Finansutskottets betänkande

2017/18:FiU41

 

Ändringar i vissa författningar inom Finansdepartementets ansvarsområde med anledning av EU:s dataskyddsreform

Sammanfattning

Utskottet ställer sig bakom regeringens förslag till lagändringar med anledning av EU:s dataskyddsreform.

I propositionen föreslås lagändringar inom delar av Finansdepartementets ansvarsområde, bl.a. när det gäller den officiella statistiken, med anledning av Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgif­ter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Förordningen ersätter Europaparla­mentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet), som i Sverige har ge­nomförts genom personuppgiftslagen (1998:204) och ett stort antal specifika författningar med särskilda bestämmelser om behandling av personuppgifter inom särskilda områden.

Lagändringarna föreslås träda i kraft den 25 maj 2018.

Inga motioner har lämnats med anledning av propositionen.

Behandlade förslag

Proposition 2017/18:107 Ändringar i vissa författningar inom Finansdeparte­mentets ansvarsområde med anledning av EU:s dataskyddsreform.

Innehållsförteckning

Utskottets förslag till riksdagsbeslut

Redogörelse för ärendet

Ärendet och dess beredning

Bakgrund

Utskottets överväganden

Ändringar i vissa författningar inom Finansdepartementets ansvarsområde med anledning av EU:s dataskyddsreform

Bilaga 1
Förteckning över behandlade förslag

Propositionen

Bilaga 2
Regeringens lagförslag

Utskottets förslag till riksdagsbeslut

 

 

Ändringar i vissa författningar inom Finansdepartementets ansvarsområde med anledning av EU:s dataskyddsreform

Riksdagen antar regeringens förslag till

1. lag om ändring i kasinolagen (1999:355),

2. lag om ändring i lagen (2001:99) om den officiella statistiken,

3. lag om ändring i lagen (2006:378) om lägenhetsregister,

4. lag om ändring i lagen (2014:484) om en databas för övervakning av och tillsyn över finansmarknaderna,

5. lag om upphävande av lagen (1979:217) om allmän folk- och bostadsräkning år 1980,

6. lag om upphävande av lagen (1984:531) om 1985 års folk- och bostadsräkning,

7. lag om upphävande av lagen (1989:329) om en folk- och bostadsräkning år 1990.

Därmed bifaller riksdagen proposition 2017/18:107 punkterna 1–7.

 

Stockholm den 17 april 2018

På finansutskottets vägnar

Fredrik Olovsson

Följande ledamöter har deltagit i beslutet: Fredrik Olovsson (S), Elisabeth Svantesson (M), Maria Plass (M), Ingela Nylund Watz (S), Oscar Sjöstedt (SD), Ingemar Nilsson (S), Emil Källström (C), Janine Alm Ericson (MP), Niklas Wykman (M), Marie Granlund (S), Dennis Dioukarev (SD), Mats Persson (L), Jakob Forssmed (KD), Niklas Karlsson (S), Anette Åkesson (M) och Håkan Svenneling (V).

 

 

 

 


Redogörelse för ärendet

Ärendet och dess beredning

I det här ärendet behandlar utskottet proposition 2017/18:107 Ändringar i vissa författningar inom Finansdepartementets ansvarsområde med anledning av EU:s dataskyddsreform. Regeringens förslag till riksdagsbeslut framgår av bilaga 1. Regeringens lagförslag redovisas i bilaga 2.

I april 2016 utfärdade Europaparlamentet och rådet förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avse­ende på behandling av personuppgifter och om det fria flödet av sådana upp­gifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförord­ning), här benämnd dataskyddsförordningen. Den ska tillämpas fr.o.m. den 25 maj 2018.

Lagrådet har granskat lagförslagen, och regeringen har följt Lagrådets för­slag.

Inga motioner har väckts med anledning av propositionen.

Bakgrund

Regleringen av behandling av personuppgifter inom EU har sin grund i data­skyddsdirektivet.[1] Direktivet har genomförts i svensk rätt huvudsakligen ge­nom personuppgiftslagen (1998:204), förkortad PUL. Denna lag är subsidiär i förhållande till andra lagar och förordningar och kompletteras av ett stort antal s.k. registerförfattningar.

Det nu gällande dataskyddsdirektivet kommer att ersättas av dataskydds­förordningen som trädde i kraft den 24 maj 2016 och som ska tillämpas fr.o.m. den 25 maj 2018. Dataskyddsförordningen är till stora delar baserad på data­skyddsdirektivet men innehåller också ett antal nyheter.

EU-förordningar gäller utan att införlivas i svensk rätt och ska normalt inte införlivas. När det gäller den nuvarande svenska lagstiftningen innebär data­skyddsförordningen därför att PUL och den tillhörande personuppgiftsförord­ningen (1998:1191), samt de föreskrifter som Datainspektionen meddelat i an­slutning till denna reglering, måste upphävas.

Även om dataskyddsförordningen blir direkt tillämplig både förutsätter och möjliggör den kompletterande nationella bestämmelser av olika slag. Enligt skäl 8 till förordningen får den också delvis införlivas i nationell rätt, i den utsträckning som det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på. Nationella dataskyddsbestämmelser blir subsidiära i förhållande till förord­ningen och måste ha stöd i denna.

Regeringen har i sin proposition 2017/18:105 Ny dataskyddslag lämnat för­slag på hur svensk rätt på ett övergripande plan ska anpassas till förordningen. I den propositionen föreslås att PUL upphävs och att en ny lag med komplet­terande bestämmelser till EU:s dataskyddsförordning införs, här benämnd dataskyddslagen. Vidare föreslås i propositionen att vissa bestämmelser i offentlighets- och sekretesslagen ändras.

Dataskyddsförordningen har också föranlett ett antal propositioner med för­slag som anpassar befintliga dataskyddsbestämmelser på olika områden till förordningen.

Dataskyddsförordningens innehåll

Förordningens syfte

I skäl 9 till dataskyddsförordningen konstateras att målen och principerna för dataskyddsdirektivet fortfarande är giltiga men att det inte har kunnat för­hindra bristande enhetlighet i genomförandet av dataskyddet i olika delar av unionen. Skillnader i nivån på skyddet av personuppgifter kan enligt skälet förhindra det fria flödet av personuppgifter och kan därför utgöra ett hinder för att bedriva ekonomisk verksamhet på unionsnivå, snedvrida konkurrensen och hindra myndigheterna från att fullgöra sina skyldigheter enligt unions­rätten.

För att säkra en enhetlig och hög skyddsnivå för fysiska personer och för att undanröja hindren för flödena av personuppgifter inom unionen bör nivån på skyddet av fysiska personers rättigheter och friheter vid behandling av per­sonuppgifter enligt skäl 10 vara likvärdig i alla medlemsstater.

Den nya förordningen behövs enligt skäl 13 för att säkerställa en enhetlig nivå för skyddet av fysiska personer över hela unionen och undvika avvikelser som hindrar den fria rörligheten av personuppgifter inom den inre marknaden. Förordningen ska skapa rättslig säkerhet och öppenhet för ekonomiska aktörer och ge fysiska personer i alla medlemsstater samma rättsligt verkställbara rät­tigheter och skyldigheter samt ålägga personuppgiftsansvariga och personupp­giftsbiträden samma ansvar. På så sätt ska övervakningen av behandling av personuppgifter bli enhetlig, sanktionerna i alla medlemsstater likvärdiga och samarbetet mellan tillsynsmyndigheterna i olika medlemsstater effektivt.

Förordningens tillämpningsområde

Dataskyddsförordningen ska, precis som dataskyddsdirektivet, tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automa­tisk väg och på annan behandling av personuppgifter som ingår i eller kommer att ingå i ett register.

Förordningen ska tillämpas på all behandling av personuppgifter som utförs inom ramen för den verksamhet som bedrivs av personuppgiftsansvariga eller personuppgiftsbiträden som är etablerade i unionen, oavsett om behandlingen utförs i unionen eller inte. En skillnad jämfört med dataskyddsdirektivet är att förordningen under vissa omständigheter ska tillämpas även på behandling av personuppgifter som utförs av personuppgiftsansvariga eller personuppgifts­biträden som inte är etablerade i unionen. Detta gäller om behandlingen avser registrerade som befinner sig i unionen, under förutsättning att behandlingen har anknytning till antingen utbjudande av varor eller tjänster till sådana regi­strerade i unionen eller övervakning av deras beteende, så länge beteendet sker inom unionen. Slutligen ska dataskyddsförordningen också tillämpas på be­handling av personuppgifter som utförs av en personuppgiftsansvarig som inte är etablerad i unionen men på en plats där en medlemsstats nationella rätt gäller enligt folkrätten.

Från förordningens tillämpningsområde undantas behandling av person­uppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten eller som utförs av medlemsstaterna när de bedriver verksamhet som omfattas av den gemensamma utrikes- och säkerhetspolitiken. Behandling av person­uppgifter som utförs av en fysisk person som ett led i verksamhet av privat natur eller som har samband med hans eller hennes hushåll omfattas inte heller av förordningens bestämmelser. Vidare gäller förordningen inte för sådan be­handling av personuppgifter som utförs av behöriga myndigheter för ändamå­len att förebygga, utreda, upptäcka eller lagföra brott eller verkställa straff­rättsliga påföljder. Sådan behandling regleras i stället genom ett nytt direktiv, här benämnt det nya dataskyddsdirektivet.[2]

Slutligen ska förordningens bestämmelser inte tillämpas av EU:s institu­tioner, organ och byråer. Den behandling av personuppgifter som utförs där regleras i stället genom en annan förordning.[3] Ett förslag till reviderad förord­ning om skydd för personuppgifter som behandlas av unionens institutioner, organ, kontor och byråer har lagts fram av kommissionen.[4]

Förändringar i sak

Dataskyddsförordningen är som nämnts till stora delar baserad på dataskydds­direktivet. Förordningen innebär dock en rad förändringar. Här nämns några av dessa.

Den registrerades rättigheter förstärks

I syfte att ge den registrerade ökad kontroll över sina personuppgifter förstärks dennes rättigheter. Den information som ska tillhandahållas den registrerade preciseras och utvidgas, och det anges uttryckligen att den personuppgifts­ansvarige ska tillhandahålla informationen i en begriplig och lättillgänglig form. Förordningen innebär även en förstärkning av rätten för den registrerade att få åtkomst till sina personuppgifter för att föra över dem till en annan leve­rantör av elektroniska tjänster, s.k. dataportabilitet. Vidare införs en tydli­gare rätt till radering (i förordningen även kallat ”rätten att bli bortglömd”).

Barns personuppgifter förtjänar enligt skäl 38 i förordningen särskilt skydd. Barns särställning och särskilda utsatthet poängteras också på flera ställen i förordningen. När informationssamhällets tjänster erbjuds direkt till ett barn krävs enligt förordningen att samtycke eller godkännande av barnets samtycke i vissa fall inhämtas av den som har föräldraansvar för barnet för att person­uppgifter som rör barnet ska få behandlas.

Den registrerade ska underrättas om personuppgiftsincidenter

Det införs en skyldighet för den personuppgiftsansvarige att anmäla till till­synsmyndigheten om det inträffar en s.k. personuppgiftsincident, dvs. en sä­kerhetsincident som oavsiktligt påverkar behandlingen av personuppgifter. Även den registrerade ska utan onödigt dröjsmål informeras om incidenten, om den sannolikt leder till en hög risk för fysiska personers rättigheter och friheter.

Konsekvensbedömningar och tydligare kommunikation

Om en viss behandling sannolikt kommer att leda till hög risk för enskildas rättigheter eller skyldigheter ska den personuppgiftsansvarige före behand­lingen utföra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter. Den allmänna anmälningsskyldigheten till till­synsmyndigheten som i dag framgår av PUL tas däremot bort.

Vidare införs det tydligare regler för kommunikation med den registrerade och ansvar för dem som behandlar personuppgifter.

Nya åtgärder för enhetlig tillämpning

Dataskyddsförordningen innebär på olika sätt ett ökat fokus på en enhetlig
tillämpning av dataskyddsreglerna inom EU, t.ex. genom åtgärder som god­kännande av uppförandekoder och certifiering. Genom förordningen införs ett nytt gemensamt system med sanktionsavgifter som ska tas ut vid överträdelser av förordningen. Det införs även en skyldighet för de nationella tillsynsmyn­digheterna att samarbeta med varandra och en mekanism för enhetlighet när flera tillsynsmyndigheter är inblandade.

Samtidigt införs en ny princip om en enda kontaktpunkt som ska underlätta för sådana personuppgiftsansvariga som är verksamma i flera medlemsstater genom att de endast ska behöva vara i kontakt med en av de behöriga tillsyns­myndigheterna. Det införs även ett nytt unionsorgan, Europeiska dataskydds­styrelsen, som får långtgående befogenheter att uttala sig om tolkningen av förordningen också i enskilda fall.

Offentlighetsprincipens företräde blir tydligare

I artikel 86 i dataskyddsförordningen anges att personuppgifter i allmänna handlingar som förvaras av en myndighet eller ett offentligt organ eller ett pri­vat organ för utförande av en uppgift av allmänt intresse får lämnas ut av myn­digheten eller organet i enlighet med den unionsrätt eller den medlemsstats nationella rätt som myndigheten eller det offentliga organet omfattas av. Av­sikten är enligt artikeln att allmänhetens rätt att få tillgång till allmänna hand­lingar ska jämkas samman med förordningens rätt till skydd av personuppgif­ter.

Utrymmet för att ge offentlighetsprincipen företräde framför dataskydds­regleringen blir genom denna artikel tydligare. Artikeln möjliggör en tillämp­ning av bestämmelserna i tryckfrihetsförordningen (TF) om allmänhetens till­gång till allmänna handlingar som innehåller personuppgifter. I regeringens proposition Ny dataskyddslag föreslås också en bestämmelse i dataskydds­lagen om förhållandet till tryck- och yttrandefriheten som innebär att data­skyddsförordningen inte ska tillämpas i den utsträckning det skulle strida mot TF eller yttrandefrihetsgrundlagen.

Särskilt om personuppgiftsbehandling för statistiska ändamål

Med statistiska ändamål avses enligt skäl 162 till dataskyddsförordningen varje åtgärd som vidtas för den insamling och behandling av personuppgifter som är nödvändig för statistiska undersökningar eller för framställning av sta­tistiska resultat. Dessa statistiska resultat kan vidare användas för olika ända­mål, inbegripet vetenskapliga forskningsändamål. Ett statistiskt ändamål inne­bär enligt samma skäl att resultatet av behandlingen för statistiska ändamål inte består av personuppgifter, utan av aggregerade personuppgifter, och att resultatet eller uppgifterna inte används till stöd för åtgärder eller beslut som avser en särskild fysisk person.

Behandling av personuppgifter är enligt dataskyddsförordningen endast laglig om den uppfyller något av de villkor som anges i artikel 6.1. Stöd för att samla in personuppgifter för den officiella statistiken, vilken i svensk rätt re­gleras av lagen (2001:99) om den officiella statistiken och förordningen (2001:100) om den officiella statistiken, och för annan reglerad statistik finns i artikel 6.1 e, som medger behandling som är nödvändig för att utföra en upp­gift av allmänt intresse eller som en del i den personuppgiftsansvariges myn­dighetsutövning.

Behandling av personuppgifter inom ramen för ett statistikprojekt som inte är nödvändigt för att utföra en fastställd uppgift av allmänt intresse och som inte heller i sig utgör en sådan uppgift kan däremot inte utföras med stöd av artikel 6.1 e i dataskyddsförordningen. Rättslig grund för behandlingen måste då sökas någon annanstans. I vissa fall kan insamling av personuppgifter för statistiska ändamål genomföras med stöd av samtycke från de registrerade. I andra fall kan insamling av personuppgifter för viss statistikverksamhet vara tillåten utan samtycke, med stöd av en intresseavvägning enligt artikel 6.1 f i dataskydds­förordningen. Det gäller dock inte behandling hos offentliga myndigheter.

I artikel 9.2 j i dataskyddsförordningen finns ett undantag för behandling av särskilt känsliga uppgifter för bl.a. statistiska ändamål. Den behandlingen ska utföras i enlighet med vad som anges i artikel 89.1, vilket bl.a. innebär att den ska omfattas av lämpliga skyddsåtgärder för den registrerades rättigheter och fri­heter.

Regeringen har i propositionen Ny dataskyddslag gjort bedömningen att sådan behandling av personuppgifter som utförs under forskarens ansvar bör prövas utifrån de bestämmelser som gäller vid behandling för forskningsända­mål (prop. 2017/18:105 s. 124).

För den behandling av personuppgifter som i dag utförs för statistiska ända­mål gäller PUL, om statistikverksamheten inte är reglerad särskilt. I proposi­tionen Ny dataskyddslag anför regeringen att förutsättningarna enligt data­skyddsförordningen för att det ska vara tillåtet att behandla känsliga person­uppgifter för statistiska ändamål i huvudsak är desamma som enligt data­skyddsdirektivet (prop. 2017/18:105 s. 123). I den propositionen föreslås en bestämmelse i den nya data­skyddslagen som innebär att känsliga personuppgifter får behandlas med stöd av artikel 9.2 j i dataskyddsförordningen, om behandlingen är nödvändig för statistiska ändamål och samhällsintresset av det statistikprojekt där behand­lingen ingår klart väger över den risk för otillbörligt intrång i enskildas per­sonliga integritet som behandlingen kan innebära.

Regeringen föreslår också i samma proposition en s.k. användnings­begränsning för personuppgifter som behandlas för statistiska ändamål. Den ska innebära att personuppgifter som behandlas enbart för statistiska ändamål får användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen (prop. 2017/18:105 s. 125 f.).

 

Utskottets överväganden

Ändringar i vissa författningar inom Finansdepartementets ansvarsområde med anledning av EU:s dataskyddsreform 

Utskottets förslag i korthet

Riksdagen antar regeringens lagförslag om ändringar i vissa författ­ningar med anledning av EU:s dataskyddsreform.

 

Propositionen

Generella utgångspunkter

Till skillnad från vad som gällde enligt dataskyddsdirektivet och PUL tillåter dataskyddsförordningen inte att myndigheter behandlar personuppgifter med stöd av en intresseavvägning. Myndigheter behöver enligt dataskyddsförord­ningen kunna stödja sin behandling på någon av de grunder som anges i för­ordningen. För att behandlingen ska vara tillåten utan att den registrerade har lämnat sitt samtycke måste den också vara nödvändig för att fullgöra, skydda eller utföra den rättsliga grunden. I propositionen Ny dataskyddslag har rege­ringen, mot bakgrund av avgöranden i EU-domstolen, gjort bedömningen att nödvändighetskravet inte har den strikta innebörden att det krävs att det utan behandlingen skulle vara omöjligt att fullgöra en förpliktelse, skydda intressen eller utföra en uppgift. Att det uppstår effektivitetsvinster ska anses tillräckligt för att behandlingen ska anses nödvändig.

Dataskyddsförordningens krav på rättsligt stöd bedöms i praktiken inte innebära några begränsningar för myndigheters generella rätt att behandla per­sonuppgifter, utöver vad som redan gäller i dag.

Bestämmelser om personuppgiftslagens tillämplighet i lagen om den offi­ciella statistiken och lagen (2006:378) om lägenhetsregister ska ersättas med upplysningsbestämmelser om EU:s dataskyddsförordning. Det ska framgå att lagarna kompletterar dataskyddsförordningen och att den föreslagna data­skyddslagen gäller vid behandling av personuppgifter om inte annat följer av de särskilda författningarna. Andra hänvisningar som görs till personuppgifts­lagen i de båda lagarna ska ändras till att avse motsvarande bestämmelser i dataskyddsförordningen eller tas bort om de inte fyller någon funktion. Be­stämmelser i de nämnda lagarna och i kasinolagen (1999:355) som gör PUL:s bestämmelser om rättelse och skadestånd tillämpliga vid överträdelser av la­garna ska upphävas.

Datainspektionen anser att analysen inte har utgått från förordningen som pri­mär rättskälla, vilket innebär en risk för normkonflikter och att person­uppgiftsbehandling som genomförs i dag inte kommer att kunna utföras när förordningen börjar tillämpas. Regeringen bedömer att den översyn som gjorts är tillräcklig för att undvika normkonflikter. Överväganden som Datainspek­tionen efterlyser har enligt regeringen redan gjorts.

Statistikansvariga myndigheters framställning av statistik

Rättslig grund

Den grundläggande regleringen av statistikansvariga myndigheters rätt att be­handla personuppgifter för framställning av statistik finns i lagen om den offi­ciella statistiken. Genom regleringen i denna lag och i förordningen om den officiella statistiken bedöms statistikansvariga myndigheter ha en rättslig grund att i enlighet med artikel 6.1 e i dataskyddsförordningen behandla per­sonuppgifter för statistikändamål. Regeringen bedömer att det inte finns behov av någon ny reglering för att uppfylla dataskyddsförordningens krav på rättslig grund när statistikansvariga myndigheter utan samtycke samlar in och i övrigt behandlar personuppgifter vid framställning av statistik.

Datainspektionen efterfrågar en analys av om nu gällande bestämmelser om annan statistik än officiell statistik är förenliga med dataskyddsförordningen och en större tydlighet när det gäller vilken statistik en myndighet kan fram­ställa med eget rättsligt stöd, samt hur regleringen kring rättsligt stöd för­håller sig till regeringsformens och dataskyddsförordningens krav. Data­inspektionen be­dömer att de statistikansvariga myndigheterna inte har något rättsligt stöd att behandla personuppgifter utanför de statistikområden som följer av lagstift­ningen. Regeringen framhåller att överväganden av regle­ringens tydlighet, precisering, förutsägbarhet och proportionalitet redan har gjorts, liksom nöd­vändiga överväganden av statistikförfattningarnas fören­lighet med grundlag.

Personuppgiftsansvar

En statistikansvarig myndighet är enligt 14 § lagen om den officiella statisti­ken personuppgiftsansvarig enligt PUL. I dataskyddsförordningen definieras personuppgiftsansvarig som en fysisk eller juridisk person, offentlig myndig­het, institution eller annat organ som ensamt eller tillsammans med andra be­stämmer ändamålen och medlen för behandlingen av personuppgifter. Det finns ingen skillnad i innebörden av begreppet personuppgiftsansvarig mellan dataskyddsdirektivet, PUL och dataskyddsförordningen.

Regeringen bedömer att en statistikansvarig myndighet fortfarande ska ha ett utpekat personuppgiftsansvar vid behandling av personuppgifter i samband med statistikframställning. En sådan myndighets behandling av personuppgif­ter i samband med uppdragsverksamhet åt forskare är enligt regeringen att be­trakta som behandling av personuppgifter för statistiska ändamål.

Den som behandlar personuppgifter för den personuppgiftsansvariges räk­ning benämns personuppgiftsbiträde. En statistikansvarig myndighet ska kunna vara personuppgiftsbiträde åt en annan statistikansvarig myndighet.

Behandling av känsliga personuppgifter och personuppgifter om lagöver­trädelser

I artikel 9.1 i dataskyddsförordningen föreskrivs att behandling av personupp­gifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, och behandling av ge­netiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska vara förbjuden. Dessa kategorier av personuppgifter motsvarar i stort sett vad som enligt 13 § PUL utgör känsliga personuppgifter.

Artikel 10 i dataskyddsförordningen föreskriver att behandling av person­uppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder endast får utföras under kontroll av myn­dighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet.

När det gäller personuppgifter om lagöverträdelser innebär artikel 10 i data­skyddsförordningen vissa ändringar jämfört med tidigare bestämmelser i data­skyddsdirektivet, då tillämpningsområdet begränsats till enbart fällande brott­målsdomar.

Huvudregeln är enligt PUL att det är förbjudet att behandla känsliga per­sonuppgifter och förbjudet för andra än myndigheter att behandla personupp­gifter om lagöverträdelser som innefattar brott, domar i brottmål, straff­processu­ella tvångsmedel eller administrativa frihetsberövanden. Det finns dock flera undantag. Enligt 15 § lagen om den officiella statistiken får känsliga personuppgifter och uppgifter om lagöverträdelser m.m. behandlas om det föl­jer av föreskrifter som regeringen meddelar. Regeringen bedömer att det fort­farande finns behov av en sådan reglering.

Den reglering som regeringen föreslår, som innebär att känsliga personupp­gifter och personuppgifter om lagöverträdelser ska få behandlas vid fram­tagande av officiell statistik om det följer av föreskrifter som regeringen med­delat, innebär en inskränkning av möjligheten att behandla personuppgifter jämfört med vad som kommer att gälla enligt den generella regleringen i den nya dataskyddslagen.

För närvarande finns regler i lagen om den officiella statistiken och i för­ordningen om den officiella statistiken som begränsar möjligheterna att be­handla känsliga personuppgifter till vissa särskilt angivna områden. Den bör enligt regeringen även fortsättningsvis gälla vid framtagande av officiell sta­tistik. När det gäller framställning av annan statistik finns dock enligt rege­ringen anledning att pröva om regleringen är ändamålsenlig.

Regeringens förslag är att en statistikansvarig myndighet vid framställning av annan statistik än officiell statistik ska få behandla känsliga personupp­gifter och uppgifter om lagöverträdelser efter en prövning av om behandlingen är nödvändig för statistiska ändamål och om samhällsintresset av det statistik­projekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära. Vidare ska sådana personuppgifter få behandlas för forskningsprojekt under samma för­utsättningar, om behandlingen har godkänts enligt lagen (2003:460) om etik­prövning av forskning som avser människor.

Datainspektionen anser att det saknas en tillräcklig analys av om författ­ningsbestämmelserna om känsliga personuppgifter uppfyller kraven i data­skyddsförordningen och att det därför inte är möjligt att genomföra en propor­tionalitetsbedömning. Regeringen anser att den föreslagna regleringen är pro­portionerlig.

Undantag från vissa av den registrerades rättigheter

Dataskyddsförordningen innehåller bestämmelser om att den personuppgifts­ansvarige under vissa omständigheter ska förse den registrerade med viss in­formation och om den registrerades rätt till tillgång till personuppgifterna, rätt till rättelse och rätt till radering. Det finns också bestämmelser om undantag från dessa rättigheter.

Om personuppgifter behandlas för t.ex. statistiska ändamål får det enligt artikel 89.2 föreskrivas undantag från dessa rättigheter i nationell rätt. Det sak­nas enligt regeringen skäl att införa undantag från rätten till tillgång till per­sonuppgifter. I lagen om den officiella statistiken bör dock införas ett undantag från rätten att få personuppgifter rättade eller kompletterade samt ett undantag från rätten att kräva begränsning av personuppgiftsbehandlingen.

Datainspektionen anser att förslaget i denna del inte är förenligt med data­skyddsförordningen och efterlyser en analys som visar att de föreslagna be­gränsningarna av de registrerades rättigheter vid framställning av statistik är proportionella mot det legitima mål som eftersträvas. Pensionsmyndigheten ställer sig principiellt tveksam till inskränkningar av rättigheter enligt förord­ningen och avstyrker förslaget i denna del. Regeringen bedömer att de in­skränkningar av enskildas rättigheter som föreslås är proportionerliga.

Utlämnande av uppgifter i vissa fall

I 16 § lagen om den officiella statistiken finns en bestämmelse om utlämnande av uppgifter i vissa fall. Enligt bestämmelsen får en statistikansvarig myndig­het, när den lämnar ut uppgifter som inte direkt kan hänföras till en enskild, i samband med utlämnandet förse uppgifterna med en beteckning som hos den statistikansvariga myndigheten kan kopplas till personnummer eller motsva­rande för att göra det möjligt att senare komplettera uppgifterna. En sådan åt­gärd får vidtas om den som uppgifterna lämnas ut till ska använda dessa för forskning eller statistik samt har ett särskilt behov av att senare kunna kom­plettera uppgifterna. Regeringen föreslår en ändring i 1 § lagen om den offici­ella statistiken som innebär att bestämmelserna i 16 § även ska gälla vid fram­ställning av annan statistik än officiell statistik hos en statistikansvarig myn­dighet. Förslaget medför enligt regeringen ökad enhetlighet mellan regle­ringen av officiell statistik och annan statistik hos statistikansvariga myndig­heter samt ökad tillgänglighet till data för forskning och statistik.

Datainspektionen avstyrker förslaget. Analysen visar enligt myndigheten inte att dataskyddsförordningens krav på proportionalitet är uppfyllt. Data­inspektionen menar att det saknas en konkret redogörelse för vilka nackdelar eller risker utlämnandet kan innebära för de registrerade och en analys av om dessa undantag medför behov av ytterligare skyddsåtgärder. Regeringen anser att det står klart att förslaget uppfyller dataskyddsförordningens krav på proportionalitet.

Lägenhetsregistret

Lägenhetsregistret är ett landsomfattande register för bostadslägenheter i Sverige som regleras i lagen om lägenhetsregister och förordningen (2007:108) om lägenhetsregister. Registret används av SCB för att ta fram hushålls- och bostadsstatistik. Uppgifter i lägenhetsregistret kan utgöra per­sonuppgifter. Regeringens bedömning är att det finns en rättslig grund för Lantmäteriet, kommuner och fastighetsägare att behandla personuppgifter i samband med förandet av lägenhetsregistret.

Som nämnts ovan får det enligt artikel 89.2 i dataskyddsförordningen under vissa omständigheter föreskrivas undantag i unionsrätten eller i medlems­staternas nationella rätt från rättigheter som den registrerade har enligt data­skyddsförordningen. Regeringen föreslår ett undantag med innebörden att den registrerade inte ska ha rätt till någon begränsning av behandlingen av person­uppgifter som omfattas av lagen om lägenhetsregister.

Datainspektionen anser att det saknas en närmare redovisning av de frågor som är relevanta för en proportionalitetsbedömning av förslaget och anser där­för att förslaget inte kan anses förenligt med dataskyddsförordningen. Rege­ringen menar att de skäl som anförts för förslaget väger så tungt att det bedöms proportionerligt.

Folk- och bostadsräkningar

Före lägenhetsregistrets tillkomst framställdes statistik på folk- och bostads­räkningsområdet genom särskilda folk- och bostadsräkningar, vilka genom­fördes av SCB. Folk- och bostadsräkningarna reglerades särskilt i lagar och förordningar, som fortfarande formellt gäller. Flertalet av bestämmelserna är i dag obsoleta, och behovet av de övriga bestämmelserna bedöms av regeringen som högst begränsat. Regeringen föreslår att författningarna ska upphävas.

Databasen för övervakning och tillsyn över finansmarknaderna

Databasen för övervakning av och tillsyn över finansmarknaderna får enligt lagen (2014:484) om en databas för övervakning av och tillsyn över finans­marknaderna inte innehålla personuppgifter. När det gäller definitionen av per­sonuppgifter hänvisar lagen nu till PUL. Regeringen föreslår att den i stället ska hänvisa till den definition av personuppgifter som görs i dataskydds­förordningen.

Kasinolagen

Kasinolagen innehåller bestämmelser om roulettspel, tärningsspel, kortspel och liknande spel som anordnas i lokaler vilka huvudsakligen används för detta ändamål (ett kasino). I kasinolagen finns också bestämmelser om regi­strering av besökarna på kasinot i syfte att förebygga och avslöja brott. Rege­ringen föreslår att en ny paragraf införs i kasinolagen med en upplysning om tillämpningen av EU:s dataskyddsförordning och som klargör att den före­slagna dataskyddslagen ska tillämpas i den utsträckning kasinolagen inte in­nehåller några avvikande bestämmelser.

Ikraftträdande och övergångsbestämmelser

Lagändringarna föreslås träda i kraft den 25 maj 2018, samtidigt som data­skyddsförordningen ska börja tillämpas. Regeringen bedömer att det inte finns behov av några övergångsbestämmelser.

Konsekvenser

Regeringen bedömer att förslagen inte medför någon risk för otillbörliga in­trång i den personliga integriteten.

Förslagen medför enligt regeringen inte heller något behov av ytterligare medel för de berörda myndigheterna eller några nya åtaganden eller kostnader för företag.

Utskottets ställningstagande

Utskottet ansluter sig till regeringens överväganden och anser att riksdagen av de skäl som anförs i propositionen bör anta regeringens lagförslag.

 

Bilaga 1

Förteckning över behandlade förslag

Propositionen

Proposition 2017/18:107 Ändringar i vissa författningar inom Finansdepartementets ansvarsområde med anledning av EU:s dataskyddsreform:

1.Riksdagen antar regeringens förslag till lag om ändring i kasinolagen (1999:355).

2.Riksdagen antar regeringens förslag till lag om ändring i lagen (2001:99) om den officiella statistiken.

3. Riksdagen antar regeringens förslag till lag om ändring i lagen (2006:378) om lägenhetsregister.

4.Riksdagen antar regeringens förslag till lag om ändring i lagen (2014:484) om en databas för övervakning av och tillsyn över finansmarknaderna. 

5.Riksdagen antar regeringens förslag till lag om upphävande av lagen (1979:217) om allmän folk- och bostadsräkning år 1980.

6. Riksdagen antar regeringens förslag till lag om upphävande av lagen (1984:531) om 1985 års folk- och bostadsräkning.

7.Riksdagen antar regeringens förslag till lag om upphävande av lagen (1989:329) om en folk- och bostadsräkning år 1990.

 

 

 

 

Bilaga 2

Regeringens lagförslag


[1] Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter.

[2] Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF.

[3] Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter.

[4] COM(2017) 8 final.