Konstitutionsutskottets betänkande

2024/25:KU12

 

Ett nytt rättsmedel i dataskyddslagen och brottsdatalagen

Sammanfattning

Utskottet föreslår att riksdagen antar regeringens förslag till ändring i lagen med kompletterande bestämmelser till EU:s dataskyddsförordning och förslaget till ändring i brottsdatalagen.

Förslaget innebär att det införs ett nytt rättsmedel mot utebliven eller långsam handläggning hos tillsynsmyndigheten (Integritetsskyddsmyndig­heten). Därigenom uppfyller Sverige fullt ut sina unionsrättsliga åtaganden i detta avseende.

Lagändringarna föreslås träda i kraft den 1 maj 2025.

Behandlade förslag

Proposition 2024/25:88 Ett nytt rättsmedel i dataskyddslagen och brottsdata­lagen.

Innehållsförteckning

Utskottets förslag till riksdagsbeslut

Redogörelse för ärendet

Ärendet och dess beredning

Propositionens huvudsakliga innehåll

Utskottets överväganden

Regeringens lagförslag

Bilaga 1
Förteckning över behandlade förslag

Propositionen

Bilaga 2
Regeringens lagförslag

 

Utskottets förslag till riksdagsbeslut

 

 

Regeringens lagförslag

Riksdagen antar regeringens förslag till

1. lag om ändring i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning,

2. lag om ändring i brottsdatalagen (2018:1177).

Därmed bifaller riksdagen proposition 2024/25:88 punkterna 1 och 2.

 

Stockholm den 20 mars 2025

På konstitutionsutskottets vägnar

Ida Karkiainen

Följande ledamöter har deltagit i beslutet: Ida Karkiainen (S), Louise Meijer (M), Michael Rubbestad (SD), Fredrik Lindahl (SD), Mirja Räihä (S), Ulrik Nilsson (M), Per-Arne Håkansson (S), Mauricio Rojas (L), Amalia Rud Stenlöf (S), Susanne Nordström (M), Jessica Wetterling (V), Gudrun Brunegård (KD), Malin Björk (C), Lars Engsund (M), Jan Riise (MP), Lars Johnsson (M) och Peter Hedberg (S).

 

 

 

 

Redogörelse för ärendet

Ärendet och dess beredning

I betänkandet behandlas proposition 2024/25:88 Ett nytt rättsmedel i data­skyddslagen och brottsdatalagen.

I propositionen finns en redogörelse för ärendets beredning fram till regeringens beslut om proposition.

En förteckning över behandlade förslag finns i bilaga 1. Regeringens lagförslag finns i bilaga 2.

Propositionens huvudsakliga innehåll

I propositionen föreslår regeringen att ett nytt rättsmedel mot utebliven eller långsam handläggning hos tillsynsmyndigheten (Integritetsskyddsmyndig­heten) införs genom ändringar i lagen med kompletterande bestämmelser till EU:s dataskyddsförordning och brottsdatalagen. Enligt förslaget ska en registrerad som har lämnat in ett klagomål till tillsynsmyndigheten efter att tre månader har gått från det att klagomålet lämnades in ha rätt att begära att få besked om huruvida tillsynsmyndigheten avser att inleda tillsyn eller inte. Tillsynsmyndigheten har enligt förslaget då två veckor på sig att antingen lämna ett sådant besked eller avslå begäran i ett motiverat beslut. Om tillsyns­myndigheten inte lämnar något besked eller fattar ett beslut inom den tidsfristen ska begäran anses ha avslagits. Regeringen föreslår att såväl tillsynsmyndighetens beslut som en begäran som anses ha avslagits ska kunna överklagas till allmän förvaltningsdomstol. Enligt förslaget ska domstolen kunna förelägga tillsynsmyndigheten att snarast lämna den registrerade ett besked i fråga om huruvida tillsyn ska inledas eller inte. 

Lagändringarna föreslås träda i kraft den 1 maj 2025.

Utskottets överväganden

Regeringens lagförslag

Utskottets förslag i korthet

Riksdagen antar regeringens förslag till ändring i lagen med kompletterande bestämmelser till EU:s dataskyddsförordning och förslaget till ändring i brottsdatalagen. Förslaget innebär att det införs ett nytt rättsmedel mot utebliven eller långsam handläggning hos tillsynsmyndigheten (Integritetsskyddsmyndigheten).

 

Propositionen

Bakgrund

EU:s dataskyddsförordning[1] antogs i april 2016 och gäller generellt för behandling av personuppgifter. Samtidigt antogs ett nytt direktiv[2] om skydd för personuppgifter på det brottsbekämpande området.

Dataskyddsförordningen är direkt tillämplig i medlemsstaterna men innehåller många bestämmelser som förutsätter eller ger utrymme för kompletterande nationella bestämmelser av olika slag. I Sverige finns sådana bestämmelser huvudsakligen i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen).

Dataskyddsdirektivet har genomförts i svensk rätt i huvudsak genom brottsdatalagen (2018:1177).

I artikel 51.1 i dataskyddsförordningen och i artikel 41.1 i dataskydds­direktivet anges att varje medlemsstat ska föreskriva att en eller flera offentliga myndigheter ska vara ansvariga för att övervaka tillämpningen av förordningen respektive direktivet. I Sverige har Integritetsskyddsmyndig­heten utsetts att vara sådan tillsynsmyndighet.

Av artikel 78.2 i EU:s dataskyddsförordning framgår att varje registrerad person ska ha rätt till ett effektivt rättsmedel om tillsynsmyndigheten underlåter att behandla ett klagomål eller att informera den registrerade inom tre månader om hur det fortskrider med det klagomål som har getts in eller vilket beslut som har fattats med anledning av det. Vidare anges i skäl 141 till förordningen bl.a. att registrerade bör ha rätt till ett effektivt rättsmedel i enlighet med artikel 47 i Europeiska unionens stadga om de grundläggande rättigheterna (EU:s rättighetsstadga) om den registrerade anser att hans eller hennes rättigheter enligt förordningen har kränkts eller om tillsynsmyndig­heten inte reagerar på ett klagomål, helt eller delvis avslår eller avvisar ett klagomål eller inte agerar när så är nödvändigt för att skydda den registrerades rättigheter. Motsvarande bestämmelse och skäl finns i artikel 53.2 och skäl 85 i dataskyddsdirektivet.

Europeiska kommissionen inledde våren 2022 ett överträdelseärende mot Sverige om genomförandet av EU:s dataskyddsförordning och dataskydds­direktivet med avseende på behovet av att säkerställa effektiva rättsmedel för den registrerade vid dröjsmål eller passivitet hos tillsynsmyndigheten vid dess behandling av klagomål. I den formella underrättelsen ger kommissionen sammanfattningsvis uttryck för uppfattningen att det saknas bestämmelser i svensk rätt som tillhandahåller effektiva rättsmedel inför domstol i enlighet med artikel 78.2 i EU:s dataskyddsförordning och artikel 53.2 i dataskydds­direktivet (formell underrättelse – överträdelse nummer [2022]2022, C[2022]1665 final, den 6 april 2022).

Sverige har i sitt svar till kommissionen sammanfattningsvis framhållit att det i ljuset av de synpunkter som kommissionen har fört fram finns anledning att se över den svenska lagstiftningen och överväga att införa en reglering som tydligt ger registrerade ett effektivt rättsmedel inför domstol vid dröjsmål eller passivitet hos tillsynsmyndigheten.

Ett nytt rättsmedel i dataskyddslagen och brottsdatalagen

Regeringen konstaterar att EU:s dataskyddsförordning och dataskydds­direktivet ställer krav på att det ska finnas ett effektivt rättsmedel inför domstol vid utebliven eller långsam handläggning av klagomål hos tillsynsmyndig­heten. Enligt regeringen behöver dagens reglering kompletteras med ett sådant rättsmedel för att uppfylla unionsrättsliga krav och ytterligare stärka den registrerades ställning. 

Regeringen föreslår således att det införs ett nytt rättsmedel i dataskydds­lagen och brottsdatalagen mot utebliven eller långsam handläggning vid klagomål enligt dataskyddsregleringen. De föreslagna bestämmelserna syftar till att förstärka de registrerades rätt till ett effektivt rättsmedel inför domstol enligt artikel 78.2 i EU:s dataskyddsförordning och artikel 53.2 i dataskydds­direktivet. Regeringen bedömer att Sverige genom de föreslagna reglerna om ett nytt rättsmedel mot utebliven eller långsam handläggning hos tillsyns­myndigheten, och de övriga rättsmedel som den registrerade har tillgång till, kommer att uppfylla kravet på effektivt rättsmedel enligt artiklarna.

Lagförslagen innebär att om tillsynsmyndigheten inte inom tre månader behandlar ett klagomål, ska den registrerade kunna begära besked i fråga om huruvida tillsynsmyndigheten avser att inleda tillsyn eller inte. Myndigheten ska då inom två veckor antingen lämna ett sådant besked eller i ett särskilt beslut avslå begäran om besked. Om tillsynsmyndigheten inte lämnar något besked eller fattar ett beslut inom denna tidsfrist, ska begäran anses ha avslagits. Om tillsynsmyndigheten avslår begäran om besked i ett beslut ska den registrerade få begära ett nytt besked i ärendet först efter tre månader från det att beslutet om avslag på den tidigare begäran meddelades.

Vidare föreslår regeringen att om tillsynsmyndigheten avslår den registrerades begäran om besked om huruvida tillsyn kommer att inledas, ska han eller hon få överklaga beslutet till allmän förvaltningsdomstol. En registrerad ska ha motsvarande klagorätt i det fall hans eller hennes begäran om besked i tillsynsfrågan anses avslagen. Om domstolen bifaller ett sådant överklagande ska den förelägga tillsynsmyndigheten att snarast lämna den registrerade besked i fråga om huruvida tillsyn kommer att inledas eller inte. Annars ska domstolen avslå överklagandet.

Det föreslås även att det ska krävas prövningstillstånd för överklagande till kammarrätten.

Lagändringarna föreslås träda i kraft den 1 maj 2025.

Utskottets ställningstagande

Utskottet ställer sig bakom de överväganden som redovisas i propositionen och anser att riksdagen bör anta regeringens lagförslag.

Bilaga 1

Förteckning över behandlade förslag

Propositionen

Proposition 2024/25:88 Ett nytt rättsmedel i dataskyddslagen och brottsdatalagen:

1. Riksdagen antar regeringens förslag till lag om ändring i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning.

2. Riksdagen antar regeringens förslag till lag om ändring i brottsdatalagen (2018:1177).

 

 

 

Bilaga 2

Regeringens lagförslag

 

 


[1] Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskydds­förordning).

[2] Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF.