Prop.
2000/01:50
Regeringen överlämnar denna proposition till riksdagen.
Stockholm den 30 november 2000
Göran Persson
Lars-Erik Lövdén
(Justitiedepartementet)
Propositionen innehåller förslag till ändringar i kreditupplysningslagen
(1973:1173). Förslagen syftar i första hand till att anpassa kreditupp-
lysningslagen till EG:s dataskyddsdirektiv och personuppgiftslagen
(1998:204).
Lagändringarna ger förstärkningar i den enskildes integritets skydd. De
innebär i huvudsak följande.
- I kreditupplysningsverksamhet far uppgifter om fysiska personer
samlas in endast för kreditupplysningsändamål.
- Personuppgiftslagens grundläggande krav på behandling av person-
uppgifter skall gälla också i kreditupplysningsverksamhet.
- Bestämmelserna om begränsningar för behandling av känsliga
uppgifter anpassas till direktivet och personuppgiftslagen.
- Skyldigheten att informera i registerbesked och kreditupplysnings-
kopior utökas. En begäran om registerbesked om en fysisk person
skall göras skriftligen och vara egenhändigt undertecknad.
- En allmän bestämmelse om gallring av uppgifter införs.
- Bestämmelserna om rättelse av uppgifter skall omfatta inte endast
felaktiga och missvisande uppgifter utan även uppgifter som annars
har behandlats i strid med lagen.
I propositionen görs vidare bedömningen att uppgifter också i fort-
sättningen bör få behandlas utan att den enskilde har gett sitt samtycke
till behandlingen, och det föreslås en uttrycklig bestämmelse om detta.
Det föreslås även bestämmelser om datasäkerhet för uppgifter om
juridiska personer.
Regeringen tar även upp frågan om användning av s.k. flödesinforma-
tion i kreditupplysningar avseende näringsidkare. Regeringen gör be-
1 Riksdagen 2000/01. 1 saml. Nr 50
dömningen att kreditupplysningslagen inte bör ändras för att möjliggöra
en ökad användning av sådana uppgifter.
Vissa andra aktuella frågor som rör kreditupplysningsverksamhet
behandlas inte i propositionen. En sådan fråga är vad som bör gälla för
uppgifter om skuldsanering i kreditupplysningar. En annan gäller de
problem som är förenade med att kreditupplysningar om näringsidkare
får innehålla uppgifter med viss osäkerhet. Dessa frågor övervägs inom
Regeringskansliet.
Registerförfattningsutredningen (SOU 1999:105) och Bulvanutred-
ningen (SOU 1998:47) har lämnat vissa förslag som rör kreditupplys-
ningsverksamhet. Dessa förslag bereds för närvarande inom Regerings-
kansliet.
De här föreslagna lagändringarna föreslås träda i kraft den 1 april
2001.
Prop. 2000/01:50
Prop. 2000/01:50
1 Förslag till riksdagsbeslut.................................................................4
2 Förslag till lag om ändring i kreditupplysningslagen (1973:1173)... 5
3 Ärendet och dess beredning............................................................11
4 Anpassning till dataskyddsdirektivet..............................................13
4.1 Kreditupplysningslagen och dataskyddsdirektivet...........13
4.2 Grundläggande krav.........................................................15
4.3 Behandling av uppgifter utan samtycke...........................19
4.4 Känsliga uppgifter m.m....................................................21
4.5 Gallring.............................................................................25
4.6 Information till den registrerade.......................................27
4.7 Rättelse.............................................................................29
5 Flödesinformation...........................................................................30
6 Ikraftträdande- och övergångsbestämmelser..................................32
7 Ekonomiska konsekvenser av förslagen.........................................33
8 Författningskommentar...................................................................34
Bilaga 1 Dataskyddsdirektivet.............................................................40
Bilaga 2 Sammanfattning av departementspromemorian....................73
Bilaga 3 Departementspromemorians lagförslag................................74
Bilaga 4 Datainspektionens rapport.....................................................78
Bilaga 5 Förteckning över remissinstanserna......................................81
Bilaga 6 Lagrådsremissens lagförslag.................................................82
Bilaga 7 Lagrådets yttrande.................................................................88
Protokollsutdrag......................................................................................91
Rättsdatablad...........................................................................................92
Regeringen föreslår att riksdagen antar regeringens förslag till lag om
ändring i kreditupplysningslagen (1973:1173).
Prop. 2000/01:50
Härigenom föreskrivs1 i fråga om kreditupplysningslagen (1973:1173)2
dels att 5, 6, 8 och 10-12 §§ skall ha följande lydelse,
dels att det närmast före 5 a, 9, 13, 14 och 23 §§ skall införas nya
rubriker som skall lyda ”Informationsutbyte”, ”Utlämnande av upplys-
ningar”, ”Överlåtelse och upplåtelse av register”, ”Tystnadsplikt” respek-
tive ”Överklagande”,
dels att det närmast före 6, 8, 10, 11 och 12 §§ skall införas nya
Prop. 2000/01:50
rubriker av följande lydelse.
Nuvarande lydelse
Kreditupplysningsverksamhet
skall bedrivas så att den ej leder
till otillbörligt intrång i personlig
integritet genom innehållet i de
upplysningar som förmedlas eller
på annat sätt eller till att oriktiga
eller missvisande uppgifter lagras
eller lämnas ut.
Föreslagen lydelse
5§
Kreditupplysningsverksamhet
skall bedrivas så att den inte leder
till otillbörligt intrång i personlig
integritet genom innehållet i de
upplysningar som förmedlas eller
på annat sätt eller till att oriktiga
eller missvisande uppgifter lagras
eller lämnas ut. För sådan behand-
ling av personuppgifter som om-
fattas av personuppgiftslagen
(1998:204) gäller i stället 9§
första stycket a, b och d-h den
lagen.
Uppgifter om fysiska personer
får samlas in endast för kreditupp-
lysningsändamål.
Vid helt eller delvis automa-
tiserad behandling av uppgifter
om juridiska personer skall den
som bedriver kreditupplysnings-
verksamhet vidta lämpliga tek-
niska och organisatoriska säker-
hetsåtgärder for att hindra att
behandlingen sker på ett otillåtet
sätt och att uppgifterna utsätts för
otillåten insyn. Bestämmelser om
säkerheten vid behandling av
personuppgifter finns i 30-32 §§
personuppgiftslagen.
Utan hinder av 10 § personupp-
1 Jfr Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd
för enskilda personer med avseende på behandling av personuppgifter och om det fria
flödet av sådana uppgifter (EGT L 281,23.11.1995, s. 31, Celex 31995L0046).
2 Lagen omtryckt 1981:737.
giftslagen får personuppgifter be-
handlas utan samtycke i kreditupp-
lysningsverksamhet. Den registre-
rade kan inte heller motsätta sig
behandlingen.
Bestämmelsen i andra stycket
tillämpas inte i den utsträckning
det skulle strida mot bestämmel-
serna i tryckfrihetsförordningen
eller yttrandefrihetsgrundlagen.
Prop. 2000/01:50
Uppgifter om en persons ras,
etniska ursprung, politiska uppfatt-
ning, religiösa eller filosofiska
övertygelse eller sexualliv får inte
samlas in, lagras eller lämnas ut i
kreditupplysningsverksamhet.
Uppgifter om sjukdom, hälso-
tillstånd eller liknande får inte
utan medgivande av Datainspek-
tionen samlas in, lagras eller läm-
nas ut i kreditupplysningsverksam-
het. Detsamma gäller uppgifter om
att någon misstänks eller har
dömts för brott eller har avtjänat
straff eller undergått någon annan
påföljd för brott eller har varit
föremål för någon åtgärd enligt
socialtjänstlagen (1980:620),
lagen (1990:52) med särskilda
bestämmelser om vård av unga,
lagen (1988:870) om vård av
missbrukare i vissa fall, lagen
(1991:1128) om psykiatrisk
tvångsvård, lagen (1991:1129) om
rättspsykiatrisk vård, lagen
(1993:387) om stöd och service till
vissa funktionshindrade, 11-14 §§
polislagen (1984:387), lagen
(1976:511) om omhändertagande
av berusade personer m.m. eller
utlänningslagen (1989:529).
finns synnerliga skäl.
Vad som anges i andra stycket
6§3
Uppgifter om en persons ras,
etniska ursprung, politiska uppfatt-
ning, religiösa eller filosofiska
övertygelse, medlemskap i fack-
förening, hälsa eller sexualliv får
inte behandlas i kreditupplys-
ningsverksamhet.
Uppgifter om lagöverträdelser
som innefattar brott, domar i
brottmål, straffprocessuella
tvångsmedel eller administrativa
Jrihetsberövanden får inte utan
medgivande av Datainspektionen
behandlas i kreditupplysningsverk-
samhet.
Ett medgivande som avses i andra stycket får lämnas endast om det
Vad som anges i andra stycket
3 Senaste lydelse 1997:556.
hindrar inte att uppgifter om betal-
ningsförsummelser, kreditmiss-
bruk eller näringsförbud samlas in,
lagras eller lämnas ut i kredit-
upplysningsverksamhet.
hindrar inte att uppgifter om betal-
ningsförsummelser, kreditmiss-
bruk eller näringsförbud behand-
las i kreditupplysningsverksamhet.
Prop. 2000/01:50
Kreditupplysningar om fysiska
personer som inte är näringsidkare
får inte innehålla uppgifter om
omständigheter eller förhållanden
som är av betydelse för bedöm-
ningen av personens vederhäftig-
het i ekonomiskt hänseende, om tre
år förflutit från utgången av det år
då omständigheten inträffade eller
förhållandet upphörde. Uppgifter
som inte får lämnas ut skall efter
den angivna tiden gallras ut ur
register som används i kreditupp-
lysningsverksamhet. Gallringen
skall göras så snart det kan ske
och i vart fall innan en upplysning
lämnas om den som uppgiften
avser.
8§4
En uppgift om en fysisk person
skall gallras när det inte längre är
nödvändigt att bevara uppgiften
med hänsyn till ändamålet med
registret.
En uppgift om en fysisk person
som inte är näringsidkare skall
gallras senast när tre år har för-
flutit från utgången av det år då
den omständighet inträffade eller
det förhållande upphörde som
uppgiften avser.
Var och en har rätt att mot
skälig avgift hos den som bedriver
kreditupplysningsverksamhet få
skriftligt besked om huruvida det i
verksamheten finns uppgifter
lagrade om honom och, om det
finns sådana uppgifter, vad de har
för innehåll.
10 §
Var och en har rätt att mot skä-
lig avgift hos den som bedriver
kreditupplysningsverksamhet fa
skriftligt besked om huruvida det i
verksamheten behandlas uppgifter
om honom. Fysiska personer har
rätt att en gång per kalenderår få
ett besked gratis. Behandlas
sådana uppgifter skall besked
lämnas om
a) vilka uppgifter som behand-
las,
4 Senaste lydelse 1997:556.
b) om den registrerade är en
fysisk person: varifrån uppgifterna
har hämtats,
c) ändamålen med behandlingen
och
d) till vilka mottagare eller
kategorier av mottagare som upp-
gifterna lämnas ut.
Bestämmelserna i första stycket
tillämpas inte i den utsträckning
det skulle strida mot bestämmel-
serna i tryckfrihetsförordningen
eller yttrandefrihetsgrundlagen.
En begäran om besked enligt
första stycket om en fysisk person
skall göras skriftligen och vara
egenhändigt undertecknad.
11
När en kreditupplysning om en
fysisk person lämnas ut, skall till
den som avses med upplysningen
samtidigt och kostnadsfritt sändas
ett skriftligt meddelande om de
uppgifter, omdömen och råd som
upplysningen innehåller rörande
honom och om vem som har
begärt upplysningen.
Prop. 2000/01:50
§’
När en kreditupplysning om en
fysisk person lämnas ut, skall till
den som avses med upplysningen
samtidigt och kostnadsfritt sändas
ett skriftligt meddelande om
a) vem som bedriver kreditupp-
lysningsverksamheten,
b) ändamålen med behand-
lingen,
c) de uppgifter, omdömen och
råd som upplysningen innehåller
om honom,
d) möjligheten att få rättelse av
de uppgifter som rör honom, och
e) vem som har begärt upplys-
ningen.
Vad som sägs i första stycket gäller också när en kreditupplysning
lämnas om ett handelsbolag eller kommanditbolag.
Vad som sägs i första och andra
stycket gäller inte kreditupplys-
ningar som lämnas genom offent-
liggörande på ett sådant sätt som
avses i tryckfrihetsförordningen
eller yttrandefrihetsgrundlagen.
Vad som sägs i första och andra
styckena gäller inte kreditupplys-
ningar som lämnas genom offent-
liggörande på ett sådant sätt som
avses i tryckfrihetsförordningen
eller yttrandefrihetsgrundlagen.
5 Senaste lydelse 1997:556.
Prop. 2000/01:50
Förekommer anledning till miss-
tanke att en uppgift i kreditupp-
lysning som lämnats under den
senaste tolvmånadersperioden
eller i register som används i
kreditupplysningsverksamhet är
oriktig eller missvisande, skall den
som bedriver verksamheten utan
dröjsmål vidta skäliga åtgärder för
att utreda förhållandet.
Visar sig uppgiften vara oriktig
eller missvisande, skall den, om
den förekommer i register, rättas,
kompletteras eller uteslutas ur
registret. Har uppgiften tagits in i
en kreditupplysning som lämnats
på annat sätt än som avses i
tryckfrihetsförordningen och ytt-
randefrihetsgrundlagen, skall rät-
telse eller komplettering så snart
det kan ske tillställas var och en
som under den senaste tolv-
månadersperioden fatt del av upp-
giften. Har uppgiften under den
senaste tolvmånadersperioden
lämnats i periodisk skrift eller i en
kreditupplysningsverksamhet som
bedrivs genom återkommande
offentliggöranden enligt yttrande-
frihetsgrundlagen, skall rättelse
eller komplettering så snart det
kan ske införas i ett följande
nummer av skriften eller mot-
svarande form av offentliggörande
enligt yttrandefrihetsgrundlagen.
Vad som sägs i detta stycke gäller
dock icke, om uppgiften uppen-
barligen saknar betydelse för be-
dömningen av vederbörandes
vederhäftighet i ekonomiskt hän-
seende.
12 §6
Finns det anledning att miss-
tänka att en uppgift som behandlas
i kreditupplysningsverksamhet
eller som har lämnats i en kredit-
upplysning under den senaste tolv-
månadersperioden är oriktig eller
missvisande, eller att den annars
har behandlats i strid med denna
lag, skall den som bedriver verk-
samheten utan dröjsmål vidta skä-
liga åtgärder för att utreda för-
hållandet.
Visar det sig att uppgiften är
oriktig eller missvisande, eller att
den annars har behandlats i strid
med lagen, skall den, om den
förekommer i register, rättas, kom-
pletteras eller uteslutas ur registret.
Har en oriktig eller missvisande
uppgift tagits in i en kreditupp-
lysning som lämnats på annat sätt
än som avses i tryckfrihetsför-
ordningen eller yttrandefrihets-
grundlagen, skall rättelse eller
komplettering så snart det kan ske
tillställas var och en som under
den senaste tolvmånadersperioden
fatt del av uppgiften. Har upp-
giften under den senaste tolv-
månadersperioden lämnats i en
periodisk skrift eller i en kredit-
upplysningsverksamhet som be-
drivs genom återkommande
offentliggöranden enligt yttrande-
frihetsgrundlagen, skall rättelse
eller komplettering så snart det
kan ske införas i ett följande
nummer av skriften eller mot-
svarande form av offentliggörande
enligt yttrandefrihetsgrundlagen.
Vad som sägs i detta stycke gäller
dock inte, om uppgiften uppen-
barligen saknar betydelse för be-
dömningen av vederbörandes
vederhäftighet i ekonomiskt hän-
seende.
Senaste lydelse 1991:1563.
Ilar en fråga om rättelse eller liknande åtgärd tagits upp efter framställ- Prop. 2000/01:50
ning från den som uppgiften avser, skall denne kostnadsfritt underrättas
om huruvida sådan åtgärd vidtagits.
1. Denna lag träder i kraft den 1 april 2001.
2.1 stället för 5 § första stycket tillämpas 5 § i dess äldre lydelse i fråga
om sådan behandling av personuppgifter för vilken 9 § personuppgifts-
lagen (1998:204) enligt övergångsbestämmelserna till den lagen inte är
tillämplig.
10
Kreditupplysningslagen (1973:1173) innehåller regler för den yrkes-
mässigt bedrivna kreditupplysningsverksamheten. Lagen syftar i första
hand till att undanröja riskerna för att kreditupplysningar medför
otillbörligt intrång i de omfrågades personliga integritet eller leder till
skada genom oriktiga eller missvisande uppgifter. Samtidigt är lagen
avsedd att bidra till en effektivt fungerande kreditupplysningsverk-
samhet.
År 1991 tillkallades en särskild utredare för att se över kreditupplys-
ningslagen (dir. 1991:69 och 1993:41), Kreditupplysningsutredningen.
Utredaren presenterade sitt arbete i delbetänkandet EES-anpassning av
kreditupplysningslagen (SOU 1992:22) och i slutbetänkandet Integritet
och effektivitet på kreditupplysningsområdet (SOU 1993:110).
Europaparlamentet och rådet antog den 24 oktober 1995 direktivet
95/46/EG om skydd för enskilda personer med avseende på behandling
av personuppgifter och om det fria flödet av sådana uppgifter (data-
skyddsdirektivet). Direktivet finns i bilaga 1.
År 1995 tillkallades en kommitté med uppgift att göra en total revision
av datalagen (1972:289) och analysera på vilket sätt dataskyddsdirektivet
skulle genomföras (dir. 1995:91), Datalagskommittén. Kommittén över-
lämnade år 1997 sitt betänkande Integritet Offentlighet Informations-
teknik (SOU 1997:39). Kommitténs förslag ledde till personuppgifts-
lagen (1998:204). Personuppgiftslagen, som trädde i kraft den 24 oktober
1998, ersatte 1972 års datalag och genomförde direktivet i huvudsak
(prop. 1997/98:44, bet. 1997/98 :KU 18, rskr. 1997/98:180). I förarbetena
konstaterades att ett stort antal andra författningar, bl.a. kreditupplys-
ningslagen, måste anpassas till direktivet och till personuppgiftslagen och
att detta arbete skulle drivas vidare inom Regeringskansliet.
De flesta av Kreditupplysningsutredningens förslag har resulterat i lag-
stiftning (prop. 1996/97:65, bet. 1996/97:FiU23 och 27, rskr.
1996/97:274). Med hänsyn till Datalagskommitténs då pågående arbete
lämnades dock frågor som behandlas i dataskyddsdirektivet eller som
annars hade beröring med Datalagskommitténs arbete utanför lagstift-
ningsärendet. En fråga som inte togs upp är om kreditupplysningslagen
bör fullständigt reglera vad som skall gälla på kreditupplysningsområdet
eller om lagen bör samverka med andra lagar, särskilt numera person-
uppgiftslagen. En annan fråga som inte behandlades är frågan om
datasäkerhet. Utanför lagstiftningsärendet lämnades också frågan om
uppgifter skall fa samlas in och lagras i kreditupplysningsverksamhet
utan att den berörda personen har lämnat sitt samtycke till det.
På uppdrag av Justitiedepartementet har utarbetats promemorian Kre-
ditupplysningslagen — anpassning till dataskyddsdirektivet (Ds 1998:44).
I promemorian analyseras vilka ändringar som bör göras i kreditupp-
lysningslagen med anledning av direktivet och personuppgiftslagen,
varvid även de flesta av de återstående frågorna från Kreditupplysnings-
utredningens förslag behandlas. En sammanfattning av promemorian
finns i bilaga 2. Promemorians lagförslag finns i bilaga 3.
I olika sammanhang har framförts kritik, bl.a. från kreditupplysnings-
företag, mot att kreditupplysningslagens grundläggande krav på hur
kreditupplysningsverksamhet skall bedrivas kommit att ges en större
Prop. 2000/01:50
11
betydelse i praxis än som enligt kritikerna varit avsett när kraven
infördes. Kritiken har skjutit in sig på att uppgifter om vidtagna inkasso-
åtgärder och uppgifter ur företags kundreskontra inte fått användas i
kreditupplysningar om näringsidkare.
År 1997 uppdrog regeringen åt Datainspektionen att utreda vilka upp-
gifter om näringsidkare som bör få användas i kreditupplysningar.
Datainspektionen redovisade uppdraget i en rapport samma år. Data-
inspektionens bedömning finns i bilaga 4.
Promemorian och rapporten har remissbehandlats. En förteckning över
remissinstanserna finns i bilaga 5. Remissyttrandena finns tillgängliga i
lagstiftningsärendet (Ju 98/2403).
I propositionen behandlar regeringen de förslag som lämnats i prome-
morian, kvarstående förslag från Kreditupplysningsutredningen samt de
frågor som berörs i Datainspektionens rapport.
Flera remissinstanser har synpunkter och förslag i andra frågor som rör
kreditupplysningsverksamhet. Dessa och andra frågor som aktualiserats
under arbetet behandlas inte i propositionen.
En fråga som kommit upp är hur länge en uppgift om skuldsanering
bör kvarstå innan den gallras ur kreditupplysningsregister. I dag kvarstår
uppgiften om skuldsanering tre år efter det år då saneringen avslutades.
Den frågan kommer att behandlas i en kommande departementsprome-
moria om skuldsanering m.m. I Regeringskansliet har också tagits upp de
problem som är förenade med att kreditupplysningar om näringsidkare
får innehålla uppgifter som är förenade med viss osäkerhet, t.ex. ansök-
ningar om betalningsföreläggande.
Rcgisterförfattningsutredningen (SOU 1999:105) föreslår vissa änd-
ringar vad gäller sekretessen inom exekutionsväsendet som får betydelse
för kreditupplysningsverksamhet. Betänkandet har remissbehandlats och
bereds för närvarande inom Regeringskansliet. Detsamma gäller för
Bulvanutredningcns förslag (SOU 1998:47) som även det berör kredit-
upplysningsverksamhet.
Lagrådet
Regeringen beslutade den 12 oktober 2000 att inhämta Lagrådets ytt-
rande över de lagförslag som finns i bilaga 6.
Lagrådets yttrande finns i bilaga 7. Lagrådet har godtagit förslagen
men förordat att det i lagen införs en uttrycklig bestämmelse om den
registrerades rätt att motsätta sig behandling av uppgifter. Lagrådet har
också beträffande en lagändring föreslagit en övergångsbestämmelse.
Regeringen har följt Lagrådets förslag. Lagrådets förslag och synpunkter
i övrigt behandlas i avsnitten 4.3, 4.4 och 6 samt i författningskom-
mentaren.
I förhållande till lagrådsremissens förslag har en bestämmelse som ger
fysiska personer rätt till ett registerutdrag per år gratis lagts till.
Dessutom har några språkliga och redaktionella ändringar gjorts.
Prop. 2000/01:50
12
4.1 Kreditupplysningslagen och dataskyddsdirektivet
Regeringens bedömning: Kreditupplysningslagen bör inte innehålla
en heltäckande reglering, utan även personuppgiftslagen bör vara
tillämplig på kreditupplysningsverksamhet.
Prop. 2000/01:50
Promemorians bedömning överensstämmer med regeringens bedöm-
ning (se promemorian s. 21 f.).
Remissinstanserna instämmer i bedömningen eller lämnar den utan
någon invändning.
Skälen for regeringens bedömning: Med kreditupplysningar avses
uppgifter, omdömen eller råd som lämnas till ledning for bedömning av
någons kreditvärdighet eller vederhäftighet i övrigt i ekonomiskt hän-
seende. Kreditupplysningslagen gäller för kreditupplysningar avseende
såväl fysiska som juridiska personer. Sådan kreditupplysningsverksamhet
som omfattas av lagen får, med vissa undantag, bedrivas endast efter
tillstånd av Datainspektionen. Lagen ställer upp vissa grundläggande
krav på hur verksamheten skall bedrivas. Särskilda och strängare regler
gäller för känsliga uppgifter, t.ex. uppgifter om etniskt ursprung, brott
eller hälsa. Uppgifter om fysiska personer som inte är näringsidkare skall
gallras efter tre år. När en kreditupplysning om en fysisk person lämnas
ut, skall den omfrågade få en kreditupplysningskopia. Var och en har rätt
att få besked om vilka uppgifter som finns registerade om honom eller
henne. I kreditupplysningslagen finns även bestämmelser om bl.a.
skadestånd.
Kreditupplysningar avseende fysiska personer utgör som regel person-
uppgifter. För behandling av personuppgifter finns en generell reglering i
dataskyddsdirektivet vilket har genomförts i svensk rätt i person-
uppgiftslagen. Regleringen omfattar uppgifter om fysiska personer men
inte uppgifter om juridiska personer. Den gäller inte för all behandling
utan är begränsad till automatiserad behandling och viss strukturerad
manuell behandling. Sålunda ryms den behandling som i praktiken kan
innebära störst risker för den enskildes integritet. Till skillnad från kredit-
upplysningslagen innehåller direktivet och personuppgiftslagen inte
något allmänt krav på tillstånd innan personuppgifter får behandlas, utan
regleringen bygger i stället på anmälningsskyldighet. Sådana person-
uppgifter som innebär särskilda risker får dock behandlas först efter
förhandskontroll. Vid behandling av personuppgifter skall vissa grund-
läggande krav följas. I likhet med kreditupplysningslagen gäller strängare
regler för uppgifter som är särskilt känsliga. Utgångspunkten är vidare att
det krävs att den registerade har gett sitt samtycke för att någon skall få
behandla uppgifter om honom eller henne. Information om behandlingen
skall lämnas till den registrerade, både självmant och efter ansökan.
Även regler om skadestånd finns.
För kreditupplysningsverksamhet gäller sålunda både kreditupplys-
ningslagen och personuppgiftslagen. Kreditupplysningsutredningen tog
upp frågan om kreditupplysningslagen inte i stället borde innehålla en
heltäckande reglering (se SOU 1993:110 s. 114 f.). Utredningen hän-
visade bl.a. till att den rådande ordningen innebär olägenheter eftersom
13
kreditupplysnings företagen måste följa inte bara kreditupplysningslagen
utan också andra författningar, främst den då gällande datalagen som
alltså nu har ersatts av personuppgiftslagen. Utredningen ansåg att kredit-
upplysningslagen så fullständigt som möjligt borde reglera vad som skall
gälla på kreditupplysningsområdet.
Frågan tas också upp i promemorian. Där görs den bedömningen att
behandling av personuppgifter i kreditupplysningsverksamhet bör regle-
ras i första hand genom personuppgiftslagen.
Det skulle i och för sig kunna innebära praktiska fördelar, inte minst
för kreditupplysningsföretagen, om alla de bestämmelser som är rele-
vanta för verksamheten fanns samlade i kreditupplysningslagen. Rege-
ringen instämmer likväl i promemorians och remissinstansernas bedöm-
ning att det inte är lämpligt att låta kreditupplysningslagen innehålla en
heltäckande reglering. Personuppgiftslagen är avsedd att vara allmänt
tillämplig och innehålla generella regler. Behovet av särregler för vissa
verksamheter förutses bli tillgodosett genom andra författningar. Av
personuppgiftslagen följer sålunda att bestämmelser i en annan lag eller
en förordning skall gälla om de avviker från personuppgiftslagen (2 §). I
författningar för andra verksamheter som regleras av personuppgifts-
lagen, t.ex. beträffande polisregister och hälsodata- och vårdregister, har
inte införts någon fullständig reglering. I stället har man där bara tagit in
de bestämmelser som speciellt reglerar verksamheten eller som annars
ansetts lämpligen böra finnas i författningen. En annan ordning skulle
också göra kreditupplysningslagen otymplig. Kreditupplysningslagen bör
alltså inte innehålla en heltäckande reglering, utan även personuppgifts-
lagen bör vara tillämplig i kreditupplysningsverksamhet.
När kreditupplysningslagen anpassas till personuppgiftslagen och
direktivet bör utgångspunkten således vara att lagen skall innehålla de
bestämmelser om behandling av personuppgifter som avviker från
personuppgiftslagen. Även om kreditupplysningslagcn sålunda inte skall
innehålla en fullständig reglering, bör ändå eftersträvas att lagen reglerar
de frågor som är av särskild betydelse för kreditupplysningsverksamhet.
Det bör alltså inte vara uteslutet att vissa väsentliga bestämmelser finns i
kreditupplysningslagen trots att de egentligen inte avviker från person-
uppgiftslagens bestämmelser. Som understryks i promemorian är det en
fördel om kreditupplysningslagens bestämmelser kan behållas. Bestäm-
melserna har fungerat väl och både myndigheter och företag är väl
förtrogna med dem. Några mera genomgripande ändringar i kreditupp-
lysningslagen är inte heller påkallade. Av följande avsnitt i propositionen
framgår att ändringar dock bör göras i bestämmelserna i 5 § med all-
männa krav, i 6 § om känsliga uppgifter och i 8 § om gallring. Juste-
ringar bör också göras i bestämmelserna i 10 § om registerbesked, i 11 §
om kreditupplysningskopia och i 12 § om rättelse. I enlighet med
promemorians bedömning krävs inte några andra ändringar. Det kan här
bara nämnas att tillståndsreglema i 3 och 4 §§ är förenliga med direktivet
(jfr artikel 20 och punkterna 53 och 54 i ingressen till direktivet).
Sambandet med personuppgiftslagen bör göras tydligare genom att
rubriker införs i kreditupplysningslagen som anknyter till de rubriker
som finns i personuppgiftslagen. 1 promemorian föreslås det också att det
i inledningen till kreditupplysningslagen tas in en bestämmelse för att
poängtera att personuppgiftslagens bestämmelser som regel gäller också
Prop. 2000/01:50
14
för sådan behandling av personuppgifter som sker i kreditupplys- Prop. 2000/01:50
ningsverksamhet. Som bl.a. Hovrätten över Skåne och Blekinge påpekar
gäller emellertid detta redan genom 2 § personuppgiftslagen (jfr
Lagrådets yttrande i prop. 1997/98: 97 s. 265). En bestämmelse som
markerar förhållandet till personuppgiftslagen kan visserligen ha ett
pedagogiskt värde och har därför tagits in i rena registerförfattningar (jfr
anf. prop. s. 168). Särskilt med hänsyn till de förslag till andra ändringar i
lagen som lämnas i propositionen (t.ex. i 5 §, se följande avsnitt) synes
det emellertid inte vara tillräckligt motiverat att ha en sådan bestämmelse
i kreditupplysningslagen.
4.2 Grundläggande krav
Regeringens förslag: Bestämmelserna i 5 § kreditupplysningslagen
med allmänna krav på kreditupplysningsverksamhet ändras inte. För
sådan behandling av personuppgifter som omfattas av person-
uppgiftslagen skall dock de grundläggande kraven på behandling i den
lagen gälla. Vidare föreskrivs att uppgifter om fysiska personer får
samlas in endast för kreditupplysningsändamål. Bestämmelser om
datasäkerhet för uppgifter om juridiska personer förs in i 5 §,
Promemorians förslag om allmänna krav skiljer sig lagtekniskt från
regeringens. Promemorians förslag till ändamålsbestämmelse avser även
lagring och utlämnande (se promemorian s. 25 f.).
Kreditupplysningsutredningens förslag om datasäkerhet överens-
stämmer i sak med regeringens (se betänkandet s. 136 f.).
Remissinstanserna: Datainspektionen anmärker att de krav som gäller
enligt 9 § personuppgiftslagen vid behandling av personuppgifter gäller
till följd av den lagens allmänna tillämplighet och anser att kraven i 5 §
kreditupplysningslagen på kreditupplysningsverksamhet inte bör ändras.
Landsorganisationen (LO) framför liknande synpunkter. Övriga remiss-
instanser tillstyrker förslaget eller lämnar det utan någon invändning.
Förslaget om ändamålsbestämmelse tillstyrks. Remissinstanserna till-
styrker Kreditupplysningsutredningens förslag om datasäkerhet.
Förhållandet till 9 § personuppgiftslagen
De allmänna kraven för hur kreditupplysningsverksamhet skall bedrivas
finns i 5 § kreditupplysningslagen. I paragrafen föreskrivs att verk-
samheten skall bedrivas så att den inte leder till otillbörligt intrång i
personlig integritet genom innehållet i de uppgifter som förmedlas eller
på annat sätt eller till att oriktiga eller missvisande uppgifter lagras eller
lämnas ut. Till aktsamhetskraven i 5 § knyts en skadeståndssanktion i
21 §. Den som bedriver kreditupplysningsverksamhet skall ersätta skada
som till följd av verksamheten tillfogas någon genom otillbörligt intrång
i hans personliga integritet eller genom att en oriktig uppgift lämnas om
15
honom, såvida inte den som bedriver verksamheten kan visa att tillbörlig
omsorg och varsamhet iakttagits.
I 9 § personuppgiftslagen anges en rad grundläggande krav för hur
personuppgifter skall behandlas. Den personuppgiftsansvarige skall se
till att kraven följs. Personuppgifter får behandlas endast om det är
lagligt (första stycket a). Uppgifterna skall alltid behandlas på ett korrekt
sätt och i enlighet med god sed (första stycket b). Uppgifter tär samlas in
bara för särskilda, uttryckligt angivna och berättigade ändamål (första
stycket c). Uppgifterna får inte behandlas för något ändamål som är
oförenligt med det för vilket de samlades in (första stycket d). Upp-
gifterna måste vara adekvata och relevanta i förhållande till ändamålet
med behandlingen (första stycket e). Fler uppgifter får inte behandlas än
som är nödvändigt med hänsyn till ändamålet med behandlingen (första
stycket f). Uppgifterna skall vara riktiga och, om det är nödvändigt,
aktuella (första stycket g). Alla rimliga åtgärder skall vidtas för att rätta,
blockera eller utplåna sådana uppgifter som är felaktiga eller ofull-
ständiga med hänsyn till ändamålet med behandlingen (första stycket h).
Uppgifterna får inte bevaras under längre tid än som är nödvändigt med
hänsyn till ändamålet med behandlingen (första stycket i). Kraven i 9 §
överensstämmer med de krav som medlemsstaterna skall ställa på den
personuppgiftsansvarige enligt artikel 6 i direktivet. Den personuppgifts-
ansvarige skall enligt 48 § ersätta den registrerade för skada och kränk-
ning av den personliga integriteten som en behandling av personuppgifter
i strid med personuppgiftslagen har orsakat. Ersättningsskyldigheten kan
dock i den utsträckning det är skäligt jämkas, om den personuppgifts-
ansvarige visar att felet inte berodde på honom. Skadeståndsbestäm-
melsema i 48 § genomför artikel 23 i direktivet.
I promemorian görs bedömningen att den reglering till skydd för den
personliga integriteten som följer av 9 § personuppgiftslagen omfattar
motsvarande reglering i 5 § krcditupplysningslagen samtidigt som den är
mer precis till sitt innehåll. Därför föreslås att nuvarande reglering utgår
ur 5 § och att det där i stället tas in krav på verksamheten som motsvarar
kraven i 9 § personuppgiftslagen. Med promemorians förslag skulle det
alltså i kreditupplysningslagen föreskrivas att kreditupplysningsverk-
samhet vad gäller fysiska personer skall uppfylla de krav som framgår av
9 § personuppgiftslagen och att verksamheten i övrigt, dvs. vad gäller
juridiska personer, skall bedrivas så att den inte leder till att oriktiga eller
missvisande uppgifter lagras eller lämnas ut. Någon följdändring i
skadeståndsbestämmelsema i 21 § kreditupplysningslagen föreslås inte.
Förslaget har föranlett kritik från bl.a. Datainspektionen.
Det kan konstateras att direktivet förutsätter att den personuppgifts-
ansvarige vid behandling av personuppgifter skall följa de krav på
behandlingen som anges i artikel 6 i direktivet och som har sin mot-
svarighet i 9 § personuppgiftslagen. Detta gäller också för behandling i
kreditupplysningsverksamhet. Utrymmet lär vara begränsat att ge andra
föreskrifter, vare sig med strängare eller lindrigare krav. Det är knappast
heller motiverat att ställa några andra krav vid behandling av person-
uppgifter i kreditupplysningsverksamhet än dem som finns i 9 §. Som
anförs i promemorian bör alltså kraven i 9 § gälla för sådan behandling
av personuppgifter i kreditupplysningsverksamhet som omfattas av
personuppgiftslagen, dvs. automatiserad behandling och viss strukturerad
Prop. 2000/01:50
16
manuell behandling (se 5 § personuppgiftslagen). I 5 § kreditupplys-
ningslagen bör därför klargöras att grundläggande krav på behandling av
personuppgifter finns i 9 § personuppgiftslagen och att dessa skall
tillämpas. En sådan lösning framstår lagtekniskt som lämpligare än
promemorians förslag att kraven i 9 § personuppgiftslagen tas över i
kreditupplysningslagen och att följaktligen skadeståndsbestämmelsema i
21 § kreditupplysningslagen blir tillämpliga vid överträdelse av kraven. I
så fall kunde ifrågasättas om inte regleringen av skadeståndsskyldighet i
21 § också borde ändras och närma sig den i 48 § personuppgiftslagen.
Hovrätten över Skåne och Blekinge nämner exemplet att en skada som
inträffat genom intrång i en dator kanhända inte skulle ersättas enligt
21 § kreditupplysningslagen men väl enligt 48 § personuppgiftslagen.
Propositionens förslag innebär att skadeståndsbestämmelsema i 48 §
personuppgiftslagen skall tillämpas vid sådan behandling av person-
uppgifter i kreditupplysningsverksamhet som görs i strid med 9 § a, b
och d-h i den lagen. Om behandlingen däremot görs i strid med
bestämmelserna i kreditupplysningslagen, gäller 21 § kreditupplys-
ningslagen.
Promemorians bedömning är att regleringen i 9 § personuppgiftslagen
bör fa som resultat att man tar bort de allmänna kraven i 5 § kredit-
upplysningslagen om att kreditupplysningsverksamhet skall bedrivas så
att den inte leder till otillbörligt intrång i personlig integritet. Emellertid
är tillämpningsområdena för 5 § kreditupplysningslagen och 9 § person-
uppgiftslagen inte identiska. Kraven i 9 § är inriktade på den person-
uppgiftsansvarige och gäller för hur personuppgifter skall behandlas,
medan kraven i 5 § gäller för hur kreditupplysningsverksamhet som
sådan skall bedrivas. Likaså gäller kraven i 9 § inte för all manuell
behandling av personuppgifter, och integritetsregeln i 5 § kan fylla en
funktion för sådan manuell behandling som inte omfattas av 9 §. Allmänt
sett ter det sig också otillfredsställande att kreditupplysningslagen inte
skulle ge uttryck för att fysiska personer har ett integritetsskydd vid
kreditupplysningsverksamhet, låt vara att skyddet i praktiken far sitt
huvudsakliga innehåll genom 9 § personuppgiftslagen. Med hänsyn till
det anförda föreslås att de allmänna kraven i 5 § för bedrivande av
kreditupplysningsverksamhet skall bevaras oändrade. Det innebär att
dessa krav kommer att gälla inom kreditupplysningslagens tillämpnings-
område i den mån 9 § personuppgiftslagen inte skall tillämpas i stället.
Angående 9 § första stycket punkterna c och i personuppgiftslagen, se
dock vidare nedan i detta avsnitt och avsnitt 4.5.
I sammanhanget bör uppmärksammas att direktivet inte kräver någon
ändring i skadeståndsbestämmelsema i 21 § kreditupplysningslagen. Det
kan inte heller antas leda till några praktiska eller rättsliga problem om
21 § kreditupplysningslagen behålls med sin något annorlunda lydelse
jämfört med 48 § personuppgiftslagen. De förslag till reglering av
allmänna krav i 5 § kreditupplysningslagen som lämnas i propositionen
motiverar också att 21 § behålls oändrad. Det kan tilläggas att även
skadeståndsbestämmelsema i 1972 års datalag skilde sig från 21 §.
Prop. 2000/01:50
17
Ett krav på insamling för kreditupplysningsändamål
I 5 § kreditupplysningslagen anges inte uttryckligen att uppgifter om
fysiska personer far samlas in i kreditupplysningsverksamhet endast för
kreditupplysningsändamål. I promemorian görs den bedömningen att
direktivet kräver att detta klart framgår av lagen Q fr 9 § första stycket c
personuppgiftslagen). Regeringen instämmer i bedömningen. Det före-
slås därför att en ändamålsbestämmelse tas in i kreditupplysningslagen. I
likhet med reglerna i direktivet och personuppgiftslagen bör bestäm-
melsen vara begränsad till insamling av uppgifter. Som föreslås i prome-
morian bör bestämmelsen dock inte vara begränsad till bara sådan
insamling som omfattas av personuppgiftslagen (se 5 § i den lagen) utan
bör lämpligen omfatta all insamling av uppgifter om fysiska personer.
Med anledning av att Länsrätten i Stockholms län anmärker att
definitionen av kreditupplysningsändamål framgår endast indirekt genom
begreppet ”kreditupplysningsverksamhet” kan påpekas att det av 2 §
framgår vad som avses med kreditupplysning vilket torde vara tillräckligt
för tillämpningen av ändamålsbestämmelsen.
Den föreslagna ändamålsbestämmelsen aktualiserar frågan om för-
hållandet mellan kreditupplysningslagens bestämmelser och bestäm-
melserna i tryckfrihetsförordningen (TF) och yttrandefrihetsgrundlagen
(YGL).
Kreditupplysningslagen innehåller inte någon generell bestämmelse
som reglerar förhållandet till tryck- och yttrandefriheten. Att kreditupp-
lysningslagen inte skall tillämpas i den utsträckning det skulle strida mot
bestämmelserna i TF och YGL följer i och för sig redan av allmänna
principer. Möjligen borde i förtydligande syfte en upplysning om detta
tas in i kreditupplysningslagen. I personuppgiftslagen har en sådan regel
tagits in i 7 §.
I kreditupplysningslagen har man hittills använt en annan teknik,
nämligen att för varje bestämmelse i lagen ange hur den förhåller sig till
grundlagarna. En sådan ordning är förenad med vissa nackdelar, bl.a.
riskerar den att leda till motsatsslut. En övergång till en generell regle-
ring bör dock föregås av en ingående analys av befintliga bestämmelser.
Vissa av dem har införts i förtydligande syfte medan andra har införts
därför att den allmänna regleringen av kreditupplysningsverksamheten
lämpar sig mindre väl när sådan verksamhet bedrivs genom offent-
liggörande på ett sådant sätt som avses i TF och YGL. En sådan analys
bör inte göras i detta lagstiftningsärende. I ställer bör i kreditupp-
lysningslagen klargöras att den föreslagna ändamålsbestämmelsen inte
gäller i den mån den skulle strida mot anskaffarskyddet i TF och YGL.
Regeringen avser dock att i lämpligt sammanhang återkomma till frågan
om en generell reglering av förhållandet mellan reglerna i kredit-
upplysningslagen och reglerna i TF och YGL.
Datasäkerhet
I 30-32 §§ personuppgiftslagen finns en utförlig reglering av säkerheten
vid behandling av personuppgifter. Bestämmelserna reglerar bl.a. vilka
säkerhetsåtgärder som skall vidtas och vilken säkerhetsnivå som skali
uppnås. Regeringen delar promemorians och remissinstansernas bedöm-
Prop. 2000/01:50
18
ning att regleringen i personuppgiftslagen är tillräcklig när det gäller
säkerheten för uppgifter om fysiska personer i kreditupplysnings-
verksamhet och att någon särskild reglering för fysiska personer inte bör
tas in i kreditupplysningslagen. I detta avseende bör alltså personupp-
giftslagen gälla.
Personuppgiftslagens säkerhetsbestämmelser gäller dock bara för upp-
gifter om fysiska personer och inte för uppgifter om juridiska personer.
Kreditupplysningsutredningen övervägde frågan om datasäkerhet och
ansåg att regler om säkerhetsåtgärder behövdes också för juridiska
personer. Utredningen föreslog därför att det i kreditupplysningslagen
skulle införas en bestämmelse om att den som har rätt att bedriva
kreditupplysningsverksamhet är ansvarig för databehandlingen och skall
vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att
hindra att behandlingen sker på ett otillbörligt sätt och att uppgifterna
utsätts för otillåten insyn. Som framgår av avsnitt 3 lämnades frågan
utanför prop. 1995/96:65 med hänvisning till Datalagskommitténs då
pågående arbete. Även regeringen gör bedömningen att det behövs regler
om säkerhet för uppgifter avseende juridiska personer. En sådan
bestämmelse bör nu tas in i kreditupplysningslagen och den bör utformas
efter utredningens förslag.
Eftersom kreditupplysningslagen därmed kommer att innehålla en
säkerhetsbestämmelse för juridiska personer, bör det i lagen även tas in
en erinran om att personuppgiftslagen innehåller bestämmelser om
säkerhet vid behandling av personuppgifter.
4.3 Behandling av uppgifter utan samtycke
Regeringens förslag: I kreditupplysningsverksamhet skall uppgifter
även i fortsättningen fa behandlas utan samtycke av den registrerade.
Den registrerade kan inte heller motsätta sig viss behandling av
uppgifter eller utlämnande av vissa uppgifter.
Prop. 2000/01:50
Promemorians förslag överensstämmer med regeringens förslag (se
promemorian s. 29 f. och 40 f.).
Remissinstanserna: De flesta remissinstanser tillstyrker prome-
morians förslag eller lämnar dem utan någon invändning. Datainspek-
tionen instämmer i slutsatsen att kreditupplysningsverksamhet måste få
bedrivas utan samtycke men anser att den registrerade själv skall ges rätt
att bestämma om kreditupplysningar skall lämnas ut om honom eller
henne. Sveriges advokatsamfund ifrågasätter om en ordning som tillåter
behandling utan samtycke står i överensstämmelse med direktivet.
Skälen för regeringens förslag: Enligt personuppgiftslagen far per-
sonuppgifter normalt behandlas bara om den registrerade har lämnat sitt
samtycke till behandlingen (10 §). I lagen anges emellertid vissa
situationer då behandling far ske utan samtycke. Det gäller om
behandlingen är nödvändig bl.a. för att en arbetsuppgift av allmänt
intresse skall kunna utföras (10 § d) eller för att ett ändamål som rör ett
berättigat intresse hos den personuppgiftsansvarige eller hos tredje man
skall kunna tillgodoses (10 § f). I det sistnämnda fallet krävs dessutom att
intresset väger tyngre än den registrerades intresse av skydd mot
19
kränkning av den personliga integriteten. Bestämmelserna motsvarar
artikel 7 i direktivet.
Kreditupplysningslagen innehåller inte något krav på samtycke för att
personuppgifter skall få behandlas i kreditupplysningsverksamhet. Lagen
ger inte heller den enskilde möjlighet att motsätta sig viss behandling
eller utlämnande av vissa uppgifter.
Det finns ett allmänt intresse att kreditupplysningsverksamhet kan
bedrivas effektivt. Om möjligheten att behandla uppgifter i varje enskilt
fall var beroende av att ett samtycke hade lämnats, skulle effektiviteten
allvarligt hämmas och fördyringar uppkomma. Som regel kan det förut-
sättas att en person som t.ex. söker kredit eller förutser behovet av en
kredit går med på att uppgifter om honom eller henne behandlas.
Resultatet blir många gånger annars att krediten inte beviljas eller ges på
väsentligt sämre villkor. Det bör inte heller frånkännas betydelse att
enskilda som väljer att inte lämna sitt samtycke till behandling av
uppgifter kanske inte alltid inser nackdelarna med detta, nämligen att de
riskerar att t.ex. vägras kredit eller nekas hyra en bostad om deras
vederhäftighet i ekonomiskt avseende inte kan kontrolleras.
Ett krav på samtycke för att uppgifter om fysiska personer skall få
behandlas i kreditupplysningsverksamhet skulle alltså medföra problem,
inte bara för kreditupplysningsföretagen utan också för andra närings-
idkare och för enskilda. Mot detta måste ställas den enskildes intresse av
integritetsskydd. Därvid skall dock beaktas att de uppgifter som behand-
las i kreditupplysningsverksamhet som regel kommer från offentliga
register och att utlämnandet av uppgifterna till tredje man är reglerat i
kreditupplysningslagen. Till exempel får en kreditupplysning om en
privatperson inte lämnas ut om det finns anledning att anta att upplys-
ningen kommer att användas av någon annan än den som på grund av ett
ingånget eller ifrågasatt kreditavtal eller av någon annan liknande anled-
ning har behov av upplysningen (9 §). Därtill kommer att vissa inte-
gritetskänsliga uppgifter över huvud taget inte får behandlas i kredit-
upplysningsverksamhet eller behandlas bara efter medgivande från
Datainspektionen (6 §).
I promemorian anses att personuppgifter bör få behandlas i kredit-
upplysningsverksamhet utan att den som uppgiften avser har lämnat sitt
samtycke till behandlingen. Kreditupplysningsutredningen gjorde samma
bedömning (se bet. s. 135 f.). Inte någon av remissinstanserna ger uttryck
för motsatt uppfattning. Även regeringen anser att den ordning som
gäller i dag är ändamålsenlig och att den om möjligt bör behållas.
Frågan är då om direktivet medger att uppgifter får behandlas utan den
enskildes samtycke i kreditupplysningsverksamhet. Advokatsamfundet
ifrågasätter om så är fallet. Som framgår ovan är det emellertid i
direktivet förutsett att viss behandling av personuppgifter måste få ske
utan samtycke. I promemorian görs den bedömningen att de undantag
från samtyckeskravet som redogjorts för ovan (se 10 § d och f person-
uppgiftslagen) är tillämpliga när det gäller behandling av uppgifter i
kreditupplysningsverksamhet. Även Kreditupplysningsutredningen ansåg
att direktivet skulle medge detta. Lagrådet har menat att artikel 7 f i
direktivet (10 f § i personuppgiftslagen) inte ger erforderligt stöd för en
generell föreskrift om att personuppgifter i kreditupplysningsverksamhet
får behandlas utan den registrerades samtycke men har godtagit en sådan
Prop. 2000/01:50
20
regel med hänvisning till artikel 7 e (10 d §). Det står klart att det råder
delade meningar om hur artikel 7 f skall tolkas. Regeringen konstaterar
dock att direktivet i sig, även med Lagrådets synsätt, medger en sådan
regel. Direktivet lär då inte heller tillåta att det uppställs ett krav på
samtycke.
En annan fråga är om den enskilde bör ges rätt att i framtiden motsätta
sig behandling. Direktivet utgår från en sådan rätt, men tillåter medlems-
staterna att i nationell lagstiftning meddela avvikande bestämmelser (se
artikel 14 samt 12 § personuppgiftslagen). En rätt for den enskilde att
motsätta sig behandling är visserligen mindre hämmande från effek-
tivitetssynpunkt än ett allmänt krav på samtycke for behandling. Den
innebär ändå klara nackdelar för de berörda.
Även den mindre ingripande reglering som Datainspektionen förordar,
nämligen att den registrerade skall ges rätt att själv bestämma om
kreditupplysningar om honom eller henne skall lämnas ut eller inte, är
förenad med nackdelar. I likhet med vad som anförts beträffande sam-
tycke finns det en risk för att enskilda som väljer att motsätta sig utläm-
nande inte alltid skulle inse nackdelarna med detta. Det har inte heller
framkommit något som tyder på att det finnas behov av den förordade
regleringen. Därtill kommer, som redan påpekats, att en enskild som t.ex.
söker kredit som regel kan förutsättas gå med på att uppgifter om honom
eller henne lämnas ut.
Regeringen instämmer således även i dessa avseende i promemorians
bedömning. Det bör alltså inte införas någon rätt för den enskilde att
motsätta sig viss behandling av uppgifter eller utlämnande av vissa
uppgifter.
För att klargöra vad som gäller i förhållande till 10 § personuppgifts-
lagen bör en uttrycklig bestämmelse tas in i 5 § kreditupplysningslagen
om att upplysningar far behandlas utan den enskildes samtycke. I
enlighet med Lagrådets förslag bör dessutom uttryckligen anges att den
enskilde inte heller kan motsätta sig behandlingen.
4.4 Känsliga uppgifter m.m.
Regeringens förslag: Uppgifter om hälsa och medlemskap i fack-
förening far inte behandlas i kreditupplysningsverksamhet. De sär-
skilda reglerna i kreditupplysningslagen om behandling av uppgifter
om åtgärder enligt främst det socialrättsliga regelsystemet tas bort.
Möjligheten att behandla uppgifter om brott m.m. anpassas till person-
uppgiftslagen och dataskyddsdirektivet.
Prop. 2000/01:50
Promemorians förslag överensstämmer med regeringens förslag med
den skillnaden att förbudet mot behandling av uppgifter om åtgärder
enligt främst det socialrättsliga regelsystemet föreslås behållas och göras
absolut (se promemorian s. 32 f.).
Remissinstanserna: De flesta remissinstanser tillstyrker förslagen
eller lämnar dem utan någon invändning. Justitiekanslern ifrågasätter om
en uppgift om misstanke om brott uppfyller kraven i 9 § personuppgifts-
lagen (artikel 6 i direktivet), särskilt kravet att uppgifter skall vara riktiga
och nödvändiga. Hovrätten över Skåne och Blekinge är tveksam till om
21
behandlingen av brottmålsdomar m.m. bör regleras i kreditupplys-
ningslagen. Kammarrätten i Stockholm ifrågasätter om inte uppgifter om
att någon varit föremål för åtgärder av ekonomisk natur enligt social-
tjänstlagen bör få behandlas efter tillstånd från Datainspektionen.
Finansbolagens Förening och Svenska Inkassoföreningen anser att det
bör vara tillåtet att i kreditupplysningar använda uppgifter om hälsa och
medlemskap i fackförening, om den berörde samtycker till det. Dun &
Bradstreet Sverige Aktiebolag menar att Datainspektionen även i fram-
tiden bör kunna medge behandling av uppgifter om hälsa.
Skälen för regeringens förslag: Utgångspunkten för personuppgifts-
lagen och direktivet är att personuppgifter skall få behandlas om behand-
lingen i det enskilda fallet uppfyller grundläggande krav, som kraven att
fler uppgifter än nödvändigt inte får behandlas och att de behandlade
uppgifterna skall vara adekvata, relevanta och riktiga (jfr 9 § första
stycket e-g personuppgiftslagen). Direktivet innehåller dock bestämmel-
ser om förbud mot behandling när det gäller vissa särskilda kategorier av
uppgifter vilka typiskt sett är känsliga från integritetssynpunkt. Enligt
direktivet gäller sålunda som huvudregel att det skall vara förbjudet att
behandla personuppgifter som avslöjar ras, etniskt ursprung, politiska
åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening,
hälsa och sexualliv (artikel 8.1). Behandling av uppgifter om lagöver-
trädelser, brottmålsdomar eller säkerhetsåtgärder skall få utföras endast
under kontroll av myndighet eller efter vidtagande av lämpliga skydds-
åtgärder (artikel 8.5). Reglerna i artikel 8.1 och 8.5 har sin motsvarighet i
13 § resp. 21 § personuppgiftslagen.
Hälsa och medlemskap i fackförening m.m.
I 6 § kreditupplysningslagen finns bestämmelser om känsliga uppgifter.
Enligt bestämmelserna får uppgifter om en persons ras, etniska ursprung,
politiska uppfattning, religiösa eller filosofiska övertygelse eller sexual-
liv inte samlas in, lagras eller lämnas ut i kreditupplysningsverksamhet.
Uppgifter om sjukdom, hälsotillstånd eller liknande får samlas in, lagras
eller lämnas ut endast med Datainspektionens medgivande. Detsamma
gäller uppgifter om att någon misstänks eller har dömts för brott eller har
avtjänat straff eller undergått någon påföljd för brott eller har varit
föremål för någon åtgärd med stöd av socialtjänstlagen (1980:620), lagen
(1990:52) med särskilda bestämmelser om vård av unga, lagen
(1988:870) om vård av missbrukare i vissa fall, lagen (1991:1128) om
psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, lagen
(1993:387) om stöd och service till vissa funktionshindrade, 11-14 §§
polislagen (1983:387), lagen (1976:511) om omhändertagande av
berusade personer m.m. eller utlänningslagen (1989:529). Datainspek-
tionen får lämna medgivande endast om det finns synnerliga skäl.
Begränsningar för behandlingen av känsliga uppgifter utgör bestäm-
melser av sådan vikt för kreditupplysningsverksamhet att de även i fort-
sättningen bör finnas i kreditupplysningslagen. Det gäller även uppgifter
om brottmålsdomar m.m.
Bestämmelserna i 6 § kreditupplysningslagen om känsliga uppgifter är
inte helt i samklang med direktivets krav. Till skillnad från direktivet
finns inte något allmänt förbud mot behandling av uppgifter om hälsa. I
Prop. 2000/01:50
22
stället gäller att sådana uppgifter far behandlas om Datainspektionen har
lämnat sitt medgivande. Inte heller innehåller 6 § någon begränsning för
uppgifter om medlemskap i fackförening. I direktivet finns inte något
förbud för behandling av uppgifter om sociala och liknande åtgärder.
Bestämmelsen om brottsmålsdomar m.m. i 6 § kreditupplysningslagen
skiljer sig också från motsvarande reglering i personuppgiftslagen och
direktivet.
Som Finansbolagens Förening och Svenska Inkassoföreningen påpekar
gäller i och för sig direktivets förbud mot behandling av känsliga
personuppgifter inte i de fall där den registrerade har samtyckt till
behandlingen, utom om förbudet inte kan upphävas genom samtycke
enligt medlemsstatens lagstiftning (artikel 8.2 a). Enligt kreditupplys-
ningslagen kan förbudet mot behandling av känsliga uppgifter dock inte
brytas igenom av den enskildes samtycke. Att den enskilde samtycker till
att t.ex. en uppgift om sjukdom används i kreditupplysningsverksamhet
är alltså inte avgörande för om Datainspektionen skall medge att
uppgiften får användas. Enligt regeringens mening saknas det anledning
att nu ändra på den principen. Det kan tilläggas att uppgifter om hälsa
sällan har någon självständig betydelse i kreditupplysningssammanhang.
En kreditgivare kan i regel få tillräckliga uppgifter om kreditvärdighet
utan att en sådan uppgift lämnas ut. Av promemorian framgår också att
det inte har gjorts någon dispensansökan till Datainspektionen i detta
hänseende under den tid lagen varit i kraft.
En uppgift om medlemskap i fackförening har hittills, enligt svenskt
synsätt, inte ansetts vara så känslig från integritets synpunkt att det skulle
motivera särskilda begränsningar i möjligheten att använda uppgiften i
kreditupplysningsverksamhet. Det får dock konstateras att direktivet bärs
upp av en annan inställning, nämligen att en sådan uppgift kan vara lika
ömtålig från integritetssynpunkt som övriga känsliga uppgifter i artikel
8.1. Inte heller för sådana uppgifter bör samtycke från den enskilde få
avgöra om uppgiften skall få behandlas.
Finansbolagens Förening och Svenska Inkassoföreningen erinrar också
om att direktivet ger möjlighet för medlemsstaterna att göra undantag
från förbudet om det behövs med hänsyn till ett viktigt allmänt intresse
(artikel 8.4). Denna möjlighet lär dock inte kunna utnyttjas för att göra
undantag i förbudet mot behandling av känsliga uppgifter i kredit-
upplysningsverksamhet.
Mot bakgrund av det anförda föreslår regeringen att 6 § ändras så att
uppgifter om hälsa och om medlemskap i fackförening inte i något fall
skall få behandlas i kreditupplysningsverksamhet.
Brottmålsdomar m.m.
Bestämmelsen i 6 § om brottmålsdomar m.m. bör anpassas till motsva-
rande bestämmelse i personuppgiftslagen (21 §) och alltså omfatta
uppgifter om lagöverträdelser som innefattar brott, domar i brottmål,
straffprocessuella tvångsmedel och administrativa frihetsberövanden. Av
naturliga skäl råder ofta osäkerhet om en uppgift om misstanke om brott.
Med anledning av Justitiekanslems synpunkt att det kan ifrågasättas om
en sådan uppgift verkligen kan bedömas som riktig och nödvändig bör
framhållas att det inte kan uteslutas att sådana uppgifter kan vara av
Prop. 2000/01:50
23
intresse i kreditupplysningssammanhang. Det ankommer på Datainspek-
tionen att i enskilda fall ta ställning till när sådana uppgifter får
behandlas, varvid inspektionen har att pröva om bl.a. kraven på riktighet
och nödvändighet är uppfyllda. Liksom i dag bör Datainspektionens
dispensmöjlighet utnyttjas synnerligen restriktivt.
Förbudet mot behandling av uppgifter om lagöverträdelser som inne-
fattar brott bör inte heller i fortsättningen hindra att uppgifter om
betalningsförsummclser, kreditmissbruk eller näringsförbud behandlas i
kreditupplysningsverksamhet.
Regeringen återkommer i annat sammanhang till Bulvanutredningens
förslag om möjligheter att i kreditupplysningssammanhang meddela upp-
gifter om domar eller godkända strafförelägganden avseende ekonomisk
brottslighet (se SOU 1998:47).
Åtgärder enligt socialtjänstlagen m.m.
I promemorian föreslås det ett absolut förbud mot behandling av upp-
gifter om att någon har varit föremål för åtgärder enligt socialtjänstlagen
och vissa andra lagar. Bakgrunden till förslaget är närmast att sådana
uppgifter inte torde ha någon självständig betydelse vid en kredit-
bedömning och därmed inte uppfylla de grundläggande kraven på be-
handling av personuppgifter i 9 § personuppgiftslagen (artikel 6 i
dataskyddsdirektivet). Direktivet är emellertid ett harmoniseringsdirektiv
och medger inte att medlemsstaterna föreskriver förbud mot behandling
av andra kategorier av personuppgifter än dem i artikel 8. Det är alltså
inte möjligt att införa ett absolut förbud mot behandling av uppgifter om
att någon har varit föremål för en åtgärd med stöd av socialtjänstlagen,
lagen med särskilda bestämmelser om vård av unga m.fl. lagar. Det går
inte heller att ha kvar det allmänna förbudet i 6 § vad gäller sådana
uppgifter. Regeringen föreslår därför att förbudet upphävs.
Lagrådet har framhållit att ett upphävande av förbudet innebär en
försvagning av den enskildes integritetsskydd. Lagrådet har uttalat att
beslut enligt socialtjänstlagen och lagen om stöd och service till vissa
funktionshindrade kan komma att innehålla viktig information från
kreditvärderingssynpunkt och att det inte kommer att finnas någon direkt
tillbakahållandc faktor i hanteringen av uppgifterna om behandlingen
släpps fri.
Dc aktuella uppgifterna är dock i stor utsträckning sekretessbelagda
hos socialnämnderna. Sålunda lämnar socialnämnden normalt inte ut
uppgifter om t.ex. socialbidrag. Som Lagrådet har påpekat torde det
visserligen i allmänhet inte möta något hinder för ett kreditupplysnings-
företag att få tillgång till förvaltningsdomstolarnas avgöranden i de fall
socialnämndens beslut överklagas. Enligt regeringens bedömning lär dc
aktuella uppgifterna emellertid sällan ha någon självständig betydelse i
kreditupplysningssammanhang. En kreditgivare kan som regel fa till-
räckliga uppgifter om den omfrågades kreditvärdighet utan att uppgifter
om åtgärder enligt t.ex. socialtjänstlagen behöver anges. Det kan mot den
bakgrunden ifrågasättas om kraven på t.ex. nödvändighet, adekvans och
relevans alls är uppfyllda. Är dessa grundläggande krav inte uppfyllda får
uppgifterna inte behandlas. I vissa fall kan dessutom andra bestämmelser
göra att en sådan uppgift inte får behandlas eller att den får behandlas
Prop. 2000/01:50
24
först efter medgivande. Att någon har varit föremål för en åtgärd enligt
de angivna lagarna kan ibland utgöra en uppgift om administrativt
frihetsberövande, t.ex. en uppgift om omhändertagande enligt lagen med
särskilda bestämmelser om vård av unga eller en uppgift om förvar enligt
utlänningslagen. I så fall far uppgiften inte behandlas utan Datainspek-
tionens medgivande, se under föregående rubrik. En åtgärd enligt den
sociala lagstiftningen kan ibland anses utgöra en uppgift om hälsa, t.ex.
om insatser enligt lagen om stöd och service till vissa funktionshindrade
eller om missbruksvård enligt socialtjänstlagen. En sådan uppgift får
över huvud taget inte behandlas. Regeringen kommer att på lämpligt sätt
följa utvecklingen.
Personnummer
I artikel 8.7 i direktivet ges medlemsstaterna möjlighet att bestämma på
vilka villkor ett nationellt identifikationsnummer far behandlas. I 22 §
personuppgiftslagen föreskrivs att uppgifter om personnummer får
behandlas utan samtycke bara när det är klart motiverat med hänsyn till
a) ändamålet med behandlingen, b) vikten av en säker identifiering eller
c) något annat viktigt skäl. Bestämmelsen har hämtats från 7 § andra
stycket i 1972 års datalag.
Kreditupplysningsutredningen föreslog att det direkt av kreditupplys-
ningslagen skulle framgå att registrering av personnummer får ske (se
bet. s. 137). Som skäl för att personnummer skulle fa användas angav
utredningen att register även i framtiden kommer att bli mycket om-
fattande och att det är viktigt att de personer som förekommer i registren
kan bli säkert identifierade. Härtill kom, enligt utredningen, att företagen
fortlöpande hämtar in uppgifter från olika myndigheter och att det då är
nödvändigt att informationen hänförs till rätt person. Även när kredit-
upplysningar lämnas ut måste det stå helt klart vilken person som avses.
Utredningen ansåg därför att kraven för att få använda personnummer
regelmässigt får anses vara uppfyllda i samband med kreditupplys-
ningsverksamhet. I promemorian görs samma bedömning, och denna
delas överlag av remissinstanserna.
Även regeringens uppfattning är att uppgifter om personnummer bör få
behandlas i kreditupplysningsverksamhet. Som anförs i promemorian är
det inte motiverat att, vid sidan av regleringen i 22 § personuppgifts-
lagen, ta in en bestämmelse om personnummer i kreditupplysningslagen.
De förutsättningar för behandling av uppgifter om personnummer som
anges i 22 § lär regelmässigt föreligga när uppgifterna behandlas i
kreditupplysningsverksamhet.
4.5 Gallring
Regeringens förslag: En allmän gallringsbestämmelse införs som
innebär att uppgifter om fysiska personer skall gallras när det inte
längre är nödvändigt att bevara uppgifterna med hänsyn till ändamålet
med registret. Den nuvarande regeln om att kreditupplysningar om
privatpersoner inte far innehålla uppgifter som är äldre än tre år
behålls men ges en något annorlunda utformning.
Prop. 2000/01:50
25
Promemorians förslag om en allmän gallringsbestämmelse överens-
stämmer med regeringens förslag (se promemorian s. 28 f.).
Remissinstanserna: De flesta remissinstanser tillstyrker prome-
morians förslag eller lämnar det utan någon invändning. Hovrätten över
Skåne och Blekinge föreslår en annan lydelse på treårsregeln. Data-
inspektionen avstyrker förslaget om en allmän gallringsbestämmelse,
varvid inspektionen påpekar att förslaget innebär en dubbelreglering på
grund av promemorians förslag om grundläggande krav (se avsnitt 4.2).
Finansbolagens Förening och Svenska Inkassoföreningen ifrågasätter
behovet av gallringsregler i kreditupplysningslagen.
1 en särskild framställning begär Upplysningscentralen UC AB och
Dun & Bradstreet Sverige AB att den nuvarande lydelsen av treårsregeln
skall behållas och att regeringen tydliggör att de register som förs av
kreditupplysningsföretag uteslutande för konstruktion av modeller för
kreditriskbedömning inte omfattas av kreditupplysningslagens bestäm-
melser.
Skälen för regeringens förslag och bedömning: Direktivet och
personuppgiftslagen innehåller en allmän gallringsregel. Personuppgifter
far inte lagras under längre tid än som är nödvändigt för de ändamål för
vilka uppgifterna samlades in eller senare behandlades (artikel 6.1 e).
Därefter skall uppgifterna gallras. Motsvarande regel finns i 9 § första
stycket i personuppgiftslagen.
Bestämmelserna om gallring i kreditupplysningsverksamhet finns i dag
i 8 § kreditupplysningslagcn. Där anges att kreditupplysningar om
fysiska personer som inte är näringsidkare inte får innehålla uppgifter om
omständigheter eller förhållanden som är av betydelse för bedömningen
av personens vederhäftighet i ekonomiskt hänseende, om tre år förflutit
från utgången av det år då omständigheten inträffade eller förhållandet
upphörde (treårsregeln). Uppgifter som inte får lämnas ut skall gallras ur
register som används i kreditupplysningsverksamhet. Gallringen skall
göras så snart det kan ske och i vart fall innan en upplysning lämnas om
den som uppgiften avser. Treårsregeln omfattar inte uppgifter om fysiska
personer som är näringsidkare.
I enlighet med promemorians bedömning bör gallring av uppgifter i
kreditupplysningsverksamhet även i fortsättningen regleras av kreditupp-
lysningslagen.
Treårsregeln är tydlig och har fungerat väl. Efter tre år får det anses att
uppgifterna inte uppfyller kraven på relevans, adekvans, nödvändighet
och aktualitet när det gäller fysiska personer som inte är näringsidkare
(se 9 § personuppgiftslagen och artikel 6 i dataskyddsdirektivet). Treårs-
regeln i 8 § får sålunda anses förenlig med direktivet och kan, som
föreslås i promemorian, behållas. Treårsregeln i 8 § avviker dock från
gallringsrcgeln i direktivet och personuppgiftslagen eftersom den bara
gäller för privatpersoner och inte omfattar de fysiska personer som är
näringsidkare. Enligt sin lydelse sträcker sig direktivets och person-
uppgiftslagens gallringsregel dessutom längre än treårsregeln genom att
föreskriva att uppgifter alltid skall gallras så snart det inte längre är
nödvändigt att lagra dem, vilket kan vara inom en kortare tid än tre år.
Som föreslås i promemorian bör treårsregeln därför kompletteras med en
allmän bestämmelse om gallring som i sak motsvarar gallringsregeln i
personuppgiftslagen och direktivet. Därmed kommer gallringsreglema
Prop. 2000/01:50
26
för kreditupplysningsverksamhet att finnas samlade i kreditupplysnings-
lagen. Till skillnad från gallringsregeln i personuppgiftslagen och
direktivet bör den allmänna gallringsbestämmelsen i kreditupplysnings-
lagen inte vara begränsad till sådana uppgifter som behandlas automa-
tiserat eller ingår i ett manuellt register som är sökbart utifrån särskilda
kriterier. Som föreslås i promemorian bör bestämmelsen i stället omfatta
alla uppgifter.
Införandet av en allmän gallringsbestämmelse aktualiserar frågan hur
treårsregeln bör utformas. Hovrätten över Skåne och Blekinge anmärker
att det är oklart hur den nuvarande utformningen förhåller sig till direk-
tivet. Om kreditupplysningar avseende fysiska personer inte får innehålla
uppgifter om ekonomiska förhållanden som är äldre än tre år, får enligt
hovrätten antas att sådana gamla uppgifter inte har betydelse för be-
dömandet av någons ekonomiska kreditvärdighet. Uppgifterna är alltså
inte nödvändiga och de borde därmed inte få lagras. Enligt den nu-
varande treårsregeln är det emellertid tillräckligt att gallring sker innan
en upplysning lämnas ut, varför gamla uppgifter kan komma att lagras en
betydligt längre tid än tre år. Hovrätten föreslår att när det gäller fysiska
personer som inte är näringsidkare, skall en uppgift gallras senast när tre
år har förflutit från utgången av året då den omständighet inträffade eller
det förhållande upphörde som avses med uppgiften. Treårsregeln bör
lämpligen utformas i enlighet med hovrättens förslag.
Med anledning av framställningen från Upplysningscentralen UC AB
och Dun & Bradstreet Sverige AB skall tilläggas att treårsregeln inte
heller i dag medger att uppgifter bevaras under någon längre tid. Efter det
att tidsfristen har gått ut skall gallring ske så snart som möjligt. Kredit-
upplysningslagen ålägger den som bedriver verksamheten endast att vid-
ta skäliga åtgärder för att utreda förhållandet och att rätta uppgifter som
förekommer i register (12 §). Den föreslagna skärpningen av gallrings-
regeln medför ingen ändring av utrednings- och rättelseskyldigheten.
Den nya treårsregeln utesluter givetvis inte att det enligt andra regler kan
vara möjligt att bevara uppgifterna, t.ex. för statistiska ändamål.
En fråga som kommit upp är hur länge en uppgift om skuldsanering
bör kvarstå innan den gallras ur kreditupplysningsregister. Med de
förslag som läggs fram i denna proposition kommer den att kvarstå som
längst tre år efter det år då skuldsaneringen avslutades. Frågan kommer
att behandlas i en kommande departementspromemoria om skuld-
sanering.
4.6 Information till den registrerade
Regeringens förslag: Bestämmelserna om registerbesked och kredit-
upplysningskopia behålls i kreditupplysningslagen men anpassas till
direktivet och personuppgiftslagen. Det innebär att informations-
skyldigheten utökas. Fysiska personer har rätt att en gång per år fa ett
registerbesked gratis. En begäran om registerbesked som avser en
fysisk person skall göras skriftligen och vara egenhändigt under-
tecknad.
Prop. 2000/01:50
27
Promemorians förslag: Informationsskyldigheten när det gäller Prop. 2000/01:50
fysiska personer skall inte regleras i kreditupplysningslagen utan följa
personuppgiftslagen. Härigenom kan Datainspektionen föreskriva att det
nuvarande systemet med kreditupplysningskopia skall fortsätta att gälla
(se promemorian s. 38 f.).
Kreditupplysningsutredningens förslag om krav på skriftlighet för
begäran om registerbesked överensstämmer med regeringens (se
betänkandet s. 189).
Remissinstanserna: Remissutfallet är blandat. Många remissinstanser
instämmer i promemorians förslag eller lämnar det utan någon invänd-
ning. Flera remissinstanser är emellertid kritiska. Kammarrätten i
Stockholm framhåller att regeln om kreditupplysningskopia innebär en
avvikelse från personuppgiftslagen och att den därför bör finnas kvar i
kreditupplysningslagen. Datainspektionen anser att de nuvarande infor-
mationsbestämmelsema i kreditupplysningslagen bör vara kvar och
motsätter sig promemorians förslag. Även Riksskatteverket (RSV) anser
att rätten till registerbesked och kreditupplysningskopia bör regleras i
kreditupplysningslagen. Finansbolagens Förening och Svenska Inkasso-
föreningen påpekar att en kreditupplysningskopia enligt kreditupplys-
ningslagen och en information om insamlad information enligt person-
uppgiftslagen inte är fullt jämförbara. Föreningarna ifrågasätter riktig-
heten av promemorians slutsats att en fysisk person med stöd av person-
uppgiftslagen kommer att ha rätt till kreditupplysningskopia. Remiss-
instanserna tillstyrker utredningens förslag om krav på skriftlighet eller
lämnar det utan någon invändning.
Skälen för regeringens förslag: Enligt direktivet skall den registre-
rade fa information om behandling av uppgifter (artiklarna 10 och 11).
Informationen skall omfatta åtminstone a) uppgift om den register-
ansvariges och dennes eventuella företrädares identitet, b) uppgift om
ändamålen med behandlingen och c) all ytterligare information som är
nödvändig lör att tillförsäkra den registrerade en korrekt behandling,
såsom information om mottagarna av uppgifterna. Direktivet innehåller
även regler om skyldighet att efter ansökan lämna viss information
(artikel 12). Den registrerade skall ha rätt att från den registeransvarige
utan hinder och med rimliga intervall samt utan större tidsutdräkt eller
kostnader få bekräftelse på om uppgifter som rör honom eller henne
behandlas eller inte. Det gäller också information om ändamålen med
behandlingen, de berörda uppgifiskategorierna, mottagarna eller till vilka
kategorier av mottagare som uppgifter lämnas ut, vilka uppgifter som
behandlas och varifrån uppgifterna kommer. I 23-26 §§ personuppgifts-
lagen finns motsvarande reglering. Datainspektionen får i fråga om auto-
matiserad behandling av personuppgifter meddela närmare föreskrifter
om vilken information som skall lämnas till den registrerade och hur
informationen skall lämnas (13 § personuppgifisförordningen
[1998:1191]).
För kreditupplysningsverksamhet regleras den registrerades rätt till
information efter begäran i 10 § kreditupplysningslagen. Bestämmelserna
där innebär att den registrerade har rätt att mot skälig avgift få skriftligt
besked om huruvida det finns uppgifter lagrade och vad de i så fall har
for innehåll (registerbesked). Enligt 11 § skall upplysningar lämnas om
28
de uppgifter, omdömen och råd som kreditupplysningen innehållit och Prop. 2000/01:50
om vem som har begärt upplysningen (kreditupplysningskopia).
Att den enskilde far information om vilka upplysningar som lämnas ut
och till vem de lämnas är värdefullt av flera skäl, bl.a. for att det ger den
enskilde möjlighet att kontrollera att de uppgifter som lämnas är
korrekta, adekvata och relevanta. Informationsreglema utgör en av
grundvalarna for kreditupplysningslagen. Som bl.a. Kammarrätten i
Stockholm och Datainspektionen framhåller bör informationsskyldig-
heten även i fortsättningen regleras av kreditupplysningslagen och inte av
personuppgiftslagen.
Bestämmelserna i 10 och 11 §§ kreditupplysningslagen bör dock
ändras så att de säkert uppfyller direktivets krav på informations-
skyldighet. Ändringarna bör göras efter mönster av motsvarande
bestämmelser i personuppgiftslagen. Sålunda bör i 10 § anges att ett
registerbesked skall innehålla information om vilka uppgifter som
behandlas, varifrån uppgifter om en fysisk person har hämtats, for vilket
ändamål behandlingen görs och till vilka mottagare uppgifter lämnas. I
11 § bör anges att en kreditupplysningskopia skall innehålla information
om vem som bedriver kreditupplysningsverksamheten, för vilket
ändamål behandlingen görs, vilken möjlighet som finns att fa felaktiga
uppgifter rättade, vilka uppgifter, omdömen och råd som upplysningen
innehåller och vem som begärt upplysningen. Liksom i dag bör juridiska
personer ha samma rätt till registerbesked och handelsbolag och
kommanditbolag dessutom ha samma rätt till kreditupplysningskopia
som fysiska personer har (jfr prop. 1996/98:65 och bet. 1996/97:FiU23).
Skyldigheten att i registerbesked ange varifrån uppgifter har hämtats bör
dock inte heller i fortsättningen gälla för uppgifter om juridiska personer.
För att enskildas rätt till registerbesked inte skall försämras bör det i
kreditupplysningslagen föreskrivas att fysiska personer har rätt att en
gång per år få ett registerbesked gratis. Därutöver bör var och en, liksom
i dag, ha rätt att få registerbesked mot skälig avgift.
Det finns anledning att göra en ändring i 10 § kreditupplysningslagen
som inte har samband med direktivet. Av Kreditupplysningsutredningens
betänkande framgår att det har förekommit att registerbesked begärts av
någon annan än den som avses med uppgifterna. Ett krav på skriftlighet
och underskrift - vilket direktivet medger - kan verka återhållande på
benägenheten att obehörigen begära utdrag om andra personer och kan
därmed stärka integritetsskyddet. Som utredningen föreslår bör en
begäran om information som avser en fysisk person därför framställas
skriftligen och vara egenhändigt undertecknad. I enlighet med utred-
ningens bedömning är det inte motiverat att ställa samma krav när det
gäller registerbesked om juridiska personer.
4.7 Rättelse
Regeringens förslag: Bestämmelserna om rättelse av uppgifter skall
omfatta inte endast felaktiga och missvisande uppgifter utan även
uppgifter som annars har behandlats i strid med lagen.
29
Promemorians bedömning: De nuvarande bestämmelserna uppfyller
direktivets krav (se promemorian s. 44).
Remissinstanserna: Hovrätten över Skåne och Blekinge föreslår att
bestämmelserna om rättelse formuleras i enlighet med motsvarande
bestämmelser i personuppgiftslagen. I övrigt instämmer remissinstan-
serna i promemorians bedömning eller lämnar den utan någon
invändning.
Skälen för regeringens förslag: Enligt direktivet skall en registrerad
ha rätt att få sådana uppgifter som inte behandlats på riktigt sätt rättade,
utplånade eller blockerade, särskilt om dessa är felaktiga eller ofull-
ständiga (artikel 12 b). Om uppgifterna har lämnats ut till någon, skall
den registeransvarige underrätta denne om åtgärden, under förutsättning
att en underrättelse inte är omöjlig eller innebär oproportionerligt stor
ansträngning (artikel 12 c). Bestämmelserna har genomförts i 28 §
personuppgiftslagen.
Frågan om rättelse av uppgifter i kreditupplysningsverksamhet regleras
i 12 § krcditupplysningslagen. Bestämmelserna innebär dels en under-
söknings- och korrigeringsskyldighet, dels en underrättelseskyldighet för
den som driver kreditupplysningsverksamhet.
Bestämmelser om rättelse är så viktiga för kreditupplysningsverk-
samhet att de även i fortsättningen bör finnas i kreditupplysningslagen.
Bestämmelserna i 12 § kreditupplysningslagen uppfyller i stort sett
direktivets krav men bör i ett avseende anpassas till direktivet och
personuppgi (Islägen. Som Hovrätten över Skåne och Blekinge påpekar
täcker 12 § rättelse av felaktiga uppgifter men inte själva behandlingen
av uppgifterna. Bestämmelserna i 12 § reglerar sålunda inte frågan hur en
registrerad skall få en uppgift utplånad som i och för sig är korrekt men
som ändå inte får behandlas enligt kreditupplysningslagen, t.ex. en
uppgift om hälsa, medlemskap i fackförening eller någon annan uppgift
som över huvud taget inte får behandlas (jfr avsnitt 4.4). Bestämmelserna
bör därför ändras så att de omfattar inte bara oriktiga och missvisande
uppgifter utan i likhet med 28 § personuppgiftslagen även gäller
uppgifter som annars har behandlats i strid med lagen, t.ex. en känslig
uppgift som har lagrats trots att det inte är tillåtet.
Regeringens bedömning: Det finns inte skäl att ändra kreditupplys-
ningslagen för att möjliggöra en ökad användning av uppgifter om
näringsidkare.
Datainspektionens bedömning överensstämmer med regeringens.
Remissinstanserna: De flesta remissinstanser instämmer i Data-
inspektionens bedömning eller lämnar den utan någon invändning.
Svensk Handel, Upplysningscentralen UC Aktiebolag, Finansbolagens
Förening och Svenska Inkassoföreningen anser att s.k. flödesuppgifter
alltid skall 11 ingå i kreditupplysningar.
Skälen för regeringens bedömning: Enligt de allmänna kraven på
kreditupplysningsverksamhet i 5 § kreditupplysningslagen skall verk-
Prop. 2000/01:50
30
samheten bedrivas så att den inte leder till otillbörligt intrång i personlig
integritet genom innehållet i de upplysningar som förmedlas eller på
annat sätt eller till att oriktiga uppgifter lagras eller lämnas ut. I
propositionen föreslås vidare att personuppgiftslagens grundläggande
krav på behandling av personuppgifter skall gälla i kreditupplysnings-
verksamhet (se avsnitt 4.2). Bestämmelserna är tillämpliga även på
uppgifter om fysiska personer som är näringsidkare.
I olika sammanhang har kritik framförts mot att Datainspektionen vid
tillämpning av 5 § kreditupplysningslagen i flera fall inte tillåtit använd-
ning av uppgifter om vidtagna inkassoåtgärder eller uppgifter ur företags
kundreskontra (s.k. flödesinformation) i kreditupplysningar om närings-
idkare. Kritiken kom fram även i samband med behandlingen av den
senaste propositionen med förslag till ändringar i kreditupplysningslagen
(prop. 1996/97:65). Vid sin behandling av propositionen anförde finans-
utskottet i sitt av riksdagen godkända betänkande att regeringens fortsatta
överväganden av frågan inte borde föregripas (se bet. 1996/97:FiU23).
Med anledning av kritiken gav regeringen i uppdrag åt Datainspektionen
att utreda vilka uppgifter om näringsidkare som bör få användas i
kreditupplysningar. Datainspektionen skulle bedöma förutsättningarna
för en ökad tillgång till uppgifter om näringsidkare i kreditupplysningar
och väga behovet mot främst riskerna för att missvisande eller oriktiga
uppgifter används i kreditupplysningssammanhang. De uppgifter som
avsågs var huvudsakligen uppgifter om inkassoåtgärder vidtagna av
företag och information ur företags kundreskontror.
I sin rapport till regeringen anser Datainspektionen att det inte finns
skäl till några lagändringar. Datainspektionen uttalar att information om
inkassoåtgärder vidtagna av företag liksom information om leverantörs-
skulder och betalningsbeteende ur företags kundreskontra visserligen kan
utgöra tidiga indikationer på bristande betalningsförmåga eller betal-
ningsovilja. Dessa indikationer kan enligt Datainspektionen därför vara
av viss betydelse för en kreditgivare som skall bilda sig en uppfattning
om en näringsidkares framtida betalningsbeteende. Datainspektionen
framhåller att detta emellertid förutsätter att uppgifterna är av god
kvalitet och att näringsidkaren informeras om att sådana uppgifter
översänds till kreditupplysningsföretagen för att ge näringsidkaren
tillfälle att rätta eventuellt felaktiga eller missvisande uppgifter.
Datainspektionen påpekar vidare att den i två beslut har öppnat för
möjligheterna att under vissa förutsättningar registrera sådan information
som tidigare inte tillåtits. Det ena beslutet avser en statistisk samman-
ställning av den sammanvägda informationen från olika fakturor beträf-
fande en juridisk person. Det andra beslutet avser registrering och
utlämnande av uppgifter om gäldenärers sammanlagda skuldsaldon hos
kronofogdemyndigheterna. Som skäl för att Datainspektionen inte har
ansett sig kunna gå längre anförs att det finns en ovilja hos företag att
lämna ut fullständiga uppgifter ur kundreskontra eftersom företagshem-
ligheter skulle kunna avslöjas och att tystnadsplikt föreligger i inkasso-
verksamhet enligt 11 § inkassolagen (1974:182) beträffande enskildas
personliga förhållanden och yrkes- eller affärshemligheter. Likaså
framhålls att materialet inte skulle bli representativt eftersom det torde
vara omöjligt att inhämta information från samtliga företag och
inkassobolag. Datainspektionen anmärker också att den vid sin ärende-
Prop. 2000/01:50
31
hantering har konstaterat att informationen redan idag är missvisande
samt understryker att felaktig gäldenärsidentifikation är ett mycket
vanligt problem i inkassoverksamhet. Slutsatsen dras att detta problem
kan vara ännu större i företagens kundreskontra.
De flesta remissinstanserna, däribland kreditupplysningsföretaget Dun
& Bradstreet Sverige Aktiebolag, delar Datainspektionens bedömning att
lagen inte bör ändras för att ge möjlighet till ökad tillgång till uppgifter
om näringsidkare.
Regeringen konstaterar att det är viktigt att kreditupplysningar baseras
på ett så fylligt underlag som möjligt. Det måste självfallet eftersträvas
att den information som lämnas är korrekt och rättvisande, men det får
inom företagssektorn accepteras att kreditupplysningarna innehåller
uppgifter som är behäftade med en viss osäkerhet. I kreditupplys-
ningslagen har således inte ställts upp några särskilda begränsningar i
möjligheten att använda uppgifter om betalningsförsummelser och
kreditmissbruk beträffande näringsidkare. Exempelvis kan uppgifter om
ansökningar om betalningsförelägganden användas. När det gäller just
flödesinformation är det dock viktigt att hålla i minnet att informationen
som regel grundar sig på ensidiga påståenden. Av Datainspektionens
rapport framgår att sådan information ofta är oriktig eller missvisande,
bl.a. på grund av felaktig gäldenärsidentifikation och administrativa
misstag. Sveriges Inkassoorganisation betonar också risken för att för-
hållandevis stora mängder felaktig information kommer att lämnas ut om
förutsättningarna ökas för tillgång till uppgifter om näringsidkare i
kreditupplysningar. Enligt organisationen blir de flesta felaktigheter i
reskontror rättade först på inkassostadict, och det påpekas att företag i
regel saknar tillförlitliga rutiner för att identifiera kunderna korrekt. Även
Riksskatteverket är kritiskt mot kvaliteten på flödesinformationen och
anför att en stor del av anspråken i den summariska processen är tvistiga
och att osäkerheten på inkasso- och reskontrastadiet är ännu större.
Visserligen finns det, som Finansbolagens Förening påpekar,.möjligheter
att rätta felaktiga uppgifter i efterhand, men detta kräver ofta omfattande
utredningar och tillgång till bakomliggande material, t.ex. reskontror och
köpeavtal.
Kraven i 5 § kreditupplysningslagen och 9 § personuppgiftslagen ger
goda garantier för att uppgifter i kreditupplysningar håller en acceptabel
kvalitet och grundas på ett tillräckligt stort och representativt urval.
Samtidigt går det, vilket Datainspektionens rapport ger vid handen, att
utforma system för behandling av flödesinformation som uppfyller
kraven.
Med hänvisning till det anförda gör regeringen bedömningen att det
inte finns skäl att ändra krcditupplysningslagen för att möjliggöra ökad
användning av uppgifter om näringsidkare.
Prop. 2000/01:50
Regeringens förslag: Lagändringarna skall träda i kraft den 1 april
2001. En klargörande övergångsbestämmelse införs.
32
Promemorians bedömning: Några särskilda övergångsbestämmelser Prop. 2000/01:50
är inte nödvändiga (se promemorian s. 46 f.).
Remissinstanserna: De flesta remissinstanser tillstyrker forslaget eller
lämnar det utan någon invändning. Några remissinstanser, bl.a. Data-
inspektionen, menar att promemorians forslag kan kräva övergångs-
bestämmelser. Svenska Bankföreningen och Svenska Fondhandlare-
föreningen föreslår att ändringarna skall träda i kraft forst den 1 oktober
2001.
Skälen for regeringens forslag: De föreslagna lagändringarna bör
träda i kraft så snart som möjligt. Med beaktande av den tid som kommer
att gå innan riksdagen kan fatta beslut i lagstiftningsärendet är den 1 april
2001 en lämplig tidpunkt för ikraftträdandet.
Några remissinstanser ifrågasätter om det inte behövs särskilda
övergångsbestämmelser. Svenska Bankföreningen och Finansbolagens
Förening påpekar att det saknas anledning att göra bestämmelser som
genomför dataskyddsdirektivet tillämpliga på kreditupplysningsverk-
samhet tidigare än för annan verksamhet. För personuppgiftslagen gäller
nämligen särskilda övergångsbestämmelser, bl.a. i fråga om sådan
behandling av personuppgifter som har påbörjats före ikraftträdandet den
24 oktober 1998. Enligt dessa övergångsbestämmelser skall för sådan
behandling inte personuppgiftslagen utan 1973 års datalag tillämpas till
och med den 30 september 2001.
Förslaget att personuppgiftslagens grundläggande krav på behandling
av personuppgifter skall gälla också i kreditupplysningsverksamhet (se
avsnitt 4.2) innebär att kraven skall tillämpas bara om personuppgifts-
lagen är tillämplig. Om personuppgiftslagen enligt sina övergångs-
bestämmelser inte är tillämplig, skall kraven alltså inte tillämpas. Som
Lagrådet har föreslagit bör en uttrycklig övergångsbestämmelse införas
där detta klargörs. I detta avseende blir direktivets regler alltså inte
tillämpliga tidigare på kreditupplysningsverksamhet än i enlighet med
reglerna i personuppgiftslagen.
Som anförs i promemorian finns det inte något behov av övergångs-
reglering för den föreslagna bestämmelsen om att uppgifter om fysiska
personer får samlas in endast för kreditupplysningsändamål. Detsamma
gäller för bestämmelserna om att personuppgifter i kreditupplysnings-
verksamhet får behandlas utan samtycke och att den enskilde inte heller
kan motsätta sig en behandling. Inte heller övriga ändringar kräver några
övergångsbestämmelser, utan även de bör kunna tillämpas från och med
lagens ikraftträdande. Det föreslås således inte några övergångsbestäm-
melser.
Regeringens förslag i detta ärende innebär ett genomförande av data-
skyddsdirektivet.
Förslagen i propositionen bedöms, bland myndigheter, främst påverka
Datainspektionen. Eftersom det dock inte handlar om några nya uppgifter
bedöms inspektionen kunna utföra uppgifter med anledning av
lagändringarna inom ramen för befintliga resurser. Inte heller i övrigt
2 Riksdagen 2000/01. 1 saml. Nr 50
torde de nya reglerna medföra några beaktansvärda kostnader för det Prop. 2000/01:50
allmänna.
Förslaget till lag om ändring i kreditupplysningslagen
5§
Kreditupplysningsverksamhet skall bedrivas så att den inte leder till otillbörligt intrång i
personlig integritet genom innehållet i de upplysningar som förmedlas eller på annat sätt
eller till att oriktiga eller missvisande uppgifter lagras eller lämnas ut. För sådan
behandling av personuppgifter som omfattas av personuppgiftslagen (1998:204) gäller i
stället 9 § första stycket a, b och d-h den lagen.
Uppgifter om fysiska personer får samlas in endast för kreditupplysningsändamål.
Vid helt eller delvis automatiserad behandling av uppgifter om Juridiska personer skall
den som bedriver kreditupplysningsverksamhet vidta lämpliga tekniska och organisatoriska
säkerhetsåtgärder för att hindra att behandlingen sker på ett otillåtet sätt och att
uppgifterna utsätts för otillåten insyn. Bestämmelser om säkerheten vid behandling av
personuppgifter finns i 30-32 §§ personuppgiftslagen.
Utan hinder av 10 § personuppgiftslagen får personuppgifter behandlas utan samtycke i
kreditupplysningsverksamhet. Den registrerade kan inte heller motsätta sig behandlingen.
Bestämmelsen i andra stycket tillämpas inte i den utsträckning det skulle strida mot
bestämmelserna i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen.
(Jfr 5 § i promemorians förslag och 5 § tredje och fjärde styckena
Kreditupplysningsutredningens förslag.)
Paragrafen innehåller bestämmelser om bedrivande av kreditupplys-
ningsverksamhet. Tillägget till första stycket innebär att vissa grund-
läggande regler i personuppgiftslagen gäller när uppgifter behandlas i
kreditupplysningsverksamhet. Andra stycket, som anger för vilket ända-
mål uppgifter får samlas in, är nytt. Även tredje stycket om datasäkerhet,
fjärde stycket om samtycke och femte stycket om förhållandet till tryck-
frihetsförordningen och yttrandefrihetsgrundlagen är nya. Frågorna
behandlas i avsnitt 4.2 och 4.3.
Första stycket
Första stycket första meningen anger allmänna krav på kreditupplys-
ningsverksamhet. Verksamheten skall bedrivas så att den inte leder till
otillbörligt intrång i personlig integritet genom innehållet i de upplys-
ningar som förmedlas eller på annat sätt eller till att oriktiga eller
missvisande uppgifter lagras eller lämnas ut.
I 9 § personuppgiftslagen finns grundläggande krav på behandling av
personuppgifter. I andra meningen klargörs att 9 § första stycket a, b och
d-h personuppgiftslagen gäller för sådan behandling av personuppgifter i
kreditupplysningsverksamhet som omfattas av personuppgiftslagen. Det
innebär att de allmänna kraven i första meningen inte skall tillämpas på
behandlingen om dessa bestämmelser i personuppgiftslagen är tillämp-
liga. De allmänna kraven i första meningen gäller för de fall som inte
omfattas av 9 § personuppgiftslagen, t.ex. för behandling av uppgifter om
34
juridiska personer och för sådan behandling av personuppgifter som inte
omfattas av personuppgiftslagen (jfr 5 § personuppgiftslagen).
Bestämmelserna i 9 § första stycket c (ändamål) och i (gallring)
personuppgiftslagen gäller inte i kreditupplysningsverksamhet, utan i
stället tillämpas 5 § andra stycket resp. 8 § kreditupplysningslagen.
Andra stycket
Andra stycket anger att uppgifter om fysiska personer får samlas in
endast för kreditupplysningsändamål. Med kreditupplysningsändamål
avses bedömning av någons kreditvärdighet eller vederhäftighet i övrigt i
ekonomiskt hänseende (se 2 § första stycket). Det innebär att de
uppgifter som samlas in skall vara relevanta för en kreditbedömning eller
annan ekonomisk riskbedömning. Bestämmelsen gäller inte för uppgifter
om juridiska personer.
Tredje stycket
I tredje stycket finns bestämmelser om datasäkerhet vid behandling av
uppgifter om juridiska personer. Vid helt eller delvis automatiserad
behandling av sådana uppgifter skall den som bedriver kreditupplys-
ningsverksamheten vidta lämpliga tekniska och organisatoriska säker-
hetsåtgärder för att hindra att behandlingen sker på ett otillåtet sätt och
att uppgifterna utsätts för otillåten insyn. Vilka säkerhetsåtgärder som
skall vidtas beror på arten av de uppgifter som skall skyddas och de
risker som behandlingen kan innebära. Uttrycket ”helt eller delvis
automatiserad” är hämtat från personuppgiftslagen (se 5 § första stycket
den lagen). Med behandling av uppgifter avses detsamma som i person-
uppgiftslagen (jfr definitionen i 3 § den lagen). Av 4 § andra stycket
följer att Datainspektionen far besluta om villkor för säkerheten.
Bestämmelser om datasäkerhet vid behandling av uppgifter om fysiska
personer finns i 30-32 §§ personuppgiftslagen.
Fjärde stycket
I fjärde stycket första meningen sägs uttryckligen att uppgifter får
behandlas utan den registrerades samtycke. Det innebär att uppgifter om
fysiska personer får behandlas i kreditupplysningsverksamhet även om
den som avses med uppgiften inte har samtyckt till det. Bestämmelsen
gäller i stället för 10 § personuppgiftslagen. I andra meningen klargörs
att den registrerade inte heller har rätt att motsätta sig en sådan
behandling. Bestämmelsen har införts på förslag av Lagrådet.
Femte stycket
Femte stycket innehåller en upplysning om att ändamålsbestämmelsen i
andra stycket inte får tillämpas i den utsträckning det skulle strida mot
bestämmelserna i tryckfrihetsförordningen eller yttrandefrihetsgrund-
lagen (jfr 7 § personuppgiftslagen). Det innebär att ändamålsbestäm-
melsen inte gäller i den mån den skulle strida mot anskaffarskyddet i
Prop. 2000/01:50
35
1 kap. 1 § fjärde stycket tryckfrihetsförordningen och 1 kap. 2 § yttrande- Prop. 2000/01:50
frihetsgrundlagen.
Uppgifter om en persons ras, etniska ursprung, politiska uppfattning, religiösa eller
filosofiska övertygelse, medlemskap i fackförening, halsa eller sexualliv får inte behandlas
i kreditupplysningsverksamhet.
Uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella
tvångsmedel eller administrativa frihetsberövanden får inte utan medgivande av
Datainspektionen behandlas i kreditupplysningsverksamhet.
Ett medgivande som avses i andra stycket får lämnas endast om det finns synnerliga
skäl.
Vad som anges i andra stycket hindrar inte att uppgifter om betalningsförsummelser,
kreditmissbruk eller näringsförbud behandlas i kreditupplysningsverksamhet.
(Jfr 6 § i promemorians förslag och 6 § i Kreditupplysningsutredningens
förslag.)
Paragrafen reglerar behandlingen av känsliga uppgifter m.m. Bestäm-
melserna har anpassats till dataskyddsdirektivet och personuppgiftslagen.
Förbudet i första stycket har utökats med uppgifter om medlemskap i
fackförening och hälsa. I andra stycket har den särskilda regleringen för
uppgifter om åtgärder enligt socialtjänstlagen m.fl. lagar utgått och
bestämmelserna om brottmål sdomar m.m. utformats i överensstämmelse
med 21 § första stycket personuppgiftslagcn. Med behandling av
uppgifter avses detsamma som i personuppgiftslagen (jfr definitionen i
3 § den lagen). Bestämmelserna gäller i stället för 13-21 §§ person-
uppgiftslagen. Övervägandena finns i avsnitt 4.4.
En uppgift om en fysisk person skall gallras när det inte längre är nödvändigt att bevara
uppgiften med hänsyn till ändamålet med registret.
En uppgift om en fysisk person som inte är näringsidkare skall gallras senast när tre år
har förflutit från utgången av det år då den omständighet inträffade eller det förhållande
upphörde som uppgiften avser.
(Jfr 8 § i promemorians förslag och 8 § i Kreditupplysningsutredningens
förslag.)
Paragrafen innehåller bestämmelser om gallring. En allmän gallrings-
bestämmelse har tagits in i första stycket och treårsregeln har fått en ny
lydelse i andra stycket. Bestämmelserna gäller i stället för 9 § första
stycket i personuppgiftslagcn. övervägandena finns i avsnitt 4.5.
Första stycket
Enligt den allmänna gallringsbestämmelsen skall en uppgift om en fysisk
person gallras när det inte längre är nödvändigt att bevara uppgiften med
hänsyn till ändamålet med registret. Det gäller uppgifter om alla fysiska
personer, dvs. även näringsidkare. Det innebär att en uppgift, t.ex. om
näringsförbud, skall gallras när det inte längre är nödvändigt att bevara
uppgiften för kreditupplysningsändamål.
36
Andra stycket
Prop. 2000/01:50
Treårsregeln i andra stycket sätter en yttersta gräns for uppgifter om
privatpersoner. En uppgift om en fysisk person som inte är näringsidkare
skall gallras senast när tre år har förflutit från utgången av det år då den
omständighet inträffade eller det förhållande upphörde som avses med
uppgiften. Bestämmelsen innebär att en uppgift om en privatperson alltid
skall gallras efter tre år.
Var och en har rätt att mot skälig avgift hos den som bedriver kreditupplys-
ningsverksamhet fä skriftligt besked om huruvida det i verksamheten behandlas uppgifter
om honom. Fysiska personer har rätt att en gång per kalenderår få ett besked gratis.
Behandlas sådana uppgifter skall besked lämnas om
a) vilka uppgifter som behandlas,
b) om den registrerade är en fysisk person: varifrån uppgifterna har hämtats,
c) ändamålen med behandlingen och
d) till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut.
Bestämmelserna i första stycket tillämpas inte i den utsträckning det skulle strida mot
bestämmelserna i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen.
En begäran om besked enligt första stycket om en fysisk person skall göras skriftligen
och vara egenhändigt undertecknad.
(Jfr 10 § i promemorians förslag och 10 § i Kreditupplysningsutred-
ningens förslag.)
Paragrafen reglerar rätten till registerbesked. Informationsskyldigheten
har anpassats till dataskyddsdirektivet och till motsvarande bestämmelser
i personuppgiftslagen. Andra stycket innehåller en upplysning om att
bestämmelserna i första stycket inte far tillämpas i den utsträckning det
skulle strida mot bestämmelserna i tryckfrihetsförordningen eller ytt-
randefrihetsgrundlagen (jfr 7 § personuppgiftslagen). Det innebär att om
ett besked om varifrån uppgifterna har hämtats skulle strida mot
meddelarskyddet i 3 kap. 3 § tryckfrihetsförordningen och 2 kap. 3 §
yttrandefrihetsgrundlagen så skall besked inte lämnas om detta. I det nya
tredje stycket har tagits in ett krav på skriftlighet och egenhändigt
undertecknande för begäran om registerbesked om en fysisk person.
Bestämmelserna gäller i stället för 26 § personuppgiftslagen. Frågorna
behandlas i avsnitt 4.6.
När en kreditupplysning om en fysisk person lämnas ut, skall till den som avses med
upplysningen samtidigt och kostnadsfritt sändas ett skriftligt meddelande om
a) vem som bedriver kreditupplysningsverksamheten,
b) ändamålen med behandlingen,
c) de uppgifter, omdömen och råd som upplysningen innehåller om honom,
d) möjligheten att få rättelse av de uppgifter som rör honom, och
e) vem som har begärt upplysningen.
Vad som sägs i första stycket gäller också när en kreditupplysning lämnas om ett
handelsbolag eller kommanditbolag.
Vad som sägs i första och andra styckena gäller inte kreditupplysningar som lämnas
genom offentliggörande på ett sådant sätt som avses i tryckfrihetsförordningen eller
yttrandefrihetsgrundlagen.
(Jfr 10 § i promemorians förslag.)
37
Paragrafen reglerar rätten till kreditupplysningskopia. Informations- Prop. 2000/01:50
skyldigheten har anpassats till dataskyddsdirektivet och till motsvarande
bestämmelser i personuppgiftslagcn. Bestämmelserna gäller i stället för
23-25 §§ personuppgiftslagen. Frågorna behandlas i avsnitt 4.6.
12 §
Finns det anledning att misstänka att en uppgift som behandlas i kredit-
upplysningsverksamhet eller som har lämnats i en kreditupplysning under den senaste
tolvmånadersperioden är oriktig eller missvisande, eller att den annars har behandlats i
strid med denna lag, skall den som bedriver verksamheten utan dröjsmål vidta skäliga
åtgärder för att utreda förhållandet.
Visar det sig att uppgiften är oriktig eller missvisande, eller att den annars har
behandlats i strid med lagen, skall den, om den förekommer i register, rättas, kompletteras
eller uteslutas ur registret. Har en oriktig eller missvisande uppgift tagits in i en
kreditupplysning som lämnats på annat sätt än som avses i tryckfrihetsförordningen eller
yttrandefrihetsgrundlagen, skall rättelse eller komplettering så snart det kan ske tillställas
var och en som under den senaste tolvmånadersperioden fått del av uppgiften. Har
uppgiften under den senaste tolvmånadersperioden lämnats i en periodisk skrift eller i en
kreditupplysningsverksamhet som bedrivs genom återkommande offentliggöranden enligt
yttrandefrihetsgrundlagen, skall rättelse eller komplettering så snart det kan ske införas i ett
följande nummer av skriften eller motsvarande form av offentliggörande enligt
yttrandefrihetsgrundlagen. Vad som sägs i detta stycke gäller dock inte, om uppgiften
uppenbarligen saknar betydelse för bedömningen av vederbörandes vederhäftighet i
ekonomiskt hänseende.
Har en fråga om rättelse eller liknande åtgärd tagits upp efter framställning från den som
uppgiften avser, skall denne kostnadsfritt underrättas om huruvida sådan åtgärd vidtagits.
Paragrafen innehåller bestämmelser om rättelse. Första stycket har
ändrats så att skyldigheten att utreda förhållanden föreligger inte bara om
det finns anledning att misstänka att en uppgift i en kreditupplysning som
har lämnats under den senaste tolvmånadersperioden, eller en uppgift i
ett register, är oriktig eller missvisande, utan även om det finns anledning
att misstänka att uppgifter i övrigt behandlas i strid med lagen.
Utredningsskyldigheten gäller alltså även för en i och för sig riktig men
felaktigt behandlad uppgift, t.ex. en uppgift om hälsa eller medlemskap i
fackförening (jfr 6 § första stycket).
Också skyldigheten enligt andra stycket att rätta, komplettera eller
utesluta en uppgift ur ett register omfattar alla fall där uppgifter
behandlas i strid med lagen. Bestämmelserna gäller i stället för 28 §
personuppgiftslagen. Frågan behandlas i avsnitt 4.7.
1. Denna lag träder i kraft den 1 april 2001.
2. 1 stället för 5 § första stycket tillämpas 5 § i dess äldre lydelse i fråga om sådan
behandling av personuppgifter för vilken 9 § personuppgiftslagen (1998:204) enligt
övergångsbestämmelserna till den lagen inte är tillämplig.
De föreslagna ändringarna i kreditupplysningslagen föreslås träda i kraft
den 1 april 2001.
Bestämmelsen i punkt 2 är en följd av att personuppgiftslagens
grundläggande krav på behandling av personuppgifter skall tillämpas
endast om lagen enligt sina övergångsbestämmelser är tillämplig. Om
personuppgiftslagen enligt övergångsbestämmelserna inte är tillämplig,
skall 5 § kreditupplysningslagen i dess äldre lydelse tillämpas, alltså
bestämmelsen om att verksamheten skall bedrivas så att den inte leder till
38
otillbörligt intrång i personlig integritet. Bestämmelsen har införts på Prop. 2000/01:50
förslag av Lagrådet.
39
av den 24 oktober 1995
EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD
HAR ANTAGIT DETTA DIREKTIV
med beaktande av Fördraget om upprättandet av Europeiska gemen-
skapen, särskilt artikel 100a i detta,
med beaktande av kommissionens förslag ,
med beaktande av Ekonomiska och sociala kommitténs yttrande ,
i enlighet med det förfarande som anges i fördragets artikel 189b ,
och med beaktande av följande:
Prop. 2000/01:50
Bilaga 1
1) Gemenskapens målsättningar som uttryckts i fördraget, såsom detta
ändrats genom Fördraget om Europeiska unionen, består i att
förverkliga en allt fastare sammanslutning av de europeiska folken, i
att upprätta allt närmare relationer mellan de stater som förenas i
gemenskapen, i att säkerställa ekonomiska och sociala framsteg i
sina länder genom gemensamma åtgärder för att undanröja de
barriärer som delar Europa, i att fortgående förbättra
levnadsvillkoren för dess folk, i att bevara och stärka fred och frihet
och i att främja demokratin på grundval av de grundläggande
rättigheter som erkänns i medlemsstaternas grundlagar och lagar
liksom i den europeiska konventionen om skydd för de mänskliga
rättigheterna och de grundläggande friheterna.
2) Systemen för databehandling av uppgifter är till för människomas
skull. Oavsett fysiska personers medborgarskap eller hemvist måste
systemen respektera dessa personers grundläggande fri- och
rättigheter - särskilt rätten till privatlivet - och bidra till ekonomiska
och sociala framsteg, handelns utveckling och enskilda personers
välfärd.
3) Upprättandet av den inre marknaden och dennas funktion, som i
enlighet med artikel 7a i fördraget innebär fri rörlighet för varor,
personer, tjänster och kapital, förutsätter inte bara att
personuppgifter fritt kan överföras från en medlemsstat till en annan
utan också att enskilda personers grundläggande rättigheter skyddas.
4) Inom gemenskapen behandlas och används personuppgifter allt
oftare inom olika ekonomiska och samhälleliga områden.
Framstegen på informationsteknikens område har gjort det avsevärt
lättare att behandla och utbyta sådana uppgifter.
5) Den ekonomiska och sociala integration som är en följd av
upprättandet av den inre marknaden och dennas funktion i enlighet
40
med artikel 7a i fordraget kommer med nödvändighet att leda till en
betydande ökning av flödet av personuppgifter över gränserna
mellan samtliga aktörer på de ekonomiska och samhälleliga
områdena, oavsett om dessa aktörer tillhör den privata eller den
offentliga sektorn. Utbytet av personuppgifter mellan foretag i olika
medlemsstater kommer att öka. De nationella myndigheterna i de
olika medlemsstaterna måste som ett led i tillämpningen av
gemenskapsrätten samarbeta och utbyta personuppgifter for att
kunna fullgöra sina åligganden eller utföra arbetsuppgifter för en
myndighet i en annan medlemsstat inom det område utan inre
gränser som den inre marknaden innebär.
6) Det ökade vetenskapliga och tekniska samarbetet liksom det sam-
ordnade införandet av nya telekommunikationsnät inom gemen-
skapen nödvändiggör och underlättar dessutom det gränsöver-
skridande flödet av personuppgifter.
7) Skillnaden i skyddsnivå mellan medlemsstater vad gäller enskilda
personers fri- och rättigheter, särskilt rätten till privatliv med av-
seende på behandling av personuppgifter, kan hindra översändande
av sådana uppgifter från en medlemsstats territorium till en annans.
Denna skillnad kan därför utgöra ett hinder för att utöva en rad
ekonomiska aktiviteter på gemenskapsnivå, snedvrida konkurrensen
och hindra myndigheterna att fullgöra de skyldigheter som åligger
dem enligt gemenskapsrätten. Denna skillnad i skyddsnivå beror på
olikheter i nationella lagar och andra författningar.
8) För att hindren mot flöden av personuppgifter skall kunna avskaffas
måste skyddsnivån när det gäller enskilda personers fri- och
rättigheter med avseende på behandlingen av sådana uppgifter vara
likvärdig i alla medlemsstater. Denna målsättning är av grund-
läggande betydelse för den inre marknaden men kan inte uppnås
genom åtgärder endast av medlemsstaterna, i synnerhet med tanke
på omfattningen av de skillnader som för närvarande finns mellan
nationell lagstiftning på området och med tanke på behovet av att
samordna lagstiftningen i medlemsstaterna för att säkerställa en
sådan enhetlig reglering av det gränsöverskridande flödet av
personuppgifter som överensstämmer med målsättningen för den
inre marknaden enligt artikel 7a i fördraget. Det är därför
nödvändigt att gemenskapen vidtar åtgärder för att åstadkomma en
tillnärmning av lagstiftningen.
9) Eftersom tillnärmningen av de nationella lagstiftningarna kommer
att leda till ett likvärdigt skydd kommer medlemsstaterna inte längre
att kunna hindra det fria flödet av personuppgifter mellan dem under
hänvisning till enskilda personers fri- och rättigheter, särskilt rätten
till privatliv. Medlemsstaterna kommer att fa ett handlingsutrymme,
som i samband med genomförandet av detta direktiv också kommer
att kunna utnyttjas av näringslivet och arbetsmarknadens parter.
Medlemsstaterna kommer därför att i sin nationella lagstiftning
särskilt kunna ange de allmänna villkor som skall gälla för
behandlingen av uppgifter. Medlemsstaterna skall härvid sträva
efter att förbättra det skydd som deras nuvarande lagstiftning ger.
Inom ramen för detta handlingsutrymme och i enlighet med gemen-
skapsrätten kan skillnader uppkomma vid genomförandet av direk-
Prop. 2000/01:50
Bilaga 1
41
tivet, vilket kan påverka flödet av uppgifter såväl inom en medlems-
stat som på gemenskapsnivå.
10) Ändamålet med den nationella lagstiftningen om behandling av
personuppgifter är att skydda grundläggande fri- och rättigheter,
särskilt den rätt till privatlivet som erkänns både i artikel 8 i den
europeiska konventionen om skydd för de mänskliga rättigheterna
och de grundläggande friheterna och i gemenskapsrättens allmänna
rättsprinciper. Av denna anledning får tillnärmningen av denna
lagstiftning inte medföra någon inskränkning i det skydd de ger,
utan skall i stället syfta till att garantera en hög skyddsnivå inom
gemenskapen.
11) Dc principer om skydd för enskilda personers fri- och rättigheter,
särskilt rätten till privatlivet, som detta direktiv innehåller, utgör en
precisering och en förstärkning av principerna i Europarådets
konvention av den 28 januari 1981 om skydd för enskilda vid
automatisk databehandling av personuppgifter.
12) Principerna för skyddet måste gälla för all behandling av
personuppgifter som utförs av en person vars verksamhet regleras
av gemenskapsrätten. En fysisk persons behandling av uppgifter
uteslutande för personliga ändamål eller för hemmabruk, såsom
korrespondens eller förande av adressregister, skall dock inte
omfattas.
13) Sådan verksamhet som avses i avdelningarna V och VI i Fördraget
om Europeiska unionen och som rör allmän säkerhet, försvar,
statens säkerhet och statens verksamhet på straffrättens område
faller inte inom tillämpningsområdet för gemenskapsrätten, dock
med förbehåll för medlemsstaternas skyldigheter enligt artiklarna
56.2, 57 eller 100a i Fördraget om upprättandet av Europeiska
gemenskapen. Sådan behandling av personuppgifter som är
nödvändig för att skydda statens ekonomiska välstånd omfattas inte
av detta direktiv, när behandlingen har samband med frågor om
statens säkerhet.
14) För närvarande görs inom ramen för informationssamhället
betydande framsteg såvitt avser tekniken för att uppta, överföra,
bearbeta, registrera, lagra eller lämna ut ljud- eller bilduppgifter om
fysiska personer; detta direktiv bör därför tillämpas på behandling
av sådana uppgifter.
15) Behandlingen av sådana uppgifter omfattas av detta direktiv endast
om den sker med hjälp av automatisk databehandling eller om de
uppgifter som behandlas ingår eller avses ingå i ett register som är
uppbyggt efter vissa med utgångspunkt i för enskilda personer
utformade kriterier för att underlätta tillgång till de berörda
uppgifterna.
16) Behandlingen av ljud- och bilduppgifter - exempelvis i samband
med videoövervakning - omfattas inte av detta direktiv om den
utförs för att tillgodose den allmänna säkerheten, försvaret, statens
säkerhet eller statens verksamhet på straffrättens område eller till
annan verksamhet som inte faller inom gemenskapsrättens
ti 1 lämpningsområde.
17) När det gäller behandling av ljud- och bilduppgifter för journa-
listiska ändamål eller i litterärt eller konstnärligt skapande, särskilt
Prop. 2000/01:50
Bilaga 1
42
på det audiovisuella området, skall direktivets principer i enlighet
med bestämmelserna i artikel 9 tillämpas restriktivt.
18) För att undvika att en enskild person förvägras det skydd som
tillkommer honom enligt detta direktiv skall varje behandling av
personuppgifter inom gemenskapen ske i enlighet med lagstift-
ningen i en av medlemsstaterna. Med hänsyn till detta bör
behandlingen av uppgifter som utförs av någon som på uppdrag av
en registeransvarig som är etablerad i en medlemsstat regleras av
den statens lagstiftning.
19) Etablering på en medlemsstats territorium förutsätter effektiv och
faktisk verksamhet med hjälp av en stabil struktur. Härvid har den
berörda verksamhetens rättsliga form inte avgörande betydelse,
oavsett om det är fråga om en filial eller om ett dotterbolag som är
en juridisk person. Om den ansvarige är etablerad på flera
medlemsstaters territorier, särskilt genom dotterbolag, måste han för
att undvika varje kringgående garantera att varje verksamhet
uppfyller bestämmelserna i den nationella lagstiftning som gäller för
aktiviteterna.
20) Den omständigheten att den registeransvarige är etablerad i ett
tredje land far inte utgöra ett hinder för det skydd som enskilda
personer ges i detta direktiv. I sådana fall skall på behandlingen av
uppgifter tillämpas den medlemsstats lagstiftning som innehåller de
hjälpmedel som används för behandlingen. Det bör finnas garantier
för att de rättigheter som följer av detta direktiv respekteras i
praktiken.
21) Detta direktiv påverkar inte de territorialitetsregler som gäller på
straffrättens område.
22) Medlemsstaterna bör i sin lagstiftning eller genom andra bestäm-
melser som antas för att genomföra detta direktiv närmare ange de
allmänna villkoren för att en behandling skall vara tillåten. Särskilt
artikel 5 jämförd med artiklarna 7 och 8 tillåter medlemsstaterna att,
oavsett de allmänna regler som gäller, ange särskilda villkor för
behandlingen av uppgifter på särskilda områden och för de olika
kategorier av uppgifter som behandlas i artikel 8.
23) Medlemsstaterna har befogenhet att genomföra skyddet för enskilda
personer både genom en generell lagstiftning om skydd för enskilda
personer såvitt avser behandling av personuppgifter och genom
särskild lagstiftning som till exempel om statistiska institut.
24) Sådan lagstiftning som rör skydd för juridiska personer med
avseende på behandling av uppgifter som angår dem berörs inte av
detta direktiv.
25) Principerna för skyddet måste avspeglas dels i de förpliktelser som
åvilar personer, myndigheter, företag, institutioner, organ eller andra
registeransvariga särskilt med avseende på uppgifternas kvalitet,
den tekniska säkerheten, anmälningar till tillsynsmyndigheten och
de omständigheter under vilka behandling far utföras, dels i de
rättigheter som tillkommer enskilda personer, vilkas personuppgifter
blir föremål för behandling, att bli informerade om att behandling
sker, att få tillgång till uppgifterna, att begära rättelse och att under
vissa omständigheter invända mot behandlingen.
Prop. 2000/01:50
Bilaga 1
43
26) Principerna för skyddet måste gälla all information som rör en
identifierad eller identifierbar person. För att avgöra om en person
är identifierbar skall härvid beaktas alla hjälpmedel som i syfte att
identifiera vederbörande rimligen kan komma att användas antingen
av den registeransvarige eller av någon annan person. Skydds-
principema gäller inte för uppgifter som gjorts anonyma på ett
sådant sätt att den registrerade inte längre är identifierbar. En sådan
uppförandekodex som avses i artikel 27 kan vara ett användbart
redskap för att ge vägledning om hur uppgifter kan göras anonyma
och behållas i en form som gör det omöjligt att identifiera den
registrerade.
27) Enskilda personer skall skyddas både i samband med automatisk
databehandling av uppgifterna och i samband med manuell behand-
ling. Omfattningen av detta skydd får inte faktiskt bero på den
teknik som används eftersom detta skulle kunna skapa en allvarlig
risk för kringgående. När det gäller manuell behandling omfattar
detta direktiv endast register och inte ostrukturerade akter. Särskilt
innehållet i ett register måste vara strukturerat efter bestämda
kriterier som avser enskilda personer, för att lätt ge tillgång till
personuppgifter. I enlighet med definitionen i artikel 2 c) kan de
olika kriterier som gör det möjligt att fastställa de enskilda delarna
av en strukturerad samling personuppgifter och de olika kriterier
som reglerar möjligheten att få tillgång till en sådan samling
utformas av varje medlemsstat. Akter eller grupper av akter liksom
dessas omslag, vilka inte är strukturerade enligt särskilda kriterier,
faller inte under några omständigheter inom detta direktivs
tillämpningsområde.
28) Varje behandling av personuppgifter måste vara laglig och korrekt
gentemot berörda personer. Uppgifterna måste särskilt vara ade-
kvata, relevanta och nödvändiga med hänsyn till de ändamål för
vilka de behandlas. Dessa ändamål skall vara uttryckligt angivna,
berättigade och bestämda vid tiden för insamling av uppgifterna.
Sådana ändamål med behandlingen som läggs fast sedan upp-
gifterna samlats in lår inte vara oförenliga med de ändamål som
ursprungligen angavs.
29) Senare behandling av personuppgifter för historiska, statistiska eller
vetenskapliga ändamål kan - förutsatt att medlemsstaterna ger
lämpliga garantier - inte allmänt sett anses oförenliga med de
ändamål för vilka uppgifterna tidigare samlades in. Dessa garantier
skall särskilt hindra att uppgifterna används för att vidta åtgärder
mot eller fatta beslut som rör en viss person.
30) För att vara tillåten skall en behandling av personuppgifter dessutom
utföras med den registrerades samtycke eller vara nödvändig för
ingåendet eller utförandet av förpliktelser i enlighet med ett avtal
som är bindande för den registrerade, eller fordras enligt lagstiftning
vid utförandet av något som är i det allmännas intresse eller är ett
led i myndighetsutövning eller vara i en fysisk eller juridisk persons
intresse förutsatt att skyddet av den registrerades fri- och rättigheter
inte går före. För att särskilt garantera jämvikt mellan de berörda
intressena och för att samtidigt säkerställa en effektiv konkurrens får
medlemsstaterna närmare ange på vilka villkor användning och
Prop. 2000/01:50
Bilaga 1
44
utlämnande till tredje man av personuppgifter får äga rum inom
ramen for tillåtna aktiviteter som av företag och andra organ utövas
i deras löpande verksamhet. Medlemsstaterna får även närmare ange
på vilka villkor personuppgifter i marknadsföringssyfte får vidare-
befordras till tredje man, oavsett om detta sker kommersiellt eller av
välgörenhetsorganisationer, föreningar eller stiftelser, exempelvis av
politisk karaktär, men förutsatt att regler iakttas som har till syfte att
ge den registrerade möjlighet att invända mot att de uppgifter som
rör honom behandlas utan att behöva ange sina skäl och utan att
åsamkas kostnader för detta.
31) Behandling av personuppgifter måste även anses tillåten när den
utförs för att skydda ett intresse som är av avgörande betydelse för
den registrerades liv.
32) Det ankommer på den nationella lagstiftningen att avgöra om den
som ansvarar för en behandling som utförs i det allmännas intresse
eller vid myndighetsutövning skall vara en myndighet eller något
annat offentligrättsligt eller civilrättsligt subjekt, såsom exempelvis
en yrkesorganisation.
33) Uppgifter som på grund av sin natur kan kränka grundläggande fri-
och rättigheter eller privatlivets helgd får inte behandlas utan
samtycke av den registrerade. Dock måste det finnas en uttrycklig
möjlighet att för att tillgodose särskilda behov, i synnerhet när
behandlingen av uppgifterna utförs för ändamål som har samband
med hälso- och sjukvården av personer som är underkastade
tystnadsplikt eller för att genomföra berättigade åtgärder av vissa
föreningar eller stiftelser vilkas syften är att skydda utövningen av
vissa grundläggande fri- och rättigheter.
34) När det av hänsyn till viktiga allmänna intressen är nödvändigt,
måste medlemsstaterna kunna avvika från förbudet mot att behandla
känsliga kategorier av uppgifter på sådana områden som exempelvis
folkhälsa och socialskydd, särskilt för att säkerställa kvalitet och
lönsamhet när det gäller förfaranden som används i samband med
ansökningar om förmåner och tjänster inom sjukförsäkringssyste-
met, i samband med vetenskaplig forskning och i samband med
offentlig statistik. Dock åligger det medlemsstaterna att sörja för att
det finns lämpliga och konkreta garantier för att skydda enskilda
personers grundläggande rättigheter och privatliv.
35) Myndigheters behandling av personuppgifter för officiellt erkända
religiösa sammanslutningars räkning för att uppfylla målsättningar
som uttrycks i grundlagen eller folkrätten utförs för att tillgodose
viktiga samhälleliga intressen.
36) Om det i samband med att allmänna val hålls för att det
demokratiska systemet skall fungera är nödvändigt att de politiska
partierna i vissa medlemsstater samlar in uppgifter om enskilda
personers politiska uppfattning får behandling av sådana uppgifter
tillåtas av hänsyn till viktiga allmänna intressen, på villkor att
bestämmelser om lämpliga garantier föreskrivs.
37) För sådan behandling av personuppgifter som sker för journalistiska
ändamål eller för konstnärligt eller litterärt skapande - särskilt på
det audiovisuella området — bör det fastställas undantag från eller
begränsningar i förhållande till vissa bestämmelser i detta direktiv
Prop. 2000/01:50
Bilaga 1
45
så långt detta är nödvändigt för att förena enskilda personers
grundläggande rättigheter med yttrandefriheten, särskilt den rätt att
ta emot och lämna upplysningar som särskilt fastslås i artikel 10 i
den europeiska konventionen om skydd för de mänskliga rättig-
heterna och de grundläggande friheterna. För att åstadkomma en
avvägning mellan dc grundläggande fri- och rättigheterna åligger
det medlemsstaterna att besluta om nödvändiga undantag och
begränsningar såvitt avser de generella åtgärder som har avseende
på uppgiftsbehandlingens berättigande, åtgärder för att vidareföra
uppgifter till tredje land och tillsynsmyndighetens befogenheter.
Detta får dock inte leda till att medlemsstaterna beslutar om
undantag från åtgärder som vidtas för att säkerställa behandlingens
säkerhet. Den tillsynsmyndighet som är behörig på området bör
utrustas med i vart fall vissa befogenheter att utövas efter
behandlingen i fråga, exempelvis befogenhet att med jämna
mellanrum offentliggöra en rapport eller att överlämna ärenden till
rättsliga myndigheter.
38) En korrekt behandling av uppgifter förutsätter att de registrerade
kan få kännedom om behandlingen och att de - när uppgifter samlas
in hos dem - kan få korrekt och fullständig information med hänsyn
till de närmare omständigheterna vid insamlingen.
39) I vissa fall rör behandlingen uppgifter som den registeransvarige
inte har samlat in direkt från den registrerade. Vidare kan
utlämnande av uppgifter till tredje man vara tillåten även om
utlämnandet inte kunde förutses när uppgifterna samlades in från
den registrerade. I samtliga dessa fall skall den registrerade
informeras när uppgifterna registreras eller senast när uppgifterna
för första gången lämnas ut till tredje man.
40) Det är dock inte nödvändigt att ställa detta krav om den registrerade
redan känner till informationen. Detta krav behöver inte heller
ställas om registreringen eller utlämnandet uttryckligen regleras i
lagstiftningen eller om lämnande av information till den berörda
personen visar sig vara omöjligt eller innebära oproportionerligt
stora ansträngningar, vilket skulle kunna vara fallet i samband med
behandling för historiska, statistiska eller vetenskapliga ändamål. I
detta sammanhang kan antalet registrerade, uppgifternas ålder och
de kompensatoriska åtgärder som kan vidtas tas i beaktande.
41) Alla måste kunna utöva sin rätt att få tillgång till uppgifter som rör
dem och som är föremål för behandling, för att i detalj kunna
försäkra sig om att uppgifterna är korrekta och om att behandlingen
är tillåten. Av samma anledning måste var och en ha rätt att få reda
på den logik som gäller för den automatiska databehandlingen av
uppgifter som rör honom, åtminstone såvitt avser sådana auto-
matiska beslut som avses i artikel 15.1. Denna rättighet får inte
kränka affärshemligheten eller upphovsrätten, särskilt inte den
upphovsrätt som skyddar programvaran. Detta bör dock inte få
resultera i att den registrerade nekas all information.
42) Medlemsstaterna kan av hänsyn till intresset hos den registrerade
eller till andras fri- och rättigheter begränsa rätten till tillgång till
uppgifter och information. De kan till exempel besluta att tillgång
Prop. 2000/01:50
Bilaga 1
46
till uppgifter av medicinsk art endast får erhållas genom formedling
av någon som är yrkesmässigt verksam inom hälso- och sjukvården.
43) Rätten till tillgång till uppgifter och information samt vissa
skyldigheter hos den registeransvarige kan inskränkas av medlems-
staterna i den utsträckning som det är nödvändigt för att skydda till
exempel statens säkerhet, försvaret, allmän säkerhet eller viktiga
ekonomiska eller finansiella intressen som är av betydelse för en
medlemsstat eller för unionen, liksom för brottsutredningar och åtal
och åtgärder som rör överträdelser av etiska regler som gäller för
sådana yrken som särskilt regleras i lagstiftning. På förteckningen
över undantag och begränsningar bör upptas de uppgifter för över-
vakning, tillsyn eller reglering som är nödvändiga på de tre
sistnämnda områdena, nämligen allmän säkerhet, ekonomiska och
finansiella intressen samt beivrande av brott. Uppräkningen av
uppgifter på dessa tre områden påverkar inte undantag eller
begränsningar av hänsyn till statens säkerhet och försvaret.
44) För att uppfylla vissa av de nämnda målsättningarna kan medlems-
staterna på grund av bestämmelser i gemenskapsrätten tvingas att
avvika från bestämmelserna i detta direktiv om rätten till tillgång till
uppgifter, skyldigheten att informera enskilda personer och
kvaliteten på uppgifterna.
45) I sådana fall då uppgifter av hänsyn till allmänna intressen, på grund
av myndighetsutövning eller av hänsyn till en persons berättigade
intressen kan bli föremål för tillåten behandling, skall varje berörd
person ändå, på berättigade och avgörande skäl som avser hans
särskilda situation, ha rätt att invända mot att uppgifter som rör
honom själv behandlas. Medlemsstaterna har dock möjlighet att anta
bestämmelser av motsatt innehåll.
46) Skyddet för de registrerades fri- och rättigheter förutsätter såvitt
avser behandling av personuppgifter att lämpliga tekniska och
organisatoriska åtgärder vidtas både när systemet för behandlingen
utformas och när själva behandlingen sker, särskilt för att garantera
säkerheten och för att på så sätt hindra all otillåten behandling. Det
åligger medlemsstaterna att säkerställa att de registeransvariga
respekterar dessa åtgärder. Åtgärderna skall garantera en lämplig
säkerhetsnivå med hänsyn till den nuvarande utvecklingsnivån och
till kostnaderna för genomförandet under hänsynstagande till de
risker som behandlingen innebär och arten av de uppgifter som skall
skyddas.
47) När ett meddelande som innehåller personuppgifter översänds
genom förmedling av en organisation för telekommunikation eller
elektronisk post, vars enda ändamål är att översända sådana
meddelanden, blir det normalt den från vilken meddelandet härrör
och inte den person som erbjuder nämnda tjänst som anses ansvara
för behandlingen av personuppgifterna. De som erbjuder sådana
tjänster kommer dock normalt att anses som ansvariga för behand-
lingen av de ytterligare personuppgifter som fordras för att tjänsten
skall kunna användas.
48) Anmälningsförfarandet är avsett för att göra en behandlings syfte
och viktigaste egenskaper allmänt kända för att säkerställa att
Prop. 2000/01:50
Bilaga 1
47
behandlingen sker i enlighet med de nationella åtgärder som vidtas
för att genomföra detta direktiv.
49) För att undvika olämpliga administrativa formaliteter kan medlems-
staterna besluta om undantag från och förenklingar av anmälnings-
plikten såvitt avser sådana fall då behandlingen sannolikt inte
kommer att kränka de berörda personernas fri- och rättigheter,
förutsatt att detta är i överensstämmelse med en åtgärd som vidtagits
av en medlemsstat och som särskilt anger begränsningarna.
Medlemsstaterna kan även besluta om undantag och förenklingar i
fall då någon som utsetts av den registeransvarige försäkrar sig om
att de utförda behandlingarna inte kommer att kränka de registre-
rades fri- och rättigheter. Den person som sålunda utsetts att skydda
uppgifterna måste - vare sig han är anställd av den registeransvarige
eller inte - ha möjlighet att utöva sin verksamhet på ett fullständigt
oberoende sätt.
50) Undantag från anmälningsplikten och förenklad anmälan bör kunna
tillåtas särskilt då det är fråga om behandling av uppgifter som
endast syftar till att ett register skall föras, som är avsett för att i
enlighet med nationell lagstiftning ge allmänheten information och
som är tillgängligt för allmänheten eller var och en som kan styrka
att han har ett berättigat intresse.
51) Det förhållandet att den registeransvarige omfattas av förenklat
anmälningsförfarande eller är undantagen från anmälningsplikt
befriar honom inte från de övriga förpliktelser som följer av detta
direktiv.
52) I detta sammanhang måste en efterföljande kontroll från den
behöriga myndighetens sida i allmänhet anses som en tillräcklig
åtgärd.
53) Vissa typer av behandling - till exempel behandling som har till
ändamål att utesluta den berörde från möjligheten att utöva en
rättighet, motta en förmån eller ingå ett avtal eller sådan behandling
som innebär användning av ny teknik - kan på grund av sin natur,
sin omfattning eller sitt ändamål innebära särskilda risker för att de
registrerades fri- och rättigheter skall kränkas. Medlemsstaterna kan
om de önskar det precisera dessa risker i sin lagstiftning.
54) Med tanke på omfattningen av den behandling av uppgifter som
utförs i samhället torde det antal behandlingar som innebär särskilda
risker vara mycket begränsat. Medlemsstaterna måste föreskriva att
tillsynsmyndigheten eller den som utövar tillsyn i samråd med
tillsynsmyndigheten företar en förhandskontroll av dessa behand-
lingar innan de utförs. Sedan en sådan förhandskontroll genomförts
får tillsynsmyndigheten i enlighet med den nationella lagstiftningen
som gäller för myndigheten yttra sig över eller tillåta behandlingen.
En sådan kontroll kan även företas som ett led i det nationella
parlamentets förberedande arbete med en åtgärd eller som ett led i
arbetet med en åtgärd som grundas på en sådan lagstiftande åtgärd
som definierar behandlingens art och anger lämpliga skydds-
åtgärder.
55) För de fall då den registeransvarige inte respekterar de registrerades
rättigheter måste det i medlemsstatens lagstiftning finnas möjlighet
till rättslig prövning. Personer som lider skada till följd av otillåten
Prop. 2000/01:50
Bilaga 1
48
behandling skall ha rätt till ersättning av den registeransvarige,
vilken kan befrias från skadeståndsansvar om han kan visa att han
inte är ansvarig för skadan, särskilt i fall då han kan påvisa att ett fel
begåtts av den registrerade eller i fall av force majeure. Sanktioner
skall vidtas mot såväl privaträttsliga som offentligrättsliga subjekt
som överträder de nationella bestämmelser som antagits för att
genomföra detta direktiv.
56) Gränsöverskridande flöden av personuppgifter är nödvändiga för
den internationella handelns utveckling. Det skydd som genom detta
direktiv tillförsäkras enskilda personer inom gemenskapen hindrar
inte att personuppgifter överförs till sådana tredje länder som garan-
terar en adekvat skyddsnivå. Frågan om skyddsnivåns adekvans
skall bedömas med hänsyn till alla de omständigheter som har
samband med en överföring eller en grupp av överföringar.
57) Om ett tredje land inte garanterar en adekvat skyddsnivå skall
överföring av personuppgifter till det landet förbjudas.
58) Undantag från detta förbud skall under vissa omständigheter kunna
medges om den registrerade lämnar sitt samtycke, om överföring är
nödvändig för ett avtal eller ett rättsligt anspråk, när skyddet av
väsentliga samhällsintressen kräver det, till exempel vid interna-
tionellt utbyte av uppgifter mellan skattemyndigheter eller tullmyn-
digheter eller mellan socialförsäkringsmyndigheter eller om över-
föringen utförs med utgångspunkt i ett register som upprättats
genom lagstiftning och som är avsett att vara tillgängligt för
allmänheten eller för personer som har ett berättigat intresse. En
sådan överföring bör inte omfatta alla uppgifter eller hela kategorier
av uppgifter som finns i registret. När registret är avsett att vara
tillgängligt för personer med ett berättigat intresse skall över-
föringen göras endast på begäran av dessa personer eller om de
själva är mottagarna.
59) Särskilda åtgärder kan vidtas för att uppväga en otillräcklig skydds-
nivå i ett tredje land om den registeransvarige ställer lämpliga
garantier. Bestämmelser om förfaranden för förhandling mellan
gemenskapen och tredje land måste antas.
60) Överföring till tredje land far i vilket fall som helst endast utföras i
enlighet med bestämmelser som medlemsstaterna antagit för
genomförande av detta direktiv, särskilt artikel 8 i detta.
61) Medlemsstaterna och kommissionen måste på sina respektive
kompetensområden uppmuntra berörda delar av näringslivet att anta
uppförandekodexar för att underlätta genomförandet av detta direk-
tiv med beaktande av de särskilda former av behandling som utförs
på vissa områden och med respekt för de nationella bestämmelser
som antagits för dess genomförande.
62) För skyddet av enskilda personer med avseende på behandlingen av
personuppgifter är det av avgörande betydelse att medlemsstaterna
inrättar oberoende tillsynsmyndigheter.
63) Dessa myndigheter måste ges nödvändiga resurser för att utföra sina
uppgifter, såsom befogenhet att - särskilt när det gäller klagomål
från enskilda personer - undersöka och intervenera samt befogen-
heter att inleda rättsliga förfaranden. De måste även bidra till att
Prop. 2000/01:50
Bilaga 1
49
garantera insyn i behandlingen av uppgifter i de medlemsstater
under vilkas jurisdiktion de hör.
64) Tillsynsmyndigheterna i de olika medlemsstaterna kommer att
behöva bistå varandra i samband med utförandet av de uppgifter
som åligger dem för att säkerställa att skyddsreglema respekteras på
ett tillfredsställande sätt i hela Europeiska unionen.
65) En arbetsgrupp för skydd av enskilda personer i samband med
behandling av personuppgifter skall inrättas på gemenskapsnivå.
Gruppen skall vid utförandet av sina uppgifter vara fullständigt
oberoende. Gruppen skall med hänsyn till sin särskilda karaktär ge
kommissionen råd och bidra till den enhetliga tillämpningen av de
nationella regler som antagits för att genomföra detta direktiv.
66) Med avseende på överföring av uppgifter till tredje land fordrar
genomförandet av detta direktiv att kommissionen ges befogenhet
att besluta om genomförandet och att ett förfarande i enlighet med
riktlinjerna i rådets beslut 87/373/EEG(l) införs.
67) Den 20 december 1994 träffade Europaparlamentet, rådet och
kommissionen en överenskommelse om ett ”modus vivendi” beträf-
fande genomförandeåtgärder for rättsakter som antagits i enlighet
med förfarandet i artikel 189b i Romfördraget.
68) De principer för skyddet av enskilda personers fri- och rättigheter,
och då särskilt rätten till privatliv, som i detta direktiv uppställs med
avseende på behandling av personuppgifter skall för vissa områdens
vidkommande kunna kompletteras eller preciseras med hjälp av
särskilda bestämmelser som skall överensstämma med dessa
principer.
69) Medlemsstaterna bör ges en frist på högst tre år räknat från
ikraftträdandet av de nationella bestämmelser som antas för att
genomföra detta direktiv, så att de stegvis kan tillämpa de nya
nationella bestämmelserna på alla sådana behandlingar som redan
påbörjats. För att möjliggöra ett kostnadseffektivt genomförande av
dessa bestämmelser skall medlemsstaterna tillåtas att under
ytterligare en tidsperiod, som löper ut tolv år efter dagen för
antagandet av detta direktiv, vidta åtgärder för att säkerställa att då
befintliga manuella register bringas i överensstämmelse med vissa
av direktivets bestämmelser. Uppgifter som ingår i dessa register
och som behandlas manuellt under denna förlängda övergångs-
period skall dock när det är föremål för en ytterligare sådan
behandling bringas i överensstämmelse med dessa bestämmelser.
70) Det är inte nödvändigt att den registrerade på nytt lämnar sitt
samtycke till att den registeransvarige fortsätter att behandla käns-
liga uppgifter, när en sådan behandling är nödvändig för genom-
förandet av att avtal som har slutits på grundval av frivilligt och
informerat samtycke före dessa bestämmelsers ikraftträdande.
71) Detta direktiv hindrar inte en medlemsstat från att anta bestämmel-
ser för att reglera sådan marknadsföring som riktar sig till
konsumenter som har hemvist inom dess territorium, förutsatt att
dessa regler inte rör skyddet av enskilda personer med avseende på
behandling av personuppgifter.
Prop. 2000/01:50
Bilaga 1
50
72) Detta direktiv gör det möjligt att vid genomförandet av dessa
bestämmelser ta hänsyn till principen om allmänhetens rätt till
tillgång till allmänna handlingar.
Prop. 2000/01:50
Bilaga 1
51
HÄRIGENOM FÖRESKRIVS FÖLJANDE.
Artikel 1
1. Medlemsstaterna skall i enlighet med detta direktiv skydda fysiska
personers grundläggande fri och rättigheter, särskilt rätten till privatliv, i
samband med behandling av personuppgifter.
2. Medlemsstaterna får varken begränsa eller förbjuda det fria flödet av
personuppgifter mellan medlemsstaterna av skäl som har samband med
det under punkt 1 föreskrivna skyddet.
Artikel 2
I detta direktiv avses med
a) personuppgifter: varje upplysning som avser en identifierad eller
identifierbar fysisk person (den registrerade). En identifierbar person är
en person som kan identifieras, direkt eller indirekt, framför allt genom
hänvisning till ett identifikationsnummer eller till en eller flera faktorer
som är specifika för hans fysiska, fysiologiska, psykiska, ekonomiska,
kulturella eller sociala identitet,
b) behandling av personuppgifter (behandling): varje åtgärd eller serie
av åtgärder som vidtas beträffande personuppgifter, vare sig det sker på
automatisk väg eller inte, till exempel insamling, registrering, organi-
sering, lagring, bearbetning eller ändring, återvinning, inhämtande,
användning, utlämnande genom översändande, spridning eller annat
tillhandahållande av uppgifter, sammanställning eller samköming,
blockering, utplåning eller förstöring,
c) register med personuppgifter (register)1, varje strukturerad samling av
personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om
samlingen är centraliserad, decentraliserad eller spridd på grundval av
funktionella eller geografiska förhållanden,
d) registeransvarig: den fysiska eller juridiska person, den myndighet,
den institution eller det andra organ som ensamt eller tillsammans med
andra bestämmer ändamålen och medlen för behandlingen av person-
uppgifter. När ändamålen och medlen för behandlingen bestäms av
nationella lagar och andra författningar eller av gemenskapsrätten kan
den registeransvarige eller de särskilda kriterierna för att utse honom
anges i nationell rätt eller i gemenskapsrätten,
e) registerjorare: den fysiska eller juridiska person, den myndighet, den
institution eller det andra organ som behandlar personuppgifter för den
registeransvariges räkning,
f) tredje man: den fysiska eller juridiska person, den myndighet, den
institution eller det andra organ än den registrerade, den register-
Prop. 2000/01:50
Bilaga 1
52
ansvarige, registerföraren och de personer som under den register- Prop. 2000/01:50
ansvariges eller registerförarens direkta ansvar har befogenhet att Bilaga 1
behandla uppgifterna,
g) mottagare: den fysiska eller juridiska person, den myndighet, den
institution eller det andra organ till vilket uppgifterna utlämnas, vare sig
det är en tredje man eller inte. Myndigheter som kan komma att motta
uppgifter inom ramen för ett särskilt uppdrag skall dock inte betraktas
som mottagare,
h) den registrerades samtycke: varje slag av frivillig, särskild och
informerad viljeyttring genom vilken den registrerade godtar behandling
av personuppgifter som rör honom.
Artikel 3
1. Detta direktiv gäller för sådan behandling av personuppgifter som helt
eller delvis företas på automatisk väg liksom för annan behandling än
automatisk av personuppgifter som ingår i eller kommer att ingå i ett
register.
2. Detta direktiv gäller inte för sådan behandling av personuppgifter
- som utgör ett led i en verksamhet som inte omfattas av gemenskaps-
rätten, exempelvis sådan verksamhet som avses i avdelningarna V och VI
i Fördraget om Europeiska unionen, och inte under några omständigheter
behandlingar som rör allmän säkerhet, försvar, statens säkerhet (inbe-
gripet statens ekonomiska välstånd när behandlingen har samband med
frågor om statens säkerhet) och statens verksamhet på straffrättens
område,
- av en fysisk person som ett led i verksamhet av rent privat natur eller
som har samband med hans hushåll.
Artikel 4
1. Varje medlemsstat skall tillämpa de nationella bestämmelser som den
för genomförandet av detta direktiv antar för behandlingen av
personuppgifter när
a) behandlingen utförs som ett led i verksamhet inom den medlemsstats
territorium, där den registeransvarige är etablerad. Om en register-
ansvarig är etablerad inom flera medlemsstaters territorier skall han vidta
nödvändiga åtgärder för att säkerställa att alla verksamheter uppfyller
kraven enligt den tillämpliga nationella lagstiftningen,
b) den registeransvarige inte är etablerad inom en medlemsstats
territorium utan på en plats där medlemsstatens lagstiftning gäller på
grund av folkrätten,
c) den registeransvarige inte är etablerad på gemenskapens territorium
och för behandling av personuppgifter använder databehandlad eller icke
databehandlad utrustning som befinner sig på den nämnda medlems-
statens territorium, om inte sådan utrustning endast används för att låta
uppgifter passera genom gemenskapen.
2. Under de omständigheter som avses i punkt 1 c) måste den
registeransvarige utse en företrädare som är etablerad inom den berörda
medlemsstatens territorium, utan att detta i övrigt påverkar de eventuella
rättsliga åtgärder som kan komma att inledas mot den ansvarige själv.
KAPITEL II
Artikel 5
Medlemsstaterna skall inom de begränsningar som bestämmelserna i
detta kapitel innebär, precisera på vilka villkor behandling av
personuppgifter är tillåten.
AVDELNING I
Artikel 6
1. Medlemsstaterna skall föreskriva att personuppgifter
a) skall behandlas på ett korrekt och lagligt sätt,
b) skall samlas in för särskilda, uttryckligt angivna och berättigade
ändamål; senare behandling far inte ske på ett sätt som är oförenligt med
dessa ändamål. Senare behandling av uppgifter för historiska, statistiska
eller vetenskapliga ändamål skall inte anses oförenlig med dessa ändamål
förutsatt att medlemsstaterna beslutar om lämpliga skyddsåtgärder,
c) skall vara adekvata och relevanta och inte får omfatta mer än vad som
är nödvändigt med hänsyn till de ändamål för vilka de har samlats in och
för vilka de senare behandlas,
d) skall vara riktiga och, om nödvändigt, aktuella. Alla rimliga åtgärder
måste vidtas för att säkerställa att personuppgifter som är felaktiga eller
ofullständiga i förhållande till de ändamål för vilka de samlades in eller
för vilka de senare behandlas, utplånas eller rättas,
e) förvaras på ett sätt som förhindrar identifiering av den registrerade
under en längre tid än vad som är nödvändigt för de ändamål för vilka
uppgifterna samlades in eller för vilka de senare behandlades. Medlems-
staterna skall vidta lämpliga skyddsåtgärder för de personuppgifter som
lagras under längre perioder för historiska, statistiska eller vetenskapliga
ändamål.
2. Det åligger den registeransvarige att säkerställa att punkt 1 efterlevs.
Prop. 2000/01:50
Bilaga 1
54
AVDELNING II
PRINCIPER SOM GÖR ATT UPPGIFTSBEHANDLING KAN
TILLÅTAS
Artikel 7
Medlemsstaterna skall föreskriva att personuppgifter far behandlas
endast om
a) den registrerade otvetydigt har lämnat sitt samtycke, eller
b) behandlingen är nödvändig för att fullgöra ett avtal i vilket den
registrerade är part eller för att vidta åtgärder på begäran av den
registrerade innan ett sådant avtal ingås, eller
c) behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som
åvilar den registeransvarige, eller
d) behandlingen är nödvändig för att skydda intressen som är av
grundläggande betydelse för den registrerade, eller
e) behandlingen är nödvändig för att utföra en arbetsuppgift av allmänt
intresse eller som är ett led i myndighetsutövning som utförs av den
registeransvarige eller tredje man till vilken uppgifterna har lämnats ut,
eller
f) behandlingen är nödvändig för ändamål som rör berättigade intressen
hos den registeransvarige eller hos den eller de tredje män till vilka
uppgifterna har lämnats ut, utom när sådana intressen uppvägs av den
registrerades intressen eller dennes grundläggande fri- och rättigheter
som kräver skydd under artikel 1.1.
AVDELNING III
Artikel 8
1. Medlemsstaterna skall förbjuda behandling av personuppgifter som
avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller
filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör
hälsa och sexualliv.
2. Punkt 1 gäller inte om
a) den registrerade har lämnat sitt uttryckliga samtycke till en sådan
behandling, utom när det enligt medlemsstatens lagstiftning anges att
förbudet i punkt 1 inte kan upphävas genom den registrerades samtycke,
eller
b) behandlingen är nödvändig för att fullgöra de skyldigheter och
särskilda rättigheter som åligger den registeransvarige inom arbetsrätten,
i den omfattning detta är tillåtet enligt en nationell lagstiftning som
föreskriver lämpliga skyddsåtgärder, eller
Prop. 2000/01:50
Bilaga 1
55
c) behandlingen är nödvändig för att skydda den registrerades eller Prop. 2000/01:50
någon annan persons grundläggande intressen när den registrerade är Bilaga 1
fysiskt eller rättsligt förhindrad att ge sitt samtycke, eller
d) behandlingen utförs inom ramen för berättigad verksamhet hos en
stiftelse, en förening eller ett annat icke vinstdrivande organ, som har ett
politiskt, filosofiskt, religiöst eller fackligt syfte, förutsatt att behand-
lingen endast rör sådana organs medlemmar eller personer som på grund
av organets ändamål har regelbunden kontakt med detta och uppgifterna
inte lämnas ut till tredje man utan den registrerades samtycke, eller
e) behandlingen rör uppgifter som på ett tydligt sätt offentliggörs av den
registrerade eller är nödvändiga för att kunna fastslå, göra gällande eller
försvara rättsliga anspråk.
3. Punkt 1 gäller inte när behandlingen av uppgifterna är nödvändig med
hänsyn till förebyggande hälso- och sjukvård, medicinska diagnoser,
vård eller behandling eller administration av hälso- eller sjukvård eller
när dessa uppgifter behandlas av någon som är yrkesmässigt verksam på
hälso- och sjukvårdsområdet och som enligt nationell lagstiftning eller
bestämmelser som antagits av behöriga nationella organ är underkastad
tystnadsplikt eller av en annan person som är ålagd en liknande
tystnadsplikt.
4. Under förutsättning av lämpliga skyddsåtgärder och av hänsyn till ett
viktigt allmänt intresse far medlemsstaterna antingen i sin nationella
lagstiftning eller genom ett beslut av tillsynsmyndigheten besluta om
andra undantag än de som nämns i punkt 2.
5. Behandling av uppgifter om lagöverträdelser, brottmålsdomar eller
säkerhetsåtgärder får utföras endast under kontroll av en myndighet eller
- om lämpliga skyddsåtgärder finns i nationell lag - med förbehåll för de
ändringar som medlemsstaterna kan tillåta med stöd av nationella
bestämmelser som innehåller lämpliga och specifika skyddsåtgärder. Ett
fullständigt register över brottmålsdomar får dock föras endast under
kontroll av en myndighet.
Medlemsstaterna lår föreskriva att uppgifter som rör administrativa
sanktioner eller avgöranden i tvistemål också skall behandlas under
kontroll av en myndighet.
6. De undantag från punkt 1 som anges i punkterna 4 och 5 skall anmälas
till kommissionen.
7. Medlemsstaterna skall bestämma på vilka villkor ett nationellt
identifikationsnummer eller något annat vedertaget sätt för identifiering
får behandlas.
56
Artikel 9
Medlemsstaterna skall med avseende på behandling av personuppgifter
som sker uteslutande för journalistiska ändamål eller konstnärligt eller
litterärt skapande besluta om undantag och avvikelser från bestämmel-
serna i detta kapitel, kapitel IV och kapitel VI endast om de är
nödvändiga för att förena rätten till privatlivet med reglerna om
yttrandefriheten.
INFORMATIONSPLIKT TILL DEN REGISTRERADE
Artikel 10
Medlemsstaterna skall föreskriva att den registeransvarige eller hans
företrädare i vart fall skall ge den person från vilken uppgifter om honom
själv samlas in följande information, utom i fall då han redan känner till
informationen:
a) Den registeransvariges och dennes eventuella företrädares identitet.
b) Ändamålen med den behandling för vilken uppgifterna är avsedda.
c) All ytterligare information, exempelvis
- mottagarna eller de kategorier som mottar uppgifterna,
- huruvida det är obligatoriskt eller frivilligt att besvara frågorna
samt eventuella följder av att inte svara,
- förekomsten av rättigheter att fa tillgång till och att erhålla rättelse
av uppgifter som rör honom,
i den utsträckning som den ytterligare informationen - med hänsyn till de
särskilda omständigheter under vilka uppgifterna samlas in - är
nödvändig för att tillförsäkra den registrerade en korrekt behandling.
Artikel 11
1. Om uppgifterna inte har samlats in från den registrerade, skall
medlemsstaterna föreskriva att den registeransvarige eller hans före-
trädare vid tiden för registreringen av personuppgifter eller, om utläm-
nande till en tredje man kan förutses, inte senare än vid den tidpunkt då
uppgifterna först lämnas ut, skall ge den registrerade åtminstone följande
information, utom när den registrerade redan känner till informationen:
a) Den registeransvariges och dennes eventuella företrädares identitet.
b) Ändamålen med behandlingen.
c) All ytterligare information, exempelvis
- de kategorier av uppgifter som behandlingen gäller,
- mottagarna eller de kategorier som mottar uppgifterna.
Prop. 2000/01:50
Bilaga 1
57
- förekomsten av rättigheter att fl tillgång till och att erhålla rättelse av
de uppgifter som rör honom, i den utsträckning som den ytterligare
informationen - med hänsyn till de särskilda omständigheter under vilka
uppgifterna samlas in - är nödvändig för att tillförsäkra den registrerade
en korrekt behandling.
2. Bestämmelserna i punkt 1 skall inte gälla när det - särskilt i samband
med behandling för statistiska ändamål eller historiska eller veten-
skapliga forskningsändamål - visar sig omöjligt eller innebära en
oproportionerligt stor ansträngning att ge information eller om regist-
rering eller utlämnande uttryckligen föreskrivs i författning. I sådana fall
skall medlemsstaterna föreskriva lämpliga skyddsåtgärder.
AVDELNING V
DEN REGISTRERADES RÄTT ATT FÅ TILLGÅNG TILL
UPPGIFTER
Artikel 12
Medlemsstaterna skall säkerställa att varje registrerad har rätt att från den
registeransvarige
a) utan hinder och med rimliga intervall samt utan större tidsutdräkt
eller kostnader
- fa bekräftelse på om uppgifter som rör honom behandlas eller inte
och information om åtminstone ändamålen med behandlingen, de
berörda uppgiftskategoriema och mottagarna eller mottagarkatc-
goriema till vilka uppgifterna utlämnas,
- få begriplig information om vilka uppgifter som behandlas och all
tillgänglig information om varifrån dessa uppgifter kommer,
- få kännedom om den logik som används när uppgifter som rör
honom behandlas på automatisk väg åtminstone såvitt avser sådana
automatiska beslut som avses i artikel 15.1,
b) i förekommande fall få sådana uppgifter som inte behandlats i enlighet
med bestämmelserna i detta direktiv rättade, utplånade eller blockera-
de, särskilt om dessa är ofullständiga eller felaktiga,
c) få genomfört att en tredje man till vilken sådana uppgifter utlämnats
underrättas om varje rättelse, utplåning eller blockering som utförts i
enlighet med punkt b), om detta inte visar sig vara omöjligt eller
innebär en oproportionerligt stor ansträngning.
Prop. 2000/01:50
Bilaga 1
58
AVDELNING VI
Artikel 13
1. Medlemsstaterna får genom lagstiftning vidta åtgärder för att begränsa
omfattningen av de skyldigheter och rättigheter som anges i artiklarna
6.1, 10, 11.1, 12 och 21 i fall då en sådan begränsning är en nödvändig
åtgärd med hänsyn till
a) statens säkerhet,
b) försvaret,
c) allmän säkerhet,
d) förebyggande, undersökning, avslöjande av brott eller åtal för brott
eller av överträdelser av etiska regler som gäller för lagreglerade
yrken,
e) ett viktigt ekonomiskt eller finansiellt intresse hos en medlemsstat
eller hos Europeiska unionen, inklusive monetära frågor,
budgetfrågor och skattefrågor,
f) en tillsyns-, inspektions- eller regleringsfunktion som, även om den
är av övergående karaktär, är förbunden med myndighetsutövning i
de under punkterna c), d) och e) nämnda fallen,
g) skydd av den registrerades eller andras fri- och rättigheter.
2. Under förutsättning av lämpliga rättsliga garantier får medlems-
staterna, i synnerhet om uppgifterna inte används för åtgärder eller beslut
som avser särskilda registrerade personer, i fall då det uppenbarligen inte
föreligger någon risk att den berörda personens privatliv kränks, genom
lagstiftning begränsa de rättigheter som anges i artikel 12 när uppgifterna
endast behandlas för ändamål som har med vetenskaplig forskning att
göra eller när uppgifterna endast lagras i form av personuppgifter under
en begränsad tid som inte överstiger den tid som är nödvändig för att
framställa statistik.
AVDELNING VII
Artikel 14
Medlemsstaterna skall tillförsäkra den registrerade rätten att
a) åtminstone i de fall som avses i artikel 7 e) och f) när som helst av
avgörande och berättigade skäl som rör hans personliga situation
motsätta sig behandling av uppgifter som rör honom, utom när den
nationella lagstiftningen föreskriver något annat. När invändningen är
berättigad får den behandling som påbörjats av den registeransvarige
inte längre avse dessa uppgifter,
Prop. 2000/01:50
Bilaga 1
59
b) efter anmodan och utan kostnader motsätta sig behandling av
personuppgifter som rör honom och som den registeransvarige
bedömer kan komma att behandlas for ändamål som rör direkt
marknadsföring, eller att bli informerad innan personuppgifter för
första gången lämnas ut till tredje man eller används för tredje mans
räkning för ändamål som rör direkt marknadsföring, och att
uttryckligen få erbjudande om att utan kostnader motsätta sig ett
sådant utlämnande eller sådan användning.
Medlemsstaterna skall vidta nödvändiga åtgärder för att säkerställa att de
registrerade känner till den rättighet som anges i första stycket i b).
Artikel 15
1. Medlemsstaterna skall ge varje person rätten att inte bli föremål för ett
beslut som har rättsliga följder för honom eller som märkbart påverkar
honom och som enbart grundas på automatisk behandling av uppgifter
som är avsedda att bedöma vissa personliga egenskaper hos honom,
exempelvis hans arbetsprestationer, kreditvärdighet, pålitlighet och
uppträdande.
2. Om inte annat följer av övriga bestämmelser i detta direktiv skall
medlemsstaterna föreskriva att en person lår bli föremål för ett beslut av
det slag som avses i punkt 1 om beslutet
a) fattas som ett led i ingåendet eller fullgörandet av ett avtal, förutsatt
att den registrerades begäran om ingående eller fullgörande av avtalet har
bifallits eller att det vidtas lämpliga åtgärder för att skydda hans
berättigade intressen, exempelvis möjligheten för honom att göra sin
uppfattning gällande, eller
b) tillåts i lagstiftning som innehåller bestämmelser till skydd för den
registrerades berättigade intressen.
Artikel 16
Den som utför arbete under den registeransvarige eller registerföraren,
liksom registerföraren själv, och som får tillgång till personuppgifter, får
behandla dem endast enligt instruktion från den registeransvarige, om
han inte är skyldig att göra det enligt lag.
Prop. 2000/01:50
Bilaga 1
60
Artikel 17
1. Medlemsstaterna skall föreskriva att den registeransvarige skall
genomföra lämpliga tekniska och organisatoriska åtgärder för att skydda
personuppgifter från förstöring genom olyckshändelse eller otillåtna
handlingar eller förlust genom olyckshändelse samt mot ändringar,
otillåten spridning av eller otillåten tillgång till uppgifterna, särskilt om
behandlingen innefattar överföring av uppgifter i ett nätverk, och mot
varje annat slag av otillåten behandling.
Dessa åtgärder skall med beaktande av den nuvarande tekniska nivån och
de kostnader som är förenade med åtgärdernas genomförande
åstadkomma en lämplig säkerhetsnivå i förhållande till de risker som är
förknippade med behandlingen och arten av de uppgifter som skall
skyddas.
2. Medlemsstaterna skall föreskriva att den registeransvarige, när
behandlingen utförs för dennes räkning, skall välja en registerförare som
kan ge tillräckliga garantier vad gäller de tekniska säkerhetsåtgärder och
de organisatoriska åtgärder som måste vidtas och tillse att dessa åtgärder
genomförs.
3. När uppgifter behandlas av en registerförare skall hanteringen regleras
genom ett avtal eller genom en annan rättsligt bindande handling mellan
registerföraren och den registeransvarige och i handlingen skall särskilt
föreskrivas att
- registerföraren endast far handla på instruktioner från den register-
ansvarige,
- de skyldigheter som anges i punkt 1, såsom de definieras i
lagstiftningen i den medlemsstat i vilken registerföraren är etablerad,
även skall åvila registerföraren.
4. För att säkra bevisning skall de delar av avtalet eller den rättsligt
bindande handlingen som rör skyddet av uppgifter och de krav som rör
åtgärder som anges i punkt 1 föreligga i skriftlig eller därmed jämförlig
form.
Artikel 18
1. Medlemsstaterna skall föreskriva att den registeransvarige eller hans
eventuella företrädare före genomförandet av en behandling eller en serie
behandlingar som helt eller delvis genomförs på automatisk väg och som
Prop. 2000/01:50
Bilaga 1
61
har samma eller flera närbesläktade ändamål skall underrätta den
tillsynsmyndighet som avses i artikel 28.
2. Medlemsstaterna får endast i följande fall och på följande villkor
föreskriva om undantag från anmälningsplikten eller förenklad anmäl-
ningsplikt:
- Om medlemsstaten för de typer av behandling, i samband med vilka
det med hänsyn till de behandlade uppgifterna inte är sannolikt att de
registrerades fri- och rättigheter kränks, anger behandlingens ända-
mål, vilka uppgifter eller kategorier av uppgifter som behandlas,
vilka registrerade eller kategorier av registrerade som avses, till vilka
mottagare eller kategorier av mottagare uppgifterna lämnas ut samt
hur länge uppgifterna skall bevaras och/eller
- om den registeransvarige i enlighet med den nationella lagstiftning
som gäller för denne, utser ett uppgiftsskyddsombud, som särskilt
skall ha till uppgift
- att på ett oberoende sätt säkerställa den interna tillämpningen av de
nationella bestämmelser som antagits till följd av detta direktiv,
- att föra ett register över de behandlingar som utförs av den register-
ansvarige, vilket register skall innehålla den information som nämns i
artikel 21.2,
- för att på detta sätt säkerställa att de registrerades fri- och rättigheter
sannolikt inte kommer att kränkas som en följd av behandlingarna.
3. Medlemsstaterna får föreskriva att punkt 1 inte skall gälla för en sådan
behandling vars enda syfte är förandet av ett register, som enligt lagar
eller andra författningar är avsett att förse allmänheten med information
och som är tillgängligt antingen för allmänheten eller för var och en som
kan styrka ett berättigat intresse.
4. Medlemsstaterna får föreskriva undantag från anmälningsplikten eller
ett förenklat anmälningsförfarande för sådan behandling som avses i
artikel 8.2 d).
5. Medlemsstaterna får föreskriva att vissa eller alla icke-automatiska
behandlingar av personuppgifter skall anmälas eller att ett förenklat
anmälningsförfarande skall gälla för dem.
Artikel 19
1. Medlemsstaterna skall precisera vilka uppgifter som anmälan skall
innehålla. Den skall åtminstone innehålla
a) den registeransvariges och dennes eventuella företrädares namn och
adress,
b) ändamålen med behandlingen,
c) en beskrivning av den eller de kategorier av registrerade som berörs
och av de uppgifter eller kategorier av uppgifter som hänför sig till
dem,
Prop. 2000/01:50
Bilaga 1
62
d) mottagarna eller de kategorier av mottagare till vilka uppgifterna kan
komma att lämnas ut,
e) föreslagna överföringar av uppgifter till tredje land,
f) en allmän beskrivning som gör det möjligt att preliminärt bedöma
lämpligheten av de åtgärder som i enlighet med artikel 17 vidtagits
för att trygga säkerheten i behandlingen.
2. Medlemsstaterna skall ange villkoren för anmälan till tillsyns-
myndigheten av förändringar som rör den i punkt 1 angivna informa-
tionen.
Artikel 20
1. Medlemsstaterna skall bestämma vilka behandlingar som kan innebära
särskilda risker för den registrerades fri- och rättigheter och skall
säkerställa att dessa behandlingar kontrolleras innan de påbörjas.
2. Sådana förhandskontroller skall utföras av tillsynsmyndigheten när
den mottagit anmälan från den registeransvarige eller från uppgifts-
skyddsombudet, som i tveksamma fall skall rådfråga tillsynsmyndig-
heten.
3. Medlemsstaterna kan också utföra sådana kontroller som ett led i det
nationella parlamentets förberedande arbete med en åtgärd eller som ett
led i arbetet med en åtgärd som grundas på en sådan lagstiftande åtgärd,
som definierar behandlingens art och anger lämpliga skyddsåtgärder.
Artikel 21
1. Medlemsstaterna skall vidta åtgärder för att tillse att behandlingarna
görs offentligt tillgängliga.
2. Medlemsstaterna skall föreskriva att tillsynsmyndigheten skall föra ett
register över sådana behandlingar som har anmälts i enlighet med artikel
18.
Registret skall innehålla åtminstone den information som anges i artikel
19.1 a)-e).
Registret skall vara allmänt tillgängligt.
3. För sådan behandling som inte omfattas av anmälningsplikt skall
medlemsstaterna föreskriva att de registeransvariga eller något annat
organ, som medlemsstaterna utser, på lämpligt sätt skall tillhandahålla
var och en som begär det åtminstone den information som anges i artikel
19.1 a-e).
Prop. 2000/01:50
Bilaga 1
63
Medlemsstaterna får föreskriva att denna bestämmelse inte skall
tillämpas på sådan behandling vars enda ändamål är att föra ett register,
som i enlighet med lagar eller andra författningar är avsett att ge
allmänheten information och som är tillgängligt for allmänheten eller för
var och en som kan styrka ett berättigat intresse.
RÄTTSLIG PRÖVNING, ANSVAR OCH SANKTIONER
Artikel 22
Medlemsstaterna skall - utan att det påverkar möjligheten att utnyttja
något administrativt förfarande, till exempel vid den tillsynsmyndighet
som avses i artikel 28, som kan användas innan ett ärende anhängiggörs
hos en rättslig instans - föreskriva att var och en har rätt att föra talan
inför domstol om sådana kränkningar av rättigheter som skyddas av den
nationella lagstiftning som är tillämplig på ifrågavarande behandling.
Artikel 23
1. Medlemsstaterna skall föreskriva att var och en som lidit skada till
följd av en otillåten behandling eller av någon annan åtgärd som är
oförenlig med de nationella bestämmelser som antagits till följd av detta
direktiv, har rätt till ersättning av den registeransvarige för den skada
som han har lidit.
2. Den registeransvarige kan helt eller delvis undgå detta ansvar om han
bevisar att han inte är ansvarig for den händelse som orsakade skadan.
Artikel 24
Medlemsstaterna skall anta lämpliga bestämmelser för att säkerställa att
detta direktiv genomförs fullständigt och skall särskilt besluta om de
sanktioner som skall användas vid överträdelse av de bestämmelser som
antagits för att genomföra detta direktiv.
Prop. 2000/01:50
Bilaga 1
64
ÖVERFÖRING AV PERSONUPPGIFTER TILL TREDJE LAND
Artikel 25
1. Medlemsstaterna skall föreskriva att överföringen av personuppgifter
som är under behandling eller som är avsedda att behandlas efter
överföring till tredje land endast far ske om ifrågavarande tredje land -
utan att detta påverkar tillämpningen av de nationella bestämmelser som
antagits till följd av de andra bestämmelserna i detta direktiv -
säkerställer en adekvat skyddsnivå.
2. Bedömningen av om skyddsnivån i ett tredje land är adekvat skall ske
på grundval av alla de förhållanden som har samband med en överföring
eller en grupp av överföringar av uppgifter. Härvid skall särskilt beaktas
uppgiftens art, den eller de avsedda behandlingarnas ändamål och varak-
tighet, ursprungslandet och det slutliga bestämmelselandet, de allmänna
respektive särskilda rättsregler som gäller i ifrågavarande tredje land
liksom de regler för yrkesverksamhet och säkerhet som gäller där.
3. Medlemsstaterna och kommissionen skall informera varandra när de
anser att ett tredje land inte erbjuder en adekvat skyddsnivå enligt punkt
2.
4. Om kommissionen i enlighet med ett sådant förfarande som beskrivs i
artikel 31.2 finner att ett tredje land inte erbjuder en sådan adekvat
skyddsnivå som beskrivs i punkt 2 i denna artikel, skall medlemsstaterna
vidta de åtgärder som är nödvändiga för att hindra överföring av
uppgifter av samma slag till ifrågavarande tredje land.
5. Vid lämpligt tillfälle skall kommissionen inleda förhandlingar för att
avhjälpa den situation som uppstått när kommissionen kommit till den
slutsats som anges i punkt 4.
6. Kommissionen kan, i enlighet med det i artikel 31.2 angivna
förfarandet, konstatera att ett tredje land genom sin interna lagstiftning
eller på grund av de internationella förpliktelser som - särskilt till följd
av sådana förhandlingar som anges i punkt 5 och som gäller skyddet för
privatliv och enskilda personers grundläggande fri- och rättigheter -
åligger landet har en skyddsnivå som är adekvat i den mening som avses
i punkt 2 i denna artikel.
Medlemsstaterna skall vidta de åtgärder som är nödvändiga för att följa
kommissionens beslut.
Prop. 2000/01:50
Bilaga 1
3 Riksdagen 2000/01. 1 saml. Nr 50
Artikel 26
1. Med undantag från artikel 25 skall medlemsstaterna - om det inte
finns tvingande regler om detta i deras lagstiftning - före-skriva att
överföring av personuppgifter till ett tredje land som inte har en adekvat
skyddsnivå i den mening som avses i artikel 25.2 får ske om
a) den registrerade otvetydigt har samtyckt till den planerade
överföringen, eller
b) överföringen är nödvändig för att fullgöra ett avtal mellan den
registrerade och den registeransvarige eller för att på den registrera-
des begäran genomföra åtgärder som vidtas innan avtalet ingås, eller
c) överföringen är nödvändig för att ingå eller fullgöra ett avtal mellan
den registeransvarige och tredje man i den registrerades intresse, eller
d) överföringen är nödvändig eller bindande enligt författning av skäl
som rör viktiga allmänna intressen eller för att fastslå, göra gällande
eller försvara rättsliga anspråk, eller
e) överföringen är nödvändig för att skydda intressen som är av
avgörande betydelse för den registrerade, eller
f) överföringen görs från ett offentligt register som enligt lagar eller
andra författningar är avsett att ge allmänheten information och som
är tillgängligt antingen för allmänheten eller för var och en som kan
styrka ett berättigat intresse, i den utsträckning som de i lag-
stiftningen angivna villkoren för tillgänglighet uppfylls i det enskilda
fallet.
2. Utan att detta påverkar tillämpningen av punkt 1 får en medlemsstat
tillåta överföring av personuppgifter till ett tredje land som inte säker-
ställer en skyddsnivå som är adekvat enligt artikel 25.2, om den
registeransvarige ställer tillräckliga garantier för att privatliv och
enskilda personers grundläggande fri- och rättigheter skyddas samt för
utövningen av motsvarande rättigheter. Sådana garantier kan framgå av
lämpliga avtalsklausuler.
3. Medlemsstaten skall informera kommissionen och de övriga medlems-
staterna om de överföringar som tillåtits enligt punkt 2.
Om en medlemsstat eller kommissionen på grunder som är berättigade
med hänsyn till skyddet för privatliv och enskilda personers grund-
läggande fri- och rättigheter gör en invändning skall kommissionen vidta
lämpliga åtgärder i enlighet med det förfarande som avses i artikel 31.2.
Medlemsstaterna skall vidta de åtgärder som är nödvändiga för att följa
kommissionens beslut.
4. Om kommissionen i enlighet med det förfarande som anges i artikel
31.2 beslutar att vissa standardavtalsklausuler erbjuder tillräckliga garan-
tier enligt punkt 2, skall medlemsstaterna vidta nödvändiga åtgärder för
att följa kommissionens beslut.
Prop. 2000/01:50
Bilaga 1
66
KAPITEL V
Prop. 2000/01:50
Bilaga 1
Artikel 21
1. Medlemsstaterna och kommissionen skall uppmuntra utarbetande av
uppförandekodexar som — med beaktande av de särskilda förhållandena
på olika områden - skall bidra till att på ett riktigt sätt genomföra de
nationella bestämmelser som medlemsstaterna antar för att genomföra
detta direktiv.
2. Medlemsstaterna skall föreskriva att branschorganisationer eller andra
organ som företräder andra kategorier av registeransvariga, som har
upprättat förslag till nationella kodexar eller som avser att ändra eller
utöka existerande nationella kodexar, kan lägga fram dessa för
bedömning av den nationella myndigheten.
Medlemsstaterna skall föreskriva att denna myndighet bland annat skall
kontrollera att de förslag som har lagts fram för myndigheten är i
överensstämmelse med de nationella bestämmelser som antagits till följd
av detta direktiv. Om myndigheten anser det lämpligt skall den inhämta
synpunkter från de registrerade eller deras företrädare.
3. Förslag till gemenskapskodexar och förslag till ändringar eller tillägg
till existerande sådana kodexar kan läggas fram för den arbetsgrupp som
avses i artikel 29. Denna arbetsgrupp skall bland annat avgöra om de
förslag som lagts fram för gruppen är i överensstämmelse med de
nationella bestämmelser som antagits för att genomföra detta direktiv.
Om gruppen anser det lämpligt skall den inhämta synpunkter från de
registrerade eller deras företrädare. Kommissionen kan tillse att de
kodexar som godkänts av arbetsgruppen offentliggörs på lämpligt sätt.
KAPITEL VI
TILLSYNSMYNDIGHET OCH ARBETSGRUPP FÖR SKYDD AV
ENSKILDA MED AVSEENDE PÅ BEHANDLINGEN AV
PERSONUPPGIFTER
Artikel 28
1. Varje medlemsstat skall tillse att det utses en eller flera myndigheter
som har till uppgift att inom dess territorium övervaka tillämpningen av
de bestämmelser som medlemsstaterna antar till följd av detta direktiv.
Dessa myndigheter skall fullständigt oberoende utöva de uppgifter som
åläggs dem.
67
2. Varje medlemsstat skall, tillse att tillsynsmyndigheten hörs när sådana
lagar eller andra författningar utarbetas som rör skyddet av enskilda
personers fri- och rättigheter med avseende på behandlingen av
personuppgifter.
3. Varje tillsynsmyndighet skall särskilt ha
- undersökningsbefogcnheter, såsom befogenhet att få tillgång till
uppgifter som blir föremål för behandling och befogenhet att inhämta
alla uppgifter som är nödvändiga för att sköta tillsynen,
- effektiva befogenheter att ingripa, som till exempel att kunna avge
yttranden i enlighet med artikel 20 innan en behandling äger rum, och
se till att sådana yttranden i lämplig omfattning offentliggörs, att
kunna besluta om blockering, utplåning eller förstöring av uppgifter,
att kunna besluta om tillfälligt eller slutligt förbud mot behandling,
att kunna ge den registeransvarige varning eller tillrättavisning eller
att kunna hänvisa saken till nationella parlament eller till andra
politiska institutioner,
- befogenhet att inleda rättsliga förfaranden när de nationella
bestämmelser som antagits till följd av detta direktiv har överträtts
eller att uppmärksamma de rättsliga myndigheterna på dessa
överträdelser.
Sådana beslut av tillsynsmyndigheten som går en part emot kan
överklagas till domstol.
4. Var och en kan, på egen hand eller företrädd av en organisation, vända
sig till tillsynsmyndigheten med begäran om skydd för sina fri- och
rättigheter med avseende på behandling av personuppgifter. Den berörda
personen skall informeras om vilka följder hans begäran har fått.
Var och en kan i samband med tillämpningen av de nationella bestäm-
melser som har antagits med stöd av artikel 13 i detta direktiv till
tillsynsmyndigheten ge in en begäran om att få kontrollera om en
behandling är tillåten. Den berörda personen skall informeras om vilka
följder hans begäran har fått.
5. Varje tillsynsmyndighet skall regelbundet upprätta en rapport om sin
verksamhet. Denna rapport skall offentliggöras.
6. En tillsynsmyndighet har, oavsett vilken nationell lagstiftning som
gäller för den aktuella behandlingen, behörighet att inom sin egen
medlemsstats territorium utöva de befogenheter som i enlighet med
punkt 3 åligger den. Varje myndighet kan av en myndighet i en annan
medlemsstat anmodas att utöva sina befogenheter.
Prop. 2000/01:50
Bilaga 1
De övervakande myndigheterna skall i den utsträckning som det behövs
samarbeta med varandra, särskilt genom att utbyta användbar informa-
tion.
68
7. Medlemsstaterna skall föreskriva att tillsynsmyndighetens ledamöter Prop. 2000/01:50
och personal, även sedan deras anställning upphört, skall ha tystnadsplikt Bilaga 1
med avseende på förtrolig information som de har tillgång till.
Artikel 29
1. En arbetsgrupp för skydd av enskilda med avseende på behandling av
personuppgifter, hädanefter kallad ”arbetsgruppen” inrättas härmed.
Arbetsgruppen skall vara rådgivande och oberoende.
2. Arbetsgruppen skall vara sammansatt av en företrädare för den eller de
tillsynsmyndigheter som utsetts av vaije medlemsstat, av en företrädare
för den eller de myndigheter som har inrättats för gemenskapens
institutioner och organ samt av en företrädare för kommissionen.
Varje medlem av arbetsgruppen skall utses av den institution eller av den
eller de myndigheter som han företräder. När en medlemsstat har fler
tillsynsmyndigheter än en, skall dessa utse en gemensam företrädare.
Detsamma skall gälla för de myndigheter som inrättats för gemenskapens
institutioner och organ.
3. Arbetsgruppen skall fatta beslut med enkel majoritet av tillsyns-
myndigheternas företrädare.
4. Arbetsgruppen skall välja sin ordförande. Ordförandens mandattid
skall vara två år. Mandatet kan förlängas.
5. Arbetsgruppens sekretariatsuppgifter skall ombesörjas av kommis-
sionen.
6. Arbetsgruppen skall själv fastställa sin arbetsordning.
7. Arbetsgruppen skall behandla frågor som förts upp på dess dagordning
av ordföranden, antingen på dennes eget initiativ eller på begäran av en
företrädare för tillsynsmyndigheterna eller för kommissionen.
Artikel 30
1. Arbetsgruppen skall
a) utreda varje fråga som rör tillämpningen av de nationella bestäm-
melser som antagits för genomförandet av detta direktiv, för att bidra
till en enhetlig tillämpning av bestämmelserna,
b) yttra sig till kommissionen om skyddsnivån inom gemenskapen och i
tredje land,
c) ge kommissionen råd om varje föreslagen ändring av detta direktiv,
om vilka ytterligare eller särskilda åtgärder som bör vidtas för att
skydda fysiska personers fri- och rättigheter med avseende på
69
4 Riksdagen 2000/01. 1 saml. Nr 50
behandling av personuppgifter och om alla andra föreslagna gemen-
skapsåtgärder som rör sådana fri- och rättigheter,
d) avge yttranden om de uppförandekodexar som utarbetas på gemen-
skapsnivå.
2. Om arbetsgruppen konstaterar förekomsten av sådana skillnader
mellan medlemsstaternas lagstiftning eller praxis, som kan vara till
nackdel för likvärdigheten i skyddet för personer med avseende på
behandlingen av personuppgifter inom gemenskapen, skall gruppen
informera kommissionen om detta.
3. Arbetsgruppen kan på eget initiativ utfärda rekommendationer i alla
frågor som rör skyddet av personer med avseende på behandlingen av
personuppgifter inom gemenskapen.
4. Arbetsgruppens yttranden och rekommendationer skall framläggas för
kommissionen och den kommitté som avses i artikel 31.
5. Kommissionen skall informera arbetsgruppen om det sätt på vilket den
har tagit hänsyn till yttrandena och rekommendationerna. För att göra
detta skall kommissionen utarbeta en rapport som också skall framläggas
för Europaparlamentet och rådet. Rapporten skall offentliggöras.
6. Arbetsgruppen skall utarbeta en årsrapport om situationen rörande
skyddet för fysiska personer med avseende på behandlingen av person-
uppgifter inom gemenskapen och i tredje land, som den skall översända
till kommissionen, Europaparlamentet och rådet. Rapporten skall
offentliggöras.
Artikel 31
1. Kommissionen skall biträdas av en kommitté som är sammansatt av
företrädare för medlemsstaterna och som har kommissionens företrädare
som ordförande.
2. Kommissionens företrädare skall förelägga kommittén ett förslag till
åtgärder. Kommittén skall yttra sig över förslaget inom en tid som
ordföranden bestämmer med hänsyn till hur brådskande ärendet är.
Yttrandet skall avges med den majoritet som anges i artikel 148.2 i
fördraget. Vid omröstning i kommittén skall medlemsstaternas röster
vägas på det sätt som anges i den artikeln. Ordföranden skall inte rösta.
Kommissionen skall besluta om åtgärder som skall ha omedelbar verkan.
Om emellertid åtgärderna avviker från kommitténs yttrande, skall
Prop. 2000/01:50
Bilaga 1
70
kommissionen omedelbart underställa rådet ärendet. I detta fall gäller
följande:
- Kommissionen skall uppskjuta genomförandet av åtgärderna under
en tidsfrist om tre månader räknad från meddelandedatum,
- Rådet kan med kvalificerad majoritet fatta ett avvikande beslut inom
den tidsfrist som anges i den första strecksatsen.
Artikel 32
1. Medlemsstaterna skall sätta i kraft de lagar och andra författningar,
som är nödvändiga för att följa detta direktiv, senast tre år efter dess
antagande.
När en medlemsstat antar dessa bestämmelser skall de innehålla en
hänvisning till detta direktiv eller åtföljas av en sådan hänvisning när de
offentliggörs. Närmare föreskrifter om hur hänvisningen skall göras skall
varje medlemsstat själv utfarda.
2. Medlemsstaterna skall se till att sådan behandling som redan pågår när
de nationella bestämmelser som antas till följd av detta direktiv träder i
kraft bringas i överensstämmelse med dessa bestämmelser inom tre år
från denna tidpunkt.
I fråga om sådana uppgifter som redan finns i manuella register vid
ikraftträdandet av de nationella bestämmelser som antas för att genom-
föra detta direktiv far medlemsstaterna, med avvikelse från föregående
stycke, föreskriva att behandlingen skall bringas i överensstämmelse med
artiklarna 6-8 i detta direktiv inom tolv år räknat från dagen för direk-
tivets antagande. Medlemsstaterna skall dock ge den registrerade rätt att
på begäran och särskilt i samband med att han utövar sin rätt till tillgång
till uppgifter, erhålla rättelse, utplåning eller blockering av uppgifter som
är ofullständiga, felaktiga eller lagrade på ett sätt som inte är förenligt
med de legitima ändamål som den registeransvarige vill uppnå.
3. Med undantag från punkt 2 kan medlemsstaterna under förutsättning
av lämpliga skyddsåtgärder föreskriva att uppgifter som endast bevaras
för historisk forskning inte behöver överensstämma med artiklarna 6-8 i
detta direktiv.
4. Medlemsstaterna skall till kommissionen överlämna texten till de
nationella bestämmelser som de antar inom det område som omfattas av
detta direktiv.
Artikel 33
Kommissionen skall första gången senast tre år efter den tidpunkt som
anges i artikel 32.1 och därefter regelbundet till rådet och Europa-
parlamentet avge en rapport om genomförandet av detta direktiv, even-
Prop. 2000/01:50
Bilaga 1
tucllt försedd med lämpliga ändringsförslag. Rapporten skall offent-
liggöras.
Kommissionen skall särskilt undersöka tillämpningen av detta direktiv på
behandling av ljud- och bilduppgifter som rör fysiska personer och skall
framlägga alla lämpliga förslag som med beaktande av informations-
teknikens och informationssamhällets utveckling, visar sig nödvändiga.
Artikel 34
Detta direktiv riktar sig till medlemsstaterna.
Utfärdat i Luxemburg den 24 oktober 1995
På Europaparlamentets vägnar På rådets vägnar
K. HÄNSCH L. AT1ENZA SERNA
Ordförande Ordförande
Prop. 2000/01:50
Bilaga 1
72
I utredningen tar jag inledningsvis upp frågan om reglerna angående
personuppgifter bör inforas i kreditupplysningslagen. Som skäl för detta
har nämnts att kreditupplysningsföretagen och Datainspektionen inte
skall behöva tillämpa både kreditupplysningslagen och den kommande
personuppgiftslagen för sin verksamhet. Jag har dock stannat för att
regleringen av hur personuppgifter skall behandlas i princip bör finnas
enbart i personuppgiftslagen och att endast sådana regler som avviker
från den lagen bör föras in i kreditupplysningslagen. I kreditupplys-
ningslagen bör dock tas in en regel som hänvisar till att också
personuppgiftslagen är tillämplig.
Av dataskyddsdirektivet följer att medlemsstaterna skall precisera på
vilka villkor behandling av personuppgifter är tillåten. Dessa villkor
föreslås angivna i lagen. Genom bestämmelsen får uppgifter, omdömen
och råd samlas in, lagras eller lämnas ut endast om det är påkallat av
kreditupplysningsändamål. Att automatiserad databehandling får använ-
das i kreditupplysningsverksamhet följer av reglerna i personuppgifts-
lagen och behöver därför inte särskilt anges i kreditupplysningslagen.
Också frågor om teknisk och organisatorisk säkerhet bör lösas genom
personuppgiftslagens bestämmelser.
Det föreslås att en allmän regel om gallring tas in. Personuppgifter får
enligt regeln inte bevaras under en längre tid än vad som är nödvändigt
med hänsyn till ändamålen med behandlingen.
Beträffande känsliga personuppgifter föreslås ett förbud mot att
behandla uppgifter avseende medlemskap i fackförening och hälsa.
Vidare föreslås att nuvarande möjlighet för Datainspektionen att medge
att uppgifter om att någon har varit föremål för åtgärder enligt
socialtjänstlagen, lagen med särskilda bestämmelser om vård av unga
m.fl. angivna lagar upphävs. Däremot bibehålls möjligheten att använda
uppgifter om brott och påföljder av brott. Också personnummer bör få
användas i kreditupplysningsverksamhet; i detta hänseende är dock
regleringen i personuppgiftslagen tillfyllest.
Beträffande information till den registrerade föreslås att person-
uppgiftslagen skall reglera frågan; kopior till handels och kommandit-
bolag skall dock alltjämt regleras i kreditupplysningslagen. Avsikten är
att nuvarande system med att sända ut upplysningskopior skall behållas
och regleras genom föreskrifter från Datainspektionen.
Det föreslås att den registrerade inte skall ha någon möjlighet att
motsätta sig registrering. Personuppgiftslagens bestämmelse bör reglera
frågan.
Kreditupplysningsverksamhet innebär att företagen lämnar uppgifter,
råd och omdömen till exempelvis kreditinstitut. Däremot beslutar inte
kreditupplysningsföretagen om kredit skall beviljas. Dataskyddsdirek-
tivets regler om s.k. automatiserade beslut rör således inte kreditupplys-
ningsverksamhet, varför en bestämmelse om sådana beslut inte är
nödvändig i kreditupplysningslagen.
Efter en genomgång av övriga bestämmelser i direktivet och kredit-
upplysningslagen konstaterar jag att direktivets villkor är uppfyllda.
Ändringarna föreslås träda i kraft den 1 juli 1999.
Prop. 2000/01:50
Bilaga 2
73
Förslag till lag om ändring i kreditupplysningslagen
(1973:1173)
Härigenom föreskrivs1 i fråga om kreditupplysningslagcn
(1973:1173)2
dels att 11 § skall upphöra att gälla,
dels att 5, 6, 8, 10 och 19 §§ skall ha följande lydelse,
dels att det i lagen skall införas en ny bestämmelse, 1 a §, av följande
lydelse,
dels att närmast före 1 a, 5, 6, 8 och 10 §§ skall införas nya rubriker av
följande lydelse,
dels att rubriken närmast före 2 § skall lyda ”Definitioner”, att rubri-
ken närmast före 9 § skall lyda ”Utlämnande av kreditupplysningar”,
att rubriken närmast före 12 § skall lyda ”Rättelse”, att rubriken närmast
före 13 § skall lyda ”Överlåtelse”, att rubriken närmast före 14 § skall
lyda ”Sekretess” samt att rubriken närmast före 23 § skall lyda
”Överklagande”.
Prop. 2000/01:50
Bilaga 3
Nuvarande lydelse Föreslagen lydelse
Om inget annat följer av denna
lag eller villkor som meddelats
med stöd därav, tillämpas person-
ppgiftslagen (1998:204) vid be-
andingen av personuppgifter för
kreditupplysningsändamål.
5§3
I fråga om fysiska personer får
uppgifter, omdömen och råd sam-
las in, lagras eller lämnas ut i
kreditupplysningsverksamhet en-
dast om det är påkallat av
kreditupplysningsändamål. Därvid
skall verksamheten uppfylla de
1 Jfr Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd
för enskilda personer med avseende på behandling av personuppgifter och om det fria
flödet av sådana uppgifter (EGT nr L 281,23.11.1995, s. 31, Celex 395L0046).
2 Lagen omtryckt 1981:737.
74
Kreditupplysningsverksamhet
skall bedrivas så att den ej leder
till otillbörligt intrång i personlig
integritet genom innehållet i de
upplysningar som förmedlas eller
på annat sätt eller till att oriktiga
eller missvisande uppgifter lagras
eller lämnas ut.
krav som framgår av 9 § person- Prop. 2000/01:50
uppgiftslagen. Verksamheten får Bilaga 3
bedrivas utan samtycke från den
registrerade.t
Kreditupplysningsverksamhet i
övrigt skall bedrivas så att den inte
leder till att oriktiga eller miss-
visande uppgifter lagras eller läm-
nas ut.
Uppgifter om en persons ras,
etniska ursprung, politiska uppfatt-
ning, religiösa eller filosofiska
övertygelse eller sexualliv far inte
samlas in, lagras eller lämnas ut i
kreditupplysningsverksamhet
Uppgifter om sjukdom, hälso-
tillstånd eller liknande får inte
utan medgivande av Datainspek-
tionen samlas in, lagras eller
lämnas ut i kreditupplysnings-
verksamhet. Detsamma gäller
uppgifter om att någon misstänks
eller har dömts for brott eller har
avtjänat straff eller undergått
någon annan påföljd för brott eller
6§
Uppgifter om en persons ras,
etniska ursprung, politiska uppfatt-
ning, religiösa eller filosofiska
övertygelse, medlemskap i fack-
förening, hälsa eller sexualliv far
inte samlas in, lagras eller lämnas
ut i kreditupplysningsverksamhet.
Detsamma gäller uppgifter att
någon har varit föremål för någon
åtgärd enligt socialtjänstlagen
(1980:620), lagen (1990:52) med
särskilda bestämmelser om vård
av unga, lagen (1988:870) om
vård av missbrukare i vissa fall,
lagen (1991:1128) om psykiatrisk
tvångsvård, lagen (1991:1129) om
rättspsykiatrisk vård, lagen
(1993:387) om stöd och service till
vissa funktionshindrade, 11-14 §§
polislagen (1984:387), lagen
(1976:511) om omhändertagande
av berusade personer m.m. eller
utlänningslagen (1989:529).
Uppgifter om att någon miss-
tänks eller har dömts för brott eller
har avtjänat straff eller undergått
någon annan påföljd för brott får
inte utan medgivande av Data-
inspektionen samlas in, lagras
eller lämnas ut i kreditupp-
lysningsverksamhet.
3 Senaste lydelse 1981:737.
75
har varit föremål för någon åtgärd
enligt socialtjänstlagen
(1980:620), lagen (1990:52) med
särskilda bestämmelser om vård
av unga, lagen (1988:870) om
vård av missbrukare i vissa fall,
lagen (1991:1128) om psykiatrisk
tvångsvård, lagen (1991:1129) om
rättspsykiatrisk vård, lagen
(1993:387) om stöd och service till
vissa funktionshindrade, 11-14 §§
polislagen (1984:387), lagen
(1976:511) om omhändertagande
av berusade personer m.m. eller
utlänningslagen (1989:529).
Ett medgivande som avses i andra stycket får lämnas endast om det
finns synnerliga skäl.
Vad som anges i andra stycket hindrar inte att uppgifter om
bctalningslörsummelser, kreditmissbruk eller näringsförbud samlas in,
lagras eller lämnas ut i kreditupplysningsverksamhet.
Prop. 2000/01:50
Bilaga 3
8§
Uppgifter om fysiska personer i
register som används i kreditupp-
lysningsverksamhet får inte beva-
ras under en längre tid än vad som
är nödvändigt med hänsyn till
ändamålen med registret.
Kreditupplysningar om fysiska personer som inte är näringsidkare får
inte innehålla uppgifter om omständigheter eller förhållanden som är av
betydelse för bedömningen av personens vederhäftighet i ekonomiskt
hänseende, om tre år förflutit från utgången av det år då omständigheten
inträffade eller förhållandet upphörde. Uppgifter som inte får lämnas ut
skall efter den angivna tiden gallras ut ur register som används i
kreditupplysningsverksamhet. Gallringen skall göras så snart det kan ske
och i vart fall innan en upplysning lämnas om den som uppgiften avser.
Var och en har rätt att mot
skälig avgift hos den som bedriver
kreditupplysningsverksamhet få
skriftligt besked om huruvida det i
verksamheten finns uppgifier
lagrade om honom och, om det
finns sådana uppgifter, vad de har
för innehåll.
10 §
Information skall beträffande
fysiska personer lämnas i den om-
fattning som framgår av 23-27 §§
personuppgiftslagen.
76
När en kreditupplysning om ett
handelsbolag eller ett kommandit-
bolag lämnas ut, skall till den som
avses med upplysningen samtidigt
och kostnadsfritt sändas ett skrift-
ligt meddelande om de uppgifter,
omdömen och råd som upplys-
ningen innehåller rörande honom
och om vem som har begärt
upplysningen.
Vad som sägs i andra stycket
gäller inte kreditupplysningar som
lämnas genom offentliggörande på
ett sådant sätt som avses i tryck-
frihetsförordningen eller yttrande-
frihetsgrundlagen
Prop. 2000/01:50
Bilaga 3
19 §
Till böter eller fängelse i högst ett år döms den som uppsåtligen eller
av oaktsamhet
1. bedriver kreditupplysningsverksamhet utan att ha rätt till det enligt
3§,
2. bryter mot 6-9 §§, 13 § första stycket eller andra stycket första
meningen eller 16 § tredje stycket,
3. bryter mot ett villkor som har meddelats enligt 4 § andra stycket,
13 § andra stycket andra meningen eller 17 § första stycket, eller
4. lämnar en osann uppgift i
sådana fall som avses i 10 § eller
16 § andra stycket eller i ett
meddelande enligt 11 §.
Till böter döms den som genom oriktiga uppgifter uppsåtligen
föranleder att någon som bedriver kreditupplysningsverksamhet, i annat
fall än som avses i 9 § andra meningen, lämnar ut en kreditupplysning
utan att ha grund till detta enligt 9 §. Till samma straff döms den som
genom att utnyttja uppgifter hos någon som bedriver kreditupplysnings-
verksamhet uppsåtligen bereder sig tillgång till en kreditupplysning utan
att ha grund till detta enligt 9 §. I ringa fall döms dock inte till ansvar.
4. lämnar en osann uppgift i
sådana fall som avses i 16 § andra
stycket eller i ett meddelande
enligt 10 § andra stycket.
Denna lag träder i kraft den 1 juli 1999.
5 Riksdagen 2000/01. 1 samt. Nr 50
77
Prop. 2000/01:50
Bilaga 4
Datainspektionen skall i enlighet med regeringens uppdrag, Ju97/2458,
bedöma förutsättningarna för en ökad tillgång till uppgifter om närings-
idkare i kreditupplysningar och väga behovet mot främst riskerna för att
missvisande eller oriktiga uppgifter används i kreditupplysningssam-
manhang. De uppgifter som avses är huvudsakligen uppgifter om
inkassoåtgärder vidtagna av företag och information ur företags kund-
reskontra. Vidare har frågan aktualiserats om de möjligheter som
juridiska personer i dag har att kontrollera riktigheten av de uppgifter
som lämnas om dem i kreditupplysningar är tillräckliga. Förslag till
eventuella lagändringar skall även läggas fram.
Mot bakgrund av den gjorda utredningen, som redovisas i bilaga 1 och
21, gör Datainspektionen följande bedömning.
Den aktuella informationen om inkassoåtgärder vidtagna av företag och
om lcvcrantörsskulder och betalningsbeteende ur företags kundreskontra
kan utgöra tidiga indikationer på bristande betalningsförmåga eller
betalningsovilja hos den omfrågade näringsidkaren. Dessa indikationer
kan vara av viss betydelse för en kreditgivare som skall bilda sig en
uppfattning om kundens/näringsidkarens framtida betalningsbeteende i
syfte att göra en god afför och därvid undvika kreditförluster.
En förutsättning för alt dessa uppgifter skall fylla funktionen av at ge
tidiga indikationer på bristande betalningsförmåga eller betalningsovilja
är att uppgifterna är av god kvalitet och varken felaktiga eller
missvisande. Felaktiga eller missvisande uppgifter i en kreditupplysning
kan leda till att felaktiga beslut fattas genom att affärer inte blir av och
krediter inte beviljas trots att kunden/näringsidkaren har en god
betalningsmoral och är kreditvärdig.
En ytterligare förutsättning som måste uppfyllas är att kunden/nä-
ringsidkaren får information om att uppgifter om dennes betalningar och
eventuella bristande betalningar översänds till kreditupplysningsföretag
för att utlämnas i kreditupplysningar. Utan information om att detta sker
får näringsidkaren ingen reeell möjlighet att reagera på felaktiga
uppgifter. Problemet att informera berörda näringsidkare skulle kunna
lösas antingen genom att det rapporterande företaget i avtal åläggs att
lämna relevant information till sina kunder eller att kopia av utlämnad
kreditupplysning tillställs näringsidkaren. I det senare fallet behöver
bestämmelsen i 11 § kreditupplysningslagen (1973:1173) utvidgas att
gälla även aktiebolag.
Datainspektionen har i två beslut rörande kreditupplysningsföretag
öppnat för möjligheterna att under vissa förutsättningar registrera sådan
information som tidigare inte tillåtits. Dels har inspektionen meddelat att
inget fanns att erinra mot att en metod tas i bruk som innebär att en
statistisk sammanställning av den sammanvägda informationen från olika
1 Utelämnade här.
78
fakturor beträffande en juridisk person (som inhämtats från utvalda
foretag med vilka kreditupplysningsföretaget tecknat avtal) redovisas i
kreditupplysning om den juridiska personen. Inspektionen påpekade
dock att dess inställning kunde komma att ändras om det visade sig att en
missvisande bild lämnades om det omfrågade företagets betalnings-
beteende (se sid 20 och 21, dnr 1447-97, i bilaga 1). Dels har ett
tidsbegränsat tillstånd meddelats beträffande registrering och utlämnande
av uppgifter om gäldenärers (såväl fysiska som juridiska personer)
sammanlagda skuldsaldon hos kronofogdemyndigheterna (se sid 13 och
14, dnr 4190-95, i bilaga 1).
Anledningen till att Datainspektionen inte ansett sig kunna gå längre
hänför sig till följande faktorer.
En faktor är att det ibland finns en ovilja hos företag att lämna ut
fullständiga uppgifter ur kundreskontra till följd av att företags-
hemligheter därigenom skulle kunna avslöjas. En annan faktor är den
tystnadsplikt som föreligger i inkassoverksamhet enligt 11 § inkasso-
lagen (1974:182) beträffande enskildas personliga förhållanden samt
yrkes- eller affärshemligheter. Detta hinder mot ulämnande av uppgifter
om inkassoåtgärder vidtagna av inkassobolag skulle således behöva
undanröjas genom lagändring. En ytterligare faktor är att informationen
inte heller av praktiska skäl kan bli fullständig och heltäckande eftersom
det torde vara omöjligt att inhämta information från samtliga företag och
inkassobolag. Materialet skulle sålunda inte vara representativt.
Datainspektionen har vidare vid sin ärendehantering konstaterat att
informationen redan idag är missvisande och att oriktiga uppgifter
förekommer till följd av bl.a. felaktig identifiering av gäldenärer och
bakomliggande tivster och utredningar. Datainspektionen vill under-
stryka att felaktig gäldenärsidentifikation är ett mycket vanligt före-
kommande problem i inkassoverksamhet. Därav torde slutsatsen kunna
dras att detta problem är ännu större i företagens kundreskontra. Felaktig-
heter i materialet kommer att föras över till kreditupplysningsregistren
utan någon kontroll av uppgifternas riktighet. Följden skulle bli att
antalet felaktiga och missvisande uppgifter i kreditupplysningar skulle
öka.
Att kräva rättning av uppgifter i kreditupplysningsregistren skulle med-
föra svårigheter för kreditupplysningsföretagen eftersom utredningarna
skulle bli mycket omfattande och kräva tillgång till företagens reskontra
och även bakomliggande köpeavtal m.fl. handlingar som upprättats i
samband med affärsförbindelsen med kunden.
Datainspektionen har inhämtat synpunkter från elva intressenter, näm-
ligen kreditupplysningsbolag, inkassobolag och inkassobolagens
branschorganisationer samt dessutom vissa andra närstående intressenter.
Majoriteten är positiva till utökning av uppgifter. Många av dessa anser
emellertid att kvaliteten på uppgifterna måste säkras före ett genom-
förande. Ett par intressenter, bl.a. den inkassobranschorganisation som
organiserar de flesta inkassobolagen, är direkt negativa till utvidgning på
Prop. 2000/01:50
Bilaga 4
79
grund av att de anser att uppgifterna på reskontra- och inkassostadiet är
av för dålig kvalitet för att ligga till grund för kreditupplysning.
Majoriteten visar också på svårigheter att rätta felaktiga uppgifter, att
genomföra dementier och att göra rättvisande uppgiftsval. Vidare anför
de att inkassolagcn behöver ändras för att ändringarna skall kunna
genomföras.
Två av intressenterna har vidare pekat på att många andra länder tillåter
vidgad information i kreditupplysningssammanhang (se sid 6 och 7 i
bilaga 2). Enligt Datainspektionens mening är dock en jämförelse med
andra länder inte rättvisande, eftersom myndighetsinformation inte är
lika lättillgänglig utomlands som i Sverige.
Önskemål har även framförts om att uppgifter om ekonomisk brottslighet
bör finnas i kreditupplysningar om näringsidkare (se sid 9 i bilaga 2). En
särskild utredare har redan regeringens uppdrag att utreda frågor om
åtgärder mot vissa bulvanförhållanden m.m. i syfte att effektivisera
bekämpningen av ekonomisk brottslighet genom att förhindra eller
försvåra den (Dir. 1996:55). I detta uppdrag ingår också att överväga
möjligheterna att lättare avslöja bulvanförhållanden. Utredaren skall
därvid bl.a. överväga om registeruppgifter om brottmålsdomar i första
hand rörande ekonomisk brottslighet bör göras tillgängliga i samband
med affärskontroll. Uppdraget skall vara slutfört före utgången av
december 1997. Resultatet av utredningen bör avvaktas.
Mot bakgrund av vad som sålunda framkommit och särskilt vad som
framförts av inkassobranschorganisationen anser Datainspektionen inte
att det finns skäl till ändringar i kreditupplysningslagen och inkasso-
lagen.
Prop. 2000/01:50
Bilaga 4
80
Efter remiss har yttranden över promemorian och rapporten avgetts av
Riksdagens ombudsmän, Riksåklagaren, Justitiekanslem, Hovrätten över
Skåne och Blekinge, Jönköpings tingsrätt, Kammarrätten i Stockholm,
Länsrätten i Stockholms län, Rikspolisstyrelsen, Datainspektionen
(endast beträffande promemorian), Finansinspektionen, Riksskatteverket,
Konkurrensverket, Konsumentverket (endast beträffande promemorian),
Juridiska fakultetsstyrelsen vid Lunds universitet, Svenska Kommun-
förbundet, Svenska Bankföreningen, Finansbolagens Förening, Svensk
Handel, Sveriges Försäkringsförbund, Svenska fondhandlareföreningen,
Stockholms Handelskammare (endast beträffande promemorian),
Sveriges advokatsamfund, Svenska Inkassoföreningen, Sveriges Inkasso-
organisation, UpplysningsCentralen UC AB, Dun & Bradstreet Sverige
AB och Landsorganisationen i Sverige (endast beträffande prome-
morian).
Kommerskollegium, Sveriges Industriförbund, Sveriges Köpmanna-
förbund, Företagarnas Riksorganisation, Kooperativa förbundet, Svenska
KreditmannafÖreningen i Stockholm, Svensk Upplysningstjänst, EKO
företagsupplysningar AB, Tjänstemännens centralorganisation och
Sveriges akademikers centralorganisation har beretts tillfälle att yttra sig
men avstått från att göra det.
Prop. 2000/01:50
Bilaga 5
81
Förslag till lag om ändring i kreditupplysningslagen
(1973:1173)
Härigenom föreskrivs1 i fråga om kreditupplysningslagen
(1973:1173)2
dels att 5, 6, 8 och 10-12 §§ skall ha följande lydelse,
dels att det närmast före 5 a, 9, 13, 14 och 23 §§ skall införas nya
rubriker som skall lyda ”Informationsutbyte”, ”Utlämnande av upplys-
ningar”, ”Överlåtelse och upplåtelse av register”, ”Tystnadsplikt” respek-
tive ”Överklagande”,
dels att det närmast före 6, 8, 10-12 §§ skall införas nya rubriker av
följande lydelse.
Prop. 2000/01:50
Bilaga 6
Nuvarande lydelse
Kreditupplysningsverksamhet
skall bedrivas så att den ej leder
till otillbörligt intrång i personlig
integritet genom innehållet i de
upplysningar som förmedlas eller
på annat sätt eller till att oriktiga
eller missvisande uppgifter lagras
eller lämnas ut.
Föreslagen lydelse
5§
Kreditupplysningsverksamhet
skall bedrivas så att den inte leder
till otillbörligt intrång i personlig
integritet genom innehållet i de
upplysningar som förmedlas eller
på annat sätt eller till att oriktiga
eller missvisande uppgifter lagras
eller lämnas ut. För sådan behand-
ling av personuppgifter som om-
fattas av personuppgiftslagen
(1998:304) gäller i stället 9§
första stycket a, b och d-h den
lagen.
Uppgifter om fysiska personer
får samlas in endast för kreditupp-
lysningsändamål.
Vid helt eller delvis automa-
tiserad behandling av uppgifter
om juridiska personer skall den
som bedriver kreditupplysnings-
verksamhet vidta lämpliga
tekniska och organisatoriska
säkerhetsåtgärder för att hindra
att behandlingen sker på ett
otillåtet sätt och att uppgifterna
utsätts för otillåten insyn.
Bestämmelser om säkerheten vid
1 Jfr Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd
för enskilda personer med avseende på behandling av personuppgifter och om det fria
flödet av sådana uppgifter (EGT L 281,23.11.1995, s. 31, Celex 395L0046).
2 Lagen omtryckt 1981:737.
82
behandling av personuppgifter Prop. 2000/01:50
finns i 30-32 §§ personupp- Bilaga 6
giftslagen.
Utan hinder av 10 § personupp-
giftslagen far personuppgifter be-
handlas utan samtycke i kreditupp-
lysningsverksamhet.
Bestämmelsen i första stycket
andra meningen tillämpas inte i
den utsträckning det skulle strida
mot bestämmelserna i tryckfrihets-
förordningen och yttrandefrihets-
grundlagen.
Uppgifter om en persons ras,
etniska ursprung, politiska uppfatt-
ning, religiösa eller filosofiska
övertygelse eller sexualliv far inte
samlas in, lagras eller lämnas ut i
kreditupplysningsverksamhet.
Uppgifter om sjukdom, hälso-
tillstånd eller liknande får inte
utan medgivande av Datainspek-
tionen samlas in, lagras eller läm-
nas ut i kreditupplysningsverksam-
het. Detsamma gäller uppgifter om
att någon misstänks eller har
dömts för brott eller har avtjänat
straff eller undergått någon annan
påföljd för brott eller har varit
föremål för någon åtgärd enligt
socialtjänstlagen (1980:620),
lagen (1990:52) med särskilda
bestämmelser om vård av unga,
lagen (1988:870) om vård av
missbrukare i vissa fall, lagen
(1991:1128) om psykiatrisk
tvångsvård, lagen (1991:1129) om
rättspsykiatrisk vård, lagen
(1993:387) om stöd och service till
vissa funktionshindrade, 11—14 §§
polislagen (1984:387), lagen
(1976:511) om omhändertagande
av berusade personer m.m. eller
utlänningslagen (1989:529).
§3
Uppgifter om en persons ras,
etniska ursprung, politiska uppfatt-
ning, religiösa eller filosofiska
övertygelse, medlemskap i fack-
förening, hälsa eller sexualliv får
inte behandlas i kreditupplys-
ningsverksamhet.
Uppgifter om lagöverträdelser
som innefattar brott, domar i
brottmål, strajfprocessuella
tvångsmedel eller administrativa
frihetsberövanden får inte utan
medgivande av Datainspektionen
behandlas i kreditupplysningsverk-
samhet.
3 Senaste lydelse 1997:556.
83
Ett medgivande som avses i andra
finns synnerliga skäl.
Vad som anges i andra stycket
hindrar inte att uppgifter om betal-
ningsförsummelser, kreditmiss-
bruk eller näringsförbud samlas in,
lagras eller lämnas ut i kredit-
upplysningsverksamhet.
Kreditupplysningar om fysiska
personer som inte är näringsidkare
får inte innehålla uppgifter om
omständigheter eller förhållanden
som är av betydelse för bedöm-
ningen av personens vederhäftig-
het i ekonomiskt hänseende, om tre
år förflutit från utgången av det år
då omständigheten inträffade eller
förhållandet upphörde. Uppgifter
som inte får lämnas ut skall efter
den angivna tiden gallras ut ur
register som används i kreditupp-
lysningsverksamhet. Gallringen
skall göras så snart det kan ske
och i vart fall innan en upplysning
lämnas om den som uppgiften
avser.
stycket får lämnas endast om det
Vad som anges i andra stycket
hindrar inte att uppgifter om
bctalningsförsummelser, kredit-
missbruk eller näringsförbud be-
handlas i kreditupplysningsverk-
samhet.
?4
En uppgift om en fysisk person
skall gallras när det inte längre är
nödvändigt att bevara uppgiften
med hänsyn till ändamålet med
registret.
En uppgift om en fysisk person
som inte är näringsidkare skall
gallras senast när tre år har
förflutit från utgången av det år då
den omständighet inträffade eller
det förhållande upphörde som
uppgiften avser.
Prop. 2000/01:50
Bilaga 6
Var och en har rätt att mot
skälig avgift hos den som bedriver
kreditupplysningsverksamhet få
skriftligt besked om huruvida det i
verksamheten finns uppgifter
lagrade om honom och, om det
finns sådana uppgifter, vad de har
for innehåll.
10 §
Var och en har rätt att mot
skälig avgift hos den som bedriver
kreditupplysningsverksamhet få
skriftligt besked om huruvida det i
verksamheten behandlas uppgifter
om honom. Behandlas sådana
uppgifter skall besked lämnas om
a) vilka uppgifter som behand-
las,
4 Senaste lydelse 1997:556.
84
b) om den registrerade är en
fysisk person: varifrån uppgifterna
har hämtats,
c) ändamålen med behandlingen
och
d) till vilka mottagare eller
kategorier av mottagare som upp-
gifterna lämnas ut.
Bestämmelserna i första stycket
tillämpas inte i den utsträckning
det skulle strida mot bestämmel-
serna i tryckfrihetsförordningen
och yttrandefrihetsgrundlagen.
En begäran om besked enligt
första stycket om en fysisk person
skall göras skriftligen och vara
egenhändigt undertecknad.
Prop. 2000/01:50
Bilaga 6
När en kreditupplysning om en
fysisk person lämnas ut, skall till
den som avses med upplysningen
samtidigt och kostnadsfritt sändas
ett skriftligt meddelande om de
uppgifter, omdömen och råd som
upplysningen innehåller rörande
honom och om vem som har
begärt upplysningen.
11 §5
När en kreditupplysning om en
fysisk person lämnas ut, skall till
den som avses med upplysningen
samtidigt och kostnadsfritt sändas
ett skriftligt meddelande om
a) vem som bedriver kreditupp-
lysningsverksamheten,
b) ändamålen med behand-
lingen,
c) möjligheten att få rättelse,
d) de uppgifter, omdömen och
råd som upplysningen innehåller
om honom och
e) vem som har begärt upplys-
ningen.
Vad som sägs i första stycket gäller också när en kreditupplysning
lämnas om ett handelsbolag eller kommanditbolag.
Vad som sägs i första och andra
stycket gäller inte kreditupp-
lysningar som lämnas genom
offentliggörande på ett sådant sätt
som avses i tryckfrihetsförord-
ningen eller yttrandefrihetsgrund-
lagen.
Vad som sägs i första och andra
styckena gäller inte kreditupplys-
ningar som lämnas genom offent-
liggörande på ett sådant sätt som
avses i tryckfrihetsförordningen
eller yttrandefrihetsgrundlagen.
5 Senaste lydelse 1997:556.
85
Förekommer anledning till
misstanke att en uppgift i kredit-
upplysning som lämnats under den
senaste tolvmånadersperioden
eller i register som används i
kreditupplysningsverksamhet är
oriktig eller missvisande, skall den
som bedriver verksamheten utan
dröjsmål vidta skäliga åtgärder för
att utreda förhållandet.
Visar sig uppgiften vara oriktig
eller missvisande, skall den, om
den förekommer i register, rättas,
kompletteras eller uteslutas ur
registret. Har uppgiften tagits in i
en kreditupplysning som lämnats
på annat sätt än som avses i
tryckfrihetsförordningen och ytt-
randcfrihetsgrundlagcn, skall
rättelse eller komplettering så snart
det kan ske tillställas var och en
som under den senaste tolv-
månadersperioden fått del av upp-
giften. Har uppgiften under den
senaste tolvmånadersperioden
lämnats i periodisk skrift eller i en
kreditupplysningsverksamhet som
bedrivs genom återkommande
offentliggöranden enligt yttrande-
frihetsgrundlagen, skall rättelse
eller komplettering så snart det
kan ske införas i ett följande
nummer av skriften eller mot-
svarande form av offentliggörande
enligt yttrandefrihetsgrundlagen.
Vad som sägs i detta stycke gäller
dock icke, om uppgiften uppen-
barligen saknar betydelse för
bedömningen av vederbörandes
vederhäftighet i ekonomiskt hän-
seende.
Rättelse
12 §6
Finns det anledning att miss-
tänka att en uppgift som behandlas
i kreditupplysningsverksamhet
eller som har lämnats i en
kreditupplysning under den
senaste tolvmånadersperioden är
oriktig eller missvisande, eller att
den annars har behandlats i strid
med denna lag, skall den som
bedriver verksamheten utan dröjs-
mål vidta skäliga åtgärder för att
utreda förhållandet.
Visar det sig att uppgiften är
oriktig eller missvisande, eller att
den annars har behandlats i strid
med lagen, skall den, om den
förekommer i register, rättas, kom-
pletteras eller uteslutas ur registret.
Har en oriktig eller missvisande
uppgift tagits in i en kreditupp-
lysning som lämnats på annat sätt
än som avses i tryckfrihets-
förordningen och yttrandefrihets-
grundlagen, skall rättelse eller
komplettering så snart det kan ske
tillställas var och en som under
den senaste tolvmånadersperioden
fått del av uppgiften. Har upp-
giften under den senaste tolv-
månadersperioden lämnats i en
periodisk skrift eller i en kredit-
upplysningsverksamhet som be-
drivs genom återkommande
offentliggöranden enligt yttrande-
frihetsgrundlagen, skall rättelse
eller komplettering så snart det
kan ske införas i ett följande
nummer av skriften eller mot-
svarande form av offentliggörande
enligt yttrandefrihetsgrundlagen.
Vad som sägs i detta stycke gäller
dock inte, om uppgiften uppen-
barligen saknar betydelse för
bedömningen av vederbörandes
vederhäftighet i ekonomiskt hän-
seende.
Prop. 2000/01:50
Bilaga 6
6 Senaste lydelse 1991:1563.
86
Har en fråga om rättelse eller liknande åtgärd tagits upp efter fram-
ställning från den som uppgiften avser, skall denne kostnadsfritt
underrättas om huruvida sådan åtgärd vidtagits.
Prop. 2000/01:50
Bilaga 6
Denna lag träder i kraft den 1 april 2001.
87
Utdrag ur protokoll vid sammanträde 2000-10-30
Närvarande: f.d. justitierådet Staffan Vängby, justiticrådet
Leif Thorsson, regeringsrådet Rune Lavin.
Enligt en lagrådsremiss den 12 oktober 2000 (Justitiedepartementet) har
regeringen beslutat inhämta Lagrådets yttrande över förslag till lag om
ändring i kreditupplysningslagen (1973:1173).
Förslaget har inför Lagrådet föredragits av ämnesrådet Anita
Wickström.
Förslaget föranleder följande yttrande av Lagrådet'.
5§
Enligt fjärde stycket i paragrafen får personuppgifter utan hinder av 10 §
personuppgiftslagen behandlas utan samtycke i kreditupplysningsverk-
samhet. Det kan ifrågasättas om bestämmelsen är förenlig med EG:s
dataskyddsdirektiv. I motiveringen åberopas som skäl för att så är fallet
bestämmelserna i artikel 7 e) och f) i direktivet.
Enligt artikel 7 f) får personuppgifter behandlas utan den registrerades
samtycke om behandlingen är nödvändig för ändamål som rör
berättigade intressen hos den registeransvarige eller hos den eller de
tredje män till vilka uppgifterna har lämnats ut, utom när sådana in-
tressen uppvägs av den registrerades intressen eller dennes grund-
läggande fri- och rättigheter som kräver skydd under artikel 1.1, dvs.
särskilt rätten till privatliv. Det är här fråga om intresseavvägning där
kommersiella intressen står mot den enskildes intresse av att få ha sina
uppgifter i fred. Bara i undantagsfall bör den personuppgiftsansvariges
intresse av behandlingen anses väga över intresset hos en registrerad som
uttryckligen motsatt sig behandlingen (jfr SOU 1997:39 s. 362 f).
Lagrådet menar att ifrågavarande punkt, som kan sägas utgöra en
reservbestämmelse i förhållande till föregående punkter i paragrafen, inte
ger erforderligt stöd för en generell föreskrift om att personuppgifter i
kreditupplysningssammanhang får behandlas utan den registrerades
samtycke.
Artikel 7 e) medger att personuppgifter får behandlas utan den regi-
strerades samtycke bl.a. om behandlingen är nödvändig för att utföra en
arbetsuppgift av allmänt intresse. Vissa skäl som anförs i motiveringen
och som kan sägas gå ut på att det gäller att skydda den enskilde mot
dennes eget oförstånd hör knappast hemma i modern lagstiftning. I första
hand åberopas emellertid att det är ett allmänt intresse att kredit-
upplysningsverksamhet kan bedrivas effektivt och att om möjligheten att
behandla uppgifter i varje enskilt fall var beroende av att ett samtycke
hade lämnats, så skulle effektiviteten allvarligt hämmas och fördyringar
uppkomma. Det är här fråga om en värdering där större eller mindre vikt
kan tillmätas det ena eller andra intresset. Till dess frågan eventuellt
avgjorts av EG-domstolen kan en sådan värdering antas ligga inom
ramen för vad direktivet tillåter.
Prop. 2000/01:50
Bilaga 7
88
Enligt artikel 14 första stycket a) skall dock medlemsstaterna Prop. 2000/01:50
tillförsäkra den registrerade rätten att åtminstone i de fall som avses i Bilaga 7
artikel 7 e) och f) när som helst av avgörande och berättigade skäl som
rör hans personliga situation motsätta sig behandling av uppgifter som
rör honom, utom när den nationella lagstiftningen föreskriver något
annat. Enligt lagrådsremissen behöver det utöver bestämmelsen i
förevarande paragraf att upplysningar far behandlas utan den enskildes
samtycke inte dessutom uttryckligen anges att den enskilde inte heller
kan motsätta sig en viss behandling av personuppgifter eller ett
utlämnande av vissa uppgifter. Lagrådet är inte helt övertygat om att
denna bedömning är korrekt. Större trygghet för att kreditupp-
lysningslagen kommer att anses överensstämma med datadirektivet
skulle vinnas, om till det föreslagna stycket läggs meningen: ”Den
registrerade kan inte heller motsätta sig behandlingen”.
Förslaget innebär bl.a. att behandlingen av uppgifter om åtgärder enligt
socialtjänstlagen och lagen om stöd och service till vissa funk-
tionshindrade inte längre skall kräva Datainspektionens medgivande.
Anledningen är att dataskyddsdirektivet som är ett harmoniseringsdi-
rektiv inte medger förbud mot behandling av dylika uppgifter. Enligt
Lagrådets mening innebär den föreslagna lagändringen en försvagning av
den enskildes integritetsskydd. Till skillnad från vad som anges i
motiveringen anser Lagrådet att beslut enligt de båda nämnda lagarna
kan komma att innehålla viktig information från kreditvärde-
ringssynpunkt. Den omständigheten att information av denna art hittills
inte använts i någon större utsträckning kan bero på att kredit-
upplysningsföretagen avstått från att söka medgivande hos Datain-
spektionen. Om behandlingen av dessa uppgifter släpps fri, kommer det
inte att finnas någon direkt tillbakahållande faktor i hanteringen av
uppgifterna.
Bestämmelserna i 7 kap. 4 § sekretesslagen omfattar beslut enligt båda
lagarna. De ifrågavarande uppgifterna bör därför inte kunna erhållas från
en socialnämnd. Däremot bör det i allmänhet inte möta något hinder för
ett kreditupplysningsföretag att få tillgång till förvaltningsdomstolars
domar med tillhörande bilagor i frågor som gäller tillämpningen av
någondera lagen.
Lagrådet vill med det sagda peka på den faktiska möjlighet som här
öppnar sig för kreditupplysningsföretag att använda social information i
sin verksamhet. Dataskyddsdirektivet tycks dock inte möjliggöra att
uppgifter om åtgärder enligt socialtjänstlagen och lagen om stöd och
service till vissa funktionshindrade får behålla sitt hittillsvarande skydd
enligt kreditupplysningslagen.
Några övergångsbestämmelser föreslås inte. Enligt motiveringen innebär
förslaget, att personuppgiftslagens grundläggande krav på behandling av
personuppgifter skall gälla också i kreditupplysningsverksamhet, att
kraven skall tillämpas bara om personuppgiftslagen är tillämplig. Om
89
personuppgiftslagen enligt sina övergångsbestämmelser inte är tillämp-
lig, skulle kraven alltså inte tillämpas.
Enligt 5 § första stycket andra meningen i förslaget ”gäller” vissa
angivna bestämmelser i personuppgiftslagen för sådan behandling av
personuppgifter som omfattas av personuppgiftslagen. Av bestämmelsen
kan utläsas att den skall tillämpas på sådan behandling av person-
uppgifter på vilka personuppgiftslagen i princip är tillämplig. Visserligen
skulle ordet ”omfattas” kunna anses undanta sådan behandling som
personuppgiftslagen inte skall tillämpas på enligt övergångsbestäm-
melserna till lagen. Formuleringen kan emellertid föranleda tvekan i det
hänseendet. Det är också så att i vissa hänseenden, t.ex. i fråga om
manuell behandling, är det endast vissa angivna paragrafer, bland dem
just 9 §, som inte är tillämpliga. Den angivna avsikten bör ges ett klarare
uttryck genom en övergångsbestämmelse som förslagsvis kan ges
följande lydelse: ”1 stället för 5 § första stycket tillämpas 5 § i dess äldre
lydelse i fråga om sådan behandling av personuppgifter för vilken 9 §
personuppgiftslagcn (1998:204) enligt övergångsbestämmelserna till den
lagen inte är tillämplig.”
Prop. 2000/01:50
Bilaga 7
90
Utdrag ur protokoll vid regeringssammanträde den 30 november 2000
Närvarande: statsministern Persson, ordförande, och statsråden Thalén,
Winberg, Ulvskog, Sahlin, von Sydow, Östros, Messing, Engqvist,
Rosengren, Larsson, Wämersson, Lövdén, Ringholm
Föredragande: statsrådet Lövdén
Prop. 2000/01:50
Regeringen beslutar proposition 2000/01:50 Kreditupplysningslagen och
dataskyddsdirektivet
91
Prop. 2000/01:50
|
Författningsrubrik |
Bestämmelser som Celexnummer för inför, ändrar, upp- bakomliggande EG- häver eller upprepar regler ett normgivnings- |
|
Kreditupplysningslagcn |
Celex 31995L0046 |
(1973:1173)
Eländers Gotab 60871, Stockholm 2000
92