftsansvarige ska underrätta varje mottagare till vilken personuppgifter har lämnats ut om eventuella rättelser eller radering av personuppgifter eller begränsningar av behandling som skett i enlighet med artiklarna 16, 17.1 och 18, om inte detta visar sig vara omöjligt eller medföra en oproportionell ansträngning. Den personuppgiftsansvarige ska informera den registrerade om dessa mottagare på den registrerades begäran.
Bestämmelsen skiljer sig från 28 § PUL genom att utgångspunkten i dataskyddsförordningen är att underrättelse ska lämnas till uppgiftsmottagarna i alla de fall då rättelse, radering eller begränsning av behandling har skett, dvs. inte endast då den enskilde har begärt det eller då mera betydande skada eller olägenhet för den enskilde skulle kunna undvikas.
I artikel 4.9 finns en definition av vad som avses med mottagare i dataskyddsförordningens mening. Av bestämmelsen framgår bl.a. att myndigheter som kan komma att motta personuppgifter inom ramen för ett särskilt uppdrag i enlighet med unionsrätten eller medlemsstaternas nationella rätt inte ska betraktas som mottagare.
Det behöver inte anges att bestämmelserna i dataskyddsförordningen gäller
De hänvisningar till personuppgiftslagens bestämmelser som finns i berörda lagar behöver tas bort. Det förslaget behandlas i avsnitt 9.2. Eftersom de rättigheter som följer av dataskyddsförordningen är direkt tillämpliga behövs inga bestämmelser som slår fast att dessa gäller. Någon upplysning om att rättigheterna i dataskyddsförordningen gäller bedöms inte heller behövas.
Den utökade rätten till korrigering av vissa missvisande uppgifter hos Kronofogdemyndigheten ska behållas, med upplysning om bestämmelserna i dataskyddsförordningen
Vid behandling av uppgifter i Kronofogdemyndighetens verksamhet gäller särskilda regler om korrigering av uppgifter. Bestämmelserna finns i 3 kap. 3 a § första stycket lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet. Enligt dessa ska Kronofogdemyndigheten på begäran av den registrerade snarast rätta, blockera eller utplåna sådana uppgifter som inte har behandlats i enlighet med lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet eller anslutande författningar. Därutöver ska sådan korrigering ske på den registrerades begäran beträffande uppgifter som är missvisande i fråga om den registrerades vilja eller förmåga att uppfylla sina ekonomiska förpliktelser. Rätten att få sådana missvisande uppgifter korrigerade innebär en utökad rätt i förhållande till personuppgiftslagens och även dataskyddsförordningens bestämmelser. Bakgrunden till den särskilda rättelsebestämmelsen är i huvudsak att det kan få långtgående konsekvenser för den enskilde att förekomma med mål som registrerats i utsöknings- och indrivningsdatabasen, med tanke på uppgifternas spridning och användning utanför Kronofogdemyndigheten. Det har mot den bakgrunden inte ansetts vara rimligt att behöva figurera med sådana uppgifter i fall där det inte behöver ha förelegat någon verklig vare sig ovilja eller oförmåga att betala, se propositionen Rättelse av uppgifter i Kronofogdemyndighetens verksamhet m.m. (prop. 2007/08:116 s. 14). I förarbetena till den aktuella bestämmelsen anfördes att det kunde diskuteras om förslaget innebar en utvidgning av skyldigheten att vidta rättelse, eller bara ett förtydligande av vad som gällde enligt personuppgiftslagens bestämmelser. Det viktigaste ansågs emellertid vara att ändringen, tillsammans med den utbyggnad av sekretesskyddet som också föreslogs, banade väg för en tillämpning som tillgodosåg såväl kraven på Kronofogdemyndighetens diarieföring som de enskildas berättigade krav på att inte behöva förekomma med uppgifter som ger ett i sak ogrundat intryck av bristande vilja eller förmåga att göra rätt för sig (s. 17 f.). I förarbetena drogs också slutsatsen att blockering var den rättelsemetod som normalt borde komma till användning hos Kronofogdemyndigheten när det gäller uppgifter som är missvisande men inte är felaktiga i ett rent diarieperspektiv (s. 20).
Bestämmelsen i 3 kap. 3 a § gäller inte endast för personuppgifter, utan även för uppgifter om juridiska personer och avlidna. Även i detta avseende saknar bestämmelsen således motsvarighet i dataskyddsförordningen.
Något hinder mot att behålla den utökade rätten till rättelse av vissa missvisande uppgifter i Kronofogdemyndighetens databaser finns inte i dataskyddsförordningen. Rätten kan därför behållas. Dataskydd.net anser att den befintliga rättelsebestämmelsen i första stycket inte behövs. Regeringen delar inte denna bedömning då bestämmelsen medför en utökad rätt till rättelse i förhållande till dataskyddsförordningen.
I 3 kap. 3 a § andra stycket lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet finns också en bestämmelse om att tredje man till vilken uppgifter har lämnats ut i vissa fall ska underrättas om åtgärder som har vidtagits med stöd av bestämmelsens första stycke. Sådan underrättelse ska enligt bestämmelsen ske om den registrerade begär det eller om mera betydande skada eller olägenhet för den registrerade kan undvikas på detta sätt. Någon underrättelse behöver dock inte lämnas, om detta skulle innebära en oproportionerligt stor arbetsinsats. Även denna bestämmelse saknar fullt ut motsvarighet i dataskyddsförordningen, eftersom den innebär att underrättelse till tredje man ska ske i vissa fall då underrättelse inte behöver lämnas enligt dataskyddsförordningen. Något hinder mot att behålla bestämmelsen finns inte i dataskyddsförordningen.
De utökade rättigheterna i 3 kap. 3 a § lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet bör enligt regeringens bedömning behållas. Vissa justeringar bör dock göras i den aktuella bestämmelsen. När det gäller uppgifter om juridiska personer bör samma bestämmelser tillämpas som i dag. För fysiska personer bör de särskilda bestämmelserna för Kronofogdemyndighetens verksamhet gälla vid sidan av de rättigheter som följer av dataskyddsförordningen. Detta bör tydliggöras genom att det i bestämmelsen upplyses om att det i fråga om personuppgifter även finns bestämmelser om rättelse m.m. i dataskyddsförordningen.
Dataskydd.net anser att den upplysningen skapar otydlighet för både myndigheten och enskilda kring enskildas rättigheter. Regeringen konstaterar att den tydliggör att för fysiska personer - till skillnad från juridiska personer - bör de särskilda bestämmelserna om behandling av uppgifter i Kronofogdemyndighetens verksamhet gälla vid sidan av de rättigheter som följer av dataskyddsförordningen.
I promemorians förslag får bestämmelsen en ny placering. Förvaltningsrätten i Stockholm anser att bestämmelsen om rättelse även fortsatt bör vara placerad i 3 kap. 3 a § eftersom det är en sådan bestämmelse som ofta åberopas av enskilda och att man i stället ska placera den nya bestämmelsen om invändning mot behandling i en ny 3 § (se avsnitt 9.5.4). Regeringen delar förvaltningsrättens synpunkt och behåller således bestämmelsens nuvarande placering.
Förslaget genomförs genom en ändring i 3 kap. 3 a § lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet.
Undantaget vid visst administrativt samarbete i fråga om beskattning ska behållas, men justeras
I avsnitt 9.5.2 har redogjorts för 3 kap. 2 a § lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet. De undantag från personuppgiftslagen som regleras i bestämmelsen avser inte endast rätten till information och tillgång till uppgifter, utan även skyldigheten för den personuppgiftsansvarige enligt 28 § PUL att på begäran av den registrerade i vissa fall snarast rätta, blockera eller utplåna personuppgifter samt att underrätta tredje man om vidtagna korrigeringsåtgärder. Dessa rättigheter motsvaras av rättigheterna i artikel 16-19 i dataskyddsförordningen.
Som framgår av avsnitt 9.5.2 infördes bestämmelsen i 3 kap. 2 a § lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet för att genomföra artikel 25 i handräckningsdirektivet. Bestämmelsen uppfyller de krav som ställs på en rättighetsbegränsande bestämmelse enligt artikel 23 i dataskyddsförordningen (se avsnitt 9.5.2). Mot den bakgrunden bör bestämmelsen vara kvar även i den del som gäller begränsning av rätten till rättelse, radering och begränsning av behandling i artikel 16-18 och av anmälningsskyldigheten i artikel 19.
Av den aktuella bestämmelsen bör därför framgå att de rättigheter och skyldigheter som avses i artikel 16-19 i dataskyddsförordningen inte ska tillämpas om sådana begränsningar är nödvändiga med hänsyn till ett viktigt ekonomiskt eller finansiellt intresse hos Europeiska unionen eller en stat som ingår i unionen.
Förslaget genomförs genom en ändring i 3 kap. 2 a § lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet.
Rätten till radering behöver inte inskränkas i andra fall
Den behandling som sker med stöd av aktuella registerlagar måste anses nödvändig för att utföra sådana uppgifter av allmänt intresse som avses i artikel 17.3 b i dataskyddsförordningen (jfr även avsnitt 7). Eftersom rätten till radering inte gäller i sådana situationer, hindrar bestämmelserna i artikel 17 inte att uppgifter fortsätter att behandlas i de fall den fortsatta behandlingen av uppgifterna är tillåten enligt de aktuella författningarna. I de fall personuppgifterna inte längre är nödvändiga för de ändamål för vilka de behandlats kan dock finnas en rätt till radering enligt artikel 17.1 a. Att uppgifter i sådana fall kan behöva raderas, även utan begäran av den enskilde, följer redan av artikel 5. Av den bestämmelsen framgår bl.a. att den personuppgiftsansvarige, även utan begäran från den enskilde, ska se till att personuppgifter inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Något behov av att inskränka rätten till radering, utöver vad som anges under föregående rubrik, finns mot den bakgrunden inte.
Rätten till begränsning av behandling behöver inte inskränkas i andra fall
Bestämmelsen i artikel 18.1 d, som reglerar begränsning av behandling när den enskilde har invänt mot behandling, får ingen betydelse vid behandling som är tillåten enligt de berörda registerlagarna, eftersom rätten att invända mot behandling inte föreslås gälla i dessa fall (se avsnitt 9.5.4). Någon rätt att få behandling begränsad med stöd av artikel 18.1 d kommer därför inte att finnas vid behandling som är tillåten enligt de aktuella lagarna. I de övriga fall som avses i artikel 18.1 innebär dataskyddsförordningen att den registrerade har en rätt att få behandlingen begränsad.
De verksamheter och den personuppgiftsbehandling som de berörda lagarna avser måste regelmässigt bedömas utföras för skäl som rör sådana viktiga allmänna intressen som avses i artikel 18.2. Den behandling av personuppgifter som är tillåten enligt de berörda lagarna är en förutsättning för att de aktuella myndigheterna ska kunna bedriva sin verksamhet på ett korrekt, rättssäkert och effektivt sätt. Till att börja med kan därför konstateras att den behandling som myndigheterna får utföra enligt författningarna är tillåten även om behandlingen av uppgifterna har begränsats enligt artikel 18.1.
Regleringen i artikel 18.1 b och c bör enligt regeringens bedömning innebära att uppgifter som annars skulle raderas ska bevaras av den personuppgiftsansvarige. I dessa fall bör det inte föreligga några större problem med att utföra sådana åtgärder som kan krävas för att behandlingen ska anses vara begränsad. I de fall som avses i artikel 18.1 är regeringens utgångspunkt att kraven på att behandlingen ska begränsas inte ska medföra att det blir svårare att utföra den tillåtna behandling som myndigheterna behöver utföra. Eftersom uppgifterna får fortsätta att behandlas av myndigheterna med stöd av artikel 18.2 är regeringens bedömning att kravet på att behandlingen ska begränsas inte innebär att uppgifterna t.ex. måste avlägsnas till ett annat tekniskt system eller att tillgången till dem måste begränsas. Det bör enligt regeringen räcka med mindre ingripande åtgärder, som visar att behandlingen är begränsad i enlighet med artikel 18.1 (jfr skäl 67, som endast anger exempel på åtgärder). Eftersom rätten till begränsning mot den bakgrunden inte bör innebära några betydande problem för myndigheterna, finns inte skäl att införa några inskränkningar av den rätt som följer av artikel 18.1, utöver det undantag som behandlas under en föregående rubrik.
Anmälningsskyldigheten i artikel 19 bör inte inskränkas i andra fall
Skyldigheten att underrätta mottagare till vilka personuppgifter har lämnats ut om åtgärder som har vidtagits med stöd av artikel 16, 17.1 och 18 innebär vissa nya skyldigheter för den personuppgiftsansvarige. Det undantag som finns i artikeln, för situationer då underrättelse är omöjlig eller medför en oproportionerlig ansträngning, får anses vara ett rimligt och tillräckligt undantag vid sådan behandling som omfattas av lagarna. Någon inskränkning av den personuppgiftsansvariges skyldigheter enligt bestämmelsen bör därför inte införas, utöver det tidigare undantaget.
9.5.4 Rätten att göra invändningar
Regeringens förslag: Bestämmelser i berörda lagar om att tillåten behandling får utföras även om den enskilde motsätter sig behandlingen ska ges en ny utformning. I bestämmelserna ska det anges att artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar inte gäller vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.
En sådan bestämmelse ska även införas i lagen om det statliga personadressregistret tillsammans med en upplysning om att bestämmelser om rätten att göra invändningar mot behandling för direkt marknadsföring finns i artikel 21.2 i dataskyddsförordningen.
Promemorians förslag: Överensstämmer i sak med regeringens förslag. Promemorians förslag är något annorlunda utformade och placerade.
Remissinstanserna: Skatteverket tillstyrker förslagen. Dataskydd.net avstyrker förslagen, utan att lämna någon närmare motivering. Förvaltningsrätten i Stockholm anser att de överväganden som har gjorts kring den föreslagna bestämmelsen i bl.a. lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet, som hindrar rätten att göra invändningar, borde förtydligas. Förvaltningsrätten anser också att bestämmelsen bör ges en annan placering. Sveriges advokatsamfund ifrågasätter om det finns tillräckligt starka skäl för att införa bestämmelser som anger att rätten att göra invändningar enligt artikel 21.1 i dataskyddsförordningen inte gäller vid sådan behandling som är tillåten enligt de aktuella författningarna. I övrigt yttrar sig ingen remissinstans särskilt över förslagen.
Skälen för regeringens förslag
Nuvarande reglering
I artikel 14 i 1995 års dataskyddsdirektiv finns en rätt för den registrerade att motsätta sig behandling av personuppgifter. Av bestämmelsen framgår att medlemsstaterna ska tillförsäkra den registrerade rätten att, bl.a. i de fall när behandling sker på grund av att den är nödvändig för att utföra en arbetsuppgift av allmänt intresse eller för att den är ett led i myndighetsutövning, när som helst av avgörande och berättigade skäl som rör den registrerades personliga situation motsätta sig behandling av uppgifter som rör honom eller henne, utom när den nationella lagstiftningen föreskriver något annat. När invändningen är berättigad får den behandling som påbörjats av den registeransvarige inte längre avse dessa uppgifter. Vidare framgår att den registrerade ska ges rätt att efter anmodan och utan kostnader motsätta sig behandling av personuppgifter som rör honom eller henne och som den registeransvarige bedömer kan komma att behandlas för ändamål som rör direkt marknadsföring, eller att bli informerad innan personuppgifter för första gången lämnas ut till tredje man eller används för tredje mans räkning för ändamål som rör direkt marknadsföring, och att uttryckligen få erbjudande om att utan kostnader motsätta sig ett sådant utlämnande eller sådan användning.
Artikel 14 i 1995 års dataskyddsdirektiv har genomförts i svensk rätt genom bl.a. 11 och 12 §§ PUL. Vid genomförandet gjorde Datalags-kommittén bedömningen att det inte fanns tillräckliga skäl för att föreslå en generell rätt att motsätta sig en behandling som var befogad enligt de regler som kommittén föreslog, se betänkandet Integritet, offentlighet, informationsteknik (SOU 1997:39 s. 366). I 11 § PUL anges att personuppgifter inte får behandlas för ändamål som rör direkt marknadsföring, om den registrerade hos den personuppgiftsansvarige skriftligen har anmält att han eller hon motsätter sig sådan behandling. Av 12 § första stycket PUL följer att den registrerade har rätt att när som helst återkalla sitt samtycke i vissa fall då behandling av personuppgifter bara är tillåten när den registrerade har lämnat sitt samtycke. Av andra stycket följer att en registrerad, utöver vad som följer av första stycket och 11 §, inte har rätt att motsätta sig sådan behandling av personuppgifter som är tillåten enligt personuppgiftslagen. Möjligheterna för den registrerade att motsätta sig behandling är alltså begränsade enligt personuppgiftslagen.
I 1 kap. 2 § andra stycket lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet, men också i lagen om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet, lagen om behandling av uppgifter i Tullverkets verksamhet, lagen om identitetskort för folkbokförda i Sverige och lagen om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter finns uttryckliga bestämmelser som innebär att behandling av personuppgifter som är tillåten enligt respektive lag får utföras även om den registrerade motsätter sig behandlingen.
I lagen och förordningen om det statliga personadressregistret saknas sådana uttryckliga bestämmelser. Som framgår ovan finns ingen generell rätt enligt personuppgiftslagen för en enskild att motsätta sig behandling av personuppgifter. Det gäller dock med undantag för bl.a. behandling som sker för direkt marknadsföring. Även utan uttryckliga bestämmelser i lagen om det statliga personadressregistret gäller således att behandling i SPAR får ske trots att en enskild motsätter sig behandling. Undantag gäller enligt denna lag för behandling som sker vid urvalsdragning för direktreklam. I 4 § lagen om det statliga personadressregistret, som reglerar innehållet i SPAR, finns nämligen en bestämmelse om att det på begäran av den registrerade ska anges i SPAR att uppgifter om denne inte får behandlas vid urvalsdragning för direktreklam.
Dataskyddsförordningens bestämmelser om rätten att göra invändningar
Rätten att göra invändningar regleras i artikel 21 i dataskyddsförordningen. Vid behandling av personuppgifter som sker för att utföra en uppgift av allmänt intresse, som ett led i myndighetsutövning eller efter en intresseavvägning (dvs. behandling enligt artikel 6.1 e eller f i dataskyddsförordningen) ska den registrerade enligt artikel 21.1 ha rätt att när som helst, av skäl som hänför sig till hans eller hennes specifika situation, göra invändningar mot behandlingen. Den personuppgiftsansvarige får inte längre behandla personuppgifterna, såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk. Av artikel 21.2 framgår också att den registrerade ska ha rätt att när som helst invända mot behandling av personuppgifter som avser honom eller henne som sker för direkt marknadsföring. Enligt artikel 21.3 ska personuppgifterna inte längre behandlas för direkt marknadsföring, om den registrerade invänder mot det. Av artikel 21.4 framgår att rätten att invända mot behandling uttryckligen ska meddelas den registrerade senast vid den första kommunikationen med denne.
Begränsningar i rätten att göra invändningar får enligt dataskyddsförordningen endast göras under de förutsättningar som anges i artikel 23, eller i vissa situationer med stöd av artikel 89.2-3 (jfr avsnitt 9.5.1).
Befintliga bestämmelser kan behållas, men bör justeras
Som framgår av avsnitt 7.1 sker den behandling som regleras i lagarna regelmässigt för att utföra en uppgift av allmänt intresse och ofta som ett led i myndighetsutövning. Sådan behandling kommer att omfattas av artikel 6.1 e i dataskyddsförordningen. Rätten att göra invändningar enligt artikel 21.1 gäller vid behandling som endast grundar sig på artikel 6.1 e.
En del av den personuppgiftsbehandling som omfattas av de berörda lagarna sker för att myndigheterna ska kunna uppfylla en rättslig förpliktelse. I dessa fall kan behandlingen ske med stöd av artikel 6.1 c, dvs. den är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. I de fall behandling av personuppgifter sker för att en rättslig förpliktelse ska kunna fullgöras gäller inte rätten i artikel 21.1 i dataskyddsförordningen att göra invändningar. Dataskyddsutredningen gör bedömningen att det är den rättsliga grund som avses i artikel 6.1 e, dvs. utförande av en uppgift av allmänt intresse, som vanligen bör tillämpas av myndigheter, även utanför området för myndighetsutövning (SOU 2017:39 s. 128). Regeringen gör samma bedömning i prop. 2017/18:105 (s. 57). Regeringen anser att det kan vara fråga om att fullgöra en rättslig förpliktelse i de situationer då myndigheterna ges i uppdrag att föra ett visst register (s. 53). Det finns också t.ex. bestämmelser som ger myndigheterna skyldighet att lämna ut uppgifter. Även bestämmelser som anger att en myndighet får t.ex. föra ett visst register borde enligt regeringens bedömning i vissa fall kunna anses innefatta en skyldighet för myndigheten att göra detta.
Rätten att göra invändningar kan mot den bakgrunden sannolikt bli tillämplig för den största delen av den behandling som regleras i de berörda författningarna. 1995 års dataskyddsdirektiv ställer inte upp några särskilda villkor för att införa begränsningar i rätten att motsätta sig behandling i nationell rätt. I personuppgiftslagen finns, som nämnts, endast möjlighet att motsätta sig behandling i vissa särskilda situationer. Som framgår ovan är det möjligt att med stöd av artikel 23.1 i dataskyddsförordningen införa nationella undantag från rätten att invända mot behandling. Möjligheten att begränsa rätten att göra invändningar med stöd av artikel 89.2-3 är däremot inte aktuell här.
Den behandling som utförs av myndigheterna enligt de berörda lagarna får antas regelmässigt vara av sådan karaktär att behandlingen får fortsätta enligt artikel 21.1 även om den registrerade invänder mot behandlingen. En rätt för den registrerade att invända mot behandling av personuppgifter kan dock ändå tänkas påverka effektiviteten i myndigheternas verksamhet. Begränsningar i rätten att göra invändningar får göras enligt artikel 23.1 i syfte att säkerställa bl.a. ett viktigt mål av generellt allmänt intresse för medlemsstaten. Det krävs också att begränsningen uppfyller krav på nödvändighet och proportionalitet. Dataskyddsutredningen har anfört att det finns skäl att särskilt överväga om dataskyddsförordningens rätt att göra invändningar bör inskränkas när det gäller sådan behandling som sker med stöd av artikel 6.1 e, dvs. med en fastställd uppgift av allmänt intresse som rättslig grund. Utredningen har dock gjort bedömningen att rätten att göra invändningar mot myndigheters behandling av personuppgifter inte bör inskränkas på ett generellt plan genom ett undantag i den föreslagna dataskyddslagen. Enligt utredningen bör sådana undantag i stället övervägas på sektorsspecifik nivå (SOU 2017:39 s. 207 f.). Regeringen instämmer i dessa bedömningar i prop. 2017/18:105 (s. 105 f.).
Det är av stor betydelse att personuppgifter får behandlas oberoende av den registrerades inställning i sådan verksamhet hos Skatteverket, Tullverket och Kronofogdemyndigheten som avses i berörda lagar. Den behandling som är tillåten enligt lagarna är en förutsättning för att myndigheterna ska kunna utföra sina uppgifter på ett korrekt, rättssäkert och effektivt sätt. Den personuppgiftsansvariga myndigheten får närmast undantagslöst anses kunna påvisa skäl för fortsatt behandling som väger tyngre än den registrerades intressen i det enskilda fallet. Under sådana förhållanden och för att fullt ut säkerställa förutsättningarna för de aktuella myndigheterna att behandla relevanta personuppgifter bör den registrerade inte heller fortsättningsvis ha någon rätt att motsätta sig sådan personuppgiftsbehandling som är tillåten enligt lagen. En sådan begränsning måste anses utgöra en nödvändig och proportionell åtgärd i syfte att säkerställa ett viktigt mål av generellt allmänt intresse. De aktuella lagarna innehåller dessutom ett flertal olika integritetsskyddande bestämmelser såsom ändamål med behandlingen och kategorier av uppgifter som får behandlas. Regleringen innebär en förhållandevis snäv ram för personuppgiftsbehandlingen och minimerar risken för kränkning av den registrerades rättigheter och friheter. Den får därför anses uppfylla de krav på bl.a. skyddsåtgärder som uppställs i artikel 23.2 i dataskyddsförordningen. Enligt regeringen är de bestämmelser som innebär att behandling av personuppgifter får utföras även om den registrerade motsätter sig behandlingen mot den bakgrunden förenliga med dataskyddsförordningen och kan därför vara kvar även i fortsättningen.
Regeringen anser att det saknas behov av ytterligare förtydliganden av bakgrunden till begränsningen av rätten att göra invändningar, vilket Förvaltningsrätten i Stockholm efterfrågar. Sveriges advokatsamfund ifrågasätter om det finns tillräckligt starka skäl för att införa dessa bestämmelser och anger att invändningarna kommer oftast att kunna avslås då det ofta kommer att finnas starka skäl till personuppgiftsbehandlingen. Enligt Sveriges advokatsamfund bör rättigheten ändå få finnas kvar till skydd för individens personliga integritet, oaktat att det kan påverka myndigheternas effektivitet. Regeringen gör dock som framgår ovan, vilket gäller även dataskydd.nets invändning, en annan bedömning i denna fråga.
Bestämmelserna i de aktuella lagarna bör enligt regeringen formuleras så att det är tydligt hur de förhåller sig till regleringen i dataskyddsförordningen. I bestämmelserna bör anges att artikel 21.1 i dataskyddsförordningen om rätten att göra invändningar inte gäller vid sådan behandling som är tillåten enligt lagen eller föreskrifter som har meddelats i anslutning till lagen.
Bestämmelserna bör i vissa fall, i likhet med promemorians förslag, ges en annan placering än den nuvarande i syfte att nå bättre överensstämmelse med lagarnas systematik. De föreslagna bestämmelserna har fått en något annorlunda utformning och delvis också annan placering jämfört med promemorians förslag, utan att det innebär någon ändring i sak.
Förslagen genomförs genom ändringar i 1 kap. 2 § och 3 kap. 3 § lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet, 1 kap. 2 § och 3 kap. 1 § lagen om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, 1 kap. 2 § och 3 kap. 1 § lagen om behandling av uppgifter i Tullverkets verksamhet, 3 och 10 §§ lagen om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter, 9 och 18 §§ lagen om identitetskort för folkbokförda i Sverige samt genom ändringar i 1 kap. 2 § och 3 kap. 3 § i lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet. Bestämmelsen i den sistnämnda paragrafen var i promemorian placerad i en ny 3 kap. 3 a §. Bestämmelsens placering har dock ändrats på förslag av Förvaltningsrätten i Stockholm (se också avsnitt 9.5.3).
Det införs också vissa nya rubriker, med en något ändrad lydelse i förhållande till promemorians förslag.
Ny bestämmelse bör införas i lagen om det statliga personadressregistret
Som nämnts saknas i dag uttryckliga bestämmelser i lagen om det statliga personadressregistret som anger att den enskilde inte kan motsätta sig behandling av personuppgifter. Det bör i och för sig kunna hävdas att det är en rättslig förpliktelse för Skatteverket att föra SPAR och att den behandling som Skatteverket utför i verksamheten med SPAR därför sker med stöd av artikel 6.1 c i dataskyddsförordningen. Rätten att invända mot behandlingen gäller då inte. Eftersom regleringen i lagen och förordningen om det statliga personadressregistret inte fullt ut är utformad så att det tydligt framgår att Skatteverket har ålagts en sådan förpliktelse, och eftersom rätten att invända mot behandling i artikel 21 i dataskyddsförordningen blir direkt tillämplig, finns skäl att ha ett uttryckligt undantag från den rätten även när det gäller SPAR.
Ett av ändamålen med SPAR är att ta ut uppgifter om namn och adress för urvalsdragning genom direktreklam. I likhet med vad som gäller i dag bör undantaget från rätten att göra invändningar inte gälla vid behandling som sker vid urvalsdragning för direktreklam. I fråga om sådan behandling ska det således fortsatt vara möjligt att göra invändningar. Sådan behandling som myndigheten utför vid urvalsdragning i SPAR för direkt marknadsföring sker för att utföra en arbetsuppgift av allmänt intresse, dvs. den kan utföras med stöd av artikel 6.1 e, se propositionen Statlig förvaltning i medborgarnas tjänst (prop. 1997/98:136 s. 72). En rätt att invända vid sådan behandling kan således följa både av artikel 21.1 och 21.2. Eftersom den särskilda bestämmelsen vid behandling för direkt marknadsföring i artikel 21.2 ger den enskilde större rättigheter räcker det med att den bestämmelsen tillämpas vid behandling enligt SPAR-författningarna. I lagen bör därför anges att artikel 21.1 i dataskyddsförordningen om rätten att göra invändningar inte gäller vid sådan behandling som är tillåten enligt lagen eller föreskrifter som har meddelats i anslutning till lagen. Det bör samtidigt upplysas om att bestämmelser om rätten att göra invändningar mot behandling för direkt marknadsföring finns i artikel 21.2 i dataskyddsförordningen. Det införs också en rubrik till bestämmelsen. Den aktuella bestämmelsen har liksom rubriken fått en något annorlunda utformning jämfört med promemorians förslag, utan att det innebär någon ändring i sak.
Förslaget genomförs genom en ny 3 a § i lagen om det statliga personadressregistret.
9.6 Skadestånd
Regeringens bedömning: Dataskyddsförordningens och dataskyddslagens bestämmelser om skadestånd är tillämpliga vid behandling av personuppgifter som sker i strid med berörda registerlagar utom i fråga om juridiska personer och avlidna. Några särskilda bestämmelser om skadestånd behövs inte i lagarna.
Promemorians bedömning: Överensstämmer med regeringens bedömning.
Remissinstanserna: Dataskydd.net avstyrker delvis bedömningen, utan att lämna någon närmare motivering. I övrigt yttrar sig ingen remissinstans särskilt över bedömningen.
Skälen för regeringens bedömning
Nuvarande reglering
Enligt 48 § PUL gäller att den personuppgiftsansvarige ska ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med personuppgiftslagen har orsakat. Samtliga berörda registerlagar innehåller bestämmelser som innebär att personuppgiftslagens bestämmelser om skadestånd gäller när behandling sker i strid med författningarna, ibland även i strid med anslutande författningar. Sådana bestämmelser finns i 3 kap. 3 § lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet men också i lagen om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet, lagen om behandling av uppgifter i Tullverkets verksamhet, lagen om det statliga personadressregistret, lagen om identitetskort för folkbokförda i Sverige och lagen om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter.
Dataskyddsförordningens bestämmelser om skadestånd
I EU:s dataskyddsförordning finns en direkt tillämplig bestämmelse om rätt till ersättning i artikel 82. Varje person som lidit materiell eller immateriell skada till följd av en överträdelse av dataskyddsförordningen ska ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan (artikel 82.1). Av skäl 146 i dataskyddsförordningen följer att med behandling som strider mot dataskyddsförordningen avses även behandling som strider mot medlemsstaternas nationella rätt med närmare specifikation av förordningens bestämmelser.
Propositionen Ny dataskyddslag
I prop. 2017/18:105 föreslås en bestämmelse om att rätten till ersättning enligt artikel 82 i dataskyddsförordningen ska gälla vid överträdelser av bestämmelser i dataskyddslagen och andra föreskrifter som kompletterar dataskyddsförordningen (7 kap. 1 § förslaget till dataskyddslag). Regeringen konstaterar i propositionen att bestämmelsen innebär en viss utvidgning av rätten till ersättning jämfört med vad som gäller enligt dataskyddsförordningen (s. 150).
Det behövs ingen särskild lagreglering
De hänvisningar till personuppgiftslagens bestämmelser om bl.a. skadestånd som finns i berörda lagar behöver tas bort. Detta förslag behandlas i avsnitt 9.2.
Frågan är därefter om nuvarande hänvisning till personuppgiftslagens bestämmelser om skadestånd bör ersättas med en hänvisning till dataskyddsförordningens bestämmelser om skadestånd. I den föreslagna bestämmelsen i dataskyddslagen tydliggörs att rätten till ersättning enligt dataskyddsförordningen gäller även vid överträdelse av föreskrifter i de aktuella registerförfattningarna. Mot denna bakgrund behövs det inte någon hänvisning till dataskyddsförordningens bestämmelser om skadestånd i dessa lagar.
I vissa fall kan det i registerförfattningarna finnas bestämmelser som reglerar sådana företeelser som omfattas av dataskyddsförordningen, men som ger ett mer långtgående skydd för den enskilde vars personuppgifter behandlas än vad som följer av dataskyddsförordningen. Så som bestämmelserna om skadestånd är utformade gäller i dag rätten till skadestånd även vid behandling som sker i strid med bestämmelser i registerförfattningarna som ger ett starkare skydd än personuppgiftslagen. Den rätten bör enligt regeringens bedömning finnas kvar även i fortsättningen. Av skäl 146 i dataskyddsförordningen och den föreslagna bestämmelsen i 7 kap. 1 § dataskyddslagen får anses framgå att rätten till skadestånd enligt artikel 82 i dataskyddsförordningen gäller även vid behandling som strider mot bestämmelser i registerförfattningar som ger enskilda ett starkare skydd när personuppgifter om dem behandlas än vad som följer av dataskyddsförordningen. Det kan då nämligen anses vara fråga om bestämmelser som kompletterar dataskyddsförordningen på ett sådant sätt att artikel 82 i förordningen blir tillämplig.
I vissa fall har registerlagarna ett vidare tillämpningsområde än dataskyddsförordningen och dataskyddslagen. Detta gäller i de fall vissa bestämmelser i registerlagarna tillämpas även vid behandling av uppgifter om juridiska personer och avlidna. Någon rätt till skadestånd i dessa fall finns inte i dag enligt de berörda registerförfattningarna. Regeringen gör bedömningen att det inte har framkommit några skäl att ändra på detta. Rätt till skadestånd enligt registerlagarna i dessa fall bör således inte heller finnas i fortsättningen. Någon sådan rätt kommer enligt regeringens bedömning inte heller att finnas med stöd av vare sig artikel 82 i dataskyddsförordningen eller 7 kap. 1 § dataskyddslagen. Detta beror på att registerförfattningarna i dessa delar inte kan anses komplettera dataskyddsförordningen på ett sådant sätt som avses i skäl 146 och 7 kap. 1 § förslaget till dataskyddslag.
När det handlar om behandling av personuppgifter som är undantagen från dataskyddsförordningens tillämpningsområde på grund av att den utgör ett led i en verksamhet som inte omfattas av unionsrätten (artikel 2.2 a i dataskyddsförordningen) innebär 1 kap. 2 § förslaget till dataskyddslag att rätten till skadestånd ändå blir tillämplig.
Sammantaget är det regeringens bedömning att det saknas skäl att särskilt reglera i registerlagarna vad som gäller i fråga om skadestånd. Regeringen har således en annan syn än dataskydd.net, som delvis avstyrker denna bedömning.
9.7 Sanktioner
Regeringens bedömning: Dataskyddsförordningens bestämmelser om sanktioner föranleder inga ändringar i berörda lagar.
Promemorians bedömning: Överensstämmer med regeringens bedömning.
Remissinstanserna: Dataskydd.net tillstyrker bedömningen. I övrigt yttrar sig ingen remissinstans särskilt över bedömningen.
Skälen för regeringens bedömning
Nuvarande reglering
1995 års dataskyddsdirektiv överlåter enligt artikel 24 till medlemsstaterna att besluta om de sanktioner som ska användas vid överträdelse av de bestämmelser som antagits för att genomföra direktivet, vilket har skett genom 49 § PUL.
Enligt 49 § PUL döms till böter eller fängelse i högst sex månader eller, om brottet är grovt, till fängelse i högst två år den som uppsåtligen eller av grov oaktsamhet a) lämnar osann uppgift i sådan information till registrerade som föreskrivs i denna lag, i anmälan till tillsynsmyndigheten enligt 36 § eller till tillsynsmyndigheten när myndigheten begär information enligt 43 §, b) behandlar personuppgifter i strid med 13-21 §§, c) för över personuppgifter till tredje land i strid med 33-35 §§, d) låter bli att göra anmälan enligt 36 § första stycket eller enligt föreskrifter meddelade med stöd av 41 §, e) behandlar sådana personuppgifter som avses i 13 och 21 §§ i strid med 5 a § andra stycket, eller f) i strid med 5 a § andra stycket för över personuppgifter till tredje land som inte har en sådan adekvat nivå för skyddet av personuppgifterna som avses i 33 §. I ringa fall döms inte till ansvar. Vidare anges i paragrafen att den som överträtt ett vitesföreläggande enligt 44 § eller 45 § första stycket döms inte till ansvar för en gärning som omfattas av vitesföreläggandet.
De registerlagar som gäller i stället för personuppgiftslagen hänvisar till personuppgiftslagens bestämmelse om straff i 49 §, se t.ex. 1 kap. 3 § första stycket 9 lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet. För de registerförfattningar där personuppgiftslagen gäller om inte annat följer av författningen, gäller bestämmelsen direkt, då de saknar särregler om straff.
Vid sidan av straffbestämmelsen i personuppgiftslagen finns andra straffbestämmelser som också kan innebära att vissa gärningar som innefattar personuppgiftsbehandling omfattas av straffansvar, se mer nedan.
Dataskyddsförordningens krav
Genom EU:s dataskyddsförordning införs en möjlighet för tillsynsmyndigheten att ta ut en administrativ sanktionsavgift av företag eller andra som bryter mot dataskyddsregleringen. Administrativa sanktionsavgifter är således en nyhet som inte har någon motsvarighet i 1995 års dataskyddsdirektiv eller den nuvarande svenska personuppgiftsregleringen. Sanktionsavgifterna införs enligt skäl 148 för att stärka verkställigheten av förordningen. Bestämmelserna om administrativa sanktionsavgifter finns i artikel 83 i förordningen och förtydligas i skäl 148-150. Av artikel 83.1 framgår att varje tillsynsmyndighet ska säkerställa att påförande av administrativa sanktionsavgifter i enlighet med artikeln i varje enskilt fall är effektivt, proportionellt och avskräckande. I artikel 83.2 finns en detaljerad reglering av vilka faktorer som ska beaktas vid beslut om sanktionsavgifter och bestämmande av avgiftens storlek. Det stora flertalet bestämmelser i förordningen som innehåller rättigheter eller skyldigheter för bl.a. personuppgiftsansvariga och personuppgiftsbiträden omfattas av regleringen om sanktionsavgifter, vilket framgår av hänvisningar i artikel 83.4-6. För samtliga de artiklar som artikel 83 hänvisar till ska en överträdelse föranleda att sanktionsavgift påförs, om förutsättningarna i övrigt är uppfyllda enligt artikel 83.2.
Av särskild betydelse är artikel 83.7 i dataskyddsförordningen. Enligt den artikeln får varje medlemsstat fastställa regler för huruvida och i vilken utsträckning administrativa sanktionsavgifter kan påföras offentliga myndigheter och organ i medlemsstaten. Enligt artikel 84 ska medlemsstaterna fastställa regler om andra sanktioner för överträdelser av förordningen, särskilt för sådana som inte är föremål för administrativa sanktionsavgifter, på i artikeln närmare angivna villkor.
Dataskyddsutredningen och propositionen Ny dataskyddslag
Regeringen föreslår i prop. 2017/18:105 att sanktionsavgifter ska kunna tas ut även av myndigheter, med högst 5 000 000 respektive 10 000 000 kronor (6 kap. 2 § förslaget till dataskyddslag). I bestämmelsen anges för vilka överträdelser av dataskyddsförordningen som sanktionsavgift för myndigheter får tas ut. Förslaget motsvarar delvis Dataskyddsutredningens förslag, som bl.a. föreslog högre sanktionsbelopp.
Regeringen bedömer i nämnda proposition i likhet med Dataskyddsutredningen att någon straffsanktion inte bör införas för överträdelser av förordningen, och föreslår därför inte någon straffbestämmelse motsvarande den som gäller enligt personuppgiftslagen. Regeringen betonar dock att vissa beteenden som innefattar personuppgiftsbehandling redan är straffsanktionerade enligt andra bestämmelser, såsom exempelvis tjänstefel, dataintrång och förtal (s. 143 f.).
Vad gäller andra sanktioner konstaterar Dataskyddsutredningen att Datainspektionen hittills aldrig använt sig av den möjlighet att vitesförelägga som finns enligt personuppgiftslagen och bedömer att det inte finns något behov för tillsynsmyndigheten att också kunna förena sina förelägganden med vite på förordningens tillämpningsområde (SOU 2017:39 s. 294-297). I nämnda proposition gör regeringen inte någon annan bedömning. Några andra sanktioner än sanktionsavgift föreslås alltså inte. Se dock avsnitt 9.6 om skadestånd.
Det behövs inga lagändringar
I fråga om registerlagarna som gäller i stället för personuppgiftslagen föreslås, som framgår av avsnitt 9.2, de bestämmelser som anger vilka bestämmelser i personuppgiftslagen som gäller tas bort. Hänvisningen till 49 § PUL om straff i de lagar som gäller i stället för personuppgiftslagen ska således tas bort.
Som framgår av redovisningen ovan innehåller inte dataskyddsförordningen några direkt tillämpliga bestämmelser om straff och regeringens förslag till dataskyddslag innehåller inte heller några straffbestämmelser. Att det inte kommer att finnas några särskilda straffbestämmelser hänförliga till aktuell personuppgiftsbehandling innebär en ändring i sak i förhållande till dagens regler.
Av redovisningen ovan framgår vidare att det inte heller kommer att finnas några vitesbestämmelser hänförliga till dataskyddsförordningen. För de registerförfattningar där personuppgiftslagen gäller, innebär detta en ändring i sak. I fråga om de registerförfattningar som gäller i stället för personuppgiftslagen gäller dock inte i dag personuppgiftslagens bestämmelser om vite, varför detta inte innebär någon ändring i sak.
Regeringen ser inte skäl till någon annan bedömning eller annan reglering för aktuella lagar än vad som övervägs och föreslås av regeringen i prop. 2017/18:105 i detta avseende. Eftersom dataskyddslagen föreslås gälla om inte annat följer av de aktuella registerlagarna (se avsnitt 9.2), kommer 6 kap. dataskyddslagen att vara tillämpligt. Därmed kommer tillsynsmyndigheten att kunna besluta om sanktionsavgift för myndigheter som överträder dataskyddsförordningens bestämmelser. Förutom att hänvisningen till 49 § PUL tas bort, föreslås därför inga lagändringar på området.
9.8 Överklagande
Regeringens förslag: Bestämmelser om överklagande av beslut om rättelse och information m.m. i berörda registerlagar, utom i lagen om behandling av identitetskort för folkbokförda i Sverige, ska tas bort.
I lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet ska det finnas en särskild överklagandebestämmelse enligt vilken beslut om rättelse får överklagas till allmän förvaltningsdomstol. Prövningstillstånd ska även fortsättningsvis krävas vid överklagande till kammarrätten.
Promemorians förslag: Överensstämmer i huvudsak med regeringens förslag. I promemorian föreslås i den särskilda överklagandebestämmelsen i lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet en upplysningsbestämmelse om att det finns bestämmelser om överklagande i dataskyddslagen. De beslut om rättelse som ska få överklagas med stöd av nämnda lag omfattar vidare endast sådana beslut om rättelse som avses i 3 kap. 3 a § första stycket 2.
Remissinstanserna: Skatteverket och dataskydd.net tillstyrker promemorians förslag. Förvaltningsrätten i Stockholm anför att överklagandebestämmelsen i lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet i dag tillämpas på så sätt att juridiska personer ges möjlighet att överklaga beslut om rättelse enligt både 3 kap. 3 a § första stycket 1 och 2. Promemorians förslag innebär att möjligheten att överklaga beslut om rättelse enligt punkten 1 slopas för juridiska personer och detta utan motivering. I övrigt yttrar sig ingen remissinstans särskilt över förslagen.
Skälen för regeringens förslag
Nuvarande reglering
Bestämmelser om överklagande av vissa beslut som har fattats av en myndighet i egenskap av personuppgiftsansvarig finns i 52 § PUL. Där anges att en myndighets beslut om information enligt 26 §, om rättelse och underrättelse till tredje man enligt 28 §, om information enligt 29 § andra stycket och om upplysningar enligt 42 § får överklagas hos allmän förvaltningsdomstol. Andra beslut fattade av den personuppgiftsansvarige enligt personuppgiftslagen får enligt 53 § inte överklagas. Prövningstillstånd krävs vid överklagande till kammarrätten. Bestämmelsen i 52 § PUL har inte sin grund i 1995 års dataskyddsdirektiv utan i allmänna förvaltningsrättsliga principer om att beslut som direkt berör en enskild person ska kunna överklagas, se propositionen Översyn av personuppgiftslagen (prop. 2005/06:173 s. 51 f.). De registerförfattningar som gäller i stället för personuppgiftslagen innehåller egna bestämmelser om överklagande av myndigheternas beslut. Sådana bestämmelser finns t.ex. i 3 kap. 4 § lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet men också i lagen om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet och lagen om behandling av uppgifter i Tullverkets verksamhet. Bestämmelserna innebär att myndigheternas beslut om rättelse och om information som ska lämnas enligt 26 § PUL får överklagas till allmän förvaltningsdomstol. Andra beslut enligt lagarna får inte överklagas. Prövningstillstånd krävs vid överklagande till kammarrätten.
Lagen om identitetskort för folkbokförda i Sverige innehåller inte endast bestämmelser om behandling av personuppgifter, utan även om ansökan, utfärdande och återkallelse av identitetskort. Av 19 § framgår att beslut enligt lagen får överklagas till allmän förvaltningsdomstol och att det krävs prövningstillstånd vid överklagande till kammarrätten.
För de övriga registerförfattningar för vilka personuppgiftslagen gäller tillämpas överklagandebestämmelserna i personuppgiftslagen.
Dataskyddsförordningens bestämmelser, Dataskyddsutredningen och propositionen Ny dataskyddslag
Varje registrerad som anser att hans eller hennes rättigheter har åsidosatts som en följd av att hans eller hennes personuppgifter har behandlats på ett sätt som inte är förenligt med förordningen ska ha rätt till ett effektivt rättsmedel, utöver rätten att lämna in ett klagomål till en tillsynsmyndighet (artikel 79.1 i EU:s dataskyddsförordning).
Enligt Dataskyddsutredningens bedömning, som överensstämmer med den bedömning som gjordes vid genomförandet av motsvarande bestämmelse i 1995 års dataskyddsdirektiv, tillgodoses denna rättighet genom möjligheten att vid allmän domstol föra talan om skadestånd (SOU 2017:39 s. 304). I likhet med direktivet innehåller dataskyddsförordningen inte någon särskild reglering om överklagande av beslut som fattats av en myndighet i egenskap av personuppgiftsansvarig. Dataskyddsutredningen har, mot bakgrund av de allmänna förvaltningsrättsliga principer som motiverade införandet av överklagandebestämmelserna i personuppgiftslagen, föreslagit att dataskyddslagen ska innehålla en bestämmelse om överklagande (SOU 2017:39 s. 303).
Regeringen anför i prop. 2017/18:105 att när den personuppgiftsansvarige är en myndighet kan vissa beslut som meddelas till följd av en begäran av en registrerad sägas vara ett utflöde av myndighetens myndighetsutövning och att sådana beslut därför bör kunna överklagas av den registrerade (s. 151). Regeringen föreslår i 7 kap. 2 § förslaget till dataskyddslag att beslut enligt artiklarna 12.5 och 15-21 i dataskyddsförordningen som har meddelats av en myndighet i egenskap av personuppgiftsansvarig får överklagas till allmän förvaltningsdomstol. Det rör sig om beslut om avgifter m.m., tillgång till personuppgifter m.m., rättelse, radering, begränsning, underrättelse till tredje man om rättelse, radering eller begränsning, dataportabilitet och om invändningar mot behandling. Rätten att överklaga gäller dock inte beslut av regeringen, Högsta domstolen, Högsta förvaltningsdomstolen eller Riksdagens ombudsmän. Prövningstillstånd föreslås på samma sätt som i dag krävas vid överklagande till kammarrätten. Andra beslut som en personuppgiftsansvarig myndighet fattar enligt dataskyddsförordningen ska enligt 7 kap. 5 § förslaget till dataskyddslag inte få överklagas.
Vissa lagändringar bör göras
Den föreslagna dataskyddslagen kommer att gälla om inte annat följer av registerlagarna eller föreskrifter som har meddelats i anslutning till de författningarna, se avsnitt 9.2. Det innebär att under förutsättning att det inte finns avvikande bestämmelser i registerförfattningarna, kommer bestämmelserna i dataskyddslagen om överklagande av personuppgiftsansvariga myndigheters beslut att vara tillämpliga även inom registerförfattningarnas tillämpningsområde.
För de flesta av de berörda registerlagarna har inte framkommit något skäl att reglera överklagandemöjligheten på annat sätt än det som föreslås i den nya dataskyddslagen. Det saknas därför behov av särskilda bestämmelser om överklagande i dessa lagar. De bestämmelser om överklagande av beslut om rättelse och information som i dag finns i lagarna bör därför upphävas. Någon upplysning om att det finns bestämmelser om överklagande i dataskyddslagen bedöms inte heller behövas.
Överklagandebestämmelsen i lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet skiljer sig i ett avseende från övriga registerförfattningar. Bestämmelsen i 3 kap. 4 § första stycket i den lagen omfattar utöver sådana beslut om rättelse enligt 3 kap. 3 a § första stycket 1 som är överklagbara enligt förslaget till dataskyddslag, även sådana beslut om rättelse enligt 3 kap. 3 a § första stycket 2 där det är fråga om uppgifter som är missvisande i fråga om den registrerades vilja eller förmåga att uppfylla sina ekonomiska förpliktelser. För att det tydligt ska framgå att även beslut enligt punkten 2 får överklagas bör en överklagandebestämmelse finnas kvar i den lagen.
Förvaltningsrätten i Stockholm anger att överklagandebestämmelsen i dag tillämpas på så sätt att även juridiska personer ges möjlighet att överklaga beslut om rättelse enligt både punkt 1 och 2. Förvaltningsrätten anser att promemorians förslag, som enbart hänvisar till punkten 2, skulle innebära att möjligheten att överklaga beslut om rättelse enligt punkten 1 slopas för juridiska personer eftersom dessa inte omfattas av dataskyddslagens tillämpningsområde.
Regeringen anser att det fortsatt bör vara möjligt för juridiska personer att överklaga de två olika besluten om rättelse i lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet. Mot denna bakgrund bör promemorians förslag justeras så att beslut om rättelse enligt 3 kap. 3 a § första stycket får överklagas till allmän förvaltningsdomstol. Härigenom inkluderas både punkt 1 och 2.
I promemorian föreslås också att det i överklagandebestämmelsen ska upplysas om att det finns vissa bestämmelser om överklagande i dataskyddslagen. Regeringen anser dock att en sådan upplysning inte är nödvändig, då det av 1 kap. 3 § kommer att framgå att lagen kompletterar dataskyddslagen, se avsnitt 9.2.
Följande kan anges vad gäller förhållandet mellan nu aktuell överklagandebestämmelse och dataskyddslagens bestämmelser om överklagande. Fysiska personer kommer att kunna överklaga beslut om rättelse enligt 3 kap. 3 a § första stycket 1 lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet med stöd av dataskyddslagen och kommer därmed inte att behöva tillämpa nu aktuell överklagandebestämmelse i sådana fall. Juridiska personer omfattas dock inte av dataskyddslagens tillämpningsområde och kommer i stället att kunna överklaga sådana beslut med stöd av nu aktuell överklagandebestämmelse. När det gäller beslut om rättelse enligt 3 kap. 3 a § första stycket 2 kommer såväl fysiska som juridiska personer att ha rätt att överklaga dessa med stöd av nu aktuell överklagandebestämmelse. Andra stycket i överklagandebestämmelsen föreslås vara oförändrat, vilket innebär att prövningstillstånd även fortsättningsvis krävs vid överklagande till kammarrätten. Detta innebär att enligt såväl denna bestämmelse som enligt dataskyddslagen kommer överklagande att ske till allmän förvaltningsdomstol och prövningstillstånd krävas vid överklagande till kammarrätten.
Som tidigare nämnts innehåller lagen om identitetskort för folkbokförda i Sverige bestämmelser om ansökan, utfärdande och återkallelse av identitetskort. Överklagandebestämmelserna i lagen omfattar samtliga beslut som fattas med stöd av lagen. Rätten till rättelse m.m. vid behandling av personuppgifter som omfattas av lagen kommer i fortsättningen att regleras i dataskyddsförordningen. Bestämmelser om överklagande av bl.a. sådana beslut finns i dataskyddslagen. Någon ändring av överklagandebestämmelserna i lagen om behandling av identitetskort för folkbokförda i Sverige bör inte göras.
Förslagen genomförs genom att 3 kap. 4 § lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet, 3 kap. 4 § lagen om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet och 3 kap. 4 § lagen om behandling av uppgifter i Tullverkets verksamhet samt vissa rubriker upphör att gälla och genom ändringar i 3 kap. 4 § lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet.
9.9 Hänvisning till 2013 års lag
Regeringens förslag: Den bestämmelse i lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet som reglerar förhållandet mellan den lagen, personuppgiftslagen och lagen med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen ska tas bort.
Promemorians förslag: Överensstämmer med regeringens förslag.
Remissinstanserna: Skatteverket och dataskydd.net tillstyrker förslaget. I övrigt yttrar sig ingen remissinstans särskilt över förslaget.
Skälen för regeringens förslag: Lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet hänvisar till lagen (2013:329) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, här kallad 2013 års lag. I 1 kap. 3 a § lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet anges att i 2013 års lag, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av 1. en stat som är medlem i Europeiska unionen (EU), 2. Island, Norge, Schweiz eller Liechtenstein, 3. ett EU-organ, eller 4. ett EU-informationssystem. Om det i de författningar som anges i första stycket finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag och personuppgiftslagen.
I bestämmelsen hänvisas alltså till personuppgiftslagen. Eftersom den lagen kommer att upphävas behöver alla hänvisningar till den tas bort, se avsnitt 9.2. Bestämmelsen har dock också samband med de förslag som har lämnats av Utredningen om 2016 års dataskyddsdirektiv. Utredningen har haft i uppdrag att föreslå hur det nya dataskyddsdirektivet ska genomföras i svensk rätt och har i delbetänkandet Brottsdatalag föreslagit att 2013 års lag ska upphävas när brottsdatalagen träder i kraft (SOU 2017:29 s. 145 f.). I registerförfattningarna för brottsbekämpande myndigheter finns det likadana bestämmelser som den nu nämnda, som alltså anger att bestämmelserna i 2013 års lag ska tillämpas i stället för bestämmelserna i respektive författning och personuppgiftslagen. I slutbetänkandet (SOU 2017:74) har utredningen föreslagit att sådana bestämmelser ska upphöra att gälla.
Bestämmelsen i 1 kap. 3 a § lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet kommer således inte längre att fylla någon funktion. För att förslagen avseende upphävande av hänvisningar till personuppgiftslagen ska bli heltäckande och då förslag har lämnats om att upphäva 2013 års lag, föreslår regeringen att bestämmelsen upphör att gälla.
10 Automatiserade beslut
Regeringens bedömning: Dataskyddsförordningens bestämmelser om automatiserat beslutsfattande föranleder inga ändringar i berörda lagar. Bestämmelser om automatiserat beslutsfattande kan behållas.
Promemorians bedömning: Överensstämmer med regeringens bedömning.
Remissinstanserna: Datainspektionen ifrågasätter slutsatsen att artikel 22 endast avser automatiserade beslut som innefattar profilering. Dataskydd.net tillstyrker bedömningen. I övrigt yttrar sig ingen remissinstans särskilt över bedömningen.
Skälen för regeringens bedömning
Nuvarande reglering
En rätt att motsätta sig automatiskt individuellt beslutsfattande finns i artikel 15 i 1995 års dataskyddsdirektiv, som i svensk rätt har genomförts genom 29 § PUL. I 29 § första stycket PUL anges att om ett beslut som har rättsliga följder för en fysisk person eller annars har märkbara verkningar för den fysiska personen enbart grundas på automatiserad behandling av sådana personuppgifter som är avsedda att bedöma egenskaper hos personen, ska den som berörs av beslutet ha möjlighet att på begäran få beslutet omprövat av någon person. I 29 § andra stycket anges att var och en som varit föremål för ett sådant beslut som avses i första stycket har rätt att på ansökan få information från den personuppgiftsansvarige om vad som har styrt den automatiserade behandling som lett fram till beslutet.
Bestämmelsen gäller för registerförfattningarna där personuppgiftslagen gäller, men inte för de registerförfattningar som gäller i stället för personuppgiftslagen, då det i dessa inte finns någon hänvisning till bestämmelsen. Detta gäller t.ex. lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet. På området för skatt, tull och exekution förekommer automatiserat beslutsfattande, men det finns inga regler om detta i registerförfattningarna. I prop. 2000/01:33 anges följande angående frågan om det i lagarna om behandling av uppgifter i Skatteverkets beskattnings- och folkbokföringsverksamhet samt Kronofogdemyndighetens och Tullverkets verksamhet fanns skäl att hänvisa till 29 § PUL: "För att 29 § personuppgiftslagen skall vara tillämplig krävs att de uppgifter på vilka den automatiserade behandlingen grundas är sådana som är avsedda att bedöma vissa personliga egenskaper hos den som är föremål för beslutet, t.ex. arbetsprestationer, kreditvärdighet, pålitlighet och uppträdande. Beslut om taxering och betalning m.m. av skatt får i vissa fall fattas helt automatiserat. Sådana beslut kan dock inte anses vara avsedda att bedöma personliga egenskaper hos den skattskyldige. Det torde heller inte på övriga områden komma i fråga att fatta sådana beslut helt automatiserat. Något behov av att hänvisa till 29 § personuppgiftslagen finns därför inte. Det bör också framhållas att det i de lagar som reglerar förfarandet på ifrågavarande områden redan finns föreskrifter om rätt till omprövning av beslut" (s. 94).
Som exempel på författningar som innehåller uttryckliga bestämmelser om automatiserade beslut kan följande nämnas. Beslut om trängselskatt enligt lagen om trängselskatt fattas automatiskt, vilket görs antingen av Transportstyrelsen eller beskattningsmyndigheten (2 och 15 §§). Lagen innehåller också bestämmelser om bl.a. rättelse, omprövning och överklagande av beslut. Även lagen (2011:1245) om särskilda ordningar för mervärdesskatt för telekommunikationstjänster, radio och tv-sändningar och elektroniska tjänster och fastighetstaxeringslagen (1979:1152) innehåller bestämmelser om automatiserade beslut (16 § respektive 20 kap. 2 a §).
Såväl vid beslut som fattas med stöd av tullagen som skatteförfarandelagen saknas uttryckliga bestämmelser om att beslut får fattas automatiskt. Däremot anges i respektive myndighetsinstruktion att myndigheten inte ska tillämpa 21 § 3-5 i myndighetsförordningen (2007:515) om myndighetens beslut när det gäller beslut som fattas genom automatiserad behandling, se 22 § förordningen (2016:1332) med instruktion för Tullverket och 39 § förordningen (2017:154) med instruktion för Skatteverket. Enligt 21 § 3-5 myndighetsförordningen ska för varje beslut i ett ärende visas vem som fattat beslut, varit föredragande och varit med i den slutliga handläggningen utan att delta i avgörandet. Samma ordning gäller för Kronofogdemyndigheten enligt förordningen (2016:1333) med instruktion för Kronofogdemyndigheten (22 §).
I förvaltningslagen (2017:900) som träder i kraft den 1 juli 2018 finns en bestämmelse som uttryckligen tillåter automatiserat beslutsfattande. Ett beslut kan fattas av en befattningshavare ensam eller av flera gemensamt eller automatiserat (28 § första stycket). Regeringen anför i propositionen En modern och rättssäker förvaltning - ny förvaltningslag att det finns anledning att i lagen tydliggöra att förvaltningsbeslut kan fattas på automatiserad väg. Regeringen konstaterar att automatiseringen av beslut under senare år har kommit att bli en allt vanligare företeelse inom delar av den förvaltning som hanterar ett mycket stort antal ärenden årligen, t.ex. i Försäkringskassans verksamhet. Genom att det i lagen slås fast att beslut kan fattas automatiserat tydliggörs att det inte behövs en reglering i en specialförfattning för att en myndighet ska kunna använda denna beslutsform (prop. 2016/17:180 s. 179).
Dataskyddsförordningens bestämmelser om automatiserade beslut
Huvudregeln enligt artikel 22.1 i EU:s dataskyddsförordning är att den registrerade ska ha rätt att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, inbegripet profilering, vilket har rättsliga följder för honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne. I artikeln föreskrivs undantagssituationer och villkor för sådant förfarande. Enligt artikel 22.2 b ska punkt 1 inte tillämpas om beslutet tillåts enligt unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av och som fastställer lämpliga åtgärder till skydd för den registrerades rättigheter, friheter och berättigade intressen. Beslut får enligt artikel 22.4 inte grunda sig på känsliga personuppgifter såvida inte artikel 9.2 a (samtycke) eller g (viktigt allmänt intresse) gäller och lämpliga åtgärder som ska skydda den registrerades berättigade intressen har vidtagits. Artikel 22 är direkt tillämplig i medlemsstaterna men med stöd av artikel 23 är det möjligt att i nationell rätt begränsa tillämpningsområdet för artikeln.
I artikel 4.4 i dataskyddsförordningen finns en definition av profilering, nämligen "varje form av automatisk behandling av personuppgifter som består i att dessa personuppgifter används för att bedöma vissa personliga egenskaper hos en fysisk person, i synnerhet för att analysera eller förutsäga denna fysiska persons arbetsprestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet, beteende, vistelseort eller förflyttningar".
I skäl 71 i dataskyddsförordningen utvecklas frågan om automatiserat beslutsfattande. Där framgår att den registrerade bör ha rätt att inte bli föremål för ett beslut, vilket kan inbegripa en åtgärd, med bedömning av personliga aspekter rörande honom eller henne, vilket enbart grundas på automatiserad behandling och medför rättsverkan för honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne, såsom ett automatiserat avslag på en kreditansökan online eller e-rekrytering utan personlig kontakt. Vidare framgår att sådan behandling omfattar "profilering" i form av automatisk behandling av personuppgifter med bedömning av personliga aspekter rörande en fysisk person, särskilt för att analysera eller förutse aspekter avseende den registrerades arbetsprestation, ekonomiska situation, hälsa, personliga preferenser eller intressen, pålitlighet eller beteende, vistelseort eller förflyttningar, i den mån dessa har rättsverkan rörande honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne. Beslutsfattande grundat på sådan behandling, inbegripet profilering, bör dock, enligt skäl 71, tillåtas när det uttryckligen beviljas genom unionsrätten eller medlemsstaternas nationella rätt som den personuppgiftsansvarige omfattas av, inbegripet för sådan övervakning och sådant förebyggande av bedrägerier och skatteundandragande som genomförs i enlighet med unionsinstitutionernas eller de nationella tillsynsorganens bestämmelser, standarder och rekommendationer samt för att sörja för tillförlitlighet hos en tjänst som tillhandahålls av den personuppgiftsansvarige, eller när det krävs för ingående eller genomförande av ett avtal mellan den registrerade och en personuppgiftsansvarig eller den registrerade har gett sitt uttryckliga samtycke. Denna form av uppgiftsbehandling bör, enligt samma skäl, under alla omständigheter omgärdas av lämpliga skyddsåtgärder, som bör inkludera specifik information till den registrerade och rätt till mänskligt ingripande, att framföra sina synpunkter, att erhålla en förklaring till det beslut som fattas efter sådan bedömning och att överklaga beslutet.
Dataskyddsutredningen och propositionen Ny dataskyddslag
Dataskyddsutredningen har inga förslag eller närmare överväganden om automatiskt beslutsfattande. Detsamma gäller prop. 2017/18:105.
Det behövs inga lagändringar
Som framgår av beskrivningen ovan finns i dag dataskyddsreglering om automatiserade beslut som i viss utsträckning gäller i verksamhet hos nu aktuella myndigheter, nämligen genom att 29 § PUL är tillämplig för vissa registerförfattningar. Då det inte finns några hänvisningar till bestämmelsen behövs inga justeringar i lag på grund av att personuppgiftslagen kommer att upphävas.
Som framgår av förarbetsuttalandena ovan ansågs en hänvisning till 29 § PUL inte behöva införas i registerförfattningarna på området för skatt, tull och exekution då de helt automatiserade besluten som förekom inte kunde anses vara avsedda att bedöma personliga egenskaper hos den skattskyldige. Mot den bakgrunden finns det, vid bedömningen av dataskyddsförordningens bestämmelser om automatiserat beslutsfattande, skäl att överväga om det finns någon skillnad mellan 1995 års dataskyddsdirektivs och dataskyddsförordningens bestämmelse när det gäller vilket slag av beslutsfattande som avses.
Det kan konstateras att artikel 22 till sin ordalydelse kan tolkas på olika sätt. Bestämmelsen kan läsas så att den är generellt tillämplig på automatiserade beslut. Formuleringen "inbegripet profilering" skulle då endast vara en upplysning om att bestämmelsen även omfattar profilering. Artikel 22 kan dock även läsas så att den automatiserade behandlingen måste omfatta profilering enligt definitionen i artikel 4.4 för att bestämmelsen ska bli tillämplig.
Det kan också konstateras att skäl 71 endast tycks behandla profilering och att skäl 73, vid uppräkningen av rättigheter som kan begränsas enligt artikel 23, endast omnämner "profileringsbaserade beslut". Detta får anses tala mot att artikel 22 är tillämplig även när profilering inte inbegrips i behandlingen av personuppgifter.
Det anförda talar för att avsikten med artikel 22 i dataskyddsförordningen är att endast omfatta automatiserade beslut som innefattar profilering. Någon säker slutsats kan dock i avsaknad av praxis inte dras i denna fråga.
Även om en annan tolkning av artikel 22.1 i dataskyddsförordningen skulle göras, dvs. att bestämmelsen också omfattar automatiserat beslutsfattande som inte är profilering, så som Datainspektionen anser, kan det emellertid konstateras att automatiserat beslutsfattande generellt är tillåtet för svenska myndigheter, vilket kommer till uttryck bl.a. i ovan nämnda nya förvaltningslag (28 §). Utöver de allmänna kraven på legalitet, objektivitet och proportionalitet säkerställs rätten till insyn, krav på kommunikation liksom möjligheten till ändring och rättelse av beslut samt rätten att överklaga beslut som kan antas påverka någons situation på ett inte obetydligt sätt. Genom den förvaltningsrättsliga regleringen är beslutsfattandet omgärdat av sådana skyddsåtgärder (lämpliga åtgärder till skydd för den registrerades rättigheter, friheter och berättigade intressen) som anges i artikel 22.2 b.
Skulle artikel 22 bedömas vara tillämplig också på annat automatiskt beslutsfattande än profilering finns det också på nu aktuellt område även annat författningsstöd än förvaltningslagen, direkt eller indirekt, för detta beslutsfattande, vilket framgår av beskrivningen ovan. Det finns också möjlighet till omprövning eller överklagande av besluten. Besluten fattas inte på grundval av känsliga personuppgifter (jfr artikel 22.4). För det fall det ändå skulle förekomma beslut som grundar sig på känsliga personuppgifter måste det anses utgöra ett sådant viktigt allmänt intresse som omnämns i artikel 22.4 att aktuella myndigheter kan bedriva sin verksamhet på ett korrekt, rättssäkert och effektivt sätt (jfr prop. 2017/18:105 s. 83). Artikel 22.4 uppställer även krav på att lämpliga åtgärder som ska skydda den registrerades berättigade intressen har vidtagits. Detta är ett krav som får anses rikta sig direkt till den personuppgiftsansvarige och förutsätter således inte i sig några nationella lagstiftningsåtgärder.
Bedömningen innebär att det inte finns skäl för några justeringar i aktuella lagar med hänvisning till artikel 22 i dataskyddsförordningen. Det har inte heller framkommit andra skäl till ändring av bestämmelserna eller möjligheterna till automatiskt beslutsfattande.
11 Ikraftträdande- och övergångsbestämmelser
Regeringens förslag: Lagändringarna ska träda i kraft den 25 maj 2018. För de lagar som i dag gäller i stället för personuppgiftslagen ska det införas övergångsbestämmelser som innebär att äldre föreskrifter om straff gäller för överträdelser som har skett före ikraftträdandet.
Promemorians förslag: Överensstämmer med regeringens förslag.
Remissinstanserna: Skatteverket tillstyrker förslagen. I övrigt invänder ingen remissinstans mot förslagen.
Skälen för regeringens förslag
Dataskyddsförordningens krav
Av artikel 99.1 i EU:s dataskyddsförordning följer att förordningen träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning, vilket skedde den 4 maj 2016. Av artikel 99.2 följer att förordningen ska tillämpas från och med den 25 maj 2018. I artikel 94 anges vidare att 1995 års dataskyddsdirektiv ska upphöra att gälla med verkan från och med den 25 maj 2018 och att hänvisningar till det upphävda direktivet ska anses som hänvisningar till förordningen.
Propositionen Ny dataskyddslag
Dataskyddslagen föreslås träda i kraft den 25 maj 2018 och personuppgiftslagen föreslås därigenom upphävas (se prop. 2017/18:105). Personuppgiftslagen föreslås dock fortfarande gälla i den utsträckning som det i en annan lag eller en förordning finns bestämmelser som innehåller hänvisningar till den.
Vidare föreslås bl.a. att bestämmelsen i 49 § PUL fortfarande ska gälla för överträdelser som har skett före ikraftträdandet. Vad gäller den övergångsbestämmelsen anger regeringen att eftersom förslaget innebär att den straffrättsliga regleringen upphävs och i praktiken ersätts med sanktionsavgifter, uppkommer frågan om vad som ska gälla för straffbelagda gärningar som har begåtts vid behandling som upphört före den 25 maj 2018 men där överträdelsen inte har lagförts innan de nya reglerna ska börja tillämpas. Regeringen resonerar där kring frågan om den lindrigaste lagens princip är tillämplig i dessa fall eller inte. Huvudsyftet med dataskyddsförordningens och dataskyddslagens system med kraftfulla sanktionsavgifter är framför allt att effektivisera sanktionssystemet. Att överträdelser mot dataskyddsregleringen föreslås avkriminaliseras ska inte ses som ett uttryck för att överträdelserna ska bedömas lindrigare än tidigare. Regeringen anser därför att lindrigaste lagens princip inte gör sig särskilt starkt gällande i detta fall, varför det inte finns skäl att låta systemet med sanktionsavgifter få retroaktiv effekt. Personuppgiftslagens straffbestämmelse bör i stället tillämpas på överträdelser som har skett före dataskyddslagens ikraftträdande (s. 176 f.).
Ändringarna bör träda i kraft den 25 maj 2018
Ändringarna bör träda i kraft samtidigt som dataskyddsförordningen börjar tillämpas och dataskyddslagen föreslås träda i kraft. Regeringen föreslår därför att ändringarna ska träda i kraft den 25 maj 2018.
En övergångsbestämmelse bör införas
Vad gäller frågan om skada som har inträffat och överträdelser som har skett före ikraftträdandet kan följande lyftas fram. När det gäller skadestånd bör äldre bestämmelser gälla, dvs. om skadan har orsakats före den 25 maj 2018. Att så är fallet följer av allmänna rättsgrundsatser, varför det inte finns något egentligt behov av övergångsbestämmelser i det avseendet (se prop. 1972:5 s. 593 och prop. 2017/18:105 s. 176). Några sådana övergångsbestämmelser föreslås därför inte för nu aktuella författningar.
När det gäller straffbestämmelsen i 49 § PUL är den direkt tillämplig för de registerförfattningar där personuppgiftslagen gäller. För de lagar som gäller i stället för personuppgiftslagen gäller straffbestämmelsen genom att den pekas ut i respektive författning. Regeringen föreslår som framgår ovan i dataskyddslagen en övergångsbestämmelse om att personuppgiftslagens straffbestämmelse fortfarande ska gälla för överträdelser som skett före dataskyddslagens ikraftträdande. Äldre föreskrifter om straff bör på samma grunder gälla även för nu aktuella lagar. För att säkerställa att detta kommer att gälla även för de lagar som gäller i stället för personuppgiftslagen, föreslås en övergångsbestämmelse om att äldre föreskrifter om straff fortfarande ska gälla för överträdelser som har skett före ikraftträdandet.
Några andra övergångsbestämmelser bedöms inte behövas.
12 Konsekvenser
Regeringens bedömning: Förslagen medför att lagar som reglerar Skatteverkets, Tullverkets och Kronofogdemyndighetens personuppgiftsbehandling anpassas till EU:s dataskyddsförordning, med beaktande av myndigheternas behov. De ekonomiska konsekvenserna för myndigheterna är ytterst begränsade. Eventuella kostnader ryms inom myndigheternas befintliga ekonomiska ramar.
Förslagen medför inte några offentligfinansiella effekter.
Promemorians bedömning: Överensstämmer med regeringens bedömning.
Remissinstanserna: Ingen remissinstans yttrar sig särskilt över bedömningen. Regelrådet avstår från att yttra sig.
Skälen för regeringens bedömning
Dataskyddsreformen innebär bl.a. att EU:s dataskyddsförordning kommer att ersätta personuppgiftslagen. Vidare avses en generell lag på nationell nivå komplettera dataskyddsförordningen, dataskyddslagen (se prop. 2017/18:105). I denna proposition föreslås vissa specifika anpassningar av lagstiftning på området för skatt, tull och exekution som bedöms nödvändiga eller lämpliga som en följd av ovan nämnda reglering, samt vissa mindre justeringar som inte har direkt samband med dataskyddsreformen.
De flesta förslagen är rena följder av eller anpassningar till dataskyddsförordningen och till att personuppgiftslagen upphävs. Det gäller t.ex. slopade hänvisningar till personuppgiftslagen eller slopade bestämmelser avseende sådant som regleras direkt i dataskyddsförordningen eller i den föreslagna dataskyddslagen, och att hänvisningar görs till dataskyddsförordningens definition av känsliga personuppgifter i stället för till personuppgiftslagens. Dessa förslag, och de förslag som anger författningarnas förhållande till dataskyddsförordningen och dataskyddslagen, bidrar till att minska eventuell dubbelreglering och klargör de olika regleringarnas förhållande till varandra. Andra förslag medför inte någon ändring i förhållande till dagens reglering, t.ex. justeringar i bestämmelser om att rätten att göra invändningar mot behandling inte ska gälla.
I propositionen bedöms att särskilda lagbestämmelser som innebär avsteg från eller specificeringar av dataskyddsförordningens eller dataskyddslagens bestämmelser och som är anpassade efter de särskilda behov som Skatteverket, Tullverket eller Kronofogdemyndigheten har kan behållas, t.ex. bestämmelser om tillåtna ändamål och när det är tillåtet att behandla vissa kategorier av personuppgifter. Genom sådana särbestämmelser säkerställs att myndigheterna har lämpliga verktyg för den personuppgiftsbehandling som deras verksamhet kräver och som den nya dataskyddsregleringen tillåter.
De förslag som inte har direkt samband med dataskyddsreformen är t.ex. att vissa bestämmelser flyttas eller formuleras om, såsom att s.k. primära och sekundära ändamålsbestämmelser förtydligas. Detta medför att regleringen blir enklare att tillämpa.
De ekonomiska konsekvenserna av de i denna proposition föreslagna ändringarna bedöms bli ytterst begränsade. Ändringarna bedöms inte medföra några nämnvärda kostnader för myndigheterna t.ex. i form av IT-utveckling eller liknande. Som framgår ovan utgörs den stora förändringen av den nya regleringen på EU-nivå, som är direkt tillämplig. De omställningar och anpassningar av verksamheten som myndigheterna kan behöva genomgå orsakas således till allra största delen av annan reglering än de förslag som läggs fram i denna proposition. Skulle förslagen i denna proposition medföra vissa kostnader, bedöms dessa kunna hanteras inom myndigheternas befintliga ekonomiska ramar.
Förslagen bedöms inte medföra några offentligfinansiella effekter eller samhällsekonomiska konsekvenser. Förslagen bedöms inte heller ha någon påverkan på vare sig jämställdheten mellan kvinnor och män eller möjligheten att nå de integrationspolitiska målen. Förslagen bedöms inte ha några sociala eller miljömässiga konsekvenser.
13 Författningskommentar
13.1 Förslaget till lag om ändring i lagen (1998:527) om det statliga personadressregistret
2 §
Paragrafen har fått ett nytt innehåll och klargör lagens förhållande till Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), i lagen benämnd EU:s dataskyddsförordning, och lagen med kompletterande bestämmelser till EU:s dataskyddsförordning (2018:000), kallad dataskyddslagen.
I första stycket upplyses om att lagen innehåller bestämmelser som kompletterar dataskyddsförordningen. Dataskyddsförordningen är den huvudsakliga rättsakten på området för personuppgiftsbehandling och är direkt tillämplig. Denna lag utgör således ett komplement till dataskyddsförordningen. Dataskyddsförordningen både möjliggör och förutsätter nationell reglering, vilket finns i bl.a. denna lag.
Genom andra stycket klargörs att även dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller vid behandling av personuppgifter enligt denna lag, om inte annat följer av lagen eller föreskrifter som har meddelats i anslutning till lagen. Lagen utgör således ett komplement till dataskyddslagen. Till skillnad från dataskyddsförordningen är dataskyddslagen dock subsidiär, och dataskyddslagens bestämmelser gäller endast om denna lag eller tillhörande föreskrifter inte innehåller några avvikande bestämmelser.
Hänvisningarna i lagen till dataskyddsförordningen avser förordningen i den vid varje tidpunkt gällande lydelsen, en s.k. dynamisk hänvisning.
Den nya utformningen innebär också att hänvisningarna till personuppgiftslagen (1998:204) har tagits bort.
Övervägandena finns i avsnitt 9.2.
3 a §
I paragrafen, som är ny, görs i första stycket ett undantag från den rätt att invända mot behandling av personuppgifter som följer av artikel 21.1 i dataskyddsförordningen. Undantaget utgör en sådan begränsning i den nationella rätten som är tillåten enligt artikel 23 i dataskyddsförordningen. Vid sådan behandling av personuppgifter som är tillåten enligt lagen eller föreskrifter som har meddelats i anslutning till den gäller inte rätten att göra invändningar enligt artikel 21.1.
I artikel 21.2 i dataskyddsförordningen ges en rätt för den registrerade att invända mot behandling av personuppgifter för direkt marknadsföring. Den rätten gäller vid sådan behandling som omfattas av lagen. I andra stycket ges en upplysning om att en sådan rätt finns i artikel 21.2 i dataskyddsförordningen.
Övervägandena finns i avsnitt 9.5.4.
Ikraftträdandebestämmelse
Bestämmelsen behandlas i avsnitt 11.
13.2 Förslaget till lag om ändring i lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet
1 kap.
2 §
Paragrafen har fått ett nytt innehåll och klargör lagens förhållande till Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), i lagen benämnd EU:s dataskyddsförordning.
I paragrafen upplyses om att lagen innehåller bestämmelser som kompletterar dataskyddsförordningen. Dataskyddsförordningen är den huvudsakliga rättsakten på området för personuppgiftsbehandling och är direkt tillämplig. Denna lag utgör således ett komplement till dataskyddsförordningen. Dataskyddsförordningen både möjliggör och förutsätter nationell reglering, vilket finns i bl.a. denna lag.
Hänvisningarna i lagen till dataskyddsförordningen avser förordningen i den vid varje tidpunkt gällande lydelsen, en s.k. dynamisk hänvisning.
Den nya utformningen innebär också att hänvisningarna till personuppgiftslagen (1998:204), PUL, har tagits bort. Vidare har bestämmelsen i andra stycket utgått och en liknande bestämmelse införts i 3 kap. 3 §, se kommentaren till den bestämmelsen.
Övervägandena finns i avsnitt 9.2.
3 §
Paragrafen har fått ett nytt innehåll och klargör lagens förhållande till lagen med kompletterande bestämmelser till EU:s dataskyddsförordning (2018:000), kallad dataskyddslagen.
Genom paragrafen klargörs att även dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller vid behandling av personuppgifter enligt denna lag, om inte annat följer av lagen eller föreskrifter som har meddelats i anslutning till lagen. Denna lag utgör således ett komplement till dataskyddslagen. Till skillnad från dataskyddsförordningen är dataskyddslagen dock subsidiär, och dataskyddslagens bestämmelser gäller endast om denna lag eller tillhörande föreskrifter inte innehåller några avvikande bestämmelser.
Den nya utformningen innebär också att hänvisningarna till personuppgiftslagen har tagits bort.
Övervägandena finns i avsnitt 9.2.
4 §
Paragrafen reglerar ändamål för vilka personuppgifter får behandlas enligt lagen. Paragrafen har ändrats genom att bestämmelsen i andra stycket, som rör behandling av uppgifter för tillhandahållande av information som behövs i Skatteverkets brottsbekämpande verksamhet, har flyttats till 5 §. Ändringen innebär att paragrafen endast omfattar ändamål som avser sådan verksamhet inom Skatteverket som omfattas av lagens tillämpningsområde och för vilka uppgifter får samlas in i verksamheten, s.k. primära ändamål. De sekundära ändamålen har samlats i 5 § (se kommentaren till den paragrafen).
I inledningen av paragrafen i dess nya lydelse har vissa redaktionella ändringar gjorts.
Övervägandena finns i avsnitt 9.3.
5 §
I paragrafen finns bestämmelser om s.k. sekundära ändamål. De sekundära ändamålen reglerar i vilken utsträckning personuppgifter, som myndigheten har samlat in för ett primärt ändamål, får behandlas för att lämnas ut till annan verksamhet inom den egna myndigheten, till enskilda eller till andra myndigheter för att tillgodose deras behov.
Paragrafen har fått en ny struktur och delvis nytt innehåll. Genom ändringarna i paragrafens inledning klargörs att det endast är sådana uppgifter som redan behandlas med stöd av 4 § som får behandlas för de sekundära ändamålen i paragrafen. Uppgifter får alltså inte samlas in för att behandlas endast för de ändamål som anges i paragrafen.
I den nya första punkten återges de nuvarande bestämmelserna om tillhandahållande av information som behövs i författningsreglerad verksamhet hos någon annan än Skatteverket.
Till den nya andra punkten har bestämmelsen om behandling av uppgifter för tillhandahållande av information som behövs i Skatteverkets brottsbekämpande verksamhet flyttats. Den fanns tidigare i 4 § andra stycket (se kommentaren till den paragrafen). Ändringen medför att de sekundära ändamålen samlas i en paragraf. En redaktionell ändring har också gjorts.
Den nya tredje punkten motsvarar till stor del det tidigare andra stycket. Genom ändringarna klargörs att uppgifter får behandlas för att tillhandahålla information inte bara i de fall det finns en skyldighet att lämna ut uppgifter, utan även i andra fall då det finns en bestämmelse i lag eller förordning som tillåter uppgiftslämnande.
Av den nya fjärde punkten framgår att behandling får ske även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med insamlingsändamålen (den s.k. finalitetsprincipen). Bestämmelsen är utformad i nära anslutning till artikel 5.1 b i dataskyddsförordningen och bör tolkas på samma sätt. Detta innebär bl.a. att behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i förordningen inte ska anses vara oförenlig med insamlingsändamålen. Det innebär också att de omständigheter som anges i artikel 6.4 a-e i förordningen ska beaktas vid bedömningen om behandlingen är förenlig med insamlingsändamålen.
Övervägandena finns i avsnitt 9.3.
7 §
I första stycket har hänvisningen till personuppgiftslagens definition av känsliga personuppgifter ersatts med dataskyddsförordningens definition. Bestämmelsens inledning har också fått en något annorlunda utformning. Eftersom dataskyddsförordningens definition är något vidare än personuppgiftslagens, innebär ändringen att något fler kategorier av uppgifter kringgärdas av restriktioner för behandling av personuppgifter. Hänvisningen till personuppgiftslagens definition av lagöverträdelser m.m. har ersatts med en uppräkning av de lagöverträdelser m.m. som motsvarar personuppgiftslagens definition. Den senare ändringen innebär ingen ändring i sak.
Övervägandena finns i avsnitt 9.4.
2 kap.
14 §
I paragrafen, som behandlar möjligheten för Skatteverket att ta ut avgifter för att lämna ut uppgifter ur beskattningsdatabasen, har andra stycket fått en ny struktur och en ny andra punkt. I den nya andra punkten upplyses om att rätten att ta ut avgifter inte innebär någon inskränkning i den registrerades rätt till kostnadsfri information och kommunikation m.m. enligt artikel 12.5 i dataskyddsförordningen.
Övervägandena finns i avsnitt 9.5.2.
3 kap.
2 a §
I paragrafen görs undantag från vissa av den registrerades rättigheter och den personuppgiftsansvariges skyldigheter när personuppgifter behandlas på grund av samarbete enligt lagen (2012:843) om administrativt samarbete inom Europeiska unionen i fråga om beskattning. Undantagen utgör en sådan begränsning i den nationella rätten som är tillåten enligt artikel 23 i dataskyddsförordningen. Hänvisningarna till 23, 25, 26, 28 och 42 §§ PUL har ersatts med hänvisningar till artiklarna 13 och 15-19 i dataskyddsförordningen. I stället för att hänvisa till intressen som anges i 8 a § f PUL har det skrivits ut i paragrafen att de aktuella artiklarna inte ska tillämpas om sådana begränsningar är nödvändiga med hänsyn till ett viktigt ekonomiskt eller finansiellt intresse hos Europeiska unionen eller en stat som ingår i unionen.
Övervägandena finns i avsnitt 9.5.2 och 9.5.3.
3 §
I paragrafen, som är ny, görs ett undantag från den rätt att invända mot behandling av personuppgifter som följer av artikel 21.1 i dataskyddsförordningen. Undantaget utgör en sådan begränsning i den nationella rätten som är tillåten enligt artikel 23 i dataskyddsförordningen. Vid sådan behandling av personuppgifter som är tillåten enligt lagen eller föreskrifter som har meddelats i anslutning till den gäller inte rätten att göra invändningar enligt artikel 21.1. Bestämmelsen har flyttats från 1 kap. 2 § andra stycket och har anpassats till regleringen i dataskyddsförordningen genom en ny lydelse.
Övervägandena finns i avsnitt 9.5.4.
Ikraftträdande- och övergångsbestämmelser
Bestämmelserna behandlas i avsnitt 11.
13.3 Förslaget till lag om ändring i lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet
1 kap.
2 §
Paragrafen har fått ett nytt innehåll och klargör lagens förhållande till Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), i lagen benämnd EU:s dataskyddsförordning.
I paragrafen upplyses om att lagen innehåller bestämmelser som kompletterar dataskyddsförordningen. Dataskyddsförordningen är den huvudsakliga rättsakten på området för personuppgiftsbehandling och är direkt tillämplig. Denna lag utgör således ett komplement till dataskyddsförordningen. Dataskyddsförordningen både möjliggör och förutsätter nationell reglering, vilket finns i bl.a. denna lag.
Hänvisningarna i lagen till dataskyddsförordningen avser förordningen i den vid varje tidpunkt gällande lydelsen, en s.k. dynamisk hänvisning.
Den nya utformningen innebär också att hänvisningarna till person-uppgiftslagen (1998:204), PUL, har tagits bort. Vidare har bestämmelsen i andra stycket utgått och en liknande bestämmelse införts i 3 kap. 1 §, se kommentaren till den bestämmelsen.
Övervägandena finns i avsnitt 9.2.
3 §
Paragrafen har fått ett nytt innehåll och klargör lagens förhållande till lagen med kompletterande bestämmelser till EU:s dataskyddsförordning (2018:000), kallad dataskyddslagen.
Genom paragrafen klargörs att även dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller vid behandling av personuppgifter enligt denna lag, om inte annat följer av lagen eller föreskrifter som har meddelats i anslutning till lagen. Denna lag utgör således ett komplement till dataskyddslagen. Till skillnad från dataskyddsförordningen är dataskyddslagen dock subsidiär, och dataskyddslagens bestämmelser gäller endast om denna lag eller tillhörande föreskrifter inte innehåller några avvikande bestämmelser.
Den nya utformningen innebär också att hänvisningarna till person-uppgiftslagen har tagits bort.
Övervägandena finns i avsnitt 9.2.
4 §
I paragrafen regleras de ändamål för vilka personuppgifter får behandlas enligt lagen.
I andra stycket klargörs att uppgifter får behandlas för att tillhandahålla information inte bara i de fall det finns en skyldighet att lämna ut uppgifter, utan även i andra fall då det finns en bestämmelse i lag eller förordning som tillåter uppgiftslämnande. Av andra stycket framgår också att behandling får ske även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med insamlingsändamålen (den s.k. finalitetsprincipen). Den sistnämnda bestämmelsen är utformad i nära anslutning till artikel 5.1 b i dataskyddsförordningen och bör tolkas på samma sätt. Detta innebär bl.a. att behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i förordningen inte ska anses vara oförenlig med insamlingsändamålen. Det innebär också att de omständigheter som anges i artikel 6.4 a-e i förordningen ska beaktas vid bedömningen om behandlingen är förenlig med insamlingsändamålen.
Övervägandena finns i avsnitt 9.3.
6 §
I första stycket har hänvisningen till personuppgiftslagens definition av känsliga personuppgifter ersatts med dataskyddsförordningens definition. Bestämmelsens inledning har också fått en något annorlunda utformning. Eftersom dataskyddsförordningens definition är något vidare än personuppgiftslagens, innebär ändringen att något fler kategorier av uppgifter kringgärdas av restriktioner för behandling av personuppgifter. Hänvisningen till personuppgiftslagens definition av lagöverträdelser m.m. har ersatts med en uppräkning av de lagöverträdelser m.m. som motsvarar personuppgiftslagens definition. Den senare ändringen innebär ingen ändring i sak.
Övervägandena finns i avsnitt 9.4.
2 kap.
12 §
I paragrafen, som behandlar möjligheten för Skatteverket att ta ut avgifter för att lämna ut uppgifter ur folkbokföringsdatabasen, har andra stycket fått en ny struktur och en ny andra punkt. I den nya andra punkten upplyses om att rätten att ta ut avgifter inte innebär någon inskränkning i den registrerades rätt till kostnadsfri information och kommunikation m.m. enligt artikel 12.5 i dataskyddsförordningen.
Övervägandena finns i avsnitt 9.5.2.
3 kap.
1 §
I paragrafen, som är ny, görs ett undantag från den rätt att invända mot behandling av personuppgifter som följer av artikel 21.1 i dataskyddsförordningen. Undantaget utgör en sådan begränsning i den nationella rätten som är tillåten enligt artikel 23 i dataskyddsförordningen. Vid sådan behandling av personuppgifter som är tillåten enligt lagen eller föreskrifter som har meddelats i anslutning till den gäller inte rätten att göra invändningar enligt artikel 21.1. Bestämmelsen har flyttats från 1 kap. 2 § andra stycket och har anpassats till regleringen i dataskyddsförordningen genom en ny lydelse.
Övervägandena finns i avsnitt 9.5.4.
Ikraftträdande- och övergångsbestämmelser
Bestämmelserna behandlas i avsnitt 11.
13.4 Förslaget till lag om ändring i lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet
1 kap.
2 §
Paragrafen har fått ett nytt innehåll och klargör lagens förhållande till Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), i lagen benämnd EU:s dataskyddsförordning.
I paragrafen upplyses om att lagen innehåller bestämmelser som kompletterar dataskyddsförordningen. Dataskyddsförordningen är den huvudsakliga rättsakten på området för personuppgiftsbehandling och är direkt tillämplig. Denna lag utgör således ett komplement till dataskyddsförordningen. Dataskyddsförordningen både möjliggör och förutsätter nationell reglering, vilket finns i bl.a. denna lag.
Hänvisningarna i lagen till dataskyddsförordningen avser förordningen i den vid varje tidpunkt gällande lydelsen, en s.k. dynamisk hänvisning.
Den nya utformningen innebär också att hänvisningarna till personuppgiftslagen (1998:204), PUL, har tagits bort. Vidare har bestämmelsen i andra stycket utgått och en liknande bestämmelse införts i 3 kap. 3 §, se kommentaren till den bestämmelsen.
Övervägandena finns i avsnitt 9.2.
3 §
Paragrafen har fått ett nytt innehåll och klargör lagens förhållande till lagen med kompletterande bestämmelser till EU:s dataskyddsförordning (2018:000), kallad dataskyddslagen.
Genom paragrafen klargörs att även dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller vid behandling av personuppgifter enligt denna lag, om inte annat följer av lagen eller föreskrifter som har meddelats i anslutning till lagen. Denna lag utgör således ett komplement till dataskyddslagen. Till skillnad från dataskyddsförordningen är dataskyddslagen dock subsidiär, och dataskyddslagens bestämmelser gäller endast om denna lag eller tillhörande föreskrifter inte innehåller några avvikande bestämmelser.
Den nya utformningen innebär också att hänvisningarna till personuppgiftslagen har tagits bort.
Övervägandena finns i avsnitt 9.2.
6 §
I första stycket har hänvisningen till personuppgiftslagens definition av känsliga personuppgifter ersatts med dataskyddsförordningens definition. Bestämmelsens inledning har också fått en något annorlunda utformning. Eftersom dataskyddsförordningens definition är något vidare än personuppgiftslagens, innebär ändringen att något fler kategorier av uppgifter kringgärdas av restriktioner för behandling av personuppgifter. Hänvisningen till personuppgiftslagens definition av lagöverträdelser m.m. har ersatts med en uppräkning av de lagöverträdelser m.m. som motsvarar personuppgiftslagens definition. Den senare ändringen innebär ingen ändring i sak.
Övervägandena finns i avsnitt 9.4.
2 kap.
2 §
I paragrafen regleras de ändamål för vilka personuppgifter får behandlas i utsöknings- och indrivningsdatabasen. Paragrafen har ändrats genom att bestämmelsen i andra stycket, som rör behandling av uppgifter för tillhandahållande av information som behövs i Kronofogdemyndighetens verksamhet för handläggning av ärenden om skuldsanering och F-skuldsanering, har flyttats till 3 §. Ändringen innebär att paragrafen endast omfattar de s.k. primära ändamålen, för vilka uppgifter får föras in i utsöknings- och indrivningsdatabasen. De sekundära ändamålen har samlats i 3 § (se kommentaren till den paragrafen).
I inledningen av paragrafen i dess nya lydelse har vissa redaktionella ändringar gjorts.
Övervägandena finns i avsnitt 9.3.
3 §
I paragrafen regleras de ändamål för vilka personuppgifter får behandlas för att tillhandahållas utanför den verksamhet som utsöknings- och indrivningsdatabasen förs inom, de s.k. sekundära ändamålen med databasen.
Paragrafen har fått en ny struktur och delvis nytt innehåll. Genom ändringarna i paragrafens inledning klargörs att det endast är sådana uppgifter som redan behandlas i utsöknings- och indrivningsdatabasen med stöd av 2 § som får behandlas i databasen för de sekundära ändamålen i paragrafen. Uppgifter får alltså inte föras in i databasen endast för de ändamål som anges i paragrafen.
I den nya första punkten återges de nuvarande bestämmelserna om tillhandahållande av information som behövs i författningsreglerad verksamhet hos någon annan än Kronofogdemyndigheten.
Till den nya andra punkten har bestämmelsen om behandling av uppgifter för tillhandahållande av information som behövs i Kronofogdemyndighetens verksamhet för handläggning av ärenden om skuldsanering och F-skuldsanering flyttats. Den fanns tidigare i 2 § andra stycket (se kommentaren till den paragrafen). Ändringen medför att de sekundära ändamålen samlas i en paragraf. En redaktionell ändring har också gjorts.
Den nya tredje punkten motsvarar till stor del det tidigare andra stycket. Genom ändringarna klargörs att uppgifter får behandlas för att tillhandahålla information inte bara i de fall det finns en skyldighet att lämna ut uppgifter, utan även i andra fall då det finns en bestämmelse i lag eller förordning som tillåter uppgiftslämnande.
Av den nya fjärde punkten framgår att behandling får ske även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med insamlingsändamålen (den s.k. finalitetsprincipen). Bestämmelsen är utformad i nära anslutning till artikel 5.1 b i dataskyddsförordningen och bör tolkas på samma sätt. Detta innebär bl.a. att behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i förordningen inte ska anses vara oförenlig med insamlingsändamålen. Det innebär också att de omständigheter som anges i artikel 6.4 a-e i förordningen ska beaktas vid bedömningen om behandlingen är förenlig med insamlingsändamålen.
Övervägandena finns i avsnitt 9.3.
8 §
I paragrafen regleras de ändamål för vilka personuppgifter får behandlas i betalningsföreläggande- och handräckningsdatabasen. Paragrafen har ändrats genom att bestämmelsen i andra stycket, som rör behandling av uppgifter för tillhandahållande av information som behövs i Kronofogdemyndighetens verksamhet för handläggning av ärenden om skuldsanering och F-skuldsanering, har flyttats till 9 §. Ändringen innebär att paragrafen endast omfattar de s.k. primära ändamålen, för vilka uppgifter får föras in i betalningsföreläggande- och handräckningsdatabasen. De sekundära ändamålen har samlats i 9 § (se kommentaren till den paragrafen).
I inledningen av paragrafen i dess nya lydelse har vissa redaktionella ändringar gjorts.
Övervägandena finns i avsnitt 9.3.
9 §
I paragrafen regleras de ändamål för vilka personuppgifter får behandlas för att tillhandahållas utanför den verksamhet som betalningsföreläggande- och handräckningsdatabasen förs inom, de s.k. sekundära ändamålen med databasen.
Paragrafen har fått en ny struktur och delvis nytt innehåll. Genom ändringarna i paragrafens inledning klargörs att det endast är sådana uppgifter som redan behandlas i betalningsföreläggande- och handräckningsdatabasen med stöd av 8 § som får behandlas i databasen för de sekundära ändamålen i paragrafen. Uppgifter får alltså inte föras in i databasen endast för de ändamål som anges i paragrafen.
I den nya första punkten återges de nuvarande bestämmelserna om tillhandahållande av information som behövs i författningsreglerad verksamhet hos någon annan än Kronofogdemyndigheten.
Till den nya andra punkten har bestämmelsen om behandling av uppgifter för tillhandahållande av information som behövs i Kronofogdemyndighetens verksamhet för handläggning av ärenden om skuldsanering och F-skuldsanering flyttats. Den fanns tidigare i 8 § andra stycket (se kommentaren till den paragrafen). Ändringen medför att de sekundära ändamålen samlas i en paragraf. En redaktionell ändring har också gjorts.
Den nya tredje punkten motsvarar till stor del det tidigare andra stycket. Genom ändringarna klargörs att uppgifter får behandlas för att tillhandahålla information inte bara i de fall det finns en skyldighet att lämna ut uppgifter, utan även i andra fall då det finns en bestämmelse i lag eller förordning som tillåter uppgiftslämnande.
Av den nya fjärde punkten framgår att behandling får ske även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med insamlingsändamålen. Bestämmelsen är utformad i nära anslutning till artikel 5.1 b i dataskyddsförordningen och bör tolkas på samma sätt. Detta innebär bl.a. att behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i förordningen inte ska anses vara oförenlig med insamlingsändamålen. Det innebär också att de omständigheter som anges i artikel 6.4 a-e i förordningen ska beaktas vid bedömningen om behandlingen är förenlig med insamlingsändamålen.
Övervägandena finns i avsnitt 9.3.
14 §
I paragrafen har vissa redaktionella ändringar gjorts.
15 §
I paragrafen regleras de ändamål för vilka personuppgifter får behandlas för att tillhandahållas utanför den verksamhet som skuldsaneringsdatabasen förs inom, de s.k. sekundära ändamålen med databasen.
Paragrafen har fått en ny struktur och delvis nytt innehåll. Genom ändringarna i paragrafens inledning klargörs att det endast är sådana uppgifter som redan behandlas i skuldsaneringsdatabasen med stöd av 14 § som får behandlas i databasen för de sekundära ändamålen i paragrafen. Uppgifter får alltså inte föras in i databasen endast för de ändamål som anges i paragrafen.
I den nya första punkten återges de nuvarande bestämmelserna om tillhandahållande av information som behövs i författningsreglerad verksamhet hos någon annan än Kronofogdemyndigheten.
Den nya andra punkten motsvarar till stor del det tidigare andra stycket. Genom ändringarna klargörs att uppgifter får behandlas för att tillhandahålla information inte bara i de fall det finns en skyldighet att lämna ut uppgifter, utan även i andra fall då det finns en bestämmelse i lag eller förordning som tillåter uppgiftslämnande.
Av den nya tredje punkten framgår att behandling får ske även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med insamlingsändamålen. Bestämmelsen är utformad i nära anslutning till artikel 5.1 b i dataskyddsförordningen och bör tolkas på samma sätt. Detta innebär bl.a. att behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i förordningen inte ska anses vara oförenlig med insamlingsändamålen. Det innebär också att de omständigheter som anges i artikel 6.4 a-e i förordningen ska beaktas vid bedömningen om behandlingen är förenlig med insamlingsändamålen.
Övervägandena finns i avsnitt 9.3.
20 §
I paragrafen regleras de ändamål för vilka personuppgifter får behandlas i konkurstillsynsdatabasen. Paragrafen har ändrats genom att bestämmelsen i andra stycket, som rör behandling av uppgifter för tillhandahållande av information som behövs i Kronofogdemyndighetens verksamhet för handläggning av ärenden om skuldsanering och F-skuldsanering, har flyttats till 20 a §. Ändringen innebär att paragrafen endast omfattar de s.k. primära ändamålen, för vilka uppgifter får föras in i konkurstillsynsdatabasen. De sekundära ändamålen har samlats i 20 a § (se kommentaren till den paragrafen).
I inledningen av paragrafen i dess nya lydelse har vissa redaktionella ändringar gjorts.
Övervägandena finns i avsnitt 9.3.
20 a §
I paragrafen regleras de ändamål för vilka personuppgifter får behandlas för att tillhandahållas utanför den verksamhet som konkurstillsynsdatabasen förs inom, de s.k. sekundära ändamålen med databasen.
Paragrafen har fått en ny struktur och delvis nytt innehåll. Den nya första punkten om behandling av uppgifter för tillhandahållande av information som behövs i Kronofogdemyndighetens verksamhet för handläggning av ärenden om skuldsanering och F-skuldsanering har flyttats från 20 § andra stycket (se kommentaren till den paragrafen). Ändringen medför att de sekundära ändamålen har samlats i en paragraf. En redaktionell ändring har också gjorts.
Den nya andra punkten motsvarar till stor del paragrafens tidigare innehåll. Genom ändringarna klargörs att uppgifter får behandlas inte bara för att tillhandahålla information i de fall det finns en skyldighet att lämna ut uppgifter, utan även i andra fall då det finns en bestämmelse i lag eller förordning som tillåter uppgiftslämnande.
Av den nya tredje punkten framgår att behandling får ske även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med insamlingsändamålen. Bestämmelsen är utformad i nära anslutning till artikel 5.1 b i dataskyddsförordningen och bör tolkas på samma sätt. Detta innebär bl.a. att behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i förordningen inte ska anses vara oförenlig med insamlingsändamålen. Det innebär också att de omständigheter som anges i artikel 6.4 a-e i förordningen ska beaktas vid bedömningen om behandlingen är förenlig med insamlingsändamålen.
Övervägandena finns i avsnitt 9.3.
30 §
I paragrafen, som behandlar möjligheten för Kronofogdemyndigheten att ta ut avgifter för att lämna ut uppgifter ur Kronofogdemyndighetens databaser, har andra stycket fått en ny struktur och en ny andra punkt. I den nya andra punkten upplyses om att rätten att ta ut avgifter inte innebär någon inskränkning i den registrerades rätt till kostnadsfri information och kommunikation m.m. enligt artikel 12.5 i dataskyddsförordningen.
Övervägandena finns i avsnitt 9.5.2.
3 kap.
3 §
I paragrafen, som är ny, görs ett undantag från den rätt att invända mot behandling av personuppgifter som följer av artikel 21.1 i dataskyddsförordningen. Undantaget utgör en sådan begränsning i den nationella rätten som är tillåten enligt artikel 23 i dataskyddsförordningen. Vid sådan behandling av personuppgifter som är tillåten enligt lagen eller föreskrifter som har meddelats i anslutning till den gäller inte rätten att göra invändningar enligt artikel 21.1. Bestämmelsen har flyttats från 1 kap. 2 § andra stycket och har anpassats till regleringen i dataskyddsförordningen genom en ny lydelse.
Övervägandena finns i avsnitt 9.5.4.
3 a §
Paragrafen innehåller bestämmelser om rättelse m.m. när uppgifter behandlas i Kronofogdemyndighetens verksamhet. Bestämmelserna innebär i vissa avseenden utökade rättigheter för den registrerade och utökade skyldigheter för den personuppgiftsansvarige i förhållande till dataskyddsförordningen. Av 1 kap. 1 § andra stycket följer vidare att bestämmelsen är tillämplig även vid behandling av uppgifter om juridiska personer och avlidna.
I det nya tredje stycket ges en upplysning om att det i fråga om personuppgifter finns bestämmelser om rättelse m.m. också i dataskyddsförordningen. Vid behandling av personuppgifter får bestämmelsen i första stycket praktisk betydelse endast i de fall den ger rättigheter eller skyldigheter som går utöver de rättigheter och skyldigheter som följer av dataskyddsförordningen.
Övervägandena finns i avsnitt 9.5.3.
4 §
Paragrafen innehåller bestämmelser om överklagande. Första stycket har ändrats så att det anges att beslut om rättelse enligt 3 a § första stycket får överklagas till allmän förvaltningsdomstol.
Av 1 kap. 3 § följer att dataskyddslagens bestämmelser om överklagande gäller.
Bestämmelsen i denna paragraf reglerar rätten till överklagande avseende situationer som inte omfattas av dataskyddslagens tillämpningsområde. Juridiska personer omfattas t.ex. inte av dataskyddslagens tillämpningsområde men kan överklaga beslut om rättelse enligt 3 a § första stycket med stöd av denna bestämmelse. Fysiska personer kan dock överklaga beslut om rättelse som har fattats enligt 3 a § första stycket 1 med stöd av dataskyddslagen. När det gäller beslut om rättelse enligt 3 a § första stycket 2, som inte heller omfattas av dataskyddslagens tillämpningsområde, har såväl fysiska som juridiska personer möjlighet att överklaga dessa med stöd av denna bestämmelse. Se också författningskommentaren till 3 a §.
Övervägandena finns i avsnitt 9.8.
Ikraftträdande- och övergångsbestämmelser
Bestämmelserna behandlas i avsnitt 11.
13.5 Förslaget till lag om ändring i lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet
1 kap.
2 §
Paragrafen har fått ett nytt innehåll och klargör lagens förhållande till Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), i lagen benämnd EU:s dataskyddsförordning.
I paragrafen upplyses om att lagen innehåller bestämmelser som kompletterar dataskyddsförordningen. Dataskyddsförordningen är den huvudsakliga rättsakten på området för personuppgiftsbehandling och är direkt tillämplig. Denna lag utgör således ett komplement till dataskyddsförordningen. Dataskyddsförordningen både möjliggör och förutsätter nationell reglering, vilket finns i bl.a. denna lag.
Hänvisningarna i lagen till dataskyddsförordningen avser förordningen i den vid varje tidpunkt gällande lydelsen, en s.k. dynamisk hänvisning.
Den nya utformningen innebär också att hänvisningarna till person-uppgiftslagen (1998:204), PUL, har tagits bort. Vidare har bestämmelsen i andra stycket utgått och en liknande bestämmelse införts i 3 kap. 1 §, se kommentaren till den bestämmelsen.
Övervägandena finns i avsnitt 9.2.
3 §
Paragrafen har fått ett nytt innehåll och klargör lagens förhållande till lagen med kompletterande bestämmelser till EU:s dataskyddsförordning (2018:000), kallad dataskyddslagen.
Genom paragrafen klargörs att även dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller vid behandling av personuppgifter enligt denna lag, om inte annat följer av lagen eller föreskrifter som har meddelats i anslutning till lagen. Denna lag utgör således ett komplement till dataskyddslagen. Till skillnad från dataskyddsförordningen är dataskyddslagen dock subsidiär, och dataskyddslagens bestämmelser gäller endast om denna lag eller tillhörande föreskrifter inte innehåller några avvikande bestämmelser.
Den nya utformningen innebär också att hänvisningarna till personuppgiftslagen har tagits bort.
Övervägandena finns i avsnitt 9.2.
4 §
Paragrafen reglerar ändamål för vilka personuppgifter får behandlas enligt lagen. Paragrafen har ändrats genom att bestämmelsen i andra stycket, som rör behandling av uppgifter för tillhandahållande av information som behövs i Tullverkets brottsbekämpande verksamhet, har flyttats till 5 §. Ändringen innebär att paragrafen endast omfattar ändamål som avser sådan verksamhet inom Tullverket som omfattas av lagens tillämpningsområde och för vilka uppgifter får samlas in i verksamheten, s.k. primära ändamål. De s.k. sekundära ändamålen har samlats i 5 § (se kommentaren till den paragrafen).
I inledningen av paragrafen i dess nya lydelse har vissa redaktionella ändringar gjorts.
Övervägandena finns i avsnitt 9.3.
5 §
I paragrafen finns bestämmelser om de ändamål för vilka personuppgifter får behandlas för att tillhandahållas utanför den verksamhet som lagens tillämpningsområde omfattar, s.k. sekundära ändamål.
Paragrafen har fått en ny struktur och delvis nytt innehåll. Genom ändringarna i paragrafens inledning klargörs att det endast är sådana uppgifter som redan behandlas med stöd av 4 § som får behandlas för de sekundära ändamålen i paragrafen. Uppgifter får alltså inte samlas in för att behandlas endast för de ändamål som anges i paragrafen.
I den nya första punkten återges de nuvarande bestämmelserna om tillhandahållande av information som behövs i författningsreglerad verksamhet hos någon annan än Tullverket.
Till den nya andra punkten har bestämmelserna om behandling av uppgifter för tillhandahållande av information som behövs i Tullverkets brottsbekämpande verksamhet flyttats. Den fanns tidigare i 4 § andra stycket (se kommentaren till den paragrafen). Ändringen medför att de sekundära ändamålen samlas i en paragraf. En redaktionell ändring har också gjorts.
Den nya tredje punkten motsvarar till stor del det tidigare andra stycket. Genom ändringarna klargörs att uppgifter får behandlas för att tillhandahålla information inte bara i de fall det finns en skyldighet att lämna ut uppgifter, utan även i andra fall då det finns en bestämmelse i lag eller förordning som tillåter uppgiftslämnande.
Av den nya fjärde punkten framgår att behandling får ske även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med insamlingsändamålen (den s.k. finalitetsprincipen). Bestämmelsen är utformad i nära anslutning till artikel 5.1 b i dataskyddsförordningen och bör tolkas på samma sätt. Detta innebär bl.a. att behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i förordningen inte ska anses vara oförenlig med insamlingsändamålen. Det innebär också att de omständigheter som anges i artikel 6.4 a-e i förordningen ska beaktas vid bedömningen om behandlingen är förenlig med insamlingsändamålen.
Övervägandena finns i avsnitt 9.3.
7 §
I första stycket har hänvisningen till personuppgiftslagens definition av känsliga personuppgifter ersatts med dataskyddsförordningens definition. Bestämmelsens inledning har också fått en något annorlunda utformning. Eftersom dataskyddsförordningens definition är något vidare än personuppgiftslagens, innebär ändringen att något fler kategorier av uppgifter kringgärdas av restriktioner för behandling av personuppgifter. Hänvisningen till personuppgiftslagens definition av lagöverträdelser m.m. har ersatts med en uppräkning av de lagöverträdelser m.m. som motsvarar personuppgiftslagens definition. Den senare ändringen innebär ingen ändring i sak.
Övervägandena finns i avsnitt 9.4.
2 kap.
11 §
I paragrafen, som behandlar möjligheten för Tullverket att ta ut avgifter för att lämna ut uppgifter ur tulldatabasen, har andra stycket fått en ny struktur och en ny andra punkt. I den nya andra punkten upplyses om att rätten att ta ut avgifter inte innebär någon inskränkning i den registrerades rätt till kostnadsfri information och kommunikation m.m. enligt artikel 12.5 i dataskyddsförordningen.
Övervägandena finns i avsnitt 9.5.2.
3 kap.
1 §
I paragrafen, som är ny, görs ett undantag från den rätt att invända mot behandling av personuppgifter som följer av artikel 21.1 i dataskyddsförordningen. Undantaget utgör en sådan begränsning i den nationella rätten som är tillåten enligt artikel 23 i dataskyddsförordningen. Vid sådan behandling av personuppgifter som är tillåten enligt lagen eller föreskrifter som har meddelats i anslutning till den gäller inte rätten att göra invändningar enligt artikel 21.1. Bestämmelsen har flyttats från 1 kap. 2 § andra stycket och har anpassats till regleringen i dataskyddsförordningen genom en ny lydelse.
Övervägandena finns i avsnitt 9.5.4.
Ikraftträdande- och övergångsbestämmelser
Bestämmelserna behandlas i avsnitt 11.
13.6 Förslaget till lag om ändring i lagen (2015:898) om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter
4 §
Paragrafen har fått ett nytt innehåll och klargör lagens förhållande till Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), i lagen benämnd EU:s dataskyddsförordning, och lagen med kompletterande bestämmelser till EU:s dataskyddsförordning (2018:000), kallad dataskyddslagen.
I första stycket upplyses om att lagen innehåller bestämmelser som kompletterar dataskyddsförordningen. Dataskyddsförordningen är den huvudsakliga rättsakten på området för personuppgiftsbehandling och är direkt tillämplig. Denna lag utgör således ett komplement till dataskyddsförordningen. Dataskyddsförordningen både möjliggör och förutsätter nationell reglering, vilket finns i bl.a. denna lag.
Genom andra stycket klargörs att även dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller vid behandling av personuppgifter enligt denna lag, om inte annat följer av lagen eller föreskrifter som har meddelats i anslutning till lagen. Lagen utgör således ett komplement till dataskyddslagen. Till skillnad från dataskyddsförordningen är dataskyddslagen dock subsidiär, och dataskyddslagens bestämmelser gäller endast om denna lag eller tillhörande föreskrifter inte innehåller några avvikande bestämmelser.
Hänvisningarna i lagen till dataskyddsförordningen avser förordningen i den vid varje tidpunkt gällande lydelsen, en s.k. dynamisk hänvisning.
Den nya utformningen innebär också att hänvisningarna till personuppgiftslagen (1998:204), PUL, har tagits bort.
Övervägandena finns i avsnitt 9.2.
6 §
I paragrafen regleras för vilka ändamål personuppgifter får behandlas enligt lagen. I andra stycket har hänvisningen till 9 § första stycket d och andra stycket PUL ersatts med en bestämmelse som anger att sådana uppgifter får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in (den s.k. finalitetsprincipen). Bestämmelsen är utformad i nära anslutning till artikel 5.1 b i dataskyddsförordningen och bör tolkas på samma sätt. Detta innebär bl.a. att behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i förordningen inte ska anses vara oförenlig med insamlingsändamålen. Det innebär också att de omständigheter som anges i artikel 6.4 a-e i förordningen ska beaktas vid bedömningen om behandlingen är förenlig med insamlingsändamålen.
Övervägandena finns i avsnitt 9.3.
7 §
I paragrafen har hänvisningen till personuppgiftslagens definition av känsliga personuppgifter ersatts med dataskyddsförordningens definition. Bestämmelsens inledning har också fått en något annorlunda utformning. Eftersom dataskyddsförordningens definition är något vidare än personuppgiftslagens, innebär ändringen att något fler kategorier av uppgifter kringgärdas av restriktioner för behandling av personuppgifter.
Övervägandena finns i avsnitt 9.4.1.
10 §
I paragrafen, som är ny, görs ett undantag från den rätt att invända mot behandling av personuppgifter som följer av artikel 21.1 i dataskyddsförordningen. Undantaget utgör en sådan begränsning i den nationella rätten som är tillåten enligt artikel 23 i dataskyddsförordningen. Vid sådan behandling av personuppgifter som är tillåten enligt lagen eller föreskrifter som har meddelats i anslutning till den gäller inte rätten att göra invändningar enligt artikel 21.1. Bestämmelsen har flyttats från 3 § och har anpassats till regleringen i dataskyddsförordningen genom en ny lydelse.
Övervägandena finns i avsnitt 9.5.4.
Ikraftträdandebestämmelse
Bestämmelsen behandlas i avsnitt 11.
13.7 Förslaget till lag om ändring i lagen (2015:899) om identitetskort för folkbokförda i Sverige
10 §
Paragrafen har fått ett nytt innehåll och klargör lagens förhållande till Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), i lagen benämnd EU:s dataskyddsförordning, och lagen med kompletterande bestämmelser till EU:s dataskyddsförordning (2018:000), kallad dataskyddslagen.
I första stycket upplyses om att lagen innehåller bestämmelser som kompletterar dataskyddsförordningen. Dataskyddsförordningen är den huvudsakliga rättsakten på området för personuppgiftsbehandling och är direkt tillämplig. Denna lag utgör således ett komplement till dataskyddsförordningen. Dataskyddsförordningen både möjliggör och förutsätter nationell reglering, vilket finns i bl.a. denna lag.
Genom andra stycket klargörs att även dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller vid behandling av personuppgifter enligt denna lag, om inte annat följer av lagen eller föreskrifter som har meddelats i anslutning till lagen. Lagen utgör således ett komplement till dataskyddslagen. Till skillnad från dataskyddsförordningen är dataskyddslagen dock subsidiär, och dataskyddslagens bestämmelser gäller endast om denna lag inte innehåller några avvikande bestämmelser.
Hänvisningarna i lagen till dataskyddsförordningen avser förordningen i den vid varje tidpunkt gällande lydelsen, en s.k. dynamisk hänvisning.
Den nya utformningen innebär också att hänvisningarna till personuppgiftslagen (1998:204), PUL, har tagits bort.
Övervägandena finns i avsnitt 9.2.
12 §
I paragrafen regleras för vilka ändamål personuppgifter får behandlas enligt lagen. I andra stycket har hänvisningen till 9 § första stycket d och andra stycket PUL ersatts med en bestämmelse som anger att sådana uppgifter får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in (den s.k. finalitetsprincipen). Bestämmelsen är utformad i nära anslutning till artikel 5.1 b i dataskyddsförordningen och bör tolkas på samma sätt. Detta innebär bl.a. att behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i förordningen inte ska anses vara oförenlig med insamlingsändamålen. Det innebär också att de omständigheter som anges i artikel 6.4 a-e i förordningen ska beaktas vid bedömningen om behandlingen är förenlig med insamlingsändamålen.
Övervägandena finns i avsnitt 9.3.
13 §
I paragrafen har hänvisningen till personuppgiftslagens definition av känsliga personuppgifter ersatts med dataskyddsförordningens definition. Bestämmelsens inledning har också fått en något annorlunda utformning. Eftersom dataskyddsförordningens definition är något vidare än personuppgiftslagens, innebär ändringen att något fler kategorier av uppgifter kringgärdas av restriktioner för behandling av personuppgifter.
Övervägandena finns i avsnitt 9.4.1.
17 §
I andra stycket har hänvisningen till personuppgiftslagens definition av lagöverträdelser m.m. ersatts med en uppräkning av de lagöverträdelser m.m. som motsvarar personuppgiftslagens definition. Denna ändring innebär ingen ändring i sak.
Övervägandena finns i avsnitt 9.4.2.
18 §
I paragrafen, som är ny, görs ett undantag från den rätt att invända mot behandling av personuppgifter som följer av artikel 21.1 i dataskyddsförordningen. Undantaget utgör en sådan begränsning i den nationella rätten som är tillåten enligt artikel 23 i dataskyddsförordningen. Vid sådan behandling av personuppgifter som är tillåten enligt lagen eller föreskrifter som har meddelats i anslutning till den gäller inte rätten att göra invändningar enligt artikel 21.1. Bestämmelsen har flyttats från 9 § och har anpassats till regleringen i dataskyddsförordningen genom en ny lydelse.
Övervägandena finns i avsnitt 9.5.4.
Ikraftträdandebestämmelse
Bestämmelsen behandlas i avsnitt 11.
Promemorians lagförslag
Förslag till lag om ändring i lagen (1998:527) om det statliga personadressregistret
Härigenom föreskrivs i fråga om lagen (1998:527) om det statliga personadressregistret
dels att 9 § och rubriken före 9 § ska upphöra att gälla,
dels att 2 § ska ha följande lydelse,
dels att det ska införas en ny paragraf, 3 a §, och närmast före 3 a § en ny rubrik av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
2 §
När personuppgifter behandlas i SPAR gäller personuppgiftslagen (1998:204), om inte avvikande bestämmelser meddelas i denna lag. De beteckningar som används i denna lag har samma betydelse som i 3 § personuppgiftslagen.
Bestämmelser om behandling av personuppgifter finns i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän data-skyddsförordning). Denna lag innehåller kompletterande bestämmelser om sådan behandling.
Även lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt denna lag, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till den.
Invändningar mot behandling
3 a §
Rätten att göra invändningar enligt artikel 21.1 i Europa-parlamentets och rådets förordning (EU) nr 2016/679 gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till den.
Bestämmelser om rätt för den registrerade att invända mot behandling av personuppgifter för direkt marknadsföring finns i artikel 21.2 i samma förordning.
Denna lag träder i kraft den 25 maj 2018.
Förslag till lag om ändring i lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet
Härigenom föreskrivs i fråga om lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet
dels att 3 kap. 1 och 4 §§ och rubriken närmast 3 kap. 4 § ska upphöra att gälla,
dels att 1 kap. 2-5 och 7 §§, 2 kap. 14 §, 3 kap. 2, 2 a och 3 §§ och rubrikerna närmast före 1 kap. 2 § och 3 kap. 3 § ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
1 kap.
Förhållandet till personuppgiftslagen
Förhållandet till annan reglering
2 §
Om inte annat anges i 3 § eller 3 kap. gäller denna lag i stället för personuppgiftslagen (1998:204).
Bestämmelser om behandling av personuppgifter finns i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Denna lag innehåller kompletterande bestämmelser om sådan behandling.
En registrerad har inte rätt att motsätta sig sådan behandling som är tillåten enligt denna lag.
3 §
När personuppgifter behandlas enligt denna lag eller enligt andra föreskrifter i det ämne som regleras i lagen gäller personuppgiftslagens (1998:204) bestämmelser om
1. definitioner i 3 §,
2. förhållandet till offentlighetsprincipen m.m. i 8 §,
3. grundläggande krav på behandling i 9 § med undantag för vad som sägs i första stycket i och tredje stycket,
4. säkerheten vid behandling i 30-32 §§,
5. överföring av personuppgifter till tredje land i 33-35 §§,
6. personuppgiftsombud, m.m. i 36 § andra stycket och 38-41 §§,
7. upplysningar till allmänheten om vissa behandlingar i 42 § med den begränsning som anges i 3 kap. 2 a § i denna lag,
8. tillsynsmyndighetens befogenheter i 43 och 47 §§, och
9. straff i 49 §.
Vid behandling av personuppgifter som inte sker i databaser gäller även 22 § personuppgiftslagen.
Även lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt denna lag, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till den.
4 §
Uppgifter får behandlas för tillhandahållande av information som behövs hos Skatteverket för
Uppgifter får behandlas för att tillhandahålla information som behövs hos Skatteverket för
1. fastställande av underlag för samt bestämmande, redovisning, betalning och återbetalning av skatter och avgifter,
2. bestämmande av pensionsgrundande inkomst,
3. fastighetstaxering,
4. revision och annan analys- eller kontrollverksamhet,
5. tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning,
6. handläggning
a) enligt lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter,
b) av andra frågor om ansvar för någon annans skatter och avgifter,
c) enligt lagen (2015:912) om automatiskt utbyte av upplysningar om finansiella konton och 22 b kap. skatteförfarandelagen (2011:1244), och
d) enligt lagen (2017:182) om automatiskt utbyte av land-för-land-rapporter på skatteområdet och 33 a kap. skatteförfarandelagen.
7. fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande,
8. hantering av underrättelser från arbetsgivare om anställning av utlänningar som avses i lagen (2013:644) om rätt till lön och annan ersättning för arbete utfört av en utlänning som inte har rätt att vistas i Sverige,
9. hantering av uppgifter om sjuklönekostnad, och
10. tillsyn, kontroll, uppföljning och planering av verksamheten.
Uppgifter som får behandlas enligt första stycket får även behandlas för tillhandahållande av information som behövs i Skatteverkets verksamhet enligt lagen (1997:1024) om Skatteverkets brottsbekämpande verksamhet.
5 §
Uppgifter får behandlas för att tillhandahålla information som behövs i författningsreglerad verksamhet hos någon annan än Skatteverket för
Uppgifter som behandlas enligt 4 § får även behandlas för att tillhandahålla information som behövs i författningsreglerad verksamhet hos någon annan än Skatteverket för
1. fastställande av underlag för samt redovisning, bestämmande, betalning och återbetalning av skatter eller avgifter,
2. utsökning, indrivning, skuldsanering och F-skuldsanering,
3. att utgöra underlag för beräkning, beslut och kontroll i fråga om förmån, bidrag och andra stöd,
4. pensionsberäkning,
5. tillsyn och kontroll samt lämplighets- och tillståndsprövning och annan liknande prövning, och
6. aktualisering och komplettering av uppgifter om fastigheter i andra myndigheters register.
Uppgifter som behandlas enligt 4 § får även behandlas för att tillhandahålla information som behövs i Skatteverkets brottsbekämpande verksamhet enligt lagen (1997:1024) om Skatteverkets brottsbekämpande verksamhet.
Uppgifter får även behandlas för att tillhandahålla information i den utsträckning som en skyldighet att lämna uppgifterna följer av lag eller förordning.
Uppgifter som behandlas enligt 4 § får även behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
Uppgifter som behandlas enligt 4 § får även behandlas för andra ändamål, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in.
7 §
Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) och uppgifter om lagöverträdelser m.m. som anges i 21 § samma lag får behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.
Sådana särskilda kategorier av personuppgifter som avses i artikel 9.1 i Europaparlamentets och rådets förordning (EU) nr 2016/679 (känsliga personuppgifter) och uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden får behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.
Uppgifter som avses i första stycket får i annat fall behandlas endast om det särskilt anges i 2 kap.
2 kap.
14 §
Skatteverket får ta ut avgifter för att lämna ut uppgifter ur databasen enligt de närmare föreskrifter som meddelas av regeringen.
Rätten att ta ut avgifter enligt första stycket får inte innebära inskränkning i rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen.
Rätten att ta ut avgifter får inte innebära en inskränkning i
1. rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen, eller
2. en registrerads rätt enligt artikel 12.5 i Europaparlamentets och rådets förordning (EU) nr 2016/679.
3 kap.
2 §
Information som skall lämnas enligt 26 § personuppgiftslagen (1998:204) behöver inte omfatta uppgift i en handling som avses i 2 kap. 4 §, om den enskilde har tagit del av handlingens innehåll. Om den enskilde begär det skall dock informationen även omfatta uppgift i en sådan handling.
Information som ska lämnas enligt artikel 15 i Europaparlamentets och rådets förordning (EU) nr 2016/679 behöver inte omfatta uppgift i en handling som avses i 2 kap. 4 §, om den enskilde har tagit del av handlingens innehåll. Om den enskilde begär det ska dock informationen även omfatta uppgift i en sådan handling.
Om informationen inte inne-håller handling som avses i första stycket, skall det av informationen framgå att handlingen behandlas i databasen.
Om informationen inte inne-håller handling som avses i första stycket, ska det av informationen framgå att handlingen behandlas i databasen.
2 a §
Vid behandling av personuppgifter på grund av samarbete enligt lagen (2012:843) om administrativt samarbete inom Europeiska unionen i fråga om beskattning tillämpas inte 23, 25, 26, 28 och 42 §§ personuppgiftslagen (1998:204) om sådana begränsningar är nödvändiga med hänsyn till ett intresse som anges i 8 a § f personuppgiftslagen.
Vid behandling av person-uppgifter på grund av samarbete enligt lagen (2012:843) om administrativt samarbete inom Europeiska unionen i fråga om beskattning ska artikel 13 och 15-19 i Europaparlamentets och rådets förordning (EU) nr 2016/679 inte tillämpas, om sådana begränsningar är nödvändiga med hänsyn till ett viktigt ekonomiskt eller finansiellt intresse hos Europeiska unionen eller en stat som ingår i unionen.
Rättelse och skadestånd
Invändningar mot behandling
3 §
Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt denna lag eller anslutande författningar, med den begränsning som anges i 2 a § i fråga om rättelse.
Rätten att göra invändningar enligt artikel 21.1 i Europaparlamentets och rådets förordning (EU) nr 2016/679 gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till den.
1. Denna lag träder i kraft den 25 maj 2018.
2. Äldre föreskrifter om straff gäller fortfarande för överträdelser som har skett före ikraftträdandet.
Förslag till lag om ändring i lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet
Härigenom föreskrivs i fråga om lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet
dels att 3 kap. 1 och 4 §§ och rubriken närmast före 3 kap. 4 § ska upphöra att gälla,
dels att 1 kap. 2-4 och 6 §§, 2 kap. 12 §, 3 kap. 2 och 3 §§ och rubrikerna närmast före 1 kap. 2 § och 3 kap. 3 § ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
Förhållandet till personuppgiftslagen
Förhållandet till annan reglering
1 kap.
2 §
Om inte annat anges i 3 § eller 3 kap. gäller denna lag i stället för personuppgiftslagen (1998:204).
Bestämmelser om behandling av personuppgifter finns i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän data-skyddsförordning). Denna lag innehåller kompletterande bestämmelser om sådan behandling.
En registrerad har inte rätt att motsätta sig sådan behandling som är tillåten enligt denna lag.
3 §
När personuppgifter behandlas enligt denna lag eller enligt andra föreskrifter i det ämne som regleras i lagen gäller personuppgiftslagens (1998:204) bestämmelser om
1. definitioner i 3 §,
2. förhållandet till offentlighetsprincipen m.m. i 8 §,
3. grundläggande krav på behandling i 9 § med undantag för vad som sägs i första stycket i och tredje stycket,
4. säkerheten vid behandling i 30-32 §§,
5. överföring av personuppgifter till tredje land i 33-35 §§,
6. personuppgiftsombud, m.m. i 36 § andra stycket och 38-41 §§,
7. upplysningar till allmänheten om vissa behandlingar i 42 §,
8. tillsynsmyndighetens befogenheter i 43 och 47 §§, och
9. straff i 49 §.
Vid behandling av personuppgifter som inte sker i databaser gäller även 22 § personuppgiftslagen.
Även lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt denna lag, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till den.
4 §
Uppgifter får behandlas för att tillhandahålla information som behövs för
1. samordnad behandling, kontroll och analys av identifieringsuppgifter för fysiska personer och av andra folkbokföringsuppgifter,
2. handläggning av folkbokföringsärenden,
3. fullgörande av underrättelseskyldighet enligt lag eller förordning,
4. framställning av personbevis och andra registerutdrag,
5. aktualisering, komplettering och kontroll av personuppgifter,
6. uttag av urval av personuppgifter, och
7. tillsyn, kontroll, uppföljning och planering av folkbokföringsverksamheten.
Uppgifter får även behandlas för att tillhandahålla information i den utsträckning som en skyldighet att lämna uppgifterna följer av lag eller förordning.
Uppgifter får även behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Insamlade uppgifter får även behandlas för andra ändamål, under förutsättning att det nya ändamålet inte är oförenligt med insamlingsändamålet.
6 §
Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) och uppgifter om lagöverträdelser m.m. som anges i 21 § samma lag får behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.
Sådana särskilda kategorier av personuppgifter som avses i artikel 9.1 i Europaparlamentets och rådets förordning (EU) nr 2016/679 (känsliga personuppgifter) och uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straff-processuella tvångsmedel eller administrativa frihetsberövanden får behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.
Uppgifter som avses i första stycket får i annat fall behandlas endast om det särskilt anges i 2 kap.
2 kap.
12 §
Skatteverket får ta ut avgifter för att lämna ut uppgifter ur databasen enligt de närmare föreskrifter som meddelas av regeringen.
Rätten att ta ut avgifter enligt första stycket får inte innebära inskränkning i rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen.
Rätten att ta ut avgifter får inte innebära en inskränkning i
1. rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen, eller
2. en registrerads rätt enligt artikel 12.5 i Europaparlamentets och rådets förordning (EU) nr 2016/679.
3 kap.
2 §
Information som skall lämnas enligt 26 § personuppgiftslagen (1998:204) behöver inte omfatta uppgift i en handling som avses i 2 kap. 5 §, om den enskilde har tagit del av handlingens innehåll. Om den enskilde begär det skall dock informationen även omfatta uppgift i en sådan handling.
Information som ska lämnas enligt artikel 15 i Europaparlamentets och rådets förordning (EU) nr 2016/679 behöver inte omfatta uppgift i en handling som avses i 2 kap. 5 §, om den enskilde har tagit del av handlingens innehåll. Om den enskilde begär det ska dock informationen även omfatta uppgift i en sådan handling.
Om informationen inte innehåller handling som avses i första stycket, skall det av informationen framgå att handlingen behandlas i databasen.
Om informationen inte innehåller handling som avses i första stycket, ska det av informationen framgå att handlingen behandlas i databasen.
Rättelse och skadestånd
Invändningar mot behandling
3 §
Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt denna lag eller anslutande författningar.
Rätten att göra invändningar enligt artikel 21.1 i Europaparlamentets och rådets förordning (EU) nr 2016/679 gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till den.
1. Denna lag träder i kraft den 25 maj 2018.
2. Äldre föreskrifter om straff gäller fortfarande för överträdelser som har skett före ikraftträdandet.
Förslag till lag om ändring i lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet
Härigenom föreskrivs i fråga om lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet
dels att 1 kap. 3 a §, 3 kap. 1 och 3 §§ ska upphöra att gälla,
dels att nuvarande 3 kap. 3 a § ska betecknas 3 kap. 3 §,
dels att 1 kap. 2, 3 och 6 §§, 2 kap. 2, 3, 8, 9, 14, 15, 20, 20 a och 30 §§, 3 kap. 2 §, den nya 3 kap. 3 §, 3 kap. 4 § och rubriken före 1 kap. 2 § och 3 kap. 3 § ska ha följande lydelse,
dels att det ska införas en ny paragraf, 3 kap. 3 a §, och en ny rubrik närmast före den paragrafen.
Nuvarande lydelse
Föreslagen lydelse
1 kap.
Förhållandet till andra bestämmelser om personuppgiftsbehandling
Förhållandet till annan reglering
2 §
Om inte annat anges i 3 § eller 3 kap. gäller denna lag i stället för personuppgiftslagen (1998:204 ).
Bestämmelser om behandling av personuppgifter finns i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Denna lag innehåller kompletterande bestämmelser om sådan behandling.
En registrerad har inte rätt att motsätta sig sådan behandling som är tillåten enligt denna lag.
3 §
När personuppgifter behandlas enligt denna lag eller enligt andra föreskrifter i det ämne som regleras i lagen gäller personuppgiftslagens (1998:204) bestämmelser om
1. definitioner i 3 §,
2. förhållandet till offentlighetsprincipen m.m. i 8 §,
3. grundläggande krav på behandling i 9 § med undantag för vad som sägs i första stycket i och tredje stycket,
4. säkerheten vid behandling i 30-32 §§,
5. överföring av personuppgifter till tredje land i 33-35 §§,
6. personuppgiftsombud, m.m. i 36 § andra stycket och 38-41 §§,
7. upplysningar till allmänheten om vissa behandlingar i 42 §,
8. tillsynsmyndighetens befogenheter i 43 och 47 §§, och
9. straff i 49 §.
Vid behandling av personuppgifter som inte sker i databaser gäller även 22 § personuppgiftslagen.
Även lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt denna lag, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till den.
6 §
Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) och uppgifter om lagöverträdelser m.m. som anges i 21 § samma lag får behandlas endast om uppgifterna har lämnats i ett mål eller ärende eller är nödvändiga för handläggningen av det.
Sådana särskilda kategorier av personuppgifter som avses i artikel 9.1 i Europaparlamentets och rådets förordning (EU) nr 2016/679 (känsliga personuppgifter) och uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straff-processuella tvångsmedel eller administrativa frihetsberövanden får behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.
Uppgifter som avses i första stycket får i annat fall behandlas endast om det särskilt anges i 2 kap.
2 kap.
2 §
Uppgifter får behandlas i databasen för tillhandahållande av information som behövs i Kronofogdemyndighetens och Skatteverkets verksamhet för
Uppgifter får behandlas i databasen för att tillhandahålla information som behövs i Kronofogdemyndighetens och Skatteverkets verksamhet för
1. verkställighet eller annan åtgärd som särskilt åligger Kronofogdemyndigheten enligt utsökningsbalken eller annan författning,
2. indrivning av statliga fordringar m.m.,
3. avräkning vid återbetalning av skatter och avgifter,
4. ansökan om och tillsyn över näringsförbud,
5. förebyggande av överskuldsättning och information om skuldsanering och F-skuldsanering,
6. fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande, och
7. tillsyn, kontroll, uppföljning och planering av verksamheten.
Uppgifter som får behandlas enligt första stycket får även behandlas i databasen för tillhandahållande av information som behövs i Kronofogdemyndighetens verksamhet för handläggning av ärenden om skuldsanering och F-skuldsanering.
3 §
Uppgifter får behandlas i databasen för att tillhandahålla information som behövs i författningsreglerad verksamhet hos någon annan än Kronofogdemyndigheten för
Uppgifter som behandlas enligt 2 § får även behandlas i databasen för att tillhandahålla information som behövs i författningsreglerad verksamhet hos någon annan än Kronofogdemyndigheten för
1. avräkning vid återbetalning av skatter och avgifter,
2. kvittning vid utbetalning av bidrag,
3. planering, samordning och uppföljning av revision och annan kontrollverksamhet vid beskattning och tulltaxering,
4. utredningar vid bestämmande och betalning av skatter, tullar och avgifter,
5. ärenden om ansvar för någon annans skatter och avgifter, och
6. kontroll och tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning.
Uppgifter som behandlas enligt 2 § får även behandlas i databasen för att tillhandahålla information som behövs i Kronofogdemyndighetens verksamhet för handläggning av ärenden om skuldsanering och F-skuldsanering.
Uppgifter får även behandlas i databasen för att tillhandahålla information i den utsträckning som en skyldighet att lämna uppgifterna följer av lag eller förordning.
Uppgifter som behandlas enligt 2 § får även behandlas i databasen för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
Uppgifter som behandlas enligt 2 § får även behandlas för andra ändamål, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in.
8 §
Uppgifter får behandlas i databasen för tillhandahållande av information som behövs i Kronofogdemyndighetens verksamhet för
Uppgifter får behandlas i databasen för att tillhandahålla information som behövs i Kronofogdemyndighetens verksamhet för
1. handläggningen av mål om betalningsföreläggande, handräckning eller europeiskt betalningsföreläggande,
2. tillhandahållande av utslag i mål om betalningsföreläggande och handräckning samt verkställighetsförklaring i mål om europeiskt betalningsföreläggande,
3. förebyggande av överskuldsättning och information om skuldsanering och F-skuldsanering, och
4. tillsyn, kontroll, uppföljning och planering av verksamheten.
Uppgifter som får behandlas enligt första stycket får även behandlas i databasen för tillhandahållande av information som behövs i Kronofogdemyndighetens verksamhet för handläggning av ärenden om skuldsanering och F-skuldsanering.
9 §
Uppgifter får behandlas i databasen för att tillhandahålla information som behövs i författningsreglerad verksamhet hos någon annan än Kronofogde-myndigheten för tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning.
Uppgifter som behandlas enligt 8 § får även behandlas i databasen för att tillhandahålla information som behövs i författningsreglerad verksamhet hos någon annan än Kronofogdemyndigheten för tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning.
Uppgifter som behandlas enligt 8 § får även behandlas i databasen för att tillhandahålla information som behövs i Kronofogdemyndighetens verksamhet för handläggning av ärenden om skuldsanering och F-skuldsanering.
Uppgifter får även behandlas i databasen för att tillhandahålla information i den utsträckning som en skyldighet att lämna uppgifterna följer av lag eller förordning.
Uppgifter som behandlas enligt 8 § får även behandlas i databasen för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
Uppgifter som behandlas enligt 8 § får även behandlas för andra ändamål, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in.
14 §
Uppgifter får behandlas i databasen för tillhandahållande av information som behövs i Kronofogdemyndighetens verksamhet för
Uppgifter får behandlas i databasen för att tillhandahålla information som behövs i Kronofogdemyndighetens verksamhet för
1. handläggning av ärenden om skuldsanering och F-skuldsanering,
2. förebyggande av överskuldsättning, och
3. tillsyn, kontroll, uppföljning och planering av verksamheten.
15 §
Uppgifter får behandlas i databasen för att tillhandahålla information som behövs i författningsreglerad verksamhet hos någon annan än Kronofogdemyndigheten för tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning.
Uppgifter som behandlas enligt 14 § får även behandlas i databasen för att tillhandahålla information som behövs i författningsreglerad verksamhet hos någon annan än Kronofogdemyndigheten för tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning.
Uppgifter får även behandlas i databasen för att tillhandahålla information i den utsträckning som en skyldighet att lämna uppgifterna följer av lag eller förordning.
Uppgifter som behandlas enligt 14 § får även behandlas i databasen för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
Uppgifter som behandlas enligt 14 § får även behandlas för andra ändamål, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in.
20 §
Uppgifter får behandlas i databasen för tillhandahållande av information som behövs i Kronofogdemyndighetens verksamhet för
Uppgifter får behandlas i databasen för att tillhandahålla information som behövs i Kronofogdemyndighetens verksamhet för
1. handläggningen av konkurstillsynsärenden och mål enligt lönegarantilagen (1992:497),
2. förebyggande av överskuldsättning och information om skuldsanering och F-skuldsanering, och
3. tillsyn, kontroll, uppföljning och planering av verksamheten.
Uppgifter som får behandlas enligt första stycket får även behandlas i databasen för tillhandahållande av information som behövs i Kronofogdemyndighetens verksamhet för handläggning av ärenden om skuldsanering och F-skuldsanering.
20 a §
Uppgifter som behandlas enligt 20 § får även behandlas i databasen för att tillhandahålla information som behövs i Kronofogdemyndighetens verksamhet för handläggning av ärenden om skuldsanering och F-skuld-sanering.
Uppgifter får utöver det som anges i 20 § behandlas i databasen för att tillhandahålla information i den utsträckning som en skyldighet att lämna uppgifterna följer av lag eller förordning.
Uppgifter som behandlas enligt 20 § får även behandlas i databasen för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
Uppgifter som behandlas enligt 20 § får även behandlas för andra ändamål, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in.
30 §
Kronofogdemyndigheten får ta ut avgifter för att lämna ut uppgifter ur en databas enligt de närmare föreskrifter som meddelas av regeringen.
Rätten att ta ut avgifter enligt första stycket får inte innebära inskränkning i rätten att ta del av och mot fastställd avgift få kopia eller utskrift av allmän handling enligt tryckfrihetsförordningen.
Rätten att ta ut avgifter får inte innebära en inskränkning i
1. rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen, eller
2. en registrerads rätt enligt artikel 12.5 i Europaparlamentets och rådets förordning (EU) nr 2016/679.
3 kap.
2 §
Information som skall lämnas enligt 26 § personuppgiftslagen (1998:204) behöver inte omfatta uppgift i en handling som avses i 2 kap. 24 §, om den enskilde har tagit del av handlingens innehåll. Om den enskilde begär det skall dock informationen även omfatta uppgift i en sådan handling.
Information som ska lämnas enligt artikel 15 i Europaparlamentets och rådets förordning (EU) nr 2016/679 behöver inte omfatta uppgift i en handling som avses i 2 kap. 24 §, om den enskilde har tagit del av handlingens innehåll. Om den enskilde begär det ska dock informationen även omfatta uppgift i en sådan handling.
Om informationen inte innehåller handling som avses i första stycket skall det av informationen framgå att handlingen behandlas i databasen.
Om informationen inte innehåller handling som avses i första stycket, ska det av informationen framgå att handlingen behandlas i databasen.
Rättelse och skadestånd
Rättelse
3 §
Kronofogdemyndigheten ska på begäran av den registrerade snarast rätta, blockera eller utplåna sådana uppgifter som
1. inte har behandlats i enlighet med denna lag eller anslutande författningar, eller
2. är missvisande i fråga om den registrerades vilja eller förmåga att uppfylla sina ekonomiska förpliktelser.
Om uppgifterna lämnats ut till tredje man, ska Kronofogdemyndigheten underrätta denne om åtgärd enligt första stycket, om den registrerade begär det eller om mera betydande skada eller olägenhet för den registrerade kan undvikas på detta sätt. Någon underrättelse behöver dock inte lämnas, om detta skulle innebära en oproportionerligt stor arbetsinsats.
I fråga om personuppgifter finns bestämmelser om rättelse m.m. också i Europaparlamentets och rådets förordning (EU) nr 2016/679.
Invändningar mot behandling
3 a §
Rätten att göra invändningar enligt artikel 21.1 i Europaparlamentets och rådets förordning (EU) nr 2016/679 gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till den.
4 §
En myndighets beslut om rättelse och om information som skall lämnas enligt 26 § personuppgiftslagen (1998:204) får överklagas hos allmän förvaltningsdomstol. Andra beslut enligt denna lag får inte överklagas.
Bestämmelser om att vissa beslut får överklagas finns i lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning.
Utöver de beslut som får överklagas enligt de bestämmelser som avses i första stycket får beslut om rättelse enligt 3 kap. 3 § första stycket 2 denna lag överklagas till allmän förvaltningsdomstol.
Prövningstillstånd krävs vid överklagande till kammarrätten.
1. Denna lag träder i kraft den 25 maj 2018.
2. Äldre föreskrifter om straff gäller fortfarande för överträdelser som har skett före ikraftträdandet.
Förslag till lag om ändring i lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet
Härigenom föreskrivs i fråga om lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet
dels att 3 kap. 1 och 4 §§ och rubriken närmast före 3 kap. 4 § ska upphöra att gälla,
dels att 1 kap. 2-4, 5 och 7 §§, 2 kap. 11 §, 3 kap. 2 och 3 §§ och rubrikerna närmast före 1 kap. 2 § och 3 kap. 3 § ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
1 kap.
Förhållandet till personuppgiftslagen
Förhållandet till annan reglering
2 §
Om inte annat anges i 3 § eller 3 kap. gäller denna lag i stället för personuppgiftslagen (1998:204).
Bestämmelser om behandling av personuppgifter finns i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän data-skyddsförordning). Denna lag innehåller kompletterande bestämmelser om sådan behandling.
En registrerad har inte rätt att motsätta sig sådan behandling som är tillåten enligt denna lag.
3 §
När personuppgifter behandlas enligt denna lag eller enligt andra föreskrifter som meddelats med stöd av lagen gäller personuppgiftslagens (1998:204) bestämmelser om
1. definitioner i 3 §,
2. förhållandet till offentlighetsprincipen m.m. i 8 §,
3. grundläggande krav på behandling i 9 §, med undantag för vad som sägs i första stycket i och tredje stycket,
4. säkerheten vid behandling i 30-32 §§,
5. överföring av personuppgifter till tredje land i 33-35 §§,
6. personuppgiftsombud, m.m. i 36 § andra stycket och 38-41 §§,
7. upplysningar till allmänheten om vissa behandlingar i 42 §,
8. tillsynsmyndighetens befogenheter i 43 och 47 §§, och
9. straff i 49 §.
Vid behandling av personuppgifter som inte sker i databasen gäller även 22 § personuppgiftslagen.
Även lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt denna lag, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till den.
4 §
Uppgifter får behandlas för tillhandahållande av information som behövs hos Tullverket för
Uppgifter får behandlas för att tillhandahålla information som behövs hos Tullverket för
1. bestämmande, redovisning, betalning och återbetalning av tull, annan skatt och avgifter,
2. övervakning, revision och annan analys- eller kontrollverksamhet,
3. fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande, och
4. tillsyn, kontroll, uppföljning och planering av verksamheten.
Uppgifter som behandlas enligt första stycket får även behandlas för tillhandahållande av information som behövs i Tullverkets brottsbekämpande verksamhet enligt 2 kap. 5 § tullbrottsdatalagen (2017:447).
5 §
Uppgifter får behandlas för att tillhandahålla information som behövs i författningsreglerad verksamhet hos någon annan än Tullverket för
Uppgifter som behandlas enligt 4 § får även behandlas för att tillhandahålla information som behövs i författningsreglerad verksamhet hos någon annan än Tullverket för
1. fastställande av underlag för samt bestämmande, redovisning, betalning och återbetalning av skatter eller avgifter,
2. revision och annan analys- eller kontrollverksamhet,
3. tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning, och
4. utsökning och indrivning.
Uppgifter som behandlas enligt 4 § får även behandlas för tillhandahållande av information som behövs i Tullverkets brottsbekämpande verksamhet enligt 2 kap. 5 § tullbrottsdatalagen (2017:447).
Uppgifter får även behandlas för att tillhandahålla information i den utsträckning som en skyldighet att lämna uppgifterna följer av lag eller förordning.
Uppgifter som behandlas enligt 4 § får även behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
Uppgifter som behandlas enligt 4 § får även behandlas för andra ändamål, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in.
7 §
Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) och uppgifter om lagöverträdelser m.m. som anges i 21 § samma lag får behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.
Sådana särskilda kategorier av personuppgifter som avses i artikel 9.1 i Europaparlamentets och rådets förordning (EU) nr 2016/679 (känsliga personuppgifter) och uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straff-processuella tvångsmedel eller administrativa frihetsberövanden får behandlas endast om upp-gifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.
Uppgifter som avses i första stycket får i annat fall behandlas endast om det särskilt anges i 2 kap.
2 kap.
11 §
Tullverket får ta ut avgifter för att lämna ut uppgifter ur databasen enligt de närmare föreskrifter som meddelas av regeringen.
Rätten att ta ut avgifter enligt första stycket får inte innebära inskränkning i rätten att ta del av och mot fastställd avgift få kopia eller utskrift av allmän handling enligt tryckfrihetsförordningen.
Rätten att ta ut avgifter får inte innebära en inskränkning i
1. rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen, eller
2. en registrerads rätt enligt artikel 12.5 i Europaparlamentets och rådets förordning (EU) nr 2016/679.
3 kap.
2 §
Information som skall lämnas enligt 26 § personuppgiftslagen (1998:204) behöver inte omfatta uppgift i en handling som avses i 2 kap. 4 §, om den enskilde har tagit del av handlingens innehåll. Om den enskilde begär det skall dock informationen även omfatta uppgift i en sådan handling.
Information som ska lämnas enligt artikel 15 i Europaparlamentets och rådets förordning (EU) nr 2016/679 behöver inte omfatta uppgift i en handling som avses i 2 kap. 4 §, om den enskilde har tagit del av handlingens innehåll. Om den enskilde begär det ska dock informationen även omfatta uppgift i en sådan handling.
Om informationen inte innehåller handling som avses i första stycket skall det av informationen framgå att handlingen behandlas i databasen.
Om informationen inte innehåller handling som avses i första stycket, ska det av informationen framgå att handlingen behandlas i databasen.
Rättelse och skadestånd
Invändningar mot behandling
3 §
Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt denna lag eller anslutande författningar.
Rätten att göra invändningar enligt artikel 21.1 i Europaparlamentets och rådets förordning (EU) nr 2016/679 gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till den.
1. Denna lag träder i kraft den 25 maj 2018.
2. Äldre föreskrifter om straff gäller fortfarande för överträdelser som har skett före ikraftträdandet.
Förslag till lag om ändring i lagen (2015:898) om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter
Härigenom föreskrivs i fråga om lagen (2015:898) om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter
dels att 3 § ska upphöra att gälla,
dels att 4, 6, 7 och 10 §§ och rubrikerna närmast före 4 och 10 §§ ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
Förhållandet till personuppgiftslagen
Förhållandet till annan reglering
4 §
Bestämmelser om behandling av personuppgifter finns i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Denna lag innehåller kompletterande bestämmelser om sådan behandling.
Vid behandling av person-uppgifter som omfattas av denna lag gäller personuppgiftslagen (1998:204), om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Även lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt denna lag, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till den.
6 §
Personuppgifter får behandlas om det behövs i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter.
Personuppgifter som behandlas enligt första stycket får också behandlas om det behövs för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. I övrigt gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204).
Personuppgifter som behandlas enligt första stycket får också behandlas om det behövs för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Uppgifter som behandlas enligt första stycket får även behandlas för andra ändamål, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in.
7 §
Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) får behandlas i en handling som har lämnats i ett ärende. Sådana uppgifter får behandlas även i en handling som har upprättats i ett ärende, om de är nödvändiga för ärendets hand-läggning.
Sådana särskilda kategorier av personuppgifter som avses i artikel 9.1 i Europaparlamentets och rådets förordning (EU) nr 2016/679 (känsliga personuppgifter) får behandlas i en handling som har lämnats i ett ärende. Sådana uppgifter får behandlas även i en handling som har upprättats i ett ärende, om de är nödvändiga för ärendets hand-läggning.
Rättelse och skadestånd
Invändningar mot behandling
10 §
Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd tillämpas också vid behandling av personuppgifter i strid med denna lag.
Rätten att göra invändningar enligt artikel 21.1 i Europaparlamentets och rådets förordning (EU) nr 2016/679 gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till den.
Denna lag träder i kraft den 25 maj 2018.
Förslag till lag om ändring i lagen (2015:899) om identitetskort för folkbokförda i Sverige
Härigenom föreskrivs i fråga om lagen (2015:899) om identitetskort för folkbokförda i Sverige
dels att 9 § ska upphöra att gälla,
dels att 10, 12, 13, 17 och 18 §§ och rubriken närmast före 10 och 18 §§ ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
Förhållandet till personuppgiftslagen
Förhållandet till annan reglering
10 §
Bestämmelser om behandling av personuppgifter finns i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Denna lag innehåller kompletterande bestämmelser om sådan behandling.
Vid behandling av person-uppgifter i databasen gäller personuppgiftslagen (1998:204) om inte annat följer av denna lag eller föreskrifter som har med-delats i anslutning till lagen.
Även lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt denna lag, om inte annat följer av denna lag eller före-skrifter som har meddelats i anslutning till den.
12 §
Personuppgifter får behandlas i databasen om det behövs i den utfärdande myndighetens verksamhet för utfärdande av identitetskort.
Personuppgifter som behandlas enligt första stycket får också behandlas om det behövs för att fullgöra uppgiftsutlämnande som sker i överensstämmelse med lag eller förordning. I övrigt gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204).
Personuppgifter som behandlas enligt första stycket får också behandlas om det behövs för att fullgöra uppgiftsutlämnande som sker i överensstämmelse med lag eller förordning. Uppgifter som behandlas enligt första stycket får även behandlas för andra ändamål, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in.
13 §
Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) får behandlas i en handling som har lämnats i ett ärende. Sådana uppgifter får behandlas även i en handling som har upprättats i ett ärende, om de är nödvändiga för ärendets hand-läggning.
Sådana särskilda kategorier av personuppgifter som avses i artikel 9.1 i Europaparlamentets och rådets förordning (EU) nr 2016/679 (känsliga personuppgifter) får behandlas i en handling som har lämnats i ett ärende. Sådana uppgifter får behandlas även i en handling som har upprättats i ett ärende, om de är nödvändiga för ärendets handläggning.
17 §
Ansiktsbilden enligt 2 § 1 och 14 § får inte användas vid sökning med hjälp av automatiserad behandling.
Känsliga personuppgifter som avses i 13 § och uppgifter om lagöverträdelser som avses i 21 § personuppgiftslagen (1998:204) får inte användas som sökbegrepp.
Känsliga personuppgifter som avses i 13 § och uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straff-processuella tvångsmedel eller administrativa frihetsberövanden får inte användas som sökbegrepp.
Rättelse och skadestånd
Invändningar mot behandling
18 §
Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd tillämpas också vid behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Rätten att göra invändningar enligt artikel 21.1 i Europaparlamentets och rådets förordning (EU) nr 2016/679 gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till den.
Denna lag träder i kraft den 25 maj 2018.
Förteckning över remissinstanserna
Efter remiss har yttranden inkommit från Södertörns tingsrätt, Kammarrätten i Göteborg, Förvaltningsrätten i Stockholm, Justitiekanslern, Domstolsverket, Åklagarmyndigheten, Ekobrottsmyndigheten, Polismyndigheten, Kriminalvården, Kustbevakningen, Datainspektionen, Försäkringskassan, Tullverket, Skatteverket, Kronofogdemyndigheten, Statistiska centralbyrån, Transportstyrelsen, Riksarkivet, Svenska bankföreningen, Svenskt näringsliv, Sveriges advokatsamfund, Svensk inkasso och UC AB.
Yttranden har också inkommit från Bisnode AB, Svensk Försäkring och dataskydd.net.
Riksdagens ombudsmän, Uppsala universitet, Regelrådet och Sveriges Akademikers Centralorganisation (Saco) har avstått från att yttra sig.
Yttranden har inte kommit in från Swedish Direct Marketing Association (SWEDMA) och Tjänstemännens centralorganisation (TCO).
Lagrådsremissens lagförslag
Förslag till lag om ändring i lagen (1998:527) om det statliga personadressregistret
Härigenom föreskrivs i fråga om lagen (1998:527) om det statliga personadressregistret
dels att 9 § ska upphöra att gälla,
dels att rubriken närmast före 9 § ska utgå,
dels att 2 § ska ha följande lydelse,
dels att det ska införas en ny paragraf, 3 a §, och närmast före 3 a § en ny rubrik av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
2 §
När personuppgifter behandlas i SPAR gäller personuppgiftslagen (1998:204), om inte avvikande bestämmelser meddelas i denna lag. De beteckningar som används i denna lag har samma betydelse som i 3 § personuppgiftslagen.
Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän data-skyddsförordning), här benämnd EU:s dataskyddsförordning.
Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Rätten att göra invändningar
3 a §
Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Bestämmelser om rätten att göra invändningar mot behandling för direkt marknadsföring finns i artikel 21.2 i samma förordning.
Denna lag träder i kraft den 25 maj 2018.
Förslag till lag om ändring i lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet
Härigenom föreskrivs i fråga om lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet
dels att 3 kap. 1, 2, 3 och 4 §§ ska upphöra att gälla,
dels att rubrikerna närmast före 3 kap. 3 och 4 §§ ska utgå,
dels att 1 kap. 2-5 och 7 §§, 2 kap. 14 §, 3 kap. 2 a § och rubriken närmast före 1 kap. 2 § ska ha följande lydelse,
dels att det ska införas en ny paragraf, 3 kap. 3 §, och närmast före 3 kap. 3 § en ny rubrik av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
1 kap.
Förhållandet till personuppgiftslagen
Förhållandet till annan reglering
2 §
Om inte annat anges i 3 § eller 3 kap. gäller denna lag i stället för personuppgiftslagen (1998:204).
Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
En registrerad har inte rätt att motsätta sig sådan behandling som är tillåten enligt denna lag.
3 §
När personuppgifter behandlas enligt denna lag eller enligt andra föreskrifter i det ämne som regleras i lagen gäller personuppgiftslagens (1998:204) bestämmelser om
1. definitioner i 3 §,
2. förhållandet till offentlighetsprincipen m.m. i 8 §,
3. grundläggande krav på behandling i 9 § med undantag för vad som sägs i första stycket i och tredje stycket,
4. säkerheten vid behandling i 30-32 §§,
5. överföring av personuppgifter till tredje land i 33-35 §§,
6. personuppgiftsombud, m.m. i 36 § andra stycket och 38-41 §§,
7. upplysningar till allmänheten om vissa behandlingar i 42 § med den begränsning som anges i 3 kap. 2 a § i denna lag,
8. tillsynsmyndighetens befogenheter i 43 och 47 §§, och
9. straff i 49 §.
Vid behandling av personuppgifter som inte sker i databaser gäller även 22 § personuppgiftslagen.
Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
4 §
Uppgifter får behandlas för tillhandahållande av information som behövs hos Skatteverket för
Uppgifter får behandlas för att tillhandahålla information som behövs hos Skatteverket för
1. fastställande av underlag för samt bestämmande, redovisning, betalning och återbetalning av skatter och avgifter,
2. bestämmande av pensionsgrundande inkomst,
3. fastighetstaxering,
4. revision och annan analys- eller kontrollverksamhet,
5. tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning,
6. handläggning
a) enligt lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter,
b) av andra frågor om ansvar för någon annans skatter och avgifter,
c) enligt lagen (2015:912) om automatiskt utbyte av upplysningar om finansiella konton och 22 b kap. skatteförfarandelagen (2011:1244), och
d) enligt lagen (2017:182) om automatiskt utbyte av land-för-land-rapporter på skatteområdet och 33 a kap. skatteförfarandelagen.
7. fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande,
8. hantering av underrättelser från arbetsgivare om anställning av utlänningar som avses i lagen (2013:644) om rätt till lön och annan ersättning för arbete utfört av en utlänning som inte har rätt att vistas i Sverige,
9. hantering av uppgifter om sjuklönekostnad, och
10. tillsyn, kontroll, uppföljning och planering av verksamheten.
Uppgifter som får behandlas enligt första stycket får även behandlas för tillhandahållande av information som behövs i Skatteverkets verksamhet enligt lagen (1997:1024) om Skatteverkets brottsbekämpande verksamhet.
5 §
Uppgifter får behandlas för att tillhandahålla information som behövs i författningsreglerad verksamhet hos någon annan än Skatteverket för
1. fastställande av underlag för samt redovisning, bestämmande, betalning och återbetalning av skatter eller avgifter,
2. utsökning, indrivning, skuldsanering och F-skuldsanering,
3. att utgöra underlag för beräkning, beslut och kontroll i fråga om förmån, bidrag och andra stöd,
4. pensionsberäkning,
5. tillsyn och kontroll samt lämplighets- och tillståndsprövning och annan liknande prövning, och
6. aktualisering och komplettering av uppgifter om fastigheter i andra myndigheters register.
Uppgifter som behandlas enligt 4 § får även behandlas för
1. att tillhandahålla information som behövs i författningsreglerad verksamhet hos någon annan än Skatteverket för
a) fastställande av underlag för samt redovisning, bestämmande, betalning och återbetalning av skatter eller avgifter,
b) utsökning, indrivning, skuldsanering och F-skuldsanering,
c) att utgöra underlag för beräkning, beslut och kontroll i fråga om förmån, bidrag och andra stöd,
d) pensionsberäkning,
e) tillsyn och kontroll samt lämplighets- och tillståndsprövning och annan liknande prövning, och
f) aktualisering och komplettering av uppgifter om fastigheter i andra myndigheters register,
2. att tillhandahålla information som behövs i Skatteverkets brottsbekämpande verksamhet enligt lagen (1997:1024) om Skatteverkets brottsbekämpande verksamhet,
3. att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning, och
4. andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
Uppgifter får även behandlas för att tillhandahålla information i den utsträckning som en skyldighet att lämna uppgifterna följer av lag eller förordning.
7 §
Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) och uppgifter om lagöverträdelser m.m. som anges i 21 § samma lag får behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.
Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) och uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden får behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.
Uppgifter som avses i första stycket får i annat fall behandlas endast om det särskilt anges i 2 kap.
2 kap.
14 §
Skatteverket får ta ut avgifter för att lämna ut uppgifter ur databasen enligt de närmare föreskrifter som meddelas av regeringen.
Rätten att ta ut avgifter enligt första stycket får inte innebära inskränkning i rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen.
Rätten att ta ut avgifter får inte innebära en inskränkning i
1. rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen, eller
2. en registrerads rätt enligt artikel 12.5 i EU:s dataskyddsförordning.
3 kap.
2 a §
Vid behandling av personuppgifter på grund av samarbete enligt lagen (2012:843) om administrativt samarbete inom Europeiska unionen i fråga om beskattning tillämpas inte 23, 25, 26, 28 och 42 §§ personuppgiftslagen (1998:204) om sådana begränsningar är nödvändiga med hänsyn till ett intresse som anges i 8 a § f personuppgiftslagen.
Vid behandling av person-uppgifter på grund av samarbete enligt lagen (2012:843) om administrativt samarbete inom Europeiska unionen i fråga om beskattning ska artikel 13 och 15-19 i EU:s dataskyddsförordning inte tillämpas, om sådana begränsningar är nödvändiga med hänsyn till ett viktigt ekonomiskt eller finansiellt intresse hos Europeiska unionen eller en stat som ingår i unionen.
Rätten att göra invändningar
3 §
Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.
1. Denna lag träder i kraft den 25 maj 2018.
2. Äldre föreskrifter om straff gäller fortfarande för överträdelser som har skett före ikraftträdandet.
Förslag till lag om ändring i lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet
Härigenom föreskrivs i fråga om lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet
dels att 3 kap. 1-4 §§ ska upphöra att gälla,
dels att rubrikerna närmast före 3 kap. 1, 3 och 4 §§ ska utgå,
dels att 1 kap. 2-4 och 6 §§, 2 kap. 12 § och rubriken närmast före 1 kap. 2 § ska ha följande lydelse,
dels att det ska införas en ny paragraf, 3 kap. 1 §, av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
Förhållandet till personuppgiftslagen
Förhållandet till annan reglering
1 kap.
2 §
Om inte annat anges i 3 § eller 3 kap. gäller denna lag i stället för personuppgiftslagen (1998:204).
Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän data-skyddsförordning), här benämnd EU:s dataskyddsförordning.
En registrerad har inte rätt att motsätta sig sådan behandling som är tillåten enligt denna lag.
3 §
När personuppgifter behandlas enligt denna lag eller enligt andra föreskrifter i det ämne som regleras i lagen gäller personuppgiftslagens (1998:204) bestämmelser om
1. definitioner i 3 §,
2. förhållandet till offentlighetsprincipen m.m. i 8 §,
3. grundläggande krav på behandling i 9 § med undantag för vad som sägs i första stycket i och tredje stycket,
4. säkerheten vid behandling i 30-32 §§,
5. överföring av personuppgifter till tredje land i 33-35 §§,
6. personuppgiftsombud, m.m. i 36 § andra stycket och 38-41 §§,
7. upplysningar till allmänheten om vissa behandlingar i 42 §,
8. tillsynsmyndighetens befogenheter i 43 och 47 §§, och
9. straff i 49 §.
Vid behandling av personuppgifter som inte sker i databaser gäller även 22 § personuppgiftslagen.
Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
4 §
Uppgifter får behandlas för att tillhandahålla information som behövs för
1. samordnad behandling, kontroll och analys av identifieringsuppgifter för fysiska personer och av andra folkbokföringsuppgifter,
2. handläggning av folkbokföringsärenden,
3. fullgörande av underrättelseskyldighet enligt lag eller förordning,
4. framställning av personbevis och andra registerutdrag,
5. aktualisering, komplettering och kontroll av personuppgifter,
6. uttag av urval av personuppgifter, och
7. tillsyn, kontroll, uppföljning och planering av folkbokföringsverksamheten.
Uppgifter får även behandlas för att tillhandahålla information i den utsträckning som en skyldighet att lämna uppgifterna följer av lag eller förordning.
Uppgifter får även behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Insamlade uppgifter får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
6 §
Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) och uppgifter om lagöverträdelser m.m. som anges i 21 § samma lag får behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.
Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) och uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden får behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.
Uppgifter som avses i första stycket får i annat fall behandlas endast om det särskilt anges i 2 kap.
2 kap.
12 §
Skatteverket får ta ut avgifter för att lämna ut uppgifter ur databasen enligt de närmare föreskrifter som meddelas av regeringen.
Rätten att ta ut avgifter enligt första stycket får inte innebära inskränkning i rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen.
Rätten att ta ut avgifter får inte innebära en inskränkning i
1. rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen, eller
2. en registrerads rätt enligt artikel 12.5 i EU:s dataskyddsförordning.
3 kap.
1 §
Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.
1. Denna lag träder i kraft den 25 maj 2018.
2. Äldre föreskrifter om straff gäller fortfarande för överträdelser som har skett före ikraftträdandet.
Förslag till lag om ändring i lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet
Härigenom föreskrivs i fråga om lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet
dels att 1 kap. 3 a §, 3 kap. 1, 2 och 3 §§ ska upphöra att gälla,
dels att rubrikerna närmast före 3 kap. 1 och 3 §§ ska utgå,
dels att 1 kap. 2, 3 och 6 §§, 2 kap. 2, 3, 8, 9, 14, 15, 20, 20 a och 30 §§, 3 kap. 3 a och 4 §§ och rubriken närmast före 1 kap. 2 § ska ha följande lydelse,
dels att det ska införas en ny paragraf, 3 kap. 3 §, och närmast före 3 kap. 3 och 3 a §§ nya rubriker av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
1 kap.
Förhållandet till andra bestämmelser om personuppgiftsbehandling
Förhållandet till annan reglering
2 §
Om inte annat anges i 3 § eller 3 kap. gäller denna lag i stället för personuppgiftslagen (1998:204 ).
Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
En registrerad har inte rätt att motsätta sig sådan behandling som är tillåten enligt denna lag.
3 §
När personuppgifter behandlas enligt denna lag eller enligt andra föreskrifter i det ämne som regleras i lagen gäller personuppgiftslagens (1998:204) bestämmelser om
1. definitioner i 3 §,
2. förhållandet till offentlighetsprincipen m.m. i 8 §,
3. grundläggande krav på behandling i 9 § med undantag för vad som sägs i första stycket i och tredje stycket,
4. säkerheten vid behandling i 30-32 §§,
5. överföring av personuppgifter till tredje land i 33-35 §§,
6. personuppgiftsombud, m.m. i 36 § andra stycket och 38-41 §§,
7. upplysningar till allmänheten om vissa behandlingar i 42 §,
8. tillsynsmyndighetens befogenheter i 43 och 47 §§, och
9. straff i 49 §.
Vid behandling av personuppgifter som inte sker i databaser gäller även 22 § personuppgiftslagen.
Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
6 §
Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) och uppgifter om lagöverträdelser m.m. som anges i 21 § samma lag får behandlas endast om uppgifterna har lämnats i ett mål eller ärende eller är nödvändiga för handläggningen av det.
Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) och uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straff-processuella tvångsmedel eller administrativa frihetsberövanden får behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.
Uppgifter som avses i första stycket får i annat fall behandlas endast om det särskilt anges i 2 kap.
2 kap.
2 §
Uppgifter får behandlas i databasen för tillhandahållande av information som behövs i Kronofogdemyndighetens och Skatteverkets verksamhet för
Uppgifter får behandlas i databasen för att tillhandahålla information som behövs i Kronofogdemyndighetens och Skatteverkets verksamhet för
1. verkställighet eller annan åtgärd som särskilt åligger Kronofogdemyndigheten enligt utsökningsbalken eller annan författning,
2. indrivning av statliga fordringar m.m.,
3. avräkning vid återbetalning av skatter och avgifter,
4. ansökan om och tillsyn över näringsförbud,
5. förebyggande av överskuldsättning och information om skuldsanering och F-skuldsanering,
6. fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande, och
7. tillsyn, kontroll, uppföljning och planering av verksamheten.
Uppgifter som får behandlas enligt första stycket får även behandlas i databasen för tillhandahållande av information som behövs i Kronofogdemyndighetens verksamhet för handläggning av ärenden om skuldsanering och F-skuldsanering.
3 §
Uppgifter får behandlas i databasen för att tillhandahålla information som behövs i författningsreglerad verksamhet hos någon annan än Kronofogdemyndigheten för
1. avräkning vid återbetalning av skatter och avgifter,
2. kvittning vid utbetalning av bidrag,
3. planering, samordning och uppföljning av revision och annan kontrollverksamhet vid beskattning och tulltaxering,
4. utredningar vid bestämmande och betalning av skatter, tullar och avgifter,
5. ärenden om ansvar för någon annans skatter och avgifter, och
6. kontroll och tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning.
Uppgifter som behandlas enligt 2 § får även behandlas i databasen för
1. att tillhandahålla information som behövs i författningsreglerad verksamhet hos någon annan än Kronofogdemyndigheten för
a) avräkning vid återbetalning av skatter och avgifter,
b) kvittning vid utbetalning av bidrag,
c) planering, samordning och uppföljning av revision och annan kontrollverksamhet vid beskattning och tulltaxering,
d) utredningar vid bestämmande och betalning av skatter, tullar och avgifter,
e) ärenden om ansvar för någon annans skatter och avgifter, och
f) kontroll och tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning,
2. att tillhandahålla information som behövs i Kronofogdemyndighetens verksamhet för
handläggning av ärenden om skuldsanering och F-skuldsanering,
3. att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning, och
4. andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
Uppgifter får även behandlas i databasen för att tillhandahålla information i den utsträckning som en skyldighet att lämna uppgifterna följer av lag eller förordning.
8 §
Uppgifter får behandlas i databasen för tillhandahållande av information som behövs i Kronofogdemyndighetens verksamhet för
Uppgifter får behandlas i databasen för att tillhandahålla information som behövs i Kronofogdemyndighetens verksamhet för
1. handläggningen av mål om betalningsföreläggande, handräckning eller europeiskt betalningsföreläggande,
2. tillhandahållande av utslag i mål om betalningsföreläggande och handräckning samt verkställighetsförklaring i mål om europeiskt betalningsföreläggande,
3. förebyggande av överskuldsättning och information om skuldsanering och F-skuldsanering, och
4. tillsyn, kontroll, uppföljning och planering av verksamheten.
Uppgifter som får behandlas enligt första stycket får även behandlas i databasen för tillhandahållande av information som behövs i Kronofogdemyndighetens verksamhet för handläggning av ärenden om skuldsanering och F-skuldsanering.
9 §
Uppgifter får behandlas i databasen för att tillhandahålla information som behövs i författningsreglerad verksamhet hos någon annan än Kronofogde-myndigheten för tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning.
Uppgifter som behandlas enligt 8 § får även behandlas i databasen för
1. att tillhandahålla information som behövs i författningsreglerad verksamhet hos någon annan än Kronofogdemyndigheten för tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning,
2. att tillhandahålla information som behövs i Kronofogdemyndighetens verksamhet för handläggning av ärenden om skuldsanering och F-skuldsanering,
3. att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning, och
4. andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
Uppgifter får även behandlas i databasen för att tillhandahålla information i den utsträckning som en skyldighet att lämna uppgifterna följer av lag eller förordning.
14 §
Uppgifter får behandlas i databasen för tillhandahållande av information som behövs i Kronofogdemyndighetens verksamhet för
Uppgifter får behandlas i databasen för att tillhandahålla information som behövs i Kronofogdemyndighetens verksamhet för
1. handläggning av ärenden om skuldsanering och F-skuldsanering,
2. förebyggande av överskuldsättning, och
3. tillsyn, kontroll, uppföljning och planering av verksamheten.
15 §
Uppgifter får behandlas i databasen för att tillhandahålla information som behövs i författningsreglerad verksamhet hos någon annan än Kronofogdemyndigheten för tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning.
Uppgifter som behandlas enligt 14 § får även behandlas i databasen för
1. att tillhandahålla information som behövs i författningsreglerad verksamhet hos någon annan än Kronofogdemyndigheten för tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning,
2. att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning, och
3. andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
Uppgifter får även behandlas i databasen för att tillhandahålla information i den utsträckning som en skyldighet att lämna uppgifterna följer av lag eller förordning.
20 §
Uppgifter får behandlas i databasen för tillhandahållande av information som behövs i Kronofogdemyndighetens verksamhet för
Uppgifter får behandlas i databasen för att tillhandahålla information som behövs i Kronofogdemyndighetens verksamhet för
1. handläggningen av konkurstillsynsärenden och mål enligt lönegarantilagen (1992:497),
2. förebyggande av överskuldsättning och information om skuldsanering och F-skuldsanering, och
3. tillsyn, kontroll, uppföljning och planering av verksamheten.
Uppgifter som får behandlas enligt första stycket får även behandlas i databasen för tillhandahållande av information som behövs i Kronofogdemyndighetens verksamhet för handläggning av ärenden om skuldsanering och F-skuldsanering.
20 a §
Uppgifter får utöver det som anges i 20 § behandlas i databasen för att tillhandahålla information i den utsträckning som en skyldighet att lämna uppgifterna följer av lag eller förordning.
Uppgifter som behandlas enligt 20 § får även behandlas i databasen för
1. att tillhandahålla information som behövs i Kronofogdemyndighetens verksamhet för handläggning av ärenden om skuldsanering och F-skuldsanering,
2. att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning, och
3. andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
30 §
Kronofogdemyndigheten får ta ut avgifter för att lämna ut uppgifter ur en databas enligt de närmare föreskrifter som meddelas av regeringen.
Rätten att ta ut avgifter enligt första stycket får inte innebära inskränkning i rätten att ta del av och mot fastställd avgift få kopia eller utskrift av allmän handling enligt tryckfrihetsförordningen.
Rätten att ta ut avgifter får inte innebära en inskränkning i
1. rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen, eller
2. en registrerads rätt enligt artikel 12.5 i EU:s dataskyddsförordning.
3 kap.
Rätten att göra invändningar
3 §
Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Rättelse
3 a §
Kronofogdemyndigheten ska på begäran av den registrerade snarast rätta, blockera eller utplåna sådana uppgifter som
1. inte har behandlats i enlighet med denna lag eller anslutande författningar, eller
2. är missvisande i fråga om den registrerades vilja eller förmåga att uppfylla sina ekonomiska förpliktelser.
Om uppgifterna lämnats ut till tredje man, ska Kronofogdemyndigheten underrätta denne om åtgärd enligt första stycket, om den registrerade begär det eller om mera betydande skada eller olägenhet för den registrerade kan undvikas på detta sätt. Någon underrättelse behöver dock inte lämnas, om detta skulle innebära en oproportionerligt stor arbetsinsats.
I fråga om personuppgifter finns bestämmelser om rättelse m.m. också i EU:s dataskyddsförordning.
4 §
En myndighets beslut om rättelse och om information som skall lämnas enligt 26 § personuppgiftslagen (1998:204) får överklagas hos allmän förvaltningsdomstol. Andra beslut enligt denna lag får inte överklagas.
Beslut om rättelse enligt 3 a § första stycket får överklagas till allmän förvaltningsdomstol.
Prövningstillstånd krävs vid överklagande till kammarrätten.
1. Denna lag träder i kraft den 25 maj 2018.
2. Äldre föreskrifter om straff gäller fortfarande för överträdelser som har skett före ikraftträdandet.
Förslag till lag om ändring i lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet
Härigenom föreskrivs i fråga om lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet
dels att 3 kap. 1-4 §§ ska upphöra att gälla,
dels att rubrikerna närmast före 3 kap. 1, 3 och 4 §§ ska utgå,
dels att 1 kap. 2-5 och 7 §§, 2 kap. 11 § och rubriken närmast före 1 kap. 2 § ska ha följande lydelse,
dels att det ska införas en ny paragraf, 3 kap. 1 §, av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
1 kap.
Förhållandet till personuppgiftslagen
Förhållandet till annan reglering
2 §
Om inte annat anges i 3 § eller 3 kap. gäller denna lag i stället för personuppgiftslagen (1998:204).
Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän data-skyddsförordning), här benämnd EU:s dataskyddsförordning.
En registrerad har inte rätt att motsätta sig sådan behandling som är tillåten enligt denna lag.
3 §
När personuppgifter behandlas enligt denna lag eller enligt andra föreskrifter som meddelats med stöd av lagen gäller personuppgiftslagens (1998:204) bestämmelser om
1. definitioner i 3 §,
2. förhållandet till offentlighetsprincipen m.m. i 8 §,
3. grundläggande krav på behandling i 9 §, med undantag för vad som sägs i första stycket i och tredje stycket,
4. säkerheten vid behandling i 30-32 §§,
5. överföring av personuppgifter till tredje land i 33-35 §§,
6. personuppgiftsombud, m.m. i 36 § andra stycket och 38-41 §§,
7. upplysningar till allmänheten om vissa behandlingar i 42 §,
8. tillsynsmyndighetens befogenheter i 43 och 47 §§, och
9. straff i 49 §.
Vid behandling av personuppgifter som inte sker i databasen gäller även 22 § personuppgiftslagen.
Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
4 §
Uppgifter får behandlas för tillhandahållande av information som behövs hos Tullverket för
Uppgifter får behandlas för att tillhandahålla information som behövs hos Tullverket för
1. bestämmande, redovisning, betalning och återbetalning av tull, annan skatt och avgifter,
2. övervakning, revision och annan analys- eller kontrollverksamhet,
3. fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande, och
4. tillsyn, kontroll, uppföljning och planering av verksamheten.
Uppgifter som behandlas enligt första stycket får även behandlas för tillhandahållande av information som behövs i Tullverkets brottsbekämpande verksamhet enligt 2 kap. 5 § tullbrottsdatalagen (2017:447).
5 §
Uppgifter får behandlas för att tillhandahålla information som behövs i författningsreglerad verksamhet hos någon annan än Tullverket för
1. fastställande av underlag för samt bestämmande, redovisning, betalning och återbetalning av skatter eller avgifter,
2. revision och annan analys- eller kontrollverksamhet,
3. tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning, och
4. utsökning och indrivning.
Uppgifter som behandlas enligt 4 § får även behandlas för
1. att tillhandahålla information som behövs i författningsreglerad verksamhet hos någon annan än Tullverket för
a) fastställande av underlag för samt bestämmande, redovisning, betalning och återbetalning av skatter eller avgifter,
b) revision och annan analys- eller kontrollverksamhet,
c) tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning, och
d) utsökning och indrivning,
2. att tillhandahålla information som behövs i Tullverkets brottsbekämpande verksamhet enligt 2 kap. 5 § tullbrottsdatalagen (2017:447),
3. att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning, och
4. andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
Uppgifter får även behandlas för att tillhandahålla information i den utsträckning som en skyldighet att lämna uppgifterna följer av lag eller förordning.
7 §
Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) och uppgifter om lagöverträdelser m.m. som anges i 21 § samma lag får behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.
Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) och uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden får behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.
Uppgifter som avses i första stycket får i annat fall behandlas endast om det särskilt anges i 2 kap.
2 kap.
11 §
Tullverket får ta ut avgifter för att lämna ut uppgifter ur databasen enligt de närmare föreskrifter som meddelas av regeringen.
Rätten att ta ut avgifter enligt första stycket får inte innebära inskränkning i rätten att ta del av och mot fastställd avgift få kopia eller utskrift av allmän handling enligt tryckfrihetsförordningen.
Rätten att ta ut avgifter får inte innebära en inskränkning i
1. rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen, eller
2. en registrerads rätt enligt artikel 12.5 i EU:s dataskyddsförordning.
3 kap.
1 §
Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.
1. Denna lag träder i kraft den 25 maj 2018.
2. Äldre föreskrifter om straff gäller fortfarande för överträdelser som har skett före ikraftträdandet.
Förslag till lag om ändring i lagen (2015:898) om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter
Härigenom föreskrivs i fråga om lagen (2015:898) om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter
dels att 3 och 10 §§ ska upphöra att gälla,
dels att rubriken närmast före 10 § ska utgå,
dels att 4, 6 och 7 §§ och rubriken närmast före 4 § ska ha följande lydelse,
dels att det ska införas en ny paragraf, 10 §, och närmast före 10 § en ny rubrik av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
Förhållandet till personuppgiftslagen
Förhållandet till annan reglering
4 §
Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Vid behandling av person-uppgifter som omfattas av denna lag gäller personuppgiftslagen (1998:204), om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
6 §
Personuppgifter får behandlas om det behövs i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter.
Personuppgifter som behandlas enligt första stycket får också behandlas om det behövs för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. I övrigt gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204).
Personuppgifter som behandlas enligt första stycket får också behandlas om det behövs för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Sådana uppgifter får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
7 §
Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) får behandlas i en handling som har lämnats i ett ärende. Sådana uppgifter får behandlas även i en handling som har upprättats i ett ärende, om de är nödvändiga för ärendets hand-läggning.
Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas i en handling som har lämnats i ett ärende. Sådana uppgifter får behandlas även i en handling som har upprättats i ett ärende, om de är nödvändiga för ärendets handläggning.
Rätten att göra invändningar
10 §
Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Denna lag träder i kraft den 25 maj 2018.
Förslag till lag om ändring i lagen (2015:899) om identitetskort för folkbokförda i Sverige
Härigenom föreskrivs i fråga om lagen (2015:899) om identitetskort för folkbokförda i Sverige
dels att 9 och 18 §§ ska upphöra att gälla,
dels att rubriken närmast före 18 § ska utgå,
dels att 10, 12, 13 och 17 §§ och rubriken närmast före 10 § ska ha följande lydelse,
dels att det ska införas en ny paragraf, 18 §, och närmast före 18 § en ny rubrik av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
Förhållandet till personuppgiftslagen
Förhållandet till annan reglering
10 §
Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Vid behandling av person-uppgifter i databasen gäller personuppgiftslagen (1998:204) om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
12 §
Personuppgifter får behandlas i databasen om det behövs i den utfärdande myndighetens verksamhet för utfärdande av identitetskort.
Personuppgifter som behandlas enligt första stycket får också behandlas om det behövs för att fullgöra uppgiftsutlämnande som sker i överensstämmelse med lag eller förordning. I övrigt gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204).
Personuppgifter som behandlas enligt första stycket får också behandlas om det behövs för att fullgöra uppgiftsutlämnande som sker i överensstämmelse med lag eller förordning. Sådana uppgifter får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
13 §
Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) får behandlas i en handling som har lämnats i ett ärende. Sådana uppgifter får behandlas även i en handling som har upprättats i ett ärende, om de är nödvändiga för ärendets hand-läggning.
Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas i en handling som har lämnats i ett ärende. Sådana uppgifter får behandlas även i en handling som har upprättats i ett ärende, om de är nödvändiga för ärendets handläggning.
17 §
Ansiktsbilden enligt 2 § 1 och 14 § får inte användas vid sökning med hjälp av automatiserad behandling.
Känsliga personuppgifter som avses i 13 § och uppgifter om lagöverträdelser som avses i 21 § personuppgiftslagen (1998:204) får inte användas som sökbegrepp.
Känsliga personuppgifter som avses i 13 § och uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straff-processuella tvångsmedel eller administrativa frihetsberövanden får inte användas som sökbegrepp.
Rätten att göra invändningar
18 §
Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Denna lag träder i kraft den 25 maj 2018.
Lagrådets yttrande
Utdrag ur protokoll vid sammanträde 2018-01-26
Närvarande: F.d. justitieråden Gustaf Sandström och Lena Moore samt justitierådet Anders Eka
Anpassningar av vissa författningar inom skatt, tull och
exekution till EU:s dataskyddsförordning
Enligt en lagrådsremiss den 11 januari 2018 har regeringen (Finansdepartementet) beslutat inhämta Lagrådets yttrande över förslag till
1. lag om ändring i lagen (1998:527) om det statliga personadress-registret,
2. lag om ändring i lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet,
3. lag om ändring i lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet,
4. lag om ändring i lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet,
5. lag om ändring i lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet,
6. lag om ändring i lagen (2015:898) om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter,
7. lag om ändring i lagen (2015:899) om identitetskort för folkbokförda i Sverige.
Förslagen har inför Lagrådet föredragits av kanslirådet
Leena Mildenberger och departementssekreteraren Alf Engsbråten.
Lagrådet lämnar förslagen utan erinran.
Finansdepartementet
Utdrag ur protokoll vid regeringssammanträde den 22 februari 2018
Närvarande: statsminister Löfven, ordförande, och statsråden Lövin, Wallström, Y Johansson, Baylan, Bucht, Hultqvist, Regnér, Andersson, Hellmark Knutsson, Bolund, Bah Kuhnke, Strandhäll, Shekarabi, Fridolin, Eriksson, Linde, Skog, Ekström, Eneroth
Föredragande: statsrådet Andersson
Regeringen beslutar proposition Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning