Prop.
1997/98:44
Regeringen överlämnar denna proposition till riksdagen.
Stockholm den 8 december 1997
Laila Freivalds
Pierre Schori
(Justitiedepartementet)
I propositionen föreslås en personuppgiftslag. Lagen ersätter den
nuvarande datalagen (1973:289) och genomför Europaparlamentets och
rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda
personer med avseende på behandling av personuppgifter och om det fria
flödet av sådana uppgifter.
Lagen, som i huvudsak följer EG-direktivets text och disposition,
omfattar all automatiserad behandling av personuppgifter och manuell
behandling av personregister Rent privat användning av personuppgifter
är undantagen. Det görs även undantag med hänsyn till offentlighets-
principen och tryck- och yttrandefriheten. Särregler i annan lagstiftning tar
över bestämmelserna i personuppgiftslagen.
Lagen innehåller bestämmelser om när behandling av personuppgifter
är tillåten och när sådana uppgifter får föras över till en stat utanför EES
För behandling av känsliga personuppgifter gäller särskilt stränga regler
Även vissa grundläggande krav på den som behandlar personuppgifter
regleras, t.ex. att personuppgifter som samlats in för ett ändamål inte får
behandlas för något annat oförenligt ändamål. Det finns i lagen vidare
bestämmelser om information till de registrerade, om korrigering av
personuppgifter och om säkerheten vid behandlingen. Den enskilde skall i
fråga om s.k. automatiserade beslut ha rätt att på begäran få manuell
omprövning av beslutet och information om den automatiserade
behandling som ligger bakom det. Automatiserad behandling av person-
uppgifter måste i princip anmälas till en tillsynsmyndighet, men
omfattande undantag från denna anmälningsskyldighet medges, t ex. när
den ansvarige för behandlingen har tillsatt ett s.k. personuppgiftsombud
1 Riksdagen 1997/98. 1 saml. Nr 44
med uppgift att självständigt kontrollera den ansvariges behandling. Den
som bryter mot lagen kan drabbas av ingripanden från tillsynsmyn-
digheten, t.ex ett vitesföreläggande, eller skadestånd och straff
Personuppgiftslagen föreslås träda i kraft den 24 oktober 1998
Vissa bestämmelser i den nuvarande datalagen föreslås bli flyttade till
annan lagstiftning, t.ex. bestämmelsen om straff för dataintrång som
flyttas till brottsbalken. Vissa konsekvensändringar görs vidare i sekre-
tesslagen (1980:100). Dessa ändringar föreslås träda i kraft samtidigt med
den nya lagen
I dag är det möjligt för riksdagen att delegera rätten att meddela
föreskrifter om automatisk databehandling av personuppgifter Det före-
slås även att regeringsformen justeras så att det blir möjligt för riksdagen
att delegera rätten att meddela föreskrifter om manuell behandling av
personuppgifter Den ändringen föreslås träda i kraft den 1 januari 1999.
Prop 1997/98:44
Prop 1997/98:44
1 Förslag till riksdagsbeslut..................................................................5
2 Lagtext...............................................................................................6
2.1 Förslag till personuppgiftslag..............................................6
2.2 Förslag till lag om ändring i sekretesslagen (1980:100)....21
2.3 Förslag till lag om ändring i brottsbalken..........................24
2.4 Förslag till lag om ändring i regeringsformen...................25
2.5 Förslag till lag om ändring i personuppgiftslagen
(0000:000).........................................................................26
3 Ärendet och dess beredning.............................................................29
4 Bakgrund och utgångspunkter.........................................................30
4 1 Reformbehovet..................................................................30
4.2 Den nuvarande datalagen..................................................31
4.3 EG-direktivet.....................................................................34
5 Genomförandet av EG-direktivet.....................................................36
5.1 Lagens uppbyggnad - hantermgsmodell eller
missbruksmodell................................................................36
5.2 Den nya lagen skall följa direktivets text och struktur.......37
6 En teknikoberoende och generell lag...............................................38
6.1 En teknikoberoende lag som omfattar automatiserad
behandling och manuell behandling av personuppgifter...38
6.2 En generellt tillämplig lag men särregler i andra
författningar gäller framför den nya lagen.........................40
7 Lagens namn m.m............................................................................42
8 Undantag från den nya lagen...........................................................43
8.1 Förhållandet till offentlighetsprincipen.............................43
8.2 Förhållandet till tryck- och yttrandefriheten......................49
8.3 Undantag för rent privat användning av personuppgifter . 53
8.4 Ord- och textbehandling kan inte generellt undantas........54
9 Det territoriella tillämpningsområdet för den nya lagen..................55
10 Normgivningsdelegation..................................................................56
11 Den materiella regleringen...............................................................62
11.1 Huvudprinciper..................................................................62
11.2 Grundläggande krav på behandlingen av personuppgifter 63
11.3 När behandling av personuppgifter är tillåten...................65
11.4 Behandling av särskilda kategorier av uppgifter...............67
11.4.1 Behandling av känsliga personuppgifter.........67
11.4.2 Behandling utan samtycke av känsliga
personuppgifter för forskning och statistik.....70
11.4.3 Behandling av uppgifter om lagöverträdelser .75
11 4.4 Behandling av personnummer.........................76
11.5 Information till den registrerade........................................78
11.5.1 Information som skall lämnas när uppgifterna Prop. 1997/98:44
samlas in..........................................................78
11.5.2 Information som skall lämnas efter ansökan . . . 81
11.6 Korrigering av personuppgifter.........................................86
11.7 Automatiserade beslut.......................................................88
11.8 Säkerheten vid behandlingen.............................................90
11.9 Överföring av personuppgifter utanför EES......................93
12 Anmälningsskyldighet och upplysningar till allmänheten om
behandlingar....................................................................................97
13 Tillsynsmyndighetens befogenheter...............................................100
14 Skadestånd och straff.....................................................................105
15 Ikraftträdande- och övergångsbestämmelser..................................109
16 Övriga frågor..................................................................................112
16.1 Regler i den nuvarande datalagen som flyttas till andra
lagar.................................................................................112
16.2 Följdändringar.................................................................113
17 Ekonomiska konsekvenser av förslaget.........................................114
18 Författningskommentar..................................................................115
18.1 Förslaget till personuppgiftslag.......................................115
18.2 Förslaget till lag om ändring i sekretesslagen (1980:100)147
18.3 Förslaget till lag om ändring i brottsbalken.....................149
18.4 Förslaget till lag om ändring i regeringsformen..............149
18.5 Förslaget till lag om ändring i personuppgiftslagen
(0000:000).......................................................................149
Bilaga 1 EG-direktivet om personuppgifter...................................151
Bilaga 2 Datalagskommitténs sammanfattning av sitt betänkande
Integritet - Offentlighet - Informationsteknik
(SOU 1997:39) såvitt avser frågan om en ny datalag......183
Bilaga 3 Datalagskommitténs förslag till lagtext...........................187
Bilaga 4 Sammanfattning av Statskontorets rapport Konsekvens-
analys av Datalagskommitténs betänkande SOU 1997:39
(Rapport 1997:11)...........................................................204
Bilaga 5 Förteckning över remissinstanser....................................206
Bilaga 6 Lagrådsremissens lagförslag...........................................208
Bilaga 7 Lagrådets yttrande...........................................................231
Utdrag ur protokoll vid regeringssammanträde den 8 december 1997 .246
Rättsdatablad.........................................................................................247
Regeringen föreslår att riksdagen antar regeringens förslag till
Prop. 1997/98:44
1. personuppgiftslag,
2. lag om ändring i sekretesslagen (1980:100),
3. lag om ändring i brottsbalken,
4. lag om ändring i regeringsformen,
5. lag om ändring i personuppgiftslagen (0000:0000)
Prop. 1997/98:44
Regeringen har följande förslag till lagtext
Härigenom föreskrivs1 följande.
Allmänna bestämmelser
Syftet med lagen
1 § Syftet med denna lag är att skydda människor mot att deras personliga
integritet kränks genom behandling av personuppgifter
Avvikande bestämmelser i annan författning
2 § Om det i en annan lag eller i en förordning finns bestämmelser som
avviker från denna lag, skall de bestämmelserna gälla
Definitioner
3 § I denna lag används följande beteckningar med nedan angiven bety-
delse.
Beteckning______________Betydelse___________________________________
Behandling (av person- Varje åtgärd eller serie av åtgärder som vidtas i
uppgifter) fråga om personuppgifter, vare sig det sker på
automatisk väg eller inte, t.ex. insamling,
registrering, organisering, lagring, bearbetning
eller ändring, återvinning, inhämtande, an-
vändning, utlämnande genom översändande,
spridning eller annat tillhandahållande av
uppgifter, sammanställning eller samköming,
blockering, utplåning eller förstöring.
Blockering (av person- En åtgärd som vidtas för att personuppgifterna
uppgifter) skall vara förknippade med information om att
de är spärrade och om anledningen till spärren
och för att personuppgifterna inte skall lämnas
ut till tredje man annat än med stöd av 2 kap.
tryckfrihetsförordningen
Jfr Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd
för enskilda personer med avseende på behandling av personuppgifter och om det fria
flödet av sådana uppgifter (EGT nr L 281, 23.11.1995, s. 31, Celex 395L0046).
Beteckning____________
Mottagare
Personuppgifter
Personuppgiftsansvarig
Personuppgiftsbiträde
Personuppgiftsombud
Den registrerade
Samtycke
Tillsynsmyndigheten
Tredje land
Tredje man
Betydelse___________________________________
Den till vilken personuppgifter lämnas ut. När
personuppgifter lämnas ut för att en myndighet
skall kunna utföra sådan tillsyn, kontroll eller
revision som den är skyldig att sköta, anses
dock inte myndigheten som mottagare.
All slags information som direkt eller indirekt
kan hänföras till en fysisk person som är i livet.
Den som ensam eller tillsammans med andra
bestämmer ändamålen med och medlen för
behandlingen av personuppgifter.
Den som behandlar personuppgifter för den
personuppgiftsansvariges räkning.
Den fysiska person som, efter förordnande av
den personuppgiftsansvarige, självständigt
skall se till att personuppgifter behandlas på ett
korrekt och lagligt sätt.
Den som en personuppgift avser.
Varje slag av frivillig, särskild och otvetydig
viljeyttring genom vilken den registrerade, efter
att ha fått information, godtar behandling av
personuppgifter som rör honom eller henne.
Den myndighet som regeringen utser för att
utöva tillsyn.
En stat som inte ingår i Europeiska unionen
eller är ansluten till Europeiska ekonomiska
sam arbetsområdet.
Någon annan än den registrerade, den person-
uppgiftsansvarige, personuppgiftsombudet,
personuppgiftsbiträdet och sådana personer
som under den personuppgiftsansvariges eller
personuppgiftsbiträdets direkta ansvar har
befogenhet att behandla personuppgifter
Prop. 1997/98:44
Tillämpningsområde
Det territoriella tillämpningsområdet
4 § Denna lag gäller för sådana personuppgiftsansvariga som är etable-
rade i Sverige.
Lagen tillämpas också när den personuppgiftsansvarige är etablerad i
tredje land men för behandlingen av personuppgifter använder sig av
utrustning som finns i Sverige. Vad som nu sagts gäller dock inte om
utrustningen bara används för att överföra uppgifter mellan ett tredje land
och ett annat sådant land.
I det fall som avses i andra stycket första meningen skall den person-
uppgiftsansvarige utse en företrädare för sig som är etablerad i Sverige.
Vad som anges i denna lag om den personuppgiftsansvarige skall också Prop 1997/98:44
gälla för företrädaren.
Behandling av personuppgifter som omfattas av lagen
5 § Denna lag gäller för sådan behandling av personuppgifter som helt
eller delvis är automatiserad.
Lagen gäller även för annan behandling av personuppgifter, om upp-
gifterna ingår i eller är avsedda att ingå i en strukturerad samling av
personuppgifter som är tillgängliga för sökning eller sammanställning
enligt särskilda kriterier
Undantag för privat behandling av personuppgifter
6 § Denna lag gäller inte för sådan behandling av personuppgifter som en
fysisk person utför som ett led i en verksamhet av rent privat natur
Förhållandet till tryck- och yttrandefriheten
7 § Bestämmelserna i denna lag tillämpas inte i den utsträckning det
skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryck-
frihetsförordningen eller yttrandefrihetsgrundlagen
Bestämmelserna i 9-29 och 33-44 §§ samt 45 § första stycket och 47 -
49 §§ skall inte tillämpas på sådan behandling av personuppgifter som
sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt
skapande.
Förhållandet till offentlighetsprincipen
8 § Bestämmelserna i denna lag tillämpas inte i den utsträckning det
skulle inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsför-
ordningen att lämna ut personuppgifter.
Bestämmelserna hindrar inte heller att en myndighet arkiverar och be-
varar allmänna handlingar eller att arkivmaterial tas om hand av en arkiv-
myndighet. Bestämmelsen i 9 § fjärde stycket gäller inte för en myn-
dighets användning av personuppgifter i allmänna handlingar.
Grundläggande krav på behandlingen av personuppgifter
9 § Den personuppgiftsansvarige skall se till att
a) personuppgifter behandlas bara om det är lagligt,
b) personuppgifter alltid behandlas på ett korrekt sätt och i enlighet med
god sed,
c) personuppgifter samlas in bara för särskilda, uttryckligt angivna och
berättigade ändamål,
d) personuppgifter inte behandlas för något ändamål som är oförenligt
med det för vilket uppgifterna samlades in,
e) de personuppgifter som behandlas är adekvata och relevanta i för- Prop. 1997/98:44
hållande till ändamålen med behandlingen,
f) inte fler personuppgifter behandlas än som är nödvändigt med hänsyn
till ändamålen med behandlingen,
g) de personuppgifter som behandlas är riktiga och, om det är nödvändigt,
aktuella,
h) alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana
personuppgifter som är felaktiga eller ofullständiga med hänsyn till
ändamålen med behandlingen, och
i) personuppgifter inte bevaras under en längre tid än vad som är nöd-
vändigt med hänsyn till ändamålen med behandlingen.
I fråga om första stycket d gäller dock att en behandling av person-
uppgifter för historiska, statistiska eller vetenskapliga ändamål inte skall
anses som oförenlig med de ändamål för vilka uppgifterna samlades in.
Personuppgifter far bevaras för historiska, statistiska eller veten-
skapliga ändamål under längre tid än som sagts i första stycket i
Personuppgifterna får dock i sådana fall inte bevaras under en längre tid
än vad som behövs för dessa ändamål
Personuppgifter som behandlas för historiska, statistiska eller veten-
skapliga ändamål får användas för att vidta åtgärder i fråga om den regist-
rerade bara om den registrerade har lämnat sitt samtycke eller det finns
synnerliga skäl med hänsyn till den registrerades vitala intressen.
När behandling av personuppgifter är tillåten
10 § Personuppgifter far behandlas bara om den registrerade har lämnat
sitt samtycke till behandlingen eller om behandlingen är nödvändig för att
a) ett avtal med den registrerade skall kunna fullgöras eller åtgärder som
den registrerade begärt skall kunna vidtas innan ett avtal träffas,
b) den personuppgiftsansvarige skall kunna fullgöra en rättslig skyldighet,
c) vitala intressen för den registrerade skall kunna skyddas,
d) en arbetsuppgift av allmänt intresse skall kunna utföras,
e) den personuppgiftsansvarige eller en tredje man till vilken person-
uppgifter lämnas ut skall kunna utföra en arbetsuppgift i samband med
myndighetsutövning, eller
f) ett ändamål som rör ett berättigat intresse hos den personuppgiftsansva-
rige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut
skall kunna tillgodoses, om detta intresse väger tyngre än den
registrerades intresse av skydd mot kränkning av den personliga
integriteten
Direkt marknadsföring
11 § Personuppgifter får inte behandlas för ändamål som rör direkt mark-
nadsföring, om den registrerade hos den personuppgiftsansvarige skriftli-
gen har anmält att han eller hon motsätter sig sådan behandling.
Samtycke återkallas Prop. 1997/98 :44
12 § I de fall då behandling av personuppgifter bara är tillåten när den
registrerade har lämnat sitt samtycke enligt 10, 15 eller 34 § har den re-
gistrerade rätt att när som helst återkalla ett lämnat samtycke. Ytterligare
personuppgifter om den registrerade får därefter inte behandlas.
En registrerad har utöver vad som följer av första stycket och 11 § inte
rätt att motsätta sig sådan behandling av personuppgifter som är tillåten
enligt denna lag.
Förbud mot behandling av känsliga personuppgifter
13 § Det är förbjudet att behandla personuppgifter som avslöjar
a) ras eller etniskt ursprung,
b) politiska åsikter,
c) religiös eller filosofisk övertygelse, eller
d) medlemskap i fackförening.
Det är också förbjudet att behandla sådana personuppgifter som rör
hälsa eller sexualliv.
Uppgifter av den art som anges i första och andra styckena betecknas i
denna lag som känsliga personuppgifter.
Undantag från förbudet mot behandling av känsliga personuppgifter
14 § Det är trots förbudet i 13 § tillåtet att behandla känsliga person-
uppgifter i de fall som anges i 15-19 §§.
I 10 § finns det bestämmelser om i vilka fall behandling av personupp-
gifter över huvud taget är tillåten.
Samtycke eller offentliggörande
15 § Känsliga personuppgifter får behandlas, om den registrerade har
lämnat sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt
offentliggjort uppgifterna.
Nödvändig behandling
16 § Känsliga personuppgifter får behandlas om behandlingen är nödvän-
dig för att
a) den personuppgiftsansvarige skall kunna fullgöra sina skyldigheter
eller utöva sina rättigheter inom arbetsrätten,
b) den registrerades eller någon annans vitala intressen skall kunna
skyddas och den registrerade inte kan lämna sitt samtycke, eller
c) rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras
Uppgifter som behandlas med stöd av första stycket a får lämnas ut till
tredje man bara om det inom arbetsrätten finns en skyldighet för den
personuppgiftsansvarige att göra det eller den registrerade uttryckligen har
samtyckt till utlämnandet.
10
Ideella organisationer
Prop. 1997/98:44
17 § Ideella organisationer med politiskt, filosofiskt, religiöst eller
fackligt syfte får inom ramen för sin verksamhet behandla känsliga
personuppgifter om organisationens medlemmar och sådana andra
personer som på grund av organisationens syfte har regelbunden kontakt
med den. Känsliga personuppgifter får dock lämnas ut till tredje man bara
om den registrerade uttryckligen har samtyckt till det
Hälso- och sjukvård
18 § Känsliga personuppgifter får behandlas för hälso- och sjuk-
vårdsändamål, om behandlingen är nödvändig för
a) förebyggande hälso- och sjukvård,
b) medicinska diagnoser,
c) vård eller behandling, eller
d) administration av hälso- och sjukvård
Den som är yrkesmässigt verksam inom hälso- och sjukvårdsområdet
och har tystnadsplikt får även behandla känsliga personuppgifter som
omfattas av tystnadsplikten. Detsamma gäller den som är underkastad en
liknande tystnadsplikt och som har fått känsliga personuppgifter från
verksamhet inom hälso- och sjukvårdsområdet.
Forskning och statistik
19 § Känsliga personuppgifter får behandlas för forsknings- och statistik-
ändamål, om behandlingen är nödvändig på sätt som sägs i 10 § och om
samhällsintresset av det forsknings- eller statistikprojekt där behandlingen
ingår klart väger över den risk för otillbörligt intrång i enskildas
personliga integritet som behandlingen kan innebära.
Har behandlingen godkänts av en forskningsetisk kommitté, skall
förutsättningarna enligt första stycket anses uppfyllda. Med
forskningsetisk kommitté avses ett sådant särskilt organ för prövning av
forskningsetiska frågor som har företrädare för såväl det allmänna som
forskningen och som är knutet till ett universitet eller en högskola eller till
någon annan instans som i mera betydande omfattning finansierar
forskning
Personuppgifter får lämnas ut för att användas i sådana projekt som av-
ses i första stycket, om inte något annat följer av regler om sekretess och
tystnadsplikt
Bemyndigande att föreskriva ytterligare undantag
20 § Regeringen eller den myndighet som regeringen bestämmer får i
fråga om automatiserad behandling av personuppgifter meddela före-
skrifter om ytterligare undantag från förbudet i 13 §, om det behövs med
hänsyn till ett viktigt allmänt intresse
11
Uppgifter om lagöverträdelser m.m. Prop 1997/98:44
21 § Det är förbjudet för andra än myndigheter att behandla personuppgif-
ter om lagöverträdelser som innefattar brott, domar i brottmål, straff-
processuella tvångsmedel eller administrativa frihetsberövanden
Regeringen eller den myndighet som regeringen bestämmer får i fråga
om automatiserad behandling av personuppgifter meddela föreskrifter om
undantag från förbudet i första stycket
Regeringen får i enskilda fall besluta om undantag från förbudet i
första stycket. Regeringen får överlåta åt tillsynsmyndigheten att fatta
sådana beslut.
Behandling av personnummer
22 § Uppgifter om personnummer får utan samtycke behandlas bara när
det är klart motiverat med hänsyn till
a) ändamålet med behandlingen,
b) vikten av en säker identifiering, eller
c) något annat beaktansvärt skäl.
Information till den registrerade
Information skall lämnas självmant
23 § Om uppgifter om en person samlas in från personen själv, skall den
personuppgiftsansvarige i samband därmed självmant lämna den re-
gistrerade information om behandlingen av uppgifterna
24 § Om personuppgifterna har samlats in från någon annan källa än den
registrerade, skall den personuppgiftsansvarige självmant lämna den
registrerade information om behandlingen av uppgifterna när de
registreras. Är uppgifterna avsedda att lämnas ut till tredje man, behöver
informationen dock inte ges förrän uppgifterna lämnas ut för första
gången.
Information enligt första stycket behöver inte lämnas, om det finns be-
stämmelser om registrerandet eller utlämnandet av personuppgifterna i en
lag eller någon annan författning
Information behöver inte heller lämnas enligt första stycket, om detta
visar sig vara omöjligt eller skulle innebära en oproportionerligt stor ar-
betsinsats. Om uppgifterna används för att vidta åtgärder som rör den
registrerade, skall dock information lämnas senast i samband med att så
sker.
Den information som skall lämnas självmant
25 § Information enligt 23 eller 24 § skall omfatta
a) uppgift om den personuppgiftsansvariges identitet,
b) uppgift om ändamålen med behandlingen, och
12
c) all övrig information som behövs för att den registrerade skall kunna ta Prop 1997/98:44
till vara sina rättigheter i samband med behandlingen, såsom informa-
tion om mottagarna av uppgifterna, skyldighet att lämna uppgifter och
rätten att ansöka om information och få rättelse.
Information behöver dock inte lämnas om sådant som den registrerade
redan känner till.
Information skall lämnas efter ansökan
26 § Den personuppgiftsansvarige är skyldig att till var och en som
ansöker om det en gång per kalenderår gratis lämna besked om person-
uppgifter som rör den sökande behandlas eller ej. Behandlas sådana upp-
gifter skall skriftlig information lämnas också om
a) vilka uppgifter om den sökande som behandlas,
b) varifrån dessa uppgifter har hämtats,
c) ändamålen med behandlingen, och
d) till vilka mottagare eller kategorier av mottagare som uppgifterna läm-
nas ut.
En ansökan enligt första stycket skall göras skriftligen hos den person-
uppgiftsansvarige och vara undertecknad av den sökande själv Infor-
mation enligt första stycket skall lämnas inom en månad från det att
ansökan gjordes Om det finns särskilda skäl för det, får information dock
lämnas senast fyra månader efter det att ansökan gjordes.
Information enligt första stycket behöver inte lämnas om person-
uppgifter i löpande text som inte fått sin slutliga utformning när ansökan
gjordes eller som utgör minnesanteckning eller liknande. Vad som nu
sagts gäller dock inte om uppgifterna har lämnats ut till tredje man eller
om uppgifterna behandlas enbart för historiska, statistiska eller veten-
skapliga ändamål eller, när det gäller löpande text som inte fått sin slutliga
utformning, om uppgifterna har behandlats under längre tid än ett år
Undantag från informationsskyldigheten vid sekretess och tystnadsplikt
27 § I den utsträckning det är särskilt föreskrivet i lag eller annan författ-
ning eller i beslut som har meddelats med stöd av författning att uppgifter
inte får lämnas ut till den registrerade gäller inte bestämmelserna i 23-
26 §§. En personuppgiftsansvarig som inte är en myndighet får därvid i
motsvarande fall som avses i sekretesslagen (1980:100) vägra att lämna ut
uppgifter till den registrerade.
Rättelse
28 § Den personuppgiftsansvarige är skyldig att på begäran av den
registrerade snarast rätta, blockera eller utplåna sådana personuppgifter
som inte har behandlats i enlighet med denna lag eller föreskrifter som har
utfärdats med stöd av lagen. Den personuppgiftsansvarige skali också
underrätta tredje man till vilken uppgifterna har lämnats ut om åtgärden,
om den registrerade begär det eller om mera betydande skada eller
13
olägenhet för den registrerade skulle kunna undvikas genom en under- Prop. 1997/98:44
rättelse. Någon sådan underrättelse behöver dock inte lämnas, om detta
visar sig vara omöjligt eller skulle innebära en oproportionerligt stor
arbetsinsats.
Automatiserade beslut
29 § Om ett beslut som har rättsliga följder för en fysisk person eller
annars har märkbara verkningar för den fysiska personen, grundas enbart
på automatiserad behandling av sådana personuppgifter som är avsedda
att bedöma egenskaper hos personen, skall den som berörs av beslutet ha
möjlighet att på begäran få beslutet omprövat av någon person.
Var och en som varit föremål för ett sådant beslut som avses i första
stycket har rätt att på ansökan få information från den personupp-
giftsansvarige om vad som har styrt den automatiserade behandling som
lett fram till beslutet. I fråga om ansökan och lämnandet av information
gäller i tillämpliga delar bestämmelserna i 26 §
Säkerheten vid behandling
Personer som behandlar personuppgifter
30 § Ett personuppgiftsbiträde och den eller de personer som arbetar
under biträdets eller den personuppgiftsansvariges ledning får behandla
personuppgifter bara i enlighet med instruktioner från den personuppgifts-
ansvarige.
Det skall finnas ett skriftligt avtal om personuppgiftsbiträdets behand-
ling av personuppgifter för den personuppgiftsansvariges räkning. I det
avtalet skall det särskilt föreskrivas att personuppgiftsbiträdet får behandla
personuppgifterna bara i enlighet med instruktioner från den person-
uppgiftsansvarige och att personuppgiftsbiträdet är skyldigt att vidta de åt-
gärder som avses i 31 § första stycket
Om det i lag eller annan författning finns särskilda bestämmelser om
behandlingen av personuppgifter i det allmännas verksamhet i frågor som
avses i första stycket, skall dessa gälla i stället för vad som sägs i första
stycket.
Säkerhetsåtgärder
31 § Den personuppgiftsansvarige skall vidta lämpliga tekniska och
organisatoriska åtgärder för att skydda de personuppgifter som behandlas.
Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig med
beaktande av
a) de tekniska möjligheter som finns,
b) vad det skulle kosta att genomföra åtgärderna,
c) de särskilda risker som finns med behandlingen av personuppgifterna,
och
14
d) hur pass känsliga de behandlade personuppgifterna är. Prop. 1997/98:44
När den personuppgiftsansvarige anlitar ett personuppgiftsbiträde, skall
den personuppgiftsansvarige förvissa sig om att personuppgiftsbiträdet
kan genomföra de säkerhetsåtgärder som måste vidtas och se till att
personuppgiftsbiträdet verkligen vidtar åtgärderna.
Tillsynsmyndigheten får besluta om säkerhetsåtgärder
32 § Tillsynsmyndigheten får i enskilda fall besluta om vilka säker-
hetsåtgärder som den personuppgiftsansvarige skall vidta enligt 31 §
I 45 § finns det bestämmelser om tillsynsmyndighetens möjligheter att
förena beslutet med vite.
Överföring av personuppgifter till tredje land
Förbud mot överföring av personuppgifter till tredje land
33 § Det är förbjudet att till tredje land föra över personuppgifter som är
under behandling. Förbudet gäller också överföring av personuppgifter
för behandling i tredje land
Undantag från förbudet mot överföring av personuppgifter till tredje land
34 § Det är trots förbudet i 33 § tillåtet att föra över personuppgifter till
tredje land, om den registrerade otvetydigt har samtyckt till överföringen
eller när överföringen är nödvändig för att
a) ett avtal mellan den registrerade och den personuppgiftsansvarige skall
kunna fullgöras eller åtgärder som den registrerade begärt skall kunna
vidtas innan ett avtal träffas,
b) ett sådant avtal mellan den personuppgiftsansvarige och tredje man
som är i den registrerades intresse skall kunna ingås eller fullgöras,
c) rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras,
eller
d) vitala intressen för den registrerade skall kunna skyddas
Det är också tillåtet att föra över personuppgifter för användning enbart
i en stat som har anslutit sig till Europarådets konvention om skydd för
enskilda vid automatisk databehandling av personuppgifter.
35 § Regeringen får i fråga om automatiserad behandling av person-
uppgifter meddela föreskrifter om undantag från förbudet i 33 § för
överföring av personuppgifter till vissa stater. Regeringen får också i
fråga om automatiserad behandling av personuppgifter meddela före-
skrifter om att överföring av personuppgifter till tredje land är tillåten, om
överföringen regleras av ett avtal som ger tillräckliga garantier till skydd
för de registrerades rättigheter.
Regeringen eller den myndighet som regeringen bestämmer får vidare i
fråga om automatiserad behandling av personuppgifter meddela före-
15
skrifter om undantag från förbudet i 33 §, om det behövs med hänsyn till Prop 1997/98:44
ett viktigt allmänt intresse eller om det finns tillräckliga garantier till
skydd för de registrerades rättigheter
Regeringen får under de förutsättningar som nämns i andra stycket i
enskilda fall besluta om undantag från förbudet i 33 § Regeringen får
överlåta åt tillsynsmyndigheten att fatta sådana beslut
Anmälan till tillsynsmyndigheten
Anmälningsskyldighet
36 § Behandling av personuppgifter som är helt eller delvis automatiserad
omfattas av anmälningsskyldighet. Den personuppgiftsansvarige skall
göra en skriftlig anmälan till tillsynsmyndigheten innan en sådan
behandling eller en serie av sådana behandlingar med samma eller
liknande ändamål genomförs
Om den personuppgiftsansvarige utser ett personuppgiftsombud skall
detta anmälas till tillsynsmyndigheten Även ett entledigande av ett
personuppgiftsombud skall anmälas till tillsynsmyndigheten
Regeringen eller den myndighet som regeringen bestämmer får med-
dela föreskrifter om undantag från anmälningsskyldigheten enligt första
stycket för sådana typer av behandlingar som sannolikt inte kommer att
leda till otillbörligt intrång i den personliga integriteten.
Anmälan behöver inte göras om det finns ett personuppgiftsombud
37 § Om den personuppgiftsansvarige har anmält till tillsynsmyndigheten
att ett personuppgiftsombud utsetts och vem det är, behöver anmälan
enligt 36 § första stycket inte göras.
Personuppgifisombudets uppgifter
38 § Personuppgiftsombudet skall ha till uppgift att självständigt se till att
den personuppgiftsansvarige behandlar personuppgifter på ett lagligt och
korrekt sätt och i enlighet med god sed samt påpeka eventuella brister för
honom eller henne.
Har personuppgiftsombudet anledning att misstänka att den person-
uppgiftsansvarige bryter mot de bestämmelser som gäller för behand-
lingen av personuppgifter och vidtas inte rättelse så snart det kan ske efter
påpekande, skall personuppgiftsombudet anmäla förhållandet till
tillsynsmyndigheten.
Personuppgiftsombudet skall även i övrigt samråda med tillsynsmyn-
digheten vid tveksamhet om hur de bestämmelser som gäller för behand-
lingen av personuppgifter skall tillämpas.
39 § Personuppgiftsombudet skall föra en förteckning över de be-
handlingar som den personuppgiftsansvarige genomför och som skulle ha
16
omfattats av anmälningsskyldighet om ombudet inte hade funnits. Prop. 1997/98:44
Förteckningen skall omfatta åtminstone de uppgifter som en anmälan
enligt 36 § skulle ha innehållit.
40 § Personuppgiftsombudet skall hjälpa registrerade att få rättelse när det
finns anledning att misstänka att behandlade personuppgifter är felaktiga
eller ofullständiga.
Obligatorisk anmälan av särskilt integritetskänsliga behandlingar
41 § Regeringen får meddela föreskrifter om att sådana automatiserade
behandlingar av personuppgifter som innebär särskilda risker för
otillbörligt intrång i den personliga integriteten skall för förhandskontroll
anmälas till tillsynsmyndigheten enligt 36 § tre veckor i förväg. Om
regeringen har meddelat sådana föreskrifter, gäller inte undantaget från
anmälningsskyldigheten enligt 37 §.
Upplysningar till allmänheten om behandlingar som inte anmälts
42 § Den personuppgiftsansvarige skall till var och en som begär det
skyndsamt och på lämpligt sätt lämna upplysningar om sådana
automatiserade eller andra behandlingar av personuppgifter som inte har
anmälts till tillsynsmyndigheten. Upplysningarna skall omfatta det som en
anmälan enligt 36 § första stycket skulle ha omfattat. Den person-
uppgiftsansvarige är dock inte skyldig att lämna ut sekretessbelagda
uppgifter eller uppgifter om vilka säkerhetsåtgärder som har vidtagits. En
personuppgiftsansvarig som inte är myndighet får därvid i motsvarande
fall som avses i sekretesslagen (1980:100) vägra att lämna ut uppgifter.
Tillsynsmyndighetens befogenheter
43 § Tillsynsmyndigheten har rätt att för sin tillsyn på begäran få
a) tillgång till de personuppgifter som behandlas,
b) upplysningar om och dokumentation av behandlingen av personupp-
gifter och säkerheten vid denna, och
c) tillträde till sådana lokaler som har anknytning till behandlingen av
personuppgifter.
44 § Om tillsynsmyndigheten inte efter begäran enligt 43 § kan få tillräck-
ligt underlag för att konstatera att behandlingen av personuppgifter är lag-
lig, får myndigheten vid vite förbjuda den personuppgiftsansvarige att be-
handla personuppgifter på något annat sätt än genom att lagra dem
45 § Om tillsynsmyndigheten konstaterar att personuppgifter behandlas
eller kan komma att behandlas på ett olagligt sätt, skall myndigheten ge-
nom påpekanden eller liknande förfaranden försöka åstadkomma rättelse.
Går det inte att få rättelse på något annat sätt eller är saken brådskande,
får myndigheten vid vite förbjuda den personuppgiftsansvarige att fort-
2 Riksdagen 1997/98. 1 saml. Nr 44
sätta att behandla personuppgifterna på något annat sätt än genom att
lagra dem.
Om den personuppgiftsansvarige inte frivilligt följer ett beslut om
säkerhetsåtgärder enligt 32 § som vunnit laga kraft, får tillsynsmyn-
digheten föreskriva vite.
46 § Innan tillsynsmyndigheten beslutar om vite enligt 44 eller 45 §, skall
den personuppgiftsansvarige ha fått tillfälle att yttra sig. Om saken är
brådskande, får myndigheten dock i avvaktan på yttrandet meddela ett
tillfälligt beslut om vite. Det tillfälliga beslutet skall omprövas, när yttran-
detiden har gått ut.
Ett vitesföreläggande skall delges den personuppgiftsansvarige. Del-
givning enligt 12 § delgivningslagen (1970:428) får användas bara om det
finns skäl att anta att den personuppgiftsansvarige har avvikit eller på
annat sätt håller sig undan.
47 § Tillsynsmyndigheten får hos länsrätten i det län där myndigheten är
belägen ansöka om att sådana personuppgifter som har behandlats på ett
olagligt sätt skall utplånas
Beslut om utplånande får inte meddelas om det är oskäligt.
Skadestånd
48 § Den personuppgiftsansvarige skall ersätta den registrerade för skada
och kränkning av den personliga integriteten som en behandling av
personuppgifter i strid med denna lag har orsakat.
Ersättningsskyldigheten kan i den utsträckning det är skäligt jämkas,
om den personuppgiftsansvarige visar att felet inte berodde på honom
eller henne
Straff
49 § Till böter eller fängelse i högst sex månader eller, om brottet är
grovt, till fängelse i högst två år döms den som uppsåtligen eller av
oaktsamhet
a) lämnar osann uppgift i sådan information till registrerade som före-
skrivs i denna lag, i anmälan till tillsynsmyndigheten enligt 36 § eller
till tillsynsmyndigheten när myndigheten begär information enligt 43 §,
b) behandlar personuppgifter i strid med 13-21 § §,
c) för över personuppgifter till tredje land i strid med 33-35 §§, eller
d) låter bli att göra anmälan enligt 36 § första stycket eller enligt
föreskrifter meddelade med stöd av 41 §.
Den som överträtt ett vitesföreläggande enligt 44 § eller 45 § första
stycket döms inte till ansvar för en gärning som omfattas av vites-
foreläggandet.
Prop. 1997/98:44
18
Närmare föreskrifter
Prop 1997/98:44
50 § Regeringen eller den myndighet som regeringen bestämmer får i
fråga om automatiserad behandling av personuppgifter meddela närmare
föreskrifter om
a) i vilka fall behandling av personuppgifter är tillåten,
b) vilka krav som ställs på den personuppgiftsansvarige vid behandling av
personuppgifter,
c) i vilka fall användning av personnummer är tillåten,
d) vad en anmälan eller ansökan till en personuppgiftsansvarig skall
innehålla,
e) vilken information som skall lämnas till registrerade och hur
informationen skall lämnas, och
f) anmälan till tillsynsmyndigheten och förfarandet när anmälda uppgifter
har ändrats
Överklagande
51 § Tillsynsmyndighetens beslut enligt denna lag om annat än före-
skrifter får överklagas hos allmän förvaltningsdomstol.
Prövningstillstånd krävs vid överklagande till kammarrätten
Tillsynsmyndigheten får bestämma att dess beslut skall gälla även om
det överklagas
Ikraftträdande- och övergångsbestämmelser
1 Denna lag träder i kraft den 24 oktober 1998, då datalagen (1973:289)
skall upphöra att gälla. Den äldre lagen gäller dock fortfarande i fråga
om överklagande av beslut som har meddelats före den 24 oktober
1998
2. I fråga om behandling av personuppgifter som påbörjats före ikraft-
trädandet eller behandling som utförs för ett visst bestämt ändamål om
behandling för ändamålet påbörjats före ikraftträdandet skall till och
med den 30 september 2001 den äldre lagen tillämpas i stället för den
nya. Detta gäller även bestämmelserna i den äldre lagen om över-
klagande
3 Bestämmelserna i 9, 10, 13 och 21 §§ i den nya lagen skall inte börja
tillämpas förrän den 1 oktober 2007 i fråga om sådan manuell behand-
ling av personuppgifter som påbörjats före ikraftträdandet eller manuell
behandling som utförs för ett visst bestämt ändamål om manuell
behandling för ändamålet påbörjats före ikraftträdandet.
4. I fråga om personuppgifter som vid ikraftträdandet lagras för historisk
forskning skall bestämmelserna i 9, 10, 13 och 21 §§ i den nya lagen
börja tillämpas först när uppgifterna behandlas på något annat sätt
Innan dess skall motsvarande bestämmelser i den äldre lagen tillämpas
De angivna bestämmelserna i den nya lagen skall dock inte till följd av
vad som nu sagts börja tillämpas tidigare än vad som följer av 2 eller 3.
5. Anmälan enligt 36 § i den nya lagen får göras innan den nya lagen har
trätt i kraft för den aktuella behandlingen
19
6. Ett samtycke som har lämnats innan den nya lagen har trätt i kraft för Prop. 1997/98:44
den aktuella behandlingen skall gälla även efter ikraftträdandet om
samtycket uppfyller kraven i den nya lagen
7. Har en begäran om registerutdrag enligt 10 § i den äldre lagen kommit
in innan den nya lagen trätt i kraft för den aktuella behandlingen men
har utdraget inte expedierats före ikraftträdandet skall framställningen
anses som en ansökan enligt 26 § i den nya lagen.
8. Den nya lagens bestämmelser om skadestånd skall bara tillämpas om
den omständighet som yrkandet hänför sig till har inträffat efter det att
den nya lagen har trätt i kraft för den aktuella behandlingen. I annat fall
tillämpas de äldre bestämmelserna
20
Prop. 1997/98:44
Härigenom föreskrivs i fråga om sekretesslagen (1980:100)'
dels att 7 kap. 16 §, 9 kap. 6 och 7 §§, 14 kap. 3 § samt 15 kap. 11 §
skall ha följande lydelse,
dels att det i lagen skall införas en ny paragraf, 15 kap. 14 §, av
följande lydelse.
Nuvarande lydelse Föreslagen lydelse
7 kap.
16 §
Sekretess gäller för person- Sekretess gäller för person-
uppgift i personregister som avses i uppgift, om det kan antas att ett
datalagen (1973:289), om det kan utlämnande skulle medföra att
antas att utlämnande skulle medföra uppgiften behandlas i strid med
att uppgiften används för auto- personuppgiflslagen (0000:000).
matisk databehandling i strid med
datalagen.
Sekretess för uppgift som anges i
jorsta stycket gäller också, om det
kan antas att utlämnande skulle
medföra att uppgiften används för
automatisk databehandling i utlan-
det och att detta medför otillbörligt
intrång i personlig integritet. Vid
tillämpning av denna bestämmelse
ankommer det på Datainspektionen
att pröva fråga om utlämnande.
Sekretess enligt detta stycke gäller
dock ej, om uppgiften skall använ-
das för automatisk databehandling
enbart i en stat som har anslutit sig
till Europarådets konvention om
skydd för enskilda vid automatisk
databehandling av personuppgifter.
9 kap.
6§
Sekretess gäller hos Datamspek- Sekretess gäller hos Datainspek-
tionen i ärende om tillstånd eller tionen i ärende om tillstånd eller
tillsyn, som enligt lag ankommer på tillsyn, som enligt lag eller annan
inspektionen, och i ärende om så- författning ankommer på inspek-
dant bistånd som avses i Europarå- tionen, och i ärende om sådant bi-
1 Lagen omtryckt 1992:1474
21
dets konvention om skydd för en-
skilda vid automatisk databehand-
ling av personuppgifter, för uppgift
om enskilds personliga eller eko-
nomiska förhållanden, om det kan
antas att den enskilde eller någon
honom närstående lider skada eller
men om uppgiften röjs. Har uppgift,
för vilken gäller sekretess enligt vad
nu har sagts, lämnats till regeringen
eller Justitiekanslem, gäller
sekretessen också där.
I fråga om uppgift i allmän hand
år.
stånd som avses i Europarådets
konvention om skydd för enskilda
vid automatisk databehandling av
personuppgifter, för uppgift om
enskilds personliga eller ekono-
miska förhållanden, om det kan
antas att den enskilde eller någon
honom närstående lider skada eller
men om uppgiften röjs. Har uppgift,
för vilken gäller sekretess enligt vad
nu har sagts, lämnats till
Justitiekanslem, gäller sekretessen
också där.
ing gäller sekretessen i högst sjuttio
Prop. 1997/98:44
7§
Sekretess gäller i myndighets Sekretess gäller i myndighets
verksamhet för enbart teknisk verksamhet för enbart teknisk
bearbetning eller teknisk lagring för bearbetning eller teknisk lagring för
annans räkning av personregister annans räkning av personuppgifter
som avses i datalagen (1973:289), som avses i personuppgiftslagen
för uppgift om enskilds personliga (0000:000), för uppgift om enskilds
eller ekonomiska förhållanden personliga eller ekonomiska
förhållanden
14 kap
3 §*
Utöver vad som följer av 1 och 2 §§ får sekretessbelagd uppgift lämnas
till myndighet, om det är uppenbart att intresset av att uppgiften lämnas
har företräde framför det intresse som sekretessen skall skydda
Första stycket gäller inte i fråga
om sekretess enligt 7 kap. 1-6, 33
och 34 §§, 8 kap. 8 § första stycket
och 9 och 15 §§ samt 9 kap 4 och
7 §§, 8 § första och andra styckena
och 9 §. Inte heller gäller första
stycket, om utlämnandet strider mot
lag eller förordning eller, såvitt
angår uppgift / personregister
enligt datalagen (1973:289), före-
skrift som har meddelats med stöd
av datalagen.
Första stycket gäller inte i fråga
om sekretess enligt 7 kap 1-6, 33
och 34 §§, 8 kap 8 § första stycket
och 9 och 15 §§ samt 9 kap 4 och
7 §§, 8 § första och andra styckena
och 9 §. Inte heller gäller första
stycket, om utlämnandet strider mot
lag eller förordning eller föreskrift
som har meddelats med stöd av
personuppgiftslagen (0000:000)
1 Senaste lydelse 1994:86.
22
15 kap. Prop. 1997/98:44
11 §
Varje myndighet skall för allmänheten hålla tillgänglig beskrivning av
de register, förteckningar eller andra anteckningar hos myndigheten som
förs med hjälp av automatisk databehandling (ADB-register). Sådan
skyldighet föreligger dock inte i fråga om ADB-register som inte till
någon del anses som allmän handling hos myndigheten. Myndigheten är
inte heller skyldig att tillhandahålla beskrivning som uppenbarligen skulle
vara av ringa betydelse för enskildas rätt att ta del av allmänna handlingar
hos myndigheten
Beskrivning som avses i första stycket skall ge upplysning om
1. ADB-registrets benämning,
2. ADB-registrets ändamål,
3. vilka typer av uppgifter i ADB-registret som myndigheten har tillgång
till och på vilket sätt dessa uppgifter normalt inhämtas,
4. hos vilka andra myndigheter ADB-registret är tillgängligt för överföring
till läsbar form,
5. vilka terminaler eller andra tekniska hjälpmedel som enskild själv kan
få utnyttja hos myndigheten,
6. vilka bestämmelser om sekretess som myndigheten vanligen skall
tillämpa på uppgifter i ADB-registret,
7. vem som hos myndigheten kan lämna närmare upplysningar om ADB-
registret och dess användning i myndighetens verksamhet,
8. rätt till försäljning av person- 8. rätt till försäljning av person-
uppgifter z personregister som uppgifter
avses i datalagen (1973:289).
I beskrivningen skall dock uppgift enligt andra stycket utelämnas, om
det behövs för att beskrivningen i övriga delar skall kunna företes för
allmänheten
Om en myndighet för
handläggning av ett mål eller
ärende använder sig av en upptag-
ning för automatisk databehand-
ling, skall upptagningen tillföras
handlingarna i målet eller ärendet i
läsbar form, om inte särskilda skäl
föranleder annat.
1. Denna lag träder i kraft den 24 oktober 1998.
2.1 fråga om behandling av personuppgifter för vilken datalagen
(1973:289) är tillämplig efter den 24 oktober 1998 gäller dock fortfarande
7 kap 16 §, 9 kap. 6 och 7 § samt 14 kap. 3 § i deras äldre lydelse.
23
Prop. 1997/98:44
Härigenom föreskrivs i fråga om brottsbalken
dels att 4 kap. 10 § skall ha följande lydelse,
dels att det i balken skall införas en ny bestämmelse, 4 kap. 9 c §, av
följande lydelse.
|
Nuvarande lydelse |
Föreslagen lydelse 4 kap. Den som i annat fall än som sägs |
10 §
För försök, förberedelse eller För försök, förberedelse eller
stämpling till människorov, olaga stämpling till människorov, olaga
frihetsberövande eller försättande i frihetsberövande eller försättande i
nödläge, för underlåtenhet att av- nödläge och för underlåtenhet att
slöja sådant brott, så ock för försök avslöja sådant brott döms till ansvar
eller förberedelse till olaga tvång enligt vad som sägs i 23 kap.
som är grovt dömes till ansvar enligt Detsamma gäller för försök eller
|
vad i 23 kap. stadgas. |
förberedelse till olaga tvång som är |
Denna lag träder i kraft den 24 oktober 1998.
24
Prop. 1997/98:44
Härigenom föreskrivs att 8 kap. 7 § regeringsformen skall ha följande ly-
delse.
Nuvarande lydelse Föreslagen lydelse
8 kap.
7§‘
Utan hinder av 3 eller 5 § kan regeringen efter bemyndigande i lag
genom förordning meddela föreskrifter om annat än skatt, om
föreskrifterna avser något av följande ämnen:
1. skydd för liv, personlig säkerhet eller hälsa,
2. utlännings vistelse i riket,
3. in- eller utförsel av varor, av pengar eller av andra tillgångar, tillverk-
ning, kommunikationer, kreditgivning, näringsverksamhet, ransonering,
återanvändning och återvinning av material, utformning av byggnader,
anläggningar och bebyggelsemiljö eller tillståndsplikt i fråga om
åtgärder med byggnader och anläggningar,
4. jakt, fiske, djurskydd eller natur- och miljövård,
5. trafik eller ordningen på allmän plats,
6. undervisning och utbildning,
7. förbud att röja sådant som någon har erfarit i allmän tjänst eller under
utövande av tjänsteplikt,
8. skydd för personlig integritet vid 8. skydd för personlig integritet vid
registrering av uppgifter med behandling av personuppgifter
hjälp av automatisk databehand-
ling.
Bemyndigande som avses i första stycket medför ej rätt att meddela
föreskrifter om annan rättsverkan av brott än böter. Riksdagen kan i lag,
som innehåller bemyndigande med stöd av första stycket, föreskriva även
annan rättsverkan än böter för överträdelse av föreskrift som regeringen
meddelar med stöd av bemyndigandet.
Denna lag träder i kraft den 1 januari 1999.
1 Regeringsformen omtryckt 1994:1483.
25
Prop. 1997/98:44
Härigenom föreskrivs1 att 20, 21, 35, 41 och 50 §§ personuppgiftslagen
(0000:000) skall ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
20 §
Regeringen eller den myndighet Regeringen eller den myndighet
som regeringen bestämmer får i som regeringen bestämmer får med-
fråga om automatiserad behandling dela föreskrifter om ytterligare
av personuppgifter meddela före- undantag från förbudet i 13 §, om
skrifter om ytterligare undantag från det behövs med hänsyn till ett
förbudet i 13 §, om det behövs med viktigt allmänt intresse
hänsyn till ett viktigt allmänt
intresse.
21 §
Det är förbjudet för andra än myndigheter att behandla personuppgifter
om lagöverträdelser som innefattar brott, domar i brottmål, straff-
processuella tvångsmedel eller administrativa fnhetsberövanden
Regeringen eller den myndighet Regeringen eller den myndighet
som regeringen bestämmer får i som regeringen bestämmer får
fråga om automatiserad behandling meddela föreskrifter om undantag
av personuppgifter meddela före- från förbudet i första stycket
skrifter om undantag från förbudet i
första stycket
Regeringen får i enskilda fall besluta om undantag från förbudet i
första stycket Regeringen får överlåta åt tillsynsmyndigheten att fatta
sådana beslut.
35 §
Regeringen får i fråga om auto- Regeringen får meddela före-
matiserad behandling av person- skrifter om undantag från förbudet i
uppgifter meddela föreskrifter om 33 § för överföring av person-
undantag från förbudet i 33 § för uppgifter till vissa stater,
överföring av personuppgifter till Regeringen får också meddela före-
vissa stater. Regeringen får också i skrifter om att överföring av person-
fråga om automatiserad behandling uppgifter till tredje land är tillåten,
av personuppgifter meddela före- om överföringen regleras av ett
skrifter om att överföring av person- avtal som ger tillräckliga garantier
uppgifter till tredje land är tillåten, till skydd för de registrerades
om överföringen regleras av ett rättigheter
1 Jfr Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd
för enskilda personer med avseende på behandling av personuppgifter och om det fria
flödet av sådana uppgifter (EGTnrL281, 23.11 1995. s. 31, Celex 395L0046).
26
avtal som ger tillräckliga garantier
till skydd för de registrerades
rättigheter.
Regeringen eller den myndighet Regeringen eller den myndighet
som regeringen bestämmer får som regeringen bestämmer får
vidare i fråga om automatiserad vidare meddela föreskrifter om
behandling av personuppgifter, undantag från förbudet i 33 §, om
meddela föreskrifter om undantag det behövs med hänsyn till ett
från förbudet i 33 §, om det behövs viktigt allmänt intresse eller om det
med hänsyn till ett viktigt allmänt finns tillräckliga garantier till skydd
intresse eller om det finns till- för de registrerades rättigheter
räckliga garantier till skydd för de
registrerades rättigheter.
Regeringen får under de förutsättningar som nämns i andra stycket i
enskilda fall besluta om undantag från förbudet i 33 §. Regeringen får
överlåta åt tillsynsmyndigheten att fatta sådana beslut.
Prop. 1997/98:44
41 §
Regeringen får meddela före- Regeringen far meddela före-
skrifter om att sådana automa- skrifter om att sådana behandlingar
tiserade behandlingar av person- av personuppgifter som innebär
uppgifter som innebär särskilda särskilda risker för otillbörligt
risker för otillbörligt intrång i den intrång i den personliga integriteten
personliga integriteten skall för skall för förhandskontroll anmälas
förhandskontroll anmälas till till- till tillsynsmyndigheten enligt 36 §
synsmyndigheten enligt 36 § tre tre veckor i förväg Om regeringen
veckor i förväg. Om regeringen har har meddelat sådana föreskrifter,
meddelat sådana föreskrifter, gäller gäller inte undantaget från an-
mte undantaget från anmälnings- mälningsskyldigheten enligt 37 §.
skyldigheten enligt 37 §.
50 §
Regeringen eller den myndighet Regeringen eller den myndighet
som regeringen bestämmer får i frå- som regeringen bestämmer får med-
ga om automatiserad behandling av dela närmare föreskrifter om
personuppgifter meddela närmare
föreskrifter om
a) i vilka fall behandling av personuppgifter är tillåten,
b) vilka krav som ställs på den personuppgiftsansvarige vid behandling av
personuppgifter,
c) i vilka fall användning av personnummer är tillåten,
d) vad en anmälan eller ansökan till en personuppgiftsansvarig skall
innehålla,
e) vilken information som skall lämnas till registrerade och hur
informationen skall lämnas, och
f) anmälan till tillsynsmyndigheten och förfarandet när anmälda uppgifter
har ändrats.
27
Prop. 1997/98:44
Denna lag träder i kraft den 1 januari 1999.
28
Datalagen (1973:289) syftar till att skydda den enskilde mot otillbörligt
intrång i den personliga integriteten till följd av att personuppgifter
registreras med hjälp av automatisk databehandling. Bland annat den
tekniska utvecklingen under de senaste årtiondena har gjort att den
nuvarande lagen från 1973 i dag är föråldrad såväl innehållsmässigt som
till sin lagtekniska utformning. Det behövs därför en ny, modem
lagstiftning om personuppgifter som tillförsäkrar den enskilde ett fullgott
integritetsskydd i IT-samhället och som inte hämmar samhällsut-
vecklingen eller försvårar förverkligandet av andra viktiga mål. Samtidigt
har Sverige att - i enlighet med skyldigheterna som medlem i Europeiska
unionen - 1 svensk lagstiftning genomföra Europaparlamentets och rådets
direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda
personer med avseende på behandling av personuppgifter och om det fria
flödet av sådana uppgifter, se bilaga 1.
Efter beslut av regeringen den 15 juni 1995 tillkallades en
parlamentariskt sammansatt kommitté med uppgift att dels göra en total
revision av datalagen och analysera på vilket sätt EG-direktivet om
personuppgifter skall genomföras i svensk lagstiftning, dels lämna förslag
till anpassning till den nya tekniken av grundlagsreglerna om allmänna
handlingars offentlighet. Kommittén antog namnet Datalagskommittén
Den 2 april 1997 avgav kommittén betänkandet Integritet - Offentlighet -
Informationsteknik (SOU 1997:39). Kommitténs sammanfattning av
betänkandet såvitt avser frågan om en ny datalag finns i bilaga 2.
Betänkandet innehåller förslag till en ny persondatalag, tillsammans med
vissa konsekvensändringar i sekretesslagen (1980:100), och förslag till
ändringar i 2 kap. tryckfrihetsförordningen (TF) samt viss anknytande
lagstiftning. Kommitténs förslag till persondatalag m.m. finns i bilaga 3.
Regeringen beslutade den 17 april 1997 att uppdra åt Statskontoret att
analysera de ekonomiska konsekvenserna av Datalagskommitténs förslag
1 betänkandet och att, i de fall förslagen leder till utgiftsökningar, lämna
förslag till finansiering. Uppdraget var främst föranlett av förslagen till
ändringar i 2 kap. TF. Den 17 juni 1997 avgav Statskontoret rapporten
Konsekvensanalys av Datalagskommitténs betänkande SOU 1997:39
(Rapport 1997:11). En sammanfattning av rapporten finns i bilaga 4.
Datalagskommitténs betänkande och Statskontorets rapport har remiss-
behandlats. En förteckning över remissinstanserna finns i bilaga 5. Sam-
manställningar av remissvaren finns tillgängliga i Justitiedepartementet
(dnr Ju97/1280).
Regeringen tar i detta ärende bara upp frågan om en ny datalag och
vissa därmed sammanhängande frågor. Frågan om en anpassning av
2 kap. TF till den nya tekniken kräver enligt regeringens mening
ytterligare överväganden. Regeringen kommer inom en snar framtid att ta
ställning till hur frågan lämpligen skall beredas vidare. Ett stort antal
författningar, t.ex. kreditupplysningslagen (1973:1173), måste anpassas
till direktivet och till den nya lagen. Detta arbete bereds vidare inom
Regeringskansliet.
Prop. 1997/98:44
29
Lagrådet Prop
Regeringen beslutade den 30 oktober 1997 att inhämta Lagrådets yttrande
över de lagförslag som finns i bilaga 6. Lagrådets synpunkter på förslaget
behandlas i samband med att sakfrågorna diskuteras i motiveringen eller i
anslutning till att enskilda bestämmelser kommenteras i författnings-
kommentaren Lagrådets yttrande finns i bilaga 7. Vissa redaktionella och
språkliga ändringar har gjorts efter det att Lagrådet yttrat sig Ett fåtal
mindre justeringar i sak har också gjorts.
Utvecklingen inom informationstekniken har gått rasande fort under de
senaste årtiondena, och inget talar för att den kommer att hejdas eller
mattas inom den närmaste framtiden. Tekniken blir bara kraftfullare,
enklare att hantera och billigare. Det gör att den blir tillgänglig för allt
fler. Samtidigt blir det allt enklare att ta del av och sprida datorlagrad
information oavsett var informationen finns. Sätten att lagra och söka
informationen blir allt mer flexibla
Den nya informationsteknikens möjligheter har gjort att även
hanteringen av personanknuten information ökat, t ex. sådan information
som genereras och registreras automatiskt vid användningen av datorer
Medvetenheten har också ökat om att fler och fler uppgifter finns
tillgängliga på allt fler ställen. Samtidigt börjar dock alltmer raffinerade
metoder användas för att samla in och bearbeta personanknuten
information. Den som använder Internet eller moderna kort för t.ex
inpassering, bussresor, betalning eller olika bonussystem kan lätt på ett
omedvetet sätt lämna s.k. elektroniska spår som kan användas för att
kartlägga olika egenskaper hos individen. Också utvecklingen av annan
teknik och kunskap än informationsteknik kan leda till en ökad
registrering av personanknuten information. Med DNA-teknik kan t.ex.
tidigare förborgad information om personliga förhållanden göras till-
gänglig.
Den nya teknikens möjligheter kan således lätt användas på ett så
inträngande, övervakande eller annars kränkande sätt som inte bör
tolereras i ett demokratiskt samhälle som värnar om individen Individen
kan av samhället kräva ett skydd mot integritetskränkningar. Samtidigt
måste individens skydd hela tiden vägas mot andra grundläggande demo-
kratiska rättigheter och värden, t.ex. informationsfriheten och yttrande-
friheten. Man måste också beakta de helt legitima behov som finns av att
använda personanknuten information i ett samhälle av sådan storlek och
komplexitet som det vi lever i. I varje välfärdssamhälle med sociala
ambitioner är det t.ex. nödvändigt att i viss utsträckning använda person-
anknuten information för att identifiera behov och möjligheter hos
1997/98:44
30
invånarna och styra samhällsutvecklingen mot de uppställda demokratiska Prop. 1997/98:44
målen.
Det är således många svåra avvägningar som måste göras vid utform-
ningen av en lagstiftning till skydd för den personliga integriteten av-
seende personuppgifter. Härtill kommer att lagstiftningen inte i onödan
bör hindra användningen av ny teknik. Den nya tekniken för inte med sig
bara risker utan också många obestridliga fördelar, som vi måste ta till
vara om Sverige skall kunna behålla och förstärka sin framskjutna
position bland industrinationerna. Sådant som inte kunde göras förr är nu
möjligt tack vare tekniken. Den nya tekniken har redan inneburit en
höjning av livskvaliteten och en ökad frihet för många människor. Det
gryende informationssamhället kan innebära förbättrade möjligheter till
ökad jämställdhet och ett förverkligande av angelägna regionalpolitiska
mål.
Det är uppenbart att den nu föråldrade datalagen från 1973 inte
uppfyller de krav som bör ställas på en lagstiftning till skydd för den
personliga integriteten avseende personuppgifter i dagens och morgon-
dagens samhälle. Ingen har heller i detta lagstiftningsärende ställt sig upp
till försvar för den nuvarande datalagen. Det finns således starka skäl för
att nu införa en ny lagstiftning på området. Den nya lagstiftningen måste
emellertid utformas mot bakgrund av Sveriges skyldigheter gentemot
Europeiska unionen, särskilt EG-direktivet om personuppgifter
Grundläggande regler om inrättandet och förandet av personregister med
hjälp av automatisk databehandling finns i dag i datalagen (1973:289).
Kompletterande bestämmelser om bl.a. licensanmälan, tillståndsansökan,
handläggningen hos Datainspektionen, verkställighetsföreskrifter och bi-
stånd till personer som är registrerade utomlands finns i dataförordningen
(1982:480).
Datalagen inleds med en definition av begreppen personuppgift, per-
sonregister, registrerad och registeransvarig (1 §).
Med personuppgift avses upplysningar som avser en enskild person.
Det kan vara upplysningar om namn, personnummer, födelsedatum,
nationalitet, utbildning, familj och anställningsförhållanden. Även andra
typer av upplysningar av mindre personlig karaktär räknas som person-
uppgifter. Enligt lagmotiven avses även uppgifter om en persons
bostadsförhållanden, banktillgodohavanden, fastighets- eller bilinnehav
och upplysningar i övrigt om en persons ekonomiska ställning
Med personregister förstås register, förteckningar eller andra anteck-
ningar som förs med hjälp av automatisk databehandling (ADB) och som
innehåller personuppgifter som kan hänföras till den som avses med
uppgifterna. Bara register som förs med hjälp av ADB omfattas således av
datalagen. Register som förs med hjälp av annan teknik än ADB faller i
dag utanför lagens tillämpningsområde.
En personuppgift kan hänföras till en viss person antingen direkt ge-
nom själva uppgiften eller med hjälp av en identitetsuppgift som också in-
går i registret. Även register som innehåller identitetsuppgifter av sådan 31
art att bara den invigde kan utläsa vilka personer som finns registrerade Prop. 1997/98:44
omfattas av datalagen. Likaså omfattas statistiska uppgifter där beteck-
ningar som också återfinns på dokument gör det möjligt att knyta
uppgifterna till en viss person.
Med begreppet registrerad avses en enskild person om vilken det före-
kommer en personuppgift i ett personregister.
Registeransvarig är den för vars verksamhet ett personregister förs, om
han eller hon förfogar över registret. Såväl fysiska som juridiska personer
och myndigheter kan vara registeransvariga.
Bara den som har anmält sig till Datainspektionen och fatt licens får in-
rätta och föra personregister (2 §). Datainspektionen granskar inte an-
mälan i sak utan ger bara den registeransvarige ett bevis (licens) om att
anmälan har gjorts samt ett särskilt licensnummer (10 § dataförord-
ningen). En licens berättigar den registeransvarige att föra ett eller flera
personregister. Licens behövs inte för personregister som en enskild per-
son inrättar eller för uteslutande för personligt bruk (2 § 3 st ).
Den som fått licens skall betala en årlig avgift till Datainspektionen. In-
spektionen får, om det finns särskilda skäl, sätta ned eller efterskänka av-
giften. Avgifterna finansierar inspektionens verksamhet.
Med hjälp av ADB för Datainspektionen ett register över licensanmäl-
ningar, licensregistret (3 § dataförordningen). Licensregistret får Datain-
spektionen använda för sin tillsyns- och informationsverksamhet samt
som underlag för uppbörd av licensavgifter.
För vissa typer av register med känsliga uppgifter krävs utöver licens
även ett särskilt tillstånd från Datainspektionen (2 § 2 st. datalagen).
Sådant tillstånd behövs i regel för att inrätta och föra register som inne-
håller
a) i sig känsliga personuppgifter,
b) omdömen om den registrerade,
c) uppgifter om personer som saknar sådan anknytning till den registeran-
svarige som följer av medlemskap, anställning, kundförhållande eller
något därmed jämförligt förhållande samt
d) personuppgifter som hämtas in från något annat personregister (s.k.
samköming), om inte registreringen av uppgifterna eller utlämnandet av
dessa sker med stöd av författning, Datainspektionens beslut eller den
registrerades medgivande.
Tillstånd behövs inte för personregister som någon inrättar eller för
uteslutande för personligt bruk (2 § 3 st ). Tillstånd behövs inte heller för
register vars inrättande beslutats av riksdagen eller regeringen (s.k.
statsmaktsregister) eller för register som har tagits emot för förvaring av
en arkivmyndighet (2 a § 1 st. 1 och 3). För sådana personregister som
ofta förekommer inom en viss verksamhet för ett visst ändamål kan det
meddelas särskilda föreskrifter (19 §). Följer den registeransvarige sådana
föreskrifter, behövs inte något tillstånd (2 a § 1 st. 2).
Sammanslutningar får utan tillstånd inrätta och föra personregister som
innehåller sådana uppgifter om medlemmarnas politiska uppfattning, reli-
giösa tro eller övertygelse i övrigt som utgör grunden för medlemskapet i
sammanslutningen (2 a § 2 st. 1).
Myndigheter inom hälso- och sjukvården får utan tillstånd för vård-
o •
eller behandlingsändamal inrätta och föra personregister som innehåller
uppgifter om någons sjukdom eller hälsotillstånd i övrigt (2 a § 2 st. 2) Prop 1997/98:44
Likaså får myndigheter inom socialtjänsten utan tillstånd inrätta och föra
personregister som innehåller uppgifter om att någon fått ekonomisk hjälp
eller vård mom socialtjänsten (2 a § 2 st. 3).
Läkare och tandläkare får utan tillstånd inrätta och föra personregister
som innehåller sådana uppgifter om någons sjukdom eller hälsotillstånd i
övrigt som de har fått reda på i sin yrkesverksamhet (2 a § 2 st. 4).
Arbetsgivare får utan tillstånd inrätta och föra personregister som inne-
håller sådana uppgifter om arbetstagares sjukdom som avser tid för sjuk-
frånvaro, om uppgifterna används för löneadmimstrativa ändamål eller för
att arbetsgivaren skall kunna avgöra om han eller hon skall påbörja en re-
habiliteringsutredning enligt 22 kap. 3 § andra stycket lagen (1962:381)
om allmän försäkring (2 a § 2 st. 5).
Vid sin tillståndsprövning skall Datainspektionen ta ställning till om
det finns anledning att anta att registreringen medför ett otillbörligt
intrång i den registrerades personliga integritet. Om så anses vara fallet,
skall tillstånd inte meddelas. Vid prövningen skall inspektionen särskilt
beakta
• arten och mängden av de personuppgifter som skall ingå i registret,
• hur och från vem uppgifterna skall hämtas in,
• vilken inställning de som kan komma att registreras har eller kan antas
ha till saken och
• att inte andra uppgifter eller andra personer registreras än som står i
överensstämmelse med ändamålet med registret (3 §).
Särskilda skäl krävs för att tillstånd skall kunna meddelas för inrättande
och förande av personregister som omfattar andra än medlemmar, anställ-
da eller kunder hos den registeransvarige eller personer som har annan
därmed jämställd anknytning (3 a §).
Det krävs synnerliga skäl för att andra än myndigheter som enligt lag
eller annan författning har att föra förteckning över sådana uppgifter skall
kunna få tillstånd att inrätta och föra personregister som innehåller vissa
angivna typer av känsliga uppgifter, såsom exempelvis uppgift om att nå-
gon misstänks eller har dömts för brott eller varit föremål för vissa
tvångsingripanden (4 § 1 st ).
Tillstånd att inrätta och föra personregister som i övrigt innehåller
uppgifter om någons sjukdom, hälsotillstånd eller sexualliv eller uppgift
om att någon fått ekonomisk hjälp eller vård inom socialtjänsten eller
varit föremål för åtgärd enligt utlänningslagen får bara om det finns
särskilda skäl meddelas någon annan än en myndighet som enligt lag eller
annan författning har att föra en förteckning över sådana uppgifter. Sär-
skilda skäl krävs även för registrering av uppgifter om någons ras eller
politiska uppfattning eller religiösa övertygelse (4 § 2 och 3 st ).
När Datainspektionen meddelar tillstånd att inrätta och föra personre-
gister, skall inspektionen samtidigt meddela beslut om ändamålet med re-
gistret (5 §). I den mån det behövs för att förebygga risk för otillbörligt
intrång i personlig integritet skall inspektionen i samband med tillstånds-
givningen även meddela särskilda villkor (6 §). Sådana villkor får medde-
las beträffande exempelvis inhämtande av uppgifter, vilka person-
uppgifter som får ingå i registret, utlämnande, beväring och gallring
3 Riksdagen 1997/98. 1 saml. Nr 44
Personregister skall inrättas och föras så att inte otillbörligt intrång i de Prop. 1997/98:44
registrerades personliga integritet uppkommer. I 7 § anges närmare vad
som skall iakttas för att nå upp till vad som brukar kallas ”god register-
sed”. Den registeransvarige är också skyldig att förteckna de person-
register som han eller hon är ansvarig för (7 a §). Förteckningen skall vara
aktuell och hållas tillgänglig för Datainspektionen.
I datalagen finns det också särskilda bestämmelser om ADB-
användningen som är avsedda att garantera att personuppgifter är riktiga
och fullständiga. Dessa bestämmelser, som återfinns i 8 och 9 §§, be-
handlar bl.a. rättelse av oriktiga och missvisande uppgifter.
En central bestämmelse är vidare 10 §. Den ger den enskilde en rätt till
insyn i personregister. Där stadgas att den registeransvarige på skriftlig
begäran av den enskilde skall underrätta denne om innehållet i registret,
såvitt gäller honom eller henne. Ett sådant registerutdrag, s.k. § 1 O-utdrag,
har den enskilde rätt att kostnadsfritt få en gång per år
I datalagen finns det allmänna bestämmelser om gallring av person-
uppgifter och om vad som skall iakttas då en registeransvarig upphör att
föra ett personregister för vilket Datainspektionen har meddelat tillstånd
(12 §). Vissa bestämmelser om tystnadsplikt finns i 13 §.
En särskild bestämmelse om dokumentationsskyldighet avser att göra
det möjligt att i efterhand fastställa vilka uppgifter i en ADB-upptagning
som har legat till grund för avgörandet av ett mål eller ärende hos en
myndighet. Sådana ADB-upptagningar skall tillföras handlingarna i målet
eller ärendet i för ögat läsbar form Undantag gäller bara om det finns
särskilda skäl (14 §).
Datainspektionen utövar tillsyn över att automatisk databehandling inte
medför otillbörligt intrång i den registrerades personliga integritet (15-
18§§).
Inspektionen har möjlighet att meddela villkor eller, om rättelse inte
kan åstadkommas på annat sätt, förbjuda förandet av personregister eller
återkalla meddelade tillstånd
Datainspektionens beslut enligt datalagen kan överklagas till länsrätten
i Stockholm eller, när en statlig myndighet är registeransvarig, regeringen.
Justitiekanslem far föra talan för att ta till vara allmänna intressen. (25 §.)
Bestämmelser om straff och skadestånd finns i 20, 21 och 23 §§. Ett
personregister kan förklaras förverkat, om det inrättas eller förs utan nöd-
vändig licens eller tillstånd (22 §).
I datalagen regleras även det statliga person- och adressregistret
(SPAR), 26-28 §§.
Syftet med Europaparlamentets och rådets direktiv 95/46/EG av den
24 oktober 1995 om skydd för enskilda personer med avseende på
behandling av personuppgifter och om det fria flödet av sådana uppgifter
är att skapa en gemensam, hög nivå på integntetsskyddet för att
därigenom möjliggöra ett fritt flöde av personuppgifter medlemsländerna
emellan. Medlemsstaterna får inom den ram som ges i direktivet närmare
precisera villkoren för när behandling av personuppgifter får förekomma. 34
Dessa preciseringar får dock inte hindra det fria flödet av personuppgifter Prop. 1997/98:44
inom unionen.
I arbetet med direktivet har Sverige agerat hårt för att fa till stånd så-
dana lösningar att direktivet inte står i motsättning till den svenska offent-
lighetsprincipen och annan grundlagsreglering. De svenska ansträngning-
arna på detta område har varit framgångsrika. För att undanröja alla even-
tuella oklarheter vid tolkningen av direktivets förenlighet med
offentlighetsprincipen har på svenskt initiativ tagits in en klausul i
direktivets ingress (punkt 72) som gör det möjligt att ta hänsyn till
offentlighetsprincipen när direktivets bestämmelser genomförs i nationell
rätt.
Direktivet finns i sin helhet i bilaga 1. Huvuddragen i direktivet är
följande.
Direktivet är tillämpligt på all behandling av personuppgifter och såle-
des också på manuella register, dock endast på sådana manuella register
som är sökbara utifrån särskilda kriterier. Direktivet är inte tillämpligt på
sådan behandling av personuppgifter som faller utanför gemenskapsrätten
(t.ex. den som gäller allmän säkerhet, statens säkerhet eller statens verk-
samhet på straffrättens område) och inte heller på register för personligt
bruk. Behandling av personuppgifter för journalistiska, konstnärliga och
litterära ändamål undantas från direktivets materiella bestämmelser
Personuppgifter får samlas in endast för särskilda, uttryckligt angivna
och berättigade ändamål och uppgifterna får inte senare användas på ett
sätt som är oförenligt med ursprungsändamålet.
Personuppgifter får behandlas endast när samtycke lämnats, när det är
nödvändigt för att fullgöra ett avtal i vilket den registrerade är part, när det
finns en i författning reglerad förpliktelse att behandling av uppgifterna
skall ske, när det är nödvändigt för att skydda den enskildes grund-
läggande intressen, när det är nödvändigt att utföra en arbetsuppgift i det
allmännas intresse eller slutligen, om det i övrigt skett en intresseav-
vägning som resulterat i att behandling av personuppgifter skall få ske.
Känsliga uppgifter (ras, religion, politisk åsikt, facklig tillhörighet, häl-
sotillstånd etc.) får inte behandlas. Dock gäller vissa undantag, bl.a. vid
den enskildes uttryckliga samtycke, för ideella föreningars medlemsregis-
ter, för hälso- och sjukvårdens administration och vid författnings-
reglerade skyldigheter
Medlemsstaterna skall bestämma på vilka villkor nationella identi-
fikationsnummer får behandlas.
När personuppgifter samlas in skall de registrerade informeras om bl.a.
vem som är registeransvarig och vad uppgifterna skall användas till
All behandling av personuppgifter skall enligt huvudregeln anmälas till
en tillsynsmyndighet. Medlemsstaten kan dock genom bransch- och sek-
torsreglering eller motsvarande från anmälningsskyldigheten undanta så-
dan behandling av personuppgifter som inte kränker enskildas fri- och
rättigheter.
Behandling av personuppgifter som innebär särskilda integritetsrisker
får inte förekomma utan att tillsynsmyndigheten först gett tillstånd till
detta
Den registrerade skall ha rätt att få sina rättigheter enligt den nationella
lagen prövad av tillsynsmyndigheten och domstol. ^5
Överföring av personuppgifter till ett tredje land får i princip endast Prop. 1997/98:44
lagen prövade av tillsynsmyndigheten och domstol, ske om det mot-
tagande landet har en acceptabel skyddsnivå.
Tillsynsmyndigheten skall vara ett oberoende organ. Den skall ha un-
dersöknmgsbefogenheter och befogenheter att effektivt ingripa mot otillå-
ten behandling av personuppgifter.
Medlemsstaterna skall genomföra direktivet i nationell rätt inom tre år
efter antagandet den 24 oktober 1995. För de automatiserade
behandlingar som då redan påbörjats är föreskrivet en övergångsperiod på
ytterligare tre år. För redan existerande manuella register är övergångs-
perioden utsträckt till, som längst, tolv år.
Regeringens bedömning: En lagstiftning som reglerar själva
hanteringen av personuppgifter bör införas, eftersom det inte synes
möjligt att genomföra EG-direktivet på annat sätt. Sverige bör dock på
lämpligt sätt verka för att det blir möjligt att i stället använda en
lagstiftning som mera koncentrerar sig på vad som kan karaktäriseras
som ett missbruk av personuppgifter
Datalagskommitténs bedömning överensstämmer med regeringens
Remissinstanserna: De allra flesta remissinstanser som uttalat sig i
saken föredrar en lagstiftning efter en missbruksmodell. Det är dock bara
en remissinstans - Juridiska fakultetsnämnden vid Stockholms universitet
- som anser det möjligt att utforma en missbruksmodell inom de ramar
EG-direktivet ställer upp. Många remissinstanser anser att en lagstiftning
efter den hanteringsmodell som följer av direktivet är otidsenlig och
förordar att Sverige så snart som möjligt tar initiativ inom EU för att
åstadkomma en annan ordning
Skälen för regeringens bedömning: Bestämmelserna i EG-direktivet
innebär att själva hanteringen av personuppgifter regleras, oavsett om
hanteringen kan sägas utgöra ett missbruk. Direktivet bygger således på
en hanteringsmodell. Sverige har såsom medlem i Europeiska unionen att
i svensk lagstiftning genomföra de hanteringsregler som direktivet
föreskriver. Sverige skall därvid, såsom anges i artikel 5 i direktivet, inom
den ram direktivet ställer upp precisera på vilka villkor behandling av
personuppgifter är tillåten. I likhet med Datalagskommittén och de allra
flesta remissinstanserna anser regeringen att det nu inte är möjligt att
uppfylla skyldigheten att genomföra direktivet på annat sätt än genom att
införa en lagstiftning av hanteringsmodell. Ingen har för övrigt kunnat
36
konkret ange hur det skulle kunna vara möjligt med hänsyn till EG- Prop 1997/98:44
direktivet att använda en renodlad missbruksmodell
En lagstiftning som reglerar i princip all hantering av personuppgifter
måste således införas på grund av EG-direktivet. En sådan lagstiftning
framstår emellertid i dag som inte särskilt modem. Mycket av den an-
vändning av personuppgifter som den alltmer genomgripande datori-
seringen har medfört måste betraktas som harmlös. Alltfler medborgare
har också tillgång till dator, elektronisk post och annan kommunikation i
världsomspännande nätverk
Det finns därför starka skäl för att verka för att det blir möjligt att gå
ifrån en lagstiftning efter en vittomfattande hanteringsmodell. Vi avser att
på lämpligt sätt utnyttja Sveriges inflytande i Europeiska unionen för att
påverka i denna riktning
Möjligheterna till påverkan är givetvis beroende av att det går att visa
på användbara alternativ till en hanteringsmodell. Det är därför viktigt att
diskussionen om och arbetet med möjliga utformningar av alternativa
modeller fortsätter. Datalagskommittén har diskussionsvis skisserat på en
alternativ modell Även inom det rättsliga observatorium som har inrättats
inom ramen för IT-kommissionen pågår diskussion och analys av
alternativa modeller.
Regeringens bedömning: Den nya lagen bör i huvudsak följa
direktivets text och struktur. Vissa omskrivningar och förkortningar bör
dock göras för att anpassa texten till svensk lagstil. Hanteringsregler
utöver de som EG-direktivet kräver bör föras in i den nya generella
lagen bara om det finns ett särskilt behov.
Datalagskommitténs bedömning överensstämmer i huvudsak med
regeringens
Remissinstanserna: Remissutfallet är blandat. En del förordar att
lagen utformas i närmare anslutning till direktivets text, medan andra
föredrar ytterligare omskrivningar och omstruktureringar som än mer
fjärmar den svenska lagtexten från direktivet. Ingen remissinstans har
framfört behov av ytterligare regler om hanteringen av personuppgifter.
Skälen for regeringens bedömning: Det måste, såsom konstaterades i
avsnitt 5.1, införas en lagstiftning som reglerar i princip all hantering av
personuppgifter. De hanteringsregler som läggs fast i EG-direktivet måste
införas i lagstiftningen. Det gäller t.ex. regler om när behandling av
personuppgifter skall vara tillåten, om vilka krav som ställs på behand-
lingen och om information till den registrerade. De hanteringsregler som
EG-direktivet lägger fast är så pass omfattande att det knappast kan
komma i fråga att därutöver införa ytterligare hanteringsregler i den nya
generella lagen. De synpunkter som kommit fram vid remissbehandlingen
talar för att det snarare behövs färre regler eller flera undantag än
hanteringsregler på flera områden. Vi anser därför att hanteringsregler
utöver dem som EG-direktivet kräver bör föras in i den nya generella
37
lagen bara om det finns ett särskilt visat behov. Det handlingsutrymme Prop. 1997/98:44
som EG-direktivet i vissa fall medger vid genomförandet bör givetvis
utnyttjas.
Detta innebär att den nya lagen i stort sett bara kommer att innehålla de
regler som direktivet kräver. Det verkar då vara bäst att, såsom Data-
lagskommittén föreslagit och de flesta remissinstanser godtagit, låta den
nya lagen i stort sett följa direktivets text och struktur. Det är ju ändå EG-
domstolen som sist och slutligen har att tolka de begrepp och uttryck som
direktivet innehåller. Eftersom det å andra sidan är viktigt att så långt som
möjligt hålla på svenska traditioner i fråga om lagstil, bör dock vissa
modifieringar göras i förhållande till direktivet.
Svenska domstolar har vid tillämpning av lagtext som införts till
genomförande av ett EG-direktiv att tolka lagen i överensstämmelse med
direktivet och att vid behov fråga EG-domstolen om den rätta innebörden.
Eftersom EG-direktiv saknar egentliga förarbeten, finns det inga direkta
hållpunkter för tolkningen av direktiv förutom själva texten i direktivet,
inklusive ingressen. Därför är det svårt att innan EG-domstolen har sagt
sitt veta hur direktivet egentligen skall tolkas och tillämpas. Datalags-
kommittén har trots detta lämnat kommentarer om tolkningen av direk-
tivet och av föreslagen lagtext som mer eller mindre ordagrant följer
direktivet. De överväganden om tolkningen som kommittén redovisat har
i huvudsak godtagits eller lämnats utan erinran av remissinstanserna. Den
redovisningen kan därför utgöra en god grund för dem som har att
tillämpa den nya lagen.
Enligt EG:s rättsordning är det EG-domstolen som är exklusivt behörig
att göra auktoritativa uttalanden om innebörden av EG:s rättsregler
Sverige har genom anslutningen till Europeiska unionen också förbundit
sig att verka för en enhetlig tolkning och tillämpning av regler i EG-
rätten. Genom det aktuella EG-direktivet har det dessutom inrättats en
särskild arbetsgrupp med uppgifter som syftar till att bidra till en enhetlig
tillämpning av de nationella bestämmelser som genomför direktivet Av
dessa skäl anser vi att regeringen i sin proposition till riksdagen i princip
bör avstå från att uttala sig om hur direktivet i olika delar bör tolkas
6.1
Regeringens förslag: Den nya lagen skall vara teknikoberoende och
tillämpas på automatiserad behandling av personuppgifter och manuell
behandling av personuppgifter.
Datalagskommitténs förslag överensstämmer med regeringens.
38
Remissinstanserna: De flesta remissinstanser som uttalat sig tycker att Prop. 1997/98:44
det är bra med en teknikoberoende lagstiftning. Kungliga biblioteket anser
dock att det vore en oacceptabel inskränkning i informationsfriheten om
manuella register skulle omfattas av lagen.
Skälen for regeringens förslag: Den nuvarande datalagen gäller bara
för automatisk databehandling av personuppgifter. EG-direktivet gäller
däremot för sådan behandling av personuppgifter som helt eller delvis
företas på automatisk väg och dessutom för annan behandling av person-
uppgifter under förutsättning att dessa ingår i eller kommer att ingå i ett
register (artikel 3). Med register avses enligt direktivet varje strukturerad
samling av personuppgifter som är tillgänglig enligt särskilda kriterier,
oavsett om samlingen är centraliserad, decentraliserad eller spridd på
grundval av funktionella eller geografiska förhållanden (artikel 2 c).
På grund av Sveriges skyldigheter gentemot Europeiska unionen måste
den nya lagen ha minst samma tillämpningsområde som EG-direktivet.
Det innebär att den nya lagen kommer att vara teknikoberoende, dvs. gälla
för såväl automatiserad som viss manuell hantering av personuppgifter
Det är bra eftersom det är viktigt att den nya lagen så lite som möjligt
hämmar användningen av ny informationsteknik. Genom att den nya
lagen till skillnad från den nuvarande datalagen omfattar också viss
manuell hantering, finns det inte längre skäl för användare av personupp-
gifter att välja en föråldrad, manuell teknik för att undkomma hantenngs-
reglema i lagen. Begreppet ”automatiserad” har valts på förslag av
Lagrådet i stället för ”automatisk”, eftersom det förra språkligt sett bättre
uttrycker vad som avses. Som Lagrådet anfört för begreppet ”automatisk”
tanken till en behandling som sker automatiskt efter en viss händelse eller
tidpunkt e.d. oavsett hur behandlingen utförs.
Användningen i den nuvarande datalagen av begreppet register vid
automatisk databehandling har med fog kritiserats för att vara otidsenlig
På grund av den tekniska utvecklingen har det i en sammansatt och
komplex datormiljö blivit allt svårare att fastställa vad som är ett register i
förhållande till ett annat. Det har också vuxit fram allt flexiblare och
kraftfullare metoder för att med hjälp av datorer söka och hantera
uppgifter som inte finns i någon registerstruktur. Det är därför en fördel
att den nya generella lagen omfattar all automatiserad behandling av
personuppgifter utan hänsyn till det föråldrade registerbegreppet.
Det nu sagda hindrar givetvis inte att det som faktiskt är ett regelrätt
datoriserat register också kallas för det. Flertalet särskilda registerförfatt-
ningar rör just upprättandet och förandet av traditionella datoriserade
register. Registerformen har därvid ofta valts medvetet för att skapa
förutsägbarhet och säkerhet beträffande de uppgifter som behandlas med
hjälp av datorer, uppgifterna skall läggas in i ett på visst sätt strukturerat
register och får tas fram bara med hjälp av vissa angivna sökkriterier.
När det gäller manuell behandling av personuppgifter på papper
omfattas däremot bara sådana uppgifter som ingår i eller kommer att ingå
i ett register av EG-direktivet. Det innebär att det står Sverige fritt att låta
den nya lagen omfatta även t ex. behandling av personuppgifter på papper
som inte har strukturerats i ett register. Det vore emellertid enligt vår
mening att gå för långt. Det är först när en stor mängd personuppgifter på
papper har strukturerats på något sätt som det går att hitta bland
39
uppgifterna på ett enkelt sätt. Det är då sådana egentliga integritetsrisker Prop. 1997/98:44
med behandlingen uppkommer som kan mötas med de hanteringsregler
som den nya lagen innehåller
Den nya lagen bör således ha samma tillämpningsområde som EG-
direktivet och omfatta automatiserad behandling av personuppgifter och
manuell behandling av personregister. Enligt vår mening är det inte
nödvändigt att med anledning av detta justera grundlagsbestämmelsen i
2 kap. 3 § andra stycket regeringsformen om att varje medborgare skall i
den utsträckning som närmare anges i lag skyddas mot att hans eller
hennes personliga integritet kränks genom att uppgifter om honom eller
henne registreras med hjälp av automatisk databehandling. Regerings-
formen slår fast ett minimiskydd, och det gör inget att den nya lagen i sitt
skydd går längre än vad grundlagen kräver
Regeringens förslag: Den nya lagen skall, liksom den nuvarande
datalagen, vara generellt tillämplig och omfatta även sådant som faller
utanför EG-rätten. Särregler i andra författningar skall dock gälla
framför den nya lagen
Datalagskommitténs förslag överensstämmer med regeringens
Remissinstanserna: De flesta remissinstanser har godtagit förslaget
eller lämnat det utan erinran Många remissinstanser pekar dock på
behovet av att de särskilda registerförfattningama anpassas till den nya
lagen och att nödvändiga undantag och särregler införs i dessa för-
fattningar. Flera betonar också vikten av ett samordnat och överskådligt
system, t.ex. genom hänvisningar i den generella lagen till register-
författningama. Riksåklagaren föreslår att statens verksamhet på det
straffrättsliga området undantas från lagen.
Skälen för regeringens förslag: Den nuvarande datalagen är i princip
generellt tillämplig på all automatisk databehandling av personregister,
men i den utsträckning ett personregister är reglerat i en annan författning
är det undantaget Datainspektionens tillståndsprövning och föreskriftsrätt
EG-direktivet gäller däremot inte för sådan behandling av person-
uppgifter som utgör ett led i en verksamhet som inte omfattas av EG-
rätten, t.ex. statens verksamhet på straffrättens område eller som rör all-
män säkerhet eller försvar.
Det innebär att det står Sverige fritt att begränsa den nya lagens
tillämpningsområde till sådana verksamheter som omfattas av EG-rätten
Detta skulle emellertid strida mot vad som tillämpats under lång tid i
Sverige, nämligen ett system som utgår från en generell lag kompletterad
med särregler i s.k. registerförfattningar för viktigare eller känsligare
register.
Registerförfattningarna innehåller många preciserade och viktiga regler
som inte rimligen kan ersättas av de generella bestämmelser som den nya
lagen innehåller. Samtidigt står det klart att det är nödvändigt med
40
särregler i förhållande till den nya lagen på flera viktiga områden, t.ex. Prop. 1997/98:44
beträffande polisens verksamhet. Frågan är därför om det redan i den nya
lagen skall göras undantag för vissa verksamheter eller om nödvändiga
särregler för dessa verksamheter liksom hittills skall ges i särskilda
författningar som får gälla framför den nya lagen. Frågan om generella
undantag med hänsyn till offentlighetsprincipen och tryck- och yttrande-
friheten samt för rent privat användning av personuppgifter och för ord-
och textbehandling tas upp i avsnitt 8.
Vi anser att det traditionella svenska systemet med särregler i särskilda
författningar är att föredra framför generella undantag från den nya lagen
Det är i stort sett bara verksamhet inom den offentliga sektorn som med
hänsyn till EG-direktivet skulle kunna undantas från den nya lagen. Inom
den sektorn förekommer det t.ex. ofta stora mängder känsliga uppgifter
och uppgifter som har hämtats in med stöd av straffsanktionerad upp-
giftsplikt. Därför är det särskilt viktigt med ett starkt integntetsskydd när
det gäller uppgifter inom all offentlig verksamhet. Om viss offentlig
verksamhet skulle generellt undantas från lagen, finns det risk för att viss
behandling inom den sektom inte kommer att omfattas av någon
lagstiftning med motsvarande syfte som den nya lagen. Genom att det
krävs en särskild författning för att avvika från det integritetsskydd som
den nya lagen ger, garanteras däremot att behovet av särregler alltid
övervägs noga i den ordning som gäller för författningsgivning. Målet har
också varit att myndighetsregister med ett stort antal registrerade och ett
särskilt känsligt innehåll skall regleras särskilt i lag (prop 1990/91:60 s.
50 och KU 1990/91:11 s. 11) Det finns inte anledning att nu avvika från
det målet.
Den nya lagen bör således vara generellt tillämplig och omfatta även
sådan verksamhet som faller utanför EG-rätten samtidigt som avvikande
bestämmelser i lag eller förordning skall gälla framför den nya lagen
Detta innebär också att den nya lagen i princip bara bör innehålla
generella regler och att behovet av undantag och särregler för mer
speciella områden far tillgodoses genom andra författningar.
Såsom Datalagskommittén och flera remissinstanser har påpekat krävs
det en anpassning av befintliga registerförfattningar och en översyn av
vilka särregler som bör gälla i förhållande till den nya lagen. Vi avser att
snarast påbörja ett sådant anpassnings- och översyn sarbete.
41
Prop. 1997/98:44
Regeringens förslag: Den nya lagen skall heta personuppgifislagen
Den som är ansvarig för en behandling av personuppgifter kallas i
lagen personuppgiftsansvarig, och den som hjälper den ansvarige och
behandlar personuppgifter för den ansvariges räkning kallas person-
uppgiftsbiträde. Den person med uppgift att självständigt se till att
personuppgifter behandlas på ett korrekt och lagligt sätt som den
personuppgiftsansvarige tillsatt kallas i lagenpersonuppgiftsombud
Datalagskommitténs förslag innebär att lagen skall heta person-
datalagen och att i lagen används beteckningarna persondataansvarig,
persondatabiträde och persondataombud.
Remissinstanserna: Flera remissinstanser har - främst mot bakgrund
av att uttrycket data för tankarna till datorer, medan den nya lagen
omfattar även viss manuell hantering - haft synpunkter på lagens namn
och andra terminologiska frågor, och många förslag har förts fram, bl.a.
lagen om behandling av personuppgifter och personuppgifislagen
Skälen för regeringens förslag: Den nya lagen reglerar något som
berör i princip samtliga människor i Sverige varje dag. Många har att
tillämpa lagen varje dag. En sådan lag bör ha ett kort namn. Därför är det
inte lämpligt att, såsom vissa föreslagit, kalla den nya lagen för lagen om
behandling av personuppgifter eller liknande
Såsom korta alternativ till persondatalag har föreslagits person-
uppgiftslag, mtegritetsskyddslag och persondataskyddslag. Alternativet
integritetsskyddslag bör inte väljas, eftersom lagen inte skyddar den per-
sonliga integriteten i andra avseenden än när det är fråga om behandling
av personuppgifter. Namnet persondataskyddslag är längre än person-
datalag samtidigt som det inte kan anses mera upplysande. Det namnet
bör därför mte väljas. Enligt vår mening låter namnet personuppgiftslag
bättre än persondatalag. Det leder inte heller tanken på något missvisande
sätt till enbart datorlagrade personuppgifter. Den nya lagen omfattar ju
inte bara automatiserad behandling i datorer av personuppgifter utan även
viss manuell behandling av sådana uppgifter, t.ex. på papper (se avsnitt
6.1). Vi anser därför att namnet personuppgiftslag bör väljas.
1 enlighet med det ställningstagandet bör den som är ansvarig för en
behandling av personuppgifter kallas personuppgiftsansvarig och den som
hjälper den ansvarige och behandlar personuppgifter för dennes räkning
kallas personuppgiftsbiträde, beteckningen behandlingsassistent, som
annars varit naturlig för denna befattning, far anses upptagen och därför
olämplig. Den person med uppgift att självständigt se till att person-
uppgifter behandlas på ett korrekt och lagligt sätt som den
personuppgiftsansvarige tillsatt bör vidare kallas personuppgiftsombud.
Enligt vår mening finns det inte någon beaktansvärd risk för att ombudet
och biträdet förväxlas. Att, såsom Datainspektionen föreslagit, kalla om-
budet för personuppgiftskontrollant är inte lämpligt, eftersom ombudet
främst skall kontrollera inte själva uppgifterna utan den person-
uppgiftsansvariges behandling av dem.
42
Den som en personuppgift avser bör, liksom i dag, kallas den Prop. 1997/98:44
registrerade. Att, såsom Datainspektionen föreslagit, i stället använda
uttrycket ”den som en personuppgift avser” förefaller otympligt
8.1
Regeringens bedömning: EG-direktivet går att förena med
offentlighetsprincipen
Regeringens förslag: I den nya lagen införs en uttrycklig bestämmelse
som klargör att lagen inte tillämpas, om det skulle inskränka myndig-
heternas skyldigheter att lämna ut personuppgifter enligt 2 kap TF. Det
införs också en bestämmelse om att lagen inte hindrar att en myndighet
arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om
hand av en arkivmyndighet
Datalagskommitténs bedömning och förslag överensstämmer med
regeringens
Remissinstanserna: Flera remissinstanser ger uttryck för tveksamhet i
frågan om direktivet går att förena med offentlighetsprincipen. Några
instanser, t.ex Justitiekanslem, Statskontoret och Juridiska fakultets-
nämnden vid Uppsala universitet, anger däremot uttryckligen att de delar
kommitténs uppfattning att direktivet går att förena med offentlig-
hetsprincipen eller att de inte har några invändningar mot den bedöm-
ningen
Skälen för regeringens bedömning och förslag: Sverige har efter
inträdet i Europeiska unionen tagit aktiv del i förhandlingarna om EG-
direktivet och agerat hårt för att få till stånd sådana lösningar att direktivet
inte står i motsättning till den svenska offentlighetsprincipen. De svenska
ansträngningarna på detta område har varit framgångsrika. På flera
punkter avviker det antagna direktivet från tidigare förslag. Det finns
enligt regeringens uppfattning i det antagna direktivet inte någon
bestämmelse som inte går att förena med den svenska offentlig-
hetsprincipen.
Offentlighetsprincipen enligt 2 kap TF innebär att myndigheterna är
skyldiga att - i den utsträckning sekretess inte hindrar det - lämna ut
allmänna handlingar till den som begär det. Av betydelse för den
grundlagsfästa offentlighetsprincipen är också myndigheternas skyldig-
heter enligt lag och andra författningar att bevara uppgifter och inte
korrigera dem på ett sådant sätt att ursprungsuppgiftema utplånas.
43
Utlämnande av personuppgifter
Att personuppgifter lämnas ut med stöd av den grundlagsfästa offentlig-
hetsprincipen är i och för sig att anse som en sådan behandling av person-
uppgifter som omfattas av EG-direktivet.
Av artikel 6.1 b i direktivet framgår att personuppgifter skall samlas in
för särskilda, uttryckligt angivna ändamål och att senare behandling av
uppgifterna inte får ske på ett sätt som är oförenligt med de ändamål för
vilka uppgifterna ursprungligen samlades in, också enligt Europarådets
dataskyddskonvention (artikel 5 b) skall personuppgifter för automatisk
databehandling lagras för särskilda ändamål och inte användas på ett sätt
som är oförenligt med dessa ändamål. - Enligt vår uppfattning, vilken
delas av Datalagskommittén samt flera remissinstanser, kan en myndig-
hets utlämnande av personuppgifter med stöd av offentlighetsprincipen
inte anses vara oförenligt med de ändamål för vilka uppgifterna ursprung-
ligen samlades in. Offentlighetsprincipen framgår av grundlagen och får
anses utgöra en integrerad del av all förvaltmngsverksamhet som myndig-
heterna ägnar sig åt.
Av artikel 7 framgår vidare att personuppgifter får behandlas, t.ex.
lämnas ut, om det är nödvändigt för att fullgöra en rättslig förpliktelse
som åvilar den registeransvarige eller för att fullgöra en arbetsuppgift som
är ett led i myndighetsutövning som utförs av den registeransvarige. - De
registeransvariga myndigheterna är rättsligt förpliktade att följa bl.a.
grundlagsreglerna om utlämnande av allmänna handlingar, och
utlämnandet är också ett led i deras myndighetsutövning. Utlämnandet är
alltså tillåtet enligt artikel 7.
Behandling - utlämnande - av känsliga personuppgifter skall i princip
förbjudas enligt artikel 8. Det är emellertid tillåtet att av hänsyn till ett
viktigt allmänt intresse göra undantag från förbudet, om det finns
lämpliga skyddsåtgärder (artikel 8.4). - Att utlämnande kan ske enligt den
grundlagsfästa offentlighetsprincipen är ett viktigt svenskt allmänt
intresse. De svenska sekretessbestämmelserna medför att sådana känsliga
personuppgifter som avses i artikel 8 i praktiken inte kommer att lämnas
ut om den enskilde kan skadas eller drabbas negativt av utlämnandet.
Sekretessbestämmelserna får anses utgöra sådana lämpliga skydds-
åtgärder som avses i EG-direktivet. Det finns alltså inget hinder mot att
föreskriva ett undantag från det principiella förbudet mot behandling av
personuppgifter i artikel 8 för sådant utlämnande som sker med stöd av
offentlighetsprincipen
När uppgifter om en viss person samlas in från den berörde själv, skall
- enligt artikel 10 - den information lämnas som är nödvändig för att till-
försäkra den registrerade en korrekt behandling, exempelvis information
om ”mottagarna eller de kategorier som mottar uppgifterna”. Information
behöver dock inte lämnas i den utsträckning den registrerade redan
känner till informationen. I artikel 11.1 finns det motsvarande bestäm-
melser för det fallet att personuppgifterna inte har samlats in från den
registrerade själv utan hämtats från något annat håll. - Eftersom offent-
lighetsprincipen innebär att var och en kan få ut icke-sekretessbelagda
personuppgifter och att den som får uppgifterna i princip har rätt att vara
anonym, kan den myndighet som samlar in personuppgifter inte lämna
Prop. 1997/98:44
44
information om till vilka personer uppgifterna kan komma att lämnas ut Prop. 1997/98:44
Däremot kan information givetvis lämnas om att uppgifterna kan komma
att lämnas ut enligt offentlighetsprincipen till den som begär det, i den
mån de inte är sekretessbelagda. Härigenom far de registrerade - på det
sätt direktivet kräver - information om till vilka kategorier av mottagare
som uppgifterna kan komma att lämnas ut. Eftersom utlämnande enligt
offentlighetsprincipen sedan lång tid tillbaka föreskrivits i svensk
grundlag, kan det vidare förutsättas att allmänheten redan känner till att så
kan ske. Därför torde det inte vara nödvändigt att lämna särskild
information i detta hänseende
Enligt artikel 13.1 g är det tillåtet för medlemsstaterna att göra nöd-
vändiga undantag från bl.a. bestämmelserna i artikel 6.1, 10 och 11.1 med
hänsyn till skyddet av den registrerades eller andras fri- och rättigheter. -
Rätten för var och en att få ta del av allmänna handlingar som inte är
sekretessbelagda med stöd av den grundlagsfästa offentlighetsprincipen är
en sådan rättighet som kan göra det befogat med undantag
För att undanröja alla eventuella oklarheter vid tolkningen av direktivet
på denna punkt har det dessutom på svenskt initiativ tagits in en klausul i
direktivets ingress (punkt 72) som gör det möjligt att ta hänsyn till
offentlighetsprincipen när direktivets bestämmelser genomförs i nationell
rätt. I ingressen talas det i den svenska versionen av direktivet om
”principen om allmänhetens rätt till tillgång till allmänna handlingar”
Den svenska språkversionen har samma giltighet som andra språk-
versioner. Eftersom klausulen kommit till på svenskt initiativ, står det
enligt regeringens mening klart att den svenska offentlighetsprincipen
omfattas av uttrycket. De invändningar som förts fram av vissa remiss-
instanser beträffande det förhållandet att det i andra språkversioner av
direktivet används uttryck som måhända syftar på annat än det svenska
begreppet allmänna handlingar framstår därför inte som bärkraftiga
Lagrådet har, efter att ha redovisat bl.a. att Datalagsutredningen i sitt
betänkande En ny datalag, SOU 1993:10, ifrågasatte ett då föreliggande
direktivförslags förenlighet med offentlighetsprincipen, anfört att det inte
är övertygat om att direktivet går att förena med offentlighetsprincipen
och att de tolkningar regeringen gör framstår som pressade. Lagrådet
anför bl.a. att det mot bakgrund av syftet med direktivet (skapandet av en
gemensam hög skyddsnivå som skapar förutsättningar för ett fritt flöde av
uppgifter mellan länderna) inte är sannolikt att EG-domstolen skulle
godta en tolkning av direktivet i den riktning som regeringen gjort och att
det finns en påtaglig risk för att domstolen skulle finna offent-
lighetsprincipen oförenlig med direktivet. För att man skall vara säker på
att den svenska lagstiftningen skall stå sig vid en prövning i EG-
domstolen måste enligt Lagrådet bestämmelserna i TF och sekretesslagen
(1980:100) ändras.
Vi kan inte dela de farhågor rörande EG-direktivets förenlighet med
offentlighetsprincipen som förts fram av Lagrådet och, tidigare, av en del
remissinstanser. Det rör sig här om en svensk grundlagsskyddad rättighet
med lång tradition som är en viktig del av det svenska statsskicket. Den
svenska offentlighetsprincipens starka ställning och grundläggande
betydelse för det svenska förvaltningssystemet är också väl känd i de
övriga medlemsstaterna. Under det förhandlingsarbete som ägde rum efter
att Sverige blivit medlem i Europeiska unionen förändrades direktivet på Prop. 1997/98:44
flera punkter av särskilt stor betydelse för frågan om förhållandet till
offentlighetsprincipen. Det förslag till direktiv som Datalagsutredningen
hade att ta ställning till skiljer sig alltså på avgörande punkter från
direktivet i dess slutliga form. Flera förändringar har således skett i direk-
tivtexten. Ändamålsbestämmelsen i artikel 6.1 b och gallrmgsbestäm-
melsen i artikel 6.1 e har fått ändrade lydelser. Bestämmelsen om
informationsskyldighet i artikel 11 har försetts med ett undantag som
innebär att information kan underlåtas om utlämnande uttryckligen
föreskrivs i författning. Dessutom har möjligheten att behandla känsliga
uppgifter utan samtycke utökats. Detta kan ske om det är nödvändigt för
ett viktigt allmänt intresse och det finns tillräckliga skyddsregler (artikel
8.4). Förbudet att behandla känsliga uppgifter gäller inte heller uppgifter
som den registrerade offentliggjort (artikel 8.2 e).
Det är också av betydelse att förändringarna till stor del föranleddes av
den svenska inställningen och att förändringarna alltså syftade till att göra
det möjligt för medlemsstaterna att förena regler om skydd för person-
uppgifter med en offentlighetsprincip. Detta har ju särskilt tydligt mani-
festerats i punkt 72 i ingressen.
Sverige har också i samband med förhandlingarna som resulterade i
Amsterdamfördraget hårt drivit frågan om ökad öppenhet inom Euro-
peiska unionen Detta arbete har varit framgångsrikt bl.a. eftersom
Sverige kunnat påvisa den positiva betydelse en väl utvecklad
offentlighetsprincip har haft för vårt land Utvecklingen inom Europeiska
unionen går nu otvivelaktigt mot ökad öppenhet. Situationen är alltså helt
annorlunda i dag än den var när Datalagsutredningen analyserade det då
föreliggande förslaget. Det bör också framhållas att Lagrådet inte har
preciserat sin kritik mot vår tolkning samt att Lagrådet uttalat viss
förståelse för att vi inte vill göra ett ingrepp i offentlighetsprincipen. Den
bedömning som redovisats i det föregående rörande tolkningen av olika
artiklar i direktivet är enligt vår mening, särskilt mot bakgrund av för-
klaringen om offentlighetsprincipen i direktivets ingress, ytterst
välgrundad. Det finns inte anledning att anta att EG-domstolen vid en
eventuell prövning av frågan skulle se saken på annat sätt.
En bestämmelse i den nya lagen anger att lagen inte tillämpas, om det
skulle inskränka myndigheternas skyldigheter att lämna ut person-
uppgifter enligt 2 kap. TF. Lagrådet har anfört att denna bestämmelse bör
utgå, oavsett om direktivet anses förenligt med offentlighetsprincipen
eller ej, eftersom bestämmelsen är onödig eller oförenlig med direktivet
Vi delar inte denna uppfattning. Som ovan framgår anser vi att
offentlighetsprincipen är förenlig med direktivet. Frågan är således om
bestämmelsen är onödig eftersom den nya lagen inte kan tillämpas i strid
med grundlagarna. Även om bestämmelser i grundlag alltid tar över
bestämmelser i vanlig lag, anser vi att det i klargörande syfte bör tas in en
bestämmelse som uttryckligen anger detta förhållande
Korrigering av personuppgifter
Enligt artikel 6.1 c-d i EG-direktivet är det ett grundläggande krav att de
behandlade personuppgifterna är adekvata, relevanta, riktiga och, om nöd-
46
vändigt, aktuella Den registrerade skall vidare enligt artikel 12 b ha rätt Prop. 1997/98:44
att i förekommande fall få sådana uppgifter som inte har behandlats i
enlighet med bestämmelserna i direktivet rättade, utplånade eller
blockerade, särskilt om uppgifterna är ofullständiga eller felaktiga. Enligt
artikel 13.1 g är det dock tillåtet för medlemsstaterna att göra nödvändiga
undantag från bl.a. bestämmelserna i artikel 6.1 och 12 med hänsyn till
skyddet av den registrerades eller andras fri- och rättigheter
Det är enligt direktivet tillåtet att låta en myndighet välja metod för
korrigering av uppgifter i allmänna handlingar Myndigheter behöver
alltså inte på grund av direktivet och den nya lagen utplåna felaktiga
uppgifter till förfång för allmänhetens rättigheter enligt offentlighets-
principen.
Korrigeringsmetoden blockering får anses innebära bl.a att de
blockerade uppgifterna inte skall lämnas ut till tredje man Med stöd av
artikel 13.1 g är det emellertid möjligt att göra ett undantag för sådant
utlämnande som sker med stöd av offentlighetsprincipen enligt 2 kap. TF
Lagrådet har mot bakgrund av sin inställning i fråga om offentlig-
hetsprincipen föreslagit att hänvisningen till TF ersätts med ”denna lag”.
Vi är som framgår ovan av en annan uppfattning och föreslår att ett sådant
undantag görs
Bestämmelserna om korrigering behandlas vidare i avsnitt 11.6
Bevarande av personuppgifter
Enligt artikel 6.1 b i EG-direktivet skall personuppgifter samlas in för sär-
skilda, uttryckligt angivna och berättigade ändamål. Behandling får inte
senare ske av uppgifterna på ett sätt som är oförenligt med de ursprungli-
gen angivna ändamålen Senare behandling för historiska, statistiska och
vetenskapliga ändamål skall dock enligt vad som uttryckligen anges inte
anses oförenlig med de ursprungliga ändamålen Det förutsätts att med-
lemsstaterna i detta fall beslutar om lämpliga skyddsåtgärder. Personupp-
gifterna får vidare, enligt artikel 6.1 e, lagras bara så länge det är nödvän-
digt med hänsyn till de ursprungliga eller senare ändamålen med behand-
lingen För personuppgifter som lagras under längre perioder för histo-
riska, statistiska och vetenskapliga ändamål skall medlemsstaterna vidta
lämpliga skyddsåtgärder.
Behandlingen av personuppgifterna måste vidare alltid vara tillåten en-
ligt artikel 7 i direktivet, t.ex. därför att behandlingen är nödvändig för att
fullgöra en rättslig förpliktelse som åvilar den registeransvarige eller för
att utföra en arbetsuppgift av allmänt intresse. Gäller det känsliga person-
uppgifter, måste också förutsättningarna i artikel 8 vara uppfyllda, t.ex. att
medlemsstaten av hänsyn till ett viktigt allmänt intresse har föreskrivit att
behandlingen är tillåten.
Myndigheternas arkiv är en del av det svenska nationella kulturarvet,
och arkiven skall tillgodose
• rätten att ta del av allmänna handlingar,
• behovet av information för rättskipningen och förvaltningen samt
• forskningens behov (3 § tredje stycket arkivlagen).
De ändamål som bevarandet av myndighetsarkiven skall tillgodose kan 47
hänföras under vad som i EG-direktivet kallas ”historiska, statistiska och
vetenskapliga ändamål”. Det är således mte nödvändigt att myndigheterna Prop. 1997/98:44
redan när personuppgifterna samlas in uttryckligen anger arkivering och
bevarande som ett ändamål för behandlingen. Är en myndighets primära
hantering av uppgifterna tillåten, kan det mte anses oförenligt med den
primära hanteringen att bevara uppgifterna. Det kan inte heller anses
oförenligt med de ursprungligen angivna ändamålen att myndigheten efter
en tid lämnar över sina handlingar till en arkivmyndighet för långtidsför-
varing.
Myndigheterna är rättsligt förpliktade att bevara allmänna handlingar,
och bevarandet är också en arbetsuppgift av allmänt intresse. Den behand-
ling av icke känsliga personuppgifter som bevarandet utgör är således
tillåten enligt artikel 7. För myndigheternas bevarande av känsliga person-
uppgifter behövs det däremot ett undantag enligt artikel 8 4. De svenska
myndigheternas bevarande även av känsliga personuppgifter utgör ett
sådant viktigt allmänt intresse som berättigar en medlemsstat att göra ett
undantag. Detta undantag måste omfatta också den insamling och det
långtidsbevarande av personuppgifter som sker vid de särskilda
arkivmyndigheterna som tar emot arkivmaterial från myndigheter och
enskilda. Att arkivmyndigheten i sin tur lämnar ut icke sekretessbelagda
uppgifter med stöd av offentlighetsprincipen kan enligt regeringens
bedömning inte anses oförenligt med de ändamål för vilka ar-
kivmyndigheten samlade in uppgifterna
De bestämmelser som finns om sekretess och skydd för arkiv får anses
utgöra sådana lämpliga skyddsåtgärder som krävs enligt EG-direktivet
Lagrådet har uttalat att såvitt framgår av lagrådsremissen är undan-
tagen i fråga om bevarande och arkivering av allmänna handlingar moti-
verade endast med hänsyn till undantagens betydelse för offent-
lighetsprincipen och har dragit slutsatsen att undantagen strider mot det
övergripande syftet med direktivet samt föreslagit att undantagen utgår. Vi
anser däremot att offentlighetsprincipen är förenlig med direktivet och att
undantagen är av väsentlig betydelse för offentlighetsprincipen Dessutom
är det ett viktigt allmänt intresse i sig att de syften som ligger till grund för
arkiven och som redovisats ovan kan tillgodoses
Den nya lagen bör således innehålla en uttrycklig bestämmelse om att
lagen inte hindrar att en myndighet bevarar allmänna handlingar eller att
arkivmaterial tas om hand av en arkivmyndighet
48
Prop 1997/98:44
Regeringens förslag: Bestämmelserna i den nya lagen tillämpas inte i
den utsträckning det skulle strida mot bestämmelserna om tryck- och
yttrandefrihet i tryckfrihetsförordningen (TF) eller yttrandefrihets-
grundlagen (YGL).
I den nya lagen görs vidare ett undantag för sådan behandling av
personuppgifter som annars sker uteslutande för journalistiska ändamål
eller konstnärligt eller litterärt skapande. Den nya lagens bestämmelser
om säkerhetsåtgärder vid behandling av personuppgifter skall dock
tillämpas i dessa fall.
Datalagskommitténs förslag överensstämmer delvis med regeringens.
Datalagskommittén föreslår dock i stället för den erinran som föreslås av
regeringen en bestämmelse om att förfaranden som skyddas av
tryckfrihetsförordningen (TF) eller yttrandefrihetsgrundlagen (YGL) skall
undantas från tillämpningen av de flesta bestämmelserna i lagen.
Kommittén föreslår också att ett undantag görs för spridningen av sådana
yttranden som är skyddade enligt TF eller YGL (dvs. ett skydd för vidare
spridning av ett en gång skyddat yttrande).
Remissinstanserna: Några remissinstanser - Hovrätten över Skåne
och Blekinge, Malmö tingsrätt, Kammarrätten i Stockholm, Kammar-
rätten i Göteborg och Länsrätten i Stockholms län - uttrycker tveksamhet
i frågan om det föreslagna undantaget är förenligt med direktivet. Svea
hovrätt, Justitiekanslem och Juridiska fakultetsnämnden vid Uppsala
universitet har däremot inga invändningar mot kommitténs överväganden.
Juridiska fakultetsnämnden vid Uppsala universitet anser att sådant som
faller utanför TF och YGL inte bör undantas. Liknande synpunkter förs
fram av Tjänstemännens centralorganisation, Svenska journalistför-
bundet och Föreningen grävande journalister. Svenska tidningsutgivare-
föreningen anser däremot att det är positivt att all journalistisk och
konstnärlig verksamhet undantas.
Skälen for regeringens förslag: Enligt artikel 9 i EG-direktivet skall
Sverige med avseende på sådan behandling av personuppgifter som sker
uteslutande för journalistiska ändamål eller konstnärligt eller litterärt
skapande besluta om undantag och avvikelser från de materiella
bestämmelserna i direktivet. Det gäller dock bara om undantagen och
avvikelserna är nödvändiga för att förena rätten till privatlivet med
reglerna om yttrandefriheten
Genom artikel 13 i EG-direktivet ges en möjlighet för medlemsstaterna
att genom lagstiftning begränsa omfattningen av de skyldigheter och
rättigheter som anges i artiklarna 5-21 i fall då en sådan begränsning är
en nödvändig åtgärd med hänsyn till bl.a. skyddet av den registrerades
eller andras fri- och rättigheter. Det är osäkert om dessa fri- och
rättigheter innefattar yttrandefriheten, eftersom ett särskilt undantag finns
i artikel 9.
I den nuvarande datalagen finns det inte någon uttrycklig bestämmelse
om lagens förhållande till tryck- och yttrandefriheten enligt TF och YGL
Genom praxis har det emellertid klarlagts att bestämmelser i den
49
4 Riksdagen 1997/98. 1 samt. Nr 44
nuvarande datalagen inte skall tillämpas på inrättandet och förandet av Prop. 1997/98:44
personregister som används som ett direkt tekniskt hjälpmedel i
grundlagsskyddad framställning och spridning av yttranden (se t.ex.
regeringsbeslut 1994-04-14, Ju93-3260, som gällde en journalist som
ville skriva en bok med hjälp av en dator, och 1994-09-15, Ju94-140, i
vilket spridningen av en databas med nyhetstelegram ansågs falla under
1 kap. 9 § YGL, jfr också Mediekommitténs betänkande SOU 1997:49 s.
272 ff.).
Den s.k. IT-utredningen har i sitt betänkande Elektronisk dokument-
hantering, SOU 1996:40, föreslagit att undantag skall göras från data-
skyddslagstiftnmgen för personregister som ingår i en elektronisk förmed-
lingstjänst.
Bestämmelser i vanlig lag kan inte ta över bestämmelser i grundlag.
Skall bestämmelserna i den nya lagen inskränka den tryck- och yttrande-
frihet som är föremål för en detaljerad reglering i TF och YGL, måste
justeringar göras i dessa grundlagar. Tillämpningen av flera bestämmelser
i den nya lagen, som måste införas på grund av EG-direktivet, kan komma
i konflikt med bestämmelserna om tryck- och yttrandefrihet i TF och
YGL. Det gäller t.ex. bestämmelserna i den nya lagen om tillsyns-
myndighetens befogenheter och om när en behandling är tillåten.
Såväl Datalagskommittén som Mediekommittén (se kommitténs
betänkande Grundlagsskydd för nya medier, SOU 1997:49) har övervägt
frågan om det antagna EG-direktivet går att förena med bestämmelserna
om tryck- och yttrandefrihet i TF och YGL. Båda kommittéerna anser att
det är möjligt att från de bestämmelser som måste införas på grund av
EG-direktivet undanta det som i Sverige är grundlagsskyddat. En del
remissinstanser lämnar den bedömningen utan erinran, medan andra anser
att frågan är mera tveksam. Vi anser i likhet med de båda kommittéerna
och en del remissinstanser, t.ex. Svea hovrätt och Justitiekanslem, att det
är möjligt att låta TF och YGL gälla oförändrade med stöd av artikel 9 i
EG-direktivet. Den artikeln ger ett visst spelrum till medlemsstaterna och
gör det möjligt att vid utformningen av nationella undantag bl.a. beakta
konstitutionella traditioner och principer. Det är också av betydelse att
Europakonventionens fri- och rättigheter skall respekteras som allmänna
principer på EG-rättens område. Av Europadomstolens tillämpning av
den konventionen framgår att integritetsskyddsintressena och yttrande-
frihetsintressena skall vägas mot varandra. Sambandet med Europa-
konventionen framgår också av att punkt 37 i ingressen till EG-direktivet,
som rör möjligheten till undantag enligt artikel 9, uttryckligen refererar till
Europakonventionen.
Lagrådet har uttalat att det, med en försiktig formulering, får anses
tveksamt om EG-domstolen skulle acceptera att de bestämmelser i
direktivet som införlivas med svensk rätt genom den nya lagen får vika för
de svenska grundlagarna i vidare mån än som medges enligt ordalagen av
artikel 9 i direktivet samt avstyrkt att ett så vittgående undantag från
integritetsskyddsintressena som följer av TF och YGL tolkas in i
artiklarna. Lagrådet har också uttalat att vill man vara säker på att inte
lagstifta i strid med direktivet, bör i stället reglerna i TF och YGL ändras
så att en konflikt undviks
50
Enligt vår mening finns det, på grund av vad som ovan anförts, inte Prop. 1997/98:44
anledning att nu av mtegntetsskyddsskäl föreslå inskränkningar i tryck-
och yttrandefriheten enligt TF och YGL. TF och YGL innehåller bestäm-
melser som är av väsentlig betydelse för det svenska statsskicket, och vår
inställning är att det finns ett handlingsutrymme vid genomförandet av
direktivet som bör kunna medföra att en tillämpning av den nya lagen som
kan komma att strida mot TF eller YGL inte kan godtas Enligt vår
mening finns det inte heller någon beaktansvärd risk för att EG-domstolen
skulle göra en annan bedömning Det är i detta sammanhang viktigt att
framhålla att Sverige i samband med att direktivet antogs i ministerrådets
protokoll fått intaget att Sverige anser att begreppet konstnärliga och
litterära uttryck mera syftar på uttrycksmedlen än kommunikationens
innehåll eller dess kvalitet. Detta ligger väl i linje med hur TF och YGL är
uppbyggda.
Datalagskommittén har föreslagit bl. a. att sådana förfaranden som är
skyddade enligt TF eller YGL och all spridning av innehållet i sådana
medier som omfattas av TF eller YGL skulle undantas från de allra flesta
bestämmelserna i den nya lagen. Avsikten med formuleringen var att
undanta förfaranden som avses i TF eller YGL även om en viss
tillämpning av en bestämmelse i den nya lagen i ett konkret fall inte skulle
komma i strid med TF eller YGL respektive att skydda vidare spridning
till icke-grundlagsskyddade medier av yttranden som kommit till stånd i
ett grundlagsskyddat medium
Syftet med TF och YGL är att garantera tryck- och yttrandefriheten.
Stor försiktighet skall iakttas vid alla ingripanden som riktar sig mot
företeelser som typiskt sett åtnjuter skydd av grundlagarna. Om ett
ingripande är oförenligt med grundlagarnas syfte, men ändå inte direkt
strider mot någon bestämmelse, bör ingripandet alltså underlåtas Denna
försiktighet måste givetvis iakttas även vid ingripanden som stödjer sig på
den nya lagen Den av Datalagskommittén föreslagna lydelsen i fråga om
förfaranden som skyddas av TF eller YGL utgör ett försök att i den nya
lagen definiera detta område och slå fast att denna princip vid tillämp-
ningen skall gälla också här. Vi delar i grunden den inställning i frågan
som kommittén har, nämligen att respekten för grundlagarna skall speglas
i tillämpningen i förhållande till den nya lagen. Det vore dock mindre
lämpligt att i den nya lagen uttryckligen genom en definition slå fast det
område där respekten för det grundlagsskyddade området normalt sett
skulle leda till att ingripanden med stöd av den nya lagen underläts. Det
finns nämligen en risk för att definitionen i praktiken skulle medföra att
ingripanden skulle kunna ske i enskilda fall där ingripanden underlåtits
om någon definition mte intagits i lagen. Särskilt gäller detta eftersom i
kommitténs förslag inte alla av den föreslagna lagens bestämmelser skulle
undantas. Undantaget skulle i ett sådant fall innebära en risk för en
inskränkning av tryck- och yttrandefriheten jämfört med vad som gäller i
dag
Bestämmelserna i den nya lagen kan, som tidigare nämnts, inte ta över
bestämmelserna i grundlag. Lagrådet har avstyrkt att detta uttryckligen
anges i lagtexten. Vår uppfattning är dock att lagtexten i syfte att klargöra
och underlätta tillämpningen bör innehålla en uttrycklig erinran om att
bestämmelserna i lagen inte skall tillämpas om en sådan tillämpning $1
skulle strida mot bestämmelserna om tryck- och yttrandefrihet i TF eller Prop. 1997/98:44
YGL. En sådan erinran är viktig för att inskärpa att tillämpningen vid fall
av möjliga konflikter skall präglas av försiktighet och respekt för det
grundlagsskyddade området
Vi anser vidare - i likhet med Datalagskommittén och de allra flesta
remissinstanserna - att man bör göra ytterligare undantag för att främja
tryck- och yttrandefriheten än att enbart konstatera att TF och YGL inte
kan inskränkas genom den nya lagen.
EG-direktivet tillåter att nödvändiga undantag görs för all behandling
av personuppgifter som sker uteslutande för journalistiska ändamål eller
konstnärligt eller litterärt skapande. Eftersom grundlagsskyddet för tryck-
och yttrandefriheten i TF och YGL inte avser alla former av yttranden, har
inte all journalistisk, konstnärlig och litterär verksamhet sådant grund-
lagsskydd. Utanför detta grundlagsskydd kan falla t.ex. författandet av en
teaterpjäs för offentligt framförande och journalistisk verksamhet på
Internet som resulterar i yttranden som bara sprids där.
Datalagskommittén har föreslagit att undantaget från den nya lagen för
tryck- och yttrandefriheten far den vidare omfattning som medges av EG-
direktivet. Juridiska fakultetsnämnden vid Uppsala universitet anser
däremot att sådant som faller utanför TF och YGL inte bör undantas.
Tjänstemännens centralorganisation, Svenska journalistförbundet och
Föreningen grävande journalister vänder sig emot att vissa grupper -
journalister, konstnärer och litteratörer - skulle särbehandlas på detta sätt,
eftersom yttrandefriheten är en rättighet som bör tillkomma var och en.
Svenska tidningsutgivareföreningen anser att det är positivt att all
journalistisk och konstnärlig verksamhet undantas
Det torde råda enighet om att seriös journalistisk, konstnärlig och
litterär verksamhet är skyddsvärd oavsett genom vilket medium resultatet
av verksamheten sprids. Journalistisk, konstnärlig och litterär verksamhet
har särskild betydelse för yttrandefriheten i vid mening även när
verksamheten inte har skydd av de preciserade bestämmelserna i TF och
YGL. Enligt vår mening har sådan verksamhet så stor betydelse att den
skall kunna bedrivas obehindrat. Det undantag från den nya lagens
hanteringsbestämmelser som EG-direktivet medger bör därför utnyttjas
fullt ut. Det är t.ex. inte rimligt att författaren till en lokal nyårsrevy på
grund av den nya lagen skulle behöva i förväg informera de personer
revyn handlar om och kanske också inhämta deras samtycke. Allvarligare
övergrepp genom nu avsedd journalistisk, konstnärlig och litterär verk-
samhet kan angripas enligt allmänna bestämmelser, t.ex. om straff och
skadestånd för förtal.
Tillsynsmyndighetens tillsyn över lagens tillämpning avser tillämp-
ningen av samtliga materiella bestämmelser i den nya lagen. Bland annat
därför kan det vara befogat att undantaget för behandling av person-
uppgifter för journalistiska ändamål m.m. får avse så gott som samtliga
bestämmelser i den nya lagen.
Det är vid all behandling av personuppgifter viktigt att ha en lämplig
säkerhetsnivå så att personuppgifter mte t.ex. läcker ut eller annars sprids
på ett icke avsett vis. Därför bör undantaget för behandling för journa-
listiska ändamål m.m. inte omfatta bestämmelserna om säkerhetsåtgärder
i den nya lagen. Det innebär att det även vid sådan behandling som avses
med undantagen måste vidtas lämpliga tekniska och organisatoriska
åtgärder för att skydda de personuppgifter som behandlas.
Enligt vår mening kan för övrigt en tillämpning av bestämmelserna i
den nya lagen om de säkerhetsåtgärder som skall vidtas vid behandling av
personuppgifter i de allra flesta fall inte heller komma i konflikt med
grundlagarna. Bestämmelserna om skyddsåtgärder far dock, som nämnts,
inte tillämpas om det i det enskilda fallet skulle strida mot TF eller YGL.
Datalagskommittén har som ovan nämnts föreslagit ett undantag från
tillämpningen av personuppgiftslagen för vidarespridning av yttranden
som kommit till stånd i ett grundlagsskyddat medium. Vi har sympati för
kommitténs uppfattning. Kommitténs förslag att yttranden skulle undantas
från tillämpningen av den nya lagen även i medier som inte omfattas av
bestämmelserna i TF eller YGL om yttrandet tidigare omfattats av dessa
grundlagar lades därför fram i lagrådsremissen. Lagrådet har avstyrkt
undantaget och anfört att bestämmelsen sannolikt inte skulle stå sig vid en
rättslig prövning i EG-domstolen eftersom det inte rör sig om något
grundlagsfäst yttrandefrihetsintresse som kan vägas mot integritets-
skyddsintresset. Den kritik som Lagrådet riktar mot bestämmelsen kan
vara riktig såtillvida att det kan finnas enskilda fall av tillämpningar som
faller under det föreslagna undantaget som inte har grundlagsskydd eller
stöd i den möjlighet direktivet ger att göra undantag. Vi väljer därför att
inte föreslå något uttryckligt undantag för vidarespridningsfallet. Vi är
ändock av uppfattningen att det undantag som redovisats ovan och som
följer direktivets ordalydelse i de allra flesta fall omfattar de situationer
som avsågs med undantaget för vidarespridning. Eftersom undantaget bör
utformas efter direktivets lydelse bör det inte i den nya lagen göras något
generellt undantag för ett visst slag av kommunikation, såsom föreslagits
av IT-utredningen. Det är vår uppfattning att tolkningen av undantaget
som följer direktivets lydelse skall ske med hänsyn till den svenska
förklaring som vi refererat ovan. Detta kan fa betydelse särskilt för
kommunikation som inte bedrivs av yrkesverksamma journalister.
Regeringens förslag: Sådan behandling av personuppgifter som en
fysisk person utför som ett led i en verksamhet av rent privat natur
undantas från den nya lagen.
Datalagskommitténs förslag överensstämmer med regeringens.
Remissinstanserna: Förslaget har godtagits eller lämnats utan erinran
Skälen för regeringens förslag: EG-direktivet gäller inte för sådan
behandling av personuppgifter som utförs av en fysisk person som ett led i
verksamhet av rent privat natur eller som har samband med hans eller
hennes hushåll (artikel 3.2). Det står alltså Sverige fritt att tillämpa den
nya lagen på sådan behandling eller låta bli.
Den nya lagen syftar till att skapa ett skydd för individens rent privata
sfar. Det vore därför ologiskt om den nya lagen i själva verket skulle
Prop. 1997/98:44
53
tillåtas tränga in i denna sfär genom införandet av myndighetskon- Prop. 1997/98:44
trollerade hanteringsregler för sådant som måste betraktas som rent
privata angelägenheter Vi anser således att möjligheten enligt direktivet
att undanta rent privat användning av personuppgifter bör utnyttjas fullt
ut. Den nya lagen bör alltså innehålla samma undantag som direktivet
Detta innebär t.ex att enskilda för rent privat bruk kan föra en elektronisk
dagbok eller registrera sina grannar eller släktingar
Regeringens bedömning: Ord- och textbehandling eller liknande av
personuppgifter i löpande text kan inte generellt undantas från den nya
lagen, eftersom det skulle strida mot EG-direktivet
Datalagskommitténs bedömning överensstämmer med regeringens
Remissinstanserna: Många remissinstanser berör svårigheterna med
att tillämpa den nya lagen vid ord- och textbehandling eller liknande
Flera kommunala instanser och t ex Sveriges television AB och Svenska
bankföreningen föreslår att löpande text som används för ren ord- och
textbehandling undantas från lagen
Skälen för regeringens bedömning: EG-direktivet gäller för sådan
behandling av personuppgifter som helt eller delvis företas på automatisk
väg. Med behandling av personuppgifter avses enligt direktivet varje
åtgärd som vidtas beträffande personuppgifter Det finns inte något krav
på att de uppgifter som behandlas på automatisk väg skall vara
strukturerade i ett register eller liknande
Datoriserad ord- och textbehandling eller liknande av löpande text som
innehåller personuppgifter omfattas därför otvivelaktigt av direktivet
Någon möjlighet att generellt undanta sådan behandling finns inte enligt
direktivet. Den nya lagen kan alltså inte heller innehålla något sådant
generellt undantag I avsnitt 11 berörs frågan om undantag för person-
uppgifter i löpande text från informationsskyldighet. Där framgår att ett
visst undantag för sådana personuppgifter görs.
Däremot står det klart att direktivet inte i första hand tar sikte på sådan
behandling. Detta bör kunna beaktas vid tillämpningen av bestäm-
melserna i lagen Ord- och textbehandling av löpande text bör t.ex. kunna
undantas från skyldigheten att anmäla automatiska behandlingar till
tillsynsmyndigheten. Privatpersoners ord- och textbehandling och kom-
munikation med e-post faller också som regel under undantaget från lagen
för rent privat användning av personuppgifter. Det torde vidare
regelmässigt vara så att framställningen av ett brev eller någon annan
löpande text kan hänföras under något av de fall där behandling av
personuppgifter är tillåten (se avsnitt 11.3) och att de säkerhetsåtgärder
som måste vidtas (se avsnitt 11.8) kan anpassas till att det är fråga om
ord- och textbehandling. De grundläggande kraven vid all behandling av
personuppgifter (se avsnitt 11.2) torde utan större olägenheter kunna
tillämpas också på personuppgifter i löpande text.
54
Regeringens förslag: Den nya lagen skall tillämpas på sådana person-
uppgiftsansvariga som är etablerade i Sverige. Även när en person-
uppgiftsansvarig från tredje land använder utrustning som finns i
Sverige för behandling av personuppgifter skall som huvudregel den
svenska lagen tillämpas. I sådant fall skall den ansvarige utse en
företrädare för sig som är etablerad i Sverige.
Datalagskommitténs förslag överensstämmer med regeringens, dock
att kommittén föreslår att en utsedd företrädare skall anmälas till
Datainspektionen.
Remissinstanserna: Bara ett fatal remissinstanser har uttalat sig om
tillämpningsområdet. Kommunikationsforskningsberedningen efterlyser
en analys av reglerna om tillämpningsområdet, särskilt när det gäller
enskildas möjligheter att hävda sina rättigheter vid databehandling med
gränsöverskridande inslag. Datainspektionen anser att regeln om anmälan
av företrädare inte behövs eller i vart fall kan ändras så att anmälan skall
göras till Patent- och registreringsverket. Patent- och registreringsverket
anser däremot att det är lämpligare att anmälan görs till Datainspektionen.
Swedish Direct Marketing Association anser att förslaget är alltför
långtgående och föreslår att det ändras t.ex. så att lagen bara gäller för
behandling i Sverige
Skälen för regeringens förslag: I artikel 4 i EG-direktivet finns det en
i sina detaljer svårtolkad bestämmelse om det territoriella tillämp-
ningsområdet för varje medlemsstats lagstiftning. Frågan om den närmare
innebörden av artikeln har redan väckts inom den kommitté som inrättats
enligt artikel 31 i direktivet. Det är - för att undvika luckor och över-
lappningar - viktigt och nödvändigt att frågan löses i samförstånd mellan
samtliga medlemsstater. Det får förutsättas att så sker. Den närmare
analys av reglerna som Kommunikationsforskningsberedningen efterlyser
far göras inom ramen för det arbetet.
Som läget nu är förefaller det lämpligast att i den nya lagen bara ta in
de huvudregler som otvetydigt framgår av artikeln När samförstånd om
tolkningen uppnåtts får det övervägas om lagtexten behöver kompletteras
eller om saken kan lösas genom s.k. fördragskonform tolkning i rätts-
tillämpningen
När det gäller företrädare för en personuppgiftsansvarig som är
etablerad utanför EES, krävs enligt direktivet bara att den ansvarige utser
en företrädare som är etablerad i Sverige. Någon anmälan av företrädaren
till tillsynsmyndigheten krävs alltså inte enligt direktivet. Eftersom
Datainspektionen, som är den instans som skulle kunna ha haft nytta av
en anmälan för sin tillsyn, anser att någon anmälan inte behövs, finner
regeringen inte skäl att ta med bestämmelser om anmälningsskyldighet i
den nya lagen.
55
Prop. 1997/98:44
Regeringens förslag: Regeringen bemyndigas att meddela föreskrifter
om att vissa behandlingar av personuppgifter skall förhandskon-
trolleras och om undantag från förbudet mot överföring av
personuppgifter till tredje land. Regeringen eller den myndighet som
regeringen bestämmer bemyndigas att
a) föreskriva undantag från vissa bestämmelser i den nya lagen, och
b) precisera de generella regler och principer som den nya lagen
innehåller
Bestämmelsen i 8 kap. 7 § första stycket 8 regeringsformen justeras
så att det blir möjligt för riksdagen att delegera föreskriftsrätt i fråga
om skydd för personlig integritet även vid manuell behandling av
personuppgifter.
Datalagskommitténs förslag överensstämmer i huvudsak med
regeringens.
Remissinstanserna: Många remissinstanser, t.ex. på det kommunala
området, anser att delegationen av normgivningsmakt går alltför långt och
förordar att flera bestämmelser ges i lag. De flesta instanserna, t.ex.
Juridiska fakultetsnämnden vid Uppsala universitet och Länsrätten i
Stockholms län, godtar eller lämnar utan erinran kommitténs resonemang
om de lagliga möjligheterna till delegation. Hovrätten över Skåne och
Blekinge anser emellertid att det lagliga utrymmet för delegation är
snävare än vad kommittén förutsatt. Juridiska fakultetsnämnden vid
Stockholms universitet förordar ytterligare utredning av frågan.
Skälen för regeringens förslag: Det finns med hänsyn till skyldig-
heterna enligt EG-direktivet ett behov av att delegera normgivnings-
kompetens på området till regeringen eller den myndighet som regeringen
bestämmer. Enligt vår bedömning är de bestämmelser i den nya lagen
som innebär att föreskrifter får meddelas i författningar av lägre valör än
lag förenliga med regeringsformen.
Behovet av normgivningsdelegation
De regler som finns i EG-direktivet och som införs i den nya lagen är
generella och behöver preciseras, t.ex. när det gäller den intresse-
awägnmg som behöver göras i en del fall för att avgöra om en viss
behandling av personuppgifter är tillåten och i fråga om vilka
säkerhetsåtgärder som behöver vidtas vid en behandling. Enligt artikel 5 i
direktivet åligger det för övrigt Sverige att inom den ram direktivet drar
upp precisera på vilka villkor behandling av personuppgifter är tillåten.
Vidare innehåller direktivet en hel del detaljregler, t.ex. i fråga om
vilka uppgifter en anmälan till tillsynsmyndigheten skali innehålla, som
det vore olämpligt att tynga lagtexten med
EG-direktivet medger också att det under vissa förutsättningar görs
undantag från vissa regler. Det gäller t.ex. undantag från ett förbud mot
behandling av känsliga personuppgifter eller uppgifter om lagöver-
trädelser m.m., undantag från ett förbud mot att föra över personuppgifter
56
till tredje land, dvs. en stat utanför EES, och undantag från skyldighet att Prop. 1997/98:44
till tillsynsmyndigheten anmäla automatiserad behandling av person-
uppgifter.
Direktivet kräver vidare att Sverige säkerställer att särskilt mte-
gritetskänsliga behandlingar av personuppgifter kontrolleras på förhand
och att det bestäms vilka behandlingar som skall förhandskontrolleras
En generell lag som i princip avser att reglera all icke privat använd-
ning av personuppgifter i datorer och manuella register kan inte gärna
innehålla annat än generella principer och de allra viktigaste undantagen
från dessa. Lagen skulle i annat fall bli alldeles för otymplig. De generella
principer som lagen innehåller och som bygger på EG-direktivet är vidare
tämligen beständiga, medan behov av närmare preciseringar och undantag
av naturliga skäl kommer att växla över tiden och kan uppkomma hastigt
Detta beror bl.a. på den snabba tekniska utvecklingen, framväxten av nya,
i dag oförutsägbara sätt att samla in och utnyttja personuppgifter och
värderingsförändnngar. En ordning som innebär att varje liten justering i
det kompletterande regelverket kräver en sedvanlig lagstiftningsprocess
framstår därför som onödigt omständlig och ohanterlig. Det finns alltså ett
behov av att delegera normgivningskompetens på området.
I den utsträckning som det är befogat med ett ställningstagande från
riksdagens sida, finns det alltid möjlighet att ge regleringen på något visst
område i lag I sådant fall är normgivning på lägre nivå i strid med den
lagregleringen utesluten, om inte annat följer av den aktuella lagen. 1
enlighet med vad som anges i avsnitt 6.2 finns det enligt vår mening inte
heller anledning att nu avvika från målsättningen att myndighetsregister
med ett stort antal registrerade och ett särskilt känsligt innehåll skall
regleras särskilt i lag
Det kan också finnas anledning att notera att den nuvarande datalagen i
huvudsak bygger på att det i första hand är Datainspektionen som mer
eller mindre självständigt skall bestämma för vilka ändamål person-
registrering får ske och vilka villkor som skall gälla för registreringen
Den nya lagen innehåller flera materiella regler än den nuvarande lagen
och ställer upp en ram inom vilken den kompletterande regleringen måste
hålla sig. Mera finns alltså reglerat i lag med den föreslagna ordningen än
vad som gäller i dag.
Närmare om förslaget om föreskrifisrätt i den nya lagen
Vårt förslag innebär att regeringen eller den myndighet som regeringen
bestämmer skall få meddela föreskrifter om
• undantag från ett förbud mot behandling av känsliga personuppgifter,
om det behövs med hänsyn till ett viktigt allmänt intresse,
• undantag från ett förbud för andra än myndigheter att behandla person-
uppgifter om lagöverträdelser som innefattar brott, domar i brottmål,
straffprocessuella tvångsmedel eller administrativa frihetsberövanden,
• undantag från ett förbud mot överföring av personuppgifter till tredje
land, dvs. en stat utanför EES, om det behövs med hänsyn till ett viktigt
allmänt intresse eller om det finns tillräckliga garantier till skydd för de
registrerades rättigheter, 57
• undantag från skyldighet att anmäla automatiserade behandlingar till Prop. 1997/98:44
tillsynsmyndigheten för sådana typer av behandlingar som sannolikt
inte kommer att leda till otillbörligt intrång i den personliga integriteten,
och
• inom den ram som den nya lagen ställer upp meddela närmare
föreskrifter om
a) i vilka fall behandling av personuppgifter är tillåten,
b) vilka krav som ställs på den personuppgiftsansvarige vid behandling
av personuppgifter,
c) i vilka fall användning av personnummer är tillåten,
d) innehållet i en anmälan eller ansökan till en personuppgiftsansvarig,
e) vilken information som skall lämnas till registrerade och hur
lämnandet av information skall gå till, och
f) anmälan till tillsynsmyndigheten och förfarandet när anmälda
uppgifter har ändrats
Regeringen skall vidare - utan möjlighet till vidare delegation - enligt
vårt förslag få meddela föreskrifter om
• undantag från förbudet mot överföring av personuppgifter till tredje
land för överföring till vissa stater eller om överföringen regleras av ett
avtal som ger tillräckliga garantier till skydd för de registrerades
rättigheter, och
• att vissa behandlingar av personuppgifter som kan innebära särskilda
risker för otillbörligt intrång i den personliga integriteten skall för
förhandskontroll anmälas till tillsynsmyndigheten tre veckor i förväg
Av vad som anförs i avsnitt 15 framgår att det föreslås att
bemyndigandena under tiden den 24 oktober 1998 till den 1 januari 1999
bara skall avse automatiserad behandling av personuppgifter.
Vår bedömning av förhållandet till regeringsformen
I 8 kap. 1 § regeringsformen finns det en erinran om att det av
bestämmelserna i 2 kap. regeringsformen följer att föreskrifter av visst
slag får meddelas endast genom lag. I 2 kap. 3 § andra stycket
regeringsformen finns det en bestämmelse om att varje medborgare skall i
den utsträckning som närmare anges i lag skyddas mot att hans eller
hennes personliga integritet kränks genom att uppgifter om honom eller
henne registreras med hjälp av automatisk databehandling. Av förarbetena
framgår emellertid att lydelsen av grundlagsregeln har utformats så att det
skall stå klart att regeln inte hindrar regeringen, andra myndigheter eller
kommuner att meddela dataskyddsbestämmelser (prop. 1987/88:57 s 11).
Efter införandet av regeln i 2 kap. 3 § andra stycket har i regeringsformen
också införts en möjlighet för riksdagen att till regeringen eller den
myndighet som regeringen bestämmer delegera rätten att meddela
föreskrifter om skydd för personlig integritet vid registrering av uppgifter
med hjälp av automatisk databehandling, varvid regeln i 2 kap. 3 § andra
stycket inte ansetts hindra sådan delegation (prop. 1993/94:116 s. 15).
Däremot innebär regeln i 2 kap. 3 § andra stycket enligt förarbetena att
riksdagen måste vara aktiv genom att stifta och vidmakthålla en
58
dataskyddslagstiftning som utgör en verklig och allvarligt menad Prop. 1997/98:44
skyddslagstiftning (prop. 1987/88:57 s. 11). Av det sagda följer enligt vår
uppfattning, vilken delas av Lagrådet, att reglerna i 2 kap. 3 § andra
stycket regeringsformen inte hindrar att regeringen och den myndighet
som regeringen bestämmer ges behörighet att närmare precisera och
konkretisera regleringen i den nya lagen, som skall uppta de grund-
läggande huvudreglerna och principerna i fråga om personuppgifts-
skyddet.
Nästa fråga av betydelse för delegationsmöjlighetema blir hur den
föreslagna lagstiftningen förhåller sig till bestämmelserna i 8 kap 2 och
3 §§ regeringsformen, dvs. om lagstiftningen skall anses vara av civil-
rättslig eller offentligrättslig karaktär.
Enligt 8 kap. 2 § regeringsformen skall föreskrifter om enskildas
personliga ställning samt om deras personliga och ekonomiska för-
hållanden inbördes meddelas genom lag. Sådana föreskrifter tillhör det
obligatoriska lagområdet, och riksdagen får inte delegera föreskriftsrätten
inom detta område.
Enligt 8 kap. 3 § regeringsformen skall föreskrifter om förhållandet
mellan enskilda och det allmänna som gäller åligganden för enskilda eller
i övrigt avser ingrepp i enskildas personliga eller ekonomiska för-
hållanden meddelas genom lag. Beträffande sådana offentligrättsliga
föreskrifter är det möjligt att delegera föreskriftsrätten i de fall som anges
i 8 kap. 7 § regeringsformen. Motsvarande gäller enligt 8 kap. 5 och 7 §§
beträffande föreskrifter om kommunernas befogenheter och åligganden.
Att klart slå fast var gränsen går mellan offentligrättsliga och privat-
rättsliga regler är närmast omöjligt. Håkan Strömberg konstaterar i
Normgivningsmakten enligt 1974 års regeringsform, Juristförlaget i Lund,
Lund 1989, s. 64 ff. i anledning av frågan om regeringen i lagen (1980:2)
om finansbolag och fondkommissionslagen (1979:748) kunde bemyn-
digas att meddela föreskrifter om kapitaltäckmngskrav: ”De sistnämnda
lagstiftningsärendena belyser det förhållande, som har påpekats i första
kapitlet av denna framställning, nämligen att rättsreglerna hänger samman
med varandra på många sätt och att en uppdelning av rättsregler i olika
ämnesområden ibland är möjlig endast om man bortser från det inre
sammanhanget i regelsystemet Grundlagsstiftama har byggt på indel-
ningen i offentlig rätt och privaträtt utan att tänka på att offentligrättsliga
och privaträttsliga regler kan vara sammanflätade med varandra. Att
genom grundlagstolkning entydigt fastställa var gränsen mellan de båda
rättsområdena skall dras i ett fall som det ovan nämnda är därför strängt
taget en hopplös uppgift.”
När det gäller frågan om föreskrifter till skydd för den enskildes
personliga integritet är att hänföra till privaträttsliga eller offentligrättsliga
föreskrifter är vår uppfattning och utgångspunkt att bestämmelserna till
följd av sin karaktär i grunden utgör offentligrättsliga föreskrifter.
Bestämmelserna utgör ett medel för det allmänna att bl a. i enlighet med
vad som anges i 2 kap. 3 § regeringsformen skydda enskilda mot kränk-
ning av deras personliga integritet genom olämplig behandling av person-
uppgifter.
Lagrådet har vid sin analys av frågan om reglernas privat- eller
offentligrättsliga karaktär haft en delvis annan utgångspunkt än vi. I vår
diskussion i lagrådsremissen om normernas karaktär har vid analysen om
förhållandet till 8 kap 2 § regeringsformen inledningsvis konstaterats att
det inte kan vara fråga om sådana föreskrifter som behandlas i första ledet
av 8 kap. 2 § regeringsformen, dvs. att det kan inte röra enskildas per-
sonliga ställning i den mening som avses i paragrafen. Lagrådet ansluter
sig till vår bedömning i denna del.
När det sedan gäller andra ledet av 8 kap. 2 § regeringsformen,
”enskildas personliga och ekonomiska förhållanden inbördes”, skulle det
kunna hävdas att de aktuella normerna bör hänföras till 8 kap 2 §,
eftersom en enskild kan förpliktas betala skadestånd till annan enskild
enligt den föreslagna lagen. Enligt vår uppfattning kan man dock inte bara
på grund av den omständigheten dra slutsatsen att i grunden offent-
ligrättsliga föreskrifter är av privaträttslig karaktär, särskilt inte då
bestämmelserna har kombinerats med straffbestämmelser eller annan
betydelsefull offentligrättslig sanktion i form av vitesföreläggande. Enligt
Lagrådets uppfattning är föreskrifter som en enskild person med fram-
gång kan direkt åberopa mot andra enskilda i domstol och som kan leda
till att enskilda förpliktas att betala skadestånd av privaträttslig natur.
Lagrådet konstaterar vidare att den omständigheten att föreskrifterna
dessutom kan ha påtagliga offentligrättsliga inslag inte innebär att den
privaträttsliga delen bortfaller. Lagrådet tar därför avstånd från tanken i
remissen att införandet av ett system för offentlig tillsyn av tillämpningen
av privaträttsliga föreskrifter eller en kriminalisering av dessa får till
konsekvens att föreskrifterna förlorar sin privaträttsliga karaktär och
förvandlas till offentligrättsliga
Frågan om bestämmelser har offentligrättslig eller privaträttslig
karaktär är som framgår av Håkan Strömbergs uttalande ofta svårbedömd.
Det är därför naturligt att det förekommer olika uppfattningar om till
vilken grupp en bestämmelse skall hänföras. Vi delar Lagrådets upp-
fattning att föreskrifter som är av privaträttslig karaktär inte enbart till
följd av ett straffbeläggande eller genom ett införande av andra offent-
ligrättsliga sanktioner kan förvandlas till offentligrättsliga föreskrifter. Ett
sådant förfaringssätt skulle onekligen innebära ett kringgående av
regeringsformen. I förevarande fall rör det det sig dock enligt vår upp-
fattning inte om i grunden privaträttsliga bestämmelser utan om bestäm-
melser som till sin natur har offentligrättslig karaktär. De bestämmelser
om skydd för personuppgifter som redan finns, t.ex. i datalagen
(1973:289) och i kreditupplysningslagen (1973:1173), har också hittintills
alltid i praktiken behandlats som offentligrättsliga. Det tillägg till
delegationsgrundema i 8 kap. 7 § regeringsformen som på den dåvarande
regeringens förslag infördes i anslutning till 1994 års val bygger också på
denna förutsättning. Det förhållande att bestämmelserna är förknippade
med skadeståndssanktion kan enligt vår mening inte förta bestämmelserna
deras offentligrättsliga karaktär (jfr t.ex. jämvägstrafiklagen [1985:192],
särskilt 3 § och Lagrådets yttrande i prop. 1996/97:65 om ändringar i
kreditupplysningslagen angående 7 § denna lag). Vi anser inte heller att
den större betydelse som skadeståndssanktionen får i den nya lagen
jämfört med i dag är av så avgörande betydelse att bestämmelserna i
grunden förvandlas till privaträttsliga i stället för offentligrättsliga.
Lagstiftningen erbjuder flera exempel på att offentligrättsliga bestäm-
Prop. 1997/98:44
60
melser kan ha privaträttsliga inslag utan att reglernas karaktär bedöms Prop. 1997/98:44
vara annat än offentligrättslig. Av 8 kap. 7 § andra stycket regerings-
formen framgår att offentligrättsliga föreskrifter som meddelats av
regeringen med stöd av delegation enligt första stycket kan förknippas
med straffsanktioner, och huvudregeln är ju att skadestånd skall betalas
för skada som vållats genom brott, se t.ex. 1 kap. 3 § och 2 kap. 5 §
skadeståndslagen (1972:207)
Från EG-direktivets synpunkt saknar distinktionen mellan civilrättslig
och offentligrättslig lagstiftning betydelse Medlemsstaterna har skyl-
dighet att införliva dataskyddsreglema i sin nationella lagstiftning men har
frihet att välja metod för hur det skall ske
Vår slutsats är att de bemyndiganden som föreslås i den nya lagen
avser offentligrättsliga föreskrifter och inte sådana privaträttsliga före-
skrifter som hör till det obligatoriska lagområdet. Det är således möjligt
att i de ämnen som anges i 8 kap 7 § 8 regeringsformen lämna bemyn-
digandena.
Enligt bestämmelsen i 8 kap 7 § 8 regeringsformen kan delegation av
föreskriftsrätt ske i fråga om ”skydd för personlig integritet vid
registrering av personuppgifter med hjälp av automatisk databehandling”.
Lagrådet har som konsekvens av ställningstagandet att föreskrifterna är av
privaträttslig karaktär förordat att punkt 8 i det akuella lagrummet skall
upphävas. Vi har som framgår ovan kommit till en annan slutsats vad
gäller bestämmelsernas karaktär. Föreskrifter bör kunna ges av regeringen
eller den myndighet som regeringen bestämmer på hela det område som
omfattas av den nya lagen, dvs. även när det gäller sådan manuell
behandling av personuppgifter som omfattas av den nya lagen (se avsnitt
6.1). Vi föreslår därför i likhet med Datalagskommittén att den bestäm-
melsen ändras så att det blir möjligt att - i enlighet med tillämp-
ningsområdet för den nya lagen och EG-direktivet - delegera
föreskriftsrätt i fråga om ”skydd för personlig integritet vid behandling av
personuppgifter”
I avsnitt 15 berörs frågan om när den nya lagen, inklusive föreslagna
bemyndiganden, och ändringen i regeringsformen skall träda i kraft.
61
Prop. 1997/98:44
Regeringens förslag: Den nya lagen skall innehålla de generella regler
som följer av EG-direktivet i fråga om vilka krav som ställs vid
behandling av personuppgifter, när sådan behandling är tillåten,
information till den registrerade, korrigering av personuppgifter, rättig-
heter vid automatiserade beslut, säkerheten vid behandlingen och
överföring av personuppgifter till s.k. tredje land.
Datalagskommitténs förslag överensstämmer i huvudsak med re-
geringens.
Remissinstanserna: De allra flesta remissinstanser accepterar att de
regler som följer av EG-direktivet införs i den nya lagen. Flera föreslår
dock förtydliganden, kompletteringar eller undantagsregler i olika
hänseenden
Skälen för regeringens förslag: EG-direktivet innehåller en rad
materiella regler om hanteringen av personuppgifter. Det gäller generella
regler om vilka krav som ställs vid behandling av personuppgifter, när
sådan behandling är tillåten, information till den registrerade, korrigering
av personuppgifter, rättigheter vid automatiserade beslut, säkerheten vid
behandlingen och överföring av personuppgifter till s.k. tredje land, dvs
till en stat utanför EES. En sammanfattning av reglerna i direktivet finns i
avsnitt 4.3.
De materiella reglerna i direktivet måste införas i den nya lagen I
enlighet med vad som anges i avsnitt 5.2 bör den nya lagen därvid i
huvudsak följa direktivets text och struktur och i princip bara innehålla de
generella regler som följer av direktivet Behovet av undantag och sär-
regler för mer speciella områden får tillgodoses genom andra författ-
ningar, se avsnitt 6.2.
Förslagen från remissinstanserna till utformning av lagtexten har följts
i flera fall. I författningskommentaren berörs vissa andra förslag i den
utsträckning de inte bedömts stå i strid med direktivet. I det följande
berörs närmare de materiella regler som den nya lagen innehåller
62
Regeringens förslag: Den personuppgiftsansvarige skali se till att
a) personuppgifter behandlas bara om det är lagligt,
b) personuppgifter alltid behandlas på ett korrekt sätt och i enlighet
med god sed,
c) personuppgifter samlas in bara för särskilda, uttryckligt angivna och
berättigade ändamål,
d) personuppgifter inte behandlas för något ändamål som är oförenligt
med det för vilket uppgifterna samlades in,
e) de personuppgifter som behandlas är adekvata och relevanta i för-
hållande till ändamålen med behandlingen,
f) inte fler personuppgifter behandlas än som är nödvändigt med hän-
syn till ändamålen med behandlingen,
g) de personuppgifter som behandlas är riktiga och, om det är nöd-
vändigt, aktuella,
h) alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana
personuppgifter som är felaktiga eller ofullständiga med hänsyn till
ändamålen med behandlingen, och
i) personuppgifter inte bevaras under en längre tid än vad som är nöd-
vändigt med hänsyn till ändamålen med behandlingen.
För behandling av personuppgifter för historiska, statistiska eller
vetenskapliga ändamål gäller vissa särregler
Datalagskommitténs förslag stämmer i huvudsak överens med
regeringens. Kommittén föreslår dock att skyldigheten att vidta åtgärder
för att rätta, blockera eller utplåna skall gälla inte bara felaktiga eller
ofullständiga personuppgifter utan också missvisande personuppgifter.
Remissinstanserna: Länsrätten i Stockholms län anser att ändamålen
med en behandling skall nedtecknas och avstyrker att korrigerings-
skyldigheten skall gälla även missvisande personuppgifter
Skälen för regeringens förslag: De grundläggande kraven på be-
handling av personuppgifter i den nya lagen stämmer överens med de
krav som medlemsstaterna skall föreskriva enligt artikel 6 i EG-direktivet,
se bilaga 1.
EG-direktivet nämner inte missvisande personuppgifter i fråga om
skyldigheten att vidta åtgärder för att rätta, blockera eller utplåna person-
uppgifter. Därför har vi - till skillnad från Datalagskommittén men i
enlighet med vad Länsrätten i Stockholms län föreslagit - valt att i
bestämmelsen uttryckligen nämna bara felaktiga och ofullständiga person-
uppgifter. Det är för övrigt svårt att se att det i praktiken skulle kunna
förekomma fall där en personuppgift med hänsyn till ändamålen med
behandlingen skulle vara objektivt sett missvisande men inte felaktig eller
ofullständig
Däremot finns det enligt vår mening inte anledning att följa länsrättens
förslag om att införa en uttrycklig skyldighet att nedteckna ändamålet med
behandlingen. Någon sådan skyldighet föreskrivs mte enligt EG-direk-
tivet. Ändamålet måste dock vara uttryckligt angivet. De bestämmelser
Prop. 1997/98:44
63
som finns om information till den registrerade när personuppgifterna Prop 1997/98:44
samlas in (se avsnitt 11.5 1) medför som regel att ändamålen måste
uppges redan när behandlingen påbörjas. Härtill kommer att den person-
uppgiftsansvarige alltid är skyldig att uppge ändamålen antingen i en
anmälan till tillsynsmyndigheten eller till var och en som begär en sådan
upplysning (se avsnitt 12). Detta får anses tillräckligt
Behandling för historiska, statistiska och vetenskapliga ändamål
Enligt EG-direktivet är lagring och annan behandling av personuppgifter
for historiska, statistiska och vetenskapliga ändamål särskilt gynnad. Se-
nare behandling för sådana ändamål skall inte anses oförenlig med de ur-
sprungliga ändamål för vilka uppgifterna samlades in Det är också tillåtet
att för sådana ändamål spara personuppgifter under längre tid
Personuppgifter får dock inte heller i dessa fall bevaras under längre tid
än vad som behövs för dessa ändamål Motsvarande bestämmelser har
förts in i den nya lagen. EG-direktivet kräver dock att Sverige för dessa
fall beslutar om eller vidtar lämpliga skyddsåtgärder.
Datalagskommittén har i detta hänseende föreslagit en bestämmelse
om att personuppgifter som behandlas för historiska, statistiska eller
vetenskapliga ändamål får användas för att vidta åtgärder beträffande den
registrerade bara om den registrerade har lämnat sitt samtycke eller det
finns synnerliga skäl med hänsyn till den registrerades eller någon annans
vitala intressen. Remissinstanserna har lämnat förslaget i sak utan erinran,
dock anser Statistiska centralbyrån att det inte är acceptabelt med en
bestämmelse som innebär att uppgifter som behandlas för aktuella
ändamål kan användas för att vidta åtgärder mot den registrerade med
hänsyn till någon annans vitala intressen. Vi kan inte annat än hålla med
centralbyrån på den punkten. Det bör således inte vara möjligt att utsätta
den registrerade för åtgärder bara av hänsyn till någon annan. I övrigt
motsvarar bestämmelsen i den nya lagen i stort sett den som kommittén
föreslagit Bestämmelsen skall - i enlighet med kommitténs förslag - inte
gälla för en myndighets användning av personuppgifter i allmänna
handlingar. För sådana personuppgifter finns det nämligen redan lämpliga
skyddsåtgärder i form av bestämmelser om sekretess och skydd för arkiv.
64
Prop. 1997/98:44
Regeringens forslag: Personuppgifter får behandlas bara om den
registrerade har lämnat sitt samtycke till behandlingen eller om
behandlingen är nödvändig för att
a) ett avtal med den registrerade skall kunna fullgöras eller åtgärder
som den registrerade begärt skall kunna vidtas innan ett avtal träffas,
b) den personuppgiftsansvarige skall kunna fullgöra en rättslig skyl-
dighet,
c) vitala intressen för den registrerade skall kunna skyddas,
d) en arbetsuppgift av allmänt intresse skall kunna utföras,
e) den personuppgiftsansvarige eller en tredje man till vilken person-
uppgifter lämnas ut skall kunna utföra en arbetsuppgift i samband
med myndighetsutövning, eller
f) ett ändamål som rör ett berättigat intresse hos den personuppgifts-
ansvarige eller hos en sådan tredje man till vilka personuppgifterna
lämnas ut skall kunna tillgodoses om detta intresse väger tyngre än
den registrerades intresse av skydd mot kränkning av den personliga
integriteten
Personuppgifter får inte behandlas för ändamål som rör direkt mark-
nadsföring, om den registrerade hos den personuppgiftsansvarige
skriftligen har anmält att han eller hon motsätter sig sådan behandling.
När en behandling bara är tillåten med samtycke, får ytterligare
personuppgifter inte behandlas sedan den registrerade har återkallat sitt
samtycke
I övrigt har den registrerade inte rätt att motsätta sig behandling av
personuppgifter som är tillåten enligt den nya lagen
Datalagskommitténs förslag stämmer i stort sett överens med
regeringens.
Remissinstanserna: Kammarrätten z Göteborg anser att den
registrerade skall ha rätt att bli informerad innan personuppgifter för
första gången lämnas ut till tredje man eller används för tredje mans
räkning för ändamål som rör direkt marknadsföring och att uttryckligen få
ett erbjudande om att utan kostnader motsätta sig ett sådant utlämnande
eller en sådan användning. Datainspektionen anser å sin sida att det i
fråga om behandling för ändamål som rör direkt marknadsföring bör
införas ett krav på aktivt samtycke eller en ordning med ett nationellt s.k
reservationsregister. Även Landsorganisationen i Sverige (LO) anser att
det för behandling för sådana ändamål bör krävas medgivande från den
registrerade.
Skälen för regeringens förslag: Uppräkningen i den nya lagen av i
vilka fall behandling av personuppgifter är tillåten stämmer överens med
den uppräkning som i detta hänseende finns i artikel 7 i EG-direktivet, se
bilaga 1. Uppräkningen är uttömmande. Om känsliga personuppgifter,
uppgifter om lagöverträdelser m.m. eller personnummer skall behandlas,
måste behandling dessutom vara tillåten i enlighet med de bestämmelser
som gäller för behandling av sådana uppgifter (se avsnitt 11.4).
65
5 Riksdagen 1997/98. 1 saml. Nr 44
Att - såsom en del remissinstanser föreslagit - göra förtydliganden och Prop. 1997/98:44
kompletteringar i förhållande till EG-direktivets text är enligt vår mening
inte lämpligt och i vissa fall otillåtet enligt direktivet. Lagtexten bör i
stället nära ansluta till direktivets text (se avsnitt 5.2). Närmare
preciseringar av när behandling är tillåten får - inom den ram EG-
direktivet och lagtexten ger - göras i rättstillämpningen och i kom-
pletterande föreskrifter som utfärdas i anslutning till lagen (se avsnitt 10
om normgivningsdelegation)
Behandling för ändamål som rör direkt marknadsföring
Behandling av personuppgifter för ändamål som rör direkt marknads-
föring kan vara tillåten t.ex. efter en sådan intresseavvägning som anvisas
i punkt g. Vi föreslår dock en uttrycklig bestämmelse i den nya lagen
enligt vilken personuppgifter inte far behandlas för sådana ändamål, om
den registrerade hos den personuppgiftsansvarige skriftligen har anmält
att han eller hon motsätter sig sådan behandling. Den bestämmelsen
uppfyller kravet i artikel 14 i EG-direktivet att medlemsstaterna skall
tillförsäkra den registrerade rätten att efter anmodan och utan kostnader
motsätta sig behandling av personuppgifter som rör den registrerade och
som den personuppgiftsansvarige bedömer kan komma att behandlas för
ändamål som rör direkt marknadsföring. Ett enligt EG-direktivet (artikel
14 första stycket b) tillåtet alternativ till en sådan bestämmelse som den
föreslagna är att ge den registrerade rätt att bli informerad innan person-
uppgifter för första gången lämnas ut till tredje man eller används för
tredje mans räkning för ändamål som rör direkt marknadsföring och att
uttryckligen få ett erbjudande om att utan kostnader motsätta sig ett sådant
utlämnande eller en sådan användning. Kammarrätten i Göteborg anser
att det alternativet är att föredra. Även Datainspektionen och Lands-
organisationen i Sverige (LO) har synpunkter på regleringen i denna
bestämmelse.
Vi anser för vår del att den reglering som den föreslagna bestämmelsen
innehåller är den enklaste och smidigaste. Regleringen ger den som så
önskar en möjlighet att undvika behandling för ändamål som rör direkt
marknadsföring och hindrar inte heller att det på privat initiativ inrättas ett
nationellt reservationsregister till vilket enskilda kan anmäla att de inte
önskar bli utsatta för direkt marknadsföring generellt eller bara i vissa fall.
Rätt att motsätta sig behandling - Återkallelse av samtycke
Enligt den nuvarande datalagen finns det inte någon generell rätt för den
registrerade att motsätta sig en behandling som är laglig. Bestämmelserna
i artikel 14 i EG-direktivet innebär att det för behandling för ändamål som
rör direkt marknadsföring skall finnas en rätt för den registrerade att
motsätta sig behandlingen, men att medlemsstaterna i övrigt fritt kan
genom lagstiftning bestämma i vilken utsträckning en registrerad skall ha
rätt att motsätta sig en sådan behandling som är laglig och tillåten enligt
direktivet.
66
På grund av utformningen av EG-direktivet måste det således i
lagstiftningen slås fast i vilken utsträckning den registrerade generellt har
rätt att motsätta sig behandling av personuppgifter. Datalagskommittén
har föreslagit att den registrerade, i de fall där behandlingen bara är
tillåten när den registrerade har lämnat sitt samtycke, skall ha rätt att när
som helst återkalla ett lämnat samtycke med den verkan att ytterligare
uppgifter om den registrerade därefter inte far behandlas; återkallelsen
påverkar således inte behandlingen av de uppgifter som redan har hunnit
samlas in med stöd av samtycket. Därutöver skall den registrerade, enligt
kommitténs förslag, inte ha någon rätt att motsätta sig en behandling som
är tillåten enligt den nya lagen.
Förslaget har lämnats utan invändningar av remissinstanserna och bör
genomföras. Huvudregeln om att den registrerade inte har rätt att motsätta
sig en enligt lagen tillåten behandling motsvarar vad som gäller i dag.
Regleringen av det fallet att ett lämnat samtycke återkallas innebär enligt
vår mening en lämplig avvägning mellan den registrerades och den
personuppgiftsansvariges intressen. Regleringen innebär att den regi-
strerades självbestämmanderätt beträffande vilka uppgifter som får samlas
in respekteras samtidigt som den personuppgiftsansvariges befogade
anspråk på att få behandla färdigt de uppgifter som han eller hon kommit
över med stöd av ett frivilligt lämnat samtycke kan tillgodoses
11.4.1 Behandling av känsliga personuppgifter
Regeringens förslag: Det är förbjudet att behandla personuppgifter
som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller
filosofisk övertygelse, eller medlemskap i fackförening. Det är också
förbjudet att behandla sådana personuppgifter som rör hälsa eller
sexualliv.
Från förbudet gäller undantag vid uttryckligt samtycke eller när
uppgifter på ett tydligt sätt offentliggörs av den registrerade, vid
nödvändig behandling inom arbetsrätten, för att skydda vitala intressen
eller för att fastställa, göra gällande eller försvara rättsliga anspråk och
vid behandling inom ideella organisationer eller mom hälso- och
sjukvården
Datalagskommitténs forslag överensstämmer i huvudsak med
regeringens
Remissinstanserna: Flera remissinstanser, t.ex. på det kommunala
området, påpekar att definitionen av känsliga personuppgifter inte
överensstämmer med den som tillämpas i dag. Arbetarskyddsstyrelsen
anser att regeringen eller Datainspektionen bör ha möjlighet att i särskilda
fall förbjuda behandling av känsliga personuppgifter även om det finns
samtycke.
Prop. 1997/98:44
67
Skälen för regeringens förslag: Definitionen av känsliga person- Prop. 1997/98:44
uppgifter i det principiella förbudet mot behandling av sådana uppgifter i
den nya lagen överensstämmer med den definition som finns i artikel 8 1 i
EG-direktivet, se bilaga 1
Enligt den nuvarande datalagen gäller särskilda regler för
personregister som innehåller uppgifter om
• andra än medlemmar, anställda eller kunder hos den person-
uppgiftsansvarige eller personer som har annan därmed jämställd
anknytning till denne,
• att någon misstänks eller dömts för brott,
• att någon avtjänat straff eller undergått annan påföljd för brott,
• att någon varit föremål för tvångsingripande enligt viss lagstiftning,
• att någon fått ekonomisk hjälp eller vård inom socialtjänsten,
• att någon varit föremål för åtgärd enligt utlänningslagen,
• någons sjukdom, hälsotillstånd eller sexualliv,
• någons ras, politiska uppfattning, religiösa tro eller övertygelse i övrigt
och
• någon som utgör omdöme eller annan värderande upplysning
En del av det som i dag omfattas av särskilda regler enligt den
nuvarande datalagen kommer alltså inte att omfattas av bestämmelserna
om känsliga personuppgifter i den nya lagen Datalagskommittén har
ansett att det skulle vara oförenligt med EG-direktivet att utvidga
tillämpningsområdet för direktivets bestämmelser om känsliga uppgifter
till att omfatta allt det som regleras av särskilda regler enligt den
nuvarande datalagen. Den bedömningen verkar inte ha ifrågasatts av
någon remissinstans Även vi anser att det inte är tillåtet enligt EG-
direktivet att i nationell lagstiftning ha en annan definition, som t.ex
omfattar uppgifter som är helt artskilda i förhållande till de som i
direktivet definieras som känsliga. Att göra så skulle hindra det fria flödet
av sådana uppgifter inom Europeiska unionen och därmed strida mot
direktivet
Undantag från förbudet mot behandling av kansltga personuppgifter
Även undantagen från förbudet mot behandling av känsliga person-
uppgifter i den nya lagen överensstämmer med de undantag som skall
föreskrivas enligt artikel 8 2 och 8.3 i EG-direktivet.
Enligt artiklarna gäller inte det tidigare nämnda förbudet mot
behandling av känsliga personuppgifter om
• den registrerade har lämnat sitt uttryckliga samtycke till en sådan be-
handling, utom när det enligt medlemsstatens lagstiftning anges att
förbudet mot behandling av känsliga personuppgifter inte kan upphävas
genom den registrerades samtycke, eller
• behandlingen är nödvändig för att fullgöra de skyldigheter och särskilda
rättigheter som åligger den personuppgiftsansvarige inom arbetsrätten, i
den omfattning detta är tillåtet enligt en nationell lagstiftning som
föreskriver lämpliga skyddsåtgärder, eller
68
• behandlingen är nödvändig för att skydda den registrerades eller någon
annan persons grundläggande intressen när den registrerade är fysiskt
eller rättsligt förhindrad att ge sitt samtycke, eller
• behandlingen utförs inom ramen för berättigad verksamhet hos en
stiftelse, en förening eller ett annat icke vinstdrivande organ, som har
ett politiskt, filosofiskt, religiöst eller fackligt syfte, förutsatt att be-
handlingen endast rör sådana organs medlemmar eller personer som på
grund av organets ändamål har regelbunden kontakt med detta och
uppgifterna inte lämnas ut till tredje man utan den registrerades sam-
tycke, eller
• behandlingen rör uppgifter som på ett tydligt sätt offentliggörs av den
registrerade eller är nödvändiga för att kunna fastslå, göra gällande eller
försvara rättsliga anspråk, eller
• behandlingen av uppgifterna är nödvändig med hänsyn till före-
byggande hälso- och sjukvård, medicinska diagnoser, vård eller
behandling eller administration av hälso- eller sjukvård eller om dessa
uppgifter behandlas av någon som är yrkesmässigt verksam på hälso-
och sjukvårdsområdet och som enligt nationell lagstiftning eller
bestämmelser som antagits av behöriga nationella organ är underkastad
tystnadsplikt eller av en annan person som är ålagd en liknande
tystnadsplikt
Som framgått kan enligt EG-direktivet en medlemsstat i sin lagstiftning
bestämma att förbudet mot behandling av känsliga personuppgifter inte
kan upphävas genom den registrerades samtycke. Arbetarskyddsstyrelsen
anser att lagen i enlighet härmed bör ge regeringen eller Datainspektionen
möjlighet att i särskilda fall förbjuda behandling av känsliga person-
uppgifter även om det finns samtycke.
När någon har lämnat ett frivilligt samtycke till en viss behandling, kan
det enligt vår mening inte finnas något integritetsskyddsintresse som gör
det befogat att förbjuda den behandling som den registrerade och den
personuppgiftsansvarige är överens om. Någon sådan möjlighet som
Arbetarskyddsstyrelsen föreslagit bör därför inte införas
Enligt den nya lagen gäller således undantag vid samtycke eller att
uppgiften tydligt offentliggörs av den registrerade, vid nödvändig
behandling inom arbetsrätten, för att skydda vitala intressen eller för att
fastställa, göra gällande eller försvara rättsliga anspråk och vid behandling
inom ideella organisationer eller inom hälso- och sjukvården Dessa
undantag berörs vidare i författningskommentaren.
Enligt artikel 8 4 i EG-direktivet har medlemsstaterna möjlighet att
föreskriva ytterligare undantag från förbudet med hänsyn till viktiga
allmänna intressen. Detta förutsätter dock att det finns lämpliga skydds-
åtgärder. Såsom framgår av avsnitt 10 föreslår vi att regeringen eller den
myndighet som regeringen bestämmer skall bemyndigas att för viktiga
allmänna intressen föreskriva andra undantag från det principiella
förbudet mot behandling av känsliga personuppgifter än dem som framgår
direkt av EG-direktivet Vi anser dock att forskning och statistik är ett så
viktigt område att det bör regleras redan i den nya lagen. Undantaget för
forskning och statistik berörs närmare i följande avsnitt.
Prop. 1997/98:44
69
11.4.2 Behandling utan samtycke av känsliga personuppgifter for
forskning och statistik
Regeringens förslag: Känsliga personuppgifter får behandlas utan
samtycke för forskning och statistik, om behandlingen är nödvändig
och om samhällsintresset av projektet klart väger över riskerna för
otillbörligt intrång i den personliga integriteten. Har behandlingen
godkänts av en forskningsetisk kommitté, skall förutsättningarna anses
uppfyllda.
Datalagskommitténs förslag överensstämmer i huvudsak med
regeringens
Remissinstanserna: Samtliga remissinstanser med anknytning till
forsknings- och statistikverksamhet godtar förslaget eller lämnar det utan
erinran. Svea hovrätt anser att förhandsgranskning alltid bör göras av
Datainspektionen i avvaktan på att den forskningsetiska verksamheten ses
över. Arbetarskyddsstyrelsen föreslår att prövningen bör göras inte av en
forskningsetisk kommitté utan av styrelsen för den institution som
forskaren tillhör. Styrelsen anser vidare, liksom Kammarrätten i Göteborg
och Länsrätten i Stockholms län, att kommitténs beslut i vart fall bör
kunna överprövas. Statistiska centralbyrån efterlyser bättre möjligheter att
göra s.k. bortfallsanalys beträffande personer som vägrat lämna samtycke
till en undersökning
Skälen för regeringens förslag: Forskning och statistik är ett så
viktigt område att det bör regleras redan i den nya lagen Beträffande den
officiella statistiken finns det redan en särskild författningsreglering
(lagen [1995:606] om vissa personregister för officiell statistik och
förordningen [1995:1060] om vissa personregister för officiell statistik)
som - i enlighet med vad som anges i avsnitt 6.2 - skall gälla framför den
nya lagen. För övrig statistik och för forskning i allmänhet saknas däremot
särskild författningsreglering, och det är sådant som inte redan är reglerat
särskilt i författning som övervägandena i det följande tar sikte på
Att samhällsintressant forskning och statistik kan genomföras utgör ett
sådant viktigt allmänt intresse som avses i artikel 8.4 i EG-direktivet. Den
nya lagen bör - såsom en sådan lämplig skyddsåtgärd som avses i nämnda
artikel i direktivet - innehålla en regel om att personuppgifter som
behandlas för bl.a. statistiska eller vetenskapliga ändamål får användas för
att vidta åtgärder beträffande den registrerade bara om den registrerade
har lämnat sitt samtycke eller om det finns synnerliga skäl med hänsyn till
den registrerades vitala intressen. Regeln bör dock inte gälla för en
myndighets användning av personuppgifter i allmänna handlingar. Regeln
har berörts i avsnitt 8.1. De stränga regler om sekretess och tystnadsplikt
som regelmässigt gäller vid behandling för forskning och statistik får
också anses utgöra lämpliga skyddsåtgärder
En awägningsnorm i lagtexten
Enligt den nya lagen får känsliga personuppgifter alltid behandlas om den
registrerade uttryckligen har lämnat sitt samtycke. Huvudprincipen vid
Prop. 1997/98:44
70
forskning och statistik har under lång tid varit att den enskilde skall ha Prop. 1997/98:44
lämnat sitt samtycke. Vad frågan här gäller är alltså i vilka undantagsfall
känsliga personuppgifter skall få behandlas för forskning och statistik
utan samtycke från de registrerade.
Viss forskning och statistik är så viktig att den inte bör vara beroende
av att varje berörd enskild har informerats och lämnat sitt samtycke
Ibland tar samhällsintresset över intresset av att skydda enskildas
personliga integritet. Att ett rättvisande cancerregister kan föras är t.ex. ett
så viktigt samhällsintresse att man inte kan ta hänsyn till att drygt
10 procent av befolkningen anser att patientuppgifter inte skall få föras
över dit.
Principen om en fri forskning gör att det finns många olikartade forsk-
nings- och statistikprojekt, och dessa pågår som regel bara under en
begränsad tid. Detta, liksom vikten av att värna om forskningens frihet,
gör att det förefaller lämpligare att göra en avvägning i varje särskilt fall
än att i den nya lagen införa generella regler om vilken forskning och
statistik som skall tillåtas. Vid en sådan individuell avvägning kan olika
faktorer kring forsknings- eller statistikprojektet vägas mot intrånget i den
enskildes personliga integritet. Det bör t.ex. göras en bedömning av hur
pass viktig den kunskap är som projektet kan ge och om den kunskapen
kan fås på något annat sätt än genom att behandla personuppgifter eller
om intrånget i den personliga integriteten annars kan begränsas genom en
annan uppläggning av projektet. Det är t ex viktigt att möjligheterna att
bedriva forskningen eller framställa statistiken utan att använda person-
anknutna uppgifter alltid undersöks.
Det sagda talar för att det bör finnas något slags awägningsnorm i
lagtexten. Den awägningsnorm som Datalagskommittén föreslagit har i
huvudsak godtagits av remissinstanserna. Hovrätten över Skåne och
Blekinge anser dock att awägningsnormen bör preciseras och att lag-
texten bör utfyllas. Liknande synpunkter förs fram av Malmö tingsrätt
Den föreslagna normen innebär att behandling utan samtycke av känsliga
personuppgifter får ske under förutsättning att behandlingen är nödvändig
och att samhällsintresset av det forsknings- eller statistikprojekt vari
behandlingen ingår klart väger över den risk för otillbörligt intrång i
enskildas personliga integritet som behandlingen kan innebära.
Den normen ger uttryck för en restriktiv tillämpning och betonar att
behandlingen måste vara nödvändig samtidigt som en intresseawägning
skall göras. Enligt vår mening är det inte nödvändigt att i lagtexten
ytterligare precisera normen utan det kan överlåtas åt rättstillämpningen
att med användande av normen och allt efter rådande värderingar och
utvecklingen i samhället avgöra vilka behandlingar som kan tillåtas. Vid
den helhetsbedömning som skall göras enligt normen kan beaktas bl.a
forsknings- eller statistikprojektets vikt, behovet av personuppgifter,
säkerheten vid behandlingen, hur pass kostsamt eller tidsödande det
skulle vara att hämta in samtycke, i vad mån den enskilde skulle kunna
skadas om man begärde samtycke och om en kontakt med den enskilde
skulle kunna förrycka undersökningsresultatet. Vid intresseawägningen
bör också beaktas om information i någon form lämnas till de berörda,
t.ex. via anslag eller annonser. I de allra flesta fall bör åtminstone sådan
71
information kunna lämnas Även frågan i vilken utsträckning den som be- Prop 1997/98:44
gär det skall ha rätt att bli struken kan beaktas vid intresseawägningen
Godkännande av en forskningsetisk kommitté
Datalagskommittén har föreslagit att förutsättningarna enligt awägnings-
normen skall anses uppfyllda om projektet godkänts av en forskningsetisk
kommitté. Vi delar denna uppfattning, dock att det i personuppgiftslagen
bör anges att det är behandlingen som skall godkännas, inte projektet
Med en forskningsetisk kommitté avses ett sådant särskilt organ för
prövning av forsknmgsetiska frågor som har företrädare för såväl det
allmänna som forskningen och som är knutet till ett universitet eller en
högskola eller till någon annan instans som i mera betydande omfattning
finansierar forskning. Sådana kommittéer är i dag knutna till de
medicinska fakulteterna, Humanistisk-samhällsvetenskapliga forsknings-
rådet och Socialvetenskapliga forskningsrådet.
Datalagskommitténs förslag har i huvudsak godtagits av remiss-
instanserna Svea hovrätt och Arbetarskyddsstyrelsen anser dock att
granskningen bör göras av någon annan instans, Datainspektionen
respektive styrelsen för den institution forskaren tillhör Den awägning
som måste ske är så känslig och så svår att göra att den som huvudregel
inte bör överlåtas åt varje enskild forskare eller statistiker vid varje enskilt
forsknings- eller statistikprojekt. Det krävs därför att awägningen i de
enskilda fallen som regel görs av någon oberoende instans. Styrelsen för
den institution som en forskare tillhör är inte så oberoende som bör
krävas. Den oberoende instansen bör vidare ha kunskap och vana att göra
bedömningar av såväl risken för otillbörliga integntetsintrång som
forsknings- eller statistikprojektet som sådant. Tillräcklig kunskap och
vana för att göra sådana bedömningar av forsknings- och statistikprojekt
finns för närvarande inte hos Datainspektionen, och det förefaller inte
heller ändamålsenligt att nu tillföra inspektionen sådan kompetens. Vi
anser därför i likhet med de allra flesta remissinstanserna att awägningen
bör göras av en forskningsetisk kommitté. Sammansättningen av
kommittén bör givetvis vara sådan att det finns kompetens för att göra
awägningen med hänsyn till den personliga integriteten
Överprövning av den forsknmgsetiska kommitténs beslut
Kammarrätten i Göteborg, Länsrätten i Stockholms län och Arbetar-
skyddsstyrelsen anser att den forsknmgsetiska kommitténs beslut bör
kunna överprövas. Den främsta anledningen till att de forsknmgsetiska
kommittéerna bör göra awägningen är att dessa instanser har sådan
särskild kunskap och vana att göra bedömningar av såväl risken för
otillbörliga mtegritetsintrång som forsknings- och statistikprojekt som inte
finns hos någon annan instans, t ex. hos Datainspektionen eller inom
domstolsväsendet eller regeringskansliet. Såvitt framkommit gör kom-
mittéerna bedömningarna på ett omdömesgillt och självständigt sätt.
Deras granskning utgör en garanti för att behandling av känsliga person-
uppgifter för forskning och statistik används utan samtycke bara i de
72
undantagsfall där det verkligen är befogat med hänsyn till samhälls- Prop. 1997/98:44
intresset att forskningen kommer till stånd. Det får vidare förutsättas att
tillsynsmyndigheten och kommittéerna regelbundet samråder med
varandra och att myndigheten noga följer utvecklingen på detta område.
De forsknmgsetiska kommittéernas verksamhet är i dag inte för-
fattnmgsreglerad, och de åläggs inte heller genom den nya lagen någon
utövning av offentlig makt. Frågan om en forskningsetisk kommitté är en
myndighet vars beslut att godkänna eller inte godkänna ett projekt kan
överklagas enligt allmänna regler om överklagande av förvaltnings-
myndighets beslut påverkas inte av den nya lagen.
Regeringen har tillsatt en kommitté med uppdrag att bl.a. undersöka
hur systemet för forskningsetisk granskning fungerar i dag och föreslå de
förändringar som bedöms nödvändiga (dir. 1997:68). En av utgångs-
punkterna för kommittén skall vara att forskning som har människor som
forskningsobjekt skall utsättas för etisk granskning. Kommittén skall
överväga om det bör finnas möjlighet till överprövning av de forsk-
ningsetiska kommittéernas beslut och undersöka och föreslå utformningen
av forskningsetisk granskning av projekt som innefattar användning av
personnummer. Även sammansättningen av de forsknmgsetiska kom-
mittéerna skall utredas. Kommittén skall redovisa sitt uppdrag senast den
1 februari 1999.
Den forsknmgsetiska verksamheten kommer således att få en allsidig
genomlysning, varvid även frågan om överprövning av de forsknings-
etiska kommittéernas beslut kommer att belysas. Resultatet av utred-
ningens översyn och förslag kan göra att det finns anledning att på nytt
överväga frågan. Vi har därför inte funnit anledning att nu av mte-
gritetsskäl införa en särskild överprövningsmöjlighet.
Förhandskontroll av behandlingar som inte granskats av forskningsetisk
kommitté
De allra flesta forsknings- och statistikprojekt där det kan vara aktuellt att
behandla känsliga personuppgifter utan samtycke bör kunna granskas av
en forskningsetisk kommitté eller omfattas av den särskilda författ-
ningsregleringen om den officiella statistiken. Datalagskommittén har för
de undantagsfall där en forskningsetisk granskning av någon anledningen
inte kommit till stånd föreslagit att det införs en skyldighet att anmäla
behandlingen för förhandskontroll till tillsynsmyndigheten. Det förslaget
har godtagits eller lämnats utan erinran av remissinstanserna.
En sådan anmälningsskyldighet kan införas med stöd av det
bemyndigande som berörs i avsnitt 10. Vi hade tänkt oss att senare
överväga den frågan och i förekommande fall ge nödvändiga regler i en
förordning.
Bortfallsanalyser
Om en viss behandling av personuppgifter för forsknings- eller
statistikändamål enligt den nya lagen bara är tillåten när den enskilde har
lämnat sitt samtycke, får vid uteblivet eller vägrat samtycke uppgifter om
73
den berörde inte behandlas. Detta innebär bl.a. att s.k. bortfallsanalyser Prop. 1997/98:44
inte kan genomföras, när forsknings- eller statistikprojektet inte är av
sådan vikt att behandlingen av uppgifterna får ske utan samtycke.
Statistiska centralbyrån anser att det måste vara tillåtet att göra bort-
fallsanalyser, dvs. behandla uppgifter om dem som inte lämnat samtycke.
Av vad som anförts i det föregående framgår att känsliga person-
uppgifter bör fa behandlas utan samtycke för forskning och statistik bara
när det finns ett starkt samhällsintresse av att det aktuella projektet
genomförs. Vi anser att det inte finns anledning att medge sådan
behandling för mindre viktiga projekt, ens när det gäller bortfallsanalyser.
Har den enskilde vägrat att lämna sitt samtycke till behandling av känsliga
personuppgifter när ett sådant krävs, bör hans eller hennes vilja således
respekteras. Inget hindrar dock att den ansvarige för behandlingen
alternativt efterfrågar samtycke till att under en kortare tid behandla vissa
känsliga personuppgifter för bortfallsanalys.
Om bortfallsanalysen bara skall avse sådana personuppgifter som inte
är känsliga, finns det däremot enligt EG-direktivet och den nya lagen
större möjligheter att behandla uppgifterna utan samtycke och utföra
bortfallsanalysen. Sådana uppgifter får nämligen behandlas t.ex. när
behandlingen är nödvändig för att utföra en arbetsuppgift av allmänt
intresse, se avsnitt 11.3.
Utlämnande av personuppgifter för forskning och statistik
Enligt artikel 11.2 i EG-direktivet behöver information till de registrerade
inte lämnas när uppgifter hämtas in från annat håll än de registrerade, om
utlämnandet av uppgifterna uttryckligen föreskrivs i författning. Det krävs
dock att det finns lämpliga skyddsåtgärder. Reglerna berörs närmare i
avsnitt 11.5.1.
Datalagskommittén har - med hänsyn till EG-direktivet - föreslagit att
det i den nya lagen tas in en uttrycklig bestämmelse om att person-
uppgifter får lämnas ut för att användas i sådana forsknings- och
statistikprojekt som är så viktiga att behandling av känsliga person-
uppgifter är tillåten utan samtycke, om inte något annat följer av regler om
sekretess och tystnadsplikt. Bestämmelsen för med sig att den forskare
eller statistiker som i enlighet med bestämmelsen hämtar in person-
uppgifter från något annat håll än de registrerade inte automatiskt behöver
informera de registrerade om sin behandling. Däremot kan den
forsknmgsetiska granskningen eller en tillämpning av awägningsnormen
i lagtexten leda till att information måste lämnas. Datalagskommittén har
ansett att bl.a. de stränga sekretessbestämmelser som regelmässigt gäller
inom forsknings- och statistikverksamhet utgör sådana lämpliga
skyddsåtgärder som krävs enligt EG-direktivet
Förslaget har godtagits eller lämnats utan erinran av remissinstanserna.
Också vi anser att det har goda skäl för sig och bör genomföras. Det bör
dock betonas att det inte är fråga om någon ny uppgiftsskyldighet för en-
skilda eller det allmänna. Ett privat företag kan således liksom hittills
själv bestämma om personuppgifter skall lämnas ut för forskning eller sta-
tistik eller inte
74
11.4.3
Behandling av uppgifter om lagöverträdelser
Prop. 1997/98:44
Regeringens förslag: Det är förbjudet för andra än myndigheter att
behandla personuppgifter om lagöverträdelser som innefattar brott,
domar i brottmål, straffprocessuella tvångsmedel eller administrativa
frihetsberövanden. Regeringen eller den myndighet som regeringen
bestämmer får meddela föreskrifter om undantag från förbudet.
Datalagskommitténs förslag överensstämmer i huvudsak med
regeringens, dock att administrativa frihetsberövanden inte omfattas av
förbudet i Datalagskommitténs förslag.
Remissinstanserna: Datainspektionen pekar på att enligt EG-
direktivet kan samma regler införas för uppgifter som rör ”administrativa
sanktioner” och föreslår att så sker beträffande ”administrativa fri-
hetsberövanden”
Skälen för regeringens förslag: I artikel 8 5 i EG-direktivet (se bilaga
1) finns det särskilda regler rörande behandling av uppgifter om
lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder. Behandling av
sådana uppgifter får utföras endast under kontroll av en myndighet eller -
om lämpliga skyddsåtgärder finns i nationell lag - med förbehåll för de
avvikelser som medlemsstaterna kan tillåta med stöd av nationella
bestämmelser som innehåller lämpliga och specifika skyddsåtgärder. Ett
fullständigt register över brottmålsdomar får dock föras endast under
kontroll av en myndighet Det är tillåtet för medlemsstaterna att föreskriva
att uppgifter som rör ”administrativa sanktioner” eller avgöranden i
tvistemål också skall behandlas under kontroll av en myndighet.
Datalagskommitténs förslag om ett principiellt förbud för andra än
myndigheter att behandla uppgifter om lagöverträdelser, brottmålsdomar
och säkerhetsåtgärder har lämnats utan erinran av remissinstanserna och
bör genomföras. Sådana uppgifter är otvivelaktigt av så känslig natur att
vem som helst inte bör få hantera uppgifterna hur som helst. Å andra
sidan står det klart att myndigheter ofta behöver hantera just sådana
uppgifter för att kunna fullgöra de samhällsuppdrag som lagts på dem. I
vilken utsträckning myndigheter får hantera sådana uppgifter framgår av
de föreskrifter som reglerar respektive myndighets verksamhet. Det är
därför ändamålsenligt att i den nya lagen ta in en grundläggande
bestämmelse om att det är förbjudet för andra än myndigheter att
behandla uppgifter om lagöverträdelser, domar i brottmål eller säker-
hetsåtgärder Som Lagrådet påpekat talar det förhållandet att det är
fakultativt att låta administrativa sanktioner omfattas för att de lag-
överträdelser som avses är sådana som innefattar brott. Detta bör anges
uttryckligen. Med ”säkerhetsåtgärder” torde i första hand avses straff-
processuella tvångsmedel. Detta begrepp bör användas i lagtexten.
Eftersom det kan finnas fali där det är befogat att enskilda behandlar
sådana uppgifter, bör bestämmelsen kompletteras med ett bemyndigande
för regeringen eller den myndighet som regeringen bestämmer att
meddela föreskrifter om undantag från förbudet. Frågan om norm-
givningsdelegation har berörts i avsnitt 10. En möjlighet till dispens i
enskilda fall bör också finnas. Datalagskommittén har som exempel på
fall där det kan vara befogat med undantag nämnt den behandling av
75
uppgifter om t.ex. brottmålsdomar som privata vård- och behandlingshem Prop. 1997/98:44
kan behöva utföra för att vårda och behandla den dömde på ett effektivt
sätt och viss registrering för försäkringsbolagens kravhantering.
Datainspektionen anser med stöd av regeln i EG-direktivet om
”administrativa sanktioner” att samma bestämmelser skall göras tillämp-
liga beträffande ”administrativa frihetsberövanden”. Det kan inte anses
helt klart vad som avses i direktivet med ”administrativa sanktioner”, men
ett exempel kan vara skattetillägg.
I den nuvarande datalagen finns det särskilda regler om personregister
som innehåller uppgift om att någon varit föremål för tvångsingripande
enligt lagen (1990:52) med särskilda bestämmelser om vård av unga,
lagen (1988:870) om vårds av missbrukare i vissa fall, lagen (1991:1128)
om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård,
lagen (1967:940) angående omsorger om vissa psykiskt utvecklingsstörda
och utlänningslagen (1989:529). Enligt vår mening torde de nu nämnda
uppgifterna vara sådana som omfattas av direktivet eftersom varken
begreppet säkerhetsåtgärd eller begreppet administrativ sanktion utesluter
att sådana uppgifter inbegrips. Vi anser således att den av Datainspek-
tionens föreslagna lösningen bör genomföras. Det bör därför uttryckligen
anges att administrativa frihetsberövanden omfattas av förbudet.
Möjligheten enligt direktivet att föra in uppgifter om avgöranden i
tvistemål under den föreslagna ordningen bör inte utnyttjas genom sär-
regler i den nya lagen. Den viktigaste och känsligaste formen för behand-
ling av sådana uppgifter - kreditupplysning - bör i stället liksom hittills
regleras i en särskild lag, kreditupplysningslagen (1973:1173).
11.4.4 Behandling av personnummer
Regeringens förslag: Reglerna om användning av personnummer i
den nuvarande datalagen förs i sak i princip oförändrade över till den
nya lagen. Detta innebär att uppgifter om personnummer får utan
samtycke behandlas bara när det är klart motiverat med hänsyn till
ändamålet med behandlingen, vikten av en säker identifiering eller
något annat beaktansvärt skäl.
Datalagskommitténs förslag överensstämmer i huvudsak med
regeringens.
Remissinstanserna: Bara ett fåtal remissinstanser har haft synpunkter
Datainspektionen, Härnösands kommun och Sveriges advokatsamfund
uttalar sig för en restriktiv användning av personnummer. Hovrätten över
Skåne och Blekinge anser att även den uttryckliga bestämmelsen i den
nuvarande datalagen om att personuppgifter får återges på datautskrifter
endast när det finns särskilda skäl bör föras över till den nya lagen och
därvid göras tillämplig på varje återgivande av personnummer både vid
manuell och automatisk behandling.
Skälen för regeringens förslag: Enligt artikel 8 7 i EG-direktivet (se
bilaga 1) skall medlemsstaterna bestämma på vilka villkor ett nationellt
identifikationsnummer eller något annat vedertaget sätt för identifiering
får behandlas. Det måste alltså i Sverige finnas en reglering av använd-
76
ningen av personnummer. En sådan reglering finns i dag i 7 § andra Prop. 1997/98:44
stycket i den nuvarande datalagen. Registrering av personnummer får
enligt den bestämmelsen ske endast när det klart är motiverat med hänsyn
till registrets ändamål, vikten av en säker identifiering eller av annat
beaktansvärt skäl. Det finns också en uttrycklig regel om att person-
nummer far återges på datautskrifter endast när det finns särskilda skäl.
Frågan om användningen av personnummer har nyligen utretts. Den av
den förra borgerliga regeringen tillsatta Personnummerutredningen
överlämnade våren 1994 betänkandet Personnummer - Integritet och
effektivitet (SOU 1994:63) med förslag till lagstiftning om person-
nummer. På hösten 1994 anförde den då tillträdda socialdemokratiska
regeringen i budgetpropositionen för budgetåret 1995/96 att det inte var
aktuellt att införa någon förändrad lagstiftning om användningen av
personnummer (prop. 1994/95:100 bil. 3 s. 14). Vi finner inte anledning
att nu göra något annat ställningstagande.
De bestämmelser om användningen av personnummer som redan finns
i den nuvarande datalagen bör således i sak i pricip oförändrade föras
över till den nya lagen. Om någon ger sitt samtycke är det självklart att
personnummer skall få behandlas. Lagtexten har efter det att lagråds-
remissen behandlats i Lagrådet kompletterats i detta avseende.
Att den uttryckliga regeln i den nuvarande datalagen om återgivande av
personnummer på datautskrifter inte har förts över innebär inte någon
ändring i sak. Redan den överförda huvudregeln innebär nämligen att en
uppgift om personnummer far behandlas t.ex. genom att fästas på en
utskrift eller visas upp på en datorskärm bara när den behandlingen är
klart motiverad med hänsyn till något beaktansvärt skäl. Att ha en särskild
regel med annat rekvisit - särskilda skäl - om just den behandling som
själva återgivandet utgör, skulle enligt vår mening bara grumla
regleringen.
77
Prop 1997/98:44
11.5.1 Information som skall lämnas när uppgifterna samlas in
Regeringens förslag: Om uppgifter om en person samlas in från
personen själv, skall den personuppgiftsansvarige i samband därmed
självmant lämna den registrerade information om behandlingen.
Om personuppgifterna samlats in från någon annan källa än den
registrerade, gäller följande. Den personuppgiftsansvarige skall
självmant lämna den registrerade information om behandlingen, när
uppgifterna registreras. Är uppgifterna avsedda att lämnas ut till tredje
man, behöver informationen dock inte lämnas förrän uppgifterna
lämnas ut för första gången. Information behöver inte lämnas, om det
finns bestämmelser om registrerandet eller utlämnandet av person-
uppgifterna i en lag eller någon annan författning Information behöver
inte heller lämnas, om det visar sig vara omöjligt eller skulle innebära
en oproportionerligt stor arbetsinsats. Om uppgifterna används för att
vidta åtgärder som rör den registrerade, skall dock information i detta
fall lämnas senast i samband med detta
Information behöver aldrig lämnas om sådant som den registrerade
redan känner till. Regler om sekretess och tystnadsplikt går före
informationsskyldigheten.
Datalagskommitténs forslag överensstämmer i huvudsak med
regeringens
Remissinstanserna: Flera remissinstanser noterar att skyldigheterna
att informera kommer att öka med den nya lagen och poängterar vikten av
att skyldigheterna hålls på en rimlig nivå. En del instanser på lands-
tingsområdet efterlyser klarlägganden av förhållandet mellan informa-
tionsskyldigheten enligt den nya lagen och likartade skyldigheter att
informera enligt lagstiftning på hälso- och sjukvårdsområdet
Skälen för regeringens förslag: I artikel 10-11 i EG-direktivet (se
bilaga 1) finns det bestämmelser om den information som en person-
uppgiftsansvarig skall lämna självmant till den registrerade i samband
med att han eller hon samlar in personuppgifter Artikel 10 rör den
situationen att uppgifterna samlas in från den registrerade själv, medan
artikel 11 gäller när uppgifterna hämtas in från något annat håll. I båda
fallen skall den personuppgiftsansvarige lämna informationen självmant
Det krävs alltså inte att den registrerade begär att få information.
Samlas personuppgifterna in från den registrerade själv, skall informa-
tionen alltid lämnas i samband därmed. Samlar den personupp-
giftsansvarige in uppgifter från de registrerade utan att då berätta vad
uppgifterna skall användas till, kan behandlingen av personuppgifterna
inte anses ha gått korrekt till
När personuppgifterna hämtas in från något annat håll, skall informa-
tionen enligt direktivet lämnas ”vid registreringen”. Kan det vid detta till-
fälle förutses att uppgifterna kommer att lämnas ut till tredje man, är det
78
dock tillåtet att vänta med informationen ända till dess att uppgifterna Prop. 1997/98:44
lämnas ut för första gången.
Av EG-direktivet följer att informationen skall avse den person-
uppgiftsansvariges och dennes eventuella företrädares identitet,
ändamålen med den behandling för vilka uppgifterna är avsedda, och all
ytterligare information i den utsträckning informationen - med hänsyn till
de särskilda omständigheter under vilka uppgifterna samlas in - är
nödvändig för att tillförsäkra den registrerade en korrekt behandling. Den
personuppgiftsansvarige är dock aldrig skyldig att lämna information om
sådant som den registrerade redan känner till.
För det fallet att personuppgifterna hämtas in från något annat håll än
den registrerade själv finns det i artikel 11.2 i EG-direktivet vissa
undantag från skyldigheten att informera. Undantagen gäller när det visar
sig vara omöjligt eller skulle innebära en oproportionerligt stor
ansträngning att lämna information och när registreringen eller utläm-
nandet uttryckligen föreskrivs i författning. För dessa undantagsfall skall
medlemsstaterna föreskriva lämpliga skyddsåtgärder. Enligt punkt 40 i
ingressen till EG-direktivet kan vid bedömningen av om informa-
tionslämnandet skulle innebära en oproportionerligt stor ansträngning
beaktas bl.a. ”antalet registrerade, uppgifternas ålder och de kompen-
satoriska åtgärder som kan vidtas”.
De nu redovisade bestämmelserna i EG-direktivet måste genomföras i
svensk lagstiftning. Vi föreslår att så sker genom att bestämmelserna förs
över till den nya lagen. Den nya lagen går alltså inte längre än vad som
krävs enligt EG-direktivet.
Den skyldighet att informera som föreskrivs i den nya lagen gäller i
princip utöver den informationsskyldighet som kan vara föreskriven enligt
annan lagstiftning, t.ex. på hälso- och sjukvårdsområdet. Emellertid gäller
enligt den nya lagen att information aldrig behöver lämnas om sådant som
den registrerade redan känner till, t.ex. på grund av att han eller hon redan
har fått informationen i enlighet med annan lagstiftning. Bestämmelsen
om att information aldrig behöver lämnas om sådant som den registrerade
redan känner till kan vidare ha särskild betydelse när den person-
uppgiftsansvarige avser att fortlöpande samla in uppgifter om den
registrerade. Information behöver då inte lämnas varje gång nya uppgifter
samlas in, om den registrerade en gång har fått fullständig information
och således redan känner till informationen.
Lampliga skyddsåtgärder när information inte behöver lämnas
Sverige måste enligt EG-direktivet föreskriva lämpliga skyddsåtgärder för
de fall där information inte behöver lämnas därför att registreringen eller
utlämnandet uttryckligen föreskrivs i författning eller därför att det visar
sig vara omöjligt eller skulle innebära en oproportionerligt stor ansträng-
ning att lämna information.
När det finns bestämmelser om registreringen eller utlämnandet i en
författning, finns det som regel mekanismer eller föreskrifter i den
aktuella författningen som förhindrar missbruk och som får anses vara
tillräckliga för att uppfylla direktivets krav på lämpliga skyddsåtgärder -jg
Eventuella tillkommande lämpliga skyddsåtgärder får tas in i den författ-
ning som föreskriver registreringen eller utlämnandet. Några generella Prop. 1997/98:44
föreskrifter om lämpliga skyddsåtgärder för det fallet att registreringen
eller utlämnandet är författningsreglerat behöver således inte tas in i den
nya lagen. Frågan om författningsstöd för utlämnande av personuppgifter
för forskning och statistik har berörts i avsnitt 11.4.2.
När det sedan gäller det fallet att det visar sig vara omöjligt eller skulle
innebära en oproportionerligt stor arbetsinsats att lämna information, är
det nödvändigt att i den nya lagen ta in bestämmelser om sådana lämpliga
skyddsåtgärder som krävs enligt EG-direktivet. Enligt vår mening är det i
detta hänseende tillräckligt att i den nya lagen föreskriva att information
alltid skall lämnas senast i samband med att de aktuella uppgifterna
används för att vidta åtgärder beträffande de registrerade. Därmed finns
det en garanti för att den registrerade inte utsätts för en åtgärd utan att få
reda på vilken uppgiftsbehandling som ligger bakom den. Om en person-
uppgiftsansvarig för utskick för direkt marknadsföring hämtat in uppgifter
om så många personer att det skulle innebära en oproportionerligt stor
arbetsinsats att informera dem alla redan när uppgifterna registreras,
måste således information lämnas senast i de handlingar som sänds ut.
Undantag vid sekretess och tystnadsplikt
I den utsträckning det i en lag eller någon annan författning eller i ett
beslut som har meddelats med stöd av en författning är särskilt föreskrivet
att uppgifter inte far lämnas ut till den registrerade, behöver information
inte lämnas. Denna undantagsregel, som är gemensam för den nu berörda
skyldigheten att självmant lämna information när personuppgifterna
samlas in och skyldigheten att efter ansökan av den registrerade lämna
information, berörs närmare i nästa avsnitt.
80
11.5.2
Information som skall lämnas efter ansökan
Prop 1997/98:44
Regeringens förslag: Den personuppgiftsansvarige är skyldig att till
var och en som ansöker om det en gång per kalenderår gratis lämna
besked i frågan om personuppgifter som rör sökanden behandlas eller
ej. Behandlas sådana uppgifter skall skriftlig information lämnas också
om vilka uppgifter om sökanden som behandlas, varifrån dessa
uppgifter har hämtats, vilka ändamålen med behandlingen är och till
vilka mottagare eller kategorier av mottagare som uppgifterna lämnas
ut
Ansökan om information skall göras skriftligen hos den person-
uppgiftsansvarige och vara undertecknad av den sökande själv.
Informationen skall lämnas inom en månad från det att ansökan
gjordes. Om det finns särskilda skäl för det, får informationen dock
lämnas senast fyra månader efter det att ansökan gjordes.
Information behöver emellertid inte lämnas om personuppgifter i
löpande text som inte fatt sin slutliga utformning när ansökan gjordes
eller som utgör minnesanteckning eller liknande. Detta gäller dock inte
om uppgifterna har lämnats ut till tredje man eller om uppgifterna
behandlas enbart för historiska, statistiska eller vetenskapliga ändamål
eller, när det gäller löpande text som inte fått sin slutliga utformning,
om uppgifterna har behandlats under längre tid än ett år.
Regler om sekretess och tystnadsplikt går också före informa-
tionsskyldigheten
Datalagskommitténs förslag överensstämmer i huvudsak med
regeringens.
Remissinstanserna: Flera remissinstanser noterar att skyldigheterna
att informera kommer att öka med den nya lagen och poängterar vikten av
att skyldigheterna hålls på en rimlig nivå, särskilt när det gäller person-
uppgifter i löpande text.
Skälen för regeringens förslag: Enligt artikel 12 a i EG-direktivet (se
bilaga 1) skall medlemsstaterna säkerställa att varje registrerad har rätt att
från den personuppgiftsansvarige få viss information. Informationen
behöver - såsom direktivet måste tolkas - lämnas bara efter begäran från
den registrerade. Informationen skall då lämnas utan hinder, med rimliga
intervall, utan större tidsutdräkt och utan större kostnader
Den registrerade har för det första rätt att få bekräftelse på om
uppgifter som rör honom eller henne behandlas eller inte. I övrigt -
naturligen bara för det fallet att uppgifter om den registrerade behandlas -
skall information lämnas om åtminstone ändamålen med behandlingen, de
berörda uppgiftskategoriema, mottagarna eller till vilka kategorier av
mottagare som uppgifterna lämnas ut, vilka uppgifter som behandlas och
varifrån uppgifterna kommer.
Informationen om vilka uppgifter som behandlas skall vara begriplig
för den registrerade. När det gäller information om varifrån uppgifterna
kommer, behöver den personuppgiftsansvarige bara lämna all den
information som finns tillgänglig för honom eller henne. Den person-
uppgiftsansvarige behöver således inte hålla reda på varifrån uppgifterna
81
6 Riksdagen 1997/98. 1 saml. Nr 44
har hämtats, men vet han eller hon det när den registrerade begär Prop. 1997/98:44
information skall det uppges
Bestämmelserna i EG-direktivet, som motsvarar reglerna i 10 § i den
nuvarande datalagen om registerutdrag, måste föras över till den nya
lagen Vi föreslår att så sker. I enlighet med vad som gäller i dag
beträffande registerutdrag bör det därvid föreskrivas att en ansökan om
information skall göras skriftligen och vara undertecknad av den sökande
själv. Det är enligt vår mening rimligt att den enskilde har rätt att en gång
per kalenderår fa skriftlig information gratis. Informationen bör - i
enlighet med vad som gäller i dag enligt Datainspektionens föreskrift
DIFS 1982:2 - som huvudregel lämnas inom en månad från det att
ansökan gjordes. Informationen bör dock få lamnas senast fyra månader
efter det att ansökan gjordes, om det finns särskilda skäl för det. Sådana
särskilda skäl kan vara att personuppgifterna är krypterade, att sök-
möjligheterna annars är begränsade eller att den personuppgiftsansvarige
har många personuppgifter uppdelade på olika register eller andra data-
samlingar
Personuppgifter i löpande text
Den nya lagen omfattar till skillnad från den nuvarande datalagen även
behandling av personuppgifter som finns i löpande text, t.ex. i ett ord-
behandlingsdokument (se avsnitt 8.4) Beträffande sådana person-
uppgifter finns det särskilda svårigheter att söka fram alla uppgifter om en
och samma person som behandlas. I vissa fall har en personuppgifts-
ansvarig så många olika samlingar av personuppgifter och så dåliga
sökmöjligheter att det i praktiken är omöjligt att få fram alla uppgifter om
den registrerade som behandlas. Arkivmyndigheterna, som tar emot
samlingar av uppgifter med olikartad struktur från många håll, kan vara
ett exempel
I EG-direktivet finns det ingen uttrycklig bestämmelse som gör det
möjligt att göra undantag från skyldigheten att efter ansökan lämna
begriplig information om vilka uppgifter som behandlas, när det är
omöjligt eller skulle innebära en oproportionerligt stor ansträngning att
söka fram alla uppgifter om en person som behandlas. Datalagskommittén
har berört problemet på följande sätt
EG-direktivet kan inte anses kräva att en persondataansvarig ordnar
sina uppgiftssamlingar på ett sådant sätt att det är möjligt att söka
fram alla uppgifter om en registrerad som behandlas. Ett införande
eller tillåtande av sådana sök- och sammanställningsmöjligheter, som
inte behövs av något annat skäl, skullej själva verket kunna hota den
personliga integriteten, det skulle då bli enkelt att kartlägga en
person.
Enligt vår mening är det inte rimligt att utforma informations-
skyldigheten på ett sadant sätt att den tvingar fram förfaranden som i
själva verket kan hota den personliga integriteten. Den person-
dataansvarige bör, som vi ser det, bara vara skyldig att utnyttja alla de
sök- och sammanställningsmöjljgheter som han eller hon faktiskt och
rättsligt har tillgång till for att fa fram information att lämna till den
registrerade Darmed garanteras att den registrerade får tillgång till all
information som den persondataansvange faktiskt kan fa fram om
den registrerade, vilket måste anses tillräckligt; inte ens EG-rätten
kan tvinga någon att göra det som i praktiken är omöjligt
Den som har en stor mängd ordbehandlingsdokument och som
bara har en funktion för att söka i öppnade dokument kan exempelvis
82
i praktiken inte få fram alla uppgifter om en person som kan finnas i
dokumenten. En persondataansvarig med hundratals anställda med
persondatorer vilka kan sökas igenom en och en kan inte heller i
praktiken söka fram de personuppgifter som kan finnas i alla
datorerna, om det inte finns nagra mera centraliserade sök-
möjligheter. Möjligheterna att söka bland datorlagrade uppgifter
utvecklas dock ständigt, och det finns redan i dag i standardprogram
funktioner för att snabbt söka igenom alla dokument på en hårddisk
eller via nät efter viss text, t.ex. ett namn eller personnummer. Med
den föreslagna ordningen kommer den registrerades rätt att få
information att utvidgas i precis samma takt som de per-
sondataansvarigas möjligheter att göra integritetskänsliga sökningar
och sammanställningar utvecklas. Det finns inte anledning att driva
på utvecklingen och användningen av möjligheterna att göra känsliga
sammanställningar.
En persondataansvarig som behandlar många personuppgifter i
olika konstellationer, exempelvis Statistiska centralbyrån, kan med
den föreslagna ordningen ändå behöva göra stora ansträngningar för
att pröva alla sök- och sammanställningsmöjligheter som faktiskt
finns. Men den som samlar på sig stora mängder personuppgifter får
som regel finna sig i att också behöva göra stora ansträngningar för
att kunna tillgodose de registrerades grundläggande rättigheter
Enligt vår mening är det rimligt att utgå från att Datalagskommitténs
slutsats att EG-direktivet innebär att den personuppgiftsansvarige bara är
skyldig att utnyttja alla de sök- och sammanställningsmöjligheter som han
eller hon har tillgång till för att få fram information att lämna till den
registrerade är riktig. När det gäller skyldigheten att efter ansökan lämna
information om bl.a. vilka uppgifter om sökanden som behandlas, skall
bestämmelserna i den nya lagen ha samma innebörd som enligt direktivet
och inte gå längre än vad direktivet kräver.
Även en annan aspekt på det förhållandet att den nya lagen omfattar
behandling av personuppgifter i löpande text bör tas upp. När det gäller
personuppgifter i löpande text som inte har fått sin slutliga utformning,
t.ex. i ett ordbehandlingsdokument under arbete, och personuppgifter i
löpande text som utgör minnesanteckning eller liknande, finns det
nämligen enligt vår mening anledning att ha särskilda regler i den nya
lagen. Regleringen i 2 kap tryckfrihetsförordningen innebär att en
myndighet inte är skyldig att på grund av offentlighetsprincipen lämna ut
t.ex. utkast under arbete och minnesanteckningar eller liknande som inte
skall bevaras för framtiden. Det är tydligt att en ordning som innebär att
ofårdiga alster och minnesanteckningar eller liknande inte behöver lämnas
ut har goda skäl för sig på såväl den offentliga som den privata sidan. Att
under en rimlig tid få ha sina ofärdiga alster och minnesanteckningar i
fred kan enligt regeringens mening anses som en sådan fri- och rättighet
som enligt artikel 13.1 i EG-direktivet berättigar till en begränsning av
informationsskyldigheten
Vi föreslår därför för det första att information inte skall behöva
lämnas beträffande personuppgifter i löpande text som när ansökan om
information gjordes inte har fått sin slutliga utformning. Har uppgifterna i
den löpande texten behandlats under så lång tid som ett år utan att texten
färdigställts, får dock den registrerades intresse av att få ta del av sina
uppgifter anses väga tyngre än den personuppgiftsansvariges intresse av
att utan insyn få ytterligare fördröja färdigställandet av texten Person-
uppgifter i löpande text som, när ansökan gjordes, har behandlats under
längre tid än ett år utan att texten har fått sin slutliga utformning bör
därför lämnas ut, om inte den personuppgiftsansvarige väljer att i stället
Prop. 1997/98:44
83
utplåna personuppgifterna i den ofårdiga texten. Den registrerade bör Prop. 1997/98:44
också ha rätt att få reda på uppgifterna, om den personuppgiftsansvarige
har spritt dem till utomstående. Information bör således lämnas om
uppgifterna i den ofardiga löpande texten redan har lämnats ut till tredje
man när ansökan om information gjordes. Har den personuppgifts-
ansvarige när ansökan görs inte längre kvar de utlämnade uppgifterna,
kan information givetvis inte lämnas.
Vi föreslår för det andra att information inte skall behöva lämnas be-
träffande personuppgifter i löpande text som utgör minnesanteckning eller
liknande, t.ex. en föredragningspromemoria, under förutsättning att
personuppgifterna, när ansökan gjordes, inte har lämnats ut till tredje
man. De minnesanteckningar eller liknande som det finns goda skäl för
att undanta från den registrerades insyn är sådana som används för att
förbereda ett ärende eller liknande för avgörande Sparas sådana hand-
läggningshjälpmedel sedan ärendet har avgjorts eller annars slut-
behandlats, bör den registrerade få ta del av uppgifterna på motsvarande
sätt som allmänheten har rätt att ta del av uppgifter i myndigheters
minnesanteckningar eller liknande vilka tagits om hand för arkivering.
Information bör således lämnas beträffande personuppgifter i minnes-
anteckningar eller liknande som, när ansökan gjordes, bara behandlas för
historiska, statistiska eller vetenskapliga ändamål.
Det bör påpekas att informationsskyldigheten innebär att en registrerad
i vissa fall kan ha rätt att med stöd av den nya lagen få ta del av uppgifter
om sig själv som allmänheten inte har rätt att få ta del av med stöd av
offentlighetsprincipen enligt 2 kap tryckfrihetsförordningen Den
registrerade har i viss utsträckning rätt att få ta del av uppgifter i
handlingar som inte är allmänna. Det kan t.ex. gälla uppgifter i utkast som
har behandlats under längre tid än ett år. Men när handlingen med
informationen om uppgifterna har expedierats till den registrerade, blir
handlingen å andra sidan genast allmän och tillgänglig för var och en i
den utsträckning sekretess inte gäller. Det kan inte anses obefogat att den
som uppgifterna rör i vissa fall har rätt att få ta del av dessa tidigare än
allmänheten.
Förhållandet till bestämmelser om sekretess och tystnadsplikt
Enligt artikel 13 i EG-direktivet (se bilaga 1) får medlemsstaterna i sin
lagstiftning göra nödvändiga begränsningar i rätten för den registrerade
att få information med hänsyn till skyddet av den registrerades eller andras
fri- och rättigheter.
Skyldigheten enligt 10 § i den nuvarande datalagen att lämna register-
utdrag gäller i dag inte uppgifter som enligt lag eller annan författning
eller enligt myndighets beslut som har meddelats med stöd av författning
inte får lämnas ut till den registrerade.
De bestämmelser om sekretess och tystnadsplikt som finns i Sverige
får anses vara uppställda till skydd för sådana fri- och rättigheter som
avses i direktivet. Ibland hindrar sådana bestämmelser att den registrerade
får tillgång till vissa uppgifter om sig själv, se t.ex. 7 kap 3 §
sekretesslagen (1980:100). Enligt regeringens mening är det nödvändigt
att dessa särskilda bestämmelser om att den registrerade i undantagsfall
84
inte har rätt till viss information får gälla framför den generella rätt till in- Prop. 1997/98:44
formation om behandlade uppgifter som annars skall gälla enligt EG-di-
rektivet och den nya lagen Vi anser således att det i den nya lagen bör in-
föras en bestämmelse om att rätten att fa information i samband med in-
samling av uppgifter och efter ansökan inte gäller i den utsträckning det
finns en föreskrift om att uppgifterna inte far lämnas ut till den registre-
rade. Sådana föreskrifter kan finnas i lag eller annan författning eller i
beslut som har meddelats med stöd av författning, t.ex. ett beslut om
förbehåll enligt 14 kap. 9 och 10 §§ sekretesslagen.
Med stöd av bestämmelserna i sekretesslagen kan det allmänna på
grund av bl.a. sina ekonomiska intressen under vissa förutsättningar
hemlighålla uppgifter bl.a. i samband med rättsliga tvister och fackliga
förhandlingar. På den privata sidan, där offentlighetsprincipen inte gäller,
finns det däremot i allmänhet inte några författningsbestämmelser om
sekretess och tystnadsplikt som motsvarar de bestämmelser som finns i
sekretesslagen, se dock t.ex. 7 kap. 20 § försäkringsrörelselagen
(1982:713) som innebär att förmånstagare till försäkring i vissa fall inte
har rätt att i förväg av försäkringsbolaget fa veta att han eller hon
verkligen är förmånstagare. Reglerna om information i den nya lagen
innebär att ett slags ”offentlighetsprincip” gentemot den registrerade
kommer att gälla i vissa avseenden även på den privata sidan. Den nya
lagen omfattar vidare - till skillnad från datalagen - i princip alla
datorlagrade personuppgifter, t.ex. sådana som finns i löpande text (se
avsnitt 6.1 och 8 4).
Även på den privata sida finns det därför behov av bestämmelser som
gör det möjligt att i vissa fall vägra att lämna information till den
registrerade. Enskilda kan exempelvis i lika hög grad som myndigheter ha
ett befogat intresse av att kunna hemlighålla personanknuten information
som samlats in inför en domstolsprocess, om det kan antas att ett
utlämnande av informationen skulle försämra den enskildes ställning som
part i rättegången I försäkringsverksamhet registreras inte sällan upp-
gifter om att en person misstänks för försäkringsbedrägeri eller annan
brottslig verksamhet. Internationella organisationer kan ha samman-
ställningar av uppgifter om personer som misstänks ha gjort sig skyldiga
till brott mot de mänskliga rättigheterna Uppgifterna bör inte behöva
lämnas ut medan utredning pågår I avsnitt 11 4.3 berörs vidare behand-
ling av personuppgifter om lagöverträdelser som innefattar brott m.m.
Vi föreslår därför att den nya lagen skall innehålla en regel om att även
en personuppgiftsansvarig som inte är en myndighet får i motsvarande fall
som avses i sekretesslagen (1980:100) vägra att lämna ut uppgifter till den
registrerade
Lagrådet har anfört att föreskriften innebär att enskilda blir skyldiga att
sätta sig in i en omfattande och komplicerad lagstiftning som är utformad
med tanke på myndigheters verksamhet och vid prövning av informa-
tionsskyldigheten försöka dra paralleller till den egna verksamheten.
Lagrådet ifrågasätter om inte någon annan lösning som tillgodoser
behovet kan åstadkommas, och frågan bör enligt Lagrådet beredas
ytterligare Vi kan hålla med Lagrådet om att det inte alltid blir helt lätt att
tillämpa bestämmelsen. Man måste dock märka att det bara är i situationer
då någon vill underlåta att lämna information som en tillämpning kan ge
85
stöd för en sådan vägran. Huvudprincipen är att information skall ges, och Prop. 1997/98:44
den som lämnar ut information behöver aldrig tillämpa undantagsbestäm-
melsen
Regeringens förslag: Den personuppgiftsansvarige är skyldig att på
begäran av den registrerade snarast rätta, blockera eller utplåna sådana
personuppgifter som inte har behandlats i enlighet med den nya lagen
eller föreskrifter som har utfärdats med stöd av lagen Den person-
uppgiftsansvarige skall också underrätta tredje man som uppgifterna
har lämnats ut till om åtgärden, om den registrerade begär det eller om
mera betydande skada eller olägenhet för den registrerade skulle kunna
undvikas genom en underrättelse. Någon sådan underrättelse behöver
dock inte lämnas, om detta visar sig vara omöjligt eller skulle innebära
en oproportionerligt stor arbetsinsats
Datalagskommitténs förslag överensstämmer med regeringens
Remissinstanserna: Arbetarskyddsstyrelsen, Riksarkivet, Landsorga-
nisationen i Sverige (LO) och UpplysningsCentralen UC AB tar upp
frågor som rör bevisbördan och vad som skall gälla om det finns oenighet
i fråga om t.ex en uppgifts riktighet. Datainspektionen anser att det för
korrigering inte skall krävas någon begäran av den registrerade
Stockholms läns landsting och Svenska bankföreningen anser att det bör
anges i lagtexten att det är den personuppgiftsansvarige som väljer
korrigeringsmetod.
Skälen för regeringens förslag: I artikel 12 b och 12 c i EG-direktivet
(se bilaga 1) finns det bestämmelser om korrigering m.m. Enligt dessa
bestämmelser skall medlemsstaterna säkerställa att varje registrerad har
rätt att i förekommande fall få sådana uppgifter som inte har behandlats i
enlighet med bestämmelserna i direktivet rättade, utplånade eller
blockerade. Detta skall gälla särskilt när uppgifterna är ofullständiga eller
felaktiga. Varje registrerad skall vidare ha rätt att kräva att den person-
uppgiftsansvarige underrättar sådana tredje män till vilka berörda upp-
gifter har lämnats ut om genomförda rättelser, utplånanden och
blockeringar. Denna underrättelseskyldighet gäller dock inte om det visar
sig vara omöjligt eller skulle innebära en oproportionerligt stor ansträng-
ning att underrätta.
I avsnitt 8.1 berörs särskilt frågan om korrigering av uppgifter i
allmänna handlingar hos myndigheter, och i avsnitt 13 tas upp frågan om
tillsynsmyndighetens möjligheter att få personuppgifter utplånade.
Korrigeringsskyldigheten
Bestämmelserna om korrigering i artikel 12 b och 12 c i EG-direktivet
måste införas i den nya lagen Vi föreslår därför för det första en
bestämmelse om att den personuppgiftsansvarige är skyldig att på begäran
av den registrerade snarast rätta, blockera eller utplåna sådana person-
86
uppgifter som inte har behandlats i enlighet med den nya lagen eller Prop 1997/98:44
föreskrifter som har utfärdats med stöd av lagen. Datainspektionen har
vänt sig emot att det för korrigering enligt denna bestämmelse skall
krävas en begäran från den registrerade.
Enligt artikel 6.1 d i EG-direktivet är det ett grundläggande krav på den
personuppgiftsansvarige vid behandling av personuppgifter att alla
rimliga åtgärder vidtas för att utplåna eller rätta sådana personuppgifter
som är felaktiga eller ofullständiga i förhållande till de ändamål för vilka
uppgifterna behandlas Denna regel har införts i den nya lagen, liksom
regler om krav på den personuppgiftsansvarige att se till att de person-
uppgifter som behandlas är adekvata och relevanta i förhållande till ända-
målen med behandlingen och att de personuppgifter som behandlas är
riktiga och, om det är nödvändigt, aktuella, se avsnitt 11.2. Redan av de
grundläggande kraven framgår således tydligt att den personupp-
giftsansvarige på egen hand måste vara aktiv för att se till att de behand-
lade uppgifterna är korrekta. Den nu aktuella bestämmelsen kan sägas
innehålla regler om en rätt för den registrerade att påkalla den person-
uppgiftsansvariges aktivitet för att korrigera uppgifter, som gäller utöver
de grundläggande kraven på den personuppgiftsansvarige. Den ena
bestämmelsen innehåller således regler om skyldigheter för den person-
uppgiftsansvarige och den andra bestämmelsen regler om rättigheter för
den registrerade, och båda bestämmelserna måste genomföras enligt EG-
direktivet.
Uppkommer oenighet mellan den personuppgiftsansvarige och den
registrerade om uppgifterna skall korrigeras eller inte, kan den
registrerade anmäla förhållandet till tillsynsmyndigheten, som har möj-
lighet att förelägga vite om lagen inte följs och att ansöka om utplånande
av uppgifterna (se avsnitt 13), eller själv väcka talan om saken vid allmän
domstol. En personuppgiftsansvarig som efter utredning inte är övertygad
om att det är nödvändigt att korrigera uppgifterna behöver således inte
självmant göra det
Av det förhållandet att det inte anges vilken av de alternativa
metoderna rättelse, blockering och utplånande som skall väljas i olika
situationer följer att det i princip är den som skall göra korrigeringen, dvs
den personuppgiftsansvarige, som får välja själv.
Underrättelseskyldigheten
Vi föreslår för det andra att den nya lagen, för att uppfylla kraven i
artikel 12 c i EG-direktivet, skall innehålla en bestämmelse om att den
personuppgiftsansvarige på begäran av den registrerade skall underrätta
de tredje män till vilka uppgifterna har lämnats ut om korri-
geringsåtgärden Datalagskommittén har, såsom en rent inhemsk
reglering, föreslagit att den personuppgiftsansvarige därutöver skall vara
skyldig att - oavsett om den registrerade begärt underrättelse eller inte -
lämna sådan underrättelse om det skulle kunna undvika mera betydande
skada eller olägenhet för den registrerade. Kommitténs förslag har
lämnats utan erinran av remissinstanserna. Därför och eftersom det är
viktigt att på alla sätt förhindra användning av felaktiga eller ofullständiga
uppgifter, bör förslaget som inte kan anses oförenligt med EG-direktivet
genomföras. Underrättelse skall dock i enlighet med direktivet inte i något
fall behöva lämnas om detta visar sig vara omöjligt eller skulle innebära
en oproportionerligt stor arbetsinsats.
Regeringens förslag: Om ett beslut som har rättsliga följder för en
fysisk person eller annars har märkbara verkningar för personen,
grundas enbart på automatiserad behandling av personuppgifter som är
avsedda att bedöma egenskaper hos den berörda personen, skall den
som berörs av beslutet har möjlighet att på begäran få beslutet
omprövat av någon person.
Var och en som varit föremål för ett sådant beslut har också rätt att
på ansökan få information från den personuppgiftsansvarige om vad
som har styrt den automatiserade behandling som lett fram till beslutet.
Datalagskommitténs förslag överensstämmer med regeringens.
Remissinstanserna: Bara ett fåtal remissinstanser har berört förslaget.
Riksrevisionsverket anser att det finns behov av ytterligare utredning av de
rättsliga frågorna kring automatiserade beslut.
Skälen för regeringens förslag: Artikel 15 i EG-direktivet (se bilaga
1) - med underrubriken Databehandlade beslut - innehåller bestämmelser
om skydd för den registrerade mot vissa automatiserade beslut
Bestämmelserna i EG-direktivet innebär att medlemsstaterna i princip
skall ge var och en rätt att slippa bli föremål för vissa automatiserade be-
slut. Medlemsstaterna är dock förpliktade att - om inte något annat följer
av övriga regler i direktivet - föreskriva att en person faktiskt får bli före-
mål för automatiserade beslut i två fall
De beslut som avses i artikel 15 är sådana som har rättsliga följder för
någon eller som annars märkbart påverkar någon. Beslutet måste vidare
grundas enbart på automatiserad behandling. Dessutom krävs att de
uppgifter på vilka den automatiserade behandlingen grundas är sådana
som är avsedda att bedöma vissa personliga egenskaper hos den som är
föremål för beslutet, t.ex. arbetsprestationer, kreditvärdighet, pålitlighet
och uppträdande. Det är bara sådana beslut som uppfyller samtliga
rekvisit som här nämnts som omfattas av huvudregeln och som var och en
skall ges en principiell rätt att slippa.
Från den principiella huvudregeln skall medlemsstaterna i två fall före-
skriva undantag, dvs. medge att en person i dessa fall faktiskt får utsättas
för automatiserade beslut
Det första fallet (artikel 15.2 a) gäller sådana automatiserade beslut
som fattas som ett led i ingåendet eller fullgörandet av ett avtal Sådana
beslut skall tillåtas om de är positiva för den registrerade - dvs. när den
registrerades begäran om ingående eller fullgörande av ett avtal har bi-
fallits - eller om det vidtas lämpliga åtgärder för att skydda den registrera-
des berättigade intressen. Som exempel på lämpliga åtgärder att vidta
nämns i direktivet att den registrerade har möjlighet att göra sin uppfatt-
ning gällande.
Prop. 1997/98:44
88
Det andra fallet (artikel 15.2 b) där automatiserade beslut skall godtas Prop. 1997/98:44
är när sådana beslut har tillåtits i lagstiftning som innehåller bestämmelser
till skydd för den registrerades berättigade intressen.
I artikel 12 a tredje strecksatsen i EG-direktivet föreskrivs att medlems-
staterna skall säkerställa att varje registrerad har rätt att från den person-
uppgiftsansvarige - utan hinder och med rimliga intervall samt utan större
tidsutdräkt eller kostnader - få kännedom om den logik som används när
uppgifter som rör den registrerade behandlas på automatisk väg. Av be-
stämmelsen framgår vidare att den rätten far begränsas till att avse bara
sådana automatiserade beslut som berörs i artikel 15.1. I punkt 41 i in-
gressen till direktivet framhålls att den nu aktuella rätten mte far inkräkta
på några affärshemligheter eller på upphovsrätten till t.ex. programvaran
Den registrerade bör dock mte nekas all information
Bestämmelserna i EG-direktivet innebär att det i Sverige måste införas
en reglering av automatiserade beslut Definitionen av automatiserade
beslut i EG-direktivet är generellt utformad, och det ar svårt att ha någon
föreställning om alla de olika beslut som i dag och i framtiden kan
komma att omfattas. Enligt vår mening bör man därför inrikta sig på en
generell lösning som ställer upp ett minimiskydd för den som blir utsatt
för ett automatiserat beslut. Datalagskommittén har föreslagit att den en-
skilde skall ha rätt att på begäran dels fa reda på vilka regler som har styrt
den automatiska behandling som har lett fram till beslutet, dels få beslutet
omprövat av en person. Det förslaget har i huvudsak lämnats utan erinran
av remissinstanserna och bör därför genomföras
Bestämmelserna i den nya lagen är sådana bestämmelser i den svenska
lagstiftningen som i enlighet med vad som krävs enligt artikel 15.2 b dels
tillåter automatiserade beslut, dels föreskriver lämpliga åtgärder till skydd
för den registrerades berättigade intressen.
I fråga om den registrerades ansökan och den personuppgiftsansvariges
lämnande av information bör i tillämpliga delar gälla samma procedurreg-
ler som beträffande övrig information som skall lämnas på begäran (se av-
snitt 11.5.2). Detta innebär bl.a. att informationen som huvudregel skall
lämnas skriftligen mom en månad efter ansökan
Enligt EG-direktivet är det tillåtet att införa en rätt för den registrerade
att på begäran få kännedom om den logik som ligger bakom även annan
automatiserad behandling än sådan som har lett fram till ett automatiserat
beslut. Vi anser emellertid i likhet med Datalagskommittén att det inte är
nödvändigt att införa en sådan generell rätt. Ingen remissinstans har
föreslagit att en sådan generell rätt skall införas, och den registrerade har
för övrigt enligt den nya lagen redan rätt att få veta vilka uppgifter som
behandlas och för vilka ändamål behandlingen äger rum (se avsnitt
11.5.2).
89
Regeringens förslag: Den som arbetar med personuppgifter far bara
behandla dessa i enlighet med instruktioner från den person-
uppgiftsansvarige. Om det i lag eller annan författning finns särskilda
bestämmelser om behandlingen av personuppgifter i det allmännas
verksamhet i sådana frågor, skall dessa gälla.
Den personuppgiftsansvarige är skyldig att vidta tekniska och
organisatoriska åtgärder för att skydda personuppgifterna. Åtgärderna
skall åstadkomma en lämplig säkerhetsnivå.
När den personuppgiftsansvarige anlitar ett personuppgiftsbiträde
för att utföra behandling av personuppgifter, skall det finnas ett
skriftligt avtal som särskilt reglerar säkerhetsfrågorna. Den person-
uppgiftsansvarige skall också vara skyldig att se till att person-
uppgiftsbiträdet verkligen vidtar nödvändiga säkerhetsåtgärder
Datalagskommitténs förslag överensstämmer i huvudsak med
regeringens.
Remissinstanserna: Bara ett fåtal remissinstanser har berört förslaget
Skälen for regeringens förslag: I artikel 16 och 17 i EG-direktivet (se
bilaga 1) finns det bestämmelser om säkerhet och sekretess vid
behandling av personuppgifter
Bestämmelserna i artikel 16 innebär att de personer som arbetar med
personuppgifter får behandla uppgifterna bara enligt instruktioner från
den personuppgiftsansvarige. Här gäller dock ett undantag som innebär
att om någon enligt lag är skyldig att behandla personuppgifter, får han
eller hon göra det även utan instruktioner från den personuppgiftsansva-
rige
I artikel 17.1 finns det allmänt hållna regler om de säkerhetsåtgärder
som skall vidtas. Reglerna innebär i korthet följande. Den person-
uppgiftsansvarige skall vidta lämpliga tekniska och organisatoriska
åtgärder för att skydda de personuppgifter som behandlas. Dessa åtgärder
skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av
• de tekniska möjligheter som finns,
• vad det skulle kosta att genomföra åtgärderna,
• de särskilda risker som finns med behandlingen av personuppgifterna
och
• hur pass känsliga de behandlade personuppgifterna är.
I artikel 17.2-4 finns det bestämmelser i fråga om säkerhet för den
situationen att den personuppgiftsansvarige anlitar ett personuppgiftsbi-
träde. Bestämmelserna kan i korthet sägas innebära följande. När den
personuppgiftsansvarige anlitar ett personuppgiftsbiträde, skall den
personuppgiftsansvarige förvissa sig om att personuppgiftsbiträdet kan
genomföra de säkerhetsåtgärder som måste vidtas och se till att person-
uppgiftsbiträdet verkligen vidtar åtgärderna. Det skall vidare finnas ett
skriftligt avtal om personuppgiftsbiträdets behandling av personuppgifter
för den personuppgiftsansvariges räkning. I det avtalet skall det särskilt
föreskrivas dels att personuppgiftsbiträdet får behandla personuppgifterna
bara i enlighet med instruktioner från den personuppgiftsansvarige, dels
Prop. 1997/98:44
90
att personuppgiftsbiträdet är skyldigt att vidta de säkerhetsåtgärder som Prop. 1997/98:44
den personuppgiftsansvarige är skyldig att vidta.
Bestämmelserna i EG-direktivet måste införas i den nya lagen. Data-
lagskommitténs förslag till överförande av bestämmelserna har lämnats i
huvudsak utan erinran av remissinstanserna. Förslaget bör enligt vår
mening genomföras.
Behandling bara enligt instruktioner från den personuppgiftsansvarige
Vi föreslår således för det första att det införs en bestämmelse om att
personuppgiftsbiträdet eller den eller de personer som arbetar under
dennes eller den personuppgiftsansvariges ledning får behandla person-
uppgifter bara i enlighet med instruktioner från den personupp-
giftsansvarige. Om det finns avvikande regler i annan lagstiftning om att
någon är skyldig att utföra en behandling, får behandlingen dock utföras
utan särskilda instruktioner. Avvikande regler i annan lagstiftning skall ju
generellt sett ta över reglerna i den nya lagen (se avsnitt 6.2).
Eftersom utlämnande av personuppgifter till tredje man innefattas i be-
greppet behandling, innebär bestämmelsen ett slags tystnadsplikt. Särskilt
med hänsyn till att det redan gäller särskilda regler om sekretess och
tystnadsplikt i det allmännas verksamhet, vilka bl.a. innebär att den
grundlagsfästa s.k. meddelarfriheten ibland tar över tystnadsplikten, bör
det föreskrivas att särskilda bestämmelser i lag eller annan författning
skall tillämpas i stället för bestämmelsen om hantering av personuppgifter
i enlighet med instruktioner
Den personuppgiftsansvarige får lämna ut personuppgifter bara om
utlämnandet inte är oförenligt med de ändamål för vilka uppgifterna
samlades in (se avsnitt 11.2). I vissa fall far känsliga personuppgifter bara
lämnas ut med stöd av den registrerades samtycke (se avsnitt 11.4.1).
Skulle någon som arbetar för den personuppgiftsansvarige lämna ut
personuppgifter i strid med vad som sålunda gäller, är det den person-
uppgiftsansvarige som bär det rättsliga ansvaret gentemot den registrerade
(se avsnitt 14 om skadeståndsskyldighet). I vilken utsträckning den
personuppgiftsansvarige i sin tur kan vidta någon åtgärd mot den som
lämnade ut uppgiften i strid med givna instruktioner framgår av de be-
stämmelser som reglerar förhållandet mellan den personuppgiftsansvarige
och medhjälparen, t.ex. avtalet med ett personuppgiftsbiträde eller
arbetsrättsliga bestämmelser (jfr AD 1996 nr 23 i vilket rättsfall
Arbetsdomstolen kom fram till att det inte fanns grund för att avskeda en
polisman som dömts för tjänstefel och dataintrång för det att han
upprepade gånger gjort obefogade registerslagningar). De allmänt hållna
bestämmelserna i den nya lagen innebär inte en sådan plikt att hemlighålla
uppgifter som medför att straffstadgandet om brott mot tystnadsplikt i
20 kap. 3 § brottsbalken kan bli tillämpligt.
Bestämmelsen om behandling bara enligt den personuppgifts-
ansvariges instruktioner skulle kunna strida mot meddelarfriheten, dvs
rätten för var och en att meddela uppgifter och underrättelser för offent-
liggörande i tryckt skrift till massmedierepresentanter. Av det undantag
för tryck- och yttrandefriheten som finns i 7 § första stycket och som
91
berörts i avsnitt 8.2 följer att bestämmelsen i ett sådant fall inte kan Prop. 1997/98:44
tillämpas.
Åtgärder för att uppnå en lämplig säkerhetsnivå
Vi föreslår för det andra att regeln i EG-direktivet om att den person-
uppgiftsansvarige skall vidta lämpliga tekniska och organisatoriska
åtgärder för att skydda de personuppgifter som behandlas förs över till
den nya lagen, jämte uppräkningen i direktivet av de faktorer som därvid
skall beaktas. Dessa allmänt hållna regler beskriver enligt vår mening på
ett kortfattat och bra sätt de överväganden som måste göras i fråga om
säkerhetsåtgärder. Reglerna ger dock som regel inte tillräcklig vägledning
för den personuppgiftsansvarige för att avgöra vilka säkerhetsåtgärder
som bör vidtas i det enskilda fallet för att nå upp till en lämplig
säkerhetsnivå. Avsikten är att regeringen eller den myndighet som
regeringen bestämmer skall meddela de närmare föreskrifter om säker-
hetsåtgärder som behövs. Tillsynsmyndigheten bör också i rimlig
utsträckning lämna råd i säkerhetsfrågor
Tillsynsmyndigheten får besluta om säkerhetsåtgärder
Säkerhetsbrister är i princip oacceptabla, och det är viktigt att
tillsynsmyndigheten har tydliga befogenheter just när det gäller säkerhe-
ten. Vi har därför valt att i enlighet med Datalagskommitténs förslag ta
med en uttrycklig bestämmelse i den nya lagen om att tillsynsmyndigheten
får meddela beslut om säkerhetsåtgärder i enskilda fall (se avsnitt 13).
Genom ett beslut i det enskilda fallet far den personuppgiftsansvarige
preciserat exakt vilka åtgärder han eller hon måste vidta för att uppfylla
säkerhetskraven. Följs inte beslutet frivilligt i det enskilda fallet, bör
tillsynsmyndigheten ha möjlighet att förelägga vite för att få den
genomförd, se närmare avsnitt 13 om tillsynsmyndighetens befogenheter.
Tillsynsmyndighetens beslut om säkerhetsåtgärder i det enskilda fallet
skall riktas mot den personuppgiftsansvarige även när ett person-
uppgiftsbiträde har anlitats.
Bestämmelser om säkerhetsåtgärder kan även finnas i annan lagstift-
ning, t.ex. i arkivlagen (1990:782) med anknytande författningar. Sådana
bestämmelser kommer att gälla vid sidan av de bestämmelser om
skyddsåtgärder som gäller enligt den nya lagen med anknytande författ-
ningar och beslut. Den personuppgiftsansvarige måste således uppfylla
alla de regler om säkerhetsåtgärder som kan ha meddelats för hans eller
hennes verksamhet
Skriftligt avtal med personuppgiftsbiträden
För det tredje har regeln i EG-direktivet om att det skriftliga avtalet
mellan den personuppgiftsansvarige och personuppgiftsbiträdet skall
innehålla föreskrifter om att biträdet bara får behandla personuppgifterna i
enlighet med instruktioner från den ansvarige förts över till den nya lagen.
I den utsträckning det är otillåtet enligt grundlag med sådana
92
avtalsföreskrifter, vilka till viss del kan ses som en avtalad tystnadsplikt, Prop 1997/98:44
tar grundlagen över bestämmelserna i nya lagen, se avsnitt 8.2. Även
regeln i EG-direktivet om att det skriftliga avtalet skall innehålla en
föreskrift om att personuppgiftsbiträdet skall vidta säkerhetsåtgärder har
förts över till den nya lagen.
Den personuppgiftsansvarige skall kontrollera anlitade person-
uppgiftsbiträden
Vi föreslår för det fjärde ett överförande till den nya lagen av regeln i EG-
direktivet om att den personuppgiftsansvarige skall förvissa sig om att ett
anlitat personuppgiftsbiträde kan genomföra de säkerhetsåtgärder som
måste vidtas och se till att biträdet verkligen vidtar åtgärderna. Det är
dock den personuppgiftsansvarige som har ansvaret gentemot den regist-
rerade avseende behandlingen även när ett personuppgiftsbiträde har
anlitats. I vilken utsträckning den personuppgiftsansvarige i sin tur kan
utkräva ansvar av ett anlitat personuppgiftsbiträde följer av avtalet med
denne och allmänna bestämmelser
Regeringens förslag: Det är i princip förbjudet att till tredje land föra
över personuppgifter som är under behandling. Det är dock trots
förbudet tillåtet att föra över personuppgifter till tredje land, om den
registrerade har samtyckt till överföringen eller när överföringen är
nödvändig för att
a) ett avtal mellan den registrerade och den personuppgiftsansvarige
skall kunna fullgöras eller åtgärder som den registrerade begärt skall
kunna vidtas innan ett avtal träffas,
b) ett sådant avtal mellan den personuppgiftsansvarige och tredje man
som är i den registrerades intresse skall kunna ingås eller fullgöras,
c) rättsliga anspråk skall kunna fastställas, göras gällande eller
försvaras, eller
d) vitala intressen för den registrerade skall kunna skyddas
Det är också tillåtet att föra över personuppgifter för användning
enbart i en stat som har anslutit sig till Europarådets konvention om
skydd för enskilda vid automatisk databehandling av personuppgifter.
Regeringen eller den myndighet som regeringen bestämmer får
meddela föreskrifter om ytterligare undantag från förbudet mot
överföring.
Datalagskommitténs förslag överensstämmer med regeringens
Remissinstanserna: Några remissinstanser pekar på att det enligt
förslaget blir svårigheter med att sprida personuppgifter på Internet. Data-
inspektionen anser att Sverige inte ensidigt bör införa ett generellt
undantag beträffande stater som har anslutit sig till Europarådets kon-
vention.
93
Skälen för regeringens förslag: Bestämmelser rörande utlämnande av Prop. 1997/98:44
personuppgifter till utlandet finns i dag i 11 § i den nuvarande datalagen
för privat verksamhet och i 7 kap. 16 § andra stycket sekretesslagen
(1980:100) för verksamhet inom det allmänna. Bestämmelserna innebär
bl.a. att det för ett utlämnande alltid krävs ett medgivande från Datain-
spektionen, om det kan antas att de utlämnade uppgifterna kommer att an-
vändas för automatisk databehandling i en stat som inte har anslutit sig till
Europarådets konvention om skydd för enskilda vid automatisk data-
behandling av personuppgifter.
I artikel 25 och 26 i EG-direktivet (se bilaga 1) finns det bestämmelser
om överföring av personuppgifter till tredje land, dvs. en stat utanför EES.
Bestämmelserna innebär följande.
Medlemsstaterna skall föreskriva att överföring av personuppgifter,
som är under behandling eller som är avsedda att behandlas efter
överföring till tredje land, bara får ske om ifrågavarande tredje land
säkerställer en adekvat skyddsnivå. Detta skall dock inte påverka tillämp-
ningen av de nationella bestämmelser som har antagits till följd av andra
bestämmelser i direktivet
Bedömningen av om skyddsnivån i ett tredje land är adekvat skall ske
på grundval av alla de förhållanden som har samband med en överföring
eller en grupp av överföringar av uppgifter. Härvid skall särskilt beaktas
• uppgifternas art,
• den eller de avsedda behandlingarnas ändamål,
• den eller de avsedda behandlingarnas varaktighet,
• ursprungslandet,
• det slutliga bestämmelselandet,
• de allmänna respektive särskilda rättsregler som gäller i ifrågavarande
tredje land och
• de regler för yrkesverksamhet och säkerhet som gäller i ifrågavarande
tredje land.
Medlemsstaterna och kommissionen skall informera varandra när de
anser att ett tredje land inte erbjuder en sådan adekvat skyddsnivå. Om
kommissionen - i enlighet med den särskilda beslutsprocedur som före-
skrivs i direktivet - kommer fram till att ett tredje land inte erbjuder en
sådan adekvat skyddsnivå, är medlemsstaterna skyldiga att vidta de
åtgärder som är nödvändiga för att hindra överföring av uppgifter av
samma slag till detta land. Kommissionen skall i sådant fall vid lämpligt
tillfälle inleda förhandlingar för att avhjälpa den situation som därvid har
uppkommit. Kommissionen kan vidare - i enlighet med den särskilda
beslutsprocedur som föreskrivs i direktivet - konstatera att ett tredje land,
genom sin interna lagstiftning eller på grund av de internationella förplik-
telser som åligger landet, har en sådan adekvat skyddsnivå. Medlemssta-
terna skall då vidta de åtgärder som är nödvändiga för att följa
kommissionens beslut. Som exempel på internationella förpliktelser som
åligger tredje land nämns särskilt sådana förpliktelser som är en följd av
de förhandlingar som kommissionen har inlett och som gäller skydd för
privatliv och enskilda personers grundläggande fri- och rättigheter.
Medlemsstaterna är dock skyldiga att - utom där något annat föreskrivs
för särskilda fall i den nationella lagstiftningen - föreskriva att överföring
94
av personuppgifter till ett tredje land, som inte har en sådan adekvat Prop. 1997/98:44
skyddsnivå, är tillåten i följande fall.
• Den registrerade otvetydigt har samtyckt till den planerade överföring-
en.
• Överföringen är nödvändig för att fullgöra ett avtal mellan den registre-
rade och den personuppgiftsansvarige eller för att på den registrerades
begäran genomföra åtgärder innan avtalet ingås.
• Överföringen är nödvändig för att ingå eller fullgöra ett avtal mellan
den personuppgiftsansvarige och tredje man, där avtalet är i den
registrerades intresse.
• Överföringen är nödvändig eller bindande enligt författning av skäl som
rör viktiga allmänna intressen eller för att fastslå, göra gällande eller
försvara rättsliga anspråk.
• Överföringen är nödvändig för att skydda intressen som är av grund-
läggande betydelse för den registrerade
• Överföringen görs från ett register som 1) enligt lagar eller andra för-
fattningar är avsett att förse allmänheten med information och som 2) är
tillgängligt antingen för allmänheten eller för var och en som kan styrka
ett berättigat intresse, i den utsträckning som de i lagstiftningen angivna
villkoren för att få tillgång är uppfyllda.
I punkt 58 i ingressen till EG-direktivet anges som exempel på viktiga
allmänna intressen utbyte av uppgifter mellan skattemyndigheter, tull-
myndigheter eller socialförsäkringsmyndigheter.
Det är vidare tillåtet för medlemsstaterna att tillåta överföring av
personuppgifter till ett tredje land med en icke adekvat skyddsnivå om
den personuppgiftsansvarige ställer tillräckliga garantier för skyddet av
privatliv och enskilda personers grundläggande fri- och rättigheter och för
utövandet av sådana rättigheter. Sådana garantier kan framgå av lämpliga
avtalsklausuler. Medlemsstaterna skall informera kommissionen om de
överföringar som har tillåtits enligt denna bestämmelse. Om kommissio-
nen eller en medlemsstat gör en invändning - på grunder som är berätti-
gade med hänsyn till skyddet för privatliv och enskilda personers grund-
läggande fri- och rättigheter - skall kommissionen vidta lämpliga åtgärder
i enlighet med den särskilda beslutsprocedur som föreskrivs i direktivet.
Medlemsstaterna skall vidta de åtgärder som är nödvändiga för att följa
kommissionens beslut. Om kommissionen å andra sidan - i enlighet med
den särskilda beslutsprocedur som nyss nämnts - beslutar att vissa
standardklausuler erbjuder tillräckliga garantier, skall medlemsstaterna
vidta nödvändiga åtgärder för att följa kommissionens beslut.
Förbud mot överföring, konkreta undantag från förbudet och
bemyndiganden att meddela föreskrifter om ytterligare undantag
Bestämmelserna i EG-direktivet är, såsom Datalagskommittén och en del
remissinstanser noterat, detaljerade och komplicerade. Datalagskom-
mittén har gjort den bedömningen att man inte i lagstiftningen bör införa
mer komplicerade regler än vad som är nödvändigt med hänsyn till EG-
direktivet. Vi godtar den bedömningen, som har lämnats utan erinran av
remissinstanserna 95
EG-direktivet kräver att det i den svenska lagstiftningen införs ett Prop. 1997/98:44
förbud mot överföring av personuppgifter till tredje land och de konkreta
undantag från det förbudet som räknas upp i direktivet. I övrigt kan
detaljregler i den nya lagen undvikas genom att regeringen eller den
myndighet som regeringen bestämmer bemyndigas att meddela före-
skrifter om undantag från förbudet mot överföring, t.ex. när det gäller
överföring till stater som har en adekvat skyddsnivå. Beslut om undantag
från förbudet bör också kunna meddelas i enskilda fall. Den tekniken,
som bl.a. innebär att det i den nya lagen införs ett principiellt förbud mot
överföring av personuppgifter till tredje land, har använts i Datalags-
kommitténs förslag och lämnats utan erinran av remissinstanserna Även
vi anser att tekniken bör användas Frågan om normgivningsdelegation
har berörts i avsnitt 10.
Stater som anslutit sig till Europarådets konvention
Förutom de undantag från förbudet mot överföring av personuppgifter
som räknas upp i direktivet har Datalagskommittén föreslagit ett generellt
undantag för överföring av personuppgifter för användning enbart i en stat
som anslutit sig till Europarådets konvention om skydd för enskilda vid
automatisk databehandling av personuppgifter. Datainspektionen vänder
sig emot att detta generella undantag tas med i den nya lagen. Enligt
inspektionens uppfattning är det inte enbart en nationell fråga att avgöra i
vilken omfattning överföring får ske till stater som inte är medlemmar i
Europeiska unionen
Sverige har skyldigheter inte bara gentemot Europeiska unionen utan
också enligt Europarådets konvention. Av artikel 12 i den konventionen
följer att Sverige - och andra konventionsstater - inte av mtegri-
tetsskyddsskäl får hindra att personuppgifter förs över till en
konventionsstat för att användas där Det vore alltså oförenligt med
konventionen att införa en ordning som innebär att överföringen till en
konventionsstat kan hindras av det skälet att staten i någon mening inte
skulle anses ha en adekvat skyddsnivå för personuppgifter. Av punkt 11 i
ingressen till EG-direktivet framgår också att direktivet innehåller
preciseringar och förstärkningar av de principer som Europarådskonven-
tionen innehåller. Det är enligt regeringens mening inte antagligt att
medlemsstaterna inom Europeiska unionen, varav de allra flesta vid
antagandet av direktivet hade anslutit sig till konventionen, genom
direktivet skulle ha tillskapat en ordning som vore oförenlig med åta-
gandena enligt konventionen De stater som anslutit sig till Europarådets
konvention får enligt regeringens mening anses ha en sådan adekvat
skyddsnivå som krävs enligt EG-direktivet
Mot bakgrund av det sagda och Sveriges förpliktelser enligt Europa-
rådskonventionen förefaller det enklast och tydligast med en uttrycklig
bestämmelse om att personuppgifter utan vidare får föras över för använd-
ning enbart i en stat som har anslutit sig till Europarådets konvention. Vi
föreslår således i likhet med Datalagskommittén att en sådan bestämmelse
tas med i den nya lagen.
96
Prop. 1997/98:44
Regeringens bedömning: EG-direktivet kräver att det föreskrivs en
principiell skyldighet att anmäla alla automatiserade behandlingar till
tillsynsmyndigheten. De möjligheter till undantag som direktivet ger
bör dock utnyttjas så långt möjligt.
Regeringens förslag: I den nya lagen tas in en principiell skyldighet
att anmäla alla automatiserade behandlingar till tillsynsmyndigheten.
Den personuppgiftsansvarige ges möjlighet att sätta till ett särskilt
personuppgiftsombud. När en anmälan gjorts till tillsynsmyndigheten
om att ett sådant ombud tillsatts, behöver anmälningar om behand-
lingar inte längre göras.
Allmänheten skall ha rätt att på begäran få upplysningar om sådana
behandlingar som inte anmälts direkt från den personuppgifts-
ansvarige
Regeringen får meddela föreskrifter om att särskilt mtegritets-
känsliga behandlingar skall anmälas till tillsynsmyndigheten för
förhandskontroll tre veckor i förväg.
Datalagskommitténs förslag överensstämmer med regeringens, dock
att kommittén inte föreslår någon skyldighet att till tillsynsmyndigheten
anmäla utsedda personuppgiftsombud
Remissinstanserna: Remissinstanserna har i huvudsak godtagit för-
slaget om anmälningsskyldighet Inte någon har förordat att det nuvarande
systemet med licens och tillstånd skall behållas. När det gäller förslaget
om personuppgiftsombud är remissutfallet blandat En del remissinstanser
har tillstyrkt förslaget, medan andra har uttryckt tveksamhet. De
tveksamma instanserna har i allmänhet pekat på riskerna för lojalitets-
konflikter.
Skälen för regeringens förslag: Den nuvarande datalagen bygger på
att den som inrättar och för personregister skall anmäla sig till Data-
inspektionen för licens. I många fall krävs det dessutom att person-
registreringen förhandskontrolleras av inspektionen och att ett tillstånd
ges. Datainspektionens medgivande krävs vidare i vissa fall när uppgifter
från ett personregister skall lämnas ut för automatisk databehandling i
utlandet, t.ex. genom att göras tillgängliga på ett internationellt data-
nätverk såsom Internet.
Anmälningsskyldighet
Det har uppskattats att bara omkring tio procent av alla licenspliktiga
personregister anmäls till Datainspektionen. Datainspektionen får alltså
genom licens- och tillståndssystemet kännedom om bara en bråkdel av
den personregistrering som förekommer. Man kan vidare anta att det är de
som följer de formella reglerna och gör en anmälan som också bäst följer
7 Riksdagen 1997/98. 1 samt. Nr 44
97
de materiella reglerna om uppgiftsbehandlingen. Licenserna är således Prop. 1997/98:44
inte något bra underlag för inspektionens tillsynsverksamhet, och de ger
inte heller enskilda någon upplysning om i vilka register de förekommer
Integritetsskyddet stärks vidare inte i sig av att Datainspektionen hanterar
anmälningar, licenser och tillstånd. Det som har betydelse för integritets-
skyddet är att de personuppgiftsansvariga följer de materiella reglerna för
uppgiftsbehandlingar, inte att de sänder in papper till Datainspektionen.
Vi anser därför i likhet med Datalagskommittén och remissinstanserna
att det nuvarande licens- och tillståndssystemet bör avskaffas och att
tillsynsmyndighetens verksamhet bör koncentreras till att ge råd och
sprida kunskap om de materiella reglerna och att utöva tillsyn över att
reglerna följs. Sverige måste emellertid på grund av artikel 18.1 i EG-
direktivet (se bilaga 1) föreskriva att alla automatiserade behandlingar
skall anmälas på förhand till tillsynsmyndigheten Det är därför viktigt att
fullt ut utnyttja de möjligheter till undantag från anmälningsskyldigheten
som direktivet medger På det sättet bör anmälningsskyldigheten kunna
begränsas till ett minimum Den möjlighet att föreskriva anmälnings-
skyldighet även för manuella behandlingar som EG-direktivet ger bör i
enlighet med vår principiella inställning inte utnyttjas.
I enlighet med vad som anges i avsnitt 10 bör regeringen eller den
myndighet som regeringen bestämmer bemyndigas att meddela före-
skrifter om sådana undantag från anmälningsskyldigheten som tillåts
enligt direktivet (artikel 18.2 första strecksatsen). Skulle tillsyns-
myndigheten fa in en mera betydande mängd anmälningar om behand-
lingar av viss typ, finns det anledning att överväga ett undantag för den
behandlingstypen
Personuppgiftsombud
Ett ytterligare alternativ för att undvika anmälan till tillsynsmyndigheten
som EG-direktivet medger är att införa ett system med personuppgifts-
ombud (artikel 18.2 andra strecksatsen) Personuppgiftsombudet utses av
den personuppgiftsansvarige och skall enligt direktivet särskilt ha till
uppgift att på ett oberoende sätt säkerställa den interna tillämpningen av
de nationella bestämmelser som antagits till följd av direktivet. Ombudet
skall också föra ett register över de behandlingar som utförs av den
personuppgiftsansvarige. Det framgår av direktivet att ombudet i
tveksamma fall skall rådfråga tillsynsmyndigheten (artikel 20.2). När ett
personuppgiftsombud utsetts, behöver den personuppgiftsansvarige inte
anmäla behandlingar till tillsynsmyndigheten.
Datalagskommittén har föreslagit att ett system med personuppgifts-
ombud införs enligt följande. Personuppgiftsombudet skall ha till uppgift
att självständigt se till att den personuppgiftsansvarige behandlar person-
uppgifter på ett lagligt och korrekt sätt och i enlighet med god sed och
påpeka eventuella brister för denne. Har personuppgiftsombudet anled-
ning att misstänka att den personuppgiftsansvarige bryter mot de
bestämmelser som gäller för behandlingen av personuppgifter och vidtas
inte rättelse så snart det kan ske efter påpekande, skall person-
uppgiftsombudet anmäla förhållandet till tillsynsmyndigheten. Person-
uppgiftsombudet skall även i övrigt samråda med tillsynsmyndigheten vid
tveksamhet om hur de bestämmelser som gäller för behandlingen av Prop. 1997/98:44
personuppgifter skall tillämpas. Personuppgiftsombudet skall vidare
hjälpa registrerade att få rättelse när det finns anledning att misstänka att
behandlade personuppgifter är felaktiga eller ofullständiga. Dessutom
skall personuppgiftsombudet föra en förteckning över de behandlingar
som den personuppgiftsansvarige genomför och som skulle ha omfattats
av anmälningsskyldighet om ombudet inte hade funnits
Flera remissinstanser är uttalat positiva till förslaget, t.ex. Länsrätten i
Stockholms län, Datainspektionen, Landsorganisationen i Sverige (LO)
och Sveriges industriförbund Andra är däremot negativa eller tvek-
samma. De pekar framför allt på risken för att ombudet, som kan vara en
anställd på företaget eller myndigheten, kan hamna i svåra lojalitets-
konflikter i förhållande till den personuppgiftsansvarige arbetsgivaren,
särskilt när det gäller bedömningen av om en anmälan om ett eventuellt
missförhållande skall göras till tillsynsmyndigheten
Enligt vår bedömningen förefaller det föreslagna systemet med person-
uppgiftsombud ändamålsenligt för vissa personuppgiftsansvariga. För
andra kan systemet visserligen passa sämre, men det bör inte hindra att
systemet införs som en möjlighet för dem som anser att det är bra och
värdefullt Om såsom förutsatt tillräckligt självständiga personer anlitas
som ombud, bör risken för lojalitetskonflikter inte överdrivas.
Vi anser således att det bör vara möjligt att utse ett självständigt per-
sonuppgiftsombud som skall ha de uppgifter som framgår av Datalags-
kommitténs förslag
Datalagskommittén har inte föreslagit någon skyldighet att anmäla per-
sonuppgiftsombudet till en myndighet. Socialvetenskapliga forsknings-
rådet anser att man kan överväga att införa en skyldighet att anmäla
utsedda personuppgiftsombud till tillsynsmyndigheten. Vi anser att det är
ett bra förslag. Ombudet skall ersätta anmälningar till tillsynsmyndigheten
om behandlingar, och därför är det naturligt att förutsättningen för att låta
bli att anmäla behandlingarna manifesteras genom en anmälan om
ombudet. Av samma skäl och på grund av att det är tillsynsmyndigheten
som närmast kan ha användning av information om vilka som är person-
uppgiftsombud bör anmälan göras till tillsynsmyndigheten och inte till
någon annan myndighet. Det förhållandet att ombudet är anmält till en
myndighet kan också för ombudet inskärpa vikten av att uppdraget tas på
allvar. Vi anser således att den personuppgiftsansvarige skall till tillsyns-
myndigheten anmäla att ett personuppgiftsombud utsetts och vem det är
och att anmälan skall ha den verkan att anmälan till tillsynsmyndigheten
om behandlingar därefter inte behöver göras. När ett ombud entledigas,
skall detta också anmälas till tillsynsmyndigheten eftersom förutsättningen
för befrielse från skyldigheten att anmäla behandlingar då inte längre
finns.
Förhandskontroll
I enlighet med vad som anges i avsnitt 10 föreslås att regeringen
bemyndigas att meddela föreskrifter om att vissa behandlingar som kan
innebära särskilda risker för otillbörligt intrång i den personliga integri-
teten skall för förhandskontroll anmälas till tillsynsmyndigheten tre veckor
99
i förväg. Om regeringen har meddelat sådana föreskrifter, måste Prop. 1997/98:44
behandlingen anmälas även om ett personuppgiftsombud utsetts
Upplysningar till allmänheten om behandlingar
Enligt artikel 21 i EG-direktivet skall Sverige vidta åtgärder för att se till
att behandlingar av personuppgifter görs offentligt tillgängliga. Sverige
skall för sådan behandling som inte omfattas av anmälningsplikt före-
skriva att de personuppgiftsansvariga, eller något annat organ som
Sverige utser, på lämpligt sätt skall tillhandahålla var och en som begär
det vissa upplysningar om behandlingen.
För att uppfylla EG-direktivet måste det således, såsom Datalags-
kommittén föreslagit och de allra flesta remissinstanser godtagit, införas
en skyldighet för den personuppgiftsansvarige att till var och en som
begär det skyndsamt och på lämpligt sätt lämna upplysningar om sådana
automatiska och andra behandlingar av personuppgifter som inte har
anmälts till tillsynsmyndigheten. Den skyldigheten kommer förmodligen
att leda till att de personuppgiftsansvariga upprättar och håller aktuell
någon form av förteckning över de aktuella behandlingarna
Regeringens förslag: Tillsynsmyndigheten har rätt att för sin tillsyn på
begäran få tillgång till de personuppgifter som behandlas, upplysningar
om och dokumentation av behandlingen och säkerheten vid denna
samt tillträde till sådana lokaler som har anknytning till behandlingen.
Om myndigheten därvid inte kan få tillräckligt underlag för att
konstatera att behandlingen är laglig, får myndigheten vid vite förbjuda
den personuppgiftsansvarige att behandla personuppgifter på annat sätt
än genom att lagra dem. Detsamma gäller om det efter att en olaglig
behandling konstaterats inte går att få rättelse på något annat sätt eller
om saken är brådskande. Om saken är brådskande, får myndigheten
också meddela ett tillfälligt beslut om vite innan den person-
uppgiftsansvarige fått tillfälle att yttra sig. Det tillfälliga beslutet skall
då prövas om, när yttrandetiden har gått ut.
Tillsynsmyndigheten får hos länsrätt ansöka om att sådana person-
uppgifter som har behandlats på ett olagligt sätt skall utplånas.
Tillsynsmyndighetens beslut enligt den nya lagen om annat än före-
skrifter får överklagas hos allmän förvaltningsdomstol, men myndig-
heten får bestämma att beslutet skall gälla även om det överklagas.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Datalagskommitténs förslag överensstämmer med regeringens.
Remissinstanserna: Förslaget lämnas utan erinran av de allra flesta re-
missinstanserna. Hovrätten över Skåne och Blekinge anser att tillsyns-
myndighetens befogenheter är delvis otillräckliga. Kammarrätten i Göte-
borg anser att ett beslut om förbud bör kunna föregås av ett med vite
100
förenat föreläggande för att uppnå det resultat som önskas. Kammarrätten Prop. 1997/98:44
anser vidare att det bör övervägas om inte kravet på prövningstillstånd bör
gälla först efter en viss tid. Liknande synpunkter förs fram av Länsrätten i
Stockholms län och av UpplysningsCentralen UC AB, som dessutom
avstyrker att tillsynsmyndigheten skall få meddela ett tillfälligt beslut om
vite.
Skälen för regeringens förslag: Enligt artikel 28 i EG-direktivet (se
bilaga 1) skall det utses en eller flera myndigheter med uppgift att
fullständigt oberoende övervaka tillämpningen av de bestämmelser som
Sverige antagit till följd av direktivet. Sverige är också skyldig att särskilt
besluta om de sanktioner som skall användas vid överträdelse av dessa
bestämmelser (artikel 24). Varje tillsynsmyndighet skall ha vissa i direk-
tivet angivna befogenheter, och de beslut av myndigheten som går en part
emot skall kunna överklagas till domstol (artikel 28).
Vad som bör regleras i den nya lagen
Föreskrifter om flera av de uppgifter och befogenheter som tillsyns-
myndigheten skall ha enligt direktivet kan ges i förordning, och vi avser
att senare meddela nödvändiga föreskrifter. Förslaget omfattar de be-
fogenheter som tillsynsmyndigheten bör ha och som måste eller enligt vår
mening bör regleras i lag.
Kammarrätten i Göteborg anser att den nya lagen bör innehålla en
bestämmelse om att det skall finnas en tillsynsmyndighet som skall ha till
uppgift att övervaka tillämpningen. Bestämmelserna i den nya lagen
förutsätter att det finns en tillsynsmyndighet, och EG-direktivet kräver
också att en sådan myndighet utses. Tillsynsmyndigheten definieras i
lagens inledning. Enligt vår mening är det däremot inte nödvändigt att i
lag ha ytterligare en bestämmelse om detta. Inte heller är det, såsom bl a
Datainspektionen föreslagit, nödvändigt att i lag ha bestämmelser om att
tillsynsmyndigheten kan granska branschregler om behandling av person-
uppgifter.
Enligt EG-direktivet skall Sverige se till att tillsynsmyndigheten hörs
när sådana lagar eller andra författningar utarbetas som rör skyddet av
enskilda personers fri- och rättigheter med avseende på behandlingen av
personuppgifter (artikel 28). Datainspektionen anser mot den bakgrunden
att den nya lagen bör innehålla en bestämmelse om detta. En uttrycklig
motsvarande bestämmelse i den nuvarande datalagen avskaffades per den
1 januari 1995. Avsikten var att avskaffandet på intet sätt skulle innebära
någon lättnad i kravet på remissbehandling, även om syftet med av-
skaffandet i och för sig var att minska tillsynsmyndighetens arbetsbörda.
I 7 kap. 2 § regeringsformen finns det en grundläggande bestämmelse
om att behövliga upplysningar och yttranden skall hämtas in vid
beredningen av regeringsärenden. Vi avser för vår del att tolka den
bestämmelsen i belysning av vad som krävs enligt EG-direktivet. När vi i
nu aktuella fall beslutar en förordning eller tar initiativ till en lag, finns det
således tillräckliga garantier för att tillsynsmyndigheten hörs på det sätt
som krävs enligt direktivet.
Någon motsvarande s.k. remisskyldighet finns inte när det inom riks-
dagen i nu aktuella fall tas initiativ till en lag, t.ex. om reglering av egna
101
register. I 4 kap. 10 § riksdagsordningen finns det dock riksdagens be- Prop. 1997/98:44
stämmelser om att statlig myndighet - t.ex. den aktuella tillsynsmyndig-
heten - är skyldig att lämna upplysningar och yttra sig när ett riksdags-
utskott begär det och om att sådana upplysningar och yttranden som
huvudregel skall hämtas in om minst fem utskottsledamöter begär det
Det får förutsättas att riksdagen utan en särskild bestämmelse om detta ser
till att tillsynsmyndigheten har hörts på det sätt som EG-direktivet kräver
när en lag i nu aktuella fall beslutas efter ett initiativ mom riksdagen.
Vi anser därför att det inte är vare sig nödvändigt med hänsyn till EG-
direktivet eller annars behövligt att åter införa den bestämmelse om
obligatoriskt yttrande som nyss avskaffats.
Befogenheterna
För att tillsynsmyndigheten på ett så effektivt sätt som möjligt skall kunna
utöva tillsyn över den behandling av personuppgifter som förekommer
bör myndigheten för sin tillsyn ha rätt att på begäran få
• tillgång till de personuppgifter som behandlas,
• upplysningar om och dokumentation av behandlingen av personupp-
gifter och säkerheten vid denna och
• tillträde till sådana lokaler som har anknytning till behandlingen av
personuppgifter.
För den händelse den personuppgiftsansvarige skulle obstruera och
inte ge tillsynsmyndigheten det den behöver för tillsynen, måste myn-
digheten ha maktmedel att ta till Hovrätten över Skåne och Blekinge
anser att tillsynsmyndighetens befogenheter framstår som delvis otill-
räckliga och pekar därvid särskilt på att myndigheten enligt förslaget
saknar maktmedel för att t.ex. få tillträde till lokaler.
Eftersom sådan behandling av personuppgifter som omfattas av den
föreslagna lagen kan förekomma t.ex. i någons hem eller i en dator som
någon bär på sig och då det i en och samma dator kan förekomma såväl
behandling som omfattas av lagen som rent privat behandling av högst
personliga uppgifter som inte omfattas av lagen, har vi funnit att det är
olämpligt med regler som innebär att myndigheten skulle få genomdriva
sina rättigheter med t ex. polishjälp. Det skulle kunna leda till ett större
intrång i den personliga integriteten än det intrång som myndighetens
tillsynsverksamhet syftar till att förebygga. Enligt vår mening bör man gå
en annan väg i stället som innebär att tillsynsmyndigheten kan vid vite
förbjuda behandling av personuppgifter.
Möjlighet att förelägga vite
Syftet med tillsynsmyndighetens tillsyn och myndighetens rättigheter i
samband med den är ytterst att myndigheten skall kunna konstatera om
den behandling av personuppgifter som utförs är laglig, dvs. att samtliga
bestämmelser i den nya lagen och i andra författningar som rör behand-
ling av personuppgifter följs Kan myndigheten inte på begäran få tillgång
till ett tillräckligt underlag för att konstatera att behandlingen är laglig, bör
myndigheten kunna vid vite förbjuda den personuppgiftsansvarige att
102
fortsätta att behandla personuppgifter på annat sätt än genom att lagra Prop. 1997/98:44
dem. Den som obstruerar riskerar således att bli förbjuden att i
fortsättningen behandla personuppgifter. Den risken kan med fog antas
medföra att de personuppgiftsansvariga blir tillräckligt benägna att ge
myndigheten det underlag den behöver
Tillsynsmyndigheten kan på olika sätt få reda på att personuppgifter
behandlas eller kan komma att behandlas på ett olagligt sätt. Sådan in-
formation kan komma fram i samband med ett tillsynsbesök, framgå av
kontakter med ett personuppgiftsombud eller av en insänd anmälan om
behandlingen eller av ett klagomål från t.ex någon registrerad eller
konkurrent. I sådana fall bör myndigheten i första hand försöka att åstad-
komma rättelse genom påpekanden eller liknande förfaranden Men går
det inte att få rättelse på annat sätt, bör myndigheten kunna vid vite
förbjuda den personuppgiftsansvarige att fortsätta att behandla person-
uppgifter på annat sätt än genom att lagra dem Om saken är brådskande,
bör tillsynsmyndigheten genast kunna gripa in på detta sätt
Kammarrätten i Göteborg anser att ett beslut om förbud bör kunna
föregås av ett med vite förenat föreläggande för att uppnå det resultat som
önskas. Enligt vår mening är det viktigt att tillsynsmyndigheten i första
hand kan fungera som ett stöd vid de personuppgiftsansvarigas behand-
ling av personuppgifter och ge råd om hur behandlingen bör gå till för att
vara laglig. Möjligheten till vitessanktionerat förbud får anses tillräcklig
för att förmå de personuppgiftsansvariga att följa myndighetens råd i fråga
om hur en behandling skall utföras på ett lagligt sätt Datainspektionen
har för övrigt inte fört fram några synpunkter på de föreslagna
vitesmöjligheterna
Tillsynsmyndigheten bör kunna fatta beslut om vilka säkerhetsåtgärder
som en personuppgiftsansvarig skall vidta. Det beslutet bör kunna över-
klagas hos allmän förvaltningsdomstol. Om den personuppgiftsansvarige
mte följer ett beslut om säkerhetsåtgärder, som har vunnit laga kraft, bör
tillsynsmyndigheten kunna föreskriva vite för att beslutet skall
genomföras.
I fråga om tillsynsmyndighetens möjligheter att föreskriva vite bör
generellt gälla att den personuppgiftsansvarige skall få tillfälle att yttra sig
innan myndigheten föreskriver vite Om det är riskfyllt att vänta med
beslutet om vite till dess den personuppgiftsansvarige fått möjlighet att
yttra sig, bör myndigheten dock få fatta ett tillfälligt beslut om vite. Det
tillfälliga beslutet bör i sådana fall prövas om när yttrandetiden har gått ut
och det finns ett mera fullständigt underlag.
Kammarrätten i Göteborg anser att det inte har visats att det finns
behov av en bestämmelse om tillfälligt vite. UpplysningsCentralen UC
AB avstyrker en sådan bestämmelse. Enligt vår mening är det i vissa
undantagsfall nödvändigt att tillsynsmyndigheten kan agera snabbt och
kraftfullt för att skydda de registrerades personliga integritet. Av en
personuppgiftsansvarigs anmälan kan t.ex. framgå att en viss behandling
avseende känsliga personuppgifter som inte alls får utföras enligt den nya
lagen skall starta om någon dag En möjlighet att innan den person-
uppgiftsansvarige fått komma till tals meddela ett tillfälligt beslut bör
dock givetvis utnyttjas bara när saken är klar och så brådskande att
yttrandet inte kan avvaktas.
Allmänna bestämmelser om vite finns i lagen (1985:206) om viten. Av
2 § fjärde stycket i den lagen framgår att ett vitesföreläggande skall delges
adressaten. Enligt vår mening bör i fråga om delgivnmgen gälla samma
regler som för delgivning av en stämning i ett tvistemål, se 33 kap. 6 §
andra stycket rättegångsbalken. Delgivning enligt 12 § delgivningslagen
(1970:428), som innebär att delgivningshandlingen lämnas till någon
annan fysisk person än den som söks för delgivning, bör således få använ-
das bara under förutsättning att den personuppgiftsansvarige har avvikit
eller håller sig undan på något annat sätt.
Av lagen om viten framgår att frågan om utdömande av ett förelagt vite
prövas av länsrätten på ansökan av tillsynsmyndigheten, som får anlita
biträde av polismyndighet om det år nödvändigt med hänsyn till
utredningen. Av lagen om viten framgår vidare att vite inte skall dömas
ut, om ändamålet med vitet har förlorat sin betydelse. Av allmänna
principer torde dessutom följa att tillsynsmyndigheten skall återkalla ett
meddelat vitesföreläggande så snart den personuppgiftsansvarige har gjort
vad som krävs av honom eller henne Ett förbud vid vite att behandla
personuppgifter på annat sätt än genom att lagra dem kommer alltså att
gälla bara till dess den personuppgiftsansvarige har botat den
försummelse som föranledde förbudet.
Ansökan om utplånande av personuppgifter
Vi föreslår att tillsynsmyndigheten skall kunna ansöka hos länsrätt om att
sådana personuppgifter som har behandlats på ett olagligt sätt skall
utplånas. Den möjligheten kan användas t.ex. när känsliga person-
uppgifter har behandlats trots att den personuppgiftsansvarige inte alls har
haft rätt att behandla sådana uppgifter. Det ligger i sakens natur att
möjligheten att ansöka om utplånande av personuppgifter bör användas
bara i sådana fall där det inte genom andra åtgärder är möjligt att förena
behandlingen av uppgifterna med de regler som gäller Vi föreslår också
en uttrycklig regel om att domstolen inte får besluta om utplånande, om
det skulle vara oskäligt. Förslagen i denna del har lämnats utan erinran av
remissinstanserna.
Överklagande
Enligt den nuvarande datalagen gäller att Datainspektionens beslut
överklagas hos länsrätten När en annan statlig myndighet är register-
ansvarig, skall dock beslutet i stället överklagas till regeringen. I dag har
vidare Justitiekanslem rätt att överklaga Datainspektionens beslut för att
ta till vara allmänna intressen
Enligt vår mening bör, såsom godtagits av remissinstanserna, tillsyns-
myndighetens beslut enligt den nya lagen i fråga om annat än generella
föreskrifter utan undantag kunna överklagas hos allmän förvaltnings-
domstol, dvs. länsrätt
Justitiekanslem anser att det inte är nödvändigt att Justitiekanslerns
överklaganderätt förs över till den nya lagen, medan Länsrätten i
Stockholms län anser att det kan finnas anledning att ha kvar över-
Prop. 1997/98:44
104
klaganderätten. Justitiekanslem har med den nuvarande ordningen sällan Prop. 1997/98:44
funnit anledning att överklaga Datainspektionens beslut.
Bland annat eftersom den nya lagen till skillnad från den nuvarande
inte innebär att en tillsynsmyndighet genom sin tillståndsgivning i
praktiken skall bestämma vilken personregistrering som skall tillåtas, har
vi i likhet med Justitiekanslem själv inte funnit anledning att ta med
någon bestämmelse om överklaganderätt för Justitiekanslem i den nya
lagen.
För överklagande av länsrättens domar och beslut till kammarrätten bör
det - i linje med strävandena på senare år, jfr prop. 1993/94:133 - krävas
prövningstillstånd. Det bör gälla även vid överklagande av länsrättens
beslut i fråga om utplånande av personuppgifter.
Kammarrätten i Göteborg anser att det bör övervägas om inte kravet
på prövningstillstånd bör gälla först efter viss tid. Liknande synpunkter
förs fram av Länsrätten i Stockholms län och UpplysningsCentralen UC
AB. Enligt vår mening finns det inte anledning att fördröja införandet av
kravet på prövningstillstånd för att fa fram vägledande domstolspraxis
eller eljest. Kammarrätten skall ju meddela prövningstillstånd bl.a. om det
är av vikt för ledning av rättstillämpningen att överklagandet prövas av
högre rätt. Kammarrätten i Stockholm har för övrigt inte haft några
synpunkter på kravet på prövningstillstånd
Regeringens förslag: Den personuppgiftsansvarige skall ersätta den
registrerade för skada och kränkning av den personliga integriteten
som en behandling av personuppgifter i strid med lagen har orsakat.
Om den personuppgiftsansvarige visar att felet inte berodde på honom
eller henne, kan ersättningsskyldigheten dock i den utsträckning det är
skäligt sättas ned eller helt falla bort
Den som uppsåtligen eller av oaktsamhet lämnar osanna uppgifter i
information eller anmälan enligt den nya lagen, i strid med bestämmel-
serna i den nya lagen behandlar känsliga personuppgifter eller
uppgifter om lagöverträdelser m.m. eller för över personuppgifter till
tredje land eller låter bli att göra en anmälan om behandling till till-
synsmyndigheten straffas med böter eller fängelse i högst sex månader.
Om brottet är grovt, är straffet fängelse i högst två år.
Datalagskommitténs förslag överensstämmer i huvudsak med
regeringens. Kommittén föreslår dock att skadestånd skall kunna utgå vid
behandling i strid med lagen eller föreskrift som meddelats med stöd av
lagen. Kommittén föreslår inte straffbestämmelser om annat än lämnande
av osann uppgift.
Remissinstanserna: De flesta remissinstanser har lämnat förslaget i
huvudsak utan erinran. Hovrätten över Skåne och Blekinge, Malmö tings-
rätt, Svenska kyrkans församlings- och pastoratsförbund och Landsorga-
105
nisationen i Sverige (LO) anser dock att flera förfaranden bör vara krimi- Prop. 1997/98:44
naliserade.
Skälen för regeringens förslag: Enligt artikel 22-24 i EG-direktivet
(se bilaga 1) gäller följande. Var och en skall för det första ha rätt att föra
talan inför domstol om kränkningar av sina rättigheter. Den som har lidit
skada till följd av en otillåten behandling eller någon annan åtgärd som är
oförenlig med bestämmelserna om behandlingen skall vidare ha rätt till
ersättning av den personuppgiftsansvarige för den lidna skadan. Den
personuppgiftsansvarige kan dock helt eller delvis befrias från sin
ersättningsskyldighet, om han eller hon bevisar att han eller hon inte var
ansvarig för den händelse som orsakade skadan. Det finns dessutom en
skyldighet för medlemsstaterna att anta lämpliga bestämmelser för att
säkerställa att direktivet genomförs fullständigt. Medlemsstaterna skall
därvid särskilt besluta om de sanktioner som skall användas vid över-
trädelse av bestämmelserna om behandling.
Skadestånd
Enligt den nuvarande datalagen är den registeransvarige ersättningsskyl-
dig inte bara för ekonomisk skada utan också för ideell skada, dvs. hänsyn
skall tas även till lidande och andra omständigheter av annan än rent
ekonomisk betydelse
Den nya lagen - liksom den nuvarande datalagen - syftar till att skydda
människor mot kränkning av personlig integritet genom behandling av
personuppgifter. Rätten till personlig integritet är en immateriell rättighet
När den rättigheten kränks, behöver det inte uppkomma någon ekonomisk
skada. Därför bör den enskilde, som drabbas av en olaglig behandling,
liksom hittills ha rätt till ekonomisk kompensation för själva kränkningen
förutom rätt till ersättning för personskada, sakskada och ren
förmögenhetsskada. Ersättningen för kränkningen bör uppskattas efter
skälighet mot bakgrund av samtliga omständigheter i det aktuella fallet
Den bedömningen har godtagits av de allra flesta remissinstanser Det kan
inte anses oförenligt med EG-direktivet att införa en skyldighet att betala
ersättning även för kränkningen.
Den nuvarande datalagen innebär vidare att ersättning skall betalas för
oriktiga eller missvisande uppgifter samt för vissa brott enligt datalagen
EG-direktivet kräver emellertid att det i Sverige föreskrivs att alla åtgärder
som är oförenliga med de svenska bestämmelser som genomför direktivet
kan leda till skadeståndsskyldighet. Ersättningsskyldigheten är alltså mer
vidsträckt enligt direktivet. Å andra sidan är den nuvarande datalagens
skadeståndsansvar strikt medan EG-direktivet ger den personuppgifts-
ansvarige en möjlighet att helt eller delvis undgå skadeståndsansvar om
han eller hon bevisar att han eller hon inte är ansvarig för den händelse
som orsakade skadan
EG-direktivet kräver således att det i Sverige föreskrivs att alla åtgärder
som är oförenliga med de svenska bestämmelser som genomför direktivet
kan leda till skadeståndsskyldighet. Vi föreslår därför att den person-
uppgiftsansvarige skall ersätta den registrerade för skada som en
behandling av personuppgifter i strid med den nya lagen har fört med sig.
En av skyldigheterna enligt lagen är att behandla personuppgifter i
enlighet med god sed. Den som bryter mot god sed kan alltså bli Prop. 1997/98:44
skadeståndsskyldig Som nyss nämnts skall ersättning också betalas för
den kränkning av den personliga integriteten som behandlingen har
inneburit. Skadeståndsansvaret bör liksom i dag omfatta person-
uppgiftsansvariga inom såväl den privata som offentliga sektorn. Vad som
är god sed vid behandling av personuppgifter får avgöras i
rättstillämpningen mot bakgrund av bl.a. de mer preciserade föreskrifter
som kan utfärdas med stöd av lagen, de branschregler på området som
kan ha utarbetats av etablerade branschorganisationer eller andra
representativa sammanslutningar och hur ansvarsfulla personuppgifts-
ansvariga som regel beter sig. Härigenom får, enligt regeringens mening,
enskilda på det sätt EG-direktivet förutsätter möjlighet att vid allmän
domstol föra talan om kränkningar av alla de rättigheter som direktivet
och den svenska lagstiftning som genomför direktivet ger enskilda
Å andra sidan och eftersom den nya lagen således innebär en viss
utvidgning av rätten till skadestånd i förhållande till den nuvarande
datalagen, anser vi att en jämkningsmöjlighet är viktig. Eftersom dessa
möjligheter inte har mycket att göra med jämkningsreglema i skade-
ståndslagen, krävs särskilda bestämmelser härom i den nya lagen
Dessa bedömningar har i huvudsak godtagits av de allra flesta remiss-
instanser
Lagrådet har anmärkt att det inte är helt säkert att jämknings-
bestämmelsen står i överensstämmelse med artikel 23.2 i direktivet, som
innehåller bestämmelser om att den registeransvarige kan helt eller delvis
undgå skadeståndsansvar om han bevisar att han inte är ansvarig för den
händelse som orsakade skadan Lagrådet anser att innebörden av denna
artikel synes oklar och föreslår att direktivets text tas in i skadestånds-
bestämmelsen utan motivuttalanden om tolkningen.
Vi anser att den ifrågavarande artikeln ger utrymme för att föreskriva
att jämkning under vissa förutsättningar kan göras, men att det inte före-
ligger någon skyldighet att jämka Även om den personuppgiftsansvarige
i ett enskilt fall skulle visa att han eller hon är helt utan skuld till den
händelse som orsakat en skada kan han eller hon åläggas skadestånds-
ansvar, till och med fullt ut. Jämkning kan dock ske, vilket torde innebära
att man i tillämpningen normalt använder sig av jämkningsmöjligheten i
ett fall som det nämnda. Det bör dock betonas att det är en fråga som
måste avgöras i varje enskilt fall.
En möjlighet införs således att helt eller delvis jämka skadeståndet, om
den personuppgiftsansvarige kan visa att den felaktiga behandlingen inte
berodde på honom eller henne. Jämkning skall emellertid enligt vår
mening ske bara i den utsträckning det är skäligt. Ersättningsskyldighet
skall sålunda, liksom enligt den nuvarande datalagen, kunna finnas trots
att den personuppgiftsansvarige bevisligen är oskyldig till felet.
Genom den föreslagna jämkningsregeln kan, till skillnad från vad som
är fallet enligt den nuvarande datalagen, en nyanserad bedömning göras i
sådana fall där den personuppgiftsansvarige bevisligen har gjort så gott
han eller hon kunnat. I vissa fall - t.ex. om den registrerade drabbas av en
stor ekonomisk skada till följd av att hans eller hennes personuppgifter
har behandlats felaktigt - kan det vara skäligt att den som är ansvarig för
107
behandlingen far ersätta åtminstone en viss del av skadan, trots att den fel-
aktiga behandlingen egentligen mte berodde på honom eller henne.
Straff
Enligt den nuvarande datalagen är en lång rad förfaranden och under-
låtenheter straffbelagda.
Såsom framgått av vad som sagts tidigare och i avsnitt 10 är de
huvudsakliga sanktionerna mot de personuppgiftsansvariga som inte
följer den nya lagen skadestånd och vite. All behandling av personupp-
gifter i strid med den nya lagen kan föra med sig skyldighet att till de
drabbade betala skadestånd, inklusive ersättning för kränkning, och kan
dessutom ytterst föranleda ett vitesföreläggande av tillsynsmyndigheten.
Dessa sanktioner för brott mot den nya lagen far anses effektiva och i stort
sett tillräckliga.
Datalagskommittén har i sitt förslag bara tagit med en bestämmelse om
straff för den som uppsåtligen eller av oaktsamhet lämnar osanna uppgif-
ter i information eller anmälan enligt den nya lagen.
Det far också anses ligga i linje med utvecklingen på senare år i
Sverige att avkriminalisera, särskilt när det gäller att fa befolkningen att
följa lagstiftning som i likhet med den nya lagen skall tillämpas i var-
dagslag på många olika håll och kanske också hemma i folks vardagsrum.
Datalagskommitténs förslag har godtagits av de flesta remissin-
stanserna. Riksåklagaren anser t.ex. att förslaget är bra.
Hovrätten över Skåne och Blekinge anser dock att inte bara lämnandet
av osanna uppgifter bör kriminaliseras utan även underlåtenhet att upp-
fylla skyldighet att lämna uppgifter. Underlåtenhet att uppfylla anmäl-
ningsskyldighet bör t.ex., enligt hovrätten, förknippas med sanktion.
Underlåtenhet att på begäran lämna ett s.k. registerutdrag till en
registrerad eller att på begäran lämna Datainspektionen uppgifter om
behandlingen är inte i dag generellt kriminaliserad, och vi kan inte se att
det finns anledning att nu införa ett straffansvar för just detta. Däremot
finns det enligt vår mening skäl att kriminalisera underlåtenhet att göra
anmälan till tillsynsmyndigheten, eftersom det är svårt att stävja sådan
underlåtenhet med andra medel än ett straffhot.
Landsorganisationen i Sverige (LO) anser att det bör finnas straff-
ansvar för den som avsiktligt låter registrera osanna eller felaktiga person-
uppgifter eller som utövar påtryckningar mot den personuppgiftsansvarige
eller personuppgiftsombudet i syfte att på något sätt manipulera person-
uppgifter. Enligt vår mening är det inte nödvändigt att i den nya lagen
straffbelägga detta. Bestämmelserna om skadestånd och vite i kombi-
nation med tillsynsmyndighetens tillsyn får anses tillräckliga för att stävja
och komma till rätta med sådana förfaranden. Otillbörlig påverkan kan i
kvalificerade fall bestraffas enligt de allmänna reglerna i brottsbalken.
Malmö tingsrätt anser att åtminstone behandling av känsliga person-
uppgifter i strid med bestämmelserna i den nya lagen bör straff-
sanktioneras. Vi håller med om detta och föreslår att behandling i strid
med den nya lagen av känsliga personuppgifter och uppgifter om
lagöverträdelser m.m. skall kriminaliseras. Även överföring i strid med
den nya lagen av personuppgifter till tredje land, dvs. en stat utanför EES,
Prop. 1997/98:44
108
bör enligt vår mening kriminaliseras, bl.a. eftersom förfarandet innebär att Prop. 1997/98:44
personuppgifterna i praktiken försvinner utom räckhåll för svenska
skyddsåtgärder
Svenska bankföreningen föreslår att bara sådan oaktsamhet som är
grov bestraffas. Genom att det för straffansvar räcker med oaktsamhet in-
skärps på ett ändamålsenligt sätt vikten av att vara noggrann med de
uppgifter som lämnas och med att följa bl.a. reglerna om när känsliga
personuppgifter får behandlas. Föreningens förslag bör således inte följas.
Datainspektionen föreslår att straffskalan skall innefatta fängelse i
högst två år utan uppdelning i normalbrott och grovt brott, eftersom
preskriptionstiden först då blir tillräckligt lång. Liknande synpunkter förs
fram av Svenska kyrkans församlings- och pastoratsforbund. Även om det
givetvis är oacceptabelt med brott mot de straffsanktionerade bestämmel-
serna, bör det enligt vår mening vara fullt tillräckligt med en straffskala
upp till fängelse i sex månader för brott som inte kan betraktas som grovt
Att höja straffmaximum för lindrigare brott bara för att brottet skall hinna
utredas innan det preskriberas, är inte lämpligt. Saktfardiga utredningar
får i stället mötas med andra åtgärder.
Regeringens förslag: Den nya lagen träder i kraft den 24 oktober
1998. För behandlingar som påbörjats då börjar den nya lagen dock att
tillämpas först den 1 oktober 2001. Detsamma gäller en behandling
som utförs för ett visst bestämt ändamål där behandling för ändamålet
påbörjats vid ikraftträdandet Vissa bestämmelser i den nya lagen
tillämpas emellertid inte på påbörjad manuell behandling av person-
uppgifter förrän den 1 oktober 2007. Dessa bestämmelser tillämpas
inte heller på pågående lagring av personuppgifter för historisk
forskning förrän uppgifterna börjar behandlas på något annat sätt
Ändringen i regeringsformen, som innebär att det blir möjligt för
riksdagen att delegera rätten att meddela föreskrifter om manuell
behandling av personuppgifter, träder i kraft den 1 januari 1999.
Samtidigt ändras delegationsbestämmelsema i den nya lagen i enlighet
med detta.
Datalagskommitténs förslag innebär att den nya lagen träder i kraft
den 1 januari 1999 samtidigt med ändringen i regeringsformen.
Remissinstanserna: Bara några remissinstanser har uttalat sig om
förslaget. Malmö tingsrätt, Länsrätten i Stockholms län, Justitiekanslem,
Domstolsverket och Riksförsäkringsverket uttrycker tveksamhet i frågan
om ikraftträdandet kan och bör senareläggas i förhållande till vad som
gäller enligt direktivet. Riksåklagaren, Datainspektionen och Riksförsäk-
ringsverket föreslår att det införs en möjlighet att i förtid börja tillämpa
den nya lagen på pågående behandlingar.
Skälen för regeringens förslag: Av artikel 32 i EG-direktivet (se
bilaga 1) följer att de författningar som genomför direktivet måste träda i
109
kraft senast den 24 oktober 1998. De behandlingar som påbörjas efter Prop 1997/98:44
ikraftträdandet måste genast uppfylla alla bestämmelser i genomförande-
lagstiftningen Genomförandelagstiftningen behöver inte tillämpas på
sådana behandlingar som påbörjats när lagstiftningen träder i kraft förrän
inom tre år efter ikraftträdandet. Bestämmelserna i artikel 6-8 i EG-
direktivet - dvs. bestämmelser om grundläggande krav på behandling av
personuppgifter och om när sådan behandling är tillåten - behöver inte
tillämpas förrän senast den 24 oktober 2007 på sådana uppgifter som
redan finns i manuella register när genomförandelagstiftningen träder i
kraft. Sverige måste emellertid i sådant fall ge den registrerade rätt att på
begäran - särskilt när han eller hon utövar rätten att fa tillgång till
uppgifterna - få rättelse, utplånande eller blockering av uppgifter som är
ofullständiga, felaktiga eller lagrade på ett sätt som inte är förenligt med
de legitima ändamål som den personuppgiftsansvarige vill uppnå Sverige
får vidare föreskriva att de nyss nämnda bestämmelserna i artikel 6-8 i
EG-direktivet inte behöver tillämpas på uppgifter som bara bevaras för
historisk forskning. I sådant fall måste det i Sverige dock också finnas
lämpliga skyddsåtgärder
Den nya lagen
De bestämmelser i svensk lagstiftning som genomför EG-direktivet måste
finnas senast den 24 oktober 1998 Någon möjlighet att senarelägga
genomförandet i av bestämmelserna finns inte enligt direktivet, däremot
är det möjligt att för vissa behandlingar fördröja tillämpningen av alla
eller vissa av dessa bestämmelser. Den nya lagen måste således träda i
kraft senast den 24 oktober 1998. Vi föreslår att lagen träder i kraft det
datumet.
De möjligheter att för vissa behandlingar fördröja ikraftträdandet av
den nya lagen som EG-direktivet medger bör utnyttjas genom övergångs-
bestämmelser Detta har godtagits av de allra flesta remissinstanserna.
I lagrådsremissen, liksom i kommitténs förslag, angavs att för behand-
ling som pågick vid ikraftträdandet skulle äldre regler tillämpas Enligt
den tolkning som gjordes av bestämmelsen i motiven avsågs även t.ex.
andra typer av behandling av en personuppgift som behandlades vid
ikraftträdandet och insamling av nya uppgifter till ett personregister där
behandling pågick vid ikraftträdandet Lagrådet har i denna fråga hållit
med regeringen om att en strikt tolkning av övergångsbestämmelserna i
direktivet inte bör göras men befarat att den valda ordalydelsen kan tolkas
som att den nya lagen skall tillämpas på behandlingar under förläng-
ningsperioden trots att dessa ingår som ett led i hanteringen av ett
automatiserat personregister som fanns redan vid ikraftträdandet. Lag-
rådet har uttalat att ordalydelsen av bestämmelserna bör ses över. Vi delar
Lagrådets synpunkt Enligt vår mening bör även behandling av nya per-
sonuppgifter kunna omfattas av den nu gällande datalagen om behandling
för ändamålet påbörjats vid ikraftträdandet. I anledning av Lagrådets syn-
punkt har lagtexten förtydligats i enlighet därmed.
Riksåklagaren, Datainspektionen och Riksförsäkringsverket anser att
det bör finnas en möjlighet att i förtid börja tillämpa den nya lagen på
sådana behandlingar som redan påbörjats. Det förefaller i och för sig
ändamålsenligt med en sådan frivillig möjlighet för de person- Prop. 1997/98:44
uppgiftsansvanga att i förtid gå över till att tillämpa den nya lagen för att
bl.a. undvika att behöva tillämpa två lagstiftningar parallellt. En sådan
ordning är emellertid förknippad med svårigheter av såväl praktisk som
principiell art.
Såväl den nya lagen som den nuvarande datalagen innehåller bestäm-
melser om straff och skadestånd, se avsnitt 14. Dessa bestämmelser är
olika i de två lagarna. Det är när det gäller sådana bestämmelser ett
oavvisligt rättssäkerhetskrav att det vid var tid skall gå att objektivt
fastställa vilka sanktionsbestämmelser som är tillämpliga. För att den
föreslagna ordningen med frivillig övergång till den nya lagen skall kunna
genomföras, krävs således att övergången och tidpunkten för denna på
något sätt offentliggörs och dokumenteras. En ambition med den nya
ordningen är emellertid att så långt möjligt begränsa byråkratin med
anmälningar och ansökningar till tillsynsmyndigheten. Därför är det
olämpligt att införa en ordning som innebär att övergångar skall anmälas
till eller beslutas av tillsynsmyndigheten. Någon annan godtagbar ordning
för offentliggörande och dokumentation av övergångar har inte vi - eller
remissinstanserna - lyckats komma på. Förslaget från Datainspektionen
m.fl. kan därför tyvärr inte genomföras.
Vi föreslår i övrigt vissa övergångsbestämmelser av detalj karaktär som
i huvudsak syftar till att en åtgärd som har vidtagits före ikraftträdandet
inte i onödan skall behöva göras om därefter.
Ändringen i regeringsformen och ändringar i den nya lagen
Vi föreslår att den nya lagen skall innehålla vissa bemyndiganden för
regeringen eller den myndighet som regeringen bestämmer att meddela
föreskrifter, se avsnitt 10. Sådana bemyndiganden kan, såsom närmare
utvecklats i avsnitt 10, i dag ges med stöd av 8 kap 7 § första stycket 8
regeringsformen bara såvitt avser ”skydd för personlig integritet vid
registrering av uppgifter med hjälp av automatisk databehandling”, dvs.
såvitt avser automatiserad behandling av personuppgifter. Bemyndigan-
dena i den nya lagen har utformats i enlighet härmed, trots att lagen
omfattar också viss manuell behandling av personuppgifter (se avsnitt
6.1).
Lagrådet har i enlighet med den uppfattning Lagrådet redovisat vad
gäller möjligheten att delegera föreskriftsrätt föreslagit att bemyndigandet
i 8 kap. 7 § 8 upphävs. Till följd av vår uppfattning i denna fråga som
redovisats ovan bör bemyndigandet stå kvar
Såsom också framgår av avsnitt 10 föreslår vi vidare att den nämnda
bestämmelsen i regeringsformen skall justeras så att det blir möjligt att
lämna bemyndiganden även såvitt avser manuell behandling av person-
uppgifter. Ändringen i regeringsformen kan av praktiska och konsti-
tutionella skäl i praktiken inte träda i kraft förrän den 1 januari 1999, dvs.
ett par månader efter det att den nya lagen trätt i kraft Vi föreslår att
ändringen träder i kraft den dagen och att riksdagen sedan grundlags-
ändringen beslutats fattar beslut om att per den 1 januari 1999 ändra
bemyndigandena i den nya lagen till att avse även sådan manuell [ j |
behandling av personuppgifter som omfattas av lagen. På det sättet visas
största möjliga respekt mot såväl den svenska grundlagen som kraven Prop. 1997/98:44
enligt EG-direktivet.
Regeringens förslag: Regeln om viss dokumentationsskyldighet för
myndigheter (14 §) flyttas till 15 kap. sekretesslagen och regeln om
straff för dataintrång (21 §) till brottsbalken.
Datalagskommitténs förslag överensstämmer med regeringens.
Remissinstanserna har i huvudsak lämnat förslaget utan erinran, dock
att Arbetsmarknadsstyrelsen anser att 14 § i den nuvarande datalagen bör
upphävas eller i vart fall flyttas till förvaltningslagen.
Skälen för regeringens forslag: I 14 § i den nuvarande datalagen
finns det en bestämmelse om viss dokumentationsskyldighet för myndig-
heter. Om en myndighet för handläggningen av mål eller ärende använder
sig av upptagning för automatisk databehandling, skall upptagningen
tillföras handlingarna i målet eller ärendet i läsbar form, om inte särskilda
skäl föranleder annat.
I 21 § i den nuvarande datalagen finns det en bestämmelse om straff
för dataintrång. Den som olovligen bereder sig tillgång till upptagning för
automatisk databehandling eller olovligen ändrar eller utplånar eller i
register för in sådan upptagning kan dömas för dataintrång till böter eller
fängelse i högst två år. Detta gäller dock inte om gärningen kan bestraffas
enligt brottsbalken eller lagen (1990:409) om företagshemligheter. Även
försök och förberedelse till dataintrång kan bestraffas. Med upptagning
avses i detta sammanhang även uppgifter som är under befordran via
elektroniskt eller annat liknande hjälpmedel för att användas för auto-
matisk databehandling.
I 26-28 §§ i den nuvarande datalagen ges de grundläggande reglerna
for det statliga person- och adressregistret (SPAR). Frågor som berör
SPAR har också varit föremål för överväganden av den s.k Grunddata-
basutredningen som den 27 oktober 1997 redovisade sitt betänkande
Grunddata - i samhällets tjänst, SOU 1997:146. Frågorna kring SPAR
bör behandlas i ett sammanhang. Regeringen lägger därför nu inte fram
något förslag till ny reglering av SPAR. Frågorna kring SPAR kommer att
behandlas efter det att Grunddatabasutredningens förslag remissbe-
handlats.
De nu aktuella bestämmelserna i 14 och 21 §§ i den nuvarande
datalagen hör inte hemma i den nya generella lagen. De bestämmelserna
bör därför flyttas till annan lagstiftning. Ändringarna bör träda i kraft
samtidigt som den nya lagen
112
Frågan om bestämmelsen i 14 § om viss dokumentationsskyldighet för Prop 1997/98:44
myndigheter bör upphävas eller flyttas och vart den i så fall skall flyttas
har varit föremål för delade meningar, se betänkandena En ny datalag
(SOU 1993:10) s. 468, Elektronisk dokumenthantering (SOU 1996:40) s
264 och SOU 1997:39 s. 460. Vi anser för egen del att den bestämmelsen
utgör en så värdefull upplysning om den grundläggande skyldigheten för
myndigheter att i mål och ärenden dokumentera de databaserade uppgifter
som används som beslutsunderlag att den inte bör upphävas. Enligt vår
mening kan bestämmelsen - i likhet med vad såväl Datalagskommittén
som Datalagsutredningen föreslagit - med fördel tas in i 15 kap. sekre-
tesslagen, som redan innehåller vissa bestämmelser som rör myndigheters
skyldighet att registrera handlingar.
Datalagskommittén har inte lämnat något utarbetat förslag till nya
bestämmelser i brottsbalken om straff för dataintrång. Inom Justitie-
departementet har ett sådant förslag gjorts upp som endast innebär att de
nuvarande bestämmelserna i sak oförändrade förs över till brottsbalken.
Eftersom Datalagskommitténs principförslag har remissbehandlats utan
att möta invändningar och då det lagtekniska genomförandet av förslaget
är av enkel beskaffenhet, har vi ansett oss kunna - utan remissbehandling
av de konkreta lagförslagen - lämna förslag till en lag om ändring i
brottsbalken. Ett konkret förslag till överföring av bestämmelsen om straff
för dataintrång till brottsbalken har för övrigt lämnats i Datastraff-
rättsutredningens betänkande Information och den nya informations-
teknologin - straff och processrättsliga frågor m m (SOU 1992:110), som
har remissbehandlats. Förslagen i det betänkandet, som syftar till en mer
genomgripande reform, bereds för närvarande inom Justitiedepartementet
Datalagsutredningen har också i fråga om överföringen av bestäm-
melserna om straff för dataintrång i remissbehandlade betänkanden läm-
nat samma principförslag som Datalagskommittén.
I författningskommentaren berörs vissa konkurrensfrågor med anled-
ning av att bestämmelsen om straff för dataintrång flyttas till brottsbalken
Regeringens förslag: Med anledning av att den nuvarande datalagen
ersätts av den nya lagen görs det vissa följdändringar i sekretesslagen.
Datalagskommitténs förslag överensstämmer delvis med regeringens
Remissinstanserna: Förslagen till följdändringar har i huvudsak
lämnats utan erinran av remissinstanserna.
Skälen för regeringens förslag: Eftersom den nuvarande datalagen
ersätts av den nya lagen, måste det göras följdändringar i annan lagstift-
ning som hänvisar till datalagen. Följdändringarna, som i huvudsak är
formella, berörs i författningskommentaren. Följdändringarna bör träda i
kraft samtidigt som den nya lagen
113
8 Riksdagen 1997/98. 1 saml. Nr 44
17
Regeringens förslag i detta ärende innebär ett genomförande av EG:s
dataskyddsdirektiv. I kostnadshänseende kan förslaget delas upp i två
delar. För det första stadgar nämnda direktiv att en registrerad har rätt till
viss information samt att beslut, vilka är avsedda att bedöma egenskaper
hos den berörda personen, får grundas endast på automatiserad behand-
ling av personuppgifter, bara om den som berörs av beslutet har möjlighet
att på begäran få beslutet omprövat av någon person. För det andra
påverkas Datainspektionens finansiering. Datainspektionen kommer
enligt förslaget inte längre att uppbära de licensavgifter som i dag står för
ca 90 procent av inspektionens intäkter
När det först gäller de personuppgiftsansvarigas kostnader för infor-
mation m.m. är det flera faktorer som påverkar dessa. En faktor är om det
rör behandling av uppgifter enligt den gamla datalagen eller om behand-
lingen regleras av den nya personuppgiftslagen Den nya person-
uppgiftslagen föreslås - mot bakgrund av kravet i EG-direktivet - träda i
kraft den 24 oktober 1998. För all den behandling som pågår för
närvarande hos myndigheter, kommuner, landsting, företag etc, behöver
den nya lagen inte tillämpas förrän efter utgången av september månad år
2001. Det innebär att den eventuella ökning av informationskostnadema
m.m. som den nya personuppgifislagen i förhållande till den nuvarande
datalagen kan medföra, kommer att för sådana register som nu finns slå
igenom först efter september 2001.
Regeringen kommer att i arbetet med att komplettera den nya person-
uppgiftslagen med aviserade förordningar, försöka utarbeta så enkla och
klara regler som möjligt att eventuella kostnader hålls på en så låg nivå
som möjligt Ett exempel skulle kunna vara att vid utskick från myn-
digheter som görs i annat syfte, t.ex. skattemyndighetens utskick av
deklarationsuppgifter komplettera den blanketten med en informationsruta
som uppfyller den nya lagens krav.
När det gäller register som inrättas efter den 24 oktober 1998 kommer
dessa register att från den tidpunkten omfattas av de nya informa-
tionsreglema m.m. Vilka register det kan bli frågan om är omöjligt för
regeringen att nu förutse. Härtill kommer att det är regeringens bestämda
uppfattning när det gäller nya behandlingar, att den rationaliseringseffekt
som motiverar användandet av automatiserad behandling i sig leder till en
mer kostnadseffektiv hantering.
Vad gäller finansieringen av Datainspektionens verksamhet är re-
geringens uppfattning att kostader för statlig tillsyn i princip bör belasta
de som orsakar att tillsynsverksamheten behövs. Regeringen har därför
gett Datainspektionen i uppdrag att föreslå ett avgiftsfinansieringssystem.
Regeringen avser att ta ställning till finansieringsfrågan i 1998 år ekono-
miska vårproposition. Övriga frågor som rör Datainspektionens framtida
verksamhet med anledning av Personuppgiftslagen kommer att behandlas
i Budgetpropositionen för 1999.
Enligt regeringens mening finns det inte nu grund för att anta att de
föreslagna ändringarna kommer att leda till ökade utgifter av sådan
omfattning att de inte kan finansieras inom ramen för befintliga medel
Prop. 1997/98:44
114
Regeringen har för avsikt att följa tillämpningen och effekterna av lag-
stiftningen för att fa underlag för att bedöma eventuella kostnads-
konsekvenser för kommuner och landsting som faller under finan-
sieringsprincipen.
Frågan om lagens namn har behandlats i avsnitt 7 i den allmänna
motiveringen.
Allmänna bestämmelser
Syftet med lagen
1 § Syftet med denna lag är att skydda människor mot att deras personliga
integritet kränks genornbehandling av personuppgifter.
Paragrafen innehåller en upplysning om syftet med lagen och överens-
stämmer i huvudsak med Datalagskommitténs förslag.
Rikspolisstyrelsen har föreslagit att syftet enligt EG-direktivet att åstad-
komma ett fritt flöde av personuppgifter mellan medlemsstaterna i Euro-
peiska unionen också bör komma till uttryck i lagtexten. Detta syfte upp-
fylls emellertid just genom att medlemsstaterna genomför en åtminstone
delvis harmoniserad lagstiftning till skydd mot kränkning av personlig
integritet genom behandling av personuppgifter. Bestämmelsen har därför
inte kompletterats i enlighet med vad Rikspolisstyrelsen föreslagit
Avvikande bestämmelser i annan författning
2 § Om det i en annan lag eller i en förordning finns bestämmelser som
avviker från denna lag, skäl de bestämmelserna gäla.
Av paragrafen framgår att personuppgifislagen är subsidiär i förhållande
till andra författningar. Paragrafen har behandlats i avsnitt 6.2. Paragrafen
överensstämmer i huvudsak med Datalagskommitténs förslag och har
berörts i avsnitt 8.2.2 i kommitténs betänkande.
Finns det bestämmelser i en annan lag eller i en förordning som
avviker från personuppgifislagen, skäl de bestämmelserna tillämpas i
stälet. Beslut som riksdagen eller regeringen fattat i annan form än lag
eller förordning och föreskrifter som myndigheter har utfärdat tar däemot
inte över bestämmelserna i personuppgifislagen.
I den utsträckning en lag eller förordning med avvikande bestämmelser
inte innehäler bestämmelser om sådant som regleras i personuppgifts-
lagen, skäl personuppgiftslagens bestämmelser tillämpas. Frågan om en
Prop. 1997/98:44
115
viss bestämmelse innefattar en avvikelse från vad som skall gälla enligt Prop. 1997/98:44
personuppgiftslagen får avgöras med tillämpning av sedvanliga metoder
för tolkning av författningar.
Sådana avvikande bestämmelser som avses i paragrafen finns ofta i s.k.
registerförfattningar som reglerar inrättandet och förandet av viktigare
register på det offentliga området. Även bestämmelser som föreskriver att
myndigheter eller enskilda far eller skall lämna ut uppgifter avses i
paragrafen. Sådana bestämmelser om s.k. uppgiftsskyldighet går således
före bestämmelserna i personuppgifislagen. I 8 § första stycket finns det
en uttrycklig erinran om att bestämmelserna i 2 kap. tryckfrihetsförord-
ningen tar över bestämmelser i personuppgifislagen, och i 7 § första
stycket finns det en motsvarande erinran beträffande bestämmelserna om
tryck- och yttrandefrihet i tryckfrihetsförordningen och yttrandefrihets-
grundlagen
Definitioner
3 § I denna lag används följande beteckningar med nedan angiven bety-
delse.
Beteckning ___________Betydelse___________________________________
Behandling (av person-
uppgifter)
Blockering (av person
uppgifter)
Mottagare
Personuppgifter
Personuppgiftsansvarig
Personuppgiftsbiträde
Personuppgiftsombud
Den registrerade
Samtycke
Tillsynsmyndigheten
Tredje land
Varje åtgärd eller sene av åtgärder som vidtas i
fråga om personuppgifter, vare sig det sker på
automatisk väg eller inte, t ex insamling,
registrering, organisering, lagring, bearbetning
eller ändring, återvinning, inhämtande an-
vändning, utlämnande genom översändånde,
spridning eller annat tillhandahållande av upp-
gifter, sammanställning eller samköming,
blockering, utplåning eller förstöring
En åtgärdsom vidtas för att personuppgifterna
skall vara förknippade med information om att
de är spärrade ocn om anledningen till spärren
och för att personuppgifterna inte skall lamnas
ut till tredje man annat än med stöd av 2 kap
tryckfrihetsförordningen.
Den till vilken personuppgifter lämnas ut När
personuppgifter lämnas ut för att en myndighet
skall kunna utföra sådan tillsyn, kontroll eller
revision som den är skyldig att sköta, anses
dock inte myndigheten som mottagare.
All slags information som direkt eller indirekt
kan hänföras till en fysisk person som är i
livet.
Den som ensam eller tillsammans med andra
bestämmer ändamålen med och medlen för
behandlingen av personuppgifter.
Den som behandlar personuppgifter för den
personuppgiftsansvariges räkning
Den fysiska person som, efter förordnande av
den personuppgiftsansvarige självständigt
skall se till att personuppgifter behandlas på ett
korrekt och lagligt sätt.
Den som en personuppgift avser
Varje slag av frivillig, särskild och otvetydig
viljeyttring genom vilken den registrerade,
efter att ha fatt information godtar behandling
av personuppgifter som rör honom eller henne
Den myndighet som regeringen utser för att
utöva tillsyn.
En stat som inte ingår i Europeiska unionen
eller är ansluten till Europeiska ekonomiska
sam arbetsområdet.
116
Beteckning
1 redje man
Någon annan än den registrerade, den person-
uppgiftsansvarige, personuppgiftsombudet,
personuppgiftsbiträdet och sadana personer
som under den personuppgiftsansvariges eller
personuppgiftsbiträdets direkta ansvar har
oefogennet att behandla personuppgifter.
Paragrafen innehåller definitioner av viktigare uttryck och begrepp som
används i lagen. Den har jämkats något i förhållande till Datalags-
kommitténs förslag. Definitionerna har berörts i avsnitt 12.2 i kommitténs
betänkande.
Definitionerna av behandling (avpersonuppgifter), mottagare, person-
uppgifter, personuppgtftsansvarig, personuppgiftsbiträde, den registre-
rade och tredje man är avsedda att ha samma innebörd som motsvarande
uttryck har enligt artikel 2 i EG-direktivet, se bilaga 1 Definitionen av
den registrerade innebär att behandling av uppgifter om avlidna eller ännu
inte födda personer inte omfattas av lagen Definitionen av samtycke skall
ha samma innebörd som definitionen i artikel 2 i direktivet, med tillägget
att det direkt i definitionen tas in ett krav på att samtycket skall vara
otvetydigt, vilket framgår av andra artiklar i direktivet I de fall där
samtycket dessutom enligt direktivet skall vara uttryckligt anges detta
direkt i lagtexten Begreppen ”otvetydig” och ”uttrycklig” har en EG-
gemensam innebörd. Vissa av beteckningarna har behandlats i avsnitt 7
I 38-40 §§ finns det närmare bestämmelser om de uppgifter som ett
personuppgiftsombud skall ha
Av definitionen av blockering (av personuppgifter) framgår att
blockerade personuppgifter får användas internt hos den personupp-
giftsansvarige och hos ett anlitat personuppgiftsbiträde under förutsättning
att det där uppgifterna förekommer framgår att de är spärrade och
anledningen till spärren Däremot får uppgifterna inte lämnas ut till tredje
man, varvid ett uttrycklig undantag gjorts för sådant utlämnande som sker
med stöd av 2 kap. tryckfrihetsförordningen. Det undantaget har berörts i
avsnitt 8.1. Av det förhållandet att den registrerade själv inte omfattas av
definitionen av tredje man följer att även blockerade uppgifter jämte
information om blockeringen skall tas med i sådan information som efter
ansökan skall lämnas till den registrerade enligt 26 §. Det är upp till den
personuppgiftsansvarige att bestämma hur det tekniskt skall ses till att de
blockerade uppgifterna är förknippade med information om blockeringen
Beträffande definitionen av tredje land kan noteras att EES-kommittén
ännu inte fattat beslut om att direktivet skall omfattas av EES-avtalet Vi
förutsätter dock att ett sådant beslut fattas I praktiken innebär det ingen
större skillnad att inbegripa EES-länderna då definitionen främst har be-
tydelse när det gäller överföring av personuppgifter till andra länder och
då Norge och Island har anslutit sig till Europarådets dataskydds-
konvention. Enligt vårt förslag skall nämligen personuppgifter alltid få
överföras till sådana länder trots det allmänna förbudet i 33 §.
117
Tillämpningsområde
Prop. 1997/98:44
Det territoriella tillämpningsområdet
4| Denna lag gäller för sådana personuppgiftsansvariga som är etable-
3 Lagen tifiämpas också när den personuppgiftsansvarige är etablerad i
tredje land men för behandlingen av personuppgifter använder sig av
utrustning som finns i Sverige Vad som nu sagts gäller dock inte om
utrustningen bara används för att överföra uppgifter mellan ett tredje land
och ett annat sådant land.
I det fall som avses i andra stycket första meningen skall den person-
uppgiftsansvarige utse en företrädare för sig som är etablerad i Sverigeo.
Vaa som anges i denna lag om den personuppgiftsansvarige skall också
gälla för företrädaren
Paragrafen har behandlats i avsnitt 9. Den överensstämmer med Datalags-
kommitténs förslag, dock att en av kommittén föreslagen bestämmelse om
skyldighet att till tillsynsmyndigheten lämna in en anmälan om en utsedd
företrädare inte tagits med. Paragrafen har berörts i avsnitt 12.3 i kom-
mitténs betänkande.
Avsikten är att paragrafen skall ha samma innebörd som artikel 4 i EG-
direktivet, se bilaga 1
Behandling av personuppgifter som omfattas av lagen
5 § Denna lag gäller för sådan behandling av personuppgifter som helt
eller delvis är automatiserad.
Lagen gäller även för annan behandling av personuppgifter, om upp-
gifterna ingår i eller är avsedda att ingå i en strukturerad samling av
personuppgifter som är tillgängliga för sökning eller sammanställning
enligt särskilda kriterier.
Frågan om en teknikoberoende lag har behandlats i avsnitt 6.1. Paragrafen
överensstämmer i sak med Datalagskommitténs förslag och har berörts i
avsnitt 7.2.1, 12.2.8 och 12.2.12 i kommitténs betänkande. Begreppet
”automatiserad” som har valts på förslag av Lagrådet kommenteras i
avsnitt 6.1.
Paragrafen är avsedd att ha samma innebörd som artikel 3.1 och
definitionen av register i artikel 2 c i EG-direktivet, se bilaga 1
Undantag för privat behandling av personuppgifter
6 § Denna lag gäller inte för sådan behandling av personuppgifter som en
fysisk person utför som ett led i en verksamhet av rent privat natur.
Paragrafen har behandlats i avsnitt 8 3. Den överensstämmer med Data-
lagskommitténs förslag och har berörts i avsnitt 7.2.4 i kommitténs
betänkande
Avsikten är att paragrafen skall ha samma innebörd som artikel 3 2
andra strecksatsen i EG-direktivet, se bilaga 1. Paragrafen för med sig
t.ex. att enskilda för rent privat bruk kan föra en elektronisk dagbok eller
registrera sina grannar eller släktingar
118
Förhållandet till tryck-och yttrandefriheten Prop 1997/98:44
7 § Bestämmelserna i denna lag tillämpas inte i den utsträckning det
skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryck-
frihetsförordningen eller yttrandefnhetsgrundlagen
Bestämmelserna i 9-29 och 33-44 §5 samt 45 § första stycket och 47 -
49 §§ skall inte tillämpas på sådan behandling av personuppgifter som
sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt
skapande.
Frågan om undantag med hänsyn till tryck- och yttrandefriheten har be-
handlats i avsnitt 8.2. Paragrafen överensstämmer delvis med Datalags-
kommitténs förslag. Paragrafen har berörts i avsnitt 10 i kommitténs
betänkande.
Första stycket innehåller, i syfte att förtydliga, en upplysning om att
bestämmelserna i lagen inte får tillämpas i den utsträckning det skulle
strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihets-
förordningen (TF) eller yttrandefnhetsgrundlagen (YGL). Tillämpningen
av av bestämmelserna i TF och YGL skall ske i enlighet med de principer
som gäller i dag.
Genom andra stycket undantas vissa behandlingar helt från de flesta
bestämmelserna i lagen Bestämmelserna om säkerhetsåtgärder skall dock
tillämpas också på dessa behandlingar.
Andra stycket skall ha samma innebörd som artikel 9 i EG-direktivet,
se bilaga 1. Här kan nämnas att Sverige i samband med att direktivet an-
togs i ministerrådets protokoll fått intaget att Sverige anser att begreppet
konstnärliga och litterära uttryck mera syftar på uttrycksmedlen än kom-
munikationens innehåll eller dess kvalitet.
En invändning om att en behandling av personuppgifter avser sådant
som är undantaget enligt denna paragraf får godtas, om det inte av
omständigheterna framgår att invändningen är så osannolik att den kan
lämnas utan avseende.
Förhållandet till offentlighetsprincipen
8 § Bestämmelserna i denna lag tillämpas inte i den utsträckning det
skulle inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsför-
ordningen att lämna ut personuppgifter.
Bestämmelserna hindrar inte heller att en myndighet arkiverar och be-
varar allmänna handlingar eller att arkivmaterial tas om hand av en arkiv-
myndighet. Bestämmelsen i 9 § fjärde stycket gäller inte för en myndig-
hets användning av personuppgifter i allmänna handlingar.
Frågan om hur EG-direktivet förhåller sig till offentlighetsprincipen har
behandlats i avsnitt 8.1. Paragrafen överensstämmer i huvudsak med
Datalagskommitténs förslag och har berörts i avsnitt 9.2, 9.4 och 12.4.6.3
i kommitténs betänkande.
Första stycket innehåller i syfte att förtydliga en upplysning om att
lagen inte tillämpas om det skulle strida mot en myndighets skyldigheter
enligt 2 kap. tryckfrihetsförordningen (TF).
Andra stycket rör det bevarande av allmänna handlingar som utgör en
förutsättning för att offentlighetsprincipen i 2 kap TF skall kunna upp-
fylla sma syften. För tillämpningen av stycket förutsätts inte i och för sig
att bevarandet är föreskrivet i författning. Det räcker att det är fråga om
119
allmänna handlingar. Även bevarande av sådana handlingar som enligt Prop 1997/98:44
2 kap. 9 § TF blir allmänna först sedan de tagits om hand för arkivering
omfattas.
Sista meningen i andra stycket innebär att myndigheter trots bestäm-
melserna i 9 § fjärde stycket får använda information i allmänna hand-
lingar för att vidta åtgärder beträffande enskilda. Övriga bestämmelser i
lagen skall däremot följas när en myndighet på detta sätt återanvänder
personuppgifter, t.ex. bestämmelsen i 9 § första stycket d om att person-
uppgifter inte får behandlas för något ändamål som är oförenligt med det
för vilket uppgifterna samlades in. Enligt Datalagskommitténs förslag
skulle det genom ändring i arkivlagen (1990:782) införas en ordning som
innebar att handlingar och databaser som innehåller allmänna uppgifter
omedelbart skulle anses tillhöra myndighetens arkiv (kommitténs
betänkande s. 662), och i enlighet härmed föreslogs att det nu aktuella
undantaget skulle omfatta ”personuppgifter i en myndighets arkiv”.
Eftersom förslaget till ändringar i arkivlagen inte nu genomförs, har
undantaget omformulerats till att avse en myndighets användning av
personuppgifter i allmänna handlingar
Grundläggande krav på behandlingen av personuppgifter
9 § Den personuppgiftsansvarige skall se till att
a) personuppgifter behandlas bara om det är lagligt,
b) personuppgifter alltid behandlas på ett korrekt sätt och i enlighet med
god sed,
c) personuppgifter samlas in bara för särskilda, uttryckligt angivna och
berättigade ändamål,
d) personuppgifter inte behandlas för något ändamål som är oförenligt
med det för vilket uppgifterna samlades in,
e) de personuppgifter som behandlas är adekvata och relevanta i för-
hållande till ändamålen med behandlingen,
f) inte fler personuppgifter behandlas än som är nödvändigt med hänsyn
till ändamålen med behandlingen,
g) de personuppgifter som behandlas är riktiga och, om det är nödvändigt,
aktuella,
h) alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana
personuppgifter som är felaktiga eller ofullständiga med hänsyn till
ändamålen med behandlingen, och
i) personuppgifter inte bevaras under en längre tid än vad som är nöd-
vändigt med hänsyn till ändamålen med behandlingen
I fråga om första stycket d gäller dock att en behandling av person-
uppgifter för historiska, statistiska eller vetenskapliga ändamål inte skall
anses som oförenlig med de ändamål för vilka uppgifterna samlades in.
Personuppgifter får bevaras för historiska, statistiska eller ve-
tenskapliga ändamåj under längre tid än som sagts i första stycket i
Personuppgifterna får dock i sådana fall inte bevaras under en längre tid
än vad som behövs för dessa ändamål
Personuppgifter som behandlas för historiska, statistiska eller
vetenskapliga ändamål får användas för att vidta åtgärder i fråga om den
registrerade bara om den registrerade har lämnat sitt samtycke eller det
finns synnerliga skäl med hänsyn till den registrerades vitala intressen.
I paragrafen läggs det fast vissa grundläggande krav på den person-
uppgiftsansvariges behandling av personuppgifter. De grundläggande
kraven på behandlingen av personuppgifter har behandlats i avsnitt 112.
Paragrafen överensstämmer i huvudsak med Datalagskommitténs förslag
och har berörts i avsnitt 11 6.5 och 12.4 i kommitténs betänkande.
120
Första, andra och tredje styckena har samma innebörd som artikel 6 i Prop. 1997/98:44
EG-direktivet, se bilaga 1. På förslag av Lagrådet har i första stycket b
lagts till vad som i lagrådsremissen framgick av skadeståndsbestämmelsen
i 48 §, nämligen att personuppgifter skall behandlas i enlighet med god
sed
Fjärde stycket innehåller bestämmelser om sådana lämpliga skydds-
åtgärder vid behandling av personuppgifter för historiska, statistiska eller
vetenskapliga ändamål som avses i den nyss nämnda artikeln och i artikel
8.4. Bestämmelsen gäller inte för en myndighets användning av person-
uppgifter i allmänna handlingar, se 8 § andra stycket. En och samma
personuppgift kan samtidigt behandlas för flera olika ändamål, varav
något kan vara sådant som avses i tredje och fjärde styckena I sådant fall
får personuppgifter som behandlas för administrativa ändamål som har
med en viss verksamhet att göra, trots bestämmelsen i fjärde stycket,
behandlas för att i enlighet med dessa ändamål vidta åtgärder beträffande
de registrerade, även om samma uppgifter samtidigt behandlas för att
framställa statistik. Behandling av personuppgifter för statistiska och
vetenskapliga ändamål kan ge värdefull kunskap om generella
sammanhang. Användandet av sådan kunskap för att vidta åtgärder mot
individer omfattas inte av bestämmelsen.
Det är vid tvist den personuppgiftsansvarige som har bevisbördan för
att den registrerade lämnat sitt samtycke till att uppgifterna används för att
vidta åtgärder Har den registrerade muntligen eller skriftligen återkallat
ett lämnat samtycke, får uppgifterna därefter mte användas för att vidta
åtgärder. Om det finns synnerliga skäl med hänsyn till den registrerades
vitala intressen, får dock uppgifterna alltid användas för att vidta åtgärder.
Ett exempel är det fallet att en forskare som undersöker ett misstänkt
samband mellan intag av en medicin och någon allvarlig sjukdom upp-
täcker att det faktiskt finns ett sådant samband och därför använder regis-
teruppgifter för att varna de registrerade som har fått sådan medicin så att
de kan låta undersöka sig och få behandling. Ett annat exempel är när ett
statistikregister används för att varna de som har köpt en apparat som
visar sig ha ett allvarligt fel. Det är vid tvist den personuppgiftsansvarige
som har att visa att det finns sådana omständigheter som utgör synnerliga
skäl.
Enligt 50 § b får regeringen eller den myndighet som regeringen
bestämmer meddela närmare föreskrifter om vilka krav som ställs på den
personuppgiftsansvarige vid behandling av personuppgifter
När behandling av personuppgifter är tillåten
Frågan om när behandling av personuppgifter är tillåten har behandlats i
avsnitt 11.3.
Enligt 50 § a får regeringen eller den myndighet som regeringen
bestämmer meddela närmare föreskrifter om i vilka fall behandling av
personuppgifter är tillåten.
10 § Personuppgifter får behandlas bara om den registrerade har lämnat
sitt samtycke till behandlingen eller om behandlingen är nödvändig för att
a) ett avtal med den registrerade skall kunna fullgöras eller åtgärder som 121
den registrerade begärt skall kunna vidtas innan ett avtal träffas,
b) den personuppgiftsansvarige skall kunna fullgöra en rättslig skyldighet,
c) vitala intressen för den registrerade skall kunna skyddas,
d) en arbetsuppgift av allmänt intresse skall kunna utföras,
e) den personuppgiftsansvarige eller en tredje man till vilken person-
uppgifter lämnas ut skall kunna utföra en arbetsuppgift i samband med
myndighetsutövning, eller
f) ett ändamål som rör ett berättigat intresse hos den personuppgiftsansva-
rige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut
skall kunna tillgodoses, om detta intresse väger tyngre än den
registrerades intresse av skydd mot kränkning av den personliga
integriteten.
I paragrafen finns det en uttömmande uppräkning av i vilka fall person-
uppgifter far behandlas. Om känsliga personuppgifter, uppgifter om
lagöverträdelser m.m. eller personnummer skall behandlas, måste behand-
lingen dessutom vara tillåten i enlighet med 13-22 §§. I 12 § andra
stycket regleras den situationen att den registrerade återkallar ett redan
lämnat samtycke.
Paragrafen överensstämmer i huvudsak med Datalagskommitténs för-
slag och har berörts i avsnitt 12.5.1 och 11.6.4 i kommitténs betänkande.
Paragrafen är avsedd att ha samma innebörd som artikel 7 i EG-
direktivet, se bilaga 1.
Punkten a har utformats mot bakgrund av den engelska, franska och
tyska versionen av EG-direktivet; i den svenska versionen talas däremot
om ”ett sådant avtal” (i vilket den registrerade är part).
Direkt marknadsföring
118 Personuppgifter får inte behandlas för ändamål som rör direkt mark-
nadsföring, om aen registrerade hos den personuppgiftsansvarige skriftli-
gen har anmält att han eller hon motsätter sig sådan behandling.
Paragrafen reglerar den registrerades rätt att motsätta sig behandling för
direkt marknadsföring. Paragrafen överensstämmer med Datalagskom-
mitténs förslag och har berörts i avsnitt 12.5.2.3 i kommitténs betänkande.
Uttrycket ”behandlas för ändamål som rör direkt marknadsföring” är
avsett att ha samma innebörd som enligt artikel 14 första stycket b i EG-
direktivet, se bilaga 1.
Paragrafen medger inte att den personuppgiftsansvarige eller någon
annan tar ut någon avgift eller liknande av den registrerade. Den
registrerade kan således utan kostnad utöva sin rätt att motsätta sig att
hans eller hennes personuppgifter behandlas för ändamål som rör direkt
marknadsföring. Däremot finns det inte heller någon reglering som med-
för att den registrerade kan få ersättning för utlägg för t.ex. portokost-
naden för att sända in anmälan.
Skriftlighetskravet innebär att anmälan måste vara uttryckt i text, men
texten kan finnas på papper lika väl som i elektronisk form. Anmälan kan
således göras via elektronisk post. Frågan om en insänd text är en sådan
anmälan som avses i paragrafen får avgöras enligt sedvanliga regler om
tolkning av ensidiga rättshandlingar
Enligt 50 § d får regeringen eller den myndighet som regeringen
bestämmer meddela närmare föreskrifter om innehållet i en anmälan till
en personuppgiftsansvarig
Prop. 1997/98:44
122
Anmälan skall riktas till den personuppgiftsansvarige. Sedan anmälan Prop 1997/98:44
kommit in till den personuppgiftsansvarige, far denne mte längre be-
handla personuppgifter om anmälaren för ändamål som rör direkt
marknadsföring. Det gäller även om anmälaren tidigare gett sitt samtycke
till sådan behandling. Skulle den som gjort en anmälan senare lämna sitt
samtycke till behandling för ändamål som rör direkt marknadsföring, får
anmälan i motsvarande utsträckning anses återkallad och utan verkan.
Bestämmelserna i 10 § förvaltningslagen (1986:228), 44 § förvaltnings-
processlagen (1971:291) och 33 kap. 3 § rättegångsbalken kan vara till
ledning vid avgörande av frågan om när en anmälan skall anses ha gjorts.
Det är vid tvist den registrerade som har bevisbördan för att en
anmälan gjorts och tidpunkten för denna.
För att behandling av personuppgifter för ändamål som rör direkt
marknadsföring skall få ske krävs, förutom att den registrerade inte har
motsatt sig det i enlighet med denna paragraf, att behandlingen är tillåten i
enlighet med 10 §, företrädesvis punkten g, och, i förekommande fall, 13-
22 §§.
Samtycke återkallas
12 § I de fall då behandling av personuppgifter bara är tillåten när den
registrerade har lämnat sitt samtycke enligt 10, 15 eller 34 § har den re-
gistrerade rätt att när som helst aterkalla ett lämnat samtycke. Ytterligare
personuppgifter om den registrerade får därefter inte behandlas.
En registrerad har utöver vad som följer av första stycket och 11 § inte
rätt att motsätta sig sådan behandling av personuppgifter som är tillåten
enligt denna lag.
Paragrafen reglerar vad som gäller när den registrerade återkallar ett redan
lämnat samtycke till behandling av personuppgifter och i vilka fall den
registrerade i övrigt skall ha rätt att motsätta sig sådan behandling.
Paragrafen överensstämmer med Datalagskommitténs förslag och har
berörts i avsnitt 12.5.2.2 och 11.6.6 i kommitténs betänkande.
Sådan återkallelse som avses i första stycket kan avges muntligen eller
skriftligen till den personuppgiftsansvarige eller någon som på laglig
grund företräder denne, t.ex. det personuppgiftsbiträde som för den per-
sonuppgiftsansvariges räkning tagit emot samtycket. Det är vid tvist den
registrerade som har bevisbördan för att en återkallelse gjorts och
tidpunkten för denna. Frågan om ett meddelande från den registrerade är
en sådan återkallelse som avses i paragrafen får avgöras enligt sedvanliga
regler om tolkning av ensidiga rättshandlingar.
Sedan den personuppgiftsansvarige mottagit den registrerades åter-
kallelse, får några ytterligare uppgifter om den registrerade inte samlas in
eller annars behandlas. Behandlingen av redan insamlade uppgifter får
trots återkallelsen fortsätta i enlighet med det ursprungligen lämnade sam-
tycket, men uppgifterna får således inte t.ex. uppdateras eller
kompletteras.
I andra stycket slås det - mot bakgrund av artikel 14 första stycket a i
EG-direktivet, se bilaga 1 - fast att den registrerade i andra fall än som
avses i första stycket i denna paragraf och 11 § får lov att stå ut med sådan
behandling som är tillåten enligt lagen, t.ex. sådan behandling som är
nödvändig för att utföra en arbetsuppgift av allmänt intresse. Den
registrerade kan alltså inte med rättslig verkan motsätta sig behandlingen, Prop 1997/98:44
men lagen hindrar givetvis inte att den personuppgiftsansvarige ändå
respekterar den registrerades vilja och frivilligt slutar med att behandla
dennes personuppgifter.
Förbud mot behandling av känsliga personuppgifter
13 § Det är förbjudet att behandla personuppgifter som avslöjar
ajras eller etniskt ursprung,
bj politiska åsikter,
cj religiös eller filosofisk övertygelse, eller
djmedlemskap i fackförening
Det är också förbjudet att behandla sådana personuppgifter som rör
hälsa eller sexualliv.
Uppgifter av den art som anges i första och andra styckena betecknas i
denna lag som känsliga personuppgifter
Paragrafen innehåller ett principiellt förbud mot att behandla vad som
enligt paragrafen är att beteckna som känsliga personuppgifter I 14-
20 §§ finns det bestämmelser som för med sig att sådana personuppgifter
i vissa fall ändå får behandlas.
Behandling av känsliga personuppgifter har behandlats i avsnitt 11.4.1.
Paragrafen överensstämmer med Datalagskommitténs förslag och har
berörts i avsnitt 12.5.3.2 i kommitténs betänkande.
Första och andra styckena skall ha samma innebörd som artikel 8.1 i
EG-direktivet, se bilaga 1.
Undantag från förbudet mot behandling av känsliga personuppgifter
14 § Det är trots förbudet i 13 § tillåtet att behandla känsliga person-
uppgifter i de fall som anges i 15-19 §§.
110 § finns det bestämmelser om i vilka fall behandling av personupp-
gifter över huvud taget är tillåten
Paragrafen innehåller i första stycket en upplysning om att det trots det
principiella förbudet i 13 § är tillåtet att behandla personuppgifter i de fall
som anges i 15-19 §§.
I andra stycket finns det en erinran om att även i de fall som anges i
15-19 §§ måste behandlingen vara tillåten enligt 10 §. Behandling av
känsliga personuppgifter har behandlats i avsnitt 114. Paragrafen
överensstämmer i huvudsak med Datalagskommitténs förslag
Enligt 50 § a får regeringen eller den myndighet som regeringen be-
stämmer meddela närmare föreskrifter om i vilka fall behandling av
personuppgifter är tillåten enligt 15-19 §§.
Samtycke eller offentliggörande
15 § Känsliga personuppgifter får behandlas, om den registrerade har
lämnat sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt
offentliggjort uppgifterna.
Behandling av känsliga personuppgifter har behandlats i avsnitt 11.4.
Paragrafen överensstämmer i huvudsak med Datalagskommitténs förslag
och har berörts i avsnitt 12.5.3.3 i kommitténs betänkande
124
I 12 § andra stycket regleras den situationen att den registrerade Prop. 1997/98:44
återkallar ett redan lämnat samtycke.
Paragrafen skall ha samma innebörd som EG-direktivets artikel 8.2
punkt a och första ledet i punkt e, se bilaga 1.
Nödvändig behandling
16 § Känsliga personuppgifter får behandlas om behandlingen är nödvän-
dig för att
a) den personuppgiftsansvarige skall kunna fullgöra sina skyldigheter
eller utöva sina rättigheter inom arbetsrätten,
b) den registrerades eller någon annans vitala intressen skall kunna
skyddas och den registrerade inte kan lämna sitt samtycke, eller
c) rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras
Uppgifter som behandlas med stöd av första stycket a får lämnas ut till
tredje man bara om det inom arbetsrätten finns en skyldighet för den
personuppgiftsansvarige att göra det eller den registrerade uttryckligen har
samtyckt till utlämnandet
Behandling av känsliga personuppgifter har behandlats i avsnitt 11.4.
Paragrafen överensstämmer med Datalagskommitténs förslag och har
berörts i avsnitt 12.5.3.3 i kommitténs betänkande.
Första stycket skall ha samma innebörd som EG-direktivets artikel 8.2
punkt b och c samt andra ledet i punkt e, se bilaga 1 Punkten a i första
stycket i paragrafen är vidare en sådan bestämmelse som - i enlighet med
artikel 8.2 punkt b i direktivet - tillåter behandling. Datalagskommittén
har som ett exempel på när det är nödvändigt att behandla känsliga
uppgifter för att rättsliga anspråk skall kunna fastställas, göras gällande
eller försvaras nämnt behandling av personuppgifter om medlemskap i
fackförening som behövs till följd av att fackliga organisationer avtalar
om individuella eller kollektiva förmåner eller tjänster för sina med-
lemmar, t.ex. gruppförsäkring
Andra stycket innehåller bestämmelser om sådana lämpliga skydds-
åtgärder som avses i artikel 8.2 punkt b i direktivet Uttrycket ”inom
arbetsrätten” i andra stycket skall ha samma innebörd som enligt den nyss
nämnda punkten. Skyldigheten att lämna ut personuppgifter måste framgå
av lagstiftning, myndighetsbeslut eller av ett muntligt eller skriftligt avtal,
t.ex. ett kollektivavtal. Det skall vara fråga om en rättslig skyldighet Det
är vid tvist den personuppgiftsansvarige som har bevisbördan för att den
registrerade lämnat sitt samtycke till ett utlämnande. Har den registrerade
muntligen eller skriftligen återkallat ett nödvändigt samtycke, får upp-
gifterna därefter inte lämnas ut till tredje man.
Ideella organisationer
17 8 Ideella organisationer med politiskt, filosofiskt, religiöst eller
fackligt syfte får inom ramen för sin verksamhet behandla känsliga
personuppgifter om organisationens medlemmar och sådana andra
personer som på grund av organisationens syfte har regelbunden kontakt
med den. Känsliga personuppgifter får dock lämnas ut till tredje man bara
om den registrerade uttryckligen har samtyckt till det.
125
Behandling av känsliga personuppgifter har behandlats i avsnitt 11.4. Prop. 1997/98:44
Paragrafen överensstämmer med Datalagskommitténs förslag och har
berörts i avsnitt 12.5.3.3 i kommitténs betänkande.
Paragrafen skall ha samma innebörd som artikel 8.2 punkt d i EG-
direktivet, se bilaga 1
Det är vid tvist den personuppgiftsansvarige som har bevisbördan för
att den registrerade lämnat sitt samtycke till ett utlämnande. Har den
registrerade muntligen eller skriftligen återkallat ett nödvändigt samtycke,
far uppgifterna därefter inte lämnas ut till tredje man.
Hälso- och sjukvård
18 8 Känsliga o personuppgifter far behandlas för hälso- och
sjukvårdsändamål, om behandlingen är nödvändig för
ä)förebyggande hälso- och sjukvård,
b) medicinska diagnoser,
c) vård eller behandling, eller
d) administration av hälso- och sjukvård.
Den som är yrkesmässigt verksam inom hälso- och sjukvårdsområdet
och har tystnadsplikt får även behandla känsliga personuppgifter som
omfattas av tystnadsplikten. Detsamma fäller den som är underkastad en
liknande tystnadsplikt och som har fatt okänsliga personuppgifter från
verksamhet inom hälso- och sjukvårdsområdet.
Behandling av känsliga personuppgifter har behandlats i avsnitt 11.4.
Paragrafen skall ha samma innebörd som artikel 8 3 i EG-direktivet, se
bilaga 1.
Paragrafen har - i enlighet med vad som föreslagits av Stockholms läns
landsting - i förhållande till Datalagskommitténs förslag kompletterats
såvitt avser regeln i nyss nämnda artikel om att den som inte är verksam
på hälso- och sjukvårdsområdet men som ändå är underkastad en liknande
tystnadsplikt får behandla känsliga personuppgifter. Den regeln kan
nämligen ha betydelse t.ex. när känsliga personuppgifter från en myn-
dighet inom hälso- och sjukvården lämnas till forskningsverksamhet eller
verksamhet för tillsyn eller revision hos annan myndighet.
Bestämmelser om tystnadsplikt i nu berört hänseende finns i
sekretesslagen (1980:100), företrädesvis 7 kap. 1-3 §§, lagen (1994:953)
om åligganden för personal inom hälso- och sjukvården och lagen
(1996:786) om tillsyn över hälso- och sjukvården.
Forskning och statistik
19 8 Känsliga personuppgifter får behandlas för forsknings- och statistik-
ändamål, om behandlingen är nödvändig på sätt som sägs i 10 § och om
samhällsintresset av det forsknings- eller statistikprojekt där behandlingen
ingår klart väger över den risk för otillbörligt intrång i enskildas
personliga integritet som behandlingen kan innebära
Har behandlingen godkänts av en forskningsetisk kommitté, skall
förutsättningarna enligt första stycket anses uppfyllda. Med
forskningsetisk kommitté avses ett sådant särskiltoorgan for prövning av
forsknmgsetiska frågor som har företrädare för såväl det allmänna som
forskningen och som är knutet till ett universitet eller en högskola eller till
någon annan instans som i mera betydande omfattning finansierar
forskning.
Personuppgifter får lämnas ut för att användas i sådana projekt som av-
ses i första stycket, om inte något annat följer av regler om sekretess och
tystnadsplikt.
126
Paragrafen reglerar när känsliga personuppgifter får behandlas för forsk- Prop 1997/98:44
nings- och statistikändamål utan samtycke. Den frågan har behandlats i
avsnitt 11.4.2. Paragrafen överensstämmer i huvudsak med Datalagskom-
mitténs förslag och har berörts i avsnitt 11.6.3 i kommitténs betänkande
Med forskning avses i paragrafen i första hand den verksamhet som
bedrivs vid etablerade institutioner, såsom universitet och högskolor eller
privata, väletablerade forskningsinstitut. Även sådana epidemiologiska
undersökningar som utförs vetenskapligt omfattas. Släktforskning faller
utanför, liksom annan forskning eller utredningsverksamhet av mera
privat natur. Det måste finnas ett samhällsintresse av att forskningen
bedrivs, och den måste vara vetenskaplig i någon mening.
Med statistik avses i paragrafen numeriska sammanställningar av
elementära observationer som kan hänföras till händelser, flöden eller
tillstånd och verksamhet för att göra sådana sammanställningar.
Första stycket i paragrafen innehåller en awägningsnorm Det krävs
för det första att behandlingen av personuppgifter för det aktuella forsk-
nings- eller statistikändamålet är nödvändig enligt 10 §. Nödvändig-
hetskravet är avsett att ha samma innebörd som enligt artikel 7 i EG-
direktivet, se bilaga 1 Är behandlingen på detta sätt nödvändig, krävs
vidare att samhällsintresset av det forsknings- eller statistikprojekt vari
behandlingen ingår klart väger över den risk för otillbörligt intrång i
enskildas personliga integritet som behandlingen kan innebära Med
statistikprojekt avses även sådan statistikframställning som sker åter-
kommande, t ex. årligen, dvs vad som brukar kallas en statistikprodukt
För att göra awägningen enligt normen måste det ske en helhets-
bedömning av samtliga omständigheter. Vid helhetsbedömningen bör
således beaktas bl a. forsknings- eller statistikprojektets vikt, behovet av
personuppgifter, säkerheten vid behandlingen, hur pass kostsamt eller
tidsödande det skulle vara att hämta in samtycke, i vad mån den enskilde
skulle kunna skadas om man begärde samtycke och om en kontakt med
den enskilde skulle kunna förrycka undersökningsresultatet. Vid
intresseawägningen bör också beaktas om information i någon form
lämnas till de berörda, t.ex via anslag eller annonser. I de allra flesta fall
bör åtminstone sådan information kunna lämnas Även frågan i vilken
utsträckning den som begär det skall ha rätt att bli struken bör beaktas vid
intresseawägningen. I viss mån bör också kunna beaktas hur pass svårt
det är att på grund av de behandlade uppgifterna identifiera enskilda
personer.
Det är i första hand den personuppgiftsansvarige som har att på eget
ansvar tillämpa awägmngsnormen.
Om behandlingen inom ett aktuellt projektet godkänts av en forsk-
ningsetisk kommitté, behöver den personuppgiftsansvarige inte göra
någon egen awägning enligt första stycket. Då skall nämligen enligt
andra stycket förutsättningarna enligt awägningsnormen i första stycket
anses uppfyllda.
Med en forskningsetisk kommitté avses en sådan kommitté eller
liknande som motsvarar de kommittéer som i dag finns knutna till de
medicinska fakulteterna, Humanistisk-samhällsvetenskapliga forsknings-
rådet och Socialvetenskapliga forskningsrådet. I andra stycket finns det en
generell definition av forskningsetisk kommitté. Det måste vara fråga om
ett särskilt organ. Den instans som gör den forsknmgsetiska prövningen Prop. 1997/98:44
måste således vara särskilt inrättat för att göra prövningen. Det är därför
inte tillräckligt att styrelsen för en institution eller en forskningsstiftelse
eller något annat befintligt organ med andra uppgifter än forsknmgsetiska
bedömningar ges i uppdrag att göra prövningen I organet skall det vidare
finnas företrädare för såväl det allmänna som forskningen Det finns inget
krav på hur företrädarna skall utses, men de måste i någon mening kunna
anses representera allmänna samhällsintressen respektive forsknings-
intressen. Organet skall dessutom vara knutet till ett universitet eller en
högskola eller till någon annan betydande forskningsfinansiär, t.ex. ett
forskningsråd eller en forskningsstiftelse. Det finns dock inget som
hindrar att organet prövar även forskning som finansieras eller bedrivs av
någon annan instans än den som organet är knutet till.
I Datalagskommitténs förslag och i lagrådsremissen angavs att
projektet skulle godkännas av den forsknmgsetiska kommittén. Vi har här
i stället valt att knyta bestämmelsen till om behandlingen godkänts, vilket
är den avgörande frågan vad avser skydd av personuppgifter. Om behand-
lingen i forsknings- eller statistikprojektet har godkänts av en forsk-
ningsetisk kommitté, är behandlingen således tillåten enligt lagen Om
den forsknmgsetiska kommittén har villkorat sitt godkännande, måste
villkoren, t.ex. om information till de registrerade och rätt att på begäran
få bli struken, följas för att behandlingen skall vara tillåten.
I tredje stycket finns det en bestämmelse om utlämnande av person-
uppgifter för användning i forsknings- och statistikprojekt. Bestämmelsen
är en sådan bestämmelse om utlämnande av personuppgifter som avses i
24 § andra stycket och som för med sig att den forskare eller statistiker
som i enlighet med bestämmelsen hämtar in personuppgifter från något
annat håll än de registrerade inte automatiskt behöver informera de
registrerade om sin behandling (se också artikel 11.2 i EG-direktivet).
Däremot kan den forskningsetiska granskningen enligt andra stycket eller
en tillämpning av awägningsnormen i första stycket leda till att
information ändå skall lämnas.
Bestämmelsen avser utlämnande av både känsliga och icke känsliga
personuppgifter.
Bestämmelsen träffar bara utlämnande av personuppgifter för använd-
ning i sådana projekt som avses i första stycket. Har en behandling god-
känts av en forskningsetisk kommitté enligt andra stycket, skall förutsätt-
ningarna enligt första stycket anses uppfyllda, varför utlämnande får ske
för en godkänd behandling i ett projekt
Bestämmelsen innebär inte någon skyldighet att lämna ut person-
uppgifter. Den tillåter bara att den som innehar uppgifterna lämnar ut dem
om han eller hon vill det. Om något annat följer av regler om sekretess
och tystnadsplikt, får uppgifterna dock inte lämnas ut. Regler om sekre-
tess eller tystnadsplikt finns t.ex. i sekretesslagen (1980:100), lagen
(1994:953) om åligganden för personal inom hälso- och sjukvården och
lagen (1996:786) om tillsyn över hälso- och sjukvården.
128
Bemyndigande att föreskriva ytterligare undantag
20 § Regeringen eller den myndighet som regeringen bestämmer får i
fråga om automatiserad behandling av personuppgifter meddela
föreskrifter om ytterligare undantag fran förbudet i 13 §, om det behövs
med hänsyn till ett viktigt allmänt intresse.
Paragrafen innehåller ett bemyndigande för regeringen eller den myndig-
het som regeringen bestämmer att meddela föreskrifter. Frågan om norm-
givningsdelegation har behandlats i avsnitt 10. Paragrafen överensstäm-
mer med Datalagskommitténs förslag och har berörts i avsnitt 12.5.3.3 i
kommitténs betänkande.
Av förslaget till lag om ändring i personuppgiftslagen (avsnitt 15)
framgår att paragrafen per den 1 januari 1999 ändras så att det blir möjligt
att meddela föreskrifter även såvitt avser sådan manuell behandling som
omfattas av personuppgiftslagen.
Uttrycket viktigt allmänt intresse skall ha samma innebörd som enligt
artikel 8.4 i EG-direktivet, se bilaga 1
Uppgifter om lagöverträdelser m.m.
21 § Det är förbjudet för andra än myndigheter att behandla personuppgif-
ter om lagöverträdelser som innefattar brott, domar i brottmål,
straffprocessuella tvångsmedel eller administrativa frihetsberövanden
Regeringen eller den myndighet som regeringen bestämmer får i fråga
om automatiserad behandling av personuppgifter meddela föreskrifter om
undantag från förbudet i första stycket
Regeringen får i enskildao fall besluta om undantag från förbudet t
första stycket. Regeringen får överlåta åt tillsynsmyndigheten att fatta
sådana beslut.
Frågan om behandling av uppgifter om lagöverträdelser har behandlats i
avsnitt 11.4.3. Paragrafens två första stycken överensstämmer i huvudsak
med Datalagskommitténs förslag och har berörts i avsnitt 12.5.3.4 i
kommitténs betänkande.
Uttrycken ”myndighet”, ”lagöverträdelser” och ”domar i brottmål”
skall ha samma innebörd som motsvarande uttryck i artikel 8 5 första
stycket i EG-direktivet, se bilaga 1. Efter påpekande av Lagrådet har det
preciserats att med ”lagöverträdelser” avses sådana lagöverträdelser som
innefattar brott. I stället för direktivets begrepp ”säkerhetsåtgärder” som
föreslagits av Datalagskommittén används begreppet ”straffprocessuella
tvångsmedel” eftersom det tidigare begreppets innehåll är oklart. Som
framgår av avsnitt 11.4.3 torde administrativa frihetsberövanden omfattas
av regleringen, varför detta uttryckligen lagts till.
Andra stycket innehåller ett bemyndigande för regeringen eller den
myndighet som regeringen bestämmer att meddela föreskrifter om undan-
tag. Frågan om normgivningsdelegation har berörts i avsnitt 10.
Genom tredje stycket har förtydligats att regeringen eller, om rege-
ringen så bestämmer, tillsynsmyndigheten i enskilda fall kan besluta om
undantag från förbudet i första stycket.
Av förslaget till lag om ändring i personuppgiftslagen (avsnitt 15)
framgår att paragrafen per den 1 januari 1999 ändras så att det blir möjligt
att meddela föreskrifter även såvitt avser sådan manuell behandling som
omfattas av personuppgiftslagen
Prop. 1997/98:44
129
9 Riksdagen 1997/98. 1 saml. Nr 44
Enligt 50 § a får regeringen eller den myndighet som regeringen Prop. 1997/98:44
bestämmer meddela närmare föreskrifter om i vilka fall behandling av
personuppgifter är tillåten enligt första stycket.
Behandling av personnummer
22 § Uppgifter om personnummer får utan samtycke behandlas bara när
det är klart motiverat med hänsyn till
a) ändamålet med behandlingen,
bivikten av en säker identifiering, eller
c) något annat beaktansvärt skäl.
Frågan om behandling av personnummer har behandlats i avsnitt 11.4.4.
Paragrafen överensstämmer i stort med Datalagskommitténs förslag och
har berörts i avsnitt 12.6 i kommitténs betänkande.
Till paragrafen har utan någon betydande ändring i sak förts över de
bestämmelser som finns i 7 § andra stycket i den nuvarande datalagen.
Om någon lämnat sitt samtycke är det självklart att en uppgift om person-
nummer skall få behandlas. Den uttryckliga bestämmelsen i den nu-
varande datalagen om att personuppgifter får återges på datautskrifter
endast när det finns särskilda skäl har inte förts över. Det innebär dock
inte någon ändring i sak, eftersom redan den överförda huvudregeln
innebär att en uppgift om personnummer far behandlas t.ex. genom att
fastas på en utskrift eller visas upp på en datorskärm bara när den
behandlingen är klart motiverad med hänsyn till något beaktansvärt skäl
Enligt 50 § a får regeringen eller den myndighet som regeringen
bestämmer meddela närmare föreskrifter om i vilka fall användning av
personnummer är tillåten
Information till den registrerade
Frågan om information till den registrerade har behandlats i avsnitt 11.5.
Enligt 50 § e får regeringen eller den myndighet som regeringen
bestämmer meddela närmare föreskrifter om vilken information som skall
lämnas till registrerade och hur informationen skall lämnas.
Information skall lämnas självmant
23 § Om uppgifter om en person samlas in från personen själv, skall den
personuppgiftsansvarige i samband därmed självmant lämna den
registrerade information om behandlingen av uppgifterna.
Paragrafen överensstämmer med Datalagskommitténs förslag och har
berörts i avsnitt 12.7.2 i kommitténs betänkande.
Paragrafen skall ha samma innebörd som artikel 10 i EG-direktivet, se
bilaga 1.
I 25 § finns det bestämmelser om vilken information som skall lämnas,
och i 27 § finns det bestämmelser om vissa undantag från informa-
tionsskyldigheten .
24 § Om personuppgifterna har samlats in från någon annan källa än den
registrerade, skall den personuppgiftsansvarige självmant lämna den 130
registrerade information om behandlingen av uppgifterna när de
registreras. Är uppgifterna avsedda att lämnas ut till tredje man behöver pr0P 1997/98 44
informationen dock inte ges förrän uppgifterna lämnas ut för första H
& Information enligt första stycket behöver inte lämnas, om det finns be-
stämmelser om registrerandet eller utlämnandet av personuppgifterna i en
lag eller någon annan författning
information behöver inte heller lämnas enligt första stycket, om detta
visar sig vara omöjligt eller skulle innebära en oproportionerligt stor ar-
betsinsats. Om uppgifterna används för att vidta åtgärder som rör den
registrerade, skall dock information lämnas senast i samband med att så
sker
Paragrafen överensstämmer med Datalagskommitténs förslag och har
berörts i avsnitt 12.7.2 i kommitténs betänkande
Paragrafen skall ha samma innebörd som artikel 11 i EG-direktivet, se
bilaga 1.
I 25 § finns det bestämmelser om vilken information som skall lämnas,
och i 27 § finns det bestämmelser om vissa undantag från informations-
skyldigheten
Bestämmelsen i sista meningen i tredje stycket utgör en sådan lämplig
skyddsåtgärd som avses i artikel 112 sista meningen i EG-direktivet
Bestämmelsen utgör en garanti för att den registrerade inte utsätts för en
åtgärd utan att få reda på vilken uppgiftsbehandling som ligger bakom
den. Om exempelvis en personuppgiftsansvarig för utskick för direkt
marknadsföring hämtat in uppgifter om så många personer att det skulle
innebära en oproportionerligt stor arbetsinsats att informera dem alla
redan när uppgifterna registreras, måste således information lämnas senast
i de handlingar som sänds ut
Den information som skall lämnas självmant
25 § Information enligt 23 eller 24 § skall omfatta
a) uppgift om den personuppgiftsansvariges identitet,
b) uppgift om ändamålen mea behandlingen och
c) all övrig information som behövs för att den registrerade skall kunna ta
till vara sina rättigheter i samband med behandlingen, såsom
information om mottagarna av uppgifterna, skyldighet att lämna
uppgifter och rätten att ansöka om information och få rättelse
Information behöver dock inte lämnas om sådant som den registrerade
redan känner till.
Paragrafen överensstämmer i huvudsak med Datalagskommitténs förslag
och har berörts i avsnitt 12.7.2.3 i kommitténs betänkande.
Paragrafen skall ha samma innebörd som artikel 10 och 11.1 i EG-
direktivet, se bilaga 1.
I 27 § finns det bestämmelser om vissa undantag från informations-
skyldigheten
Information skall lämnas efter ansökan
26 § Den personuppgiftsansvarige är skyldig att till var och en som an-
söker om det en gång per kalenderår gratis lämna besked om person-
uppgifter som rör den sökande behandlas eller ej. Behandlas sådana
uppgifter skall skriftlig information lämnas också om
a) vilka uppgifter om den sökande som behandlas,
b) varifrån dessa uppgifter har hämtats,
c) ändamålen med behandlingen, och
131
d) till vilka mottagare eller kategorier av mottagare som uppgifterna läm-
nas ut.
En ansökan enligt första stycket skall göras skriftligen hos den person-
uppgiftsansvarige och vara undertecknad av den sökande själv.
Information enligt första stycket skall lämnas inom en månad från det att
ansökan gjordes. Orn det finns särskilda skäl för det, får information dock
lämnas senast fyra månader efter det att ansökan gjordes.
Information enligt första stycket behöver inte lämnas om person-
uppgifter i löpande text som inte fått sin slutliga utformning när ansökan
gjoraes eller som utgör minnesanteckning eller liknande Vad som nu
sagts gäller dock inte om uppgifterna har lämnats ut till tredje man eller
om uppgifterna behandlas enbart för historiska, statistiska eller
vetenskapliga ändamål eller, när det gäller löpande text som inte fått sin
slutliga utformning, om uppgifterna har behandlats under längre tid än ett
år.
Paragrafen överensstämmer i huvudsak med Datalagskommitténs förslag
och har berörts i avsnitt 12.7.3 och 11.6.7 i kommitténs betänkande
I 27 § finns det bestämmelser om vissa undantag från informations-
skyldigheten
Första stycket i paragrafen skall i tillämpliga delar ha samma innebörd
som artikel 12 a i EG-direktivet, se bilaga 1. En och samma person har
rätt att högst en gång per kalenderår få sådan information som avses i
paragrafen Personen måste varje kalenderår göra en särskild ansökan om
information. Informationen skall vara gratis för den som ansöker om det
Skriftlighetskravet innebär att informationen måste vara uttryckt i text,
men texten kan finnas på papper lika väl som i elektronisk form.
Enligt andra stycket skall ansökan göras skriftligen och vara under-
tecknad av den sökande själv. Det innebär att ansökan måste göras på
papper. Enligt 50 § d får regeringen eller den myndighet som regeringen
bestämmer meddela närmare föreskrifter om innehållet i en ansökan till
en personuppgiftsansvarig.
Huvudregeln är att information skall lämnas inom en månad från det
att ansökan gjordes Informationen får dock lämnas senast fyra månader
efter det att ansökan gjordes, under förutsättning att det finns särskilda
skäl för det Sådana särskilda skäl kan vara att personuppgifterna är kryp-
terade, att sökmöjligheterna annars är begränsade eller att den person-
uppgiftsansvarige har många personuppgifter uppdelade på olika register
eller andra datasamlingar. Bestämmelserna i 10 § förvaltningslagen
(1986:223), 44 § förvaltningsprocesslagen (1971:291) och 33 kap 3§
rättegångsbalken kan vara till ledning vid avgörande av frågan när en
ansökan skall anses ha gjorts. Det är bara de behandlade uppgifter som
den personuppgiftsansvarige har i behåll när han eller hon lämnar
informationen som måste lämnas ut. Det finns alltså inget som hindrar att
den personuppgiftsansvarige under tiden från ansökan till utlämnandet
utplånar uppgifter eller slutar med att behandla dem på ett sätt som
omfattas av lagen
Det är vid tvist den sökande som har bevisbördan för att en ansökan
gjorts och tidpunkten för denna och den personuppgiftsansvarige som har
bevisbördan för att informationen lämnats i rätt tid och i förekommande
fall att det funnits sådana omständigheter som utgjort särskilda skäl
I tredje stycket finns det vissa undantagsbestämmelser beträffande
personuppgifter i löpande text Med löpande text avses information som
inte har strukturerats så att sökning av personuppgifter underlättas. Med
text som inte har fått sin slutliga utformning avses koncept och utkast och
Prop. 1997/98:44
132
liknande. Text som är avsedd att tid efter annan ändras eller kompletteras Prop. 1997/98:44
och således aldrig kommer att få någon slutlig utformning omfattas inte.
Med text som utgör minnesanteckning avses promemorior och liknande
som har kommit till bara för att förbereda något slags ärende. Med
behandling för historiska, statistiska och vetenskapliga ändamål avses
detsamma som enligt artikel 6 i EG-direktivet, se bilaga 1. Huvudfallet är
här att ett utkast eller en minnesanteckning i ett avslutat ärende har tagits
om hand för arkivering.
Undantag från informationsskyldigheten vid sekretess och tystnadsplikt
27 § I den utsträckning det är särskilt föreskrivet i lag eller annan författ-
ning eller i beslut som nar meddelats med stöd av författning att uppgifter
inte får lämnas ut till den registrerade gäller inte bestämmelserna i 23-
26 §§. En personuppgiftsansvarig som inte är en myndighet far därvid i
motsvarande fall som avses i sekretesslagen (1980:100) vagra att lämna ut
uppgifter till den registrerade
Paragrafen har behandlats i avsnitt 11.5.2. Datalagskommittén har berört
frågan i avsnitt 12.7 4 i sitt betänkande.
Första meningen motsvarar delvis 10 § tredje stycket i den nuvarande
datalagen. Meningen överensstämmer med Datalagskommitténs förslag.
Andra meningen innebär att även en personuppgiftsansvarig som inte
är en myndighet får använda bestämmelserna i sekretesslagen för att vägra
att lämna ut information till den registrerade. Meningen ersätter Datalags-
kommitténs förslag till en bestämmelse med ett bemyndigande för
regeringen eller den myndighet som regeringen bestämmer att föreskriva
undantag från informationsskyldigheten, om det behövs för att skydda
grundläggande intressen för enskilda eller för att förebygga, undersöka
eller avslöja brott.
Rättelse
28 § Den personuppgiftsansvarige är skyldig att på begäran av den
registrerade snarast rätta, blockera eller utplåna sådana personuppgifter
som inte har behandlats i enlighet med denna lag eller föreskrifter som har
utfärdats med stöd av lagen. Den personuppgiftsansvarige skall också
underrätta tredje man till vilken uppgifterna har lämnats ut om åtgärden,
om den registrerade begär det eller om mera betydande skada eller
olägenhet för den registrerade skulle kunna undvikas genom en
unaérrättelse. Någon sådan underrättelse behöver dock inte tamnas om
detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor
arbetsinsats.
Frågan om korrigering av personuppgifter har behandlats i avsnitt 11.6
Korrigering av personuppgifter hos myndigheter har berörts i avsnitt 8.1.
Paragrafen överensstämmer i huvudsak med Datalagskommitténs förslag
och har berörts i avsnitt 12.8 och 11 6.7 i kommitténs betänkande.
Paragrafen är avsedd att ha samma innebörd som artikel 12 b och c i
EG-direktivet, se bilaga 1.
Den registrerades begäran om korrigering eller underrättelse till tredje
man kan framställas formlöst till den personuppgiftsansvarige eller någon
som företräder denne. Det räcker att det av begäran framgår att den
registrerade är missnöjd med behandlingen i något visst avseende och vill ^3
att korrigering skall vidtas. Framställs en sådan begäran bör den person-
uppgiftsansvarige skyndsamt utreda om de framförda anmärkningarna är Prop. 1997/98:44
befogade och, om så skulle vara fallet, snarast vidta korrigering. Omfatt-
ningen av utredningen får bero av de anmärkningar den registrerade
framställt. Uppkommer oenighet mellan den personuppgiftsansvarige och
den registrerade om uppgifterna skall korrigeras eller inte, kan den
registrerade anmäla förhållandet till tillsynsmyndigheten, som har möj-
lighet att förelägga vite om lagen inte följs och att ansöka om utplånande
av uppgifterna, eller själv väcka talan om saken vid allmän domstol
Det är i princip den personuppgiftsansvarige som själv väljer korri-
geringsmetod, dvs. om de aktuella personuppgifterna skall rättas,
blockeras eller utplånas. Av annan lagstiftning eller av sakens natur kan
dock följa att vissa korrigenngsmetoder inte kan användas i vissa fall,
t.ex. när det gäller korrigering av personuppgifter i bokföring.
Den personuppgiftsansvarige är såsom framgår av paragrafen under
alla förhållanden skyldig att underrätta tredje man om en korrigering, om
det kan antas att en underrättelse skulle kunna undvika mera betydande
skada eller olägenhet för den registrerade En felaktig, känslig person-
uppgift, t.ex. om att den registrerade är sjuk eller har en extrem politisk
eller religiös övertygelse, kan regelmässigt antas föranleda sådan skada
eller olägenhet som avses, om de tredje män som fått den felaktiga
uppgiften inte underrättas. Gäller det däremot en mera harmlös uppgift,
t.ex. om den registrerades adress, bör det som regel krävas någon särskild
omständighet för att man skall kunna anta att en underrättelse skulle
kunna undvika sådan skada eller olägenhet som avses. Det måste vidare
kunna antas att underrättelsen medför att skadan eller olägenheten kan
undvikas. Detta är inte fallet när det är känt att aktuella tredje män redan
har korrigerat uppgiften.
Det finns inte något formkrav beträffande den personuppgiftsansva-
riges underrättelse till dem som mottagit personuppgifterna. I under-
rättelsen skall anges den åtgärd som den personuppgiftsansvarige har
vidtagit beträffande personuppgifterna. I detta krav på att åtgärden skall
anges innefattas att information skall lämnas om anledningen till åt-
gärden, t.ex. att de tidigare uppgifterna var felaktiga eller ofullständiga.
Har en felaktig uppgift rättats måste vidare, om det är nödvändigt, under-
rättelse lämnas om såväl den tidigare, felaktiga uppgiften som den nya,
riktiga uppgiften Avsikten med underrättelseskyldigheten är att de som
har tagit emot en uppgift som har korrigerats i sin tur skall kunna på
lämpligt sätt korrigera den mottagna uppgiften och eventuella åtgärder
som har vidtagits med ledning av uppgiften. Underrättelsen bör därför
innehålla sådan information som gör detta möjligt. Rör felaktigheten
exempelvis en uppgift som mottagaren kan antas använda som enda sök-
begrepp, t.ex. namn eller personnummer, är det nödvändigt att den
felaktiga uppgiften anges för att mottagaren i praktiken skall kunna göra
en rättelse i sin tur.
Det finns inte någon formell skyldighet att självmant underrätta i flera
led. En tredje man som fått en underrättelse och som själv är person-
uppgiftsansvarig, är således inte rättsligt förpliktad att underrätta de tredje
män till vilka han eller hon i sin tur kan ha lämnat ut uppgiften bara på
grund av att han eller hon till följd av en underrättelse självmant har rättat
uppgiften Det får dock förutsättas att de personuppgiftsansvariga frivilligt
på lämpligt sätt ser till att mildra skadeverkningarna av felaktiga eller Prop. 1997/98:44
ofullständiga uppgifter som självmant rättats.
Automatiserade beslut
29 § Om ett beslut som har rättsliga följder för en fysisk person eller
annars har märkbara verkningar för den fysiska personen, grundas enbart
på automatiserad behandling av sådana personuppgifter som är avsedda
att bedöma egenskaper hoos personen, skall den som berörs av beslutet ha
möilighet att på begäran få beslutet omprövat av någon person
Var och en som varit föremål för ett sådant beslut som avses i första
stycket har rätt att på ansökan få information från den person-
uppgiftsansvarige om vad som har styrt den automatiserade behandling
som lett fram till beslutet. I fråga om ansökan och lämnandet av
information gäller i tillämpliga delarbestämmelsema i 26 §.
Frågan om automatiserade beslut har behandlats i avsnitt 11.7 Paragrafen
överensstämmer i huvudsak med Datalagskommitténs förslag och har
berörts i avsnitt 12.9 i kommitténs betänkande.
Definitionen av de beslut som avses i paragrafen skall ha samma
innebörd som enligt artikel 15.1 i EG-direktivet, se bilaga 1.
Första stycket innebär att det skall finnas en rätt att på begäran få ett
automatiserat beslut omprövat Det finns inget formkrav för den registre-
rades begäran om omprövning. Att den registrerade skall ha rätt att på be-
gäran få det automatiserade beslutet omprövat innebär en rätt att få
beslutet granskat av en människa som har makt att ersätta det auto-
matiserade beslutet med ett annat Rätten till omprövning innebär däremot
inte att det automatiserade beslutet måste ersättas av ett nytt beslut
För den offentliga förvaltningen finns det ofta redan föreskrifter om en
rätt till omprövning av beslut, se t ex 27 § förvaltningslagen. I den
utsträckning det i lag eller förordning finns särskilda regler om t.ex. för-
farandet vid omprövning, gäller dessa föreskrifter framför personuppgifts-
lagen, se 2 §.
Rätten att få information enligt andra stycket skall ha samma innebörd
som artikel 12 a tredje strecksatsen i EG-direktivet, se bilaga 1. Begreppet
logik har dock inte använts. Informationsskyldigheten avser bara vad som
har styrt behandlingen, dvs. den tekniska processen, och inte t ex. närmare
information om bankers regler eller gränsvärden för kreditgivning. I
punkt 41 i ingressen till direktivet framhålls att den aktuella rätten inte får
inkräkta på några affärshemligheter eller på upphovsrätten till t.ex.
programvaran
Enligt 50 § e får regeringen eller den myndighet som regeringen
bestämmer meddela närmare föreskrifter om vilken information som skall
lämnas till registrerade och hur informationen skall lämnas.
Säkerheten vid behandling
Frågan om säkerheten vid behandlingen har berörts i avsnitt 11.8.
Enligt 50 § b får regeringen eller den myndighet som regeringen
bestämmer meddela närmare föreskrifter om vilka krav som ställs på den
personuppgiftsansvarige vid behandling av personuppgifter.
135
Personer som behandlar personuppgifter Prop. 1997/98:44
30 § Ett personuppgiftsbiträde och den eller de personer som arbetar
under biträdets eller den personuppgiftsansvariges^ ledning får behandla
personuppgifter bara i enlighet med instruktioner från den personuppgifts-
ansvarige.
Det skall finnas ett skriftligt avtal om personuppgiftsbiträdets behand-
ling av personuppgifter för den personuppgiftsansvariges räkning. I det
avtalet skall det särskilt föreskrivas att personuppgiftsbiträdet far behandla
personuppgifterna bara i enlighet med instruktioner från den person-
uppgiftsansvarige och att personuppgiftsbiträdet är skyldigt att vidta de åt-
gärder som avses i 31 § första stycket.
Om det i lag eller annan författning finns särskilda bestämmelser om
behandlingen av personuppgifter i det allmännas verksamhet i frågor som
avses i första stycket skali dessa gälla i stället för vad som sägs i första
stycket.
Paragrafen överensstämmer med Datalagskommitténs förslag och har
berörts i avsnitt 12.10.2 i kommitténs betänkande.
Första stycket skall ha samma innebörd som artikel 16 i EG-direktivet,
se bilaga 1.
Andra stycket skall ha samma innebörd som artikel 17.3 och 17.4 i
direktivet. Skrifilighetskravet innebär att avtalet måste vara uttryckt i text,
men texten kan finnas på papper lika väl som i elektronisk form. Något
krav på att avtalshandlingen skall vara undertecknad finns inte.
Tredje stycket innebär att särskilda bestämmelser i andra författningar i
de avseenden som berörs i första stycket tillämpas i stället för första
stycket. Förhållandet följer i och för sig av lagens 2 § men det är av
särskild betydelse att detta framgår direkt av bestämmelsen. Särskilt avses
bestämmelser om tystnadsplikt och sekretess
Säkerhetsåtgärder
31 § Den personuppgiftsansvarige skall vidta lämpliga tekniska och
organisatoriska åtgärder för att skydda de personuppgifter som behandlas
Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig med
beaktande av
a) de tekniska möjligheter som finns,
bjvad det skulle kosta att genomföra åtgärderna,
c) de särskilda risker som finns med behandlingen av personuppgifterna,
och
d) hur pass känsliga de behandlade personuppgifterna är
När den personuppgiftsansvarige anlitar ett personuppgiftsbiträde, skall
den personuppgiftsansvarige förvissa sig om att personuppgiftsbiträdet
kan genomfora de säkerhetsåtgärder som måste vidtas och se till att
personuppgiftsbiträdet verkligen vidtar åtgärderna.
Paragrafen överensstämmer med Datalagskommitténs förslag och har
berörts 1 avsnitt 12.10 2-4 i kommitténs betänkande.
Paragrafen skall ha samma innebörd som artikel 17.1 och 17.2 i EG-
direktivet, se bilaga 1.
Tillsynsmyndigheten får besluta om säkerhetsåtgärder
32 § Tillsynsmyndigheten far i enskilda fall besluta om vilka
säkerhetsåtgärder som den personuppgiftsansvarige skall vidta enligt
31 §
I 45 § finns det bestämmelser om tillsynsmyndighetens möjligheter att
förena beslutet med vite.
136
Paragrafen överensstämmer med Datalagskommitténs förslag och har Prop. 1997/98:44
berörts i avsnitt 12.10.3 i kommitténs betänkande. Paragrafen fastslår att
tillsynsmyndigheten i enskilda fall kan bestämma vilka säkerhetsåtgärder
som skall vidtas.
Överföring av personuppgifter till tredje land
Frågan om överföring av personuppgifter till tredje land har behandlats i
avsnitt 11.9.
Enligt 50 § a far regeringen eller den myndighet som regeringen
bestämmer meddela närmare föreskrifter om i vilka fall behandling av
personuppgifter är tillåten.
Förbud mot överföring av personuppgifter till tredje land
33 § Det är förbjudet att till tredje land föra över personuppgifter som är
under behandling. Förbudet gäller också överföring av personuppgifter
för behandling i tredje land
Paragrafen överensstämmer med Datalagskommitténs förslag och har
berörts i avsnitt 12.11.2 i kommitténs betänkande.
De överföringar som avses i paragrafen är desamma som avses i artikel
25.1 i EG-direktivet, se bilaga 1
Undantag från förbudet mot överföring av personuppgifter till tredje land
34 § Det är trots förbudet i 33 § tillåtet att föra över personuppgifter till
tredje land, om den registrerade otvetydigt har samtyckt till överföringen
eller när överföringen ar nödvändig för att
a) ett avtal mellan den registrerade och den personuppgiftsansvarige skall
kunna fullgöras eller åtgärder som den registrerade oegärt skall kunna
vidtas innan ett avtal träffas,
b) ett sådant avtal mellan den personuppgiftsansvarige och tredje man
som är i den registrerades intresse skall kunna ingås eller fullgöras,
c) rättsliga ansprak skall kunna fastställas, göras gällande eller försvaras,
eller
d) vitala intressen för den registrerade skall kunna skyddas
Det är också tillåtet att föra över personuppgifter for användning enbart
i en stat som har anslutit sig till Europarådets konvention om skydd för
enskilda vid automatisk databehandling av personuppgifter.
Paragrafen överensstämmer med Datalagskommitténs förslag och har
berörts i avsnitt 12.11.3 i kommitténs betänkande.
Paragrafen innehåller en uppräkning av i vilka fall det är tillåtet att föra
över personuppgifter till tredje land För att personuppgifter skall få föras
över till tredje land krävs dock inte bara att överföringen faller under
något av fallen i uppräkningen. Den behandling som överföringen av
personuppgifter till tredje land utgör måste också vara tillåten enligt 10 §
och, om känsliga personuppgifter, uppgifter om lagöverträdelser m.m.
eller personnummer skall föras över, även vara tillåten i enlighet med 13-
22 §§.
Första stycket skall ha samma innebörd som artikel 26.1 i EG-
direktivet, se bilaga 1.
I 12 § andra stycket regleras den situationen att den registrerade
återkallar ett redan lämnat samtycke
Punkten a har utformats mot bakgrund av den engelska, franska och Prop. 1997/98:44
tyska versionen av EG-direktivet, i den svenska versionen står det ”innan
avtalet träffas”, dvs. det avtal i vilket den registrerade är part
Andra stycket innebär att personuppgifter fritt får föras över till stater
som har anslutit sig till Europarådets konvention om skydd för enskilda
vid automatisk databehandling av personuppgifter
35 § Regeringen får i fråga om automatiserad behandling av person-
uppgifter meddela föreskrifter om undantag från förbudet i 33 § för
överföring av personuppgifter till vissa stater Regeringen får också i
fråga om automatiserad oehandhng av personuppgifter meddela före-
skrifter om att överföring av personuppgifter till tredje land är tillåten om
överföringen regleras av ett avtal som ger tillräckliga garantier till skydd
för de registrerades rättigheter
= Regeringen eller den myndighet som regeringen bestämmer får vidare i
fråga om automatiserad o behandling av personuppgifter meddela
föreskrifter om undantag från förbudet i 33 8, om det behovs med hänsyn
till ett viktigt allmänt intresse eller om det finns tillräckliga garantier till
skydd för de registrerades rättigheter
Regeringen får under de förutsättningar som nämns i andra stycket i
enskilda fall besluta om undantag från förbudet i 33 § Regeringen får
överlåta åt tillsynsmyndigheten att fatta sådana beslut
Frågan om normgivningsdelegation har behandlats i avsnitt 10 Para-
grafens två första stycken överensstämmer i huvudsak med Data-
lagskommitténs förslag och har berörts i avsnitt 12 11.4 i kommitténs be-
tänkande I tredje stycket har förtydligats att regeringen, eller om rege-
ringen så bestämmer, tillsynsmyndigheten, i enskilda fall kan besluta om
undantag från förbudet i 33§ .
Av förslaget till lag om ändring i personuppgiftslagen (avsnitt 15)
framgår att paragrafen per den 1 januari 1999 ändras så att det blir möjligt
att meddela föreskrifter även såvitt avser sådan manuell behandling som
omfattas av personuppgiftslagen.
Anmälan till tillsynsmyndigheten
De bestämmelser som finns under denna rubrik har behandlats i av-
snitt 12
Anmälningsskyldighet
36 8 Behandling av personuppgifter som är helt eller delvis automatiserad
omfattas av anmälningsskyldighet. Den personuppgiftsansvarige skall
göra en skriftlig anmälan till o tillsynsmyndigheten innan en sådan
behandling eller en serie av sådana behandlingar med samma eller
liknande ändamål genomförs.
Om den personuppgiftsansvarige utser ett personuppgiftsombud skall
detta anmälas till tillsynsmyndigheten. Även ett entledigande av ett per-
sonuppgiftsombud skall anmälas till tillsynsmyndigheten
Regeringen eller den myndighet osom regeringen bestämmer får
meddela föreskrifter om undantag från anmälningsskyldigheten enligt
första stycket för sådana typer av behandlingar som sannolikt inte kommer
att leda till otillbörligt inträng i den personliga integriteten.
Paragrafen överensstämmer i stort med Datalagskommitténs förslag och
har berörts i avsnitt 12.12 i kommitténs betänkande
Första stycket skall ha samma innebörd som artikel 18 1 i EG-
direktivet, se bilaga 1. Enligt 50 § f får regeringen eller den myndighet
138
som regeringen bestämmer meddela närmare föreskrifter om anmälan till Prop. 1997/98:44
tillsynsmyndigheten och förfarandet när anmälda uppgifter har ändrats.
Andra stycket anger att ett utseende och ett entledigande av ett person-
uppgiftsombud skall anmälas till tillsynsmyndigheten.
Tredje stycket innehåller ett bemyndigande för regeringen eller den
myndighet som regeringen bestämmer att meddela föreskrifter om
undantag från anmälningsskyldigheten Bemyndigandet gäller sådana
behandlingar som avses i artikel 18.2 första strecksatsen, 18.3 och 18.4 i
EG-direktivet, se bilaga 1. Frågan om normgivningsdelegation har
behandlats i avsnitt 10.
Anmälan behöver inte göras om det finns ett personuppgiftsombud
37 § Om den personuppgiftsansvarige har anmält till tillsynsmyndigheten
har anmält att ett personuppgiftsombud utsetts och vem det är, behöver
anmälan enligt 36 § första stycket inte göras.
Beteckningen personuppgiftsombud har behandlats i avsnitt 12. Para-
grafen har berörts i avsnitt 12.12 i Datalagskommitténs betänkande
Det är bara behandlingar som påbörjas efter det att personupp-
giftsombudet har anmälts till tillsynsmyndigheten som är undantagna från
anmälningsskyldigheten
Personuppgiftsombudet skall vara en fysisk person Det finns inget
som hindrar att den personuppgiftsansvarige utser flera personupp-
giftsombud eller att flera personuppgiftsansvariga, t.ex. inom en viss
bransch, utser en och samma person till personuppgiftsombud, t.ex. en
advokat, en revisor eller någon som är anställd på en branschorganisation
Det är den personuppgiftsansvarige som entledigar ett utsett person-
uppgiftsombud. Om det på grund av entledigande inte längre finns något
anmält personuppgiftsombud, måste den personuppgiftsansvarige enligt
36 § anmäla behandlingar som påbörjas därefter.
Enligt 50 § f får regeringen eller den myndighet som regeringen
bestämmer meddela närmare föreskrifter om anmälan till tillsynsmyndig-
heten och förfarandet när anmälda uppgifter har ändrats.
Personuppgiftsombudets uppgifter
38 § Personuppgiftsombudet skall ha till uppgift att självständigt se till att
den personuppgiftsansvarige behandlar personuppgifter på ett lagligt och
korrekt sätt och i enlighet med god sed samt påpeka eventuella brister för
honom eller henne
Har personuppgiftsombudet anledning att misstänka att den person-
uppgiftsansvarige bryter mot de bestämmelser som gäller för
behandlingen av personuppgifter och vidtas inte rättelse så snart det kan
ske efter papekande, skall personuppgiftsombudet anmäla förhållandet till
tillsynsmyndigheten
Personuppgiftsombudet skall även i övrigt samråda med tillsynsmyn-
digheten vid tveksamhet om hur de bestämmelser som gäller för
behandlingen av personuppgifter skall tillämpas.
Paragrafen överensstämmer med Datalagskommitténs förslag och har
behandlats i avsnitt 12.12.2.4 i kommitténs betänkande.
Första stycket motsvarar artikel 18.2 första strecksatsen i den andra
strecksatsen i EG-direktivet, se bilaga 1. Personuppgiftsombudet skall se
139
till att den personuppgiftsansvarige behandlar personuppgifter på ett Prop. 1997/98:44
lagligt och korrekt sätt och i enlighet med god sed. Detta innebär att
ombudet måste förvissa sig om att den personuppgiftsansvarige följer be-
stämmelserna i personuppgiftslagen och anknytande lagstiftning. Hur pass
omfattande kontrollen skall vara får avgöras efter omständigheterna i det
enskilda fallet. Ombudet bör i vart fall granska rutinerna för behandling
av personuppgifter och de krav på kvalifikationer, lämplighet och
kunskap som den personuppgiftsansvarige ställer på den personal som
tillåts behandla sådana uppgifter.
Enligt EG-direktivet skall personuppgiftsombudet ”på ett oberoende
sätt” kunna säkra den interna tillämpningen. Det är detta som avses med
personuppgiftsombudets självständiga ställning. Den personuppgifts-
ansvarige bör alltså inte utse ett ombud som har en alltför underordnad
ställning. Ombudet kan vara en anställd hos den personuppgiftsansvarige,
men måste då ges en sådan ställning att befogenheterna som person-
uppgiftsombud kan utövas på ett självständigt sätt i förhållande till arbets-
givaren. Ett anlitat personuppgiftsbiträde eller någon anställd hos biträdet
kan utses till personuppgiftsombud under förutsättning att den utsedde ges
förutsättningar att utöva sitt uppdrag självständigt. Däremot kan en
personuppgiftsansvarig inte utse sig själv till personuppgiftsombud. I
personuppgiftsombudets självständiga ställning ligger vidare att person-
uppgiftsombudet skall ha tillräckliga kvalifikationer och kunskaper för att
kunna utföra sina uppgifter
Andra stycket rör det fallet att det finns anledning att misstänka att den
personuppgiftsansvarige i något avseende inte följer bestämmelserna om
behandlingen. Om personuppgiftsombudet upptäcker brister i uppgifts-
behandlingen, bör ombudet i första hand påpeka detta för den person-
uppgiftsansvarige. Om den personuppgiftsansvarige inte därefter vidtar
rättelse så snart det kan ske, är personuppgiftsombudet skyldigt att anmäla
bristerna till tillsynsmyndigheten. Hur snart rättelse bör ske efter ett
påpekande får bero av omständigheterna i det särskilda fallet. Att det kan
ta någon tid att rätta till upptäckta brister bör i allmänhet accepteras,
särskilt om det upprättas en konkret plan för hur bristerna skall kunna
åtgärdas inom rimlig tid Men dröjer det alltför länge innan något görs,
bör ombudet göra en anmälan till tillsynsmyndigheten.
Att ett anställt personuppgiftsombud i enlighet med paragrafen gör en
anmälan kan som regel inte få några konsekvenser för ombudet i arbets-
rättsligt hänseende. Enligt artikel 5 i ILO:s konvention (nr 158) om
uppsägning av anställningsavtal på arbetsgivarens initiativ utgör det inte
ett giltigt skäl för uppsägning ”att någon gett in klagomål eller deltagit i
ett rättsligt förfarande mot en arbetsgivare, vilket innebär påstående om
överträdelse av lag eller annan författning, eller vänt sig till behörig
myndighet”. Sverige har ratificerat den konventionen, och det har ansetts
att den artikeln är uppfylld genom 7 § lagen (1982:80) om anställ-
ningsskydd jämte rättspraxis (prop. 1982/83:124 s. 5). Arbetsdomstolen
har t.ex. uttalat att de förpliktelser som följer av anställningsavtalet inte
innebär något avgörande hinder för en arbetstagare att hos behörig
myndighet påtala missförhållanden som råder i arbetsgivarens verksamhet
(AD 1986 nr 95).
140
Tredje stycket rör personuppgiftsombudets övriga kontakter med till- Prop. 1997/98:44
synsmyndigheten och motsvarar artikel 20.2 i EG-direktivet, se bilaga 1.
39 § Personuppgiftsombudet skall föra en förteckning över de be-
handlingar som den personuppgiftsansvarige genomför ocn som skulle ha
omfattats av anmälningsskyldighet om ombudet inte hade funnits
Förteckningen skall omfatta åtminstone de uppgifter som en anmälan
enligt 36 § skulle ha innehållit.
Paragrafen överensstämmer med Datalagskommitténs förslag och har
berörts i avsnitt 12.12.2.4 i kommitténs betänkande
Paragrafen skall ha samma innebörd som artikel 18.2 andra streck-
satsen i andra strecksatsen i EG-direktivet, se bilaga 1
40 § Personuppgiftsombudet skall hjälpa registrerade att få rättelse när det
finns anledning att misstänka att behandlade personuppgifter är felaktiga
eller ofullständiga.
Paragrafen överensstämmer med Datalagskommitténs förslag och har
berörts i avsnitt 12.12.2.4 i kommitténs betänkande
Paragrafen motsvarar 8 § fjärde stycket i den nuvarande datalagen
Obligatorisk anmälan av särskilt integritetskänsliga behandlingar
41 § Regeringen får meddela föreskrifter om att sådana automatiserade
behandlingar av personuppgifter som innebär särskilda risker för
otillbörligt intrång i den personliga integriteten skall för förhandskontroll
anmälas till tillsynsmyndigheten enligt 36 § tre veckor i förväg Om
regeringen har meddelat sadana föreskrifter, gäller inte undantaget från
anmälningsskyldigheten enligt 37 §.
Frågan om normgivningsdelegation har berörts i avsnitt 10. Paragrafen
överensstämmer med Datalagskommitténs förslag och har berörts i avsnitt
12.12.2.5 i kommitténs betänkande
Av förslaget till lag om ändring i personuppgifislagen (avsnitt 15)
framgår att paragrafen per den 1 januari 1999 ändras så att det blir möjligt
att meddela föreskrifter även såvitt avser sådan manuell behandling som
omfattas av personuppgifislagen.
Paragrafen har införts mot bakgrund av artikel 20 1 i EG-direktivet, se
bilaga 1.
Upplysningar till allmänheten om behandlingar som inte anmälts
42 § Den personuppgiftsansvarige skall till var och en som begär det
skyndsamt och pa lämpligt sätt lämna upplysningar om sådana
automatiska eller andra behandlingar av personuppgifter som inte har
anmälts till tillsynsmyndigheten. Upplysningarna skall omfatta det som en
anmälan enligt 36 § första stycket skulle ha omfattat. Den person-
uppgiftsansvarige är dock inte skyldig att lämna ut sekretessbelagda
uppgifter eller uppgifter om vilka säkerhetsåtgärder som har vidtagits. En
personuppgiftsansvarig som inte är myndighet får därvid i motsvarande
fall som avses i sekretesslagen (1980:100) vägra att lämna ut uppgifter.
Frågan om upplysningar till allmänheten om behandlingar har behandlats
i avsnitt 12. Paragrafen överensstämmer delvis med Datalagskommitténs
förslag och har berörts i avsnitt 12.12.26 i kommitténs betänkande
141
Paragrafen skall ha samma innebörd som artikel 21 3 första stycket i Prop. 1997/98:44
EG-direktivet, se bilaga 1
Frågor om sekretess har behandlats i avsnitt 11.5.2.
Tillsynsmyndighetens befogenheter
43 8 Tillsynsmyndigheten har rätt att för sin tillsyn på begäran få
a) tillgång till de personuppgifter som behandlas,
b) upplysningar om och dokumentation av behandlingen av personupp-
gifter och säkerheten vid denna, och
cjtillträde till sådana lokaler som har anknytning till behandlingen av
personuppgifter.
44 § Om tillsynsmyndigheten mte efter begäran enligt 43 § kan få tillräck-
ligt underlag för att konstatera att behandlingen av personuppgifter är lag-
lig, får myndigheten vid viteo förbjuda den personuppgiftsansvarige att be-
handla personuppgifter på något annat sätt än genom att lagra dem
45 § Om tillsynsmyndigheten konstaterar att personuppgifter behandlas
eller kan komma att behandlas på ett olagligt sätt, skall myndigheten ge-
nom påpekanden eller liknande förfaranden försöka åstadkomma rättelse
Går det inte att fa rättelse på något annat sätt eller är saken brådskande,
far myndigheten vid vite förbjuda den personuppgiftsansvarige att
fortsätta att behandla personuppgifterna på nagot annat sätt än genom att
lagra dem.
Om den personuppgiftsansvarige inte frivilligt följer o ett beslut om
säkerhetsåtgärder enligt 32 §, som vunnit laga kraft, får tillsynsmyn-
digheten föreskriva vite
46 § Innan tillsynsmyndigheten beslutar om vite enligt 44 eller 45 8, skall
den personuppgiftsansvarige ha fått tillfälle att yttra sig. Om såken är
brådskande, far myndigheten dock i avvaktan pa yttrandet meddela ett
tillfälligt beslut om vite. Det tillfälliga beslutet skall omprövas, när
yttrandetiden har gått ut.
Ett vitesföreläggande skall delges den personuppgiftsansvarige Del-
givning enligt 12 § delgivningslagen (1970:428) får användas bara om det
finns skäl att anta att den personuppgiftsansvarige har avvikit eller på
annat sätt håller sig undan
47 § Tillsynsmyndigheten far hos länsrätten i det län där myndigheten är
belägen ansöka om att sådana personuppgifter som har behandlats på ett
olagligt sätt skall utplånas.o
Beslut om utplånande får inte meddelas om det är oskäligt
Frågan om tillsynsmyndighetens befogenheter har behandlats i avsnitt 13.
Bestämmelserna i 43-47 §§ överensstämmer i huvudsak med Data-
lagskommitténs förslag och har berörts i avsnitt 12.14.1 i kommitténs
betänkande.
Det bör betonas att möjligheten enligt 46 § att meddela ett tillfälligt
beslut om vite är avsedd att utnyttjas bara i undantagsfall när saken är klar
och så brådskande att ett yttrande från den personuppgiftsansvarige inte
kan avvaktas.
Möjligheten enligt 47§ att ansöka om utplånande av personuppgifter
bör bara användas i sådana fall där det inte genom andra åtgärder är
möjligt att förena behandlingen av uppgifterna med de regler som gäller.
Frågan om ett beslut om utplånande är oskäligt får avgöras mot bakgrund
av samtliga omständigheter i det aktuella fallet. Vid bedömningen kan
beaktas sådana faktorer som att ett utplånande för den personuppgifts-
ansvarige skulle innebära stora praktiska svårigheter eller ett svårt
142
ekonomiskt avbräck. Enligt 51 § andra stycket krävs det prövnings- Prop. 1997/98:44
tillstånd vid överklagande till kammarrätten.
Skadestånd
48 § Den personuppgiftsansvarige skall ersätta den registrerade för skada
och kränkning av den personliga integriteten som en behandling av
personuppgifter i strid med denna lag vid behandling av personuppgifter
nar orsakat
Ersättningsskyldigheten kan i den utsträckning det är skäligt jämkas,
om den personuppgiftsansvarige visar att felet inte berodde på honom
eller henne.
Frågan om skadestånd har behandlats i avsnitt 14. Paragrafen överens-
stämmer i huvudsak med Datalagskommitténs förslag, dock att kom-
mittén föreslog att skadestånd även kunde utgå vid behandling i strid med
föreskrifter som meddelats med stöd av lagen, och har även berörts i
avsnitt 12.13.2 1-3 i kommitténs betänkande.
Bestämmelserna i paragrafen är sådana specialbestämmelser om skade-
stånd som tar över de allmänna skadeståndsreglerna i skadeståndslagen
(1972:207), se 1 kap. 1 § i den lagen. I den utsträckning en ersättnings-
fråga inte berörs i paragrafen - t.ex. frågan om hur ersättningen för en
personskada eller sakskada skall beräknas (5 kap. skadeståndslagen) eller
frågan om ansvaret när det finns flera skadeståndsskyldiga (6 kap. 3 §
skadeståndslagen) - tillämpas de allmänna reglerna i skadeståndslagen. I
den utsträckning ett förfarande i strid med lagen eller god sed vid
behandling av personuppgifter ingår som ett led i ett sådant brott som av-
ses i 1 kap. 3 § skadeståndslagen, kan däremot ideellt skadestånd för li-
dande respektive ersättning för kränkning utgå enligt såväl den nyss
nämnda bestämmelsen som denna paragraf. Som Lagrådet påpekat
innebär detta inte att kränkningen ersätts med ett högre belopp enbart
därför att flera bestämmelser kan vara tillämpliga
Av första stycket framgår att den personuppgiftsansvarige är
ersättningsskyldig gentemot den registrerade så snart behandling har skett
i strid med någon bestämmelse i lagen vid behandling av personuppgifter.
Häri inbegrips även god sed, vilken den registeransvarige är skyldig att
följa enligt 9 § första stycket b.Vad som är god sed vid behandling av
personuppgifter får avgöras i rättstillämpningen mot bakgrund av bl.a. de
mer preciserade föreskrifter som kan utfärdas med stöd av lagen, de
branschregler på området som kan ha utarbetats av etablerade
branschorganisationer eller andra representativa sammanslutningar och
hur ansvarsfulla personuppgiftsansvariga som regel beter sig. Skyldig-
heten avser ersättning för personskada, sakskada och ren förmögen-
hetsskada samt kränkning av den personliga integriteten. Det är bara
skada eller kränkning som den olagliga behandlingen har fört med sig
som ersätts. Detta framgår uttryckligen av att det sägs att behandlingen av
uppgifter skall ha orsakat skada respektive kränkning. Orsakssambandet
skall vara adekvat.
Ersättningen för kränkningen får uppskattas efter skälighet mot bak-
grund av samtliga omständigheter i det aktuella fallet. Därvid kan beaktas
bl.a. sådana faktorer som om det funnits risk för otillbörlig spridning av
känsliga eller felaktiga uppgifter och om den registrerade på grund av den
143
felaktiga behandlingen blivit utsatt för något beslut eller några åtgärder Prop. 1997/98:44
som kunnat innebära något negativt för honom eller henne. Har den
registrerade själv lämnat en oriktig eller ofullständig uppgift till den
personuppgiftsansvarige, kan den personuppgiftsansvariges behandling av
denna uppgift inte anses innebära någon sådan kränkning av den
personliga integriteten som bör föranleda ersättning. Ersättningen för
kränkning bör i princip fastställas för varje kränkt registrerad för sig
I andra stycket finns det bestämmelser om jämkning av ersättnings-
skyldigheten. Jämkningsbestämmelsen innebär att ersättningsskyldigheten
kan helt falla bort eller sättas ned delvis. För att ersättningsskyldighet
skall finnas enligt första stycket behöver den registrerade bara bevisa att
det från den personuppgiftsansvariges sida har förekommit en olaglig
behandling av den registrerades personuppgifter och att denna behandling
har skadat eller kränkt honom eller henne. Därefter är det upp till den
personuppgiftsansvarige att bevisa att den olagliga behandlingen inte
berodde på honom eller henne. Lyckas den personuppgiftsansvarige med
detta, får i sista hand en domstol bedöma huruvida och i vilken
utsträckning det kan vara skäligt att ersättningsskyldigheten jämkas
Den personuppgiftsansvarige är gentemot den registrerade i och för sig
ansvarig för all den behandling som han eller hon har ansvaret för, även
när ett personuppgiftsbiträde eller annan hjälp anlitas Ett fel av t.ex. ett
anlitat personuppgiftsbiträde får således anses bero på den person-
uppgiftsansvarige. En annan sak är att den personuppgiftsansvarige i
allmänhet kan få ersättning av ett försumligt personuppgiftsbiträde för
ersättning som måste betalas till registrerade. Däremot kan den person-
uppgiftsansvarige som regel inte med framgång kräva försumliga arbets-
tagare på någon ersättning (4 kap. 1 § skadeståndslagen).
När det är den registrerade som har t.ex. lämnat felaktiga eller
ofullständiga uppgifter vilket lett till en olaglig behandling, kan den
olagliga behandlingen i allmänhet inte anses bero på den person-
uppgiftsansvarige Om det är den registrerade som, t.ex. genom att lämna
felaktiga eller ofullständiga uppgifter, har föranlett en olaglig behandling,
kan det också vara skäligt att helt befria den personuppgiftsansvarige från
ersättningsskyldighet för skada och kränkning som dennes användning av
uppgifterna kan ha förorsakat den registrerade.
Som Lagrådet påpekat kan bestämmelsen i 6 kap 1 § skadestånds-
lagen komma att tillämpas vid fall av medvållande.
En olaglig behandling som beror på felaktigheter i den utrustning som
den personuppgiftsansvarige ansvarar för får som regel anses bero på den
personuppgiftsansvarige. Bara i särpräglade fall kan den personuppgifts-
ansvarige anses oskyldig till den olagliga behandlingen, t.ex. om uppgifter
på ett helt oförutsett vis förvanskas till följd av ett blixtnedslag eller
avbrott eller felaktigheter i ett publikt datanätverk I sådana fall av helt
oförutsedda händelser kan det vara skäligt att mildra ansvaret.
En olaglig behandling av den personuppgiftsansvarige som beror på att
han eller hon har hämtat in felaktiga eller ofullständiga uppgifter från
någon annan personuppgiftsansvarig kan inte anses bero på den person-
uppgiftsansvarige, om han eller hon inte hade någon anledning att miss-
tänka att uppgifterna var felaktiga eller ofullständiga. I vilken utsträckning
ansvaret för den personuppgiftsansvarige skall mildras i sådana fall är ^4
således en skälighetsfråga. Har den personuppgiftsansvarige t.ex. hämtat Prop. 1997/98:44
in tusentals adressuppgifter från någon vanligtvis tillförlitlig källa,
exempelvis ett allmänt register såsom statens person- och adressregister,
kan det vara skäligt att mildra ansvaret. Det kan då inte rimligen krävas att
den personuppgiftsansvarige skulle ha kontrollerat alla adresser. Om den
personuppgiftsansvarige däremot har hämtat uppgifter från en källa som
framstår som otillförlitlig, kan bedömningen bli en annan. Har en
myndighet fatt in uppgifter på grund av uppgiftsskyldighet för enskilda
som är föreskriven i författning, får myndigheten emellertid som regel
anses ha haft anledning att lita på uppgifterna
En olaglig behandling på grund av att personuppgifterna utan den
personuppgiftsansvariges instruktioner har kommit ut till utomstående,
t.ex. genom ett brottsligt intrång i ett datasystem, kan inte anses bero på
den personuppgiftsansvarige, om denne i enlighet med tillämpliga
bestämmelser har en lämplig säkerhetsnivå och intrånget har kunnat kom-
ma till stånd genom att angriparen vant beredd att lägga ned mycket stora
resurser för att komma åt informationen. Då kan det vara skäligt att mildra
ansvaret. Har den personuppgiftsansvarige å andra sidan försummat
säkerheten, får den olagliga behandlingen anses bero på honom eller
henne
Vid den skälighetsbedömning som skall göras i de fall där den olagliga
behandlingen bevisligen inte beror på den personuppgiftsansvarige bör
beaktas också den registrerades behov av skadestånd och den person-
uppgiftsansvariges förmåga att betala skadestånd
I det fallet att en viss felaktig behandling har omfattat uppgifter om
många människor, bör man dock vid skälighetsbedömningen såvitt avser
ersättningen för kränkning kunna ta hänsyn till att den samlade ersätt-
ningsskyldigheten för den personuppgiftsansvarige inte blir orimligt stor.
Straff
49 § Till böter eller fängelse i högst sex månader eller3 om brottet är
grovt, till fängelse i högst två år döms den som uppsatligen eller av
oaktsamhet
a) lämnar osann uppgift i sådan information till registrerade som
föreskrivs i denna Tag, i anmälan till tillsynsmyndigheten enligt 36 §,
eller till tillsynsmyndigheten när myndigheten begär information enligt
43 S,
b) behandlar personuppgifter i strid med 13-21 §§,
c) för över personuppgifter till tredie land i strid med 33-35 §§, eller
d) låter bli att göra anmälan enligt 36 § första stycket eller enligt
föreskrifter meddelade med stöd av 41 §.
Den som överträtt ett vitesföreläggande enligt 44 § eller 45 § första
stycket döms mte till ansvar för en gärning som omfattas av vites-
föreläggandet
Frågan om straff har behandlats i avsnitt 14. Paragrafen har i förhållande
till Datalagskommitténs förslag kompletterats med bestämmelserna i
punkt b-d. Datalagskommitténs förslag har berörts i avsnitt 12.13.2.4 i
kommitténs betänkande
Vid bedömandet av om brottet är grovt kan beaktas sådana omstän-
digheter som att de olagligt behandlade uppgifterna avsett förhållanden av
avsevärd betydelse för den registrerade och att gärningsmannen insett
detta eller att gärningsmannen lämnat osanna uppgifter för att undkomma
10 Riksdagen 1997/98. 1 saml. Nr 44
påföljd eller vinna någon annan fördel eller att det brottsliga utnyttjandet Prop. 1997/98:44
av uppgifterna annars framstår som hänsynslöst. Bara i undantagsfall
torde en gärning som begåtts av oaktsamhet kunna betraktas som ett grovt
brott.
I andra stycket, som lagts till på förslag från Lagrådet, föreskrivs att
den som överträtt ett vitesföreläggande enligt 44 eller 45 § första stycket
inte döms till ansvar för en gärning som omfattas av vitesföreläggandet.
Närmare föreskrifter
50 § Regeringen eller den myndighet som regeringen bestämmer får i
fråga om automatiserad behandling av personuppgifter meddela närmare
föreskrifter om
a) i vilka fall behandling av personuppgifter är tillåten,
b) vilka krav som ställs på den personuppgiftsansvarige vid behandling av
personuppgifter,
c) i vilka faJTanvändning av personnummer är tillåten,
d) vad en anmälan eller ansökan till en personuppgiftsansvarig skall
innehålla,
e) vilken information som skall lämnas till registrerade och hur
informationen skall lämnas, och
f) anmälan till tillsynsmyndigheten och förfarandet när anmälda uppgifter
har ändrats.
Frågan om normgivningsdelegation har behandlats i avsnitt 10. Para-
grafen överensstämmer med Datalagskommitténs förslag och har berörts i
avsnitt 12.1.2 i kommitténs betänkande
Av förslaget till lag om ändring i personuppgiftslagen (avsnitt 15)
framgår att paragrafen per den 1 januari 1999 ändras så att det blir möjligt
att meddela föreskrifter även såvitt avser sådan manuell behandling som
omfattas av personuppgiftslagen Av 8 kap 13 § regeringsformen framgår
att regeringen utan särskilt bemyndigande från riksdagen kan meddela
föreskrifter om verkställighet av lag och delegera denna föreskriftsrätt till
myndighet I vart fall punkterna d, andra ledet av e och f i paragrafen ut-
gör sådana verkställighetsföreskrifter. Av tydlighetsskäl omfattar bemyn-
digandet även dessa situationer, trots att regeringen utan bemyndigande
ändå hade kunnat meddela sådana föreskrifter. Regeringen kan natur-
ligtvis meddela verkställighetsföreskrifter som inte tagits upp i paragrafen
Det är således möjligt att före den 1 januari 1999 meddela verkställig-
hetsföreskrifter även avseende manuell behandling av personuppgifter
Överklagande
51 § Tillsynsmyndighetens beslut enligt denna lag om annat än
föreskrifter får överklagas hos allmän förvaltningsdomstol
Prövningstillstånd krävs vid överklagande tiirkammarrätten
Tillsynsmyndigheten får bestämma att dess beslut skall gälla även om
det överklagas.
Frågan om överklagande har behandlats i avsnitt 13. Paragrafen överens-
stämmer med Datalagskommitténs förslag och har berörts i avsnitt
12.14.2 i kommitténs betänkande.
Kravet på prövningstillstånd i andra stycket avser överklagande av
länsrättens beslut enligt såväl första stycket som 47 §.
146
Ikraftträdande- och övergångsbestämmelser
1. Denna lag träder i kraft den 24 oktober 1998, då datalagen (1973:289)
skall upphöra att gälla. Den äldre lagen gäller dock fortfarande i fråga
om överklagande av beslut som har meddelats före den 24 oktober
1998.
2. I fråga om behandling av personuppgifter som påbörjats före ikraft-
trädandet eller behandling som utförs for ett visst bestämt ändamål om
behandling för ändamålet påbörjats före ikraftträdandet skall t. o m
den 30 september 2001 den äldre lagen tillämpas i stället för den nya.
Detta gäller även bestämmelserna i den äldre lagen om överklagande.
3. Bestämmelserna i 9, 10 13 och 21 §8 ioden nyajagen skall inte börja
tillämpas förrän den 1 oktober 2007 i fråga om sådan manuell behand-
ling av personuppgifter som påbörjats före ikraftträdandet eller manuell
behandling som utförs för ett visst bestämt ändamål om manuell
behandling för ändamålet påbörjats före ikraftträdandet.
4. I fråga om personuppgifter som vid ikraftträdandet lagras för historisk
forskning skall bestämmelserna i 9, 10, 13 och 21 J§§ j den nya lagen
börja tillampas först när uppgifterna behandlas pa något annat sätt
Innan dess skall motsvarande bestämmelser i den aldre lagen tillämpas
De angivna bestämmelserna i den nya lagen skall dock inte till följa av
vad som nu sagts böna tillämpas tidigare än vad som följer av 2 eller 3.
5. Anmälan enligt 36 § i den nya lagen får göras innan den nya lagen har
trätt i kraft för den aktuella behandlingen.
6. Ett samtycke som har lämnats innan den nya lagen har trätt i kraft för
den aktuella behandlingen skall gälla även efter ikraftträdandet om
samtycket uppfyller kraven i den nya lagen.
7. Har en begäran om registerutdrag enligt 10 § i den äldre lagen kommit
in innan den nya lagen trätt i kraft för den aktuella behandlingen men
har utdraget inte expedierats före ikraftträdandet skall framställningen
anses som en ansökan enligt 26 § i den nya lagen.
8. Den nya lagens bestämmelser om skadestånd skall bara tillämpas om
den omständighet som yrkandet hänför sig till har inträffat efter det att
den nya lagen nar trätt i kraft för den aktuella behandlingen. I annat fall
tillämpas de äldre bestämmelserna
Frågan om ikraftträdande och övergångsbestämmelser har behandlats i
avsnitt 15. Övergångsbestämmelserna överensstämmer i huvudsak med
Datalagskommitténs förslag, dock att kommittén föreslog att lagen skulle
träda i kraft den 1 januari 1999. Kommittén har berört förslagen i avsnitt
12.15 i sitt betänkande
Kravet enligt punkt 2 och 3 på att behandlingen påbörjats vid ikraft-
trädandet har behandlats i avsnitt 15 och motsvarar artikel 32 2 i EG-
direktivet, se bilaga 1
Punkt 4 skall ha samma innebörd som artikel 32.3 i direktivet.
7 kap. 16 §
Ändringen i första stycket innebär att sekretessbestämmelsen samordnas
med bestämmelserna i personuppgifislagen.
Andra stycket upphävs. I personuppgifislagen finns det i 33-35 §§
bestämmelser om förutsättningarna för överföring av personuppgifter till
tredje land som gäller även för myndigheter. Redan första stycket i denna
paragraf medför att sekretess gäller om ett utlämnande av personuppgifter
till tredje land skulle stå i strid med de nämnda bestämmelserna i person-
uppgiftslagen. Andra stycket i paragrafen behövs således inte längre.
Ändringarna överensstämmer helt med Datalagskommitténs förslag.
Prop. 1997/98:44
147
9 kap. 6 § Prop. 1997/98:44
I första stycket finns det två ändringar i sak. Ändringarna överensstämmer
helt med Datalagskommitténs förslag.
Den första ändringen - varigenom ordet lag byts ut mot orden lag eller
annan författning - innebär att det även i förordning kan anges vilken
tillsyn som ankommer på Datainspektionen.
Den andra ändringen innebär att bestämmelsen om överföring av nu
aktuell sekretess till regeringen har tagits bort. Anledningen till detta är att
ärenden som avses i denna paragraf enligt personuppgifislagen inte i nå-
got fall skall överklagas till regeringen, se avsnitt 13. Då behövs inte
längre någon bestämmelse om överföring av sekretess till regeringen. För
uppgifter i ärenden som avgjorts av Datainspektionen genom beslut före
ikraftträdandet och som överklagats till regeringen enligt den gamla ord-
ningen föreslås en särskild övergångsbestämmelse om att de äldre
reglerna fortfarande skall tillämpas. Bestämmelsen om överföring av
sekretess till Justitiekanslem har däremot behållits trots att Justitie-
kanslem inte får överklaga Datainspektionens beslut enligt person-
uppgiftslagen, eftersom Justitiekanslem enligt annan lagstiftning kan
överklaga Datainspektionens beslut i ärenden som avses i denna paragraf,
se t.ex. 23 § kreditupplysningslagen (1973:1173)
Det bör nämnas att bestämmelser som motsvarar de bestämmelser som
finns i denna paragraf, såvitt avser personuppgiftsskyddet, skall finnas
enligt artikel 28.7 i EG-direktivet, se bilaga 1. Paragrafen bör således i
fortsättningen vid behov tolkas EG-konformt
9 kap. 7 §
Paragrafen har justerats med anledning av att personuppgifislagen ersätter
den nuvarande datalagen.
14 kap. 3 §
Andra stycket har justerats med anledning av att personuppgiftslagen
ersätter den nuvarande datalagen.
15 kap. 11 §
Punkt 8 i andra stycket har justerats med anledning av att person-
uppgiftslagen ersätter den nuvarande datalagen
15 kap. 14 §
Bestämmelsen har utan ändring i sak flyttats över från 14 § i den
nuvarande datalagen.
Ikraftträdande- och övergångsbestämmelser
Lagen träder i kraft samtidigt som personuppgifislagen. Enligt andra
punkten, som lagts till efter det att lagrådsremissen behandlats i Lagrådet,
skall den äldre lydelsen av vissa paragrafer gälla i fråga om behandling
för vilken datalagen (1973:289) är tillämplig fram till den 30 septem-
ber 2001.
148
Prop. 1997/98:44
4 kap. 9 c och 10 §§
Bestämmelserna om straff för dataintrång i nuvarande 21 § i den
nuvarande datalagen har utan ändring i sak förts över till 4 kap 9 c § och
10 § brottsbalken
Straffbestämmelserna i 21 § i den nuvarande datalagen är i dag
subsidiära i förhållande till straffbestämmelserna i lagen (1990:409) om
skydd för företagshemligheter. Enligt den lagen straffas företagsspioneri
och olovlig befattning med företagshemlighet med böter eller fängelse i
högst två år eller, om brottet är grovt, fängelse i högst sex respektive fyra
år. Är gärningen belagd med strängare straff enligt brottsbalken, döms
dock inte till ansvar för dessa brott För dataintrång och för normalgraden
av företagsspioneri och olovlig befattning med företagshemlighet gäller
samma straffskala. I och med att bestämmelsen om straff för dataintrång
förs över till brottsbalken finns det inte anledning att ha någon annan
reglering om konkurrensen än den som gäller förhållandet mellan övriga
brottsbalksbrott och straffbestämmelserna om företagsspioneri och olovlig
befattning med företagshemlighet
Förhållandet mellan bestämmelsen om straff för dataintrång i 4 kap
och bestämmelserna i samma kapitel om straff för brytande av post- eller
telehemlighet och intrång i förvar klargörs uttryckligen. Förhållandet
mellan brottet dataintrång och övriga brottsbalksbrott får avgöras enligt
sedvanliga principer för bedömningen av konkurrens mellan över-
lappande straffstadganden i brottsbalken.
8 kap 7 §
Ändringen i första stycket punkt 8 innebär att regeringen och i före-
kommande fall, efter s.k. subdelegation, den myndighet som regeringen
bestämmer kan ges behörighet att meddela föreskrifter på hela det område
som omfattas av personuppgifislagen, dvs. avseende även skydd för
personlig integritet vid viss icke automatiserad behandling av person-
uppgifter. Ändringen, som överensstämmer med Datalagskommitténs
förslag, har behandlats i avsnitt 10. Frågan om dagen för ikraftträdandet
av ändringen - den 1 januari 1999 - har behandlats i avsnitt 15.
Ändringarna i 20, 21, 35, 41 och 50 §§ innebär att regeringen eller den
myndighet som regeringen bestämmer från och med ikraftträdandet den 1
januari 1999 av den ändring i regeringsformen som berörts i närmast
föregående avsnitt bemyndigas att meddela föreskrifter även såvitt avser
sådan manuell behandling av personuppgifter som omfattas av person-
149
uppgiftslagen. Frågan om normgivningsdelegation har behandlats i avsnitt Prop. 1997/98:44
10 och frågan om ikraftträdande har behandlats i avsnitt 15.
150
Prop. 1997/98:44
Bilaga 1
EUROPAPARLAMENTETS OCH RÅDETS DIREKTIV 95/46/EG
av den 24 oktober 1995
om skydd för enskilda personer med avseende på behandling av
personuppgifter och om det fria flödet av sådana uppgifter
EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD
HAR ANTAGIT DETTA DIREKTIV
med beaktande av Fördraget om upprättandet av Europeiska gemen-
skapen, särskilt artikel 100a i detta,
med beaktande av kommissionens förslag(’),
med beaktande av Ekonomiska och sociala kommitténs yttrande(2),
i enlighet med det förfarande som anges i fördragets artikel 189b(3), och
med beaktande av följande:
1) Gemenskapens målsättningar som uttryckts i fördraget, såsom detta
ändrats genom Fördraget om Europeiska unionen, består i att för-
verkliga en allt fastare sammanslutning av de europeiska folken, i att
upprätta allt närmare relationer mellan de stater som förenas i
gemenskapen, i att säkerställa ekonomiska och sociala framsteg i
sina länder genom gemensamma åtgärder för att undanröja de
barriärer som delar Europa, i att fortgående förbättra levnadsvill-
koren för dess folk, i att bevara och stärka fred och frihet och i att
främja demokratin på grundval av de grundläggande rättigheter som
erkänns i medlemsstaternas grundlagar och lagar liksom i den
europeiska konventionen om skydd för de mänskliga rättigheterna
och de grundläggande friheterna.
2) Systemen för databehandling av uppgifter är till för människomas
skull. Oavsett fysiska personers medborgarskap eller hemvist måste
systemen respektera dessa personers grundläggande fri- och rättig-
heter - särskilt rätten till privatlivet - och bidra till ekonomiska och
sociala framsteg, handelns utveckling och enskilda personers väl-
färd
3) Upprättandet av den inre marknaden och dennas funktion, som i en-
lighet med artikel 7a i fördraget innebär fri rörlighet för varor, per-
soner, tjänster och kapital, förutsätter inte bara att personuppgifter
fritt kan överföras från en medlemsstat till en annan utan också att
enskilda personers grundläggande rättigheter skyddas.
(') EGT nr C 277, 5.11.1990, s. 3, och EGT nr C 311, 27.11.1992, s. 30.
(2) EGT nr C 159, 17.6.1991, s. 38.
(3) Europaparlamentets yttrande av den 11 mars 1992 (EGT nr C 94, 13.4.1992, s. 198),
bekräftat den 2 december 1993 (EGT. nr C 342, 20.12.1993, s. 30) rådets gemensamma
ståndpunkt av den 20 februari 1995 (EGT nr C 93, 13.4.1995, s. 1) och
Europaparlamentets beslut av den 15 juni 1995 (EGT nr C 166, 3.7.1995).
151
4) Inom gemenskapen behandlas och används personuppgifter allt
oftare inom olika ekonomiska och samhälleliga områden. Fram-
stegen på informationsteknikens område har gjort det avsevärt
lättare att behandla och utbyta sådana uppgifter.
5) Den ekonomiska och sociala integration som är en följd av
upprättandet av den inre marknaden och dennas funktion i enlighet
med artikel 7a i fördraget kommer med nödvändighet att leda till en
betydande ökning av flödet av personuppgifter över gränserna
mellan samtliga aktörer på de ekonomiska och samhälleliga om-
rådena, oavsett om dessa aktörer tillhör den privata eller den offent-
liga sektorn Utbytet av personuppgifter mellan företag i olika
medlemsstater kommer att öka. De nationella myndigheterna i de
olika medlemsstaterna måste som ett led i tillämpningen av gemen-
skapsrätten samarbeta och utbyta personuppgifter för att kunna
fullgöra sina åligganden eller utföra arbetsuppgifter för en myn-
dighet i en annan medlemsstat inom det område utan inre gränser
som den inre marknaden innebär
6) Det ökade vetenskapliga och tekniska samarbetet liksom det sam-
ordnade införandet av nya telekommunikationsnät inom gemen-
skapen nödvändiggör och underlättar dessutom det gränsöver-
skridande flödet av personuppgifter
7) Skillnaden i skyddsnivå mellan medlemsstater vad gäller enskilda
personers fri- och rättigheter, särskilt rätten till privatliv med avseen-
de på behandling av personuppgifter, kan hindra översändande av
sådana uppgifter från en medlemsstats territorium till en annans
Denna skillnad kan därför utgöra ett hinder för att utöva en rad
ekonomiska aktiviteter på gemenskapsnivå, snedvrida konkurrensen
och hindra myndigheterna att fullgöra de skyldigheter som åligger
dem enligt gemenskapsrätten. Denna skillnad i skyddsnivå beror på
olikheter i nationella lagar och andra författningar
8) För att hindren mot flöden av personuppgifter skall kunna avskaffas
måste skyddsnivån när det gäller enskilda personers fri- och
rättigheter med avseende på behandlingen av sådana uppgifter vara
likvärdig i alla medlemsstater. Denna målsättning är av grund-
läggande betydelse för den inre marknaden men kan inte uppnås
genom åtgärder endast av medlemsstaterna, i synnerhet med tanke
på omfattningen av de skillnader som för närvarande finns mellan
nationell lagstiftning på området och med tanke på behovet av att
samordna lagstiftningen i medlemsstaterna för att säkerställa en
sådan enhetlig reglering av det gränsöverskridande flödet av person-
uppgifter som överensstämmer med målsättningen för den inre
marknaden enligt artikel 7a i fördraget. Det är därför nödvändigt att
gemenskapen vidtar åtgärder för att åstadkomma en tillnärmning av
lagstiftningen
9) Eftersom tillnärmningen av de nationella lagstiftningarna kommer
att leda till ett likvärdigt skydd kommer medlemsstaterna inte längre
att kunna hindra det fria flödet av personuppgifter mellan dem under
hänvisning till enskilda personers fri- och rättigheter, särskilt rätten
till privatliv. Medlemsstaterna kommer att få ett handlingsutrymme,
Prop 1997/98:44
Bilaga 1
152
som i samband med genomförandet av detta direktiv också kommer
att kunna utnyttjas av näringslivet och arbetsmarknadens parter.
Medlemsstaterna kommer därför att i sin nationella lagstiftning sär-
skilt kunna ange de allmänna villkor som skall gälla för behand-
lingen av uppgifter. Medlemsstaterna skall härvid sträva efter att
förbättra det skydd som deras nuvarande lagstiftning ger. Inom
ramen för detta handlingsutrymme och i enlighet med gemenskaps-
rätten kan skillnader uppkomma vid genomförandet av direktivet,
vilket kan påverka flödet av uppgifter såväl inom en medlemsstat
som på gemenskapsnivå.
10) Ändamålet med den nationella lagstiftningen om behandling av per-
sonuppgifter är att skydda grundläggande fri- och rättigheter,
särskilt den rätt till privatlivet som erkänns både i artikel 8 i den
europeiska konventionen om skydd för de mänskliga rättigheterna
och de grundläggande friheterna och i gemenskapsrättens allmänna
rättsprinciper. Av denna anledning får tillnärmningen av denna
lagstiftning inte medföra någon inskränkning i det skydd de ger,
utan skall i stället syfta till att garantera en hög skyddsnivå inom
gemenskapen.
11) De principer om skydd för enskilda personers fri- och rättigheter,
särskilt rätten till privatlivet, som detta direktiv innehåller, utgör en
precisering och en förstärkning av principerna i Europarådets
konvention av den 28 januari 1981 om skydd för enskilda vid
automatisk databehandling av personuppgifter.
12) Principerna för skyddet måste gälla för all behandling av personupp-
gifter som utförs av en person vars verksamhet regleras av gemen-
skapsrätten. En fysisk persons behandling av uppgifter uteslutande
för personliga ändamål eller för hemmabruk, såsom korrespondens
eller förande av adressregister, skall dock inte omfattas.
13) Sådan verksamhet som avses i avdelningarna V och VI i Fördraget
om Europeiska unionen och som rör allmän säkerhet, försvar,
statens säkerhet och statens verksamhet på straffrättens område
faller inte inom tillämpningsområdet för gemenskapsrätten, dock
med förbehåll för medlemsstaternas skyldigheter enligt artik-
larna 56.2, 57 eller 100a i Fördraget om upprättandet av Europeiska
gemenskapen. Sådan behandling av personuppgifter som är nödvän-
dig för att skydda statens ekonomiska välstånd omfattas inte av detta
direktiv, när behandlingen har samband med frågor om statens
säkerhet.
14) För närvarande görs inom ramen för informationssamhället be-
tydande framsteg såvitt avser tekniken för att uppta, överföra,
bearbeta, registrera, lagra eller lämna ut ljud- eller bilduppgifter om
fysiska personer, detta direktiv bör därför tillämpas på behandling
av sådana uppgifter
15) Behandlingen av sådana uppgifter omfattas av detta direktiv endast
om den sker med hjälp av automatisk databehandling eller om de
uppgifter som behandlas ingår eller avses ingå i ett register som är
uppbyggt efter vissa med utgångspunkt i för enskilda personer utfor-
made kriterier för att underlätta tillgång till de berörda uppgifterna.
Prop. 1997/98:44
Bilaga 1
153
16) Behandlingen av ljud- och bilduppgifter - exempelvis i samband
med videoövervakning - omfattas mte av detta direktiv om den
utförs för att tillgodose den allmänna säkerheten, försvaret, statens
säkerhet eller statens verksamhet på straffrättens område eller till
annan verksamhet som inte faller inom gemenskapsrättens tillämp-
ningsområde.
17) När det gäller behandling av ljud- och bilduppgifter för journa-
listiska ändamål eller i litterärt eller konstnärligt skapande, särskilt
på det audiovisuella området, skall direktivets principer i enlighet
med bestämmelserna i artikel 9 tillämpas restriktivt.
18) För att undvika att en enskild person förvägras det skydd som till-
kommer honom enligt detta direktiv skall varje behandling av per-
sonuppgifter inom gemenskapen ske i enlighet med lagstiftningen i
en av medlemsstaterna. Med hänsyn till detta bör behandlingen av
uppgifter som utförs av någon som på uppdrag av en register-
ansvarig som är etablerad i en medlemsstat regleras av den statens
lagstiftning
19) Etablering på en medlemsstats territorium förutsätter effektiv och
faktisk verksamhet med hjälp av en stabil struktur. Härvid har den
berörda verksamhetens rättsliga form inte avgörande betydelse,
oavsett om det är fråga om en filial eller om ett dotterbolag som är
en juridisk person. Om den ansvarige är etablerad på flera medlems-
staters territorier, särskilt genom dotterbolag, måste han för att
undvika varje kringgående garantera att varje verksamhet uppfyller
bestämmelserna i den nationella lagstiftning som gäller för akti-
viteterna.
20) Den omständigheten att den registeransvarige är etablerad i ett
tredje land far inte utgöra ett hinder f
uppgifter tillämpas den medlemsstats lagstiftning som innehåller de
hjälpmedel som används för behandlingen. Det bör finnas garantier
för att de rättigheter som följer av detta direktiv respekteras i
praktiken
21) Detta direktiv påverkar inte de territorialitetsregler som gäller på
straffrättens område.
22) Medlemsstaterna bör i sin lagstiftning eller genom andra bestäm-
melser som antas för att genomföra detta direktiv närmare ange de
allmänna villkoren för att en behandling skall vara tillåten. Särskilt
artikel 5 jämförd med artiklarna 7 och 8 tillåter medlemsstaterna att,
oavsett de allmänna regler som gäller, ange särskilda villkor för
behandlingen av uppgifter på särskilda områden och för de olika
kategorier av uppgifter som behandlas i artikel 8.
23) Medlemsstaterna har befogenhet att genomföra skyddet för enskilda
personer både genom en generell lagstiftning om skydd för enskilda
personer såvitt avser behandling av personuppgifter och genom sär-
skild lagstiftning som till exempel om statistiska institut.
24) Sådan lagstiftning som rör skydd för juridiska personer med avseen-
de på behandling av uppgifter som angår dem berörs inte av detta
direktiv.
Prop. 1997/98:44
Bilaga 1
154
25) Principerna för skyddet måste avspeglas dels i de förpliktelser som
åvilar personer, myndigheter, företag, institutioner, organ eller andra
registeransvariga särskilt med avseende på uppgifternas kvalitet, den
tekniska säkerheten, anmälningar till tillsynsmyndigheten och de
omständigheter under vilka behandling får utföras, dels i de rättighe-
ter som tillkommer enskilda personer, vilkas personuppgifter blir
föremål för behandling, att bli informerade om att behandling sker,
att fa tillgång till uppgifterna, att begära rättelse och att under vissa
omständigheter invända mot behandlingen.
26) Principerna för skyddet måste gälla all information som rör en
identifierad eller identifierbar person. För att avgöra om en person
är identifierbar skall härvid beaktas alla hjälpmedel som i syfte att
identifiera vederbörande rimligen kan komma att användas antingen
av den registeransvarige eller av någon annan person. Skyddsprin-
cipema gäller mte för uppgifter som gjorts anonyma på ett sådant
sätt att den registrerade inte längre är identifierbar. En sådan
uppförandekodex som avses i artikel 27 kan vara ett användbart
redskap för att ge vägledning om hur uppgifter kan göras anonyma
och behållas i en form som gör det omöjligt att identifiera den
registrerade.
27) Enskilda personer skall skyddas både i samband med automatisk da-
tabehandling av uppgifterna och i samband med manuell
behandling. Omfattningen av detta skydd får inte faktiskt bero på
den teknik som används eftersom detta skulle kunna skapa en
allvarlig risk för kringgående. När det gäller manuell behandling
omfattar detta direktiv endast register och inte ostrukturerade akter.
Särskilt innehållet i ett register måste vara strukturerat efter
bestämda kriterier som avser enskilda personer, för att lätt ge
tillgång till personuppgifter. I enlighet med definitionen i artikel 2 c)
kan de olika kriterier som gör det möjligt att fastställa de enskilda
delarna av en strukturerad samling personuppgifter och de olika
kriterier som reglerar möjligheten att få tillgång till en sådan
samling utformas av varje medlemsstat Akter eller grupper av akter
liksom dessas omslag, vilka inte är strukturerade enligt särskilda
kriterier, faller inte under några omständigheter inom detta direktivs
tillämpningsområde
28) Varje behandling av personuppgifter måste vara laglig och korrekt
gentemot berörda personer. Uppgifterna måste särskilt vara ade-
kvata, relevanta och nödvändiga med hänsyn till de ändamål för
vilka de behandlas. Dessa ändamål skall vara uttryckligt angivna,
berättigade och bestämda vid tiden för insamling av uppgifterna.
Sådana ändamål med behandlingen som läggs fast sedan upp-
gifterna samlats in får inte vara oförenliga med de ändamål som ur-
sprungligen angavs.
29) Senare behandling av personuppgifter för historiska, statistiska eller
vetenskapliga ändamål kan - förutsatt att medlemsstaterna ger lämp-
liga garantier - inte allmänt sett anses oförenliga med de ändamål
för vilka uppgifterna tidigare samlades in Dessa garantier skall
Prop 1997/98:44
Bilaga 1
155
särskilt hindra att uppgifterna används för att vidta åtgärder mot
eller fatta beslut som rör en viss person
30) För att vara tillåten skall en behandling av personuppgifter dessutom
utföras med den registrerades samtycke eller vara nödvändig för in-
gåendet eller utförandet av förpliktelser i enlighet med ett avtal som
är bindande för den registrerade, eller fordras enligt lagstiftning vid
utförandet av något som är i det allmännas intresse eller är ett led i
myndighetsutövning eller vara i en fysisk eller juridisk persons in-
tresse förutsatt att skyddet av den registrerades fri- och rättigheter
inte går före För att särskilt garantera jämvikt mellan de berörda
intressena och för att samtidigt säkerställa en effektiv konkurrens får
medlemsstaterna närmare ange på vilka villkor användning och
utlämnande till tredje man av personuppgifter får äga rum inom
ramen för tillåtna aktiviteter som av företag och andra organ utövas i
deras löpande verksamhet Medlemsstaterna får även närmare ange
på vilka villkor personuppgifter i marknadsfönngssyfte far vidare-
befordras till tredje man, oavsett om detta sker kommersiellt eller av
välgörenhetsorganisationer, föreningar eller stiftelser, exempelvis av
politisk karaktär, men förutsatt att regler iakttas som har till syfte att
ge den registrerade möjlighet att invända mot att de uppgifter som
rör honom behandlas utan att behöva ange sina skäl och utan att
åsamkas kostnader för detta.
31) Behandling av personuppgifter måste även anses tillåten när den ut-
förs för att skydda ett intresse som är av avgörande betydelse för den
registrerades liv
32) Det ankommer på den nationella lagstiftningen att avgöra om den
som ansvarar för en behandling som utförs i det allmännas intresse
eller vid myndighetsutövning skall vara en myndighet eller något
annat offentligrättsligt eller civilrättsligt subjekt, såsom exempelvis
en yrkesorganisation.
33) Uppgifter som på grund av sin natur kan kränka grundläggande fri-
och rättigheter eller privatlivets helgd får inte behandlas utan sam-
tycke av den registrerade. Dock måste det finnas en uttrycklig möj-
lighet att för att tillgodose särskilda behov, i synnerhet när behand-
lingen av uppgifterna utförs för ändamål som har samband med
hälso- och sjukvården av personer som är underkastade tystnadsplikt
eller för att genomföra berättigade åtgärder av vissa föreningar eller
stiftelser vilkas syften är att skydda utövningen av vissa grund-
läggande fri- och rättigheter.
34) När det av hänsyn till viktiga allmänna intressen är nödvändigt,
måste medlemsstaterna kunna avvika från förbudet mot att behandla
känsliga kategorier av uppgifter på sådana områden som exempelvis
folkhälsa och socialskydd, särskilt för att säkerställa kvalitet och
lönsamhet när det gäller förfaranden som används i samband med
ansökningar om förmåner och tjänster inom sjukförsäkrings-
systemet, i samband med vetenskaplig forskning och i samband med
offentlig statistik. Dock åligger det medlemsstaterna att sörja för att
det finns lämpliga och konkreta garantier för att skydda enskilda
personers grundläggande rättigheter och privatliv.
Prop. 1997/98:44
Bilaga 1
156
35) Myndigheters behandling av personuppgifter för officiellt erkända
religiösa sammanslutningars räkning för att uppfylla målsättningar
som uttrycks i grundlagen eller folkrätten utförs för att tillgodose
viktiga samhälleliga intressen.
36) Om det i samband med att allmänna val hålls för att det demo-
kratiska systemet skall fungera är nödvändigt att de politiska par-
tierna i vissa medlemsstater samlar in uppgifter om enskilda per-
soners politiska uppfattning far behandling av sådana uppgifter
tillåtas av hänsyn till viktiga allmänna intressen, på villkor att
bestämmelser om lämpliga garantier föreskrivs.
37) För sådan behandling av personuppgifter som sker för journalistiska
ändamål eller för konstnärligt eller litterärt skapande - särskilt på
det audiovisuella området - bör det fastställas undantag från eller
begränsningar i förhållande till vissa bestämmelser i detta direktiv så
långt detta är nödvändigt för att förena enskilda personers grund-
läggande rättigheter med yttrandefriheten, särskilt den rätt att ta
emot och lämna upplysningar som särskilt fastslås i artikel 10 i den
europeiska konventionen om skydd för de mänskliga rättigheterna
och de grundläggande friheterna. För att åstadkomma en avvägning
mellan de grundläggande fri- och rättigheterna åligger det medlems-
staterna att besluta om nödvändiga undantag och begränsningar
såvitt avser de generella åtgärder som har avseende på uppgifts-
behandlingens berättigande, åtgärder för att vidareföra uppgifter till
tredje land och tillsynsmyndighetens befogenheter. Detta får dock
inte leda till att medlemsstaterna beslutar om undantag från åtgärder
som vidtas för att säkerställa behandlingens säkerhet. Den till-
synsmyndighet som är behörig på området bör utrustas med i vart
fall vissa befogenheter att utövas efter behandlingen i fråga,
exempelvis befogenhet att med jämna mellanrum offentliggöra en
rapport eller att överlämna ärenden till rättsliga myndigheter.
38) En korrekt behandling av uppgifter förutsätter att de registrerade
kan få kännedom om behandlingen och att de - när uppgifter samlas
in hos dem - kan få korrekt och fullständig information med hänsyn
till de närmare omständigheterna vid insamlingen.
39) I vissa fall rör behandlingen uppgifter som den registeransvarige
inte har samlat in direkt från den registrerade. Vidare kan utläm-
nande av uppgifter till tredje man vara tillåten även om utlämnandet
inte kunde förutses när uppgifterna samlades in från den re-
gistrerade. I samtliga dessa fall skall den registrerade informeras när
uppgifterna registreras eller senast när uppgifterna för första gången
lämnas ut till tredje man.
40) Det är dock inte nödvändigt att ställa detta krav om den registrerade
redan känner till informationen. Detta krav behöver inte heller
ställas om registreringen eller utlämnandet uttryckligen regleras i
lagstiftningen eller om lämnande av information till den berörda
personen visar sig vara omöjligt eller innebära oproportionerligt
stora ansträngningar, vilket skulle kunna vara fallet i samband med
behandling för historiska, statistiska eller vetenskapliga ändamål I
Prop. 1997/98:44
Bilaga 1
157
detta sammanhang kan antalet registrerade, uppgifternas ålder och
de kompensatoriska åtgärder som kan vidtas tas i beaktande.
41) Alla måste kunna utöva sin rätt att få tillgång till uppgifter som rör
dem och som är föremål för behandling, för att i detalj kunna
försäkra sig om att uppgifterna är korrekta och om att behandlingen
är tillåten. Av samma anledning måste var och en ha rätt att få reda
på den logik som gäller för den automatiska databehandlingen av
uppgifter som rör honom, åtminstone såvitt avser sådana automa-
tiska beslut som avses i artikel 15.1. Denna rättighet får inte kränka
affärshemligheten eller upphovsrätten, särskilt inte den upphovsrätt
som skyddar programvaran. Detta bör dock inte få resultera i att den
registrerade nekas all information.
42) Medlemsstaterna kan av hänsyn till intresset hos den registrerade
eller till andras fri- och rättigheter begränsa rätten till tillgång till
uppgifter och information. De kan till exempel besluta att tillgång
till uppgifter av medicinsk art endast får erhållas genom förmedling
av någon som är yrkesmässigt verksam inom hälso- och sjukvården.
43) Rätten till tillgång till uppgifter och information samt vissa skyl-
digheter hos den registeransvarige kan inskränkas av medlemssta-
terna i den utsträckning som det är nödvändigt för att skydda till ex-
empel statens säkerhet, försvaret, allmän säkerhet eller viktiga eko-
nomiska eller finansiella intressen som är av betydelse för en med-
lemsstat eller för unionen, liksom för brottsutredningar och åtal och
åtgärder som rör överträdelser av etiska regler som gäller för sådana
yrken som särskilt regleras i lagstiftning. På förteckningen över un-
dantag och begränsningar bör upptas de uppgifter för övervakning,
tillsyn eller reglering som är nödvändiga på de tre sistnämnda områ-
dena, nämligen allmän säkerhet, ekonomiska och finansiella in-
tressen samt beivrande av brott. Uppräkningen av uppgifter på dessa
tre områden påverkar mte undantag eller begränsningar av hänsyn
till statens säkerhet och försvaret.
44) För att uppfylla vissa av de nämnda målsättningarna kan medlems-
staterna på grund av bestämmelser i gemenskapsrätten tvingas att
avvika från bestämmelserna i detta direktiv om rätten till tillgång till
uppgifter, skyldigheten att informera enskilda personer och kva-
liteten på uppgifterna.
45) I sådana fall då uppgifter av hänsyn till allmänna intressen, på grund
av myndighetsutövning eller av hänsyn till en persons berättigade in-
tressen kan bli föremål för tillåten behandling, skall varje berörd
person ändå, på berättigade och avgörande skäl som avser hans
särskilda situation, ha rätt att invända mot att uppgifter som rör
honom själv behandlas. Medlemsstaterna har dock möjlighet att anta
bestämmelser av motsatt innehåll.
46) Skyddet för de registrerades fri- och rättigheter förutsätter såvitt
avser behandling av personuppgifter att lämpliga tekniska och
organisatoriska åtgärder vidtas både när systemet för behandlingen
utformas och när själva behandlingen sker, särskilt för att garantera
säkerheten och för att på så sätt hindra all otillåten behandling. Det
åligger medlemsstaterna att säkerställa att de registeransvariga
Prop. 1997/98:44
Bilaga 1
158
respekterar dessa åtgärder Åtgärderna skall garantera en lämplig
säkerhetsnivå med hänsyn till den nuvarande utvecklingsnivån och
till kostnaderna för genomförandet under hänsynstagande till de
risker som behandlingen innebär och arten av de uppgifter som skall
skyddas
47) När ett meddelande som innehåller personuppgifter översänds
genom förmedling av en organisation för telekommunikation eller
elektronisk post, vars enda ändamål är att översända sådana med-
delanden, blir det normalt den från vilken meddelandet härrör och
inte den person som erbjuder nämnda tjänst som anses ansvara för
behandlingen av personuppgifterna. De som erbjuder sådana tjänster
kommer dock normalt att anses som ansvariga för behandlingen av
de ytterligare personuppgifter som fordras för att tjänsten skall
kunna användas
48) Anmälmngsförfarandet är avsett för att göra en behandlings syfte
och viktigaste egenskaper allmänt kända för att säkerställa att
behandlingen sker i enlighet med de nationella åtgärder som vidtas
för att genomföra detta direktiv.
49) För att undvika olämpliga administrativa formaliteter kan medlems-
staterna besluta om undantag från och förenklingar av anmälnings-
plikten såvitt avser sådana fall då behandlingen sannolikt inte kom-
mer att kränka de berörda personernas fri- och rättigheter, förutsatt
att detta är i överensstämmelse med en åtgärd som vidtagits av en
medlemsstat och som särskilt anger begränsningarna Medlemssta-
terna kan även besluta om undantag och förenklingar i fall då någon
som utsetts av den registeransvarige försäkrar sig om att de utförda
behandlingarna inte kommer att kränka de registrerades fri- och
rättigheter. Den person som sålunda utsetts att skydda uppgifterna
måste - vare sig han är anställd av den registeransvarige eller inte -
ha möjlighet att utöva sin verksamhet på ett fullständigt oberoende
sätt.
50) Undantag från anmälningsplikten och förenklad anmälan bör kunna
tillåtas särskilt då det är fråga om behandling av uppgifter som
endast syftar till att ett register skall föras, som är avsett för att i
enlighet med nationell lagstiftning ge allmänheten information och
som är tillgängligt för allmänheten eller var och en som kan styrka
att han har ett berättigat intresse.
51) Det förhållandet att den registeransvarige omfattas av förenklat an-
mälningsförfarande eller är undantagen från anmälningsplikt befriar
honom inte från de övriga förpliktelser som följer av detta direktiv.
52) I detta sammanhang måste en efterföljande kontroll från den
behöriga myndighetens sida i allmänhet anses som en tillräcklig
åtgärd.
53) Vissa typer av behandling - till exempel behandling som har till än-
damål att utesluta den berörde från möjligheten att utöva en
rättighet, motta en förmån eller ingå ett avtal eller sådan behandling
som innebär användning av ny teknik - kan på grund av sin natur,
sin omfattning eller sitt ändamål innebära särskilda risker för att de
Prop. 1997/98:44
Bilaga 1
159
registrerades fri- och rättigheter skall kränkas. Medlemsstaterna kan
om de önskar det precisera dessa risker i sin lagstiftning.
54) Med tanke på omfattningen av den behandling av uppgifter som ut-
förs i samhället torde det antal behandlingar som innebär särskilda
risker vara mycket begränsat. Medlemsstaterna måste föreskriva att
tillsynsmyndigheten eller den som utövar tillsyn i samråd med till-
synsmyndigheten företar en förhandskontroll av dessa behandlingar
innan de utförs. Sedan en sådan förhandskontroll genomförts får till-
synsmyndigheten i enlighet med den nationella lagstiftningen som
gäller för myndigheten yttra sig över eller tillåta behandlingen. En
sådan kontroll kan även företas som ett led i det nationella parla-
mentets förberedande arbete med en åtgärd eller som ett led i arbetet
med en åtgärd som grundas på en sådan lagstiftande åtgärd som
definierar behandlingens art och anger lämpliga skyddsåtgärder.
55) För de fall då den registeransvarige inte respekterar de registrerades
rättigheter måste det i medlemsstatens lagstiftning finnas möjlighet
till rättslig prövning. Personer som lider skada till följd av otillåten
behandling skall ha rätt till ersättning av den registeransvarige,
vilken kan befrias från skadeståndsansvar om han kan visa att han
inte är ansvarig för skadan, särskilt i fall då han kan påvisa att ett fel
begåtts av den registrerade eller i fall av force majeure. Sanktioner
skall vidtas mot såväl privaträttsliga som offentligrättsliga subjekt
som överträder de nationella bestämmelser som antagits för att
genomföra detta direktiv
56) Gränsöverskridande flöden av personuppgifter är nödvändiga för
den internationella handelns utveckling. Det skydd som genom detta
direktiv tillförsäkras enskilda personer inom gemenskapen hindrar
inte att personuppgifter överförs till sådana tredje länder som ga-
ranterar en adekvat skyddsnivå. Frågan om skyddsnivåns adekvans
skall bedömas med hänsyn till alla de omständigheter som har
samband med en överföring eller en grupp av överföringar.
57) Om ett tredje land inte garanterar en adekvat skyddsnivå skall över-
föring av personuppgifter till det landet förbjudas.
58) Undantag från detta förbud skall under vissa omständigheter kunna
medges om den registrerade lämnar sitt samtycke, om överföring är
nödvändig för ett avtal eller ett rättsligt anspråk, när skyddet av vä-
sentliga samhällsintressen kräver det, till exempel vid internationellt
utbyte av uppgifter mellan skattemyndigheter eller tullmyndigheter
eller mellan socialförsäkringsmyndigheter eller om överföringen ut-
förs med utgångspunkt i ett register som upprättats genom lagstift-
ning och som är avsett att vara tillgängligt för allmänheten eller för
personer som har ett berättigat intresse. En sådan överföring bör inte
omfatta alla uppgifter eller hela kategorier av uppgifter som finns i
registret. När registret är avsett att vara tillgängligt för personer med
ett berättigat intresse skall överföringen göras endast på begäran av
dessa personer eller om de själva är mottagarna.
59) Särskilda åtgärder kan vidtas för att uppväga en otillräcklig skydds-
nivå i ett tredje land om den registeransvarige ställer lämpliga garan-
Prop 1997/98:44
Bilaga 1
160
tier. Bestämmelser om förfaranden för förhandling mellan gemen- Prop. 1997/98:44
skapen och tredje land måste antas. Bilaga 1
60) Överföring till tredje land får i vilket fall som helst endast utföras i
enlighet med bestämmelser som medlemsstaterna antagit för
genomförande av detta direktiv, särskilt artikel 8 i detta.
61) Medlemsstaterna och kommissionen måste på sina respektive kom-
petensområden uppmuntra berörda delar av näringslivet att anta
uppförandekodexar för att underlätta genomförandet av detta direk-
tiv med beaktande av de särskilda former av behandling som utförs
på vissa områden och med respekt för de nationella bestämmelser
som antagits för dess genomförande.
62) För skyddet av enskilda personer med avseende på behandlingen av
personuppgifter är det av avgörande betydelse att medlemsstaterna
inrättar oberoende tillsynsmyndigheter.
63) Dessa myndigheter måste ges nödvändiga resurser för att utföra sina
uppgifter, såsom befogenhet att - särskilt när det gäller klagomål
från enskilda personer - undersöka och intervenera samt befogen-
heter att inleda rättsliga förfaranden. De måste även bidra till att
garantera insyn i behandlingen av uppgifter i de medlemsstater
under vilkas jurisdiktion de hör.
64) Tillsynsmyndigheterna i de olika medlemsstaterna kommer att be-
höva bistå varandra i samband med utförandet av de uppgifter som
åligger dem för att säkerställa att skyddsreglema respekteras på ett
tillfredsställande sätt i hela Europeiska unionen
65) En arbetsgrupp för skydd av enskilda personer i samband med be-
handling av personuppgifter skall inrättas på gemenskapsnivå
Gruppen skall vid utförandet av sina uppgifter vara fullständigt obe-
roende. Gruppen skall med hänsyn till sin särskilda karaktär ge
kommissionen råd och bidra till den enhetliga tillämpningen av de
nationella regler som antagits för att genomföra detta direktiv
66) Med avseende på överföring av uppgifter till tredje land fordrar ge-
nomförandet av detta direktiv att kommissionen ges befogenhet att
besluta om genomförandet och att ett förfarande i enlighet med rikt-
linjerna i rådets beslut 87/373/EEG(') införs.
67) Den 20 december 1994 träffade Europaparlamentet, rådet och kom-
missionen en överenskommelse om ett ”modus vivendi” beträffande
genomförandeåtgärder för rättsakter som antagits i enlighet med
förfarandet i artikel 189b i Romfördraget
68) De principer för skyddet av enskilda personers fri- och rättigheter,
och då särskilt rätten till privatliv, som i detta direktiv uppställs med
avseende på behandling av personuppgifter skall för vissa områdens
vidkommande kunna kompletteras eller preciseras med hjälp av sär-
skilda bestämmelser som skall överensstämma med dessa principer.
69) Medlemsstaterna bör ges en frist på högst tre år räknat från ikraftträ-
dandet av de nationella bestämmelser som antas för att genomföra
detta direktiv, så att de stegvis kan tillämpa de nya nationella be-
stämmelserna på alla sådana behandlingar som redan påbörjats. För
(')EGTnrL 197, 18.7.1987, s. 33.
161
11 Riksdagen 1997/98. 1 saml. Nr 44
att möjliggöra ett kostnadseffektivt genomförande av dessa be-
stämmelser skall medlemsstaterna tillåtas att under ytterligare en
tidsperiod, som löper ut tolv år efter dagen för antagandet av detta
direktiv, vidta åtgärder för att säkerställa att då befintliga manuella
register bringas i överensstämmelse med vissa av direktivets be-
stämmelser. Uppgifter som ingår i dessa register och som behandlas
manuellt under denna förlängda övergångsperiod skall dock när det
är föremål för en ytterligare sådan behandling bringas i överens-
stämmelse med dessa bestämmelser.
70) Det är inte nödvändigt att den registrerade på nytt lämnar sitt sam-
tycke till att den registeransvarige fortsätter att behandla känsliga
uppgifter, när en sådan behandling är nödvändig för genomförandet
av att avtal som har slutits på grundval av frivilligt och informerat
samtycke före dessa bestämmelsers ikraftträdande.
71) Detta direktiv hindrar inte en medlemsstat från att anta bestäm-
melser för att reglera sådan marknadsföring som riktar sig till
konsumenter som har hemvist inom dess territorium, förutsatt att
dessa regler inte rör skyddet av enskilda personer med avseende på
behandling av personuppgifter
72) Detta direktiv gör det möjligt att vid genomförandet av dessa be-
stämmelser ta hänsyn till principen om allmänhetens rätt till tillgång
till allmänna handlingar.
HÄRIGENOM FÖRESKRIVS FÖLJANDE
KAPITEL 1
ALLMÄNNA BESTÄMMELSER
Artikel 1
Direktivets syfte
1. Medlemsstaterna skall i enlighet med detta direktiv skydda fysiska per-
soners grundläggande fri- och rättigheter, särskilt rätten till privatliv, i
samband med behandling av personuppgifter
2. Medlemsstaterna får varken begränsa eller förbjuda det fria flödet av
personuppgifter mellan medlemsstaterna av skäl som har samband med
det under punkt 1 föreskrivna skyddet.
Artikel 2
Definitioner
I detta direktiv avses med
a) personuppgifter: varje upplysning som avser en identifierad eller
identifierbar fysisk person (den registrerade). En identifierbar
person är en person som kan identifieras, direkt eller indirekt,
framför allt genom hänvisning till ett identifikationsnummer eller till
Prop. 1997/98:44
Bilaga 1
162
en eller flera faktorer som är specifika för hans fysiska, fysiologiska,
psykiska, ekonomiska, kulturella eller sociala identitet,
b) behandling av personuppgifter (behandling), varje åtgärd eller serie
av åtgärder som vidtas beträffande personuppgifter, vare sig det sker
på automatisk väg eller inte, till exempel insamling, registrering, or-
ganisering, lagring, bearbetning eller ändring, återvinning, inhäm-
tande, användning, utlämnande genom översändande, spridning
eller annat tillhandahållande av uppgifter, sammanställning eller
samköming, blockering, utplåning eller förstöring,
c) register med personuppgifter (register): varje strukturerad samling
av personuppgifter som är tillgänglig enligt särskilda kriterier, oav-
sett om samlingen är centraliserad, decentraliserad eller spridd på
grundval av funktionella eller geografiska förhållanden,
d) registeransvarig: den fysiska eller juridiska person, den myndighet,
den institution eller det andra organ som ensamt eller tillsammans
med andra bestämmer ändamålen och medlen för behandlingen av
personuppgifter. När ändamålen och medlen för behandlingen be-
stäms av nationella lagar och andra författningar eller av gemen-
skapsrätten kan den registeransvarige eller de särskilda kriterierna
för att utse honom anges i nationell rätt eller i gemenskapsrätten,
e) registerförare: den fysiska eller juridiska person, den myndighet,
den institution eller det andra organ som behandlar personuppgifter
för den registeransvariges räkning,
f) tredje man: den fysiska eller juridiska person, den myndighet, den
institution eller det andra organ än den registrerade, den regis-
teransvarige, registerföraren och de personer som under den regis-
teransvariges eller registerförarens direkta ansvar har befogenhet att
behandla uppgifterna,
g) mottagare: den fysiska eller juridiska person, den myndighet, den
institution eller det andra organ till vilket uppgifterna utlämnas, vare
sig det är en tredje man eller inte. Myndigheter som kan komma att
motta uppgifter inom ramen för ett särskilt uppdrag skall dock inte
betraktas som mottagare,
h) den registrerades samtycke: varje slag av frivillig, särskild och in-
formerad viljeyttring genom vilken den registrerade godtar behand-
ling av personuppgifter som rör honom
Artikel 3
Tillämpningsområde
1. Detta direktiv gäller för sådan behandling av personuppgifter som helt
eller delvis företas på automatisk väg liksom för annan behandling än
automatisk av personuppgifter som ingår i eller kommer att ingå i ett
register
2. Detta direktiv gäller inte för sådan behandling av personuppgifter
— som utgör ett led i en verksamhet som mte omfattas av gemenskaps-
rätten, exempelvis sådan verksamhet som avses i avdelningarna V
och VI i Fördraget om Europeiska unionen, och inte under några
Prop. 1997/98:44
Bilaga 1
163
omständigheter behandlingar som rör allmän säkerhet, försvar, Prop. 1997/98:44
statens säkerhet (inbegripet statens ekonomiska välstånd när Bilaga 1
behandlingen har samband med frågor om statens säkerhet) och
statens verksamhet på straffrättens område,
— av en fysisk person som ett led i verksamhet av rent privat natur
eller som har samband med hans hushåll.
Artikel 4
Tillämplig nationell rätt
1. Varje medlemsstat skall tillämpa de nationella bestämmelser som den
för genomförandet av detta direktiv antar för behandlingen av personupp-
gifter när
a) behandlingen utförs som ett led i verksamhet inom den medlems-
stats territorium, där den registeransvarige är etablerad. Om en re-
gisteransvarig är etablerad inom flera medlemsstaters territorier skall
han vidta nödvändiga åtgärder för att säkerställa att alla
verksamheter uppfyller kraven enligt den tillämpliga nationella
lagstiftningen,
b) den registeransvarige inte är etablerad inom en medlemsstats territo-
rium utan på en plats där medlemsstatens lagstiftning gäller på
grund av folkrätten,
c) den registeransvarige inte är etablerad på gemenskapens territorium
och för behandling av personuppgifter använder databehandlad eller
icke databehandlad utrustning som befinner sig på den nämnda
medlemsstatens territorium, om inte sådan utrustning endast an-
vänds för att låta uppgifter passera genom gemenskapen.
2. Under de omständigheter som avses i punkt 1 c) måste den regis-
teransvarige utse en företrädare som är etablerad inom den berörda med-
lemsstatens territorium, utan att detta i övrigt påverkar de eventuella rätts-
liga åtgärder som kan komma att inledas mot den ansvarige själv.
KAPITEL II
ALLMÄNNA BESTÄMMELSER OM NÄR PERSONUPPGIFTER
FÅR BEHANDLAS
Artikel 5
Medlemsstaterna skall inom de begränsningar som bestämmelserna i detta
kapitel innebär, precisera på vilka villkor behandling av personuppgifter
är tillåten.
164
AVDELNING I
PRINCIPER OM UPPGIFTERNAS KVALITET
Artikel 6
1. Medlemsstaterna skall föreskriva att personuppgifter
a) skall behandlas på ett korrekt och lagligt sätt,
b) skall samlas in för särskilda, uttryckligt angivna och berättigade än-
damål; senare behandling far mte ske på ett sätt som är oförenligt
med dessa ändamål. Senare behandling av uppgifter för historiska,
statistiska eller vetenskapliga ändamål skall inte anses oförenlig
med dessa ändamål förutsatt att medlemsstaterna beslutar om
lämpliga skyddsåtgärder,
c) skall vara adekvata och relevanta och inte får omfatta mer än vad
som är nödvändigt med hänsyn till de ändamål för vilka de har
samlats in och för vilka de senare behandlas,
d) skall vara riktiga och, om nödvändigt, aktuella. Alla rimliga åtgärder
måste vidtas för att säkerställa att personuppgifter som är felaktiga
eller ofullständiga i förhållande till de ändamål för vilka de sam-
lades in eller för vilka de senare behandlas, utplånas eller rättas,
e) förvaras på ett sätt som förhindrar identifiering av den registrerade
under en längre tid än vad som är nödvändigt för de ändamål för
vilka uppgifterna samlades in eller för vilka de senare behandlades
Medlemsstaterna skall vidta lämpliga skyddsåtgärder för de
personuppgifter som lagras under längre perioder för historiska,
statistiska eller vetenskapliga ändamål.
2. Det åligger den registeransvarige att säkerställa att punkt 1 efterlevs.
AVDELNING II
PRINCIPER SOM GÖR ATT UPPGIFTSBEHANDLING KAN
TILLÅTAS
Artikel 7
Medlemsstaterna skall föreskriva att personuppgifter får behandlas endast
om
a) den registrerade otvetydigt har lämnat sitt samtycke, eller
b) behandlingen är nödvändig för att fullgöra ett avtal i vilket den
registrerade är part eller för att vidta åtgärder på begäran av den
registrerade innan ett sådant avtal ingås, eller
c) behandlingen är nödvändig för att fullgöra en rättslig förpliktelse
som åvilar den registeransvarige, eller
d) behandlingen är nödvändig för att skydda intressen som är av grund-
läggande betydelse för den registrerade, eller
e) behandlingen är nödvändig för att utföra en arbetsuppgift av allmänt
intresse eller som är ett led i myndighetsutövning som utförs av den
registeransvarige eller tredje man till vilken uppgifterna har lämnats
ut, eller
Prop. 1997/98:44
Bilaga 1
165
f) behandlingen är nödvändig för ändamål som rör berättigade Prop. 1997/98:44
intressen hos den registeransvarige eller hos den eller de tredje män Bilaga 1
till vilka uppgifterna har lämnats ut, utom när sådana intressen
uppvägs av den registrerades intressen eller dennes grundläggande
fri- och rättigheter som kräver skydd under artikel 1.1
AVDELNING III
SÄRSKILDA BEHANDLINGSKATEGORIER
Artikel 8
Behandlingen av särskilda kategorier av uppgifter
1. Medlemsstaterna skall förbjuda behandling av personuppgifter som av-
slöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk
övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och
sexualliv
2. Punkt 1 gäller inte om
a) den registrerade har lämnat sitt uttryckliga samtycke till en sådan be-
handling, utom när det enligt medlemsstatens lagstiftning anges att
förbudet i punkt 1 inte kan upphävas genom den registrerades sam-
tycke, eller
b) behandlingen är nödvändig för att fullgöra de skyldigheter och sär-
skilda rättigheter som åligger den registeransvarige inom arbets-
rätten, i den omfattning detta är tillåtet enligt en nationell lagstift-
ning som föreskriver lämpliga skyddsåtgärder, eller
c) behandlingen är nödvändig för att skydda den registrerades eller nå-
gon annan persons grundläggande intressen när den registrerade är
fysiskt eller rättsligt förhindrad att ge sitt samtycke, eller
d) behandlingen utförs inom ramen för berättigad verksamhet hos en
stiftelse, en förening eller ett annat icke vinstdrivande organ, som
har ett politiskt, filosofiskt, religiöst eller fackligt syfte, förutsatt att
behandlingen endast rör sådana organs medlemmar eller personer
som på grund av organets ändamål har regelbunden kontakt med
detta och uppgifterna inte lämnas ut till tredje man utan den
registrerades samtycke, eller
e) behandlingen rör uppgifter som på ett tydligt sätt offentliggörs av
den registrerade eller är nödvändiga för att kunna fastslå, göra
gällande eller försvara rättsliga anspråk.
3. Punkt 1 gäller inte när behandlingen av uppgifterna är nödvändig med
hänsyn till förebyggande hälso- och sjukvård, medicinska diagnoser, vård
eller behandling eller administration av hälso- eller sjukvård eller när
dessa uppgifter behandlas av någon som är yrkesmässigt verksam på
hälso- och sjukvårdsområdet och som enligt nationell lagstiftning eller
bestämmelser som antagits av behöriga nationella organ är underkastad
tystnadsplikt eller av en annan person som är ålagd en liknande tyst-
nadsplikt
166
4. Under förutsättning av lämpliga skyddsåtgärder och av hänsyn till ett
viktigt allmänt intresse får medlemsstaterna antingen i sin nationella lag-
stiftning eller genom ett beslut av tillsynsmyndigheten besluta om andra
undantag än de som nämns i punkt 2.
5. Behandling av uppgifter om lagöverträdelser, brottmålsdomar eller sä-
kerhetsåtgärder får utföras endast under kontroll av en myndighet eller -
om lämpliga skyddsåtgärder finns i nationell lag - med förbehåll för de
ändringar som medlemsstaterna kan tillåta med stöd av nationella be-
stämmelser som innehåller lämpliga och specifika skyddsåtgärder. Ett
fullständigt register över brottmålsdomar får dock föras endast under kon-
troll av en myndighet
Medlemsstaterna får föreskriva att uppgifter som rör administrativa sank-
tioner eller avgöranden i tvistemål också skall behandlas under kontroll av
en myndighet.
6. De undantag från punkt 1 som anges i punkterna 4 och 5 skall anmälas
till kommissionen.
7. Medlemsstaterna skall bestämma på vilka villkor ett nationellt identifi-
kationsnummer eller något annat vedertaget sätt för identifiering får be-
handlas.
Artikel 9
Behandling av personuppgifter och yttrandefriheten
Medlemsstaterna skall med avseende på behandling av personuppgifter
som sker uteslutande för journalistiska ändamål eller konstnärligt eller
litterärt skapande besluta om undantag och avvikelser från bestäm-
melserna i detta kapitel, kapitel IV och kapitel VI endast om de är nöd-
vändiga för att förena rätten till privatlivet med reglerna om yttrande-
friheten.
AVDELNING IV
INFORMATIONSPLIKT TILL DEN REGISTRERADE
Artikel 10
Information vid insamling av uppgifter från den registrerade
Medlemsstaterna skall föreskriva att den registeransvarige eller hans före-
trädare i vart fall skall ge den person från vilken uppgifter om honom
själv samlas in följande information, utom i fall då han redan känner till
informationen:
a) Den registeransvariges och dennes eventuella företrädares identitet.
b) Ändamålen med den behandling för vilken uppgifterna är avsedda.
c) All ytterligare information, exempelvis
— mottagarna eller de kategorier som mottar uppgifterna,
Prop. 1997/98:44
Bilaga 1
167
— huruvida det är obligatoriskt eller frivilligt att besvara frågorna
samt eventuella följder av att inte svara,
— förekomsten av rättigheter att få tillgång till och att erhålla
rättelse av uppgifter som rör honom,
i den utsträckning som den ytterligare informationen - med hänsyn
till de särskilda omständigheter under vilka uppgifterna samlas in -
är nödvändig för att tillförsäkra den registrerade en korrekt behand-
ling.
Artikel 11
Information när uppgifterna inte har samlats in från den registrerade
1. Om uppgifterna inte har samlats in från den registrerade, skall med-
lemsstaterna föreskriva att den registeransvarige eller hans företrädare vid
tiden för registreringen av personuppgifter eller, om utlämnande till en
tredje man kan förutses, inte senare än vid den tidpunkt då uppgifterna
först lämnas ut, skall ge den registrerade åtminstone följande information,
utom när den registrerade redan känner till informationen:
a) Den registeransvariges och dennes eventuella företrädares identitet
b) Ändamålen med behandlingen.
c) All ytterligare information, exempelvis
— de kategorier av uppgifter som behandlingen gäller,
— mottagarna eller de kategorier som mottar uppgifterna,
— förekomsten av rättigheter att få tillgång till och att erhålla
rättelse av de uppgifter som rör honom,
i den utsträckning som den ytterligare informationen - med hänsyn
till de särskilda omständigheter under vilka uppgifterna samlas in -
är nödvändig för att tillförsäkra den registrerade en korrekt
behandling
2. Bestämmelserna i punkt 1 skäll inte gälla när det - särskilt i samband
med behandling för statistiska ändamål eller historiska eller vetenskapliga
forskningsändamål - visar sig omöjligt eller innebära en oproportionerligt
stor ansträngning att ge information eller om registrering eller utlämnande
uttryckligen föreskrivs i författning. I sådana fall skall medlemsstaterna
föreskriva lämpliga skyddsåtgärder.
AVDELNING V
DEN REGISTRERADES RÄTT ATT FÅ TILLGÅNG TILL
UPPGIFTER
Artikel 12
Rätt till tillgång
Medlemsstaterna skall säkerställa att varje registrerad har rätt att från den
registeransvarige
a) utan hinder och med rimliga intervall samt utan större tidsutdräkt
eller kostnader
Prop. 1997/98:44
Bilaga 1
168
— få bekräftelse på om uppgifter som rör honom behandlas eller
inte och information om åtminstone ändamålen med behand-
lingen, de berörda uppgiftskategorierna och mottagarna eller
mottagarkategonema till vilka uppgifterna utlämnas,
— få begriplig information om vilka uppgifter som behandlas och
all tillgänglig information om varifrån dessa uppgifter kommer,
— få kännedom om den logik som används när uppgifter som rör
honom behandlas på automatisk väg åtminstone såvitt avser så-
dana automatiska beslut som avses i artikel 15.1,
b) i förekommande fall få sådana uppgifter som inte behandlats i enlig-
het med bestämmelserna i detta direktiv rättade, utplånade eller
blockerade, särskilt om dessa är ofullständiga eller felaktiga,
c) få genomfört att en tredje man till vilken sådana uppgifter utlämnats
underrättas om varje rättelse, utplåning eller blockering som utförts i
enlighet med punkt b), om detta inte visar sig vara omöjligt eller
innebär en oproportionerligt stor ansträngning
AVDELNING VI
UNDANTAG OCH BEGRÄNSNINGAR
Artikel 13
Undantag och begränsningar
1. Medlemsstaterna får genom lagstiftning vidta åtgärder för att begränsa
omfattningen av de skyldigheter och rättigheter som anges i artiklarna 6.1,
10, 11.1, 12 och 21 i fall då en sådan begränsning är en nödvändig åtgärd
med hänsyn till
a) statens säkerhet,
b) försvaret,
c) allmän säkerhet,
d) förebyggande, undersökning, avslöjande av brott eller åtal för brott
eller av överträdelser av etiska regler som gäller för lagreglerade yr-
ken,
e) ett viktigt ekonomiskt eller finansiellt intresse hos en medlemsstat
eller hos Europeiska unionen, inklusive monetära frågor, budgetfrå-
gor och skattefrågor,
f) en tillsyns-, inspektions- eller regleringsfunktion som, även om den
är av övergående karaktär, är förbunden med myndighetsutövning i
de under punkterna c), d) och e) nämnda fallen,
g) skydd av den registrerades eller andras fri- och rättigheter.
2. Under förutsättning av lämpliga rättsliga garantier får medlemsstaterna,
i synnerhet om uppgifterna inte används för åtgärder eller beslut som
avser särskilda registrerade personer, i fall då det uppenbarligen inte
föreligger någon risk att den berörda personens privatliv kränks, genom
lagstiftning begränsa de rättigheter som anges i artikel 12 när uppgifterna
endast behandlas för ändamål som har med vetenskaplig forskning att
göra eller när uppgifterna endast lagras i form av personuppgifter under
Prop. 1997/98:44
Bilaga 1
169
en begränsad tid som inte överstiger den tid som är nödvändig för att
framställa statistik.
AVDELNING VII
DEN REGISTRERADES RÄTT ATT GÖRA INVÄNDNINGAR
Artikel 14
Den registrerades rätt att göra invändningar
Medlemsstaterna skall tillförsäkra den registrerade rätten att
a) åtminstone i de fall som avses i artikel 7 e) och f) när som helst av
avgörande och berättigade skäl som rör hans personliga situation
motsätta sig behandling av uppgifter som rör honom, utom när den
nationella lagstiftningen föreskriver något annat. När invändningen
är berättigad får den behandling som påbörjats av den register-
ansvarige inte längre avse dessa uppgifter,
b) efter anmodan och utan kostnader motsätta sig behandling av
personuppgifter som rör honom och som den registeransvarige
bedömer kan komma att behandlas för ändamål som rör direkt
marknadsföring, eller att bli informerad innan personuppgifter för
första gången lämnas ut till tredje man eller används för tredje mans
räkning för ändamål som rör direkt marknadsföring, och att
uttryckligen få erbjudande om att utan kostnader motsätta sig ett
sådant utlämnande eller sådan användning
Medlemsstaterna skall vidta nödvändiga åtgärder för att säkerställa att de
registrerade känner till den rättighet som anges i första stycket i b).
Artikel 15
Databehandlade beslut
1. Medlemsstaterna skall ge varje person rätten att inte bli föremål för ett
beslut som har rättsliga följder för honom eller som märkbart påverkar ho-
nom och som enbart grundas på automatisk behandling av uppgifter som
är avsedda att bedöma vissa personliga egenskaper hos honom, exempel-
vis hans arbetsprestationer, kreditvärdighet, pålitlighet och uppträdande
2. Om inte annat följer av övriga bestämmelser i detta direktiv skall med-
lemsstaterna föreskriva att en person får bli föremål för ett beslut av det
slag som avses i punkt 1 om beslutet
a) fattas som ett led i ingåendet eller fullgörandet av ett avtal, förutsatt
att den registrerades begäran om ingående eller fullgörande av av-
talet har bifallits eller att det vidtas lämpliga åtgärder för att skydda
hans berättigade intressen, exempelvis möjligheten för honom att
göra sin uppfattning gällande, eller
b) tillåts i lagstiftning som innehåller bestämmelser till skydd för den
registrerades berättigade intressen.
Prop 1997/98:44
Bilaga 1
170
AVDELNING VIII
SEKRETESS OCH SÄKERHET VID BEHANDLING
Artikel 16
Sekretess vid behandling
Den som utför arbete under den registeransvarige eller registerföraren,
liksom registerföraren själv, och som far tillgång till personuppgifter, får
behandla dem endast enligt instruktion från den registeransvarige, om han
inte är skyldig att göra det enligt lag
Artikel 17
Säkerhet vid behandling
1. Medlemsstaterna skall föreskriva att den registeransvarige skall genom-
föra lämpliga tekniska och organisatoriska åtgärder för att skydda person-
uppgifter från förstöring genom olyckshändelse eller otillåtna handlingar
eller förlust genom olyckshändelse samt mot ändringar, otillåten spridning
av eller otillåten tillgång till uppgifterna, särskilt om behandlingen inne-
fattar överföring av uppgifter i ett nätverk, och mot varje annat slag av
otillåten behandling
Dessa åtgärder skall med beaktande av den nuvarande tekniska nivån och
de kostnader som är förenade med åtgärdernas genomförande åstad-
komma en lämplig säkerhetsnivå i förhållande till de risker som är för-
knippade med behandlingen och arten av de uppgifter som skall skyddas.
2. Medlemsstaterna skall föreskriva att den registeransvarige, när behand-
lingen utförs för dennes räkning, skall välja en registerförare som kan ge
tillräckliga garantier vad gäller de tekniska säkerhetsåtgärder och de orga-
nisatoriska åtgärder som måste vidtas och tillse att dessa åtgärder genom-
förs.
3. När uppgifter behandlas av en registerförare skall hanteringen regleras
genom ett avtal eller genom en annan rättsligt bindande handling mellan
registerföraren och den registeransvarige och i handlingen skall särskilt
föreskrivas att
— registerföraren endast får handla på instruktioner från den register-
ansvarige,
— de skyldigheter som anges i punkt 1, såsom de definieras i lagstift-
ningen i den medlemsstat i vilken registerföraren är etablerad, även
skall åvila registerföraren.
Prop. 1997/98:44
Bilaga 1
4. För att säkra bevisning skall de delar av avtalet eller den rättsligt bin-
dande handlingen som rör skyddet av uppgifter och de krav som rör åtgär-
der som anges i punkt 1 föreligga i skriftlig eller därmed jämförlig form
171
AVDELNING IX
ANMÄLAN
Artikel 18
Anmälningsplikt gentemot tillsynsmyndigheten
1. Medlemsstaterna skall föreskriva att den registeransvarige eller hans
eventuella företrädare före genomförandet av en behandling eller en serie
behandlingar som helt eller delvis genomförs på automatisk väg och som
har samma eller flera närbesläktade ändamål skall underrätta den till-
synsmyndighet som avses i artikel 28.
2. Medlemsstaterna får endast i följande fall och på följande villkor före-
skriva om undantag från anmälningsplikten eller förenklad anmälnings-
plikt:
— Om medlemsstaten för de typer av behandling, i samband med vilka
det med hänsyn till de behandlade uppgifterna inte är sannolikt att
de registrerades fri- och rättigheter kränks, anger behandlingens
ändamål, vilka uppgifter eller kategorier av uppgifter som behand-
las, vilka registrerade eller kategorier av registrerade som avses, till
vilka mottagare eller kategorier av mottagare uppgifterna lämnas ut
samt hur länge uppgifterna skall bevaras och/eller
— om den registeransvarige i enlighet med den nationella lagstiftning
som gäller för denne, utser ett uppgiftsskyddsombud, som särskilt
skall ha till uppgift
— att på ett oberoende sätt säkerställa den interna tillämpningen av
de nationella bestämmelser som antagits till följd av detta direk-
tiv,
— att föra ett register över de behandlingar som utförs av den
registeransvarige, vilket register skall innehålla den information
som nämns i artikel 21.2,
för att på detta sätt säkerställa att de registrerades fri- och rättigheter
sannolikt inte kommer att kränkas som en följd av behandlingarna
3. Medlemsstaterna far föreskriva att punkt 1 inte skall gälla för en sådan
behandling vars enda syfte är förandet av ett register, som enligt lagar
eller andra författningar är avsett att förse allmänheten med information
och som är tillgängligt antingen för allmänheten eller för var och en som
kan styrka ett berättigat intresse.
4. Medlemsstaterna får föreskriva undantag från anmälningsplikten eller
ett förenklat anmälningsförfarande för sådan behandling som avses i arti-
kel 8.2 d).
Prop 1997/98:44
Bilaga 1
5. Medlemsstaterna får föreskriva att vissa eller alla icke-automatiska be-
handlingar av personuppgifter skall anmälas eller att ett förenklat anmäl-
ningsförfarande skall gälla för dem
172
Artikel 19
Anmälans innehåll
1. Medlemsstaterna skall precisera vilka uppgifter som anmälan skall
innehålla. Den skall åtminstone innehålla
a) den registeransvariges och dennes eventuella företrädares namn och
adress,
b) ändamålen med behandlingen,
c) en beskrivning av den eller de kategorier av registrerade som berörs
och av de uppgifter eller kategorier av uppgifter som hänför sig till
dem,
d) mottagarna eller de kategorier av mottagare till vilka uppgifterna
kan komma att lämnas ut,
e) föreslagna överföringar av uppgifter till tredje land,
f) en allmän beskrivning som gör det möjligt att preliminärt bedöma
lämpligheten av de åtgärder som i enlighet med artikel 17 vidtagits
för att trygga säkerheten i behandlingen
2. Medlemsstaterna skall ange villkoren för anmälan till tillsynsmyndighe-
ten av förändringar som rör den i punkt 1 angivna informationen.
Artikel 20
Förhandskontroll
1. Medlemsstaterna skall bestämma vilka behandlingar som kan innebära
särskilda risker för den registrerades fri- och rättigheter och skall säker-
ställa att dessa behandlingar kontrolleras innan de påbörjas
2. Sådana förhandskontroller skall utföras av tillsynsmyndigheten när den
mottagit anmälan från den registeransvarige eller från uppgiftsskyddsom-
budet, som i tveksamma fall skall rådfråga tillsynsmyndigheten
3. Medlemsstaterna kan också utföra sådana kontroller som ett led i det
nationella parlamentets förberedande arbete med en åtgärd eller som ett
led i arbetet med en åtgärd som grundas på en sådan lagstiftande åtgärd,
som definierar behandlingens art och anger lämpliga skyddsåtgärder
Artikel 21
Behandlingarnas offentlighet
1. Medlemsstaterna skall vidta åtgärder för att tillse att behandlingarna
görs offentligt tillgängliga.
2. Medlemsstaterna skall föreskriva att tillsynsmyndigheten skall föra ett
register över sådana behandlingar som har anmälts i enlighet med artikel
18.
Prop 1997/98:44
Bilaga 1
Registret skall innehålla åtminstone den information som anges i artikel
19.1 a)-e)
173
Registret skall vara allmänt tillgängligt.
3. För sådan behandling som inte omfattas av anmälningsplikt skall med-
lemsstaterna föreskriva att de registeransvariga eller något annat organ,
som medlemsstaterna utser, på lämpligt sätt skall tillhandahålla var och en
som begär det åtminstone den information som anges i artikel 19.1 a)-e).
Medlemsstaterna får föreskriva att denna bestämmelse inte skall tillämpas
på sådan behandling vars enda ändamål är att föra ett register, som i enlig-
het med lagar eller andra författningar är avsett att ge allmänheten infor-
mation och som är tillgängligt för allmänheten eller för var och en som
kan styrka ett berättigat intresse.
KAPITEL III
RÄTTSLIG PRÖVNING, ANSVAR OCH SANKTIONER
Artikel 22
Rättslig prövning
Medlemsstaterna skall - utan att det påverkar möjligheten att utnyttja nå-
got administrativt förfarande, till exempel vid den tillsynsmyndighet som
avses i artikel 28, som kan användas innan ett ärende anhängiggörs hos en
rättslig instans - föreskriva att var och en har rätt att föra talan inför dom-
stol om sådana kränkningar av rättigheter som skyddas av den nationella
lagstiftning som är tillämplig på ifrågavarande behandling.
Artikel 23
Ansvar
1. Medlemsstaterna skall föreskriva att var och en som lidit skada till följd
av en otillåten behandling eller av någon annan åtgärd som är oförenlig
med de nationella bestämmelser som antagits till följd av detta direktiv,
har rätt till ersättning av den registeransvarige för den skada som han har
lidit
2. Den registeransvarige kan helt eller delvis undgå detta ansvar om han
bevisar att han inte är ansvarig för den händelse som orsakade skadan
Artikel 24
Sanktioner
Medlemsstaterna skall anta lämpliga bestämmelser för att säkerställa att
detta direktiv genomförs fullständigt och skall särskilt besluta om de
sanktioner som skall användas vid överträdelse av de bestämmelser som
antagits för att genomföra detta direktiv.
Prop. 1997/98:44
Bilaga 1
174
KAPITEL IV
ÖVERFÖRING AV PERSONUPPGIFTER TILL TREDJE LAND
Artikel 25
Principer
1. Medlemsstaterna skall föreskriva att överföringen av personuppgifter
som är under behandling eller som är avsedda att behandlas efter överfö-
ring till tredje land endast får ske om ifrågavarande tredje land - utan att
detta påverkar tillämpningen av de nationella bestämmelser som antagits
till följd av de andra bestämmelserna i detta direktiv - säkerställer en ade-
kvat skyddsnivå.
2. Bedömningen av om skyddsnivån i ett tredje land är adekvat skall ske
på grundval av alla de förhållanden som har samband med en överföring
eller en grupp av överföringar av uppgifter Härvid skall särskilt beaktas
uppgiftens art, den eller de avsedda behandlingarnas ändamål och varak-
tighet, ursprungslandet och det slutliga bestämmelselandet, de allmänna
respektive särskilda rättsregler som gäller i ifrågavarande tredje land lik-
som de regler för yrkesverksamhet och säkerhet som gäller där.
3. Medlemsstaterna och kommissionen skall informera varandra när de
anser att ett tredje land inte erbjuder en adekvat skyddsnivå enligt punkt 2.
4. Om kommissionen i enlighet med ett sådant förfarande som beskrivs i
artikel 31.2 finner att ett tredje land inte erbjuder en sådan adekvat
skyddsnivå som beskrivs i punkt 2 i denna artikel, skall medlemsstaterna
vidta de åtgärder som är nödvändiga för att hindra överföring av uppgifter
av samma slag till ifrågavarande tredje land
5. Vid lämpligt tillfälle skall kommissionen inleda förhandlingar för att
avhjälpa den situation som uppstått när kommissionen kommit till den
slutsats som anges i punkt 4.
6. Kommissionen kan, i enlighet med det i artikel 31.2 angivna
förfarandet, konstatera att ett tredje land genom sin interna lagstiftning
eller på grund av de internationella förpliktelser som - särskilt till följd av
sådana förhandlingar som anges i punkt 5 och som gäller skyddet för
privatliv och enskilda personers grundläggande fri- och rättigheter -
åligger landet har en skyddsnivå som är adekvat i den mening som avses i
punkt 2 i denna artikel
Medlemsstaterna skall vidta de åtgärder som är nödvändiga för att följa
kommissionens beslut.
Prop. 1997/98:44
Bilaga 1
175
Artikel 26
Prop 1997/98:44
Bilaga 1
Undantag
1. Med undantag från artikel 25 skall medlemsstaterna - om det inte finns
tvingande regler om detta i deras lagstiftning - föreskriva att överföring
av personuppgifter till ett tredje land som inte har en adekvat skyddsnivå i
den mening som avses i artikel 25.2 får ske om
a) den registrerade otvetydigt har samtyckt till den planerade överför-
ingen, eller
b) överföringen är nödvändig för att fullgöra ett avtal mellan den re-
gistrerade och den registeransvarige eller för att på den registrerades
begäran genomföra åtgärder som vidtas innan avtalet ingås, eller
c) överföringen är nödvändig för att ingå eller fullgöra ett avtal mellan
den registeransvarige och tredje man i den registrerades intresse,
eller
d) överföringen är nödvändig eller bindande enligt författning av skäl
som rör viktiga allmänna intressen eller för att fastslå, göra gällande
eller försvara rättsliga anspråk, eller
e) överföringen är nödvändig för att skydda intressen som är av avgö-
rande betydelse för den registrerade, eller
f) överföringen görs från ett offentligt register som enligt lagar eller
andra författningar är avsett att ge allmänheten information och som
är tillgängligt antingen för allmänheten eller för var och en som kan
styrka ett berättigat intresse, i den utsträckning som de i lagstift-
ningen angivna villkoren för tillgänglighet uppfylls i det enskilda
fallet.
2. Utan att detta påverkar tillämpningen av punkt 1 får en medlemsstat
tillåta överföring av personuppgifter till ett tredje land som inte
säkerställer en skyddsnivå som är adekvat enligt artikel 25.2, om den
registeransvarige ställer tillräckliga garantier för att privatliv och enskilda
personers grundläggande fri- och rättigheter skyddas samt för utövningen
av motsvarande rättigheter Sådana garantier kan framgå av lämpliga
avtal sklausuler.
3. Medlemsstaten skall informera kommissionen och de övriga medlems-
staterna om de överföringar som tillåtits enligt punkt 2
Om en medlemsstat eller kommissionen på grunder som är berättigade
med hänsyn till skyddet för privatliv och enskilda personers grundläggan-
de fri- och rättigheter gör en invändning skall kommissionen vidta lämp-
liga åtgärder i enlighet med det förfarande som avses i artikel 31.2.
Medlemsstaterna skall vidta de åtgärder som är nödvändiga för att följa
kommissionens beslut
4 Om kommissionen i enlighet med det förfarande som anges i artikel
31.2 beslutar att vissa standardavtalsklausuler erbjuder tillräckliga garan-
176
tier enligt punkt 2, skall medlemsstaterna vidta nödvändiga åtgärder för Prop. 1997/98:44
att följa kommissionens beslut. Bilaga 1
KAPITEL V
UPPFÖRANDEKODEX
Artikel 27
1. Medlemsstaterna och kommissionen skall uppmuntra utarbetande av
uppförandekodexar som - med beaktande av de särskilda förhållandena
på olika områden - skall bidra till att på ett riktigt sätt genomföra de
nationella bestämmelser som medlemsstaterna antar för att genomföra
detta direktiv.
2. Medlemsstaterna skall föreskriva att branschorganisationer eller andra
organ som företräder andra kategorier av registeransvariga, som har upp-
rättat förslag till nationella kodexar eller som avser att ändra eller utöka
existerande nationella kodexar, kan lägga fram dessa för bedömning av
den nationella myndigheten
Medlemsstaterna skall föreskriva att denna myndighet bland annat skall
kontrollera att de förslag som har lagts fram för myndigheten är i överens-
stämmelse med de nationella bestämmelser som antagits till följd av detta
direktiv. Om myndigheten anser det lämpligt skall den inhämta
synpunkter från de registrerade eller deras företrädare
3. Förslag till gemenskapskodexar och förslag till ändringar eller tillägg
till existerande sådana kodexar kan läggas fram för den arbetsgrupp som
avses i artikel 29 Denna arbetsgrupp skall bland annat avgöra om de för-
slag som lagts fram för gruppen är i överensstämmelse med de nationella
bestämmelser som antagits för att genomföra detta direktiv. Om gruppen
anser det lämpligt skall den inhämta synpunkter från de registrerade eller
deras företrädare. Kommissionen kan tillse att de kodexar som godkänts
av arbetsgruppen offentliggörs på lämpligt sätt.
KAPITEL VI
TILLSYNSMYNDIGHET OCH ARBETSGRUPP FÖR SKYDD AV
ENSKILDA MED AVSEENDE PÅ BEHANDLINGEN AV
PERSONUPPGIFTER
Artikel 28
Tillsynsmyndighet
1. Varje medlemsstat skall tillse att det utses en eller flera myndigheter
som har till uppgift att inom dess territorium övervaka tillämpningen av
de bestämmelser som medlemsstaterna antar till följd av detta direktiv.
Dessa myndigheter skall fullständigt oberoende utöva de uppgifter som
åläggs dem
177
12 Riksdagen 1997/98. 1 samt. Nr 44
2. Varje medlemsstat skall tillse att tillsynsmyndigheten hörs när sådana
lagar eller andra författningar utarbetas som rör skyddet av enskilda
personers fri- och rättigheter med avseende på behandlingen av
personuppgifter
3. Varje tillsynsmyndighet skall särskilt ha
— undersökningsbefogenheter, såsom befogenhet att få tillgång till
uppgifter som blir föremål för behandling och befogenhet att
inhämta alla uppgifter som är nödvändiga för att sköta tillsynen,
— effektiva befogenheter att ingripa, som till exempel att kunna avge
yttranden i enlighet med artikel 20 innan en behandling äger rum,
och se till att sådana yttranden i lämplig omfattning offentliggörs, att
kunna besluta om blockering, utplåning eller förstöring av uppgifter,
att kunna besluta om tillfälligt eller slutligt förbud mot behandling,
att kunna ge den registeransvarige varning eller tillrättavisning eller
att kunna hänvisa saken till nationella parlament eller till andra
politiska institutioner,
— befogenhet att inleda rättsliga förfaranden när de nationella bestäm-
melser som antagits till följd av detta direktiv har överträtts eller att
uppmärksamma de rättsliga myndigheterna på dessa överträdelser.
Sådana beslut av tillsynsmyndigheten som går en part emot kan över-
klagas till domstol.
4. Var och en kan, på egen hand eller företrädd av en organisation, vända
sig till tillsynsmyndigheten med begäran om skydd för sina fri- och rättig-
heter med avseende på behandling av personuppgifter. Den berörda
personen skall informeras om vilka följder hans begäran har fått.
Var och en kan i samband med tillämpningen av de nationella bestämmel-
ser som har antagits med stöd av artikel 13 i detta direktiv till tillsyns-
myndigheten ge in en begäran om att få kontrollera om en behandling är
tillåten. Den berörda personen skall informeras om vilka följder hans
begäran har fått.
5. Varje tillsynsmyndighet skall regelbundet upprätta en rapport om sin
verksamhet. Denna rapport skall offentliggöras.
6. En tillsynsmyndighet har, oavsett vilken nationell lagstiftning som
gäller för den aktuella behandlingen, behörighet att inom sin egen med-
lemsstats territorium utöva de befogenheter som i enlighet med punkt 3
åligger den. Varje myndighet kan av en myndighet i en annan medlems-
stat anmodas att utöva sina befogenheter
De övervakande myndigheterna skall i den utsträckning som det behövs
samarbeta med varandra, särskilt genom att utbyta användbar information.
Prop. 1997/98:44
Bilaga 1
7. Medlemsstaterna skall föreskriva att tillsynsmyndighetens ledamöter
och personal, även sedan deras anställning upphört, skall ha tystnadsplikt
med avseende på förtrolig information som de har tillgång till.
178
Artikel 29
Arbetsgrupp för skydd av enskilda med avseende på behandlingen av
personuppgifter
1. En arbetsgrupp för skydd av enskilda med avseende på behandling av
personuppgifter, hädanefter kallad ”arbetsgruppen” inrättas härmed.
Arbetsgruppen skall vara rådgivande och oberoende.
2. Arbetsgruppen skall vara sammansatt av en företrädare för den eller de
tillsynsmyndigheter som utsetts av varje medlemsstat, av en företrädare
för den eller de myndigheter som har inrättats för gemenskapens insti-
tutioner och organ samt av en företrädare för kommissionen.
Varje medlem av arbetsgruppen skall utses av den institution eller av den
eller de myndigheter som han företräder. När en medlemsstat har fler till-
synsmyndigheter än en, skall dessa utse en gemensam företrädare. Det-
samma skall gälla för de myndigheter som inrättats för gemenskapens in-
stitutioner och organ
3. Arbetsgruppen skall fatta beslut med enkel majoritet av tillsynsmyndig-
heternas företrädare.
4. Arbetsgruppen skall välja sin ordförande. Ordförandens mandattid skall
vara två år. Mandatet kan förlängas.
5. Arbetsgruppens sekretariatsuppgifter skall ombesörjas av kommissio-
nen.
6. Arbetsgruppen skall själv fastställa sin arbetsordning.
7. Arbetsgruppen skall behandla frågor som förts upp på dess dagordning
av ordföranden, antingen på dennes eget initiativ eller på begäran av en
företrädare för tillsynsmyndigheterna eller för kommissionen.
Artikel 30
1. Arbetsgruppen skall
a) utreda varje fråga som rör tillämpningen av de nationella bestäm-
melser som antagits för genomförandet av detta direktiv, för att
bidra till en enhetlig tillämpning av bestämmelserna,
b) yttra sig till kommissionen om skyddsnivån inom gemenskapen och
i tredje land,
c) ge kommissionen råd om varje föreslagen ändring av detta direktiv,
om vilka ytterligare eller särskilda åtgärder som bör vidtas för att
skydda fysiska personers fri- och rättigheter med avseende på be-
handling av personuppgifter och om alla andra föreslagna gemen-
skapsåtgärder som rör sådana fri- och rättigheter,
d) avge yttranden om de uppförandekodexar som utarbetas på gemen-
skapsnivå.
Prop. 1997/98:44
Bilaga 1
179
2. Om arbetsgruppen konstaterar förekomsten av sådana skillnader mellan
medlemsstaternas lagstiftning eller praxis, som kan vara till nackdel för
likvärdigheten i skyddet för personer med avseende på behandlingen av
personuppgifter inom gemenskapen, skall gruppen informera kommissio-
nen om detta.
3. Arbetsgruppen kan på eget initiativ utfärda rekommendationer i alla
frågor som rör skyddet av personer med avseende på behandlingen av per-
sonuppgifter inom gemenskapen.
4. Arbetsgruppens yttranden och rekommendationer skall framläggas för
kommissionen och den kommitté som avses i artikel 31.
5. Kommissionen skall informera arbetsgruppen om det sätt på vilket den
har tagit hänsyn till yttrandena och rekommendationerna För att göra
detta skall kommissionen utarbeta en rapport som också skall framläggas
för Europaparlamentet och rådet Rapporten skall offentliggöras
6 Arbetsgruppen skall utarbeta en årsrapport om situationen rörande
skyddet för fysiska personer med avseende på behandlingen av person-
uppgifter inom gemenskapen och i tredje land, som den skall översända
till kommissionen, Europaparlamentet och rådet Rapporten skall offent-
liggöras
KAPITEL VII
GEMENSKAPENS ÅTGÄRDER FÖR GENOMFÖRANDE
Artikel 31
Kommittén
1. Kommissionen skall biträdas av en kommitté som är sammansatt av
företrädare för medlemsstaterna och som har kommissionens företrädare
som ordförande
2. Kommissionens företrädare skall förelägga kommittén ett förslag till
åtgärder. Kommittén skall yttra sig över förslaget inom en tid som ord-
föranden bestämmer med hänsyn till hur brådskande ärendet är
Yttrandet skall avges med den majoritet som anges i artikel 148.2 i för-
draget. Vid omröstning i kommittén skall medlemsstaternas röster vägas
på det sätt som anges i den artikeln. Ordföranden skall inte rösta
Kommissionen skall besluta om åtgärder som skall ha omedelbar verkan.
Om emellertid åtgärderna avviker från kommitténs yttrande, skall kom-
missionen omedelbart underställa rådet ärendet. I detta fall gäller föl-
jande:
— Kommissionen skall uppskjuta genomförandet av åtgärderna under
en tidsfrist om tre månader räknad från meddelandedatum,
Prop 1997/98:44
Bilaga 1
180
— Rådet kan med kvalificerad majoritet fatta ett avvikande beslut inom Prop. 1997/98:44
den tidsfrist som anges i den första strecksatsen. Bilaga 1
SLUTBESTÄMMELSER
Artikel 32
1. Medlemsstaterna skall sätta i kraft de lagar och andra författningar,
som är nödvändiga för att följa detta direktiv, senast tre år efter dess
antagande.
När en medlemsstat antar dessa bestämmelser skall de innehålla en hän-
visning till detta direktiv eller åtföljas av en sådan hänvisning när de
offentliggörs. Närmare föreskrifter om hur hänvisningen skall göras skall
varje medlemsstat själv utfärda.
2. Medlemsstaterna skall se till att sådan behandling som redan pågår när
de nationella bestämmelser som antas till följd av detta direktiv träder i
kraft bringas i överensstämmelse med dessa bestämmelser inom tre år
från denna tidpunkt.
I fråga om sådana uppgifter som redan finns i manuella register vid ikraft-
trädandet av de nationella bestämmelser som antas för att genomföra detta
direktiv får medlemsstaterna, med avvikelse från föregående stycke, före-
skriva att behandlingen skall bringas i överensstämmelse med artiklarna
6-8 i detta direktiv inom tolv år räknat från dagen för direktivets an-
tagande Medlemsstaterna skall dock ge den registrerade rätt att på
begäran och särskilt i samband med att han utövar sin rätt till tillgång till
uppgifter, erhålla rättelse, utplåning eller blockering av uppgifter som är
ofullständiga, felaktiga eller lagrade på ett sätt som inte är förenligt med
de legitima ändamål som den registeransvarige vill uppnå
3. Med undantag från punkt 2 kan medlemsstaterna under förutsättning av
lämpliga skyddsåtgärder föreskriva att uppgifter som endast bevaras för
historisk forskning inte behöver överensstämma med artiklarna 6-8 i detta
direktiv.
4. Medlemsstaterna skall till kommissionen överlämna texten till de natio-
nella bestämmelser som de antar inom det område som omfattas av detta
direktiv
Artikel 33
Kommissionen skall första gången senast tre år efter den tidpunkt som an-
ges i artikel 32.1 och därefter regelbundet till rådet och Europaparla-
mentet avge en rapport om genomförandet av detta direktiv, eventuellt
försedd med lämpliga ändringsförslag. Rapporten skall offentliggöras
Kommissionen skall särskilt undersöka tillämpningen av detta direktiv på
behandling av ljud- och bilduppgifter som rör fysiska personer och skall
181
framlägga alla lämpliga förslag som med beaktande av informationstekni
kens och informationssamhällets utveckling, visar sig nödvändiga
Artikel 34
Detta direktiv riktar sig till medlemsstaterna.
Utfärdat i Luxemburg den 23 oktober 1995
På Europaparlamentets vägnar På rådets vägnar
K HÄNSCH L. ATIENZA SERNA
Ordförande Ordförande
Prop. 1997/98:44
Bilaga 1
182
Datalagskommitténs sammanfattning av sitt
betänkande Integritet - Offentlighet -
Informationsteknik (SOU 1997:39) såvitt avser
frågan om en ny datalag
Prop 1997/98:44
Bilaga 2
Vi har haft i uppdrag att göra en översyn av datalagen, som kom till redan
år 1973. Syftet har varit att åstadkomma en modem och teknikoberoende
lagstiftning om skydd för den personliga integriteten vid behandling av
personuppgifter
Vi lämnar förslag till en helt ny persondatalag som till största delen
bygger på ett färskt EG-direktiv på området. En förutsättning för att vi
skulle kunna lämna ett sådant förslag har varit att direktivet går att förena
med det som i Sverige är grundlagsskyddat eller annars särskilt betydelse-
fullt från svenska utgångspunkter. Den nya lagstiftningen får inte inkräkta
på offentlighetsprincipen eller tryck- och yttrandefriheten Denna förut-
sättning är uppfylld. Genom att Sverige deltog i de slutliga förhandlingar-
na om direktivet har de svenska synpunkterna kommit att beaktas i det. Vi
föreslår tydliga bestämmelser i persondatalagen som klargör att lagen inte
skall tillämpas i den utsträckning det skulle inskränka grundlagsskyddade
rättigheter. Den föreslagna lagen berör och förändrar således mte dessa
rättigheter.
Den föreslagna lagstiftningen bygger liksom EG-direktivet på att själva
hanteringen av personuppgifter regleras. Ett alternativ skulle vara att
lämna hanteringen av personuppgifter i stort sett fri och i stället hindra
bara det som kan betecknas som ett missbruk. Med hänsyn till den oro
som många människor alltjämt känner för samlingar av elektroniska
uppgifter om dem har vi dock inte ansett tiden mogen att i princip släppa
hanteringen av databaserade personuppgifter fri. Sverige skulle inte heller
fullgöra sina internationella åtaganden om vi valde en helt annan modell
än EG-direktivets. Vi anser dock att man i ett längre perspektiv bör inrikta
sig mera på att stäyja och beivra missbruk än på att reglera en hantering
som snart sagt alla kan hålla på med
Den föreslagna persondatalagen kan ses som en ramlag som ger gene-
rella riktlinjer för all behandling av personuppgifter. Avsikten är att rege-
ringen och Datainspektionen skall inom den ram som lagen drar upp när-
mare precisera regleringen. De särskilda registerförfattningama, som in-
nehåller regler för bl.a. många viktiga myndighetsregister, omfattas mte
av vårt uppdrag Vi påpekar att dessa författningar inom de närmaste åren
måste ses över och anpassas till den nya persondatalagen.
Rent privat användning av personuppgifter undantas från den före-
slagna lagen. Som exempel kan nämnas e-post mellan privatpersoner
Med behandling av personuppgifter avses i stort sett allt man kan göra
med sådana uppgifter, t.ex. att samla in, söka, bevara och sprida uppgifter.
Behandling av personuppgifter som är helt eller delvis automatisk - dvs i
183
första hand datoriserad - omfattas av den föreslagna lagen. Manuell be-
handling av sådana uppgifter (på papper) omfattas bara om uppgifterna
skall ingå i ett regelrätt register.
I den föreslagna lagen slås fast vissa grundläggande krav på all be-
handling av personuppgifter. Den persondataansvarige skall se till att per-
sonuppgifter samlas in bara för särskilda, uttryckligt angivna och berätti-
gade ändamål Uppgifterna får sedan inte behandlas för något ändamål
som är oförenligt med det för vilket uppgifterna ursprungligen samlades
in Fler uppgifter än nödvändigt får inte behandlas, och de behandlade
uppgifterna skall vara adekvata och relevanta. Felaktiga, missvisande eller
ofullständiga uppgifter skall korrigeras Uppgifterna får sparas bara så
länge det är nödvändigt med hänsyn till ändamålen med behandlingen
För uppgifter som behandlas för historiska, statistiska eller vetenskapliga
ändamål finns särskilda regler.
Den föreslagna lagen innehåller en uttömmande uppräkning av de fall
då personuppgifter får behandlas Personuppgifter får alltid behandlas om
den registrerade har lämnat sitt samtycke I annat fall krävs att behand-
lingen är nödvändig för vissa angivna ändamål De situationer då behand-
ling är tillåten utan samtycke kan sammanfattas enligt följande.
• I samband med avtal
• För att fullgöra en rättslig skyldighet
• För att skydda vitala intressen för den registrerade
• För att utföra en arbetsuppgift av allmänt intresse eller i samband med
myndighetsutövning
• Efter en intresseavvägning där den registrerades intressen vägs mot in-
tressen på den persondataansvariges sida
För behandling av känsliga personuppgifter gäller enligt den föreslagna
lagen särskilda regler Som känsliga uppgifter anses sådana uppgifter som
rör hälsa eller sexualliv eller som avslöjar ras eller etniskt ursprung, poli-
tiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fack-
förening. Sådana uppgifter får behandlas bara i de fall som räknas upp i
lagen. Regeringen eller Datainspektionen kan dock tillåta att känsliga per-
sonuppgifter behandlas också i andra fall, under förutsättning att det be-
hövs med hänsyn till ett viktigt allmänt intresse
Känsliga personuppgifter får behandlas när den registrerade har lämnat
sitt samtycke eller när han eller hon på ett tydligt sätt har offentliggjort
uppgifterna De fall där sådana för ändamålet relevanta uppgifter annars
får behandlas kan sammanfattas enligt följande
• För att fullgöra skyldigheter eller utöva rättigheter inom arbetsrätten
• För att skydda vitala intressen när den registrerade inte kan lämna sam-
tycke
• För att rättsliga anspråk skall kunna fastställas, göras gällande eller för-
svaras
• Inom ideella organisationer får känsliga uppgifter om medlemmar och
t.ex. sympatisörer behandlas, men inte lämnas ut till någon utomstående
• Inom hälso- och sjukvård
• För forskning och statistik när en forskningsetisk kommitté har godkänt
projektet eller när samhällsintresset av behandlingen annars klart över-
väger integritetsriskerna
Prop 1997/98:44
Bilaga 2
184
Uppgifter om lagöverträdelser m.m. får enligt huvudregeln behandlas
bara av myndigheter Personnummer skall liksom i dag få användas bara
när det är klart motiverat med hänsyn till ändamålet med behandlingen,
vikten av en säker identifiering eller något annat beaktansvärt skäl.
De som registreras skall få kännedom om behandlingen av uppgifterna.
Enligt förslaget skall den persondataansvarige i samband med insam-
lingen av uppgifter självmant lämna de registrerade information om be-
handlingen. När uppgifterna hämtas in från någon annan källa än den
registrerade, behöver information dock inte lämnas, om registreringen
eller utlämnandet av uppgifterna är författningsreglerat eller om det skulle
innebära en oproportionerligt stor arbetsinsats att informera.
Den registrerade skall enligt förslaget ha rätt att på begäran en gång per
kalenderår gratis få information om de uppgifter som behandlas, dvs. ett
registerutdrag. Den persondataansvarige skall vidare på begäran korrigera
personuppgifter som är felaktiga, missvisande eller ofullständiga eller
annars inte har behandlats enligt de bestämmelser som gäller.
För överföring av personuppgifter utanför EU och EES föreslås vissa
restriktioner.
Den föreslagna lagen innehåller bestämmelser om säkerheten vid be-
handling av personuppgifter.
Den nuvarande skyldigheten att i förväg anmäla behandlingar till Data-
inspektionen bör begränsas till ett minimum. Inspektionens verksamhet
skall i stället koncentreras till tillsyn, information och rådgivning. Datain-
spektionen skall också genom föreskrifter precisera lagens regler på olika
områden
Om någon bryter mot den föreslagna lagen skall Datainspektionen
söka åstadkomma rättelse. Inspektionen får enligt förslaget förelägga vite
och föra talan om att personuppgifter skall utplånas.
I övrigt är påföljden för brott mot den föreslagna lagen i första hand
skadestånd till de registrerade som har drabbats av skada. De skall utom
annan ersättning liksom hittills ha rätt till ideellt skadestånd för
kränkning. Skadeståndsansvaret bör vara i princip rent strikt, dvs. skade-
stånd skall betalas så snart reglerna inte har följts, men vi föreslår en möj-
lighet att efter skälighet sätta ned skadeståndet för det fall att den person-
dataansvarige kan bevisa att den felaktiga behandlingen inte berodde på
honom eller henne.
Den föreslagna lagen bör träda i kraft den 1 januari 1999 och tillämpas
fullt ut på behandlingar som påbörjas därefter. För behandlingar som
redan pågår vid ikraftträdandet, bör den gamla datalagen få gälla ända till
den 1 oktober 2001
Prop. 1997/98:44
Bilaga 2
Reservationer har lämnats av Anders Christner (kd), Tomas Ohlin (fp)
och Inger René (m) gemensamt samt av Bo Edvardsson (mp).
185
Särskilda yttranden har lämnats av Bo Edvardsson (mp) och av Jan
Evers, med instämmande av Rolf Nygren, av Barbro Fischerström,
Anders S Forsberg, Jan Freese samt av Margareta Åberg.
Prop. 1997/98:44
Bilaga 2
186
Prop. 1997/98:44
Bilaga 3
Härmed föreskrivs1 följande
Inledande bestämmelser
Syftet med lagen
1 § Syftet med denna lag är att skydda människor mot otillbörligt intrång i
den personliga integriteten vid behandling av personuppgifter
Avvikande bestämmelser i annan lagstiftning
2 § Om det i en annan lag eller i en förordning finns bestämmelser som
avviker från denna lag, skall dessa bestämmelser gälla.
Definitioner
3 § I denna lag används följande beteckningar med nedan angiven bety-
delse.
Beteckning_____________
Behandling (av person-
uppgifter)
Blockering (av person-
uppgifter)
Den registrerade
Känsliga personuppgif-
Betydelse____________________________________
Varje åtgärd som vidtas beträffande person-
uppgifter
Varje åtgärd som kan vidtas för att personupp-
gifterna i alla sammanhang skall vara för-
knippade med tydlig information om att de är
spärrade och om anledningen till spärren och
för att personuppgifterna inte skall lämnas ut
till tredje man annat än med stöd av 2 kap
tryckfrihetsförordningen
Den som en personuppgift avser
Sådana personuppgifter som avses i 13 §.
ter
Mottagare
Den till vilken personuppgifter lämnas ut. När
personuppgifter lämnas ut för att en myndighet
skall kunna utföra sådan tillsyn, kontroll eller
revision som åligger den, anses dock inte
myndigheten som mottagare.
1 Jfr Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd
för enskilda personer med avseende på behandling av personuppgifter och om det fria
flödet av sådana uppgifter (EGT nr L 281, 23.11.1995, s. 31, Celex 395L0046).
187
Beteckning________
Persondataansvarig
Persondatabiträde
Personuppgifter
Samtycke
Tillsynsmyndigheten
Tredje land
Tredje man
Betydelse___________________________________
Den som ensam eller tillsammans med andra
bestämmer ändamålen med och medlen för be-
handlingen av personuppgifter.
Den som behandlar personuppgifter för den
persondataansvariges räkning.
All slags information som direkt eller indirekt
kan hänföras till en fysisk person som är i li-
vet.
Varje slag av frivillig, särskild och informerad
viljeyttring genom vilken den registrerade
godtar behandling av personuppgifter som rör
honom eller henne.
Den myndighet som regeringen utser.
En stat som inte ingår i Europeiska unionen
eller är ansluten till Europeiska ekonomiska
sam arbetsområdet.
Någon annan än den registrerade, den per-
sondataansvarige, persondatabiträdet och så-
dana personer som under den persondata-
ansvariges eller persondatabiträdets direkta an-
svar har befogenhet att behandla person-
uppgifter. Ett sådant persondataombud som
avses i 37 § anses inte som tredje man.
Prop. 1997/98:44
Bilaga 3
Tillämpningsområdet
Det territoriella tillämpningsområdet
4 § Denna lag gäller för sådana persondataansvariga som är etablerade i
Sverige
Lagen tillämpas också när den persondataansvarige är etablerad i tredje
land men för behandlingen av personuppgifter använder sig av utrustning
som finns i Sverige Vad som nu sagts gäller dock inte om utrustningen
bara används för att överföra uppgifter mellan ett tredje land och ett annat
sådant land
I det fall som avses i andra stycket skall den persondataansvarige utse
en företrädare för sig som är etablerad i Sverige. Den persondataansvarige
skall, innan utrustningen börjar användas, till tillsynsmyndigheten skriftli-
gen anmäla vem som har utsetts och därvid bifoga ett skriftligt medgi-
vande från den utsedde. Vad som anges i denna lag om den persondata-
ansvarige skall också gälla den företrädare som har anmälts på detta sätt.
Vilken behandling av personuppgifter omfattas av lagen
5 § Denna lag gäller för sådan behandling av personuppgifter som helt
eller delvis är automatisk.
188
Lagen gäller även för annan behandling av personuppgifter, om upp-
gifterna ingår i eller är avsedda att ingå i ett register. Med register avses
varje strukturerad samling av personuppgifter vilka är tillgängliga för
sökning eller sammanställning enligt särskilda kriterier.
Undantag för privat användning av personuppgifter
6 § Denna lag gäller inte för sådan behandling av personuppgifter som en
fysisk person utför som ett led i en verksamhet av rent privat natur
Undantag med hänsyn till yttrandefriheten
1 § Bestämmelserna i 9-29 och 33-46 §§ samt 47 § första stycket och
49 § skall inte tillämpas på
a) sådana förfaranden som är skyddade enligt tryckfrihetsförordningen
eller yttrandefnhetsgrundlagen,
b) spridningen av sådana yttranden som är skyddade enligt tryckfrihetsför-
ordningen eller yttrandefnhetsgrundlagen, eller
c) sådan behandling av personuppgifter som annars sker uteslutande för
journalistiska ändamål eller konstnärligt eller litterärt skapande.
Förhållandet till offentlighetsprincipen
8 § Bestämmelserna i denna lag skall inte tillämpas i den utsträckning det
skulle inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsför-
ordningen att lämna ut personuppgifter.
Bestämmelserna hindrar inte heller att en myndighet arkiverar och be-
varar sina allmänna uppgifter eller att arkivmaterial tas om hand av en ar-
kivmyndighet. Bestämmelserna i 9 § tredje stycket gäller inte för person-
uppgifter i en myndighets arkiv.
Grundläggande krav på behandlingen av personuppgifter
9 § Den persondataansvarige skall se till
a) att personuppgifter behandlas bara när det är lagligt, särskilt att sam-
tycke inhämtas när så krävs,
b) att personuppgifter alltid behandlas på ett korrekt sätt,
c) att personuppgifter samlas in bara för särskilda, uttryckligt angivna och
berättigade ändamål,
d) att personuppgifter inte behandlas för något ändamål som är oförenligt
med det för vilket uppgifterna samlades in,
e) att de personuppgifter som behandlas är adekvata och relevanta i för-
hållande till ändamålen med behandlingen,
f) att inte fler personuppgifter behandlas än som är nödvändigt med hän-
syn till ändamålen med behandlingen,
g) att de personuppgifter som behandlas är riktiga och, om det är nöd-
vändigt, aktuella,
Prop. 1997/98:44
Bilaga 3
189
h) att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana
personuppgifter som är felaktiga, missvisande eller ofullständiga med
hänsyn till ändamålen med behandlingen, och
i) att personuppgifter inte bevaras under en längre tid än vad som är nöd-
vändigt med hänsyn till ändamålen med behandlingen.
Beträffande första stycket d) gäller att en behandling av person-
uppgifter för historiska, statistiska eller vetenskapliga ändamål inte skall
anses som oförenlig med de ändamål för vilka uppgifterna samlades in. I
fråga om första stycket i) gäller att personuppgifter får bevaras under
längre tid än som sagts där för historiska, statistiska eller vetenskapliga
ändamål.
Personuppgifter som behandlas för historiska, statistiska eller veten-
skapliga ändamål far användas för att vidta åtgärder beträffande den
registrerade bara om den registrerade har lämnat sitt samtycke eller det
finns synnerliga skäl med hänsyn till den registrerades eller någon annans
vitala intressen.
När behandling av personuppgifter är tillåten
Allmänt
10 § Personuppgifter får behandlas bara om den registrerade har lämnat
sitt samtycke till behandlingen eller när behandlingen är nödvändig
a) för att fullgöra ett avtal med den registrerade,
b) för att på den registrerades begäran vidta åtgärder innan ett avtal träffas,
c) för att den persondataansvarige skall kunna fullgöra en rättslig skyl-
dighet,
d) för att skydda vitala intressen för den registrerade,
e) för att utföra en arbetsuppgift av allmänt intresse,
f) för att den persondataansvarige eller en tredje man till vilken person-
uppgifter lämnas ut skall kunna utföra en arbetsuppgift i samband med
myndighetsutövning, eller
g) för ändamål som rör ett berättigat intresse hos den persondataansvarige
eller hos sådana tredje män till vilka personuppgifterna lämnas ut när
detta intresse väger tyngre än den registrerades intresse
Direkt marknadsföring
11 § Personuppgifter får inte behandlas för ändamål som rör direkt mark-
nadsföring, om den registrerade hos den persondataansvarige skriftligen
har anmält att han eller hon motsätter sig sådan behandling
Prop. 1997/98:44
Bilaga 3
Samtycke återkallas
12 § I de fall där behandling av personuppgifter bara är tillåten när den
registrerade har lämnat sitt samtycke enligt 10, 15 eller 34 § har den re-
190
gistrerade rätt att när som helst återkalla ett lämnat samtycke Ytterligare
personuppgifter om den registrerade får därefter inte behandlas.
En registrerad har utöver vad som följer av första stycket och 11 § inte
rätt att motsätta sig sådan behandling av personuppgifter som är tillåten
enligt denna lag.
Förbud mot behandling av känsliga personuppgifter
13 § Det är förbjudet att behandla personuppgifter som avslöjar
a)ras eller etniskt ursprung,
bjpolitiska åsikter,
c) religiös eller filosofisk övertygelse, eller
d) medlemskap i fackförening
Det är också förbjudet att behandla sådana personuppgifter som rör
hälsa eller sexualliv.
Undantag från förbudet mot behandling av känsliga personuppgifter
Prop. 1997/98:44
Bilaga 3
Allmänt
14 § Utan hinder av 13 § är det tillåtet att behandla känsliga per-
sonuppgifter i de fall som anges i 15-19 §§.
I 10 § finns det bestämmelser om i vilka fall behandling av personupp-
gifter över huvud taget är tillåten
Samtycke eller offentliggörande
15 § Känsliga personuppgifter far behandlas, om den registrerade har
samtyckt till behandlingen eller på ett tydligt sätt offentliggjort uppgif-
terna.
Behandlingen är nödvändig i vissa fall
16 § Känsliga personuppgifter får behandlas när behandlingen är nödvän-
dig för att
a) den persondataansvarige skall kunna fullgöra sina skyldigheter eller
utöva sina rättigheter inom arbetsrätten,
b) skydda vitala intressen för den registrerade eller någon annan och den
registrerade inte kan lämna samtycke, eller
c) rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras.
Uppgifter som behandlas med stöd av första stycket a) får lämnas ut till
tredje man bara om det inom arbetsrätten finns en uttrycklig skyldighet för
den persondataansvarige att göra det eller den registrerade har samtyckt
till utlämnandet.
191
Ideella organisationer
17 § Ideella organisationer med politiskt, filosofiskt, religiöst eller
fackligt syfte får inom ramen för sin verksamhet behandla känsliga
personuppgifter om organisationens medlemmar och sådana andra
personer som på grund av organisationens syfte har regelbunden kontakt
med denna. Känsliga personuppgifter får dock lämnas ut till tredje man
bara om den registrerade har samtyckt till det
Hälso- och sjukvård
18 § Känsliga personuppgifter far behandlas, om behandlingen är nöd-
vändig för
a) förebyggande hälso- och sjukvård,
b) medicinska diagnoser,
c) vård eller behandling, eller
d) administration av hälso- och sjukvård.
Den som är yrkesmässigt verksam inom hälso- och sjukvårdsområdet
och har tystnadsplikt far alltid behandla känsliga personuppgifter som
omfattas av tystnadsplikten.
Forskning och statistik
19 § Känsliga personuppgifter får behandlas för forsknings- och statistik-
ändamål, om behandlingen är nödvändig och om samhällsintresset av det
forsknings- eller statistikprojekt vari behandlingen ingår klart väger över
den risk för otillbörligt intrång i enskildas personliga integritet som be-
handlingen kan innebära
Har projektet godkänts av en forskningsetisk kommitté, skall förutsätt-
ningarna enligt första stycket anses uppfyllda Med forskningsetisk
kommitté avses ett sådant särskilt organ för prövning av forsknmgsetiska
frågor som har företrädare för såväl det allmänna som forskningen och
som är knutet till ett universitet eller en högskola eller till någon annan in-
stans som i mera betydande omfattning finansierar forskning.
Personuppgifter får lämnas ut för att användas i sådana projekt som av-
ses i första stycket, om inte något annat följer av sekretesslagen
(1980:100).
Bemyndigande att föreskriva ytterligare undantag
20 § Regeringen eller den myndighet som regeringen bestämmer får före-
skriva ytterligare undantag från förbudet i 13 §, om det behövs med
hänsyn till ett viktigt allmänt intresse.
Prop. 1997/98:44
Bilaga 3
Uppgifter om lagöverträdelser
21 § Det är förbjudet för andra än myndigheter att behandla personuppgif-
ter om lagöverträdelser eller om domar och säkerhetsåtgärder i brottmål.
192
Regeringen eller den myndighet som regeringen bestämmer får före- Prop. 1997/98:44
skriva undantag från förbudet i första stycket. Bilaga 3
Användning av personnummer
22 § Uppgift om personnummer får behandlas bara när det är klart
motiverat med hänsyn till
a) ändamålet med behandlingen,
b) vikten av en säker identifiering, eller
c) något annat beaktansvärt skäl.
Information till den registrerade
Information skall lämnas självmant när uppgifterna samlas in
23 § När uppgifter om en person samlas in från denne själv, skall den per-
sondataansvarige självmant lämna den registrerade information rörande
behandlingen
24 § Om personuppgifterna har samlats in från annan källa än den re-
gistrerade, skall den persondataansvarige självmant lämna den registre-
rade information rörande behandlingen när uppgifterna noteras. Är
uppgifterna avsedda att lämnas ut till tredje man, behöver informationen
dock lämnas först när uppgifterna lämnas ut för första gången.
Information enligt första stycket behöver inte lämnas, om det finns be-
stämmelser om registrerandet eller utlämnandet av personuppgifterna i en
lag eller någon annan författning.
Information behöver inte heller lämnas enligt första stycket, om detta
visar sig vara omöjligt eller skulle innebära en oproportionerligt stor ar-
betsinsats. Om uppgifterna används för att vidta åtgärder beträffande den
registrerade, skall dock information alltid lämnas senast i samband med
att så sker.
Vilken information skall lämnas självmant
25 § Information enligt 23 § eller 24 § första stycket skall omfatta
a) uppgift om den persondataansvariges identitet,
bjuppgift om ändamålen med behandlingen, och
c) all övrig information som behövs för att den registrerade skall kunna ta
till vara sina rättigheter, såsom information om mottagarna av uppgif-
terna, skyldighet att lämna uppgifter och rätten att ansöka om informa-
tion.
Uppgifter behöver dock inte lämnas om sådant som den registrerade
redan känner till
193
13 Riksdagen 1997/98. 1 saml. Nr 44
Information skall också lämnas efter ansökan
26 § Den persondataansvarige är skyldig att till var och en som ansöker
om det en gång per kalenderår gratis lämna information, om personupp-
gifter som rör sökanden behandlas eller mte. Behandlas sådana uppgifter
skall skriftlig information lämnas också om
a) vilka uppgifter om sökanden som behandlas,
b) varifrån dessa uppgifter har hämtats,
c) ändamålen med behandlingen, och
djtill vilka mottagare eller kategorier av mottagare som uppgifterna läm-
nas ut.
En ansökan enligt första stycket skall göras skriftligen hos den person-
dataansvarige och vara undertecknad av den sökande själv Information
enligt första stycket skall lämnas inom en månad från det att ansökan
gjordes. Det är dock tillåtet att lämna information bara vid tre över året
jämnt fördelade tillfällen, om det finns särskilda skäl för det
Information enligt första stycket behöver inte lämnas beträffande per-
sonuppgifter i löpande text som inte fått sin slutliga utformning när ansö-
kan gjordes eller som utgör minnesanteckning eller liknande Vad som nu
sagts gäller dock inte om uppgifterna har lämnats ut till tredje man, om
uppgifterna behandlas bara för historiska, statistiska eller vetenskapliga
ändamål eller, såvitt gäller löpande text som inte fått sin slutliga utform-
ning, om uppgifterna har behandlats under längre tid än ett år
Undantag från informationsskyldigheten vid sekretess och tystnadsplikt
27 § I den utsträckning det är särskilt föreskrivet i lag eller annan författ-
ning eller i beslut som har meddelats med stöd av författning att uppgifter
inte får lämnas ut till den registrerade gäller inte bestämmelserna i 23-
26§§.
Regeringen eller den myndighet som regeringen bestämmer får medge
undantag från bestämmelserna i 23-26 §§, om det behövs för att skydda
grundläggande intressen för enskilda eller för att förebygga, undersöka
eller avslöja brott
Rättelse
28 § Den persondataansvarige är skyldig att på begäran av den re-
gistrerade rätta, blockera eller utplåna sådana personuppgifter som inte
har behandlats i enlighet med denna lag eller föreskrifter som har ut-
färdats med stöd av lagen Den persondataansvarige skall också under-
rätta de tredje män till vilka uppgifterna har lämnats ut om åtgärden, om
den registrerade begär det eller om en underrättelse skulle kunna undvika
mera betydande skada eller olägenhet för den registrerade. Någon sådan
underrättelse behöver dock inte lämnas om detta visar sig vara omöjligt
eller skulle innebära en oproportionerligt stor arbetsinsats.
Prop. 1997/98:44
Bilaga 3
194
Automatiserade beslut
29 § Ett beslut som har rättsliga följder för en fysisk person eller annars
har märkbara verkningar för denne får grundas enbart på automatisk be-
handling av personuppgifter, vilka är avsedda att bedöma egenskaper hos
den berörda personen, bara om den som berörs av beslutet har möjlighet
att på begäran fa beslutet omprövat på manuell väg.
Var och en som varit föremål för ett sådant beslut som avses i första
stycket har rätt att på ansökan få information från den persondataansva-
rige om vilka regler som har styrt den automatiska behandling som har lett
fram till beslutet. I fråga om ansökan och lämnandet av information gäller
i tillämpliga delar bestämmelserna i 26 §.
Säkerheten vid behandling
De personer som arbetar med personuppgifter
30 § Ett persondatabiträde och den eller de personer som arbetar under
dennes eller den persondataansvariges ledning får behandla personuppgif-
ter bara i enlighet med instruktioner från den persondataansvarige. I fråga
om sekretess och tystnadsplikt i det allmännas verksamhet tillämpas i
stället bestämmelserna i sekretesslagen (1980:100).
Det skall finnas ett skriftligt avtal om persondatabiträdets behandling
av personuppgifter för den persondataansvariges räkning. I det avtalet
skall det särskilt föreskrivas att persondatabiträdet får behandla
personuppgifterna bara i enlighet med instruktioner från den per-
sondataansvarige och att persondatabiträdet är skyldigt att vidta de åt-
gärder som avses i 31 § första stycket.
Skyddsåtgärder
31 § Den persondataansvarige skall vidta lämpliga tekniska och organisa-
toriska åtgärder för att skydda de personuppgifter som behandlas. Åtgär-
derna skall åstadkomma en säkerhetsnivå som är lämplig med beaktande
av
a) de tekniska möjligheter som finns,
b) vad det skulle kosta att genomföra åtgärderna,
c) de särskilda risker som finns med behandlingen av personuppgifterna,
och
d) hur pass känsliga de behandlade personuppgifterna är.
När den persondataansvarige anlitar ett persondatabiträde, skall den
persondataansvarige förvissa sig om att persondatabiträdet kan genomföra
de säkerhetsåtgärder som måste vidtas och se till att persondatabiträdet
verkligen vidtar åtgärderna.
Prop. 1997/98:44
Bilaga 3
195
Tillsynsmyndigheten får besluta om skyddsåtgärder
32 § Tillsynsmyndigheten får besluta om vilka skyddsåtgärder som den
persondataansvarige skall vidta enligt 31 §.
I 47 § finns det bestämmelser om tillsynsmyndighetens möjligheter att
förena beslutet med vite.
Överföring av personuppgifter till tredje land
Förbud mot överföring
33 § Det är förbjudet att till tredje land föra över personuppgifter som be-
handlas. Förbudet gäller också överföring av personuppgifter för behand-
ling i tredje land.
Undantag från förbudet
34 § Utan hinder av 33 § är det tillåtet att föra över personuppgifter till
tredje land, om den registrerade har samtyckt till överföringen eller när
överföringen är nödvändig för att
a) fullgöra ett avtal mellan den registrerade och den persondataansvarige,
b) på den registrerades begäran vidta åtgärder innan ett avtal träffas,
c) ingå eller fullgöra ett sådant avtal mellan den persondataansvarige och
tredje man som är i den registrerades intresse,
djrättsliga anspråk skall kunna fastställas, göras gällande eller försvaras,
eller
e) skydda vitala intressen för den registrerade.
Det är också tillåtet att föra över personuppgifter för användning enbart
i en stat som har anslutit sig till Europarådets konvention om skydd för
enskilda vid automatisk databehandling av personuppgifter
35 § Regeringen far för överföring av personuppgifter till vissa stater
föreskriva undantag från förbudet i 33 §. Regeringen får också föreskriva
att överföring av personuppgifter till tredje land är tillåten, om över-
föringen regleras av ett avtal som innehåller vissa bestämmelser till skydd
för de registrerades rättigheter.
Regeringen eller den myndighet som regeringen bestämmer får vidare
medge undantag från förbudet i 33 §, om det behövs med hänsyn till ett
viktigt allmänt intresse eller om det finns tillräckliga garantier till skydd
för de registrerades rättigheter.
Prop. 1997/98:44
Bilaga 3
196
Anmälan till tillsynsmyndigheten
Prop 1997/98:44
Bilaga 3
A nmälningsskyldighet
36 § Behandling av personuppgifter som är helt eller delvis automatisk
omfattas av anmälningsskyldighet. Den persondataansvarige skall innan
en sådan behandling eller en serie av sådana behandlingar, som har
samma eller liknande ändamål, genomförs göra en skriftlig anmälan till
tillsynsmyndigheten.
Regeringen eller den myndighet som regeringen bestämmer får före-
skriva undantag från anmälningsskyldigheten för sådana typer av behand-
lingar som sannolikt inte kommer att leda till otillbörligt intrång i den per-
sonliga integriteten.
Anmälan behöver inte göras om det finns ett persondataombud
37 § När den persondataansvarige har offentliggjort en uppgift om att ett
persondataombud utsetts och vem det är, behöver anmälan enligt 36 § inte
göras.
Persondataombudets uppgifter
38 § Persondataombudet skall ha till uppgift att självständigt se till att den
persondataansvarige behandlar personuppgifter på ett korrekt och lagligt
sätt och påpeka eventuella brister för denne.
Har persondataombudet anledning att misstänka att den persondataan-
svarige bryter mot de bestämmelser som gäller för behandlingen av per-
sonuppgifter och vidtas inte rättelse så snart det kan ske efter påpekande,
skall persondataombudet anmäla förhållandet till tillsynsmyndigheten
Persondataombudet skall även i övrigt samråda med tillsynsmyndighe-
ten vid tveksamhet om hur de bestämmelser som gäller för behandlingen
av personuppgifter skall tillämpas.
39 § Persondataombudet skall föra en förteckning över de behandlingar
som den persondataansvarige genomför och som skulle ha omfattats av
anmälningsskyldighet om ombudet inte hade funnits Förteckningen skall
omfatta åtminstone de uppgifter som en anmälan enligt 36 § skulle ha
innehållit.
40 § Persondataombudet skall hjälpa registrerade att få rättelse när det
finns anledning att misstänka att behandlade personuppgifter är felaktiga,
missvisande eller ofullständiga.
Obligatorisk anmälan för särskilt integritetskänsliga behandlingar
41 § Regeringen far föreskriva att vissa behandlingar av personuppgifter
som kan innebära särskilda risker för otillbörligt intrång i den personliga
integriteten skall för förhandskontroll anmälas till tillsynsmyndigheten en-
197
ligt 36 § tre veckor i förväg. Om regeringen har meddelat sådana före- Prop. 1997/98:44
skrifter, gäller inte undantaget från anmälningsskyldigheten enligt 37 §. Bilaga 3
Upplysningar till allmänheten om behandlingar som inte anmälts
42 § Den persondataansvarige skall till var och en som begär det skynd-
samt och på lämpligt sätt lämna upplysningar om sådana automatiska eller
andra behandlingar av personuppgifter som inte har anmälts till tillsyns-
myndigheten. Upplysningarna skall omfatta det som en anmälan enligt
36 § skulle ha omfattat. Den persondataansvarige är dock inte skyldig att
lämna ut uppgifter om vilka säkerhetsåtgärder som har vidtagits.
Skadestånd
43 § Den persondataansvarige skall ersätta den registrerade för den skada
som en behandling av personuppgifter i strid med denna lag eller före-
skrifter som har meddelats med stöd av lagen har fört med sig. Ersättning
skall också betalas för ren förmögenhetsskada och för den kränkning av
den personliga integriteten som behandlingen har inneburit.
Ersättningsskyldigheten enligt första stycket kan i den utsträckning det
är skäligt sättas ned eller helt falla bort, om den persondataansvarige visar
att felet inte berodde på honom eller henne
Straff för osanna uppgifter
44 § Till böter eller fängelse högst sex månader eller, om brottet är grovt,
till fängelse i högst två år döms den som uppsåtligen eller av oaktsamhet
lämnar osann uppgift
a) i information till registrerade som föreskrivs i denna lag,
b) i anmälan till tillsynsmyndigheten enligt 36 §, eller
c) till tillsynsmyndigheten när myndigheten begär information enligt 45 §
Tillsynsmyndighetens befogenheter
45 § Tillsynsmyndigheten har rätt att för sin tillsyn på begäran få
a) tillgång till de personuppgifter som behandlas,
b) upplysningar och dokumentation rörande behandlingen av personupp-
gifter och säkerheten vid denna, och
c) tillträde till sådana lokaler som har anknytning till behandlingen av
personuppgifter.
46 § Om tillsynsmyndigheten inte efter begäran enligt 45 § kan få tillräck-
ligt underlag för att konstatera att behandlingen av personuppgifter är lag-
lig, får myndigheten vid vite förbjuda den persondataansvarige att be-
handla personuppgifter på annat sätt än genom att lagra dem
47 § Om tillsynsmyndigheten konstaterar att personuppgifter behandlas
eller kan komma att behandlas på ett olagligt sätt, skall myndigheten ge-
198
nom påpekanden eller liknande förfaranden försöka åstadkomma rättelse.
Går det inte att få rättelse på annat sätt eller är det riskfyllt att vänta, far
myndigheten vid vite förbjuda den persondataansvarige att fortsätta att be-
handla personuppgifterna på annat sätt än genom att lagra dem.
Om den persondataansvarige inte frivilligt följer ett beslut om
skyddsåtgärder enligt 32 §, som vunnit laga kraft, får tillsynsmyndigheten
föreskriva vite för att beslutet skall genomföras
48 § Innan tillsynsmyndigheten beslutar om vite enligt 46 eller 47 §, skall
den persondataansvarige ha fått tillfälle att yttra sig. Om det är riskfyllt att
vänta, far myndigheten dock i avvaktan på yttrandet meddela ett tillfälligt
beslut om vite. Det tillfälliga beslutet skall prövas om, när yttrandetiden
har gått ut.
Ett vitesföreläggande skall delges den persondataansvarige. Delgivning
enligt 12 § delgivningslagen (1970:428) far dock användas bara om det
finns skäl att anta att den persondataansvarige har avvikit eller håller sig
undan på något annat sätt.
49 § Tillsynsmyndigheten får hos länsrätten i det län där myndigheten är
belägen ansöka om att sådana personuppgifter som har behandlats på ett
olagligt sätt skall utplånas.
Beslut om utplånande får inte meddelas om det är oskäligt.
Överklagande
50 § Tillsynsmyndighetens beslut enligt denna lag om annat än generella
föreskrifter far överklagas hos allmän förvaltningsdomstol
Prövningstillstånd krävs vid överklagande till kammarrätten.
Tillsynsmyndigheten får bestämma att dess beslut skall gälla även om
det överklagas.
Närmare föreskrifter
51 § Regeringen eller den myndighet som regeringen bestämmer får med-
dela närmare föreskrifter om
a) i vilka fall behandling av personuppgifter är tillåten,
b) vilka krav som ställs på den persondataansvarige vid behandling av
personuppgifter,
c) i vilka fall användning av personnummer är tillåten,
d) innehål let i en anmälan eller ansökan till en persondataansvarig,
e) vilken information som skall lämnas till registrerade och hur lämnandet
av information skall gå till, och
f) anmälan till tillsynsmyndigheten och förfarandet när anmälda uppgifter
har ändrats.
Prop. 1997/98:44
Bilaga 3
199
Övergångsbestämmelser
1. Denna lag träder i kraft den 1 januari 1999, då datalagen (1973:289)
skall upphöra att gälla. Den äldre lagen gäller dock fortfarande i fråga
om överklagande av beslut som har meddelats före den 1 januari 1999.
2. Beträffande sådan behandling av personuppgifter som pågår vid ikraft-
trädandet skall till utgången av september månad 2001 den äldre lagen
tillämpas i stället för den nya. Detta gäller även bestämmelserna i den
äldre lagen om överklagande.
3. Bestämmelserna i 9, 10, 13 och 21 §§ i den nya lagen skall inte börja
tillämpas förrän den 1 oktober 2007 beträffande sådan manuell behand-
ling av personuppgifter som pågår vid ikraftträdandet.
4. Beträffande personuppgifter som vid ikraftträdandet lagras för historisk
forskning skall bestämmelserna i 9, 10, 13 och 21 §§ i den nya lagen
börja tillämpas först när uppgifterna behandlas på något annat sätt.
Dessförinnan skall motsvarande bestämmelser i den äldre lagen tilläm-
pas. De angivna bestämmelserna i den nya lagen skall dock inte till
följd av vad som nu sagts börja tillämpas tidigare än vad som följer av
punkt 2 eller 3 ovan.
5. Anmälan enligt 36 § i den nya lagen får göras före ikraftträdandet.
6. Ett samtycke som har lämnats före ikraftträdandet skall gälla även efter
ikraftträdandet om samtycket uppfyller kraven i den nya lagen.
7. Har en begäran om registerutdrag enligt 10 § i den äldre lagen kommit
in före ikraftträdandet men har utdraget inte expedierats före ikraftträ-
dandet skall framställningen anses som en ansökan enligt 26 § i den nya
lagen.
8. Den nya lagens bestämmelser om skadestånd skall bara tillämpas om
den omständighet som yrkandet hänför sig till har inträffat efter ikraft-
trädandet. I annat fall tillämpas de äldre bestämmelserna.
Prop. 1997/98:44
Bilaga 3
200
Härigenom föreskrivs i fråga om sekretesslagen (1980:100)
dels att 15 kap. 13 § skall upphöra att gälla,
dels att i 2 kap 1 och 2 §§, 3 kap. 1 §, 5 kap. 1 §, 6 kap 1-7 §§, 7 kap
I §, 4 §, 6-15 §§ och 19-36 §§, 8 kap. 1-3 §§, 5-19 §§, 21 §, 23 § och
24 § samt 9 kap. 1-5 §§, 8 §, 10-17 §§ och 19-24 §§ orden "uppgift i
allmän handling" skall bytas ut mot "allmän uppgift",
dels att 1 kap 1 § och 8-10 §§, 2 kap. 3 §, 5 kap. 2 §, 7 kap 16 §,
9 kap. 6 §, 15 kap. 1-4 §§ och 6-12 §§, rubriken till 15 kap. samt
rubrikerna närmast före 15 kap 1 och 9 §§ skall ha följande lydelse,
dels att det i lagen skall införas närmast före 15 kap. 3 §, 4 §, 6 §, 7 §,
II § och 12 § nya rubriker av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
7 kap
16 §
Sekretess gäller för person- Sekretess gäller för personupp-
uppgift i personregister som avses i gift, om det kan antas att ett ut-
datalagen (1973:289), om det kan lämnande skulle medföra att upp-
antas att utlämnande skulle medföra giften behandlas i strid med person-
att uppgiften används för datalagen (1998:000).
automatisk databehandling i strid
med datalagen
Sekretess för uppgift som anges i
första stycket gäller också, om det
kan antas att utlämnande skulle
medföra att uppgiften används för
automatisk databehandling i utlan-
det och att detta medför otillbörligt
intrång i personlig integritet. Vid
tillämpning av denna bestämmelse
ankommer det på datainspektionen
att pröva fråga om utlämnande.
Sekretess enligt detta stycke gäller
dock ej, om uppgiften skall använ-
das för automatisk databehandling
enbart i en stat som har anslutit sig
till Europarådets konvention om
skydd för enskilda vid automatisk
behandling av personuppgifter
9 kap.
6§
Sekretess gäller hos datain- Sekretess gäller hos Datainspek-
spektionen i ärende om tillstånd tionen i ärende om tillstånd eller
Prop. 1997/98:44
Bilaga 3
201
eller till-syn, som enligt lag ankom- tillsyn, som enligt lag eller annan Prop. 1997/98:44
mer på inspektionen, och i ärende författning ankommer på inspek- Bilaga 3
om sådant bistånd som avses i tionen, och i ärende om sådant bi-
Europarådets konvention om skydd stånd som av-ses i Europarådets
för enskilda vid automatisk databe- konvention om skydd för enskilda
handling av personuppgifter, för vid automatisk databehandling av
uppgift om enskilds personliga eller personuppgifter, for uppgift om en-
ekonomiska förhållanden, om det skilds personliga eller ekonomiska
kan antas att den enskilde eller förhållanden, om det kan antas att
någon honom närstående lider den enskilde eller någon honom
skada eller men om uppgiften röjs, närstående lider skada eller men om
Har uppgift, för vilken gäller sekre- uppgiften röjs. Har upp-gift, för
tess enligt vad nu har sagts, lämnats vilken gäller sekretess en-ligt vad
till regeringen eller justitiekanslem, nu har sagts, lämnats till Justitie-
gäller sekretessen också där. kanslern, gäller sekretessen också
där.
I fråga om uppgift i allmän I fråga om allmän uppgift gäller
handling gäller sekretessen i högst sekretessen i högst sjuttio år.
sjuttio år.
15 kap.
H §
Varje myndighet skall för Om en myndighet för handlägg-
allmänheten hålla tillgänglig ningen av ett mål eller ärende an-
beskrivning av de register, för- vänder en uppgift i en databas skall
teckningar eller andra anteckningar uppgiften på lämpligt sätt tillföras
hos myndigheten som förs med målet eller ärendet,
hjälp av automatisk databehandling
(ADB-register). Sådan skyldighet
föreligger dock inte i fråga om
ADB-register som mte till någon
del anses som allmän handling hos
myndigheten. Myndigheten är inte
heller skyldig att tillhandahålla
beskrivning som uppenbarligen
skulle vara av ringa betydelse för
enskildas rätt att ta del av allmänna
handlingar hos myndigheten.
Beskrivning som avses i första
stycket skall ge upplysning om
1. ADB-registrets benämning,
2. ADB-registrets ändamål,
3. vilka typer av uppgifter i ADB-
registret som myndigheten har till-
gång till och på vilket sätt dessa
uppgifter normalt inhämtas,
4. hos vilka andra myndigheter
ADB-registret är tillgängligt för
över-föring till läsbar form,
202
5. vilka terminaler eller andra
tekniska hjälpmedel som enskild
själv kan fä utnyttja hos myndig-
heten,
6. vilka bestämmelser om sekre-
tess som myndigheten vanligen skall
tillämpa på uppgifter i ADB-
registret,
1. vem som hos myndigheten kan
lämna närmare upplysningar om
ADB-registret och dess användning
i myndighetens verksamhet,
8. rätt till försäljning av person-
uppgifter i personregister som avses
i datalagen (1973:289).
I beskrivningen skall dock
uppgift enligt andra stycket
utelämnas, om det behövs för att
beskrivningen i övriga delar skall
kunna företes för allmänheten.
Prop. 1997/98:44
Bilaga 3
1. Denna lag träder i kraft den 1 januari 1999
2. Beträffande uppgift i ärende som avgjorts genom beslut av
Datainspektionen före den 1 januari 1999 gäller dock fortfarande 9 kap.
6 § i den äldre lydelsen.
203
Prop 1997/98:44
Bilaga 4
Regeringen har uppdragit åt Statskontoret att analysera de ekonomiska
konsekvenserna av Datalagskommitténs förslag i betänkandet (SOU
1997:39) Integritet, Offentlighet, Informationsteknik.
Arbetet har bedrivits i form av ett projekt där ett antal berörda myn-
digheter medverkat.
I uppdraget betonas särskilt att de myndigheter som är intäktsfinan-
serade skall uppmärksammas och speciellt hur s.k. massuttag för kom-
mersiella ändamål påverkar deras verksamhet
Statskontoret har koncentrerat sina insatser till följande avsnitt i utred-
ningen:
Utlämnande av allmänna uppgifter.
Automatiserade beslut i myndigheternas datorprogram.
Ett ökat antal sekretessprövningar
Datainspektionens finansiering
Informationsskyldighet enligt persondatalagen.
Persondataombud
I rapporten redovisas dels förändringar i myndigheternas penningström-
mar som övergångsvis kan orsaka ekonomiska problem, dels direkta kost-
nadsökningar som orsakas av utredningsförslagen
Statskontoret har kartlagt och analyserat effekterna av förslaget genom
noggranna undersökningar av penningströmmar hos de myndigheter som
hanterar grunddata
Den sammanlagda kostnadsökningen för dessa myndigheter har upp-
skattats till 185 000 tkr.
Statskontoret har också punktvis uppskattat intäktsbortfali och ökade
kostnader vid några myndigheter som säljer offentlig information i stor
omfattning. Statskontoret uppskattar intäktsbortfallet för dessa myndig-
heter till 40 000 tkr.
Statskontoret har tillsammans med tre myndigheter som använder sig
av automatiserade beslut i sin verksamhet uppskattat kostnadsökningen av
att utöver sedvanlig teknisk dokumentation ta fram av utredningen
föreslagna beskrivningar. Statskontoret uppskattar myndigheternas
kostnader till 40 000 tkr.
Med Datalagskommitténs förslag försvinner Datainspektionens nu-
varande finansieringsmöjligheter vilket innebär att kostnaden för staten
ökar med ca 23 000 tkr.
204
Statskontoret har också funnit att informationsskyldighet enligt person-
datalagen och ett ökat antal sekretessprövningar innebär ökade kostnader
för offentlig förvaltning, men osäkerheten är så stor att det inte är
meningsfullt att ange ett belopp
De på detta sätt beräknade kostnaderna för staten uppgår sammanlagt
till 288 000 tkr.
Med hänsyn till att endast punktvisa undersökningar har kunnat göras
av den statliga förvaltningen bedömer vi att det angivna beloppet bör
höjas väsentligt för att erhålla en realistisk total kostnadsuppskattning.
Statskontoret har inte gjort några kostnadsbedömningar avseende
konsekvenserna för kommuner, landsting och samhället i övrigt.
Statskontoret har, i enlighet med uppdraget, mot bakgrund av utgiftshöj-
ningen övervägt möjligheterna till finansiering Statskontoret har funnit
följande möjligheter:
att myndigheter som har verksamheter med anknytning till mfor-
mationsmarknaden ses över med avseende på verksamhetsform.
Lagförslaget innebär förändrade förutsättningar för myndigheter som
har verksamheter med nära anknytning till informationsmarknaden
att avgiftsförordningen IT-anpassas
En avgift för elektroniska offentlighetsuttag bestäms utifrån den
princip som Statskontoret och Grunddatabasutredningen (Dir 1996:43)
efter samråd har enats om Det innebär att ett elektroniskt uttag enligt
offentlighetsprincipen
(2 kap. 15 § i föreslagen ny lydelse av TF) skall kunna ske på två sätt,
en mindre mängd lämnas ut avgiftsfritt ett begränsat antal gånger per dag
och person/adress (det som först uppfylls). Mer omfattande uttag kan ske
mot avgift. Avgiften bör utformas så att den är enkel att förstå för
allmänheten och enkel att tillämpa i myndigheternas verksamhet samt
kostnadsneutral gentemot den uppdragsverksamhet som myndigheten
eventuellt bedriver med stöd av IT. Själva utlämnandet på elektroniskt
medium bör följa självkostnadsprincipen. Förslaget utvecklas vidare av
Grunddatabasutredningen
att offentlig förvaltning, för att förenkla utlämnandet av allmänna upp-
gifter, åläggs att klassificera informationen i åtminstone följande grupper:
Uppgifter som inte är att anse som allmänna
Uppgifter som är allmänna och som kan vara föremål för sekretess.
Uppgifter som är allmänna och som inte kan vara föremål för
sekretess.
att Datainspektionen i huvudsak finansieras genom tillsynsavgifter och
i övrigt som ett stabsorgan över statsbudgeten via ramanslag. Genom att
Datainspektionen ges möjlighet att ta ut avgifter för tillsynen kan statens
kostnad begränsas. Statskontoret uppskattar statens kostnad vid en sådan
biandfinansiering till 10 000 tkr.
Prop. 1997/98:44
Bilaga 4
205
Remissyttranden över Datalagskommitténs betänkande Integritet -
Offentlighet - Informationsteknik (SOU 1997:39) eller Statskontorets
rapport Konsekvensanalys av Datalagskommitténs betänkande SOU
1997:39 (Rapport 1997:11) har avgetts av Riksdagens ombudsmän, Svea
hovrätt, Hovrätten över Skåne och Blekinge, Malmö tingsrätt, Kammar-
rätten i Stockholm, Kammarrätten i Göteborg, Länsrätten i Stockholms
län, Justitiekanslem, Domstolsverket, Riksåklagaren, Rikspolisstyrelsen,
Kriminalvårdsstyrelsen, Datainspektionen, Försvarsmakten, Totalför-
svarets pliktverk, Överstyrelsen för civil beredskap, Riksförsäkrings-
verket, Socialstyrelsen, Folkhälsoinstitutet, Socialvetenskapliga forsk-
ningsrådet, Jämställdhetsombudsmannen (JÄMO), Post- och Telestyrel-
sen, Vägverket, Kommunikationsforskningsberedningen, Posten AB,
Telia AB, Statskontoret, Statens person- och adressregistemämnd, Gene-
raltullstyrelsen, Statistiska centralbyrån, Finansinspektionen, Riksre-
visionsverket, Riksskatteverket, Statens löne- och pensionsverk, Statens
skolverk, Forskningsrådsnämnden, Humanistiskt-samhällsvetenskapliga
forskningsrådet, Medicinska forskningsrådet, Naturvetenskapliga forsk-
ningsrådet, Centrala Studiestödsnämnden (CSN), Juridiska fakultets-
nämnden vid Stockholms universitet, Karolinska institutet, Juridiska
fakultetsnämnden vid Uppsala universitet, Juridiska fakultetsnämnden vid
Lunds universitet, Högskolan i Karlstad, Universitetet i Umeå, Skogs-
och jordbrukets forskningsråd, Sveriges lantbruksuniversitet, Arbetsmark-
nadsstyrelsen (AMS), Arbetslivsinstitutet, Arbetarskyddsstyrelsen, Riks-
arkivet, Konkurrensverket, Patent- och registreringsverket, Svenska
kyrkans centralstyrelse, Lantmäteriverket, Stockholms kommun, Norr-
köpings kommun, Jönköpings kommun, Malmö kommun, Varbergs
kommun, Göteborgs kommun, Härnösands kommun, Umeå kommun,
Kiruna kommun, Stockholms läns landsting, Kalmar läns landsting, Jämt-
lands läns landsting, Vetenskapsakademien, Sveriges författarförbund,
Svenska Kommunförbundet, Landstingsförbundet, Svenska kyrkans
Församlings- och Pastoratsförbund, Sveriges advokatsamfund, Sveriges
köpmannaförbund, Sveriges industriförbund, Företagarnas Riksorga-
nisation, Sveriges Försäkringsförbund, Sveriges Radio AB, Sveriges Tele-
vision AB, Tjänstemännens Centralorganisation (TCO), Sveriges Akade-
mikers Centralorganisation (SACO), Landsorganisationen i Sverige (LO),
Svenska Arbetsgivareföreningen, Företagens Uppgiftslämnardelegation,
Svenska journalistförbundet, Svenska tidningsutgivareföreningen,
Pressens Opinionsnämnd, Svenska Bankföreningen, Serna Group Info-
Data AB, Dataföreningen i Sverige, Medborgarrättsrörelsen i Sverige,
Internationella Juristkommissionen, svenska avdelningen, Föreningen
Grävande Journalister, Swedish Direct Marketing Association (SWED-
MA), Svenska Inkassoföreningen, Tele 2 AB, Näringslivets Telekom-
mitté, Svenska IT-företagens organisation, Kungliga biblioteket, Upplys-
ningsCentralen UC AB, Sveriges Geologiska Undersökning (SGU),
Hälso- och sjukvårdens utvecklingsinstitut (SPRI), Landstinget i Öster-
götland, Carin Hedström, Dow Europé, Svensk Byggtjänst, Läkemedels-
industriförenmgen, Sveriges Släktforskarförbund, Konstnärliga och
Prop. 1997/98:44
Bilaga 5
206
litterära yrkesutövares samarbetsnämnd (KLYS), Sjöfartsverket, Jacob
Palme och Claes Tullbrink.
Riksskatteverket har bifogat yttranden av skattemyndigheterna i Gävle-
borgs, Göteborgs och Bohus, Skåne och Stockholms län och av krono-
fogdemyndigheterna i Malmö och Stockholm.
Sveriges Akademikers Centralorganisation (SACO) har översänt ett
yttrande av Sveriges Psykologförbund.
Följande remissinstanser har beretts tillfälle men inte kommit in med
yttrande: Chalmers tekniska högskola, Tidningarnas Telegrambyrå (TT),
Publicistklubben, Stiftelsen Allmänhetens Pressombudsman, TV 4 AB,
Arkivrådet AAS, Informationsproducentföreningen (IPF) och Föreningen
säkrad elektronisk information i samhället (SEIS).
Prop. 1997/98:44
Bilaga 5
207
Regeringen har följande förslag till lagtext
Prop 1997/98:44
Bilaga 6
Härigenom föreskrivs1 följande.
Allmänna bestämmelser
Syftet med lagen
1 § Syftet med denna lag är att skydda människor mot att deras personliga
integritet kränks genom behandling av personuppgifter.
Avvikande bestämmelser i annan författtning
2 § Om det i en annan lag eller i en förordning finns bestämmelser som
avviker från denna lag, skall de bestämmelserna gälla.
Definitioner
3 § I denna lag används följande beteckningar med nedan angiven bety-
delse
Beteckning______________Betydelse___________________________________
Behandling (av person- Varje åtgärd eller serie av åtgärder som vidtas i
uppgifter) fråga om personuppgifter, vare sig det sker på
automatisk väg eller inte, t.ex. insamling, re-
gistrering, organisering, lagring, bearbetning
eller ändring, återvinning, inhämtande, an-
vändning, utlämnande genom översändande,
spridning eller annat tillhandahållande av upp-
gifter, sammanställning eller samköming,
blockering, utplåning eller förstöring
Blockering (av person- Varje åtgärd som kan vidtas för att personupp-
uppgifter) gifterna i alla sammanhang skall vara för-
knippade med tydlig information om att de är
spärrade och om anledningen till spärren och
för att personuppgifterna inte skall lämnas ut
till tredje man annat än med stöd av 2 kap
tryckfrihetsförordningen
1 Jfr Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd
för enskilda personer med avseende på behandling av personuppgifter och om det fria
flödet av sådana uppgifter (EGT nr L 281, 23.11 1995, s. 31, Celex 395L0046).
208
Beteckning___________
Mottagare
Personuppgifter
Personuppgiftsansvarig
Personuppgiftsbiträde
Personuppgiftsombud
Den registrerade
Samtycke
Tillsynsmyndigheten
Tredje land
Tredje man
Betydelse___________________________________
Den till vilken personuppgifter lämnas ut. När
personuppgifter lämnas ut för att en myndighet
skall kunna utföra sådan tillsyn, kontroll eller
revision som den är skyldig att sköta, anses
dock inte myndigheten som mottagare.
All slags information som direkt eller indirekt
kan hänföras till en fysisk person som är i livet.
Den som ensam eller tillsammans med andra
bestämmer ändamålen med och medlen för
behandlingen av personuppgifter.
Den som behandlar personuppgifter för den
personuppgiftsansvariges räkning.
Den fysiska person som, efter förordnande av
den personuppgiftsansvarige, självständigt
skall se till att personuppgifter behandlas på ett
korrekt och lagligt sätt.
Den som en personuppgift avser.
Varje slag av frivillig, särskild och informerad
viljeyttring genom vilken den registrerade
godtar behandling av personuppgifter som rör
honom eller henne.
Prop. 1997/98:44
Bilaga 6
Den myndighet som regeringen utser
En stat som mte ingår i Europeiska unionen
eller är ansluten till Europeiska ekonomiska
sam arbetsområdet.
Någon annan än den registrerade, den person-
uppgiftsansvarige, personuppgiftsombudet,
personuppgiftsbiträdet och sådana personer
som under den personuppgiftsansvariges eller
personuppgiftsbiträdets direkta ansvar har
befogenhet att behandla personuppgifter
Tillämpningsområde
Det territoriella tillämpningsområdet
4 § Denna lag gäller för sådana personuppgiftsansvariga som är etable-
rade i Sverige
Lagen tillämpas också när den personuppgiftsansvarige är etablerad i
tredje land men för behandlingen av personuppgifter använder sig av
utrustning som finns i Sverige Vad som nu sagts gäller dock inte om
utrustningen bara används för att överföra uppgifter mellan ett tredje land
och ett annat sådant land.
I det fall som avses i andra stycket första meningen skall den person-
uppgiftsansvarige utse en företrädare för sig som är etablerad i Sverige
Vad som anges i denna lag om den personuppgiftsansvarige skall också
gälla för företrädaren.
209
14 Riksdagen 1997/98. 1 samt. Nr 44
Den behandling av personuppgifter som omfattas av lagen
5 § Denna lag gäller för sådan behandling av personuppgifter som helt
eller delvis är automatisk.
Lagen gäller även för annan behandling av personuppgifter, om upp-
gifterna ingår i eller är avsedda att ingå i en strukturerad samling av
personuppgifter som är tillgängliga för sökning eller sammanställning
enligt särskilda kriterier.
Undantag för privat behandling av personuppgifter
6 § Denna lag gäller inte för sådan behandling av personuppgifter som en
fysisk person utför som ett led i en verksamhet av rent privat natur.
Förhållandet till och undantag med hånsyn till tryck- och yttrandefriheten
7 § Bestämmelserna i denna lag tillämpas inte i den utsträckning det
skulle strida mot bestämmelserna om tryck- och yttrandefrihet i
tryckfrihetsförordningen eller yttrandefnhetsgrundlagen.
Bestämmelserna i 9-29 och 33-44 §§ samt 45 § första stycket och 47 -
49 §§ skall under inga förhållanden tillämpas på spridningen av innehållet
i yttranden som tidigare utgetts, sänts eller spritts på ett sådant sätt som
avses i tryckfrihetsförordningen eller yttrandefnhetsgrundlagen Dessa
bestämmelser skall inte heller tillämpas på sådan behandling av person-
uppgifter som annars sker uteslutande för journalistiska ändamål eller
konstnärligt eller litterärt skapande.
Förhållandet till och undantag med hånsyn till offentlighetsprincipen
8 § Bestämmelserna i denna lag tillämpas inte i den utsträckning det
skulle inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsför-
ordningen att lämna ut personuppgifter.
Bestämmelserna hindrar inte heller att en myndighet arkiverar och be-
varar allmänna handlingar eller att arkivmaterial tas om hand av en arkiv-
myndighet. Bestämmelsen i 9 § fjärde stycket gäller inte för en
myndighets användning av personuppgifter i allmänna handlingar.
Grundläggande krav på behandlingen av personuppgifter
9 § Den personuppgiftsansvarige skall se till att
a) personuppgifter behandlas bara om det är lagligt,
b) personuppgifter alltid behandlas på ett korrekt sätt,
c) personuppgifter samlas in bara för särskilda, uttryckligt angivna och
berättigade ändamål,
d) personuppgifter inte behandlas för något ändamål som är oförenligt
med det för vilket uppgifterna samlades in,
e) de personuppgifter som behandlas är adekvata och relevanta i för-
hållande till ändamålen med behandlingen,
Prop. 1997/98:44
Bilaga 6
210
f) inte fler personuppgifter behandlas än som är nödvändigt med hänsyn
till ändamålen med behandlingen,
g) de personuppgifter som behandlas är riktiga och, om det är nödvändigt,
aktuella,
h) alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana
personuppgifter som är felaktiga eller ofullständiga med hänsyn till
ändamålen med behandlingen, och
i) personuppgifter inte bevaras under en längre tid än vad som är nöd-
vändigt med hänsyn till ändamålen med behandlingen
I fråga om första stycket d gäller dock att en behandling av person-
uppgifter för historiska, statistiska eller vetenskapliga ändamål inte skall
anses som oförenlig med de ändamål för vilka uppgifterna samlades in.
Personuppgifter får bevaras under längre tid än som sagts i första
stycket i för historiska, statistiska eller vetenskapliga ändamål. Personupp-
gifterna får dock i sådana fall inte bevaras under en längre tid än vad som
behövs för dessa ändamål.
Personuppgifter som behandlas för historiska, statistiska eller veten-
skapliga ändamål får användas för att vidta åtgärder i fråga om den regist-
rerade bara om den registrerade har lämnat sitt samtycke eller det finns
synnerliga skäl med hänsyn till den registrerades vitala intressen.
När behandling av personuppgifter är tillåten
10 § Personuppgifter får behandlas bara om den registrerade har lämnat
sitt otvetydiga samtycke till behandlingen eller om behandlingen är
nödvändig för att
a) ett avtal med den registrerade skall kunna fullgöras,
b) åtgärder som den registrerade begärt skall kunna vidtas innan ett avtal
träffas,
c) den personuppgiftsansvarige skall kunna fullgöra en rättslig skyldighet,
d) vitala intressen för den registrerade skall kunna skyddas,
e) en arbetsuppgift av allmänt intresse skall kunna utföras,
f) den personuppgiftsansvarige eller en tredje man till vilken person-
uppgifter lämnas ut skall kunna utföra en arbetsuppgift i samband med
myndighetsutövning, eller
g) ett ändamål som rör ett berättigat intresse hos den personuppgiftsansva-
rige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut
skall kunna tillgodoses, om detta intresse väger tyngre än den
registrerades intresse av skydd mot kränkning av den personliga inte-
griteten.
Direkt marknadsföring
11 § Personuppgifter får inte behandlas för ändamål som rör direkt mark-
nadsföring, om den registrerade hos den personuppgiftsansvarige skriftli-
gen har anmält att han eller hon motsätter sig sådan behandling.
Prop. 1997/98:44
Bilaga 6
211
Samtycke återkallas
12 § I de fall där behandling av personuppgifter bara är tillåten när den
registrerade har lämnat sitt samtycke enligt 10, 15 eller 34 § har den re-
gistrerade rätt att när som helst återkalla ett lämnat samtycke Ytterligare
personuppgifter om den registrerade får därefter inte behandlas.
En registrerad har utöver vad som följer av första stycket och 11 § inte
rätt att motsätta sig sådan behandling av personuppgifter som är tillåten
enligt denna lag.
Förbud mot behandling av känsliga personuppgifter
13 § Det är förbjudet att behandla personuppgifter som avslöjar
a) ras eller etniskt ursprung,
b) politiska åsikter,
c) religiös eller filosofisk övertygelse, eller
d) medlemskap i fackförening
Det är också förbjudet att behandla sådana personuppgifter som rör
hälsa eller sexualliv.
Uppgifter av den art som anges i första och andra stycket betecknas i
denna lag som känsliga personuppgifter
Undantag från förbudet mot behandling av känsliga personuppgifter
14 § Det är trots 13 § tillåtet att behandla känsliga personuppgifter i de
fall som anges i 15-19 §§.
I 10 § finns det bestämmelser om i vilka fall behandling av personupp-
gifter över huvud taget är tillåten
Samtycke eller offentliggörande
15 § Känsliga personuppgifter får behandlas, om den registrerade har
lämnat sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt
offentliggjort uppgifterna.
Behandlingen är nödvändig i vissa fall
16 § Känsliga personuppgifter får behandlas om behandlingen är nödvän-
dig för att
a) den personuppgiftsansvarige skall kunna fullgöra sina skyldigheter
eller utöva sina rättigheter inom arbetsrätten,
b) den registrerades eller någon annans vitala intressen skall kunna
skyddas och den registrerade inte kan lämna sitt samtycke, eller
c) rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras.
Uppgifter som behandlas med stöd av första stycket a far lämnas ut till
tredje man bara om det inom arbetsrätten finns en uttrycklig skyldighet för
den personuppgiftsansvarige att göra det eller den registrerade har
samtyckt till utlämnandet.
Prop 1997/98:44
Bilaga 6
212
Ideella organisationer
17 § Ideella organisationer med politiskt, filosofiskt, religiöst eller fack-
ligt syfte far inom ramen för sin verksamhet behandla känsliga personupp-
gifter om organisationens medlemmar och sådana andra personer som på
grund av organisationens syfte har regelbunden kontakt med den.
Känsliga personuppgifter får dock lämnas ut till tredje man bara om den
registrerade har samtyckt till det.
Hälso- och sjukvård
18 § Känsliga personuppgifter får behandlas för hälso- och sjukvårds-
ändamål, om behandlingen är nödvändig för
a) förebyggande hälso- och sjukvård,
b) medicinska diagnoser,
c) vård eller behandling, eller
d) administration av hälso- och sjukvård.
Den som är yrkesmässigt verksam inom hälso- och sjukvårdsområdet
och har tystnadsplikt får alltid behandla känsliga personuppgifter som om-
fattas av tystnadsplikten. Detsamma gäller den som är underkastad en
liknande tystnadsplikt och som har fått känsliga personuppgifter från
verksamhet inom hälso- och sjukvårdsområdet.
Forskning och statistik
19 § Känsliga personuppgifter får behandlas för forsknings- och statistik-
ändamål, om behandlingen är nödvändig och om samhällsintresset av det
forsknings- eller statistikprojekt där behandlingen ingår klart väger över
den risk för otillbörligt intrång i enskildas personliga integritet som be-
handlingen kan innebära.
Har projektet godkänts av en forskningsetisk kommitté, skall förutsätt-
ningarna enligt första stycket anses uppfyllda Med forskningsetisk kom-
mitté avses ett sådant särskilt organ för prövning av forsknmgsetiska
frågor som har företrädare för såväl det allmänna som forskningen och
som är knutet till ett universitet eller en högskola eller till någon annan in-
stans som i mera betydande omfattning finansierar forskning
Personuppgifter får lämnas ut för att användas i sådana projekt som av-
ses i första stycket, om inte något annat följer av regler om sekretess och
tystnadsplikt.
Bemyndigande att föreskriva ytterligare undantag
20 § Regeringen eller den myndighet som regeringen bestämmer får i
fråga om automatisk behandling av personuppgifter meddela föreskrifter
om ytterligare undantag från förbudet i 13 §, om det behövs med hänsyn
till ett viktigt allmänt intresse.
Prop. 1997/98:44
Bilaga 6
213
Uppgifter om lagöverträdelser m.m.
21 § Det är förbjudet för andra än myndigheter att behandla personuppgif-
ter om lagöverträdelser, domar i brottmål, straffprocessuella tvångsmedel
eller administrativa frihetsberövanden.
Regeringen eller den myndighet som regeringen bestämmer får i fråga
om automatisk behandling av personuppgifter meddela föreskrifter om
undantag från förbudet i första stycket.
Regeringen får i enskilda fall besluta om undantag från forbudet i
första stycket. Regeringen far överlåta åt tillsynsmyndigheten att fatta
sådana beslut.
Användning av personnummer
22 § Uppgifter om personnummer får behandlas bara när det är klart
motiverat med hänsyn till
a) ändamålet med behandlingen,
b) vikten av en säker identifiering, eller
c) något annat beaktansvärt skäl.
Information till den registrerade
Information skall lämnas självmant när uppgifterna samlas in
23 § När uppgifter om en person samlas in från personen själv, skall den
personuppgiftsansvarige självmant lämna den registrerade information om
behandlingen av uppgifterna.
24 § Om personuppgifterna har samlats in från någon annan källa än den
registrerade, skall den personuppgiftsansvarige självmant lämna den
registrerade information om behandlingen av uppgifterna när de noteras.
Är uppgifterna avsedda att lämnas ut till tredje man, behöver informa-
tionen dock lämnas först när uppgifterna lämnas ut för första gången.
Information enligt första stycket behöver inte lämnas, om det finns be-
stämmelser om registrerandet eller utlämnandet av personuppgifterna i en
lag eller någon annan författning.
Information behöver inte heller lämnas enligt första stycket, om detta
visar sig vara omöjligt eller skulle innebära en oproportionerligt stor ar-
betsinsats. Om uppgifterna används för att vidta åtgärder som rör den
registrerade, skall dock information alltid lämnas senast i samband med
att så sker.
Den information som skall lämnas självmant
25 § Information enligt 23 § eller 24 § första stycket skall omfatta
a) uppgift om den personuppgiftsansvariges identitet,
b) uppgift om ändamålen med behandlingen, och
Prop. 1997/98:44
Bilaga 6
214
c) all övrig information som behövs för att den registrerade skall kunna ta
till vara sina rättigheter, såsom information om mottagarna av uppgif-
terna, skyldighet att lämna uppgifter och rätten att ansöka om informa-
tion och få rättelse
Information behöver dock inte lämnas om sådant som den registrerade
redan känner till.
Information skall också låmnas efter ansökan
26 § Den personuppgiftsansvarige är skyldig att en gång per kalenderår
gratis lämna information till var och en som ansöker om det, om person-
uppgifter som rör den sökande behandlas eller inte Behandlas sådana
uppgifter skall skriftlig information lämnas också om
a) vilka uppgifter om den sökande som behandlas,
b) varifrån dessa uppgifter har hämtats,
c) ändamålen med behandlingen, och
d) till vilka mottagare eller kategorier av mottagare som uppgifterna läm-
nas ut.
En ansökan enligt första stycket skall göras skriftligen hos den person-
uppgiftsansvarige och vara undertecknad av den sökande själv Informa-
tion enligt första stycket skall lämnas inom en månad från det att ansökan
gjordes. Om det finns särskilda skäl för det, får information dock lämnas
senast fyra månader efter det att ansökan gjordes
Information enligt första stycket behöver inte lämnas om person-
uppgifter i löpande text som inte fått sin slutliga utformning när ansökan
gjordes eller som utgör minnesanteckning eller liknande Vad som nu
sagts gäller dock inte om uppgifterna har lämnats ut till tredje man eller
om uppgifterna behandlas bara för historiska, statistiska eller veten-
skapliga ändamål eller, när det gäller löpande text som inte fått sin slutliga
utformning, om uppgifterna har behandlats under längre tid än ett år
Undantag från informationsskyldigheten vid sekretess och tystnadsplikt
27 § I den utsträckning det är särskilt föreskrivet i lag eller annan författ-
ning eller i beslut som har meddelats med stöd av författning att uppgifter
inte får lämnas ut till den registrerade gäller inte bestämmelserna i 23-
26 §§. En personuppgiftsansvarig som inte är en myndighet får därvid i
motsvarande fall som avses i sekretesslagen (1980:100) vägra att lämna ut
uppgifter till den registrerade
Rättelse
28 § Den personuppgiftsansvarige är skyldig att på begäran av den
registrerade snarast rätta, blockera eller utplåna sådana personuppgifter
som inte har behandlats i enlighet med denna lag eller föreskrifter som har
utfärdats med stöd av lagen. Den personuppgiftsansvarige skall också
underrätta tredje man till vilken uppgifterna har lämnats ut om åtgärden,
om den registrerade begär det eller om en underrättelse skulle kunna
Prop. 1997/98:44
Bilaga 6
215
undvika mera betydande skada eller olägenhet för den registrerade. Någon
sådan underrättelse behöver dock inte lämnas, om detta visar sig vara
omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats
Automatiserade beslut
29 § Ett beslut som har rättsliga följder för en fysisk person eller annars
har märkbara verkningar för den fysiska personen får grundas enbart på
automatisk behandling av personuppgifter som är avsedda att bedöma
egenskaper hos personen, bara om den som berörs av beslutet har
möjlighet att på begäran fa beslutet omprövat av någon person.
Var och en som varit föremål för ett sådant beslut som avses i första
stycket har rätt att på ansökan fa information från den person-
uppgiftsansvarige om vad som har styrt den automatiska behandling som
lett fram till beslutet I fråga om ansökan och lämnandet av information
gäller i tillämpliga delar bestämmelserna i 26 §.
Säkerheten vid behandling
Personer som behandlar personuppgifter
30 § Ett personuppgiftsbiträde och den eller de personer som arbetar
under biträdets eller den personuppgiftsansvariges ledning får behandla
personuppgifter bara i enlighet med instruktioner från den personuppgifts-
ansvarige. I fråga om sekretess och tystnadsplikt i det allmännas verk-
samhet tillämpas i stället bestämmelserna i sekretesslagen (1980:100).
Det skall finnas ett skriftligt avtal om personuppgiftsbiträdets behand-
ling av personuppgifter för den personuppgiftsansvariges räkning. I det
avtalet skall det särskilt föreskrivas att personuppgiftsbiträdet får behandla
personuppgifterna bara i enlighet med instruktioner från den person-
uppgiftsansvarige och att personuppgiftsbiträdet är skyldigt att vidta de åt-
gärder som avses i 31 § första stycket.
Säkerhetsåtgärder
31 § Den personuppgiftsansvarige skall vidta lämpliga tekniska och
organisatoriska åtgärder för att skydda de personuppgifter som behandlas.
Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig med
beaktande av
a) de tekniska möjligheter som finns,
b) vad det skulle kosta att genomföra åtgärderna,
c) de särskilda risker som finns med behandlingen av personuppgifterna,
och
d) hur pass känsliga de behandlade personuppgifterna är.
När den personuppgiftsansvarige anlitar ett personuppgiftsbiträde, skall
den personuppgiftsansvarige förvissa sig om att personuppgiftsbiträdet
Prop. 1997/98:44
Bilaga 6
216
kan genomföra de säkerhetsåtgärder som måste vidtas och se till att
personuppgiftsbiträdet verkligen vidtar åtgärderna.
Tillsynsmyndigheten får besluta om säkerhetsåtgärder
32 § Tillsynsmyndigheten får i enskilda fall besluta om vilka säkerhets-
åtgärder som den personuppgiftsansvarige skall vidta enligt 31 §.
I 45 § finns det bestämmelser om tillsynsmyndighetens möjligheter att
förena beslutet med vite.
Överföring av personuppgifter till tredje land
Förbud mot överföring av personuppgifter till tredje land
33 § Det är förbjudet att till tredje land föra över personuppgifter som är
under behandling. Förbudet gäller också överföring av personuppgifter
för behandling i tredje land.
Undantag från förbudet mot överföring av personuppgifter till tredje land
34 § Det är trots 33 § tillåtet att föra över personuppgifter till tredje land,
om den registrerade otvetydigt har samtyckt till överföringen eller när
överföringen är nödvändig för att
a) ett avtal mellan den registrerade och den personuppgiftsansvarige skall
kunna fullgöras,
b) åtgärder som den registrerade begärt skall kunna vidtas innan ett avtal
träffas,
c) ett sådant avtal mellan den personuppgiftsansvarige och tredje man
som är i den registrerades intresse skall kunna ingås eller fullgöras,
d) rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras,
eller
e) vitala intressen för den registrerade skall kunna skyddas.
Det är också tillåtet att föra över personuppgifter för användning enbart
i en stat som har anslutit sig till Europarådets konvention om skydd för
enskilda vid automatisk databehandling av personuppgifter.
35 § Regeringen får i fråga om automatisk behandling av personuppgifter
meddela föreskrifter om undantag från förbudet i 33 § för överföring av
personuppgifter till vissa stater. Regeringen får också i fråga om
automatisk behandling av personuppgifter meddela föreskrifter om att
överföring av personuppgifter till tredje land är tillåten, om överföringen
regleras av ett avtal som innehåller vissa bestämmelser till skydd för de
registrerades rättigheter.
Regeringen eller den myndighet som regeringen bestämmer får vidare i
fråga om automatisk behandling av personuppgifter meddela föreskrifter
om undantag från förbudet i 33 §, om det behövs med hänsyn till ett
Prop. 1997/98:44
Bilaga 6
217
viktigt allmänt intresse eller om det finns tillräckliga garantier till skydd
för de registrerades rättigheter.
Regeringen far under de förutsättningar som nämns i andra stycket i
enskilda fall besluta om undantag från förbudet i 33 §. Regeringen far
överlåta åt tillsynsmyndigheten att fatta sådana beslut.
Anmälan till tillsynsmyndigheten
Anmälningsskyldighet
36 § Behandling av personuppgifter som är helt eller delvis automatisk
omfattas av anmälningsskyldighet. Den personuppgiftsansvarige skall
göra en skriftlig anmälan till tillsynsmyndigheten innan en sådan
behandling eller en serie av sådana behandlingar, som har samma eller
liknande ändamål, genomförs.
Regeringen eller den myndighet som regeringen bestämmer får med-
dela föreskrifter om undantag från anmälningsskyldigheten för sådana
typer av behandlingar som sannolikt inte kommer att leda till otillbörligt
intrång i den personliga integriteten.
Anmälan behöver inte göras om det finns ett personuppgiftsombud
37 § Om den personuppgiftsansvarige till tillsynsmyndigheten har anmält
att ett personuppgiftsombud utsetts och vem det är, behöver anmälan
enligt 36 § inte göras. Även ett entledigande av ett personuppgiftsombud
skall anmälas till tillsynsmyndigheten.
Personuppgiftsombudets uppgifter
38 § Personuppgiftsombudet skall ha till uppgift att självständigt se till att
den personuppgiftsansvarige behandlar personuppgifter på ett korrekt och
lagligt sätt och påpeka eventuella brister för honom eller henne
Har personuppgiftsombudet anledning att misstänka att den person-
uppgiftsansvarige bryter mot de bestämmelser som gäller för behand-
lingen av personuppgifter och vidtas inte rättelse så snart det kan ske efter
påpekande, skall personuppgiftsombudet anmäla förhållandet till
tillsynsmyndigheten.
Personuppgiftsombudet skall även i övrigt samråda med tillsynsmyn-
digheten vid tveksamhet om hur de bestämmelser som gäller för
behandlingen av personuppgifter skall tillämpas.
39 § Personuppgiftsombudet skall föra en förteckning över de be-
handlingar som den personuppgiftsansvarige genomför och som skulle ha
omfattats av anmälningsskyldighet om ombudet inte hade funnits.
Förteckningen skall omfatta åtminstone de uppgifter som en anmälan
enligt 36 § skulle ha innehållit.
Prop. 1997/98:44
Bilaga 6
218
40 § Personuppgiftsombudet skall hjälpa registrerade att få rättelse när det Prop. 1997/98:44
finns anledning att misstänka att behandlade personuppgifter är felaktiga Bilaga 6
eller ofullständiga
Obligatorisk anmälan för särskilt integritetskänsliga behandlingar
41 § Regeringen får meddela föreskrifter om att vissa automatiska
behandlingar av personuppgifter som kan innebära särskilda risker för
otillbörligt intrång i den personliga integriteten skall för förhandskontroll
anmälas till tillsynsmyndigheten enligt 36 § tre veckor i förväg. Om
regeringen har meddelat sådana föreskrifter, gäller inte undantaget från
anmälningsskyldigheten enligt 37 §.
Upplysningar till allmänheten om behandlingar som inte anmälts
42 § Den personuppgiftsansvarige skall till var och en som begär det
skyndsamt och på lämpligt sätt lämna upplysningar om sådana auto-
matiska eller andra behandlingar av personuppgifter som inte har anmälts
till tillsynsmyndigheten. Upplysningarna skall omfatta det som en
anmälan enligt 36 § skulle ha omfattat. Den personuppgiftsansvarige är
dock inte skyldig att lämna ut sekretessbelagda uppgifter eller uppgifter
om vilka säkerhetsåtgärder som har vidtagits. En personuppgiftsansvarig
som inte är myndighet får därvid i motsvarande fall som avses i
sekretesslagen (1980:100) låta bli att lämna ut uppgifter.
Tillsynsmyndighetens befogenheter
43 § Tillsynsmyndigheten har rätt att för sin tillsyn på begäran fa
a) tillgång till de personuppgifter som behandlas,
b) upplysningar om och dokumentation rörande behandlingen av person-
uppgifter och säkerheten vid denna, och
c) tillträde till sådana lokaler som har anknytning till behandlingen av
personuppgifter.
44 § Om tillsynsmyndigheten inte efter begäran enligt 43 § kan få tillräck-
ligt underlag för att konstatera att behandlingen av personuppgifter är lag-
lig, far myndigheten vid vite förbjuda den personuppgiftsansvarige att be-
handla personuppgifter på något annat sätt än genom att lagra dem.
45 § Om tillsynsmyndigheten konstaterar att personuppgifter behandlas
eller kan komma att behandlas på ett olagligt sätt, skall myndigheten ge-
nom påpekanden eller liknande förfaranden försöka åstadkomma rättelse.
Går det inte att få rättelse på något annat sätt eller är det riskfyllt att vänta,
får myndigheten vid vite förbjuda den personuppgiftsansvarige att fort-
sätta att behandla personuppgifterna på något annat sätt än genom att
lagra dem.
219
Om den personuppgiftsansvarige inte frivilligt följer ett beslut om
säkerhetsåtgärder enligt 32 § som vunnit laga kraft, får tillsynsmyn-
digheten föreskriva vite för att beslutet skall genomföras.
46 § Innan tillsynsmyndigheten beslutar om vite enligt 44 eller 45 §, skall
den personuppgiftsansvarige ha fått tillfälle att yttra sig. Om det är
riskfyllt att vänta, får myndigheten dock i avvaktan på yttrandet meddela
ett tillfälligt beslut om vite. Det tillfälliga beslutet skall omprövas, när
yttrandetiden har gått ut.
Ett vitesföreläggande skall delges den personuppgiftsansvarige. Del-
givning enligt 12 § delgivningslagen (1970:428) får dock användas bara
om det finns skäl att anta att den personuppgiftsansvarige har avvikit eller
på annat sätt håller sig undan.
47 § Tillsynsmyndigheten far hos länsrätten i det län där myndigheten är
belägen ansöka om att sådana personuppgifter som har behandlats på ett
olagligt sätt skall utplånas.
Beslut om utplånande får inte meddelas om det är oskäligt.
Skadestånd
48 § Den personuppgiftsansvarige skall ersätta den registrerade för den
skada och den kränkning av den personliga integriteten som en behand-
ling av personuppgifter i strid med denna lag eller god sed vid behandling
av personuppgifter har orsakat.
Ersättningsskyldigheten kan i den utsträckning det är skäligt jämkas,
om den personuppgiftsansvarige visar att felet inte berodde på honom
eller henne.
Prop. 1997/98:44
Bilaga 6
220
Straff
49 § Till böter eller fängelse i högst sex månader eller, om brottet är
grovt, till fängelse i högst två år döms den som uppsåtligen eller av
oaktsamhet
a) lämnar osann uppgift i information till registrerade som föreskrivs i
denna lag, i anmälan till tillsynsmyndigheten enligt 36 § eller till
tillsynsmyndigheten när myndigheten begär information enligt 43 §,
b) i strid med 13-21 §§ behandlar känsliga personuppgifter eller sådana
uppgifter som avses i 21 §,
c) i strid med 33-35 §§ för över personuppgifter till tredje land, eller
d) låter bli att göra anmälan enligt 36 § eller enligt föreskrifter meddelade
med stöd av 41 §.
Närmare föreskrifter
50 § Regeringen eller den myndighet som regeringen bestämmer far i
fråga om automatisk behandling av personuppgifter meddela närmare
föreskrifter om
a) i vilka fall behandling av personuppgifter är tillåten,
b) vilka krav som ställs på den personuppgiftsansvarige vid behandling av
personuppgifter,
c) i vilka fall användning av personnummer är tillåten,
d) vad en anmälan eller ansökan till en personuppgiftsansvarig skall
innehålla,
e) vilken information som skall lämnas till registrerade och hur
informationen skall lämnas, och
f) anmälan till tillsynsmyndigheten och förfarandet när anmälda uppgifter
har ändrats
Överklagande
51 § Tillsynsmyndighetens beslut enligt denna lag om annat än
föreskrifter får överklagas hos allmän förvaltningsdomstol.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Tillsynsmyndigheten får bestämma att dess beslut skall gälla även om
det överklagas
Ikraftträdande- och övergångsbestämmelser
1. Denna lag träder i kraft den 24 oktober 1998, då datalagen (1973:289)
skall upphöra att gälla Den äldre lagen gäller dock fortfarande i fråga
om överklagande av beslut som har meddelats före den 24 oktober
1998.
2. I fråga om sådan behandling av personuppgifter som pågår vid ikraft-
trädandet skall t. o. m. den 30 september 2001 den äldre lagen tillämpas
i stället för den nya Detta gäller även bestämmelserna i den äldre lagen
om överklagande.
Prop. 1997/98:44
Bilaga 6
221
3. Bestämmelserna i 9, 10, 13 och 21 §§ i den nya lagen skall inte börja
tillämpas förrän den 1 oktober 2007 i fråga om sådan manuell behand-
ling av personuppgifter som pågår vid ikraftträdandet.
4 I fråga om personuppgifter som vid ikraftträdandet lagras för historisk
forskning skall bestämmelserna i 9, 10, 13 och 21 §§ i den nya lagen
börja tillämpas först när uppgifterna behandlas på något annat sätt
Innan dess skall motsvarande bestämmelser i den äldre lagen tillämpas
De angivna bestämmelserna i den nya lagen skall dock inte till följd av
vad som nu sagts börja tillämpas tidigare än vad som följer av 2 eller 3.
5. Anmälan enligt 36 § i den nya lagen får göras innan den nya lagen har
trätt i kraft för den aktuella behandlingen
6. Ett samtycke som har lämnats innan den nya lagen har trätt i kraft för
den aktuella behandlingen skall gälla även efter ikraftträdandet om
samtycket uppfyller kraven i den nya lagen
7. Har en begäran om registerutdrag enligt 10 § i den äldre lagen kommit
in innan den nya lagen trätt i kraft för den aktuella behandlingen men
har utdraget inte expedierats före ikraftträdandet skall framställningen
anses som en ansökan enligt 26 § i den nya lagen.
8. Den nya lagens bestämmelser om skadestånd skall bara tillämpas om
den omständighet som yrkandet hänför sig till har inträffat efter det att
den nya lagen har trätt i kraft för den aktuella behandlingen I annat fall
tillämpas de äldre bestämmelserna
Prop 1997/98:44
Bilaga 6
222
Härigenom föreskrivs i fråga om sekretesslagen (1980:100)2
dels att 7 kap. 16 §, 9 kap. 6 och 7 §§, 14 kap. 3 § samt 15 kap. 11 §
skall ha följande lydelse,
dels att det i lagen skall införas en ny paragraf, 15 kap. 14 §, av
följande lydelse.
Nuvarande lydelse Föreslagen lydelse
7 kap.
16 §
Sekretess gäller för person- Sekretess gäller för person-
uppgift i personregister som avses i uppgift, om det kan antas att ett
datalagen (1973:289), om det kan utlämnande skulle medföra att upp-
antas att utlämnande skulle medföra giften behandlas i strid med person-
att uppgiften används för auto- uppgiftslagen (0000:000).
matisk databehandling i strid med
datalagen.
Sekretess för uppgift som anges i
första stycket gäller också, om det
kan antas att utlämnande skulle
medföra att uppgiften används för
automatisk databehandling i utlan-
det och att detta medför otillbörligt
intrång i personlig integritet. Vid
tillämpning av denna bestämmelse
ankommer det på Datainspektionen
att pröva fråga om utlämnande.
Sekretess enligt detta stycke gäller
dock ej, om uppgiften skall använ-
das för automatisk databehandling
enbart i en stat som har anslutit sig
till Europarådets konvention om
skydd för enskilda vid automatisk
behandling av personuppgifter.
9 kap
6§
Sekretess gäller hos Datainspek- Sekretess gäller hos Datainspek-
tionen i ärende om tillstånd eller tionen i ärende om tillstånd eller
tillsyn, som enligt lag ankommer på tillsyn, som enligt lag eller annan
inspektionen, och i ärende om så- författning ankommer på inspek-
dant bistånd som avses i Europarå- tionen, och i ärende om sådant bi-
dets konvention om skydd för en- stånd som avses i Europarådets
skilda vid automatisk databehand- konvention om skydd för enskilda
Prop. 1997/98:44
Bilaga 6
2 Lagen omtryckt 1992:1474.
223
ling av personuppgifter, för uppgift
om enskilds personliga eller eko-
nomiska förhållanden, om det kan
antas att den enskilde eller någon
honom närstående lider skada eller
men om uppgiften röjs. Har uppgift,
för vilken gäller sekretess enligt vad
nu har sagts, lämnats till regeringen
eller Justitiekanslem, gäller
sekretessen också där.
vid automatisk databehandling av
personuppgifter, för uppgift om
enskilds personliga eller ekono-
miska förhållanden, om det kan
antas att den enskilde eller någon
honom närstående lider skada eller
men om uppgiften röjs. Har uppgift,
för vilken gäller sekretess enligt vad
nu har sagts, lämnats till
Justitiekanslem, gäller sekretessen
också där.
Prop. 1997/98:44
Bilaga 6
I fråga om uppgift i allmän handling gäller sekretessen i högst sjuttio
år.
7§
Sekretess gäller i myndighets Sekretess gäller i myndighets
verksamhet för enbart teknisk bear- verksamhet för enbart teknisk bear-
betning eller teknisk lagring för betning eller teknisk lagring för
annans räkning av personregister annans räkning av personuppgifter
som avses i datalagen (1973:289), som avses i personuppgifislagen
för uppgift om enskilds personliga (0000:000), för uppgift om enskilds
eller ekonomiska förhållanden. personliga eller ekonomiska
förhållanden
14 kap
3 §'
Utöver vad som följer av 1 och 2 §§ får sekretessbelagd uppgift lämnas
till myndighet, om det är uppenbart att intresset av att uppgiften lämnas
har företräde framför det intresse som sekretessen skall skydda.
Första stycket gäller inte i fraga
om sekretess enligt 7 kap. 1-6, 33
och 34 §§, 8 kap. 8 § första stycket
och 9 och 15 §§ samt 9 kap. 4 och
7 §§, 8 § första och andra styckena
och 9 §. Inte heller gäller första
stycket, om utlämnandet strider mot
lag eller förordning eller, såvitt an-
går uppgift i personregister enligt
datalagen (1973:289), föreskrift
som har meddelats med stöd av
datalagen
Första stycket gäller inte i fraga
om sekretess enligt 7 kap. 1-6, 33
och 34 §§, 8 kap. 8 § första stycket
och 9 och 15 §§ samt 9 kap 4 och
7 §§, 8 § första och andra styckena
och 9 §. Inte heller gäller första
stycket, om utlämnandet strider mot
lag eller förordning eller föreskrift
som har meddelats med stöd av
personuppgifislagen (0000:000).
15 kap
11 §
Varje myndighet skall för allmänheten hålla tillgänglig beskrivning av
de register, förteckningar eller andra anteckningar hos myndigheten som
förs med hjälp av automatisk databehandling (ADB-register). Sådan
1 Senaste lydelse 1994:86.
224
skyldighet föreligger dock inte i fråga om ADB-register som inte till Prop 1997/98:44
någon del anses som allmän handling hos myndigheten. Myndigheten är Bilaga 6
mte heller skyldig att tillhandahålla beskrivning som uppenbarligen skulle
vara av ringa betydelse för enskildas rätt att ta del av allmänna handlingar
hos myndigheten.
Beskrivning som avses i första stycket skall ge upplysning om
1. ADB-registrets benämning,
2. ADB-registrets ändamål,
3. vilka typer av uppgifter i ADB-registret som myndigheten har tillgång
till och på vilket sätt dessa uppgifter normalt inhämtas,
4. hos vilka andra myndigheter ADB-registret är tillgängligt för överföring
till läsbar form,
5. vilka terminaler eller andra tekniska hjälpmedel som enskild själv kan
få utnyttja hos myndigheten,
6. vilka bestämmelser om sekretess som myndigheten vanligen skall
tillämpa på uppgifter i ADB-registret,
7. vem som hos myndigheten kan lämna närmare upplysningar om ADB-
registret och dess användning i myndighetens verksamhet,
8. rätt till försäljning av person- 8. rätt till försäljning av person-
uppgifter i personregister som av- uppgifter i personregister.
ses i datalagen (1973:289)
I beskrivningen skall dock uppgift enligt andra stycket utelämnas, om
det behövs för att beskrivningen i övriga delar skall kunna företes för
allmänheten
74 f
Om en myndighet för hand-
läggning av ett mål eller ärende
använder sig av en upptagning för
automatisk databehandling, skall
upptagningen tillföras hand-
lingarna i målet eller ärendet i läs-
bar form, om inte särskilda skäl
föranleder annat.
1. Denna lag träder i kraft den 24 oktober 1998
2. Beträffande uppgift i ärende som avgjorts genom beslut av Datainspek-
tionen före den 24 oktober 1998 gäller dock fortfarande 9 kap 6 § i den
äldre lydelsen
225
15 Riksdagen 1997/98. 1 samt. Nr 44
Prop 1997/98:44
Bilaga 6
Härigenom föreskrivs i fråga om brottsbalken
dels att 4 kap 10 § skall ha följande lydelse,
dels att det i balken skall införas en ny bestämmelse, 4 kap. 9 c §, av
följande lydelse.
|
Nuvarande lydelse |
Föreslagen lydelse 4 kap Den som i annat fall än som sägs |
10 §
För försök, förberedelse eller För försök, förberedelse eller
stämpling till människorov, olaga stämpling till människorov, olaga
frihetsberövande eller försättande i frihetsberövande eller försättande i
nödläge, för underlåtenhet att av- nödläge och för underlåtenhet att
slöja sådant brott, så ock för försök avslöja sådant brott döms till ansvar
eller förberedelse till olaga tvång enligt vad som sägs i 23 kap. Det-
som är grovt dömes till ansvar enligt samma gäller för försök eller för-
|
vad i 23 kap. stadgas |
beredelse till olaga tvång som är |
Denna lag träder i kraft den 24 oktober 1998.
226
Härigenom föreskrivs att 8 kap. 7 § regeringsformen skall ha följande ly-
delse.
Nuvarande lydelse Föreslagen lydelse
8 kap.
7§‘
Utan hinder av 3 eller 5 § kan regeringen efter bemyndigande i lag
genom förordning meddela föreskrifter om annat än skatt, om
föreskrifterna avser något av följande ämnen:
1. skydd för liv, personlig säkerhet eller hälsa,
2. utlännings vistelse i riket,
3. in- eller utförsel av varor, av pengar eller av andra tillgångar, tillverk-
ning, kommunikationer, kreditgivning, näringsverksamhet, ransonering,
återanvändnmg och återvinning av material, utformning av byggnader,
anläggningar och bebyggelsemiljö eller tillståndsplikt i fråga om
åtgärder med byggnader och anläggningar,
4. jakt, fiske, djurskydd eller natur- och miljövård,
5. trafik eller ordningen på allmän plats,
6. undervisning och utbildning,
7. förbud att röja sådant som någon har erfarit i allmän tjänst eller under
utövande av tjänsteplikt,
8. skydd för personlig integritet vid 8. skydd för personlig integritet vid
registrering av uppgifter med behandling av personuppgifter,
hjälp av automatisk databehand-
ling.
Bemyndigande som avses i första stycket medför ej rätt att meddela
föreskrifter om annan rättsverkan av brott än böter. Riksdagen kan i lag,
som innehåller bemyndigande med stöd av första stycket, föreskriva även
annan rättsverkan än böter för överträdelse av föreskrift som regeringen
meddelar med stöd av bemyndigandet.
Prop. 1997/98:44
Bilaga 6
Denna lag träder i kraft den 1 januari 1999.
Regeringsformen omtryckt 1994:1483.
227
Härigenom föreskrivs1 att 20, 21, 35, 41 och 50 §§ personuppgifislagen
skall ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
20 §
Regeringen eller den myndighet Regeringen eller den myndighet
som regeringen bestämmer får i som regeringen bestämmer får med-
fråga om automatisk behandling av dela föreskrifter om ytterligare
personuppgifter meddela före- undantag från förbudet i 13 §, om
skrifter om ytterligare undantag från det behövs med hänsyn till ett
förbudet i 13 §, om det behövs med viktigt allmänt intresse,
hänsyn till ett viktigt allmänt
intresse.
21 §
Det är förbjudet för andra än myndigheter att behandla personuppgifter
om lagöverträdelser, domar i brottmål, straffprocessuella tvångsmedel
eller administrativa frihetsberövanden.
Regeringen eller den myndighet Regeringen eller den myndighet
som regeringen bestämmer får i som regeringen bestämmer får
fråga om automatisk behandling av meddela föreskrifter om undantag
personuppgifter meddela före- från förbudet i första stycket,
skrifter om undantag från förbudet i
första stycket.
Regeringen får i enskilda fall be- Regeringen får i enskilda fall be-
sluta om undantag från förbudet i sluta om undantag från förbudet i
första stycket. Regeringen får över- första stycket. Regeringen får över-
låta åt tillsynsmyndigheten att fatta låta åt tillsynsmyndigheten att fatta
sådana beslut sådana beslut.
35 §
Regeringen får i fråga om auto- Regeringen får meddela före-
matisk behandling av personupp- skrifter om undantag från förbudet i
gifter meddela föreskrifter om un- 33 § för överföring av person-
dantag från förbudet i 33 § för uppgifter till vissa stater. Re-
överfönng av personuppgifter till geringen får också meddela före-
vissa stater. Regeringen får också z skrifter om att överföring av person-
kraga om automatisk behandling av uppgifter till tredje land är tillåten,
personuppgifter meddela före- om överföringen regleras av ett
skrifter om att överföring av person- avtal som innehåller vissa be-
1 Jfr Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd
för enskilda personer med avseende på behandling av personuppgifter och om det fria
flödet av sådana uppgifter (EGT nr L 281, 23.11.1995, s. 31, Celex 395L0046).
Prop. 1997/98:44
Bilaga 6
228
uppgifter till tredje land är tillåten, stämmelser till skydd för de Prop 1997/98:44
om överföringen regleras av ett registrerades rättigheter. Bilaga 6
avtal som innehåller vissa bestäm-
melser till skydd för de registrerades
rättigheter
Regeringen eller den myndighet Regeringen eller den myndighet
som regeringen bestämmer får som regeringen bestämmer får
vidare i fråga om automatisk be- vidare meddela föreskrifter om
handling av personuppgifter, undantag från förbudet i 33 §, om
meddela föreskrifter om undantag det behövs med hänsyn till ett
från förbudet i 33 §, om det behövs viktigt allmänt intresse eller om det
med hänsyn till ett viktigt allmänt finns tillräckliga garantier till skydd
intresse eller om det finns till- för de registrerades rättigheter
räckliga garantier till skydd för de
registrerades rättigheter.
Regeringen får under de förut- Regeringen får under de förut-
sättningar som nämns i andra sättningar som nämns i andra
stycket i enskilda fall besluta om stycket i enskilda fall besluta om
undantag från förbudet i 33 §. undantag från förbudet i 33 § Re-
Regeringen får överlåta åt tillsyns- geringen får överlåta åt tillsyns-
myndigheten att fatta sådana beslut, myndigheten att fatta sådana beslut
41 §
Regeringen får meddela före- Regeringen får meddela före-
skrifter om att vissa automatiska skrifter om att vissa behandlingar av
behandlingar av personuppgifter personuppgifter som kan innebära
som kan innebära särskilda risker särskilda risker för otillbörligt
för otillbörligt intrång i den per- intrång i den personliga integriteten
sonliga integriteten skall för för- skall för förhandskontroll anmälas
handskontroll anmälas till tillsyns- till tillsynsmyndigheten enligt 36 §
myndigheten enligt 36 § tre veckor i tre veckor i förväg Om regeringen
förväg. Om regeringen har meddelat har meddelat sådana föreskrifter,
sådana föreskrifter, gäller inte gäller inte undantaget från an-
undantaget från anmälmngsskyldig- mälningsskyldigheten enligt 37 §
heten enligt 37 §.
50 §
Regeringen eller den myndighet Regeringen eller den myndighet
som regeringen bestämmer får i som regeringen bestämmer får med-
fråga om automatisk behandling av dela närmare föreskrifter om
personuppgifter meddela närmare
föreskrifter om
a) i vilka fall behandling av personuppgifter är tillåten,
b) vilka krav som ställs på den personuppgiftsansvarige vid behandling av
personuppgifter,
c) i vilka fall användning av personnummer är tillåten,
d) vad en anmälan eller ansökan till en personuppgiftsansvarig skall
innehålla,
229
e) vilken information som skall lämnas till registrerade och hur
informationen skall lämnas, och
f) anmälan till tillsynsmyndigheten och förfarandet när anmälda uppgifter
har ändrats.
Prop. 1997/98:44
Bilaga 6
Denna lag träder i kraft den 1 januari 1999.
230
Utdrag ur protokoll vid sammanträde 1997-11-26
Närvarande: regeringsrådet Stig von Bahr,
regeringsrådet Arne Baekkevold, justitierådet Edvard Nilsson.
Enligt en lagrådsremiss den 30 oktober 1997 (Justitiedepartementet) har
regeringen beslutat inhämta Lagrådets yttrande över förslag till
1. personuppgiftslag,
2. lag om ändring i sekretesslagen (1980:100),
3. lag om ändring i brottsbalken,
4. lag om ändring i regeringsformen,
5. lag om ändring i personuppgiftslagen (0000:000)
Förslagen har inför Lagrådet föredragits av kanslirådet
Thomas Rolén och hovrättsassessorn Klas Reinholdsson
Förslagen föranleder följande yttrande av Lagrådet:
Förslaget till personuppgiftslag
Allmänna synpunkter
Den föreslagna lagen ersätter den nuvarande datalagen (1973:289) och
avses genomföra Europaparlamentets och rådets direktiv 95/46/EG av den
24 oktober 1995 om skydd för enskilda personer med avseende på
behandling av personuppgifter och om det fria flödet av sådana uppgifter.
Syftet med direktivet är att skapa en hög nivå på integritetsskyddet för att
därigenom möjliggöra ett fritt flöde av personuppgifter medlemsländerna
emellan. Lagförslaget följer i huvudsak direktivets text och struktur
Lagrådet tar i detta inledande avsnitt först upp frågan om hur offentlig-
hetsprincipen enligt tryckfrihetsförordningen (TF) förhåller sig till direk-
tivet och den föreslagna lagen. Därefter behandlas förhållandet mellan å
ena sidan bestämmelserna om tryck- och yttrandefrihet i TF och yttran-
defrihetsgrundlagen (YGL) och å andra sidan direktivet och lagförslaget.
Avsnittet avslutas med en granskning av om de bemyndiganden som finns
i lagförslaget är förenliga med bestämmelserna i regeringsformen (RF)
om delegenng av normgivning.
Förhållandet till offentlighetsprincipen
Offentlighetsprincipen enligt 2 kap. TF innebär i huvudsak att varje
svensk medborgare har rätt att ta del av allmänna handlingar, inklusive
personregister, i den utsträckning handlingarna inte innehåller uppgifter
för vilka gäller sekretess (2 kap. 1 och 2 §§ TF). Den som begär att få ta
del av allmänna handlingar har i regel rätt att få vara anonym och behöver
normalt inte uppge syftet med sin begäran (2 kap 14 § tredje stycket TF).
Prop. 1997/98:44
Bilaga 7
231
I lagrådsremissen diskuterar regeringen förhållandet mellan EG-direk-
tivet och offentlighetsprincipen. Regeringens slutsats är att direktivet går
att förena med offentlighetsprincipen. Samtidigt föreslår regeringen att -
även om bestämmelser i grundlag alltid tar över bestämmelser i vanlig lag
- det i klargörande syfte skall tas in en uttrycklig bestämmelse i
personuppgiftslagen (8 § första stycket) om att lagen inte tillämpas, i den
mån det skulle inskränka myndigheternas skyldighet att lämna ut
personuppgifter enligt 2 kap. TF. Vidare föreslås (8 § andra stycket) dels
en föreskrift om att bestämmelserna i lagen inte hindrar att en myndighet
arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om
hand av en arkivmyndighet, dels en föreskrift om att 9 § fjärde stycket -
som avser behandling för historiska, statistiska eller vetenskapliga ända-
mål - inte skall gälla för en myndighets användning av personuppgifter i
allmänna handlingar
Av 11 kap. 14 § RF framgår att bestämmelser i vanlig lag som står i strid
med grundlagsbestämmelser inte skall tillämpas om felet är uppenbart
Frågan är då om även EG-rättsliga bestämmelser skall vika för grund-
lagsbestämmelser. EG-domstolen har i några fall funnit att EG-rätten har
företräde framför nationella grundlagar (se bl.a. Torbjörn Andersson,
Rättsskyddspnncipen, 1997, s 55 ff, med hänvisningar). Frågan har för
svensk rätts del behandlats bl.a. i samband med Sveriges anslutning till
EU, närmare bestämt i förarbetena till bestämmelserna i 10 kap. 5 § RF
om överlåtelse av beslutanderätt till EG och den anslutande lagen
(1994:1500) med anledning av Sveriges anslutning till Europeiska
unionen Konstitutionsutskottet (KU), vars uttalande godkändes av
riksdagen, anförde därvid bl.a. (bet. 1993/94:KU 21 s. 28 ff) att om EU
skulle besluta om bestämmelser som rör t.ex. offentlighets- och sek-
retessregler dessa bestämmelser inte kan ges en sådan räckvidd att de
rubbar de principer som svensk tryck-, yttrandefrihets- och offentlig-
hetslagstiftning bygger på. Om en EG-rättslig regel i en förordning eller
ett direktiv framstår som konstitutionellt oacceptabel borde enligt KU den
svenska hållningen inte vara att tala om en konflikt mellan EG-rätten och
nationell rätt utan frågan borde i stället vara om EG-organet haft rätt att
med verkan för Sverige fatta beslutet. Man skulle enligt utskottet fråga sig
om den beslutade rättsakten ligger inom det område där beslutanderätt
överlåtits, om svaret är nej är rättsakten inte giltig som EG-rätt i Sverige
Frågan om förhållandet mellan EG-rätten och nationella grundlagar kan
inte i alla delar anses ha fått någon slutlig lösning. Enligt Lagrådets
mening kan man emellertid inte utgå från att EG-domstolen vid en kon-
flikt mellan förevarande direktiv och den svenska offentlighetsprincipen
skulle finna att direktivet får vika.
När det sedan gäller frågan om direktivet är förenligt med den svenska
offentlighetsprincipen är det som framhålls i lagrådsremissen främst sex
artiklar som är av intresse. Lagrådet redovisar här i korthet artiklarnas
innebörd och regeringens ståndpunkter. Vid genomgången bör hållas i
Prop 1997/98:44
Bilaga 7
232
minnet att utlämnande av uppgifter med stöd av offentlighetsprincipen är Prop. 1997/98:44
att anse som en sådan behandling av personuppgifter som omfattas av Bilaga 7
direktivet
Av artikel 6.1 b framgår att personuppgifter skall samlas in för särskilda,
uttryckligt angivna ändamål och att senare behandling av uppgifterna i
princip inte får ske på ett sätt som är oförenligt med de ändamål för vilka
uppgifterna ursprungligen samlades in. Regeringens inställning är att en
myndighets utlämnande av personuppgifter med stöd av offentlighet-
sprincipen inte kan anses vara oförenligt med de ändamål för vilka
uppgifterna ursprungligen samlades in, eftersom offentlighetsprincipen
framgår av svensk grundlag och får anses utgöra en integrerad del av all
förvaltmngsverksamhet som myndigheterna ägnar sig åt. - Artikel 7
innebär att personuppgifter får behandlas i princip endast om det är nöd-
vändigt för att fullgöra en rättslig förpliktelse som åvilar den register-
ansvarige eller för att fullgöra en arbetsuppgift som är ett led i myndig-
hetsutövning som utförs av den registeransvarige Regeringens ståndpunkt
är att utlämnande är tillåtet, eftersom dels myndigheterna är rättsligt
förpliktade att följa bl.a. grundlagsreglema om utlämnande av allmänna
handlingar, dels utlämnandet är ett led i myndigheternas tjänsteutövning
- Av artikel 8 framgår att behandling av känsliga personuppgifter i
princip skall förbjudas, det är dock tillåtet att bl.a. av hänsyn till ett viktigt
allmänt intresse göra undantag från förbudet om det finns lämpliga
skyddsåtgärder Regeringen anför att ett utlämnande enligt offentlighets-
principen är ett viktigt svenskt allmänt intresse och att de svenska
sekretessbestämmelserna utgör sådana lämpliga skyddsåtgärder som avses
i EG-direktivet. - Artiklarna 10 och 11.1 innebär att information skall
lämnas som är nödvändig för att tillförsäkra den registrerade en korrekt
behandling, exempelvis information om "mottagarna eller de kategorier
som mottar uppgifterna". Information behöver dock inte lämnas när den
registrerade redan känner till informationen. Regeringen konstaterar att
myndigheterna med hänsyn till en uppgiftsmottagares rätt att vara anonym
inte kan lämna uppgifter om till vilka personer insamlade uppgifter kan
komma att lämnas ut Genom att information kan lämnas om att
uppgifterna kan komma att lämnas ut enligt offentlighetsprincipen får de
registrerade dock enligt regeringen - på det sätt direktivet kräver -
information om till vilka kategorier av mottagare som uppgifterna kan
komma att lämnas ut. Eftersom utlämnande enligt offentlighetsprincipen
sedan lång tid tillbaka föreskrivits i svensk grundlag kan det vidare enligt
regeringen förutsättas att allmänheten redan känner till att utlämnande kan
ske, varför det inte torde vara nödvändigt att lämna särskild information i
detta hänseende. - Enligt artikel 13.1 g är det tillåtet för medlemsstaterna
att göra undantag från bl.a. bestämmelserna i artiklarna 6.1, 10 och 11.1
med hänsyn till skyddet av den registrerades eller andras fri- och
rättigheter. Regeringens mening är att rätten för var och en att få ta del av
allmänna handlingar med stöd av offentlighetsprincipen är en sådan
rättighet som kan göra det befogat med undantag.
233
16 Riksdagen 1997/98. 1 saml. Nr 44
Lagrådet kan till att börja med konstatera att det vid beredningen av
lagstiftningsärendet framkommit olika uppfattningar i frågan om di-
rektivet går att förena med offentlighetsprincipen. Datalagskommittén,
som bedömde frågan på samma sätt som regeringen, var inte enig. De
flesta av de remissinstanser som uttalat sig i frågan har gett uttryck för
tveksamhet. Det är också av intresse att notera att Datalagsutredningen -
som i sitt betänkande SOU 1993:10 bedömde ett då föreliggande direk-
tivförslag som i huvudsak överensstämmer med den slutliga versionen -
kom fram till att direktivet inte var förenligt med offentlighetsprincipen
(SOU 1993:10 s. 87 ff.)
Regeringen har stött sin tolkning av direktivet på en punkt i direktivets
ingress som tillkom på svenskt initiativ i förhandlingarnas slutskede, näm-
ligen punkt 72. Däri anges att direktivet gör det möjligt att vid genom-
förandet av bestämmelserna ta hänsyn till principen om allmänhetens rätt
till tillgång till allmänna handlingar. Även med beaktande härav känner
sig Lagrådet emellertid inte övertygat om att direktivet går att förena med
offentlighetsprincipen. Enligt Lagrådets mening framstår de tolkningar
som regeringen gör av de nämnda artiklarna som pressade. I samman-
hanget måste beaktas att det övergripande syftet med direktivet är att för
behandlingen av personuppgifter fastlägga en för medlemsländerna ge-
mensam hög nivå till skydd för den personliga integriteten för att
därigenom i sin tur skapa förutsättningar för ett fritt flöde av uppgifter
mellan länderna. Den svenska offentlighetsprincipen torde gå väsentligt
längre än vad som gäller i de flesta EU-länder. En tillämpning av denna
princip på personuppgifter medför således en lägre nivå vad gäller skydd
för den personliga intenteten än i andra medlemsländer. Mot denna bak-
grund är det enligt Lagrådets mening inte sannolikt att EG-domstolen
skulle godta en tolkning av direktivet i den riktning som regeringen har
gjort. Det föreligger således en påtaglig risk för att domstolen skulle finna
offentlighetsprincipen oförenlig med direktivet
Det anförda innebär att man - om man vill vara säker på att den svenska
lagstiftningen skall stå sig vid en prövning i EG-domstolen måste ändra
bestämmelserna i TF och sekretesslagen (1980:100) om utlämnande av
upp-gifter så att de närmare ansluter till det övergripande syftet med EG-
direktivet.
Lagrådet har emellertid förståelse för att man inte vill göra ett ingrepp i
offentlighetsprincipen utan att det står helt klart att så måste ske. Det kan
nämligen inte uteslutas att EG-domstolen trots allt kommer att finna
offentlighetsprincipen förenlig med direktivet. Om man med hänsyn
härtill bestämmer sig för att inte ändra bestämmelserna om allmänna
handlingars offentlighet måste man dock vara medveten om att principen
om EG-rättens företräde framför nationell lagstiftning kan ge upphov till
svåra problem vid rättstillämpningen.
Prop. 1997/98:44
Bilaga 7
Oavsett om TF behålls oförändrad eller inte avstyrker Lagrådet att det in-
förs en bestämmelse i personuppgiftslagen (8 § första stycket) av innebörd
234
att lagen inte skall tillämpas om det skulle inskränka myndigheternas
skyldighet att lämna ut personuppgifter enligt 2 kap. TF; ett sådant
undantag synes antingen strida mot EG-rätten eller vara onödigt.
Också de föreslagna undantagen i 8 § andra stycket avseende arkivering
och bevarande av handlingar hos en myndighet och om arkivmyndighets
omhändertagande av arkivmaterial har motiverats med hänsyn till offent-
lighetsprincipen. Myndigheternas skyldigheter att t.ex. arkivera hand-
lingar har givetvis betydelse vid tillämpningen av offentlighetsprincipen
men någon uttrycklig föreskrift härom finns inte i TF eller annan grund-
lag. Här kommer således undantagen - i den mån de inte har stöd i
direktivet - i konflikt med principen om EG-rättens företräde framför
allmän nationell lagstiftning.
Frågan är då om dessa undantag har stöd i direktivet. Enligt regeringen
skall arkiven tillgodose rätten att ta del av allmänna handlingar, behovet
av information för rättskipningen och förvaltningen samt forskningens
behov (3 § tredje stycket arkivlagen /1990:782/). De ändamål som
bevarandet av myndighetsarkiven skall tillgodose kan enligt regeringen
hänföras under vad som i EG-direktivet kallas "historiska, statistiska och
vetenskapliga ändamål". Är en myndighets primära hantering av upp-
gifterna tillåten, kan det vidare enligt regeringen inte anses oförenligt med
den primära hanteringen att bevara uppgifterna eller att lämna över
handlingar till en arkivmyndighet för långtidsförvaring. Regeringen fram-
håller att myndigheterna är rättsligt förpliktade att bevara allmänna
handlingar och att bevarandet är en arbetsuppgift av allmänt intresse, den
behandling av icke känsliga personuppgifter som bevarandet utgör är
således tillåten enligt artikel 7. För myndigheternas bevarande av känsliga
personuppgifter behövs däremot enligt regeringen ett undantag enligt
artikel 8. Regeringen anser att de svenska myndigheternas bevarande av
känsliga personuppgifter utgör ett sådant viktigt allmänt intresse som
berättigar en medlemsstat att göra undantag. Att arkivmyndigheten i sin
tur lämnar ut icke sekretessbelagda uppgifter med stöd av offentlighets-
principen kan enligt regeringens bedömning inte anses oförenligt med de
ändamål för vilka arkivmyndigheterna samlade in uppgifterna. De
bestämmelser som finns om sekretess och skydd för arkiv får anses utgöra
sådana lämpliga skyddsåtgärder som krävs enligt EG-direktivet.
Lagrådet delar inte regeringens uppfattning. Såvitt framgår av lagråds-
remissen är undantagen i fråga om bevarande och arkivering av allmänna
handlingar motiverade endast med hänsyn till undantagens betydelse för
offentlighetsprincipen. Lagrådet kan inte finna annat än att undantagen
strider mot det övergripande syftet med direktivet, nämligen i första hand
att skapa en gemensam hög nivå till skydd för den personliga integriteten.
Lagrådet föreslår mot denna bakgrund att undantagen i 8 § andra stycket
utgår
Prop. 1997/98:44
Bilaga 7
235
Förhållandet till tryck- och yttrandefriheten
Syftet med personuppgifislagen är enligt 1 § att skydda den personliga
integriteten vid behandling av personuppgifter. Som framgår av lagråds-
remissen kan flera artiklar i det EG-direktiv som personuppgifislagen
bygger på komma i konflikt med bestämmelserna om tryck- och yttrande-
frihet i TF och YGL. Frågan är därför om direktivet medger avvikelser
när det gäller sådana för svensk rätts del grundläggande konstitutionella
fri- och rättigheter som regleras i dessa grundlagar
Enligt artikel 13 i direktivet får medlemsstaterna genom lagstiftning
begränsa omfattningen av de skyldigheter och rättigheter som anges i
vissa artiklar i kapitel II (som omfattar artiklarna 5-21) i fall då en sådan
begränsning är en nödvändig åtgärd med hänsyn till bl.a "skydd av den
registrerades eller andras fri- och rättigheter". Artikel 9 innehåller
emellertid en särskild möjlighet till undantag och avvikelser från bestäm-
melser i kapitel II med hänsyn till yttrandefriheten Det är därför osäkert
om det citerade uttrycket i artikel 13 inkluderar yttrandefriheten (jfr SOU
1997:49 s. 249 och 253).
I artikel 9 i direktivet föreskrivs att medlemsstaterna när det gäller
behandling av personuppgifter som sker uteslutande för journalistiska
ändamål eller konstnärligt eller litterärt skapande skall besluta om
undantag och avvikelser från bestämmelserna i bl.a. kapitel II endast om
de är nödvändiga för att förena rätten till privatlivet med reglerna om
yttrandefriheten. Läst enligt orden ger artikeln alltså inte någon möjlighet
att låta avvikande föreskrifter i TF eller YGL fa företräde såvitt gäller
annat än journalistiska ändamål eller konstnärligt eller litterärt skapande.
Vid tolkningen av artiklarna 9 och 13 har det betydelse att Europa-
konventionens fri- och rättigheter skall respekteras som allmänna rätts-
principer på EG-rättens område Av Europadomstolens tillämpning av
den konventionen framgår att integritetsskyddsintressen och yttrande-
frihetsintressen skall vägas mot varandra (Jfr SOU 1997:49 s. 259 f.) Det
framstår dock inte som självklart att EG-domstolen på grund härav skulle
i de nämnda artiklarna tolka in ett från principiell synpunkt så vittgående
undantag från integritetsskyddsintresset som följer av de svenska reglerna
i TF och YGL
Sammanfattningsvis finner Lagrådet att det, med en försiktig formulering,
får anses tveksamt om EG-domstolen skulle acceptera att de
bestämmelser i direktivet som införlivas med svensk rätt genom person-
uppgiftslagen får vika för de svenska grundlagsreglerna i vidare mån än
som medges enligt ordalagen av artikel 9 i direktivet
I 7 § första stycket i den föreslagna personuppgifislagen föreskrivs att
lagens bestämmelser inte tillämpas i den utsträckning det skulle strida mot
bestämmelserna om tryck- och yttrandefrihet i TF eller YGL. Slutsatsen
av det anförda är att ett sådant undantag inte bör tas in i lagen Vill man
Prop 1997/98:44
Bilaga 7
236
vara säker på att inte lagstifta i strid med direktivet, bör i stället
sistnämnda bestämmelser ändras så att en sådan konflikt undviks. Gör
man inte det, uppkommer tillämpningsproblem av det slag som Lagrådet
pekat på när det gäller frågan om offentlighetsprincipens förenlighet med
direktivet.
Enligt 7 § andra stycket skall vissa angivna paragrafer i lagen under inga
förhållanden tillämpas på spridningen av innehållet i yttranden som
tidigare utgetts, sänts eller spritts på ett sådant sätt som avses i TF eller
YGL. Med hänvisning till det tidigare anförda avstyrker Lagrådet denna
bestämmelse, som troligen inte skulle stå sig vid en prövning i EG-dom-
stolen; i detta fall rör det sig ju ännu så länge inte om något grundlagsfäst
yttrandefrihetsmtresse som kan vägas mot integritetsskyddsintresset.
Normgivningsdelegation
I det remitterade förslaget finns bemyndiganden för regeringen eller den
myndighet som regeringen bestämmer att meddela föreskrifter om
undantag från vissa bestämmelser och att precisera de generella regler och
principer som finns i den föreslagna lagen Regeringen bemyndigas vidare
att meddela föreskrifter om förhandskontroll av vissa behandlingar av
personuppgifter och om undantag från förbudet mot överföring av person-
uppgifter till tredje land. Det kan, vilket också framhålls i remissen, sättas
i fråga om dessa bemyndiganden är förenliga med reglerna i RF om vad
som gäller vid meddelande av lagar och andra föreskrifter. Lagrådet får i
denna del anföra följande
Enligt 2 kap 3 § andra stycket RF skall varje medborgare i den ut-
sträckning som närmare anges i lag skyddas mot att hans personliga
integritet kränks genom att uppgifter om honom registreras med hjälp av
automatisk databehandling. I lagrådsremissen anförs att denna bestäm-
melse inte hindrar att regeringen eller den myndighet som regeringen be-
stämmer ges behörighet att närmare precisera och konkretisera regle-
ringen i den föreslagna lagen (jfr 8 kap 1 § RF). Lagrådet delar denna
uppfattning
Lagrådet övergår härefter till frågan hur de föreslagna bemyndigandena
förhåller sig till bestämmelserna i 8 kap. 2 och 3 §§ RF Enligt 8 kap. 2 §
skall föreskrifter om enskildas personliga ställning samt om deras person-
liga och ekonomiska förhållanden inbördes meddelas genom lag. Be-
träffande föreskifter av detta slag är - såvitt nu är av intresse (jfr 8 kap
8 § RF) - kravet på lagform undantagslöst. Föreskrifterna tillhör därmed
det s.k. obligatoriska lagområdet
Föreskrifter om förhållandet mellan enskilda och det allmänna, som gäller
åligganden för enskilda eller i övrigt avser ingrepp i enskildas personliga
eller ekonomiska förhållanden, skall enligt 8 kap 3 § meddelas genom
lag. Utan hinder av denna bestämmelse kan dock regeringen efter bemyn-
digande i lag meddela föreskrifter avseende vissa uppräknade ämnen Till
Prop. 1997/98:44
Bilaga 7
237
de uppräknade ämnena hör skydd för personlig integritet vid registrering
av uppgifter med hjälp av automatisk databehandling (8 kap. 7 § första
stycket 8 RF, i remissen förslås att lagrummet skall utvidgas till att om-
fatta skydd för personlig integritet vid all behandling av personuppgifter).
Har riksdagen bemyndigat regeringen att meddela föreskifter i visst ämne
kan riksdagen också medge att regeringen i sin tur överlåter åt för-
valtningsmyndighet att meddela bestämmelser i ämnet (8 kap. 11 § RF)
Av det anförda framgår att riksdagen inom vissa ramar kan delegera
normgivning till regeringen och förvaltningsmyndighet om föreskrifterna
kan hänföras till 8 kap. 3 § RF. Delegenng är däremot utesluten om före-
skrifterna avser i 8 kap. 2 § angivna områden. Klassificeringen av de
föreskifter som i remissen föreslås bli föremål för delegenng är med andra
ord avgörande för delegeringens grundlagsenlighet
Till undvikande av missförstånd må påpekas att det hittills sagda tar sikte
på delegenng av föreskrifter med klart materiellt innehåll. Regeringen kan
utan riksdagens bemyndigande besluta om föreskrifter om verkställighet
av lag (8 kap. 13 § första stycket 1 RF).
De bemyndiganden till regeringen eller den myndighet som regeringen
bestämmer som föreslås i remissen avser undantag från förbudet mot be-
handling av känsliga personuppgifter (20 §), undantag från förbudet för
andra än myndigheter att behandla personuppgifter om lagöverträdelser
m.m. (21 §), undantag från förbudet mot överföring av personuppgifter
till tredje land (35 §), undantag från skyldigheten att anmäla vissa auto-
matiska behandlingar till tillsynsmyndigheten (36 §) samt vissa närmare
villkor för automatisk behandling av personuppgifter (50 §). Vidare
bemyndigas regeringen - utan möjlighet till subdelegation - att såvitt
gäller vissa stater meddela föreskrifter om undantag från förbudet mot
överföring av personuppgifter till tredje land (35 §) och att föreskriva att
särskilt riskabla behandlingar skall anmälas för förhandskontroll till
tillsynsmyndigheten (41 §).
Det råder enligt Lagrådets uppfattning inget tvivel om att flera av de före-
slagna bemyndigandena går längre än att meddela verkställighetsföre-
skrifter. Någon annan ståndpunkt intas inte heller i lagrådsremissen
Som redovisats i det föregående tar 8 kap. 2 § RF sikte på dels föreskrifter
om enskildas personliga ställning, dels enskildas personliga och ekono-
miska förhållanden inbördes. I remissen hävdas att föreskrifter om skydd
för personlig integritet vid behandling av personuppgifter inte kan anses
röra enskildas personliga ställning i den mening som avses i 8 kap. 2 §
RF. Lagrådet kan ansluta sig till denna bedömning.
Vad gäller frågan om de föreslagna bemyndigandena avser föreskrifter
om enskildas personliga och ekonomiska förhållanden inbördes anförs i
remissen att gränsen mellan privaträttsliga föreskrifter av detta slag och
offentligrättsliga föreskrifter (8 kap. 3 § RF) bör kunna dras efter vem
Prop. 1997/98:44
Bilaga 7
238
som kan åberopa föreskrifterna och vilka sanktioner som är omedelbart
förknippade med ett brott mot dem. Föreskrifter som enskilda med fram-
gång kan direkt åberopa mot andra enskilda i domstol och som kan leda
till att någon enskild förpliktas betala pengar - t.ex. skadestånd - till
någon annan enskild anges i enlighet härmed vara att anse som privat-
rättsliga.
I remissen konstateras att bestämmelserna i personuppgiftslagen skall
vara förknippade med skadeståndssanktion (48 §). Till skillnad från vad
Datalagskommittén föreslagit läggs dock därutöver förslag fram om att
brott mot de bestämmelser från vilka det är tillåtet att föreskriva undantag
skall kunna föranleda straffansvar (49 §) Den som i strid med bestäm-
melserna behandlar känsliga uppgifter eller uppgifter om lagöverträdelser
m.m. eller för över personuppgifter till tredje land skall således enligt
förslaget kunna straffas Den personuppgiftsansvarige avses i dessa fall
också kunna drabbas av ingripanden av tillsynsmyndigheten i form av
exempelvis vitesförelägganden. Av detta följer enligt remissen att bestäm-
melserna är huvudsakligen omedelbart förknippade med offentligrättsliga
sanktioner och därmed att anse som offentligrättsliga. Det förhållandet att
de straffsanktionerade bestämmelserna dessutom är förknippade med
skadeståndssanktion anses med andra ord inte kunna förta bestäm-
melserna deras offentligrättsliga karaktär. I remissen dras mot denna bak-
grund slutsatsen att de föreslagna bemyndigandena avser offentligrättsliga
föreskrifter och inte sådana privaträttsliga förskrifter som tillhör det
obligatoriska lagområdet.
Lagrådet har inga invändningar mot de i remissen beskrivna principerna
för gränsdragningen mellan privaträttsliga och offentligrättsliga före-
skrifter. Till föreskrifter om enskildas personliga och ekonomiska för-
hållanden inbördes bör alltså räknas sådana föreskrifter som en enskild
person med framgång kan direkt åberopa mot andra enskilda i domstol
och som kan leda till att enskilda förpliktas att erlägga exempelvis
skadestånd. Av detta följer enligt Lagrådets uppfattning att de föreslagna
bemyndigandena omfattar föreskrifter av privaträttslig natur. Den omstän-
digheten att föreskrifterna dessutom kan ha påtagliga offentligrättsliga
inslag innebär inte att den privaträttsliga delen bortfaller. Lagrådet tar där-
för avstånd från tanken i remissen att införandet av ett system för offentlig
tillsyn av tillämpningen av privaträttsliga föreskrifter eller en krimi-
nalisering av dessa får till konsekvens att föreskrifterna förlorar sin privat-
rättsliga karaktär och förvandlas till offentligrättsliga Ett godtagande av
remissens tolkning skulle innebära en väsentlig och godtycklig urholkning
av det i 8 kap. 2 § RF stadgade obligatoriska lagområdet. Tilläggas kan att
den i remissen redovisade effekten av offentligrättsliga inslag på privat-
rättsliga föreskrifter såvitt Lagrådet känner till inte har något stöd i
rättspraxis eller den juridiska litteraturen.
Lagrådet finner sammanfattningsvis att flera av de bemyndiganden som
föreslås i personuppgifislagen - särskilt bemyndigandena i 20, 21 och
35 §§ - avser föreskrifter som är att hänföra till 8 kap 2 § RF. Bemyn-
Prop 1997/98:44
Bilaga 7
239
digandena är därmed oförenliga med normgivningsbestämmelsema i
8 kap. RF. Lagförslaget kan i dessa delar inte genomföras i befintligt
skick.
Det är mte helt lätt att uttala sig om hur lagförslaget skall ändras för att
kravet på grundlagsenlighet skall vara uppfyllt. Utrymmet för verk-
ställighetsföreskrifter till föreskrifter som avses i 8 kap 2 § RF är
begränsat. En lösning som möjligen kan komma i fråga är att införa
ytterligare preciseringar i lagtexten och samtidigt ge tillsynsmyndigheten
befogenhet att meddela allmänna råd om tillämpningen av den föreslagna
lagen. Sådana allmänna råd är visserligen inte formellt bindande men
torde, i förening med tillsynsmyndighetens övriga befogenheter, kunna
medverka till att behandlingen av personuppgifter sker i enlighet med god
sed på området och inom ramen för EG-direktivet.
Vad Lagrådet nu anfört har betydelse också för bedömningen av hur den
föreslagna ändringen i 8 kap. 7 § första stycket 8 RF förhåller sig till
andra bestämmelser i 8 kap. Lagrådet återkommer senare i yttrandet till
denna fråga.
Kommentar till vissa lagrum
3§
Med hänsyn till vad Lagrådet anfört under rubriken Förhållandet till
offentlighetsprincipen bör i fråga om betydelsen av beteckningen
Blockering (av personuppgifter) hänvisningen till 2 kap. TF ersättas med
orden "denna lag".
5§
Enligt första stycket gäller lagen för behandling av personuppgifter som
helt eller delvis är automatisk. Med uttrycket "automatisk behandling",
som återkommer i flera andra paragrafer, avses annan behandling än
manuell behandling. Att lagen också tillämpas på manuell behandling av
personregister framgår av andra stycket.
Direktivet gäller enligt artikel 3.1 i den svenskspråkiga texten för sådan
behandling av personuppgifter som helt eller delvis företas på automatisk
väg och för annan behandling än automatisk av personregister. Uttrycket
"behandling på automatisk väg" återkommer i artikel 18.1, medan be-
greppet "automatisk behandling" används i artikel 15.1. Den engelsk-
språkiga texten innehåller i dessa artiklar termerna "processing by auto-
matic means", "automatic processing operation" respektive "automated
Processing", medan den franskspråkiga texten genomgående talar om
"traitement automatisé".
Automatisk databehandling är sedan länge ett inarbetat begrepp Detta
kan synas tala för att man i en lag om uppgiftsskyldighet som skall vara
teknikoberoende använder det motsvarande uttrycket automatisk behand-
ling. Ett sådant uttryckssätt för emellertid tanken till en behandling som
Prop 1997/98:44
Bilaga 7
240
sker automatiskt efter en viss händelse eller tidpunkt e.d. oavsett hur
behandlingen utförs. Det ligger nära till hands att lägga in en motsvarande
betydelse i uttrycket automatiska beslut. Det är förmodligen av detta skäl
som det uttrycket har undvikits i det remitterade förslaget, där i stället
uttrycket "automatiserade beslut" förekommer (se rubriken till 29 §).
Lagrådet förordar att uttrycket "automatisk behandling" i förevarande
paragraf byts ut mot uttrycket "automatiserad behandling". Ett alternativ
kan vara att man, som i den svenskspråkiga versionen av direktivet, i
stället talar om "behandling som företas på automatisk väg".
Godtas Lagrådets förslag, får motsvarande ändringar göras i 20, 21, 29,
35,36,41,42 och 50 §§.
9§
Som Lagrådet återkommer till vid 48 § bör i första stycket b) i före-
varande paragraf läggas till att personuppgifter skall behandlas i enlighet
med god sed.
21 §
I första stycket föreskrivs att det är förbjudet för andra än myndigheter att
behandla personuppgifter om lagöverträdelser, domar i brottmål, straff-
processuella tvångsmedel eller administrativa frihetsberövanden.
Det är mte helt klart vad som avses med termen "lagöverträdelser". Rent
språkligt sett torde termen omfatta alla överträdelser av förhållningsregler
i lag. Det skulle innebära att även sådana överträdelser som är
osanktionerade eller som i regel endast föranleder administrativa sank-
tioner skulle omfattas. Som exempel på det sistnämnda kan nämnas orik-
tigt uppgiftslämnande på skatteområdet, otillåtet byggande, felaktigheter
vid miljöfarlig verksamhet o.d. Bestämmelsen har sin motsvarighet i
artikel 8.5 första stycket direktivet, som i den svenska versionen också
innehåller termen lagöverträdelser. Av direktivet synes dock kunna utläsas
att en mer begränsad innebörd är avsedd. I artikel 8.5 andra stycket anges
sålunda att medlemsstaterna får föreskriva att uppgifter som rör bl. a.
administrativa sanktioner också skall behandlas under kontroll av en
myndighet. Det måste innebära att termen lagöverträdelser i artikelns
första stycke inte avses omfatta överträdelser som medför administrativa
sanktioner. Det förefaller troligt att avsikten varit att med lagöverträdelser
skall förstås endast överträdelser som innefattar brott (jfr SOU 1997:39 s.
380). Enligt Lagrådets mening bör lagtexten i detta avseende förtydligas.
27 §
Paragrafen innehåller undantag från informationsskyldigheten vid sekre-
tess och tystnadsplikt. I första meningen görs undantag från informa-
tionsskyldigheten i den utsträckning det är föreskrivet i författning - eller
i beslut som har meddelats med stöd av författning - att uppgifter inte får
lämnas ut till den registrerade. I andra meningen föreskrivs att en
Prop. 1997/98:44
Bilaga 7
241
personuppgiftsansvarig, som mte är en myndighet, i motsvarande fall som
avses i sekretesslagen får vägra att lämna ut uppgifter till den registrerade.
Sistnämnda föreskrift, som saknar direkt motsvarighet i Datalagskom-
mitténs forslag, torde vara en nyhet i svensk lagstiftning. Den innebär att
enskilda personer blir skyldiga att sätta sig in i en omfattande och
komplicerad lagstiftning som är utformad med tanke på myndigheters
verksamhet och vid prövning av informationsskyldigheten försöka dra
paralleller till den egna verksamheten. Man måste räkna med att detta kan
medföra problem i den praktiska tillämpningen. Lagrådet ifrågasätter om
inte någon annan lösning som tillgodoser behovet kan åstadkommas.
Frågan bör enligt Lagrådet beredas ytterligare.
38 §
Med anledning av det tillägg som Lagrådet har förordat i 9 § första
stycket b) bör i första stycket av förevarande paragraf föreskrivas att
personuppgiftsombudet skall se till att personuppgifter behandlas,
förutom på ett lagligt och korrekt sätt, i enlighet med god sed.
42 §
Beträffande sista meningen hänvisar Lagrådet till vad som anförts vid 27
§■
48 §
Enligt första stycket skall den personuppgiftsansvarige ersätta den
registrerade för den skada och den kränkning av den personliga inte-
griteten som en behandling av personuppgifter i strid med denna lag eller
god sed vid behandling av personuppgifter har orsakat.
Att den personuppgiftsansvarige är skyldig att iaktta god sed vid
behandling av personuppgifter sägs inte i lagen i övrigt utan framgår
endast indirekt av förevarande bestämmelse. Enligt Lagrådets mening bör
en uttrycklig föreskrift om denna skyldighet tas in i lagen, lämpligen som
ett tillägg i 9 § första stycket b). Godtas detta förslag, kan hänvisningen
till god sed vid behandling av personuppgifter utgå i förevarande bestäm-
melse; en behandling av personuppgifter i strid med god sed strider då
också mot lagen.
I författningskommentaren uttalas att, i den utsträckning ett förfarande i
strid med lagen ingår som ett led i ett sådant brott som avses i 1 kap 3 §
skadeståndslagen, ideellt skadestånd för lidande respektive ersättning för
kränkning kan utgå enligt såväl den nyss nämnda bestämmelsen som
förevarande paragraf. De brott som det kan bli fråga om är bl.a.
ärekränkningsbrott. När ersättning enligt 1 kap. 3 § skadeståndslagen
skall bestämmas för kränkning genom ett sådant brott, beaktas bl.a. det
sätt på vilket ärekränkande uppgifter har spritts (se prop. 1972:5 s. 572
samt SOU 1972:88 s. 55 och SOU 1992:84 s. 141). Det förhållandet att
uppgifterna har spritts genom behandling av personuppgifter kan alltså
påverka storleken av skadeståndet för den kränkning som ärekränk-
Prop. 1997/98:44
Bilaga 7
242
ningsbrottet har inneburit. Att i ett sådant fall också skadestånds-
bestämmelsen i förevarande paragraf kan bli tillämplig torde knappast
medföra att den registrerade får rätt till ytterligare skadestånd enligt den
bestämmelsen. Kränkningen ersätts med andra ord inte med ett högre
belopp enbart därför att flera bestämmelser kan vara tillämpliga
Enligt andra stycket kan ersättningsskyldigheten i den utsträckning det är
skäligt jämkas, om den personuppgiftsansvarige visar att felet inte
berodde på honom eller henne. Enligt Lagrådets mening är det inte helt
säkert att denna bestämmelse står i överensstämmelse med artikel 23.2 i
direktivet, som enligt den svenskspråkiga texten innehåller att den
registeransvarige kan helt eller delvis undgå skadeståndsansvar om han
bevisar att han inte är ansvarig för den händelse som orsakade skadan
Innebörden av den nämnda artikeln synes oklar. En möjlighet är att läsa
den som en ren exculpationsbestämmelse av innehåll att något skade-
ståndsansvar inte kan utkrävas "i den mån" den registeransvarige visar att
han inte är ansvarig för den skadeorsakande händelsen. 1 lagrådsremissen
har artikeln emellertid uppfattats som en jämkningsbestämmelse, som ger
möjlighet men inte skyldighet att sätta ned skadeståndet även om den
registeransvarige visar sig vara helt utan skuld till den händelse som
orsakade skadan För denna tolkning skulle kunna tala att punkt 55 i
direktivets ingress anger att den registeransvarige kan befrias från
skadeståndsansvar om han kan visa att han inte är ansvarig för skadan,
särskilt i fall då han kan påvisa att ett fel har begåtts av den registrerade
eller i fall av force majeure Innebörden härav är möjligen att den
registeransvarige åtminstone i andra fall kan åläggas t o m. fullt skade-
ståndsansvar även om han visar sig inte ha något ansvar för den
skadeorsakande händelsen Det är dock vanskligt att ha någon bestämd
uppfattning om hur direktivet är att förstå på denna punkt.
För att inte Sverige skall kunna beskyllas för att lagstifta i strid med
direktivet förordar Lagrådet att andra stycket i förevarande paragraf ges
en lydelse som närmare överensstämmer med artikel 23.2. Frågan hur
bestämmelsen skall tolkas bör, utan några förarbetsuttalanden, över-
lämnas till rättstillämpningen
I författningskommentaren sägs att frågan om jämkning av ersättningen,
t.ex. på grund av medvållande, regleras i förevarande bestämmelse.
Oavsett vilken innebörd artikel 23.2 har går detta uttalande enligt Lag-
rådets mening för långt. Även om denna artikel skall uppfattas som en
jämkningsbestämmelse, är den ju inte tillämplig i fall då den person-
uppgiftsansvarige misslyckas med att exculpera sig. I ett sådant fall måste
bestämmelsen i 6 kap. 1 § skadeståndslagen om jämkning på grund av
medvållande kunna tillämpas
Prop 1997/98:44
Bilaga 7
49 §
Enligt punkt b) i denna paragraf kan den som behandlar vissa person-
uppgifter i strid med 13-21 §§ dömas till straff. Denna bestämmelse kan
243
komma i konflikt med föreskriften i 45 § om förbud vid vite att fortsätta
att behandla personuppgifter på ett olagligt sätt. Liksom i andra sam-
manhang när en kollision kan uppkomma mellan straff och vite bör gälla
att den som har överträtt ett vitesförbud inte får dömas till straff för en
gärning som omfattas av förbudet. Lagrådet förordar att en bestämmelse
av detta innehåll tas in i förevarande paragraf som ett nytt andra stycke
Ikraftträdande- och övergångsbestämmelser
I punkt 1 anges att den föreslagna lagen träder i kraft den 24 oktober
1998, då datalagen (1973:289) skall upphöra att gälla. Enligt punkt 2 skall
dock den äldre lagen (datalagen) tillämpas i stället för den nya lagen
t.o.m. den 30 september 2001 i fråga om "sådan behandling av person-
uppgifter som pågår vid ikraftträdandet". I författningskommentaren an-
förs att det krav som följer av punkt 2 har samma innebörd som mot-
svarande krav enligt artikel 32.2 i EG-direktivet.
Med behandling av personuppgifter avses enligt 3 § varje åtgärd eller
serie av åtgärder som vidtas i fråga om personuppgifter, bl a. insamling,
registrering, lagring, bearbetning eller ändring, inhämtande, användning,
utlämnande, sammanställning eller samköming, blockering, utplåning
eller förstöring. Den genom punkt 2 förlängda tiden för tillämpning av
datalagen t.o.m. den 30 september 2001 tar enligt ordalydelsen sikte
enbart på behandlingar av personuppgifter som pågår vid ikraftträdandet,
dvs den 24 oktober 1998 Såvitt Lagrådet kan finna innebär detta att den
nya lagen måste tillämpas på åtskilliga behandlingar under förlängnings-
perioden trots att dessa ingår som ett led i hanteringen av ett automatiskt
personregister som fanns redan vid ikraftträdandet. Den nya lagen synes
således skola tillämpas så snart den aktuella behandlingen är av ett annat
slag än den som pågick vid ikraftträdandet eller avser nya person-
uppgifter, dvs. uppgifter som insamlats efter ikraftträdandet. Konse-
kvensen synes bli att den registeransvarige blir tvungen att vad gäller ett
och samma register tillämpa datalagen på vissa behandlingar (person-
uppgifter) och den nya lagen på andra. Det framstår som uppenbart att en
sådan ordning kommer att ge upphov till betydande tillämpnings- och
kontrollproblem
Enligt Lagrådets uppfattning talar inte minst praktiska skäl för att
datalagen under förlängningsperioden skall kunna tillämpas i större ut-
sträckning än vad som följer av en strikt tolkning av övergångs-
bestämmelserna. En sådan utvidgning av tillämpningsområdet synes
knappast behöva komma i konflikt med EG-direktivet (jfr Datalags-
kommitténs resonemang i frågan, SOU 1997:29 s. 453 f). Lagrådet
förordar att utformningen av punkt 2 ses över med denna inriktning
Förslaget till lag om ändring i regeringsformen
Prop. 1997/98:44
Bilaga 7
Det nuvarande i 8 kap. 7 § första stycket 8 givna bemyndigandet för re-
geringen att meddela föreskrifter om skydd för personlig integritet vid re-
244
gistrering av uppgifter med hjälp av automatisk databehandling tillkom
genom lagstiftning år 1994 (prop. 1993/94:116, bet. 1993/94:KU36, SFS
1994:1480). I det lagstiftningsärendet synes någon diskussion mte ha förts
om hur bemyndigandet förhöll sig till bestämmelserna i 8 kap. 2 § RF.
Eftersom delegering inte är möjlig i fråga om föreskrifter som är hän-
förliga till sistnämnda lagrum (jfr vad Lagrådet i anslutning till förslaget
om personuppgiftslag anfört om normgivningsdelegation) kan dock den
slutsatsen dras att bemyndigandet ansetts avse föreskrifter hänförliga till 8
kap. 3 § RF. De mot bemyndigandet korresponderande bestämmelserna i
datalagen synes således ha bedömts vara av offentligrättslig karaktär.
Någon anledning för Lagrådet att pröva grundlagsenligheten hos det
nuvarande bemyndigandet föreligger inte. Som Lagrådet uttalat i det
föregående torde dock, sedan den föreslagna personuppgifislagen trätt i
kraft, föreskrifter om personlig integritet vid behandling av personupp-
gifter bli att hänföra till sådana föreskrifter som avses i 8 kap 2 § RF.
Delegering av normgivning enligt 8 kap. 7 § RF kan därmed inte komma i
fråga. Lagrådet förordar att bemyndigandet upphävs.
Övriga lagförslag
Lagrådet lämnar förslagen utan erinran.
Prop. 1997/98:44
Bilaga 7
245
Utdrag ur protokoll vid regeringssammanträde den 8 december 1997
Närvarande: statsrådet Freivalds, ordförande, och statsråden Tham,
Schori, Johansson, Åhnberg, Pagrotsky
Föredragande: statsrådet Pierre Schori
Prop. 1997/98:44
Regeringen beslutar proposition Personuppgiftslag
246
Prop. 1997/98:44
|
Författningsrubrik |
Bestämmelser som Celexnummer for infor, ändrar, upp- bakomliggande EG- häver eller upprepar regler ett normgivnings- |
|
Personuppgifislagen (0000:0000) |
20, 21, 35, 36, 41 och Celex 395L0046 50 §§ |
|
Lag om ändring i |
8 kap. 7 § 8 |
|
Lag om ändring i |
20, 21, 35, 41 och 50 §§ Celex 395L0046 |
(0000:0000)
247
gotab 55752. Stockholm 1997