Regeringens proposition 2017/18:95

Anpassningar av vissa författningar inom skatt,	Prop.
tull och exekution till EU:s	2017/18:95
dataskyddsförordning

Regeringen överlämnar denna proposition till riksdagen.

Stockholm den 22 februari 2018

Stefan Löfven

Magdalena Andersson

(Finansdepartementet)

Propositionens huvudsakliga innehåll

Regeringen lämnar förslag som anpassar lagstiftningen om person- uppgiftsbehandling inom Skatteverkets, Tullverkets och Kronofogde- myndighetens verksamheter till EU:s nya dataskyddsförordning. De flesta förslagen är följder av eller anpassningar till dataskyddsförord- ningen och till att personuppgiftslagen till följd av den nya förordningen kommer att upphävas. Förslagen innebär också att lagarna om person- uppgiftsbehandling i de berörda myndigheternas verksamheter ska komplettera dataskyddsförordningen och dataskyddslagen. Det föreslås även vissa förtydliganden och justeringar som inte föranleds direkt av dataskyddsförordningen. Ändringarna bidrar bl.a. till att minska even- tuell dubbelreglering och klargör de olika regleringarnas förhållande till varandra. Anpassningarna gäller inte personuppgiftsbehandling vid myndigheternas brottsbekämpande verksamhet.

Lagändringarna föreslås träda i kraft den 25 maj 2018.

1

Prop. 2017/18:95	Innehållsförteckning
	1	Förslag till riksdagsbeslut .................................................................	5
	2	Lagtext ..............................................................................................	6

	2.1	Förslag till lag om ändring i lagen (1998:527) om
		det statliga personadressregistret ........................................	6
	2.2	Förslag till lag om ändring i lagen (2001:181) om
		behandling av uppgifter i Skatteverkets
		beskattningsverksamhet......................................................	8
	2.3	Förslag till lag om ändring i lagen (2001:182) om
		behandling av personuppgifter i Skatteverkets
		folkbokföringsverksamhet................................................	13
	2.4	Förslag till lag om ändring i lagen (2001:184) om
		behandling av uppgifter i Kronofogdemyndighetens
		verksamhet .......................................................................	16
	2.5	Förslag till lag om ändring i lagen (2001:185) om
		behandling av uppgifter i Tullverkets verksamhet ...........	24
	2.6	Förslag till lag om ändring i lagen (2015:898) om
		behandling av personuppgifter i Skatteverkets
		äktenskapsregister- och
		bouppteckningsverksamheter ...........................................	28
	2.7	Förslag till lag om ändring i lagen (2015:899) om
		identitetskort för folkbokförda i Sverige ..........................	30
3	Ärendet och dess beredning ............................................................		32
4	Bakgrund.........................................................................................		32
	4.1	EU:s dataskyddsreform ....................................................	32
	4.2	Författningsarbete med anledning av
		dataskyddsreformen .........................................................	33
	4.3	Översynen som ligger till grund för denna
		proposition........................................................................	34
5	Gällande rätt....................................................................................		34
	5.1	Dataskyddsdirektivet och personuppgiftslagen ................	34
	5.2	Registerförfattningar på skatte- och tullavdelningens
		område..............................................................................	35
	5.3	Andra författningar på skatte- och tullavdelningens
		område..............................................................................	37
6	Dataskyddsförordningens tillämplighet ..........................................		37
7	Överväganden kring vissa grundläggande krav på behandling .......		40
	7.1	Rättslig grund för behandling av personuppgifter ............	40
	7.2	Finalitetsprincipen ............................................................	47
8	Utrymmet för nationell reglering inom
	dataskyddsförordningens tillämpningsområde................................		49
9	Överväganden och förslag som rör bestämmelser i
	registerförfattningar ........................................................................		50
	9.1	Inledning ..........................................................................	50

2

Prop. 2017/18:95	Utdrag ur protokoll vid regeringssammanträde den 22 februari
	2018 .....................................................................................	178

4

1	Förslag till riksdagsbeslut	Prop. 2017/18:95

Regeringen föreslår att riksdagen antar regeringens förslag till

1.lag om ändring i lagen (1998:527) om det statliga personadress- registret,

2.lag om ändring i lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet,

3.lag om ändring i lagen (2001:182) om behandling av person- uppgifter i Skatteverkets folkbokföringsverksamhet,

4.lag om ändring i lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet,

5.lag om ändring i lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet,

6.lag om ändring i lagen (2015:898) om behandling av person- uppgifter i Skatteverkets äktenskapsregister- och boupptecknings- verksamheter,

7.lag om ändring i lagen (2015:899) om identitetskort för folkbokförda

iSverige.

5

har meddelats i	anslutning	till	Prop. 2017/18:95
lagen.
Bestämmelser om rätten att göra
invändningar mot	behandling	för
direkt marknadsföring finns		i

artikel 21.2 i samma förordning.

Denna lag träder i kraft den 25 maj 2018.

7

om		föreskrifter	som	har	meddelats	i Prop. 2017/18:95
1. definitioner i 3 §,		anslutning till den lagen, om inte
2. förhållandet till	offentlighets-	annat följer av denna lag eller
principen m.m. i 8 §,		föreskrifter	som	har	meddelats	i
3. grundläggande	krav på be-	anslutning till lagen.

handling i 9 § med undantag för vad som sägs i första stycket i och tredje stycket,

4.säkerheten vid behandling i 30–32 §§,

5.överföring av personuppgifter till tredje land i 33–35 §§,

6.personuppgiftsombud, m.m. i 36 § andra stycket och 38–41 §§,

7.upplysningar till allmänheten om vissa behandlingar i 42 § med

den begränsning som anges i 3 kap. 2 a § i denna lag,

8.tillsynsmyndighetens befogen- heter i 43 och 47 §§, och

9.straff i 49 §.

Vid behandling av person- uppgifter som inte sker i databaser gäller även 22 § personuppgifts- lagen.

	4 §3
Uppgifter får	behandlas för	Uppgifter får behandlas för att
tillhandahållande	av information	tillhandahålla information som
som behövs hos Skatteverket för		behövs hos Skatteverket för

1.fastställande av underlag för samt bestämmande, redovisning, betalning och återbetalning av skatter och avgifter,

2.bestämmande av pensionsgrundande inkomst,

3.fastighetstaxering,

4.revision och annan analys- eller kontrollverksamhet,

5.tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning,

6.handläggning

a)enligt lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter,

b)av andra frågor om ansvar för någon annans skatter och avgifter,

c)enligt lagen (2015:912) om automatiskt utbyte av upplysningar om finansiella konton och 22 b kap. skatteförfarandelagen (2011:1244), och

d)enligt lagen (2017:182) om automatiskt utbyte av land-för-land- rapporter på skatteområdet och 33 a kap. skatteförfarandelagen.

7. fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande,

3 Senaste lydelse 2017:454.

9

Prop. 2017/18:95 8. hantering av underrättelser från arbetsgivare om anställning av utlänningar som avses i lagen (2013:644) om rätt till lön och annan ersättning för arbete utfört av en utlänning som inte har rätt att vistas i Sverige,

9.hantering av uppgifter om sjuklönekostnad, och

10.tillsyn, kontroll, uppföljning och planering av verksamheten.

Uppgifter som får behandlas enligt första stycket får även behandlas för tillhandahållande av information som behövs i Skatte- verkets verksamhet enligt lagen (1997:1024) om Skatteverkets brottsbekämpande verksamhet.

5 §4

Uppgifter får behandlas för att

Uppgifter

som behandlas enligt

tillhandahålla

information

som

4 § får även behandlas för

behövs i författningsreglerad verk-

1. att tillhandahålla

information

samhet hos någon annan än

som behövs i författningsreglerad

Skatteverket för

verksamhet hos någon annan än

Skatteverket för

1. fastställande

av

underlag för

a) fastställande

av

underlag

för

samt redovisning,

bestämmande,

samt redovisning, bestämmande,

betalning

och

återbetalning

av

betalning

och

återbetalning

av

skatter eller avgifter,

skatter eller avgifter,

2. utsökning,

indrivning,

b) utsökning,

indrivning,

skuldsanering

och

F-skuld-

skuldsanering

och

F-skuld-

sanering,

sanering,

3. att

utgöra

underlag

för

c) att

utgöra

underlag

för

beräkning, beslut och kontroll i

beräkning, beslut och kontroll i

fråga om förmån, bidrag och andra

fråga om förmån, bidrag och andra

stöd,

stöd,

4. pensionsberäkning,

d) pensionsberäkning,

5. tillsyn

och

kontroll

samt

e) tillsyn

och

kontroll

samt

lämplighets-

och

tillstånds-

lämplighets-

och

tillstånds-

prövning

och

annan

liknande

prövning

och

annan liknande

prövning, och

prövning, och

6. aktualisering

och kompletter-

f) aktualisering

och

kompletter-

ing av uppgifter om fastigheter i

ing av uppgifter om fastigheter i

andra myndigheters register.

andra myndigheters register,

2. att tillhandahålla information

som behövs i Skatteverkets brotts-

bekämpande

verksamhet

enligt

lagen (1997:1024) om Skatte-

verkets

brottsbekämpande

verksamhet,

3. att fullgöra uppgiftslämnande

4 Senaste lydelse 2016:913.

10

som sker i överensstämmelse med Prop. 2017/18:95 lag eller förordning, och

4. andra	ändamål,	under
förutsättning	att uppgifterna inte

behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.

11

Prop. 2017/18:95	3 kap.
Information till den	registrerade Rätten till information m.m.
m. fl.6

2 a §7 Vid behandling av person-

uppgifter på grund av samarbete enligt lagen (2012:843) om administrativt samarbete inom Europeiska unionen i fråga om beskattning tillämpas inte 23, 25, 26, 28 och 42 §§ personuppgifts- lagen (1998:204) om sådana begränsningar är nödvändiga med hänsyn till ett intresse som anges i 8 a § f personuppgiftslagen.

1.Denna lag träder i kraft den 25 maj 2018.

2.Äldre föreskrifter om straff gäller fortfarande för överträdelser som har skett före ikraftträdandet.

6Senaste lydelse 2012:845.

7Senaste lydelse 2012:845.

12

2.3	Förslag till lag om ändring i lagen (2001:182)		Prop. 2017/18:95
	om behandling av personuppgifter i
	Skatteverkets folkbokföringsverksamhet
Härigenom föreskrivs i fråga om lagen (2001:182) om behandling av
personuppgifter i Skatteverkets folkbokföringsverksamhet1
dels att 3 kap. 1–4 §§ ska upphöra att gälla,
dels att rubrikerna närmast före 3 kap. 1, 3 och 4 §§ ska utgå,
dels att 1 kap. 2–4 och 6 §§, 2 kap. 12 § och rubriken närmast före
1 kap. 2 § ska ha följande lydelse,
dels att det ska införas en ny paragraf, 3 kap. 1 §, och närmast före
3 kap. 1 § en ny rubrik av följande lydelse.
Nuvarande lydelse		Föreslagen lydelse
Förhållandet till personuppgifts-		Förhållandet till annan reglering
lagen

1kap.

2 §

Om inte annat anges i 3 § eller 3 kap. gäller denna lag i stället för personuppgiftslagen (1998:204).

En registrerad har inte rätt att motsätta sig sådan behandling som är tillåten enligt denna lag.

3 §

När personuppgifter behandlas enligt denna lag eller enligt andra föreskrifter i det ämne som regle- ras i lagen gäller personuppgifts- lagens (1998:204) bestämmelser om

1. definitioner i 3 §,

1 Senaste lydelse av lagens rubrik 2003:671 3 kap. 4 § 2003:671.

13

anges i 13 § personuppgiftslagen			artikel	9.1 i	EU:s dataskydds- Prop. 2017/18:95
(1998:204)	och	uppgifter om	förordning		(känsliga	person-
lagöverträdelser m.m. som anges i			uppgifter) och uppgifter om lag-
21 § samma	lag	får behandlas	överträdelser som innefattar brott,
endast om uppgifterna har lämnats			domar	i	brottmål,	straff-
i ett ärende eller är nödvändiga för			processuella		tvångsmedel eller
handläggningen av det.			administrativa		frihetsberövanden
			får behandlas endast om upp-
			gifterna har lämnats i ett ärende
			eller är nödvändiga för handlägg-

ningen av det.

Uppgifter som avses i första stycket får i annat fall behandlas endast om det särskilt anges i 2 kap.

2 kap.

12 §3

Skatteverket får ta ut avgifter för att lämna ut uppgifter ur databasen enligt de närmare föreskrifter som meddelas av regeringen.

Rätten att ta ut avgifter enligt	Rätten att ta ut avgifter får inte
första stycket får inte innebära	innebära en inskränkning i
inskränkning i rätten att ta del av	1. rätten att ta del av och mot
och mot fastställd avgift få kopia	fastställd avgift få kopia eller
eller utskrift av en allmän handling	utskrift av en allmän handling
enligt tryckfrihetsförordningen.	enligt	tryckfrihetsförordningen,
	eller
	2. en	registrerads rätt enligt
	artikel 12.5 i EU:s dataskydds-
	förordning.

3 kap.

Rätten att göra invändningar

1§

Artikel 21.1 i EU:s dataskydds-

förordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.

1.Denna lag träder i kraft den 25 maj 2018.

2.Äldre föreskrifter om straff gäller fortfarande för överträdelser som har skett före ikraftträdandet.

3 Senaste lydelse 2003:671.

15

ras i lagen gäller personuppgifts-				kompletterande bestämmelser	till Prop. 2017/18:95
lagens	(1998:204)	bestämmelser		EU:s dataskyddsförordning	och
om				föreskrifter som har meddelats i
1. definitioner i 3 §,				anslutning till den lagen, om inte
2. förhållandet till		offentlighets-		annat följer av denna lag eller
principen m.m. i 8 §,				föreskrifter som har meddelats i
3. grundläggande		krav	på	anslutning till lagen.
behandling i 9 § med undantag för
vad som sägs i första stycket i och
tredje stycket,
4. säkerheten vid		behandling i
30–32 §§,
5. överföring av personuppgifter
till tredje land i 33–35 §§,
6. personuppgiftsombud, m.m. i
36 § andra stycket och 38–41 §§,
7. upplysningar till allmänheten
om vissa behandlingar i 42 §,
8. tillsynsmyndighetens befogen-
heter i 43 och 47 §§, och
9. straff i 49 §.
Vid behandling av person-
uppgifter som inte sker i databaser
gäller	även 22 § personuppgifts-
lagen.

Personuppgifter som avses i artikel 9.1 i EU:s dataskydds- förordning (känsliga personupp- gifter) och uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straff- processuella tvångsmedel eller administrativa frihetsberövanden får behandlas endast om upp- gifterna har lämnats i ett ärende eller är nödvändiga för hand- läggningen av det.

Uppgifter som avses i första stycket får i annat fall behandlas endast om det särskilt anges i 2 kap.

2 kap.

2 §2

Uppgifter får behandlas i data-	Uppgifter får behandlas i data-
basen för tillhandahållande av in-	basen för att tillhandahålla
formation som behövs i Krono-	information som behövs i Krono-
2 Senaste lydelse 2016:685.

17

Prop. 2017/18:95

fogdemyndighetens

och

Skatte-

fogdemyndighetens

och

Skatte-

verkets verksamhet för

verkets verksamhet för

1. verkställighet eller annan åtgärd som särskilt åligger Kronofogde-

myndigheten enligt utsökningsbalken eller annan författning,

2. indrivning av statliga fordringar m.m.,

3. avräkning vid återbetalning av skatter och avgifter,

4. ansökan om och tillsyn över näringsförbud,

5. förebyggande av överskuldsättning och information om skuld-

sanering och F-skuldsanering,

6. fullgörande av ett åliggande som följer av ett för Sverige bindande

internationellt åtagande, och

7. tillsyn, kontroll, uppföljning och planering av verksamheten.

Uppgifter

som

får

behandlas

enligt första stycket får även

behandlas i databasen för till-

handahållande av information som

behövs i Kronofogdemyndighetens

verksamhet

för

handläggning

av

ärenden om skuldsanering och F-

skuldsanering.

3 §3

Uppgifter får behandlas i data-

Uppgifter som behandlas enligt

basen för att tillhandahålla infor-

2 § får även behandlas i databasen

mation som behövs i författnings-

för

reglerad

verksamhet hos

någon

1. att tillhandahålla information

annan än Kronofogdemyndigheten

som behövs i författningsreglerad

för

verksamhet hos någon annan än

Kronofogdemyndigheten för

1. avräkning vid återbetalning av

a) avräkning

vid

återbetalning

skatter och avgifter,

av skatter och avgifter,

2. kvittning vid

utbetalning

av

b) kvittning

vid utbetalning

av

bidrag,

bidrag,

3. planering,

samordning

och

c) planering,

samordning

och

uppföljning av revision och annan

uppföljning av revision och annan

kontrollverksamhet

vid

beskatt-

kontrollverksamhet

vid

beskatt-

ning och tulltaxering,

ning och tulltaxering,

4. utredningar vid bestämmande

d) utredningar vid bestämmande

och betalning av skatter, tullar och

och betalning av skatter, tullar och

avgifter,

avgifter,

5. ärenden om ansvar för någon

e) ärenden om ansvar för någon

annans skatter och avgifter, och

annans skatter och avgifter, och

6. kontroll

och

tillsyn

samt

f) kontroll

och

tillsyn samt

lämplighets-

och

tillstånds-

lämplighets-

och

tillstånds-

prövning

och

annan

liknande

prövning och annan

liknande

prövning.

prövning,

2. att tillhandahålla information

3 Senaste lydelse 2016:779.

18

Prop. 2017/18:95	ningsreglerad	verksamhet	hos	1. att tillhandahålla information
	någon annan än Kronofogde-			som behövs i författningsreglerad
	myndigheten	för tillsyn	samt	verksamhet	hos	någon	annan	än
	lämplighets- och tillståndspröv-			Kronofogdemyndigheten			för	till-
	ning och annan liknande prövning.			syn samt	lämplighets-		och	till-
				ståndsprövning		och	annan
				liknande prövning,
				2. att tillhandahålla information
				som behövs i Kronofogdemyndig-
				hetens verksamhet för hand-
				läggning	av	ärenden		om
				skuldsanering		och	F-skuld-
				sanering,
				3. att fullgöra uppgiftslämnande
				som sker i överensstämmelse med
				lag eller förordning, och
				4. andra	ändamål,		under
				förutsättning att		uppgifterna		inte
				behandlas på ett sätt som är
				oförenligt med det ändamål för
				vilket uppgifterna samlades in.

Uppgifter får även behandlas i databasen för att tillhandahålla information i den utsträckning som en skyldighet att lämna upp- gifterna följer av lag eller förordning.

	14 §6
Uppgifter får behandlas i data-		Uppgifter får behandlas i data-
basen för tillhandahållande av in-		basen för att tillhandahålla in-
formation som behövs i Krono-		formation som behövs i Krono-
fogdemyndighetens	verksamhet	fogdemyndighetens	verksamhet
för		för

1.handläggning av ärenden om skuldsanering och F-skuldsanering,

2.förebyggande av överskuldsättning, och

3.tillsyn, kontroll, uppföljning och planering av verksamheten.

		15 §7
Uppgifter får behandlas i data-			Uppgifter		som behandlas enligt
basen för att tillhandahålla infor-			14 §	får	även behandlas	i
mation som behövs i författnings-			databasen för
reglerad verksamhet	hos	någon	1. att	tillhandahålla information
annan än Kronofogdemyndigheten			som behövs i författningsreglerad
för tillsyn samt lämplighets- och			verksamhet hos någon annan än
tillståndsprövning	och	annan	Kronofogdemyndigheten			för

6Senaste lydelse 2016:685.

7Senaste lydelse 2016:779.

20

Prop. 2017/18:95	och F-skuldsanering,
	2. att fullgöra uppgiftslämnande
	som sker i överensstämmelse med
	lag eller förordning, och
	3. andra		ändamål,	under
	förutsättning		att uppgifterna inte
	behandlas på ett sätt som är
	oförenligt med det ändamål för
	vilket uppgifterna samlades in.
30 §10
Kronofogdemyndigheten får ta ut avgifter för att lämna ut uppgifter ur
en databas enligt de närmare föreskrifter som meddelas av regeringen.
Rätten att ta ut avgifter enligt	Rätten att ta ut avgifter får inte
första stycket får inte innebära	innebära en inskränkning i
inskränkning i rätten att ta del av	1. rätten att ta del av och mot
och mot fastställd avgift få kopia	fastställd avgift få kopia eller
eller utskrift av allmän handling	utskrift av en allmän handling
enligt tryckfrihetsförordningen.	enligt	tryckfrihetsförordningen,
	eller
	2. en	registrerads rätt		enligt

artikel 12.5 i EU:s dataskydds- förordning.

3 kap.

Rätten att göra invändningar

3 §

Artikel 21.1 i EU:s dataskydds- förordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Rättelse

3 a §11

Kronofogdemyndigheten ska på begäran av den registrerade snarast rätta, blockera eller utplåna sådana uppgifter som

1.inte har behandlats i enlighet med denna lag eller anslutande författningar, eller

2.är missvisande i fråga om den registrerades vilja eller förmåga att uppfylla sina ekonomiska förpliktelser.

10Senaste lydelse 2006:733.

11Senaste lydelse 2008:213.

22

Om uppgifterna lämnats ut till tredje man, ska Kronofogde- Prop. 2017/18:95 myndigheten underrätta denne om åtgärd enligt första stycket, om den

registrerade begär det eller om mera betydande skada eller olägenhet för den registrerade kan undvikas på detta sätt. Någon underrättelse behöver dock inte lämnas, om detta skulle innebära en oproportionerligt stor arbetsinsats.

I fråga om personuppgifter finns bestämmelser om rättelse m.m. också i EU:s dataskydds- förordning.

				4 §
En	myndighets	beslut	om	Beslut	om rättelse enligt	3 a §
rättelse och om		information		första	stycket får överklagas	till
som skall lämnas enligt 26 §				allmän förvaltningsdomstol.
personuppgiftslagen
(1998:204) får överklagas			hos
allmän	förvaltningsdomstol.

Andra beslut enligt denna lag får inte överklagas.

Prövningstillstånd krävs vid överklagande till kammarrätten.

1.Denna lag träder i kraft den 25 maj 2018.

2.Äldre föreskrifter om straff gäller fortfarande för överträdelser som har skett före ikraftträdandet.

23

3. grundläggande krav på			be-	anslutning till lagen.	Prop. 2017/18:95
handling i 9 §, med undantag för
vad som sägs i första stycket i och
tredje stycket,
4. säkerheten vid behandling i
30–32 §§,
5. överföring av personuppgifter
till tredje land i 33–35 §§,
6. personuppgiftsombud, m.m. i
36 § andra stycket och 38–41 §§,
7. upplysningar		till allmänheten
om vissa behandlingar i 42 §,
8. tillsynsmyndighetens
befogenheter i 43 och 47 §§, och
9. straff i 49 §.
Vid behandling av person-
uppgifter som inte sker i databasen
gäller även	22 §	personuppgifts-
lagen.
			4 §2
Uppgifter	får	behandlas	för	Uppgifter får behandlas för att
tillhandahållande		av information		tillhandahålla information	som
som behövs hos Tullverket för				behövs hos Tullverket för

1.bestämmande, redovisning, betalning och återbetalning av tull, annan skatt och avgifter,

2.övervakning, revision och annan analys- eller kontrollverksamhet,

3.fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande, och

4.tillsyn, kontroll, uppföljning och planering av verksamheten.

Uppgifter som behandlas enligt

första stycket får även behandlas för tillhandahållande av informa- tion som behövs i Tullverkets brottsbekämpande verksamhet en- ligt 2 kap. 5 § tullbrottsdatalagen (2017:447).

5 §3 Uppgifter får behandlas för att

tillhandahålla information som behövs i författningsreglerad verk- samhet hos någon annan än Tullverket för

1. fastställande av underlag för

2Senaste lydelse 2017:449.

3Senaste lydelse 2016:780.

25

och mot fastställd avgift få kopia	fastställd	avgift	få	kopia	eller Prop. 2017/18:95
eller utskrift av allmän handling	utskrift	av en	allmän handling
enligt tryckfrihetsförordningen.	enligt	tryckfrihetsförordningen,
	eller
	2. en	registrerads		rätt	enligt
	artikel 12.5 i EU:s dataskydds-
	förordning.

3 kap.

Rätten att göra invändningar

1§

Artikel 21.1 i EU:s dataskydds-

förordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.

1.Denna lag träder i kraft den 25 maj 2018.

2.Äldre föreskrifter om straff gäller fortfarande för överträdelser som har skett före ikraftträdandet.

27

31

Prop. 2017/18:95	3	Ärendet och dess beredning
	I en promemoria (dnr Fi/2017/02899/S3) som remitterades den 29 juni
	2017 har Finansdepartementet lämnat förslag till anpassade regler om
	personuppgiftsbehandling inom skatt, tull och exekution med anledning
	av	Europaparlamentets		och rådets	förordning (EU) 2016/679		av
	den 27 april 2016 om skydd för fysiska personer med avseende på
	behandling av personuppgifter och om det fria flödet av sådana uppgifter
	och om upphävande av direktiv 95/46/EG (allmän dataskyddsförord-
	ning), här kallad EU:s dataskyddsförordning. Dataskyddsförordningen
	ska börja tillämpas den 25 maj 2018. De lagar som det föreslås ändringar
	i är s.k. registerförfattningar, dvs. författningar om behandling av person-
	uppgifter, som reglerar Skatteverkets, Tullverkets och Kronofogdemyn-
	dighetens behandling av personuppgifter i deras olika verksamheter.
	Promemorians lagförslag finns i bilaga 1. Promemorian har remiss-
	behandlats och en förteckning av remissinstanserna finns i bilaga 2.
	Remissvaren		finns	tillgängliga	i	Finansdepartementet	(dnr

Fi/2017/02899/S3).

Lagrådet

Regeringen beslutade den 11 januari 2018 att inhämta Lagrådets yttrande över de lagförslag som finns i bilaga 3. Lagrådets yttrande finns i bilaga 4. Lagrådet har lämnat förslagen utan erinran. I förhållande till lagråds- remissen har vissa smärre ändringar av redaktionell och språklig karaktär gjorts i lagtexten.

4	Bakgrund
4.1	EU:s dataskyddsreform
Den allmänna regleringen om behandling av personuppgifter inom EU
finns i	dag i Europaparlamentets och rådets direktiv 95/46/EG av

	den 24 oktober 1995 om skydd för enskilda personer med avseende på
	behandling av personuppgifter och om behandling av det fria flödet av
	sådana uppgifter, här kallat 1995 års dataskyddsdirektiv. Direktivet syftar
	till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när
	det gäller enskilda personers fri- och rättigheter med avseende på
	behandling av personuppgifter, samt att främja ett fritt flöde av person-
	uppgifter mellan medlemsstaterna i EU. 1995 års dataskyddsdirektiv har
	genomförts i svensk rätt genom personuppgiftslagen (1998:204), förkor-
	tad PUL, som är generellt tillämplig vid behandling av personuppgifter.
	Därtill finns ett antal sektorsspecifika författningar som reglerar behand-
	ling av personuppgifter hos framför allt myndigheter, registerförfatt-
	ningar.
	År 2012 lade Europeiska kommissionen fram ett förslag till en refor-
	merad dataskyddsreglering i EU. Förslaget avsåg dels en förordning med
32	allmänna EU-regler om skydd av personuppgifter som skulle ersätta

1995 års dataskyddsdirektiv, dels ett direktiv med regler om skydd av Prop. 2017/18:95 personuppgifter som behandlas i samband med förebyggande, utredning,

avslöjande eller lagföring av brott och därmed förbunden rättslig verksamhet.

Den 27 april 2016 antogs EU:s dataskyddsförordning. Den är en ny generell reglering för personuppgiftsbehandling inom EU och kommer att ersätta 1995 års dataskyddsdirektiv när den börjar tillämpas den 25 maj 2018. Enligt artikel 288 andra stycket i fördraget om Europe- iska unionens funktionssätt ska en EU-förordning ha allmän giltighet och vara till alla delar bindande och direkt tillämplig i varje medlemsstat. Till skillnad från EU-direktiv ska alltså förordningar inte genomföras i nationell rätt. Även om dataskyddsförordningen, till skillnad från 1995 års dataskyddsdirektiv, är direkt tillämplig innehåller den många bestäm- melser som förutsätter eller ger utrymme för kompletterande nationella bestämmelser av olika slag. Förordningen har därmed i vissa delar en direktivliknande karaktär.

Samtidigt med dataskyddsförordningen antogs ett nytt dataskydds- direktiv med bestämmelser om behandling av personuppgifter inom den brottsbekämpande sektorn, Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller verkställa straffrättsliga på- följder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, här kallat det nya dataskyddsdirektivet. Sådan behandling som omfattas av det nya dataskyddsdirektivet är undantagen från dataskyddsförordningens tillämpningsområde.

4.2Författningsarbete med anledning av dataskyddsreformen

En utredning har föreslagit de anpassningar och kompletterande författ- ningsändringar på generell nivå som EU:s dataskyddsförordning ger anledning till för svenskt vidkommande, Dataskyddsutredningen (Ju 2016:04, dir. 2016:15). Utredningen lämnade den 12 maj 2017 sitt betänkande Ny dataskyddslag Kompletterande bestämmelser till EU:s dataskyddsförordning (SOU 2017:39). I betänkandet föreslås bl.a. att personuppgiftslagen ska upphävas och att det ska införas en lag med kompletterande bestämmelser till EU:s dataskyddsförordning, här kallad dataskyddslagen. I propositionen Ny dataskyddslag (prop. 2017/18:105) följer regeringen huvudsakligen betänkandets lagförslag.

Dataskyddsutredningens arbete och betänkande har inte omfattat en översyn eller förslag till förändringar av sådan sektorsspecifik reglering om behandling av personuppgifter som finns bl.a. i de särskilda register- författningarna för myndigheter eller i andra författningar som rör sektorsspecifik behandling av personuppgifter. Arbetet med att anpassa sådan reglering till den nya förordningen har i stället utförts på andra sätt. Ett antal utredningar har sett över behovet av författningsändringar med avseende på vissa specifika sektorer. På vissa områden har översyns-

arbetet bedrivits inom Regeringskansliet.

33

Prop. 2017/18:95 En utredning tillsattes även för att genomföra det nya dataskydds- direktivet (Utredningen om 2016 års dataskyddsdirektiv, Ju 2016:06). Utredningen lämnade delbetänkande den 5 april 2017 och slutbetänkande den 3 oktober 2017. Förslagen bereds inom Regeringskansliet.

Det kan också nämnas att även Utredningen om tillsynen över den personliga integriteten har lämnat förslag på anpassningar med anledning av dataskyddsreformen i betänkandet Ett samlat ansvar för tillsyn över den personliga integriteten (SOU 2016:65). Det föreslås bl.a. att Data- inspektionen ska utses till svensk nationell tillsynsmyndighet enligt dataskyddsförordningen och det nya dataskyddsdirektivet. Betänkandet bereds inom Regeringskansliet.

4.3Översynen som ligger till grund för denna proposition

På skatte- och tullavdelningen vid Finansdepartementet har det gjorts en översyn av vilka ändringar i avdelningens författningar som föranleds av EU:s dataskyddsförordning. De författningar som berörs av översynen rör i huvudsak behandling av personuppgifter hos Skatteverket, Tull- verket och Kronofogdemyndigheten, dock inte personuppgiftsbehandling vid brottsbekämpande verksamhet. Översynen ledde till den promemoria som har remitterats (dnr Fi/2017/02899/S3) och som ligger till grund för denna proposition. I propositionen lämnas förslag till de lagändringar som bedöms nödvändiga eller lämpliga. Vissa överväganden som har gjorts, men som inte har lett till författningsförslag, redovisas också.

Som framgår ovan medför även det nya dataskyddsdirektivet att författningar ses över. Utredningen om 2016 års dataskyddsdirektiv har haft i uppdrag att föreslå de ändringar som behövs för att anpassa vissa centrala författningar om rättsväsendets personuppgiftsbehandling till direktivets förpliktelser. Skattebrottsdatalagen (2017:452) och tullbrotts- datalagen (2017:447) är exempel på sådana författningar. Trots att de avser Skatteverkets och Tullverkets personuppgiftsbehandling omfattas dessa författningar därför inte av den översyn som ligger till grund för denna proposition. Vissa författningar berör både sådan behandling som omfattas av dataskyddsförordningen och det nya dataskyddsdirektivet. Av den anledningen behandlas i denna proposition vissa frågor som har koppling till direktivet.

5 Gällande rätt

5.1Dataskyddsdirektivet och personuppgiftslagen

I det följande redogörs kort för den centrala nu gällande EU-rättsakt som dataskyddsförordningen ersätter, nämligen 1995 års dataskyddsdirektiv, och för personuppgiftslagen som tillsammans med ett stort antal registerförfattningar har genomfört 1995 års dataskyddsdirektiv. I Data-

34

skyddsutredningens betänkande finns en närmare redogörelse av interna- Prop. 2017/18:95 tionell och svensk rätt på dataskyddsområdet (SOU 2017:39 avsnitt 3).

1995 års dataskyddsdirektiv syftar till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter, samt att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU. Enligt direktivet måste all behandling av personuppgifter vara laglig och korrekt. Uppgifterna måste vara riktiga och aktuella samt adekvata, relevanta och nödvändiga med hänsyn till de ändamål för vilka de behandlas. Ändamålen ska vara uttryckligt angivna vid tiden för insam- ling av uppgifterna. De ändamål för vilka uppgifterna senare behandlas får inte vara oförenliga med de ursprungliga ändamålen.

1995 års dataskyddsdirektiv gäller inte för behandling av person- uppgifter på områden som faller utanför gemenskapsrätten, t.ex. allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område.

Direktivet har genomförts i svensk rätt huvudsakligen genom person- uppgiftslagen. Bestämmelserna i personuppgiftslagen har till syfte att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. De följer i princip dataskyddsdirektivets struktur och innehåller liksom direktivet bestämmelser om personupp- giftsansvar, grundläggande krav för behandling av personuppgifter, information till den registrerade, skadestånd och straff.

Personuppgiftslagen är tillämplig även utanför EU-rättens område och gäller både för myndigheter och enskilda som behandlar personuppgifter. Personuppgiftslagen är samtidigt subsidiär, vilket innebär att lagens bestämmelser inte ska tillämpas om det finns avvikande bestämmelser i en annan lag eller förordning. Det finns en stor mängd sådana bestäm- melser i sektorsspecifika författningar som främst reglerar hur olika myndigheter får behandla personuppgifter, se t.ex. i avsnittet nedan.

Personuppgiftslagen kompletteras också av bestämmelser i person- uppgiftsförordningen (1998:1191) som bl.a. anger Datainspektionen som tillsynsmyndighet.

5.2Registerförfattningar på skatte- och tullavdelningens område

Skatte- och tullavdelningen vid Finansdepartementet ansvarar för myn- digheterna Skatteverket, Tullverket och Kronofogdemyndigheten. För var och en av dessa myndigheter finns registerförfattningar.

Inom Skatteverket, Tullverket och Kronofogdemyndigheten förekom- mer också viss personuppgiftsbehandling som inte omfattas av de särskilda registerförfattningarna. Sådan behandling sker med stöd av den generella regleringen i personuppgiftslagen.

För Skatteverkets behandling av personuppgifter gäller ett antal olika registerförfattningar. Lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet och den tillhörande förordningen (2001:588) tillämpas vid behandling av personuppgifter i Skatteverkets

beskattningsverksamhet och i verkets handläggning enligt lagen

35

Prop. 2017/18:95 (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter, lagen (2013:948) om stöd vid korttidsarbete och lagen (1991:1047) om sjuklön, om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Vid Skatteverkets folkbokföringsverksamhet gäller lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverk- samhet och den tillhörande förordningen (2001:589). Skatteverket har också verksamhet som avser det statliga personadressregistret, SPAR, varvid lagen (1998:527) om det statliga personadressregistret och den tillhörande förordningen (1998:1234) gäller.

I Skatteverkets verksamheter med äktenskapsregister och bouppteck- ning gäller lagen (2015:898) om behandling av personuppgifter i Skatte- verkets äktenskapsregister- och bouppteckningsverksamheter och den tillhörande förordningen (2015:905). I lagen (2015:899) om identitets- kort för folkbokförda i Sverige och den tillhörande förordningen (2015:904) finns bestämmelser om en databas som innehåller person- uppgifter och som ska föras i verksamheten med utfärdande av identitets- kort för folkbokförda i Sverige. Sistnämnda lag reglerar inte endast personuppgiftsbehandlingen i databasen utan även verksamheten med utfärdande av id-kort.

I Skatteverkets brottsbekämpande verksamhet gäller skattebrottsdata- lagen. Skattebrottsdatalagen omfattas av det nya dataskyddsdirektivet och omfattas därför inte av några förslag i denna proposition.

I fråga om Tullverkets personuppgiftsbehandling gäller lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet och den tillhörande förordningen (2001:646). Vid Tullverkets brottsbekämpande verksamhet gäller tullbrottsdatalagen. I likhet med vad som sägs om Skatteverket omfattas tullbrottsdatalagen av det nya dataskyddsdirektivet och därför inte av några förslag i denna proposition.

I fråga om Kronofogdemyndighetens behandling av personuppgifter gäller lagen (2001:184) om behandling av uppgifter i Kronofogdemyn- dighetens verksamhet och den tillhörande förordningen (2001:590). Lagen tillämpas vid behandling av personuppgifter i Kronofogdemyndig- hetens verksamhet med utsökning och indrivning, skuldsanering, F- skuldsanering, betalningsföreläggande och handräckning, europeiskt betalningsföreläggande, tillsyn i konkurs samt i annan verksamhet som särskilt åligger Kronofogdemyndigheten.

De flesta av de nämnda författningarna är uppbyggda på samma sätt som lagen om behandling av uppgifter i Skatteverkets beskattningsverk- samhet vad avser automatiserad behandling. De flesta författningarna är vidare uppbyggda så att de gäller i stället för personuppgiftslagen eller att personuppgiftslagen gäller om det inte finns avvikande bestämmelser i registerförfattningen. I de författningar som gäller i stället för personupp- giftslagen anges de bestämmelser i personuppgiftslagen som gäller när personuppgifter behandlas enligt den författningen. Några av författ- ningarna gäller delvis även vid behandling av uppgifter om juridiska personer och uppgifter om avlidna. De flesta författningarna innehåller bestämmelser om behandling av uppgifter i särskilda databaser.

36

5.3	Andra författningar på skatte- och	Prop. 2017/18:95
	tullavdelningens område

Inte bara registerförfattningar innehåller bestämmelser om behandling av personuppgifter. På skatte- och tullavdelningens område finns även andra författningar som innehåller bestämmelser om behandling av person- uppgifter, eller som kan medföra behandling av personuppgifter, och som kan beröras av den nya dataskyddsförordningen. Det är t.ex. författningar om internationellt samarbete och författningar som reglerar beskattnings- eller tullverksamheten eller verksamheten med utsökning och indrivning. Som exempel kan nämnas lagen (2000:1219) om internationellt tull- samarbete, lagen (2015:912) om automatiskt utbyte av upplysningar om finansiella konton, lagen (2011:1537) om bistånd med indrivning av skatter och avgifter inom Europeiska unionen, skatteförfarandelagen (2011:1244), tullagen (2016:253) och lagen (2004:629) om trängselskatt. De innehåller t.ex. bestämmelser om uppgiftsskyldighet mellan myndig- heter eller från myndigheter till andra länder och om möjligheter att lämna uppgifter till andra, dvs. frivilligt uppgiftslämnande. Sådan uppgiftsskyldighet kan medföra behandling av personuppgifter.

6 Dataskyddsförordningens tillämplighet

Regeringens bedömning: En stor del av den personuppgiftsbehand- ling som regleras i berörda lagar omfattas av dataskyddsförordningens tillämpningsområde.

Promemorians bedömning: Överensstämmer med regeringens bedömning.

Remissinstanserna: Dataskydd.net tillstyrker bedömningen. I övrigt yttrar sig ingen remissinstans särskilt över bedömningen. Tullverket och Kronofogdemyndigheten framför önskemål om att författningarna för deras respektive personuppgiftsbehandling ska ses över i vissa avseen- den, som inte direkt krävs med anledning av de nya dataskyddsreglerna. Justitiekanslern önskar en större samordning av det anpassningsarbete som sker samtidigt i olika lagstiftningsärenden med anledning av de nya dataskyddsreglerna, t.ex. att enhetliga principer bör användas gällande struktur och språk. Sveriges advokatsamfund anser att det på grund av de många registerförfattningarna finns tillämpningsproblem och att det är olyckligt att uppdraget inte har varit att ta fram en enhetlig reglering för berörd del av den offentliga verksamheten.

Skälen för regeringens bedömning

Helt eller delvis automatisk behandling

EU:s dataskyddsförordning är direkt tillämplig, men förutsätter och
möjliggör också	kompletterande nationella	bestämmelser. Att	den är
direkt tillämplig	innebär att förordningens	tillämpningsområde	direkt
avgör huruvida en viss behandling av personuppgifter måste följa regler-				37

Prop. 2017/18:95 vissa sådana förslag till ändringar. Justitiekanslern önskar en större samordning av de anpassningar som föreslås i olika lagstiftningsärenden med anledning av de nya dataskyddsreglerna. I detta lagstiftningsärende har pågående förändringsarbete avseende andra författningar med liknande struktur som här aktuella beaktats, för att uppnå en så stor enhetlighet som möjligt.

7Överväganden kring vissa grundläggande krav på behandling

7.1Rättslig grund för behandling av personuppgifter

Regeringens bedömning: Den behandling av personuppgifter som får utföras enligt bestämmelser i de berörda lagarna eller som måste utföras med anledning av bestämmelser i dem är tillåten enligt artikel 6.1 och 6.3 i EU:s dataskyddsförordning.

Promemorians bedömning: Överensstämmer med regeringens bedömning.

Remissinstanserna: Datainspektionen efterfrågar ett tydligt utpekande av de rättsliga grunderna och en analys av att lagstiftningen är propor- tionell mot det legitima mål som eftersträvas. Dataskydd.net tillstyrker bedömningen men anser att det har skett en sammanblandning mellan vad som i dataskyddsrättslig mening är särskilt bestämda ändamål och tillåtna rättsliga grunder för behandling. Vidare bör bestämmelsen i 3 § lagen om det statliga personadressregistret flyttas till Skatteverkets instruktion för att skapa en rättslig grund för registret. UC AB anser att det i den fortsatta lagstiftningsprocessen bör tydliggöras att utlämnande av information för användning i kreditupplysningsverksamheten är en uppgift av allmänt intresse. Sveriges advokatsamfund anser att det finns oklarheter när det gäller frågan om den personuppgiftsbehandling som sker i s.k. eget utrymme hos en myndighet, bl.a. om sådan behandling är rättsligt grundad på det sätt som krävs. Sveriges advokatsamfund anser att denna fråga bör klargöras och att det bör ske genom regler i författning eller uttalanden i lagmotiv, för det fall myndigheten ska anses vara personuppgiftsansvarig för behandling i eget utrymme. I övrigt yttrar sig ingen remissinstans särskilt över bedömningen.

Skälen för regeringens bedömning

Dataskyddsförordningens bestämmelser om rättslig grund

Den europeiska dataskyddsregleringen utgår från att varje behandling av personuppgifter måste vila på en rättslig grund. I EU:s dataskydds- förordning räknas dessa rättsliga grunder upp i artikel 6.1. Behandling är enligt denna bestämmelse endast laglig om och i den mån som

åtminstone ett av följande villkor är uppfyllt:

40

a) Den registrerade har lämnat sitt samtycke till att dennes person- Prop. 2017/18:95 uppgifter behandlas för ett eller flera specifika ändamål.

b)Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.

c)Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.

d)Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.

e)Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighets- utövning.

f)Behandlingen är nödvändig för ändamål som rör den person- uppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.

Bestämmelsen motsvarar i stora drag artikel 7 i 1995 års dataskydds- direktiv, som har genomförts i svensk rätt genom 10 § PUL.

Uppräkningen i artikel 6.1 är uttömmande. Om ingen av de grunder som anges där är tillämplig är behandlingen inte laglig och får därmed inte genomföras. De rättsliga grunderna är i viss mån överlappande. Flera rättsliga grunder kan därför vara tillämpliga avseende en och samma behandling.

För myndigheters verksamhet är grunderna i artikel 6.1 c och 6.1 e i dataskyddsförordningen av särskilt intresse. Bestämmelserna motsvaras av artikel 7 c och 7 e i 1995 års dataskyddsdirektiv.

Artikel 6.1 c i dataskyddsförordningen är i sak likalydande med artikel 7 c i 1995 års dataskyddsdirektiv – personuppgifter får behandlas om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Enligt regeringens bedömning i prop. 2017/18:105 bör utgångspunkten vara att begreppet rättslig förpliktelse i de båda rättsakterna ska tolkas och tillämpas på samma sätt (s. 53).

Artikel 6.1 e i dataskyddsförordningen är i stora delar likalydande med artikel 7 e i 1995 års dataskyddsdirektiv. Av båda bestämmelserna fram- går att personuppgifter får behandlas om behandlingen är nödvändig för att fullgöra en uppgift av allmänt intresse eller som ett led i den person- uppgiftsansvariges myndighetsutövning. I direktivets bestämmelse anges vidare att uppgifter får behandlas även om behandlingen är ett led i myndighetsutövning som utförs av tredje man till vilken uppgifterna har lämnats ut. Dataskyddsutredningen bedömer att mycket talar för att begreppet uppgift av allmänt intresse måste anses ha fått en vidare unionsrättslig betydelse genom dataskyddsförordningen än det hittills har haft. Bedömningen görs bl.a. eftersom det enligt dataskyddsförord- ningen, till skillnad från 1995 års dataskyddsdirektiv, inte är tillåtet för myndigheter att behandla personuppgifter med stöd av den rättsliga grund som utgår från en avvägning mellan den ansvariges berättigade

intressen och den registrerades rättigheter och intressen när de utför sina
uppgifter (SOU 2017:39 s. 123). Regeringen bedömer i prop.
2017/18:105 att för att myndigheternas verksamhet ska kunna fungera	41

Prop. 2017/18:95 även i fortsättningen måste begreppet uppgift av allmänt intresse ges en vid betydelse (s. 56).

Medlemsstaterna får enligt artikel 6.2 fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling för att efterleva punkterna 6.1 c och e.

Den grund för behandling som avses i artikel 6.1 c och e ska enligt artikel 6.3 fastställas i enlighet med unionsrätten eller den medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Något mot- svarande krav på att grunden ska vara fastställd finns inte i 1995 års dataskyddsdirektiv eller i personuppgiftslagen. Det har därför ansetts möjligt att med stöd av 10 § d PUL utföra behandling av personuppgifter som är nödvändig för att utföra en arbetsuppgift av allmänt intresse, även om den rättsliga grunden inte är fastställd i författning eller liknande. Dataskyddsförordningen innebär däremot att bl.a. förpliktelser och uppgifter av allmänt intresse inte kan åberopas som rättsliga grunder för behandling av personuppgifter om den rättsliga grunden inte är fastställd i unionsrätten eller medlemsstatens nationella rätt.

Vid behandling som omfattas av artikel 6.1 c och e ska enligt artikel 6.3 också syftet med behandlingen fastställas i den rättsliga grunden eller, i fråga om behandling enligt punkten 6.1 e, vara nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den person- uppgiftsansvariges myndighetsutövning.

Av artikel 6.3 framgår vidare att den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen, bl.a. de allmänna villkor som ska gälla, vilken typ av uppgifter som ska behandlas, ändamålsbegränsningar och lagringstid. Artikel 6.3 ställer också krav på att, i fråga om grunden för personupp- giftsbehandling, unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas. Detta krav på proportionalitet gäller även för sektorsspecifika dataskyddsbestämmelser.

Propositionen Ny dataskyddslag

I prop. 2017/18:105 uttalar sig regeringen bl.a. om vad kravet i data- skyddsförordningen på att den rättsliga grunden i vissa fall ska vara fastställd i unionsrätt eller nationell rätt innebär i fråga om nationell författningsreglering.

Det som ska fastställas i unionsrätten eller i nationell rätt är den grund för behandlingen som avses i artikel 6.1 c och e. Det krävs således inte en reglering i unionsrätten eller i nationell rätt av den personuppgifts- behandling som ska ske med stöd av dessa rättsliga grunder. Regeringen betonar därvid att dataskyddsförordningens krav på att grunden för behandlingen ska vara fastställd inte utgör någon nyhet när det gäller svenska myndigheters behandling av personuppgifter. I propositionen hänvisas till att legalitetsprincipen är grundlagsfäst genom 1 kap. 1 § regeringsformen, som anger att den offentliga makten utövas under lagarna. Legalitetsprincipen innebär alltså att myndigheternas maktutöv- ning i vidsträckt mening, även i den mån denna förutsätter behandling av personuppgifter, måste ha stöd i någon av de källor som tillsammans

bildar rättsordningen. Det torde inte förekomma någon offentlig verk-

42

Prop. 2017/18:95 tionell mot det legitima mål som eftersträvas. Regeringen anger som framgår ovan i prop. 2017/18:105 i detta avseende att dataskydds- förordningens krav motsvarar det krav som Europakonventionen ställer på lagstiftaren i en rättsstat och att det bör vara mycket ovanligt att svensk rätt inte uppfyller Europakonventionens krav. Regeringen bedömer i propositionen vidare att utgångspunkten bör vara att även dataskyddsförordningens motsvarande krav är uppfyllt i fråga om de rättsliga förpliktelser, uppgifter av allmänt intresse och den myndig- hetsutövning som fastställs i enlighet med svensk rätt (s. 50). Det kan enligt regeringen mot denna bakgrund förutsättas att när de bestämmelser som utgör grund för behandling av personuppgifter på skatte- och tullavdelningens område infördes, bedömdes de uppfylla mål av allmänt intresse och vara proportionella mot det legitima mål som eftersträvas. Regeringen bedömer vidare att syftet med sådan behandling som är nödvändig för att fullgöra rättsliga förpliktelser regelmässigt framgår i de författningar eller beslut som ger stöd för förpliktelsen. Regeringen finner därför inte skäl att i detta sammanhang generellt ompröva tidigare ställningstaganden beträffande samtliga berörda lagar. Någon ytterligare analys av om lagstiftningen är proportionell mot det legitima mål som eftersträvas är enligt regeringens mening inte heller påkallad.

– Behandlingen är tillåten

Regeringens slutsats är att den rättsliga grunden för den personuppgifts- behandling som får utföras enligt bestämmelser i de berörda lagarna eller som måste utföras med anledning av bestämmelser i dem är fastställd i den nationella rätten på ett sådant sätt som krävs enligt dataskyddsförord- ningen. Behandlingen är således tillåten enligt artikel 6.1 och 6.3 i data- skyddsförordningen.

Dataskydd.net menar att det har skett en sammanblandning mellan rättslig grund och ändamål. Dataskydd.net anser vidare att bestämmelsen i 3 § lagen om det statliga personadressregistret, om för vilka register- ändamål uppgifterna i SPAR får behandlas, bör flyttas till Skatteverkets instruktion för att skapa en rättslig grund för registret. Regeringen konstaterar att det som diskuteras i detta avsnitt är de rättsliga grunder som anges i dataskyddsförordningens artikel 6. Av regeringens slutsats ovan framgår vidare att regeringen inte anser att det krävs någon flytt av bestämmelsen i 3 § lagen om det statliga personadressregistret för att kravet på rättslig grund ska vara uppfyllt. Sveriges advokatsamfund anser att det behöver klargöras att personuppgiftsbehandling i s.k. eget utrymme är rättsligt grundad i dataskyddsförordningens mening, för det fall att myndigheterna är personuppgiftsansvariga för sådan behandling. Regeringen noterar att dessa frågeställningar inte föranleds av data- skyddsförordningen och de omfattas därför inte av detta lagstiftnings- ärende. Det kan dock finnas skäl att betona att den behandling som myndigheter och andra utför inom nu aktuella områden måste förhålla sig till och följa det regelverk som är tillämpligt för den behandling som de utför. Till exempel måste bl.a. även de allmänna kraven i artikel 5 i dataskyddsförordningen vara uppfyllda när personuppgifter behandlas. Den personuppgiftsansvarige ansvarar alltid för att bl.a. kraven i artikel 5

efterlevs.

46

7.2

Finalitetsprincipen

Prop. 2017/18:95

Regeringens bedömning: Bestämmelser i berörda lagar som innebär att personuppgifter får behandlas för andra ändamål än det ändamål för vilket uppgifterna har samlats in är förenliga med EU:s data- skyddsförordning.

Promemorians	bedömning:	Överensstämmer	med	regeringens
bedömning.
Remissinstanserna: Dataskydd.net avstyrker delvis bedömningen.
Enligt dataskydd.net är den bedömning som görs i promemorian färgad
av att fastställande av ändamål och fastställande av rättslig grund för
behandling betraktas som i princip samma sak, vilket det inte är. För att
myndigheter inom skatt, tull och exekution ska kunna behandla uppgifter
för ändamål som inte är förenliga med ändamålet för vilket uppgifterna
samlades in bör nya rättsliga grunder för behandlingar införas. Om en ny
rättslig grund inte skapas bör regeringen ge myndigheterna i uppdrag att
göra de bedömningar av lämpligheten i vidarebehandling som anges i
artikel 6.4 i EU:s dataskyddsförordning. I övrigt yttrar sig ingen remiss-
instans särskilt över bedömningen.
Skälen för regeringens bedömning: En allmän dataskyddsrättslig
princip är att personuppgifter bara får samlas in för särskilda, uttryckligt
angivna och berättigade ändamål. Enligt den s.k. finalitetsprincipen får
uppgifterna inte senare behandlas för något annat ändamål som är
oförenligt med insamlingsändamålen. Detta kommer till uttryck bl.a. i
9 § första stycket c och d PUL som genomför artikel 6.1 b i 1995 års
dataskyddsdirektiv. När dataskyddsförordningen börjar tillämpas kom-
mer dessa principer att följa av artikel 5.1 b i förordningen. Av regle-
ringen i förordningen följer vidare att behandling för arkivändamål av
allmänt intresse, vetenskapliga eller historiska forskningsändamål eller
statistiska ändamål i enlighet med artikel 89.1 inte ska anses vara
oförenlig med de ursprungliga ändamålen. En motsvarighet till denna
reglering finns i dag i 9 § andra stycket PUL.
Av artikel 13 i 1995 års dataskyddsdirektiv följer att det är möjligt att
göra undantag från finalitetsprincipen i nationell rätt i vissa fall. Ett
sådant undantag får införas om det är en nödvändig åtgärd med hänsyn
till bl.a. ett viktigt ekonomiskt eller finansiellt intresse hos en medlems-
stat eller hos Europeiska unionen, inklusive bl.a. skattefrågor.
Även enligt dataskyddsförordningen är det under vissa förutsättningar
tillåtet med bestämmelser som medger att insamlade personuppgifter
vidarebehandlas även om det nya ändamålet är oförenligt med insam-
lingsändamålet. Detta kan utläsas av skäl 50 där bl.a. följande anges. Om
den registrerade har gett sitt medgivande eller behandlingen grundar sig
på unionsrätten eller på medlemsstaternas nationella rätt som utgör en
nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att
säkerställa i synnerhet viktiga mål av allmänt intresse, bör den
personuppgiftsansvarige tillåtas att behandla personuppgifterna ytter-
ligare, oavsett om detta är förenligt med ändamålen eller inte. Slutsatsen
får också stöd av en motsatstolkning av artikel 6.4. Där finns en särskild
bestämmelse för det fall då en behandling för andra ändamål än det
ändamål för vilket	uppgifterna	samlades in inte	grundar	sig på den	47

Prop. 2017/18:95 registrerades samtycke eller på unionsrätten eller medlemsstaternas nationella rätt som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda de mål som avses i artikel 23.1. I artikel 6.4 ges exempel på vissa omständigheter som ska beaktas vid prövningen av om behandlingen är förenlig med det ursprungliga ändamålet. Bland de mål som anges i artikel 23.1 nämns säkerställandet av unionens eller en medlemsstats viktiga mål av generellt allmänt intresse. Det är tydligt att artikel 6.4, liksom skäl 50, utgår från att en sådan ytterligare behandling som utgör en nödvändig och proportionell åtgärd under alla omständigheter skulle vara tillåten.

Regeringen bedömer mot bakgrund av det ovan anförda att data- skyddsförordningen i vart fall inte ger ett mindre utrymme än 1995 års dataskyddsdirektiv att föreskriva i nationell rätt att ytterligare behandling av personuppgifter får ske, även om den ytterligare behandlingen inte är förenlig med det ändamål för vilket uppgifterna samlades in. Lagbestäm- melser som innebär att uppgifter som har samlats in för ett ändamål får eller ska behandlas för ett annat ändamål kan i vissa fall utgöra en tillämpning av finalitetsprincipen, dvs. regeringen och riksdagen har gjort bedömningen att behandlingen är förenlig med den principen. I andra fall kan befintliga lagbestämmelser anses utgöra undantag från finalitetsprincipen. Dessa måste i så fall förutsättas vara förenliga med 1995 års dataskyddsdirektiv, och är då i enlighet med ovanstående resonemang även förenliga med dataskyddsförordningen. Någon närmare bedömning av om befintliga bestämmelser är förenliga med artikel 5.1 b i dataskyddsförordningen behöver därför inte göras. Befintliga lag- bestämmelser som innebär behandling av personuppgifter för andra ändamål än det ändamål för vilket uppgifterna har samlats in får alltså förutsättas vara förenliga med dataskyddsförordningen.

Dataskydd.net gör gällande att det bör införas nya rättsliga grunder för att behandling för andra ändamål än det för vilket uppgifterna samlades in ska få ske med stöd av dataskyddsförordningen. Om en ny rättslig grund inte skapas anser dataskydd.net vidare att regeringen bör ge myndigheterna i uppdrag att göra de bedömningar av lämpligheten i vidarebehandling som anges i artikel 6.4 i dataskyddsförordningen. Av det ovan anförda framgår enligt regeringen att några nya rättsliga grunder inte behövs. Inte heller finns det något behov för regeringen att ge myndigheterna i uppdrag att iaktta vad som anges i artikel 6.4 i data- skyddsförordningen, som är direkt tillämplig.

Vissa författningsändringsändringar som rör finalitetsprincipen föreslås i avsnitt 9.3.

48

8	Utrymmet för nationell reglering inom	Prop. 2017/18:95
	dataskyddsförordningens tillämpnings-
	område
Regeringens bedömning: EU:s dataskyddsförordning ger utrymme
för en sådan särskild reglering om personuppgiftsbehandling som
finns i berörda registerlagar och andra lagar.
	Promemorians bedömning: Överensstämmer med regeringens
bedömning.
	Remissinstanserna: Dataskydd.net tillstyrker bedömningen. I övrigt
yttrar sig ingen remissinstans särskilt över bedömningen.
	Skälen för regeringens bedömning: Enligt artikel 6.2 i EU:s data-
skyddsförordning får medlemsstaterna behålla eller införa mer specifika
bestämmelser för att anpassa tillämpningen av bestämmelserna i förord-
ningen genom att närmare fastställa specifika krav för uppgiftsbehand-
lingen och andra åtgärder för att säkerställa en laglig och rättvis behand-
ling. Detta förutsätter emellertid att det är fråga om sådan personupp-
giftsbehandling som är nödvändig för att fullgöra en rättslig förpliktelse
(artikel 6.1 c) eller för att utföra en uppgift av allmänt intresse eller som
ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1
e). När myndigheter behandlar personuppgifter för att fullgöra sina
uppgifter sker det normalt med stöd av de rättsliga grunderna i artikel 6.1
c och e i förordningen, se avsnitt 7.1.
	I enlighet med skäl 8 i dataskyddsförordningen kan medlemsstaterna
dessutom under vissa förutsättningar och i den utsträckning det är
nödvändigt för samstämmigheten och för att göra de nationella bestäm-
melserna begripliga för de personer som de tillämpas på, införliva delar
av förordningen i nationell rätt.
	Enligt artikel 6.3 första stycket i dataskyddsförordningen ska de
rättsliga grunder för behandlingen som avses i artikel 6.1 c och e
fastställas i enlighet med unionsrätten eller en medlemsstats nationella
rätt som den personuppgiftsansvarige omfattas av. Enligt artikel 6.3
andra stycket ska vidare syftet med behandlingen fastställas i den
rättsliga grunden eller, i fråga om behandling enligt artikel 6.1 e, vara
nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i
den personuppgiftsansvariges behandling. Den rättsliga grunden kan
enligt artikel 6.3 andra stycket innehålla särskilda bestämmelser för att
anpassa bestämmelserna i dataskyddsförordningen, bl.a. de allmänna
villkor som ska gälla för den personuppgiftsansvariges myndighets-
utövning, vilken typ av uppgifter som ska behandlas, vilka registrerade
som berörs, de enheter till vilka personuppgifterna får lämnas ut och för
vilka ändamål, ändamålsbegränsningar, lagringstid, samt typer av
behandling och förfaranden för behandling, inbegripet åtgärder för att
tillförsäkra en laglig och rättvis behandling. Den nationella rätten ska i
detta avseende uppfylla ett mål av allmänt intresse och vara proportionell
mot det legitima mål som eftersträvas.
	Enligt artikel 23 i dataskyddsförordningen får begränsningar ske av
vissa av de rättigheter och skyldigheter som föreskrivs i förordningen.		49

Prop. 2017/18:95 Detta förutsätter att begränsningarna sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle. Det förutsätter också att begränsningen sker för något av de ändamål som anges i artikel 23.1, bl.a. den nationella säkerheten, försvaret och den allmänna säkerheten samt andra av unionens eller en medlemsstats viktiga mål av generellt allmänt intresse.

Det anförda innebär enligt regeringens bedömning att det även fortsätt- ningsvis finns ett utrymme för sådan sektorsspecifik särreglering om behandling av personuppgifter som finns i de svenska registerförfatt- ningarna (se även prop. 2017/18:105 s. 22).

De registerlagar som reglerar aktuella myndigheters personuppgifts- behandling innehåller en mängd bestämmelser om under vilka förutsätt- ningar som personuppgiftsbehandling får ske. Det finns t.ex. bestäm- melser om för vilka ändamål personuppgifter får behandlas, vilka slag av uppgifter som får behandlas, behandling i särskilda databaser, regler om när utlämnande får ske elektroniskt och regler om när uppgifter ska gallras. Bestämmelserna har sin grund i de särskilda behov som respektive myndighet har att behandla personuppgifter för sin verksamhet. Som exempel kan nämnas Skatteverkets behandling av personuppgifter för att korrekta beskattningsbeslut ska kunna fattas. Avvägningar har gjorts mot andra intressen, huvudsakligen behovet av skydd för den enskildes personliga integritet. Regeringens bedömning är således att denna typ av kompletterande reglering av person- uppgiftsbehandling i särskilda registerlagar och andra lagar kan behållas även när dataskyddsförordningen ska börja tillämpas.

9Överväganden och förslag som rör bestämmelser i registerförfattningar

9.1Inledning

I avsnitt 5.2 redogörs för berörda registerförfattningar. Det är fråga om författningar som reglerar Skatteverkets, Kronofogdemyndighetens och Tullverkets behandling av personuppgifter i olika verksamheter vid myndigheterna.

I de författningar som gäller i stället för personuppgiftslagen anges vissa bestämmelser i personuppgiftslagen som gäller när personuppgifter behandlas enligt författningen. De författningar som gäller i stället för personuppgiftslagen är lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet och den tillhörande förordningen, lagen om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet och den tillhörande förordningen, lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet och den tillhörande förordningen samt lagen om behandling av uppgifter i Tullverkets verksamhet och den tillhörande förordningen. Dessa författningar är uppbyggda på väsent-

ligen samma sätt och tillkom i samma lagstiftningsärende, se proposi-

50

tionen Behandling av personuppgifter inom skatt, tull och exekution Prop. 2017/18:95 (prop. 2000/01:33). Det kan nämnas att även lagen (2001:183) om

behandling av personuppgifter i verksamhet med val och folkomröst- ningar tillkom genom samma proposition. Även den lagen är föremål för översyn med anledning av EU:s dataskyddsförordning, se propositionen Anpassning till EU:s dataskyddsförordning av lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar (prop. 2017/18:115).

Registerförfattningarna där personuppgiftslagen gäller om inte av- vikande bestämmelser finns har mer varierande utformning. Detta gäller lagen om det statliga personadressregistret med tillhörande förordning, lagen om behandling av personuppgifter i Skatteverkets äktenskaps- register- och bouppteckningsverksamheter med tillhörande förordning samt lagen om identitetskort för folkbokförda i Sverige med tillhörande förordning.

Detta kapitel innehåller överväganden och förslag avseende ovan nämnda lagar. I vissa fall görs samtidigt överväganden för lagar som inte är registerförfattningar, vilket då anges särskilt.

9.2Förhållandet till dataskyddsförordningen och dataskyddslagen

Regeringens förslag: Bestämmelser i berörda lagar som reglerar förhållandet till personuppgiftslagen och vilka bestämmelser i person- uppgiftslagen som gäller ska tas bort. Det ska i stället införas bestäm- melser som anger att lagarna innehåller bestämmelser som komplette- rar EU:s dataskyddsförordning. Det ska också införas bestämmelser om att vid personuppgiftsbehandling enligt lagarna gäller även data- skyddslagen och föreskrifter som har meddelats i anslutning till dataskyddslagen, om inte annat följer av respektive lag eller före- skrifter som har meddelats i anslutning till dessa.

Hänvisningar till dataskyddsförordningen ska vara dynamiska, dvs. avse förordningen i den vid varje tidpunkt gällande lydelsen.

Promemorians förslag: Överensstämmer med regeringens förslag med det undantaget att i promemorian hänvisas inte till föreskrifter i anslutning till dataskyddslagen. Promemorians förslag är också något annorlunda utformat.

Remissinstanserna: Ingen remissinstans invänder mot förslagen. Skatteverket och dataskydd.net tillstyrker uttryckligen förslagen.

Skälen för regeringens förslag

Registerförfattningarnas förhållande till EU:s dataskyddsförordning och dataskyddslagen ska klargöras

Ikraftträdandet av EU:s dataskyddsförordning innebär att personuppgifts- lagen ska upphävas. Nu aktuella registerförfattningar har hänvisningar till personuppgiftslagen. I vissa av lagarna anges att lagen gäller i stället

för personuppgiftslagen, och avseende andra anges att personuppgifts-

51

Prop. 2017/18:95 lagen gäller om det inte finns avvikande bestämmelser i författningen. Eftersom personuppgiftslagen kommer att upphävas kan dessa bestäm- melser inte finnas kvar.

I fråga om de registerförfattningar som gäller i stället för personupp- giftslagen räknas i en inledande paragraf upp de bestämmelser i person- uppgiftslagen som gäller när personuppgifter behandlas enligt den aktuella registerförfattningen (se t.ex. 1 kap. 3 § lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet). Även i andra para- grafer hänvisas till personuppgiftslagen. Det anges t.ex. i nästan alla registerförfattningar att bestämmelserna i personuppgiftslagen om rättel- se och skadestånd gäller vid behandling av personuppgifter enligt lagen (se t.ex. 9 § lagen om det statliga personadressregistret). Det finns också bestämmelser som anger att personuppgiftslagens bestämmelser om information till den registrerade gäller (se bl.a. 3 kap. 1 § lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet). I lagarna måste sådana slag av hänvisningar som nu nämns av samma skäl som ovan tas bort. I vissa fall bör andra justeringar göras av bestäm- melserna. Förutom vad som behandlas i detta avsnitt, presenteras sådana ändringsförslag i senare avsnitt.

I avsnitt 6 redogörs för regeringens bedömning att en stor del av nu aktuella lagar kommer att omfattas av dataskyddsförordningens tillämp- ningsområde. Som har nämnts tidigare föreslås också en ny dataskydds- lag (prop. 2017/18:105). Den lagen föreslås dock bli subsidiär. Om en annan lag eller en förordning innehåller någon bestämmelse som avviker från dataskyddslagen ska den bestämmelsen tillämpas (1 kap. 6 § för- slaget till dataskyddslag). Dataskyddsförordningen och dataskyddslagen kommer således att ha stor relevans för nu aktuella registerförfattningar. Eftersom dataskyddsregleringen på området inte bara kommer att bestå av respektive registerförfattning utan även av dataskyddsförordningen och dataskyddslagen, bör registerförfattningarnas förhållande till dessa regleringar klargöras. Detta bör enligt regeringens mening ske i respektive lag.

Regeringen föreslår därför att det i stället för regleringen om förhållan- det till personuppgiftslagen införs en bestämmelse som anger att lagen innehåller bestämmelser som kompletterar dataskyddsförordningen. Vidare bör det införas en bestämmelse som anger att vid behandling av personuppgifter enligt lagen gäller även dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av registerförfattningen eller föreskrifter som har meddelats i anslutning till den. Jämfört med promemorians förslag har bestämmelserna fått en något annorlunda utformning.

Förslagen i denna del innebär att det inte längre kommer att finnas en ”i stället för”-reglering på nu aktuella områden. Dataskyddsförordningen gäller direkt och kan inte anges som subsidiär. Vad gäller dataskydds- lagen är det dock möjligt att peka ut vilka bestämmelser i lagen som ska gälla. Då huvudregleringen, dvs. dataskyddsförordningen, ändå är direkt tillämplig och då en stor del av den kompletterande regleringens, dvs. dataskyddslagens, bestämmelser bedöms bli relevanta för aktuella verk- samheter är en sådan lösning som nu föreslås den mest lämpliga. Regeringens förslag innebär också att samtliga berörda registerförfatt-

52

Prop. 2017/18:95	9.3	Ändamålsbestämmelser
	Regeringens förslag: Hänvisningar till finalitetsprincipen i 9 § första
	stycket d och andra stycket personuppgiftslagen i sekundära ända-
	målsbestämmelser i berörda lagar ska ersättas med bestämmelser som
	innebär att uppgifter som behandlas enligt de primära ändamålen får
	behandlas även för andra ändamål, under förutsättning att uppgifterna
	inte behandlas på ett sätt som är oförenligt med det ändamål för vilket
	uppgifterna samlades in. Sådana bestämmelser ska även införas i vissa
	lagar som i dag saknar en hänvisning till finalitetsprincipen i ända-
	målsbestämmelserna.
	Bestämmelser om att uppgifter får behandlas för att tillhandahålla
	information i den utsträckning som en skyldighet att lämna uppgifter-
	na följer av lag eller förordning ska ersättas med bestämmelser som
	anger att uppgifter får behandlas om det behövs för att fullgöra
	uppgiftslämnande som sker i överensstämmelse med lag eller förord-
	ning.
	I vissa sekundära ändamålsbestämmelser ska det förtydligas att de
	uppgifter som får behandlas för de sekundära ändamålen är sådana
	uppgifter som redan behandlas för de tillåtna primära ändamålen. De
	sekundära ändamålsbestämmelserna samlas också i en och samma
	paragraf i varje lag.
	Det ska även göras vissa redaktionella ändringar.
	Promemorians förslag: Överensstämmer med regeringens förslag.
	Vissa redaktionella ändringar har dock gjorts.
	Remissinstanserna: Skatteverket tillstyrker förslagen. Dataskydd.net
	avstyrker förslagen och anför bl.a. att flera av ändamålsbestämmelserna i
	lagen om behandling av uppgifter i Kronofogdemyndighetens verksam-
	het bör kunna ersättas av den rättsliga grunden i artikel 6.1 c i EU:s data-
	skyddsförordning (rättslig förpliktelse), eftersom inget av ändamålen
	rimligen saknar stöd i författning. Datainspektionen ifrågasätter om
	promemorians förslag till bestämmelse där finalitetsprincipen kommer
	till uttryck uppnår syftet att förtydliga dataskyddsförordningen och anser
	att det bör framgå vilken bestämmelse i dataskyddsförordningen som
	bestämmelsen är avsedd att förtydliga. I övrigt yttrar sig ingen remiss-
	instans särskilt över förslagen.
	Skälen för regeringens förslag
	Nuvarande reglering
	De berörda registerförfattningarna innehåller bestämmelser om för vilka
	ändamål personuppgifter får behandlas. Sådana ändamålsbestämmelser
	anger den yttersta ram inom vilken personuppgifterna får behandlas.
	Bestämmelserna delas ofta in i s.k. primära och sekundära ändamåls-
	bestämmelser. De primära ändamålen avser att tillgodose de behov som
	finns att behandla personuppgifter i den verksamhet hos den egna
	myndigheten som författningen, eller del av författningen, gäller för. De
	sekundära ändamålen reglerar i vilken utsträckning personuppgifter som
	myndigheten har samlat in för ett primärt ändamål får behandlas för att
54	lämnas	ut till annan verksamhet inom den egna myndigheten, till

Prop. 2017/18:95 numera hanteras med modern informationsteknik i stället för som tidi- gare på papper, se t.ex. propositionen Patientdatalag (prop. 2007/08:126

s.60).

De sekundära ändamålsbestämmelserna i lagen om behandling av

uppgifter i Skatteverkets beskattningsverksamhet, lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet och lagen om be- handling av uppgifter i Tullverkets verksamhet är visserligen inte uttöm- mande. Utlämnande som sker med stöd av en föreskrift som innebär att uppgifter får lämnas ut kan därför ske även utan uttryckligt stöd i de författningarna. För att regleringen ska vara tydlig och konsekvent kan det dock vara lämpligt att utforma de sekundära ändamålsbestämmel- serna även i dessa lagar så att de omfattar utlämnande som sker både med stöd av en bestämmelse om uppgiftsskyldighet och med stöd av en bestämmelse som tillåter uppgiftslämnande. I de nyss uppräknade författ- ningarna bör därför anges att uppgifter får behandlas om det behövs för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Även bestämmelsen i lagen om behandling av person- uppgifter i Skatteverkets folkbokföringsverksamhet om att uppgifter får behandlas för att tillhandahålla information i den utsträckning som en skyldighet att lämna uppgifterna följer av lag eller förordning bör justeras på motsvarande sätt som de övriga författningarna. Eftersom ändamålsbestämmelserna i den lagen ser annorlunda ut bör dock bestämmelsen ges en något annorlunda utformning.

Förslaget genomförs genom ändringar i 1 kap. 5 § lagen om behand- ling av uppgifter i Skatteverkets beskattningsverksamhet, 1 kap. 4 § lagen om behandling av personuppgifter i Skatteverkets folkbokförings- verksamhet, 2 kap. 3, 9, 15 och 20 a §§ lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet och 1 kap. 5 § lagen om behand- ling av uppgifter i Tullverkets verksamhet.

Vissa ytterligare tydliggöranden i bestämmelserna bör göras

Det är de primära ändamålsbestämmelserna som är styrande för bl.a. vilka uppgifter som får samlas in av myndigheterna. Uppgifter får inte samlas in för att behandlas endast för de sekundära ändamålen. De sekundära ändamålsbestämmelserna är i vissa lagar utformade så att det inte tydligt framgår av lagtexten att behandling för dessa ändamål endast får avse sådana uppgifter som redan behandlas med stöd av primära ändamålsbestämmelser. Regeringen anser därför att bestämmelserna ska formuleras på ett sådant sätt att detta tydligare framgår.

De ändamålsbestämmelser i lagen om behandling av uppgifter i Skatte- verkets beskattningsverksamhet, lagen om behandling av uppgifter i Tullverkets verksamhet och lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet som rör utlämnande till andra verksamheter inom samma myndighet finns i dag i de paragrafer som reglerar de primära ändamålen. Enligt regeringens bedömning avser bestämmelserna egentligen behandling för sekundära ändamål. De bör därför flyttas till de paragrafer som reglerar övriga sekundära ändamål. Vidare bör vissa ytterligare redaktionella ändringar i bestämmelserna göras. I förhållande till promemorians förslag har några av de sekundära

ändamålsbestämmelserna också getts en delvis annan struktur.

58

Förslagen genomförs genom ändringar i 1 kap. 4 och 5 §§ lagen om Prop. 2017/18:95 behandling av uppgifter i Skatteverkets beskattningsverksamhet, 2 kap.

2, 3, 8, 9, 14, 15, 20 och 20 a §§ lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet och 1 kap. 4 och 5 §§ lagen om behandling av uppgifter i Tullverkets verksamhet.

9.4Behandling av särskilda kategorier av personuppgifter

9.4.1	Känsliga personuppgifter
Regeringens förslag: Hänvisningar i de berörda lagarna till person-
uppgiftslagens bestämmelse om vad som är känsliga personuppgifter
ska ersättas med hänvisningar till dataskyddsförordningens bestäm-
melse om sådana uppgifter.
Promemorians förslag: Överensstämmer i sak med regeringens
förslag. Promemorians förslag är något annorlunda utformat.
Remissinstanserna: Skatteverket tillstyrker förslaget. Datainspek-
tionen avstyrker förslaget, då inspektionen anser att det finns risk för att
myndigheterna kan komma att behandla personuppgifter i strid med
artikel 9.2 g i EU:s dataskyddsförordning. Datainspektionen ifrågasätter
om den föreslagna utformningen av undantaget kan anses avse ett viktigt
allmänt intresse. Datainspektionen saknar också överväganden som avser
de nya särskilda kategorierna av uppgifter som har införts, såsom
genetiska och biometriska uppgifter. Sveriges advokatsamfund anser att
det finns oklarheter när det gäller behandling i s.k. eget utrymme hos en
myndighet, bl.a. om möjligheten till behandling av känsliga personupp-
gifter, och anser att det behövs regler i lag när det gäller behandlingen av
känsliga personuppgifter i eget utrymme, för det fall myndigheten ska
anses vara personuppgiftsansvarig. Dataskydd.net anger att artikel 9.2 i
dataskyddsförordningen redan innehåller en uttömmande lista på till-
fällen då känsliga personuppgifter kan behandlas, varför det inte är
nödvändigt att införa särskilt lagstöd för sådan behandling och avstyrker
därför förslaget. Dataskydd.net anser vidare att 13 § lagen om identitets-
kort för folkbokförda i Sverige är onödig på den grunden att behandling
av särskilda personuppgifter, fotografi dvs. biometriska data, redan är en
rättslig förpliktelse för den utfärdande myndigheten och att övriga
kategorier av känsliga personuppgifter inte är relevanta vid utfärdande av
identitetshandling. I övrigt yttrar sig ingen remissinstans särskilt över
förslaget.
Skälen för regeringens förslag
Nuvarande reglering
Enligt 13 § PUL är det förbjudet att behandla s.k. känsliga personupp-
gifter, dvs. personuppgifter som rör hälsa eller sexualliv och personupp-
gifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös
eller filosofisk övertygelse eller medlemskap i fackförening. I 15–19 §§
PUL finns vissa undantag från detta förbud, t.ex. i samtyckessituationer,		59

Prop. 2017/18:95 vid viss nödvändig behandling och för forskningsändamål. Av 8 § personuppgiftsförordningen följer att myndigheter, utöver vad som följer av bl.a. 15–19 §§ PUL, får behandla känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.

De registerförfattningar som gäller i stället för personuppgiftslagen innehåller egna bestämmelser om möjligheten att behandla känsliga personuppgifter, dock med hänvisning till personuppgiftslagens defini- tion av känsliga personuppgifter. I 1 kap. 7 § första stycket lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet stadgas bl.a. att känsliga personuppgifter som anges i 13 § PUL får behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Enligt andra stycket får uppgifter som avses i första stycket i annat fall behandlas endast om det särskilt anges i 2 kap. Det kapitlet innehåller bestämmelser om beskattningsdatabasen. I 2 kap. 4 § anges att en handling som har kommit in i ett ärende får behandlas i databasen och får innehålla uppgifter som avses i 1 kap. 7 §. Vidare anges att en handling som upprättats i ett ärende får behandlas i data- basen och får innehålla sådana uppgifter om de är nödvändiga för ärendets handläggning. Enligt 2 kap. 10 § andra stycket får inte uppgift som avses i 1 kap. 7 § användas som sökbegrepp.

Lagen om behandling av personuppgifter i Skatteverkets folkbokför- ingsverksamhet, lagen om behandling av uppgifter i Kronofogdemyndig- hetens verksamhet och lagen om behandling av uppgifter i Tullverkets verksamhet innehåller också sådana bestämmelser.

I fråga om de författningar där personuppgiftslagen gäller finns i lagen om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter några bestämmelser som liknar de ovan angivna (7 och 8 §§). Även lagen om identitetskort för folkbok- förda i Sverige har bestämmelser om känsliga personuppgifter liknande de ovan nämnda, som avser den i lagen angivna databasen. Den lagen har också bestämmelser som avser det fotografi som tas vid ansökan om id- kort. I 14 § anges att en kopia av den ansiktsbild som identitetskortet har försetts med får behandlas i databasen. Enligt 17 § första stycket får ansiktsbilden enligt bl.a. 14 § inte användas vid sökning med hjälp av automatiserad behandling.

Lagen om det statliga personadressregistret och den tillhörande förord- ningen saknar bestämmelser om känsliga personuppgifter.

Dataskyddsförordningens bestämmelser om känsliga personuppgifter

Dataskyddsförordningen innehåller i likhet med 1995 års dataskydds- direktiv och personuppgiftslagen ett principiellt förbud mot att behandla vissa särskilda kategorier av personuppgifter (artikel 9.1). Förbudet omfattar personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackföre- ning och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Artikel 9.1 i förordningen omfattar nya kategorier av uppgifter jämfört med mot-

svarande bestämmelse i 1995 års dataskyddsdirektiv (artikel 8.1). Direk-

60

tivets bestämmelse innefattar inte genetiska uppgifter, biometriska Prop. 2017/18:95 uppgifter för att entydigt identifiera en fysisk person eller uppgifter om

en persons sexuella läggning. Artikel 8.1 i direktivet har genomförts i svensk rätt genom 13 § PUL, som är avsedd att ha samma innebörd som direktivets bestämmelse, se propositionen Personuppgiftslag (prop. 1997/98:44 s. 124). Uppgifter om sexuell läggning har i svensk rätt ansetts ingå i begreppet ”sexualliv” och införandet av det uttrycket i förordningen innebär således inte någon egentlig utvidgning från svenskt perspektiv, se t.ex. propositionen Behandling av personuppgifter inom Kriminalvården (prop. 2000/01:126 s. 31) och propositionen Ett starkare skydd mot diskriminering (prop. 2007/08:95 s. 125–129). Tilläggen genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person utgör dock en utvidgning jämfört med den nuvarande ordningen. I rubriken till artikel 9 i dataskyddsförordningen anges att bestämmelsen avser behandling av särskilda kategorier av personupp- gifter. I skäl 10 och 51 omnämns dessa uppgifter i stället som känsliga respektive särskilt känsliga personuppgifter.

Precis som i 1995 års dataskyddsdirektiv och personuppgiftslagen kompletteras förbudet i dataskyddsförordningen av ett antal undantag som gör det möjligt att behandla känsliga personuppgifter i vissa fall. Ett sådant undantag är om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse på grundval av unionsrätten eller medlems- staternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades rättigheter och intressen (artikel 9.2 g). Ett annat exempel är om behandlingen är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk (artikel 9.2 f).

Dataskyddsutredningen och propositionen Ny dataskyddslag

Uttrycket känsliga personuppgifter är det som används i 13 § PUL och även i de nu gällande registerförfattningarna. Uttrycket har av Data- skyddsutredningen ansetts vara tydligare än särskilda kategorier av uppgifter och därtill vara inarbetat även på EU-nivå. I prop. 2017/18:105 gör regeringen samma bedömning (s. 75). I dataskyddslagen föreslås att det uttryckligen anges att med känsliga personuppgifter avses i dataskyddslagen sådana uppgifter som avses i artikel 9.1 i EU:s data- skyddsförordning (3 kap. 1 § förslaget till dataskyddslag).

Undantaget i artikel 9.2 g i dataskyddsförordningen är visserligen direkt tillämpligt men det är enligt regeringen möjligt för medlems- staterna att införa mer specifika bestämmelser i nationell rätt (se prop. 2017/18:105 s. 75). Motsvarande reglering finns i dag i artikel 8.4 i dataskyddsdirektivet enligt vilken känsliga personuppgifter får behandlas under förutsättning av lämpliga skyddsåtgärder och av hänsyn till ett viktigt allmänt intresse. I nämnda proposition gör regeringen också bedömningen att det är ett viktigt allmänt intresse att myndigheternas ärendehandläggning kan ske på ett effektivt och rättssäkert sätt samt att ärendebegreppet i de allra flesta fall är förhållandevis tydligt och bör kunna användas som avgränsning (s. 87).

61

Prop. 2017/18:95 Regeringen bedömer vidare i propositionen att det behövs en tydlig reglering som tillåter viss behandling av känsliga personuppgifter hos myndigheterna och anger att det också i många fall finns sådana bestäm- melser i sektorsspecifika författningar om behandling av personuppgifter. Regeringen bedömer att det behövs särskilda bestämmelser i dataskydds- lagen som är tillämpliga för alla myndigheter och som uppfyller kraven i artikel 9.2 g i dataskyddsförordningen (s. 84 f.). Enligt 3 kap. 3 § första stycket förslaget till dataskyddslag får känsliga personuppgifter behand- las av en myndighet med stöd av artikel 9.2 g i dataskyddsförordningen 1. om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag, 2. om behandlingen är nödvändig för handläggningen av ett ärende, eller 3. i annat fall, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Enligt 3 kap. 3 § andra stycket är det vid behandling som sker enbart med stöd av första stycket förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.

Utöver ovanstående föreslås också att regeringen ska få meddela ytterligare föreskrifter om sådan behandling av känsliga personuppgifter som är nödvändig med hänsyn till ett viktigt allmänt intresse (3 kap. 4 § förslaget till dataskyddslag).

Regeringen anger att de föreslagna bestämmelserna är avsedda att gälla för offentlig verksamhet där sektorsspecifik reglering avseende känsliga personuppgifter saknas och att det kan finnas anledning för vissa sektorer att närmare precisera och avgränsa möjligheterna att behandla känsliga personuppgifter ytterligare (s. 91).

Bestämmelserna om känsliga personuppgifter är förenliga med dataskyddsförordningen

I enlighet med regeringens bedömning att det är ett viktigt allmänt intresse att myndigheternas ärendehandläggning kan ske på ett effektivt och rättssäkert sätt bedömer regeringen, till skillnad från Datainspek- tionen, att den behandling av känsliga personuppgifter som möjliggörs genom berörda registerlagar får anses nödvändig av hänsyn till ett sådant viktigt allmänt intresse som avses i artikel 9.2 g i dataskyddsförord- ningen. Vad gäller nu aktuell verksamhet kan också skäl 112 i data- skyddsförordningen nämnas, där internationella utbyten av uppgifter mellan konkurrensmyndigheter, skatte- eller tullmyndigheter, finanstill- synsmyndigheter, socialförsäkringsmyndigheter eller hälsovårdsmyndig- heter nämns som exempel på viktiga allmänintressen. Regeringen vill också framhålla att det inte är fråga om några nya förslag. Det föreslås således inte några nya bestämmelser, utan befintliga krav på behandling av känsliga personuppgifter behålls. Kraven på viktigt allmänt intresse är som framgår ovan inte heller nya utan gäller även enligt 1995 års dataskyddsdirektiv.

I lagarna finns vidare särskilda bestämmelser som är ägnade att värna den enskildes personliga integritet, t.ex. en begränsning till uppgifter som lämnats i ett ärende eller är nödvändiga för handläggningen av det och regler om förbud mot att söka på känsliga personuppgifter i databaser.

Denna reglering uppfyller enligt regeringens mening dataskyddsförord-

62

Prop. 2017/18:95	Som nämnts ovan bedöms sexuell läggning redan ingå i begreppet
	sexualliv. Behandling av genetiska uppgifter och biometriska uppgifter
	för att entydigt identifiera en fysisk person är dock nyheter. Även denna
	typ av behandling kommer således framöver att kringgärdas av restrik-
	tioner. Datainspektionen saknar överväganden som avser just dessa nya
	kategorier av känsliga personuppgifter. Regeringens bedömning under
	föregående rubrik inkluderar samtliga kategorier av känsliga uppgifter.
	Dataskydd.net anser att 13 § lagen om identitetskort för folkbokförda i
	Sverige är onödig på den grunden att behandling av särskilda person-
	uppgifter (fotografi, dvs. biometriska data) redan är en rättslig förplik-
	telse för den utfärdande myndigheten och att övriga kategorier av käns-
	liga personuppgifter inte är relevanta vid utfärdande av identitetshand-
	ling. Vad gäller fotografi vill regeringen framhålla att det är en annan
	bestämmelse, 14 §, som reglerar behandling av ansiktsbilden i databasen.
	Vanliga fotografier eller en kopia av ansiktsbilden innehåller inte
	biometriska uppgifter för att entydigt identifiera en fysisk person (se t.ex.
	SOU 2017:29 s. 149). Regeringen ser inte något skäl att upphäva den
	bestämmelsen. Vad gäller behovet av 13 § är det inte uteslutet att käns-
	liga personuppgifter kan komma in i ett ärende om ansökan om
	identitetskort eller behöva behandlas i ett sådant ärende, varför den
	bestämmelsen bör finnas kvar.
	De föreslagna bestämmelserna har fått en något annorlunda utformning
	jämfört med promemorians förslag, då inledningen har justerats något.
	Förslaget genomförs genom ändringar i 1 kap. 7 § första stycket lagen
	om behandling av uppgifter i	Skatteverkets beskattningsverksamhet,
	1 kap. 6 § första stycket lagen	om behandling av personuppgifter i
	Skatteverkets folkbokföringsverksamhet, 1 kap. 6 § första stycket lagen
	om behandling av uppgifter i	Kronofogdemyndighetens verksamhet,
	1 kap. 7 § första stycket lagen om behandling av uppgifter i Tullverkets
	verksamhet, 7 § lagen om behandling av personuppgifter i Skatteverkets
	äktenskapsregister- och bouppteckningsverksamheter och 13 § lagen om
	identitetskort för folkbokförda i Sverige.

9.4.2 Uppgifter om lagöverträdelser

Regeringens förslag: Hänvisningar i de berörda lagarna till person- uppgiftslagens bestämmelse om lagöverträdelser m.m. ska ersättas med en uppräkning som motsvarar personuppgiftslagens definition av sådana överträdelser.

Promemorians förslag: Överensstämmer med regeringens förslag. Remissinstanserna: Ingen remissinstans har några invändningar mot

förslaget. Skatteverket och dataskydd.net tillstyrker uttryckligen för- slaget.

Skälen för regeringens förslag

Nuvarande reglering

Enligt 21 § PUL är det förbjudet för andra än myndigheter att behandla

personuppgifter om lagöverträdelser som innefattar brott, domar i

64

tion av lagöverträdelser m.m., dvs. lagöverträdelser som innefattar brott, Prop. 2017/18:95 domar i brottmål, straffprocessuella tvångsmedel eller administrativa

frihetsberövanden. Justeringen innebär ingen ändring i sak.

Vad gäller den ovan nämnda särbestämmelsen i 2 kap. 17 § lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet finns inga skäl till justeringar varför den bör kvarstå oförändrad.

Förslaget genomförs genom ändringar i 1 kap. 7 § första stycket lagen

om behandling av uppgifter i	Skatteverkets beskattningsverksamhet,
1 kap. 6 § första stycket lagen	om behandling av personuppgifter i

Skatteverkets folkbokföringsverksamhet, 1 kap. 6 § första stycket lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet, 1 kap. 7 § första stycket lagen om behandling av uppgifter i Tullverkets verksamhet och 17 § andra stycket lagen om identitetskort för folkbok- förda i Sverige.

9.5Enskildas rättigheter

9.5.1Allmänt om rättigheterna i EU:s dataskyddsförordning och bestämmelser i förslaget till dataskyddslag

I dataskyddsförordningens tredje kapitel behandlas den registrerades rättigheter. Kapitlet avser rätten till information (artiklarna 13 och 14) och rätten till tillgång (artikel 15), rätten till rättelse (artikel 16), radering (artikel 17), begränsning (artikel 18) och dataportabilitet (artikel 20). Slutligen behandlas rätten att göra invändningar (artikel 21) och att motsätta sig automatiskt individuellt beslutsfattande (artikel 22). I anslutning till dessa rättigheter finns bestämmelser om hur och när information ska lämnas (artikel 12) och bestämmelser om anmälnings- skyldighet för det fall rättelse, radering av personuppgifter eller begränsning av behandling sker (artikel 19).

De rättigheter för enskilda som följer av dataskyddsförordningen har, med vissa undantag, sina motsvarigheter i 1995 års dataskyddsdirektiv och personuppgiftslagen. Den registrerades rättigheter har dock förstärkts i vissa avseenden genom dataskyddsförordningen, bl.a. när det gäller rätten till information och tillgång till uppgifter.

Den registrerades rättigheter, med motsvarande skyldigheter för den personuppgiftsansvarige, är direkt tillämpliga. Rättigheterna är emellertid inte absoluta utan kan enligt artikel 23 i dataskyddsförordningen begrän- sas under vissa i artikeln angivna förutsättningar. Enligt artikel 23.1 får begränsningar införas i nationell rätt, om begränsningen sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa vissa särskilt angivna mål. De angivna målen innefattar bl.a. att säkerställa unionens eller en medlemsstats viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en medlems- stats viktiga ekonomiska intressen, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet. Även enligt artikel 13 i 1995 års dataskyddsdirektiv ges en möjlighet att begränsa de rättigheter som

67

Prop. 2017/18:95	ges enskilda i direktivet. En nyhet i dataskyddsförordningen är att det
	anges att en begränsande lagstiftningsåtgärd, när så är relevant, ska inne-
	hålla specifika bestämmelser i vissa avseenden, bl.a. om skyddsåtgärder
	(artikel 23.2). Möjlighet att begränsa vissa av de registrerades rättigheter
	ges även i artikel 89.2 i förordningen, i fråga om behandling av person-
	uppgifter för vetenskapliga ändamål eller historiska forskningsändamål
	eller statistiska ändamål. Enligt artikel 89.3 får vissa rättigheter också
	begränsas vid behandling av personuppgifter för arkivändamål av
	allmänt intresse.
	I prop. 2017/18:105 föreslår regeringen en bestämmelse som innebär
	undantag från den registrerades rätt till information och att få tillgång till
	personuppgifter enligt artiklarna 13–15, om sekretess eller tystnadsplikt
	föreligger gentemot den registrerade (5 kap. 1 § förslaget till dataskydds-
	lag). Regeringen föreslår vidare en bestämmelse som innebär att den
	registrerades rätt att få tillgång till personuppgifter som huvudregel inte
	ska omfatta uppgifter som finns i löpande text som utgör utkast eller
	minnesanteckningar (5 kap. 2 §). Slutligen föreslås ett generellt bemyn-
	digande för regeringen att meddela ytterligare föreskrifter om begräns-
	ningar enligt artiklarna 23, 89.2 och 89.3 i dataskyddsförordningen
	(5 kap. 3 §).
	I det följande behandlas frågor om vilken reglering som kan behövas i
	registerlagarna med anledning av dataskyddsförordningens bestämmelser
	om rätten till information och tillgång till personuppgifter, rätten till
	rättelse, radering och begränsning av behandling av personuppgifter och
	rätten att göra invändningar mot behandling. Frågor om automatiskt
	beslutsfattande regleras inte i registerförfattningarna. Dessa frågor
	behandlas i stället i avsnitt 10.

	9.5.2	Rätten till information och tillgång till
		personuppgifter
	Regeringens förslag: Bestämmelser i berörda lagar om information
	om uppgifter i handlingar som den enskilde har tagit del av ska tas
	bort.
	Undantaget från informationsskyldighet när uppgifter behandlas på
	grund av visst administrativt samarbete i fråga om beskattning ska
	omformuleras utan att det innebär någon ändring i sak.
	Det ska tydliggöras att lagbestämmelser som anger att myndig-
	heterna får ta ut avgifter för att lämna ut uppgifter inte innebär en
	inskränkning av den registrerades rätt till kostnadsfria åtgärder enligt
	artikel 12.5 a i EU:s dataskyddsförordning.
	Promemorians förslag: Överensstämmer delvis med regeringens
	förslag. I promemorian föreslås att bestämmelser om information om
	uppgifter i handlingar som den enskilde har tagit del av ska finnas kvar
	men ändras så att de hänvisar till dataskyddsförordningen i stället för till
	personuppgiftslagen.
	Remissinstanserna: Skatteverket tillstyrker promemorians förslag.
	Datainspektionen avstyrker promemorians förslag i den del de avser
68	rätten till information om personuppgifter i handlingar som den enskilde

har tagit del av. Datainspektionen anser att bestämmelser som innebär att	Prop. 2017/18:95
information enligt artikel 15 i dataskyddsförordningen inte behöver
omfatta en uppgift i en handling som har kommit in till register-
myndigheten om den enskilde har tagit del av handlingens innehåll, utgör
en begränsning i den enskildes rätt till tillgång enligt denna artikel och att
undantaget från detta inte är utfört i enlighet med kraven i artikel 23 i
dataskyddsförordningen. Dataskydd.net avstyrker delvis promemorians
förslag och anser att bestämmelsen i lagen om behandling av uppgifter i
Skatteverkets beskattningsverksamhet när uppgifter behandlas på grund
av visst administrativt samarbete i fråga om beskattning bör ändras så att
bara tillämpningen av artikel 15 i dataskyddsförordningen (register-
utdrag) undantas från den enskildes rättigheter, men inte artikel 13.
Dataskydd.net anser också att det saknas behov av några av de föreslagna
bestämmelserna i vilka det tydliggörs att rätten att ta ut avgifter inte får
åsidosätta rätten för en registrerad att kostnadsfritt få information om
behandling eller registerutdrag med stöd av artikel 12.5 i dataskydds-
förordningen. I övrigt invänder ingen remissinstans mot promemorians
förslag.
Skälen för regeringens förslag
Nuvarande reglering
Bestämmelser om information till den registrerade finns i 23–27 §§ PUL.
I flera av de aktuella registerförfattningarna pekas det ut vilka bestäm-
melser i personuppgiftslagen om information till enskilda som är
tillämpliga vid sådan behandling som omfattas av respektive lag. De
bestämmelser som pekas ut är 23 och 25–27 §§. Hänvisningar till dessa
bestämmelser i personuppgiftslagen finns i 3 kap. 1 § lagen om behand-
ling av uppgifter i Skatteverkets beskattningsverksamhet men också i
lagen om behandling av personuppgifter i Skatteverkets folkbokförings-
verksamhet, lagen om behandling av uppgifter i Kronofogdemyndig-
hetens verksamhet och lagen om behandling av uppgifter i Tullverkets
verksamhet.
Eftersom personuppgiftslagen gäller vid behandling enligt lagen om
identitetskort för folkbokförda i Sverige, lagen om behandling av
personuppgifter i Skatteverkets äktenskapsregister- och boupptecknings-
verksamheter och lagen om det statliga personadressregistret om inte
annat följer av de respektive lagarna och då de lagarna inte innehåller
särskilda bestämmelser om informationsskyldighet, gäller samtliga
bestämmelser om informationsskyldighet i personuppgiftslagen vid
sådan behandling som omfattas av de lagarna.
I 23 § PUL finns bestämmelser om att den personuppgiftsansvarige
självmant ska lämna information till den registrerade om behandlingen
av personuppgifterna när uppgifter samlas in från personen själv. I 25 §
anges vilken information som den personuppgiftsansvarige ska lämna.
26 § PUL innehåller bestämmelser om att den personuppgiftsansvarige
i vissa fall är skyldig att till den som ansöker om det lämna viss särskilt
angiven information om de uppgifter rörande den sökande som behandlas
(s.k. registerutdrag). I fråga om uppgifter som finns i handlingar finns
vissa specialbestämmelser i flera av de berörda registerförfattningarna.
Dessa bestämmelser behandlas nedan.	69