2222570GL03441997/9844propproppropProposition 1997/98:44PropositionPropositionJustitiedepartementet4401997-12-08 00:00:002025-12-19 14:02:391998-01-01 00:00:00Personuppgiftslag Prop. 1997/98:44digitaliseradhtmlskarvenhttps://data.riksdagen.se/dokument/GL0344/texthttps://data.riksdagen.se/dokument/GL0344https://data.riksdagen.se/dokumentstatus/GL0344
<h1><a name="caption1"></a>Regeringens proposition<br>1997/98:44</h1>
<h2>Personuppgiftslag</h2><img src="https://data.riksdagen.se/fil/GL0344/prop_199798__44-1.png" style="width:43pt;height:53pt;"/>
<p>Prop.</p>
<p>1997/98:44</p>
<p>Regeringen överlämnar denna proposition till riksdagen.</p>
<p>Stockholm den 8 december 1997</p>
<p>Laila Freivalds</p>
<p>Pierre Schori</p>
<p>(Justitiedepartementet)</p>
<h2>Propositionens huvudsakliga innehåll</h2>
<p>I propositionen föreslås en personuppgiftslag. Lagen ersätter den<br>nuvarande datalagen (1973:289) och genomför Europaparlamentets och<br>rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda<br>personer med avseende på behandling av personuppgifter och om det fria<br>flödet av sådana uppgifter.</p>
<p>Lagen, som i huvudsak följer EG-direktivets text och disposition,<br>omfattar all automatiserad behandling av personuppgifter och manuell<br>behandling av personregister Rent privat användning av personuppgifter<br>är undantagen. Det görs även undantag med hänsyn till offentlighets-<br>principen och tryck- och yttrandefriheten. Särregler i annan lagstiftning tar<br>över bestämmelserna i personuppgiftslagen.</p>
<p>Lagen innehåller bestämmelser om när behandling av personuppgifter<br>är tillåten och när sådana uppgifter får föras över till en stat utanför EES<br>För behandling av känsliga personuppgifter gäller särskilt stränga regler<br>Även vissa grundläggande krav på den som behandlar personuppgifter<br>regleras, t.ex. att personuppgifter som samlats in för ett ändamål inte får<br>behandlas för något annat oförenligt ändamål. Det finns i lagen vidare<br>bestämmelser om information till de registrerade, om korrigering av<br>personuppgifter och om säkerheten vid behandlingen. Den enskilde skall i<br>fråga om s.k. automatiserade beslut ha rätt att på begäran få manuell<br>omprövning av beslutet och information om den automatiserade<br>behandling som ligger bakom det. Automatiserad behandling av person-<br>uppgifter måste i princip anmälas till en tillsynsmyndighet, men<br>omfattande undantag från denna anmälningsskyldighet medges, t ex. när<br>den ansvarige för behandlingen har tillsatt ett s.k. personuppgiftsombud</p>
<p>1 Riksdagen 1997/98. 1 saml. Nr 44</p>
<p>med uppgift att självständigt kontrollera den ansvariges behandling. Den<br>som bryter mot lagen kan drabbas av ingripanden från tillsynsmyn-<br>digheten, t.ex ett vitesföreläggande, eller skadestånd och straff</p>
<p>Personuppgiftslagen föreslås träda i kraft den 24 oktober 1998</p>
<p>Vissa bestämmelser i den nuvarande datalagen föreslås bli flyttade till<br>annan lagstiftning, t.ex. bestämmelsen om straff för dataintrång som<br>flyttas till brottsbalken. Vissa konsekvensändringar görs vidare i sekre-<br>tesslagen (1980:100). Dessa ändringar föreslås träda i kraft samtidigt med<br>den nya lagen</p>
<p>I dag är det möjligt för riksdagen att delegera rätten att meddela<br>föreskrifter om automatisk databehandling av personuppgifter Det före-<br>slås även att regeringsformen justeras så att det blir möjligt för riksdagen<br>att delegera rätten att meddela föreskrifter om manuell behandling av<br>personuppgifter Den ändringen föreslås träda i kraft den 1 januari 1999.</p>
<p>Prop 1997/98:44</p>
<h2>Innehållsförteckning</h2>
<p>Prop 1997/98:44</p>
<p>1 Förslag till riksdagsbeslut..................................................................5</p>
<p>2 Lagtext...............................................................................................6</p>
<p>2.1 Förslag till personuppgiftslag..............................................6</p>
<p>2.2 Förslag till lag om ändring i sekretesslagen (1980:100)....21</p>
<p>2.3 Förslag till lag om ändring i brottsbalken..........................24</p>
<p>2.4 Förslag till lag om ändring i regeringsformen...................25</p>
<p>2.5 Förslag till lag om ändring i personuppgiftslagen</p>
<p>(0000:000).........................................................................26</p>
<p>3 Ärendet och dess beredning.............................................................29</p>
<p>4 Bakgrund och utgångspunkter.........................................................30</p>
<p>4 1 Reformbehovet..................................................................30</p>
<p>4.2 Den nuvarande datalagen..................................................31</p>
<p>4.3 EG-direktivet.....................................................................34</p>
<p>5 Genomförandet av EG-direktivet.....................................................36</p>
<p>5.1 Lagens uppbyggnad - hantermgsmodell eller</p>
<p>missbruksmodell................................................................36</p>
<p>5.2 Den nya lagen skall följa direktivets text och struktur.......37</p>
<p>6 En teknikoberoende och generell lag...............................................38</p>
<p>6.1 En teknikoberoende lag som omfattar automatiserad</p>
<p>behandling och manuell behandling av personuppgifter...38</p>
<p>6.2 En generellt tillämplig lag men särregler i andra</p>
<p>författningar gäller framför den nya lagen.........................40</p>
<p>7 Lagens namn m.m............................................................................42</p>
<p>8 Undantag från den nya lagen...........................................................43</p>
<p>8.1 Förhållandet till offentlighetsprincipen.............................43</p>
<p>8.2 Förhållandet till tryck- och yttrandefriheten......................49</p>
<p>8.3 Undantag för rent privat användning av personuppgifter . 53</p>
<p>8.4 Ord- och textbehandling kan inte generellt undantas........54</p>
<p>9 Det territoriella tillämpningsområdet för den nya lagen..................55</p>
<p>10 Normgivningsdelegation..................................................................56</p>
<p>11 Den materiella regleringen...............................................................62</p>
<p>11.1 Huvudprinciper..................................................................62</p>
<p>11.2 Grundläggande krav på behandlingen av personuppgifter 63</p>
<p>11.3 När behandling av personuppgifter är tillåten...................65</p>
<p>11.4 Behandling av särskilda kategorier av uppgifter...............67</p>
<p>11.4.1 Behandling av känsliga personuppgifter.........67</p>
<p>11.4.2 Behandling utan samtycke av känsliga</p>
<p>personuppgifter för forskning och statistik.....70</p>
<p>11.4.3 Behandling av uppgifter om lagöverträdelser .75</p>
<p>11 4.4 Behandling av personnummer.........................76</p>
<p>11.5 Information till den registrerade........................................78</p>
<p>11.5.1 Information som skall lämnas när uppgifterna Prop. 1997/98:44</p>
<p>samlas in..........................................................78</p>
<p>11.5.2 Information som skall lämnas efter ansökan . . . 81</p>
<p>11.6 Korrigering av personuppgifter.........................................86</p>
<p>11.7 Automatiserade beslut.......................................................88</p>
<p>11.8 Säkerheten vid behandlingen.............................................90</p>
<p>11.9 Överföring av personuppgifter utanför EES......................93</p>
<p>12 Anmälningsskyldighet och upplysningar till allmänheten om</p>
<p>behandlingar....................................................................................97</p>
<p>13 Tillsynsmyndighetens befogenheter...............................................100</p>
<p>14 Skadestånd och straff.....................................................................105</p>
<p>15 Ikraftträdande- och övergångsbestämmelser..................................109</p>
<p>16 Övriga frågor..................................................................................112</p>
<p>16.1 Regler i den nuvarande datalagen som flyttas till andra</p>
<p>lagar.................................................................................112</p>
<p>16.2 Följdändringar.................................................................113</p>
<p>17 Ekonomiska konsekvenser av förslaget.........................................114</p>
<p>18 Författningskommentar..................................................................115</p>
<p>18.1 Förslaget till personuppgiftslag.......................................115</p>
<p>18.2 Förslaget till lag om ändring i sekretesslagen (1980:100)147</p>
<p>18.3 Förslaget till lag om ändring i brottsbalken.....................149</p>
<p>18.4 Förslaget till lag om ändring i regeringsformen..............149</p>
<p>18.5 Förslaget till lag om ändring i personuppgiftslagen</p>
<p>(0000:000).......................................................................149</p>
<p>Bilaga 1 EG-direktivet om personuppgifter...................................151</p>
<p>Bilaga 2 Datalagskommitténs sammanfattning av sitt betänkande</p>
<p>Integritet - Offentlighet - Informationsteknik</p>
<p>(SOU 1997:39) såvitt avser frågan om en ny datalag......183</p>
<p>Bilaga 3 Datalagskommitténs förslag till lagtext...........................187</p>
<p>Bilaga 4 Sammanfattning av Statskontorets rapport Konsekvens-</p>
<p>analys av Datalagskommitténs betänkande SOU 1997:39</p>
<p>(Rapport 1997:11)...........................................................204</p>
<p>Bilaga 5 Förteckning över remissinstanser....................................206</p>
<p>Bilaga 6 Lagrådsremissens lagförslag...........................................208</p>
<p>Bilaga 7 Lagrådets yttrande...........................................................231</p>
<p>Utdrag ur protokoll vid regeringssammanträde den 8 december 1997 .246</p>
<p>Rättsdatablad.........................................................................................247</p>
<h2>1 Förslag till riksdagsbeslut</h2>
<p>Regeringen föreslår att riksdagen antar regeringens förslag till</p>
<p>Prop. 1997/98:44</p>
<p>1. personuppgiftslag,</p>
<p>2. lag om ändring i sekretesslagen (1980:100),</p>
<p>3. lag om ändring i brottsbalken,</p>
<p>4. lag om ändring i regeringsformen,</p>
<p>5. lag om ändring i personuppgiftslagen (0000:0000)</p>
<p>Prop. 1997/98:44</p>
<h2>2 Lagtext</h2>
<p>Regeringen har följande förslag till lagtext</p>
<h3>2.1 Förslag till personuppgiftslag</h3>
<p>Härigenom föreskrivs<sup>1</sup> följande.</p>
<p>Allmänna bestämmelser</p>
<p>Syftet med lagen</p>
<p>1 § Syftet med denna lag är att skydda människor mot att deras personliga<br>integritet kränks genom behandling av personuppgifter</p>
<p>Avvikande bestämmelser i annan författning</p>
<p>2 § Om det i en annan lag eller i en förordning finns bestämmelser som<br>avviker från denna lag, skall de bestämmelserna gälla</p>
<p>Definitioner</p>
<p>3 § I denna lag används följande beteckningar med nedan angiven bety-<br>delse.</p>
<p>Beteckning______________Betydelse___________________________________</p>
<p>Behandling (av person- Varje åtgärd eller serie av åtgärder som vidtas i<br>uppgifter) fråga om personuppgifter, vare sig det sker på</p>
<p>automatisk väg eller inte, t.ex. insamling,<br>registrering, organisering, lagring, bearbetning<br>eller ändring, återvinning, inhämtande, an-<br>vändning, utlämnande genom översändande,<br>spridning eller annat tillhandahållande av<br>uppgifter, sammanställning eller samköming,<br>blockering, utplåning eller förstöring.</p>
<p>Blockering (av person- En åtgärd som vidtas för att personuppgifterna<br>uppgifter) skall vara förknippade med information om att</p>
<p>de är spärrade och om anledningen till spärren<br>och för att personuppgifterna inte skall lämnas<br>ut till tredje man annat än med stöd av 2 kap.<br>tryckfrihetsförordningen</p>
<p>Jfr Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd<br>för enskilda personer med avseende på behandling av personuppgifter och om det fria<br>flödet av sådana uppgifter (EGT nr L 281, 23.11.1995, s. 31, Celex 395L0046).</p>
<p>Beteckning____________</p>
<p>Mottagare</p>
<p>Personuppgifter</p>
<p>Personuppgiftsansvarig</p>
<p>Personuppgiftsbiträde</p>
<p>Personuppgiftsombud</p>
<p>Den registrerade<br>Samtycke</p>
<p>Tillsynsmyndigheten</p>
<p>Tredje land</p>
<p>Tredje man</p>
<p>Betydelse___________________________________</p>
<p>Den till vilken personuppgifter lämnas ut. När<br>personuppgifter lämnas ut för att en myndighet<br>skall kunna utföra sådan tillsyn, kontroll eller<br>revision som den är skyldig att sköta, anses<br>dock inte myndigheten som mottagare.</p>
<p>All slags information som direkt eller indirekt<br>kan hänföras till en fysisk person som är i livet.</p>
<p>Den som ensam eller tillsammans med andra<br>bestämmer ändamålen med och medlen för<br>behandlingen av personuppgifter.</p>
<p>Den som behandlar personuppgifter för den<br>personuppgiftsansvariges räkning.</p>
<p>Den fysiska person som, efter förordnande av<br>den personuppgiftsansvarige, självständigt<br>skall se till att personuppgifter behandlas på ett<br>korrekt och lagligt sätt.</p>
<p>Den som en personuppgift avser.</p>
<p>Varje slag av frivillig, särskild och otvetydig<br>viljeyttring genom vilken den registrerade, efter<br>att ha fått information, godtar behandling av<br>personuppgifter som rör honom eller henne.</p>
<p>Den myndighet som regeringen utser för att<br>utöva tillsyn.</p>
<p>En stat som inte ingår i Europeiska unionen<br>eller är ansluten till Europeiska ekonomiska<br>sam arbetsområdet.</p>
<p>Någon annan än den registrerade, den person-<br>uppgiftsansvarige, personuppgiftsombudet,<br>personuppgiftsbiträdet och sådana personer<br>som under den personuppgiftsansvariges eller<br>personuppgiftsbiträdets direkta ansvar har<br>befogenhet att behandla personuppgifter</p>
<p>Prop. 1997/98:44</p>
<p>Tillämpningsområde</p>
<p>Det territoriella tillämpningsområdet</p>
<p>4 § Denna lag gäller för sådana personuppgiftsansvariga som är etable-<br>rade i Sverige.</p>
<p>Lagen tillämpas också när den personuppgiftsansvarige är etablerad i<br>tredje land men för behandlingen av personuppgifter använder sig av<br>utrustning som finns i Sverige. Vad som nu sagts gäller dock inte om<br>utrustningen bara används för att överföra uppgifter mellan ett tredje land<br>och ett annat sådant land.</p>
<p>I det fall som avses i andra stycket första meningen skall den person-<br>uppgiftsansvarige utse en företrädare för sig som är etablerad i Sverige.</p>
<p>Vad som anges i denna lag om den personuppgiftsansvarige skall också Prop 1997/98:44<br>gälla för företrädaren.</p>
<p>Behandling av personuppgifter som omfattas av lagen</p>
<p>5 § Denna lag gäller för sådan behandling av personuppgifter som helt<br>eller delvis är automatiserad.</p>
<p>Lagen gäller även för annan behandling av personuppgifter, om upp-<br>gifterna ingår i eller är avsedda att ingå i en strukturerad samling av<br>personuppgifter som är tillgängliga för sökning eller sammanställning<br>enligt särskilda kriterier</p>
<p>Undantag för privat behandling av personuppgifter</p>
<p>6 § Denna lag gäller inte för sådan behandling av personuppgifter som en<br>fysisk person utför som ett led i en verksamhet av rent privat natur</p>
<p>Förhållandet till tryck- och yttrandefriheten</p>
<p>7 § Bestämmelserna i denna lag tillämpas inte i den utsträckning det<br>skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryck-<br>frihetsförordningen eller yttrandefrihetsgrundlagen</p>
<p>Bestämmelserna i 9-29 och 33-44 §§ samt 45 § första stycket och 47 -</p>
<p>49 §§ skall inte tillämpas på sådan behandling av personuppgifter som<br>sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt<br>skapande.</p>
<p>Förhållandet till offentlighetsprincipen</p>
<p>8 § Bestämmelserna i denna lag tillämpas inte i den utsträckning det<br>skulle inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsför-<br>ordningen att lämna ut personuppgifter.</p>
<p>Bestämmelserna hindrar inte heller att en myndighet arkiverar och be-<br>varar allmänna handlingar eller att arkivmaterial tas om hand av en arkiv-<br>myndighet. Bestämmelsen i 9 § fjärde stycket gäller inte för en myn-<br>dighets användning av personuppgifter i allmänna handlingar.</p>
<p>Grundläggande krav på behandlingen av personuppgifter</p>
<p>9 § Den personuppgiftsansvarige skall se till att</p>
<p>a) personuppgifter behandlas bara om det är lagligt,</p>
<p>b) personuppgifter alltid behandlas på ett korrekt sätt och i enlighet med<br>god sed,</p>
<p>c) personuppgifter samlas in bara för särskilda, uttryckligt angivna och<br>berättigade ändamål,</p>
<p>d) personuppgifter inte behandlas för något ändamål som är oförenligt<br>med det för vilket uppgifterna samlades in,</p>
<p>e) de personuppgifter som behandlas är adekvata och relevanta i för- Prop. 1997/98:44<br>hållande till ändamålen med behandlingen,</p>
<p>f) inte fler personuppgifter behandlas än som är nödvändigt med hänsyn</p>
<p>till ändamålen med behandlingen,</p>
<p>g) de personuppgifter som behandlas är riktiga och, om det är nödvändigt,</p>
<p>aktuella,</p>
<p>h) alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana<br>personuppgifter som är felaktiga eller ofullständiga med hänsyn till<br>ändamålen med behandlingen, och</p>
<p>i) personuppgifter inte bevaras under en längre tid än vad som är nöd-<br>vändigt med hänsyn till ändamålen med behandlingen.</p>
<p>I fråga om första stycket d gäller dock att en behandling av person-<br>uppgifter för historiska, statistiska eller vetenskapliga ändamål inte skall<br>anses som oförenlig med de ändamål för vilka uppgifterna samlades in.</p>
<p>Personuppgifter far bevaras för historiska, statistiska eller veten-<br>skapliga ändamål under längre tid än som sagts i första stycket i<br>Personuppgifterna får dock i sådana fall inte bevaras under en längre tid<br>än vad som behövs för dessa ändamål</p>
<p>Personuppgifter som behandlas för historiska, statistiska eller veten-<br>skapliga ändamål får användas för att vidta åtgärder i fråga om den regist-<br>rerade bara om den registrerade har lämnat sitt samtycke eller det finns<br>synnerliga skäl med hänsyn till den registrerades vitala intressen.</p>
<p>När behandling av personuppgifter är tillåten</p>
<p>10 § Personuppgifter far behandlas bara om den registrerade har lämnat<br>sitt samtycke till behandlingen eller om behandlingen är nödvändig för att</p>
<p>a) ett avtal med den registrerade skall kunna fullgöras eller åtgärder som<br>den registrerade begärt skall kunna vidtas innan ett avtal träffas,</p>
<p>b) den personuppgiftsansvarige skall kunna fullgöra en rättslig skyldighet,</p>
<p>c) vitala intressen för den registrerade skall kunna skyddas,</p>
<p>d) en arbetsuppgift av allmänt intresse skall kunna utföras,</p>
<p>e) den personuppgiftsansvarige eller en tredje man till vilken person-<br>uppgifter lämnas ut skall kunna utföra en arbetsuppgift i samband med<br>myndighetsutövning, eller</p>
<p>f) ett ändamål som rör ett berättigat intresse hos den personuppgiftsansva-<br>rige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut<br>skall kunna tillgodoses, om detta intresse väger tyngre än den<br>registrerades intresse av skydd mot kränkning av den personliga<br>integriteten</p>
<p>Direkt marknadsföring</p>
<p>11 § Personuppgifter får inte behandlas för ändamål som rör direkt mark-<br>nadsföring, om den registrerade hos den personuppgiftsansvarige skriftli-<br>gen har anmält att han eller hon motsätter sig sådan behandling.</p>
<p>Samtycke återkallas Prop. 1997/98 :44</p>
<p>12 § I de fall då behandling av personuppgifter bara är tillåten när den<br>registrerade har lämnat sitt samtycke enligt 10, 15 eller 34 § har den re-<br>gistrerade rätt att när som helst återkalla ett lämnat samtycke. Ytterligare<br>personuppgifter om den registrerade får därefter inte behandlas.</p>
<p>En registrerad har utöver vad som följer av första stycket och 11 § inte<br>rätt att motsätta sig sådan behandling av personuppgifter som är tillåten<br>enligt denna lag.</p>
<p>Förbud mot behandling av känsliga personuppgifter</p>
<p>13 § Det är förbjudet att behandla personuppgifter som avslöjar</p>
<p>a) ras eller etniskt ursprung,</p>
<p>b) politiska åsikter,</p>
<p>c) religiös eller filosofisk övertygelse, eller</p>
<p>d) medlemskap i fackförening.</p>
<p>Det är också förbjudet att behandla sådana personuppgifter som rör<br>hälsa eller sexualliv.</p>
<p>Uppgifter av den art som anges i första och andra styckena betecknas i<br>denna lag som känsliga personuppgifter.</p>
<p>Undantag från förbudet mot behandling av känsliga personuppgifter</p>
<p>14 § Det är trots förbudet i 13 § tillåtet att behandla känsliga person-<br>uppgifter i de fall som anges i 15-19 §§.</p>
<p>I 10 § finns det bestämmelser om i vilka fall behandling av personupp-<br>gifter över huvud taget är tillåten.</p>
<p>Samtycke eller offentliggörande</p>
<p>15 § Känsliga personuppgifter får behandlas, om den registrerade har<br>lämnat sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt<br>offentliggjort uppgifterna.</p>
<p>Nödvändig behandling</p>
<p>16 § Känsliga personuppgifter får behandlas om behandlingen är nödvän-<br>dig för att</p>
<p>a) den personuppgiftsansvarige skall kunna fullgöra sina skyldigheter</p>
<p>eller utöva sina rättigheter inom arbetsrätten,</p>
<p>b) den registrerades eller någon annans vitala intressen skall kunna<br>skyddas och den registrerade inte kan lämna sitt samtycke, eller</p>
<p>c) rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras</p>
<p>Uppgifter som behandlas med stöd av första stycket a får lämnas ut till<br>tredje man bara om det inom arbetsrätten finns en skyldighet för den<br>personuppgiftsansvarige att göra det eller den registrerade uttryckligen har<br>samtyckt till utlämnandet.</p>
<p>10</p>
<p>Ideella organisationer</p>
<p>Prop. 1997/98:44</p>
<p>17 § Ideella organisationer med politiskt, filosofiskt, religiöst eller<br>fackligt syfte får inom ramen för sin verksamhet behandla känsliga<br>personuppgifter om organisationens medlemmar och sådana andra<br>personer som på grund av organisationens syfte har regelbunden kontakt<br>med den. Känsliga personuppgifter får dock lämnas ut till tredje man bara<br>om den registrerade uttryckligen har samtyckt till det</p>
<p>Hälso- och sjukvård</p>
<p>18 § Känsliga personuppgifter får behandlas för hälso- och sjuk-<br>vårdsändamål, om behandlingen är nödvändig för</p>
<p>a) förebyggande hälso- och sjukvård,</p>
<p>b) medicinska diagnoser,</p>
<p>c) vård eller behandling, eller</p>
<p>d) administration av hälso- och sjukvård</p>
<p>Den som är yrkesmässigt verksam inom hälso- och sjukvårdsområdet<br>och har tystnadsplikt får även behandla känsliga personuppgifter som<br>omfattas av tystnadsplikten. Detsamma gäller den som är underkastad en<br>liknande tystnadsplikt och som har fått känsliga personuppgifter från<br>verksamhet inom hälso- och sjukvårdsområdet.</p>
<p>Forskning och statistik</p>
<p>19 § Känsliga personuppgifter får behandlas för forsknings- och statistik-<br>ändamål, om behandlingen är nödvändig på sätt som sägs i 10 § och om<br>samhällsintresset av det forsknings- eller statistikprojekt där behandlingen<br>ingår klart väger över den risk för otillbörligt intrång i enskildas<br>personliga integritet som behandlingen kan innebära.</p>
<p>Har behandlingen godkänts av en forskningsetisk kommitté, skall<br>förutsättningarna enligt första stycket anses uppfyllda. Med<br>forskningsetisk kommitté avses ett sådant särskilt organ för prövning av<br>forskningsetiska frågor som har företrädare för såväl det allmänna som<br>forskningen och som är knutet till ett universitet eller en högskola eller till<br>någon annan instans som i mera betydande omfattning finansierar<br>forskning</p>
<p>Personuppgifter får lämnas ut för att användas i sådana projekt som av-<br>ses i första stycket, om inte något annat följer av regler om sekretess och<br>tystnadsplikt</p>
<p>Bemyndigande att föreskriva ytterligare undantag</p>
<p>20 § Regeringen eller den myndighet som regeringen bestämmer får i<br>fråga om automatiserad behandling av personuppgifter meddela före-<br>skrifter om ytterligare undantag från förbudet i 13 §, om det behövs med<br>hänsyn till ett viktigt allmänt intresse</p>
<p>11</p>
<p>Uppgifter om lagöverträdelser m.m. Prop 1997/98:44</p>
<p>21 § Det är förbjudet för andra än myndigheter att behandla personuppgif-<br>ter om lagöverträdelser som innefattar brott, domar i brottmål, straff-<br>processuella tvångsmedel eller administrativa frihetsberövanden</p>
<p>Regeringen eller den myndighet som regeringen bestämmer får i fråga<br>om automatiserad behandling av personuppgifter meddela föreskrifter om<br>undantag från förbudet i första stycket</p>
<p>Regeringen får i enskilda fall besluta om undantag från förbudet i<br>första stycket. Regeringen får överlåta åt tillsynsmyndigheten att fatta<br>sådana beslut.</p>
<p>Behandling av personnummer</p>
<p>22 § Uppgifter om personnummer får utan samtycke behandlas bara när<br>det är klart motiverat med hänsyn till</p>
<p>a) ändamålet med behandlingen,</p>
<p>b) vikten av en säker identifiering, eller</p>
<p>c) något annat beaktansvärt skäl.</p>
<p>Information till den registrerade</p>
<p>Information skall lämnas självmant</p>
<p>23 § Om uppgifter om en person samlas in från personen själv, skall den<br>personuppgiftsansvarige i samband därmed självmant lämna den re-<br>gistrerade information om behandlingen av uppgifterna</p>
<p>24 § Om personuppgifterna har samlats in från någon annan källa än den<br>registrerade, skall den personuppgiftsansvarige självmant lämna den<br>registrerade information om behandlingen av uppgifterna när de<br>registreras. Är uppgifterna avsedda att lämnas ut till tredje man, behöver<br>informationen dock inte ges förrän uppgifterna lämnas ut för första<br>gången.</p>
<p>Information enligt första stycket behöver inte lämnas, om det finns be-<br>stämmelser om registrerandet eller utlämnandet av personuppgifterna i en<br>lag eller någon annan författning</p>
<p>Information behöver inte heller lämnas enligt första stycket, om detta<br>visar sig vara omöjligt eller skulle innebära en oproportionerligt stor ar-<br>betsinsats. Om uppgifterna används för att vidta åtgärder som rör den<br>registrerade, skall dock information lämnas senast i samband med att så<br>sker.</p>
<p>Den information som skall lämnas självmant</p>
<p>25 § Information enligt 23 eller 24 § skall omfatta</p>
<p>a) uppgift om den personuppgiftsansvariges identitet,</p>
<p>b) uppgift om ändamålen med behandlingen, och</p>
<p>12</p>
<p>c) all övrig information som behövs för att den registrerade skall kunna ta Prop 1997/98:44<br>till vara sina rättigheter i samband med behandlingen, såsom informa-<br>tion om mottagarna av uppgifterna, skyldighet att lämna uppgifter och<br>rätten att ansöka om information och få rättelse.</p>
<p>Information behöver dock inte lämnas om sådant som den registrerade<br>redan känner till.</p>
<p>Information skall lämnas efter ansökan</p>
<p>26 § Den personuppgiftsansvarige är skyldig att till var och en som<br>ansöker om det en gång per kalenderår gratis lämna besked om person-<br>uppgifter som rör den sökande behandlas eller ej. Behandlas sådana upp-<br>gifter skall skriftlig information lämnas också om</p>
<p>a) vilka uppgifter om den sökande som behandlas,</p>
<p>b) varifrån dessa uppgifter har hämtats,</p>
<p>c) ändamålen med behandlingen, och</p>
<p>d) till vilka mottagare eller kategorier av mottagare som uppgifterna läm-<br>nas ut.</p>
<p>En ansökan enligt första stycket skall göras skriftligen hos den person-<br>uppgiftsansvarige och vara undertecknad av den sökande själv Infor-<br>mation enligt första stycket skall lämnas inom en månad från det att<br>ansökan gjordes Om det finns särskilda skäl för det, får information dock<br>lämnas senast fyra månader efter det att ansökan gjordes.</p>
<p>Information enligt första stycket behöver inte lämnas om person-<br>uppgifter i löpande text som inte fått sin slutliga utformning när ansökan<br>gjordes eller som utgör minnesanteckning eller liknande. Vad som nu<br>sagts gäller dock inte om uppgifterna har lämnats ut till tredje man eller<br>om uppgifterna behandlas enbart för historiska, statistiska eller veten-<br>skapliga ändamål eller, när det gäller löpande text som inte fått sin slutliga<br>utformning, om uppgifterna har behandlats under längre tid än ett år</p>
<p>Undantag från informationsskyldigheten vid sekretess och tystnadsplikt</p>
<p>27 § I den utsträckning det är särskilt föreskrivet i lag eller annan författ-<br>ning eller i beslut som har meddelats med stöd av författning att uppgifter<br>inte får lämnas ut till den registrerade gäller inte bestämmelserna i 23-<br>26 §§. En personuppgiftsansvarig som inte är en myndighet får därvid i<br>motsvarande fall som avses i sekretesslagen (1980:100) vägra att lämna ut<br>uppgifter till den registrerade.</p>
<p>Rättelse</p>
<p>28 § Den personuppgiftsansvarige är skyldig att på begäran av den<br>registrerade snarast rätta, blockera eller utplåna sådana personuppgifter<br>som inte har behandlats i enlighet med denna lag eller föreskrifter som har<br>utfärdats med stöd av lagen. Den personuppgiftsansvarige skali också<br>underrätta tredje man till vilken uppgifterna har lämnats ut om åtgärden,<br>om den registrerade begär det eller om mera betydande skada eller</p>
<p>13<br></p>
<p>olägenhet för den registrerade skulle kunna undvikas genom en under- Prop. 1997/98:44<br>rättelse. Någon sådan underrättelse behöver dock inte lämnas, om detta<br>visar sig vara omöjligt eller skulle innebära en oproportionerligt stor<br>arbetsinsats.</p>
<p>Automatiserade beslut</p>
<p>29 § Om ett beslut som har rättsliga följder för en fysisk person eller<br>annars har märkbara verkningar för den fysiska personen, grundas enbart<br>på automatiserad behandling av sådana personuppgifter som är avsedda<br>att bedöma egenskaper hos personen, skall den som berörs av beslutet ha<br>möjlighet att på begäran få beslutet omprövat av någon person.</p>
<p>Var och en som varit föremål för ett sådant beslut som avses i första<br>stycket har rätt att på ansökan få information från den personupp-<br>giftsansvarige om vad som har styrt den automatiserade behandling som<br>lett fram till beslutet. I fråga om ansökan och lämnandet av information<br>gäller i tillämpliga delar bestämmelserna i 26 §</p>
<p>Säkerheten vid behandling</p>
<p>Personer som behandlar personuppgifter</p>
<p>30 § Ett personuppgiftsbiträde och den eller de personer som arbetar<br>under biträdets eller den personuppgiftsansvariges ledning får behandla<br>personuppgifter bara i enlighet med instruktioner från den personuppgifts-<br>ansvarige.</p>
<p>Det skall finnas ett skriftligt avtal om personuppgiftsbiträdets behand-<br>ling av personuppgifter för den personuppgiftsansvariges räkning. I det<br>avtalet skall det särskilt föreskrivas att personuppgiftsbiträdet får behandla<br>personuppgifterna bara i enlighet med instruktioner från den person-<br>uppgiftsansvarige och att personuppgiftsbiträdet är skyldigt att vidta de åt-<br>gärder som avses i 31 § första stycket</p>
<p>Om det i lag eller annan författning finns särskilda bestämmelser om<br>behandlingen av personuppgifter i det allmännas verksamhet i frågor som<br>avses i första stycket, skall dessa gälla i stället för vad som sägs i första<br>stycket.</p>
<p>Säkerhetsåtgärder</p>
<p>31 § Den personuppgiftsansvarige skall vidta lämpliga tekniska och<br>organisatoriska åtgärder för att skydda de personuppgifter som behandlas.<br>Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig med<br>beaktande av</p>
<p>a) de tekniska möjligheter som finns,</p>
<p>b) vad det skulle kosta att genomföra åtgärderna,</p>
<p>c) de särskilda risker som finns med behandlingen av personuppgifterna,<br>och</p>
<p>14</p>
<p>d) hur pass känsliga de behandlade personuppgifterna är. Prop. 1997/98:44</p>
<p>När den personuppgiftsansvarige anlitar ett personuppgiftsbiträde, skall</p>
<p>den personuppgiftsansvarige förvissa sig om att personuppgiftsbiträdet<br>kan genomföra de säkerhetsåtgärder som måste vidtas och se till att<br>personuppgiftsbiträdet verkligen vidtar åtgärderna.</p>
<p>Tillsynsmyndigheten får besluta om säkerhetsåtgärder</p>
<p>32 § Tillsynsmyndigheten får i enskilda fall besluta om vilka säker-<br>hetsåtgärder som den personuppgiftsansvarige skall vidta enligt 31 §</p>
<p>I 45 § finns det bestämmelser om tillsynsmyndighetens möjligheter att<br>förena beslutet med vite.</p>
<p>Överföring av personuppgifter till tredje land</p>
<p>Förbud mot överföring av personuppgifter till tredje land</p>
<p>33 § Det är förbjudet att till tredje land föra över personuppgifter som är<br>under behandling. Förbudet gäller också överföring av personuppgifter<br>för behandling i tredje land</p>
<p>Undantag från förbudet mot överföring av personuppgifter till tredje land</p>
<p>34 § Det är trots förbudet i 33 § tillåtet att föra över personuppgifter till<br>tredje land, om den registrerade otvetydigt har samtyckt till överföringen<br>eller när överföringen är nödvändig för att</p>
<p>a) ett avtal mellan den registrerade och den personuppgiftsansvarige skall<br>kunna fullgöras eller åtgärder som den registrerade begärt skall kunna<br>vidtas innan ett avtal träffas,</p>
<p>b) ett sådant avtal mellan den personuppgiftsansvarige och tredje man<br>som är i den registrerades intresse skall kunna ingås eller fullgöras,</p>
<p>c) rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras,<br>eller</p>
<p>d) vitala intressen för den registrerade skall kunna skyddas</p>
<p>Det är också tillåtet att föra över personuppgifter för användning enbart<br>i en stat som har anslutit sig till Europarådets konvention om skydd för<br>enskilda vid automatisk databehandling av personuppgifter.</p>
<p>35 § Regeringen får i fråga om automatiserad behandling av person-<br>uppgifter meddela föreskrifter om undantag från förbudet i 33 § för<br>överföring av personuppgifter till vissa stater. Regeringen får också i<br>fråga om automatiserad behandling av personuppgifter meddela före-<br>skrifter om att överföring av personuppgifter till tredje land är tillåten, om<br>överföringen regleras av ett avtal som ger tillräckliga garantier till skydd<br>för de registrerades rättigheter.</p>
<p>Regeringen eller den myndighet som regeringen bestämmer får vidare i<br>fråga om automatiserad behandling av personuppgifter meddela före-<br></p>
<p>15</p>
<p>skrifter om undantag från förbudet i 33 §, om det behövs med hänsyn till Prop 1997/98:44<br>ett viktigt allmänt intresse eller om det finns tillräckliga garantier till<br>skydd för de registrerades rättigheter</p>
<p>Regeringen får under de förutsättningar som nämns i andra stycket i<br>enskilda fall besluta om undantag från förbudet i 33 § Regeringen får<br>överlåta åt tillsynsmyndigheten att fatta sådana beslut</p>
<p>Anmälan till tillsynsmyndigheten</p>
<p>Anmälningsskyldighet</p>
<p>36 § Behandling av personuppgifter som är helt eller delvis automatiserad<br>omfattas av anmälningsskyldighet. Den personuppgiftsansvarige skall<br>göra en skriftlig anmälan till tillsynsmyndigheten innan en sådan<br>behandling eller en serie av sådana behandlingar med samma eller<br>liknande ändamål genomförs</p>
<p>Om den personuppgiftsansvarige utser ett personuppgiftsombud skall<br>detta anmälas till tillsynsmyndigheten Även ett entledigande av ett<br>personuppgiftsombud skall anmälas till tillsynsmyndigheten</p>
<p>Regeringen eller den myndighet som regeringen bestämmer får med-<br>dela föreskrifter om undantag från anmälningsskyldigheten enligt första<br>stycket för sådana typer av behandlingar som sannolikt inte kommer att<br>leda till otillbörligt intrång i den personliga integriteten.</p>
<p>Anmälan behöver inte göras om det finns ett personuppgiftsombud</p>
<p>37 § Om den personuppgiftsansvarige har anmält till tillsynsmyndigheten<br>att ett personuppgiftsombud utsetts och vem det är, behöver anmälan<br>enligt 36 § första stycket inte göras.</p>
<p>Personuppgifisombudets uppgifter</p>
<p>38 § Personuppgiftsombudet skall ha till uppgift att självständigt se till att<br>den personuppgiftsansvarige behandlar personuppgifter på ett lagligt och<br>korrekt sätt och i enlighet med god sed samt påpeka eventuella brister för<br>honom eller henne.</p>
<p>Har personuppgiftsombudet anledning att misstänka att den person-<br>uppgiftsansvarige bryter mot de bestämmelser som gäller för behand-<br>lingen av personuppgifter och vidtas inte rättelse så snart det kan ske efter<br>påpekande, skall personuppgiftsombudet anmäla förhållandet till<br>tillsynsmyndigheten.</p>
<p>Personuppgiftsombudet skall även i övrigt samråda med tillsynsmyn-<br>digheten vid tveksamhet om hur de bestämmelser som gäller för behand-<br>lingen av personuppgifter skall tillämpas.</p>
<p>39 § Personuppgiftsombudet skall föra en förteckning över de be-<br>handlingar som den personuppgiftsansvarige genomför och som skulle ha<br></p>
<p>16</p>
<p>omfattats av anmälningsskyldighet om ombudet inte hade funnits. Prop. 1997/98:44<br>Förteckningen skall omfatta åtminstone de uppgifter som en anmälan<br>enligt 36 § skulle ha innehållit.</p>
<p>40 § Personuppgiftsombudet skall hjälpa registrerade att få rättelse när det<br>finns anledning att misstänka att behandlade personuppgifter är felaktiga<br>eller ofullständiga.</p>
<p>Obligatorisk anmälan av särskilt integritetskänsliga behandlingar</p>
<p>41 § Regeringen får meddela föreskrifter om att sådana automatiserade<br>behandlingar av personuppgifter som innebär särskilda risker för<br>otillbörligt intrång i den personliga integriteten skall för förhandskontroll<br>anmälas till tillsynsmyndigheten enligt 36 § tre veckor i förväg. Om<br>regeringen har meddelat sådana föreskrifter, gäller inte undantaget från<br>anmälningsskyldigheten enligt 37 §.</p>
<p>Upplysningar till allmänheten om behandlingar som inte anmälts</p>
<p>42 § Den personuppgiftsansvarige skall till var och en som begär det<br>skyndsamt och på lämpligt sätt lämna upplysningar om sådana<br>automatiserade eller andra behandlingar av personuppgifter som inte har<br>anmälts till tillsynsmyndigheten. Upplysningarna skall omfatta det som en<br>anmälan enligt 36 § första stycket skulle ha omfattat. Den person-<br>uppgiftsansvarige är dock inte skyldig att lämna ut sekretessbelagda<br>uppgifter eller uppgifter om vilka säkerhetsåtgärder som har vidtagits. En<br>personuppgiftsansvarig som inte är myndighet får därvid i motsvarande<br>fall som avses i sekretesslagen (1980:100) vägra att lämna ut uppgifter.</p>
<p>Tillsynsmyndighetens befogenheter</p>
<p>43 § Tillsynsmyndigheten har rätt att för sin tillsyn på begäran få</p>
<p>a) tillgång till de personuppgifter som behandlas,</p>
<p>b) upplysningar om och dokumentation av behandlingen av personupp-</p>
<p>gifter och säkerheten vid denna, och</p>
<p>c) tillträde till sådana lokaler som har anknytning till behandlingen av<br>personuppgifter.</p>
<p>44 § Om tillsynsmyndigheten inte efter begäran enligt 43 § kan få tillräck-<br>ligt underlag för att konstatera att behandlingen av personuppgifter är lag-<br>lig, får myndigheten vid vite förbjuda den personuppgiftsansvarige att be-<br>handla personuppgifter på något annat sätt än genom att lagra dem</p>
<p>45 § Om tillsynsmyndigheten konstaterar att personuppgifter behandlas<br>eller kan komma att behandlas på ett olagligt sätt, skall myndigheten ge-<br>nom påpekanden eller liknande förfaranden försöka åstadkomma rättelse.<br>Går det inte att få rättelse på något annat sätt eller är saken brådskande,<br>får myndigheten vid vite förbjuda den personuppgiftsansvarige att fort-</p>
<p>2 Riksdagen 1997/98. 1 saml. Nr 44</p>
<p>sätta att behandla personuppgifterna på något annat sätt än genom att<br>lagra dem.</p>
<p>Om den personuppgiftsansvarige inte frivilligt följer ett beslut om<br>säkerhetsåtgärder enligt 32 § som vunnit laga kraft, får tillsynsmyn-<br>digheten föreskriva vite.</p>
<p>46 § Innan tillsynsmyndigheten beslutar om vite enligt 44 eller 45 §, skall<br>den personuppgiftsansvarige ha fått tillfälle att yttra sig. Om saken är<br>brådskande, får myndigheten dock i avvaktan på yttrandet meddela ett<br>tillfälligt beslut om vite. Det tillfälliga beslutet skall omprövas, när yttran-<br>detiden har gått ut.</p>
<p>Ett vitesföreläggande skall delges den personuppgiftsansvarige. Del-<br>givning enligt 12 § delgivningslagen (1970:428) får användas bara om det<br>finns skäl att anta att den personuppgiftsansvarige har avvikit eller på<br>annat sätt håller sig undan.</p>
<p>47 § Tillsynsmyndigheten får hos länsrätten i det län där myndigheten är<br>belägen ansöka om att sådana personuppgifter som har behandlats på ett<br>olagligt sätt skall utplånas</p>
<p>Beslut om utplånande får inte meddelas om det är oskäligt.</p>
<p>Skadestånd</p>
<p>48 § Den personuppgiftsansvarige skall ersätta den registrerade för skada<br>och kränkning av den personliga integriteten som en behandling av<br>personuppgifter i strid med denna lag har orsakat.</p>
<p>Ersättningsskyldigheten kan i den utsträckning det är skäligt jämkas,<br>om den personuppgiftsansvarige visar att felet inte berodde på honom<br>eller henne</p>
<p>Straff</p>
<p>49 § Till böter eller fängelse i högst sex månader eller, om brottet är<br>grovt, till fängelse i högst två år döms den som uppsåtligen eller av<br>oaktsamhet</p>
<p>a) lämnar osann uppgift i sådan information till registrerade som före-<br>skrivs i denna lag, i anmälan till tillsynsmyndigheten enligt 36 § eller<br>till tillsynsmyndigheten när myndigheten begär information enligt 43 §,</p>
<p>b) behandlar personuppgifter i strid med 13-21 § §,</p>
<p>c) för över personuppgifter till tredje land i strid med 33-35 §§, eller</p>
<p>d) låter bli att göra anmälan enligt 36 § första stycket eller enligt<br>föreskrifter meddelade med stöd av 41 §.</p>
<p>Den som överträtt ett vitesföreläggande enligt 44 § eller 45 § första<br>stycket döms inte till ansvar för en gärning som omfattas av vites-<br>foreläggandet.</p>
<p>Prop. 1997/98:44</p>
<p>18</p>
<p>Närmare föreskrifter</p>
<p>Prop 1997/98:44</p>
<p>50 § Regeringen eller den myndighet som regeringen bestämmer får i<br>fråga om automatiserad behandling av personuppgifter meddela närmare<br>föreskrifter om</p>
<p>a) i vilka fall behandling av personuppgifter är tillåten,</p>
<p>b) vilka krav som ställs på den personuppgiftsansvarige vid behandling av<br>personuppgifter,</p>
<p>c) i vilka fall användning av personnummer är tillåten,</p>
<p>d) vad en anmälan eller ansökan till en personuppgiftsansvarig skall<br>innehålla,</p>
<p>e) vilken information som skall lämnas till registrerade och hur<br>informationen skall lämnas, och</p>
<p>f) anmälan till tillsynsmyndigheten och förfarandet när anmälda uppgifter<br>har ändrats</p>
<p>Överklagande</p>
<p>51 § Tillsynsmyndighetens beslut enligt denna lag om annat än före-<br>skrifter får överklagas hos allmän förvaltningsdomstol.</p>
<p>Prövningstillstånd krävs vid överklagande till kammarrätten<br>Tillsynsmyndigheten får bestämma att dess beslut skall gälla även om<br>det överklagas</p>
<p>Ikraftträdande- och övergångsbestämmelser</p>
<p>1 Denna lag träder i kraft den 24 oktober 1998, då datalagen (1973:289)<br>skall upphöra att gälla. Den äldre lagen gäller dock fortfarande i fråga<br>om överklagande av beslut som har meddelats före den 24 oktober<br>1998</p>
<p>2. I fråga om behandling av personuppgifter som påbörjats före ikraft-<br>trädandet eller behandling som utförs för ett visst bestämt ändamål om<br>behandling för ändamålet påbörjats före ikraftträdandet skall till och<br>med den 30 september 2001 den äldre lagen tillämpas i stället för den<br>nya. Detta gäller även bestämmelserna i den äldre lagen om över-<br>klagande</p>
<p>3 Bestämmelserna i 9, 10, 13 och 21 §§ i den nya lagen skall inte börja<br>tillämpas förrän den 1 oktober 2007 i fråga om sådan manuell behand-<br>ling av personuppgifter som påbörjats före ikraftträdandet eller manuell<br>behandling som utförs för ett visst bestämt ändamål om manuell<br>behandling för ändamålet påbörjats före ikraftträdandet.</p>
<p>4. I fråga om personuppgifter som vid ikraftträdandet lagras för historisk<br>forskning skall bestämmelserna i 9, 10, 13 och 21 §§ i den nya lagen<br>börja tillämpas först när uppgifterna behandlas på något annat sätt<br>Innan dess skall motsvarande bestämmelser i den äldre lagen tillämpas<br>De angivna bestämmelserna i den nya lagen skall dock inte till följd av<br>vad som nu sagts börja tillämpas tidigare än vad som följer av 2 eller 3.</p>
<p>5. Anmälan enligt 36 § i den nya lagen får göras innan den nya lagen har<br>trätt i kraft för den aktuella behandlingen</p>
<p>19</p>
<p>6. Ett samtycke som har lämnats innan den nya lagen har trätt i kraft för Prop. 1997/98:44<br>den aktuella behandlingen skall gälla även efter ikraftträdandet om</p>
<p>samtycket uppfyller kraven i den nya lagen</p>
<p>7. Har en begäran om registerutdrag enligt 10 § i den äldre lagen kommit<br>in innan den nya lagen trätt i kraft för den aktuella behandlingen men<br>har utdraget inte expedierats före ikraftträdandet skall framställningen<br>anses som en ansökan enligt 26 § i den nya lagen.</p>
<p>8. Den nya lagens bestämmelser om skadestånd skall bara tillämpas om<br>den omständighet som yrkandet hänför sig till har inträffat efter det att<br>den nya lagen har trätt i kraft för den aktuella behandlingen. I annat fall<br>tillämpas de äldre bestämmelserna</p>
<p>20</p>
<p>Prop. 1997/98:44</p>
<h3>2.2 Förslag till lag om ändring i sekretesslagen<br>(1980:100)</h3>
<p>Härigenom föreskrivs i fråga om sekretesslagen (1980:100)'</p>
<p>dels att 7 kap. 16 §, 9 kap. 6 och 7 §§, 14 kap. 3 § samt 15 kap. 11 §<br>skall ha följande lydelse,</p>
<p>dels att det i lagen skall införas en ny paragraf, 15 kap. 14 §, av<br>följande lydelse.</p>
<p>Nuvarande lydelse Föreslagen lydelse</p>
<p>7 kap.</p>
<p>16 §</p>
<p>Sekretess gäller för person- Sekretess gäller för person-<br>uppgift i personregister som avses i uppgift, om det kan antas att ett<br>datalagen (1973:289), om det kan utlämnande skulle medföra att<br>antas att utlämnande skulle medföra uppgiften behandlas i strid med<br>att uppgiften används för auto- personuppgiflslagen (0000:000).<br>matisk databehandling i strid med<br>datalagen.</p>
<p>Sekretess för uppgift som anges i<br>jorsta stycket gäller också, om det<br>kan antas att utlämnande skulle<br>medföra att uppgiften används för<br>automatisk databehandling i utlan-<br>det och att detta medför otillbörligt<br>intrång i personlig integritet. Vid<br>tillämpning av denna bestämmelse<br>ankommer det på Datainspektionen<br>att pröva fråga om utlämnande.<br>Sekretess enligt detta stycke gäller<br>dock ej, om uppgiften skall använ-<br>das för automatisk databehandling<br>enbart i en stat som har anslutit sig<br>till Europarådets konvention om<br>skydd för enskilda vid automatisk<br>databehandling av personuppgifter.</p>
<p>9 kap.<br>6§</p>
<p>Sekretess gäller hos Datamspek- Sekretess gäller hos Datainspek-<br>tionen i ärende om tillstånd eller tionen i ärende om tillstånd eller<br>tillsyn, som enligt lag ankommer på tillsyn, som enligt lag eller annan<br>inspektionen, och i ärende om så- författning ankommer på inspek-<br>dant bistånd som avses i Europarå- tionen, och i ärende om sådant bi-</p>
<p><sup>1</sup> Lagen omtryckt 1992:1474</p>
<p>21</p>
<p>dets konvention om skydd för en-<br>skilda vid automatisk databehand-<br>ling av personuppgifter, för uppgift<br>om enskilds personliga eller eko-<br>nomiska förhållanden, om det kan<br>antas att den enskilde eller någon<br>honom närstående lider skada eller<br>men om uppgiften röjs. Har uppgift,<br>för vilken gäller sekretess enligt vad<br>nu har sagts, lämnats till regeringen<br>eller Justitiekanslem, gäller<br>sekretessen också där.</p>
<p>I fråga om uppgift i allmän hand<br>år.</p>
<p>stånd som avses i Europarådets<br>konvention om skydd för enskilda<br>vid automatisk databehandling av<br>personuppgifter, för uppgift om<br>enskilds personliga eller ekono-<br>miska förhållanden, om det kan<br>antas att den enskilde eller någon<br>honom närstående lider skada eller<br>men om uppgiften röjs. Har uppgift,<br>för vilken gäller sekretess enligt vad<br>nu har sagts, lämnats till<br>Justitiekanslem, gäller sekretessen<br>också där.</p>
<p>ing gäller sekretessen i högst sjuttio</p>
<p>Prop. 1997/98:44</p>
<p>7§</p>
<p>Sekretess gäller i myndighets Sekretess gäller i myndighets<br>verksamhet för enbart teknisk verksamhet för enbart teknisk<br>bearbetning eller teknisk lagring för bearbetning eller teknisk lagring för<br>annans räkning av personregister annans räkning av personuppgifter<br>som avses i datalagen (1973:289), som avses i personuppgiftslagen<br>för uppgift om enskilds personliga (0000:000), för uppgift om enskilds<br>eller ekonomiska förhållanden personliga eller ekonomiska</p>
<p>förhållanden</p>
<p>14 kap</p>
<p>3 §*</p>
<p>Utöver vad som följer av 1 och 2 §§ får sekretessbelagd uppgift lämnas<br>till myndighet, om det är uppenbart att intresset av att uppgiften lämnas<br>har företräde framför det intresse som sekretessen skall skydda</p>
<p>Första stycket gäller inte i fråga<br>om sekretess enligt 7 kap. 1-6, 33<br>och 34 §§, 8 kap. 8 § första stycket<br>och 9 och 15 §§ samt 9 kap 4 och<br>7 §§, 8 § första och andra styckena<br>och 9 §. Inte heller gäller första<br>stycket, om utlämnandet strider mot<br>lag eller förordning eller, såvitt<br>angår uppgift / personregister<br>enligt datalagen (1973:289), före-<br>skrift som har meddelats med stöd<br>av datalagen.</p>
<p>Första stycket gäller inte i fråga<br>om sekretess enligt 7 kap 1-6, 33<br>och 34 §§, 8 kap 8 § första stycket<br>och 9 och 15 §§ samt 9 kap 4 och<br>7 §§, 8 § första och andra styckena<br>och 9 §. Inte heller gäller första<br>stycket, om utlämnandet strider mot<br>lag eller förordning eller föreskrift<br>som har meddelats med stöd av<br>personuppgiftslagen (0000:000)</p>
<p><sup>1</sup> Senaste lydelse 1994:86.</p>
<p>22</p>
<p>15 kap. Prop. 1997/98:44</p>
<p>11 §</p>
<p>Varje myndighet skall för allmänheten hålla tillgänglig beskrivning av<br>de register, förteckningar eller andra anteckningar hos myndigheten som<br>förs med hjälp av automatisk databehandling (ADB-register). Sådan<br>skyldighet föreligger dock inte i fråga om ADB-register som inte till<br>någon del anses som allmän handling hos myndigheten. Myndigheten är<br>inte heller skyldig att tillhandahålla beskrivning som uppenbarligen skulle<br>vara av ringa betydelse för enskildas rätt att ta del av allmänna handlingar<br>hos myndigheten</p>
<p>Beskrivning som avses i första stycket skall ge upplysning om</p>
<p>1. ADB-registrets benämning,</p>
<p>2. ADB-registrets ändamål,</p>
<p>3. vilka typer av uppgifter i ADB-registret som myndigheten har tillgång</p>
<p>till och på vilket sätt dessa uppgifter normalt inhämtas,</p>
<p>4. hos vilka andra myndigheter ADB-registret är tillgängligt för överföring</p>
<p>till läsbar form,</p>
<p>5. vilka terminaler eller andra tekniska hjälpmedel som enskild själv kan</p>
<p>få utnyttja hos myndigheten,</p>
<p>6. vilka bestämmelser om sekretess som myndigheten vanligen skall</p>
<p>tillämpa på uppgifter i ADB-registret,</p>
<p>7. vem som hos myndigheten kan lämna närmare upplysningar om ADB-<br>registret och dess användning i myndighetens verksamhet,</p>
<p>8. rätt till försäljning av person- 8. rätt till försäljning av person-<br>uppgifter z personregister som uppgifter</p>
<p>avses i datalagen (1973:289).</p>
<p>I beskrivningen skall dock uppgift enligt andra stycket utelämnas, om<br>det behövs för att beskrivningen i övriga delar skall kunna företes för<br>allmänheten</p>
<p>Om en myndighet för<br>handläggning av ett mål eller<br>ärende använder sig av en upptag-<br>ning för automatisk databehand-<br>ling, skall upptagningen tillföras<br>handlingarna i målet eller ärendet i<br>läsbar form, om inte särskilda skäl<br>föranleder annat.</p>
<p>1. Denna lag träder i kraft den 24 oktober 1998.</p>
<p>2.1 fråga om behandling av personuppgifter för vilken datalagen<br>(1973:289) är tillämplig efter den 24 oktober 1998 gäller dock fortfarande</p>
<p>7 kap 16 §, 9 kap. 6 och 7 § samt 14 kap. 3 § i deras äldre lydelse.</p>
<p>23</p>
<p>Prop. 1997/98:44</p>
<h3>2.3 Förslag till lag om ändring i brottsbalken</h3>
<p>Härigenom föreskrivs i fråga om brottsbalken</p>
<p>dels att 4 kap. 10 § skall ha följande lydelse,</p>
<p>dels att det i balken skall införas en ny bestämmelse, 4 kap. 9 c §, av<br>följande lydelse.</p>
<table border="1">
<tr><td>
<p>Nuvarande lydelse</p></td><td>
<p>Föreslagen lydelse</p>
<p>4 kap.</p>
<p>Den som i annat fall än som sägs<br>i 8 och 9 §§ olovligen bereder sig<br>tillgång till upptagning för auto-<br>matisk databehandling eller olov-<br>ligen ändrar eller utplånar eller i<br>register för in sådan upptagning<br>döms för d a t a i n t r å n g till<br>böter eller fängelse i högst två år.<br>Med upptagning avses härvid även<br>uppgifter som är under befordran<br>via elektroniskt eller annat liknande<br>hjälpmedel för att användas för<br>automatisk databehandling.</p></td></tr>
</table>
<p>10 §</p>
<p>För försök, förberedelse eller För försök, förberedelse eller<br>stämpling till människorov, olaga stämpling till människorov, olaga<br>frihetsberövande eller försättande i frihetsberövande eller försättande i<br>nödläge, för underlåtenhet att av- nödläge och för underlåtenhet att<br>slöja sådant brott, så ock för försök avslöja sådant brott döms till ansvar<br>eller förberedelse till olaga tvång enligt vad som sägs i 23 kap.<br>som är grovt dömes till ansvar enligt Detsamma gäller för försök eller</p>
<table border="1">
<tr><td>
<p>vad i 23 kap. stadgas.</p></td><td>
<p>förberedelse till olaga tvång som är<br>grovt eller till dataintrång som om<br>det fullbordats inte skulle ha varit<br>att anse som ringa.</p></td></tr>
</table>
<p>Denna lag träder i kraft den 24 oktober 1998.</p>
<p>24</p>
<p>Prop. 1997/98:44</p>
<h3>2.4 Förslag till lag om ändring i regeringsformen</h3>
<p>Härigenom föreskrivs att 8 kap. 7 § regeringsformen skall ha följande ly-<br>delse.</p>
<p>Nuvarande lydelse Föreslagen lydelse</p>
<p>8 kap.</p>
<p>7§‘</p>
<p>Utan hinder av 3 eller 5 § kan regeringen efter bemyndigande i lag<br>genom förordning meddela föreskrifter om annat än skatt, om<br>föreskrifterna avser något av följande ämnen:</p>
<p>1. skydd för liv, personlig säkerhet eller hälsa,</p>
<p>2. utlännings vistelse i riket,</p>
<p>3. in- eller utförsel av varor, av pengar eller av andra tillgångar, tillverk-<br>ning, kommunikationer, kreditgivning, näringsverksamhet, ransonering,<br>återanvändning och återvinning av material, utformning av byggnader,<br>anläggningar och bebyggelsemiljö eller tillståndsplikt i fråga om<br>åtgärder med byggnader och anläggningar,</p>
<p>4. jakt, fiske, djurskydd eller natur- och miljövård,</p>
<p>5. trafik eller ordningen på allmän plats,</p>
<p>6. undervisning och utbildning,</p>
<p>7. förbud att röja sådant som någon har erfarit i allmän tjänst eller under<br>utövande av tjänsteplikt,</p>
<p>8. skydd för personlig integritet vid 8. skydd för personlig integritet vid</p>
<p>registrering av uppgifter med behandling av personuppgifter</p>
<p>hjälp av automatisk databehand-<br>ling.</p>
<p>Bemyndigande som avses i första stycket medför ej rätt att meddela<br>föreskrifter om annan rättsverkan av brott än böter. Riksdagen kan i lag,<br>som innehåller bemyndigande med stöd av första stycket, föreskriva även<br>annan rättsverkan än böter för överträdelse av föreskrift som regeringen<br>meddelar med stöd av bemyndigandet.</p>
<p>Denna lag träder i kraft den 1 januari 1999.</p>
<p><sup>1</sup> Regeringsformen omtryckt 1994:1483.</p>
<p>25</p>
<p>Prop. 1997/98:44</p>
<h3>2.5 Förslag till lag om ändring i personuppgiftslagen<br>(0000:000)</h3>
<p>Härigenom föreskrivs<sup>1</sup> att 20, 21, 35, 41 och 50 §§ personuppgiftslagen<br>(0000:000) skall ha följande lydelse.</p>
<p>Nuvarande lydelse Föreslagen lydelse</p>
<p>20 §</p>
<p>Regeringen eller den myndighet Regeringen eller den myndighet<br>som regeringen bestämmer får i som regeringen bestämmer får med-<br>fråga om automatiserad behandling dela föreskrifter om ytterligare<br>av personuppgifter meddela före- undantag från förbudet i 13 §, om<br>skrifter om ytterligare undantag från det behövs med hänsyn till ett<br>förbudet i 13 §, om det behövs med viktigt allmänt intresse<br>hänsyn till ett viktigt allmänt<br>intresse.</p>
<p>21 §</p>
<p>Det är förbjudet för andra än myndigheter att behandla personuppgifter<br>om lagöverträdelser som innefattar brott, domar i brottmål, straff-<br>processuella tvångsmedel eller administrativa fnhetsberövanden</p>
<p>Regeringen eller den myndighet Regeringen eller den myndighet<br>som regeringen bestämmer får i som regeringen bestämmer får<br>fråga om automatiserad behandling meddela föreskrifter om undantag<br>av personuppgifter meddela före- från förbudet i första stycket<br>skrifter om undantag från förbudet i<br>första stycket</p>
<p>Regeringen får i enskilda fall besluta om undantag från förbudet i<br>första stycket Regeringen får överlåta åt tillsynsmyndigheten att fatta<br>sådana beslut.</p>
<p>35 §</p>
<p>Regeringen får i fråga om auto- Regeringen får meddela före-<br>matiserad behandling av person- skrifter om undantag från förbudet i<br>uppgifter meddela föreskrifter om 33 § för överföring av person-<br>undantag från förbudet i 33 § för uppgifter till vissa stater,<br>överföring av personuppgifter till Regeringen får också meddela före-<br>vissa stater. Regeringen får också i skrifter om att överföring av person-<br>fråga om automatiserad behandling uppgifter till tredje land är tillåten,<br>av personuppgifter meddela före- om överföringen regleras av ett<br>skrifter om att överföring av person- avtal som ger tillräckliga garantier<br>uppgifter till tredje land är tillåten, till skydd för de registrerades<br>om överföringen regleras av ett rättigheter</p>
<p><sup>1</sup> Jfr Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd<br>för enskilda personer med avseende på behandling av personuppgifter och om det fria<br>flödet av sådana uppgifter (EGTnrL281, 23.11 1995. s. 31, Celex 395L0046).</p>
<p>26</p>
<p>avtal som ger tillräckliga garantier<br>till skydd för de registrerades<br>rättigheter.</p>
<p>Regeringen eller den myndighet Regeringen eller den myndighet<br>som regeringen bestämmer får som regeringen bestämmer får<br>vidare i fråga om automatiserad vidare meddela föreskrifter om<br>behandling av personuppgifter, undantag från förbudet i 33 §, om<br>meddela föreskrifter om undantag det behövs med hänsyn till ett<br>från förbudet i 33 §, om det behövs viktigt allmänt intresse eller om det<br>med hänsyn till ett viktigt allmänt finns tillräckliga garantier till skydd<br>intresse eller om det finns till- för de registrerades rättigheter<br>räckliga garantier till skydd för de<br>registrerades rättigheter.</p>
<p>Regeringen får under de förutsättningar som nämns i andra stycket i<br>enskilda fall besluta om undantag från förbudet i 33 §. Regeringen får<br>överlåta åt tillsynsmyndigheten att fatta sådana beslut.</p>
<p>Prop. 1997/98:44</p>
<p>41 §</p>
<p>Regeringen får meddela före- Regeringen far meddela före-<br>skrifter om att sådana automa- skrifter om att sådana behandlingar<br>tiserade behandlingar av person- av personuppgifter som innebär<br>uppgifter som innebär särskilda särskilda risker för otillbörligt<br>risker för otillbörligt intrång i den intrång i den personliga integriteten<br>personliga integriteten skall för skall för förhandskontroll anmälas<br>förhandskontroll anmälas till till- till tillsynsmyndigheten enligt 36 §<br>synsmyndigheten enligt 36 § tre tre veckor i förväg Om regeringen<br>veckor i förväg. Om regeringen har har meddelat sådana föreskrifter,<br>meddelat sådana föreskrifter, gäller gäller inte undantaget från an-<br>mte undantaget från anmälnings- mälningsskyldigheten enligt 37 §.<br>skyldigheten enligt 37 §.</p>
<p>50 §</p>
<p>Regeringen eller den myndighet Regeringen eller den myndighet<br>som regeringen bestämmer får i frå- som regeringen bestämmer får med-<br>ga om automatiserad behandling av dela närmare föreskrifter om<br>personuppgifter meddela närmare<br>föreskrifter om</p>
<p>a) i vilka fall behandling av personuppgifter är tillåten,</p>
<p>b) vilka krav som ställs på den personuppgiftsansvarige vid behandling av<br>personuppgifter,</p>
<p>c) i vilka fall användning av personnummer är tillåten,</p>
<p>d) vad en anmälan eller ansökan till en personuppgiftsansvarig skall<br>innehålla,</p>
<p>e) vilken information som skall lämnas till registrerade och hur<br>informationen skall lämnas, och</p>
<p>f) anmälan till tillsynsmyndigheten och förfarandet när anmälda uppgifter<br>har ändrats.</p>
<p>27</p>
<p>Prop. 1997/98:44</p>
<p>Denna lag träder i kraft den 1 januari 1999.</p>
<p>28</p>
<h2>Ärendet och dess beredning</h2>
<p>Datalagen (1973:289) syftar till att skydda den enskilde mot otillbörligt<br>intrång i den personliga integriteten till följd av att personuppgifter<br>registreras med hjälp av automatisk databehandling. Bland annat den<br>tekniska utvecklingen under de senaste årtiondena har gjort att den<br>nuvarande lagen från 1973 i dag är föråldrad såväl innehållsmässigt som<br>till sin lagtekniska utformning. Det behövs därför en ny, modem<br>lagstiftning om personuppgifter som tillförsäkrar den enskilde ett fullgott<br>integritetsskydd i IT-samhället och som inte hämmar samhällsut-<br>vecklingen eller försvårar förverkligandet av andra viktiga mål. Samtidigt<br>har Sverige att - i enlighet med skyldigheterna som medlem i Europeiska<br>unionen - 1 svensk lagstiftning genomföra Europaparlamentets och rådets<br>direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda<br>personer med avseende på behandling av personuppgifter och om det fria<br>flödet av sådana uppgifter, se bilaga 1.</p>
<p>Efter beslut av regeringen den 15 juni 1995 tillkallades en<br>parlamentariskt sammansatt kommitté med uppgift att dels göra en total<br>revision av datalagen och analysera på vilket sätt EG-direktivet om<br>personuppgifter skall genomföras i svensk lagstiftning, dels lämna förslag<br>till anpassning till den nya tekniken av grundlagsreglerna om allmänna<br>handlingars offentlighet. Kommittén antog namnet Datalagskommittén<br>Den 2 april 1997 avgav kommittén betänkandet Integritet - Offentlighet -<br>Informationsteknik (SOU 1997:39). Kommitténs sammanfattning av<br>betänkandet såvitt avser frågan om en ny datalag finns i bilaga 2.<br>Betänkandet innehåller förslag till en ny persondatalag, tillsammans med<br>vissa konsekvensändringar i sekretesslagen (1980:100), och förslag till<br>ändringar i 2 kap. tryckfrihetsförordningen (TF) samt viss anknytande<br>lagstiftning. Kommitténs förslag till persondatalag m.m. finns i bilaga 3.</p>
<p>Regeringen beslutade den 17 april 1997 att uppdra åt Statskontoret att<br>analysera de ekonomiska konsekvenserna av Datalagskommitténs förslag</p>
<p>1 betänkandet och att, i de fall förslagen leder till utgiftsökningar, lämna<br>förslag till finansiering. Uppdraget var främst föranlett av förslagen till<br>ändringar i 2 kap. TF. Den 17 juni 1997 avgav Statskontoret rapporten<br>Konsekvensanalys av Datalagskommitténs betänkande SOU 1997:39<br>(Rapport 1997:11). En sammanfattning av rapporten finns i bilaga 4.</p>
<p>Datalagskommitténs betänkande och Statskontorets rapport har remiss-<br>behandlats. En förteckning över remissinstanserna finns i bilaga 5. Sam-<br>manställningar av remissvaren finns tillgängliga i Justitiedepartementet<br>(dnr Ju97/1280).</p>
<p>Regeringen tar i detta ärende bara upp frågan om en ny datalag och<br>vissa därmed sammanhängande frågor. Frågan om en anpassning av</p>
<p>2 kap. TF till den nya tekniken kräver enligt regeringens mening<br>ytterligare överväganden. Regeringen kommer inom en snar framtid att ta<br>ställning till hur frågan lämpligen skall beredas vidare. Ett stort antal<br>författningar, t.ex. kreditupplysningslagen (1973:1173), måste anpassas<br>till direktivet och till den nya lagen. Detta arbete bereds vidare inom<br>Regeringskansliet.</p>
<p>Prop. 1997/98:44</p>
<p>29</p>
<p>Lagrådet Prop</p>
<p>Regeringen beslutade den 30 oktober 1997 att inhämta Lagrådets yttrande<br>över de lagförslag som finns i bilaga 6. Lagrådets synpunkter på förslaget<br>behandlas i samband med att sakfrågorna diskuteras i motiveringen eller i<br>anslutning till att enskilda bestämmelser kommenteras i författnings-<br>kommentaren Lagrådets yttrande finns i bilaga 7. Vissa redaktionella och<br>språkliga ändringar har gjorts efter det att Lagrådet yttrat sig Ett fåtal<br>mindre justeringar i sak har också gjorts.</p>
<h2>4 Bakgrund och utgångspunkter</h2>
<h3>4.1 Reformbehovet</h3>
<p>Utvecklingen inom informationstekniken har gått rasande fort under de<br>senaste årtiondena, och inget talar för att den kommer att hejdas eller<br>mattas inom den närmaste framtiden. Tekniken blir bara kraftfullare,<br>enklare att hantera och billigare. Det gör att den blir tillgänglig för allt<br>fler. Samtidigt blir det allt enklare att ta del av och sprida datorlagrad<br>information oavsett var informationen finns. Sätten att lagra och söka<br>informationen blir allt mer flexibla</p>
<p>Den nya informationsteknikens möjligheter har gjort att även<br>hanteringen av personanknuten information ökat, t ex. sådan information<br>som genereras och registreras automatiskt vid användningen av datorer<br>Medvetenheten har också ökat om att fler och fler uppgifter finns<br>tillgängliga på allt fler ställen. Samtidigt börjar dock alltmer raffinerade<br>metoder användas för att samla in och bearbeta personanknuten<br>information. Den som använder Internet eller moderna kort för t.ex<br>inpassering, bussresor, betalning eller olika bonussystem kan lätt på ett<br>omedvetet sätt lämna s.k. elektroniska spår som kan användas för att<br>kartlägga olika egenskaper hos individen. Också utvecklingen av annan<br>teknik och kunskap än informationsteknik kan leda till en ökad<br>registrering av personanknuten information. Med DNA-teknik kan t.ex.<br>tidigare förborgad information om personliga förhållanden göras till-<br>gänglig.</p>
<p>Den nya teknikens möjligheter kan således lätt användas på ett så<br>inträngande, övervakande eller annars kränkande sätt som inte bör<br>tolereras i ett demokratiskt samhälle som värnar om individen Individen<br>kan av samhället kräva ett skydd mot integritetskränkningar. Samtidigt<br>måste individens skydd hela tiden vägas mot andra grundläggande demo-<br>kratiska rättigheter och värden, t.ex. informationsfriheten och yttrande-<br>friheten. Man måste också beakta de helt legitima behov som finns av att<br>använda personanknuten information i ett samhälle av sådan storlek och<br>komplexitet som det vi lever i. I varje välfärdssamhälle med sociala<br>ambitioner är det t.ex. nödvändigt att i viss utsträckning använda person-<br>anknuten information för att identifiera behov och möjligheter hos<br></p>
<p>1997/98:44</p>
<p>30</p>
<p>invånarna och styra samhällsutvecklingen mot de uppställda demokratiska Prop. 1997/98:44<br>målen.</p>
<p>Det är således många svåra avvägningar som måste göras vid utform-<br>ningen av en lagstiftning till skydd för den personliga integriteten av-<br>seende personuppgifter. Härtill kommer att lagstiftningen inte i onödan<br>bör hindra användningen av ny teknik. Den nya tekniken för inte med sig<br>bara risker utan också många obestridliga fördelar, som vi måste ta till<br>vara om Sverige skall kunna behålla och förstärka sin framskjutna<br>position bland industrinationerna. Sådant som inte kunde göras förr är nu<br>möjligt tack vare tekniken. Den nya tekniken har redan inneburit en<br>höjning av livskvaliteten och en ökad frihet för många människor. Det<br>gryende informationssamhället kan innebära förbättrade möjligheter till<br>ökad jämställdhet och ett förverkligande av angelägna regionalpolitiska<br>mål.</p>
<p>Det är uppenbart att den nu föråldrade datalagen från 1973 inte<br>uppfyller de krav som bör ställas på en lagstiftning till skydd för den<br>personliga integriteten avseende personuppgifter i dagens och morgon-<br>dagens samhälle. Ingen har heller i detta lagstiftningsärende ställt sig upp<br>till försvar för den nuvarande datalagen. Det finns således starka skäl för<br>att nu införa en ny lagstiftning på området. Den nya lagstiftningen måste<br>emellertid utformas mot bakgrund av Sveriges skyldigheter gentemot<br>Europeiska unionen, särskilt EG-direktivet om personuppgifter</p>
<h3>4.2 Den nuvarande datalagen</h3>
<p>Grundläggande regler om inrättandet och förandet av personregister med<br>hjälp av automatisk databehandling finns i dag i datalagen (1973:289).<br>Kompletterande bestämmelser om bl.a. licensanmälan, tillståndsansökan,<br>handläggningen hos Datainspektionen, verkställighetsföreskrifter och bi-<br>stånd till personer som är registrerade utomlands finns i dataförordningen<br>(1982:480).</p>
<p>Datalagen inleds med en definition av begreppen personuppgift, per-<br>sonregister, registrerad och registeransvarig (1 §).</p>
<p>Med personuppgift avses upplysningar som avser en enskild person.<br>Det kan vara upplysningar om namn, personnummer, födelsedatum,<br>nationalitet, utbildning, familj och anställningsförhållanden. Även andra<br>typer av upplysningar av mindre personlig karaktär räknas som person-<br>uppgifter. Enligt lagmotiven avses även uppgifter om en persons<br>bostadsförhållanden, banktillgodohavanden, fastighets- eller bilinnehav<br>och upplysningar i övrigt om en persons ekonomiska ställning</p>
<p>Med personregister förstås register, förteckningar eller andra anteck-<br>ningar som förs med hjälp av automatisk databehandling (ADB) och som<br>innehåller personuppgifter som kan hänföras till den som avses med<br>uppgifterna. Bara register som förs med hjälp av ADB omfattas således av<br>datalagen. Register som förs med hjälp av annan teknik än ADB faller i<br>dag utanför lagens tillämpningsområde.</p>
<p>En personuppgift kan hänföras till en viss person antingen direkt ge-<br>nom själva uppgiften eller med hjälp av en identitetsuppgift som också in-<br>går i registret. Även register som innehåller identitetsuppgifter av sådan 31<br></p>
<p>art att bara den invigde kan utläsa vilka personer som finns registrerade Prop. 1997/98:44<br>omfattas av datalagen. Likaså omfattas statistiska uppgifter där beteck-<br>ningar som också återfinns på dokument gör det möjligt att knyta<br>uppgifterna till en viss person.</p>
<p>Med begreppet registrerad avses en enskild person om vilken det före-<br>kommer en personuppgift i ett personregister.</p>
<p>Registeransvarig är den för vars verksamhet ett personregister förs, om<br>han eller hon förfogar över registret. Såväl fysiska som juridiska personer<br>och myndigheter kan vara registeransvariga.</p>
<p>Bara den som har anmält sig till Datainspektionen och fatt licens får in-<br>rätta och föra personregister (2 §). Datainspektionen granskar inte an-<br>mälan i sak utan ger bara den registeransvarige ett bevis (licens) om att<br>anmälan har gjorts samt ett särskilt licensnummer (10 § dataförord-<br>ningen). En licens berättigar den registeransvarige att föra ett eller flera<br>personregister. Licens behövs inte för personregister som en enskild per-<br>son inrättar eller för uteslutande för personligt bruk (2 § 3 st ).</p>
<p>Den som fått licens skall betala en årlig avgift till Datainspektionen. In-<br>spektionen får, om det finns särskilda skäl, sätta ned eller efterskänka av-<br>giften. Avgifterna finansierar inspektionens verksamhet.</p>
<p>Med hjälp av ADB för Datainspektionen ett register över licensanmäl-<br>ningar, licensregistret (3 § dataförordningen). Licensregistret får Datain-<br>spektionen använda för sin tillsyns- och informationsverksamhet samt<br>som underlag för uppbörd av licensavgifter.</p>
<p>För vissa typer av register med känsliga uppgifter krävs utöver licens<br>även ett särskilt tillstånd från Datainspektionen (2 § 2 st. datalagen).<br>Sådant tillstånd behövs i regel för att inrätta och föra register som inne-<br>håller</p>
<p>a) i sig känsliga personuppgifter,</p>
<p>b) omdömen om den registrerade,</p>
<p>c) uppgifter om personer som saknar sådan anknytning till den registeran-<br>svarige som följer av medlemskap, anställning, kundförhållande eller<br>något därmed jämförligt förhållande samt</p>
<p>d) personuppgifter som hämtas in från något annat personregister (s.k.<br>samköming), om inte registreringen av uppgifterna eller utlämnandet av<br>dessa sker med stöd av författning, Datainspektionens beslut eller den<br>registrerades medgivande.</p>
<p>Tillstånd behövs inte för personregister som någon inrättar eller för<br>uteslutande för personligt bruk (2 § 3 st ). Tillstånd behövs inte heller för<br>register vars inrättande beslutats av riksdagen eller regeringen (s.k.<br>statsmaktsregister) eller för register som har tagits emot för förvaring av<br>en arkivmyndighet (2 a § 1 st. 1 och 3). För sådana personregister som<br>ofta förekommer inom en viss verksamhet för ett visst ändamål kan det<br>meddelas särskilda föreskrifter (19 §). Följer den registeransvarige sådana<br>föreskrifter, behövs inte något tillstånd (2 a § 1 st. 2).</p>
<p>Sammanslutningar får utan tillstånd inrätta och föra personregister som<br>innehåller sådana uppgifter om medlemmarnas politiska uppfattning, reli-<br>giösa tro eller övertygelse i övrigt som utgör grunden för medlemskapet i<br>sammanslutningen (2 a § 2 st. 1).</p>
<p>Myndigheter inom hälso- och sjukvården får utan tillstånd för vård-</p>
<p>o •</p>
<p>eller behandlingsändamal inrätta och föra personregister som innehåller</p>
<p>uppgifter om någons sjukdom eller hälsotillstånd i övrigt (2 a § 2 st. 2) Prop 1997/98:44<br>Likaså får myndigheter inom socialtjänsten utan tillstånd inrätta och föra<br>personregister som innehåller uppgifter om att någon fått ekonomisk hjälp<br>eller vård mom socialtjänsten (2 a § 2 st. 3).</p>
<p>Läkare och tandläkare får utan tillstånd inrätta och föra personregister<br>som innehåller sådana uppgifter om någons sjukdom eller hälsotillstånd i<br>övrigt som de har fått reda på i sin yrkesverksamhet (2 a § 2 st. 4).</p>
<p>Arbetsgivare får utan tillstånd inrätta och föra personregister som inne-<br>håller sådana uppgifter om arbetstagares sjukdom som avser tid för sjuk-<br>frånvaro, om uppgifterna används för löneadmimstrativa ändamål eller för<br>att arbetsgivaren skall kunna avgöra om han eller hon skall påbörja en re-<br>habiliteringsutredning enligt 22 kap. 3 § andra stycket lagen (1962:381)<br>om allmän försäkring (2 a § 2 st. 5).</p>
<p>Vid sin tillståndsprövning skall Datainspektionen ta ställning till om<br>det finns anledning att anta att registreringen medför ett otillbörligt<br>intrång i den registrerades personliga integritet. Om så anses vara fallet,<br>skall tillstånd inte meddelas. Vid prövningen skall inspektionen särskilt<br>beakta</p>
<p>• arten och mängden av de personuppgifter som skall ingå i registret,</p>
<p>• hur och från vem uppgifterna skall hämtas in,</p>
<p>• vilken inställning de som kan komma att registreras har eller kan antas</p>
<p>ha till saken och</p>
<p>• att inte andra uppgifter eller andra personer registreras än som står i<br>överensstämmelse med ändamålet med registret (3 §).</p>
<p>Särskilda skäl krävs för att tillstånd skall kunna meddelas för inrättande<br>och förande av personregister som omfattar andra än medlemmar, anställ-<br>da eller kunder hos den registeransvarige eller personer som har annan<br>därmed jämställd anknytning (3 a §).</p>
<p>Det krävs synnerliga skäl för att andra än myndigheter som enligt lag<br>eller annan författning har att föra förteckning över sådana uppgifter skall<br>kunna få tillstånd att inrätta och föra personregister som innehåller vissa<br>angivna typer av känsliga uppgifter, såsom exempelvis uppgift om att nå-<br>gon misstänks eller har dömts för brott eller varit föremål för vissa<br>tvångsingripanden (4 § 1 st ).</p>
<p>Tillstånd att inrätta och föra personregister som i övrigt innehåller<br>uppgifter om någons sjukdom, hälsotillstånd eller sexualliv eller uppgift<br>om att någon fått ekonomisk hjälp eller vård inom socialtjänsten eller<br>varit föremål för åtgärd enligt utlänningslagen får bara om det finns<br>särskilda skäl meddelas någon annan än en myndighet som enligt lag eller<br>annan författning har att föra en förteckning över sådana uppgifter. Sär-<br>skilda skäl krävs även för registrering av uppgifter om någons ras eller<br>politiska uppfattning eller religiösa övertygelse (4 § 2 och 3 st ).</p>
<p>När Datainspektionen meddelar tillstånd att inrätta och föra personre-<br>gister, skall inspektionen samtidigt meddela beslut om ändamålet med re-<br>gistret (5 §). I den mån det behövs för att förebygga risk för otillbörligt<br>intrång i personlig integritet skall inspektionen i samband med tillstånds-<br>givningen även meddela särskilda villkor (6 §). Sådana villkor får medde-<br>las beträffande exempelvis inhämtande av uppgifter, vilka person-<br>uppgifter som får ingå i registret, utlämnande, beväring och gallring</p>
<p>3 Riksdagen 1997/98. 1 saml. Nr 44</p>
<p>Personregister skall inrättas och föras så att inte otillbörligt intrång i de Prop. 1997/98:44<br>registrerades personliga integritet uppkommer. I 7 § anges närmare vad<br>som skall iakttas för att nå upp till vad som brukar kallas ”god register-<br>sed”. Den registeransvarige är också skyldig att förteckna de person-<br>register som han eller hon är ansvarig för (7 a §). Förteckningen skall vara<br>aktuell och hållas tillgänglig för Datainspektionen.</p>
<p>I datalagen finns det också särskilda bestämmelser om ADB-<br>användningen som är avsedda att garantera att personuppgifter är riktiga<br>och fullständiga. Dessa bestämmelser, som återfinns i 8 och 9 §§, be-<br>handlar bl.a. rättelse av oriktiga och missvisande uppgifter.</p>
<p>En central bestämmelse är vidare 10 §. Den ger den enskilde en rätt till<br>insyn i personregister. Där stadgas att den registeransvarige på skriftlig<br>begäran av den enskilde skall underrätta denne om innehållet i registret,<br>såvitt gäller honom eller henne. Ett sådant registerutdrag, s.k. § 1 O-utdrag,<br>har den enskilde rätt att kostnadsfritt få en gång per år</p>
<p>I datalagen finns det allmänna bestämmelser om gallring av person-<br>uppgifter och om vad som skall iakttas då en registeransvarig upphör att<br>föra ett personregister för vilket Datainspektionen har meddelat tillstånd<br>(12 §). Vissa bestämmelser om tystnadsplikt finns i 13 §.</p>
<p>En särskild bestämmelse om dokumentationsskyldighet avser att göra<br>det möjligt att i efterhand fastställa vilka uppgifter i en ADB-upptagning<br>som har legat till grund för avgörandet av ett mål eller ärende hos en<br>myndighet. Sådana ADB-upptagningar skall tillföras handlingarna i målet<br>eller ärendet i för ögat läsbar form Undantag gäller bara om det finns<br>särskilda skäl (14 §).</p>
<p>Datainspektionen utövar tillsyn över att automatisk databehandling inte<br>medför otillbörligt intrång i den registrerades personliga integritet (15-<br>18§§).</p>
<p>Inspektionen har möjlighet att meddela villkor eller, om rättelse inte<br>kan åstadkommas på annat sätt, förbjuda förandet av personregister eller<br>återkalla meddelade tillstånd</p>
<p>Datainspektionens beslut enligt datalagen kan överklagas till länsrätten<br>i Stockholm eller, när en statlig myndighet är registeransvarig, regeringen.<br>Justitiekanslem far föra talan för att ta till vara allmänna intressen. (25 §.)</p>
<p>Bestämmelser om straff och skadestånd finns i 20, 21 och 23 §§. Ett<br>personregister kan förklaras förverkat, om det inrättas eller förs utan nöd-<br>vändig licens eller tillstånd (22 §).</p>
<p>I datalagen regleras även det statliga person- och adressregistret<br>(SPAR), 26-28 §§.</p>
<h3>4.3 EG-direktivet</h3>
<p>Syftet med Europaparlamentets och rådets direktiv 95/46/EG av den<br>24 oktober 1995 om skydd för enskilda personer med avseende på<br>behandling av personuppgifter och om det fria flödet av sådana uppgifter<br>är att skapa en gemensam, hög nivå på integntetsskyddet för att<br>därigenom möjliggöra ett fritt flöde av personuppgifter medlemsländerna<br>emellan. Medlemsstaterna får inom den ram som ges i direktivet närmare<br>precisera villkoren för när behandling av personuppgifter får förekomma. 34<br></p>
<p>Dessa preciseringar får dock inte hindra det fria flödet av personuppgifter Prop. 1997/98:44<br>inom unionen.</p>
<p>I arbetet med direktivet har Sverige agerat hårt för att fa till stånd så-<br>dana lösningar att direktivet inte står i motsättning till den svenska offent-<br>lighetsprincipen och annan grundlagsreglering. De svenska ansträngning-<br>arna på detta område har varit framgångsrika. För att undanröja alla even-<br>tuella oklarheter vid tolkningen av direktivets förenlighet med<br>offentlighetsprincipen har på svenskt initiativ tagits in en klausul i<br>direktivets ingress (punkt 72) som gör det möjligt att ta hänsyn till<br>offentlighetsprincipen när direktivets bestämmelser genomförs i nationell<br>rätt.</p>
<p>Direktivet finns i sin helhet i bilaga 1. Huvuddragen i direktivet är<br>följande.</p>
<p>Direktivet är tillämpligt på all behandling av personuppgifter och såle-<br>des också på manuella register, dock endast på sådana manuella register<br>som är sökbara utifrån särskilda kriterier. Direktivet är inte tillämpligt på<br>sådan behandling av personuppgifter som faller utanför gemenskapsrätten<br>(t.ex. den som gäller allmän säkerhet, statens säkerhet eller statens verk-<br>samhet på straffrättens område) och inte heller på register för personligt<br>bruk. Behandling av personuppgifter för journalistiska, konstnärliga och<br>litterära ändamål undantas från direktivets materiella bestämmelser</p>
<p>Personuppgifter får samlas in endast för särskilda, uttryckligt angivna<br>och berättigade ändamål och uppgifterna får inte senare användas på ett<br>sätt som är oförenligt med ursprungsändamålet.</p>
<p>Personuppgifter får behandlas endast när samtycke lämnats, när det är<br>nödvändigt för att fullgöra ett avtal i vilket den registrerade är part, när det<br>finns en i författning reglerad förpliktelse att behandling av uppgifterna<br>skall ske, när det är nödvändigt för att skydda den enskildes grund-<br>läggande intressen, när det är nödvändigt att utföra en arbetsuppgift i det<br>allmännas intresse eller slutligen, om det i övrigt skett en intresseav-<br>vägning som resulterat i att behandling av personuppgifter skall få ske.</p>
<p>Känsliga uppgifter (ras, religion, politisk åsikt, facklig tillhörighet, häl-<br>sotillstånd etc.) får inte behandlas. Dock gäller vissa undantag, bl.a. vid<br>den enskildes uttryckliga samtycke, för ideella föreningars medlemsregis-<br>ter, för hälso- och sjukvårdens administration och vid författnings-<br>reglerade skyldigheter</p>
<p>Medlemsstaterna skall bestämma på vilka villkor nationella identi-<br>fikationsnummer får behandlas.</p>
<p>När personuppgifter samlas in skall de registrerade informeras om bl.a.<br>vem som är registeransvarig och vad uppgifterna skall användas till</p>
<p>All behandling av personuppgifter skall enligt huvudregeln anmälas till<br>en tillsynsmyndighet. Medlemsstaten kan dock genom bransch- och sek-<br>torsreglering eller motsvarande från anmälningsskyldigheten undanta så-<br>dan behandling av personuppgifter som inte kränker enskildas fri- och<br>rättigheter.</p>
<p>Behandling av personuppgifter som innebär särskilda integritetsrisker<br>får inte förekomma utan att tillsynsmyndigheten först gett tillstånd till<br>detta</p>
<p>Den registrerade skall ha rätt att få sina rättigheter enligt den nationella<br>lagen prövad av tillsynsmyndigheten och domstol. ^5</p>
<p>Överföring av personuppgifter till ett tredje land får i princip endast Prop. 1997/98:44<br>lagen prövade av tillsynsmyndigheten och domstol, ske om det mot-<br>tagande landet har en acceptabel skyddsnivå.</p>
<p>Tillsynsmyndigheten skall vara ett oberoende organ. Den skall ha un-<br>dersöknmgsbefogenheter och befogenheter att effektivt ingripa mot otillå-<br>ten behandling av personuppgifter.</p>
<p>Medlemsstaterna skall genomföra direktivet i nationell rätt inom tre år<br>efter antagandet den 24 oktober 1995. För de automatiserade<br>behandlingar som då redan påbörjats är föreskrivet en övergångsperiod på<br>ytterligare tre år. För redan existerande manuella register är övergångs-<br>perioden utsträckt till, som längst, tolv år.</p>
<h2>5 Genomförandet av EG-direktivet</h2>
<h3>5.1 Lagens uppbyggnad - hanteringsmodell eller<br>missbruksmodell</h3>
<p>Regeringens bedömning: En lagstiftning som reglerar själva<br>hanteringen av personuppgifter bör införas, eftersom det inte synes<br>möjligt att genomföra EG-direktivet på annat sätt. Sverige bör dock på<br>lämpligt sätt verka för att det blir möjligt att i stället använda en<br>lagstiftning som mera koncentrerar sig på vad som kan karaktäriseras<br>som ett missbruk av personuppgifter</p>
<p>Datalagskommitténs bedömning överensstämmer med regeringens</p>
<p>Remissinstanserna: De allra flesta remissinstanser som uttalat sig i<br>saken föredrar en lagstiftning efter en missbruksmodell. Det är dock bara<br>en remissinstans - Juridiska fakultetsnämnden vid Stockholms universitet<br>- som anser det möjligt att utforma en missbruksmodell inom de ramar<br>EG-direktivet ställer upp. Många remissinstanser anser att en lagstiftning<br>efter den hanteringsmodell som följer av direktivet är otidsenlig och<br>förordar att Sverige så snart som möjligt tar initiativ inom EU för att<br>åstadkomma en annan ordning</p>
<p>Skälen för regeringens bedömning: Bestämmelserna i EG-direktivet<br>innebär att själva hanteringen av personuppgifter regleras, oavsett om<br>hanteringen kan sägas utgöra ett missbruk. Direktivet bygger således på<br>en hanteringsmodell. Sverige har såsom medlem i Europeiska unionen att<br>i svensk lagstiftning genomföra de hanteringsregler som direktivet<br>föreskriver. Sverige skall därvid, såsom anges i artikel 5 i direktivet, inom<br>den ram direktivet ställer upp precisera på vilka villkor behandling av<br>personuppgifter är tillåten. I likhet med Datalagskommittén och de allra<br>flesta remissinstanserna anser regeringen att det nu inte är möjligt att<br>uppfylla skyldigheten att genomföra direktivet på annat sätt än genom att<br>införa en lagstiftning av hanteringsmodell. Ingen har för övrigt kunnat</p>
<p>36<br></p>
<p>konkret ange hur det skulle kunna vara möjligt med hänsyn till EG- Prop 1997/98:44<br>direktivet att använda en renodlad missbruksmodell</p>
<p>En lagstiftning som reglerar i princip all hantering av personuppgifter<br>måste således införas på grund av EG-direktivet. En sådan lagstiftning<br>framstår emellertid i dag som inte särskilt modem. Mycket av den an-<br>vändning av personuppgifter som den alltmer genomgripande datori-<br>seringen har medfört måste betraktas som harmlös. Alltfler medborgare<br>har också tillgång till dator, elektronisk post och annan kommunikation i<br>världsomspännande nätverk</p>
<p>Det finns därför starka skäl för att verka för att det blir möjligt att gå<br>ifrån en lagstiftning efter en vittomfattande hanteringsmodell. Vi avser att<br>på lämpligt sätt utnyttja Sveriges inflytande i Europeiska unionen för att<br>påverka i denna riktning</p>
<p>Möjligheterna till påverkan är givetvis beroende av att det går att visa<br>på användbara alternativ till en hanteringsmodell. Det är därför viktigt att<br>diskussionen om och arbetet med möjliga utformningar av alternativa<br>modeller fortsätter. Datalagskommittén har diskussionsvis skisserat på en<br>alternativ modell Även inom det rättsliga observatorium som har inrättats<br>inom ramen för IT-kommissionen pågår diskussion och analys av<br>alternativa modeller.</p>
<h3>5.2 Den nya lagen skall följa direktivets text och struktur</h3>
<p>Regeringens bedömning: Den nya lagen bör i huvudsak följa<br>direktivets text och struktur. Vissa omskrivningar och förkortningar bör<br>dock göras för att anpassa texten till svensk lagstil. Hanteringsregler<br>utöver de som EG-direktivet kräver bör föras in i den nya generella<br>lagen bara om det finns ett särskilt behov.</p>
<p>Datalagskommitténs bedömning överensstämmer i huvudsak med<br>regeringens</p>
<p>Remissinstanserna: Remissutfallet är blandat. En del förordar att<br>lagen utformas i närmare anslutning till direktivets text, medan andra<br>föredrar ytterligare omskrivningar och omstruktureringar som än mer<br>fjärmar den svenska lagtexten från direktivet. Ingen remissinstans har<br>framfört behov av ytterligare regler om hanteringen av personuppgifter.</p>
<p>Skälen for regeringens bedömning: Det måste, såsom konstaterades i<br>avsnitt 5.1, införas en lagstiftning som reglerar i princip all hantering av<br>personuppgifter. De hanteringsregler som läggs fast i EG-direktivet måste<br>införas i lagstiftningen. Det gäller t.ex. regler om när behandling av<br>personuppgifter skall vara tillåten, om vilka krav som ställs på behand-<br>lingen och om information till den registrerade. De hanteringsregler som<br>EG-direktivet lägger fast är så pass omfattande att det knappast kan<br>komma i fråga att därutöver införa ytterligare hanteringsregler i den nya<br>generella lagen. De synpunkter som kommit fram vid remissbehandlingen<br>talar för att det snarare behövs färre regler eller flera undantag än<br>hanteringsregler på flera områden. Vi anser därför att hanteringsregler<br>utöver dem som EG-direktivet kräver bör föras in i den nya generella<br></p>
<p>37</p>
<p>lagen bara om det finns ett särskilt visat behov. Det handlingsutrymme Prop. 1997/98:44<br>som EG-direktivet i vissa fall medger vid genomförandet bör givetvis<br>utnyttjas.</p>
<p>Detta innebär att den nya lagen i stort sett bara kommer att innehålla de<br>regler som direktivet kräver. Det verkar då vara bäst att, såsom Data-<br>lagskommittén föreslagit och de flesta remissinstanser godtagit, låta den<br>nya lagen i stort sett följa direktivets text och struktur. Det är ju ändå EG-<br>domstolen som sist och slutligen har att tolka de begrepp och uttryck som<br>direktivet innehåller. Eftersom det å andra sidan är viktigt att så långt som<br>möjligt hålla på svenska traditioner i fråga om lagstil, bör dock vissa<br>modifieringar göras i förhållande till direktivet.</p>
<p>Svenska domstolar har vid tillämpning av lagtext som införts till<br>genomförande av ett EG-direktiv att tolka lagen i överensstämmelse med<br>direktivet och att vid behov fråga EG-domstolen om den rätta innebörden.<br>Eftersom EG-direktiv saknar egentliga förarbeten, finns det inga direkta<br>hållpunkter för tolkningen av direktiv förutom själva texten i direktivet,<br>inklusive ingressen. Därför är det svårt att innan EG-domstolen har sagt<br>sitt veta hur direktivet egentligen skall tolkas och tillämpas. Datalags-<br>kommittén har trots detta lämnat kommentarer om tolkningen av direk-<br>tivet och av föreslagen lagtext som mer eller mindre ordagrant följer<br>direktivet. De överväganden om tolkningen som kommittén redovisat har<br>i huvudsak godtagits eller lämnats utan erinran av remissinstanserna. Den<br>redovisningen kan därför utgöra en god grund för dem som har att<br>tillämpa den nya lagen.</p>
<p>Enligt EG:s rättsordning är det EG-domstolen som är exklusivt behörig<br>att göra auktoritativa uttalanden om innebörden av EG:s rättsregler<br>Sverige har genom anslutningen till Europeiska unionen också förbundit<br>sig att verka för en enhetlig tolkning och tillämpning av regler i EG-<br>rätten. Genom det aktuella EG-direktivet har det dessutom inrättats en<br>särskild arbetsgrupp med uppgifter som syftar till att bidra till en enhetlig<br>tillämpning av de nationella bestämmelser som genomför direktivet Av<br>dessa skäl anser vi att regeringen i sin proposition till riksdagen i princip<br>bör avstå från att uttala sig om hur direktivet i olika delar bör tolkas</p>
<h2>En teknikoberoende och generell lag</h2>
<p>6.1</p>
<h3>En teknikoberoende lag som omfattar automatiserad<br>behandling och manuell behandling av personupp-<br>gifter</h3>
<p>Regeringens förslag: Den nya lagen skall vara teknikoberoende och<br>tillämpas på automatiserad behandling av personuppgifter och manuell<br>behandling av personuppgifter.</p>
<p>Datalagskommitténs förslag överensstämmer med regeringens.</p>
<p>38</p>
<p>Remissinstanserna: De flesta remissinstanser som uttalat sig tycker att Prop. 1997/98:44<br>det är bra med en teknikoberoende lagstiftning. Kungliga biblioteket anser<br>dock att det vore en oacceptabel inskränkning i informationsfriheten om<br>manuella register skulle omfattas av lagen.</p>
<p>Skälen for regeringens förslag: Den nuvarande datalagen gäller bara<br>för automatisk databehandling av personuppgifter. EG-direktivet gäller<br>däremot för sådan behandling av personuppgifter som helt eller delvis<br>företas på automatisk väg och dessutom för annan behandling av person-<br>uppgifter under förutsättning att dessa ingår i eller kommer att ingå i ett<br>register (artikel 3). Med register avses enligt direktivet varje strukturerad<br>samling av personuppgifter som är tillgänglig enligt särskilda kriterier,<br>oavsett om samlingen är centraliserad, decentraliserad eller spridd på<br>grundval av funktionella eller geografiska förhållanden (artikel 2 c).</p>
<p>På grund av Sveriges skyldigheter gentemot Europeiska unionen måste<br>den nya lagen ha minst samma tillämpningsområde som EG-direktivet.<br>Det innebär att den nya lagen kommer att vara teknikoberoende, dvs. gälla<br>för såväl automatiserad som viss manuell hantering av personuppgifter<br>Det är bra eftersom det är viktigt att den nya lagen så lite som möjligt<br>hämmar användningen av ny informationsteknik. Genom att den nya<br>lagen till skillnad från den nuvarande datalagen omfattar också viss<br>manuell hantering, finns det inte längre skäl för användare av personupp-<br>gifter att välja en föråldrad, manuell teknik för att undkomma hantenngs-<br>reglema i lagen. Begreppet ”automatiserad” har valts på förslag av<br>Lagrådet i stället för ”automatisk”, eftersom det förra språkligt sett bättre<br>uttrycker vad som avses. Som Lagrådet anfört för begreppet ”automatisk”<br>tanken till en behandling som sker automatiskt efter en viss händelse eller<br>tidpunkt e.d. oavsett hur behandlingen utförs.</p>
<p>Användningen i den nuvarande datalagen av begreppet register vid<br>automatisk databehandling har med fog kritiserats för att vara otidsenlig<br>På grund av den tekniska utvecklingen har det i en sammansatt och<br>komplex datormiljö blivit allt svårare att fastställa vad som är ett register i<br>förhållande till ett annat. Det har också vuxit fram allt flexiblare och<br>kraftfullare metoder för att med hjälp av datorer söka och hantera<br>uppgifter som inte finns i någon registerstruktur. Det är därför en fördel<br>att den nya generella lagen omfattar all automatiserad behandling av<br>personuppgifter utan hänsyn till det föråldrade registerbegreppet.</p>
<p>Det nu sagda hindrar givetvis inte att det som faktiskt är ett regelrätt<br>datoriserat register också kallas för det. Flertalet särskilda registerförfatt-<br>ningar rör just upprättandet och förandet av traditionella datoriserade<br>register. Registerformen har därvid ofta valts medvetet för att skapa<br>förutsägbarhet och säkerhet beträffande de uppgifter som behandlas med<br>hjälp av datorer, uppgifterna skall läggas in i ett på visst sätt strukturerat<br>register och får tas fram bara med hjälp av vissa angivna sökkriterier.</p>
<p>När det gäller manuell behandling av personuppgifter på papper<br>omfattas däremot bara sådana uppgifter som ingår i eller kommer att ingå<br>i ett register av EG-direktivet. Det innebär att det står Sverige fritt att låta<br>den nya lagen omfatta även t ex. behandling av personuppgifter på papper<br>som inte har strukturerats i ett register. Det vore emellertid enligt vår<br>mening att gå för långt. Det är först när en stor mängd personuppgifter på<br>papper har strukturerats på något sätt som det går att hitta bland<br></p>
<p>39</p>
<p>uppgifterna på ett enkelt sätt. Det är då sådana egentliga integritetsrisker Prop. 1997/98:44<br>med behandlingen uppkommer som kan mötas med de hanteringsregler<br>som den nya lagen innehåller</p>
<p>Den nya lagen bör således ha samma tillämpningsområde som EG-<br>direktivet och omfatta automatiserad behandling av personuppgifter och<br>manuell behandling av personregister. Enligt vår mening är det inte<br>nödvändigt att med anledning av detta justera grundlagsbestämmelsen i<br>2 kap. 3 § andra stycket regeringsformen om att varje medborgare skall i<br>den utsträckning som närmare anges i lag skyddas mot att hans eller<br>hennes personliga integritet kränks genom att uppgifter om honom eller<br>henne registreras med hjälp av automatisk databehandling. Regerings-<br>formen slår fast ett minimiskydd, och det gör inget att den nya lagen i sitt<br>skydd går längre än vad grundlagen kräver</p>
<h3>6.2 En generellt tillämplig lag men särregler i andra<br>författningar gäller framför den nya lagen</h3>
<p>Regeringens förslag: Den nya lagen skall, liksom den nuvarande<br>datalagen, vara generellt tillämplig och omfatta även sådant som faller<br>utanför EG-rätten. Särregler i andra författningar skall dock gälla<br>framför den nya lagen</p>
<p>Datalagskommitténs förslag överensstämmer med regeringens</p>
<p>Remissinstanserna: De flesta remissinstanser har godtagit förslaget<br>eller lämnat det utan erinran Många remissinstanser pekar dock på<br>behovet av att de särskilda registerförfattningama anpassas till den nya<br>lagen och att nödvändiga undantag och särregler införs i dessa för-<br>fattningar. Flera betonar också vikten av ett samordnat och överskådligt<br>system, t.ex. genom hänvisningar i den generella lagen till register-<br>författningama. Riksåklagaren föreslår att statens verksamhet på det<br>straffrättsliga området undantas från lagen.</p>
<p>Skälen för regeringens förslag: Den nuvarande datalagen är i princip<br>generellt tillämplig på all automatisk databehandling av personregister,<br>men i den utsträckning ett personregister är reglerat i en annan författning<br>är det undantaget Datainspektionens tillståndsprövning och föreskriftsrätt</p>
<p>EG-direktivet gäller däremot inte för sådan behandling av person-<br>uppgifter som utgör ett led i en verksamhet som inte omfattas av EG-<br>rätten, t.ex. statens verksamhet på straffrättens område eller som rör all-<br>män säkerhet eller försvar.</p>
<p>Det innebär att det står Sverige fritt att begränsa den nya lagens<br>tillämpningsområde till sådana verksamheter som omfattas av EG-rätten<br>Detta skulle emellertid strida mot vad som tillämpats under lång tid i<br>Sverige, nämligen ett system som utgår från en generell lag kompletterad<br>med särregler i s.k. registerförfattningar för viktigare eller känsligare<br>register.</p>
<p>Registerförfattningarna innehåller många preciserade och viktiga regler<br>som inte rimligen kan ersättas av de generella bestämmelser som den nya<br>lagen innehåller. Samtidigt står det klart att det är nödvändigt med<br></p>
<p>40</p>
<p>särregler i förhållande till den nya lagen på flera viktiga områden, t.ex. Prop. 1997/98:44<br>beträffande polisens verksamhet. Frågan är därför om det redan i den nya<br>lagen skall göras undantag för vissa verksamheter eller om nödvändiga<br>särregler för dessa verksamheter liksom hittills skall ges i särskilda<br>författningar som får gälla framför den nya lagen. Frågan om generella<br>undantag med hänsyn till offentlighetsprincipen och tryck- och yttrande-<br>friheten samt för rent privat användning av personuppgifter och för ord-<br>och textbehandling tas upp i avsnitt 8.</p>
<p>Vi anser att det traditionella svenska systemet med särregler i särskilda<br>författningar är att föredra framför generella undantag från den nya lagen<br>Det är i stort sett bara verksamhet inom den offentliga sektorn som med<br>hänsyn till EG-direktivet skulle kunna undantas från den nya lagen. Inom<br>den sektorn förekommer det t.ex. ofta stora mängder känsliga uppgifter<br>och uppgifter som har hämtats in med stöd av straffsanktionerad upp-<br>giftsplikt. Därför är det särskilt viktigt med ett starkt integntetsskydd när<br>det gäller uppgifter inom all offentlig verksamhet. Om viss offentlig<br>verksamhet skulle generellt undantas från lagen, finns det risk för att viss<br>behandling inom den sektom inte kommer att omfattas av någon<br>lagstiftning med motsvarande syfte som den nya lagen. Genom att det<br>krävs en särskild författning för att avvika från det integritetsskydd som<br>den nya lagen ger, garanteras däremot att behovet av särregler alltid<br>övervägs noga i den ordning som gäller för författningsgivning. Målet har<br>också varit att myndighetsregister med ett stort antal registrerade och ett<br>särskilt känsligt innehåll skall regleras särskilt i lag (prop 1990/91:60 s.<br>50 och KU 1990/91:11 s. 11) Det finns inte anledning att nu avvika från<br>det målet.</p>
<p>Den nya lagen bör således vara generellt tillämplig och omfatta även<br>sådan verksamhet som faller utanför EG-rätten samtidigt som avvikande<br>bestämmelser i lag eller förordning skall gälla framför den nya lagen<br>Detta innebär också att den nya lagen i princip bara bör innehålla<br>generella regler och att behovet av undantag och särregler för mer<br>speciella områden far tillgodoses genom andra författningar.</p>
<p>Såsom Datalagskommittén och flera remissinstanser har påpekat krävs<br>det en anpassning av befintliga registerförfattningar och en översyn av<br>vilka särregler som bör gälla i förhållande till den nya lagen. Vi avser att<br>snarast påbörja ett sådant anpassnings- och översyn sarbete.</p>
<p>41</p>
<h2>Lagens namn m.m.</h2>
<p>Prop. 1997/98:44</p>
<p>Regeringens förslag: Den nya lagen skall heta personuppgifislagen<br>Den som är ansvarig för en behandling av personuppgifter kallas i<br>lagen personuppgiftsansvarig, och den som hjälper den ansvarige och<br>behandlar personuppgifter för den ansvariges räkning kallas person-<br>uppgiftsbiträde. Den person med uppgift att självständigt se till att<br>personuppgifter behandlas på ett korrekt och lagligt sätt som den<br>personuppgiftsansvarige tillsatt kallas i lagenpersonuppgiftsombud</p>
<p>Datalagskommitténs förslag innebär att lagen skall heta person-<br>datalagen och att i lagen används beteckningarna persondataansvarig,<br>persondatabiträde och persondataombud.</p>
<p>Remissinstanserna: Flera remissinstanser har - främst mot bakgrund<br>av att uttrycket data för tankarna till datorer, medan den nya lagen<br>omfattar även viss manuell hantering - haft synpunkter på lagens namn<br>och andra terminologiska frågor, och många förslag har förts fram, bl.a.<br>lagen om behandling av personuppgifter och personuppgifislagen</p>
<p>Skälen för regeringens förslag: Den nya lagen reglerar något som<br>berör i princip samtliga människor i Sverige varje dag. Många har att<br>tillämpa lagen varje dag. En sådan lag bör ha ett kort namn. Därför är det<br>inte lämpligt att, såsom vissa föreslagit, kalla den nya lagen för lagen om<br>behandling av personuppgifter eller liknande</p>
<p>Såsom korta alternativ till persondatalag har föreslagits person-<br>uppgiftslag, mtegritetsskyddslag och persondataskyddslag. Alternativet<br>integritetsskyddslag bör inte väljas, eftersom lagen inte skyddar den per-<br>sonliga integriteten i andra avseenden än när det är fråga om behandling<br>av personuppgifter. Namnet persondataskyddslag är längre än person-<br>datalag samtidigt som det inte kan anses mera upplysande. Det namnet<br>bör därför mte väljas. Enligt vår mening låter namnet personuppgiftslag<br>bättre än persondatalag. Det leder inte heller tanken på något missvisande<br>sätt till enbart datorlagrade personuppgifter. Den nya lagen omfattar ju<br>inte bara automatiserad behandling i datorer av personuppgifter utan även<br>viss manuell behandling av sådana uppgifter, t.ex. på papper (se avsnitt<br>6.1). Vi anser därför att namnet personuppgiftslag bör väljas.</p>
<p>1 enlighet med det ställningstagandet bör den som är ansvarig för en<br>behandling av personuppgifter kallas personuppgiftsansvarig och den som<br>hjälper den ansvarige och behandlar personuppgifter för dennes räkning<br>kallas personuppgiftsbiträde, beteckningen behandlingsassistent, som<br>annars varit naturlig för denna befattning, far anses upptagen och därför<br>olämplig. Den person med uppgift att självständigt se till att person-<br>uppgifter behandlas på ett korrekt och lagligt sätt som den<br>personuppgiftsansvarige tillsatt bör vidare kallas personuppgiftsombud.<br>Enligt vår mening finns det inte någon beaktansvärd risk för att ombudet<br>och biträdet förväxlas. Att, såsom Datainspektionen föreslagit, kalla om-<br>budet för personuppgiftskontrollant är inte lämpligt, eftersom ombudet<br>främst skall kontrollera inte själva uppgifterna utan den person-<br>uppgiftsansvariges behandling av dem.</p>
<p>42</p>
<p>Den som en personuppgift avser bör, liksom i dag, kallas den Prop. 1997/98:44<br>registrerade. Att, såsom Datainspektionen föreslagit, i stället använda<br>uttrycket ”den som en personuppgift avser” förefaller otympligt</p>
<h2>Undantag från den nya lagen</h2>
<p>8.1</p>
<h3>Förhållandet till offentlighetsprincipen</h3>
<p>Regeringens bedömning: EG-direktivet går att förena med<br>offentlighetsprincipen</p>
<p>Regeringens förslag: I den nya lagen införs en uttrycklig bestämmelse<br>som klargör att lagen inte tillämpas, om det skulle inskränka myndig-<br>heternas skyldigheter att lämna ut personuppgifter enligt 2 kap TF. Det<br>införs också en bestämmelse om att lagen inte hindrar att en myndighet<br>arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om<br>hand av en arkivmyndighet</p>
<p>Datalagskommitténs bedömning och förslag överensstämmer med<br>regeringens</p>
<p>Remissinstanserna: Flera remissinstanser ger uttryck för tveksamhet i<br>frågan om direktivet går att förena med offentlighetsprincipen. Några<br>instanser, t.ex Justitiekanslem, Statskontoret och Juridiska fakultets-<br>nämnden vid Uppsala universitet, anger däremot uttryckligen att de delar<br>kommitténs uppfattning att direktivet går att förena med offentlig-<br>hetsprincipen eller att de inte har några invändningar mot den bedöm-<br>ningen</p>
<p>Skälen för regeringens bedömning och förslag: Sverige har efter<br>inträdet i Europeiska unionen tagit aktiv del i förhandlingarna om EG-<br>direktivet och agerat hårt för att få till stånd sådana lösningar att direktivet<br>inte står i motsättning till den svenska offentlighetsprincipen. De svenska<br>ansträngningarna på detta område har varit framgångsrika. På flera<br>punkter avviker det antagna direktivet från tidigare förslag. Det finns<br>enligt regeringens uppfattning i det antagna direktivet inte någon<br>bestämmelse som inte går att förena med den svenska offentlig-<br>hetsprincipen.</p>
<p>Offentlighetsprincipen enligt 2 kap TF innebär att myndigheterna är<br>skyldiga att - i den utsträckning sekretess inte hindrar det - lämna ut<br>allmänna handlingar till den som begär det. Av betydelse för den<br>grundlagsfästa offentlighetsprincipen är också myndigheternas skyldig-<br>heter enligt lag och andra författningar att bevara uppgifter och inte<br>korrigera dem på ett sådant sätt att ursprungsuppgiftema utplånas.</p>
<p>43</p>
<p>Utlämnande av personuppgifter</p>
<p>Att personuppgifter lämnas ut med stöd av den grundlagsfästa offentlig-<br>hetsprincipen är i och för sig att anse som en sådan behandling av person-<br>uppgifter som omfattas av EG-direktivet.</p>
<p>Av artikel 6.1 b i direktivet framgår att personuppgifter skall samlas in<br>för särskilda, uttryckligt angivna ändamål och att senare behandling av<br>uppgifterna inte får ske på ett sätt som är oförenligt med de ändamål för<br>vilka uppgifterna ursprungligen samlades in, också enligt Europarådets<br>dataskyddskonvention (artikel 5 b) skall personuppgifter för automatisk<br>databehandling lagras för särskilda ändamål och inte användas på ett sätt<br>som är oförenligt med dessa ändamål. - Enligt vår uppfattning, vilken<br>delas av Datalagskommittén samt flera remissinstanser, kan en myndig-<br>hets utlämnande av personuppgifter med stöd av offentlighetsprincipen<br>inte anses vara oförenligt med de ändamål för vilka uppgifterna ursprung-<br>ligen samlades in. Offentlighetsprincipen framgår av grundlagen och får<br>anses utgöra en integrerad del av all förvaltmngsverksamhet som myndig-<br>heterna ägnar sig åt.</p>
<p>Av artikel 7 framgår vidare att personuppgifter får behandlas, t.ex.<br>lämnas ut, om det är nödvändigt för att fullgöra en rättslig förpliktelse<br>som åvilar den registeransvarige eller för att fullgöra en arbetsuppgift som<br>är ett led i myndighetsutövning som utförs av den registeransvarige. - De<br>registeransvariga myndigheterna är rättsligt förpliktade att följa bl.a.<br>grundlagsreglerna om utlämnande av allmänna handlingar, och<br>utlämnandet är också ett led i deras myndighetsutövning. Utlämnandet är<br>alltså tillåtet enligt artikel 7.</p>
<p>Behandling - utlämnande - av känsliga personuppgifter skall i princip<br>förbjudas enligt artikel 8. Det är emellertid tillåtet att av hänsyn till ett<br>viktigt allmänt intresse göra undantag från förbudet, om det finns<br>lämpliga skyddsåtgärder (artikel 8.4). - Att utlämnande kan ske enligt den<br>grundlagsfästa offentlighetsprincipen är ett viktigt svenskt allmänt<br>intresse. De svenska sekretessbestämmelserna medför att sådana känsliga<br>personuppgifter som avses i artikel 8 i praktiken inte kommer att lämnas<br>ut om den enskilde kan skadas eller drabbas negativt av utlämnandet.<br>Sekretessbestämmelserna får anses utgöra sådana lämpliga skydds-<br>åtgärder som avses i EG-direktivet. Det finns alltså inget hinder mot att<br>föreskriva ett undantag från det principiella förbudet mot behandling av<br>personuppgifter i artikel 8 för sådant utlämnande som sker med stöd av<br>offentlighetsprincipen</p>
<p>När uppgifter om en viss person samlas in från den berörde själv, skall<br>- enligt artikel 10 - den information lämnas som är nödvändig för att till-<br>försäkra den registrerade en korrekt behandling, exempelvis information<br>om ”mottagarna eller de kategorier som mottar uppgifterna”. Information<br>behöver dock inte lämnas i den utsträckning den registrerade redan<br>känner till informationen. I artikel 11.1 finns det motsvarande bestäm-<br>melser för det fallet att personuppgifterna inte har samlats in från den<br>registrerade själv utan hämtats från något annat håll. - Eftersom offent-<br>lighetsprincipen innebär att var och en kan få ut icke-sekretessbelagda<br>personuppgifter och att den som får uppgifterna i princip har rätt att vara<br>anonym, kan den myndighet som samlar in personuppgifter inte lämna<br></p>
<p>Prop. 1997/98:44</p>
<p>44</p>
<p>information om till vilka personer uppgifterna kan komma att lämnas ut Prop. 1997/98:44<br>Däremot kan information givetvis lämnas om att uppgifterna kan komma<br>att lämnas ut enligt offentlighetsprincipen till den som begär det, i den<br>mån de inte är sekretessbelagda. Härigenom far de registrerade - på det<br>sätt direktivet kräver - information om till vilka kategorier av mottagare<br>som uppgifterna kan komma att lämnas ut. Eftersom utlämnande enligt<br>offentlighetsprincipen sedan lång tid tillbaka föreskrivits i svensk<br>grundlag, kan det vidare förutsättas att allmänheten redan känner till att så<br>kan ske. Därför torde det inte vara nödvändigt att lämna särskild<br>information i detta hänseende</p>
<p>Enligt artikel 13.1 g är det tillåtet för medlemsstaterna att göra nöd-<br>vändiga undantag från bl.a. bestämmelserna i artikel 6.1, 10 och 11.1 med<br>hänsyn till skyddet av den registrerades eller andras fri- och rättigheter. -<br>Rätten för var och en att få ta del av allmänna handlingar som inte är<br>sekretessbelagda med stöd av den grundlagsfästa offentlighetsprincipen är<br>en sådan rättighet som kan göra det befogat med undantag</p>
<p>För att undanröja alla eventuella oklarheter vid tolkningen av direktivet<br>på denna punkt har det dessutom på svenskt initiativ tagits in en klausul i<br>direktivets ingress (punkt 72) som gör det möjligt att ta hänsyn till<br>offentlighetsprincipen när direktivets bestämmelser genomförs i nationell<br>rätt. I ingressen talas det i den svenska versionen av direktivet om<br>”principen om allmänhetens rätt till tillgång till allmänna handlingar”<br>Den svenska språkversionen har samma giltighet som andra språk-<br>versioner. Eftersom klausulen kommit till på svenskt initiativ, står det<br>enligt regeringens mening klart att den svenska offentlighetsprincipen<br>omfattas av uttrycket. De invändningar som förts fram av vissa remiss-<br>instanser beträffande det förhållandet att det i andra språkversioner av<br>direktivet används uttryck som måhända syftar på annat än det svenska<br>begreppet allmänna handlingar framstår därför inte som bärkraftiga</p>
<p>Lagrådet har, efter att ha redovisat bl.a. att Datalagsutredningen i sitt<br>betänkande En ny datalag, SOU 1993:10, ifrågasatte ett då föreliggande<br>direktivförslags förenlighet med offentlighetsprincipen, anfört att det inte<br>är övertygat om att direktivet går att förena med offentlighetsprincipen<br>och att de tolkningar regeringen gör framstår som pressade. Lagrådet<br>anför bl.a. att det mot bakgrund av syftet med direktivet (skapandet av en<br>gemensam hög skyddsnivå som skapar förutsättningar för ett fritt flöde av<br>uppgifter mellan länderna) inte är sannolikt att EG-domstolen skulle<br>godta en tolkning av direktivet i den riktning som regeringen gjort och att<br>det finns en påtaglig risk för att domstolen skulle finna offent-<br>lighetsprincipen oförenlig med direktivet. För att man skall vara säker på<br>att den svenska lagstiftningen skall stå sig vid en prövning i EG-<br>domstolen måste enligt Lagrådet bestämmelserna i TF och sekretesslagen<br>(1980:100) ändras.</p>
<p>Vi kan inte dela de farhågor rörande EG-direktivets förenlighet med<br>offentlighetsprincipen som förts fram av Lagrådet och, tidigare, av en del<br>remissinstanser. Det rör sig här om en svensk grundlagsskyddad rättighet<br>med lång tradition som är en viktig del av det svenska statsskicket. Den<br>svenska offentlighetsprincipens starka ställning och grundläggande<br>betydelse för det svenska förvaltningssystemet är också väl känd i de<br>övriga medlemsstaterna. Under det förhandlingsarbete som ägde rum efter<br></p>
<p>att Sverige blivit medlem i Europeiska unionen förändrades direktivet på Prop. 1997/98:44<br>flera punkter av särskilt stor betydelse för frågan om förhållandet till<br>offentlighetsprincipen. Det förslag till direktiv som Datalagsutredningen<br>hade att ta ställning till skiljer sig alltså på avgörande punkter från<br>direktivet i dess slutliga form. Flera förändringar har således skett i direk-<br>tivtexten. Ändamålsbestämmelsen i artikel 6.1 b och gallrmgsbestäm-<br>melsen i artikel 6.1 e har fått ändrade lydelser. Bestämmelsen om<br>informationsskyldighet i artikel 11 har försetts med ett undantag som<br>innebär att information kan underlåtas om utlämnande uttryckligen<br>föreskrivs i författning. Dessutom har möjligheten att behandla känsliga<br>uppgifter utan samtycke utökats. Detta kan ske om det är nödvändigt för<br>ett viktigt allmänt intresse och det finns tillräckliga skyddsregler (artikel<br>8.4). Förbudet att behandla känsliga uppgifter gäller inte heller uppgifter<br>som den registrerade offentliggjort (artikel 8.2 e).</p>
<p>Det är också av betydelse att förändringarna till stor del föranleddes av<br>den svenska inställningen och att förändringarna alltså syftade till att göra<br>det möjligt för medlemsstaterna att förena regler om skydd för person-<br>uppgifter med en offentlighetsprincip. Detta har ju särskilt tydligt mani-<br>festerats i punkt 72 i ingressen.</p>
<p>Sverige har också i samband med förhandlingarna som resulterade i<br>Amsterdamfördraget hårt drivit frågan om ökad öppenhet inom Euro-<br>peiska unionen Detta arbete har varit framgångsrikt bl.a. eftersom<br>Sverige kunnat påvisa den positiva betydelse en väl utvecklad<br>offentlighetsprincip har haft för vårt land Utvecklingen inom Europeiska<br>unionen går nu otvivelaktigt mot ökad öppenhet. Situationen är alltså helt<br>annorlunda i dag än den var när Datalagsutredningen analyserade det då<br>föreliggande förslaget. Det bör också framhållas att Lagrådet inte har<br>preciserat sin kritik mot vår tolkning samt att Lagrådet uttalat viss<br>förståelse för att vi inte vill göra ett ingrepp i offentlighetsprincipen. Den<br>bedömning som redovisats i det föregående rörande tolkningen av olika<br>artiklar i direktivet är enligt vår mening, särskilt mot bakgrund av för-<br>klaringen om offentlighetsprincipen i direktivets ingress, ytterst<br>välgrundad. Det finns inte anledning att anta att EG-domstolen vid en<br>eventuell prövning av frågan skulle se saken på annat sätt.</p>
<p>En bestämmelse i den nya lagen anger att lagen inte tillämpas, om det<br>skulle inskränka myndigheternas skyldigheter att lämna ut person-<br>uppgifter enligt 2 kap. TF. Lagrådet har anfört att denna bestämmelse bör<br>utgå, oavsett om direktivet anses förenligt med offentlighetsprincipen<br>eller ej, eftersom bestämmelsen är onödig eller oförenlig med direktivet<br>Vi delar inte denna uppfattning. Som ovan framgår anser vi att<br>offentlighetsprincipen är förenlig med direktivet. Frågan är således om<br>bestämmelsen är onödig eftersom den nya lagen inte kan tillämpas i strid<br>med grundlagarna. Även om bestämmelser i grundlag alltid tar över<br>bestämmelser i vanlig lag, anser vi att det i klargörande syfte bör tas in en<br>bestämmelse som uttryckligen anger detta förhållande</p>
<p>Korrigering av personuppgifter</p>
<p>Enligt artikel 6.1 c-d i EG-direktivet är det ett grundläggande krav att de<br>behandlade personuppgifterna är adekvata, relevanta, riktiga och, om nöd-<br></p>
<p>46</p>
<p>vändigt, aktuella Den registrerade skall vidare enligt artikel 12 b ha rätt Prop. 1997/98:44<br>att i förekommande fall få sådana uppgifter som inte har behandlats i<br>enlighet med bestämmelserna i direktivet rättade, utplånade eller<br>blockerade, särskilt om uppgifterna är ofullständiga eller felaktiga. Enligt<br>artikel 13.1 g är det dock tillåtet för medlemsstaterna att göra nödvändiga<br>undantag från bl.a. bestämmelserna i artikel 6.1 och 12 med hänsyn till<br>skyddet av den registrerades eller andras fri- och rättigheter</p>
<p>Det är enligt direktivet tillåtet att låta en myndighet välja metod för<br>korrigering av uppgifter i allmänna handlingar Myndigheter behöver<br>alltså inte på grund av direktivet och den nya lagen utplåna felaktiga<br>uppgifter till förfång för allmänhetens rättigheter enligt offentlighets-<br>principen.</p>
<p>Korrigeringsmetoden blockering får anses innebära bl.a att de<br>blockerade uppgifterna inte skall lämnas ut till tredje man Med stöd av<br>artikel 13.1 g är det emellertid möjligt att göra ett undantag för sådant<br>utlämnande som sker med stöd av offentlighetsprincipen enligt 2 kap. TF<br>Lagrådet har mot bakgrund av sin inställning i fråga om offentlig-<br>hetsprincipen föreslagit att hänvisningen till TF ersätts med ”denna lag”.<br>Vi är som framgår ovan av en annan uppfattning och föreslår att ett sådant<br>undantag görs</p>
<p>Bestämmelserna om korrigering behandlas vidare i avsnitt 11.6</p>
<p>Bevarande av personuppgifter</p>
<p>Enligt artikel 6.1 b i EG-direktivet skall personuppgifter samlas in för sär-<br>skilda, uttryckligt angivna och berättigade ändamål. Behandling får inte<br>senare ske av uppgifterna på ett sätt som är oförenligt med de ursprungli-<br>gen angivna ändamålen Senare behandling för historiska, statistiska och<br>vetenskapliga ändamål skall dock enligt vad som uttryckligen anges inte<br>anses oförenlig med de ursprungliga ändamålen Det förutsätts att med-<br>lemsstaterna i detta fall beslutar om lämpliga skyddsåtgärder. Personupp-<br>gifterna får vidare, enligt artikel 6.1 e, lagras bara så länge det är nödvän-<br>digt med hänsyn till de ursprungliga eller senare ändamålen med behand-<br>lingen För personuppgifter som lagras under längre perioder för histo-<br>riska, statistiska och vetenskapliga ändamål skall medlemsstaterna vidta<br>lämpliga skyddsåtgärder.</p>
<p>Behandlingen av personuppgifterna måste vidare alltid vara tillåten en-<br>ligt artikel 7 i direktivet, t.ex. därför att behandlingen är nödvändig för att<br>fullgöra en rättslig förpliktelse som åvilar den registeransvarige eller för<br>att utföra en arbetsuppgift av allmänt intresse. Gäller det känsliga person-<br>uppgifter, måste också förutsättningarna i artikel 8 vara uppfyllda, t.ex. att<br>medlemsstaten av hänsyn till ett viktigt allmänt intresse har föreskrivit att<br>behandlingen är tillåten.</p>
<p>Myndigheternas arkiv är en del av det svenska nationella kulturarvet,<br>och arkiven skall tillgodose</p>
<p>• rätten att ta del av allmänna handlingar,</p>
<p>• behovet av information för rättskipningen och förvaltningen samt</p>
<p>• forskningens behov (3 § tredje stycket arkivlagen).</p>
<p>De ändamål som bevarandet av myndighetsarkiven skall tillgodose kan 47</p>
<p>hänföras under vad som i EG-direktivet kallas ”historiska, statistiska och<br></p>
<p>vetenskapliga ändamål”. Det är således mte nödvändigt att myndigheterna Prop. 1997/98:44<br>redan när personuppgifterna samlas in uttryckligen anger arkivering och<br>bevarande som ett ändamål för behandlingen. Är en myndighets primära<br>hantering av uppgifterna tillåten, kan det mte anses oförenligt med den<br>primära hanteringen att bevara uppgifterna. Det kan inte heller anses<br>oförenligt med de ursprungligen angivna ändamålen att myndigheten efter<br>en tid lämnar över sina handlingar till en arkivmyndighet för långtidsför-<br>varing.</p>
<p>Myndigheterna är rättsligt förpliktade att bevara allmänna handlingar,<br>och bevarandet är också en arbetsuppgift av allmänt intresse. Den behand-<br>ling av icke känsliga personuppgifter som bevarandet utgör är således<br>tillåten enligt artikel 7. För myndigheternas bevarande av känsliga person-<br>uppgifter behövs det däremot ett undantag enligt artikel 8 4. De svenska<br>myndigheternas bevarande även av känsliga personuppgifter utgör ett<br>sådant viktigt allmänt intresse som berättigar en medlemsstat att göra ett<br>undantag. Detta undantag måste omfatta också den insamling och det<br>långtidsbevarande av personuppgifter som sker vid de särskilda<br>arkivmyndigheterna som tar emot arkivmaterial från myndigheter och<br>enskilda. Att arkivmyndigheten i sin tur lämnar ut icke sekretessbelagda<br>uppgifter med stöd av offentlighetsprincipen kan enligt regeringens<br>bedömning inte anses oförenligt med de ändamål för vilka ar-<br>kivmyndigheten samlade in uppgifterna</p>
<p>De bestämmelser som finns om sekretess och skydd för arkiv får anses<br>utgöra sådana lämpliga skyddsåtgärder som krävs enligt EG-direktivet</p>
<p>Lagrådet har uttalat att såvitt framgår av lagrådsremissen är undan-<br>tagen i fråga om bevarande och arkivering av allmänna handlingar moti-<br>verade endast med hänsyn till undantagens betydelse för offent-<br>lighetsprincipen och har dragit slutsatsen att undantagen strider mot det<br>övergripande syftet med direktivet samt föreslagit att undantagen utgår. Vi<br>anser däremot att offentlighetsprincipen är förenlig med direktivet och att<br>undantagen är av väsentlig betydelse för offentlighetsprincipen Dessutom<br>är det ett viktigt allmänt intresse i sig att de syften som ligger till grund för<br>arkiven och som redovisats ovan kan tillgodoses</p>
<p>Den nya lagen bör således innehålla en uttrycklig bestämmelse om att<br>lagen inte hindrar att en myndighet bevarar allmänna handlingar eller att<br>arkivmaterial tas om hand av en arkivmyndighet</p>
<p>48</p>
<h3>8.2</h3>
<h3>Förhållandet till tryck- och yttrandefriheten</h3>
<p>Prop 1997/98:44</p>
<p>Regeringens förslag: Bestämmelserna i den nya lagen tillämpas inte i<br>den utsträckning det skulle strida mot bestämmelserna om tryck- och<br>yttrandefrihet i tryckfrihetsförordningen (TF) eller yttrandefrihets-<br>grundlagen (YGL).</p>
<p>I den nya lagen görs vidare ett undantag för sådan behandling av<br>personuppgifter som annars sker uteslutande för journalistiska ändamål<br>eller konstnärligt eller litterärt skapande. Den nya lagens bestämmelser<br>om säkerhetsåtgärder vid behandling av personuppgifter skall dock<br>tillämpas i dessa fall.</p>
<p>Datalagskommitténs förslag överensstämmer delvis med regeringens.<br>Datalagskommittén föreslår dock i stället för den erinran som föreslås av<br>regeringen en bestämmelse om att förfaranden som skyddas av<br>tryckfrihetsförordningen (TF) eller yttrandefrihetsgrundlagen (YGL) skall<br>undantas från tillämpningen av de flesta bestämmelserna i lagen.<br>Kommittén föreslår också att ett undantag görs för spridningen av sådana<br>yttranden som är skyddade enligt TF eller YGL (dvs. ett skydd för vidare<br>spridning av ett en gång skyddat yttrande).</p>
<p>Remissinstanserna: Några remissinstanser - Hovrätten över Skåne<br>och Blekinge, Malmö tingsrätt, Kammarrätten i Stockholm, Kammar-<br>rätten i Göteborg och Länsrätten i Stockholms län - uttrycker tveksamhet<br>i frågan om det föreslagna undantaget är förenligt med direktivet. Svea<br>hovrätt, Justitiekanslem och Juridiska fakultetsnämnden vid Uppsala<br>universitet har däremot inga invändningar mot kommitténs överväganden.<br>Juridiska fakultetsnämnden vid Uppsala universitet anser att sådant som<br>faller utanför TF och YGL inte bör undantas. Liknande synpunkter förs<br>fram av Tjänstemännens centralorganisation, Svenska journalistför-<br>bundet och Föreningen grävande journalister. Svenska tidningsutgivare-<br>föreningen anser däremot att det är positivt att all journalistisk och<br>konstnärlig verksamhet undantas.</p>
<p>Skälen for regeringens förslag: Enligt artikel 9 i EG-direktivet skall<br>Sverige med avseende på sådan behandling av personuppgifter som sker<br>uteslutande för journalistiska ändamål eller konstnärligt eller litterärt<br>skapande besluta om undantag och avvikelser från de materiella<br>bestämmelserna i direktivet. Det gäller dock bara om undantagen och<br>avvikelserna är nödvändiga för att förena rätten till privatlivet med<br>reglerna om yttrandefriheten</p>
<p>Genom artikel 13 i EG-direktivet ges en möjlighet för medlemsstaterna<br>att genom lagstiftning begränsa omfattningen av de skyldigheter och<br>rättigheter som anges i artiklarna 5-21 i fall då en sådan begränsning är<br>en nödvändig åtgärd med hänsyn till bl.a. skyddet av den registrerades<br>eller andras fri- och rättigheter. Det är osäkert om dessa fri- och<br>rättigheter innefattar yttrandefriheten, eftersom ett särskilt undantag finns<br>i artikel 9.</p>
<p>I den nuvarande datalagen finns det inte någon uttrycklig bestämmelse<br>om lagens förhållande till tryck- och yttrandefriheten enligt TF och YGL<br>Genom praxis har det emellertid klarlagts att bestämmelser i den</p>
<p>49</p>
<p>4 Riksdagen 1997/98. 1 samt. Nr 44<br></p>
<p>nuvarande datalagen inte skall tillämpas på inrättandet och förandet av Prop. 1997/98:44<br>personregister som används som ett direkt tekniskt hjälpmedel i<br>grundlagsskyddad framställning och spridning av yttranden (se t.ex.<br>regeringsbeslut 1994-04-14, Ju93-3260, som gällde en journalist som<br>ville skriva en bok med hjälp av en dator, och 1994-09-15, Ju94-140, i<br>vilket spridningen av en databas med nyhetstelegram ansågs falla under<br>1 kap. 9 § YGL, jfr också Mediekommitténs betänkande SOU 1997:49 s.</p>
<p>272 ff.).</p>
<p>Den s.k. IT-utredningen har i sitt betänkande Elektronisk dokument-<br>hantering, SOU 1996:40, föreslagit att undantag skall göras från data-<br>skyddslagstiftnmgen för personregister som ingår i en elektronisk förmed-<br>lingstjänst.</p>
<p>Bestämmelser i vanlig lag kan inte ta över bestämmelser i grundlag.<br>Skall bestämmelserna i den nya lagen inskränka den tryck- och yttrande-<br>frihet som är föremål för en detaljerad reglering i TF och YGL, måste<br>justeringar göras i dessa grundlagar. Tillämpningen av flera bestämmelser<br>i den nya lagen, som måste införas på grund av EG-direktivet, kan komma<br>i konflikt med bestämmelserna om tryck- och yttrandefrihet i TF och<br>YGL. Det gäller t.ex. bestämmelserna i den nya lagen om tillsyns-<br>myndighetens befogenheter och om när en behandling är tillåten.</p>
<p>Såväl Datalagskommittén som Mediekommittén (se kommitténs<br>betänkande Grundlagsskydd för nya medier, SOU 1997:49) har övervägt<br>frågan om det antagna EG-direktivet går att förena med bestämmelserna<br>om tryck- och yttrandefrihet i TF och YGL. Båda kommittéerna anser att<br>det är möjligt att från de bestämmelser som måste införas på grund av<br>EG-direktivet undanta det som i Sverige är grundlagsskyddat. En del<br>remissinstanser lämnar den bedömningen utan erinran, medan andra anser<br>att frågan är mera tveksam. Vi anser i likhet med de båda kommittéerna<br>och en del remissinstanser, t.ex. Svea hovrätt och Justitiekanslem, att det<br>är möjligt att låta TF och YGL gälla oförändrade med stöd av artikel 9 i<br>EG-direktivet. Den artikeln ger ett visst spelrum till medlemsstaterna och<br>gör det möjligt att vid utformningen av nationella undantag bl.a. beakta<br>konstitutionella traditioner och principer. Det är också av betydelse att<br>Europakonventionens fri- och rättigheter skall respekteras som allmänna<br>principer på EG-rättens område. Av Europadomstolens tillämpning av<br>den konventionen framgår att integritetsskyddsintressena och yttrande-<br>frihetsintressena skall vägas mot varandra. Sambandet med Europa-<br>konventionen framgår också av att punkt 37 i ingressen till EG-direktivet,<br>som rör möjligheten till undantag enligt artikel 9, uttryckligen refererar till<br>Europakonventionen.</p>
<p>Lagrådet har uttalat att det, med en försiktig formulering, får anses<br>tveksamt om EG-domstolen skulle acceptera att de bestämmelser i<br>direktivet som införlivas med svensk rätt genom den nya lagen får vika för<br>de svenska grundlagarna i vidare mån än som medges enligt ordalagen av<br>artikel 9 i direktivet samt avstyrkt att ett så vittgående undantag från<br>integritetsskyddsintressena som följer av TF och YGL tolkas in i<br>artiklarna. Lagrådet har också uttalat att vill man vara säker på att inte<br>lagstifta i strid med direktivet, bör i stället reglerna i TF och YGL ändras<br>så att en konflikt undviks</p>
<p>50</p>
<p>Enligt vår mening finns det, på grund av vad som ovan anförts, inte Prop. 1997/98:44<br>anledning att nu av mtegntetsskyddsskäl föreslå inskränkningar i tryck-<br>och yttrandefriheten enligt TF och YGL. TF och YGL innehåller bestäm-<br>melser som är av väsentlig betydelse för det svenska statsskicket, och vår<br>inställning är att det finns ett handlingsutrymme vid genomförandet av<br>direktivet som bör kunna medföra att en tillämpning av den nya lagen som<br>kan komma att strida mot TF eller YGL inte kan godtas Enligt vår<br>mening finns det inte heller någon beaktansvärd risk för att EG-domstolen<br>skulle göra en annan bedömning Det är i detta sammanhang viktigt att<br>framhålla att Sverige i samband med att direktivet antogs i ministerrådets<br>protokoll fått intaget att Sverige anser att begreppet konstnärliga och<br>litterära uttryck mera syftar på uttrycksmedlen än kommunikationens<br>innehåll eller dess kvalitet. Detta ligger väl i linje med hur TF och YGL är<br>uppbyggda.</p>
<p>Datalagskommittén har föreslagit bl. a. att sådana förfaranden som är<br>skyddade enligt TF eller YGL och all spridning av innehållet i sådana<br>medier som omfattas av TF eller YGL skulle undantas från de allra flesta<br>bestämmelserna i den nya lagen. Avsikten med formuleringen var att<br>undanta förfaranden som avses i TF eller YGL även om en viss<br>tillämpning av en bestämmelse i den nya lagen i ett konkret fall inte skulle<br>komma i strid med TF eller YGL respektive att skydda vidare spridning<br>till icke-grundlagsskyddade medier av yttranden som kommit till stånd i<br>ett grundlagsskyddat medium</p>
<p>Syftet med TF och YGL är att garantera tryck- och yttrandefriheten.<br>Stor försiktighet skall iakttas vid alla ingripanden som riktar sig mot<br>företeelser som typiskt sett åtnjuter skydd av grundlagarna. Om ett<br>ingripande är oförenligt med grundlagarnas syfte, men ändå inte direkt<br>strider mot någon bestämmelse, bör ingripandet alltså underlåtas Denna<br>försiktighet måste givetvis iakttas även vid ingripanden som stödjer sig på<br>den nya lagen Den av Datalagskommittén föreslagna lydelsen i fråga om<br>förfaranden som skyddas av TF eller YGL utgör ett försök att i den nya<br>lagen definiera detta område och slå fast att denna princip vid tillämp-<br>ningen skall gälla också här. Vi delar i grunden den inställning i frågan<br>som kommittén har, nämligen att respekten för grundlagarna skall speglas<br>i tillämpningen i förhållande till den nya lagen. Det vore dock mindre<br>lämpligt att i den nya lagen uttryckligen genom en definition slå fast det<br>område där respekten för det grundlagsskyddade området normalt sett<br>skulle leda till att ingripanden med stöd av den nya lagen underläts. Det<br>finns nämligen en risk för att definitionen i praktiken skulle medföra att<br>ingripanden skulle kunna ske i enskilda fall där ingripanden underlåtits<br>om någon definition mte intagits i lagen. Särskilt gäller detta eftersom i<br>kommitténs förslag inte alla av den föreslagna lagens bestämmelser skulle<br>undantas. Undantaget skulle i ett sådant fall innebära en risk för en<br>inskränkning av tryck- och yttrandefriheten jämfört med vad som gäller i<br>dag</p>
<p>Bestämmelserna i den nya lagen kan, som tidigare nämnts, inte ta över<br>bestämmelserna i grundlag. Lagrådet har avstyrkt att detta uttryckligen<br>anges i lagtexten. Vår uppfattning är dock att lagtexten i syfte att klargöra<br>och underlätta tillämpningen bör innehålla en uttrycklig erinran om att<br>bestämmelserna i lagen inte skall tillämpas om en sådan tillämpning $1<br></p>
<p>skulle strida mot bestämmelserna om tryck- och yttrandefrihet i TF eller Prop. 1997/98:44<br>YGL. En sådan erinran är viktig för att inskärpa att tillämpningen vid fall<br>av möjliga konflikter skall präglas av försiktighet och respekt för det<br>grundlagsskyddade området</p>
<p>Vi anser vidare - i likhet med Datalagskommittén och de allra flesta<br>remissinstanserna - att man bör göra ytterligare undantag för att främja<br>tryck- och yttrandefriheten än att enbart konstatera att TF och YGL inte<br>kan inskränkas genom den nya lagen.</p>
<p>EG-direktivet tillåter att nödvändiga undantag görs för all behandling<br>av personuppgifter som sker uteslutande för journalistiska ändamål eller<br>konstnärligt eller litterärt skapande. Eftersom grundlagsskyddet för tryck-<br>och yttrandefriheten i TF och YGL inte avser alla former av yttranden, har<br>inte all journalistisk, konstnärlig och litterär verksamhet sådant grund-<br>lagsskydd. Utanför detta grundlagsskydd kan falla t.ex. författandet av en<br>teaterpjäs för offentligt framförande och journalistisk verksamhet på<br>Internet som resulterar i yttranden som bara sprids där.</p>
<p>Datalagskommittén har föreslagit att undantaget från den nya lagen för<br>tryck- och yttrandefriheten far den vidare omfattning som medges av EG-<br>direktivet. Juridiska fakultetsnämnden vid Uppsala universitet anser<br>däremot att sådant som faller utanför TF och YGL inte bör undantas.<br>Tjänstemännens centralorganisation, Svenska journalistförbundet och<br>Föreningen grävande journalister vänder sig emot att vissa grupper -<br>journalister, konstnärer och litteratörer - skulle särbehandlas på detta sätt,<br>eftersom yttrandefriheten är en rättighet som bör tillkomma var och en.<br>Svenska tidningsutgivareföreningen anser att det är positivt att all<br>journalistisk och konstnärlig verksamhet undantas</p>
<p>Det torde råda enighet om att seriös journalistisk, konstnärlig och<br>litterär verksamhet är skyddsvärd oavsett genom vilket medium resultatet<br>av verksamheten sprids. Journalistisk, konstnärlig och litterär verksamhet<br>har särskild betydelse för yttrandefriheten i vid mening även när<br>verksamheten inte har skydd av de preciserade bestämmelserna i TF och<br>YGL. Enligt vår mening har sådan verksamhet så stor betydelse att den<br>skall kunna bedrivas obehindrat. Det undantag från den nya lagens<br>hanteringsbestämmelser som EG-direktivet medger bör därför utnyttjas<br>fullt ut. Det är t.ex. inte rimligt att författaren till en lokal nyårsrevy på<br>grund av den nya lagen skulle behöva i förväg informera de personer<br>revyn handlar om och kanske också inhämta deras samtycke. Allvarligare<br>övergrepp genom nu avsedd journalistisk, konstnärlig och litterär verk-<br>samhet kan angripas enligt allmänna bestämmelser, t.ex. om straff och<br>skadestånd för förtal.</p>
<p>Tillsynsmyndighetens tillsyn över lagens tillämpning avser tillämp-<br>ningen av samtliga materiella bestämmelser i den nya lagen. Bland annat<br>därför kan det vara befogat att undantaget för behandling av person-<br>uppgifter för journalistiska ändamål m.m. får avse så gott som samtliga<br>bestämmelser i den nya lagen.</p>
<p>Det är vid all behandling av personuppgifter viktigt att ha en lämplig<br>säkerhetsnivå så att personuppgifter mte t.ex. läcker ut eller annars sprids<br>på ett icke avsett vis. Därför bör undantaget för behandling för journa-<br>listiska ändamål m.m. inte omfatta bestämmelserna om säkerhetsåtgärder<br>i den nya lagen. Det innebär att det även vid sådan behandling som avses<br></p>
<p>med undantagen måste vidtas lämpliga tekniska och organisatoriska<br>åtgärder för att skydda de personuppgifter som behandlas.</p>
<p>Enligt vår mening kan för övrigt en tillämpning av bestämmelserna i<br>den nya lagen om de säkerhetsåtgärder som skall vidtas vid behandling av<br>personuppgifter i de allra flesta fall inte heller komma i konflikt med<br>grundlagarna. Bestämmelserna om skyddsåtgärder far dock, som nämnts,<br>inte tillämpas om det i det enskilda fallet skulle strida mot TF eller YGL.</p>
<p>Datalagskommittén har som ovan nämnts föreslagit ett undantag från<br>tillämpningen av personuppgiftslagen för vidarespridning av yttranden<br>som kommit till stånd i ett grundlagsskyddat medium. Vi har sympati för<br>kommitténs uppfattning. Kommitténs förslag att yttranden skulle undantas<br>från tillämpningen av den nya lagen även i medier som inte omfattas av<br>bestämmelserna i TF eller YGL om yttrandet tidigare omfattats av dessa<br>grundlagar lades därför fram i lagrådsremissen. Lagrådet har avstyrkt<br>undantaget och anfört att bestämmelsen sannolikt inte skulle stå sig vid en<br>rättslig prövning i EG-domstolen eftersom det inte rör sig om något<br>grundlagsfäst yttrandefrihetsintresse som kan vägas mot integritets-<br>skyddsintresset. Den kritik som Lagrådet riktar mot bestämmelsen kan<br>vara riktig såtillvida att det kan finnas enskilda fall av tillämpningar som<br>faller under det föreslagna undantaget som inte har grundlagsskydd eller<br>stöd i den möjlighet direktivet ger att göra undantag. Vi väljer därför att<br>inte föreslå något uttryckligt undantag för vidarespridningsfallet. Vi är<br>ändock av uppfattningen att det undantag som redovisats ovan och som<br>följer direktivets ordalydelse i de allra flesta fall omfattar de situationer<br>som avsågs med undantaget för vidarespridning. Eftersom undantaget bör<br>utformas efter direktivets lydelse bör det inte i den nya lagen göras något<br>generellt undantag för ett visst slag av kommunikation, såsom föreslagits<br>av IT-utredningen. Det är vår uppfattning att tolkningen av undantaget<br>som följer direktivets lydelse skall ske med hänsyn till den svenska<br>förklaring som vi refererat ovan. Detta kan fa betydelse särskilt för<br>kommunikation som inte bedrivs av yrkesverksamma journalister.</p>
<h3>8.3 Undantag för rent privat användning av person-<br>uppgifter</h3>
<p>Regeringens förslag: Sådan behandling av personuppgifter som en<br>fysisk person utför som ett led i en verksamhet av rent privat natur<br>undantas från den nya lagen.</p>
<p>Datalagskommitténs förslag överensstämmer med regeringens.</p>
<p>Remissinstanserna: Förslaget har godtagits eller lämnats utan erinran</p>
<p>Skälen för regeringens förslag: EG-direktivet gäller inte för sådan<br>behandling av personuppgifter som utförs av en fysisk person som ett led i<br>verksamhet av rent privat natur eller som har samband med hans eller<br>hennes hushåll (artikel 3.2). Det står alltså Sverige fritt att tillämpa den<br>nya lagen på sådan behandling eller låta bli.</p>
<p>Den nya lagen syftar till att skapa ett skydd för individens rent privata<br>sfar. Det vore därför ologiskt om den nya lagen i själva verket skulle<br></p>
<p>Prop. 1997/98:44</p>
<p>53</p>
<p>tillåtas tränga in i denna sfär genom införandet av myndighetskon- Prop. 1997/98:44<br>trollerade hanteringsregler för sådant som måste betraktas som rent<br>privata angelägenheter Vi anser således att möjligheten enligt direktivet<br>att undanta rent privat användning av personuppgifter bör utnyttjas fullt<br>ut. Den nya lagen bör alltså innehålla samma undantag som direktivet<br>Detta innebär t.ex att enskilda för rent privat bruk kan föra en elektronisk<br>dagbok eller registrera sina grannar eller släktingar</p>
<h3>8.4 Ord- och textbehandling kan inte generellt undantas</h3>
<p>Regeringens bedömning: Ord- och textbehandling eller liknande av<br>personuppgifter i löpande text kan inte generellt undantas från den nya<br>lagen, eftersom det skulle strida mot EG-direktivet</p>
<p>Datalagskommitténs bedömning överensstämmer med regeringens</p>
<p>Remissinstanserna: Många remissinstanser berör svårigheterna med<br>att tillämpa den nya lagen vid ord- och textbehandling eller liknande<br>Flera kommunala instanser och t ex Sveriges television AB och Svenska<br>bankföreningen föreslår att löpande text som används för ren ord- och<br>textbehandling undantas från lagen</p>
<p>Skälen för regeringens bedömning: EG-direktivet gäller för sådan<br>behandling av personuppgifter som helt eller delvis företas på automatisk<br>väg. Med behandling av personuppgifter avses enligt direktivet varje<br>åtgärd som vidtas beträffande personuppgifter Det finns inte något krav<br>på att de uppgifter som behandlas på automatisk väg skall vara<br>strukturerade i ett register eller liknande</p>
<p>Datoriserad ord- och textbehandling eller liknande av löpande text som<br>innehåller personuppgifter omfattas därför otvivelaktigt av direktivet<br>Någon möjlighet att generellt undanta sådan behandling finns inte enligt<br>direktivet. Den nya lagen kan alltså inte heller innehålla något sådant<br>generellt undantag I avsnitt 11 berörs frågan om undantag för person-<br>uppgifter i löpande text från informationsskyldighet. Där framgår att ett<br>visst undantag för sådana personuppgifter görs.</p>
<p>Däremot står det klart att direktivet inte i första hand tar sikte på sådan<br>behandling. Detta bör kunna beaktas vid tillämpningen av bestäm-<br>melserna i lagen Ord- och textbehandling av löpande text bör t.ex. kunna<br>undantas från skyldigheten att anmäla automatiska behandlingar till<br>tillsynsmyndigheten. Privatpersoners ord- och textbehandling och kom-<br>munikation med e-post faller också som regel under undantaget från lagen<br>för rent privat användning av personuppgifter. Det torde vidare<br>regelmässigt vara så att framställningen av ett brev eller någon annan<br>löpande text kan hänföras under något av de fall där behandling av<br>personuppgifter är tillåten (se avsnitt 11.3) och att de säkerhetsåtgärder<br>som måste vidtas (se avsnitt 11.8) kan anpassas till att det är fråga om<br>ord- och textbehandling. De grundläggande kraven vid all behandling av<br>personuppgifter (se avsnitt 11.2) torde utan större olägenheter kunna<br>tillämpas också på personuppgifter i löpande text.</p>
<p>54</p>
<h2>Det territoriella tillämpningsområdet för den <sup>Pr</sup>°P 1997/98 44<br>nya lagen</h2>
<p>Regeringens förslag: Den nya lagen skall tillämpas på sådana person-<br>uppgiftsansvariga som är etablerade i Sverige. Även när en person-<br>uppgiftsansvarig från tredje land använder utrustning som finns i<br>Sverige för behandling av personuppgifter skall som huvudregel den<br>svenska lagen tillämpas. I sådant fall skall den ansvarige utse en<br>företrädare för sig som är etablerad i Sverige.</p>
<p>Datalagskommitténs förslag överensstämmer med regeringens, dock<br>att kommittén föreslår att en utsedd företrädare skall anmälas till<br>Datainspektionen.</p>
<p>Remissinstanserna: Bara ett fatal remissinstanser har uttalat sig om<br>tillämpningsområdet. Kommunikationsforskningsberedningen efterlyser<br>en analys av reglerna om tillämpningsområdet, särskilt när det gäller<br>enskildas möjligheter att hävda sina rättigheter vid databehandling med<br>gränsöverskridande inslag. Datainspektionen anser att regeln om anmälan<br>av företrädare inte behövs eller i vart fall kan ändras så att anmälan skall<br>göras till Patent- och registreringsverket. Patent- och registreringsverket<br>anser däremot att det är lämpligare att anmälan görs till Datainspektionen.<br>Swedish Direct Marketing Association anser att förslaget är alltför<br>långtgående och föreslår att det ändras t.ex. så att lagen bara gäller för<br>behandling i Sverige</p>
<p>Skälen för regeringens förslag: I artikel 4 i EG-direktivet finns det en<br>i sina detaljer svårtolkad bestämmelse om det territoriella tillämp-<br>ningsområdet för varje medlemsstats lagstiftning. Frågan om den närmare<br>innebörden av artikeln har redan väckts inom den kommitté som inrättats<br>enligt artikel 31 i direktivet. Det är - för att undvika luckor och över-<br>lappningar - viktigt och nödvändigt att frågan löses i samförstånd mellan<br>samtliga medlemsstater. Det får förutsättas att så sker. Den närmare<br>analys av reglerna som Kommunikationsforskningsberedningen efterlyser<br>far göras inom ramen för det arbetet.</p>
<p>Som läget nu är förefaller det lämpligast att i den nya lagen bara ta in<br>de huvudregler som otvetydigt framgår av artikeln När samförstånd om<br>tolkningen uppnåtts får det övervägas om lagtexten behöver kompletteras<br>eller om saken kan lösas genom s.k. fördragskonform tolkning i rätts-<br>tillämpningen</p>
<p>När det gäller företrädare för en personuppgiftsansvarig som är<br>etablerad utanför EES, krävs enligt direktivet bara att den ansvarige utser<br>en företrädare som är etablerad i Sverige. Någon anmälan av företrädaren<br>till tillsynsmyndigheten krävs alltså inte enligt direktivet. Eftersom<br>Datainspektionen, som är den instans som skulle kunna ha haft nytta av<br>en anmälan för sin tillsyn, anser att någon anmälan inte behövs, finner<br>regeringen inte skäl att ta med bestämmelser om anmälningsskyldighet i<br>den nya lagen.</p>
<p>55</p>
<h2>10</h2>
<h2>Normgivningsdelegation</h2>
<p>Prop. 1997/98:44</p>
<p>Regeringens förslag: Regeringen bemyndigas att meddela föreskrifter<br>om att vissa behandlingar av personuppgifter skall förhandskon-<br>trolleras och om undantag från förbudet mot överföring av<br>personuppgifter till tredje land. Regeringen eller den myndighet som<br>regeringen bestämmer bemyndigas att</p>
<p>a) föreskriva undantag från vissa bestämmelser i den nya lagen, och</p>
<p>b) precisera de generella regler och principer som den nya lagen<br>innehåller</p>
<p>Bestämmelsen i 8 kap. 7 § första stycket 8 regeringsformen justeras<br>så att det blir möjligt för riksdagen att delegera föreskriftsrätt i fråga<br>om skydd för personlig integritet även vid manuell behandling av<br>personuppgifter.</p>
<p>Datalagskommitténs förslag överensstämmer i huvudsak med<br>regeringens.</p>
<p>Remissinstanserna: Många remissinstanser, t.ex. på det kommunala<br>området, anser att delegationen av normgivningsmakt går alltför långt och<br>förordar att flera bestämmelser ges i lag. De flesta instanserna, t.ex.<br>Juridiska fakultetsnämnden vid Uppsala universitet och Länsrätten i<br>Stockholms län, godtar eller lämnar utan erinran kommitténs resonemang<br>om de lagliga möjligheterna till delegation. Hovrätten över Skåne och<br>Blekinge anser emellertid att det lagliga utrymmet för delegation är<br>snävare än vad kommittén förutsatt. Juridiska fakultetsnämnden vid<br>Stockholms universitet förordar ytterligare utredning av frågan.</p>
<p>Skälen för regeringens förslag: Det finns med hänsyn till skyldig-<br>heterna enligt EG-direktivet ett behov av att delegera normgivnings-<br>kompetens på området till regeringen eller den myndighet som regeringen<br>bestämmer. Enligt vår bedömning är de bestämmelser i den nya lagen<br>som innebär att föreskrifter får meddelas i författningar av lägre valör än<br>lag förenliga med regeringsformen.</p>
<p>Behovet av normgivningsdelegation</p>
<p>De regler som finns i EG-direktivet och som införs i den nya lagen är<br>generella och behöver preciseras, t.ex. när det gäller den intresse-<br>awägnmg som behöver göras i en del fall för att avgöra om en viss<br>behandling av personuppgifter är tillåten och i fråga om vilka<br>säkerhetsåtgärder som behöver vidtas vid en behandling. Enligt artikel 5 i<br>direktivet åligger det för övrigt Sverige att inom den ram direktivet drar<br>upp precisera på vilka villkor behandling av personuppgifter är tillåten.</p>
<p>Vidare innehåller direktivet en hel del detaljregler, t.ex. i fråga om<br>vilka uppgifter en anmälan till tillsynsmyndigheten skali innehålla, som<br>det vore olämpligt att tynga lagtexten med</p>
<p>EG-direktivet medger också att det under vissa förutsättningar görs<br>undantag från vissa regler. Det gäller t.ex. undantag från ett förbud mot<br>behandling av känsliga personuppgifter eller uppgifter om lagöver-<br>trädelser m.m., undantag från ett förbud mot att föra över personuppgifter<br></p>
<p>56</p>
<p>till tredje land, dvs. en stat utanför EES, och undantag från skyldighet att Prop. 1997/98:44<br>till tillsynsmyndigheten anmäla automatiserad behandling av person-<br>uppgifter.</p>
<p>Direktivet kräver vidare att Sverige säkerställer att särskilt mte-<br>gritetskänsliga behandlingar av personuppgifter kontrolleras på förhand<br>och att det bestäms vilka behandlingar som skall förhandskontrolleras</p>
<p>En generell lag som i princip avser att reglera all icke privat använd-<br>ning av personuppgifter i datorer och manuella register kan inte gärna<br>innehålla annat än generella principer och de allra viktigaste undantagen<br>från dessa. Lagen skulle i annat fall bli alldeles för otymplig. De generella<br>principer som lagen innehåller och som bygger på EG-direktivet är vidare<br>tämligen beständiga, medan behov av närmare preciseringar och undantag<br>av naturliga skäl kommer att växla över tiden och kan uppkomma hastigt<br>Detta beror bl.a. på den snabba tekniska utvecklingen, framväxten av nya,<br>i dag oförutsägbara sätt att samla in och utnyttja personuppgifter och<br>värderingsförändnngar. En ordning som innebär att varje liten justering i<br>det kompletterande regelverket kräver en sedvanlig lagstiftningsprocess<br>framstår därför som onödigt omständlig och ohanterlig. Det finns alltså ett<br>behov av att delegera normgivningskompetens på området.</p>
<p>I den utsträckning som det är befogat med ett ställningstagande från<br>riksdagens sida, finns det alltid möjlighet att ge regleringen på något visst<br>område i lag I sådant fall är normgivning på lägre nivå i strid med den<br>lagregleringen utesluten, om inte annat följer av den aktuella lagen. 1<br>enlighet med vad som anges i avsnitt 6.2 finns det enligt vår mening inte<br>heller anledning att nu avvika från målsättningen att myndighetsregister<br>med ett stort antal registrerade och ett särskilt känsligt innehåll skall<br>regleras särskilt i lag</p>
<p>Det kan också finnas anledning att notera att den nuvarande datalagen i<br>huvudsak bygger på att det i första hand är Datainspektionen som mer<br>eller mindre självständigt skall bestämma för vilka ändamål person-<br>registrering får ske och vilka villkor som skall gälla för registreringen<br>Den nya lagen innehåller flera materiella regler än den nuvarande lagen<br>och ställer upp en ram inom vilken den kompletterande regleringen måste<br>hålla sig. Mera finns alltså reglerat i lag med den föreslagna ordningen än<br>vad som gäller i dag.</p>
<p>Närmare om förslaget om föreskrifisrätt i den nya lagen</p>
<p>Vårt förslag innebär att regeringen eller den myndighet som regeringen<br>bestämmer skall få meddela föreskrifter om</p>
<p>• undantag från ett förbud mot behandling av känsliga personuppgifter,<br>om det behövs med hänsyn till ett viktigt allmänt intresse,</p>
<p>• undantag från ett förbud för andra än myndigheter att behandla person-<br>uppgifter om lagöverträdelser som innefattar brott, domar i brottmål,<br>straffprocessuella tvångsmedel eller administrativa frihetsberövanden,</p>
<p>• undantag från ett förbud mot överföring av personuppgifter till tredje</p>
<p>land, dvs. en stat utanför EES, om det behövs med hänsyn till ett viktigt<br>allmänt intresse eller om det finns tillräckliga garantier till skydd för de<br>registrerades rättigheter, 57</p>
<p>• undantag från skyldighet att anmäla automatiserade behandlingar till Prop. 1997/98:44<br>tillsynsmyndigheten för sådana typer av behandlingar som sannolikt</p>
<p>inte kommer att leda till otillbörligt intrång i den personliga integriteten,<br>och</p>
<p>• inom den ram som den nya lagen ställer upp meddela närmare<br>föreskrifter om</p>
<p>a) i vilka fall behandling av personuppgifter är tillåten,</p>
<p>b) vilka krav som ställs på den personuppgiftsansvarige vid behandling</p>
<p>av personuppgifter,</p>
<p>c) i vilka fall användning av personnummer är tillåten,</p>
<p>d) innehållet i en anmälan eller ansökan till en personuppgiftsansvarig,</p>
<p>e) vilken information som skall lämnas till registrerade och hur<br>lämnandet av information skall gå till, och</p>
<p>f) anmälan till tillsynsmyndigheten och förfarandet när anmälda<br>uppgifter har ändrats</p>
<p>Regeringen skall vidare - utan möjlighet till vidare delegation - enligt</p>
<p>vårt förslag få meddela föreskrifter om</p>
<p>• undantag från förbudet mot överföring av personuppgifter till tredje<br>land för överföring till vissa stater eller om överföringen regleras av ett<br>avtal som ger tillräckliga garantier till skydd för de registrerades<br>rättigheter, och</p>
<p>• att vissa behandlingar av personuppgifter som kan innebära särskilda<br>risker för otillbörligt intrång i den personliga integriteten skall för<br>förhandskontroll anmälas till tillsynsmyndigheten tre veckor i förväg</p>
<p>Av vad som anförs i avsnitt 15 framgår att det föreslås att<br>bemyndigandena under tiden den 24 oktober 1998 till den 1 januari 1999<br>bara skall avse automatiserad behandling av personuppgifter.</p>
<p>Vår bedömning av förhållandet till regeringsformen</p>
<p>I 8 kap. 1 § regeringsformen finns det en erinran om att det av<br>bestämmelserna i 2 kap. regeringsformen följer att föreskrifter av visst<br>slag får meddelas endast genom lag. I 2 kap. 3 § andra stycket<br>regeringsformen finns det en bestämmelse om att varje medborgare skall i<br>den utsträckning som närmare anges i lag skyddas mot att hans eller<br>hennes personliga integritet kränks genom att uppgifter om honom eller<br>henne registreras med hjälp av automatisk databehandling. Av förarbetena<br>framgår emellertid att lydelsen av grundlagsregeln har utformats så att det<br>skall stå klart att regeln inte hindrar regeringen, andra myndigheter eller<br>kommuner att meddela dataskyddsbestämmelser (prop. 1987/88:57 s 11).<br>Efter införandet av regeln i 2 kap. 3 § andra stycket har i regeringsformen<br>också införts en möjlighet för riksdagen att till regeringen eller den<br>myndighet som regeringen bestämmer delegera rätten att meddela<br>föreskrifter om skydd för personlig integritet vid registrering av uppgifter<br>med hjälp av automatisk databehandling, varvid regeln i 2 kap. 3 § andra<br>stycket inte ansetts hindra sådan delegation (prop. 1993/94:116 s. 15).<br>Däremot innebär regeln i 2 kap. 3 § andra stycket enligt förarbetena att<br>riksdagen måste vara aktiv genom att stifta och vidmakthålla en<br></p>
<p>58</p>
<p>dataskyddslagstiftning som utgör en verklig och allvarligt menad Prop. 1997/98:44<br>skyddslagstiftning (prop. 1987/88:57 s. 11). Av det sagda följer enligt vår<br>uppfattning, vilken delas av Lagrådet, att reglerna i 2 kap. 3 § andra<br>stycket regeringsformen inte hindrar att regeringen och den myndighet<br>som regeringen bestämmer ges behörighet att närmare precisera och<br>konkretisera regleringen i den nya lagen, som skall uppta de grund-<br>läggande huvudreglerna och principerna i fråga om personuppgifts-<br>skyddet.</p>
<p>Nästa fråga av betydelse för delegationsmöjlighetema blir hur den<br>föreslagna lagstiftningen förhåller sig till bestämmelserna i 8 kap 2 och<br>3 §§ regeringsformen, dvs. om lagstiftningen skall anses vara av civil-<br>rättslig eller offentligrättslig karaktär.</p>
<p>Enligt 8 kap. 2 § regeringsformen skall föreskrifter om enskildas<br>personliga ställning samt om deras personliga och ekonomiska för-<br>hållanden inbördes meddelas genom lag. Sådana föreskrifter tillhör det<br>obligatoriska lagområdet, och riksdagen får inte delegera föreskriftsrätten<br>inom detta område.</p>
<p>Enligt 8 kap. 3 § regeringsformen skall föreskrifter om förhållandet<br>mellan enskilda och det allmänna som gäller åligganden för enskilda eller<br>i övrigt avser ingrepp i enskildas personliga eller ekonomiska för-<br>hållanden meddelas genom lag. Beträffande sådana offentligrättsliga<br>föreskrifter är det möjligt att delegera föreskriftsrätten i de fall som anges<br>i 8 kap. 7 § regeringsformen. Motsvarande gäller enligt 8 kap. 5 och 7 §§<br>beträffande föreskrifter om kommunernas befogenheter och åligganden.</p>
<p>Att klart slå fast var gränsen går mellan offentligrättsliga och privat-<br>rättsliga regler är närmast omöjligt. Håkan Strömberg konstaterar i<br>Normgivningsmakten enligt 1974 års regeringsform, Juristförlaget i Lund,<br>Lund 1989, s. 64 ff. i anledning av frågan om regeringen i lagen (1980:2)<br>om finansbolag och fondkommissionslagen (1979:748) kunde bemyn-<br>digas att meddela föreskrifter om kapitaltäckmngskrav: ”De sistnämnda<br>lagstiftningsärendena belyser det förhållande, som har påpekats i första<br>kapitlet av denna framställning, nämligen att rättsreglerna hänger samman<br>med varandra på många sätt och att en uppdelning av rättsregler i olika<br>ämnesområden ibland är möjlig endast om man bortser från det inre<br>sammanhanget i regelsystemet Grundlagsstiftama har byggt på indel-<br>ningen i offentlig rätt och privaträtt utan att tänka på att offentligrättsliga<br>och privaträttsliga regler kan vara sammanflätade med varandra. Att<br>genom grundlagstolkning entydigt fastställa var gränsen mellan de båda<br>rättsområdena skall dras i ett fall som det ovan nämnda är därför strängt<br>taget en hopplös uppgift.”</p>
<p>När det gäller frågan om föreskrifter till skydd för den enskildes<br>personliga integritet är att hänföra till privaträttsliga eller offentligrättsliga<br>föreskrifter är vår uppfattning och utgångspunkt att bestämmelserna till<br>följd av sin karaktär i grunden utgör offentligrättsliga föreskrifter.<br>Bestämmelserna utgör ett medel för det allmänna att bl a. i enlighet med<br>vad som anges i 2 kap. 3 § regeringsformen skydda enskilda mot kränk-<br>ning av deras personliga integritet genom olämplig behandling av person-<br>uppgifter.</p>
<p>Lagrådet har vid sin analys av frågan om reglernas privat- eller<br>offentligrättsliga karaktär haft en delvis annan utgångspunkt än vi. I vår<br></p>
<p>diskussion i lagrådsremissen om normernas karaktär har vid analysen om<br>förhållandet till 8 kap 2 § regeringsformen inledningsvis konstaterats att<br>det inte kan vara fråga om sådana föreskrifter som behandlas i första ledet<br>av 8 kap. 2 § regeringsformen, dvs. att det kan inte röra enskildas per-<br>sonliga ställning i den mening som avses i paragrafen. Lagrådet ansluter<br>sig till vår bedömning i denna del.</p>
<p>När det sedan gäller andra ledet av 8 kap. 2 § regeringsformen,<br>”enskildas personliga och ekonomiska förhållanden inbördes”, skulle det<br>kunna hävdas att de aktuella normerna bör hänföras till 8 kap 2 §,<br>eftersom en enskild kan förpliktas betala skadestånd till annan enskild<br>enligt den föreslagna lagen. Enligt vår uppfattning kan man dock inte bara<br>på grund av den omständigheten dra slutsatsen att i grunden offent-<br>ligrättsliga föreskrifter är av privaträttslig karaktär, särskilt inte då<br>bestämmelserna har kombinerats med straffbestämmelser eller annan<br>betydelsefull offentligrättslig sanktion i form av vitesföreläggande. Enligt<br>Lagrådets uppfattning är föreskrifter som en enskild person med fram-<br>gång kan direkt åberopa mot andra enskilda i domstol och som kan leda<br>till att enskilda förpliktas att betala skadestånd av privaträttslig natur.<br>Lagrådet konstaterar vidare att den omständigheten att föreskrifterna<br>dessutom kan ha påtagliga offentligrättsliga inslag inte innebär att den<br>privaträttsliga delen bortfaller. Lagrådet tar därför avstånd från tanken i<br>remissen att införandet av ett system för offentlig tillsyn av tillämpningen<br>av privaträttsliga föreskrifter eller en kriminalisering av dessa får till<br>konsekvens att föreskrifterna förlorar sin privaträttsliga karaktär och<br>förvandlas till offentligrättsliga</p>
<p>Frågan om bestämmelser har offentligrättslig eller privaträttslig<br>karaktär är som framgår av Håkan Strömbergs uttalande ofta svårbedömd.<br>Det är därför naturligt att det förekommer olika uppfattningar om till<br>vilken grupp en bestämmelse skall hänföras. Vi delar Lagrådets upp-<br>fattning att föreskrifter som är av privaträttslig karaktär inte enbart till<br>följd av ett straffbeläggande eller genom ett införande av andra offent-<br>ligrättsliga sanktioner kan förvandlas till offentligrättsliga föreskrifter. Ett<br>sådant förfaringssätt skulle onekligen innebära ett kringgående av<br>regeringsformen. I förevarande fall rör det det sig dock enligt vår upp-<br>fattning inte om i grunden privaträttsliga bestämmelser utan om bestäm-<br>melser som till sin natur har offentligrättslig karaktär. De bestämmelser<br>om skydd för personuppgifter som redan finns, t.ex. i datalagen<br>(1973:289) och i kreditupplysningslagen (1973:1173), har också hittintills<br>alltid i praktiken behandlats som offentligrättsliga. Det tillägg till<br>delegationsgrundema i 8 kap. 7 § regeringsformen som på den dåvarande<br>regeringens förslag infördes i anslutning till 1994 års val bygger också på<br>denna förutsättning. Det förhållande att bestämmelserna är förknippade<br>med skadeståndssanktion kan enligt vår mening inte förta bestämmelserna<br>deras offentligrättsliga karaktär (jfr t.ex. jämvägstrafiklagen [1985:192],<br>särskilt 3 § och Lagrådets yttrande i prop. 1996/97:65 om ändringar i<br>kreditupplysningslagen angående 7 § denna lag). Vi anser inte heller att<br>den större betydelse som skadeståndssanktionen får i den nya lagen<br>jämfört med i dag är av så avgörande betydelse att bestämmelserna i<br>grunden förvandlas till privaträttsliga i stället för offentligrättsliga.<br>Lagstiftningen erbjuder flera exempel på att offentligrättsliga bestäm-<br></p>
<p>Prop. 1997/98:44</p>
<p>60</p>
<p>melser kan ha privaträttsliga inslag utan att reglernas karaktär bedöms Prop. 1997/98:44<br>vara annat än offentligrättslig. Av 8 kap. 7 § andra stycket regerings-<br>formen framgår att offentligrättsliga föreskrifter som meddelats av<br>regeringen med stöd av delegation enligt första stycket kan förknippas<br>med straffsanktioner, och huvudregeln är ju att skadestånd skall betalas<br>för skada som vållats genom brott, se t.ex. 1 kap. 3 § och 2 kap. 5 §<br>skadeståndslagen (1972:207)</p>
<p>Från EG-direktivets synpunkt saknar distinktionen mellan civilrättslig<br>och offentligrättslig lagstiftning betydelse Medlemsstaterna har skyl-<br>dighet att införliva dataskyddsreglema i sin nationella lagstiftning men har<br>frihet att välja metod för hur det skall ske</p>
<p>Vår slutsats är att de bemyndiganden som föreslås i den nya lagen<br>avser offentligrättsliga föreskrifter och inte sådana privaträttsliga före-<br>skrifter som hör till det obligatoriska lagområdet. Det är således möjligt<br>att i de ämnen som anges i 8 kap 7 § 8 regeringsformen lämna bemyn-<br>digandena.</p>
<p>Enligt bestämmelsen i 8 kap 7 § 8 regeringsformen kan delegation av<br>föreskriftsrätt ske i fråga om ”skydd för personlig integritet vid<br>registrering av personuppgifter med hjälp av automatisk databehandling”.<br>Lagrådet har som konsekvens av ställningstagandet att föreskrifterna är av<br>privaträttslig karaktär förordat att punkt 8 i det akuella lagrummet skall<br>upphävas. Vi har som framgår ovan kommit till en annan slutsats vad<br>gäller bestämmelsernas karaktär. Föreskrifter bör kunna ges av regeringen<br>eller den myndighet som regeringen bestämmer på hela det område som<br>omfattas av den nya lagen, dvs. även när det gäller sådan manuell<br>behandling av personuppgifter som omfattas av den nya lagen (se avsnitt<br>6.1). Vi föreslår därför i likhet med Datalagskommittén att den bestäm-<br>melsen ändras så att det blir möjligt att - i enlighet med tillämp-<br>ningsområdet för den nya lagen och EG-direktivet - delegera<br>föreskriftsrätt i fråga om ”skydd för personlig integritet vid behandling av<br>personuppgifter”</p>
<p>I avsnitt 15 berörs frågan om när den nya lagen, inklusive föreslagna<br>bemyndiganden, och ändringen i regeringsformen skall träda i kraft.</p>
<p>61</p>
<h2>11</h2>
<h2>Den materiella regleringen</h2>
<p>Prop. 1997/98:44</p>
<h3>11.1 Huvudprinciper</h3>
<p>Regeringens förslag: Den nya lagen skall innehålla de generella regler<br>som följer av EG-direktivet i fråga om vilka krav som ställs vid<br>behandling av personuppgifter, när sådan behandling är tillåten,<br>information till den registrerade, korrigering av personuppgifter, rättig-<br>heter vid automatiserade beslut, säkerheten vid behandlingen och<br>överföring av personuppgifter till s.k. tredje land.</p>
<p>Datalagskommitténs förslag överensstämmer i huvudsak med re-<br>geringens.</p>
<p>Remissinstanserna: De allra flesta remissinstanser accepterar att de<br>regler som följer av EG-direktivet införs i den nya lagen. Flera föreslår<br>dock förtydliganden, kompletteringar eller undantagsregler i olika<br>hänseenden</p>
<p>Skälen för regeringens förslag: EG-direktivet innehåller en rad<br>materiella regler om hanteringen av personuppgifter. Det gäller generella<br>regler om vilka krav som ställs vid behandling av personuppgifter, när<br>sådan behandling är tillåten, information till den registrerade, korrigering<br>av personuppgifter, rättigheter vid automatiserade beslut, säkerheten vid<br>behandlingen och överföring av personuppgifter till s.k. tredje land, dvs<br>till en stat utanför EES. En sammanfattning av reglerna i direktivet finns i<br>avsnitt 4.3.</p>
<p>De materiella reglerna i direktivet måste införas i den nya lagen I<br>enlighet med vad som anges i avsnitt 5.2 bör den nya lagen därvid i<br>huvudsak följa direktivets text och struktur och i princip bara innehålla de<br>generella regler som följer av direktivet Behovet av undantag och sär-<br>regler för mer speciella områden får tillgodoses genom andra författ-<br>ningar, se avsnitt 6.2.</p>
<p>Förslagen från remissinstanserna till utformning av lagtexten har följts<br>i flera fall. I författningskommentaren berörs vissa andra förslag i den<br>utsträckning de inte bedömts stå i strid med direktivet. I det följande<br>berörs närmare de materiella regler som den nya lagen innehåller</p>
<p>62</p>
<h3>11.2 Grundläggande krav på behandlingen av person-<br>uppgifter</h3>
<p>Regeringens förslag: Den personuppgiftsansvarige skali se till att</p>
<p>a) personuppgifter behandlas bara om det är lagligt,</p>
<p>b) personuppgifter alltid behandlas på ett korrekt sätt och i enlighet<br>med god sed,</p>
<p>c) personuppgifter samlas in bara för särskilda, uttryckligt angivna och<br>berättigade ändamål,</p>
<p>d) personuppgifter inte behandlas för något ändamål som är oförenligt<br>med det för vilket uppgifterna samlades in,</p>
<p>e) de personuppgifter som behandlas är adekvata och relevanta i för-<br>hållande till ändamålen med behandlingen,</p>
<p>f) inte fler personuppgifter behandlas än som är nödvändigt med hän-<br>syn till ändamålen med behandlingen,</p>
<p>g) de personuppgifter som behandlas är riktiga och, om det är nöd-<br>vändigt, aktuella,</p>
<p>h) alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana<br>personuppgifter som är felaktiga eller ofullständiga med hänsyn till<br>ändamålen med behandlingen, och</p>
<p>i) personuppgifter inte bevaras under en längre tid än vad som är nöd-<br>vändigt med hänsyn till ändamålen med behandlingen.</p>
<p>För behandling av personuppgifter för historiska, statistiska eller<br>vetenskapliga ändamål gäller vissa särregler</p>
<p>Datalagskommitténs förslag stämmer i huvudsak överens med<br>regeringens. Kommittén föreslår dock att skyldigheten att vidta åtgärder<br>för att rätta, blockera eller utplåna skall gälla inte bara felaktiga eller<br>ofullständiga personuppgifter utan också missvisande personuppgifter.</p>
<p>Remissinstanserna: Länsrätten i Stockholms län anser att ändamålen<br>med en behandling skall nedtecknas och avstyrker att korrigerings-<br>skyldigheten skall gälla även missvisande personuppgifter</p>
<p>Skälen för regeringens förslag: De grundläggande kraven på be-<br>handling av personuppgifter i den nya lagen stämmer överens med de<br>krav som medlemsstaterna skall föreskriva enligt artikel 6 i EG-direktivet,<br>se bilaga 1.</p>
<p>EG-direktivet nämner inte missvisande personuppgifter i fråga om<br>skyldigheten att vidta åtgärder för att rätta, blockera eller utplåna person-<br>uppgifter. Därför har vi - till skillnad från Datalagskommittén men i<br>enlighet med vad Länsrätten i Stockholms län föreslagit - valt att i<br>bestämmelsen uttryckligen nämna bara felaktiga och ofullständiga person-<br>uppgifter. Det är för övrigt svårt att se att det i praktiken skulle kunna<br>förekomma fall där en personuppgift med hänsyn till ändamålen med<br>behandlingen skulle vara objektivt sett missvisande men inte felaktig eller<br>ofullständig</p>
<p>Däremot finns det enligt vår mening inte anledning att följa länsrättens<br>förslag om att införa en uttrycklig skyldighet att nedteckna ändamålet med<br>behandlingen. Någon sådan skyldighet föreskrivs mte enligt EG-direk-<br>tivet. Ändamålet måste dock vara uttryckligt angivet. De bestämmelser<br></p>
<p>Prop. 1997/98:44</p>
<p>63</p>
<p>som finns om information till den registrerade när personuppgifterna Prop 1997/98:44<br>samlas in (se avsnitt 11.5 1) medför som regel att ändamålen måste<br>uppges redan när behandlingen påbörjas. Härtill kommer att den person-<br>uppgiftsansvarige alltid är skyldig att uppge ändamålen antingen i en<br>anmälan till tillsynsmyndigheten eller till var och en som begär en sådan<br>upplysning (se avsnitt 12). Detta får anses tillräckligt</p>
<p>Behandling för historiska, statistiska och vetenskapliga ändamål</p>
<p>Enligt EG-direktivet är lagring och annan behandling av personuppgifter<br>for historiska, statistiska och vetenskapliga ändamål särskilt gynnad. Se-<br>nare behandling för sådana ändamål skall inte anses oförenlig med de ur-<br>sprungliga ändamål för vilka uppgifterna samlades in Det är också tillåtet<br>att för sådana ändamål spara personuppgifter under längre tid<br>Personuppgifter får dock inte heller i dessa fall bevaras under längre tid<br>än vad som behövs för dessa ändamål Motsvarande bestämmelser har<br>förts in i den nya lagen. EG-direktivet kräver dock att Sverige för dessa<br>fall beslutar om eller vidtar lämpliga skyddsåtgärder.</p>
<p>Datalagskommittén har i detta hänseende föreslagit en bestämmelse<br>om att personuppgifter som behandlas för historiska, statistiska eller<br>vetenskapliga ändamål får användas för att vidta åtgärder beträffande den<br>registrerade bara om den registrerade har lämnat sitt samtycke eller det<br>finns synnerliga skäl med hänsyn till den registrerades eller någon annans<br>vitala intressen. Remissinstanserna har lämnat förslaget i sak utan erinran,<br>dock anser Statistiska centralbyrån att det inte är acceptabelt med en<br>bestämmelse som innebär att uppgifter som behandlas för aktuella<br>ändamål kan användas för att vidta åtgärder mot den registrerade med<br>hänsyn till någon annans vitala intressen. Vi kan inte annat än hålla med<br>centralbyrån på den punkten. Det bör således inte vara möjligt att utsätta<br>den registrerade för åtgärder bara av hänsyn till någon annan. I övrigt<br>motsvarar bestämmelsen i den nya lagen i stort sett den som kommittén<br>föreslagit Bestämmelsen skall - i enlighet med kommitténs förslag - inte<br>gälla för en myndighets användning av personuppgifter i allmänna<br>handlingar. För sådana personuppgifter finns det nämligen redan lämpliga<br>skyddsåtgärder i form av bestämmelser om sekretess och skydd för arkiv.</p>
<p>64</p>
<h3>11.3</h3>
<h3>När behandling av personuppgifter är tillåten</h3>
<p>Prop. 1997/98:44</p>
<p>Regeringens forslag: Personuppgifter får behandlas bara om den<br>registrerade har lämnat sitt samtycke till behandlingen eller om<br>behandlingen är nödvändig för att</p>
<p>a) ett avtal med den registrerade skall kunna fullgöras eller åtgärder<br>som den registrerade begärt skall kunna vidtas innan ett avtal träffas,</p>
<p>b) den personuppgiftsansvarige skall kunna fullgöra en rättslig skyl-<br>dighet,</p>
<p>c) vitala intressen för den registrerade skall kunna skyddas,</p>
<p>d) en arbetsuppgift av allmänt intresse skall kunna utföras,</p>
<p>e) den personuppgiftsansvarige eller en tredje man till vilken person-<br>uppgifter lämnas ut skall kunna utföra en arbetsuppgift i samband<br>med myndighetsutövning, eller</p>
<p>f) ett ändamål som rör ett berättigat intresse hos den personuppgifts-<br>ansvarige eller hos en sådan tredje man till vilka personuppgifterna<br>lämnas ut skall kunna tillgodoses om detta intresse väger tyngre än<br>den registrerades intresse av skydd mot kränkning av den personliga<br>integriteten</p>
<p>Personuppgifter får inte behandlas för ändamål som rör direkt mark-<br>nadsföring, om den registrerade hos den personuppgiftsansvarige<br>skriftligen har anmält att han eller hon motsätter sig sådan behandling.</p>
<p>När en behandling bara är tillåten med samtycke, får ytterligare<br>personuppgifter inte behandlas sedan den registrerade har återkallat sitt<br>samtycke</p>
<p>I övrigt har den registrerade inte rätt att motsätta sig behandling av<br>personuppgifter som är tillåten enligt den nya lagen</p>
<p>Datalagskommitténs förslag stämmer i stort sett överens med<br>regeringens.</p>
<p>Remissinstanserna: Kammarrätten z Göteborg anser att den<br>registrerade skall ha rätt att bli informerad innan personuppgifter för<br>första gången lämnas ut till tredje man eller används för tredje mans<br>räkning för ändamål som rör direkt marknadsföring och att uttryckligen få<br>ett erbjudande om att utan kostnader motsätta sig ett sådant utlämnande<br>eller en sådan användning. Datainspektionen anser å sin sida att det i<br>fråga om behandling för ändamål som rör direkt marknadsföring bör<br>införas ett krav på aktivt samtycke eller en ordning med ett nationellt s.k<br>reservationsregister. Även Landsorganisationen i Sverige (LO) anser att<br>det för behandling för sådana ändamål bör krävas medgivande från den<br>registrerade.</p>
<p>Skälen för regeringens förslag: Uppräkningen i den nya lagen av i<br>vilka fall behandling av personuppgifter är tillåten stämmer överens med<br>den uppräkning som i detta hänseende finns i artikel 7 i EG-direktivet, se<br>bilaga 1. Uppräkningen är uttömmande. Om känsliga personuppgifter,<br>uppgifter om lagöverträdelser m.m. eller personnummer skall behandlas,<br>måste behandling dessutom vara tillåten i enlighet med de bestämmelser<br>som gäller för behandling av sådana uppgifter (se avsnitt 11.4).</p>
<p>65</p>
<p>5 Riksdagen 1997/98. 1 saml. Nr 44</p>
<p>Att - såsom en del remissinstanser föreslagit - göra förtydliganden och Prop. 1997/98:44<br>kompletteringar i förhållande till EG-direktivets text är enligt vår mening<br>inte lämpligt och i vissa fall otillåtet enligt direktivet. Lagtexten bör i<br>stället nära ansluta till direktivets text (se avsnitt 5.2). Närmare<br>preciseringar av när behandling är tillåten får - inom den ram EG-<br>direktivet och lagtexten ger - göras i rättstillämpningen och i kom-<br>pletterande föreskrifter som utfärdas i anslutning till lagen (se avsnitt 10<br>om normgivningsdelegation)</p>
<p>Behandling för ändamål som rör direkt marknadsföring</p>
<p>Behandling av personuppgifter för ändamål som rör direkt marknads-<br>föring kan vara tillåten t.ex. efter en sådan intresseavvägning som anvisas<br>i punkt g. Vi föreslår dock en uttrycklig bestämmelse i den nya lagen<br>enligt vilken personuppgifter inte far behandlas för sådana ändamål, om<br>den registrerade hos den personuppgiftsansvarige skriftligen har anmält<br>att han eller hon motsätter sig sådan behandling. Den bestämmelsen<br>uppfyller kravet i artikel 14 i EG-direktivet att medlemsstaterna skall<br>tillförsäkra den registrerade rätten att efter anmodan och utan kostnader<br>motsätta sig behandling av personuppgifter som rör den registrerade och<br>som den personuppgiftsansvarige bedömer kan komma att behandlas för<br>ändamål som rör direkt marknadsföring. Ett enligt EG-direktivet (artikel<br>14 första stycket b) tillåtet alternativ till en sådan bestämmelse som den<br>föreslagna är att ge den registrerade rätt att bli informerad innan person-<br>uppgifter för första gången lämnas ut till tredje man eller används för<br>tredje mans räkning för ändamål som rör direkt marknadsföring och att<br>uttryckligen få ett erbjudande om att utan kostnader motsätta sig ett sådant<br>utlämnande eller en sådan användning. Kammarrätten i Göteborg anser<br>att det alternativet är att föredra. Även Datainspektionen och Lands-<br>organisationen i Sverige (LO) har synpunkter på regleringen i denna<br>bestämmelse.</p>
<p>Vi anser för vår del att den reglering som den föreslagna bestämmelsen<br>innehåller är den enklaste och smidigaste. Regleringen ger den som så<br>önskar en möjlighet att undvika behandling för ändamål som rör direkt<br>marknadsföring och hindrar inte heller att det på privat initiativ inrättas ett<br>nationellt reservationsregister till vilket enskilda kan anmäla att de inte<br>önskar bli utsatta för direkt marknadsföring generellt eller bara i vissa fall.</p>
<p>Rätt att motsätta sig behandling - Återkallelse av samtycke</p>
<p>Enligt den nuvarande datalagen finns det inte någon generell rätt för den<br>registrerade att motsätta sig en behandling som är laglig. Bestämmelserna<br>i artikel 14 i EG-direktivet innebär att det för behandling för ändamål som<br>rör direkt marknadsföring skall finnas en rätt för den registrerade att<br>motsätta sig behandlingen, men att medlemsstaterna i övrigt fritt kan<br>genom lagstiftning bestämma i vilken utsträckning en registrerad skall ha<br>rätt att motsätta sig en sådan behandling som är laglig och tillåten enligt<br>direktivet.</p>
<p>66</p>
<p>På grund av utformningen av EG-direktivet måste det således i<br>lagstiftningen slås fast i vilken utsträckning den registrerade generellt har<br>rätt att motsätta sig behandling av personuppgifter. Datalagskommittén<br>har föreslagit att den registrerade, i de fall där behandlingen bara är<br>tillåten när den registrerade har lämnat sitt samtycke, skall ha rätt att när<br>som helst återkalla ett lämnat samtycke med den verkan att ytterligare<br>uppgifter om den registrerade därefter inte far behandlas; återkallelsen<br>påverkar således inte behandlingen av de uppgifter som redan har hunnit<br>samlas in med stöd av samtycket. Därutöver skall den registrerade, enligt<br>kommitténs förslag, inte ha någon rätt att motsätta sig en behandling som<br>är tillåten enligt den nya lagen.</p>
<p>Förslaget har lämnats utan invändningar av remissinstanserna och bör<br>genomföras. Huvudregeln om att den registrerade inte har rätt att motsätta<br>sig en enligt lagen tillåten behandling motsvarar vad som gäller i dag.<br>Regleringen av det fallet att ett lämnat samtycke återkallas innebär enligt<br>vår mening en lämplig avvägning mellan den registrerades och den<br>personuppgiftsansvariges intressen. Regleringen innebär att den regi-<br>strerades självbestämmanderätt beträffande vilka uppgifter som får samlas<br>in respekteras samtidigt som den personuppgiftsansvariges befogade<br>anspråk på att få behandla färdigt de uppgifter som han eller hon kommit<br>över med stöd av ett frivilligt lämnat samtycke kan tillgodoses</p>
<h3>11.4 Behandling av särskilda kategorier av uppgifter</h3>
<p>11.4.1 Behandling av känsliga personuppgifter</p>
<p>Regeringens förslag: Det är förbjudet att behandla personuppgifter<br>som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller<br>filosofisk övertygelse, eller medlemskap i fackförening. Det är också<br>förbjudet att behandla sådana personuppgifter som rör hälsa eller<br>sexualliv.</p>
<p>Från förbudet gäller undantag vid uttryckligt samtycke eller när<br>uppgifter på ett tydligt sätt offentliggörs av den registrerade, vid<br>nödvändig behandling inom arbetsrätten, för att skydda vitala intressen<br>eller för att fastställa, göra gällande eller försvara rättsliga anspråk och<br>vid behandling inom ideella organisationer eller mom hälso- och<br>sjukvården</p>
<p>Datalagskommitténs forslag överensstämmer i huvudsak med<br>regeringens</p>
<p>Remissinstanserna: Flera remissinstanser, t.ex. på det kommunala<br>området, påpekar att definitionen av känsliga personuppgifter inte<br>överensstämmer med den som tillämpas i dag. Arbetarskyddsstyrelsen<br>anser att regeringen eller Datainspektionen bör ha möjlighet att i särskilda<br>fall förbjuda behandling av känsliga personuppgifter även om det finns<br>samtycke.</p>
<p>Prop. 1997/98:44</p>
<p>67</p>
<p>Skälen för regeringens förslag: Definitionen av känsliga person- Prop. 1997/98:44<br>uppgifter i det principiella förbudet mot behandling av sådana uppgifter i<br>den nya lagen överensstämmer med den definition som finns i artikel 8 1 i<br>EG-direktivet, se bilaga 1</p>
<p>Enligt den nuvarande datalagen gäller särskilda regler för<br>personregister som innehåller uppgifter om</p>
<p>• andra än medlemmar, anställda eller kunder hos den person-<br>uppgiftsansvarige eller personer som har annan därmed jämställd<br>anknytning till denne,</p>
<p>• att någon misstänks eller dömts för brott,</p>
<p>• att någon avtjänat straff eller undergått annan påföljd för brott,</p>
<p>• att någon varit föremål för tvångsingripande enligt viss lagstiftning,</p>
<p>• att någon fått ekonomisk hjälp eller vård inom socialtjänsten,</p>
<p>• att någon varit föremål för åtgärd enligt utlänningslagen,</p>
<p>• någons sjukdom, hälsotillstånd eller sexualliv,</p>
<p>• någons ras, politiska uppfattning, religiösa tro eller övertygelse i övrigt<br>och</p>
<p>• någon som utgör omdöme eller annan värderande upplysning</p>
<p>En del av det som i dag omfattas av särskilda regler enligt den<br>nuvarande datalagen kommer alltså inte att omfattas av bestämmelserna<br>om känsliga personuppgifter i den nya lagen Datalagskommittén har<br>ansett att det skulle vara oförenligt med EG-direktivet att utvidga<br>tillämpningsområdet för direktivets bestämmelser om känsliga uppgifter<br>till att omfatta allt det som regleras av särskilda regler enligt den<br>nuvarande datalagen. Den bedömningen verkar inte ha ifrågasatts av<br>någon remissinstans Även vi anser att det inte är tillåtet enligt EG-<br>direktivet att i nationell lagstiftning ha en annan definition, som t.ex<br>omfattar uppgifter som är helt artskilda i förhållande till de som i<br>direktivet definieras som känsliga. Att göra så skulle hindra det fria flödet<br>av sådana uppgifter inom Europeiska unionen och därmed strida mot<br>direktivet</p>
<p>Undantag från förbudet mot behandling av kansltga personuppgifter</p>
<p>Även undantagen från förbudet mot behandling av känsliga person-<br>uppgifter i den nya lagen överensstämmer med de undantag som skall<br>föreskrivas enligt artikel 8 2 och 8.3 i EG-direktivet.</p>
<p>Enligt artiklarna gäller inte det tidigare nämnda förbudet mot<br>behandling av känsliga personuppgifter om</p>
<p>• den registrerade har lämnat sitt uttryckliga samtycke till en sådan be-<br>handling, utom när det enligt medlemsstatens lagstiftning anges att<br>förbudet mot behandling av känsliga personuppgifter inte kan upphävas<br>genom den registrerades samtycke, eller</p>
<p>• behandlingen är nödvändig för att fullgöra de skyldigheter och särskilda<br>rättigheter som åligger den personuppgiftsansvarige inom arbetsrätten, i<br>den omfattning detta är tillåtet enligt en nationell lagstiftning som<br>föreskriver lämpliga skyddsåtgärder, eller</p>
<p>68</p>
<p>• behandlingen är nödvändig för att skydda den registrerades eller någon<br>annan persons grundläggande intressen när den registrerade är fysiskt<br>eller rättsligt förhindrad att ge sitt samtycke, eller</p>
<p>• behandlingen utförs inom ramen för berättigad verksamhet hos en<br>stiftelse, en förening eller ett annat icke vinstdrivande organ, som har<br>ett politiskt, filosofiskt, religiöst eller fackligt syfte, förutsatt att be-<br>handlingen endast rör sådana organs medlemmar eller personer som på<br>grund av organets ändamål har regelbunden kontakt med detta och<br>uppgifterna inte lämnas ut till tredje man utan den registrerades sam-<br>tycke, eller</p>
<p>• behandlingen rör uppgifter som på ett tydligt sätt offentliggörs av den<br>registrerade eller är nödvändiga för att kunna fastslå, göra gällande eller<br>försvara rättsliga anspråk, eller</p>
<p>• behandlingen av uppgifterna är nödvändig med hänsyn till före-<br>byggande hälso- och sjukvård, medicinska diagnoser, vård eller<br>behandling eller administration av hälso- eller sjukvård eller om dessa<br>uppgifter behandlas av någon som är yrkesmässigt verksam på hälso-<br>och sjukvårdsområdet och som enligt nationell lagstiftning eller<br>bestämmelser som antagits av behöriga nationella organ är underkastad<br>tystnadsplikt eller av en annan person som är ålagd en liknande<br>tystnadsplikt</p>
<p>Som framgått kan enligt EG-direktivet en medlemsstat i sin lagstiftning<br>bestämma att förbudet mot behandling av känsliga personuppgifter inte<br>kan upphävas genom den registrerades samtycke. Arbetarskyddsstyrelsen<br>anser att lagen i enlighet härmed bör ge regeringen eller Datainspektionen<br>möjlighet att i särskilda fall förbjuda behandling av känsliga person-<br>uppgifter även om det finns samtycke.</p>
<p>När någon har lämnat ett frivilligt samtycke till en viss behandling, kan<br>det enligt vår mening inte finnas något integritetsskyddsintresse som gör<br>det befogat att förbjuda den behandling som den registrerade och den<br>personuppgiftsansvarige är överens om. Någon sådan möjlighet som<br>Arbetarskyddsstyrelsen föreslagit bör därför inte införas</p>
<p>Enligt den nya lagen gäller således undantag vid samtycke eller att<br>uppgiften tydligt offentliggörs av den registrerade, vid nödvändig<br>behandling inom arbetsrätten, för att skydda vitala intressen eller för att<br>fastställa, göra gällande eller försvara rättsliga anspråk och vid behandling<br>inom ideella organisationer eller inom hälso- och sjukvården Dessa<br>undantag berörs vidare i författningskommentaren.</p>
<p>Enligt artikel 8 4 i EG-direktivet har medlemsstaterna möjlighet att<br>föreskriva ytterligare undantag från förbudet med hänsyn till viktiga<br>allmänna intressen. Detta förutsätter dock att det finns lämpliga skydds-<br>åtgärder. Såsom framgår av avsnitt 10 föreslår vi att regeringen eller den<br>myndighet som regeringen bestämmer skall bemyndigas att för viktiga<br>allmänna intressen föreskriva andra undantag från det principiella<br>förbudet mot behandling av känsliga personuppgifter än dem som framgår<br>direkt av EG-direktivet Vi anser dock att forskning och statistik är ett så<br>viktigt område att det bör regleras redan i den nya lagen. Undantaget för<br>forskning och statistik berörs närmare i följande avsnitt.</p>
<p>Prop. 1997/98:44</p>
<p>69</p>
<p>11.4.2 Behandling utan samtycke av känsliga personuppgifter for<br>forskning och statistik</p>
<p>Regeringens förslag: Känsliga personuppgifter får behandlas utan<br>samtycke för forskning och statistik, om behandlingen är nödvändig<br>och om samhällsintresset av projektet klart väger över riskerna för<br>otillbörligt intrång i den personliga integriteten. Har behandlingen<br>godkänts av en forskningsetisk kommitté, skall förutsättningarna anses<br>uppfyllda.</p>
<p>Datalagskommitténs förslag överensstämmer i huvudsak med<br>regeringens</p>
<p>Remissinstanserna: Samtliga remissinstanser med anknytning till<br>forsknings- och statistikverksamhet godtar förslaget eller lämnar det utan<br>erinran. Svea hovrätt anser att förhandsgranskning alltid bör göras av<br>Datainspektionen i avvaktan på att den forskningsetiska verksamheten ses<br>över. Arbetarskyddsstyrelsen föreslår att prövningen bör göras inte av en<br>forskningsetisk kommitté utan av styrelsen för den institution som<br>forskaren tillhör. Styrelsen anser vidare, liksom Kammarrätten i Göteborg<br>och Länsrätten i Stockholms län, att kommitténs beslut i vart fall bör<br>kunna överprövas. Statistiska centralbyrån efterlyser bättre möjligheter att<br>göra s.k. bortfallsanalys beträffande personer som vägrat lämna samtycke<br>till en undersökning</p>
<p>Skälen för regeringens förslag: Forskning och statistik är ett så<br>viktigt område att det bör regleras redan i den nya lagen Beträffande den<br>officiella statistiken finns det redan en särskild författningsreglering<br>(lagen [1995:606] om vissa personregister för officiell statistik och<br>förordningen [1995:1060] om vissa personregister för officiell statistik)<br>som - i enlighet med vad som anges i avsnitt 6.2 - skall gälla framför den<br>nya lagen. För övrig statistik och för forskning i allmänhet saknas däremot<br>särskild författningsreglering, och det är sådant som inte redan är reglerat<br>särskilt i författning som övervägandena i det följande tar sikte på</p>
<p>Att samhällsintressant forskning och statistik kan genomföras utgör ett<br>sådant viktigt allmänt intresse som avses i artikel 8.4 i EG-direktivet. Den<br>nya lagen bör - såsom en sådan lämplig skyddsåtgärd som avses i nämnda<br>artikel i direktivet - innehålla en regel om att personuppgifter som<br>behandlas för bl.a. statistiska eller vetenskapliga ändamål får användas för<br>att vidta åtgärder beträffande den registrerade bara om den registrerade<br>har lämnat sitt samtycke eller om det finns synnerliga skäl med hänsyn till<br>den registrerades vitala intressen. Regeln bör dock inte gälla för en<br>myndighets användning av personuppgifter i allmänna handlingar. Regeln<br>har berörts i avsnitt 8.1. De stränga regler om sekretess och tystnadsplikt<br>som regelmässigt gäller vid behandling för forskning och statistik får<br>också anses utgöra lämpliga skyddsåtgärder</p>
<p>En awägningsnorm i lagtexten</p>
<p>Enligt den nya lagen får känsliga personuppgifter alltid behandlas om den<br>registrerade uttryckligen har lämnat sitt samtycke. Huvudprincipen vid<br></p>
<p>Prop. 1997/98:44</p>
<p>70</p>
<p>forskning och statistik har under lång tid varit att den enskilde skall ha Prop. 1997/98:44<br>lämnat sitt samtycke. Vad frågan här gäller är alltså i vilka undantagsfall<br>känsliga personuppgifter skall få behandlas för forskning och statistik<br>utan samtycke från de registrerade.</p>
<p>Viss forskning och statistik är så viktig att den inte bör vara beroende<br>av att varje berörd enskild har informerats och lämnat sitt samtycke<br>Ibland tar samhällsintresset över intresset av att skydda enskildas<br>personliga integritet. Att ett rättvisande cancerregister kan föras är t.ex. ett<br>så viktigt samhällsintresse att man inte kan ta hänsyn till att drygt<br>10 procent av befolkningen anser att patientuppgifter inte skall få föras<br>över dit.</p>
<p>Principen om en fri forskning gör att det finns många olikartade forsk-<br>nings- och statistikprojekt, och dessa pågår som regel bara under en<br>begränsad tid. Detta, liksom vikten av att värna om forskningens frihet,<br>gör att det förefaller lämpligare att göra en avvägning i varje särskilt fall<br>än att i den nya lagen införa generella regler om vilken forskning och<br>statistik som skall tillåtas. Vid en sådan individuell avvägning kan olika<br>faktorer kring forsknings- eller statistikprojektet vägas mot intrånget i den<br>enskildes personliga integritet. Det bör t.ex. göras en bedömning av hur<br>pass viktig den kunskap är som projektet kan ge och om den kunskapen<br>kan fås på något annat sätt än genom att behandla personuppgifter eller<br>om intrånget i den personliga integriteten annars kan begränsas genom en<br>annan uppläggning av projektet. Det är t ex viktigt att möjligheterna att<br>bedriva forskningen eller framställa statistiken utan att använda person-<br>anknutna uppgifter alltid undersöks.</p>
<p>Det sagda talar för att det bör finnas något slags awägningsnorm i<br>lagtexten. Den awägningsnorm som Datalagskommittén föreslagit har i<br>huvudsak godtagits av remissinstanserna. Hovrätten över Skåne och<br>Blekinge anser dock att awägningsnormen bör preciseras och att lag-<br>texten bör utfyllas. Liknande synpunkter förs fram av Malmö tingsrätt<br>Den föreslagna normen innebär att behandling utan samtycke av känsliga<br>personuppgifter får ske under förutsättning att behandlingen är nödvändig<br>och att samhällsintresset av det forsknings- eller statistikprojekt vari<br>behandlingen ingår klart väger över den risk för otillbörligt intrång i<br>enskildas personliga integritet som behandlingen kan innebära.</p>
<p>Den normen ger uttryck för en restriktiv tillämpning och betonar att<br>behandlingen måste vara nödvändig samtidigt som en intresseawägning<br>skall göras. Enligt vår mening är det inte nödvändigt att i lagtexten<br>ytterligare precisera normen utan det kan överlåtas åt rättstillämpningen<br>att med användande av normen och allt efter rådande värderingar och<br>utvecklingen i samhället avgöra vilka behandlingar som kan tillåtas. Vid<br>den helhetsbedömning som skall göras enligt normen kan beaktas bl.a<br>forsknings- eller statistikprojektets vikt, behovet av personuppgifter,<br>säkerheten vid behandlingen, hur pass kostsamt eller tidsödande det<br>skulle vara att hämta in samtycke, i vad mån den enskilde skulle kunna<br>skadas om man begärde samtycke och om en kontakt med den enskilde<br>skulle kunna förrycka undersökningsresultatet. Vid intresseawägningen<br>bör också beaktas om information i någon form lämnas till de berörda,<br>t.ex. via anslag eller annonser. I de allra flesta fall bör åtminstone sådan<br></p>
<p>71</p>
<p>information kunna lämnas Även frågan i vilken utsträckning den som be- Prop 1997/98:44<br>gär det skall ha rätt att bli struken kan beaktas vid intresseawägningen</p>
<p>Godkännande av en forskningsetisk kommitté</p>
<p>Datalagskommittén har föreslagit att förutsättningarna enligt awägnings-<br>normen skall anses uppfyllda om projektet godkänts av en forskningsetisk<br>kommitté. Vi delar denna uppfattning, dock att det i personuppgiftslagen<br>bör anges att det är behandlingen som skall godkännas, inte projektet<br>Med en forskningsetisk kommitté avses ett sådant särskilt organ för<br>prövning av forsknmgsetiska frågor som har företrädare för såväl det<br>allmänna som forskningen och som är knutet till ett universitet eller en<br>högskola eller till någon annan instans som i mera betydande omfattning<br>finansierar forskning. Sådana kommittéer är i dag knutna till de<br>medicinska fakulteterna, Humanistisk-samhällsvetenskapliga forsknings-<br>rådet och Socialvetenskapliga forskningsrådet.</p>
<p>Datalagskommitténs förslag har i huvudsak godtagits av remiss-<br>instanserna Svea hovrätt och Arbetarskyddsstyrelsen anser dock att<br>granskningen bör göras av någon annan instans, Datainspektionen<br>respektive styrelsen för den institution forskaren tillhör Den awägning<br>som måste ske är så känslig och så svår att göra att den som huvudregel<br>inte bör överlåtas åt varje enskild forskare eller statistiker vid varje enskilt<br>forsknings- eller statistikprojekt. Det krävs därför att awägningen i de<br>enskilda fallen som regel görs av någon oberoende instans. Styrelsen för<br>den institution som en forskare tillhör är inte så oberoende som bör<br>krävas. Den oberoende instansen bör vidare ha kunskap och vana att göra<br>bedömningar av såväl risken för otillbörliga integntetsintrång som<br>forsknings- eller statistikprojektet som sådant. Tillräcklig kunskap och<br>vana för att göra sådana bedömningar av forsknings- och statistikprojekt<br>finns för närvarande inte hos Datainspektionen, och det förefaller inte<br>heller ändamålsenligt att nu tillföra inspektionen sådan kompetens. Vi<br>anser därför i likhet med de allra flesta remissinstanserna att awägningen<br>bör göras av en forskningsetisk kommitté. Sammansättningen av<br>kommittén bör givetvis vara sådan att det finns kompetens för att göra<br>awägningen med hänsyn till den personliga integriteten</p>
<p>Överprövning av den forsknmgsetiska kommitténs beslut</p>
<p>Kammarrätten i Göteborg, Länsrätten i Stockholms län och Arbetar-<br>skyddsstyrelsen anser att den forsknmgsetiska kommitténs beslut bör<br>kunna överprövas. Den främsta anledningen till att de forsknmgsetiska<br>kommittéerna bör göra awägningen är att dessa instanser har sådan<br>särskild kunskap och vana att göra bedömningar av såväl risken för<br>otillbörliga mtegritetsintrång som forsknings- och statistikprojekt som inte<br>finns hos någon annan instans, t ex. hos Datainspektionen eller inom<br>domstolsväsendet eller regeringskansliet. Såvitt framkommit gör kom-<br>mittéerna bedömningarna på ett omdömesgillt och självständigt sätt.<br>Deras granskning utgör en garanti för att behandling av känsliga person-<br>uppgifter för forskning och statistik används utan samtycke bara i de<br></p>
<p>72</p>
<p>undantagsfall där det verkligen är befogat med hänsyn till samhälls- Prop. 1997/98:44<br>intresset att forskningen kommer till stånd. Det får vidare förutsättas att<br>tillsynsmyndigheten och kommittéerna regelbundet samråder med<br>varandra och att myndigheten noga följer utvecklingen på detta område.</p>
<p>De forsknmgsetiska kommittéernas verksamhet är i dag inte för-<br>fattnmgsreglerad, och de åläggs inte heller genom den nya lagen någon<br>utövning av offentlig makt. Frågan om en forskningsetisk kommitté är en<br>myndighet vars beslut att godkänna eller inte godkänna ett projekt kan<br>överklagas enligt allmänna regler om överklagande av förvaltnings-<br>myndighets beslut påverkas inte av den nya lagen.</p>
<p>Regeringen har tillsatt en kommitté med uppdrag att bl.a. undersöka<br>hur systemet för forskningsetisk granskning fungerar i dag och föreslå de<br>förändringar som bedöms nödvändiga (dir. 1997:68). En av utgångs-<br>punkterna för kommittén skall vara att forskning som har människor som<br>forskningsobjekt skall utsättas för etisk granskning. Kommittén skall<br>överväga om det bör finnas möjlighet till överprövning av de forsk-<br>ningsetiska kommittéernas beslut och undersöka och föreslå utformningen<br>av forskningsetisk granskning av projekt som innefattar användning av<br>personnummer. Även sammansättningen av de forsknmgsetiska kom-<br>mittéerna skall utredas. Kommittén skall redovisa sitt uppdrag senast den<br>1 februari 1999.</p>
<p>Den forsknmgsetiska verksamheten kommer således att få en allsidig<br>genomlysning, varvid även frågan om överprövning av de forsknings-<br>etiska kommittéernas beslut kommer att belysas. Resultatet av utred-<br>ningens översyn och förslag kan göra att det finns anledning att på nytt<br>överväga frågan. Vi har därför inte funnit anledning att nu av mte-<br>gritetsskäl införa en särskild överprövningsmöjlighet.</p>
<p>Förhandskontroll av behandlingar som inte granskats av forskningsetisk<br>kommitté</p>
<p>De allra flesta forsknings- och statistikprojekt där det kan vara aktuellt att<br>behandla känsliga personuppgifter utan samtycke bör kunna granskas av<br>en forskningsetisk kommitté eller omfattas av den särskilda författ-<br>ningsregleringen om den officiella statistiken. Datalagskommittén har för<br>de undantagsfall där en forskningsetisk granskning av någon anledningen<br>inte kommit till stånd föreslagit att det införs en skyldighet att anmäla<br>behandlingen för förhandskontroll till tillsynsmyndigheten. Det förslaget<br>har godtagits eller lämnats utan erinran av remissinstanserna.</p>
<p>En sådan anmälningsskyldighet kan införas med stöd av det<br>bemyndigande som berörs i avsnitt 10. Vi hade tänkt oss att senare<br>överväga den frågan och i förekommande fall ge nödvändiga regler i en<br>förordning.</p>
<p>Bortfallsanalyser</p>
<p>Om en viss behandling av personuppgifter för forsknings- eller<br>statistikändamål enligt den nya lagen bara är tillåten när den enskilde har<br>lämnat sitt samtycke, får vid uteblivet eller vägrat samtycke uppgifter om<br></p>
<p>73</p>
<p>den berörde inte behandlas. Detta innebär bl.a. att s.k. bortfallsanalyser Prop. 1997/98:44<br>inte kan genomföras, när forsknings- eller statistikprojektet inte är av<br>sådan vikt att behandlingen av uppgifterna får ske utan samtycke.</p>
<p>Statistiska centralbyrån anser att det måste vara tillåtet att göra bort-<br>fallsanalyser, dvs. behandla uppgifter om dem som inte lämnat samtycke.</p>
<p>Av vad som anförts i det föregående framgår att känsliga person-<br>uppgifter bör fa behandlas utan samtycke för forskning och statistik bara<br>när det finns ett starkt samhällsintresse av att det aktuella projektet<br>genomförs. Vi anser att det inte finns anledning att medge sådan<br>behandling för mindre viktiga projekt, ens när det gäller bortfallsanalyser.<br>Har den enskilde vägrat att lämna sitt samtycke till behandling av känsliga<br>personuppgifter när ett sådant krävs, bör hans eller hennes vilja således<br>respekteras. Inget hindrar dock att den ansvarige för behandlingen<br>alternativt efterfrågar samtycke till att under en kortare tid behandla vissa<br>känsliga personuppgifter för bortfallsanalys.</p>
<p>Om bortfallsanalysen bara skall avse sådana personuppgifter som inte<br>är känsliga, finns det däremot enligt EG-direktivet och den nya lagen<br>större möjligheter att behandla uppgifterna utan samtycke och utföra<br>bortfallsanalysen. Sådana uppgifter får nämligen behandlas t.ex. när<br>behandlingen är nödvändig för att utföra en arbetsuppgift av allmänt<br>intresse, se avsnitt 11.3.</p>
<p>Utlämnande av personuppgifter för forskning och statistik</p>
<p>Enligt artikel 11.2 i EG-direktivet behöver information till de registrerade<br>inte lämnas när uppgifter hämtas in från annat håll än de registrerade, om<br>utlämnandet av uppgifterna uttryckligen föreskrivs i författning. Det krävs<br>dock att det finns lämpliga skyddsåtgärder. Reglerna berörs närmare i<br>avsnitt 11.5.1.</p>
<p>Datalagskommittén har - med hänsyn till EG-direktivet - föreslagit att<br>det i den nya lagen tas in en uttrycklig bestämmelse om att person-<br>uppgifter får lämnas ut för att användas i sådana forsknings- och<br>statistikprojekt som är så viktiga att behandling av känsliga person-<br>uppgifter är tillåten utan samtycke, om inte något annat följer av regler om<br>sekretess och tystnadsplikt. Bestämmelsen för med sig att den forskare<br>eller statistiker som i enlighet med bestämmelsen hämtar in person-<br>uppgifter från något annat håll än de registrerade inte automatiskt behöver<br>informera de registrerade om sin behandling. Däremot kan den<br>forsknmgsetiska granskningen eller en tillämpning av awägningsnormen<br>i lagtexten leda till att information måste lämnas. Datalagskommittén har<br>ansett att bl.a. de stränga sekretessbestämmelser som regelmässigt gäller<br>inom forsknings- och statistikverksamhet utgör sådana lämpliga<br>skyddsåtgärder som krävs enligt EG-direktivet</p>
<p>Förslaget har godtagits eller lämnats utan erinran av remissinstanserna.<br>Också vi anser att det har goda skäl för sig och bör genomföras. Det bör<br>dock betonas att det inte är fråga om någon ny uppgiftsskyldighet för en-<br>skilda eller det allmänna. Ett privat företag kan således liksom hittills<br>själv bestämma om personuppgifter skall lämnas ut för forskning eller sta-<br>tistik eller inte</p>
<p>74</p>
<p>11.4.3</p>
<p>Behandling av uppgifter om lagöverträdelser</p>
<p>Prop. 1997/98:44</p>
<p>Regeringens förslag: Det är förbjudet för andra än myndigheter att<br>behandla personuppgifter om lagöverträdelser som innefattar brott,<br>domar i brottmål, straffprocessuella tvångsmedel eller administrativa<br>frihetsberövanden. Regeringen eller den myndighet som regeringen<br>bestämmer får meddela föreskrifter om undantag från förbudet.</p>
<p>Datalagskommitténs förslag överensstämmer i huvudsak med<br>regeringens, dock att administrativa frihetsberövanden inte omfattas av<br>förbudet i Datalagskommitténs förslag.</p>
<p>Remissinstanserna: Datainspektionen pekar på att enligt EG-<br>direktivet kan samma regler införas för uppgifter som rör ”administrativa<br>sanktioner” och föreslår att så sker beträffande ”administrativa fri-<br>hetsberövanden”</p>
<p>Skälen för regeringens förslag: I artikel 8 5 i EG-direktivet (se bilaga<br>1) finns det särskilda regler rörande behandling av uppgifter om<br>lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder. Behandling av<br>sådana uppgifter får utföras endast under kontroll av en myndighet eller -<br>om lämpliga skyddsåtgärder finns i nationell lag - med förbehåll för de<br>avvikelser som medlemsstaterna kan tillåta med stöd av nationella<br>bestämmelser som innehåller lämpliga och specifika skyddsåtgärder. Ett<br>fullständigt register över brottmålsdomar får dock föras endast under<br>kontroll av en myndighet Det är tillåtet för medlemsstaterna att föreskriva<br>att uppgifter som rör ”administrativa sanktioner” eller avgöranden i<br>tvistemål också skall behandlas under kontroll av en myndighet.</p>
<p>Datalagskommitténs förslag om ett principiellt förbud för andra än<br>myndigheter att behandla uppgifter om lagöverträdelser, brottmålsdomar<br>och säkerhetsåtgärder har lämnats utan erinran av remissinstanserna och<br>bör genomföras. Sådana uppgifter är otvivelaktigt av så känslig natur att<br>vem som helst inte bör få hantera uppgifterna hur som helst. Å andra<br>sidan står det klart att myndigheter ofta behöver hantera just sådana<br>uppgifter för att kunna fullgöra de samhällsuppdrag som lagts på dem. I<br>vilken utsträckning myndigheter får hantera sådana uppgifter framgår av<br>de föreskrifter som reglerar respektive myndighets verksamhet. Det är<br>därför ändamålsenligt att i den nya lagen ta in en grundläggande<br>bestämmelse om att det är förbjudet för andra än myndigheter att<br>behandla uppgifter om lagöverträdelser, domar i brottmål eller säker-<br>hetsåtgärder Som Lagrådet påpekat talar det förhållandet att det är<br>fakultativt att låta administrativa sanktioner omfattas för att de lag-<br>överträdelser som avses är sådana som innefattar brott. Detta bör anges<br>uttryckligen. Med ”säkerhetsåtgärder” torde i första hand avses straff-<br>processuella tvångsmedel. Detta begrepp bör användas i lagtexten.<br>Eftersom det kan finnas fali där det är befogat att enskilda behandlar<br>sådana uppgifter, bör bestämmelsen kompletteras med ett bemyndigande<br>för regeringen eller den myndighet som regeringen bestämmer att<br>meddela föreskrifter om undantag från förbudet. Frågan om norm-<br>givningsdelegation har berörts i avsnitt 10. En möjlighet till dispens i<br>enskilda fall bör också finnas. Datalagskommittén har som exempel på<br>fall där det kan vara befogat med undantag nämnt den behandling av<br></p>
<p>75</p>
<p>uppgifter om t.ex. brottmålsdomar som privata vård- och behandlingshem Prop. 1997/98:44<br>kan behöva utföra för att vårda och behandla den dömde på ett effektivt<br>sätt och viss registrering för försäkringsbolagens kravhantering.</p>
<p>Datainspektionen anser med stöd av regeln i EG-direktivet om<br>”administrativa sanktioner” att samma bestämmelser skall göras tillämp-<br>liga beträffande ”administrativa frihetsberövanden”. Det kan inte anses<br>helt klart vad som avses i direktivet med ”administrativa sanktioner”, men<br>ett exempel kan vara skattetillägg.</p>
<p>I den nuvarande datalagen finns det särskilda regler om personregister<br>som innehåller uppgift om att någon varit föremål för tvångsingripande<br>enligt lagen (1990:52) med särskilda bestämmelser om vård av unga,<br>lagen (1988:870) om vårds av missbrukare i vissa fall, lagen (1991:1128)<br>om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård,<br>lagen (1967:940) angående omsorger om vissa psykiskt utvecklingsstörda<br>och utlänningslagen (1989:529). Enligt vår mening torde de nu nämnda<br>uppgifterna vara sådana som omfattas av direktivet eftersom varken<br>begreppet säkerhetsåtgärd eller begreppet administrativ sanktion utesluter<br>att sådana uppgifter inbegrips. Vi anser således att den av Datainspek-<br>tionens föreslagna lösningen bör genomföras. Det bör därför uttryckligen<br>anges att administrativa frihetsberövanden omfattas av förbudet.</p>
<p>Möjligheten enligt direktivet att föra in uppgifter om avgöranden i<br>tvistemål under den föreslagna ordningen bör inte utnyttjas genom sär-<br>regler i den nya lagen. Den viktigaste och känsligaste formen för behand-<br>ling av sådana uppgifter - kreditupplysning - bör i stället liksom hittills<br>regleras i en särskild lag, kreditupplysningslagen (1973:1173).</p>
<p>11.4.4 Behandling av personnummer</p>
<p>Regeringens förslag: Reglerna om användning av personnummer i<br>den nuvarande datalagen förs i sak i princip oförändrade över till den<br>nya lagen. Detta innebär att uppgifter om personnummer får utan<br>samtycke behandlas bara när det är klart motiverat med hänsyn till<br>ändamålet med behandlingen, vikten av en säker identifiering eller<br>något annat beaktansvärt skäl.</p>
<p>Datalagskommitténs förslag överensstämmer i huvudsak med<br>regeringens.</p>
<p>Remissinstanserna: Bara ett fåtal remissinstanser har haft synpunkter<br>Datainspektionen, Härnösands kommun och Sveriges advokatsamfund<br>uttalar sig för en restriktiv användning av personnummer. Hovrätten över<br>Skåne och Blekinge anser att även den uttryckliga bestämmelsen i den<br>nuvarande datalagen om att personuppgifter får återges på datautskrifter<br>endast när det finns särskilda skäl bör föras över till den nya lagen och<br>därvid göras tillämplig på varje återgivande av personnummer både vid<br>manuell och automatisk behandling.</p>
<p>Skälen för regeringens förslag: Enligt artikel 8 7 i EG-direktivet (se<br>bilaga 1) skall medlemsstaterna bestämma på vilka villkor ett nationellt<br>identifikationsnummer eller något annat vedertaget sätt för identifiering<br>får behandlas. Det måste alltså i Sverige finnas en reglering av använd-<br></p>
<p>76</p>
<p>ningen av personnummer. En sådan reglering finns i dag i 7 § andra Prop. 1997/98:44<br>stycket i den nuvarande datalagen. Registrering av personnummer får<br>enligt den bestämmelsen ske endast när det klart är motiverat med hänsyn<br>till registrets ändamål, vikten av en säker identifiering eller av annat<br>beaktansvärt skäl. Det finns också en uttrycklig regel om att person-<br>nummer far återges på datautskrifter endast när det finns särskilda skäl.</p>
<p>Frågan om användningen av personnummer har nyligen utretts. Den av<br>den förra borgerliga regeringen tillsatta Personnummerutredningen<br>överlämnade våren 1994 betänkandet Personnummer - Integritet och<br>effektivitet (SOU 1994:63) med förslag till lagstiftning om person-<br>nummer. På hösten 1994 anförde den då tillträdda socialdemokratiska<br>regeringen i budgetpropositionen för budgetåret 1995/96 att det inte var<br>aktuellt att införa någon förändrad lagstiftning om användningen av<br>personnummer (prop. 1994/95:100 bil. 3 s. 14). Vi finner inte anledning<br>att nu göra något annat ställningstagande.</p>
<p>De bestämmelser om användningen av personnummer som redan finns<br>i den nuvarande datalagen bör således i sak i pricip oförändrade föras<br>över till den nya lagen. Om någon ger sitt samtycke är det självklart att<br>personnummer skall få behandlas. Lagtexten har efter det att lagråds-<br>remissen behandlats i Lagrådet kompletterats i detta avseende.</p>
<p>Att den uttryckliga regeln i den nuvarande datalagen om återgivande av<br>personnummer på datautskrifter inte har förts över innebär inte någon<br>ändring i sak. Redan den överförda huvudregeln innebär nämligen att en<br>uppgift om personnummer far behandlas t.ex. genom att fästas på en<br>utskrift eller visas upp på en datorskärm bara när den behandlingen är<br>klart motiverad med hänsyn till något beaktansvärt skäl. Att ha en särskild<br>regel med annat rekvisit - särskilda skäl - om just den behandling som<br>själva återgivandet utgör, skulle enligt vår mening bara grumla<br>regleringen.</p>
<p>77</p>
<h3>11.5</h3>
<h3>Information till den registrerade</h3>
<p>Prop 1997/98:44</p>
<p>11.5.1 Information som skall lämnas när uppgifterna samlas in</p>
<p>Regeringens förslag: Om uppgifter om en person samlas in från<br>personen själv, skall den personuppgiftsansvarige i samband därmed<br>självmant lämna den registrerade information om behandlingen.</p>
<p>Om personuppgifterna samlats in från någon annan källa än den<br>registrerade, gäller följande. Den personuppgiftsansvarige skall<br>självmant lämna den registrerade information om behandlingen, när<br>uppgifterna registreras. Är uppgifterna avsedda att lämnas ut till tredje<br>man, behöver informationen dock inte lämnas förrän uppgifterna<br>lämnas ut för första gången. Information behöver inte lämnas, om det<br>finns bestämmelser om registrerandet eller utlämnandet av person-<br>uppgifterna i en lag eller någon annan författning Information behöver<br>inte heller lämnas, om det visar sig vara omöjligt eller skulle innebära<br>en oproportionerligt stor arbetsinsats. Om uppgifterna används för att<br>vidta åtgärder som rör den registrerade, skall dock information i detta<br>fall lämnas senast i samband med detta</p>
<p>Information behöver aldrig lämnas om sådant som den registrerade<br>redan känner till. Regler om sekretess och tystnadsplikt går före<br>informationsskyldigheten.</p>
<p>Datalagskommitténs forslag överensstämmer i huvudsak med<br>regeringens</p>
<p>Remissinstanserna: Flera remissinstanser noterar att skyldigheterna<br>att informera kommer att öka med den nya lagen och poängterar vikten av<br>att skyldigheterna hålls på en rimlig nivå. En del instanser på lands-<br>tingsområdet efterlyser klarlägganden av förhållandet mellan informa-<br>tionsskyldigheten enligt den nya lagen och likartade skyldigheter att<br>informera enligt lagstiftning på hälso- och sjukvårdsområdet</p>
<p>Skälen för regeringens förslag: I artikel 10-11 i EG-direktivet (se<br>bilaga 1) finns det bestämmelser om den information som en person-<br>uppgiftsansvarig skall lämna självmant till den registrerade i samband<br>med att han eller hon samlar in personuppgifter Artikel 10 rör den<br>situationen att uppgifterna samlas in från den registrerade själv, medan<br>artikel 11 gäller när uppgifterna hämtas in från något annat håll. I båda<br>fallen skall den personuppgiftsansvarige lämna informationen självmant<br>Det krävs alltså inte att den registrerade begär att få information.</p>
<p>Samlas personuppgifterna in från den registrerade själv, skall informa-<br>tionen alltid lämnas i samband därmed. Samlar den personupp-<br>giftsansvarige in uppgifter från de registrerade utan att då berätta vad<br>uppgifterna skall användas till, kan behandlingen av personuppgifterna<br>inte anses ha gått korrekt till</p>
<p>När personuppgifterna hämtas in från något annat håll, skall informa-<br>tionen enligt direktivet lämnas ”vid registreringen”. Kan det vid detta till-<br>fälle förutses att uppgifterna kommer att lämnas ut till tredje man, är det<br></p>
<p>78</p>
<p>dock tillåtet att vänta med informationen ända till dess att uppgifterna Prop. 1997/98:44<br>lämnas ut för första gången.</p>
<p>Av EG-direktivet följer att informationen skall avse den person-<br>uppgiftsansvariges och dennes eventuella företrädares identitet,<br>ändamålen med den behandling för vilka uppgifterna är avsedda, och all<br>ytterligare information i den utsträckning informationen - med hänsyn till<br>de särskilda omständigheter under vilka uppgifterna samlas in - är<br>nödvändig för att tillförsäkra den registrerade en korrekt behandling. Den<br>personuppgiftsansvarige är dock aldrig skyldig att lämna information om<br>sådant som den registrerade redan känner till.</p>
<p>För det fallet att personuppgifterna hämtas in från något annat håll än<br>den registrerade själv finns det i artikel 11.2 i EG-direktivet vissa<br>undantag från skyldigheten att informera. Undantagen gäller när det visar<br>sig vara omöjligt eller skulle innebära en oproportionerligt stor<br>ansträngning att lämna information och när registreringen eller utläm-<br>nandet uttryckligen föreskrivs i författning. För dessa undantagsfall skall<br>medlemsstaterna föreskriva lämpliga skyddsåtgärder. Enligt punkt 40 i<br>ingressen till EG-direktivet kan vid bedömningen av om informa-<br>tionslämnandet skulle innebära en oproportionerligt stor ansträngning<br>beaktas bl.a. ”antalet registrerade, uppgifternas ålder och de kompen-<br>satoriska åtgärder som kan vidtas”.</p>
<p>De nu redovisade bestämmelserna i EG-direktivet måste genomföras i<br>svensk lagstiftning. Vi föreslår att så sker genom att bestämmelserna förs<br>över till den nya lagen. Den nya lagen går alltså inte längre än vad som<br>krävs enligt EG-direktivet.</p>
<p>Den skyldighet att informera som föreskrivs i den nya lagen gäller i<br>princip utöver den informationsskyldighet som kan vara föreskriven enligt<br>annan lagstiftning, t.ex. på hälso- och sjukvårdsområdet. Emellertid gäller<br>enligt den nya lagen att information aldrig behöver lämnas om sådant som<br>den registrerade redan känner till, t.ex. på grund av att han eller hon redan<br>har fått informationen i enlighet med annan lagstiftning. Bestämmelsen<br>om att information aldrig behöver lämnas om sådant som den registrerade<br>redan känner till kan vidare ha särskild betydelse när den person-<br>uppgiftsansvarige avser att fortlöpande samla in uppgifter om den<br>registrerade. Information behöver då inte lämnas varje gång nya uppgifter<br>samlas in, om den registrerade en gång har fått fullständig information<br>och således redan känner till informationen.</p>
<p>Lampliga skyddsåtgärder när information inte behöver lämnas</p>
<p>Sverige måste enligt EG-direktivet föreskriva lämpliga skyddsåtgärder för<br>de fall där information inte behöver lämnas därför att registreringen eller<br>utlämnandet uttryckligen föreskrivs i författning eller därför att det visar<br>sig vara omöjligt eller skulle innebära en oproportionerligt stor ansträng-<br>ning att lämna information.</p>
<p>När det finns bestämmelser om registreringen eller utlämnandet i en<br>författning, finns det som regel mekanismer eller föreskrifter i den<br>aktuella författningen som förhindrar missbruk och som får anses vara<br>tillräckliga för att uppfylla direktivets krav på lämpliga skyddsåtgärder -jg</p>
<p>Eventuella tillkommande lämpliga skyddsåtgärder får tas in i den författ-<br></p>
<p>ning som föreskriver registreringen eller utlämnandet. Några generella Prop. 1997/98:44<br>föreskrifter om lämpliga skyddsåtgärder för det fallet att registreringen<br>eller utlämnandet är författningsreglerat behöver således inte tas in i den<br>nya lagen. Frågan om författningsstöd för utlämnande av personuppgifter<br>för forskning och statistik har berörts i avsnitt 11.4.2.</p>
<p>När det sedan gäller det fallet att det visar sig vara omöjligt eller skulle<br>innebära en oproportionerligt stor arbetsinsats att lämna information, är<br>det nödvändigt att i den nya lagen ta in bestämmelser om sådana lämpliga<br>skyddsåtgärder som krävs enligt EG-direktivet. Enligt vår mening är det i<br>detta hänseende tillräckligt att i den nya lagen föreskriva att information<br>alltid skall lämnas senast i samband med att de aktuella uppgifterna<br>används för att vidta åtgärder beträffande de registrerade. Därmed finns<br>det en garanti för att den registrerade inte utsätts för en åtgärd utan att få<br>reda på vilken uppgiftsbehandling som ligger bakom den. Om en person-<br>uppgiftsansvarig för utskick för direkt marknadsföring hämtat in uppgifter<br>om så många personer att det skulle innebära en oproportionerligt stor<br>arbetsinsats att informera dem alla redan när uppgifterna registreras,<br>måste således information lämnas senast i de handlingar som sänds ut.</p>
<p>Undantag vid sekretess och tystnadsplikt</p>
<p>I den utsträckning det i en lag eller någon annan författning eller i ett<br>beslut som har meddelats med stöd av en författning är särskilt föreskrivet<br>att uppgifter inte far lämnas ut till den registrerade, behöver information<br>inte lämnas. Denna undantagsregel, som är gemensam för den nu berörda<br>skyldigheten att självmant lämna information när personuppgifterna<br>samlas in och skyldigheten att efter ansökan av den registrerade lämna<br>information, berörs närmare i nästa avsnitt.</p>
<p>80</p>
<p>11.5.2</p>
<p>Information som skall lämnas efter ansökan</p>
<p>Prop 1997/98:44</p>
<p>Regeringens förslag: Den personuppgiftsansvarige är skyldig att till<br>var och en som ansöker om det en gång per kalenderår gratis lämna<br>besked i frågan om personuppgifter som rör sökanden behandlas eller<br>ej. Behandlas sådana uppgifter skall skriftlig information lämnas också<br>om vilka uppgifter om sökanden som behandlas, varifrån dessa<br>uppgifter har hämtats, vilka ändamålen med behandlingen är och till<br>vilka mottagare eller kategorier av mottagare som uppgifterna lämnas<br>ut</p>
<p>Ansökan om information skall göras skriftligen hos den person-<br>uppgiftsansvarige och vara undertecknad av den sökande själv.</p>
<p>Informationen skall lämnas inom en månad från det att ansökan<br>gjordes. Om det finns särskilda skäl för det, får informationen dock<br>lämnas senast fyra månader efter det att ansökan gjordes.</p>
<p>Information behöver emellertid inte lämnas om personuppgifter i<br>löpande text som inte fatt sin slutliga utformning när ansökan gjordes<br>eller som utgör minnesanteckning eller liknande. Detta gäller dock inte<br>om uppgifterna har lämnats ut till tredje man eller om uppgifterna<br>behandlas enbart för historiska, statistiska eller vetenskapliga ändamål<br>eller, när det gäller löpande text som inte fått sin slutliga utformning,<br>om uppgifterna har behandlats under längre tid än ett år.</p>
<p>Regler om sekretess och tystnadsplikt går också före informa-<br>tionsskyldigheten</p>
<p>Datalagskommitténs förslag överensstämmer i huvudsak med<br>regeringens.</p>
<p>Remissinstanserna: Flera remissinstanser noterar att skyldigheterna<br>att informera kommer att öka med den nya lagen och poängterar vikten av<br>att skyldigheterna hålls på en rimlig nivå, särskilt när det gäller person-<br>uppgifter i löpande text.</p>
<p>Skälen för regeringens förslag: Enligt artikel 12 a i EG-direktivet (se<br>bilaga 1) skall medlemsstaterna säkerställa att varje registrerad har rätt att<br>från den personuppgiftsansvarige få viss information. Informationen<br>behöver - såsom direktivet måste tolkas - lämnas bara efter begäran från<br>den registrerade. Informationen skall då lämnas utan hinder, med rimliga<br>intervall, utan större tidsutdräkt och utan större kostnader</p>
<p>Den registrerade har för det första rätt att få bekräftelse på om<br>uppgifter som rör honom eller henne behandlas eller inte. I övrigt -<br>naturligen bara för det fallet att uppgifter om den registrerade behandlas -<br>skall information lämnas om åtminstone ändamålen med behandlingen, de<br>berörda uppgiftskategoriema, mottagarna eller till vilka kategorier av<br>mottagare som uppgifterna lämnas ut, vilka uppgifter som behandlas och<br>varifrån uppgifterna kommer.</p>
<p>Informationen om vilka uppgifter som behandlas skall vara begriplig<br>för den registrerade. När det gäller information om varifrån uppgifterna<br>kommer, behöver den personuppgiftsansvarige bara lämna all den<br>information som finns tillgänglig för honom eller henne. Den person-<br>uppgiftsansvarige behöver således inte hålla reda på varifrån uppgifterna</p>
<p>81</p>
<p>6 Riksdagen 1997/98. 1 saml. Nr 44<br></p>
<p>har hämtats, men vet han eller hon det när den registrerade begär Prop. 1997/98:44<br>information skall det uppges</p>
<p>Bestämmelserna i EG-direktivet, som motsvarar reglerna i 10 § i den<br>nuvarande datalagen om registerutdrag, måste föras över till den nya<br>lagen Vi föreslår att så sker. I enlighet med vad som gäller i dag<br>beträffande registerutdrag bör det därvid föreskrivas att en ansökan om<br>information skall göras skriftligen och vara undertecknad av den sökande<br>själv. Det är enligt vår mening rimligt att den enskilde har rätt att en gång<br>per kalenderår fa skriftlig information gratis. Informationen bör - i<br>enlighet med vad som gäller i dag enligt Datainspektionens föreskrift<br>DIFS 1982:2 - som huvudregel lämnas inom en månad från det att<br>ansökan gjordes. Informationen bör dock få lamnas senast fyra månader<br>efter det att ansökan gjordes, om det finns särskilda skäl för det. Sådana<br>särskilda skäl kan vara att personuppgifterna är krypterade, att sök-<br>möjligheterna annars är begränsade eller att den personuppgiftsansvarige<br>har många personuppgifter uppdelade på olika register eller andra data-<br>samlingar</p>
<p>Personuppgifter i löpande text</p>
<p>Den nya lagen omfattar till skillnad från den nuvarande datalagen även<br>behandling av personuppgifter som finns i löpande text, t.ex. i ett ord-<br>behandlingsdokument (se avsnitt 8.4) Beträffande sådana person-<br>uppgifter finns det särskilda svårigheter att söka fram alla uppgifter om en<br>och samma person som behandlas. I vissa fall har en personuppgifts-<br>ansvarig så många olika samlingar av personuppgifter och så dåliga<br>sökmöjligheter att det i praktiken är omöjligt att få fram alla uppgifter om<br>den registrerade som behandlas. Arkivmyndigheterna, som tar emot<br>samlingar av uppgifter med olikartad struktur från många håll, kan vara<br>ett exempel</p>
<p>I EG-direktivet finns det ingen uttrycklig bestämmelse som gör det<br>möjligt att göra undantag från skyldigheten att efter ansökan lämna<br>begriplig information om vilka uppgifter som behandlas, när det är<br>omöjligt eller skulle innebära en oproportionerligt stor ansträngning att<br>söka fram alla uppgifter om en person som behandlas. Datalagskommittén<br>har berört problemet på följande sätt</p>
<p>EG-direktivet kan inte anses kräva att en persondataansvarig ordnar<br>sina uppgiftssamlingar på ett sådant sätt att det är möjligt att söka<br>fram alla uppgifter om en registrerad som behandlas. Ett införande<br>eller tillåtande av sådana sök- och sammanställningsmöjligheter, som<br>inte behövs av något annat skäl, skullej själva verket kunna hota den<br>personliga integriteten, det skulle då bli enkelt att kartlägga en<br>person.</p>
<p>Enligt vår mening är det inte rimligt att utforma informations-<br>skyldigheten på ett sadant sätt att den tvingar fram förfaranden som i<br>själva verket kan hota den personliga integriteten. Den person-<br>dataansvarige bör, som vi ser det, bara vara skyldig att utnyttja alla de<br>sök- och sammanställningsmöjljgheter som han eller hon faktiskt och<br>rättsligt har tillgång till for att fa fram information att lämna till den<br>registrerade Darmed garanteras att den registrerade får tillgång till all<br>information som den persondataansvange faktiskt kan fa fram om<br>den registrerade, vilket måste anses tillräckligt; inte ens EG-rätten<br>kan tvinga någon att göra det som i praktiken är omöjligt</p>
<p>Den som har en stor mängd ordbehandlingsdokument och som<br>bara har en funktion för att söka i öppnade dokument kan exempelvis<br></p>
<p>82</p>
<p>i praktiken inte få fram alla uppgifter om en person som kan finnas i<br>dokumenten. En persondataansvarig med hundratals anställda med<br>persondatorer vilka kan sökas igenom en och en kan inte heller i<br>praktiken söka fram de personuppgifter som kan finnas i alla<br>datorerna, om det inte finns nagra mera centraliserade sök-<br>möjligheter. Möjligheterna att söka bland datorlagrade uppgifter<br>utvecklas dock ständigt, och det finns redan i dag i standardprogram<br>funktioner för att snabbt söka igenom alla dokument på en hårddisk<br>eller via nät efter viss text, t.ex. ett namn eller personnummer. Med<br>den föreslagna ordningen kommer den registrerades rätt att få<br>information att utvidgas i precis samma takt som de per-<br>sondataansvarigas möjligheter att göra integritetskänsliga sökningar<br>och sammanställningar utvecklas. Det finns inte anledning att driva<br>på utvecklingen och användningen av möjligheterna att göra känsliga<br>sammanställningar.</p>
<p>En persondataansvarig som behandlar många personuppgifter i<br>olika konstellationer, exempelvis Statistiska centralbyrån, kan med<br>den föreslagna ordningen ändå behöva göra stora ansträngningar för<br>att pröva alla sök- och sammanställningsmöjligheter som faktiskt<br>finns. Men den som samlar på sig stora mängder personuppgifter får<br>som regel finna sig i att också behöva göra stora ansträngningar för<br>att kunna tillgodose de registrerades grundläggande rättigheter</p>
<p>Enligt vår mening är det rimligt att utgå från att Datalagskommitténs<br>slutsats att EG-direktivet innebär att den personuppgiftsansvarige bara är<br>skyldig att utnyttja alla de sök- och sammanställningsmöjligheter som han<br>eller hon har tillgång till för att få fram information att lämna till den<br>registrerade är riktig. När det gäller skyldigheten att efter ansökan lämna<br>information om bl.a. vilka uppgifter om sökanden som behandlas, skall<br>bestämmelserna i den nya lagen ha samma innebörd som enligt direktivet<br>och inte gå längre än vad direktivet kräver.</p>
<p>Även en annan aspekt på det förhållandet att den nya lagen omfattar<br>behandling av personuppgifter i löpande text bör tas upp. När det gäller<br>personuppgifter i löpande text som inte har fått sin slutliga utformning,<br>t.ex. i ett ordbehandlingsdokument under arbete, och personuppgifter i<br>löpande text som utgör minnesanteckning eller liknande, finns det<br>nämligen enligt vår mening anledning att ha särskilda regler i den nya<br>lagen. Regleringen i 2 kap tryckfrihetsförordningen innebär att en<br>myndighet inte är skyldig att på grund av offentlighetsprincipen lämna ut<br>t.ex. utkast under arbete och minnesanteckningar eller liknande som inte<br>skall bevaras för framtiden. Det är tydligt att en ordning som innebär att<br>ofårdiga alster och minnesanteckningar eller liknande inte behöver lämnas<br>ut har goda skäl för sig på såväl den offentliga som den privata sidan. Att<br>under en rimlig tid få ha sina ofärdiga alster och minnesanteckningar i<br>fred kan enligt regeringens mening anses som en sådan fri- och rättighet<br>som enligt artikel 13.1 i EG-direktivet berättigar till en begränsning av<br>informationsskyldigheten</p>
<p>Vi föreslår därför för det första att information inte skall behöva<br>lämnas beträffande personuppgifter i löpande text som när ansökan om<br>information gjordes inte har fått sin slutliga utformning. Har uppgifterna i<br>den löpande texten behandlats under så lång tid som ett år utan att texten<br>färdigställts, får dock den registrerades intresse av att få ta del av sina<br>uppgifter anses väga tyngre än den personuppgiftsansvariges intresse av<br>att utan insyn få ytterligare fördröja färdigställandet av texten Person-<br>uppgifter i löpande text som, när ansökan gjordes, har behandlats under<br>längre tid än ett år utan att texten har fått sin slutliga utformning bör<br>därför lämnas ut, om inte den personuppgiftsansvarige väljer att i stället<br></p>
<p>Prop. 1997/98:44</p>
<p>83</p>
<p>utplåna personuppgifterna i den ofårdiga texten. Den registrerade bör Prop. 1997/98:44<br>också ha rätt att få reda på uppgifterna, om den personuppgiftsansvarige<br>har spritt dem till utomstående. Information bör således lämnas om<br>uppgifterna i den ofardiga löpande texten redan har lämnats ut till tredje<br>man när ansökan om information gjordes. Har den personuppgifts-<br>ansvarige när ansökan görs inte längre kvar de utlämnade uppgifterna,<br>kan information givetvis inte lämnas.</p>
<p>Vi föreslår för det andra att information inte skall behöva lämnas be-<br>träffande personuppgifter i löpande text som utgör minnesanteckning eller<br>liknande, t.ex. en föredragningspromemoria, under förutsättning att<br>personuppgifterna, när ansökan gjordes, inte har lämnats ut till tredje<br>man. De minnesanteckningar eller liknande som det finns goda skäl för<br>att undanta från den registrerades insyn är sådana som används för att<br>förbereda ett ärende eller liknande för avgörande Sparas sådana hand-<br>läggningshjälpmedel sedan ärendet har avgjorts eller annars slut-<br>behandlats, bör den registrerade få ta del av uppgifterna på motsvarande<br>sätt som allmänheten har rätt att ta del av uppgifter i myndigheters<br>minnesanteckningar eller liknande vilka tagits om hand för arkivering.<br>Information bör således lämnas beträffande personuppgifter i minnes-<br>anteckningar eller liknande som, när ansökan gjordes, bara behandlas för<br>historiska, statistiska eller vetenskapliga ändamål.</p>
<p>Det bör påpekas att informationsskyldigheten innebär att en registrerad<br>i vissa fall kan ha rätt att med stöd av den nya lagen få ta del av uppgifter<br>om sig själv som allmänheten inte har rätt att få ta del av med stöd av<br>offentlighetsprincipen enligt 2 kap tryckfrihetsförordningen Den<br>registrerade har i viss utsträckning rätt att få ta del av uppgifter i<br>handlingar som inte är allmänna. Det kan t.ex. gälla uppgifter i utkast som<br>har behandlats under längre tid än ett år. Men när handlingen med<br>informationen om uppgifterna har expedierats till den registrerade, blir<br>handlingen å andra sidan genast allmän och tillgänglig för var och en i<br>den utsträckning sekretess inte gäller. Det kan inte anses obefogat att den<br>som uppgifterna rör i vissa fall har rätt att få ta del av dessa tidigare än<br>allmänheten.</p>
<p>Förhållandet till bestämmelser om sekretess och tystnadsplikt</p>
<p>Enligt artikel 13 i EG-direktivet (se bilaga 1) får medlemsstaterna i sin<br>lagstiftning göra nödvändiga begränsningar i rätten för den registrerade<br>att få information med hänsyn till skyddet av den registrerades eller andras<br>fri- och rättigheter.</p>
<p>Skyldigheten enligt 10 § i den nuvarande datalagen att lämna register-<br>utdrag gäller i dag inte uppgifter som enligt lag eller annan författning<br>eller enligt myndighets beslut som har meddelats med stöd av författning<br>inte får lämnas ut till den registrerade.</p>
<p>De bestämmelser om sekretess och tystnadsplikt som finns i Sverige<br>får anses vara uppställda till skydd för sådana fri- och rättigheter som<br>avses i direktivet. Ibland hindrar sådana bestämmelser att den registrerade<br>får tillgång till vissa uppgifter om sig själv, se t.ex. 7 kap 3 §<br>sekretesslagen (1980:100). Enligt regeringens mening är det nödvändigt<br>att dessa särskilda bestämmelser om att den registrerade i undantagsfall<br></p>
<p>84</p>
<p>inte har rätt till viss information får gälla framför den generella rätt till in- Prop. 1997/98:44<br>formation om behandlade uppgifter som annars skall gälla enligt EG-di-<br>rektivet och den nya lagen Vi anser således att det i den nya lagen bör in-<br>föras en bestämmelse om att rätten att fa information i samband med in-<br>samling av uppgifter och efter ansökan inte gäller i den utsträckning det<br>finns en föreskrift om att uppgifterna inte far lämnas ut till den registre-<br>rade. Sådana föreskrifter kan finnas i lag eller annan författning eller i<br>beslut som har meddelats med stöd av författning, t.ex. ett beslut om<br>förbehåll enligt 14 kap. 9 och 10 §§ sekretesslagen.</p>
<p>Med stöd av bestämmelserna i sekretesslagen kan det allmänna på<br>grund av bl.a. sina ekonomiska intressen under vissa förutsättningar<br>hemlighålla uppgifter bl.a. i samband med rättsliga tvister och fackliga<br>förhandlingar. På den privata sidan, där offentlighetsprincipen inte gäller,<br>finns det däremot i allmänhet inte några författningsbestämmelser om<br>sekretess och tystnadsplikt som motsvarar de bestämmelser som finns i<br>sekretesslagen, se dock t.ex. 7 kap. 20 § försäkringsrörelselagen<br>(1982:713) som innebär att förmånstagare till försäkring i vissa fall inte<br>har rätt att i förväg av försäkringsbolaget fa veta att han eller hon<br>verkligen är förmånstagare. Reglerna om information i den nya lagen<br>innebär att ett slags ”offentlighetsprincip” gentemot den registrerade<br>kommer att gälla i vissa avseenden även på den privata sidan. Den nya<br>lagen omfattar vidare - till skillnad från datalagen - i princip alla<br>datorlagrade personuppgifter, t.ex. sådana som finns i löpande text (se<br>avsnitt 6.1 och 8 4).</p>
<p>Även på den privata sida finns det därför behov av bestämmelser som<br>gör det möjligt att i vissa fall vägra att lämna information till den<br>registrerade. Enskilda kan exempelvis i lika hög grad som myndigheter ha<br>ett befogat intresse av att kunna hemlighålla personanknuten information<br>som samlats in inför en domstolsprocess, om det kan antas att ett<br>utlämnande av informationen skulle försämra den enskildes ställning som<br>part i rättegången I försäkringsverksamhet registreras inte sällan upp-<br>gifter om att en person misstänks för försäkringsbedrägeri eller annan<br>brottslig verksamhet. Internationella organisationer kan ha samman-<br>ställningar av uppgifter om personer som misstänks ha gjort sig skyldiga<br>till brott mot de mänskliga rättigheterna Uppgifterna bör inte behöva<br>lämnas ut medan utredning pågår I avsnitt 11 4.3 berörs vidare behand-<br>ling av personuppgifter om lagöverträdelser som innefattar brott m.m.</p>
<p>Vi föreslår därför att den nya lagen skall innehålla en regel om att även<br>en personuppgiftsansvarig som inte är en myndighet får i motsvarande fall<br>som avses i sekretesslagen (1980:100) vägra att lämna ut uppgifter till den<br>registrerade</p>
<p>Lagrådet har anfört att föreskriften innebär att enskilda blir skyldiga att<br>sätta sig in i en omfattande och komplicerad lagstiftning som är utformad<br>med tanke på myndigheters verksamhet och vid prövning av informa-<br>tionsskyldigheten försöka dra paralleller till den egna verksamheten.<br>Lagrådet ifrågasätter om inte någon annan lösning som tillgodoser<br>behovet kan åstadkommas, och frågan bör enligt Lagrådet beredas<br>ytterligare Vi kan hålla med Lagrådet om att det inte alltid blir helt lätt att<br>tillämpa bestämmelsen. Man måste dock märka att det bara är i situationer<br>då någon vill underlåta att lämna information som en tillämpning kan ge<br></p>
<p>85</p>
<p>stöd för en sådan vägran. Huvudprincipen är att information skall ges, och Prop. 1997/98:44<br>den som lämnar ut information behöver aldrig tillämpa undantagsbestäm-<br>melsen</p>
<h3>11.6 Korrigering av personuppgifter</h3>
<p>Regeringens förslag: Den personuppgiftsansvarige är skyldig att på<br>begäran av den registrerade snarast rätta, blockera eller utplåna sådana<br>personuppgifter som inte har behandlats i enlighet med den nya lagen<br>eller föreskrifter som har utfärdats med stöd av lagen Den person-<br>uppgiftsansvarige skall också underrätta tredje man som uppgifterna<br>har lämnats ut till om åtgärden, om den registrerade begär det eller om<br>mera betydande skada eller olägenhet för den registrerade skulle kunna<br>undvikas genom en underrättelse. Någon sådan underrättelse behöver<br>dock inte lämnas, om detta visar sig vara omöjligt eller skulle innebära<br>en oproportionerligt stor arbetsinsats</p>
<p>Datalagskommitténs förslag överensstämmer med regeringens</p>
<p>Remissinstanserna: Arbetarskyddsstyrelsen, Riksarkivet, Landsorga-<br>nisationen i Sverige (LO) och UpplysningsCentralen UC AB tar upp<br>frågor som rör bevisbördan och vad som skall gälla om det finns oenighet<br>i fråga om t.ex en uppgifts riktighet. Datainspektionen anser att det för<br>korrigering inte skall krävas någon begäran av den registrerade<br>Stockholms läns landsting och Svenska bankföreningen anser att det bör<br>anges i lagtexten att det är den personuppgiftsansvarige som väljer<br>korrigeringsmetod.</p>
<p>Skälen för regeringens förslag: I artikel 12 b och 12 c i EG-direktivet<br>(se bilaga 1) finns det bestämmelser om korrigering m.m. Enligt dessa<br>bestämmelser skall medlemsstaterna säkerställa att varje registrerad har<br>rätt att i förekommande fall få sådana uppgifter som inte har behandlats i<br>enlighet med bestämmelserna i direktivet rättade, utplånade eller<br>blockerade. Detta skall gälla särskilt när uppgifterna är ofullständiga eller<br>felaktiga. Varje registrerad skall vidare ha rätt att kräva att den person-<br>uppgiftsansvarige underrättar sådana tredje män till vilka berörda upp-<br>gifter har lämnats ut om genomförda rättelser, utplånanden och<br>blockeringar. Denna underrättelseskyldighet gäller dock inte om det visar<br>sig vara omöjligt eller skulle innebära en oproportionerligt stor ansträng-<br>ning att underrätta.</p>
<p>I avsnitt 8.1 berörs särskilt frågan om korrigering av uppgifter i<br>allmänna handlingar hos myndigheter, och i avsnitt 13 tas upp frågan om<br>tillsynsmyndighetens möjligheter att få personuppgifter utplånade.</p>
<p>Korrigeringsskyldigheten</p>
<p>Bestämmelserna om korrigering i artikel 12 b och 12 c i EG-direktivet<br>måste införas i den nya lagen Vi föreslår därför för det första en<br>bestämmelse om att den personuppgiftsansvarige är skyldig att på begäran<br>av den registrerade snarast rätta, blockera eller utplåna sådana person-<br></p>
<p>86</p>
<p>uppgifter som inte har behandlats i enlighet med den nya lagen eller Prop 1997/98:44<br>föreskrifter som har utfärdats med stöd av lagen. Datainspektionen har<br>vänt sig emot att det för korrigering enligt denna bestämmelse skall<br>krävas en begäran från den registrerade.</p>
<p>Enligt artikel 6.1 d i EG-direktivet är det ett grundläggande krav på den<br>personuppgiftsansvarige vid behandling av personuppgifter att alla<br>rimliga åtgärder vidtas för att utplåna eller rätta sådana personuppgifter<br>som är felaktiga eller ofullständiga i förhållande till de ändamål för vilka<br>uppgifterna behandlas Denna regel har införts i den nya lagen, liksom<br>regler om krav på den personuppgiftsansvarige att se till att de person-<br>uppgifter som behandlas är adekvata och relevanta i förhållande till ända-<br>målen med behandlingen och att de personuppgifter som behandlas är<br>riktiga och, om det är nödvändigt, aktuella, se avsnitt 11.2. Redan av de<br>grundläggande kraven framgår således tydligt att den personupp-<br>giftsansvarige på egen hand måste vara aktiv för att se till att de behand-<br>lade uppgifterna är korrekta. Den nu aktuella bestämmelsen kan sägas<br>innehålla regler om en rätt för den registrerade att påkalla den person-<br>uppgiftsansvariges aktivitet för att korrigera uppgifter, som gäller utöver<br>de grundläggande kraven på den personuppgiftsansvarige. Den ena<br>bestämmelsen innehåller således regler om skyldigheter för den person-<br>uppgiftsansvarige och den andra bestämmelsen regler om rättigheter för<br>den registrerade, och båda bestämmelserna måste genomföras enligt EG-<br>direktivet.</p>
<p>Uppkommer oenighet mellan den personuppgiftsansvarige och den<br>registrerade om uppgifterna skall korrigeras eller inte, kan den<br>registrerade anmäla förhållandet till tillsynsmyndigheten, som har möj-<br>lighet att förelägga vite om lagen inte följs och att ansöka om utplånande<br>av uppgifterna (se avsnitt 13), eller själv väcka talan om saken vid allmän<br>domstol. En personuppgiftsansvarig som efter utredning inte är övertygad<br>om att det är nödvändigt att korrigera uppgifterna behöver således inte<br>självmant göra det</p>
<p>Av det förhållandet att det inte anges vilken av de alternativa<br>metoderna rättelse, blockering och utplånande som skall väljas i olika<br>situationer följer att det i princip är den som skall göra korrigeringen, dvs<br>den personuppgiftsansvarige, som får välja själv.</p>
<p>Underrättelseskyldigheten</p>
<p>Vi föreslår för det andra att den nya lagen, för att uppfylla kraven i<br>artikel 12 c i EG-direktivet, skall innehålla en bestämmelse om att den<br>personuppgiftsansvarige på begäran av den registrerade skall underrätta<br>de tredje män till vilka uppgifterna har lämnats ut om korri-<br>geringsåtgärden Datalagskommittén har, såsom en rent inhemsk<br>reglering, föreslagit att den personuppgiftsansvarige därutöver skall vara<br>skyldig att - oavsett om den registrerade begärt underrättelse eller inte -<br>lämna sådan underrättelse om det skulle kunna undvika mera betydande<br>skada eller olägenhet för den registrerade. Kommitténs förslag har<br>lämnats utan erinran av remissinstanserna. Därför och eftersom det är<br>viktigt att på alla sätt förhindra användning av felaktiga eller ofullständiga<br>uppgifter, bör förslaget som inte kan anses oförenligt med EG-direktivet<br></p>
<p>genomföras. Underrättelse skall dock i enlighet med direktivet inte i något<br>fall behöva lämnas om detta visar sig vara omöjligt eller skulle innebära<br>en oproportionerligt stor arbetsinsats.</p>
<h3>11.7 Automatiserade beslut</h3>
<p>Regeringens förslag: Om ett beslut som har rättsliga följder för en<br>fysisk person eller annars har märkbara verkningar för personen,<br>grundas enbart på automatiserad behandling av personuppgifter som är<br>avsedda att bedöma egenskaper hos den berörda personen, skall den<br>som berörs av beslutet har möjlighet att på begäran få beslutet<br>omprövat av någon person.</p>
<p>Var och en som varit föremål för ett sådant beslut har också rätt att<br>på ansökan få information från den personuppgiftsansvarige om vad<br>som har styrt den automatiserade behandling som lett fram till beslutet.</p>
<p>Datalagskommitténs förslag överensstämmer med regeringens.</p>
<p>Remissinstanserna: Bara ett fåtal remissinstanser har berört förslaget.<br>Riksrevisionsverket anser att det finns behov av ytterligare utredning av de<br>rättsliga frågorna kring automatiserade beslut.</p>
<p>Skälen för regeringens förslag: Artikel 15 i EG-direktivet (se bilaga<br>1) - med underrubriken Databehandlade beslut - innehåller bestämmelser<br>om skydd för den registrerade mot vissa automatiserade beslut<br>Bestämmelserna i EG-direktivet innebär att medlemsstaterna i princip<br>skall ge var och en rätt att slippa bli föremål för vissa automatiserade be-<br>slut. Medlemsstaterna är dock förpliktade att - om inte något annat följer<br>av övriga regler i direktivet - föreskriva att en person faktiskt får bli före-<br>mål för automatiserade beslut i två fall</p>
<p>De beslut som avses i artikel 15 är sådana som har rättsliga följder för<br>någon eller som annars märkbart påverkar någon. Beslutet måste vidare<br>grundas enbart på automatiserad behandling. Dessutom krävs att de<br>uppgifter på vilka den automatiserade behandlingen grundas är sådana<br>som är avsedda att bedöma vissa personliga egenskaper hos den som är<br>föremål för beslutet, t.ex. arbetsprestationer, kreditvärdighet, pålitlighet<br>och uppträdande. Det är bara sådana beslut som uppfyller samtliga<br>rekvisit som här nämnts som omfattas av huvudregeln och som var och en<br>skall ges en principiell rätt att slippa.</p>
<p>Från den principiella huvudregeln skall medlemsstaterna i två fall före-<br>skriva undantag, dvs. medge att en person i dessa fall faktiskt får utsättas<br>för automatiserade beslut</p>
<p>Det första fallet (artikel 15.2 a) gäller sådana automatiserade beslut<br>som fattas som ett led i ingåendet eller fullgörandet av ett avtal Sådana<br>beslut skall tillåtas om de är positiva för den registrerade - dvs. när den<br>registrerades begäran om ingående eller fullgörande av ett avtal har bi-<br>fallits - eller om det vidtas lämpliga åtgärder för att skydda den registrera-<br>des berättigade intressen. Som exempel på lämpliga åtgärder att vidta<br>nämns i direktivet att den registrerade har möjlighet att göra sin uppfatt-<br>ning gällande.</p>
<p>Prop. 1997/98:44</p>
<p>88</p>
<p>Det andra fallet (artikel 15.2 b) där automatiserade beslut skall godtas Prop. 1997/98:44<br>är när sådana beslut har tillåtits i lagstiftning som innehåller bestämmelser<br>till skydd för den registrerades berättigade intressen.</p>
<p>I artikel 12 a tredje strecksatsen i EG-direktivet föreskrivs att medlems-<br>staterna skall säkerställa att varje registrerad har rätt att från den person-<br>uppgiftsansvarige - utan hinder och med rimliga intervall samt utan större<br>tidsutdräkt eller kostnader - få kännedom om den logik som används när<br>uppgifter som rör den registrerade behandlas på automatisk väg. Av be-<br>stämmelsen framgår vidare att den rätten far begränsas till att avse bara<br>sådana automatiserade beslut som berörs i artikel 15.1. I punkt 41 i in-<br>gressen till direktivet framhålls att den nu aktuella rätten mte far inkräkta<br>på några affärshemligheter eller på upphovsrätten till t.ex. programvaran<br>Den registrerade bör dock mte nekas all information</p>
<p>Bestämmelserna i EG-direktivet innebär att det i Sverige måste införas<br>en reglering av automatiserade beslut Definitionen av automatiserade<br>beslut i EG-direktivet är generellt utformad, och det ar svårt att ha någon<br>föreställning om alla de olika beslut som i dag och i framtiden kan<br>komma att omfattas. Enligt vår mening bör man därför inrikta sig på en<br>generell lösning som ställer upp ett minimiskydd för den som blir utsatt<br>för ett automatiserat beslut. Datalagskommittén har föreslagit att den en-<br>skilde skall ha rätt att på begäran dels fa reda på vilka regler som har styrt<br>den automatiska behandling som har lett fram till beslutet, dels få beslutet<br>omprövat av en person. Det förslaget har i huvudsak lämnats utan erinran<br>av remissinstanserna och bör därför genomföras</p>
<p>Bestämmelserna i den nya lagen är sådana bestämmelser i den svenska<br>lagstiftningen som i enlighet med vad som krävs enligt artikel 15.2 b dels<br>tillåter automatiserade beslut, dels föreskriver lämpliga åtgärder till skydd<br>för den registrerades berättigade intressen.</p>
<p>I fråga om den registrerades ansökan och den personuppgiftsansvariges<br>lämnande av information bör i tillämpliga delar gälla samma procedurreg-<br>ler som beträffande övrig information som skall lämnas på begäran (se av-<br>snitt 11.5.2). Detta innebär bl.a. att informationen som huvudregel skall<br>lämnas skriftligen mom en månad efter ansökan</p>
<p>Enligt EG-direktivet är det tillåtet att införa en rätt för den registrerade<br>att på begäran få kännedom om den logik som ligger bakom även annan<br>automatiserad behandling än sådan som har lett fram till ett automatiserat<br>beslut. Vi anser emellertid i likhet med Datalagskommittén att det inte är<br>nödvändigt att införa en sådan generell rätt. Ingen remissinstans har<br>föreslagit att en sådan generell rätt skall införas, och den registrerade har<br>för övrigt enligt den nya lagen redan rätt att få veta vilka uppgifter som<br>behandlas och för vilka ändamål behandlingen äger rum (se avsnitt<br>11.5.2).</p>
<p>89</p>
<h3>11.8 Säkerheten vid behandlingen</h3>
<p>Regeringens förslag: Den som arbetar med personuppgifter far bara<br>behandla dessa i enlighet med instruktioner från den person-<br>uppgiftsansvarige. Om det i lag eller annan författning finns särskilda<br>bestämmelser om behandlingen av personuppgifter i det allmännas<br>verksamhet i sådana frågor, skall dessa gälla.</p>
<p>Den personuppgiftsansvarige är skyldig att vidta tekniska och<br>organisatoriska åtgärder för att skydda personuppgifterna. Åtgärderna<br>skall åstadkomma en lämplig säkerhetsnivå.</p>
<p>När den personuppgiftsansvarige anlitar ett personuppgiftsbiträde<br>för att utföra behandling av personuppgifter, skall det finnas ett<br>skriftligt avtal som särskilt reglerar säkerhetsfrågorna. Den person-<br>uppgiftsansvarige skall också vara skyldig att se till att person-<br>uppgiftsbiträdet verkligen vidtar nödvändiga säkerhetsåtgärder</p>
<p>Datalagskommitténs förslag överensstämmer i huvudsak med<br>regeringens.</p>
<p>Remissinstanserna: Bara ett fåtal remissinstanser har berört förslaget</p>
<p>Skälen for regeringens förslag: I artikel 16 och 17 i EG-direktivet (se<br>bilaga 1) finns det bestämmelser om säkerhet och sekretess vid<br>behandling av personuppgifter</p>
<p>Bestämmelserna i artikel 16 innebär att de personer som arbetar med<br>personuppgifter får behandla uppgifterna bara enligt instruktioner från<br>den personuppgiftsansvarige. Här gäller dock ett undantag som innebär<br>att om någon enligt lag är skyldig att behandla personuppgifter, får han<br>eller hon göra det även utan instruktioner från den personuppgiftsansva-<br>rige</p>
<p>I artikel 17.1 finns det allmänt hållna regler om de säkerhetsåtgärder<br>som skall vidtas. Reglerna innebär i korthet följande. Den person-<br>uppgiftsansvarige skall vidta lämpliga tekniska och organisatoriska<br>åtgärder för att skydda de personuppgifter som behandlas. Dessa åtgärder<br>skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av</p>
<p>• de tekniska möjligheter som finns,</p>
<p>• vad det skulle kosta att genomföra åtgärderna,</p>
<p>• de särskilda risker som finns med behandlingen av personuppgifterna<br>och</p>
<p>• hur pass känsliga de behandlade personuppgifterna är.</p>
<p>I artikel 17.2-4 finns det bestämmelser i fråga om säkerhet för den<br>situationen att den personuppgiftsansvarige anlitar ett personuppgiftsbi-<br>träde. Bestämmelserna kan i korthet sägas innebära följande. När den<br>personuppgiftsansvarige anlitar ett personuppgiftsbiträde, skall den<br>personuppgiftsansvarige förvissa sig om att personuppgiftsbiträdet kan<br>genomföra de säkerhetsåtgärder som måste vidtas och se till att person-<br>uppgiftsbiträdet verkligen vidtar åtgärderna. Det skall vidare finnas ett<br>skriftligt avtal om personuppgiftsbiträdets behandling av personuppgifter<br>för den personuppgiftsansvariges räkning. I det avtalet skall det särskilt<br>föreskrivas dels att personuppgiftsbiträdet får behandla personuppgifterna<br>bara i enlighet med instruktioner från den personuppgiftsansvarige, dels<br></p>
<p>Prop. 1997/98:44</p>
<p>90</p>
<p>att personuppgiftsbiträdet är skyldigt att vidta de säkerhetsåtgärder som Prop. 1997/98:44<br>den personuppgiftsansvarige är skyldig att vidta.</p>
<p>Bestämmelserna i EG-direktivet måste införas i den nya lagen. Data-<br>lagskommitténs förslag till överförande av bestämmelserna har lämnats i<br>huvudsak utan erinran av remissinstanserna. Förslaget bör enligt vår<br>mening genomföras.</p>
<p>Behandling bara enligt instruktioner från den personuppgiftsansvarige</p>
<p>Vi föreslår således för det första att det införs en bestämmelse om att<br>personuppgiftsbiträdet eller den eller de personer som arbetar under<br>dennes eller den personuppgiftsansvariges ledning får behandla person-<br>uppgifter bara i enlighet med instruktioner från den personupp-<br>giftsansvarige. Om det finns avvikande regler i annan lagstiftning om att<br>någon är skyldig att utföra en behandling, får behandlingen dock utföras<br>utan särskilda instruktioner. Avvikande regler i annan lagstiftning skall ju<br>generellt sett ta över reglerna i den nya lagen (se avsnitt 6.2).</p>
<p>Eftersom utlämnande av personuppgifter till tredje man innefattas i be-<br>greppet behandling, innebär bestämmelsen ett slags tystnadsplikt. Särskilt<br>med hänsyn till att det redan gäller särskilda regler om sekretess och<br>tystnadsplikt i det allmännas verksamhet, vilka bl.a. innebär att den<br>grundlagsfästa s.k. meddelarfriheten ibland tar över tystnadsplikten, bör<br>det föreskrivas att särskilda bestämmelser i lag eller annan författning<br>skall tillämpas i stället för bestämmelsen om hantering av personuppgifter<br>i enlighet med instruktioner</p>
<p>Den personuppgiftsansvarige får lämna ut personuppgifter bara om<br>utlämnandet inte är oförenligt med de ändamål för vilka uppgifterna<br>samlades in (se avsnitt 11.2). I vissa fall far känsliga personuppgifter bara<br>lämnas ut med stöd av den registrerades samtycke (se avsnitt 11.4.1).<br>Skulle någon som arbetar för den personuppgiftsansvarige lämna ut<br>personuppgifter i strid med vad som sålunda gäller, är det den person-<br>uppgiftsansvarige som bär det rättsliga ansvaret gentemot den registrerade<br>(se avsnitt 14 om skadeståndsskyldighet). I vilken utsträckning den<br>personuppgiftsansvarige i sin tur kan vidta någon åtgärd mot den som<br>lämnade ut uppgiften i strid med givna instruktioner framgår av de be-<br>stämmelser som reglerar förhållandet mellan den personuppgiftsansvarige<br>och medhjälparen, t.ex. avtalet med ett personuppgiftsbiträde eller<br>arbetsrättsliga bestämmelser (jfr AD 1996 nr 23 i vilket rättsfall<br>Arbetsdomstolen kom fram till att det inte fanns grund för att avskeda en<br>polisman som dömts för tjänstefel och dataintrång för det att han<br>upprepade gånger gjort obefogade registerslagningar). De allmänt hållna<br>bestämmelserna i den nya lagen innebär inte en sådan plikt att hemlighålla<br>uppgifter som medför att straffstadgandet om brott mot tystnadsplikt i<br>20 kap. 3 § brottsbalken kan bli tillämpligt.</p>
<p>Bestämmelsen om behandling bara enligt den personuppgifts-<br>ansvariges instruktioner skulle kunna strida mot meddelarfriheten, dvs<br>rätten för var och en att meddela uppgifter och underrättelser för offent-<br>liggörande i tryckt skrift till massmedierepresentanter. Av det undantag<br>för tryck- och yttrandefriheten som finns i 7 § första stycket och som<br></p>
<p>91</p>
<p>berörts i avsnitt 8.2 följer att bestämmelsen i ett sådant fall inte kan Prop. 1997/98:44<br>tillämpas.</p>
<p>Åtgärder för att uppnå en lämplig säkerhetsnivå</p>
<p>Vi föreslår för det andra att regeln i EG-direktivet om att den person-<br>uppgiftsansvarige skall vidta lämpliga tekniska och organisatoriska<br>åtgärder för att skydda de personuppgifter som behandlas förs över till<br>den nya lagen, jämte uppräkningen i direktivet av de faktorer som därvid<br>skall beaktas. Dessa allmänt hållna regler beskriver enligt vår mening på<br>ett kortfattat och bra sätt de överväganden som måste göras i fråga om<br>säkerhetsåtgärder. Reglerna ger dock som regel inte tillräcklig vägledning<br>för den personuppgiftsansvarige för att avgöra vilka säkerhetsåtgärder<br>som bör vidtas i det enskilda fallet för att nå upp till en lämplig<br>säkerhetsnivå. Avsikten är att regeringen eller den myndighet som<br>regeringen bestämmer skall meddela de närmare föreskrifter om säker-<br>hetsåtgärder som behövs. Tillsynsmyndigheten bör också i rimlig<br>utsträckning lämna råd i säkerhetsfrågor</p>
<p>Tillsynsmyndigheten får besluta om säkerhetsåtgärder</p>
<p>Säkerhetsbrister är i princip oacceptabla, och det är viktigt att<br>tillsynsmyndigheten har tydliga befogenheter just när det gäller säkerhe-<br>ten. Vi har därför valt att i enlighet med Datalagskommitténs förslag ta<br>med en uttrycklig bestämmelse i den nya lagen om att tillsynsmyndigheten<br>får meddela beslut om säkerhetsåtgärder i enskilda fall (se avsnitt 13).<br>Genom ett beslut i det enskilda fallet far den personuppgiftsansvarige<br>preciserat exakt vilka åtgärder han eller hon måste vidta för att uppfylla<br>säkerhetskraven. Följs inte beslutet frivilligt i det enskilda fallet, bör<br>tillsynsmyndigheten ha möjlighet att förelägga vite för att få den<br>genomförd, se närmare avsnitt 13 om tillsynsmyndighetens befogenheter.<br>Tillsynsmyndighetens beslut om säkerhetsåtgärder i det enskilda fallet<br>skall riktas mot den personuppgiftsansvarige även när ett person-<br>uppgiftsbiträde har anlitats.</p>
<p>Bestämmelser om säkerhetsåtgärder kan även finnas i annan lagstift-<br>ning, t.ex. i arkivlagen (1990:782) med anknytande författningar. Sådana<br>bestämmelser kommer att gälla vid sidan av de bestämmelser om<br>skyddsåtgärder som gäller enligt den nya lagen med anknytande författ-<br>ningar och beslut. Den personuppgiftsansvarige måste således uppfylla<br>alla de regler om säkerhetsåtgärder som kan ha meddelats för hans eller<br>hennes verksamhet</p>
<p>Skriftligt avtal med personuppgiftsbiträden</p>
<p>För det tredje har regeln i EG-direktivet om att det skriftliga avtalet<br>mellan den personuppgiftsansvarige och personuppgiftsbiträdet skall<br>innehålla föreskrifter om att biträdet bara får behandla personuppgifterna i<br>enlighet med instruktioner från den ansvarige förts över till den nya lagen.<br>I den utsträckning det är otillåtet enligt grundlag med sådana<br></p>
<p>92</p>
<p>avtalsföreskrifter, vilka till viss del kan ses som en avtalad tystnadsplikt, Prop 1997/98:44<br>tar grundlagen över bestämmelserna i nya lagen, se avsnitt 8.2. Även<br>regeln i EG-direktivet om att det skriftliga avtalet skall innehålla en<br>föreskrift om att personuppgiftsbiträdet skall vidta säkerhetsåtgärder har<br>förts över till den nya lagen.</p>
<p>Den personuppgiftsansvarige skall kontrollera anlitade person-<br>uppgiftsbiträden</p>
<p>Vi föreslår för det fjärde ett överförande till den nya lagen av regeln i EG-<br>direktivet om att den personuppgiftsansvarige skall förvissa sig om att ett<br>anlitat personuppgiftsbiträde kan genomföra de säkerhetsåtgärder som<br>måste vidtas och se till att biträdet verkligen vidtar åtgärderna. Det är<br>dock den personuppgiftsansvarige som har ansvaret gentemot den regist-<br>rerade avseende behandlingen även när ett personuppgiftsbiträde har<br>anlitats. I vilken utsträckning den personuppgiftsansvarige i sin tur kan<br>utkräva ansvar av ett anlitat personuppgiftsbiträde följer av avtalet med<br>denne och allmänna bestämmelser</p>
<h3>11.9 Överföring av personuppgifter utanför EES</h3>
<p>Regeringens förslag: Det är i princip förbjudet att till tredje land föra<br>över personuppgifter som är under behandling. Det är dock trots<br>förbudet tillåtet att föra över personuppgifter till tredje land, om den<br>registrerade har samtyckt till överföringen eller när överföringen är<br>nödvändig för att</p>
<p>a) ett avtal mellan den registrerade och den personuppgiftsansvarige<br>skall kunna fullgöras eller åtgärder som den registrerade begärt skall<br>kunna vidtas innan ett avtal träffas,</p>
<p>b) ett sådant avtal mellan den personuppgiftsansvarige och tredje man<br>som är i den registrerades intresse skall kunna ingås eller fullgöras,</p>
<p>c) rättsliga anspråk skall kunna fastställas, göras gällande eller<br>försvaras, eller</p>
<p>d) vitala intressen för den registrerade skall kunna skyddas</p>
<p>Det är också tillåtet att föra över personuppgifter för användning<br>enbart i en stat som har anslutit sig till Europarådets konvention om<br>skydd för enskilda vid automatisk databehandling av personuppgifter.</p>
<p>Regeringen eller den myndighet som regeringen bestämmer får<br>meddela föreskrifter om ytterligare undantag från förbudet mot<br>överföring.</p>
<p>Datalagskommitténs förslag överensstämmer med regeringens</p>
<p>Remissinstanserna: Några remissinstanser pekar på att det enligt<br>förslaget blir svårigheter med att sprida personuppgifter på Internet. Data-<br>inspektionen anser att Sverige inte ensidigt bör införa ett generellt<br>undantag beträffande stater som har anslutit sig till Europarådets kon-<br>vention.</p>
<p>93</p>
<p>Skälen för regeringens förslag: Bestämmelser rörande utlämnande av Prop. 1997/98:44<br>personuppgifter till utlandet finns i dag i 11 § i den nuvarande datalagen<br>för privat verksamhet och i 7 kap. 16 § andra stycket sekretesslagen<br>(1980:100) för verksamhet inom det allmänna. Bestämmelserna innebär<br>bl.a. att det för ett utlämnande alltid krävs ett medgivande från Datain-<br>spektionen, om det kan antas att de utlämnade uppgifterna kommer att an-<br>vändas för automatisk databehandling i en stat som inte har anslutit sig till<br>Europarådets konvention om skydd för enskilda vid automatisk data-<br>behandling av personuppgifter.</p>
<p>I artikel 25 och 26 i EG-direktivet (se bilaga 1) finns det bestämmelser<br>om överföring av personuppgifter till tredje land, dvs. en stat utanför EES.<br>Bestämmelserna innebär följande.</p>
<p>Medlemsstaterna skall föreskriva att överföring av personuppgifter,<br>som är under behandling eller som är avsedda att behandlas efter<br>överföring till tredje land, bara får ske om ifrågavarande tredje land<br>säkerställer en adekvat skyddsnivå. Detta skall dock inte påverka tillämp-<br>ningen av de nationella bestämmelser som har antagits till följd av andra<br>bestämmelser i direktivet</p>
<p>Bedömningen av om skyddsnivån i ett tredje land är adekvat skall ske<br>på grundval av alla de förhållanden som har samband med en överföring<br>eller en grupp av överföringar av uppgifter. Härvid skall särskilt beaktas</p>
<p>• uppgifternas art,</p>
<p>• den eller de avsedda behandlingarnas ändamål,</p>
<p>• den eller de avsedda behandlingarnas varaktighet,</p>
<p>• ursprungslandet,</p>
<p>• det slutliga bestämmelselandet,</p>
<p>• de allmänna respektive särskilda rättsregler som gäller i ifrågavarande<br>tredje land och</p>
<p>• de regler för yrkesverksamhet och säkerhet som gäller i ifrågavarande<br>tredje land.</p>
<p>Medlemsstaterna och kommissionen skall informera varandra när de<br>anser att ett tredje land inte erbjuder en sådan adekvat skyddsnivå. Om<br>kommissionen - i enlighet med den särskilda beslutsprocedur som före-<br>skrivs i direktivet - kommer fram till att ett tredje land inte erbjuder en<br>sådan adekvat skyddsnivå, är medlemsstaterna skyldiga att vidta de<br>åtgärder som är nödvändiga för att hindra överföring av uppgifter av<br>samma slag till detta land. Kommissionen skall i sådant fall vid lämpligt<br>tillfälle inleda förhandlingar för att avhjälpa den situation som därvid har<br>uppkommit. Kommissionen kan vidare - i enlighet med den särskilda<br>beslutsprocedur som föreskrivs i direktivet - konstatera att ett tredje land,<br>genom sin interna lagstiftning eller på grund av de internationella förplik-<br>telser som åligger landet, har en sådan adekvat skyddsnivå. Medlemssta-<br>terna skall då vidta de åtgärder som är nödvändiga för att följa<br>kommissionens beslut. Som exempel på internationella förpliktelser som<br>åligger tredje land nämns särskilt sådana förpliktelser som är en följd av<br>de förhandlingar som kommissionen har inlett och som gäller skydd för<br>privatliv och enskilda personers grundläggande fri- och rättigheter.</p>
<p>Medlemsstaterna är dock skyldiga att - utom där något annat föreskrivs<br>för särskilda fall i den nationella lagstiftningen - föreskriva att överföring<br></p>
<p>94</p>
<p>av personuppgifter till ett tredje land, som inte har en sådan adekvat Prop. 1997/98:44<br>skyddsnivå, är tillåten i följande fall.</p>
<p>• Den registrerade otvetydigt har samtyckt till den planerade överföring-</p>
<p>en.</p>
<p>• Överföringen är nödvändig för att fullgöra ett avtal mellan den registre-<br>rade och den personuppgiftsansvarige eller för att på den registrerades<br>begäran genomföra åtgärder innan avtalet ingås.</p>
<p>• Överföringen är nödvändig för att ingå eller fullgöra ett avtal mellan<br>den personuppgiftsansvarige och tredje man, där avtalet är i den<br>registrerades intresse.</p>
<p>• Överföringen är nödvändig eller bindande enligt författning av skäl som<br>rör viktiga allmänna intressen eller för att fastslå, göra gällande eller<br>försvara rättsliga anspråk.</p>
<p>• Överföringen är nödvändig för att skydda intressen som är av grund-<br>läggande betydelse för den registrerade</p>
<p>• Överföringen görs från ett register som 1) enligt lagar eller andra för-<br>fattningar är avsett att förse allmänheten med information och som 2) är<br>tillgängligt antingen för allmänheten eller för var och en som kan styrka<br>ett berättigat intresse, i den utsträckning som de i lagstiftningen angivna<br>villkoren för att få tillgång är uppfyllda.</p>
<p>I punkt 58 i ingressen till EG-direktivet anges som exempel på viktiga<br>allmänna intressen utbyte av uppgifter mellan skattemyndigheter, tull-<br>myndigheter eller socialförsäkringsmyndigheter.</p>
<p>Det är vidare tillåtet för medlemsstaterna att tillåta överföring av<br>personuppgifter till ett tredje land med en icke adekvat skyddsnivå om<br>den personuppgiftsansvarige ställer tillräckliga garantier för skyddet av<br>privatliv och enskilda personers grundläggande fri- och rättigheter och för<br>utövandet av sådana rättigheter. Sådana garantier kan framgå av lämpliga<br>avtalsklausuler. Medlemsstaterna skall informera kommissionen om de<br>överföringar som har tillåtits enligt denna bestämmelse. Om kommissio-<br>nen eller en medlemsstat gör en invändning - på grunder som är berätti-<br>gade med hänsyn till skyddet för privatliv och enskilda personers grund-<br>läggande fri- och rättigheter - skall kommissionen vidta lämpliga åtgärder<br>i enlighet med den särskilda beslutsprocedur som föreskrivs i direktivet.<br>Medlemsstaterna skall vidta de åtgärder som är nödvändiga för att följa<br>kommissionens beslut. Om kommissionen å andra sidan - i enlighet med<br>den särskilda beslutsprocedur som nyss nämnts - beslutar att vissa<br>standardklausuler erbjuder tillräckliga garantier, skall medlemsstaterna<br>vidta nödvändiga åtgärder för att följa kommissionens beslut.</p>
<p>Förbud mot överföring, konkreta undantag från förbudet och<br>bemyndiganden att meddela föreskrifter om ytterligare undantag</p>
<p>Bestämmelserna i EG-direktivet är, såsom Datalagskommittén och en del<br>remissinstanser noterat, detaljerade och komplicerade. Datalagskom-<br>mittén har gjort den bedömningen att man inte i lagstiftningen bör införa<br>mer komplicerade regler än vad som är nödvändigt med hänsyn till EG-<br>direktivet. Vi godtar den bedömningen, som har lämnats utan erinran av<br>remissinstanserna 95</p>
<p>EG-direktivet kräver att det i den svenska lagstiftningen införs ett Prop. 1997/98:44<br>förbud mot överföring av personuppgifter till tredje land och de konkreta<br>undantag från det förbudet som räknas upp i direktivet. I övrigt kan<br>detaljregler i den nya lagen undvikas genom att regeringen eller den<br>myndighet som regeringen bestämmer bemyndigas att meddela före-<br>skrifter om undantag från förbudet mot överföring, t.ex. när det gäller<br>överföring till stater som har en adekvat skyddsnivå. Beslut om undantag<br>från förbudet bör också kunna meddelas i enskilda fall. Den tekniken,<br>som bl.a. innebär att det i den nya lagen införs ett principiellt förbud mot<br>överföring av personuppgifter till tredje land, har använts i Datalags-<br>kommitténs förslag och lämnats utan erinran av remissinstanserna Även<br>vi anser att tekniken bör användas Frågan om normgivningsdelegation<br>har berörts i avsnitt 10.</p>
<p>Stater som anslutit sig till Europarådets konvention</p>
<p>Förutom de undantag från förbudet mot överföring av personuppgifter<br>som räknas upp i direktivet har Datalagskommittén föreslagit ett generellt<br>undantag för överföring av personuppgifter för användning enbart i en stat<br>som anslutit sig till Europarådets konvention om skydd för enskilda vid<br>automatisk databehandling av personuppgifter. Datainspektionen vänder<br>sig emot att detta generella undantag tas med i den nya lagen. Enligt<br>inspektionens uppfattning är det inte enbart en nationell fråga att avgöra i<br>vilken omfattning överföring får ske till stater som inte är medlemmar i<br>Europeiska unionen</p>
<p>Sverige har skyldigheter inte bara gentemot Europeiska unionen utan<br>också enligt Europarådets konvention. Av artikel 12 i den konventionen<br>följer att Sverige - och andra konventionsstater - inte av mtegri-<br>tetsskyddsskäl får hindra att personuppgifter förs över till en<br>konventionsstat för att användas där Det vore alltså oförenligt med<br>konventionen att införa en ordning som innebär att överföringen till en<br>konventionsstat kan hindras av det skälet att staten i någon mening inte<br>skulle anses ha en adekvat skyddsnivå för personuppgifter. Av punkt 11 i<br>ingressen till EG-direktivet framgår också att direktivet innehåller<br>preciseringar och förstärkningar av de principer som Europarådskonven-<br>tionen innehåller. Det är enligt regeringens mening inte antagligt att<br>medlemsstaterna inom Europeiska unionen, varav de allra flesta vid<br>antagandet av direktivet hade anslutit sig till konventionen, genom<br>direktivet skulle ha tillskapat en ordning som vore oförenlig med åta-<br>gandena enligt konventionen De stater som anslutit sig till Europarådets<br>konvention får enligt regeringens mening anses ha en sådan adekvat<br>skyddsnivå som krävs enligt EG-direktivet</p>
<p>Mot bakgrund av det sagda och Sveriges förpliktelser enligt Europa-<br>rådskonventionen förefaller det enklast och tydligast med en uttrycklig<br>bestämmelse om att personuppgifter utan vidare får föras över för använd-<br>ning enbart i en stat som har anslutit sig till Europarådets konvention. Vi<br>föreslår således i likhet med Datalagskommittén att en sådan bestämmelse<br>tas med i den nya lagen.</p>
<p>96</p>
<p>Prop. 1997/98:44</p>
<h2>12 Anmälningsskyldighet och upplysningar till<br>allmänheten om behandlingar</h2>
<p>Regeringens bedömning: EG-direktivet kräver att det föreskrivs en<br>principiell skyldighet att anmäla alla automatiserade behandlingar till<br>tillsynsmyndigheten. De möjligheter till undantag som direktivet ger<br>bör dock utnyttjas så långt möjligt.</p>
<p>Regeringens förslag: I den nya lagen tas in en principiell skyldighet<br>att anmäla alla automatiserade behandlingar till tillsynsmyndigheten.<br>Den personuppgiftsansvarige ges möjlighet att sätta till ett särskilt<br>personuppgiftsombud. När en anmälan gjorts till tillsynsmyndigheten<br>om att ett sådant ombud tillsatts, behöver anmälningar om behand-<br>lingar inte längre göras.</p>
<p>Allmänheten skall ha rätt att på begäran få upplysningar om sådana<br>behandlingar som inte anmälts direkt från den personuppgifts-<br>ansvarige</p>
<p>Regeringen får meddela föreskrifter om att särskilt mtegritets-<br>känsliga behandlingar skall anmälas till tillsynsmyndigheten för<br>förhandskontroll tre veckor i förväg.</p>
<p>Datalagskommitténs förslag överensstämmer med regeringens, dock<br>att kommittén inte föreslår någon skyldighet att till tillsynsmyndigheten<br>anmäla utsedda personuppgiftsombud</p>
<p>Remissinstanserna: Remissinstanserna har i huvudsak godtagit för-<br>slaget om anmälningsskyldighet Inte någon har förordat att det nuvarande<br>systemet med licens och tillstånd skall behållas. När det gäller förslaget<br>om personuppgiftsombud är remissutfallet blandat En del remissinstanser<br>har tillstyrkt förslaget, medan andra har uttryckt tveksamhet. De<br>tveksamma instanserna har i allmänhet pekat på riskerna för lojalitets-<br>konflikter.</p>
<p>Skälen för regeringens förslag: Den nuvarande datalagen bygger på<br>att den som inrättar och för personregister skall anmäla sig till Data-<br>inspektionen för licens. I många fall krävs det dessutom att person-<br>registreringen förhandskontrolleras av inspektionen och att ett tillstånd<br>ges. Datainspektionens medgivande krävs vidare i vissa fall när uppgifter<br>från ett personregister skall lämnas ut för automatisk databehandling i<br>utlandet, t.ex. genom att göras tillgängliga på ett internationellt data-<br>nätverk såsom Internet.</p>
<p>Anmälningsskyldighet</p>
<p>Det har uppskattats att bara omkring tio procent av alla licenspliktiga<br>personregister anmäls till Datainspektionen. Datainspektionen får alltså<br>genom licens- och tillståndssystemet kännedom om bara en bråkdel av<br>den personregistrering som förekommer. Man kan vidare anta att det är de<br>som följer de formella reglerna och gör en anmälan som också bäst följer</p>
<p>7 Riksdagen 1997/98. 1 samt. Nr 44<br></p>
<p>97</p>
<p>de materiella reglerna om uppgiftsbehandlingen. Licenserna är således Prop. 1997/98:44<br>inte något bra underlag för inspektionens tillsynsverksamhet, och de ger<br>inte heller enskilda någon upplysning om i vilka register de förekommer<br>Integritetsskyddet stärks vidare inte i sig av att Datainspektionen hanterar<br>anmälningar, licenser och tillstånd. Det som har betydelse för integritets-<br>skyddet är att de personuppgiftsansvariga följer de materiella reglerna för<br>uppgiftsbehandlingar, inte att de sänder in papper till Datainspektionen.</p>
<p>Vi anser därför i likhet med Datalagskommittén och remissinstanserna<br>att det nuvarande licens- och tillståndssystemet bör avskaffas och att<br>tillsynsmyndighetens verksamhet bör koncentreras till att ge råd och<br>sprida kunskap om de materiella reglerna och att utöva tillsyn över att<br>reglerna följs. Sverige måste emellertid på grund av artikel 18.1 i EG-<br>direktivet (se bilaga 1) föreskriva att alla automatiserade behandlingar<br>skall anmälas på förhand till tillsynsmyndigheten Det är därför viktigt att<br>fullt ut utnyttja de möjligheter till undantag från anmälningsskyldigheten<br>som direktivet medger På det sättet bör anmälningsskyldigheten kunna<br>begränsas till ett minimum Den möjlighet att föreskriva anmälnings-<br>skyldighet även för manuella behandlingar som EG-direktivet ger bör i<br>enlighet med vår principiella inställning inte utnyttjas.</p>
<p>I enlighet med vad som anges i avsnitt 10 bör regeringen eller den<br>myndighet som regeringen bestämmer bemyndigas att meddela före-<br>skrifter om sådana undantag från anmälningsskyldigheten som tillåts<br>enligt direktivet (artikel 18.2 första strecksatsen). Skulle tillsyns-<br>myndigheten fa in en mera betydande mängd anmälningar om behand-<br>lingar av viss typ, finns det anledning att överväga ett undantag för den<br>behandlingstypen</p>
<p>Personuppgiftsombud</p>
<p>Ett ytterligare alternativ för att undvika anmälan till tillsynsmyndigheten<br>som EG-direktivet medger är att införa ett system med personuppgifts-<br>ombud (artikel 18.2 andra strecksatsen) Personuppgiftsombudet utses av<br>den personuppgiftsansvarige och skall enligt direktivet särskilt ha till<br>uppgift att på ett oberoende sätt säkerställa den interna tillämpningen av<br>de nationella bestämmelser som antagits till följd av direktivet. Ombudet<br>skall också föra ett register över de behandlingar som utförs av den<br>personuppgiftsansvarige. Det framgår av direktivet att ombudet i<br>tveksamma fall skall rådfråga tillsynsmyndigheten (artikel 20.2). När ett<br>personuppgiftsombud utsetts, behöver den personuppgiftsansvarige inte<br>anmäla behandlingar till tillsynsmyndigheten.</p>
<p>Datalagskommittén har föreslagit att ett system med personuppgifts-<br>ombud införs enligt följande. Personuppgiftsombudet skall ha till uppgift<br>att självständigt se till att den personuppgiftsansvarige behandlar person-<br>uppgifter på ett lagligt och korrekt sätt och i enlighet med god sed och<br>påpeka eventuella brister för denne. Har personuppgiftsombudet anled-<br>ning att misstänka att den personuppgiftsansvarige bryter mot de<br>bestämmelser som gäller för behandlingen av personuppgifter och vidtas<br>inte rättelse så snart det kan ske efter påpekande, skall person-<br>uppgiftsombudet anmäla förhållandet till tillsynsmyndigheten. Person-<br>uppgiftsombudet skall även i övrigt samråda med tillsynsmyndigheten vid<br></p>
<p>tveksamhet om hur de bestämmelser som gäller för behandlingen av Prop. 1997/98:44<br>personuppgifter skall tillämpas. Personuppgiftsombudet skall vidare<br>hjälpa registrerade att få rättelse när det finns anledning att misstänka att<br>behandlade personuppgifter är felaktiga eller ofullständiga. Dessutom<br>skall personuppgiftsombudet föra en förteckning över de behandlingar<br>som den personuppgiftsansvarige genomför och som skulle ha omfattats<br>av anmälningsskyldighet om ombudet inte hade funnits</p>
<p>Flera remissinstanser är uttalat positiva till förslaget, t.ex. Länsrätten i<br>Stockholms län, Datainspektionen, Landsorganisationen i Sverige (LO)<br>och Sveriges industriförbund Andra är däremot negativa eller tvek-<br>samma. De pekar framför allt på risken för att ombudet, som kan vara en<br>anställd på företaget eller myndigheten, kan hamna i svåra lojalitets-<br>konflikter i förhållande till den personuppgiftsansvarige arbetsgivaren,<br>särskilt när det gäller bedömningen av om en anmälan om ett eventuellt<br>missförhållande skall göras till tillsynsmyndigheten</p>
<p>Enligt vår bedömningen förefaller det föreslagna systemet med person-<br>uppgiftsombud ändamålsenligt för vissa personuppgiftsansvariga. För<br>andra kan systemet visserligen passa sämre, men det bör inte hindra att<br>systemet införs som en möjlighet för dem som anser att det är bra och<br>värdefullt Om såsom förutsatt tillräckligt självständiga personer anlitas<br>som ombud, bör risken för lojalitetskonflikter inte överdrivas.</p>
<p>Vi anser således att det bör vara möjligt att utse ett självständigt per-<br>sonuppgiftsombud som skall ha de uppgifter som framgår av Datalags-<br>kommitténs förslag</p>
<p>Datalagskommittén har inte föreslagit någon skyldighet att anmäla per-<br>sonuppgiftsombudet till en myndighet. Socialvetenskapliga forsknings-<br>rådet anser att man kan överväga att införa en skyldighet att anmäla<br>utsedda personuppgiftsombud till tillsynsmyndigheten. Vi anser att det är<br>ett bra förslag. Ombudet skall ersätta anmälningar till tillsynsmyndigheten<br>om behandlingar, och därför är det naturligt att förutsättningen för att låta<br>bli att anmäla behandlingarna manifesteras genom en anmälan om<br>ombudet. Av samma skäl och på grund av att det är tillsynsmyndigheten<br>som närmast kan ha användning av information om vilka som är person-<br>uppgiftsombud bör anmälan göras till tillsynsmyndigheten och inte till<br>någon annan myndighet. Det förhållandet att ombudet är anmält till en<br>myndighet kan också för ombudet inskärpa vikten av att uppdraget tas på<br>allvar. Vi anser således att den personuppgiftsansvarige skall till tillsyns-<br>myndigheten anmäla att ett personuppgiftsombud utsetts och vem det är<br>och att anmälan skall ha den verkan att anmälan till tillsynsmyndigheten<br>om behandlingar därefter inte behöver göras. När ett ombud entledigas,<br>skall detta också anmälas till tillsynsmyndigheten eftersom förutsättningen<br>för befrielse från skyldigheten att anmäla behandlingar då inte längre<br>finns.</p>
<p>Förhandskontroll</p>
<p>I enlighet med vad som anges i avsnitt 10 föreslås att regeringen<br>bemyndigas att meddela föreskrifter om att vissa behandlingar som kan<br>innebära särskilda risker för otillbörligt intrång i den personliga integri-<br>teten skall för förhandskontroll anmälas till tillsynsmyndigheten tre veckor<br></p>
<p>99</p>
<p>i förväg. Om regeringen har meddelat sådana föreskrifter, måste Prop. 1997/98:44<br>behandlingen anmälas även om ett personuppgiftsombud utsetts</p>
<p>Upplysningar till allmänheten om behandlingar</p>
<p>Enligt artikel 21 i EG-direktivet skall Sverige vidta åtgärder för att se till<br>att behandlingar av personuppgifter görs offentligt tillgängliga. Sverige<br>skall för sådan behandling som inte omfattas av anmälningsplikt före-<br>skriva att de personuppgiftsansvariga, eller något annat organ som<br>Sverige utser, på lämpligt sätt skall tillhandahålla var och en som begär<br>det vissa upplysningar om behandlingen.</p>
<p>För att uppfylla EG-direktivet måste det således, såsom Datalags-<br>kommittén föreslagit och de allra flesta remissinstanser godtagit, införas<br>en skyldighet för den personuppgiftsansvarige att till var och en som<br>begär det skyndsamt och på lämpligt sätt lämna upplysningar om sådana<br>automatiska och andra behandlingar av personuppgifter som inte har<br>anmälts till tillsynsmyndigheten. Den skyldigheten kommer förmodligen<br>att leda till att de personuppgiftsansvariga upprättar och håller aktuell<br>någon form av förteckning över de aktuella behandlingarna</p>
<h2>13 Tillsynsmyndighetens befogenheter</h2>
<p>Regeringens förslag: Tillsynsmyndigheten har rätt att för sin tillsyn på<br>begäran få tillgång till de personuppgifter som behandlas, upplysningar<br>om och dokumentation av behandlingen och säkerheten vid denna<br>samt tillträde till sådana lokaler som har anknytning till behandlingen.</p>
<p>Om myndigheten därvid inte kan få tillräckligt underlag för att<br>konstatera att behandlingen är laglig, får myndigheten vid vite förbjuda<br>den personuppgiftsansvarige att behandla personuppgifter på annat sätt<br>än genom att lagra dem. Detsamma gäller om det efter att en olaglig<br>behandling konstaterats inte går att få rättelse på något annat sätt eller<br>om saken är brådskande. Om saken är brådskande, får myndigheten<br>också meddela ett tillfälligt beslut om vite innan den person-<br>uppgiftsansvarige fått tillfälle att yttra sig. Det tillfälliga beslutet skall<br>då prövas om, när yttrandetiden har gått ut.</p>
<p>Tillsynsmyndigheten får hos länsrätt ansöka om att sådana person-<br>uppgifter som har behandlats på ett olagligt sätt skall utplånas.</p>
<p>Tillsynsmyndighetens beslut enligt den nya lagen om annat än före-<br>skrifter får överklagas hos allmän förvaltningsdomstol, men myndig-<br>heten får bestämma att beslutet skall gälla även om det överklagas.<br>Prövningstillstånd krävs vid överklagande till kammarrätten.</p>
<p>Datalagskommitténs förslag överensstämmer med regeringens.</p>
<p>Remissinstanserna: Förslaget lämnas utan erinran av de allra flesta re-<br>missinstanserna. Hovrätten över Skåne och Blekinge anser att tillsyns-<br>myndighetens befogenheter är delvis otillräckliga. Kammarrätten i Göte-<br>borg anser att ett beslut om förbud bör kunna föregås av ett med vite<br></p>
<p>100</p>
<p>förenat föreläggande för att uppnå det resultat som önskas. Kammarrätten Prop. 1997/98:44<br>anser vidare att det bör övervägas om inte kravet på prövningstillstånd bör<br>gälla först efter en viss tid. Liknande synpunkter förs fram av Länsrätten i<br>Stockholms län och av UpplysningsCentralen UC AB, som dessutom<br>avstyrker att tillsynsmyndigheten skall få meddela ett tillfälligt beslut om<br>vite.</p>
<p>Skälen för regeringens förslag: Enligt artikel 28 i EG-direktivet (se<br>bilaga 1) skall det utses en eller flera myndigheter med uppgift att<br>fullständigt oberoende övervaka tillämpningen av de bestämmelser som<br>Sverige antagit till följd av direktivet. Sverige är också skyldig att särskilt<br>besluta om de sanktioner som skall användas vid överträdelse av dessa<br>bestämmelser (artikel 24). Varje tillsynsmyndighet skall ha vissa i direk-<br>tivet angivna befogenheter, och de beslut av myndigheten som går en part<br>emot skall kunna överklagas till domstol (artikel 28).</p>
<p>Vad som bör regleras i den nya lagen</p>
<p>Föreskrifter om flera av de uppgifter och befogenheter som tillsyns-<br>myndigheten skall ha enligt direktivet kan ges i förordning, och vi avser<br>att senare meddela nödvändiga föreskrifter. Förslaget omfattar de be-<br>fogenheter som tillsynsmyndigheten bör ha och som måste eller enligt vår<br>mening bör regleras i lag.</p>
<p>Kammarrätten i Göteborg anser att den nya lagen bör innehålla en<br>bestämmelse om att det skall finnas en tillsynsmyndighet som skall ha till<br>uppgift att övervaka tillämpningen. Bestämmelserna i den nya lagen<br>förutsätter att det finns en tillsynsmyndighet, och EG-direktivet kräver<br>också att en sådan myndighet utses. Tillsynsmyndigheten definieras i<br>lagens inledning. Enligt vår mening är det däremot inte nödvändigt att i<br>lag ha ytterligare en bestämmelse om detta. Inte heller är det, såsom bl a<br>Datainspektionen föreslagit, nödvändigt att i lag ha bestämmelser om att<br>tillsynsmyndigheten kan granska branschregler om behandling av person-<br>uppgifter.</p>
<p>Enligt EG-direktivet skall Sverige se till att tillsynsmyndigheten hörs<br>när sådana lagar eller andra författningar utarbetas som rör skyddet av<br>enskilda personers fri- och rättigheter med avseende på behandlingen av<br>personuppgifter (artikel 28). Datainspektionen anser mot den bakgrunden<br>att den nya lagen bör innehålla en bestämmelse om detta. En uttrycklig<br>motsvarande bestämmelse i den nuvarande datalagen avskaffades per den<br>1 januari 1995. Avsikten var att avskaffandet på intet sätt skulle innebära<br>någon lättnad i kravet på remissbehandling, även om syftet med av-<br>skaffandet i och för sig var att minska tillsynsmyndighetens arbetsbörda.</p>
<p>I 7 kap. 2 § regeringsformen finns det en grundläggande bestämmelse<br>om att behövliga upplysningar och yttranden skall hämtas in vid<br>beredningen av regeringsärenden. Vi avser för vår del att tolka den<br>bestämmelsen i belysning av vad som krävs enligt EG-direktivet. När vi i<br>nu aktuella fall beslutar en förordning eller tar initiativ till en lag, finns det<br>således tillräckliga garantier för att tillsynsmyndigheten hörs på det sätt<br>som krävs enligt direktivet.</p>
<p>Någon motsvarande s.k. remisskyldighet finns inte när det inom riks-<br>dagen i nu aktuella fall tas initiativ till en lag, t.ex. om reglering av egna<br></p>
<p>101</p>
<p>register. I 4 kap. 10 § riksdagsordningen finns det dock riksdagens be- Prop. 1997/98:44<br>stämmelser om att statlig myndighet - t.ex. den aktuella tillsynsmyndig-<br>heten - är skyldig att lämna upplysningar och yttra sig när ett riksdags-<br>utskott begär det och om att sådana upplysningar och yttranden som<br>huvudregel skall hämtas in om minst fem utskottsledamöter begär det<br>Det får förutsättas att riksdagen utan en särskild bestämmelse om detta ser<br>till att tillsynsmyndigheten har hörts på det sätt som EG-direktivet kräver<br>när en lag i nu aktuella fall beslutas efter ett initiativ mom riksdagen.</p>
<p>Vi anser därför att det inte är vare sig nödvändigt med hänsyn till EG-<br>direktivet eller annars behövligt att åter införa den bestämmelse om<br>obligatoriskt yttrande som nyss avskaffats.</p>
<p>Befogenheterna</p>
<p>För att tillsynsmyndigheten på ett så effektivt sätt som möjligt skall kunna<br>utöva tillsyn över den behandling av personuppgifter som förekommer<br>bör myndigheten för sin tillsyn ha rätt att på begäran få</p>
<p>• tillgång till de personuppgifter som behandlas,</p>
<p>• upplysningar om och dokumentation av behandlingen av personupp-<br>gifter och säkerheten vid denna och</p>
<p>• tillträde till sådana lokaler som har anknytning till behandlingen av<br>personuppgifter.</p>
<p>För den händelse den personuppgiftsansvarige skulle obstruera och<br>inte ge tillsynsmyndigheten det den behöver för tillsynen, måste myn-<br>digheten ha maktmedel att ta till Hovrätten över Skåne och Blekinge<br>anser att tillsynsmyndighetens befogenheter framstår som delvis otill-<br>räckliga och pekar därvid särskilt på att myndigheten enligt förslaget<br>saknar maktmedel för att t.ex. få tillträde till lokaler.</p>
<p>Eftersom sådan behandling av personuppgifter som omfattas av den<br>föreslagna lagen kan förekomma t.ex. i någons hem eller i en dator som<br>någon bär på sig och då det i en och samma dator kan förekomma såväl<br>behandling som omfattas av lagen som rent privat behandling av högst<br>personliga uppgifter som inte omfattas av lagen, har vi funnit att det är<br>olämpligt med regler som innebär att myndigheten skulle få genomdriva<br>sina rättigheter med t ex. polishjälp. Det skulle kunna leda till ett större<br>intrång i den personliga integriteten än det intrång som myndighetens<br>tillsynsverksamhet syftar till att förebygga. Enligt vår mening bör man gå<br>en annan väg i stället som innebär att tillsynsmyndigheten kan vid vite<br>förbjuda behandling av personuppgifter.</p>
<p>Möjlighet att förelägga vite</p>
<p>Syftet med tillsynsmyndighetens tillsyn och myndighetens rättigheter i<br>samband med den är ytterst att myndigheten skall kunna konstatera om<br>den behandling av personuppgifter som utförs är laglig, dvs. att samtliga<br>bestämmelser i den nya lagen och i andra författningar som rör behand-<br>ling av personuppgifter följs Kan myndigheten inte på begäran få tillgång<br>till ett tillräckligt underlag för att konstatera att behandlingen är laglig, bör<br>myndigheten kunna vid vite förbjuda den personuppgiftsansvarige att<br></p>
<p>102</p>
<p>fortsätta att behandla personuppgifter på annat sätt än genom att lagra Prop. 1997/98:44<br>dem. Den som obstruerar riskerar således att bli förbjuden att i<br>fortsättningen behandla personuppgifter. Den risken kan med fog antas<br>medföra att de personuppgiftsansvariga blir tillräckligt benägna att ge<br>myndigheten det underlag den behöver</p>
<p>Tillsynsmyndigheten kan på olika sätt få reda på att personuppgifter<br>behandlas eller kan komma att behandlas på ett olagligt sätt. Sådan in-<br>formation kan komma fram i samband med ett tillsynsbesök, framgå av<br>kontakter med ett personuppgiftsombud eller av en insänd anmälan om<br>behandlingen eller av ett klagomål från t.ex någon registrerad eller<br>konkurrent. I sådana fall bör myndigheten i första hand försöka att åstad-<br>komma rättelse genom påpekanden eller liknande förfaranden Men går<br>det inte att få rättelse på annat sätt, bör myndigheten kunna vid vite<br>förbjuda den personuppgiftsansvarige att fortsätta att behandla person-<br>uppgifter på annat sätt än genom att lagra dem Om saken är brådskande,<br>bör tillsynsmyndigheten genast kunna gripa in på detta sätt</p>
<p>Kammarrätten i Göteborg anser att ett beslut om förbud bör kunna<br>föregås av ett med vite förenat föreläggande för att uppnå det resultat som<br>önskas. Enligt vår mening är det viktigt att tillsynsmyndigheten i första<br>hand kan fungera som ett stöd vid de personuppgiftsansvarigas behand-<br>ling av personuppgifter och ge råd om hur behandlingen bör gå till för att<br>vara laglig. Möjligheten till vitessanktionerat förbud får anses tillräcklig<br>för att förmå de personuppgiftsansvariga att följa myndighetens råd i fråga<br>om hur en behandling skall utföras på ett lagligt sätt Datainspektionen<br>har för övrigt inte fört fram några synpunkter på de föreslagna<br>vitesmöjligheterna</p>
<p>Tillsynsmyndigheten bör kunna fatta beslut om vilka säkerhetsåtgärder<br>som en personuppgiftsansvarig skall vidta. Det beslutet bör kunna över-<br>klagas hos allmän förvaltningsdomstol. Om den personuppgiftsansvarige<br>mte följer ett beslut om säkerhetsåtgärder, som har vunnit laga kraft, bör<br>tillsynsmyndigheten kunna föreskriva vite för att beslutet skall<br>genomföras.</p>
<p>I fråga om tillsynsmyndighetens möjligheter att föreskriva vite bör<br>generellt gälla att den personuppgiftsansvarige skall få tillfälle att yttra sig<br>innan myndigheten föreskriver vite Om det är riskfyllt att vänta med<br>beslutet om vite till dess den personuppgiftsansvarige fått möjlighet att<br>yttra sig, bör myndigheten dock få fatta ett tillfälligt beslut om vite. Det<br>tillfälliga beslutet bör i sådana fall prövas om när yttrandetiden har gått ut<br>och det finns ett mera fullständigt underlag.</p>
<p>Kammarrätten i Göteborg anser att det inte har visats att det finns<br>behov av en bestämmelse om tillfälligt vite. UpplysningsCentralen UC<br>AB avstyrker en sådan bestämmelse. Enligt vår mening är det i vissa<br>undantagsfall nödvändigt att tillsynsmyndigheten kan agera snabbt och<br>kraftfullt för att skydda de registrerades personliga integritet. Av en<br>personuppgiftsansvarigs anmälan kan t.ex. framgå att en viss behandling<br>avseende känsliga personuppgifter som inte alls får utföras enligt den nya<br>lagen skall starta om någon dag En möjlighet att innan den person-<br>uppgiftsansvarige fått komma till tals meddela ett tillfälligt beslut bör<br>dock givetvis utnyttjas bara när saken är klar och så brådskande att<br>yttrandet inte kan avvaktas.</p>
<p>Allmänna bestämmelser om vite finns i lagen (1985:206) om viten. Av<br>2 § fjärde stycket i den lagen framgår att ett vitesföreläggande skall delges<br>adressaten. Enligt vår mening bör i fråga om delgivnmgen gälla samma<br>regler som för delgivning av en stämning i ett tvistemål, se 33 kap. 6 §<br>andra stycket rättegångsbalken. Delgivning enligt 12 § delgivningslagen<br>(1970:428), som innebär att delgivningshandlingen lämnas till någon<br>annan fysisk person än den som söks för delgivning, bör således få använ-<br>das bara under förutsättning att den personuppgiftsansvarige har avvikit<br>eller håller sig undan på något annat sätt.</p>
<p>Av lagen om viten framgår att frågan om utdömande av ett förelagt vite<br>prövas av länsrätten på ansökan av tillsynsmyndigheten, som får anlita<br>biträde av polismyndighet om det år nödvändigt med hänsyn till<br>utredningen. Av lagen om viten framgår vidare att vite inte skall dömas<br>ut, om ändamålet med vitet har förlorat sin betydelse. Av allmänna<br>principer torde dessutom följa att tillsynsmyndigheten skall återkalla ett<br>meddelat vitesföreläggande så snart den personuppgiftsansvarige har gjort<br>vad som krävs av honom eller henne Ett förbud vid vite att behandla<br>personuppgifter på annat sätt än genom att lagra dem kommer alltså att<br>gälla bara till dess den personuppgiftsansvarige har botat den<br>försummelse som föranledde förbudet.</p>
<p>Ansökan om utplånande av personuppgifter</p>
<p>Vi föreslår att tillsynsmyndigheten skall kunna ansöka hos länsrätt om att<br>sådana personuppgifter som har behandlats på ett olagligt sätt skall<br>utplånas. Den möjligheten kan användas t.ex. när känsliga person-<br>uppgifter har behandlats trots att den personuppgiftsansvarige inte alls har<br>haft rätt att behandla sådana uppgifter. Det ligger i sakens natur att<br>möjligheten att ansöka om utplånande av personuppgifter bör användas<br>bara i sådana fall där det inte genom andra åtgärder är möjligt att förena<br>behandlingen av uppgifterna med de regler som gäller Vi föreslår också<br>en uttrycklig regel om att domstolen inte får besluta om utplånande, om<br>det skulle vara oskäligt. Förslagen i denna del har lämnats utan erinran av<br>remissinstanserna.</p>
<p>Överklagande</p>
<p>Enligt den nuvarande datalagen gäller att Datainspektionens beslut<br>överklagas hos länsrätten När en annan statlig myndighet är register-<br>ansvarig, skall dock beslutet i stället överklagas till regeringen. I dag har<br>vidare Justitiekanslem rätt att överklaga Datainspektionens beslut för att<br>ta till vara allmänna intressen</p>
<p>Enligt vår mening bör, såsom godtagits av remissinstanserna, tillsyns-<br>myndighetens beslut enligt den nya lagen i fråga om annat än generella<br>föreskrifter utan undantag kunna överklagas hos allmän förvaltnings-<br>domstol, dvs. länsrätt</p>
<p>Justitiekanslem anser att det inte är nödvändigt att Justitiekanslerns<br>överklaganderätt förs över till den nya lagen, medan Länsrätten i<br>Stockholms län anser att det kan finnas anledning att ha kvar över-<br></p>
<p>Prop. 1997/98:44</p>
<p>104</p>
<p>klaganderätten. Justitiekanslem har med den nuvarande ordningen sällan Prop. 1997/98:44<br>funnit anledning att överklaga Datainspektionens beslut.</p>
<p>Bland annat eftersom den nya lagen till skillnad från den nuvarande<br>inte innebär att en tillsynsmyndighet genom sin tillståndsgivning i<br>praktiken skall bestämma vilken personregistrering som skall tillåtas, har<br>vi i likhet med Justitiekanslem själv inte funnit anledning att ta med<br>någon bestämmelse om överklaganderätt för Justitiekanslem i den nya<br>lagen.</p>
<p>För överklagande av länsrättens domar och beslut till kammarrätten bör<br>det - i linje med strävandena på senare år, jfr prop. 1993/94:133 - krävas<br>prövningstillstånd. Det bör gälla även vid överklagande av länsrättens<br>beslut i fråga om utplånande av personuppgifter.</p>
<p>Kammarrätten i Göteborg anser att det bör övervägas om inte kravet<br>på prövningstillstånd bör gälla först efter viss tid. Liknande synpunkter<br>förs fram av Länsrätten i Stockholms län och UpplysningsCentralen UC<br>AB. Enligt vår mening finns det inte anledning att fördröja införandet av<br>kravet på prövningstillstånd för att fa fram vägledande domstolspraxis<br>eller eljest. Kammarrätten skall ju meddela prövningstillstånd bl.a. om det<br>är av vikt för ledning av rättstillämpningen att överklagandet prövas av<br>högre rätt. Kammarrätten i Stockholm har för övrigt inte haft några<br>synpunkter på kravet på prövningstillstånd</p>
<h2>14 Skadestånd och straff</h2>
<p>Regeringens förslag: Den personuppgiftsansvarige skall ersätta den<br>registrerade för skada och kränkning av den personliga integriteten<br>som en behandling av personuppgifter i strid med lagen har orsakat.<br>Om den personuppgiftsansvarige visar att felet inte berodde på honom<br>eller henne, kan ersättningsskyldigheten dock i den utsträckning det är<br>skäligt sättas ned eller helt falla bort</p>
<p>Den som uppsåtligen eller av oaktsamhet lämnar osanna uppgifter i<br>information eller anmälan enligt den nya lagen, i strid med bestämmel-<br>serna i den nya lagen behandlar känsliga personuppgifter eller<br>uppgifter om lagöverträdelser m.m. eller för över personuppgifter till<br>tredje land eller låter bli att göra en anmälan om behandling till till-<br>synsmyndigheten straffas med böter eller fängelse i högst sex månader.<br>Om brottet är grovt, är straffet fängelse i högst två år.</p>
<p>Datalagskommitténs förslag överensstämmer i huvudsak med<br>regeringens. Kommittén föreslår dock att skadestånd skall kunna utgå vid<br>behandling i strid med lagen eller föreskrift som meddelats med stöd av<br>lagen. Kommittén föreslår inte straffbestämmelser om annat än lämnande<br>av osann uppgift.</p>
<p>Remissinstanserna: De flesta remissinstanser har lämnat förslaget i<br>huvudsak utan erinran. Hovrätten över Skåne och Blekinge, Malmö tings-<br>rätt, Svenska kyrkans församlings- och pastoratsförbund och Landsorga-<br></p>
<p>105<br></p>
<p>nisationen i Sverige (LO) anser dock att flera förfaranden bör vara krimi- Prop. 1997/98:44<br>naliserade.</p>
<p>Skälen för regeringens förslag: Enligt artikel 22-24 i EG-direktivet<br>(se bilaga 1) gäller följande. Var och en skall för det första ha rätt att föra<br>talan inför domstol om kränkningar av sina rättigheter. Den som har lidit<br>skada till följd av en otillåten behandling eller någon annan åtgärd som är<br>oförenlig med bestämmelserna om behandlingen skall vidare ha rätt till<br>ersättning av den personuppgiftsansvarige för den lidna skadan. Den<br>personuppgiftsansvarige kan dock helt eller delvis befrias från sin<br>ersättningsskyldighet, om han eller hon bevisar att han eller hon inte var<br>ansvarig för den händelse som orsakade skadan. Det finns dessutom en<br>skyldighet för medlemsstaterna att anta lämpliga bestämmelser för att<br>säkerställa att direktivet genomförs fullständigt. Medlemsstaterna skall<br>därvid särskilt besluta om de sanktioner som skall användas vid över-<br>trädelse av bestämmelserna om behandling.</p>
<p>Skadestånd</p>
<p>Enligt den nuvarande datalagen är den registeransvarige ersättningsskyl-<br>dig inte bara för ekonomisk skada utan också för ideell skada, dvs. hänsyn<br>skall tas även till lidande och andra omständigheter av annan än rent<br>ekonomisk betydelse</p>
<p>Den nya lagen - liksom den nuvarande datalagen - syftar till att skydda<br>människor mot kränkning av personlig integritet genom behandling av<br>personuppgifter. Rätten till personlig integritet är en immateriell rättighet<br>När den rättigheten kränks, behöver det inte uppkomma någon ekonomisk<br>skada. Därför bör den enskilde, som drabbas av en olaglig behandling,<br>liksom hittills ha rätt till ekonomisk kompensation för själva kränkningen<br>förutom rätt till ersättning för personskada, sakskada och ren<br>förmögenhetsskada. Ersättningen för kränkningen bör uppskattas efter<br>skälighet mot bakgrund av samtliga omständigheter i det aktuella fallet<br>Den bedömningen har godtagits av de allra flesta remissinstanser Det kan<br>inte anses oförenligt med EG-direktivet att införa en skyldighet att betala<br>ersättning även för kränkningen.</p>
<p>Den nuvarande datalagen innebär vidare att ersättning skall betalas för<br>oriktiga eller missvisande uppgifter samt för vissa brott enligt datalagen<br>EG-direktivet kräver emellertid att det i Sverige föreskrivs att alla åtgärder<br>som är oförenliga med de svenska bestämmelser som genomför direktivet<br>kan leda till skadeståndsskyldighet. Ersättningsskyldigheten är alltså mer<br>vidsträckt enligt direktivet. Å andra sidan är den nuvarande datalagens<br>skadeståndsansvar strikt medan EG-direktivet ger den personuppgifts-<br>ansvarige en möjlighet att helt eller delvis undgå skadeståndsansvar om<br>han eller hon bevisar att han eller hon inte är ansvarig för den händelse<br>som orsakade skadan</p>
<p>EG-direktivet kräver således att det i Sverige föreskrivs att alla åtgärder<br>som är oförenliga med de svenska bestämmelser som genomför direktivet<br>kan leda till skadeståndsskyldighet. Vi föreslår därför att den person-<br>uppgiftsansvarige skall ersätta den registrerade för skada som en<br>behandling av personuppgifter i strid med den nya lagen har fört med sig.<br>En av skyldigheterna enligt lagen är att behandla personuppgifter i<br></p>
<p>enlighet med god sed. Den som bryter mot god sed kan alltså bli Prop. 1997/98:44<br>skadeståndsskyldig Som nyss nämnts skall ersättning också betalas för<br>den kränkning av den personliga integriteten som behandlingen har<br>inneburit. Skadeståndsansvaret bör liksom i dag omfatta person-<br>uppgiftsansvariga inom såväl den privata som offentliga sektorn. Vad som<br>är god sed vid behandling av personuppgifter får avgöras i<br>rättstillämpningen mot bakgrund av bl.a. de mer preciserade föreskrifter<br>som kan utfärdas med stöd av lagen, de branschregler på området som<br>kan ha utarbetats av etablerade branschorganisationer eller andra<br>representativa sammanslutningar och hur ansvarsfulla personuppgifts-<br>ansvariga som regel beter sig. Härigenom får, enligt regeringens mening,<br>enskilda på det sätt EG-direktivet förutsätter möjlighet att vid allmän<br>domstol föra talan om kränkningar av alla de rättigheter som direktivet<br>och den svenska lagstiftning som genomför direktivet ger enskilda</p>
<p>Å andra sidan och eftersom den nya lagen således innebär en viss<br>utvidgning av rätten till skadestånd i förhållande till den nuvarande<br>datalagen, anser vi att en jämkningsmöjlighet är viktig. Eftersom dessa<br>möjligheter inte har mycket att göra med jämkningsreglema i skade-<br>ståndslagen, krävs särskilda bestämmelser härom i den nya lagen</p>
<p>Dessa bedömningar har i huvudsak godtagits av de allra flesta remiss-<br>instanser</p>
<p>Lagrådet har anmärkt att det inte är helt säkert att jämknings-<br>bestämmelsen står i överensstämmelse med artikel 23.2 i direktivet, som<br>innehåller bestämmelser om att den registeransvarige kan helt eller delvis<br>undgå skadeståndsansvar om han bevisar att han inte är ansvarig för den<br>händelse som orsakade skadan Lagrådet anser att innebörden av denna<br>artikel synes oklar och föreslår att direktivets text tas in i skadestånds-<br>bestämmelsen utan motivuttalanden om tolkningen.</p>
<p>Vi anser att den ifrågavarande artikeln ger utrymme för att föreskriva<br>att jämkning under vissa förutsättningar kan göras, men att det inte före-<br>ligger någon skyldighet att jämka Även om den personuppgiftsansvarige<br>i ett enskilt fall skulle visa att han eller hon är helt utan skuld till den<br>händelse som orsakat en skada kan han eller hon åläggas skadestånds-<br>ansvar, till och med fullt ut. Jämkning kan dock ske, vilket torde innebära<br>att man i tillämpningen normalt använder sig av jämkningsmöjligheten i<br>ett fall som det nämnda. Det bör dock betonas att det är en fråga som<br>måste avgöras i varje enskilt fall.</p>
<p>En möjlighet införs således att helt eller delvis jämka skadeståndet, om<br>den personuppgiftsansvarige kan visa att den felaktiga behandlingen inte<br>berodde på honom eller henne. Jämkning skall emellertid enligt vår<br>mening ske bara i den utsträckning det är skäligt. Ersättningsskyldighet<br>skall sålunda, liksom enligt den nuvarande datalagen, kunna finnas trots<br>att den personuppgiftsansvarige bevisligen är oskyldig till felet.</p>
<p>Genom den föreslagna jämkningsregeln kan, till skillnad från vad som<br>är fallet enligt den nuvarande datalagen, en nyanserad bedömning göras i<br>sådana fall där den personuppgiftsansvarige bevisligen har gjort så gott<br>han eller hon kunnat. I vissa fall - t.ex. om den registrerade drabbas av en<br>stor ekonomisk skada till följd av att hans eller hennes personuppgifter<br>har behandlats felaktigt - kan det vara skäligt att den som är ansvarig för<br></p>
<p>107</p>
<p>behandlingen far ersätta åtminstone en viss del av skadan, trots att den fel-<br>aktiga behandlingen egentligen mte berodde på honom eller henne.</p>
<p>Straff</p>
<p>Enligt den nuvarande datalagen är en lång rad förfaranden och under-<br>låtenheter straffbelagda.</p>
<p>Såsom framgått av vad som sagts tidigare och i avsnitt 10 är de<br>huvudsakliga sanktionerna mot de personuppgiftsansvariga som inte<br>följer den nya lagen skadestånd och vite. All behandling av personupp-<br>gifter i strid med den nya lagen kan föra med sig skyldighet att till de<br>drabbade betala skadestånd, inklusive ersättning för kränkning, och kan<br>dessutom ytterst föranleda ett vitesföreläggande av tillsynsmyndigheten.<br>Dessa sanktioner för brott mot den nya lagen far anses effektiva och i stort<br>sett tillräckliga.</p>
<p>Datalagskommittén har i sitt förslag bara tagit med en bestämmelse om<br>straff för den som uppsåtligen eller av oaktsamhet lämnar osanna uppgif-<br>ter i information eller anmälan enligt den nya lagen.</p>
<p>Det far också anses ligga i linje med utvecklingen på senare år i<br>Sverige att avkriminalisera, särskilt när det gäller att fa befolkningen att<br>följa lagstiftning som i likhet med den nya lagen skall tillämpas i var-<br>dagslag på många olika håll och kanske också hemma i folks vardagsrum.</p>
<p>Datalagskommitténs förslag har godtagits av de flesta remissin-<br>stanserna. Riksåklagaren anser t.ex. att förslaget är bra.</p>
<p>Hovrätten över Skåne och Blekinge anser dock att inte bara lämnandet<br>av osanna uppgifter bör kriminaliseras utan även underlåtenhet att upp-<br>fylla skyldighet att lämna uppgifter. Underlåtenhet att uppfylla anmäl-<br>ningsskyldighet bör t.ex., enligt hovrätten, förknippas med sanktion.<br>Underlåtenhet att på begäran lämna ett s.k. registerutdrag till en<br>registrerad eller att på begäran lämna Datainspektionen uppgifter om<br>behandlingen är inte i dag generellt kriminaliserad, och vi kan inte se att<br>det finns anledning att nu införa ett straffansvar för just detta. Däremot<br>finns det enligt vår mening skäl att kriminalisera underlåtenhet att göra<br>anmälan till tillsynsmyndigheten, eftersom det är svårt att stävja sådan<br>underlåtenhet med andra medel än ett straffhot.</p>
<p>Landsorganisationen i Sverige (LO) anser att det bör finnas straff-<br>ansvar för den som avsiktligt låter registrera osanna eller felaktiga person-<br>uppgifter eller som utövar påtryckningar mot den personuppgiftsansvarige<br>eller personuppgiftsombudet i syfte att på något sätt manipulera person-<br>uppgifter. Enligt vår mening är det inte nödvändigt att i den nya lagen<br>straffbelägga detta. Bestämmelserna om skadestånd och vite i kombi-<br>nation med tillsynsmyndighetens tillsyn får anses tillräckliga för att stävja<br>och komma till rätta med sådana förfaranden. Otillbörlig påverkan kan i<br>kvalificerade fall bestraffas enligt de allmänna reglerna i brottsbalken.</p>
<p>Malmö tingsrätt anser att åtminstone behandling av känsliga person-<br>uppgifter i strid med bestämmelserna i den nya lagen bör straff-<br>sanktioneras. Vi håller med om detta och föreslår att behandling i strid<br>med den nya lagen av känsliga personuppgifter och uppgifter om<br>lagöverträdelser m.m. skall kriminaliseras. Även överföring i strid med<br>den nya lagen av personuppgifter till tredje land, dvs. en stat utanför EES,<br></p>
<p>Prop. 1997/98:44</p>
<p>108</p>
<p>bör enligt vår mening kriminaliseras, bl.a. eftersom förfarandet innebär att Prop. 1997/98:44<br>personuppgifterna i praktiken försvinner utom räckhåll för svenska<br>skyddsåtgärder</p>
<p>Svenska bankföreningen föreslår att bara sådan oaktsamhet som är<br>grov bestraffas. Genom att det för straffansvar räcker med oaktsamhet in-<br>skärps på ett ändamålsenligt sätt vikten av att vara noggrann med de<br>uppgifter som lämnas och med att följa bl.a. reglerna om när känsliga<br>personuppgifter får behandlas. Föreningens förslag bör således inte följas.</p>
<p>Datainspektionen föreslår att straffskalan skall innefatta fängelse i<br>högst två år utan uppdelning i normalbrott och grovt brott, eftersom<br>preskriptionstiden först då blir tillräckligt lång. Liknande synpunkter förs<br>fram av Svenska kyrkans församlings- och pastoratsforbund. Även om det<br>givetvis är oacceptabelt med brott mot de straffsanktionerade bestämmel-<br>serna, bör det enligt vår mening vara fullt tillräckligt med en straffskala<br>upp till fängelse i sex månader för brott som inte kan betraktas som grovt<br>Att höja straffmaximum för lindrigare brott bara för att brottet skall hinna<br>utredas innan det preskriberas, är inte lämpligt. Saktfardiga utredningar<br>får i stället mötas med andra åtgärder.</p>
<h2>15 Ikraftträdande- och övergångsbestämmelser</h2>
<p>Regeringens förslag: Den nya lagen träder i kraft den 24 oktober<br>1998. För behandlingar som påbörjats då börjar den nya lagen dock att<br>tillämpas först den 1 oktober 2001. Detsamma gäller en behandling<br>som utförs för ett visst bestämt ändamål där behandling för ändamålet<br>påbörjats vid ikraftträdandet Vissa bestämmelser i den nya lagen<br>tillämpas emellertid inte på påbörjad manuell behandling av person-<br>uppgifter förrän den 1 oktober 2007. Dessa bestämmelser tillämpas<br>inte heller på pågående lagring av personuppgifter för historisk<br>forskning förrän uppgifterna börjar behandlas på något annat sätt</p>
<p>Ändringen i regeringsformen, som innebär att det blir möjligt för<br>riksdagen att delegera rätten att meddela föreskrifter om manuell<br>behandling av personuppgifter, träder i kraft den 1 januari 1999.<br>Samtidigt ändras delegationsbestämmelsema i den nya lagen i enlighet<br>med detta.</p>
<p>Datalagskommitténs förslag innebär att den nya lagen träder i kraft<br>den 1 januari 1999 samtidigt med ändringen i regeringsformen.</p>
<p>Remissinstanserna: Bara några remissinstanser har uttalat sig om<br>förslaget. Malmö tingsrätt, Länsrätten i Stockholms län, Justitiekanslem,<br>Domstolsverket och Riksförsäkringsverket uttrycker tveksamhet i frågan<br>om ikraftträdandet kan och bör senareläggas i förhållande till vad som<br>gäller enligt direktivet. Riksåklagaren, Datainspektionen och Riksförsäk-<br>ringsverket föreslår att det införs en möjlighet att i förtid börja tillämpa<br>den nya lagen på pågående behandlingar.</p>
<p>Skälen för regeringens förslag: Av artikel 32 i EG-direktivet (se<br>bilaga 1) följer att de författningar som genomför direktivet måste träda i<br></p>
<p>109</p>
<p>kraft senast den 24 oktober 1998. De behandlingar som påbörjas efter Prop 1997/98:44<br>ikraftträdandet måste genast uppfylla alla bestämmelser i genomförande-<br>lagstiftningen Genomförandelagstiftningen behöver inte tillämpas på<br>sådana behandlingar som påbörjats när lagstiftningen träder i kraft förrän<br>inom tre år efter ikraftträdandet. Bestämmelserna i artikel 6-8 i EG-<br>direktivet - dvs. bestämmelser om grundläggande krav på behandling av<br>personuppgifter och om när sådan behandling är tillåten - behöver inte<br>tillämpas förrän senast den 24 oktober 2007 på sådana uppgifter som<br>redan finns i manuella register när genomförandelagstiftningen träder i<br>kraft. Sverige måste emellertid i sådant fall ge den registrerade rätt att på<br>begäran - särskilt när han eller hon utövar rätten att fa tillgång till<br>uppgifterna - få rättelse, utplånande eller blockering av uppgifter som är<br>ofullständiga, felaktiga eller lagrade på ett sätt som inte är förenligt med<br>de legitima ändamål som den personuppgiftsansvarige vill uppnå Sverige<br>får vidare föreskriva att de nyss nämnda bestämmelserna i artikel 6-8 i<br>EG-direktivet inte behöver tillämpas på uppgifter som bara bevaras för<br>historisk forskning. I sådant fall måste det i Sverige dock också finnas<br>lämpliga skyddsåtgärder</p>
<p>Den nya lagen</p>
<p>De bestämmelser i svensk lagstiftning som genomför EG-direktivet måste<br>finnas senast den 24 oktober 1998 Någon möjlighet att senarelägga<br>genomförandet i av bestämmelserna finns inte enligt direktivet, däremot<br>är det möjligt att för vissa behandlingar fördröja tillämpningen av alla<br>eller vissa av dessa bestämmelser. Den nya lagen måste således träda i<br>kraft senast den 24 oktober 1998. Vi föreslår att lagen träder i kraft det<br>datumet.</p>
<p>De möjligheter att för vissa behandlingar fördröja ikraftträdandet av<br>den nya lagen som EG-direktivet medger bör utnyttjas genom övergångs-<br>bestämmelser Detta har godtagits av de allra flesta remissinstanserna.</p>
<p>I lagrådsremissen, liksom i kommitténs förslag, angavs att för behand-<br>ling som pågick vid ikraftträdandet skulle äldre regler tillämpas Enligt<br>den tolkning som gjordes av bestämmelsen i motiven avsågs även t.ex.<br>andra typer av behandling av en personuppgift som behandlades vid<br>ikraftträdandet och insamling av nya uppgifter till ett personregister där<br>behandling pågick vid ikraftträdandet Lagrådet har i denna fråga hållit<br>med regeringen om att en strikt tolkning av övergångsbestämmelserna i<br>direktivet inte bör göras men befarat att den valda ordalydelsen kan tolkas<br>som att den nya lagen skall tillämpas på behandlingar under förläng-<br>ningsperioden trots att dessa ingår som ett led i hanteringen av ett<br>automatiserat personregister som fanns redan vid ikraftträdandet. Lag-<br>rådet har uttalat att ordalydelsen av bestämmelserna bör ses över. Vi delar<br>Lagrådets synpunkt Enligt vår mening bör även behandling av nya per-<br>sonuppgifter kunna omfattas av den nu gällande datalagen om behandling<br>för ändamålet påbörjats vid ikraftträdandet. I anledning av Lagrådets syn-<br>punkt har lagtexten förtydligats i enlighet därmed.</p>
<p>Riksåklagaren, Datainspektionen och Riksförsäkringsverket anser att<br>det bör finnas en möjlighet att i förtid börja tillämpa den nya lagen på<br>sådana behandlingar som redan påbörjats. Det förefaller i och för sig<br></p>
<p>ändamålsenligt med en sådan frivillig möjlighet för de person- Prop. 1997/98:44<br>uppgiftsansvanga att i förtid gå över till att tillämpa den nya lagen för att<br>bl.a. undvika att behöva tillämpa två lagstiftningar parallellt. En sådan<br>ordning är emellertid förknippad med svårigheter av såväl praktisk som<br>principiell art.</p>
<p>Såväl den nya lagen som den nuvarande datalagen innehåller bestäm-<br>melser om straff och skadestånd, se avsnitt 14. Dessa bestämmelser är<br>olika i de två lagarna. Det är när det gäller sådana bestämmelser ett<br>oavvisligt rättssäkerhetskrav att det vid var tid skall gå att objektivt<br>fastställa vilka sanktionsbestämmelser som är tillämpliga. För att den<br>föreslagna ordningen med frivillig övergång till den nya lagen skall kunna<br>genomföras, krävs således att övergången och tidpunkten för denna på<br>något sätt offentliggörs och dokumenteras. En ambition med den nya<br>ordningen är emellertid att så långt möjligt begränsa byråkratin med<br>anmälningar och ansökningar till tillsynsmyndigheten. Därför är det<br>olämpligt att införa en ordning som innebär att övergångar skall anmälas<br>till eller beslutas av tillsynsmyndigheten. Någon annan godtagbar ordning<br>för offentliggörande och dokumentation av övergångar har inte vi - eller<br>remissinstanserna - lyckats komma på. Förslaget från Datainspektionen<br>m.fl. kan därför tyvärr inte genomföras.</p>
<p>Vi föreslår i övrigt vissa övergångsbestämmelser av detalj karaktär som<br>i huvudsak syftar till att en åtgärd som har vidtagits före ikraftträdandet<br>inte i onödan skall behöva göras om därefter.</p>
<p>Ändringen i regeringsformen och ändringar i den nya lagen</p>
<p>Vi föreslår att den nya lagen skall innehålla vissa bemyndiganden för<br>regeringen eller den myndighet som regeringen bestämmer att meddela<br>föreskrifter, se avsnitt 10. Sådana bemyndiganden kan, såsom närmare<br>utvecklats i avsnitt 10, i dag ges med stöd av 8 kap 7 § första stycket 8<br>regeringsformen bara såvitt avser ”skydd för personlig integritet vid<br>registrering av uppgifter med hjälp av automatisk databehandling”, dvs.<br>såvitt avser automatiserad behandling av personuppgifter. Bemyndigan-<br>dena i den nya lagen har utformats i enlighet härmed, trots att lagen<br>omfattar också viss manuell behandling av personuppgifter (se avsnitt<br>6.1).</p>
<p>Lagrådet har i enlighet med den uppfattning Lagrådet redovisat vad<br>gäller möjligheten att delegera föreskriftsrätt föreslagit att bemyndigandet<br>i 8 kap. 7 § 8 upphävs. Till följd av vår uppfattning i denna fråga som<br>redovisats ovan bör bemyndigandet stå kvar</p>
<p>Såsom också framgår av avsnitt 10 föreslår vi vidare att den nämnda<br>bestämmelsen i regeringsformen skall justeras så att det blir möjligt att<br>lämna bemyndiganden även såvitt avser manuell behandling av person-<br>uppgifter. Ändringen i regeringsformen kan av praktiska och konsti-<br>tutionella skäl i praktiken inte träda i kraft förrän den 1 januari 1999, dvs.<br>ett par månader efter det att den nya lagen trätt i kraft Vi föreslår att<br>ändringen träder i kraft den dagen och att riksdagen sedan grundlags-<br>ändringen beslutats fattar beslut om att per den 1 januari 1999 ändra<br>bemyndigandena i den nya lagen till att avse även sådan manuell [ j |</p>
<p>behandling av personuppgifter som omfattas av lagen. På det sättet visas<br></p>
<p>största möjliga respekt mot såväl den svenska grundlagen som kraven Prop. 1997/98:44<br>enligt EG-direktivet.</p>
<h2>16 Övriga frågor</h2>
<h3>16.1 Regler i den nuvarande datalagen som flyttas till<br>andra lagar</h3>
<p>Regeringens förslag: Regeln om viss dokumentationsskyldighet för<br>myndigheter (14 §) flyttas till 15 kap. sekretesslagen och regeln om<br>straff för dataintrång (21 §) till brottsbalken.</p>
<p>Datalagskommitténs förslag överensstämmer med regeringens.</p>
<p>Remissinstanserna har i huvudsak lämnat förslaget utan erinran, dock<br>att Arbetsmarknadsstyrelsen anser att 14 § i den nuvarande datalagen bör<br>upphävas eller i vart fall flyttas till förvaltningslagen.</p>
<p>Skälen för regeringens forslag: I 14 § i den nuvarande datalagen<br>finns det en bestämmelse om viss dokumentationsskyldighet för myndig-<br>heter. Om en myndighet för handläggningen av mål eller ärende använder<br>sig av upptagning för automatisk databehandling, skall upptagningen<br>tillföras handlingarna i målet eller ärendet i läsbar form, om inte särskilda<br>skäl föranleder annat.</p>
<p>I 21 § i den nuvarande datalagen finns det en bestämmelse om straff<br>för dataintrång. Den som olovligen bereder sig tillgång till upptagning för<br>automatisk databehandling eller olovligen ändrar eller utplånar eller i<br>register för in sådan upptagning kan dömas för dataintrång till böter eller<br>fängelse i högst två år. Detta gäller dock inte om gärningen kan bestraffas<br>enligt brottsbalken eller lagen (1990:409) om företagshemligheter. Även<br>försök och förberedelse till dataintrång kan bestraffas. Med upptagning<br>avses i detta sammanhang även uppgifter som är under befordran via<br>elektroniskt eller annat liknande hjälpmedel för att användas för auto-<br>matisk databehandling.</p>
<p>I 26-28 §§ i den nuvarande datalagen ges de grundläggande reglerna<br>for det statliga person- och adressregistret (SPAR). Frågor som berör<br>SPAR har också varit föremål för överväganden av den s.k Grunddata-<br>basutredningen som den 27 oktober 1997 redovisade sitt betänkande<br>Grunddata - i samhällets tjänst, SOU 1997:146. Frågorna kring SPAR<br>bör behandlas i ett sammanhang. Regeringen lägger därför nu inte fram<br>något förslag till ny reglering av SPAR. Frågorna kring SPAR kommer att<br>behandlas efter det att Grunddatabasutredningens förslag remissbe-<br>handlats.</p>
<p>De nu aktuella bestämmelserna i 14 och 21 §§ i den nuvarande<br>datalagen hör inte hemma i den nya generella lagen. De bestämmelserna<br>bör därför flyttas till annan lagstiftning. Ändringarna bör träda i kraft<br>samtidigt som den nya lagen</p>
<p>112</p>
<p>Frågan om bestämmelsen i 14 § om viss dokumentationsskyldighet för Prop 1997/98:44<br>myndigheter bör upphävas eller flyttas och vart den i så fall skall flyttas<br>har varit föremål för delade meningar, se betänkandena En ny datalag<br>(SOU 1993:10) s. 468, Elektronisk dokumenthantering (SOU 1996:40) s<br>264 och SOU 1997:39 s. 460. Vi anser för egen del att den bestämmelsen<br>utgör en så värdefull upplysning om den grundläggande skyldigheten för<br>myndigheter att i mål och ärenden dokumentera de databaserade uppgifter<br>som används som beslutsunderlag att den inte bör upphävas. Enligt vår<br>mening kan bestämmelsen - i likhet med vad såväl Datalagskommittén<br>som Datalagsutredningen föreslagit - med fördel tas in i 15 kap. sekre-<br>tesslagen, som redan innehåller vissa bestämmelser som rör myndigheters<br>skyldighet att registrera handlingar.</p>
<p>Datalagskommittén har inte lämnat något utarbetat förslag till nya<br>bestämmelser i brottsbalken om straff för dataintrång. Inom Justitie-<br>departementet har ett sådant förslag gjorts upp som endast innebär att de<br>nuvarande bestämmelserna i sak oförändrade förs över till brottsbalken.<br>Eftersom Datalagskommitténs principförslag har remissbehandlats utan<br>att möta invändningar och då det lagtekniska genomförandet av förslaget<br>är av enkel beskaffenhet, har vi ansett oss kunna - utan remissbehandling<br>av de konkreta lagförslagen - lämna förslag till en lag om ändring i<br>brottsbalken. Ett konkret förslag till överföring av bestämmelsen om straff<br>för dataintrång till brottsbalken har för övrigt lämnats i Datastraff-<br>rättsutredningens betänkande Information och den nya informations-<br>teknologin - straff och processrättsliga frågor m m (SOU 1992:110), som<br>har remissbehandlats. Förslagen i det betänkandet, som syftar till en mer<br>genomgripande reform, bereds för närvarande inom Justitiedepartementet<br>Datalagsutredningen har också i fråga om överföringen av bestäm-<br>melserna om straff för dataintrång i remissbehandlade betänkanden läm-<br>nat samma principförslag som Datalagskommittén.</p>
<p>I författningskommentaren berörs vissa konkurrensfrågor med anled-<br>ning av att bestämmelsen om straff för dataintrång flyttas till brottsbalken</p>
<h3>16.2 Följdändringar</h3>
<p>Regeringens förslag: Med anledning av att den nuvarande datalagen<br>ersätts av den nya lagen görs det vissa följdändringar i sekretesslagen.</p>
<p>Datalagskommitténs förslag överensstämmer delvis med regeringens</p>
<p>Remissinstanserna: Förslagen till följdändringar har i huvudsak<br>lämnats utan erinran av remissinstanserna.</p>
<p>Skälen för regeringens förslag: Eftersom den nuvarande datalagen<br>ersätts av den nya lagen, måste det göras följdändringar i annan lagstift-<br>ning som hänvisar till datalagen. Följdändringarna, som i huvudsak är<br>formella, berörs i författningskommentaren. Följdändringarna bör träda i<br>kraft samtidigt som den nya lagen</p>
<p>113</p>
<p>8 Riksdagen 1997/98. 1 saml. Nr 44</p>
<p>17</p>
<h2>Ekonomiska konsekvenser av förslaget</h2>
<p>Regeringens förslag i detta ärende innebär ett genomförande av EG:s<br>dataskyddsdirektiv. I kostnadshänseende kan förslaget delas upp i två<br>delar. För det första stadgar nämnda direktiv att en registrerad har rätt till<br>viss information samt att beslut, vilka är avsedda att bedöma egenskaper<br>hos den berörda personen, får grundas endast på automatiserad behand-<br>ling av personuppgifter, bara om den som berörs av beslutet har möjlighet<br>att på begäran få beslutet omprövat av någon person. För det andra<br>påverkas Datainspektionens finansiering. Datainspektionen kommer<br>enligt förslaget inte längre att uppbära de licensavgifter som i dag står för<br>ca 90 procent av inspektionens intäkter</p>
<p>När det först gäller de personuppgiftsansvarigas kostnader för infor-<br>mation m.m. är det flera faktorer som påverkar dessa. En faktor är om det<br>rör behandling av uppgifter enligt den gamla datalagen eller om behand-<br>lingen regleras av den nya personuppgiftslagen Den nya person-<br>uppgiftslagen föreslås - mot bakgrund av kravet i EG-direktivet - träda i<br>kraft den 24 oktober 1998. För all den behandling som pågår för<br>närvarande hos myndigheter, kommuner, landsting, företag etc, behöver<br>den nya lagen inte tillämpas förrän efter utgången av september månad år<br>2001. Det innebär att den eventuella ökning av informationskostnadema<br>m.m. som den nya personuppgifislagen i förhållande till den nuvarande<br>datalagen kan medföra, kommer att för sådana register som nu finns slå<br>igenom först efter september 2001.</p>
<p>Regeringen kommer att i arbetet med att komplettera den nya person-<br>uppgiftslagen med aviserade förordningar, försöka utarbeta så enkla och<br>klara regler som möjligt att eventuella kostnader hålls på en så låg nivå<br>som möjligt Ett exempel skulle kunna vara att vid utskick från myn-<br>digheter som görs i annat syfte, t.ex. skattemyndighetens utskick av<br>deklarationsuppgifter komplettera den blanketten med en informationsruta<br>som uppfyller den nya lagens krav.</p>
<p>När det gäller register som inrättas efter den 24 oktober 1998 kommer<br>dessa register att från den tidpunkten omfattas av de nya informa-<br>tionsreglema m.m. Vilka register det kan bli frågan om är omöjligt för<br>regeringen att nu förutse. Härtill kommer att det är regeringens bestämda<br>uppfattning när det gäller nya behandlingar, att den rationaliseringseffekt<br>som motiverar användandet av automatiserad behandling i sig leder till en<br>mer kostnadseffektiv hantering.</p>
<p>Vad gäller finansieringen av Datainspektionens verksamhet är re-<br>geringens uppfattning att kostader för statlig tillsyn i princip bör belasta<br>de som orsakar att tillsynsverksamheten behövs. Regeringen har därför<br>gett Datainspektionen i uppdrag att föreslå ett avgiftsfinansieringssystem.<br>Regeringen avser att ta ställning till finansieringsfrågan i 1998 år ekono-<br>miska vårproposition. Övriga frågor som rör Datainspektionens framtida<br>verksamhet med anledning av Personuppgiftslagen kommer att behandlas<br>i Budgetpropositionen för 1999.</p>
<p>Enligt regeringens mening finns det inte nu grund för att anta att de<br>föreslagna ändringarna kommer att leda till ökade utgifter av sådan<br>omfattning att de inte kan finansieras inom ramen för befintliga medel</p>
<p>Prop. 1997/98:44</p>
<p>114</p>
<p>Regeringen har för avsikt att följa tillämpningen och effekterna av lag-<br>stiftningen för att fa underlag för att bedöma eventuella kostnads-<br>konsekvenser för kommuner och landsting som faller under finan-<br>sieringsprincipen.</p>
<h2>18 Författningskommentar</h2>
<h3>18.1 Förslaget till personuppgiftslag</h3>
<p>Frågan om lagens namn har behandlats i avsnitt 7 i den allmänna<br>motiveringen.</p>
<p>Allmänna bestämmelser</p>
<p>Syftet med lagen</p>
<p>1 § Syftet med denna lag är att skydda människor mot att deras personliga<br>integritet kränks genornbehandling av personuppgifter.</p>
<p>Paragrafen innehåller en upplysning om syftet med lagen och överens-<br>stämmer i huvudsak med Datalagskommitténs förslag.</p>
<p>Rikspolisstyrelsen har föreslagit att syftet enligt EG-direktivet att åstad-<br>komma ett fritt flöde av personuppgifter mellan medlemsstaterna i Euro-<br>peiska unionen också bör komma till uttryck i lagtexten. Detta syfte upp-<br>fylls emellertid just genom att medlemsstaterna genomför en åtminstone<br>delvis harmoniserad lagstiftning till skydd mot kränkning av personlig<br>integritet genom behandling av personuppgifter. Bestämmelsen har därför<br>inte kompletterats i enlighet med vad Rikspolisstyrelsen föreslagit</p>
<p>Avvikande bestämmelser i annan författning</p>
<p>2 § Om det i en annan lag eller i en förordning finns bestämmelser som<br>avviker från denna lag, skäl de bestämmelserna gäla.</p>
<p>Av paragrafen framgår att personuppgifislagen är subsidiär i förhållande<br>till andra författningar. Paragrafen har behandlats i avsnitt 6.2. Paragrafen<br>överensstämmer i huvudsak med Datalagskommitténs förslag och har<br>berörts i avsnitt 8.2.2 i kommitténs betänkande.</p>
<p>Finns det bestämmelser i en annan lag eller i en förordning som<br>avviker från personuppgifislagen, skäl de bestämmelserna tillämpas i<br>stälet. Beslut som riksdagen eller regeringen fattat i annan form än lag<br>eller förordning och föreskrifter som myndigheter har utfärdat tar däemot<br>inte över bestämmelserna i personuppgifislagen.</p>
<p>I den utsträckning en lag eller förordning med avvikande bestämmelser<br>inte innehäler bestämmelser om sådant som regleras i personuppgifts-<br>lagen, skäl personuppgiftslagens bestämmelser tillämpas. Frågan om en<br></p>
<p>Prop. 1997/98:44</p>
<p>115</p>
<p>viss bestämmelse innefattar en avvikelse från vad som skall gälla enligt Prop. 1997/98:44<br>personuppgiftslagen får avgöras med tillämpning av sedvanliga metoder<br>för tolkning av författningar.</p>
<p>Sådana avvikande bestämmelser som avses i paragrafen finns ofta i s.k.<br>registerförfattningar som reglerar inrättandet och förandet av viktigare<br>register på det offentliga området. Även bestämmelser som föreskriver att<br>myndigheter eller enskilda far eller skall lämna ut uppgifter avses i<br>paragrafen. Sådana bestämmelser om s.k. uppgiftsskyldighet går således<br>före bestämmelserna i personuppgifislagen. I 8 § första stycket finns det<br>en uttrycklig erinran om att bestämmelserna i 2 kap. tryckfrihetsförord-<br>ningen tar över bestämmelser i personuppgifislagen, och i 7 § första<br>stycket finns det en motsvarande erinran beträffande bestämmelserna om<br>tryck- och yttrandefrihet i tryckfrihetsförordningen och yttrandefrihets-<br>grundlagen</p>
<p>Definitioner</p>
<p>3 § I denna lag används följande beteckningar med nedan angiven bety-<br>delse.</p>
<p>Beteckning ___________Betydelse___________________________________</p>
<p>Behandling (av person-<br>uppgifter)</p>
<p>Blockering (av person<br>uppgifter)</p>
<p>Mottagare</p>
<p>Personuppgifter</p>
<p>Personuppgiftsansvarig</p>
<p>Personuppgiftsbiträde</p>
<p>Personuppgiftsombud</p>
<p>Den registrerade<br>Samtycke</p>
<p>Tillsynsmyndigheten</p>
<p>Tredje land</p>
<p>Varje åtgärd eller sene av åtgärder som vidtas i<br>fråga om personuppgifter, vare sig det sker på<br>automatisk väg eller inte, t ex insamling,<br>registrering, organisering, lagring, bearbetning<br>eller ändring, återvinning, inhämtande an-<br>vändning, utlämnande genom översändånde,<br>spridning eller annat tillhandahållande av upp-<br>gifter, sammanställning eller samköming,<br>blockering, utplåning eller förstöring</p>
<p>En åtgärdsom vidtas för att personuppgifterna<br>skall vara förknippade med information om att<br>de är spärrade ocn om anledningen till spärren<br>och för att personuppgifterna inte skall lamnas<br>ut till tredje man annat än med stöd av 2 kap<br>tryckfrihetsförordningen.</p>
<p>Den till vilken personuppgifter lämnas ut När<br>personuppgifter lämnas ut för att en myndighet<br>skall kunna utföra sådan tillsyn, kontroll eller<br>revision som den är skyldig att sköta, anses<br>dock inte myndigheten som mottagare.</p>
<p>All slags information som direkt eller indirekt<br>kan hänföras till en fysisk person som är i<br>livet.</p>
<p>Den som ensam eller tillsammans med andra<br>bestämmer ändamålen med och medlen för<br>behandlingen av personuppgifter.</p>
<p>Den som behandlar personuppgifter för den<br>personuppgiftsansvariges räkning</p>
<p>Den fysiska person som, efter förordnande av<br>den personuppgiftsansvarige självständigt<br>skall se till att personuppgifter behandlas på ett<br>korrekt och lagligt sätt.</p>
<p>Den som en personuppgift avser</p>
<p>Varje slag av frivillig, särskild och otvetydig<br>viljeyttring genom vilken den registrerade,<br>efter att ha fatt information godtar behandling<br>av personuppgifter som rör honom eller henne<br>Den myndighet som regeringen utser för att<br>utöva tillsyn.</p>
<p>En stat som inte ingår i Europeiska unionen<br>eller är ansluten till Europeiska ekonomiska<br>sam arbetsområdet.</p>
<p>116</p>
<p>Beteckning</p>
<p>1 redje man</p><img src="https://data.riksdagen.se/fil/GL0344/prop_199798__44-2.png" style="width:269pt;height:12pt;"/>
<p>Någon annan än den registrerade, den person-<br>uppgiftsansvarige, personuppgiftsombudet,<br>personuppgiftsbiträdet och sadana personer<br>som under den personuppgiftsansvariges eller<br>personuppgiftsbiträdets direkta ansvar har<br>oefogennet att behandla personuppgifter.</p>
<p>Paragrafen innehåller definitioner av viktigare uttryck och begrepp som<br>används i lagen. Den har jämkats något i förhållande till Datalags-<br>kommitténs förslag. Definitionerna har berörts i avsnitt 12.2 i kommitténs<br>betänkande.</p>
<p>Definitionerna av behandling (avpersonuppgifter), mottagare, person-<br>uppgifter, personuppgtftsansvarig, personuppgiftsbiträde, den registre-<br>rade och tredje man är avsedda att ha samma innebörd som motsvarande<br>uttryck har enligt artikel 2 i EG-direktivet, se bilaga 1 Definitionen av<br>den registrerade innebär att behandling av uppgifter om avlidna eller ännu<br>inte födda personer inte omfattas av lagen Definitionen av samtycke skall<br>ha samma innebörd som definitionen i artikel 2 i direktivet, med tillägget<br>att det direkt i definitionen tas in ett krav på att samtycket skall vara<br>otvetydigt, vilket framgår av andra artiklar i direktivet I de fall där<br>samtycket dessutom enligt direktivet skall vara uttryckligt anges detta<br>direkt i lagtexten Begreppen ”otvetydig” och ”uttrycklig” har en EG-<br>gemensam innebörd. Vissa av beteckningarna har behandlats i avsnitt 7</p>
<p>I 38-40 §§ finns det närmare bestämmelser om de uppgifter som ett<br>personuppgiftsombud skall ha</p>
<p>Av definitionen av blockering (av personuppgifter) framgår att<br>blockerade personuppgifter får användas internt hos den personupp-<br>giftsansvarige och hos ett anlitat personuppgiftsbiträde under förutsättning<br>att det där uppgifterna förekommer framgår att de är spärrade och<br>anledningen till spärren Däremot får uppgifterna inte lämnas ut till tredje<br>man, varvid ett uttrycklig undantag gjorts för sådant utlämnande som sker<br>med stöd av 2 kap. tryckfrihetsförordningen. Det undantaget har berörts i<br>avsnitt 8.1. Av det förhållandet att den registrerade själv inte omfattas av<br>definitionen av tredje man följer att även blockerade uppgifter jämte<br>information om blockeringen skall tas med i sådan information som efter<br>ansökan skall lämnas till den registrerade enligt 26 §. Det är upp till den<br>personuppgiftsansvarige att bestämma hur det tekniskt skall ses till att de<br>blockerade uppgifterna är förknippade med information om blockeringen</p>
<p>Beträffande definitionen av tredje land kan noteras att EES-kommittén<br>ännu inte fattat beslut om att direktivet skall omfattas av EES-avtalet Vi<br>förutsätter dock att ett sådant beslut fattas I praktiken innebär det ingen<br>större skillnad att inbegripa EES-länderna då definitionen främst har be-<br>tydelse när det gäller överföring av personuppgifter till andra länder och<br>då Norge och Island har anslutit sig till Europarådets dataskydds-<br>konvention. Enligt vårt förslag skall nämligen personuppgifter alltid få<br>överföras till sådana länder trots det allmänna förbudet i 33 §.</p>
<p>117</p>
<p>Tillämpningsområde</p>
<p>Prop. 1997/98:44</p>
<p>Det territoriella tillämpningsområdet</p>
<p>4| Denna lag gäller för sådana personuppgiftsansvariga som är etable-<br><sup>3</sup> Lagen tifiämpas också när den personuppgiftsansvarige är etablerad i<br>tredje land men för behandlingen av personuppgifter använder sig av<br>utrustning som finns i Sverige Vad som nu sagts gäller dock inte om<br>utrustningen bara används för att överföra uppgifter mellan ett tredje land<br>och ett annat sådant land.</p>
<p>I det fall som avses i andra stycket första meningen skall den person-<br>uppgiftsansvarige utse en företrädare för sig som är etablerad i Sverige<sub>o</sub>.<br>Vaa som anges i denna lag om den personuppgiftsansvarige skall också<br>gälla för företrädaren</p>
<p>Paragrafen har behandlats i avsnitt 9. Den överensstämmer med Datalags-<br>kommitténs förslag, dock att en av kommittén föreslagen bestämmelse om<br>skyldighet att till tillsynsmyndigheten lämna in en anmälan om en utsedd<br>företrädare inte tagits med. Paragrafen har berörts i avsnitt 12.3 i kom-<br>mitténs betänkande.</p>
<p>Avsikten är att paragrafen skall ha samma innebörd som artikel 4 i EG-<br>direktivet, se bilaga 1</p>
<p>Behandling av personuppgifter som omfattas av lagen</p>
<p>5 § Denna lag gäller för sådan behandling av personuppgifter som helt<br>eller delvis är automatiserad.</p>
<p>Lagen gäller även för annan behandling av personuppgifter, om upp-<br>gifterna ingår i eller är avsedda att ingå i en strukturerad samling av<br>personuppgifter som är tillgängliga för sökning eller sammanställning<br>enligt särskilda kriterier.</p>
<p>Frågan om en teknikoberoende lag har behandlats i avsnitt 6.1. Paragrafen<br>överensstämmer i sak med Datalagskommitténs förslag och har berörts i<br>avsnitt 7.2.1, 12.2.8 och 12.2.12 i kommitténs betänkande. Begreppet<br>”automatiserad” som har valts på förslag av Lagrådet kommenteras i<br>avsnitt 6.1.</p>
<p>Paragrafen är avsedd att ha samma innebörd som artikel 3.1 och<br>definitionen av register i artikel 2 c i EG-direktivet, se bilaga 1</p>
<p>Undantag för privat behandling av personuppgifter</p>
<p>6 § Denna lag gäller inte för sådan behandling av personuppgifter som en<br>fysisk person utför som ett led i en verksamhet av rent privat natur.</p>
<p>Paragrafen har behandlats i avsnitt 8 3. Den överensstämmer med Data-<br>lagskommitténs förslag och har berörts i avsnitt 7.2.4 i kommitténs<br>betänkande</p>
<p>Avsikten är att paragrafen skall ha samma innebörd som artikel 3 2<br>andra strecksatsen i EG-direktivet, se bilaga 1. Paragrafen för med sig<br>t.ex. att enskilda för rent privat bruk kan föra en elektronisk dagbok eller<br>registrera sina grannar eller släktingar</p>
<p>118</p>
<p>Förhållandet till tryck-och yttrandefriheten Prop 1997/98:44</p>
<p>7 § Bestämmelserna i denna lag tillämpas inte i den utsträckning det<br>skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryck-<br>frihetsförordningen eller yttrandefnhetsgrundlagen</p>
<p>Bestämmelserna i 9-29 och 33-44 §5 samt 45 § första stycket och 47 -<br>49 §§ skall inte tillämpas på sådan behandling av personuppgifter som<br>sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt<br>skapande.</p>
<p>Frågan om undantag med hänsyn till tryck- och yttrandefriheten har be-<br>handlats i avsnitt 8.2. Paragrafen överensstämmer delvis med Datalags-<br>kommitténs förslag. Paragrafen har berörts i avsnitt 10 i kommitténs<br>betänkande.</p>
<p>Första stycket innehåller, i syfte att förtydliga, en upplysning om att<br>bestämmelserna i lagen inte får tillämpas i den utsträckning det skulle<br>strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihets-<br>förordningen (TF) eller yttrandefnhetsgrundlagen (YGL). Tillämpningen<br>av av bestämmelserna i TF och YGL skall ske i enlighet med de principer<br>som gäller i dag.</p>
<p>Genom andra stycket undantas vissa behandlingar helt från de flesta<br>bestämmelserna i lagen Bestämmelserna om säkerhetsåtgärder skall dock<br>tillämpas också på dessa behandlingar.</p>
<p>Andra stycket skall ha samma innebörd som artikel 9 i EG-direktivet,<br>se bilaga 1. Här kan nämnas att Sverige i samband med att direktivet an-<br>togs i ministerrådets protokoll fått intaget att Sverige anser att begreppet<br>konstnärliga och litterära uttryck mera syftar på uttrycksmedlen än kom-<br>munikationens innehåll eller dess kvalitet.</p>
<p>En invändning om att en behandling av personuppgifter avser sådant<br>som är undantaget enligt denna paragraf får godtas, om det inte av<br>omständigheterna framgår att invändningen är så osannolik att den kan<br>lämnas utan avseende.</p>
<p>Förhållandet till offentlighetsprincipen</p>
<p>8 § Bestämmelserna i denna lag tillämpas inte i den utsträckning det<br>skulle inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsför-<br>ordningen att lämna ut personuppgifter.</p>
<p>Bestämmelserna hindrar inte heller att en myndighet arkiverar och be-<br>varar allmänna handlingar eller att arkivmaterial tas om hand av en arkiv-<br>myndighet. Bestämmelsen i 9 § fjärde stycket gäller inte för en myndig-<br>hets användning av personuppgifter i allmänna handlingar.</p>
<p>Frågan om hur EG-direktivet förhåller sig till offentlighetsprincipen har<br>behandlats i avsnitt 8.1. Paragrafen överensstämmer i huvudsak med<br>Datalagskommitténs förslag och har berörts i avsnitt 9.2, 9.4 och 12.4.6.3<br>i kommitténs betänkande.</p>
<p>Första stycket innehåller i syfte att förtydliga en upplysning om att<br>lagen inte tillämpas om det skulle strida mot en myndighets skyldigheter<br>enligt 2 kap. tryckfrihetsförordningen (TF).</p>
<p>Andra stycket rör det bevarande av allmänna handlingar som utgör en<br>förutsättning för att offentlighetsprincipen i 2 kap TF skall kunna upp-<br>fylla sma syften. För tillämpningen av stycket förutsätts inte i och för sig<br>att bevarandet är föreskrivet i författning. Det räcker att det är fråga om<br></p>
<p>119</p>
<p>allmänna handlingar. Även bevarande av sådana handlingar som enligt Prop 1997/98:44<br>2 kap. 9 § TF blir allmänna först sedan de tagits om hand för arkivering<br>omfattas.</p>
<p>Sista meningen i andra stycket innebär att myndigheter trots bestäm-<br>melserna i 9 § fjärde stycket får använda information i allmänna hand-<br>lingar för att vidta åtgärder beträffande enskilda. Övriga bestämmelser i<br>lagen skall däremot följas när en myndighet på detta sätt återanvänder<br>personuppgifter, t.ex. bestämmelsen i 9 § första stycket d om att person-<br>uppgifter inte får behandlas för något ändamål som är oförenligt med det<br>för vilket uppgifterna samlades in. Enligt Datalagskommitténs förslag<br>skulle det genom ändring i arkivlagen (1990:782) införas en ordning som<br>innebar att handlingar och databaser som innehåller allmänna uppgifter<br>omedelbart skulle anses tillhöra myndighetens arkiv (kommitténs<br>betänkande s. 662), och i enlighet härmed föreslogs att det nu aktuella<br>undantaget skulle omfatta ”personuppgifter i en myndighets arkiv”.<br>Eftersom förslaget till ändringar i arkivlagen inte nu genomförs, har<br>undantaget omformulerats till att avse en myndighets användning av<br>personuppgifter i allmänna handlingar</p>
<p>Grundläggande krav på behandlingen av personuppgifter</p>
<p>9 § Den personuppgiftsansvarige skall se till att</p>
<p>a) personuppgifter behandlas bara om det är lagligt,</p>
<p>b) personuppgifter alltid behandlas på ett korrekt sätt och i enlighet med<br>god sed,</p>
<p>c) personuppgifter samlas in bara för särskilda, uttryckligt angivna och<br>berättigade ändamål,</p>
<p>d) personuppgifter inte behandlas för något ändamål som är oförenligt<br>med det för vilket uppgifterna samlades in,</p>
<p>e) de personuppgifter som behandlas är adekvata och relevanta i för-<br>hållande till ändamålen med behandlingen,</p>
<p>f) inte fler personuppgifter behandlas än som är nödvändigt med hänsyn<br>till ändamålen med behandlingen,</p>
<p>g) de personuppgifter som behandlas är riktiga och, om det är nödvändigt,<br>aktuella,</p>
<p>h) alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana<br>personuppgifter som är felaktiga eller ofullständiga med hänsyn till<br>ändamålen med behandlingen, och</p>
<p>i) personuppgifter inte bevaras under en längre tid än vad som är nöd-<br>vändigt med hänsyn till ändamålen med behandlingen</p>
<p>I fråga om första stycket d gäller dock att en behandling av person-<br>uppgifter för historiska, statistiska eller vetenskapliga ändamål inte skall<br>anses som oförenlig med de ändamål för vilka uppgifterna samlades in.</p>
<p>Personuppgifter får bevaras för historiska, statistiska eller ve-<br>tenskapliga ändamåj under längre tid än som sagts i första stycket i<br>Personuppgifterna får dock i sådana fall inte bevaras under en längre tid<br>än vad som behövs för dessa ändamål</p>
<p>Personuppgifter som behandlas för historiska, statistiska eller<br>vetenskapliga ändamål får användas för att vidta åtgärder i fråga om den<br>registrerade bara om den registrerade har lämnat sitt samtycke eller det<br>finns synnerliga skäl med hänsyn till den registrerades vitala intressen.</p>
<p>I paragrafen läggs det fast vissa grundläggande krav på den person-<br>uppgiftsansvariges behandling av personuppgifter. De grundläggande<br>kraven på behandlingen av personuppgifter har behandlats i avsnitt 112.<br>Paragrafen överensstämmer i huvudsak med Datalagskommitténs förslag<br>och har berörts i avsnitt 11 6.5 och 12.4 i kommitténs betänkande.</p>
<p>120</p>
<p>Första, andra och tredje styckena har samma innebörd som artikel 6 i Prop. 1997/98:44<br>EG-direktivet, se bilaga 1. På förslag av Lagrådet har i första stycket b<br>lagts till vad som i lagrådsremissen framgick av skadeståndsbestämmelsen<br>i 48 §, nämligen att personuppgifter skall behandlas i enlighet med god<br>sed</p>
<p>Fjärde stycket innehåller bestämmelser om sådana lämpliga skydds-<br>åtgärder vid behandling av personuppgifter för historiska, statistiska eller<br>vetenskapliga ändamål som avses i den nyss nämnda artikeln och i artikel<br>8.4. Bestämmelsen gäller inte för en myndighets användning av person-<br>uppgifter i allmänna handlingar, se 8 § andra stycket. En och samma<br>personuppgift kan samtidigt behandlas för flera olika ändamål, varav<br>något kan vara sådant som avses i tredje och fjärde styckena I sådant fall<br>får personuppgifter som behandlas för administrativa ändamål som har<br>med en viss verksamhet att göra, trots bestämmelsen i fjärde stycket,<br>behandlas för att i enlighet med dessa ändamål vidta åtgärder beträffande<br>de registrerade, även om samma uppgifter samtidigt behandlas för att<br>framställa statistik. Behandling av personuppgifter för statistiska och<br>vetenskapliga ändamål kan ge värdefull kunskap om generella<br>sammanhang. Användandet av sådan kunskap för att vidta åtgärder mot<br>individer omfattas inte av bestämmelsen.</p>
<p>Det är vid tvist den personuppgiftsansvarige som har bevisbördan för<br>att den registrerade lämnat sitt samtycke till att uppgifterna används för att<br>vidta åtgärder Har den registrerade muntligen eller skriftligen återkallat<br>ett lämnat samtycke, får uppgifterna därefter mte användas för att vidta<br>åtgärder. Om det finns synnerliga skäl med hänsyn till den registrerades<br>vitala intressen, får dock uppgifterna alltid användas för att vidta åtgärder.<br>Ett exempel är det fallet att en forskare som undersöker ett misstänkt<br>samband mellan intag av en medicin och någon allvarlig sjukdom upp-<br>täcker att det faktiskt finns ett sådant samband och därför använder regis-<br>teruppgifter för att varna de registrerade som har fått sådan medicin så att<br>de kan låta undersöka sig och få behandling. Ett annat exempel är när ett<br>statistikregister används för att varna de som har köpt en apparat som<br>visar sig ha ett allvarligt fel. Det är vid tvist den personuppgiftsansvarige<br>som har att visa att det finns sådana omständigheter som utgör synnerliga<br>skäl.</p>
<p>Enligt 50 § b får regeringen eller den myndighet som regeringen<br>bestämmer meddela närmare föreskrifter om vilka krav som ställs på den<br>personuppgiftsansvarige vid behandling av personuppgifter</p>
<p>När behandling av personuppgifter är tillåten</p>
<p>Frågan om när behandling av personuppgifter är tillåten har behandlats i<br>avsnitt 11.3.</p>
<p>Enligt 50 § a får regeringen eller den myndighet som regeringen<br>bestämmer meddela närmare föreskrifter om i vilka fall behandling av<br>personuppgifter är tillåten.</p>
<p>10 § Personuppgifter får behandlas bara om den registrerade har lämnat<br>sitt samtycke till behandlingen eller om behandlingen är nödvändig för att</p>
<p>a) ett avtal med den registrerade skall kunna fullgöras eller åtgärder som 121</p>
<p>den registrerade begärt skall kunna vidtas innan ett avtal träffas,</p>
<p>b) den personuppgiftsansvarige skall kunna fullgöra en rättslig skyldighet,</p>
<p>c) vitala intressen för den registrerade skall kunna skyddas,</p>
<p>d) en arbetsuppgift av allmänt intresse skall kunna utföras,</p>
<p>e) den personuppgiftsansvarige eller en tredje man till vilken person-<br>uppgifter lämnas ut skall kunna utföra en arbetsuppgift i samband med<br>myndighetsutövning, eller</p>
<p>f) ett ändamål som rör ett berättigat intresse hos den personuppgiftsansva-<br>rige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut<br>skall kunna tillgodoses, om detta intresse väger tyngre än den<br>registrerades intresse av skydd mot kränkning av den personliga<br>integriteten.</p>
<p>I paragrafen finns det en uttömmande uppräkning av i vilka fall person-<br>uppgifter far behandlas. Om känsliga personuppgifter, uppgifter om<br>lagöverträdelser m.m. eller personnummer skall behandlas, måste behand-<br>lingen dessutom vara tillåten i enlighet med 13-22 §§. I 12 § andra<br>stycket regleras den situationen att den registrerade återkallar ett redan<br>lämnat samtycke.</p>
<p>Paragrafen överensstämmer i huvudsak med Datalagskommitténs för-<br>slag och har berörts i avsnitt 12.5.1 och 11.6.4 i kommitténs betänkande.</p>
<p>Paragrafen är avsedd att ha samma innebörd som artikel 7 i EG-<br>direktivet, se bilaga 1.</p>
<p>Punkten a har utformats mot bakgrund av den engelska, franska och<br>tyska versionen av EG-direktivet; i den svenska versionen talas däremot<br>om ”ett sådant avtal” (i vilket den registrerade är part).</p>
<p>Direkt marknadsföring</p>
<p>118 Personuppgifter får inte behandlas för ändamål som rör direkt mark-<br>nadsföring, om aen registrerade hos den personuppgiftsansvarige skriftli-<br>gen har anmält att han eller hon motsätter sig sådan behandling.</p>
<p>Paragrafen reglerar den registrerades rätt att motsätta sig behandling för<br>direkt marknadsföring. Paragrafen överensstämmer med Datalagskom-<br>mitténs förslag och har berörts i avsnitt 12.5.2.3 i kommitténs betänkande.</p>
<p>Uttrycket ”behandlas för ändamål som rör direkt marknadsföring” är<br>avsett att ha samma innebörd som enligt artikel 14 första stycket b i EG-<br>direktivet, se bilaga 1.</p>
<p>Paragrafen medger inte att den personuppgiftsansvarige eller någon<br>annan tar ut någon avgift eller liknande av den registrerade. Den<br>registrerade kan således utan kostnad utöva sin rätt att motsätta sig att<br>hans eller hennes personuppgifter behandlas för ändamål som rör direkt<br>marknadsföring. Däremot finns det inte heller någon reglering som med-<br>för att den registrerade kan få ersättning för utlägg för t.ex. portokost-<br>naden för att sända in anmälan.</p>
<p>Skriftlighetskravet innebär att anmälan måste vara uttryckt i text, men<br>texten kan finnas på papper lika väl som i elektronisk form. Anmälan kan<br>således göras via elektronisk post. Frågan om en insänd text är en sådan<br>anmälan som avses i paragrafen får avgöras enligt sedvanliga regler om<br>tolkning av ensidiga rättshandlingar</p>
<p>Enligt 50 § d får regeringen eller den myndighet som regeringen<br>bestämmer meddela närmare föreskrifter om innehållet i en anmälan till<br>en personuppgiftsansvarig</p>
<p>Prop. 1997/98:44</p>
<p>122</p>
<p>Anmälan skall riktas till den personuppgiftsansvarige. Sedan anmälan Prop 1997/98:44<br>kommit in till den personuppgiftsansvarige, far denne mte längre be-<br>handla personuppgifter om anmälaren för ändamål som rör direkt<br>marknadsföring. Det gäller även om anmälaren tidigare gett sitt samtycke<br>till sådan behandling. Skulle den som gjort en anmälan senare lämna sitt<br>samtycke till behandling för ändamål som rör direkt marknadsföring, får<br>anmälan i motsvarande utsträckning anses återkallad och utan verkan.<br>Bestämmelserna i 10 § förvaltningslagen (1986:228), 44 § förvaltnings-<br>processlagen (1971:291) och 33 kap. 3 § rättegångsbalken kan vara till<br>ledning vid avgörande av frågan om när en anmälan skall anses ha gjorts.</p>
<p>Det är vid tvist den registrerade som har bevisbördan för att en<br>anmälan gjorts och tidpunkten för denna.</p>
<p>För att behandling av personuppgifter för ändamål som rör direkt<br>marknadsföring skall få ske krävs, förutom att den registrerade inte har<br>motsatt sig det i enlighet med denna paragraf, att behandlingen är tillåten i<br>enlighet med 10 §, företrädesvis punkten g, och, i förekommande fall, 13-<br>22 §§.</p>
<p>Samtycke återkallas</p>
<p>12 § I de fall då behandling av personuppgifter bara är tillåten när den<br>registrerade har lämnat sitt samtycke enligt 10, 15 eller 34 § har den re-<br>gistrerade rätt att när som helst aterkalla ett lämnat samtycke. Ytterligare<br>personuppgifter om den registrerade får därefter inte behandlas.</p>
<p>En registrerad har utöver vad som följer av första stycket och 11 § inte<br>rätt att motsätta sig sådan behandling av personuppgifter som är tillåten<br>enligt denna lag.</p>
<p>Paragrafen reglerar vad som gäller när den registrerade återkallar ett redan<br>lämnat samtycke till behandling av personuppgifter och i vilka fall den<br>registrerade i övrigt skall ha rätt att motsätta sig sådan behandling.<br>Paragrafen överensstämmer med Datalagskommitténs förslag och har<br>berörts i avsnitt 12.5.2.2 och 11.6.6 i kommitténs betänkande.</p>
<p>Sådan återkallelse som avses i första stycket kan avges muntligen eller<br>skriftligen till den personuppgiftsansvarige eller någon som på laglig<br>grund företräder denne, t.ex. det personuppgiftsbiträde som för den per-<br>sonuppgiftsansvariges räkning tagit emot samtycket. Det är vid tvist den<br>registrerade som har bevisbördan för att en återkallelse gjorts och<br>tidpunkten för denna. Frågan om ett meddelande från den registrerade är<br>en sådan återkallelse som avses i paragrafen får avgöras enligt sedvanliga<br>regler om tolkning av ensidiga rättshandlingar.</p>
<p>Sedan den personuppgiftsansvarige mottagit den registrerades åter-<br>kallelse, får några ytterligare uppgifter om den registrerade inte samlas in<br>eller annars behandlas. Behandlingen av redan insamlade uppgifter får<br>trots återkallelsen fortsätta i enlighet med det ursprungligen lämnade sam-<br>tycket, men uppgifterna får således inte t.ex. uppdateras eller<br>kompletteras.</p>
<p>I andra stycket slås det - mot bakgrund av artikel 14 första stycket a i<br>EG-direktivet, se bilaga 1 - fast att den registrerade i andra fall än som<br>avses i första stycket i denna paragraf och 11 § får lov att stå ut med sådan<br>behandling som är tillåten enligt lagen, t.ex. sådan behandling som är<br>nödvändig för att utföra en arbetsuppgift av allmänt intresse. Den<br></p>
<p>registrerade kan alltså inte med rättslig verkan motsätta sig behandlingen, Prop 1997/98:44<br>men lagen hindrar givetvis inte att den personuppgiftsansvarige ändå<br>respekterar den registrerades vilja och frivilligt slutar med att behandla<br>dennes personuppgifter.</p>
<p>Förbud mot behandling av känsliga personuppgifter</p>
<p>13 § Det är förbjudet att behandla personuppgifter som avslöjar<br>ajras eller etniskt ursprung,</p>
<p>bj politiska åsikter,</p>
<p>cj religiös eller filosofisk övertygelse, eller</p>
<p>djmedlemskap i fackförening</p>
<p>Det är också förbjudet att behandla sådana personuppgifter som rör<br>hälsa eller sexualliv.</p>
<p>Uppgifter av den art som anges i första och andra styckena betecknas i<br>denna lag som känsliga personuppgifter</p>
<p>Paragrafen innehåller ett principiellt förbud mot att behandla vad som<br>enligt paragrafen är att beteckna som känsliga personuppgifter I 14-<br>20 §§ finns det bestämmelser som för med sig att sådana personuppgifter<br>i vissa fall ändå får behandlas.</p>
<p>Behandling av känsliga personuppgifter har behandlats i avsnitt 11.4.1.<br>Paragrafen överensstämmer med Datalagskommitténs förslag och har<br>berörts i avsnitt 12.5.3.2 i kommitténs betänkande.</p>
<p>Första och andra styckena skall ha samma innebörd som artikel 8.1 i<br>EG-direktivet, se bilaga 1.</p>
<p>Undantag från förbudet mot behandling av känsliga personuppgifter</p>
<p>14 § Det är trots förbudet i 13 § tillåtet att behandla känsliga person-<br>uppgifter i de fall som anges i 15-19 §§.</p>
<p>110 § finns det bestämmelser om i vilka fall behandling av personupp-<br>gifter över huvud taget är tillåten</p>
<p>Paragrafen innehåller i första stycket en upplysning om att det trots det<br>principiella förbudet i 13 § är tillåtet att behandla personuppgifter i de fall<br>som anges i 15-19 §§.</p>
<p>I andra stycket finns det en erinran om att även i de fall som anges i<br>15-19 §§ måste behandlingen vara tillåten enligt 10 §. Behandling av<br>känsliga personuppgifter har behandlats i avsnitt 114. Paragrafen<br>överensstämmer i huvudsak med Datalagskommitténs förslag</p>
<p>Enligt 50 § a får regeringen eller den myndighet som regeringen be-<br>stämmer meddela närmare föreskrifter om i vilka fall behandling av<br>personuppgifter är tillåten enligt 15-19 §§.</p>
<p>Samtycke eller offentliggörande</p>
<p>15 § Känsliga personuppgifter får behandlas, om den registrerade har<br>lämnat sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt<br>offentliggjort uppgifterna.</p>
<p>Behandling av känsliga personuppgifter har behandlats i avsnitt 11.4.</p>
<p>Paragrafen överensstämmer i huvudsak med Datalagskommitténs förslag<br>och har berörts i avsnitt 12.5.3.3 i kommitténs betänkande</p>
<p>124</p>
<p>I 12 § andra stycket regleras den situationen att den registrerade Prop. 1997/98:44<br>återkallar ett redan lämnat samtycke.</p>
<p>Paragrafen skall ha samma innebörd som EG-direktivets artikel 8.2<br>punkt a och första ledet i punkt e, se bilaga 1.</p>
<p>Nödvändig behandling</p>
<p>16 § Känsliga personuppgifter får behandlas om behandlingen är nödvän-<br>dig för att</p>
<p>a) den personuppgiftsansvarige skall kunna fullgöra sina skyldigheter</p>
<p>eller utöva sina rättigheter inom arbetsrätten,</p>
<p>b) den registrerades eller någon annans vitala intressen skall kunna<br>skyddas och den registrerade inte kan lämna sitt samtycke, eller</p>
<p>c) rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras</p>
<p>Uppgifter som behandlas med stöd av första stycket a får lämnas ut till<br>tredje man bara om det inom arbetsrätten finns en skyldighet för den<br>personuppgiftsansvarige att göra det eller den registrerade uttryckligen har<br>samtyckt till utlämnandet</p>
<p>Behandling av känsliga personuppgifter har behandlats i avsnitt 11.4.<br>Paragrafen överensstämmer med Datalagskommitténs förslag och har<br>berörts i avsnitt 12.5.3.3 i kommitténs betänkande.</p>
<p>Första stycket skall ha samma innebörd som EG-direktivets artikel 8.2<br>punkt b och c samt andra ledet i punkt e, se bilaga 1 Punkten a i första<br>stycket i paragrafen är vidare en sådan bestämmelse som - i enlighet med<br>artikel 8.2 punkt b i direktivet - tillåter behandling. Datalagskommittén<br>har som ett exempel på när det är nödvändigt att behandla känsliga<br>uppgifter för att rättsliga anspråk skall kunna fastställas, göras gällande<br>eller försvaras nämnt behandling av personuppgifter om medlemskap i<br>fackförening som behövs till följd av att fackliga organisationer avtalar<br>om individuella eller kollektiva förmåner eller tjänster för sina med-<br>lemmar, t.ex. gruppförsäkring</p>
<p>Andra stycket innehåller bestämmelser om sådana lämpliga skydds-<br>åtgärder som avses i artikel 8.2 punkt b i direktivet Uttrycket ”inom<br>arbetsrätten” i andra stycket skall ha samma innebörd som enligt den nyss<br>nämnda punkten. Skyldigheten att lämna ut personuppgifter måste framgå<br>av lagstiftning, myndighetsbeslut eller av ett muntligt eller skriftligt avtal,<br>t.ex. ett kollektivavtal. Det skall vara fråga om en rättslig skyldighet Det<br>är vid tvist den personuppgiftsansvarige som har bevisbördan för att den<br>registrerade lämnat sitt samtycke till ett utlämnande. Har den registrerade<br>muntligen eller skriftligen återkallat ett nödvändigt samtycke, får upp-<br>gifterna därefter inte lämnas ut till tredje man.</p>
<p>Ideella organisationer</p>
<p>17 8 Ideella organisationer med politiskt, filosofiskt, religiöst eller<br>fackligt syfte får inom ramen för sin verksamhet behandla känsliga<br>personuppgifter om organisationens medlemmar och sådana andra<br>personer som på grund av organisationens syfte har regelbunden kontakt<br>med den. Känsliga personuppgifter får dock lämnas ut till tredje man bara<br>om den registrerade uttryckligen har samtyckt till det.</p>
<p>125</p>
<p>Behandling av känsliga personuppgifter har behandlats i avsnitt 11.4. Prop. 1997/98:44<br>Paragrafen överensstämmer med Datalagskommitténs förslag och har<br>berörts i avsnitt 12.5.3.3 i kommitténs betänkande.</p>
<p>Paragrafen skall ha samma innebörd som artikel 8.2 punkt d i EG-<br>direktivet, se bilaga 1</p>
<p>Det är vid tvist den personuppgiftsansvarige som har bevisbördan för<br>att den registrerade lämnat sitt samtycke till ett utlämnande. Har den<br>registrerade muntligen eller skriftligen återkallat ett nödvändigt samtycke,<br>far uppgifterna därefter inte lämnas ut till tredje man.</p>
<p>Hälso- och sjukvård</p>
<p>18 8 Känsliga <sub>o</sub> personuppgifter far behandlas för hälso- och<br>sjukvårdsändamål, om behandlingen är nödvändig för</p>
<p>ä)förebyggande hälso- och sjukvård,</p>
<p>b) medicinska diagnoser,</p>
<p>c) vård eller behandling, eller</p>
<p>d) administration av hälso- och sjukvård.</p>
<p>Den som är yrkesmässigt verksam inom hälso- och sjukvårdsområdet<br>och har tystnadsplikt får även behandla känsliga personuppgifter som<br>omfattas av tystnadsplikten. Detsamma fäller den som är underkastad en<br>liknande tystnadsplikt och som har fatt <sub>o</sub>känsliga personuppgifter från<br>verksamhet inom hälso- och sjukvårdsområdet.</p>
<p>Behandling av känsliga personuppgifter har behandlats i avsnitt 11.4.</p>
<p>Paragrafen skall ha samma innebörd som artikel 8 3 i EG-direktivet, se<br>bilaga 1.</p>
<p>Paragrafen har - i enlighet med vad som föreslagits av Stockholms läns<br>landsting - i förhållande till Datalagskommitténs förslag kompletterats<br>såvitt avser regeln i nyss nämnda artikel om att den som inte är verksam<br>på hälso- och sjukvårdsområdet men som ändå är underkastad en liknande<br>tystnadsplikt får behandla känsliga personuppgifter. Den regeln kan<br>nämligen ha betydelse t.ex. när känsliga personuppgifter från en myn-<br>dighet inom hälso- och sjukvården lämnas till forskningsverksamhet eller<br>verksamhet för tillsyn eller revision hos annan myndighet.</p>
<p>Bestämmelser om tystnadsplikt i nu berört hänseende finns i<br>sekretesslagen (1980:100), företrädesvis 7 kap. 1-3 §§, lagen (1994:953)<br>om åligganden för personal inom hälso- och sjukvården och lagen<br>(1996:786) om tillsyn över hälso- och sjukvården.</p>
<p>Forskning och statistik</p>
<p>19 8 Känsliga personuppgifter får behandlas för forsknings- och statistik-<br>ändamål, om behandlingen är nödvändig på sätt som sägs i 10 § och om<br>samhällsintresset av det forsknings- eller statistikprojekt där behandlingen<br>ingår klart väger över den risk för otillbörligt intrång i enskildas<br>personliga integritet som behandlingen kan innebära</p>
<p>Har behandlingen godkänts av en forskningsetisk kommitté, skall<br>förutsättningarna enligt första stycket anses uppfyllda. Med<br>forskningsetisk kommitté avses ett sådant särskilt<sub>o</sub>organ for prövning av<br>forsknmgsetiska frågor som har företrädare för såväl det allmänna som<br>forskningen och som är knutet till ett universitet eller en högskola eller till<br>någon annan instans som i mera betydande omfattning finansierar<br>forskning.</p>
<p>Personuppgifter får lämnas ut för att användas i sådana projekt som av-<br>ses i första stycket, om inte något annat följer av regler om sekretess och<br>tystnadsplikt.</p>
<p>126</p>
<p>Paragrafen reglerar när känsliga personuppgifter får behandlas för forsk- Prop 1997/98:44<br>nings- och statistikändamål utan samtycke. Den frågan har behandlats i<br>avsnitt 11.4.2. Paragrafen överensstämmer i huvudsak med Datalagskom-<br>mitténs förslag och har berörts i avsnitt 11.6.3 i kommitténs betänkande</p>
<p>Med forskning avses i paragrafen i första hand den verksamhet som<br>bedrivs vid etablerade institutioner, såsom universitet och högskolor eller<br>privata, väletablerade forskningsinstitut. Även sådana epidemiologiska<br>undersökningar som utförs vetenskapligt omfattas. Släktforskning faller<br>utanför, liksom annan forskning eller utredningsverksamhet av mera<br>privat natur. Det måste finnas ett samhällsintresse av att forskningen<br>bedrivs, och den måste vara vetenskaplig i någon mening.</p>
<p>Med statistik avses i paragrafen numeriska sammanställningar av<br>elementära observationer som kan hänföras till händelser, flöden eller<br>tillstånd och verksamhet för att göra sådana sammanställningar.</p>
<p>Första stycket i paragrafen innehåller en awägningsnorm Det krävs<br>för det första att behandlingen av personuppgifter för det aktuella forsk-<br>nings- eller statistikändamålet är nödvändig enligt 10 §. Nödvändig-<br>hetskravet är avsett att ha samma innebörd som enligt artikel 7 i EG-<br>direktivet, se bilaga 1 Är behandlingen på detta sätt nödvändig, krävs<br>vidare att samhällsintresset av det forsknings- eller statistikprojekt vari<br>behandlingen ingår klart väger över den risk för otillbörligt intrång i<br>enskildas personliga integritet som behandlingen kan innebära Med<br>statistikprojekt avses även sådan statistikframställning som sker åter-<br>kommande, t ex. årligen, dvs vad som brukar kallas en statistikprodukt</p>
<p>För att göra awägningen enligt normen måste det ske en helhets-<br>bedömning av samtliga omständigheter. Vid helhetsbedömningen bör<br>således beaktas bl a. forsknings- eller statistikprojektets vikt, behovet av<br>personuppgifter, säkerheten vid behandlingen, hur pass kostsamt eller<br>tidsödande det skulle vara att hämta in samtycke, i vad mån den enskilde<br>skulle kunna skadas om man begärde samtycke och om en kontakt med<br>den enskilde skulle kunna förrycka undersökningsresultatet. Vid<br>intresseawägningen bör också beaktas om information i någon form<br>lämnas till de berörda, t.ex via anslag eller annonser. I de allra flesta fall<br>bör åtminstone sådan information kunna lämnas Även frågan i vilken<br>utsträckning den som begär det skall ha rätt att bli struken bör beaktas vid<br>intresseawägningen. I viss mån bör också kunna beaktas hur pass svårt<br>det är att på grund av de behandlade uppgifterna identifiera enskilda<br>personer.</p>
<p>Det är i första hand den personuppgiftsansvarige som har att på eget<br>ansvar tillämpa awägmngsnormen.</p>
<p>Om behandlingen inom ett aktuellt projektet godkänts av en forsk-<br>ningsetisk kommitté, behöver den personuppgiftsansvarige inte göra<br>någon egen awägning enligt första stycket. Då skall nämligen enligt<br>andra stycket förutsättningarna enligt awägningsnormen i första stycket<br>anses uppfyllda.</p>
<p>Med en forskningsetisk kommitté avses en sådan kommitté eller<br>liknande som motsvarar de kommittéer som i dag finns knutna till de<br>medicinska fakulteterna, Humanistisk-samhällsvetenskapliga forsknings-<br>rådet och Socialvetenskapliga forskningsrådet. I andra stycket finns det en<br>generell definition av forskningsetisk kommitté. Det måste vara fråga om<br></p>
<p>ett särskilt organ. Den instans som gör den forsknmgsetiska prövningen Prop. 1997/98:44<br>måste således vara särskilt inrättat för att göra prövningen. Det är därför<br>inte tillräckligt att styrelsen för en institution eller en forskningsstiftelse<br>eller något annat befintligt organ med andra uppgifter än forsknmgsetiska<br>bedömningar ges i uppdrag att göra prövningen I organet skall det vidare<br>finnas företrädare för såväl det allmänna som forskningen Det finns inget<br>krav på hur företrädarna skall utses, men de måste i någon mening kunna<br>anses representera allmänna samhällsintressen respektive forsknings-<br>intressen. Organet skall dessutom vara knutet till ett universitet eller en<br>högskola eller till någon annan betydande forskningsfinansiär, t.ex. ett<br>forskningsråd eller en forskningsstiftelse. Det finns dock inget som<br>hindrar att organet prövar även forskning som finansieras eller bedrivs av<br>någon annan instans än den som organet är knutet till.</p>
<p>I Datalagskommitténs förslag och i lagrådsremissen angavs att<br>projektet skulle godkännas av den forsknmgsetiska kommittén. Vi har här<br>i stället valt att knyta bestämmelsen till om behandlingen godkänts, vilket<br>är den avgörande frågan vad avser skydd av personuppgifter. Om behand-<br>lingen i forsknings- eller statistikprojektet har godkänts av en forsk-<br>ningsetisk kommitté, är behandlingen således tillåten enligt lagen Om<br>den forsknmgsetiska kommittén har villkorat sitt godkännande, måste<br>villkoren, t.ex. om information till de registrerade och rätt att på begäran<br>få bli struken, följas för att behandlingen skall vara tillåten.</p>
<p>I tredje stycket finns det en bestämmelse om utlämnande av person-<br>uppgifter för användning i forsknings- och statistikprojekt. Bestämmelsen<br>är en sådan bestämmelse om utlämnande av personuppgifter som avses i<br>24 § andra stycket och som för med sig att den forskare eller statistiker<br>som i enlighet med bestämmelsen hämtar in personuppgifter från något<br>annat håll än de registrerade inte automatiskt behöver informera de<br>registrerade om sin behandling (se också artikel 11.2 i EG-direktivet).<br>Däremot kan den forskningsetiska granskningen enligt andra stycket eller<br>en tillämpning av awägningsnormen i första stycket leda till att<br>information ändå skall lämnas.</p>
<p>Bestämmelsen avser utlämnande av både känsliga och icke känsliga<br>personuppgifter.</p>
<p>Bestämmelsen träffar bara utlämnande av personuppgifter för använd-<br>ning i sådana projekt som avses i första stycket. Har en behandling god-<br>känts av en forskningsetisk kommitté enligt andra stycket, skall förutsätt-<br>ningarna enligt första stycket anses uppfyllda, varför utlämnande får ske<br>för en godkänd behandling i ett projekt</p>
<p>Bestämmelsen innebär inte någon skyldighet att lämna ut person-<br>uppgifter. Den tillåter bara att den som innehar uppgifterna lämnar ut dem<br>om han eller hon vill det. Om något annat följer av regler om sekretess<br>och tystnadsplikt, får uppgifterna dock inte lämnas ut. Regler om sekre-<br>tess eller tystnadsplikt finns t.ex. i sekretesslagen (1980:100), lagen<br>(1994:953) om åligganden för personal inom hälso- och sjukvården och<br>lagen (1996:786) om tillsyn över hälso- och sjukvården.</p>
<p>128</p>
<p>Bemyndigande att föreskriva ytterligare undantag</p>
<p>20 § Regeringen eller den myndighet som regeringen bestämmer får i<br>fråga om automatiserad behandling av personuppgifter meddela<br>föreskrifter om ytterligare undantag fran förbudet i 13 §, om det behövs<br>med hänsyn till ett viktigt allmänt intresse.</p>
<p>Paragrafen innehåller ett bemyndigande för regeringen eller den myndig-<br>het som regeringen bestämmer att meddela föreskrifter. Frågan om norm-<br>givningsdelegation har behandlats i avsnitt 10. Paragrafen överensstäm-<br>mer med Datalagskommitténs förslag och har berörts i avsnitt 12.5.3.3 i<br>kommitténs betänkande.</p>
<p>Av förslaget till lag om ändring i personuppgiftslagen (avsnitt 15)<br>framgår att paragrafen per den 1 januari 1999 ändras så att det blir möjligt<br>att meddela föreskrifter även såvitt avser sådan manuell behandling som<br>omfattas av personuppgiftslagen.</p>
<p>Uttrycket viktigt allmänt intresse skall ha samma innebörd som enligt<br>artikel 8.4 i EG-direktivet, se bilaga 1</p>
<p>Uppgifter om lagöverträdelser m.m.</p>
<p>21 § Det är förbjudet för andra än myndigheter att behandla personuppgif-<br>ter om lagöverträdelser som innefattar brott, domar i brottmål,<br>straffprocessuella tvångsmedel eller administrativa frihetsberövanden</p>
<p>Regeringen eller den myndighet som regeringen bestämmer får i fråga<br>om automatiserad behandling av personuppgifter meddela föreskrifter om<br>undantag från förbudet i första stycket</p>
<p>Regeringen får i enskilda<sub>o</sub> fall besluta om undantag från förbudet t<br>första stycket. Regeringen får överlåta åt tillsynsmyndigheten att fatta<br>sådana beslut.</p>
<p>Frågan om behandling av uppgifter om lagöverträdelser har behandlats i<br>avsnitt 11.4.3. Paragrafens två första stycken överensstämmer i huvudsak<br>med Datalagskommitténs förslag och har berörts i avsnitt 12.5.3.4 i<br>kommitténs betänkande.</p>
<p>Uttrycken ”myndighet”, ”lagöverträdelser” och ”domar i brottmål”<br>skall ha samma innebörd som motsvarande uttryck i artikel 8 5 första<br>stycket i EG-direktivet, se bilaga 1. Efter påpekande av Lagrådet har det<br>preciserats att med ”lagöverträdelser” avses sådana lagöverträdelser som<br>innefattar brott. I stället för direktivets begrepp ”säkerhetsåtgärder” som<br>föreslagits av Datalagskommittén används begreppet ”straffprocessuella<br>tvångsmedel” eftersom det tidigare begreppets innehåll är oklart. Som<br>framgår av avsnitt 11.4.3 torde administrativa frihetsberövanden omfattas<br>av regleringen, varför detta uttryckligen lagts till.</p>
<p>Andra stycket innehåller ett bemyndigande för regeringen eller den<br>myndighet som regeringen bestämmer att meddela föreskrifter om undan-<br>tag. Frågan om normgivningsdelegation har berörts i avsnitt 10.</p>
<p>Genom tredje stycket har förtydligats att regeringen eller, om rege-<br>ringen så bestämmer, tillsynsmyndigheten i enskilda fall kan besluta om<br>undantag från förbudet i första stycket.</p>
<p>Av förslaget till lag om ändring i personuppgiftslagen (avsnitt 15)<br>framgår att paragrafen per den 1 januari 1999 ändras så att det blir möjligt<br>att meddela föreskrifter även såvitt avser sådan manuell behandling som<br>omfattas av personuppgiftslagen</p>
<p>Prop. 1997/98:44</p>
<p>129</p>
<p>9 Riksdagen 1997/98. 1 saml. Nr 44</p>
<p>Enligt 50 § a får regeringen eller den myndighet som regeringen Prop. 1997/98:44<br>bestämmer meddela närmare föreskrifter om i vilka fall behandling av<br>personuppgifter är tillåten enligt första stycket.</p>
<p>Behandling av personnummer</p>
<p>22 § Uppgifter om personnummer får utan samtycke behandlas bara när<br>det är klart motiverat med hänsyn till</p>
<p>a) ändamålet med behandlingen,<br>bivikten av en säker identifiering, eller<br>c) något annat beaktansvärt skäl.</p>
<p>Frågan om behandling av personnummer har behandlats i avsnitt 11.4.4.<br>Paragrafen överensstämmer i stort med Datalagskommitténs förslag och<br>har berörts i avsnitt 12.6 i kommitténs betänkande.</p>
<p>Till paragrafen har utan någon betydande ändring i sak förts över de<br>bestämmelser som finns i 7 § andra stycket i den nuvarande datalagen.<br>Om någon lämnat sitt samtycke är det självklart att en uppgift om person-<br>nummer skall få behandlas. Den uttryckliga bestämmelsen i den nu-<br>varande datalagen om att personuppgifter får återges på datautskrifter<br>endast när det finns särskilda skäl har inte förts över. Det innebär dock<br>inte någon ändring i sak, eftersom redan den överförda huvudregeln<br>innebär att en uppgift om personnummer far behandlas t.ex. genom att<br>fastas på en utskrift eller visas upp på en datorskärm bara när den<br>behandlingen är klart motiverad med hänsyn till något beaktansvärt skäl</p>
<p>Enligt 50 § a får regeringen eller den myndighet som regeringen<br>bestämmer meddela närmare föreskrifter om i vilka fall användning av<br>personnummer är tillåten</p>
<p>Information till den registrerade</p>
<p>Frågan om information till den registrerade har behandlats i avsnitt 11.5.</p>
<p>Enligt 50 § e får regeringen eller den myndighet som regeringen<br>bestämmer meddela närmare föreskrifter om vilken information som skall<br>lämnas till registrerade och hur informationen skall lämnas.</p>
<p>Information skall lämnas självmant</p>
<p>23 § Om uppgifter om en person samlas in från personen själv, skall den<br>personuppgiftsansvarige i samband därmed självmant lämna den<br>registrerade information om behandlingen av uppgifterna.</p>
<p>Paragrafen överensstämmer med Datalagskommitténs förslag och har</p>
<p>berörts i avsnitt 12.7.2 i kommitténs betänkande.</p>
<p>Paragrafen skall ha samma innebörd som artikel 10 i EG-direktivet, se<br>bilaga 1.</p>
<p>I 25 § finns det bestämmelser om vilken information som skall lämnas,</p>
<p>och i 27 § finns det bestämmelser om vissa undantag från informa-<br>tionsskyldigheten .</p>
<p>24 § Om personuppgifterna har samlats in från någon annan källa än den</p>
<p>registrerade, skall den personuppgiftsansvarige självmant lämna den 130</p>
<p>registrerade information om behandlingen av uppgifterna när de<br></p>
<p>registreras. Är uppgifterna avsedda att lämnas ut till tredje man behöver p<sub>r0P</sub> 1997/98 44<br>informationen dock inte ges förrän uppgifterna lämnas ut för första <sup>H</sup></p>
<p>& Information enligt första stycket behöver inte lämnas, om det finns be-<br>stämmelser om registrerandet eller utlämnandet av personuppgifterna i en<br>lag eller någon annan författning</p>
<p>information behöver inte heller lämnas enligt första stycket, om detta<br>visar sig vara omöjligt eller skulle innebära en oproportionerligt stor ar-<br>betsinsats. Om uppgifterna används för att vidta åtgärder som rör den<br>registrerade, skall dock information lämnas senast i samband med att så<br>sker</p>
<p>Paragrafen överensstämmer med Datalagskommitténs förslag och har<br>berörts i avsnitt 12.7.2 i kommitténs betänkande</p>
<p>Paragrafen skall ha samma innebörd som artikel 11 i EG-direktivet, se<br>bilaga 1.</p>
<p>I 25 § finns det bestämmelser om vilken information som skall lämnas,<br>och i 27 § finns det bestämmelser om vissa undantag från informations-<br>skyldigheten</p>
<p>Bestämmelsen i sista meningen i tredje stycket utgör en sådan lämplig<br>skyddsåtgärd som avses i artikel 112 sista meningen i EG-direktivet<br>Bestämmelsen utgör en garanti för att den registrerade inte utsätts för en<br>åtgärd utan att få reda på vilken uppgiftsbehandling som ligger bakom<br>den. Om exempelvis en personuppgiftsansvarig för utskick för direkt<br>marknadsföring hämtat in uppgifter om så många personer att det skulle<br>innebära en oproportionerligt stor arbetsinsats att informera dem alla<br>redan när uppgifterna registreras, måste således information lämnas senast<br>i de handlingar som sänds ut</p>
<p>Den information som skall lämnas självmant</p>
<p>25 § Information enligt 23 eller 24 § skall omfatta</p>
<p>a) uppgift om den personuppgiftsansvariges identitet,</p>
<p>b) uppgift om ändamålen mea behandlingen och</p>
<p>c) all övrig information som behövs för att den registrerade skall kunna ta<br>till vara sina rättigheter i samband med behandlingen, såsom<br>information om mottagarna av uppgifterna, skyldighet att lämna<br>uppgifter och rätten att ansöka om information och få rättelse<br>Information behöver dock inte lämnas om sådant som den registrerade</p>
<p>redan känner till.</p>
<p>Paragrafen överensstämmer i huvudsak med Datalagskommitténs förslag<br>och har berörts i avsnitt 12.7.2.3 i kommitténs betänkande.</p>
<p>Paragrafen skall ha samma innebörd som artikel 10 och 11.1 i EG-<br>direktivet, se bilaga 1.</p>
<p>I 27 § finns det bestämmelser om vissa undantag från informations-<br>skyldigheten</p>
<p>Information skall lämnas efter ansökan</p>
<p>26 § Den personuppgiftsansvarige är skyldig att till var och en som an-<br>söker om det en gång per kalenderår gratis lämna besked om person-<br>uppgifter som rör den sökande behandlas eller ej. Behandlas sådana<br>uppgifter skall skriftlig information lämnas också om</p>
<p>a) vilka uppgifter om den sökande som behandlas,</p>
<p>b) varifrån dessa uppgifter har hämtats,</p>
<p>c) ändamålen med behandlingen, och</p>
<p>131</p>
<p>d) till vilka mottagare eller kategorier av mottagare som uppgifterna läm-<br>nas ut.</p>
<p>En ansökan enligt första stycket skall göras skriftligen hos den person-<br>uppgiftsansvarige och vara undertecknad av den sökande själv.<br>Information enligt första stycket skall lämnas inom en månad från det att<br>ansökan gjordes. Orn det finns särskilda skäl för det, får information dock<br>lämnas senast fyra månader efter det att ansökan gjordes.</p>
<p>Information enligt första stycket behöver inte lämnas om person-<br>uppgifter i löpande text som inte fått sin slutliga utformning när ansökan<br>gjoraes eller som utgör minnesanteckning eller liknande Vad som nu<br>sagts gäller dock inte om uppgifterna har lämnats ut till tredje man eller<br>om uppgifterna behandlas enbart för historiska, statistiska eller<br>vetenskapliga ändamål eller, när det gäller löpande text som inte fått sin<br>slutliga utformning, om uppgifterna har behandlats under längre tid än ett<br>år.</p>
<p>Paragrafen överensstämmer i huvudsak med Datalagskommitténs förslag<br>och har berörts i avsnitt 12.7.3 och 11.6.7 i kommitténs betänkande</p>
<p>I 27 § finns det bestämmelser om vissa undantag från informations-<br>skyldigheten</p>
<p>Första stycket i paragrafen skall i tillämpliga delar ha samma innebörd<br>som artikel 12 a i EG-direktivet, se bilaga 1. En och samma person har<br>rätt att högst en gång per kalenderår få sådan information som avses i<br>paragrafen Personen måste varje kalenderår göra en särskild ansökan om<br>information. Informationen skall vara gratis för den som ansöker om det<br>Skriftlighetskravet innebär att informationen måste vara uttryckt i text,<br>men texten kan finnas på papper lika väl som i elektronisk form.</p>
<p>Enligt andra stycket skall ansökan göras skriftligen och vara under-<br>tecknad av den sökande själv. Det innebär att ansökan måste göras på<br>papper. Enligt 50 § d får regeringen eller den myndighet som regeringen<br>bestämmer meddela närmare föreskrifter om innehållet i en ansökan till<br>en personuppgiftsansvarig.</p>
<p>Huvudregeln är att information skall lämnas inom en månad från det<br>att ansökan gjordes Informationen får dock lämnas senast fyra månader<br>efter det att ansökan gjordes, under förutsättning att det finns särskilda<br>skäl för det Sådana särskilda skäl kan vara att personuppgifterna är kryp-<br>terade, att sökmöjligheterna annars är begränsade eller att den person-<br>uppgiftsansvarige har många personuppgifter uppdelade på olika register<br>eller andra datasamlingar. Bestämmelserna i 10 § förvaltningslagen<br>(1986:223), 44 § förvaltningsprocesslagen (1971:291) och 33 kap 3§<br>rättegångsbalken kan vara till ledning vid avgörande av frågan när en<br>ansökan skall anses ha gjorts. Det är bara de behandlade uppgifter som<br>den personuppgiftsansvarige har i behåll när han eller hon lämnar<br>informationen som måste lämnas ut. Det finns alltså inget som hindrar att<br>den personuppgiftsansvarige under tiden från ansökan till utlämnandet<br>utplånar uppgifter eller slutar med att behandla dem på ett sätt som<br>omfattas av lagen</p>
<p>Det är vid tvist den sökande som har bevisbördan för att en ansökan<br>gjorts och tidpunkten för denna och den personuppgiftsansvarige som har<br>bevisbördan för att informationen lämnats i rätt tid och i förekommande<br>fall att det funnits sådana omständigheter som utgjort särskilda skäl</p>
<p>I tredje stycket finns det vissa undantagsbestämmelser beträffande<br>personuppgifter i löpande text Med löpande text avses information som<br>inte har strukturerats så att sökning av personuppgifter underlättas. Med<br>text som inte har fått sin slutliga utformning avses koncept och utkast och<br></p>
<p>Prop. 1997/98:44</p>
<p>132</p>
<p>liknande. Text som är avsedd att tid efter annan ändras eller kompletteras Prop. 1997/98:44<br>och således aldrig kommer att få någon slutlig utformning omfattas inte.</p>
<p>Med text som utgör minnesanteckning avses promemorior och liknande<br>som har kommit till bara för att förbereda något slags ärende. Med<br>behandling för historiska, statistiska och vetenskapliga ändamål avses<br>detsamma som enligt artikel 6 i EG-direktivet, se bilaga 1. Huvudfallet är<br>här att ett utkast eller en minnesanteckning i ett avslutat ärende har tagits<br>om hand för arkivering.</p>
<p>Undantag från informationsskyldigheten vid sekretess och tystnadsplikt</p>
<p>27 § I den utsträckning det är särskilt föreskrivet i lag eller annan författ-<br>ning eller i beslut som nar meddelats med stöd av författning att uppgifter<br>inte får lämnas ut till den registrerade gäller inte bestämmelserna i 23-<br>26 §§. En personuppgiftsansvarig som inte är en myndighet far därvid i<br>motsvarande fall som avses i sekretesslagen (1980:100) vagra att lämna ut<br>uppgifter till den registrerade</p>
<p>Paragrafen har behandlats i avsnitt 11.5.2. Datalagskommittén har berört<br>frågan i avsnitt 12.7 4 i sitt betänkande.</p>
<p>Första meningen motsvarar delvis 10 § tredje stycket i den nuvarande</p>
<p>datalagen. Meningen överensstämmer med Datalagskommitténs förslag.</p>
<p>Andra meningen innebär att även en personuppgiftsansvarig som inte</p>
<p>är en myndighet får använda bestämmelserna i sekretesslagen för att vägra<br>att lämna ut information till den registrerade. Meningen ersätter Datalags-<br>kommitténs förslag till en bestämmelse med ett bemyndigande för<br>regeringen eller den myndighet som regeringen bestämmer att föreskriva<br>undantag från informationsskyldigheten, om det behövs för att skydda<br>grundläggande intressen för enskilda eller för att förebygga, undersöka<br>eller avslöja brott.</p>
<p>Rättelse</p>
<p>28 § Den personuppgiftsansvarige är skyldig att på begäran av den<br>registrerade snarast rätta, blockera eller utplåna sådana personuppgifter<br>som inte har behandlats i enlighet med denna lag eller föreskrifter som har<br>utfärdats med stöd av lagen. Den personuppgiftsansvarige skall också<br>underrätta tredje man till vilken uppgifterna har lämnats ut om åtgärden,<br>om den registrerade begär det eller om mera betydande skada eller<br>olägenhet för den registrerade skulle kunna undvikas genom en<br>unaérrättelse. Någon sådan underrättelse behöver dock inte tamnas om<br>detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor<br>arbetsinsats.</p>
<p>Frågan om korrigering av personuppgifter har behandlats i avsnitt 11.6</p>
<p>Korrigering av personuppgifter hos myndigheter har berörts i avsnitt 8.1.<br>Paragrafen överensstämmer i huvudsak med Datalagskommitténs förslag<br>och har berörts i avsnitt 12.8 och 11 6.7 i kommitténs betänkande.</p>
<p>Paragrafen är avsedd att ha samma innebörd som artikel 12 b och c i</p>
<p>EG-direktivet, se bilaga 1.</p>
<p>Den registrerades begäran om korrigering eller underrättelse till tredje<br>man kan framställas formlöst till den personuppgiftsansvarige eller någon<br>som företräder denne. Det räcker att det av begäran framgår att den<br>registrerade är missnöjd med behandlingen i något visst avseende och vill ^3</p>
<p>att korrigering skall vidtas. Framställs en sådan begäran bör den person-<br></p>
<p>uppgiftsansvarige skyndsamt utreda om de framförda anmärkningarna är Prop. 1997/98:44<br>befogade och, om så skulle vara fallet, snarast vidta korrigering. Omfatt-<br>ningen av utredningen får bero av de anmärkningar den registrerade<br>framställt. Uppkommer oenighet mellan den personuppgiftsansvarige och<br>den registrerade om uppgifterna skall korrigeras eller inte, kan den<br>registrerade anmäla förhållandet till tillsynsmyndigheten, som har möj-<br>lighet att förelägga vite om lagen inte följs och att ansöka om utplånande<br>av uppgifterna, eller själv väcka talan om saken vid allmän domstol</p>
<p>Det är i princip den personuppgiftsansvarige som själv väljer korri-<br>geringsmetod, dvs. om de aktuella personuppgifterna skall rättas,<br>blockeras eller utplånas. Av annan lagstiftning eller av sakens natur kan<br>dock följa att vissa korrigenngsmetoder inte kan användas i vissa fall,<br>t.ex. när det gäller korrigering av personuppgifter i bokföring.</p>
<p>Den personuppgiftsansvarige är såsom framgår av paragrafen under<br>alla förhållanden skyldig att underrätta tredje man om en korrigering, om<br>det kan antas att en underrättelse skulle kunna undvika mera betydande<br>skada eller olägenhet för den registrerade En felaktig, känslig person-<br>uppgift, t.ex. om att den registrerade är sjuk eller har en extrem politisk<br>eller religiös övertygelse, kan regelmässigt antas föranleda sådan skada<br>eller olägenhet som avses, om de tredje män som fått den felaktiga<br>uppgiften inte underrättas. Gäller det däremot en mera harmlös uppgift,<br>t.ex. om den registrerades adress, bör det som regel krävas någon särskild<br>omständighet för att man skall kunna anta att en underrättelse skulle<br>kunna undvika sådan skada eller olägenhet som avses. Det måste vidare<br>kunna antas att underrättelsen medför att skadan eller olägenheten kan<br>undvikas. Detta är inte fallet när det är känt att aktuella tredje män redan<br>har korrigerat uppgiften.</p>
<p>Det finns inte något formkrav beträffande den personuppgiftsansva-<br>riges underrättelse till dem som mottagit personuppgifterna. I under-<br>rättelsen skall anges den åtgärd som den personuppgiftsansvarige har<br>vidtagit beträffande personuppgifterna. I detta krav på att åtgärden skall<br>anges innefattas att information skall lämnas om anledningen till åt-<br>gärden, t.ex. att de tidigare uppgifterna var felaktiga eller ofullständiga.<br>Har en felaktig uppgift rättats måste vidare, om det är nödvändigt, under-<br>rättelse lämnas om såväl den tidigare, felaktiga uppgiften som den nya,<br>riktiga uppgiften Avsikten med underrättelseskyldigheten är att de som<br>har tagit emot en uppgift som har korrigerats i sin tur skall kunna på<br>lämpligt sätt korrigera den mottagna uppgiften och eventuella åtgärder<br>som har vidtagits med ledning av uppgiften. Underrättelsen bör därför<br>innehålla sådan information som gör detta möjligt. Rör felaktigheten<br>exempelvis en uppgift som mottagaren kan antas använda som enda sök-<br>begrepp, t.ex. namn eller personnummer, är det nödvändigt att den<br>felaktiga uppgiften anges för att mottagaren i praktiken skall kunna göra<br>en rättelse i sin tur.</p>
<p>Det finns inte någon formell skyldighet att självmant underrätta i flera<br>led. En tredje man som fått en underrättelse och som själv är person-<br>uppgiftsansvarig, är således inte rättsligt förpliktad att underrätta de tredje<br>män till vilka han eller hon i sin tur kan ha lämnat ut uppgiften bara på<br>grund av att han eller hon till följd av en underrättelse självmant har rättat<br>uppgiften Det får dock förutsättas att de personuppgiftsansvariga frivilligt<br></p>
<p>på lämpligt sätt ser till att mildra skadeverkningarna av felaktiga eller Prop. 1997/98:44<br>ofullständiga uppgifter som självmant rättats.</p>
<p>Automatiserade beslut</p>
<p>29 § Om ett beslut som har rättsliga följder för en fysisk person eller<br>annars har märkbara verkningar för den fysiska personen, grundas enbart<br>på automatiserad behandling av sådana personuppgifter som är avsedda<br>att bedöma egenskaper ho<sub>o</sub>s personen, skall den som berörs av beslutet ha<br>möilighet att på begäran få beslutet omprövat av någon person</p>
<p>Var och en som varit föremål för ett sådant beslut som avses i första<br>stycket har rätt att på ansökan få information från den person-<br>uppgiftsansvarige om vad som har styrt den automatiserade behandling<br>som lett fram till beslutet. I fråga om ansökan och lämnandet av<br>information gäller i tillämpliga delarbestämmelsema i 26 §.</p>
<p>Frågan om automatiserade beslut har behandlats i avsnitt 11.7 Paragrafen<br>överensstämmer i huvudsak med Datalagskommitténs förslag och har<br>berörts i avsnitt 12.9 i kommitténs betänkande.</p>
<p>Definitionen av de beslut som avses i paragrafen skall ha samma<br>innebörd som enligt artikel 15.1 i EG-direktivet, se bilaga 1.</p>
<p>Första stycket innebär att det skall finnas en rätt att på begäran få ett<br>automatiserat beslut omprövat Det finns inget formkrav för den registre-<br>rades begäran om omprövning. Att den registrerade skall ha rätt att på be-<br>gäran få det automatiserade beslutet omprövat innebär en rätt att få<br>beslutet granskat av en människa som har makt att ersätta det auto-<br>matiserade beslutet med ett annat Rätten till omprövning innebär däremot<br>inte att det automatiserade beslutet måste ersättas av ett nytt beslut</p>
<p>För den offentliga förvaltningen finns det ofta redan föreskrifter om en<br>rätt till omprövning av beslut, se t ex 27 § förvaltningslagen. I den<br>utsträckning det i lag eller förordning finns särskilda regler om t.ex. för-<br>farandet vid omprövning, gäller dessa föreskrifter framför personuppgifts-<br>lagen, se 2 §.</p>
<p>Rätten att få information enligt andra stycket skall ha samma innebörd<br>som artikel 12 a tredje strecksatsen i EG-direktivet, se bilaga 1. Begreppet<br>logik har dock inte använts. Informationsskyldigheten avser bara vad som<br>har styrt behandlingen, dvs. den tekniska processen, och inte t ex. närmare<br>information om bankers regler eller gränsvärden för kreditgivning. I<br>punkt 41 i ingressen till direktivet framhålls att den aktuella rätten inte får<br>inkräkta på några affärshemligheter eller på upphovsrätten till t.ex.<br>programvaran</p>
<p>Enligt 50 § e får regeringen eller den myndighet som regeringen<br>bestämmer meddela närmare föreskrifter om vilken information som skall<br>lämnas till registrerade och hur informationen skall lämnas.</p>
<p>Säkerheten vid behandling</p>
<p>Frågan om säkerheten vid behandlingen har berörts i avsnitt 11.8.</p>
<p>Enligt 50 § b får regeringen eller den myndighet som regeringen<br>bestämmer meddela närmare föreskrifter om vilka krav som ställs på den<br>personuppgiftsansvarige vid behandling av personuppgifter.</p>
<p>135</p>
<p>Personer som behandlar personuppgifter Prop. 1997/98:44</p>
<p>30 § Ett personuppgiftsbiträde och den eller de personer som arbetar<br>under biträdets eller den personuppgiftsansvariges^ ledning får behandla<br>personuppgifter bara i enlighet med instruktioner från den personuppgifts-<br>ansvarige.</p>
<p>Det skall finnas ett skriftligt avtal om personuppgiftsbiträdets behand-<br>ling av personuppgifter för den personuppgiftsansvariges räkning. I det<br>avtalet skall det särskilt föreskrivas att personuppgiftsbiträdet far behandla<br>personuppgifterna bara i enlighet med instruktioner från den person-<br>uppgiftsansvarige och att personuppgiftsbiträdet är skyldigt att vidta de åt-<br>gärder som avses i 31 § första stycket.</p>
<p>Om det i lag eller annan författning finns särskilda bestämmelser om<br>behandlingen av personuppgifter i det allmännas verksamhet i frågor som<br>avses i första stycket skali dessa gälla i stället för vad som sägs i första<br>stycket.</p>
<p>Paragrafen överensstämmer med Datalagskommitténs förslag och har<br>berörts i avsnitt 12.10.2 i kommitténs betänkande.</p>
<p>Första stycket skall ha samma innebörd som artikel 16 i EG-direktivet,<br>se bilaga 1.</p>
<p>Andra stycket skall ha samma innebörd som artikel 17.3 och 17.4 i<br>direktivet. Skrifilighetskravet innebär att avtalet måste vara uttryckt i text,<br>men texten kan finnas på papper lika väl som i elektronisk form. Något<br>krav på att avtalshandlingen skall vara undertecknad finns inte.</p>
<p>Tredje stycket innebär att särskilda bestämmelser i andra författningar i<br>de avseenden som berörs i första stycket tillämpas i stället för första<br>stycket. Förhållandet följer i och för sig av lagens 2 § men det är av<br>särskild betydelse att detta framgår direkt av bestämmelsen. Särskilt avses<br>bestämmelser om tystnadsplikt och sekretess</p>
<p>Säkerhetsåtgärder</p>
<p>31 § Den personuppgiftsansvarige skall vidta lämpliga tekniska och<br>organisatoriska åtgärder för att skydda de personuppgifter som behandlas<br>Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig med<br>beaktande av</p>
<p>a) de tekniska möjligheter som finns,</p>
<p>bjvad det skulle kosta att genomföra åtgärderna,</p>
<p>c) de särskilda risker som finns med behandlingen av personuppgifterna,<br>och</p>
<p>d) hur pass känsliga de behandlade personuppgifterna är</p>
<p>När den personuppgiftsansvarige anlitar ett personuppgiftsbiträde, skall<br>den personuppgiftsansvarige förvissa sig om att personuppgiftsbiträdet<br>kan genomfora de säkerhetsåtgärder som måste vidtas och se till att<br>personuppgiftsbiträdet verkligen vidtar åtgärderna.</p>
<p>Paragrafen överensstämmer med Datalagskommitténs förslag och har<br>berörts 1 avsnitt 12.10 2-4 i kommitténs betänkande.</p>
<p>Paragrafen skall ha samma innebörd som artikel 17.1 och 17.2 i EG-<br>direktivet, se bilaga 1.</p>
<p>Tillsynsmyndigheten får besluta om säkerhetsåtgärder</p>
<p>32 § Tillsynsmyndigheten far i enskilda fall besluta om vilka<br>säkerhetsåtgärder som den personuppgiftsansvarige skall vidta enligt<br>31 §</p>
<p>I 45 § finns det bestämmelser om tillsynsmyndighetens möjligheter att<br>förena beslutet med vite.</p>
<p>136</p>
<p>Paragrafen överensstämmer med Datalagskommitténs förslag och har Prop. 1997/98:44<br>berörts i avsnitt 12.10.3 i kommitténs betänkande. Paragrafen fastslår att<br>tillsynsmyndigheten i enskilda fall kan bestämma vilka säkerhetsåtgärder<br>som skall vidtas.</p>
<p>Överföring av personuppgifter till tredje land</p>
<p>Frågan om överföring av personuppgifter till tredje land har behandlats i<br>avsnitt 11.9.</p>
<p>Enligt 50 § a far regeringen eller den myndighet som regeringen<br>bestämmer meddela närmare föreskrifter om i vilka fall behandling av<br>personuppgifter är tillåten.</p>
<p>Förbud mot överföring av personuppgifter till tredje land</p>
<p>33 § Det är förbjudet att till tredje land föra över personuppgifter som är<br>under behandling. Förbudet gäller också överföring av personuppgifter<br>för behandling i tredje land</p>
<p>Paragrafen överensstämmer med Datalagskommitténs förslag och har<br>berörts i avsnitt 12.11.2 i kommitténs betänkande.</p>
<p>De överföringar som avses i paragrafen är desamma som avses i artikel</p>
<p>25.1 i EG-direktivet, se bilaga 1</p>
<p>Undantag från förbudet mot överföring av personuppgifter till tredje land</p>
<p>34 § Det är trots förbudet i 33 § tillåtet att föra över personuppgifter till<br>tredje land, om den registrerade otvetydigt har samtyckt till överföringen<br>eller när överföringen ar nödvändig för att</p>
<p>a) ett avtal mellan den registrerade och den personuppgiftsansvarige skall<br>kunna fullgöras eller åtgärder som den registrerade oegärt skall kunna<br>vidtas innan ett avtal träffas,</p>
<p>b) ett sådant avtal mellan den personuppgiftsansvarige och tredje man<br>som är i den registrerades intresse skall kunna ingås eller fullgöras,</p>
<p>c) rättsliga ansprak skall kunna fastställas, göras gällande eller försvaras,<br>eller</p>
<p>d) vitala intressen för den registrerade skall kunna skyddas</p>
<p>Det är också tillåtet att föra över personuppgifter for användning enbart<br>i en stat som har anslutit sig till Europarådets konvention om skydd för<br>enskilda vid automatisk databehandling av personuppgifter.</p>
<p>Paragrafen överensstämmer med Datalagskommitténs förslag och har<br>berörts i avsnitt 12.11.3 i kommitténs betänkande.</p>
<p>Paragrafen innehåller en uppräkning av i vilka fall det är tillåtet att föra<br>över personuppgifter till tredje land För att personuppgifter skall få föras<br>över till tredje land krävs dock inte bara att överföringen faller under<br>något av fallen i uppräkningen. Den behandling som överföringen av<br>personuppgifter till tredje land utgör måste också vara tillåten enligt 10 §<br>och, om känsliga personuppgifter, uppgifter om lagöverträdelser m.m.<br>eller personnummer skall föras över, även vara tillåten i enlighet med 13-<br>22 §§.</p>
<p>Första stycket skall ha samma innebörd som artikel 26.1 i EG-<br>direktivet, se bilaga 1.</p>
<p>I 12 § andra stycket regleras den situationen att den registrerade<br>återkallar ett redan lämnat samtycke</p>
<p>Punkten a har utformats mot bakgrund av den engelska, franska och Prop. 1997/98:44<br>tyska versionen av EG-direktivet, i den svenska versionen står det ”innan<br>avtalet träffas”, dvs. det avtal i vilket den registrerade är part</p>
<p>Andra stycket innebär att personuppgifter fritt får föras över till stater<br>som har anslutit sig till Europarådets konvention om skydd för enskilda<br>vid automatisk databehandling av personuppgifter</p>
<p>35 § Regeringen får i fråga om automatiserad behandling av person-<br>uppgifter meddela föreskrifter om undantag från förbudet i 33 § för<br>överföring av personuppgifter till vissa stater Regeringen får också i<br>fråga om automatiserad oehandhng av personuppgifter meddela före-<br>skrifter om att överföring av personuppgifter till tredje land är tillåten om<br>överföringen regleras av ett avtal som ger tillräckliga garantier till skydd<br>för de registrerades rättigheter</p>
<p><sub>=</sub> Regeringen eller den myndighet som regeringen bestämmer får vidare i<br>fråga om automatiserad <sub>o</sub> behandling av personuppgifter meddela<br>föreskrifter om undantag från förbudet i 33 8, om det behovs med hänsyn<br>till ett viktigt allmänt intresse eller om det finns tillräckliga garantier till<br>skydd för de registrerades rättigheter</p>
<p>Regeringen får under de förutsättningar som nämns i andra stycket i<br>enskilda fall besluta om undantag från förbudet i 33 § Regeringen får<br>överlåta åt tillsynsmyndigheten att fatta sådana beslut</p>
<p>Frågan om normgivningsdelegation har behandlats i avsnitt 10 Para-<br>grafens två första stycken överensstämmer i huvudsak med Data-<br>lagskommitténs förslag och har berörts i avsnitt 12 11.4 i kommitténs be-<br>tänkande I tredje stycket har förtydligats att regeringen, eller om rege-<br>ringen så bestämmer, tillsynsmyndigheten, i enskilda fall kan besluta om<br>undantag från förbudet i 33§ .</p>
<p>Av förslaget till lag om ändring i personuppgiftslagen (avsnitt 15)<br>framgår att paragrafen per den 1 januari 1999 ändras så att det blir möjligt<br>att meddela föreskrifter även såvitt avser sådan manuell behandling som<br>omfattas av personuppgiftslagen.</p>
<p>Anmälan till tillsynsmyndigheten</p>
<p>De bestämmelser som finns under denna rubrik har behandlats i av-<br>snitt 12</p>
<p>Anmälningsskyldighet</p>
<p>36 8 Behandling av personuppgifter som är helt eller delvis automatiserad<br>omfattas av anmälningsskyldighet. Den personuppgiftsansvarige skall<br>göra en skriftlig anmälan till <sub>o</sub> tillsynsmyndigheten innan en sådan<br>behandling eller en serie av sådana behandlingar med samma eller<br>liknande ändamål genomförs.</p>
<p>Om den personuppgiftsansvarige utser ett personuppgiftsombud skall<br>detta anmälas till tillsynsmyndigheten. Även ett entledigande av ett per-<br>sonuppgiftsombud skall anmälas till tillsynsmyndigheten</p>
<p>Regeringen eller den myndighet <sub>o</sub>som regeringen bestämmer får<br>meddela föreskrifter om undantag från anmälningsskyldigheten enligt<br>första stycket för sådana typer av behandlingar som sannolikt inte kommer<br>att leda till otillbörligt inträng i den personliga integriteten.</p>
<p>Paragrafen överensstämmer i stort med Datalagskommitténs förslag och<br>har berörts i avsnitt 12.12 i kommitténs betänkande</p>
<p>Första stycket skall ha samma innebörd som artikel 18 1 i EG-<br>direktivet, se bilaga 1. Enligt 50 § f får regeringen eller den myndighet<br></p>
<p>138</p>
<p>som regeringen bestämmer meddela närmare föreskrifter om anmälan till Prop. 1997/98:44<br>tillsynsmyndigheten och förfarandet när anmälda uppgifter har ändrats.</p>
<p>Andra stycket anger att ett utseende och ett entledigande av ett person-<br>uppgiftsombud skall anmälas till tillsynsmyndigheten.</p>
<p>Tredje stycket innehåller ett bemyndigande för regeringen eller den<br>myndighet som regeringen bestämmer att meddela föreskrifter om<br>undantag från anmälningsskyldigheten Bemyndigandet gäller sådana<br>behandlingar som avses i artikel 18.2 första strecksatsen, 18.3 och 18.4 i<br>EG-direktivet, se bilaga 1. Frågan om normgivningsdelegation har<br>behandlats i avsnitt 10.</p>
<p>Anmälan behöver inte göras om det finns ett personuppgiftsombud</p>
<p>37 § Om den personuppgiftsansvarige har anmält till tillsynsmyndigheten<br>har anmält att ett personuppgiftsombud utsetts och vem det är, behöver<br>anmälan enligt 36 § första stycket inte göras.</p>
<p>Beteckningen personuppgiftsombud har behandlats i avsnitt 12. Para-<br>grafen har berörts i avsnitt 12.12 i Datalagskommitténs betänkande</p>
<p>Det är bara behandlingar som påbörjas efter det att personupp-<br>giftsombudet har anmälts till tillsynsmyndigheten som är undantagna från<br>anmälningsskyldigheten</p>
<p>Personuppgiftsombudet skall vara en fysisk person Det finns inget<br>som hindrar att den personuppgiftsansvarige utser flera personupp-<br>giftsombud eller att flera personuppgiftsansvariga, t.ex. inom en viss<br>bransch, utser en och samma person till personuppgiftsombud, t.ex. en<br>advokat, en revisor eller någon som är anställd på en branschorganisation</p>
<p>Det är den personuppgiftsansvarige som entledigar ett utsett person-<br>uppgiftsombud. Om det på grund av entledigande inte längre finns något<br>anmält personuppgiftsombud, måste den personuppgiftsansvarige enligt<br>36 § anmäla behandlingar som påbörjas därefter.</p>
<p>Enligt 50 § f får regeringen eller den myndighet som regeringen<br>bestämmer meddela närmare föreskrifter om anmälan till tillsynsmyndig-<br>heten och förfarandet när anmälda uppgifter har ändrats.</p>
<p>Personuppgiftsombudets uppgifter</p>
<p>38 § Personuppgiftsombudet skall ha till uppgift att självständigt se till att<br>den personuppgiftsansvarige behandlar personuppgifter på ett lagligt och<br>korrekt sätt och i enlighet med god sed samt påpeka eventuella brister för<br>honom eller henne</p>
<p>Har personuppgiftsombudet anledning att misstänka att den person-<br>uppgiftsansvarige bryter mot de bestämmelser som gäller för<br>behandlingen av personuppgifter och vidtas inte rättelse så snart det kan<br>ske efter papekande, skall personuppgiftsombudet anmäla förhållandet till<br>tillsynsmyndigheten</p>
<p>Personuppgiftsombudet skall även i övrigt samråda med tillsynsmyn-<br>digheten vid tveksamhet om hur de bestämmelser som gäller för<br>behandlingen av personuppgifter skall tillämpas.</p>
<p>Paragrafen överensstämmer med Datalagskommitténs förslag och har<br>behandlats i avsnitt 12.12.2.4 i kommitténs betänkande.</p>
<p>Första stycket motsvarar artikel 18.2 första strecksatsen i den andra<br>strecksatsen i EG-direktivet, se bilaga 1. Personuppgiftsombudet skall se<br></p>
<p>139</p>
<p>till att den personuppgiftsansvarige behandlar personuppgifter på ett Prop. 1997/98:44<br>lagligt och korrekt sätt och i enlighet med god sed. Detta innebär att<br>ombudet måste förvissa sig om att den personuppgiftsansvarige följer be-<br>stämmelserna i personuppgiftslagen och anknytande lagstiftning. Hur pass<br>omfattande kontrollen skall vara får avgöras efter omständigheterna i det<br>enskilda fallet. Ombudet bör i vart fall granska rutinerna för behandling<br>av personuppgifter och de krav på kvalifikationer, lämplighet och<br>kunskap som den personuppgiftsansvarige ställer på den personal som<br>tillåts behandla sådana uppgifter.</p>
<p>Enligt EG-direktivet skall personuppgiftsombudet ”på ett oberoende<br>sätt” kunna säkra den interna tillämpningen. Det är detta som avses med<br>personuppgiftsombudets självständiga ställning. Den personuppgifts-<br>ansvarige bör alltså inte utse ett ombud som har en alltför underordnad<br>ställning. Ombudet kan vara en anställd hos den personuppgiftsansvarige,<br>men måste då ges en sådan ställning att befogenheterna som person-<br>uppgiftsombud kan utövas på ett självständigt sätt i förhållande till arbets-<br>givaren. Ett anlitat personuppgiftsbiträde eller någon anställd hos biträdet<br>kan utses till personuppgiftsombud under förutsättning att den utsedde ges<br>förutsättningar att utöva sitt uppdrag självständigt. Däremot kan en<br>personuppgiftsansvarig inte utse sig själv till personuppgiftsombud. I<br>personuppgiftsombudets självständiga ställning ligger vidare att person-<br>uppgiftsombudet skall ha tillräckliga kvalifikationer och kunskaper för att<br>kunna utföra sina uppgifter</p>
<p>Andra stycket rör det fallet att det finns anledning att misstänka att den<br>personuppgiftsansvarige i något avseende inte följer bestämmelserna om<br>behandlingen. Om personuppgiftsombudet upptäcker brister i uppgifts-<br>behandlingen, bör ombudet i första hand påpeka detta för den person-<br>uppgiftsansvarige. Om den personuppgiftsansvarige inte därefter vidtar<br>rättelse så snart det kan ske, är personuppgiftsombudet skyldigt att anmäla<br>bristerna till tillsynsmyndigheten. Hur snart rättelse bör ske efter ett<br>påpekande får bero av omständigheterna i det särskilda fallet. Att det kan<br>ta någon tid att rätta till upptäckta brister bör i allmänhet accepteras,<br>särskilt om det upprättas en konkret plan för hur bristerna skall kunna<br>åtgärdas inom rimlig tid Men dröjer det alltför länge innan något görs,<br>bör ombudet göra en anmälan till tillsynsmyndigheten.</p>
<p>Att ett anställt personuppgiftsombud i enlighet med paragrafen gör en<br>anmälan kan som regel inte få några konsekvenser för ombudet i arbets-<br>rättsligt hänseende. Enligt artikel 5 i ILO:s konvention (nr 158) om<br>uppsägning av anställningsavtal på arbetsgivarens initiativ utgör det inte<br>ett giltigt skäl för uppsägning ”att någon gett in klagomål eller deltagit i<br>ett rättsligt förfarande mot en arbetsgivare, vilket innebär påstående om<br>överträdelse av lag eller annan författning, eller vänt sig till behörig<br>myndighet”. Sverige har ratificerat den konventionen, och det har ansetts<br>att den artikeln är uppfylld genom 7 § lagen (1982:80) om anställ-<br>ningsskydd jämte rättspraxis (prop. 1982/83:124 s. 5). Arbetsdomstolen<br>har t.ex. uttalat att de förpliktelser som följer av anställningsavtalet inte<br>innebär något avgörande hinder för en arbetstagare att hos behörig<br>myndighet påtala missförhållanden som råder i arbetsgivarens verksamhet<br>(AD 1986 nr 95).</p>
<p>140</p>
<p>Tredje stycket rör personuppgiftsombudets övriga kontakter med till- Prop. 1997/98:44<br>synsmyndigheten och motsvarar artikel 20.2 i EG-direktivet, se bilaga 1.</p>
<p>39 § Personuppgiftsombudet skall föra en förteckning över de be-<br>handlingar som den personuppgiftsansvarige genomför ocn som skulle ha<br>omfattats av anmälningsskyldighet om ombudet inte hade funnits<br>Förteckningen skall omfatta åtminstone de uppgifter som en anmälan<br>enligt 36 § skulle ha innehållit.</p>
<p>Paragrafen överensstämmer med Datalagskommitténs förslag och har</p>
<p>berörts i avsnitt 12.12.2.4 i kommitténs betänkande</p>
<p>Paragrafen skall ha samma innebörd som artikel 18.2 andra streck-</p>
<p>satsen i andra strecksatsen i EG-direktivet, se bilaga 1</p>
<p>40 § Personuppgiftsombudet skall hjälpa registrerade att få rättelse när det<br>finns anledning att misstänka att behandlade personuppgifter är felaktiga<br>eller ofullständiga.</p>
<p>Paragrafen överensstämmer med Datalagskommitténs förslag och har</p>
<p>berörts i avsnitt 12.12.2.4 i kommitténs betänkande</p>
<p>Paragrafen motsvarar 8 § fjärde stycket i den nuvarande datalagen</p>
<p>Obligatorisk anmälan av särskilt integritetskänsliga behandlingar</p>
<p>41 § Regeringen får meddela föreskrifter om att sådana automatiserade<br>behandlingar av personuppgifter som innebär särskilda risker för<br>otillbörligt intrång i den personliga integriteten skall för förhandskontroll<br>anmälas till tillsynsmyndigheten enligt 36 § tre veckor i förväg Om<br>regeringen har meddelat sadana föreskrifter, gäller inte undantaget från<br>anmälningsskyldigheten enligt 37 §.</p>
<p>Frågan om normgivningsdelegation har berörts i avsnitt 10. Paragrafen<br>överensstämmer med Datalagskommitténs förslag och har berörts i avsnitt<br>12.12.2.5 i kommitténs betänkande</p>
<p>Av förslaget till lag om ändring i personuppgifislagen (avsnitt 15)<br>framgår att paragrafen per den 1 januari 1999 ändras så att det blir möjligt<br>att meddela föreskrifter även såvitt avser sådan manuell behandling som<br>omfattas av personuppgifislagen.</p>
<p>Paragrafen har införts mot bakgrund av artikel 20 1 i EG-direktivet, se<br>bilaga 1.</p>
<p>Upplysningar till allmänheten om behandlingar som inte anmälts</p>
<p>42 § Den personuppgiftsansvarige skall till var och en som begär det<br>skyndsamt och pa lämpligt sätt lämna upplysningar om sådana<br>automatiska eller andra behandlingar av personuppgifter som inte har<br>anmälts till tillsynsmyndigheten. Upplysningarna skall omfatta det som en<br>anmälan enligt 36 § första stycket skulle ha omfattat. Den person-<br>uppgiftsansvarige är dock inte skyldig att lämna ut sekretessbelagda<br>uppgifter eller uppgifter om vilka säkerhetsåtgärder som har vidtagits. En<br>personuppgiftsansvarig som inte är myndighet får därvid i motsvarande<br>fall som avses i sekretesslagen (1980:100) vägra att lämna ut uppgifter.</p>
<p>Frågan om upplysningar till allmänheten om behandlingar har behandlats</p>
<p>i avsnitt 12. Paragrafen överensstämmer delvis med Datalagskommitténs<br>förslag och har berörts i avsnitt 12.12.26 i kommitténs betänkande</p>
<p>141</p>
<p>Paragrafen skall ha samma innebörd som artikel 21 3 första stycket i Prop. 1997/98:44</p>
<p>EG-direktivet, se bilaga 1</p>
<p>Frågor om sekretess har behandlats i avsnitt 11.5.2.</p>
<p>Tillsynsmyndighetens befogenheter</p>
<p>43 8 Tillsynsmyndigheten har rätt att för sin tillsyn på begäran få</p>
<p>a) tillgång till de personuppgifter som behandlas,</p>
<p>b) upplysningar om och dokumentation av behandlingen av personupp-<br>gifter och säkerheten vid denna, och</p>
<p>cjtillträde till sådana lokaler som har anknytning till behandlingen av<br>personuppgifter.</p>
<p>44 § Om tillsynsmyndigheten mte efter begäran enligt 43 § kan få tillräck-<br>ligt underlag för att konstatera att behandlingen av personuppgifter är lag-<br>lig, får myndigheten vid vite<sub>o</sub> förbjuda den personuppgiftsansvarige att be-<br>handla personuppgifter på något annat sätt än genom att lagra dem</p>
<p>45 § Om tillsynsmyndigheten konstaterar att personuppgifter behandlas<br>eller kan komma att behandlas på ett olagligt sätt, skall myndigheten ge-<br>nom påpekanden eller liknande förfaranden försöka åstadkomma rättelse<br>Går det inte att fa rättelse på något annat sätt eller är saken brådskande,<br>far myndigheten vid vite förbjuda den personuppgiftsansvarige att<br>fortsätta att behandla personuppgifterna på nagot annat sätt än genom att<br>lagra dem.</p>
<p>Om den personuppgiftsansvarige inte frivilligt följer <sub>o</sub> ett beslut om<br>säkerhetsåtgärder enligt 32 §, som vunnit laga kraft, får tillsynsmyn-<br>digheten föreskriva vite</p>
<p>46 § Innan tillsynsmyndigheten beslutar om vite enligt 44 eller 45 8, skall<br>den personuppgiftsansvarige ha fått tillfälle att yttra sig. Om såken är<br>brådskande, far myndigheten dock i avvaktan pa yttrandet meddela ett<br>tillfälligt beslut om vite. Det tillfälliga beslutet skall omprövas, när<br>yttrandetiden har gått ut.</p>
<p>Ett vitesföreläggande skall delges den personuppgiftsansvarige Del-<br>givning enligt 12 § delgivningslagen (1970:428) får användas bara om det<br>finns skäl att anta att den personuppgiftsansvarige har avvikit eller på<br>annat sätt håller sig undan</p>
<p>47 § Tillsynsmyndigheten far hos länsrätten i det län där myndigheten är<br>belägen ansöka om att sådana personuppgifter som har behandlats på ett<br>olagligt sätt skall utplånas.<sub>o</sub></p>
<p>Beslut om utplånande får inte meddelas om det är oskäligt</p>
<p>Frågan om tillsynsmyndighetens befogenheter har behandlats i avsnitt 13.<br>Bestämmelserna i 43-47 §§ överensstämmer i huvudsak med Data-<br>lagskommitténs förslag och har berörts i avsnitt 12.14.1 i kommitténs<br>betänkande.</p>
<p>Det bör betonas att möjligheten enligt 46 § att meddela ett tillfälligt<br>beslut om vite är avsedd att utnyttjas bara i undantagsfall när saken är klar<br>och så brådskande att ett yttrande från den personuppgiftsansvarige inte<br>kan avvaktas.</p>
<p>Möjligheten enligt 47§ att ansöka om utplånande av personuppgifter<br>bör bara användas i sådana fall där det inte genom andra åtgärder är<br>möjligt att förena behandlingen av uppgifterna med de regler som gäller.<br>Frågan om ett beslut om utplånande är oskäligt får avgöras mot bakgrund<br>av samtliga omständigheter i det aktuella fallet. Vid bedömningen kan<br>beaktas sådana faktorer som att ett utplånande för den personuppgifts-<br>ansvarige skulle innebära stora praktiska svårigheter eller ett svårt</p>
<p>142<br></p>
<p>ekonomiskt avbräck. Enligt 51 § andra stycket krävs det prövnings- Prop. 1997/98:44<br>tillstånd vid överklagande till kammarrätten.</p>
<p>Skadestånd</p>
<p>48 § Den personuppgiftsansvarige skall ersätta den registrerade för skada<br>och kränkning av den personliga integriteten som en behandling av<br>personuppgifter i strid med denna lag vid behandling av personuppgifter<br>nar orsakat</p>
<p>Ersättningsskyldigheten kan i den utsträckning det är skäligt jämkas,<br>om den personuppgiftsansvarige visar att felet inte berodde på honom<br>eller henne.</p>
<p>Frågan om skadestånd har behandlats i avsnitt 14. Paragrafen överens-<br>stämmer i huvudsak med Datalagskommitténs förslag, dock att kom-<br>mittén föreslog att skadestånd även kunde utgå vid behandling i strid med<br>föreskrifter som meddelats med stöd av lagen, och har även berörts i<br>avsnitt 12.13.2 1-3 i kommitténs betänkande.</p>
<p>Bestämmelserna i paragrafen är sådana specialbestämmelser om skade-<br>stånd som tar över de allmänna skadeståndsreglerna i skadeståndslagen<br>(1972:207), se 1 kap. 1 § i den lagen. I den utsträckning en ersättnings-<br>fråga inte berörs i paragrafen - t.ex. frågan om hur ersättningen för en<br>personskada eller sakskada skall beräknas (5 kap. skadeståndslagen) eller<br>frågan om ansvaret när det finns flera skadeståndsskyldiga (6 kap. 3 §<br>skadeståndslagen) - tillämpas de allmänna reglerna i skadeståndslagen. I<br>den utsträckning ett förfarande i strid med lagen eller god sed vid<br>behandling av personuppgifter ingår som ett led i ett sådant brott som av-<br>ses i 1 kap. 3 § skadeståndslagen, kan däremot ideellt skadestånd för li-<br>dande respektive ersättning för kränkning utgå enligt såväl den nyss<br>nämnda bestämmelsen som denna paragraf. Som Lagrådet påpekat<br>innebär detta inte att kränkningen ersätts med ett högre belopp enbart<br>därför att flera bestämmelser kan vara tillämpliga</p>
<p>Av första stycket framgår att den personuppgiftsansvarige är<br>ersättningsskyldig gentemot den registrerade så snart behandling har skett<br>i strid med någon bestämmelse i lagen vid behandling av personuppgifter.<br>Häri inbegrips även god sed, vilken den registeransvarige är skyldig att<br>följa enligt 9 § första stycket b.Vad som är god sed vid behandling av<br>personuppgifter får avgöras i rättstillämpningen mot bakgrund av bl.a. de<br>mer preciserade föreskrifter som kan utfärdas med stöd av lagen, de<br>branschregler på området som kan ha utarbetats av etablerade<br>branschorganisationer eller andra representativa sammanslutningar och<br>hur ansvarsfulla personuppgiftsansvariga som regel beter sig. Skyldig-<br>heten avser ersättning för personskada, sakskada och ren förmögen-<br>hetsskada samt kränkning av den personliga integriteten. Det är bara<br>skada eller kränkning som den olagliga behandlingen har fört med sig<br>som ersätts. Detta framgår uttryckligen av att det sägs att behandlingen av<br>uppgifter skall ha orsakat skada respektive kränkning. Orsakssambandet<br>skall vara adekvat.</p>
<p>Ersättningen för kränkningen får uppskattas efter skälighet mot bak-<br>grund av samtliga omständigheter i det aktuella fallet. Därvid kan beaktas<br>bl.a. sådana faktorer som om det funnits risk för otillbörlig spridning av<br>känsliga eller felaktiga uppgifter och om den registrerade på grund av den<br></p>
<p>143</p>
<p>felaktiga behandlingen blivit utsatt för något beslut eller några åtgärder Prop. 1997/98:44<br>som kunnat innebära något negativt för honom eller henne. Har den<br>registrerade själv lämnat en oriktig eller ofullständig uppgift till den<br>personuppgiftsansvarige, kan den personuppgiftsansvariges behandling av<br>denna uppgift inte anses innebära någon sådan kränkning av den<br>personliga integriteten som bör föranleda ersättning. Ersättningen för<br>kränkning bör i princip fastställas för varje kränkt registrerad för sig</p>
<p>I andra stycket finns det bestämmelser om jämkning av ersättnings-<br>skyldigheten. Jämkningsbestämmelsen innebär att ersättningsskyldigheten<br>kan helt falla bort eller sättas ned delvis. För att ersättningsskyldighet<br>skall finnas enligt första stycket behöver den registrerade bara bevisa att<br>det från den personuppgiftsansvariges sida har förekommit en olaglig<br>behandling av den registrerades personuppgifter och att denna behandling<br>har skadat eller kränkt honom eller henne. Därefter är det upp till den<br>personuppgiftsansvarige att bevisa att den olagliga behandlingen inte<br>berodde på honom eller henne. Lyckas den personuppgiftsansvarige med<br>detta, får i sista hand en domstol bedöma huruvida och i vilken<br>utsträckning det kan vara skäligt att ersättningsskyldigheten jämkas</p>
<p>Den personuppgiftsansvarige är gentemot den registrerade i och för sig<br>ansvarig för all den behandling som han eller hon har ansvaret för, även<br>när ett personuppgiftsbiträde eller annan hjälp anlitas Ett fel av t.ex. ett<br>anlitat personuppgiftsbiträde får således anses bero på den person-<br>uppgiftsansvarige. En annan sak är att den personuppgiftsansvarige i<br>allmänhet kan få ersättning av ett försumligt personuppgiftsbiträde för<br>ersättning som måste betalas till registrerade. Däremot kan den person-<br>uppgiftsansvarige som regel inte med framgång kräva försumliga arbets-<br>tagare på någon ersättning (4 kap. 1 § skadeståndslagen).</p>
<p>När det är den registrerade som har t.ex. lämnat felaktiga eller<br>ofullständiga uppgifter vilket lett till en olaglig behandling, kan den<br>olagliga behandlingen i allmänhet inte anses bero på den person-<br>uppgiftsansvarige Om det är den registrerade som, t.ex. genom att lämna<br>felaktiga eller ofullständiga uppgifter, har föranlett en olaglig behandling,<br>kan det också vara skäligt att helt befria den personuppgiftsansvarige från<br>ersättningsskyldighet för skada och kränkning som dennes användning av<br>uppgifterna kan ha förorsakat den registrerade.</p>
<p>Som Lagrådet påpekat kan bestämmelsen i 6 kap 1 § skadestånds-<br>lagen komma att tillämpas vid fall av medvållande.</p>
<p>En olaglig behandling som beror på felaktigheter i den utrustning som<br>den personuppgiftsansvarige ansvarar för får som regel anses bero på den<br>personuppgiftsansvarige. Bara i särpräglade fall kan den personuppgifts-<br>ansvarige anses oskyldig till den olagliga behandlingen, t.ex. om uppgifter<br>på ett helt oförutsett vis förvanskas till följd av ett blixtnedslag eller<br>avbrott eller felaktigheter i ett publikt datanätverk I sådana fall av helt<br>oförutsedda händelser kan det vara skäligt att mildra ansvaret.</p>
<p>En olaglig behandling av den personuppgiftsansvarige som beror på att<br>han eller hon har hämtat in felaktiga eller ofullständiga uppgifter från<br>någon annan personuppgiftsansvarig kan inte anses bero på den person-<br>uppgiftsansvarige, om han eller hon inte hade någon anledning att miss-<br>tänka att uppgifterna var felaktiga eller ofullständiga. I vilken utsträckning<br>ansvaret för den personuppgiftsansvarige skall mildras i sådana fall är ^4<br></p>
<p>således en skälighetsfråga. Har den personuppgiftsansvarige t.ex. hämtat Prop. 1997/98:44<br>in tusentals adressuppgifter från någon vanligtvis tillförlitlig källa,<br>exempelvis ett allmänt register såsom statens person- och adressregister,<br>kan det vara skäligt att mildra ansvaret. Det kan då inte rimligen krävas att<br>den personuppgiftsansvarige skulle ha kontrollerat alla adresser. Om den<br>personuppgiftsansvarige däremot har hämtat uppgifter från en källa som<br>framstår som otillförlitlig, kan bedömningen bli en annan. Har en<br>myndighet fatt in uppgifter på grund av uppgiftsskyldighet för enskilda<br>som är föreskriven i författning, får myndigheten emellertid som regel<br>anses ha haft anledning att lita på uppgifterna</p>
<p>En olaglig behandling på grund av att personuppgifterna utan den<br>personuppgiftsansvariges instruktioner har kommit ut till utomstående,<br>t.ex. genom ett brottsligt intrång i ett datasystem, kan inte anses bero på<br>den personuppgiftsansvarige, om denne i enlighet med tillämpliga<br>bestämmelser har en lämplig säkerhetsnivå och intrånget har kunnat kom-<br>ma till stånd genom att angriparen vant beredd att lägga ned mycket stora<br>resurser för att komma åt informationen. Då kan det vara skäligt att mildra<br>ansvaret. Har den personuppgiftsansvarige å andra sidan försummat<br>säkerheten, får den olagliga behandlingen anses bero på honom eller<br>henne</p>
<p>Vid den skälighetsbedömning som skall göras i de fall där den olagliga<br>behandlingen bevisligen inte beror på den personuppgiftsansvarige bör<br>beaktas också den registrerades behov av skadestånd och den person-<br>uppgiftsansvariges förmåga att betala skadestånd</p>
<p>I det fallet att en viss felaktig behandling har omfattat uppgifter om<br>många människor, bör man dock vid skälighetsbedömningen såvitt avser<br>ersättningen för kränkning kunna ta hänsyn till att den samlade ersätt-<br>ningsskyldigheten för den personuppgiftsansvarige inte blir orimligt stor.</p>
<p>Straff</p>
<p>49 § Till böter eller fängelse i högst sex månader eller<sub>3</sub> om brottet är<br>grovt, till fängelse i högst två år döms den som uppsatligen eller av<br>oaktsamhet</p>
<p>a) lämnar osann uppgift i sådan information till registrerade som<br>föreskrivs i denna Tag, i anmälan till tillsynsmyndigheten enligt 36 §,<br>eller till tillsynsmyndigheten när myndigheten begär information enligt<br>43 S,</p>
<p>b) behandlar personuppgifter i strid med 13-21 §§,</p>
<p>c) för över personuppgifter till tredie land i strid med 33-35 §§, eller</p>
<p>d) låter bli att göra anmälan enligt 36 § första stycket eller enligt<br>föreskrifter meddelade med stöd av 41 §.</p>
<p>Den som överträtt ett vitesföreläggande enligt 44 § eller 45 § första<br>stycket döms mte till ansvar för en gärning som omfattas av vites-<br>föreläggandet</p>
<p>Frågan om straff har behandlats i avsnitt 14. Paragrafen har i förhållande<br>till Datalagskommitténs förslag kompletterats med bestämmelserna i<br>punkt b-d. Datalagskommitténs förslag har berörts i avsnitt 12.13.2.4 i<br>kommitténs betänkande</p>
<p>Vid bedömandet av om brottet är grovt kan beaktas sådana omstän-<br>digheter som att de olagligt behandlade uppgifterna avsett förhållanden av<br>avsevärd betydelse för den registrerade och att gärningsmannen insett<br>detta eller att gärningsmannen lämnat osanna uppgifter för att undkomma</p>
<p>10 Riksdagen 1997/98. 1 saml. Nr 44<br></p>
<p>påföljd eller vinna någon annan fördel eller att det brottsliga utnyttjandet Prop. 1997/98:44<br>av uppgifterna annars framstår som hänsynslöst. Bara i undantagsfall<br>torde en gärning som begåtts av oaktsamhet kunna betraktas som ett grovt<br>brott.</p>
<p>I andra stycket, som lagts till på förslag från Lagrådet, föreskrivs att<br>den som överträtt ett vitesföreläggande enligt 44 eller 45 § första stycket<br>inte döms till ansvar för en gärning som omfattas av vitesföreläggandet.</p>
<p>Närmare föreskrifter</p>
<p>50 § Regeringen eller den myndighet som regeringen bestämmer får i<br>fråga om automatiserad behandling av personuppgifter meddela närmare<br>föreskrifter om</p>
<p>a) i vilka fall behandling av personuppgifter är tillåten,</p>
<p>b) vilka krav som ställs på den personuppgiftsansvarige vid behandling av<br>personuppgifter,</p>
<p>c) i vilka faJTanvändning av personnummer är tillåten,</p>
<p>d) vad en anmälan eller ansökan till en personuppgiftsansvarig skall<br>innehålla,</p>
<p>e) vilken information som skall lämnas till registrerade och hur<br>informationen skall lämnas, och</p>
<p>f) anmälan till tillsynsmyndigheten och förfarandet när anmälda uppgifter<br>har ändrats.</p>
<p>Frågan om normgivningsdelegation har behandlats i avsnitt 10. Para-<br>grafen överensstämmer med Datalagskommitténs förslag och har berörts i<br>avsnitt 12.1.2 i kommitténs betänkande</p>
<p>Av förslaget till lag om ändring i personuppgiftslagen (avsnitt 15)<br>framgår att paragrafen per den 1 januari 1999 ändras så att det blir möjligt<br>att meddela föreskrifter även såvitt avser sådan manuell behandling som<br>omfattas av personuppgiftslagen Av 8 kap 13 § regeringsformen framgår<br>att regeringen utan särskilt bemyndigande från riksdagen kan meddela<br>föreskrifter om verkställighet av lag och delegera denna föreskriftsrätt till<br>myndighet I vart fall punkterna d, andra ledet av e och f i paragrafen ut-<br>gör sådana verkställighetsföreskrifter. Av tydlighetsskäl omfattar bemyn-<br>digandet även dessa situationer, trots att regeringen utan bemyndigande<br>ändå hade kunnat meddela sådana föreskrifter. Regeringen kan natur-<br>ligtvis meddela verkställighetsföreskrifter som inte tagits upp i paragrafen<br>Det är således möjligt att före den 1 januari 1999 meddela verkställig-<br>hetsföreskrifter även avseende manuell behandling av personuppgifter</p>
<p>Överklagande</p>
<p>51 § Tillsynsmyndighetens beslut enligt denna lag om annat än<br>föreskrifter får överklagas hos allmän förvaltningsdomstol</p>
<p>Prövningstillstånd krävs vid överklagande tiirkammarrätten</p>
<p>Tillsynsmyndigheten får bestämma att dess beslut skall gälla även om<br>det överklagas.</p>
<p>Frågan om överklagande har behandlats i avsnitt 13. Paragrafen överens-<br>stämmer med Datalagskommitténs förslag och har berörts i avsnitt</p>
<p>12.14.2 i kommitténs betänkande.</p>
<p>Kravet på prövningstillstånd i andra stycket avser överklagande av<br>länsrättens beslut enligt såväl första stycket som 47 §.</p>
<p>146</p>
<p>Ikraftträdande- och övergångsbestämmelser</p>
<p>1. Denna lag träder i kraft den 24 oktober 1998, då datalagen (1973:289)<br>skall upphöra att gälla. Den äldre lagen gäller dock fortfarande i fråga<br>om överklagande av beslut som har meddelats före den 24 oktober<br>1998.</p>
<p>2. I fråga om behandling av personuppgifter som påbörjats före ikraft-<br>trädandet eller behandling som utförs for ett visst bestämt ändamål om<br>behandling för ändamålet påbörjats före ikraftträdandet skall t. o m<br>den 30 september 2001 den äldre lagen tillämpas i stället för den nya.<br>Detta gäller även bestämmelserna i den äldre lagen om överklagande.</p>
<p>3. Bestämmelserna i 9, 10 13 och 21 §8 i<sub>o</sub>den nyajagen skall inte börja<br>tillämpas förrän den 1 oktober 2007 i fråga om sådan manuell behand-<br>ling av personuppgifter som påbörjats före ikraftträdandet eller manuell<br>behandling som utförs för ett visst bestämt ändamål om manuell<br>behandling för ändamålet påbörjats före ikraftträdandet.</p>
<p>4. I fråga om personuppgifter som vid ikraftträdandet lagras för historisk<br>forskning skall bestämmelserna i 9, 10, 13 och 21 J§§ j den nya lagen<br>börja tillampas först när uppgifterna behandlas pa något annat sätt<br>Innan dess skall motsvarande bestämmelser i den aldre lagen tillämpas<br>De angivna bestämmelserna i den nya lagen skall dock inte till följa av<br>vad som nu sagts böna tillämpas tidigare än vad som följer av 2 eller 3.</p>
<p>5. Anmälan enligt 36 § i den nya lagen får göras innan den nya lagen har<br>trätt i kraft för den aktuella behandlingen.</p>
<p>6. Ett samtycke som har lämnats innan den nya lagen har trätt i kraft för<br>den aktuella behandlingen skall gälla även efter ikraftträdandet om<br>samtycket uppfyller kraven i den nya lagen.</p>
<p>7. Har en begäran om registerutdrag enligt 10 § i den äldre lagen kommit<br>in innan den nya lagen trätt i kraft för den aktuella behandlingen men<br>har utdraget inte expedierats före ikraftträdandet skall framställningen<br>anses som en ansökan enligt 26 § i den nya lagen.</p>
<p>8. Den nya lagens bestämmelser om skadestånd skall bara tillämpas om<br>den omständighet som yrkandet hänför sig till har inträffat efter det att<br>den nya lagen nar trätt i kraft för den aktuella behandlingen. I annat fall<br>tillämpas de äldre bestämmelserna</p>
<p>Frågan om ikraftträdande och övergångsbestämmelser har behandlats i<br>avsnitt 15. Övergångsbestämmelserna överensstämmer i huvudsak med<br>Datalagskommitténs förslag, dock att kommittén föreslog att lagen skulle<br>träda i kraft den 1 januari 1999. Kommittén har berört förslagen i avsnitt<br>12.15 i sitt betänkande</p>
<p>Kravet enligt punkt 2 och 3 på att behandlingen påbörjats vid ikraft-<br>trädandet har behandlats i avsnitt 15 och motsvarar artikel 32 2 i EG-<br>direktivet, se bilaga 1</p>
<p>Punkt 4 skall ha samma innebörd som artikel 32.3 i direktivet.</p>
<h3>18.2 Förslaget till lag om ändring i sekretesslagen<br>(1980:100)</h3>
<p>7 kap. 16 §</p>
<p>Ändringen i första stycket innebär att sekretessbestämmelsen samordnas<br>med bestämmelserna i personuppgifislagen.</p>
<p>Andra stycket upphävs. I personuppgifislagen finns det i 33-35 §§<br>bestämmelser om förutsättningarna för överföring av personuppgifter till<br>tredje land som gäller även för myndigheter. Redan första stycket i denna<br>paragraf medför att sekretess gäller om ett utlämnande av personuppgifter<br>till tredje land skulle stå i strid med de nämnda bestämmelserna i person-<br>uppgiftslagen. Andra stycket i paragrafen behövs således inte längre.</p>
<p>Ändringarna överensstämmer helt med Datalagskommitténs förslag.</p>
<p>Prop. 1997/98:44</p>
<p>147</p>
<p>9 kap. 6 § Prop. 1997/98:44</p>
<p>I första stycket finns det två ändringar i sak. Ändringarna överensstämmer<br>helt med Datalagskommitténs förslag.</p>
<p>Den första ändringen - varigenom ordet lag byts ut mot orden lag eller<br>annan författning - innebär att det även i förordning kan anges vilken<br>tillsyn som ankommer på Datainspektionen.</p>
<p>Den andra ändringen innebär att bestämmelsen om överföring av nu<br>aktuell sekretess till regeringen har tagits bort. Anledningen till detta är att<br>ärenden som avses i denna paragraf enligt personuppgifislagen inte i nå-<br>got fall skall överklagas till regeringen, se avsnitt 13. Då behövs inte<br>längre någon bestämmelse om överföring av sekretess till regeringen. För<br>uppgifter i ärenden som avgjorts av Datainspektionen genom beslut före<br>ikraftträdandet och som överklagats till regeringen enligt den gamla ord-<br>ningen föreslås en särskild övergångsbestämmelse om att de äldre<br>reglerna fortfarande skall tillämpas. Bestämmelsen om överföring av<br>sekretess till Justitiekanslem har däremot behållits trots att Justitie-<br>kanslem inte får överklaga Datainspektionens beslut enligt person-<br>uppgiftslagen, eftersom Justitiekanslem enligt annan lagstiftning kan<br>överklaga Datainspektionens beslut i ärenden som avses i denna paragraf,<br>se t.ex. 23 § kreditupplysningslagen (1973:1173)</p>
<p>Det bör nämnas att bestämmelser som motsvarar de bestämmelser som<br>finns i denna paragraf, såvitt avser personuppgiftsskyddet, skall finnas<br>enligt artikel 28.7 i EG-direktivet, se bilaga 1. Paragrafen bör således i<br>fortsättningen vid behov tolkas EG-konformt</p>
<p>9 kap. 7 §</p>
<p>Paragrafen har justerats med anledning av att personuppgifislagen ersätter<br>den nuvarande datalagen.</p>
<p>14 kap. 3 §</p>
<p>Andra stycket har justerats med anledning av att personuppgiftslagen<br>ersätter den nuvarande datalagen.</p>
<p>15 kap. 11 §</p>
<p>Punkt 8 i andra stycket har justerats med anledning av att person-<br>uppgiftslagen ersätter den nuvarande datalagen</p>
<p>15 kap. 14 §</p>
<p>Bestämmelsen har utan ändring i sak flyttats över från 14 § i den<br>nuvarande datalagen.</p>
<p>Ikraftträdande- och övergångsbestämmelser</p>
<p>Lagen träder i kraft samtidigt som personuppgifislagen. Enligt andra<br>punkten, som lagts till efter det att lagrådsremissen behandlats i Lagrådet,<br>skall den äldre lydelsen av vissa paragrafer gälla i fråga om behandling<br>för vilken datalagen (1973:289) är tillämplig fram till den 30 septem-<br>ber 2001.</p>
<p>148</p>
<p>Prop. 1997/98:44</p>
<h3>18.3 Förslaget till lag om ändring i brottsbalken</h3>
<p>4 kap. 9 c och 10 §§</p>
<p>Bestämmelserna om straff för dataintrång i nuvarande 21 § i den<br>nuvarande datalagen har utan ändring i sak förts över till 4 kap 9 c § och<br>10 § brottsbalken</p>
<p>Straffbestämmelserna i 21 § i den nuvarande datalagen är i dag<br>subsidiära i förhållande till straffbestämmelserna i lagen (1990:409) om<br>skydd för företagshemligheter. Enligt den lagen straffas företagsspioneri<br>och olovlig befattning med företagshemlighet med böter eller fängelse i<br>högst två år eller, om brottet är grovt, fängelse i högst sex respektive fyra<br>år. Är gärningen belagd med strängare straff enligt brottsbalken, döms<br>dock inte till ansvar för dessa brott För dataintrång och för normalgraden<br>av företagsspioneri och olovlig befattning med företagshemlighet gäller<br>samma straffskala. I och med att bestämmelsen om straff för dataintrång<br>förs över till brottsbalken finns det inte anledning att ha någon annan<br>reglering om konkurrensen än den som gäller förhållandet mellan övriga<br>brottsbalksbrott och straffbestämmelserna om företagsspioneri och olovlig<br>befattning med företagshemlighet</p>
<p>Förhållandet mellan bestämmelsen om straff för dataintrång i 4 kap<br>och bestämmelserna i samma kapitel om straff för brytande av post- eller<br>telehemlighet och intrång i förvar klargörs uttryckligen. Förhållandet<br>mellan brottet dataintrång och övriga brottsbalksbrott får avgöras enligt<br>sedvanliga principer för bedömningen av konkurrens mellan över-<br>lappande straffstadganden i brottsbalken.</p>
<h3>18.4 Förslaget till lag om ändring i regeringsformen</h3>
<p>8 kap 7 §</p>
<p>Ändringen i första stycket punkt 8 innebär att regeringen och i före-<br>kommande fall, efter s.k. subdelegation, den myndighet som regeringen<br>bestämmer kan ges behörighet att meddela föreskrifter på hela det område<br>som omfattas av personuppgifislagen, dvs. avseende även skydd för<br>personlig integritet vid viss icke automatiserad behandling av person-<br>uppgifter. Ändringen, som överensstämmer med Datalagskommitténs<br>förslag, har behandlats i avsnitt 10. Frågan om dagen för ikraftträdandet<br>av ändringen - den 1 januari 1999 - har behandlats i avsnitt 15.</p>
<h3>18.5 Förslaget till lag om ändring i personuppgiftslagen<br>(0000:000)</h3>
<p>Ändringarna i 20, 21, 35, 41 och 50 §§ innebär att regeringen eller den<br>myndighet som regeringen bestämmer från och med ikraftträdandet den 1<br>januari 1999 av den ändring i regeringsformen som berörts i närmast<br>föregående avsnitt bemyndigas att meddela föreskrifter även såvitt avser<br>sådan manuell behandling av personuppgifter som omfattas av person-</p>
<p>149</p>
<p>uppgiftslagen. Frågan om normgivningsdelegation har behandlats i avsnitt Prop. 1997/98:44<br>10 och frågan om ikraftträdande har behandlats i avsnitt 15.</p>
<p>150</p>
<h2>EG-direktivet om personuppgifter</h2>
<p>Prop. 1997/98:44</p>
<p>Bilaga 1</p>
<p>EUROPAPARLAMENTETS OCH RÅDETS DIREKTIV 95/46/EG<br>av den 24 oktober 1995</p>
<p>om skydd för enskilda personer med avseende på behandling av<br>personuppgifter och om det fria flödet av sådana uppgifter</p>
<p>EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD<br>HAR ANTAGIT DETTA DIREKTIV</p>
<p>med beaktande av Fördraget om upprättandet av Europeiska gemen-<br>skapen, särskilt artikel 100a i detta,</p>
<p>med beaktande av kommissionens förslag(’),</p>
<p>med beaktande av Ekonomiska och sociala kommitténs yttrande(<sup>2</sup>),</p>
<p>i enlighet med det förfarande som anges i fördragets artikel 189b(<sup>3</sup>), och<br>med beaktande av följande:</p>
<p>1) Gemenskapens målsättningar som uttryckts i fördraget, såsom detta<br>ändrats genom Fördraget om Europeiska unionen, består i att för-<br>verkliga en allt fastare sammanslutning av de europeiska folken, i att<br>upprätta allt närmare relationer mellan de stater som förenas i<br>gemenskapen, i att säkerställa ekonomiska och sociala framsteg i<br>sina länder genom gemensamma åtgärder för att undanröja de<br>barriärer som delar Europa, i att fortgående förbättra levnadsvill-<br>koren för dess folk, i att bevara och stärka fred och frihet och i att<br>främja demokratin på grundval av de grundläggande rättigheter som<br>erkänns i medlemsstaternas grundlagar och lagar liksom i den<br>europeiska konventionen om skydd för de mänskliga rättigheterna<br>och de grundläggande friheterna.</p>
<p>2) Systemen för databehandling av uppgifter är till för människomas<br>skull. Oavsett fysiska personers medborgarskap eller hemvist måste<br>systemen respektera dessa personers grundläggande fri- och rättig-<br>heter - särskilt rätten till privatlivet - och bidra till ekonomiska och<br>sociala framsteg, handelns utveckling och enskilda personers väl-<br>färd</p>
<p>3) Upprättandet av den inre marknaden och dennas funktion, som i en-<br>lighet med artikel 7a i fördraget innebär fri rörlighet för varor, per-<br>soner, tjänster och kapital, förutsätter inte bara att personuppgifter<br>fritt kan överföras från en medlemsstat till en annan utan också att<br>enskilda personers grundläggande rättigheter skyddas.</p>
<p>(') EGT nr C 277, 5.11.1990, s. 3, och EGT nr C 311, 27.11.1992, s. 30.</p>
<p>(<sup>2</sup>) EGT nr C 159, 17.6.1991, s. 38.</p>
<p>(<sup>3</sup>) Europaparlamentets yttrande av den 11 mars 1992 (EGT nr C 94, 13.4.1992, s. 198),<br>bekräftat den 2 december 1993 (EGT. nr C 342, 20.12.1993, s. 30) rådets gemensamma<br>ståndpunkt av den 20 februari 1995 (EGT nr C 93, 13.4.1995, s. 1) och<br>Europaparlamentets beslut av den 15 juni 1995 (EGT nr C 166, 3.7.1995).</p>
<p>151</p>
<p>4) Inom gemenskapen behandlas och används personuppgifter allt<br>oftare inom olika ekonomiska och samhälleliga områden. Fram-<br>stegen på informationsteknikens område har gjort det avsevärt<br>lättare att behandla och utbyta sådana uppgifter.</p>
<p>5) Den ekonomiska och sociala integration som är en följd av<br>upprättandet av den inre marknaden och dennas funktion i enlighet<br>med artikel 7a i fördraget kommer med nödvändighet att leda till en<br>betydande ökning av flödet av personuppgifter över gränserna<br>mellan samtliga aktörer på de ekonomiska och samhälleliga om-<br>rådena, oavsett om dessa aktörer tillhör den privata eller den offent-<br>liga sektorn Utbytet av personuppgifter mellan företag i olika<br>medlemsstater kommer att öka. De nationella myndigheterna i de<br>olika medlemsstaterna måste som ett led i tillämpningen av gemen-<br>skapsrätten samarbeta och utbyta personuppgifter för att kunna<br>fullgöra sina åligganden eller utföra arbetsuppgifter för en myn-<br>dighet i en annan medlemsstat inom det område utan inre gränser<br>som den inre marknaden innebär</p>
<p>6) Det ökade vetenskapliga och tekniska samarbetet liksom det sam-<br>ordnade införandet av nya telekommunikationsnät inom gemen-<br>skapen nödvändiggör och underlättar dessutom det gränsöver-<br>skridande flödet av personuppgifter</p>
<p>7) Skillnaden i skyddsnivå mellan medlemsstater vad gäller enskilda<br>personers fri- och rättigheter, särskilt rätten till privatliv med avseen-<br>de på behandling av personuppgifter, kan hindra översändande av<br>sådana uppgifter från en medlemsstats territorium till en annans<br>Denna skillnad kan därför utgöra ett hinder för att utöva en rad<br>ekonomiska aktiviteter på gemenskapsnivå, snedvrida konkurrensen<br>och hindra myndigheterna att fullgöra de skyldigheter som åligger<br>dem enligt gemenskapsrätten. Denna skillnad i skyddsnivå beror på<br>olikheter i nationella lagar och andra författningar</p>
<p>8) För att hindren mot flöden av personuppgifter skall kunna avskaffas<br>måste skyddsnivån när det gäller enskilda personers fri- och<br>rättigheter med avseende på behandlingen av sådana uppgifter vara<br>likvärdig i alla medlemsstater. Denna målsättning är av grund-<br>läggande betydelse för den inre marknaden men kan inte uppnås<br>genom åtgärder endast av medlemsstaterna, i synnerhet med tanke<br>på omfattningen av de skillnader som för närvarande finns mellan<br>nationell lagstiftning på området och med tanke på behovet av att<br>samordna lagstiftningen i medlemsstaterna för att säkerställa en<br>sådan enhetlig reglering av det gränsöverskridande flödet av person-<br>uppgifter som överensstämmer med målsättningen för den inre<br>marknaden enligt artikel 7a i fördraget. Det är därför nödvändigt att<br>gemenskapen vidtar åtgärder för att åstadkomma en tillnärmning av<br>lagstiftningen</p>
<p>9) Eftersom tillnärmningen av de nationella lagstiftningarna kommer<br>att leda till ett likvärdigt skydd kommer medlemsstaterna inte längre<br>att kunna hindra det fria flödet av personuppgifter mellan dem under<br>hänvisning till enskilda personers fri- och rättigheter, särskilt rätten<br>till privatliv. Medlemsstaterna kommer att få ett handlingsutrymme,</p>
<p>Prop 1997/98:44</p>
<p>Bilaga 1</p>
<p>152</p>
<p>som i samband med genomförandet av detta direktiv också kommer<br>att kunna utnyttjas av näringslivet och arbetsmarknadens parter.<br>Medlemsstaterna kommer därför att i sin nationella lagstiftning sär-<br>skilt kunna ange de allmänna villkor som skall gälla för behand-<br>lingen av uppgifter. Medlemsstaterna skall härvid sträva efter att<br>förbättra det skydd som deras nuvarande lagstiftning ger. Inom<br>ramen för detta handlingsutrymme och i enlighet med gemenskaps-<br>rätten kan skillnader uppkomma vid genomförandet av direktivet,<br>vilket kan påverka flödet av uppgifter såväl inom en medlemsstat<br>som på gemenskapsnivå.</p>
<p>10) Ändamålet med den nationella lagstiftningen om behandling av per-<br>sonuppgifter är att skydda grundläggande fri- och rättigheter,<br>särskilt den rätt till privatlivet som erkänns både i artikel 8 i den<br>europeiska konventionen om skydd för de mänskliga rättigheterna<br>och de grundläggande friheterna och i gemenskapsrättens allmänna<br>rättsprinciper. Av denna anledning får tillnärmningen av denna<br>lagstiftning inte medföra någon inskränkning i det skydd de ger,<br>utan skall i stället syfta till att garantera en hög skyddsnivå inom<br>gemenskapen.</p>
<p>11) De principer om skydd för enskilda personers fri- och rättigheter,<br>särskilt rätten till privatlivet, som detta direktiv innehåller, utgör en<br>precisering och en förstärkning av principerna i Europarådets<br>konvention av den 28 januari 1981 om skydd för enskilda vid<br>automatisk databehandling av personuppgifter.</p>
<p>12) Principerna för skyddet måste gälla för all behandling av personupp-<br>gifter som utförs av en person vars verksamhet regleras av gemen-<br>skapsrätten. En fysisk persons behandling av uppgifter uteslutande<br>för personliga ändamål eller för hemmabruk, såsom korrespondens<br>eller förande av adressregister, skall dock inte omfattas.</p>
<p>13) Sådan verksamhet som avses i avdelningarna V och VI i Fördraget<br>om Europeiska unionen och som rör allmän säkerhet, försvar,<br>statens säkerhet och statens verksamhet på straffrättens område<br>faller inte inom tillämpningsområdet för gemenskapsrätten, dock<br>med förbehåll för medlemsstaternas skyldigheter enligt artik-<br>larna 56.2, 57 eller 100a i Fördraget om upprättandet av Europeiska<br>gemenskapen. Sådan behandling av personuppgifter som är nödvän-<br>dig för att skydda statens ekonomiska välstånd omfattas inte av detta<br>direktiv, när behandlingen har samband med frågor om statens<br>säkerhet.</p>
<p>14) För närvarande görs inom ramen för informationssamhället be-<br>tydande framsteg såvitt avser tekniken för att uppta, överföra,<br>bearbeta, registrera, lagra eller lämna ut ljud- eller bilduppgifter om<br>fysiska personer, detta direktiv bör därför tillämpas på behandling<br>av sådana uppgifter</p>
<p>15) Behandlingen av sådana uppgifter omfattas av detta direktiv endast<br>om den sker med hjälp av automatisk databehandling eller om de<br>uppgifter som behandlas ingår eller avses ingå i ett register som är<br>uppbyggt efter vissa med utgångspunkt i för enskilda personer utfor-<br>made kriterier för att underlätta tillgång till de berörda uppgifterna.</p>
<p>Prop. 1997/98:44</p>
<p>Bilaga 1</p>
<p>153</p>
<p>16) Behandlingen av ljud- och bilduppgifter - exempelvis i samband<br>med videoövervakning - omfattas mte av detta direktiv om den<br>utförs för att tillgodose den allmänna säkerheten, försvaret, statens<br>säkerhet eller statens verksamhet på straffrättens område eller till<br>annan verksamhet som inte faller inom gemenskapsrättens tillämp-<br>ningsområde.</p>
<p>17) När det gäller behandling av ljud- och bilduppgifter för journa-<br>listiska ändamål eller i litterärt eller konstnärligt skapande, särskilt<br>på det audiovisuella området, skall direktivets principer i enlighet<br>med bestämmelserna i artikel 9 tillämpas restriktivt.</p>
<p>18) För att undvika att en enskild person förvägras det skydd som till-<br>kommer honom enligt detta direktiv skall varje behandling av per-<br>sonuppgifter inom gemenskapen ske i enlighet med lagstiftningen i<br>en av medlemsstaterna. Med hänsyn till detta bör behandlingen av<br>uppgifter som utförs av någon som på uppdrag av en register-<br>ansvarig som är etablerad i en medlemsstat regleras av den statens<br>lagstiftning</p>
<p>19) Etablering på en medlemsstats territorium förutsätter effektiv och<br>faktisk verksamhet med hjälp av en stabil struktur. Härvid har den<br>berörda verksamhetens rättsliga form inte avgörande betydelse,<br>oavsett om det är fråga om en filial eller om ett dotterbolag som är<br>en juridisk person. Om den ansvarige är etablerad på flera medlems-<br>staters territorier, särskilt genom dotterbolag, måste han för att<br>undvika varje kringgående garantera att varje verksamhet uppfyller<br>bestämmelserna i den nationella lagstiftning som gäller för akti-<br>viteterna.</p>
<p>20) Den omständigheten att den registeransvarige är etablerad i ett<br>tredje land far inte utgöra ett hinder f<jr det skydd som enskilda<br>personer ges i detta direktiv. I sådana fall skall på behandlingen av<br>uppgifter tillämpas den medlemsstats lagstiftning som innehåller de<br>hjälpmedel som används för behandlingen. Det bör finnas garantier<br>för att de rättigheter som följer av detta direktiv respekteras i<br>praktiken</p>
<p>21) Detta direktiv påverkar inte de territorialitetsregler som gäller på<br>straffrättens område.</p>
<p>22) Medlemsstaterna bör i sin lagstiftning eller genom andra bestäm-<br>melser som antas för att genomföra detta direktiv närmare ange de<br>allmänna villkoren för att en behandling skall vara tillåten. Särskilt<br>artikel 5 jämförd med artiklarna 7 och 8 tillåter medlemsstaterna att,<br>oavsett de allmänna regler som gäller, ange särskilda villkor för<br>behandlingen av uppgifter på särskilda områden och för de olika<br>kategorier av uppgifter som behandlas i artikel 8.</p>
<p>23) Medlemsstaterna har befogenhet att genomföra skyddet för enskilda<br>personer både genom en generell lagstiftning om skydd för enskilda<br>personer såvitt avser behandling av personuppgifter och genom sär-<br>skild lagstiftning som till exempel om statistiska institut.</p>
<p>24) Sådan lagstiftning som rör skydd för juridiska personer med avseen-<br>de på behandling av uppgifter som angår dem berörs inte av detta<br>direktiv.</p>
<p>Prop. 1997/98:44</p>
<p>Bilaga 1</p>
<p>154</p>
<p>25) Principerna för skyddet måste avspeglas dels i de förpliktelser som<br>åvilar personer, myndigheter, företag, institutioner, organ eller andra<br>registeransvariga särskilt med avseende på uppgifternas kvalitet, den<br>tekniska säkerheten, anmälningar till tillsynsmyndigheten och de<br>omständigheter under vilka behandling får utföras, dels i de rättighe-<br>ter som tillkommer enskilda personer, vilkas personuppgifter blir<br>föremål för behandling, att bli informerade om att behandling sker,<br>att fa tillgång till uppgifterna, att begära rättelse och att under vissa<br>omständigheter invända mot behandlingen.</p>
<p>26) Principerna för skyddet måste gälla all information som rör en<br>identifierad eller identifierbar person. För att avgöra om en person<br>är identifierbar skall härvid beaktas alla hjälpmedel som i syfte att<br>identifiera vederbörande rimligen kan komma att användas antingen<br>av den registeransvarige eller av någon annan person. Skyddsprin-<br>cipema gäller mte för uppgifter som gjorts anonyma på ett sådant<br>sätt att den registrerade inte längre är identifierbar. En sådan<br>uppförandekodex som avses i artikel 27 kan vara ett användbart<br>redskap för att ge vägledning om hur uppgifter kan göras anonyma<br>och behållas i en form som gör det omöjligt att identifiera den<br>registrerade.</p>
<p>27) Enskilda personer skall skyddas både i samband med automatisk da-<br>tabehandling av uppgifterna och i samband med manuell<br>behandling. Omfattningen av detta skydd får inte faktiskt bero på<br>den teknik som används eftersom detta skulle kunna skapa en<br>allvarlig risk för kringgående. När det gäller manuell behandling<br>omfattar detta direktiv endast register och inte ostrukturerade akter.<br>Särskilt innehållet i ett register måste vara strukturerat efter<br>bestämda kriterier som avser enskilda personer, för att lätt ge<br>tillgång till personuppgifter. I enlighet med definitionen i artikel 2 c)<br>kan de olika kriterier som gör det möjligt att fastställa de enskilda<br>delarna av en strukturerad samling personuppgifter och de olika<br>kriterier som reglerar möjligheten att få tillgång till en sådan<br>samling utformas av varje medlemsstat Akter eller grupper av akter<br>liksom dessas omslag, vilka inte är strukturerade enligt särskilda<br>kriterier, faller inte under några omständigheter inom detta direktivs<br>tillämpningsområde</p>
<p>28) Varje behandling av personuppgifter måste vara laglig och korrekt<br>gentemot berörda personer. Uppgifterna måste särskilt vara ade-<br>kvata, relevanta och nödvändiga med hänsyn till de ändamål för<br>vilka de behandlas. Dessa ändamål skall vara uttryckligt angivna,<br>berättigade och bestämda vid tiden för insamling av uppgifterna.<br>Sådana ändamål med behandlingen som läggs fast sedan upp-<br>gifterna samlats in får inte vara oförenliga med de ändamål som ur-<br>sprungligen angavs.</p>
<p>29) Senare behandling av personuppgifter för historiska, statistiska eller<br>vetenskapliga ändamål kan - förutsatt att medlemsstaterna ger lämp-<br>liga garantier - inte allmänt sett anses oförenliga med de ändamål<br>för vilka uppgifterna tidigare samlades in Dessa garantier skall</p>
<p>Prop 1997/98:44</p>
<p>Bilaga 1</p>
<p>155</p>
<p>särskilt hindra att uppgifterna används för att vidta åtgärder mot<br>eller fatta beslut som rör en viss person</p>
<p>30) För att vara tillåten skall en behandling av personuppgifter dessutom<br>utföras med den registrerades samtycke eller vara nödvändig för in-<br>gåendet eller utförandet av förpliktelser i enlighet med ett avtal som<br>är bindande för den registrerade, eller fordras enligt lagstiftning vid<br>utförandet av något som är i det allmännas intresse eller är ett led i<br>myndighetsutövning eller vara i en fysisk eller juridisk persons in-<br>tresse förutsatt att skyddet av den registrerades fri- och rättigheter<br>inte går före För att särskilt garantera jämvikt mellan de berörda<br>intressena och för att samtidigt säkerställa en effektiv konkurrens får<br>medlemsstaterna närmare ange på vilka villkor användning och<br>utlämnande till tredje man av personuppgifter får äga rum inom<br>ramen för tillåtna aktiviteter som av företag och andra organ utövas i<br>deras löpande verksamhet Medlemsstaterna får även närmare ange<br>på vilka villkor personuppgifter i marknadsfönngssyfte far vidare-<br>befordras till tredje man, oavsett om detta sker kommersiellt eller av<br>välgörenhetsorganisationer, föreningar eller stiftelser, exempelvis av<br>politisk karaktär, men förutsatt att regler iakttas som har till syfte att<br>ge den registrerade möjlighet att invända mot att de uppgifter som<br>rör honom behandlas utan att behöva ange sina skäl och utan att<br>åsamkas kostnader för detta.</p>
<p>31) Behandling av personuppgifter måste även anses tillåten när den ut-<br>förs för att skydda ett intresse som är av avgörande betydelse för den<br>registrerades liv</p>
<p>32) Det ankommer på den nationella lagstiftningen att avgöra om den<br>som ansvarar för en behandling som utförs i det allmännas intresse<br>eller vid myndighetsutövning skall vara en myndighet eller något<br>annat offentligrättsligt eller civilrättsligt subjekt, såsom exempelvis<br>en yrkesorganisation.</p>
<p>33) Uppgifter som på grund av sin natur kan kränka grundläggande fri-<br>och rättigheter eller privatlivets helgd får inte behandlas utan sam-<br>tycke av den registrerade. Dock måste det finnas en uttrycklig möj-<br>lighet att för att tillgodose särskilda behov, i synnerhet när behand-<br>lingen av uppgifterna utförs för ändamål som har samband med<br>hälso- och sjukvården av personer som är underkastade tystnadsplikt<br>eller för att genomföra berättigade åtgärder av vissa föreningar eller<br>stiftelser vilkas syften är att skydda utövningen av vissa grund-<br>läggande fri- och rättigheter.</p>
<p>34) När det av hänsyn till viktiga allmänna intressen är nödvändigt,<br>måste medlemsstaterna kunna avvika från förbudet mot att behandla<br>känsliga kategorier av uppgifter på sådana områden som exempelvis<br>folkhälsa och socialskydd, särskilt för att säkerställa kvalitet och<br>lönsamhet när det gäller förfaranden som används i samband med<br>ansökningar om förmåner och tjänster inom sjukförsäkrings-<br>systemet, i samband med vetenskaplig forskning och i samband med<br>offentlig statistik. Dock åligger det medlemsstaterna att sörja för att<br>det finns lämpliga och konkreta garantier för att skydda enskilda<br>personers grundläggande rättigheter och privatliv.</p>
<p>Prop. 1997/98:44</p>
<p>Bilaga 1</p>
<p>156</p>
<p>35) Myndigheters behandling av personuppgifter för officiellt erkända<br>religiösa sammanslutningars räkning för att uppfylla målsättningar<br>som uttrycks i grundlagen eller folkrätten utförs för att tillgodose<br>viktiga samhälleliga intressen.</p>
<p>36) Om det i samband med att allmänna val hålls för att det demo-<br>kratiska systemet skall fungera är nödvändigt att de politiska par-<br>tierna i vissa medlemsstater samlar in uppgifter om enskilda per-<br>soners politiska uppfattning far behandling av sådana uppgifter<br>tillåtas av hänsyn till viktiga allmänna intressen, på villkor att<br>bestämmelser om lämpliga garantier föreskrivs.</p>
<p>37) För sådan behandling av personuppgifter som sker för journalistiska<br>ändamål eller för konstnärligt eller litterärt skapande - särskilt på<br>det audiovisuella området - bör det fastställas undantag från eller<br>begränsningar i förhållande till vissa bestämmelser i detta direktiv så<br>långt detta är nödvändigt för att förena enskilda personers grund-<br>läggande rättigheter med yttrandefriheten, särskilt den rätt att ta<br>emot och lämna upplysningar som särskilt fastslås i artikel 10 i den<br>europeiska konventionen om skydd för de mänskliga rättigheterna<br>och de grundläggande friheterna. För att åstadkomma en avvägning<br>mellan de grundläggande fri- och rättigheterna åligger det medlems-<br>staterna att besluta om nödvändiga undantag och begränsningar<br>såvitt avser de generella åtgärder som har avseende på uppgifts-<br>behandlingens berättigande, åtgärder för att vidareföra uppgifter till<br>tredje land och tillsynsmyndighetens befogenheter. Detta får dock<br>inte leda till att medlemsstaterna beslutar om undantag från åtgärder<br>som vidtas för att säkerställa behandlingens säkerhet. Den till-<br>synsmyndighet som är behörig på området bör utrustas med i vart<br>fall vissa befogenheter att utövas efter behandlingen i fråga,<br>exempelvis befogenhet att med jämna mellanrum offentliggöra en<br>rapport eller att överlämna ärenden till rättsliga myndigheter.</p>
<p>38) En korrekt behandling av uppgifter förutsätter att de registrerade<br>kan få kännedom om behandlingen och att de - när uppgifter samlas<br>in hos dem - kan få korrekt och fullständig information med hänsyn<br>till de närmare omständigheterna vid insamlingen.</p>
<p>39) I vissa fall rör behandlingen uppgifter som den registeransvarige<br>inte har samlat in direkt från den registrerade. Vidare kan utläm-<br>nande av uppgifter till tredje man vara tillåten även om utlämnandet<br>inte kunde förutses när uppgifterna samlades in från den re-<br>gistrerade. I samtliga dessa fall skall den registrerade informeras när<br>uppgifterna registreras eller senast när uppgifterna för första gången<br>lämnas ut till tredje man.</p>
<p>40) Det är dock inte nödvändigt att ställa detta krav om den registrerade<br>redan känner till informationen. Detta krav behöver inte heller<br>ställas om registreringen eller utlämnandet uttryckligen regleras i<br>lagstiftningen eller om lämnande av information till den berörda<br>personen visar sig vara omöjligt eller innebära oproportionerligt<br>stora ansträngningar, vilket skulle kunna vara fallet i samband med<br>behandling för historiska, statistiska eller vetenskapliga ändamål I</p>
<p>Prop. 1997/98:44</p>
<p>Bilaga 1</p>
<p>157</p>
<p>detta sammanhang kan antalet registrerade, uppgifternas ålder och<br>de kompensatoriska åtgärder som kan vidtas tas i beaktande.</p>
<p>41) Alla måste kunna utöva sin rätt att få tillgång till uppgifter som rör<br>dem och som är föremål för behandling, för att i detalj kunna<br>försäkra sig om att uppgifterna är korrekta och om att behandlingen<br>är tillåten. Av samma anledning måste var och en ha rätt att få reda<br>på den logik som gäller för den automatiska databehandlingen av<br>uppgifter som rör honom, åtminstone såvitt avser sådana automa-<br>tiska beslut som avses i artikel 15.1. Denna rättighet får inte kränka<br>affärshemligheten eller upphovsrätten, särskilt inte den upphovsrätt<br>som skyddar programvaran. Detta bör dock inte få resultera i att den<br>registrerade nekas all information.</p>
<p>42) Medlemsstaterna kan av hänsyn till intresset hos den registrerade<br>eller till andras fri- och rättigheter begränsa rätten till tillgång till<br>uppgifter och information. De kan till exempel besluta att tillgång<br>till uppgifter av medicinsk art endast får erhållas genom förmedling<br>av någon som är yrkesmässigt verksam inom hälso- och sjukvården.</p>
<p>43) Rätten till tillgång till uppgifter och information samt vissa skyl-<br>digheter hos den registeransvarige kan inskränkas av medlemssta-<br>terna i den utsträckning som det är nödvändigt för att skydda till ex-<br>empel statens säkerhet, försvaret, allmän säkerhet eller viktiga eko-<br>nomiska eller finansiella intressen som är av betydelse för en med-<br>lemsstat eller för unionen, liksom för brottsutredningar och åtal och<br>åtgärder som rör överträdelser av etiska regler som gäller för sådana<br>yrken som särskilt regleras i lagstiftning. På förteckningen över un-<br>dantag och begränsningar bör upptas de uppgifter för övervakning,<br>tillsyn eller reglering som är nödvändiga på de tre sistnämnda områ-<br>dena, nämligen allmän säkerhet, ekonomiska och finansiella in-<br>tressen samt beivrande av brott. Uppräkningen av uppgifter på dessa<br>tre områden påverkar mte undantag eller begränsningar av hänsyn<br>till statens säkerhet och försvaret.</p>
<p>44) För att uppfylla vissa av de nämnda målsättningarna kan medlems-<br>staterna på grund av bestämmelser i gemenskapsrätten tvingas att<br>avvika från bestämmelserna i detta direktiv om rätten till tillgång till<br>uppgifter, skyldigheten att informera enskilda personer och kva-<br>liteten på uppgifterna.</p>
<p>45) I sådana fall då uppgifter av hänsyn till allmänna intressen, på grund<br>av myndighetsutövning eller av hänsyn till en persons berättigade in-<br>tressen kan bli föremål för tillåten behandling, skall varje berörd<br>person ändå, på berättigade och avgörande skäl som avser hans<br>särskilda situation, ha rätt att invända mot att uppgifter som rör<br>honom själv behandlas. Medlemsstaterna har dock möjlighet att anta<br>bestämmelser av motsatt innehåll.</p>
<p>46) Skyddet för de registrerades fri- och rättigheter förutsätter såvitt<br>avser behandling av personuppgifter att lämpliga tekniska och<br>organisatoriska åtgärder vidtas både när systemet för behandlingen<br>utformas och när själva behandlingen sker, särskilt för att garantera<br>säkerheten och för att på så sätt hindra all otillåten behandling. Det<br>åligger medlemsstaterna att säkerställa att de registeransvariga<br></p>
<p>Prop. 1997/98:44</p>
<p>Bilaga 1</p>
<p>158</p>
<p>respekterar dessa åtgärder Åtgärderna skall garantera en lämplig<br>säkerhetsnivå med hänsyn till den nuvarande utvecklingsnivån och<br>till kostnaderna för genomförandet under hänsynstagande till de<br>risker som behandlingen innebär och arten av de uppgifter som skall<br>skyddas</p>
<p>47) När ett meddelande som innehåller personuppgifter översänds<br>genom förmedling av en organisation för telekommunikation eller<br>elektronisk post, vars enda ändamål är att översända sådana med-<br>delanden, blir det normalt den från vilken meddelandet härrör och<br>inte den person som erbjuder nämnda tjänst som anses ansvara för<br>behandlingen av personuppgifterna. De som erbjuder sådana tjänster<br>kommer dock normalt att anses som ansvariga för behandlingen av<br>de ytterligare personuppgifter som fordras för att tjänsten skall<br>kunna användas</p>
<p>48) Anmälmngsförfarandet är avsett för att göra en behandlings syfte<br>och viktigaste egenskaper allmänt kända för att säkerställa att<br>behandlingen sker i enlighet med de nationella åtgärder som vidtas<br>för att genomföra detta direktiv.</p>
<p>49) För att undvika olämpliga administrativa formaliteter kan medlems-<br>staterna besluta om undantag från och förenklingar av anmälnings-<br>plikten såvitt avser sådana fall då behandlingen sannolikt inte kom-<br>mer att kränka de berörda personernas fri- och rättigheter, förutsatt<br>att detta är i överensstämmelse med en åtgärd som vidtagits av en<br>medlemsstat och som särskilt anger begränsningarna Medlemssta-<br>terna kan även besluta om undantag och förenklingar i fall då någon<br>som utsetts av den registeransvarige försäkrar sig om att de utförda<br>behandlingarna inte kommer att kränka de registrerades fri- och<br>rättigheter. Den person som sålunda utsetts att skydda uppgifterna<br>måste - vare sig han är anställd av den registeransvarige eller inte -<br>ha möjlighet att utöva sin verksamhet på ett fullständigt oberoende<br>sätt.</p>
<p>50) Undantag från anmälningsplikten och förenklad anmälan bör kunna<br>tillåtas särskilt då det är fråga om behandling av uppgifter som<br>endast syftar till att ett register skall föras, som är avsett för att i<br>enlighet med nationell lagstiftning ge allmänheten information och<br>som är tillgängligt för allmänheten eller var och en som kan styrka<br>att han har ett berättigat intresse.</p>
<p>51) Det förhållandet att den registeransvarige omfattas av förenklat an-<br>mälningsförfarande eller är undantagen från anmälningsplikt befriar<br>honom inte från de övriga förpliktelser som följer av detta direktiv.</p>
<p>52) I detta sammanhang måste en efterföljande kontroll från den<br>behöriga myndighetens sida i allmänhet anses som en tillräcklig<br>åtgärd.</p>
<p>53) Vissa typer av behandling - till exempel behandling som har till än-<br>damål att utesluta den berörde från möjligheten att utöva en<br>rättighet, motta en förmån eller ingå ett avtal eller sådan behandling<br>som innebär användning av ny teknik - kan på grund av sin natur,<br>sin omfattning eller sitt ändamål innebära särskilda risker för att de</p>
<p>Prop. 1997/98:44</p>
<p>Bilaga 1</p>
<p>159</p>
<p>registrerades fri- och rättigheter skall kränkas. Medlemsstaterna kan<br>om de önskar det precisera dessa risker i sin lagstiftning.</p>
<p>54) Med tanke på omfattningen av den behandling av uppgifter som ut-<br>förs i samhället torde det antal behandlingar som innebär särskilda<br>risker vara mycket begränsat. Medlemsstaterna måste föreskriva att<br>tillsynsmyndigheten eller den som utövar tillsyn i samråd med till-<br>synsmyndigheten företar en förhandskontroll av dessa behandlingar<br>innan de utförs. Sedan en sådan förhandskontroll genomförts får till-<br>synsmyndigheten i enlighet med den nationella lagstiftningen som<br>gäller för myndigheten yttra sig över eller tillåta behandlingen. En<br>sådan kontroll kan även företas som ett led i det nationella parla-<br>mentets förberedande arbete med en åtgärd eller som ett led i arbetet<br>med en åtgärd som grundas på en sådan lagstiftande åtgärd som<br>definierar behandlingens art och anger lämpliga skyddsåtgärder.</p>
<p>55) För de fall då den registeransvarige inte respekterar de registrerades<br>rättigheter måste det i medlemsstatens lagstiftning finnas möjlighet<br>till rättslig prövning. Personer som lider skada till följd av otillåten<br>behandling skall ha rätt till ersättning av den registeransvarige,<br>vilken kan befrias från skadeståndsansvar om han kan visa att han<br>inte är ansvarig för skadan, särskilt i fall då han kan påvisa att ett fel<br>begåtts av den registrerade eller i fall av force majeure. Sanktioner<br>skall vidtas mot såväl privaträttsliga som offentligrättsliga subjekt<br>som överträder de nationella bestämmelser som antagits för att<br>genomföra detta direktiv</p>
<p>56) Gränsöverskridande flöden av personuppgifter är nödvändiga för<br>den internationella handelns utveckling. Det skydd som genom detta<br>direktiv tillförsäkras enskilda personer inom gemenskapen hindrar<br>inte att personuppgifter överförs till sådana tredje länder som ga-<br>ranterar en adekvat skyddsnivå. Frågan om skyddsnivåns adekvans<br>skall bedömas med hänsyn till alla de omständigheter som har<br>samband med en överföring eller en grupp av överföringar.</p>
<p>57) Om ett tredje land inte garanterar en adekvat skyddsnivå skall över-<br>föring av personuppgifter till det landet förbjudas.</p>
<p>58) Undantag från detta förbud skall under vissa omständigheter kunna<br>medges om den registrerade lämnar sitt samtycke, om överföring är<br>nödvändig för ett avtal eller ett rättsligt anspråk, när skyddet av vä-<br>sentliga samhällsintressen kräver det, till exempel vid internationellt<br>utbyte av uppgifter mellan skattemyndigheter eller tullmyndigheter<br>eller mellan socialförsäkringsmyndigheter eller om överföringen ut-<br>förs med utgångspunkt i ett register som upprättats genom lagstift-<br>ning och som är avsett att vara tillgängligt för allmänheten eller för<br>personer som har ett berättigat intresse. En sådan överföring bör inte<br>omfatta alla uppgifter eller hela kategorier av uppgifter som finns i<br>registret. När registret är avsett att vara tillgängligt för personer med<br>ett berättigat intresse skall överföringen göras endast på begäran av<br>dessa personer eller om de själva är mottagarna.</p>
<p>59) Särskilda åtgärder kan vidtas för att uppväga en otillräcklig skydds-<br>nivå i ett tredje land om den registeransvarige ställer lämpliga garan-</p>
<p>Prop 1997/98:44</p>
<p>Bilaga 1</p>
<p>160</p>
<p>tier. Bestämmelser om förfaranden för förhandling mellan gemen- Prop. 1997/98:44<br>skapen och tredje land måste antas. Bilaga 1</p>
<p>60) Överföring till tredje land får i vilket fall som helst endast utföras i<br>enlighet med bestämmelser som medlemsstaterna antagit för<br>genomförande av detta direktiv, särskilt artikel 8 i detta.</p>
<p>61) Medlemsstaterna och kommissionen måste på sina respektive kom-<br>petensområden uppmuntra berörda delar av näringslivet att anta<br>uppförandekodexar för att underlätta genomförandet av detta direk-<br>tiv med beaktande av de särskilda former av behandling som utförs<br>på vissa områden och med respekt för de nationella bestämmelser<br>som antagits för dess genomförande.</p>
<p>62) För skyddet av enskilda personer med avseende på behandlingen av<br>personuppgifter är det av avgörande betydelse att medlemsstaterna<br>inrättar oberoende tillsynsmyndigheter.</p>
<p>63) Dessa myndigheter måste ges nödvändiga resurser för att utföra sina<br>uppgifter, såsom befogenhet att - särskilt när det gäller klagomål<br>från enskilda personer - undersöka och intervenera samt befogen-<br>heter att inleda rättsliga förfaranden. De måste även bidra till att<br>garantera insyn i behandlingen av uppgifter i de medlemsstater<br>under vilkas jurisdiktion de hör.</p>
<p>64) Tillsynsmyndigheterna i de olika medlemsstaterna kommer att be-<br>höva bistå varandra i samband med utförandet av de uppgifter som<br>åligger dem för att säkerställa att skyddsreglema respekteras på ett<br>tillfredsställande sätt i hela Europeiska unionen</p>
<p>65) En arbetsgrupp för skydd av enskilda personer i samband med be-<br>handling av personuppgifter skall inrättas på gemenskapsnivå<br>Gruppen skall vid utförandet av sina uppgifter vara fullständigt obe-<br>roende. Gruppen skall med hänsyn till sin särskilda karaktär ge<br>kommissionen råd och bidra till den enhetliga tillämpningen av de<br>nationella regler som antagits för att genomföra detta direktiv</p>
<p>66) Med avseende på överföring av uppgifter till tredje land fordrar ge-<br>nomförandet av detta direktiv att kommissionen ges befogenhet att<br>besluta om genomförandet och att ett förfarande i enlighet med rikt-<br>linjerna i rådets beslut 87/373/EEG(') införs.</p>
<p>67) Den 20 december 1994 träffade Europaparlamentet, rådet och kom-<br>missionen en överenskommelse om ett ”modus vivendi” beträffande<br>genomförandeåtgärder för rättsakter som antagits i enlighet med<br>förfarandet i artikel 189b i Romfördraget</p>
<p>68) De principer för skyddet av enskilda personers fri- och rättigheter,<br>och då särskilt rätten till privatliv, som i detta direktiv uppställs med<br>avseende på behandling av personuppgifter skall för vissa områdens<br>vidkommande kunna kompletteras eller preciseras med hjälp av sär-<br>skilda bestämmelser som skall överensstämma med dessa principer.</p>
<p>69) Medlemsstaterna bör ges en frist på högst tre år räknat från ikraftträ-<br>dandet av de nationella bestämmelser som antas för att genomföra<br>detta direktiv, så att de stegvis kan tillämpa de nya nationella be-<br>stämmelserna på alla sådana behandlingar som redan påbörjats. För</p>
<p>(')EGTnrL 197, 18.7.1987, s. 33.</p>
<p>161</p>
<p>11 Riksdagen 1997/98. 1 saml. Nr 44<br></p>
<p>att möjliggöra ett kostnadseffektivt genomförande av dessa be-<br>stämmelser skall medlemsstaterna tillåtas att under ytterligare en<br>tidsperiod, som löper ut tolv år efter dagen för antagandet av detta<br>direktiv, vidta åtgärder för att säkerställa att då befintliga manuella<br>register bringas i överensstämmelse med vissa av direktivets be-<br>stämmelser. Uppgifter som ingår i dessa register och som behandlas<br>manuellt under denna förlängda övergångsperiod skall dock när det<br>är föremål för en ytterligare sådan behandling bringas i överens-<br>stämmelse med dessa bestämmelser.</p>
<p>70) Det är inte nödvändigt att den registrerade på nytt lämnar sitt sam-<br>tycke till att den registeransvarige fortsätter att behandla känsliga<br>uppgifter, när en sådan behandling är nödvändig för genomförandet<br>av att avtal som har slutits på grundval av frivilligt och informerat<br>samtycke före dessa bestämmelsers ikraftträdande.</p>
<p>71) Detta direktiv hindrar inte en medlemsstat från att anta bestäm-<br>melser för att reglera sådan marknadsföring som riktar sig till<br>konsumenter som har hemvist inom dess territorium, förutsatt att<br>dessa regler inte rör skyddet av enskilda personer med avseende på<br>behandling av personuppgifter</p>
<p>72) Detta direktiv gör det möjligt att vid genomförandet av dessa be-<br>stämmelser ta hänsyn till principen om allmänhetens rätt till tillgång<br>till allmänna handlingar.</p>
<p>HÄRIGENOM FÖRESKRIVS FÖLJANDE</p>
<p>KAPITEL 1</p>
<p>ALLMÄNNA BESTÄMMELSER</p>
<p>Artikel 1</p>
<p>Direktivets syfte</p>
<p>1. Medlemsstaterna skall i enlighet med detta direktiv skydda fysiska per-<br>soners grundläggande fri- och rättigheter, särskilt rätten till privatliv, i<br>samband med behandling av personuppgifter</p>
<p>2. Medlemsstaterna får varken begränsa eller förbjuda det fria flödet av<br>personuppgifter mellan medlemsstaterna av skäl som har samband med<br>det under punkt 1 föreskrivna skyddet.</p>
<p>Artikel 2</p>
<p>Definitioner</p>
<p>I detta direktiv avses med</p>
<p>a) personuppgifter: varje upplysning som avser en identifierad eller<br>identifierbar fysisk person (den registrerade). En identifierbar<br>person är en person som kan identifieras, direkt eller indirekt,<br>framför allt genom hänvisning till ett identifikationsnummer eller till<br></p>
<p>Prop. 1997/98:44</p>
<p>Bilaga 1</p>
<p>162</p>
<p>en eller flera faktorer som är specifika för hans fysiska, fysiologiska,<br>psykiska, ekonomiska, kulturella eller sociala identitet,</p>
<p>b) behandling av personuppgifter (behandling), varje åtgärd eller serie<br>av åtgärder som vidtas beträffande personuppgifter, vare sig det sker<br>på automatisk väg eller inte, till exempel insamling, registrering, or-<br>ganisering, lagring, bearbetning eller ändring, återvinning, inhäm-<br>tande, användning, utlämnande genom översändande, spridning<br>eller annat tillhandahållande av uppgifter, sammanställning eller<br>samköming, blockering, utplåning eller förstöring,</p>
<p>c) register med personuppgifter (register): varje strukturerad samling<br>av personuppgifter som är tillgänglig enligt särskilda kriterier, oav-<br>sett om samlingen är centraliserad, decentraliserad eller spridd på<br>grundval av funktionella eller geografiska förhållanden,</p>
<p>d) registeransvarig: den fysiska eller juridiska person, den myndighet,<br>den institution eller det andra organ som ensamt eller tillsammans<br>med andra bestämmer ändamålen och medlen för behandlingen av<br>personuppgifter. När ändamålen och medlen för behandlingen be-<br>stäms av nationella lagar och andra författningar eller av gemen-<br>skapsrätten kan den registeransvarige eller de särskilda kriterierna<br>för att utse honom anges i nationell rätt eller i gemenskapsrätten,</p>
<p>e) registerförare: den fysiska eller juridiska person, den myndighet,<br>den institution eller det andra organ som behandlar personuppgifter<br>för den registeransvariges räkning,</p>
<p>f) tredje man: den fysiska eller juridiska person, den myndighet, den<br>institution eller det andra organ än den registrerade, den regis-<br>teransvarige, registerföraren och de personer som under den regis-<br>teransvariges eller registerförarens direkta ansvar har befogenhet att<br>behandla uppgifterna,</p>
<p>g) mottagare: den fysiska eller juridiska person, den myndighet, den<br>institution eller det andra organ till vilket uppgifterna utlämnas, vare<br>sig det är en tredje man eller inte. Myndigheter som kan komma att<br>motta uppgifter inom ramen för ett särskilt uppdrag skall dock inte<br>betraktas som mottagare,</p>
<p>h) den registrerades samtycke: varje slag av frivillig, särskild och in-<br>formerad viljeyttring genom vilken den registrerade godtar behand-<br>ling av personuppgifter som rör honom</p>
<p>Artikel 3</p>
<p>Tillämpningsområde</p>
<p>1. Detta direktiv gäller för sådan behandling av personuppgifter som helt<br>eller delvis företas på automatisk väg liksom för annan behandling än<br>automatisk av personuppgifter som ingår i eller kommer att ingå i ett<br>register</p>
<p>2. Detta direktiv gäller inte för sådan behandling av personuppgifter</p>
<p>— som utgör ett led i en verksamhet som mte omfattas av gemenskaps-<br>rätten, exempelvis sådan verksamhet som avses i avdelningarna V<br>och VI i Fördraget om Europeiska unionen, och inte under några<br></p>
<p>Prop. 1997/98:44</p>
<p>Bilaga 1</p>
<p>163</p>
<p>omständigheter behandlingar som rör allmän säkerhet, försvar, Prop. 1997/98:44<br>statens säkerhet (inbegripet statens ekonomiska välstånd när Bilaga 1<br>behandlingen har samband med frågor om statens säkerhet) och<br>statens verksamhet på straffrättens område,</p>
<p>— av en fysisk person som ett led i verksamhet av rent privat natur<br>eller som har samband med hans hushåll.</p>
<p>Artikel 4</p>
<p>Tillämplig nationell rätt</p>
<p>1. Varje medlemsstat skall tillämpa de nationella bestämmelser som den<br>för genomförandet av detta direktiv antar för behandlingen av personupp-<br>gifter när</p>
<p>a) behandlingen utförs som ett led i verksamhet inom den medlems-<br>stats territorium, där den registeransvarige är etablerad. Om en re-<br>gisteransvarig är etablerad inom flera medlemsstaters territorier skall<br>han vidta nödvändiga åtgärder för att säkerställa att alla<br>verksamheter uppfyller kraven enligt den tillämpliga nationella<br>lagstiftningen,</p>
<p>b) den registeransvarige inte är etablerad inom en medlemsstats territo-<br>rium utan på en plats där medlemsstatens lagstiftning gäller på<br>grund av folkrätten,</p>
<p>c) den registeransvarige inte är etablerad på gemenskapens territorium<br>och för behandling av personuppgifter använder databehandlad eller<br>icke databehandlad utrustning som befinner sig på den nämnda<br>medlemsstatens territorium, om inte sådan utrustning endast an-<br>vänds för att låta uppgifter passera genom gemenskapen.</p>
<p>2. Under de omständigheter som avses i punkt 1 c) måste den regis-<br>teransvarige utse en företrädare som är etablerad inom den berörda med-<br>lemsstatens territorium, utan att detta i övrigt påverkar de eventuella rätts-<br>liga åtgärder som kan komma att inledas mot den ansvarige själv.</p>
<p>KAPITEL II</p>
<p>ALLMÄNNA BESTÄMMELSER OM NÄR PERSONUPPGIFTER<br>FÅR BEHANDLAS</p>
<p>Artikel 5</p>
<p>Medlemsstaterna skall inom de begränsningar som bestämmelserna i detta<br>kapitel innebär, precisera på vilka villkor behandling av personuppgifter<br>är tillåten.</p>
<p>164</p>
<p>AVDELNING I</p>
<p>PRINCIPER OM UPPGIFTERNAS KVALITET</p>
<p>Artikel 6</p>
<p>1. Medlemsstaterna skall föreskriva att personuppgifter</p>
<p>a) skall behandlas på ett korrekt och lagligt sätt,</p>
<p>b) skall samlas in för särskilda, uttryckligt angivna och berättigade än-<br>damål; senare behandling far mte ske på ett sätt som är oförenligt<br>med dessa ändamål. Senare behandling av uppgifter för historiska,<br>statistiska eller vetenskapliga ändamål skall inte anses oförenlig<br>med dessa ändamål förutsatt att medlemsstaterna beslutar om<br>lämpliga skyddsåtgärder,</p>
<p>c) skall vara adekvata och relevanta och inte får omfatta mer än vad<br>som är nödvändigt med hänsyn till de ändamål för vilka de har<br>samlats in och för vilka de senare behandlas,</p>
<p>d) skall vara riktiga och, om nödvändigt, aktuella. Alla rimliga åtgärder<br>måste vidtas för att säkerställa att personuppgifter som är felaktiga<br>eller ofullständiga i förhållande till de ändamål för vilka de sam-<br>lades in eller för vilka de senare behandlas, utplånas eller rättas,</p>
<p>e) förvaras på ett sätt som förhindrar identifiering av den registrerade<br>under en längre tid än vad som är nödvändigt för de ändamål för<br>vilka uppgifterna samlades in eller för vilka de senare behandlades<br>Medlemsstaterna skall vidta lämpliga skyddsåtgärder för de<br>personuppgifter som lagras under längre perioder för historiska,<br>statistiska eller vetenskapliga ändamål.</p>
<p>2. Det åligger den registeransvarige att säkerställa att punkt 1 efterlevs.</p>
<p>AVDELNING II</p>
<p>PRINCIPER SOM GÖR ATT UPPGIFTSBEHANDLING KAN<br>TILLÅTAS</p>
<p>Artikel 7</p>
<p>Medlemsstaterna skall föreskriva att personuppgifter får behandlas endast<br>om</p>
<p>a) den registrerade otvetydigt har lämnat sitt samtycke, eller</p>
<p>b) behandlingen är nödvändig för att fullgöra ett avtal i vilket den<br>registrerade är part eller för att vidta åtgärder på begäran av den<br>registrerade innan ett sådant avtal ingås, eller</p>
<p>c) behandlingen är nödvändig för att fullgöra en rättslig förpliktelse<br>som åvilar den registeransvarige, eller</p>
<p>d) behandlingen är nödvändig för att skydda intressen som är av grund-<br>läggande betydelse för den registrerade, eller</p>
<p>e) behandlingen är nödvändig för att utföra en arbetsuppgift av allmänt<br>intresse eller som är ett led i myndighetsutövning som utförs av den<br>registeransvarige eller tredje man till vilken uppgifterna har lämnats<br>ut, eller</p>
<p>Prop. 1997/98:44</p>
<p>Bilaga 1</p>
<p>165</p>
<p>f) behandlingen är nödvändig för ändamål som rör berättigade Prop. 1997/98:44<br>intressen hos den registeransvarige eller hos den eller de tredje män Bilaga 1<br>till vilka uppgifterna har lämnats ut, utom när sådana intressen<br>uppvägs av den registrerades intressen eller dennes grundläggande<br>fri- och rättigheter som kräver skydd under artikel 1.1</p>
<p>AVDELNING III</p>
<p>SÄRSKILDA BEHANDLINGSKATEGORIER</p>
<p>Artikel 8</p>
<p>Behandlingen av särskilda kategorier av uppgifter</p>
<p>1. Medlemsstaterna skall förbjuda behandling av personuppgifter som av-<br>slöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk<br>övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och<br>sexualliv</p>
<p>2. Punkt 1 gäller inte om</p>
<p>a) den registrerade har lämnat sitt uttryckliga samtycke till en sådan be-<br>handling, utom när det enligt medlemsstatens lagstiftning anges att<br>förbudet i punkt 1 inte kan upphävas genom den registrerades sam-<br>tycke, eller</p>
<p>b) behandlingen är nödvändig för att fullgöra de skyldigheter och sär-<br>skilda rättigheter som åligger den registeransvarige inom arbets-<br>rätten, i den omfattning detta är tillåtet enligt en nationell lagstift-<br>ning som föreskriver lämpliga skyddsåtgärder, eller</p>
<p>c) behandlingen är nödvändig för att skydda den registrerades eller nå-<br>gon annan persons grundläggande intressen när den registrerade är<br>fysiskt eller rättsligt förhindrad att ge sitt samtycke, eller</p>
<p>d) behandlingen utförs inom ramen för berättigad verksamhet hos en<br>stiftelse, en förening eller ett annat icke vinstdrivande organ, som<br>har ett politiskt, filosofiskt, religiöst eller fackligt syfte, förutsatt att<br>behandlingen endast rör sådana organs medlemmar eller personer<br>som på grund av organets ändamål har regelbunden kontakt med<br>detta och uppgifterna inte lämnas ut till tredje man utan den<br>registrerades samtycke, eller</p>
<p>e) behandlingen rör uppgifter som på ett tydligt sätt offentliggörs av<br>den registrerade eller är nödvändiga för att kunna fastslå, göra<br>gällande eller försvara rättsliga anspråk.</p>
<p>3. Punkt 1 gäller inte när behandlingen av uppgifterna är nödvändig med<br>hänsyn till förebyggande hälso- och sjukvård, medicinska diagnoser, vård<br>eller behandling eller administration av hälso- eller sjukvård eller när<br>dessa uppgifter behandlas av någon som är yrkesmässigt verksam på<br>hälso- och sjukvårdsområdet och som enligt nationell lagstiftning eller<br>bestämmelser som antagits av behöriga nationella organ är underkastad<br>tystnadsplikt eller av en annan person som är ålagd en liknande tyst-<br>nadsplikt</p>
<p>166</p>
<p>4. Under förutsättning av lämpliga skyddsåtgärder och av hänsyn till ett<br>viktigt allmänt intresse får medlemsstaterna antingen i sin nationella lag-<br>stiftning eller genom ett beslut av tillsynsmyndigheten besluta om andra<br>undantag än de som nämns i punkt 2.</p>
<p>5. Behandling av uppgifter om lagöverträdelser, brottmålsdomar eller sä-<br>kerhetsåtgärder får utföras endast under kontroll av en myndighet eller -<br>om lämpliga skyddsåtgärder finns i nationell lag - med förbehåll för de<br>ändringar som medlemsstaterna kan tillåta med stöd av nationella be-<br>stämmelser som innehåller lämpliga och specifika skyddsåtgärder. Ett<br>fullständigt register över brottmålsdomar får dock föras endast under kon-<br>troll av en myndighet</p>
<p>Medlemsstaterna får föreskriva att uppgifter som rör administrativa sank-<br>tioner eller avgöranden i tvistemål också skall behandlas under kontroll av<br>en myndighet.</p>
<p>6. De undantag från punkt 1 som anges i punkterna 4 och 5 skall anmälas<br>till kommissionen.</p>
<p>7. Medlemsstaterna skall bestämma på vilka villkor ett nationellt identifi-<br>kationsnummer eller något annat vedertaget sätt för identifiering får be-<br>handlas.</p>
<p>Artikel 9</p>
<p>Behandling av personuppgifter och yttrandefriheten</p>
<p>Medlemsstaterna skall med avseende på behandling av personuppgifter<br>som sker uteslutande för journalistiska ändamål eller konstnärligt eller<br>litterärt skapande besluta om undantag och avvikelser från bestäm-<br>melserna i detta kapitel, kapitel IV och kapitel VI endast om de är nöd-<br>vändiga för att förena rätten till privatlivet med reglerna om yttrande-<br>friheten.</p>
<p>AVDELNING IV</p>
<p>INFORMATIONSPLIKT TILL DEN REGISTRERADE</p>
<p>Artikel 10</p>
<p>Information vid insamling av uppgifter från den registrerade</p>
<p>Medlemsstaterna skall föreskriva att den registeransvarige eller hans före-<br>trädare i vart fall skall ge den person från vilken uppgifter om honom<br>själv samlas in följande information, utom i fall då han redan känner till<br>informationen:</p>
<p>a) Den registeransvariges och dennes eventuella företrädares identitet.</p>
<p>b) Ändamålen med den behandling för vilken uppgifterna är avsedda.</p>
<p>c) All ytterligare information, exempelvis</p>
<p>— mottagarna eller de kategorier som mottar uppgifterna,</p>
<p>Prop. 1997/98:44</p>
<p>Bilaga 1</p>
<p>167</p>
<p>— huruvida det är obligatoriskt eller frivilligt att besvara frågorna<br>samt eventuella följder av att inte svara,</p>
<p>— förekomsten av rättigheter att få tillgång till och att erhålla<br>rättelse av uppgifter som rör honom,</p>
<p>i den utsträckning som den ytterligare informationen - med hänsyn<br>till de särskilda omständigheter under vilka uppgifterna samlas in -<br>är nödvändig för att tillförsäkra den registrerade en korrekt behand-<br>ling.</p>
<p>Artikel 11</p>
<p>Information när uppgifterna inte har samlats in från den registrerade</p>
<p>1. Om uppgifterna inte har samlats in från den registrerade, skall med-<br>lemsstaterna föreskriva att den registeransvarige eller hans företrädare vid<br>tiden för registreringen av personuppgifter eller, om utlämnande till en<br>tredje man kan förutses, inte senare än vid den tidpunkt då uppgifterna<br>först lämnas ut, skall ge den registrerade åtminstone följande information,<br>utom när den registrerade redan känner till informationen:</p>
<p>a) Den registeransvariges och dennes eventuella företrädares identitet</p>
<p>b) Ändamålen med behandlingen.</p>
<p>c) All ytterligare information, exempelvis</p>
<p>— de kategorier av uppgifter som behandlingen gäller,</p>
<p>— mottagarna eller de kategorier som mottar uppgifterna,</p>
<p>— förekomsten av rättigheter att få tillgång till och att erhålla<br>rättelse av de uppgifter som rör honom,</p>
<p>i den utsträckning som den ytterligare informationen - med hänsyn<br>till de särskilda omständigheter under vilka uppgifterna samlas in -<br>är nödvändig för att tillförsäkra den registrerade en korrekt<br>behandling</p>
<p>2. Bestämmelserna i punkt 1 skäll inte gälla när det - särskilt i samband<br>med behandling för statistiska ändamål eller historiska eller vetenskapliga<br>forskningsändamål - visar sig omöjligt eller innebära en oproportionerligt<br>stor ansträngning att ge information eller om registrering eller utlämnande<br>uttryckligen föreskrivs i författning. I sådana fall skall medlemsstaterna<br>föreskriva lämpliga skyddsåtgärder.</p>
<p>AVDELNING V</p>
<p>DEN REGISTRERADES RÄTT ATT FÅ TILLGÅNG TILL<br>UPPGIFTER</p>
<p>Artikel 12</p>
<p>Rätt till tillgång</p>
<p>Medlemsstaterna skall säkerställa att varje registrerad har rätt att från den<br>registeransvarige</p>
<p>a) utan hinder och med rimliga intervall samt utan större tidsutdräkt<br>eller kostnader</p>
<p>Prop. 1997/98:44</p>
<p>Bilaga 1</p>
<p>168</p>
<p>— få bekräftelse på om uppgifter som rör honom behandlas eller<br>inte och information om åtminstone ändamålen med behand-<br>lingen, de berörda uppgiftskategorierna och mottagarna eller<br>mottagarkategonema till vilka uppgifterna utlämnas,</p>
<p>— få begriplig information om vilka uppgifter som behandlas och<br>all tillgänglig information om varifrån dessa uppgifter kommer,</p>
<p>— få kännedom om den logik som används när uppgifter som rör<br>honom behandlas på automatisk väg åtminstone såvitt avser så-<br>dana automatiska beslut som avses i artikel 15.1,</p>
<p>b) i förekommande fall få sådana uppgifter som inte behandlats i enlig-<br>het med bestämmelserna i detta direktiv rättade, utplånade eller<br>blockerade, särskilt om dessa är ofullständiga eller felaktiga,</p>
<p>c) få genomfört att en tredje man till vilken sådana uppgifter utlämnats<br>underrättas om varje rättelse, utplåning eller blockering som utförts i<br>enlighet med punkt b), om detta inte visar sig vara omöjligt eller<br>innebär en oproportionerligt stor ansträngning</p>
<p>AVDELNING VI</p>
<p>UNDANTAG OCH BEGRÄNSNINGAR</p>
<p>Artikel 13</p>
<p>Undantag och begränsningar</p>
<p>1. Medlemsstaterna får genom lagstiftning vidta åtgärder för att begränsa<br>omfattningen av de skyldigheter och rättigheter som anges i artiklarna 6.1,<br>10, 11.1, 12 och 21 i fall då en sådan begränsning är en nödvändig åtgärd<br>med hänsyn till</p>
<p>a) statens säkerhet,</p>
<p>b) försvaret,</p>
<p>c) allmän säkerhet,</p>
<p>d) förebyggande, undersökning, avslöjande av brott eller åtal för brott<br>eller av överträdelser av etiska regler som gäller för lagreglerade yr-<br>ken,</p>
<p>e) ett viktigt ekonomiskt eller finansiellt intresse hos en medlemsstat<br>eller hos Europeiska unionen, inklusive monetära frågor, budgetfrå-<br>gor och skattefrågor,</p>
<p>f) en tillsyns-, inspektions- eller regleringsfunktion som, även om den<br>är av övergående karaktär, är förbunden med myndighetsutövning i<br>de under punkterna c), d) och e) nämnda fallen,</p>
<p>g) skydd av den registrerades eller andras fri- och rättigheter.</p>
<p>2. Under förutsättning av lämpliga rättsliga garantier får medlemsstaterna,<br>i synnerhet om uppgifterna inte används för åtgärder eller beslut som<br>avser särskilda registrerade personer, i fall då det uppenbarligen inte<br>föreligger någon risk att den berörda personens privatliv kränks, genom<br>lagstiftning begränsa de rättigheter som anges i artikel 12 när uppgifterna<br>endast behandlas för ändamål som har med vetenskaplig forskning att<br>göra eller när uppgifterna endast lagras i form av personuppgifter under<br></p>
<p>Prop. 1997/98:44</p>
<p>Bilaga 1</p>
<p>169</p>
<p>en begränsad tid som inte överstiger den tid som är nödvändig för att<br>framställa statistik.</p>
<p>AVDELNING VII</p>
<p>DEN REGISTRERADES RÄTT ATT GÖRA INVÄNDNINGAR</p>
<p>Artikel 14</p>
<p>Den registrerades rätt att göra invändningar</p>
<p>Medlemsstaterna skall tillförsäkra den registrerade rätten att</p>
<p>a) åtminstone i de fall som avses i artikel 7 e) och f) när som helst av<br>avgörande och berättigade skäl som rör hans personliga situation<br>motsätta sig behandling av uppgifter som rör honom, utom när den<br>nationella lagstiftningen föreskriver något annat. När invändningen<br>är berättigad får den behandling som påbörjats av den register-<br>ansvarige inte längre avse dessa uppgifter,</p>
<p>b) efter anmodan och utan kostnader motsätta sig behandling av<br>personuppgifter som rör honom och som den registeransvarige<br>bedömer kan komma att behandlas för ändamål som rör direkt<br>marknadsföring, eller att bli informerad innan personuppgifter för<br>första gången lämnas ut till tredje man eller används för tredje mans<br>räkning för ändamål som rör direkt marknadsföring, och att<br>uttryckligen få erbjudande om att utan kostnader motsätta sig ett<br>sådant utlämnande eller sådan användning</p>
<p>Medlemsstaterna skall vidta nödvändiga åtgärder för att säkerställa att de<br>registrerade känner till den rättighet som anges i första stycket i b).</p>
<p>Artikel 15</p>
<p>Databehandlade beslut</p>
<p>1. Medlemsstaterna skall ge varje person rätten att inte bli föremål för ett<br>beslut som har rättsliga följder för honom eller som märkbart påverkar ho-<br>nom och som enbart grundas på automatisk behandling av uppgifter som<br>är avsedda att bedöma vissa personliga egenskaper hos honom, exempel-<br>vis hans arbetsprestationer, kreditvärdighet, pålitlighet och uppträdande</p>
<p>2. Om inte annat följer av övriga bestämmelser i detta direktiv skall med-<br>lemsstaterna föreskriva att en person får bli föremål för ett beslut av det<br>slag som avses i punkt 1 om beslutet</p>
<p>a) fattas som ett led i ingåendet eller fullgörandet av ett avtal, förutsatt<br>att den registrerades begäran om ingående eller fullgörande av av-<br>talet har bifallits eller att det vidtas lämpliga åtgärder för att skydda<br>hans berättigade intressen, exempelvis möjligheten för honom att<br>göra sin uppfattning gällande, eller</p>
<p>b) tillåts i lagstiftning som innehåller bestämmelser till skydd för den<br>registrerades berättigade intressen.</p>
<p>Prop 1997/98:44</p>
<p>Bilaga 1</p>
<p>170</p>
<p>AVDELNING VIII</p>
<p>SEKRETESS OCH SÄKERHET VID BEHANDLING</p>
<p>Artikel 16</p>
<p>Sekretess vid behandling</p>
<p>Den som utför arbete under den registeransvarige eller registerföraren,<br>liksom registerföraren själv, och som far tillgång till personuppgifter, får<br>behandla dem endast enligt instruktion från den registeransvarige, om han<br>inte är skyldig att göra det enligt lag</p>
<p>Artikel 17</p>
<p>Säkerhet vid behandling</p>
<p>1. Medlemsstaterna skall föreskriva att den registeransvarige skall genom-<br>föra lämpliga tekniska och organisatoriska åtgärder för att skydda person-<br>uppgifter från förstöring genom olyckshändelse eller otillåtna handlingar<br>eller förlust genom olyckshändelse samt mot ändringar, otillåten spridning<br>av eller otillåten tillgång till uppgifterna, särskilt om behandlingen inne-<br>fattar överföring av uppgifter i ett nätverk, och mot varje annat slag av<br>otillåten behandling</p>
<p>Dessa åtgärder skall med beaktande av den nuvarande tekniska nivån och<br>de kostnader som är förenade med åtgärdernas genomförande åstad-<br>komma en lämplig säkerhetsnivå i förhållande till de risker som är för-<br>knippade med behandlingen och arten av de uppgifter som skall skyddas.</p>
<p>2. Medlemsstaterna skall föreskriva att den registeransvarige, när behand-<br>lingen utförs för dennes räkning, skall välja en registerförare som kan ge<br>tillräckliga garantier vad gäller de tekniska säkerhetsåtgärder och de orga-<br>nisatoriska åtgärder som måste vidtas och tillse att dessa åtgärder genom-<br>förs.</p>
<p>3. När uppgifter behandlas av en registerförare skall hanteringen regleras<br>genom ett avtal eller genom en annan rättsligt bindande handling mellan<br>registerföraren och den registeransvarige och i handlingen skall särskilt<br>föreskrivas att</p>
<p>— registerföraren endast får handla på instruktioner från den register-<br>ansvarige,</p>
<p>— de skyldigheter som anges i punkt 1, såsom de definieras i lagstift-<br>ningen i den medlemsstat i vilken registerföraren är etablerad, även<br>skall åvila registerföraren.</p>
<p>Prop. 1997/98:44</p>
<p>Bilaga 1</p>
<p>4. För att säkra bevisning skall de delar av avtalet eller den rättsligt bin-<br>dande handlingen som rör skyddet av uppgifter och de krav som rör åtgär-<br>der som anges i punkt 1 föreligga i skriftlig eller därmed jämförlig form</p>
<p>171</p>
<p>AVDELNING IX</p>
<p>ANMÄLAN</p>
<p>Artikel 18</p>
<p>Anmälningsplikt gentemot tillsynsmyndigheten</p>
<p>1. Medlemsstaterna skall föreskriva att den registeransvarige eller hans<br>eventuella företrädare före genomförandet av en behandling eller en serie<br>behandlingar som helt eller delvis genomförs på automatisk väg och som<br>har samma eller flera närbesläktade ändamål skall underrätta den till-<br>synsmyndighet som avses i artikel 28.</p>
<p>2. Medlemsstaterna får endast i följande fall och på följande villkor före-<br>skriva om undantag från anmälningsplikten eller förenklad anmälnings-<br>plikt:</p>
<p>— Om medlemsstaten för de typer av behandling, i samband med vilka<br>det med hänsyn till de behandlade uppgifterna inte är sannolikt att<br>de registrerades fri- och rättigheter kränks, anger behandlingens<br>ändamål, vilka uppgifter eller kategorier av uppgifter som behand-<br>las, vilka registrerade eller kategorier av registrerade som avses, till<br>vilka mottagare eller kategorier av mottagare uppgifterna lämnas ut<br>samt hur länge uppgifterna skall bevaras och/eller</p>
<p>— om den registeransvarige i enlighet med den nationella lagstiftning<br>som gäller för denne, utser ett uppgiftsskyddsombud, som särskilt<br>skall ha till uppgift</p>
<p>— att på ett oberoende sätt säkerställa den interna tillämpningen av<br>de nationella bestämmelser som antagits till följd av detta direk-<br>tiv,</p>
<p>— att föra ett register över de behandlingar som utförs av den<br>registeransvarige, vilket register skall innehålla den information<br>som nämns i artikel 21.2,</p>
<p>för att på detta sätt säkerställa att de registrerades fri- och rättigheter<br>sannolikt inte kommer att kränkas som en följd av behandlingarna</p>
<p>3. Medlemsstaterna far föreskriva att punkt 1 inte skall gälla för en sådan<br>behandling vars enda syfte är förandet av ett register, som enligt lagar<br>eller andra författningar är avsett att förse allmänheten med information<br>och som är tillgängligt antingen för allmänheten eller för var och en som<br>kan styrka ett berättigat intresse.</p>
<p>4. Medlemsstaterna får föreskriva undantag från anmälningsplikten eller<br>ett förenklat anmälningsförfarande för sådan behandling som avses i arti-<br>kel 8.2 d).</p>
<p>Prop 1997/98:44</p>
<p>Bilaga 1</p>
<p>5. Medlemsstaterna får föreskriva att vissa eller alla icke-automatiska be-<br>handlingar av personuppgifter skall anmälas eller att ett förenklat anmäl-<br>ningsförfarande skall gälla för dem</p>
<p>172</p>
<p>Artikel 19</p>
<p>Anmälans innehåll</p>
<p>1. Medlemsstaterna skall precisera vilka uppgifter som anmälan skall<br>innehålla. Den skall åtminstone innehålla</p>
<p>a) den registeransvariges och dennes eventuella företrädares namn och<br>adress,</p>
<p>b) ändamålen med behandlingen,</p>
<p>c) en beskrivning av den eller de kategorier av registrerade som berörs<br>och av de uppgifter eller kategorier av uppgifter som hänför sig till<br>dem,</p>
<p>d) mottagarna eller de kategorier av mottagare till vilka uppgifterna<br>kan komma att lämnas ut,</p>
<p>e) föreslagna överföringar av uppgifter till tredje land,</p>
<p>f) en allmän beskrivning som gör det möjligt att preliminärt bedöma<br>lämpligheten av de åtgärder som i enlighet med artikel 17 vidtagits<br>för att trygga säkerheten i behandlingen</p>
<p>2. Medlemsstaterna skall ange villkoren för anmälan till tillsynsmyndighe-<br>ten av förändringar som rör den i punkt 1 angivna informationen.</p>
<p>Artikel 20</p>
<p>Förhandskontroll</p>
<p>1. Medlemsstaterna skall bestämma vilka behandlingar som kan innebära<br>särskilda risker för den registrerades fri- och rättigheter och skall säker-<br>ställa att dessa behandlingar kontrolleras innan de påbörjas</p>
<p>2. Sådana förhandskontroller skall utföras av tillsynsmyndigheten när den<br>mottagit anmälan från den registeransvarige eller från uppgiftsskyddsom-<br>budet, som i tveksamma fall skall rådfråga tillsynsmyndigheten</p>
<p>3. Medlemsstaterna kan också utföra sådana kontroller som ett led i det<br>nationella parlamentets förberedande arbete med en åtgärd eller som ett<br>led i arbetet med en åtgärd som grundas på en sådan lagstiftande åtgärd,<br>som definierar behandlingens art och anger lämpliga skyddsåtgärder</p>
<p>Artikel 21</p>
<p>Behandlingarnas offentlighet</p>
<p>1. Medlemsstaterna skall vidta åtgärder för att tillse att behandlingarna<br>görs offentligt tillgängliga.</p>
<p>2. Medlemsstaterna skall föreskriva att tillsynsmyndigheten skall föra ett<br>register över sådana behandlingar som har anmälts i enlighet med artikel<br>18.</p>
<p>Prop 1997/98:44</p>
<p>Bilaga 1</p>
<p>Registret skall innehålla åtminstone den information som anges i artikel</p>
<p>19.1 a)-e)</p>
<p>173</p>
<p>Registret skall vara allmänt tillgängligt.</p>
<p>3. För sådan behandling som inte omfattas av anmälningsplikt skall med-<br>lemsstaterna föreskriva att de registeransvariga eller något annat organ,<br>som medlemsstaterna utser, på lämpligt sätt skall tillhandahålla var och en<br>som begär det åtminstone den information som anges i artikel 19.1 a)-e).</p>
<p>Medlemsstaterna får föreskriva att denna bestämmelse inte skall tillämpas<br>på sådan behandling vars enda ändamål är att föra ett register, som i enlig-<br>het med lagar eller andra författningar är avsett att ge allmänheten infor-<br>mation och som är tillgängligt för allmänheten eller för var och en som<br>kan styrka ett berättigat intresse.</p>
<p>KAPITEL III</p>
<p>RÄTTSLIG PRÖVNING, ANSVAR OCH SANKTIONER</p>
<p>Artikel 22</p>
<p>Rättslig prövning</p>
<p>Medlemsstaterna skall - utan att det påverkar möjligheten att utnyttja nå-<br>got administrativt förfarande, till exempel vid den tillsynsmyndighet som<br>avses i artikel 28, som kan användas innan ett ärende anhängiggörs hos en<br>rättslig instans - föreskriva att var och en har rätt att föra talan inför dom-<br>stol om sådana kränkningar av rättigheter som skyddas av den nationella<br>lagstiftning som är tillämplig på ifrågavarande behandling.</p>
<p>Artikel 23</p>
<p>Ansvar</p>
<p>1. Medlemsstaterna skall föreskriva att var och en som lidit skada till följd<br>av en otillåten behandling eller av någon annan åtgärd som är oförenlig<br>med de nationella bestämmelser som antagits till följd av detta direktiv,<br>har rätt till ersättning av den registeransvarige för den skada som han har<br>lidit</p>
<p>2. Den registeransvarige kan helt eller delvis undgå detta ansvar om han<br>bevisar att han inte är ansvarig för den händelse som orsakade skadan</p>
<p>Artikel 24</p>
<p>Sanktioner</p>
<p>Medlemsstaterna skall anta lämpliga bestämmelser för att säkerställa att<br>detta direktiv genomförs fullständigt och skall särskilt besluta om de<br>sanktioner som skall användas vid överträdelse av de bestämmelser som<br>antagits för att genomföra detta direktiv.</p>
<p>Prop. 1997/98:44</p>
<p>Bilaga 1</p>
<p>174</p>
<p>KAPITEL IV</p>
<p>ÖVERFÖRING AV PERSONUPPGIFTER TILL TREDJE LAND</p>
<p>Artikel 25</p>
<p>Principer</p>
<p>1. Medlemsstaterna skall föreskriva att överföringen av personuppgifter<br>som är under behandling eller som är avsedda att behandlas efter överfö-<br>ring till tredje land endast får ske om ifrågavarande tredje land - utan att<br>detta påverkar tillämpningen av de nationella bestämmelser som antagits<br>till följd av de andra bestämmelserna i detta direktiv - säkerställer en ade-<br>kvat skyddsnivå.</p>
<p>2. Bedömningen av om skyddsnivån i ett tredje land är adekvat skall ske<br>på grundval av alla de förhållanden som har samband med en överföring<br>eller en grupp av överföringar av uppgifter Härvid skall särskilt beaktas<br>uppgiftens art, den eller de avsedda behandlingarnas ändamål och varak-<br>tighet, ursprungslandet och det slutliga bestämmelselandet, de allmänna<br>respektive särskilda rättsregler som gäller i ifrågavarande tredje land lik-<br>som de regler för yrkesverksamhet och säkerhet som gäller där.</p>
<p>3. Medlemsstaterna och kommissionen skall informera varandra när de<br>anser att ett tredje land inte erbjuder en adekvat skyddsnivå enligt punkt 2.</p>
<p>4. Om kommissionen i enlighet med ett sådant förfarande som beskrivs i<br>artikel 31.2 finner att ett tredje land inte erbjuder en sådan adekvat<br>skyddsnivå som beskrivs i punkt 2 i denna artikel, skall medlemsstaterna<br>vidta de åtgärder som är nödvändiga för att hindra överföring av uppgifter<br>av samma slag till ifrågavarande tredje land</p>
<p>5. Vid lämpligt tillfälle skall kommissionen inleda förhandlingar för att<br>avhjälpa den situation som uppstått när kommissionen kommit till den<br>slutsats som anges i punkt 4.</p>
<p>6. Kommissionen kan, i enlighet med det i artikel 31.2 angivna<br>förfarandet, konstatera att ett tredje land genom sin interna lagstiftning<br>eller på grund av de internationella förpliktelser som - särskilt till följd av<br>sådana förhandlingar som anges i punkt 5 och som gäller skyddet för<br>privatliv och enskilda personers grundläggande fri- och rättigheter -<br>åligger landet har en skyddsnivå som är adekvat i den mening som avses i<br>punkt 2 i denna artikel</p>
<p>Medlemsstaterna skall vidta de åtgärder som är nödvändiga för att följa<br>kommissionens beslut.</p>
<p>Prop. 1997/98:44</p>
<p>Bilaga 1</p>
<p>175</p>
<p>Artikel 26</p>
<p>Prop 1997/98:44</p>
<p>Bilaga 1</p>
<p>Undantag</p>
<p>1. Med undantag från artikel 25 skall medlemsstaterna - om det inte finns<br>tvingande regler om detta i deras lagstiftning - föreskriva att överföring<br>av personuppgifter till ett tredje land som inte har en adekvat skyddsnivå i<br>den mening som avses i artikel 25.2 får ske om</p>
<p>a) den registrerade otvetydigt har samtyckt till den planerade överför-<br>ingen, eller</p>
<p>b) överföringen är nödvändig för att fullgöra ett avtal mellan den re-<br>gistrerade och den registeransvarige eller för att på den registrerades<br>begäran genomföra åtgärder som vidtas innan avtalet ingås, eller</p>
<p>c) överföringen är nödvändig för att ingå eller fullgöra ett avtal mellan<br>den registeransvarige och tredje man i den registrerades intresse,<br>eller</p>
<p>d) överföringen är nödvändig eller bindande enligt författning av skäl<br>som rör viktiga allmänna intressen eller för att fastslå, göra gällande<br>eller försvara rättsliga anspråk, eller</p>
<p>e) överföringen är nödvändig för att skydda intressen som är av avgö-<br>rande betydelse för den registrerade, eller</p>
<p>f) överföringen görs från ett offentligt register som enligt lagar eller<br>andra författningar är avsett att ge allmänheten information och som<br>är tillgängligt antingen för allmänheten eller för var och en som kan<br>styrka ett berättigat intresse, i den utsträckning som de i lagstift-<br>ningen angivna villkoren för tillgänglighet uppfylls i det enskilda<br>fallet.</p>
<p>2. Utan att detta påverkar tillämpningen av punkt 1 får en medlemsstat<br>tillåta överföring av personuppgifter till ett tredje land som inte<br>säkerställer en skyddsnivå som är adekvat enligt artikel 25.2, om den<br>registeransvarige ställer tillräckliga garantier för att privatliv och enskilda<br>personers grundläggande fri- och rättigheter skyddas samt för utövningen<br>av motsvarande rättigheter Sådana garantier kan framgå av lämpliga<br>avtal sklausuler.</p>
<p>3. Medlemsstaten skall informera kommissionen och de övriga medlems-<br>staterna om de överföringar som tillåtits enligt punkt 2</p>
<p>Om en medlemsstat eller kommissionen på grunder som är berättigade<br>med hänsyn till skyddet för privatliv och enskilda personers grundläggan-<br>de fri- och rättigheter gör en invändning skall kommissionen vidta lämp-<br>liga åtgärder i enlighet med det förfarande som avses i artikel 31.2.</p>
<p>Medlemsstaterna skall vidta de åtgärder som är nödvändiga för att följa<br>kommissionens beslut</p>
<p>4 Om kommissionen i enlighet med det förfarande som anges i artikel</p>
<p>31.2 beslutar att vissa standardavtalsklausuler erbjuder tillräckliga garan-</p>
<p>176</p>
<p>tier enligt punkt 2, skall medlemsstaterna vidta nödvändiga åtgärder för Prop. 1997/98:44<br>att följa kommissionens beslut. Bilaga 1</p>
<p>KAPITEL V</p>
<p>UPPFÖRANDEKODEX</p>
<p>Artikel 27</p>
<p>1. Medlemsstaterna och kommissionen skall uppmuntra utarbetande av<br>uppförandekodexar som - med beaktande av de särskilda förhållandena<br>på olika områden - skall bidra till att på ett riktigt sätt genomföra de<br>nationella bestämmelser som medlemsstaterna antar för att genomföra<br>detta direktiv.</p>
<p>2. Medlemsstaterna skall föreskriva att branschorganisationer eller andra<br>organ som företräder andra kategorier av registeransvariga, som har upp-<br>rättat förslag till nationella kodexar eller som avser att ändra eller utöka<br>existerande nationella kodexar, kan lägga fram dessa för bedömning av<br>den nationella myndigheten</p>
<p>Medlemsstaterna skall föreskriva att denna myndighet bland annat skall<br>kontrollera att de förslag som har lagts fram för myndigheten är i överens-<br>stämmelse med de nationella bestämmelser som antagits till följd av detta<br>direktiv. Om myndigheten anser det lämpligt skall den inhämta<br>synpunkter från de registrerade eller deras företrädare</p>
<p>3. Förslag till gemenskapskodexar och förslag till ändringar eller tillägg<br>till existerande sådana kodexar kan läggas fram för den arbetsgrupp som<br>avses i artikel 29 Denna arbetsgrupp skall bland annat avgöra om de för-<br>slag som lagts fram för gruppen är i överensstämmelse med de nationella<br>bestämmelser som antagits för att genomföra detta direktiv. Om gruppen<br>anser det lämpligt skall den inhämta synpunkter från de registrerade eller<br>deras företrädare. Kommissionen kan tillse att de kodexar som godkänts<br>av arbetsgruppen offentliggörs på lämpligt sätt.</p>
<p>KAPITEL VI</p>
<p>TILLSYNSMYNDIGHET OCH ARBETSGRUPP FÖR SKYDD AV<br>ENSKILDA MED AVSEENDE PÅ BEHANDLINGEN AV<br>PERSONUPPGIFTER</p>
<p>Artikel 28</p>
<p>Tillsynsmyndighet</p>
<p>1. Varje medlemsstat skall tillse att det utses en eller flera myndigheter<br>som har till uppgift att inom dess territorium övervaka tillämpningen av<br>de bestämmelser som medlemsstaterna antar till följd av detta direktiv.</p>
<p>Dessa myndigheter skall fullständigt oberoende utöva de uppgifter som<br>åläggs dem</p>
<p>177</p>
<p>12 Riksdagen 1997/98. 1 samt. Nr 44</p>
<p>2. Varje medlemsstat skall tillse att tillsynsmyndigheten hörs när sådana<br>lagar eller andra författningar utarbetas som rör skyddet av enskilda<br>personers fri- och rättigheter med avseende på behandlingen av<br>personuppgifter</p>
<p>3. Varje tillsynsmyndighet skall särskilt ha</p>
<p>— undersökningsbefogenheter, såsom befogenhet att få tillgång till<br>uppgifter som blir föremål för behandling och befogenhet att<br>inhämta alla uppgifter som är nödvändiga för att sköta tillsynen,</p>
<p>— effektiva befogenheter att ingripa, som till exempel att kunna avge<br>yttranden i enlighet med artikel 20 innan en behandling äger rum,<br>och se till att sådana yttranden i lämplig omfattning offentliggörs, att<br>kunna besluta om blockering, utplåning eller förstöring av uppgifter,<br>att kunna besluta om tillfälligt eller slutligt förbud mot behandling,<br>att kunna ge den registeransvarige varning eller tillrättavisning eller<br>att kunna hänvisa saken till nationella parlament eller till andra<br>politiska institutioner,</p>
<p>— befogenhet att inleda rättsliga förfaranden när de nationella bestäm-<br>melser som antagits till följd av detta direktiv har överträtts eller att<br>uppmärksamma de rättsliga myndigheterna på dessa överträdelser.</p>
<p>Sådana beslut av tillsynsmyndigheten som går en part emot kan över-<br>klagas till domstol.</p>
<p>4. Var och en kan, på egen hand eller företrädd av en organisation, vända<br>sig till tillsynsmyndigheten med begäran om skydd för sina fri- och rättig-<br>heter med avseende på behandling av personuppgifter. Den berörda<br>personen skall informeras om vilka följder hans begäran har fått.</p>
<p>Var och en kan i samband med tillämpningen av de nationella bestämmel-<br>ser som har antagits med stöd av artikel 13 i detta direktiv till tillsyns-<br>myndigheten ge in en begäran om att få kontrollera om en behandling är<br>tillåten. Den berörda personen skall informeras om vilka följder hans<br>begäran har fått.</p>
<p>5. Varje tillsynsmyndighet skall regelbundet upprätta en rapport om sin<br>verksamhet. Denna rapport skall offentliggöras.</p>
<p>6. En tillsynsmyndighet har, oavsett vilken nationell lagstiftning som<br>gäller för den aktuella behandlingen, behörighet att inom sin egen med-<br>lemsstats territorium utöva de befogenheter som i enlighet med punkt 3<br>åligger den. Varje myndighet kan av en myndighet i en annan medlems-<br>stat anmodas att utöva sina befogenheter</p>
<p>De övervakande myndigheterna skall i den utsträckning som det behövs<br>samarbeta med varandra, särskilt genom att utbyta användbar information.</p>
<p>Prop. 1997/98:44</p>
<p>Bilaga 1</p>
<p>7. Medlemsstaterna skall föreskriva att tillsynsmyndighetens ledamöter<br>och personal, även sedan deras anställning upphört, skall ha tystnadsplikt<br>med avseende på förtrolig information som de har tillgång till.</p>
<p>178</p>
<p>Artikel 29</p>
<p>Arbetsgrupp för skydd av enskilda med avseende på behandlingen av<br>personuppgifter</p>
<p>1. En arbetsgrupp för skydd av enskilda med avseende på behandling av<br>personuppgifter, hädanefter kallad ”arbetsgruppen” inrättas härmed.</p>
<p>Arbetsgruppen skall vara rådgivande och oberoende.</p>
<p>2. Arbetsgruppen skall vara sammansatt av en företrädare för den eller de<br>tillsynsmyndigheter som utsetts av varje medlemsstat, av en företrädare<br>för den eller de myndigheter som har inrättats för gemenskapens insti-<br>tutioner och organ samt av en företrädare för kommissionen.</p>
<p>Varje medlem av arbetsgruppen skall utses av den institution eller av den<br>eller de myndigheter som han företräder. När en medlemsstat har fler till-<br>synsmyndigheter än en, skall dessa utse en gemensam företrädare. Det-<br>samma skall gälla för de myndigheter som inrättats för gemenskapens in-<br>stitutioner och organ</p>
<p>3. Arbetsgruppen skall fatta beslut med enkel majoritet av tillsynsmyndig-<br>heternas företrädare.</p>
<p>4. Arbetsgruppen skall välja sin ordförande. Ordförandens mandattid skall<br>vara två år. Mandatet kan förlängas.</p>
<p>5. Arbetsgruppens sekretariatsuppgifter skall ombesörjas av kommissio-<br>nen.</p>
<p>6. Arbetsgruppen skall själv fastställa sin arbetsordning.</p>
<p>7. Arbetsgruppen skall behandla frågor som förts upp på dess dagordning<br>av ordföranden, antingen på dennes eget initiativ eller på begäran av en<br>företrädare för tillsynsmyndigheterna eller för kommissionen.</p>
<p>Artikel 30</p>
<p>1. Arbetsgruppen skall</p>
<p>a) utreda varje fråga som rör tillämpningen av de nationella bestäm-<br>melser som antagits för genomförandet av detta direktiv, för att<br>bidra till en enhetlig tillämpning av bestämmelserna,</p>
<p>b) yttra sig till kommissionen om skyddsnivån inom gemenskapen och<br>i tredje land,</p>
<p>c) ge kommissionen råd om varje föreslagen ändring av detta direktiv,<br>om vilka ytterligare eller särskilda åtgärder som bör vidtas för att<br>skydda fysiska personers fri- och rättigheter med avseende på be-<br>handling av personuppgifter och om alla andra föreslagna gemen-<br>skapsåtgärder som rör sådana fri- och rättigheter,</p>
<p>d) avge yttranden om de uppförandekodexar som utarbetas på gemen-<br>skapsnivå.</p>
<p>Prop. 1997/98:44</p>
<p>Bilaga 1</p>
<p>179</p>
<p>2. Om arbetsgruppen konstaterar förekomsten av sådana skillnader mellan<br>medlemsstaternas lagstiftning eller praxis, som kan vara till nackdel för<br>likvärdigheten i skyddet för personer med avseende på behandlingen av<br>personuppgifter inom gemenskapen, skall gruppen informera kommissio-<br>nen om detta.</p>
<p>3. Arbetsgruppen kan på eget initiativ utfärda rekommendationer i alla<br>frågor som rör skyddet av personer med avseende på behandlingen av per-<br>sonuppgifter inom gemenskapen.</p>
<p>4. Arbetsgruppens yttranden och rekommendationer skall framläggas för<br>kommissionen och den kommitté som avses i artikel 31.</p>
<p>5. Kommissionen skall informera arbetsgruppen om det sätt på vilket den<br>har tagit hänsyn till yttrandena och rekommendationerna För att göra<br>detta skall kommissionen utarbeta en rapport som också skall framläggas<br>för Europaparlamentet och rådet Rapporten skall offentliggöras</p>
<p>6 Arbetsgruppen skall utarbeta en årsrapport om situationen rörande<br>skyddet för fysiska personer med avseende på behandlingen av person-<br>uppgifter inom gemenskapen och i tredje land, som den skall översända<br>till kommissionen, Europaparlamentet och rådet Rapporten skall offent-<br>liggöras</p>
<p>KAPITEL VII</p>
<p>GEMENSKAPENS ÅTGÄRDER FÖR GENOMFÖRANDE</p>
<p>Artikel 31</p>
<p>Kommittén</p>
<p>1. Kommissionen skall biträdas av en kommitté som är sammansatt av<br>företrädare för medlemsstaterna och som har kommissionens företrädare<br>som ordförande</p>
<p>2. Kommissionens företrädare skall förelägga kommittén ett förslag till<br>åtgärder. Kommittén skall yttra sig över förslaget inom en tid som ord-<br>föranden bestämmer med hänsyn till hur brådskande ärendet är</p>
<p>Yttrandet skall avges med den majoritet som anges i artikel 148.2 i för-<br>draget. Vid omröstning i kommittén skall medlemsstaternas röster vägas<br>på det sätt som anges i den artikeln. Ordföranden skall inte rösta</p>
<p>Kommissionen skall besluta om åtgärder som skall ha omedelbar verkan.<br>Om emellertid åtgärderna avviker från kommitténs yttrande, skall kom-<br>missionen omedelbart underställa rådet ärendet. I detta fall gäller föl-<br>jande:</p>
<p>— Kommissionen skall uppskjuta genomförandet av åtgärderna under<br>en tidsfrist om tre månader räknad från meddelandedatum,</p>
<p>Prop 1997/98:44</p>
<p>Bilaga 1</p>
<p>180</p>
<p>— Rådet kan med kvalificerad majoritet fatta ett avvikande beslut inom Prop. 1997/98:44<br>den tidsfrist som anges i den första strecksatsen. Bilaga 1</p>
<p>SLUTBESTÄMMELSER</p>
<p>Artikel 32</p>
<p>1. Medlemsstaterna skall sätta i kraft de lagar och andra författningar,<br>som är nödvändiga för att följa detta direktiv, senast tre år efter dess<br>antagande.</p>
<p>När en medlemsstat antar dessa bestämmelser skall de innehålla en hän-<br>visning till detta direktiv eller åtföljas av en sådan hänvisning när de<br>offentliggörs. Närmare föreskrifter om hur hänvisningen skall göras skall<br>varje medlemsstat själv utfärda.</p>
<p>2. Medlemsstaterna skall se till att sådan behandling som redan pågår när<br>de nationella bestämmelser som antas till följd av detta direktiv träder i<br>kraft bringas i överensstämmelse med dessa bestämmelser inom tre år<br>från denna tidpunkt.</p>
<p>I fråga om sådana uppgifter som redan finns i manuella register vid ikraft-<br>trädandet av de nationella bestämmelser som antas för att genomföra detta<br>direktiv får medlemsstaterna, med avvikelse från föregående stycke, före-<br>skriva att behandlingen skall bringas i överensstämmelse med artiklarna<br>6-8 i detta direktiv inom tolv år räknat från dagen för direktivets an-<br>tagande Medlemsstaterna skall dock ge den registrerade rätt att på<br>begäran och särskilt i samband med att han utövar sin rätt till tillgång till<br>uppgifter, erhålla rättelse, utplåning eller blockering av uppgifter som är<br>ofullständiga, felaktiga eller lagrade på ett sätt som inte är förenligt med<br>de legitima ändamål som den registeransvarige vill uppnå</p>
<p>3. Med undantag från punkt 2 kan medlemsstaterna under förutsättning av<br>lämpliga skyddsåtgärder föreskriva att uppgifter som endast bevaras för<br>historisk forskning inte behöver överensstämma med artiklarna 6-8 i detta<br>direktiv.</p>
<p>4. Medlemsstaterna skall till kommissionen överlämna texten till de natio-<br>nella bestämmelser som de antar inom det område som omfattas av detta<br>direktiv</p>
<p>Artikel 33</p>
<p>Kommissionen skall första gången senast tre år efter den tidpunkt som an-<br>ges i artikel 32.1 och därefter regelbundet till rådet och Europaparla-<br>mentet avge en rapport om genomförandet av detta direktiv, eventuellt<br>försedd med lämpliga ändringsförslag. Rapporten skall offentliggöras</p>
<p>Kommissionen skall särskilt undersöka tillämpningen av detta direktiv på<br>behandling av ljud- och bilduppgifter som rör fysiska personer och skall</p>
<p>181</p>
<p>framlägga alla lämpliga förslag som med beaktande av informationstekni<br>kens och informationssamhällets utveckling, visar sig nödvändiga</p>
<p>Artikel 34</p>
<p>Detta direktiv riktar sig till medlemsstaterna.</p>
<p>Utfärdat i Luxemburg den 23 oktober 1995</p>
<p>På Europaparlamentets vägnar På rådets vägnar</p>
<p>K HÄNSCH L. ATIENZA SERNA</p>
<p>Ordförande Ordförande</p>
<p>Prop. 1997/98:44</p>
<p>Bilaga 1</p>
<p>182</p>
<p>Datalagskommitténs sammanfattning av sitt<br>betänkande Integritet - Offentlighet -<br>Informationsteknik (SOU 1997:39) såvitt avser<br>frågan om en ny datalag</p>
<p>Prop 1997/98:44</p>
<p>Bilaga 2</p>
<h3>En ny persondatalag</h3>
<p>Vi har haft i uppdrag att göra en översyn av datalagen, som kom till redan<br>år 1973. Syftet har varit att åstadkomma en modem och teknikoberoende<br>lagstiftning om skydd för den personliga integriteten vid behandling av<br>personuppgifter</p>
<p>Vi lämnar förslag till en helt ny persondatalag som till största delen<br>bygger på ett färskt EG-direktiv på området. En förutsättning för att vi<br>skulle kunna lämna ett sådant förslag har varit att direktivet går att förena<br>med det som i Sverige är grundlagsskyddat eller annars särskilt betydelse-<br>fullt från svenska utgångspunkter. Den nya lagstiftningen får inte inkräkta<br>på offentlighetsprincipen eller tryck- och yttrandefriheten Denna förut-<br>sättning är uppfylld. Genom att Sverige deltog i de slutliga förhandlingar-<br>na om direktivet har de svenska synpunkterna kommit att beaktas i det. Vi<br>föreslår tydliga bestämmelser i persondatalagen som klargör att lagen inte<br>skall tillämpas i den utsträckning det skulle inskränka grundlagsskyddade<br>rättigheter. Den föreslagna lagen berör och förändrar således mte dessa<br>rättigheter.</p>
<p>Den föreslagna lagstiftningen bygger liksom EG-direktivet på att själva<br>hanteringen av personuppgifter regleras. Ett alternativ skulle vara att<br>lämna hanteringen av personuppgifter i stort sett fri och i stället hindra<br>bara det som kan betecknas som ett missbruk. Med hänsyn till den oro<br>som många människor alltjämt känner för samlingar av elektroniska<br>uppgifter om dem har vi dock inte ansett tiden mogen att i princip släppa<br>hanteringen av databaserade personuppgifter fri. Sverige skulle inte heller<br>fullgöra sina internationella åtaganden om vi valde en helt annan modell<br>än EG-direktivets. Vi anser dock att man i ett längre perspektiv bör inrikta<br>sig mera på att stäyja och beivra missbruk än på att reglera en hantering<br>som snart sagt alla kan hålla på med</p>
<p>Den föreslagna persondatalagen kan ses som en ramlag som ger gene-<br>rella riktlinjer för all behandling av personuppgifter. Avsikten är att rege-<br>ringen och Datainspektionen skall inom den ram som lagen drar upp när-<br>mare precisera regleringen. De särskilda registerförfattningama, som in-<br>nehåller regler för bl.a. många viktiga myndighetsregister, omfattas mte<br>av vårt uppdrag Vi påpekar att dessa författningar inom de närmaste åren<br>måste ses över och anpassas till den nya persondatalagen.</p>
<p>Rent privat användning av personuppgifter undantas från den före-<br>slagna lagen. Som exempel kan nämnas e-post mellan privatpersoner</p>
<p>Med behandling av personuppgifter avses i stort sett allt man kan göra<br>med sådana uppgifter, t.ex. att samla in, söka, bevara och sprida uppgifter.<br>Behandling av personuppgifter som är helt eller delvis automatisk - dvs i</p>
<p>183</p>
<p>första hand datoriserad - omfattas av den föreslagna lagen. Manuell be-<br>handling av sådana uppgifter (på papper) omfattas bara om uppgifterna<br>skall ingå i ett regelrätt register.</p>
<p>I den föreslagna lagen slås fast vissa grundläggande krav på all be-<br>handling av personuppgifter. Den persondataansvarige skall se till att per-<br>sonuppgifter samlas in bara för särskilda, uttryckligt angivna och berätti-<br>gade ändamål Uppgifterna får sedan inte behandlas för något ändamål<br>som är oförenligt med det för vilket uppgifterna ursprungligen samlades<br>in Fler uppgifter än nödvändigt får inte behandlas, och de behandlade<br>uppgifterna skall vara adekvata och relevanta. Felaktiga, missvisande eller<br>ofullständiga uppgifter skall korrigeras Uppgifterna får sparas bara så<br>länge det är nödvändigt med hänsyn till ändamålen med behandlingen<br>För uppgifter som behandlas för historiska, statistiska eller vetenskapliga<br>ändamål finns särskilda regler.</p>
<p>Den föreslagna lagen innehåller en uttömmande uppräkning av de fall<br>då personuppgifter får behandlas Personuppgifter får alltid behandlas om<br>den registrerade har lämnat sitt samtycke I annat fall krävs att behand-<br>lingen är nödvändig för vissa angivna ändamål De situationer då behand-<br>ling är tillåten utan samtycke kan sammanfattas enligt följande.</p>
<p>• I samband med avtal</p>
<p>• För att fullgöra en rättslig skyldighet</p>
<p>• För att skydda vitala intressen för den registrerade</p>
<p>• För att utföra en arbetsuppgift av allmänt intresse eller i samband med<br>myndighetsutövning</p>
<p>• Efter en intresseavvägning där den registrerades intressen vägs mot in-<br>tressen på den persondataansvariges sida</p>
<p>För behandling av känsliga personuppgifter gäller enligt den föreslagna<br>lagen särskilda regler Som känsliga uppgifter anses sådana uppgifter som<br>rör hälsa eller sexualliv eller som avslöjar ras eller etniskt ursprung, poli-<br>tiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fack-<br>förening. Sådana uppgifter får behandlas bara i de fall som räknas upp i<br>lagen. Regeringen eller Datainspektionen kan dock tillåta att känsliga per-<br>sonuppgifter behandlas också i andra fall, under förutsättning att det be-<br>hövs med hänsyn till ett viktigt allmänt intresse</p>
<p>Känsliga personuppgifter får behandlas när den registrerade har lämnat<br>sitt samtycke eller när han eller hon på ett tydligt sätt har offentliggjort<br>uppgifterna De fall där sådana för ändamålet relevanta uppgifter annars<br>får behandlas kan sammanfattas enligt följande</p>
<p>• För att fullgöra skyldigheter eller utöva rättigheter inom arbetsrätten</p>
<p>• För att skydda vitala intressen när den registrerade inte kan lämna sam-<br>tycke</p>
<p>• För att rättsliga anspråk skall kunna fastställas, göras gällande eller för-<br>svaras</p>
<p>• Inom ideella organisationer får känsliga uppgifter om medlemmar och<br>t.ex. sympatisörer behandlas, men inte lämnas ut till någon utomstående</p>
<p>• Inom hälso- och sjukvård</p>
<p>• För forskning och statistik när en forskningsetisk kommitté har godkänt<br>projektet eller när samhällsintresset av behandlingen annars klart över-<br>väger integritetsriskerna</p>
<p>Prop 1997/98:44</p>
<p>Bilaga 2</p>
<p>184</p>
<p>Uppgifter om lagöverträdelser m.m. får enligt huvudregeln behandlas<br>bara av myndigheter Personnummer skall liksom i dag få användas bara<br>när det är klart motiverat med hänsyn till ändamålet med behandlingen,<br>vikten av en säker identifiering eller något annat beaktansvärt skäl.</p>
<p>De som registreras skall få kännedom om behandlingen av uppgifterna.<br>Enligt förslaget skall den persondataansvarige i samband med insam-<br>lingen av uppgifter självmant lämna de registrerade information om be-<br>handlingen. När uppgifterna hämtas in från någon annan källa än den<br>registrerade, behöver information dock inte lämnas, om registreringen<br>eller utlämnandet av uppgifterna är författningsreglerat eller om det skulle<br>innebära en oproportionerligt stor arbetsinsats att informera.</p>
<p>Den registrerade skall enligt förslaget ha rätt att på begäran en gång per<br>kalenderår gratis få information om de uppgifter som behandlas, dvs. ett<br>registerutdrag. Den persondataansvarige skall vidare på begäran korrigera<br>personuppgifter som är felaktiga, missvisande eller ofullständiga eller<br>annars inte har behandlats enligt de bestämmelser som gäller.</p>
<p>För överföring av personuppgifter utanför EU och EES föreslås vissa<br>restriktioner.</p>
<p>Den föreslagna lagen innehåller bestämmelser om säkerheten vid be-<br>handling av personuppgifter.</p>
<p>Den nuvarande skyldigheten att i förväg anmäla behandlingar till Data-<br>inspektionen bör begränsas till ett minimum. Inspektionens verksamhet<br>skall i stället koncentreras till tillsyn, information och rådgivning. Datain-<br>spektionen skall också genom föreskrifter precisera lagens regler på olika<br>områden</p>
<p>Om någon bryter mot den föreslagna lagen skall Datainspektionen<br>söka åstadkomma rättelse. Inspektionen får enligt förslaget förelägga vite<br>och föra talan om att personuppgifter skall utplånas.</p>
<p>I övrigt är påföljden för brott mot den föreslagna lagen i första hand<br>skadestånd till de registrerade som har drabbats av skada. De skall utom<br>annan ersättning liksom hittills ha rätt till ideellt skadestånd för<br>kränkning. Skadeståndsansvaret bör vara i princip rent strikt, dvs. skade-<br>stånd skall betalas så snart reglerna inte har följts, men vi föreslår en möj-<br>lighet att efter skälighet sätta ned skadeståndet för det fall att den person-<br>dataansvarige kan bevisa att den felaktiga behandlingen inte berodde på<br>honom eller henne.</p>
<p>Den föreslagna lagen bör träda i kraft den 1 januari 1999 och tillämpas<br>fullt ut på behandlingar som påbörjas därefter. För behandlingar som<br>redan pågår vid ikraftträdandet, bör den gamla datalagen få gälla ända till<br>den 1 oktober 2001</p>
<p>Prop. 1997/98:44</p>
<p>Bilaga 2</p>
<p>Reservationer har lämnats av Anders Christner (kd), Tomas Ohlin (fp)<br>och Inger René (m) gemensamt samt av Bo Edvardsson (mp).</p>
<p>185</p>
<p>Särskilda yttranden har lämnats av Bo Edvardsson (mp) och av Jan<br>Evers, med instämmande av Rolf Nygren, av Barbro Fischerström,<br>Anders S Forsberg, Jan Freese samt av Margareta Åberg.</p>
<p>Prop. 1997/98:44</p>
<p>Bilaga 2</p>
<p>186</p>
<h2>Datalagskommitténs förslag till lagtext</h2>
<p>Prop. 1997/98:44</p>
<p>Bilaga 3</p>
<h3>1. Förslag till persondatalag</h3>
<p>Härmed föreskrivs<sup>1</sup> följande</p>
<p>Inledande bestämmelser</p>
<p>Syftet med lagen</p>
<p>1 § Syftet med denna lag är att skydda människor mot otillbörligt intrång i<br>den personliga integriteten vid behandling av personuppgifter</p>
<p>Avvikande bestämmelser i annan lagstiftning</p>
<p>2 § Om det i en annan lag eller i en förordning finns bestämmelser som<br>avviker från denna lag, skall dessa bestämmelser gälla.</p>
<p>Definitioner</p>
<p>3 § I denna lag används följande beteckningar med nedan angiven bety-<br>delse.</p>
<p>Beteckning_____________</p>
<p>Behandling (av person-<br>uppgifter)</p>
<p>Blockering (av person-<br>uppgifter)</p>
<p>Den registrerade</p>
<p>Känsliga personuppgif-</p>
<p>Betydelse____________________________________</p>
<p>Varje åtgärd som vidtas beträffande person-<br>uppgifter</p>
<p>Varje åtgärd som kan vidtas för att personupp-<br>gifterna i alla sammanhang skall vara för-<br>knippade med tydlig information om att de är<br>spärrade och om anledningen till spärren och<br>för att personuppgifterna inte skall lämnas ut<br>till tredje man annat än med stöd av 2 kap<br>tryckfrihetsförordningen</p>
<p>Den som en personuppgift avser</p>
<p>Sådana personuppgifter som avses i 13 §.</p>
<p>ter</p>
<p>Mottagare</p>
<p>Den till vilken personuppgifter lämnas ut. När<br>personuppgifter lämnas ut för att en myndighet<br>skall kunna utföra sådan tillsyn, kontroll eller<br>revision som åligger den, anses dock inte<br>myndigheten som mottagare.</p>
<p><sup>1</sup> Jfr Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd<br>för enskilda personer med avseende på behandling av personuppgifter och om det fria<br>flödet av sådana uppgifter (EGT nr L 281, 23.11.1995, s. 31, Celex 395L0046).</p>
<p>187</p>
<p>Beteckning________</p>
<p>Persondataansvarig</p>
<p>Persondatabiträde</p>
<p>Personuppgifter</p>
<p>Samtycke</p>
<p>Tillsynsmyndigheten</p>
<p>Tredje land</p>
<p>Tredje man</p>
<p>Betydelse___________________________________</p>
<p>Den som ensam eller tillsammans med andra<br>bestämmer ändamålen med och medlen för be-<br>handlingen av personuppgifter.</p>
<p>Den som behandlar personuppgifter för den<br>persondataansvariges räkning.</p>
<p>All slags information som direkt eller indirekt<br>kan hänföras till en fysisk person som är i li-<br>vet.</p>
<p>Varje slag av frivillig, särskild och informerad<br>viljeyttring genom vilken den registrerade<br>godtar behandling av personuppgifter som rör<br>honom eller henne.</p>
<p>Den myndighet som regeringen utser.</p>
<p>En stat som inte ingår i Europeiska unionen<br>eller är ansluten till Europeiska ekonomiska<br>sam arbetsområdet.</p>
<p>Någon annan än den registrerade, den per-<br>sondataansvarige, persondatabiträdet och så-<br>dana personer som under den persondata-<br>ansvariges eller persondatabiträdets direkta an-<br>svar har befogenhet att behandla person-<br>uppgifter. Ett sådant persondataombud som<br>avses i 37 § anses inte som tredje man.</p>
<p>Prop. 1997/98:44</p>
<p>Bilaga 3</p>
<p>Tillämpningsområdet</p>
<p>Det territoriella tillämpningsområdet</p>
<p>4 § Denna lag gäller för sådana persondataansvariga som är etablerade i<br>Sverige</p>
<p>Lagen tillämpas också när den persondataansvarige är etablerad i tredje<br>land men för behandlingen av personuppgifter använder sig av utrustning<br>som finns i Sverige Vad som nu sagts gäller dock inte om utrustningen<br>bara används för att överföra uppgifter mellan ett tredje land och ett annat<br>sådant land</p>
<p>I det fall som avses i andra stycket skall den persondataansvarige utse<br>en företrädare för sig som är etablerad i Sverige. Den persondataansvarige<br>skall, innan utrustningen börjar användas, till tillsynsmyndigheten skriftli-<br>gen anmäla vem som har utsetts och därvid bifoga ett skriftligt medgi-<br>vande från den utsedde. Vad som anges i denna lag om den persondata-<br>ansvarige skall också gälla den företrädare som har anmälts på detta sätt.</p>
<p>Vilken behandling av personuppgifter omfattas av lagen</p>
<p>5 § Denna lag gäller för sådan behandling av personuppgifter som helt<br>eller delvis är automatisk.</p>
<p>188</p>
<p>Lagen gäller även för annan behandling av personuppgifter, om upp-<br>gifterna ingår i eller är avsedda att ingå i ett register. Med register avses<br>varje strukturerad samling av personuppgifter vilka är tillgängliga för<br>sökning eller sammanställning enligt särskilda kriterier.</p>
<p>Undantag för privat användning av personuppgifter</p>
<p>6 § Denna lag gäller inte för sådan behandling av personuppgifter som en<br>fysisk person utför som ett led i en verksamhet av rent privat natur</p>
<p>Undantag med hänsyn till yttrandefriheten</p>
<p>1 § Bestämmelserna i 9-29 och 33-46 §§ samt 47 § första stycket och<br>49 § skall inte tillämpas på</p>
<p>a) sådana förfaranden som är skyddade enligt tryckfrihetsförordningen<br>eller yttrandefnhetsgrundlagen,</p>
<p>b) spridningen av sådana yttranden som är skyddade enligt tryckfrihetsför-<br>ordningen eller yttrandefnhetsgrundlagen, eller</p>
<p>c) sådan behandling av personuppgifter som annars sker uteslutande för<br>journalistiska ändamål eller konstnärligt eller litterärt skapande.</p>
<p>Förhållandet till offentlighetsprincipen</p>
<p>8 § Bestämmelserna i denna lag skall inte tillämpas i den utsträckning det<br>skulle inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsför-<br>ordningen att lämna ut personuppgifter.</p>
<p>Bestämmelserna hindrar inte heller att en myndighet arkiverar och be-<br>varar sina allmänna uppgifter eller att arkivmaterial tas om hand av en ar-<br>kivmyndighet. Bestämmelserna i 9 § tredje stycket gäller inte för person-<br>uppgifter i en myndighets arkiv.</p>
<p>Grundläggande krav på behandlingen av personuppgifter</p>
<p>9 § Den persondataansvarige skall se till</p>
<p>a) att personuppgifter behandlas bara när det är lagligt, särskilt att sam-<br>tycke inhämtas när så krävs,</p>
<p>b) att personuppgifter alltid behandlas på ett korrekt sätt,</p>
<p>c) att personuppgifter samlas in bara för särskilda, uttryckligt angivna och<br>berättigade ändamål,</p>
<p>d) att personuppgifter inte behandlas för något ändamål som är oförenligt<br>med det för vilket uppgifterna samlades in,</p>
<p>e) att de personuppgifter som behandlas är adekvata och relevanta i för-<br>hållande till ändamålen med behandlingen,</p>
<p>f) att inte fler personuppgifter behandlas än som är nödvändigt med hän-<br>syn till ändamålen med behandlingen,</p>
<p>g) att de personuppgifter som behandlas är riktiga och, om det är nöd-<br>vändigt, aktuella,</p>
<p>Prop. 1997/98:44</p>
<p>Bilaga 3</p>
<p>189</p>
<p>h) att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana<br>personuppgifter som är felaktiga, missvisande eller ofullständiga med<br>hänsyn till ändamålen med behandlingen, och</p>
<p>i) att personuppgifter inte bevaras under en längre tid än vad som är nöd-<br>vändigt med hänsyn till ändamålen med behandlingen.</p>
<p>Beträffande första stycket d) gäller att en behandling av person-<br>uppgifter för historiska, statistiska eller vetenskapliga ändamål inte skall<br>anses som oförenlig med de ändamål för vilka uppgifterna samlades in. I<br>fråga om första stycket i) gäller att personuppgifter får bevaras under<br>längre tid än som sagts där för historiska, statistiska eller vetenskapliga<br>ändamål.</p>
<p>Personuppgifter som behandlas för historiska, statistiska eller veten-<br>skapliga ändamål far användas för att vidta åtgärder beträffande den<br>registrerade bara om den registrerade har lämnat sitt samtycke eller det<br>finns synnerliga skäl med hänsyn till den registrerades eller någon annans<br>vitala intressen.</p>
<p>När behandling av personuppgifter är tillåten</p>
<p>Allmänt</p>
<p>10 § Personuppgifter får behandlas bara om den registrerade har lämnat<br>sitt samtycke till behandlingen eller när behandlingen är nödvändig</p>
<p>a) för att fullgöra ett avtal med den registrerade,</p>
<p>b) för att på den registrerades begäran vidta åtgärder innan ett avtal träffas,</p>
<p>c) för att den persondataansvarige skall kunna fullgöra en rättslig skyl-<br>dighet,</p>
<p>d) för att skydda vitala intressen för den registrerade,</p>
<p>e) för att utföra en arbetsuppgift av allmänt intresse,</p>
<p>f) för att den persondataansvarige eller en tredje man till vilken person-<br>uppgifter lämnas ut skall kunna utföra en arbetsuppgift i samband med<br>myndighetsutövning, eller</p>
<p>g) för ändamål som rör ett berättigat intresse hos den persondataansvarige<br>eller hos sådana tredje män till vilka personuppgifterna lämnas ut när<br>detta intresse väger tyngre än den registrerades intresse</p>
<p>Direkt marknadsföring</p>
<p>11 § Personuppgifter får inte behandlas för ändamål som rör direkt mark-<br>nadsföring, om den registrerade hos den persondataansvarige skriftligen<br>har anmält att han eller hon motsätter sig sådan behandling</p>
<p>Prop. 1997/98:44</p>
<p>Bilaga 3</p>
<p>Samtycke återkallas</p>
<p>12 § I de fall där behandling av personuppgifter bara är tillåten när den<br>registrerade har lämnat sitt samtycke enligt 10, 15 eller 34 § har den re-<br></p>
<p>190</p>
<p>gistrerade rätt att när som helst återkalla ett lämnat samtycke Ytterligare<br>personuppgifter om den registrerade får därefter inte behandlas.</p>
<p>En registrerad har utöver vad som följer av första stycket och 11 § inte<br>rätt att motsätta sig sådan behandling av personuppgifter som är tillåten<br>enligt denna lag.</p>
<p>Förbud mot behandling av känsliga personuppgifter</p>
<p>13 § Det är förbjudet att behandla personuppgifter som avslöjar</p>
<p>a)ras eller etniskt ursprung,<br>bjpolitiska åsikter,</p>
<p>c) religiös eller filosofisk övertygelse, eller</p>
<p>d) medlemskap i fackförening</p>
<p>Det är också förbjudet att behandla sådana personuppgifter som rör<br>hälsa eller sexualliv.</p>
<p>Undantag från förbudet mot behandling av känsliga personuppgifter</p>
<p>Prop. 1997/98:44</p>
<p>Bilaga 3</p>
<p>Allmänt</p>
<p>14 § Utan hinder av 13 § är det tillåtet att behandla känsliga per-<br>sonuppgifter i de fall som anges i 15-19 §§.</p>
<p>I 10 § finns det bestämmelser om i vilka fall behandling av personupp-<br>gifter över huvud taget är tillåten</p>
<p>Samtycke eller offentliggörande</p>
<p>15 § Känsliga personuppgifter far behandlas, om den registrerade har<br>samtyckt till behandlingen eller på ett tydligt sätt offentliggjort uppgif-<br>terna.</p>
<p>Behandlingen är nödvändig i vissa fall</p>
<p>16 § Känsliga personuppgifter får behandlas när behandlingen är nödvän-<br>dig för att</p>
<p>a) den persondataansvarige skall kunna fullgöra sina skyldigheter eller<br>utöva sina rättigheter inom arbetsrätten,</p>
<p>b) skydda vitala intressen för den registrerade eller någon annan och den<br>registrerade inte kan lämna samtycke, eller</p>
<p>c) rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras.</p>
<p>Uppgifter som behandlas med stöd av första stycket a) får lämnas ut till<br>tredje man bara om det inom arbetsrätten finns en uttrycklig skyldighet för<br>den persondataansvarige att göra det eller den registrerade har samtyckt<br>till utlämnandet.</p>
<p>191</p>
<p>Ideella organisationer</p>
<p>17 § Ideella organisationer med politiskt, filosofiskt, religiöst eller<br>fackligt syfte får inom ramen för sin verksamhet behandla känsliga<br>personuppgifter om organisationens medlemmar och sådana andra<br>personer som på grund av organisationens syfte har regelbunden kontakt<br>med denna. Känsliga personuppgifter får dock lämnas ut till tredje man<br>bara om den registrerade har samtyckt till det</p>
<p>Hälso- och sjukvård</p>
<p>18 § Känsliga personuppgifter far behandlas, om behandlingen är nöd-<br>vändig för</p>
<p>a) förebyggande hälso- och sjukvård,</p>
<p>b) medicinska diagnoser,</p>
<p>c) vård eller behandling, eller</p>
<p>d) administration av hälso- och sjukvård.</p>
<p>Den som är yrkesmässigt verksam inom hälso- och sjukvårdsområdet<br>och har tystnadsplikt far alltid behandla känsliga personuppgifter som<br>omfattas av tystnadsplikten.</p>
<p>Forskning och statistik</p>
<p>19 § Känsliga personuppgifter får behandlas för forsknings- och statistik-<br>ändamål, om behandlingen är nödvändig och om samhällsintresset av det<br>forsknings- eller statistikprojekt vari behandlingen ingår klart väger över<br>den risk för otillbörligt intrång i enskildas personliga integritet som be-<br>handlingen kan innebära</p>
<p>Har projektet godkänts av en forskningsetisk kommitté, skall förutsätt-<br>ningarna enligt första stycket anses uppfyllda Med forskningsetisk<br>kommitté avses ett sådant särskilt organ för prövning av forsknmgsetiska<br>frågor som har företrädare för såväl det allmänna som forskningen och<br>som är knutet till ett universitet eller en högskola eller till någon annan in-<br>stans som i mera betydande omfattning finansierar forskning.</p>
<p>Personuppgifter får lämnas ut för att användas i sådana projekt som av-<br>ses i första stycket, om inte något annat följer av sekretesslagen<br>(1980:100).</p>
<p>Bemyndigande att föreskriva ytterligare undantag</p>
<p>20 § Regeringen eller den myndighet som regeringen bestämmer får före-<br>skriva ytterligare undantag från förbudet i 13 §, om det behövs med<br>hänsyn till ett viktigt allmänt intresse.</p>
<p>Prop. 1997/98:44</p>
<p>Bilaga 3</p>
<p>Uppgifter om lagöverträdelser</p>
<p>21 § Det är förbjudet för andra än myndigheter att behandla personuppgif-<br>ter om lagöverträdelser eller om domar och säkerhetsåtgärder i brottmål.</p>
<p>192</p>
<p>Regeringen eller den myndighet som regeringen bestämmer får före- Prop. 1997/98:44<br>skriva undantag från förbudet i första stycket. Bilaga 3</p>
<p>Användning av personnummer</p>
<p>22 § Uppgift om personnummer får behandlas bara när det är klart<br>motiverat med hänsyn till</p>
<p>a) ändamålet med behandlingen,</p>
<p>b) vikten av en säker identifiering, eller</p>
<p>c) något annat beaktansvärt skäl.</p>
<p>Information till den registrerade</p>
<p>Information skall lämnas självmant när uppgifterna samlas in</p>
<p>23 § När uppgifter om en person samlas in från denne själv, skall den per-<br>sondataansvarige självmant lämna den registrerade information rörande<br>behandlingen</p>
<p>24 § Om personuppgifterna har samlats in från annan källa än den re-<br>gistrerade, skall den persondataansvarige självmant lämna den registre-<br>rade information rörande behandlingen när uppgifterna noteras. Är<br>uppgifterna avsedda att lämnas ut till tredje man, behöver informationen<br>dock lämnas först när uppgifterna lämnas ut för första gången.</p>
<p>Information enligt första stycket behöver inte lämnas, om det finns be-<br>stämmelser om registrerandet eller utlämnandet av personuppgifterna i en<br>lag eller någon annan författning.</p>
<p>Information behöver inte heller lämnas enligt första stycket, om detta<br>visar sig vara omöjligt eller skulle innebära en oproportionerligt stor ar-<br>betsinsats. Om uppgifterna används för att vidta åtgärder beträffande den<br>registrerade, skall dock information alltid lämnas senast i samband med<br>att så sker.</p>
<p>Vilken information skall lämnas självmant</p>
<p>25 § Information enligt 23 § eller 24 § första stycket skall omfatta</p>
<p>a) uppgift om den persondataansvariges identitet,<br>bjuppgift om ändamålen med behandlingen, och</p>
<p>c) all övrig information som behövs för att den registrerade skall kunna ta<br>till vara sina rättigheter, såsom information om mottagarna av uppgif-<br>terna, skyldighet att lämna uppgifter och rätten att ansöka om informa-<br>tion.</p>
<p>Uppgifter behöver dock inte lämnas om sådant som den registrerade<br>redan känner till</p>
<p>193</p>
<p>13 Riksdagen 1997/98. 1 saml. Nr 44</p>
<p>Information skall också lämnas efter ansökan</p>
<p>26 § Den persondataansvarige är skyldig att till var och en som ansöker<br>om det en gång per kalenderår gratis lämna information, om personupp-<br>gifter som rör sökanden behandlas eller mte. Behandlas sådana uppgifter<br>skall skriftlig information lämnas också om</p>
<p>a) vilka uppgifter om sökanden som behandlas,</p>
<p>b) varifrån dessa uppgifter har hämtats,</p>
<p>c) ändamålen med behandlingen, och</p>
<p>djtill vilka mottagare eller kategorier av mottagare som uppgifterna läm-<br>nas ut.</p>
<p>En ansökan enligt första stycket skall göras skriftligen hos den person-<br>dataansvarige och vara undertecknad av den sökande själv Information<br>enligt första stycket skall lämnas inom en månad från det att ansökan<br>gjordes. Det är dock tillåtet att lämna information bara vid tre över året<br>jämnt fördelade tillfällen, om det finns särskilda skäl för det</p>
<p>Information enligt första stycket behöver inte lämnas beträffande per-<br>sonuppgifter i löpande text som inte fått sin slutliga utformning när ansö-<br>kan gjordes eller som utgör minnesanteckning eller liknande Vad som nu<br>sagts gäller dock inte om uppgifterna har lämnats ut till tredje man, om<br>uppgifterna behandlas bara för historiska, statistiska eller vetenskapliga<br>ändamål eller, såvitt gäller löpande text som inte fått sin slutliga utform-<br>ning, om uppgifterna har behandlats under längre tid än ett år</p>
<p>Undantag från informationsskyldigheten vid sekretess och tystnadsplikt</p>
<p>27 § I den utsträckning det är särskilt föreskrivet i lag eller annan författ-<br>ning eller i beslut som har meddelats med stöd av författning att uppgifter<br>inte får lämnas ut till den registrerade gäller inte bestämmelserna i 23-<br>26§§.</p>
<p>Regeringen eller den myndighet som regeringen bestämmer får medge<br>undantag från bestämmelserna i 23-26 §§, om det behövs för att skydda<br>grundläggande intressen för enskilda eller för att förebygga, undersöka<br>eller avslöja brott</p>
<p>Rättelse</p>
<p>28 § Den persondataansvarige är skyldig att på begäran av den re-<br>gistrerade rätta, blockera eller utplåna sådana personuppgifter som inte<br>har behandlats i enlighet med denna lag eller föreskrifter som har ut-<br>färdats med stöd av lagen Den persondataansvarige skall också under-<br>rätta de tredje män till vilka uppgifterna har lämnats ut om åtgärden, om<br>den registrerade begär det eller om en underrättelse skulle kunna undvika<br>mera betydande skada eller olägenhet för den registrerade. Någon sådan<br>underrättelse behöver dock inte lämnas om detta visar sig vara omöjligt<br>eller skulle innebära en oproportionerligt stor arbetsinsats.</p>
<p>Prop. 1997/98:44</p>
<p>Bilaga 3</p>
<p>194</p>
<p>Automatiserade beslut</p>
<p>29 § Ett beslut som har rättsliga följder för en fysisk person eller annars<br>har märkbara verkningar för denne får grundas enbart på automatisk be-<br>handling av personuppgifter, vilka är avsedda att bedöma egenskaper hos<br>den berörda personen, bara om den som berörs av beslutet har möjlighet<br>att på begäran fa beslutet omprövat på manuell väg.</p>
<p>Var och en som varit föremål för ett sådant beslut som avses i första<br>stycket har rätt att på ansökan få information från den persondataansva-<br>rige om vilka regler som har styrt den automatiska behandling som har lett<br>fram till beslutet. I fråga om ansökan och lämnandet av information gäller<br>i tillämpliga delar bestämmelserna i 26 §.</p>
<p>Säkerheten vid behandling</p>
<p>De personer som arbetar med personuppgifter</p>
<p>30 § Ett persondatabiträde och den eller de personer som arbetar under<br>dennes eller den persondataansvariges ledning får behandla personuppgif-<br>ter bara i enlighet med instruktioner från den persondataansvarige. I fråga<br>om sekretess och tystnadsplikt i det allmännas verksamhet tillämpas i<br>stället bestämmelserna i sekretesslagen (1980:100).</p>
<p>Det skall finnas ett skriftligt avtal om persondatabiträdets behandling<br>av personuppgifter för den persondataansvariges räkning. I det avtalet<br>skall det särskilt föreskrivas att persondatabiträdet får behandla<br>personuppgifterna bara i enlighet med instruktioner från den per-<br>sondataansvarige och att persondatabiträdet är skyldigt att vidta de åt-<br>gärder som avses i 31 § första stycket.</p>
<p>Skyddsåtgärder</p>
<p>31 § Den persondataansvarige skall vidta lämpliga tekniska och organisa-<br>toriska åtgärder för att skydda de personuppgifter som behandlas. Åtgär-<br>derna skall åstadkomma en säkerhetsnivå som är lämplig med beaktande<br>av</p>
<p>a) de tekniska möjligheter som finns,</p>
<p>b) vad det skulle kosta att genomföra åtgärderna,</p>
<p>c) de särskilda risker som finns med behandlingen av personuppgifterna,<br>och</p>
<p>d) hur pass känsliga de behandlade personuppgifterna är.</p>
<p>När den persondataansvarige anlitar ett persondatabiträde, skall den<br>persondataansvarige förvissa sig om att persondatabiträdet kan genomföra<br>de säkerhetsåtgärder som måste vidtas och se till att persondatabiträdet<br>verkligen vidtar åtgärderna.</p>
<p>Prop. 1997/98:44</p>
<p>Bilaga 3</p>
<p>195</p>
<p>Tillsynsmyndigheten får besluta om skyddsåtgärder</p>
<p>32 § Tillsynsmyndigheten får besluta om vilka skyddsåtgärder som den<br>persondataansvarige skall vidta enligt 31 §.</p>
<p>I 47 § finns det bestämmelser om tillsynsmyndighetens möjligheter att<br>förena beslutet med vite.</p>
<p>Överföring av personuppgifter till tredje land</p>
<p>Förbud mot överföring</p>
<p>33 § Det är förbjudet att till tredje land föra över personuppgifter som be-<br>handlas. Förbudet gäller också överföring av personuppgifter för behand-<br>ling i tredje land.</p>
<p>Undantag från förbudet</p>
<p>34 § Utan hinder av 33 § är det tillåtet att föra över personuppgifter till<br>tredje land, om den registrerade har samtyckt till överföringen eller när<br>överföringen är nödvändig för att</p>
<p>a) fullgöra ett avtal mellan den registrerade och den persondataansvarige,</p>
<p>b) på den registrerades begäran vidta åtgärder innan ett avtal träffas,</p>
<p>c) ingå eller fullgöra ett sådant avtal mellan den persondataansvarige och<br>tredje man som är i den registrerades intresse,</p>
<p>djrättsliga anspråk skall kunna fastställas, göras gällande eller försvaras,<br>eller</p>
<p>e) skydda vitala intressen för den registrerade.</p>
<p>Det är också tillåtet att föra över personuppgifter för användning enbart<br>i en stat som har anslutit sig till Europarådets konvention om skydd för<br>enskilda vid automatisk databehandling av personuppgifter</p>
<p>35 § Regeringen far för överföring av personuppgifter till vissa stater<br>föreskriva undantag från förbudet i 33 §. Regeringen får också föreskriva<br>att överföring av personuppgifter till tredje land är tillåten, om över-<br>föringen regleras av ett avtal som innehåller vissa bestämmelser till skydd<br>för de registrerades rättigheter.</p>
<p>Regeringen eller den myndighet som regeringen bestämmer får vidare<br>medge undantag från förbudet i 33 §, om det behövs med hänsyn till ett<br>viktigt allmänt intresse eller om det finns tillräckliga garantier till skydd<br>för de registrerades rättigheter.</p>
<p>Prop. 1997/98:44</p>
<p>Bilaga 3</p>
<p>196</p>
<p>Anmälan till tillsynsmyndigheten</p>
<p>Prop 1997/98:44</p>
<p>Bilaga 3</p>
<p>A nmälningsskyldighet</p>
<p>36 § Behandling av personuppgifter som är helt eller delvis automatisk<br>omfattas av anmälningsskyldighet. Den persondataansvarige skall innan<br>en sådan behandling eller en serie av sådana behandlingar, som har<br>samma eller liknande ändamål, genomförs göra en skriftlig anmälan till<br>tillsynsmyndigheten.</p>
<p>Regeringen eller den myndighet som regeringen bestämmer får före-<br>skriva undantag från anmälningsskyldigheten för sådana typer av behand-<br>lingar som sannolikt inte kommer att leda till otillbörligt intrång i den per-<br>sonliga integriteten.</p>
<p>Anmälan behöver inte göras om det finns ett persondataombud</p>
<p>37 § När den persondataansvarige har offentliggjort en uppgift om att ett<br>persondataombud utsetts och vem det är, behöver anmälan enligt 36 § inte<br>göras.</p>
<p>Persondataombudets uppgifter</p>
<p>38 § Persondataombudet skall ha till uppgift att självständigt se till att den<br>persondataansvarige behandlar personuppgifter på ett korrekt och lagligt<br>sätt och påpeka eventuella brister för denne.</p>
<p>Har persondataombudet anledning att misstänka att den persondataan-<br>svarige bryter mot de bestämmelser som gäller för behandlingen av per-<br>sonuppgifter och vidtas inte rättelse så snart det kan ske efter påpekande,<br>skall persondataombudet anmäla förhållandet till tillsynsmyndigheten</p>
<p>Persondataombudet skall även i övrigt samråda med tillsynsmyndighe-<br>ten vid tveksamhet om hur de bestämmelser som gäller för behandlingen<br>av personuppgifter skall tillämpas.</p>
<p>39 § Persondataombudet skall föra en förteckning över de behandlingar<br>som den persondataansvarige genomför och som skulle ha omfattats av<br>anmälningsskyldighet om ombudet inte hade funnits Förteckningen skall<br>omfatta åtminstone de uppgifter som en anmälan enligt 36 § skulle ha<br>innehållit.</p>
<p>40 § Persondataombudet skall hjälpa registrerade att få rättelse när det<br>finns anledning att misstänka att behandlade personuppgifter är felaktiga,<br>missvisande eller ofullständiga.</p>
<p>Obligatorisk anmälan för särskilt integritetskänsliga behandlingar</p>
<p>41 § Regeringen far föreskriva att vissa behandlingar av personuppgifter<br>som kan innebära särskilda risker för otillbörligt intrång i den personliga<br>integriteten skall för förhandskontroll anmälas till tillsynsmyndigheten en-<br></p>
<p>197</p>
<p>ligt 36 § tre veckor i förväg. Om regeringen har meddelat sådana före- Prop. 1997/98:44<br>skrifter, gäller inte undantaget från anmälningsskyldigheten enligt 37 §. Bilaga 3</p>
<p>Upplysningar till allmänheten om behandlingar som inte anmälts</p>
<p>42 § Den persondataansvarige skall till var och en som begär det skynd-<br>samt och på lämpligt sätt lämna upplysningar om sådana automatiska eller<br>andra behandlingar av personuppgifter som inte har anmälts till tillsyns-<br>myndigheten. Upplysningarna skall omfatta det som en anmälan enligt<br>36 § skulle ha omfattat. Den persondataansvarige är dock inte skyldig att<br>lämna ut uppgifter om vilka säkerhetsåtgärder som har vidtagits.</p>
<p>Skadestånd</p>
<p>43 § Den persondataansvarige skall ersätta den registrerade för den skada<br>som en behandling av personuppgifter i strid med denna lag eller före-<br>skrifter som har meddelats med stöd av lagen har fört med sig. Ersättning<br>skall också betalas för ren förmögenhetsskada och för den kränkning av<br>den personliga integriteten som behandlingen har inneburit.</p>
<p>Ersättningsskyldigheten enligt första stycket kan i den utsträckning det<br>är skäligt sättas ned eller helt falla bort, om den persondataansvarige visar<br>att felet inte berodde på honom eller henne</p>
<p>Straff för osanna uppgifter</p>
<p>44 § Till böter eller fängelse högst sex månader eller, om brottet är grovt,<br>till fängelse i högst två år döms den som uppsåtligen eller av oaktsamhet<br>lämnar osann uppgift</p>
<p>a) i information till registrerade som föreskrivs i denna lag,</p>
<p>b) i anmälan till tillsynsmyndigheten enligt 36 §, eller</p>
<p>c) till tillsynsmyndigheten när myndigheten begär information enligt 45 §</p>
<p>Tillsynsmyndighetens befogenheter</p>
<p>45 § Tillsynsmyndigheten har rätt att för sin tillsyn på begäran få</p>
<p>a) tillgång till de personuppgifter som behandlas,</p>
<p>b) upplysningar och dokumentation rörande behandlingen av personupp-<br>gifter och säkerheten vid denna, och</p>
<p>c) tillträde till sådana lokaler som har anknytning till behandlingen av<br>personuppgifter.</p>
<p>46 § Om tillsynsmyndigheten inte efter begäran enligt 45 § kan få tillräck-<br>ligt underlag för att konstatera att behandlingen av personuppgifter är lag-<br>lig, får myndigheten vid vite förbjuda den persondataansvarige att be-<br>handla personuppgifter på annat sätt än genom att lagra dem</p>
<p>47 § Om tillsynsmyndigheten konstaterar att personuppgifter behandlas<br>eller kan komma att behandlas på ett olagligt sätt, skall myndigheten ge-</p>
<p>198</p>
<p>nom påpekanden eller liknande förfaranden försöka åstadkomma rättelse.<br>Går det inte att få rättelse på annat sätt eller är det riskfyllt att vänta, far<br>myndigheten vid vite förbjuda den persondataansvarige att fortsätta att be-<br>handla personuppgifterna på annat sätt än genom att lagra dem.</p>
<p>Om den persondataansvarige inte frivilligt följer ett beslut om<br>skyddsåtgärder enligt 32 §, som vunnit laga kraft, får tillsynsmyndigheten<br>föreskriva vite för att beslutet skall genomföras</p>
<p>48 § Innan tillsynsmyndigheten beslutar om vite enligt 46 eller 47 §, skall<br>den persondataansvarige ha fått tillfälle att yttra sig. Om det är riskfyllt att<br>vänta, far myndigheten dock i avvaktan på yttrandet meddela ett tillfälligt<br>beslut om vite. Det tillfälliga beslutet skall prövas om, när yttrandetiden<br>har gått ut.</p>
<p>Ett vitesföreläggande skall delges den persondataansvarige. Delgivning<br>enligt 12 § delgivningslagen (1970:428) far dock användas bara om det<br>finns skäl att anta att den persondataansvarige har avvikit eller håller sig<br>undan på något annat sätt.</p>
<p>49 § Tillsynsmyndigheten får hos länsrätten i det län där myndigheten är<br>belägen ansöka om att sådana personuppgifter som har behandlats på ett<br>olagligt sätt skall utplånas.</p>
<p>Beslut om utplånande får inte meddelas om det är oskäligt.</p>
<p>Överklagande</p>
<p>50 § Tillsynsmyndighetens beslut enligt denna lag om annat än generella<br>föreskrifter far överklagas hos allmän förvaltningsdomstol</p>
<p>Prövningstillstånd krävs vid överklagande till kammarrätten.</p>
<p>Tillsynsmyndigheten får bestämma att dess beslut skall gälla även om<br>det överklagas.</p>
<p>Närmare föreskrifter</p>
<p>51 § Regeringen eller den myndighet som regeringen bestämmer får med-<br>dela närmare föreskrifter om</p>
<p>a) i vilka fall behandling av personuppgifter är tillåten,</p>
<p>b) vilka krav som ställs på den persondataansvarige vid behandling av<br>personuppgifter,</p>
<p>c) i vilka fall användning av personnummer är tillåten,</p>
<p>d) innehål let i en anmälan eller ansökan till en persondataansvarig,</p>
<p>e) vilken information som skall lämnas till registrerade och hur lämnandet<br>av information skall gå till, och</p>
<p>f) anmälan till tillsynsmyndigheten och förfarandet när anmälda uppgifter<br>har ändrats.</p>
<p>Prop. 1997/98:44</p>
<p>Bilaga 3</p>
<p>199</p>
<p>Övergångsbestämmelser</p>
<p>1. Denna lag träder i kraft den 1 januari 1999, då datalagen (1973:289)<br>skall upphöra att gälla. Den äldre lagen gäller dock fortfarande i fråga<br>om överklagande av beslut som har meddelats före den 1 januari 1999.</p>
<p>2. Beträffande sådan behandling av personuppgifter som pågår vid ikraft-<br>trädandet skall till utgången av september månad 2001 den äldre lagen<br>tillämpas i stället för den nya. Detta gäller även bestämmelserna i den<br>äldre lagen om överklagande.</p>
<p>3. Bestämmelserna i 9, 10, 13 och 21 §§ i den nya lagen skall inte börja<br>tillämpas förrän den 1 oktober 2007 beträffande sådan manuell behand-<br>ling av personuppgifter som pågår vid ikraftträdandet.</p>
<p>4. Beträffande personuppgifter som vid ikraftträdandet lagras för historisk<br>forskning skall bestämmelserna i 9, 10, 13 och 21 §§ i den nya lagen<br>börja tillämpas först när uppgifterna behandlas på något annat sätt.<br>Dessförinnan skall motsvarande bestämmelser i den äldre lagen tilläm-<br>pas. De angivna bestämmelserna i den nya lagen skall dock inte till<br>följd av vad som nu sagts börja tillämpas tidigare än vad som följer av<br>punkt 2 eller 3 ovan.</p>
<p>5. Anmälan enligt 36 § i den nya lagen får göras före ikraftträdandet.</p>
<p>6. Ett samtycke som har lämnats före ikraftträdandet skall gälla även efter<br>ikraftträdandet om samtycket uppfyller kraven i den nya lagen.</p>
<p>7. Har en begäran om registerutdrag enligt 10 § i den äldre lagen kommit<br>in före ikraftträdandet men har utdraget inte expedierats före ikraftträ-<br>dandet skall framställningen anses som en ansökan enligt 26 § i den nya<br>lagen.</p>
<p>8. Den nya lagens bestämmelser om skadestånd skall bara tillämpas om<br>den omständighet som yrkandet hänför sig till har inträffat efter ikraft-<br>trädandet. I annat fall tillämpas de äldre bestämmelserna.</p>
<p>Prop. 1997/98:44</p>
<p>Bilaga 3</p>
<p>200</p>
<h3>2. Förslag till lag om ändring i sekretesslagen (1980:100)</h3>
<p>Härigenom föreskrivs i fråga om sekretesslagen (1980:100)</p>
<p>dels att 15 kap. 13 § skall upphöra att gälla,</p>
<p>dels att i 2 kap 1 och 2 §§, 3 kap. 1 §, 5 kap. 1 §, 6 kap 1-7 §§, 7 kap</p>
<p>I §, 4 §, 6-15 §§ och 19-36 §§, 8 kap. 1-3 §§, 5-19 §§, 21 §, 23 § och<br>24 § samt 9 kap. 1-5 §§, 8 §, 10-17 §§ och 19-24 §§ orden "uppgift i<br>allmän handling" skall bytas ut mot "allmän uppgift",</p>
<p>dels att 1 kap 1 § och 8-10 §§, 2 kap. 3 §, 5 kap. 2 §, 7 kap 16 §,<br>9 kap. 6 §, 15 kap. 1-4 §§ och 6-12 §§, rubriken till 15 kap. samt<br>rubrikerna närmast före 15 kap 1 och 9 §§ skall ha följande lydelse,</p>
<p>dels att det i lagen skall införas närmast före 15 kap. 3 §, 4 §, 6 §, 7 §,</p>
<p>II § och 12 § nya rubriker av följande lydelse.</p>
<p>Nuvarande lydelse Föreslagen lydelse</p>
<p>7 kap</p>
<p>16 §</p>
<p>Sekretess gäller för person- Sekretess gäller för personupp-<br>uppgift i personregister som avses i gift, om det kan antas att ett ut-<br>datalagen (1973:289), om det kan lämnande skulle medföra att upp-<br>antas att utlämnande skulle medföra giften behandlas i strid med person-<br>att uppgiften används för datalagen (1998:000).<br>automatisk databehandling i strid<br>med datalagen</p>
<p>Sekretess för uppgift som anges i<br>första stycket gäller också, om det<br>kan antas att utlämnande skulle<br>medföra att uppgiften används för<br>automatisk databehandling i utlan-<br>det och att detta medför otillbörligt<br>intrång i personlig integritet. Vid<br>tillämpning av denna bestämmelse<br>ankommer det på datainspektionen<br>att pröva fråga om utlämnande.<br>Sekretess enligt detta stycke gäller<br>dock ej, om uppgiften skall använ-<br>das för automatisk databehandling<br>enbart i en stat som har anslutit sig<br>till Europarådets konvention om<br>skydd för enskilda vid automatisk<br>behandling av personuppgifter</p>
<p>9 kap.<br>6§</p>
<p>Sekretess gäller hos datain- Sekretess gäller hos Datainspek-<br>spektionen i ärende om tillstånd tionen i ärende om tillstånd eller</p>
<p>Prop. 1997/98:44</p>
<p>Bilaga 3</p>
<p>201</p>
<p>eller till-syn, som enligt lag ankom- tillsyn, som enligt lag eller annan Prop. 1997/98:44<br>mer på inspektionen, och i ärende författning ankommer på inspek- Bilaga 3<br>om sådant bistånd som avses i tionen, och i ärende om sådant bi-<br>Europarådets konvention om skydd stånd som av-ses i Europarådets<br>för enskilda vid automatisk databe- konvention om skydd för enskilda<br>handling av personuppgifter, för vid automatisk databehandling av<br>uppgift om enskilds personliga eller personuppgifter, for uppgift om en-<br>ekonomiska förhållanden, om det skilds personliga eller ekonomiska<br>kan antas att den enskilde eller förhållanden, om det kan antas att<br>någon honom närstående lider den enskilde eller någon honom<br>skada eller men om uppgiften röjs, närstående lider skada eller men om<br>Har uppgift, för vilken gäller sekre- uppgiften röjs. Har upp-gift, för<br>tess enligt vad nu har sagts, lämnats vilken gäller sekretess en-ligt vad<br>till regeringen eller justitiekanslem, nu har sagts, lämnats till Justitie-<br>gäller sekretessen också där. kanslern, gäller sekretessen också</p>
<p>där.</p>
<p>I fråga om uppgift i allmän I fråga om allmän uppgift gäller<br>handling gäller sekretessen i högst sekretessen i högst sjuttio år.<br>sjuttio år.</p>
<p>15 kap.</p>
<p>H §</p>
<p>Varje myndighet skall för Om en myndighet för handlägg-<br>allmänheten hålla tillgänglig ningen av ett mål eller ärende an-</p>
<p>beskrivning av de register, för- vänder en uppgift i en databas skall<br>teckningar eller andra anteckningar uppgiften på lämpligt sätt tillföras<br>hos myndigheten som förs med målet eller ärendet,<br>hjälp av automatisk databehandling<br>(ADB-register). Sådan skyldighet<br>föreligger dock inte i fråga om<br>ADB-register som mte till någon<br>del anses som allmän handling hos<br>myndigheten. Myndigheten är inte<br>heller skyldig att tillhandahålla<br>beskrivning som uppenbarligen<br>skulle vara av ringa betydelse för<br>enskildas rätt att ta del av allmänna<br>handlingar hos myndigheten.</p>
<p>Beskrivning som avses i första</p>
<p>stycket skall ge upplysning om</p>
<p>1. ADB-registrets benämning,</p>
<p>2. ADB-registrets ändamål,</p>
<p>3. vilka typer av uppgifter i ADB-<br>registret som myndigheten har till-<br>gång till och på vilket sätt dessa<br>uppgifter normalt inhämtas,</p>
<p>4. hos vilka andra myndigheter<br>ADB-registret är tillgängligt för<br>över-föring till läsbar form,</p>
<p>202</p>
<p>5. vilka terminaler eller andra<br>tekniska hjälpmedel som enskild<br>själv kan fä utnyttja hos myndig-<br>heten,</p>
<p>6. vilka bestämmelser om sekre-<br>tess som myndigheten vanligen skall<br>tillämpa på uppgifter i ADB-<br>registret,</p>
<p>1. vem som hos myndigheten kan<br>lämna närmare upplysningar om<br>ADB-registret och dess användning<br>i myndighetens verksamhet,</p>
<p>8. rätt till försäljning av person-<br>uppgifter i personregister som avses<br>i datalagen (1973:289).</p>
<p>I beskrivningen skall dock<br>uppgift enligt andra stycket<br>utelämnas, om det behövs för att<br>beskrivningen i övriga delar skall<br>kunna företes för allmänheten.</p>
<p>Prop. 1997/98:44</p>
<p>Bilaga 3</p>
<p>1. Denna lag träder i kraft den 1 januari 1999</p>
<p>2. Beträffande uppgift i ärende som avgjorts genom beslut av<br>Datainspektionen före den 1 januari 1999 gäller dock fortfarande 9 kap.<br>6 § i den äldre lydelsen.</p>
<p>203</p>
<h2>Sammanfattning av Statskontorets rapport<br>Konsekvensanalys av Datalagskommitténs<br>betänkande SOU 1997:39 (Rapport 1997:11)</h2>
<p>Prop 1997/98:44</p>
<p>Bilaga 4</p>
<h3>Inledning</h3>
<p>Regeringen har uppdragit åt Statskontoret att analysera de ekonomiska<br>konsekvenserna av Datalagskommitténs förslag i betänkandet (SOU<br>1997:39) Integritet, Offentlighet, Informationsteknik.</p>
<p>Arbetet har bedrivits i form av ett projekt där ett antal berörda myn-<br>digheter medverkat.</p>
<p>I uppdraget betonas särskilt att de myndigheter som är intäktsfinan-<br>serade skall uppmärksammas och speciellt hur s.k. massuttag för kom-<br>mersiella ändamål påverkar deras verksamhet</p>
<p>Statskontoret har koncentrerat sina insatser till följande avsnitt i utred-<br>ningen:</p>
<p>Utlämnande av allmänna uppgifter.</p>
<p>Automatiserade beslut i myndigheternas datorprogram.</p>
<p>Ett ökat antal sekretessprövningar</p>
<p>Datainspektionens finansiering</p>
<p>Informationsskyldighet enligt persondatalagen.</p>
<p>Persondataombud</p>
<h3>Kostnad</h3>
<p>I rapporten redovisas dels förändringar i myndigheternas penningström-<br>mar som övergångsvis kan orsaka ekonomiska problem, dels direkta kost-<br>nadsökningar som orsakas av utredningsförslagen</p>
<p>Statskontoret har kartlagt och analyserat effekterna av förslaget genom<br>noggranna undersökningar av penningströmmar hos de myndigheter som<br>hanterar grunddata</p>
<p>Den sammanlagda kostnadsökningen för dessa myndigheter har upp-<br>skattats till 185 000 tkr.</p>
<p>Statskontoret har också punktvis uppskattat intäktsbortfali och ökade<br>kostnader vid några myndigheter som säljer offentlig information i stor<br>omfattning. Statskontoret uppskattar intäktsbortfallet för dessa myndig-<br>heter till 40 000 tkr.</p>
<p>Statskontoret har tillsammans med tre myndigheter som använder sig<br>av automatiserade beslut i sin verksamhet uppskattat kostnadsökningen av<br>att utöver sedvanlig teknisk dokumentation ta fram av utredningen<br>föreslagna beskrivningar. Statskontoret uppskattar myndigheternas<br>kostnader till 40 000 tkr.</p>
<p>Med Datalagskommitténs förslag försvinner Datainspektionens nu-<br>varande finansieringsmöjligheter vilket innebär att kostnaden för staten<br>ökar med ca 23 000 tkr.</p>
<p>204</p>
<p>Statskontoret har också funnit att informationsskyldighet enligt person-<br>datalagen och ett ökat antal sekretessprövningar innebär ökade kostnader<br>för offentlig förvaltning, men osäkerheten är så stor att det inte är<br>meningsfullt att ange ett belopp</p>
<p>De på detta sätt beräknade kostnaderna för staten uppgår sammanlagt<br>till 288 000 tkr.</p>
<p>Med hänsyn till att endast punktvisa undersökningar har kunnat göras<br>av den statliga förvaltningen bedömer vi att det angivna beloppet bör<br>höjas väsentligt för att erhålla en realistisk total kostnadsuppskattning.</p>
<p>Statskontoret har inte gjort några kostnadsbedömningar avseende<br>konsekvenserna för kommuner, landsting och samhället i övrigt.</p>
<h3>Finansiering</h3>
<p>Statskontoret har, i enlighet med uppdraget, mot bakgrund av utgiftshöj-<br>ningen övervägt möjligheterna till finansiering Statskontoret har funnit<br>följande möjligheter:</p>
<p>att myndigheter som har verksamheter med anknytning till mfor-<br>mationsmarknaden ses över med avseende på verksamhetsform.</p>
<p>Lagförslaget innebär förändrade förutsättningar för myndigheter som<br>har verksamheter med nära anknytning till informationsmarknaden</p>
<p>att avgiftsförordningen IT-anpassas</p>
<p>En avgift för elektroniska offentlighetsuttag bestäms utifrån den<br>princip som Statskontoret och Grunddatabasutredningen (Dir 1996:43)<br>efter samråd har enats om Det innebär att ett elektroniskt uttag enligt<br>offentlighetsprincipen</p>
<p>(2 kap. 15 § i föreslagen ny lydelse av TF) skall kunna ske på två sätt,<br>en mindre mängd lämnas ut avgiftsfritt ett begränsat antal gånger per dag<br>och person/adress (det som först uppfylls). Mer omfattande uttag kan ske<br>mot avgift. Avgiften bör utformas så att den är enkel att förstå för<br>allmänheten och enkel att tillämpa i myndigheternas verksamhet samt<br>kostnadsneutral gentemot den uppdragsverksamhet som myndigheten<br>eventuellt bedriver med stöd av IT. Själva utlämnandet på elektroniskt<br>medium bör följa självkostnadsprincipen. Förslaget utvecklas vidare av<br>Grunddatabasutredningen</p>
<p>att offentlig förvaltning, för att förenkla utlämnandet av allmänna upp-<br>gifter, åläggs att klassificera informationen i åtminstone följande grupper:</p>
<p>Uppgifter som inte är att anse som allmänna</p>
<p>Uppgifter som är allmänna och som kan vara föremål för sekretess.</p>
<p>Uppgifter som är allmänna och som inte kan vara föremål för<br>sekretess.</p>
<p>att Datainspektionen i huvudsak finansieras genom tillsynsavgifter och<br>i övrigt som ett stabsorgan över statsbudgeten via ramanslag. Genom att<br>Datainspektionen ges möjlighet att ta ut avgifter för tillsynen kan statens<br>kostnad begränsas. Statskontoret uppskattar statens kostnad vid en sådan<br>biandfinansiering till 10 000 tkr.</p>
<p>Prop. 1997/98:44</p>
<p>Bilaga 4</p>
<p>205</p>
<h2>Förteckning över remissinstanser</h2>
<p>Remissyttranden över Datalagskommitténs betänkande Integritet -<br>Offentlighet - Informationsteknik (SOU 1997:39) eller Statskontorets<br>rapport Konsekvensanalys av Datalagskommitténs betänkande SOU<br>1997:39 (Rapport 1997:11) har avgetts av Riksdagens ombudsmän, Svea<br>hovrätt, Hovrätten över Skåne och Blekinge, Malmö tingsrätt, Kammar-<br>rätten i Stockholm, Kammarrätten i Göteborg, Länsrätten i Stockholms<br>län, Justitiekanslem, Domstolsverket, Riksåklagaren, Rikspolisstyrelsen,<br>Kriminalvårdsstyrelsen, Datainspektionen, Försvarsmakten, Totalför-<br>svarets pliktverk, Överstyrelsen för civil beredskap, Riksförsäkrings-<br>verket, Socialstyrelsen, Folkhälsoinstitutet, Socialvetenskapliga forsk-<br>ningsrådet, Jämställdhetsombudsmannen (JÄMO), Post- och Telestyrel-<br>sen, Vägverket, Kommunikationsforskningsberedningen, Posten AB,<br>Telia AB, Statskontoret, Statens person- och adressregistemämnd, Gene-<br>raltullstyrelsen, Statistiska centralbyrån, Finansinspektionen, Riksre-<br>visionsverket, Riksskatteverket, Statens löne- och pensionsverk, Statens<br>skolverk, Forskningsrådsnämnden, Humanistiskt-samhällsvetenskapliga<br>forskningsrådet, Medicinska forskningsrådet, Naturvetenskapliga forsk-<br>ningsrådet, Centrala Studiestödsnämnden (CSN), Juridiska fakultets-<br>nämnden vid Stockholms universitet, Karolinska institutet, Juridiska<br>fakultetsnämnden vid Uppsala universitet, Juridiska fakultetsnämnden vid<br>Lunds universitet, Högskolan i Karlstad, Universitetet i Umeå, Skogs-<br>och jordbrukets forskningsråd, Sveriges lantbruksuniversitet, Arbetsmark-<br>nadsstyrelsen (AMS), Arbetslivsinstitutet, Arbetarskyddsstyrelsen, Riks-<br>arkivet, Konkurrensverket, Patent- och registreringsverket, Svenska<br>kyrkans centralstyrelse, Lantmäteriverket, Stockholms kommun, Norr-<br>köpings kommun, Jönköpings kommun, Malmö kommun, Varbergs<br>kommun, Göteborgs kommun, Härnösands kommun, Umeå kommun,<br>Kiruna kommun, Stockholms läns landsting, Kalmar läns landsting, Jämt-<br>lands läns landsting, Vetenskapsakademien, Sveriges författarförbund,<br>Svenska Kommunförbundet, Landstingsförbundet, Svenska kyrkans<br>Församlings- och Pastoratsförbund, Sveriges advokatsamfund, Sveriges<br>köpmannaförbund, Sveriges industriförbund, Företagarnas Riksorga-<br>nisation, Sveriges Försäkringsförbund, Sveriges Radio AB, Sveriges Tele-<br>vision AB, Tjänstemännens Centralorganisation (TCO), Sveriges Akade-<br>mikers Centralorganisation (SACO), Landsorganisationen i Sverige (LO),<br>Svenska Arbetsgivareföreningen, Företagens Uppgiftslämnardelegation,<br>Svenska journalistförbundet, Svenska tidningsutgivareföreningen,<br>Pressens Opinionsnämnd, Svenska Bankföreningen, Serna Group Info-<br>Data AB, Dataföreningen i Sverige, Medborgarrättsrörelsen i Sverige,<br>Internationella Juristkommissionen, svenska avdelningen, Föreningen<br>Grävande Journalister, Swedish Direct Marketing Association (SWED-<br>MA), Svenska Inkassoföreningen, Tele 2 AB, Näringslivets Telekom-<br>mitté, Svenska IT-företagens organisation, Kungliga biblioteket, Upplys-<br>ningsCentralen UC AB, Sveriges Geologiska Undersökning (SGU),<br>Hälso- och sjukvårdens utvecklingsinstitut (SPRI), Landstinget i Öster-<br>götland, Carin Hedström, Dow Europé, Svensk Byggtjänst, Läkemedels-<br>industriförenmgen, Sveriges Släktforskarförbund, Konstnärliga och<br></p>
<p>Prop. 1997/98:44</p>
<p>Bilaga 5</p>
<p>206</p>
<p>litterära yrkesutövares samarbetsnämnd (KLYS), Sjöfartsverket, Jacob<br>Palme och Claes Tullbrink.</p>
<p>Riksskatteverket har bifogat yttranden av skattemyndigheterna i Gävle-<br>borgs, Göteborgs och Bohus, Skåne och Stockholms län och av krono-<br>fogdemyndigheterna i Malmö och Stockholm.</p>
<p>Sveriges Akademikers Centralorganisation (SACO) har översänt ett<br>yttrande av Sveriges Psykologförbund.</p>
<p>Följande remissinstanser har beretts tillfälle men inte kommit in med<br>yttrande: Chalmers tekniska högskola, Tidningarnas Telegrambyrå (TT),<br>Publicistklubben, Stiftelsen Allmänhetens Pressombudsman, TV 4 AB,<br>Arkivrådet AAS, Informationsproducentföreningen (IPF) och Föreningen<br>säkrad elektronisk information i samhället (SEIS).</p>
<p>Prop. 1997/98:44</p>
<p>Bilaga 5</p>
<p>207</p>
<h2>Lagrådsremissens lagförslag</h2>
<p>Regeringen har följande förslag till lagtext</p>
<p>Prop 1997/98:44</p>
<p>Bilaga 6</p>
<h3>1. Förslag till personuppgiftslag</h3>
<p>Härigenom föreskrivs<sup>1</sup> följande.</p>
<p>Allmänna bestämmelser</p>
<p>Syftet med lagen</p>
<p>1 § Syftet med denna lag är att skydda människor mot att deras personliga<br>integritet kränks genom behandling av personuppgifter.</p>
<p>Avvikande bestämmelser i annan författtning</p>
<p>2 § Om det i en annan lag eller i en förordning finns bestämmelser som<br>avviker från denna lag, skall de bestämmelserna gälla.</p>
<p>Definitioner</p>
<p>3 § I denna lag används följande beteckningar med nedan angiven bety-<br>delse</p>
<p>Beteckning______________Betydelse___________________________________</p>
<p>Behandling (av person- Varje åtgärd eller serie av åtgärder som vidtas i<br>uppgifter) fråga om personuppgifter, vare sig det sker på</p>
<p>automatisk väg eller inte, t.ex. insamling, re-<br>gistrering, organisering, lagring, bearbetning<br>eller ändring, återvinning, inhämtande, an-<br>vändning, utlämnande genom översändande,<br>spridning eller annat tillhandahållande av upp-<br>gifter, sammanställning eller samköming,<br>blockering, utplåning eller förstöring</p>
<p>Blockering (av person- Varje åtgärd som kan vidtas för att personupp-<br>uppgifter) gifterna i alla sammanhang skall vara för-</p>
<p>knippade med tydlig information om att de är<br>spärrade och om anledningen till spärren och<br>för att personuppgifterna inte skall lämnas ut<br>till tredje man annat än med stöd av 2 kap<br>tryckfrihetsförordningen</p>
<p><sup>1</sup> Jfr Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd<br>för enskilda personer med avseende på behandling av personuppgifter och om det fria<br>flödet av sådana uppgifter (EGT nr L 281, 23.11 1995, s. 31, Celex 395L0046).</p>
<p>208</p>
<p>Beteckning___________</p>
<p>Mottagare</p>
<p>Personuppgifter</p>
<p>Personuppgiftsansvarig</p>
<p>Personuppgiftsbiträde</p>
<p>Personuppgiftsombud</p>
<p>Den registrerade</p>
<p>Samtycke</p>
<p>Tillsynsmyndigheten</p>
<p>Tredje land</p>
<p>Tredje man</p>
<p>Betydelse___________________________________</p>
<p>Den till vilken personuppgifter lämnas ut. När<br>personuppgifter lämnas ut för att en myndighet<br>skall kunna utföra sådan tillsyn, kontroll eller<br>revision som den är skyldig att sköta, anses<br>dock inte myndigheten som mottagare.</p>
<p>All slags information som direkt eller indirekt<br>kan hänföras till en fysisk person som är i livet.</p>
<p>Den som ensam eller tillsammans med andra<br>bestämmer ändamålen med och medlen för<br>behandlingen av personuppgifter.</p>
<p>Den som behandlar personuppgifter för den<br>personuppgiftsansvariges räkning.</p>
<p>Den fysiska person som, efter förordnande av<br>den personuppgiftsansvarige, självständigt<br>skall se till att personuppgifter behandlas på ett<br>korrekt och lagligt sätt.</p>
<p>Den som en personuppgift avser.</p>
<p>Varje slag av frivillig, särskild och informerad<br>viljeyttring genom vilken den registrerade<br>godtar behandling av personuppgifter som rör<br>honom eller henne.</p>
<p>Prop. 1997/98:44</p>
<p>Bilaga 6</p>
<p>Den myndighet som regeringen utser</p>
<p>En stat som mte ingår i Europeiska unionen<br>eller är ansluten till Europeiska ekonomiska<br>sam arbetsområdet.</p>
<p>Någon annan än den registrerade, den person-<br>uppgiftsansvarige, personuppgiftsombudet,<br>personuppgiftsbiträdet och sådana personer<br>som under den personuppgiftsansvariges eller<br>personuppgiftsbiträdets direkta ansvar har<br>befogenhet att behandla personuppgifter</p>
<p>Tillämpningsområde</p>
<p>Det territoriella tillämpningsområdet</p>
<p>4 § Denna lag gäller för sådana personuppgiftsansvariga som är etable-<br>rade i Sverige</p>
<p>Lagen tillämpas också när den personuppgiftsansvarige är etablerad i<br>tredje land men för behandlingen av personuppgifter använder sig av<br>utrustning som finns i Sverige Vad som nu sagts gäller dock inte om<br>utrustningen bara används för att överföra uppgifter mellan ett tredje land<br>och ett annat sådant land.</p>
<p>I det fall som avses i andra stycket första meningen skall den person-<br>uppgiftsansvarige utse en företrädare för sig som är etablerad i Sverige<br>Vad som anges i denna lag om den personuppgiftsansvarige skall också<br>gälla för företrädaren.</p>
<p>209</p>
<p>14 Riksdagen 1997/98. 1 samt. Nr 44</p>
<p>Den behandling av personuppgifter som omfattas av lagen</p>
<p>5 § Denna lag gäller för sådan behandling av personuppgifter som helt<br>eller delvis är automatisk.</p>
<p>Lagen gäller även för annan behandling av personuppgifter, om upp-<br>gifterna ingår i eller är avsedda att ingå i en strukturerad samling av<br>personuppgifter som är tillgängliga för sökning eller sammanställning<br>enligt särskilda kriterier.</p>
<p>Undantag för privat behandling av personuppgifter</p>
<p>6 § Denna lag gäller inte för sådan behandling av personuppgifter som en<br>fysisk person utför som ett led i en verksamhet av rent privat natur.</p>
<p>Förhållandet till och undantag med hånsyn till tryck- och yttrandefriheten</p>
<p>7 § Bestämmelserna i denna lag tillämpas inte i den utsträckning det<br>skulle strida mot bestämmelserna om tryck- och yttrandefrihet i<br>tryckfrihetsförordningen eller yttrandefnhetsgrundlagen.</p>
<p>Bestämmelserna i 9-29 och 33-44 §§ samt 45 § första stycket och 47 -<br>49 §§ skall under inga förhållanden tillämpas på spridningen av innehållet<br>i yttranden som tidigare utgetts, sänts eller spritts på ett sådant sätt som<br>avses i tryckfrihetsförordningen eller yttrandefnhetsgrundlagen Dessa<br>bestämmelser skall inte heller tillämpas på sådan behandling av person-<br>uppgifter som annars sker uteslutande för journalistiska ändamål eller<br>konstnärligt eller litterärt skapande.</p>
<p>Förhållandet till och undantag med hånsyn till offentlighetsprincipen</p>
<p>8 § Bestämmelserna i denna lag tillämpas inte i den utsträckning det<br>skulle inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsför-<br>ordningen att lämna ut personuppgifter.</p>
<p>Bestämmelserna hindrar inte heller att en myndighet arkiverar och be-<br>varar allmänna handlingar eller att arkivmaterial tas om hand av en arkiv-<br>myndighet. Bestämmelsen i 9 § fjärde stycket gäller inte för en<br>myndighets användning av personuppgifter i allmänna handlingar.</p>
<p>Grundläggande krav på behandlingen av personuppgifter</p>
<p>9 § Den personuppgiftsansvarige skall se till att</p>
<p>a) personuppgifter behandlas bara om det är lagligt,</p>
<p>b) personuppgifter alltid behandlas på ett korrekt sätt,</p>
<p>c) personuppgifter samlas in bara för särskilda, uttryckligt angivna och<br>berättigade ändamål,</p>
<p>d) personuppgifter inte behandlas för något ändamål som är oförenligt<br>med det för vilket uppgifterna samlades in,</p>
<p>e) de personuppgifter som behandlas är adekvata och relevanta i för-<br>hållande till ändamålen med behandlingen,</p>
<p>Prop. 1997/98:44</p>
<p>Bilaga 6</p>
<p>210</p>
<p>f) inte fler personuppgifter behandlas än som är nödvändigt med hänsyn<br>till ändamålen med behandlingen,</p>
<p>g) de personuppgifter som behandlas är riktiga och, om det är nödvändigt,<br>aktuella,</p>
<p>h) alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana<br>personuppgifter som är felaktiga eller ofullständiga med hänsyn till<br>ändamålen med behandlingen, och</p>
<p>i) personuppgifter inte bevaras under en längre tid än vad som är nöd-<br>vändigt med hänsyn till ändamålen med behandlingen</p>
<p>I fråga om första stycket d gäller dock att en behandling av person-<br>uppgifter för historiska, statistiska eller vetenskapliga ändamål inte skall<br>anses som oförenlig med de ändamål för vilka uppgifterna samlades in.</p>
<p>Personuppgifter får bevaras under längre tid än som sagts i första<br>stycket i för historiska, statistiska eller vetenskapliga ändamål. Personupp-<br>gifterna får dock i sådana fall inte bevaras under en längre tid än vad som<br>behövs för dessa ändamål.</p>
<p>Personuppgifter som behandlas för historiska, statistiska eller veten-<br>skapliga ändamål får användas för att vidta åtgärder i fråga om den regist-<br>rerade bara om den registrerade har lämnat sitt samtycke eller det finns<br>synnerliga skäl med hänsyn till den registrerades vitala intressen.</p>
<p>När behandling av personuppgifter är tillåten</p>
<p>10 § Personuppgifter får behandlas bara om den registrerade har lämnat<br>sitt otvetydiga samtycke till behandlingen eller om behandlingen är<br>nödvändig för att</p>
<p>a) ett avtal med den registrerade skall kunna fullgöras,</p>
<p>b) åtgärder som den registrerade begärt skall kunna vidtas innan ett avtal<br>träffas,</p>
<p>c) den personuppgiftsansvarige skall kunna fullgöra en rättslig skyldighet,</p>
<p>d) vitala intressen för den registrerade skall kunna skyddas,</p>
<p>e) en arbetsuppgift av allmänt intresse skall kunna utföras,</p>
<p>f) den personuppgiftsansvarige eller en tredje man till vilken person-<br>uppgifter lämnas ut skall kunna utföra en arbetsuppgift i samband med<br>myndighetsutövning, eller</p>
<p>g) ett ändamål som rör ett berättigat intresse hos den personuppgiftsansva-<br>rige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut<br>skall kunna tillgodoses, om detta intresse väger tyngre än den<br>registrerades intresse av skydd mot kränkning av den personliga inte-<br>griteten.</p>
<p>Direkt marknadsföring</p>
<p>11 § Personuppgifter får inte behandlas för ändamål som rör direkt mark-<br>nadsföring, om den registrerade hos den personuppgiftsansvarige skriftli-<br>gen har anmält att han eller hon motsätter sig sådan behandling.</p>
<p>Prop. 1997/98:44</p>
<p>Bilaga 6</p>
<p>211</p>
<p>Samtycke återkallas</p>
<p>12 § I de fall där behandling av personuppgifter bara är tillåten när den<br>registrerade har lämnat sitt samtycke enligt 10, 15 eller 34 § har den re-<br>gistrerade rätt att när som helst återkalla ett lämnat samtycke Ytterligare<br>personuppgifter om den registrerade får därefter inte behandlas.</p>
<p>En registrerad har utöver vad som följer av första stycket och 11 § inte<br>rätt att motsätta sig sådan behandling av personuppgifter som är tillåten<br>enligt denna lag.</p>
<p>Förbud mot behandling av känsliga personuppgifter</p>
<p>13 § Det är förbjudet att behandla personuppgifter som avslöjar</p>
<p>a) ras eller etniskt ursprung,</p>
<p>b) politiska åsikter,</p>
<p>c) religiös eller filosofisk övertygelse, eller</p>
<p>d) medlemskap i fackförening</p>
<p>Det är också förbjudet att behandla sådana personuppgifter som rör<br>hälsa eller sexualliv.</p>
<p>Uppgifter av den art som anges i första och andra stycket betecknas i<br>denna lag som känsliga personuppgifter</p>
<p>Undantag från förbudet mot behandling av känsliga personuppgifter</p>
<p>14 § Det är trots 13 § tillåtet att behandla känsliga personuppgifter i de<br>fall som anges i 15-19 §§.</p>
<p>I 10 § finns det bestämmelser om i vilka fall behandling av personupp-<br>gifter över huvud taget är tillåten</p>
<p>Samtycke eller offentliggörande</p>
<p>15 § Känsliga personuppgifter får behandlas, om den registrerade har<br>lämnat sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt<br>offentliggjort uppgifterna.</p>
<p>Behandlingen är nödvändig i vissa fall</p>
<p>16 § Känsliga personuppgifter får behandlas om behandlingen är nödvän-<br>dig för att</p>
<p>a) den personuppgiftsansvarige skall kunna fullgöra sina skyldigheter<br>eller utöva sina rättigheter inom arbetsrätten,</p>
<p>b) den registrerades eller någon annans vitala intressen skall kunna<br>skyddas och den registrerade inte kan lämna sitt samtycke, eller</p>
<p>c) rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras.</p>
<p>Uppgifter som behandlas med stöd av första stycket a far lämnas ut till<br>tredje man bara om det inom arbetsrätten finns en uttrycklig skyldighet för<br>den personuppgiftsansvarige att göra det eller den registrerade har<br>samtyckt till utlämnandet.</p>
<p>Prop 1997/98:44</p>
<p>Bilaga 6</p>
<p>212</p>
<p>Ideella organisationer</p>
<p>17 § Ideella organisationer med politiskt, filosofiskt, religiöst eller fack-<br>ligt syfte far inom ramen för sin verksamhet behandla känsliga personupp-<br>gifter om organisationens medlemmar och sådana andra personer som på<br>grund av organisationens syfte har regelbunden kontakt med den.<br>Känsliga personuppgifter får dock lämnas ut till tredje man bara om den<br>registrerade har samtyckt till det.</p>
<p>Hälso- och sjukvård</p>
<p>18 § Känsliga personuppgifter får behandlas för hälso- och sjukvårds-<br>ändamål, om behandlingen är nödvändig för</p>
<p>a) förebyggande hälso- och sjukvård,</p>
<p>b) medicinska diagnoser,</p>
<p>c) vård eller behandling, eller</p>
<p>d) administration av hälso- och sjukvård.</p>
<p>Den som är yrkesmässigt verksam inom hälso- och sjukvårdsområdet<br>och har tystnadsplikt får alltid behandla känsliga personuppgifter som om-<br>fattas av tystnadsplikten. Detsamma gäller den som är underkastad en<br>liknande tystnadsplikt och som har fått känsliga personuppgifter från<br>verksamhet inom hälso- och sjukvårdsområdet.</p>
<p>Forskning och statistik</p>
<p>19 § Känsliga personuppgifter får behandlas för forsknings- och statistik-<br>ändamål, om behandlingen är nödvändig och om samhällsintresset av det<br>forsknings- eller statistikprojekt där behandlingen ingår klart väger över<br>den risk för otillbörligt intrång i enskildas personliga integritet som be-<br>handlingen kan innebära.</p>
<p>Har projektet godkänts av en forskningsetisk kommitté, skall förutsätt-<br>ningarna enligt första stycket anses uppfyllda Med forskningsetisk kom-<br>mitté avses ett sådant särskilt organ för prövning av forsknmgsetiska<br>frågor som har företrädare för såväl det allmänna som forskningen och<br>som är knutet till ett universitet eller en högskola eller till någon annan in-<br>stans som i mera betydande omfattning finansierar forskning</p>
<p>Personuppgifter får lämnas ut för att användas i sådana projekt som av-<br>ses i första stycket, om inte något annat följer av regler om sekretess och<br>tystnadsplikt.</p>
<p>Bemyndigande att föreskriva ytterligare undantag</p>
<p>20 § Regeringen eller den myndighet som regeringen bestämmer får i<br>fråga om automatisk behandling av personuppgifter meddela föreskrifter<br>om ytterligare undantag från förbudet i 13 §, om det behövs med hänsyn<br>till ett viktigt allmänt intresse.</p>
<p>Prop. 1997/98:44</p>
<p>Bilaga 6</p>
<p>213</p>
<p>Uppgifter om lagöverträdelser m.m.</p>
<p>21 § Det är förbjudet för andra än myndigheter att behandla personuppgif-<br>ter om lagöverträdelser, domar i brottmål, straffprocessuella tvångsmedel<br>eller administrativa frihetsberövanden.</p>
<p>Regeringen eller den myndighet som regeringen bestämmer får i fråga<br>om automatisk behandling av personuppgifter meddela föreskrifter om<br>undantag från förbudet i första stycket.</p>
<p>Regeringen får i enskilda fall besluta om undantag från forbudet i<br>första stycket. Regeringen far överlåta åt tillsynsmyndigheten att fatta<br>sådana beslut.</p>
<p>Användning av personnummer</p>
<p>22 § Uppgifter om personnummer får behandlas bara när det är klart<br>motiverat med hänsyn till</p>
<p>a) ändamålet med behandlingen,</p>
<p>b) vikten av en säker identifiering, eller</p>
<p>c) något annat beaktansvärt skäl.</p>
<p>Information till den registrerade</p>
<p>Information skall lämnas självmant när uppgifterna samlas in</p>
<p>23 § När uppgifter om en person samlas in från personen själv, skall den<br>personuppgiftsansvarige självmant lämna den registrerade information om<br>behandlingen av uppgifterna.</p>
<p>24 § Om personuppgifterna har samlats in från någon annan källa än den<br>registrerade, skall den personuppgiftsansvarige självmant lämna den<br>registrerade information om behandlingen av uppgifterna när de noteras.<br>Är uppgifterna avsedda att lämnas ut till tredje man, behöver informa-<br>tionen dock lämnas först när uppgifterna lämnas ut för första gången.</p>
<p>Information enligt första stycket behöver inte lämnas, om det finns be-<br>stämmelser om registrerandet eller utlämnandet av personuppgifterna i en<br>lag eller någon annan författning.</p>
<p>Information behöver inte heller lämnas enligt första stycket, om detta<br>visar sig vara omöjligt eller skulle innebära en oproportionerligt stor ar-<br>betsinsats. Om uppgifterna används för att vidta åtgärder som rör den<br>registrerade, skall dock information alltid lämnas senast i samband med<br>att så sker.</p>
<p>Den information som skall lämnas självmant</p>
<p>25 § Information enligt 23 § eller 24 § första stycket skall omfatta</p>
<p>a) uppgift om den personuppgiftsansvariges identitet,</p>
<p>b) uppgift om ändamålen med behandlingen, och</p>
<p>Prop. 1997/98:44</p>
<p>Bilaga 6</p>
<p>214</p>
<p>c) all övrig information som behövs för att den registrerade skall kunna ta<br>till vara sina rättigheter, såsom information om mottagarna av uppgif-<br>terna, skyldighet att lämna uppgifter och rätten att ansöka om informa-<br>tion och få rättelse</p>
<p>Information behöver dock inte lämnas om sådant som den registrerade<br>redan känner till.</p>
<p>Information skall också låmnas efter ansökan</p>
<p>26 § Den personuppgiftsansvarige är skyldig att en gång per kalenderår<br>gratis lämna information till var och en som ansöker om det, om person-<br>uppgifter som rör den sökande behandlas eller inte Behandlas sådana<br>uppgifter skall skriftlig information lämnas också om</p>
<p>a) vilka uppgifter om den sökande som behandlas,</p>
<p>b) varifrån dessa uppgifter har hämtats,</p>
<p>c) ändamålen med behandlingen, och</p>
<p>d) till vilka mottagare eller kategorier av mottagare som uppgifterna läm-<br>nas ut.</p>
<p>En ansökan enligt första stycket skall göras skriftligen hos den person-<br>uppgiftsansvarige och vara undertecknad av den sökande själv Informa-<br>tion enligt första stycket skall lämnas inom en månad från det att ansökan<br>gjordes. Om det finns särskilda skäl för det, får information dock lämnas<br>senast fyra månader efter det att ansökan gjordes</p>
<p>Information enligt första stycket behöver inte lämnas om person-<br>uppgifter i löpande text som inte fått sin slutliga utformning när ansökan<br>gjordes eller som utgör minnesanteckning eller liknande Vad som nu<br>sagts gäller dock inte om uppgifterna har lämnats ut till tredje man eller<br>om uppgifterna behandlas bara för historiska, statistiska eller veten-<br>skapliga ändamål eller, när det gäller löpande text som inte fått sin slutliga<br>utformning, om uppgifterna har behandlats under längre tid än ett år</p>
<p>Undantag från informationsskyldigheten vid sekretess och tystnadsplikt</p>
<p>27 § I den utsträckning det är särskilt föreskrivet i lag eller annan författ-<br>ning eller i beslut som har meddelats med stöd av författning att uppgifter<br>inte får lämnas ut till den registrerade gäller inte bestämmelserna i 23-<br>26 §§. En personuppgiftsansvarig som inte är en myndighet får därvid i<br>motsvarande fall som avses i sekretesslagen (1980:100) vägra att lämna ut<br>uppgifter till den registrerade</p>
<p>Rättelse</p>
<p>28 § Den personuppgiftsansvarige är skyldig att på begäran av den<br>registrerade snarast rätta, blockera eller utplåna sådana personuppgifter<br>som inte har behandlats i enlighet med denna lag eller föreskrifter som har<br>utfärdats med stöd av lagen. Den personuppgiftsansvarige skall också<br>underrätta tredje man till vilken uppgifterna har lämnats ut om åtgärden,<br>om den registrerade begär det eller om en underrättelse skulle kunna<br></p>
<p>Prop. 1997/98:44</p>
<p>Bilaga 6</p>
<p>215</p>
<p>undvika mera betydande skada eller olägenhet för den registrerade. Någon<br>sådan underrättelse behöver dock inte lämnas, om detta visar sig vara<br>omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats</p>
<p>Automatiserade beslut</p>
<p>29 § Ett beslut som har rättsliga följder för en fysisk person eller annars<br>har märkbara verkningar för den fysiska personen får grundas enbart på<br>automatisk behandling av personuppgifter som är avsedda att bedöma<br>egenskaper hos personen, bara om den som berörs av beslutet har<br>möjlighet att på begäran fa beslutet omprövat av någon person.</p>
<p>Var och en som varit föremål för ett sådant beslut som avses i första<br>stycket har rätt att på ansökan fa information från den person-<br>uppgiftsansvarige om vad som har styrt den automatiska behandling som<br>lett fram till beslutet I fråga om ansökan och lämnandet av information<br>gäller i tillämpliga delar bestämmelserna i 26 §.</p>
<p>Säkerheten vid behandling</p>
<p>Personer som behandlar personuppgifter</p>
<p>30 § Ett personuppgiftsbiträde och den eller de personer som arbetar<br>under biträdets eller den personuppgiftsansvariges ledning får behandla<br>personuppgifter bara i enlighet med instruktioner från den personuppgifts-<br>ansvarige. I fråga om sekretess och tystnadsplikt i det allmännas verk-<br>samhet tillämpas i stället bestämmelserna i sekretesslagen (1980:100).</p>
<p>Det skall finnas ett skriftligt avtal om personuppgiftsbiträdets behand-<br>ling av personuppgifter för den personuppgiftsansvariges räkning. I det<br>avtalet skall det särskilt föreskrivas att personuppgiftsbiträdet får behandla<br>personuppgifterna bara i enlighet med instruktioner från den person-<br>uppgiftsansvarige och att personuppgiftsbiträdet är skyldigt att vidta de åt-<br>gärder som avses i 31 § första stycket.</p>
<p>Säkerhetsåtgärder</p>
<p>31 § Den personuppgiftsansvarige skall vidta lämpliga tekniska och<br>organisatoriska åtgärder för att skydda de personuppgifter som behandlas.<br>Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig med<br>beaktande av</p>
<p>a) de tekniska möjligheter som finns,</p>
<p>b) vad det skulle kosta att genomföra åtgärderna,</p>
<p>c) de särskilda risker som finns med behandlingen av personuppgifterna,<br>och</p>
<p>d) hur pass känsliga de behandlade personuppgifterna är.</p>
<p>När den personuppgiftsansvarige anlitar ett personuppgiftsbiträde, skall<br>den personuppgiftsansvarige förvissa sig om att personuppgiftsbiträdet<br></p>
<p>Prop. 1997/98:44</p>
<p>Bilaga 6</p>
<p>216</p>
<p>kan genomföra de säkerhetsåtgärder som måste vidtas och se till att<br>personuppgiftsbiträdet verkligen vidtar åtgärderna.</p>
<p>Tillsynsmyndigheten får besluta om säkerhetsåtgärder</p>
<p>32 § Tillsynsmyndigheten får i enskilda fall besluta om vilka säkerhets-<br>åtgärder som den personuppgiftsansvarige skall vidta enligt 31 §.</p>
<p>I 45 § finns det bestämmelser om tillsynsmyndighetens möjligheter att<br>förena beslutet med vite.</p>
<p>Överföring av personuppgifter till tredje land</p>
<p>Förbud mot överföring av personuppgifter till tredje land</p>
<p>33 § Det är förbjudet att till tredje land föra över personuppgifter som är<br>under behandling. Förbudet gäller också överföring av personuppgifter<br>för behandling i tredje land.</p>
<p>Undantag från förbudet mot överföring av personuppgifter till tredje land</p>
<p>34 § Det är trots 33 § tillåtet att föra över personuppgifter till tredje land,<br>om den registrerade otvetydigt har samtyckt till överföringen eller när<br>överföringen är nödvändig för att</p>
<p>a) ett avtal mellan den registrerade och den personuppgiftsansvarige skall<br>kunna fullgöras,</p>
<p>b) åtgärder som den registrerade begärt skall kunna vidtas innan ett avtal<br>träffas,</p>
<p>c) ett sådant avtal mellan den personuppgiftsansvarige och tredje man<br>som är i den registrerades intresse skall kunna ingås eller fullgöras,</p>
<p>d) rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras,<br>eller</p>
<p>e) vitala intressen för den registrerade skall kunna skyddas.</p>
<p>Det är också tillåtet att föra över personuppgifter för användning enbart<br>i en stat som har anslutit sig till Europarådets konvention om skydd för<br>enskilda vid automatisk databehandling av personuppgifter.</p>
<p>35 § Regeringen får i fråga om automatisk behandling av personuppgifter<br>meddela föreskrifter om undantag från förbudet i 33 § för överföring av<br>personuppgifter till vissa stater. Regeringen får också i fråga om<br>automatisk behandling av personuppgifter meddela föreskrifter om att<br>överföring av personuppgifter till tredje land är tillåten, om överföringen<br>regleras av ett avtal som innehåller vissa bestämmelser till skydd för de<br>registrerades rättigheter.</p>
<p>Regeringen eller den myndighet som regeringen bestämmer får vidare i<br>fråga om automatisk behandling av personuppgifter meddela föreskrifter<br>om undantag från förbudet i 33 §, om det behövs med hänsyn till ett</p>
<p>Prop. 1997/98:44</p>
<p>Bilaga 6</p>
<p>217</p>
<p>viktigt allmänt intresse eller om det finns tillräckliga garantier till skydd<br>för de registrerades rättigheter.</p>
<p>Regeringen far under de förutsättningar som nämns i andra stycket i<br>enskilda fall besluta om undantag från förbudet i 33 §. Regeringen far<br>överlåta åt tillsynsmyndigheten att fatta sådana beslut.</p>
<p>Anmälan till tillsynsmyndigheten</p>
<p>Anmälningsskyldighet</p>
<p>36 § Behandling av personuppgifter som är helt eller delvis automatisk<br>omfattas av anmälningsskyldighet. Den personuppgiftsansvarige skall<br>göra en skriftlig anmälan till tillsynsmyndigheten innan en sådan<br>behandling eller en serie av sådana behandlingar, som har samma eller<br>liknande ändamål, genomförs.</p>
<p>Regeringen eller den myndighet som regeringen bestämmer får med-<br>dela föreskrifter om undantag från anmälningsskyldigheten för sådana<br>typer av behandlingar som sannolikt inte kommer att leda till otillbörligt<br>intrång i den personliga integriteten.</p>
<p>Anmälan behöver inte göras om det finns ett personuppgiftsombud</p>
<p>37 § Om den personuppgiftsansvarige till tillsynsmyndigheten har anmält<br>att ett personuppgiftsombud utsetts och vem det är, behöver anmälan<br>enligt 36 § inte göras. Även ett entledigande av ett personuppgiftsombud<br>skall anmälas till tillsynsmyndigheten.</p>
<p>Personuppgiftsombudets uppgifter</p>
<p>38 § Personuppgiftsombudet skall ha till uppgift att självständigt se till att<br>den personuppgiftsansvarige behandlar personuppgifter på ett korrekt och<br>lagligt sätt och påpeka eventuella brister för honom eller henne</p>
<p>Har personuppgiftsombudet anledning att misstänka att den person-<br>uppgiftsansvarige bryter mot de bestämmelser som gäller för behand-<br>lingen av personuppgifter och vidtas inte rättelse så snart det kan ske efter<br>påpekande, skall personuppgiftsombudet anmäla förhållandet till<br>tillsynsmyndigheten.</p>
<p>Personuppgiftsombudet skall även i övrigt samråda med tillsynsmyn-<br>digheten vid tveksamhet om hur de bestämmelser som gäller för<br>behandlingen av personuppgifter skall tillämpas.</p>
<p>39 § Personuppgiftsombudet skall föra en förteckning över de be-<br>handlingar som den personuppgiftsansvarige genomför och som skulle ha<br>omfattats av anmälningsskyldighet om ombudet inte hade funnits.<br>Förteckningen skall omfatta åtminstone de uppgifter som en anmälan<br>enligt 36 § skulle ha innehållit.</p>
<p>Prop. 1997/98:44</p>
<p>Bilaga 6</p>
<p>218</p>
<p>40 § Personuppgiftsombudet skall hjälpa registrerade att få rättelse när det Prop. 1997/98:44<br>finns anledning att misstänka att behandlade personuppgifter är felaktiga Bilaga 6</p>
<p>eller ofullständiga</p>
<p>Obligatorisk anmälan för särskilt integritetskänsliga behandlingar</p>
<p>41 § Regeringen får meddela föreskrifter om att vissa automatiska<br>behandlingar av personuppgifter som kan innebära särskilda risker för<br>otillbörligt intrång i den personliga integriteten skall för förhandskontroll<br>anmälas till tillsynsmyndigheten enligt 36 § tre veckor i förväg. Om<br>regeringen har meddelat sådana föreskrifter, gäller inte undantaget från<br>anmälningsskyldigheten enligt 37 §.</p>
<p>Upplysningar till allmänheten om behandlingar som inte anmälts</p>
<p>42 § Den personuppgiftsansvarige skall till var och en som begär det<br>skyndsamt och på lämpligt sätt lämna upplysningar om sådana auto-<br>matiska eller andra behandlingar av personuppgifter som inte har anmälts<br>till tillsynsmyndigheten. Upplysningarna skall omfatta det som en<br>anmälan enligt 36 § skulle ha omfattat. Den personuppgiftsansvarige är<br>dock inte skyldig att lämna ut sekretessbelagda uppgifter eller uppgifter<br>om vilka säkerhetsåtgärder som har vidtagits. En personuppgiftsansvarig<br>som inte är myndighet får därvid i motsvarande fall som avses i<br>sekretesslagen (1980:100) låta bli att lämna ut uppgifter.</p>
<p>Tillsynsmyndighetens befogenheter</p>
<p>43 § Tillsynsmyndigheten har rätt att för sin tillsyn på begäran fa</p>
<p>a) tillgång till de personuppgifter som behandlas,</p>
<p>b) upplysningar om och dokumentation rörande behandlingen av person-<br>uppgifter och säkerheten vid denna, och</p>
<p>c) tillträde till sådana lokaler som har anknytning till behandlingen av<br>personuppgifter.</p>
<p>44 § Om tillsynsmyndigheten inte efter begäran enligt 43 § kan få tillräck-<br>ligt underlag för att konstatera att behandlingen av personuppgifter är lag-<br>lig, far myndigheten vid vite förbjuda den personuppgiftsansvarige att be-<br>handla personuppgifter på något annat sätt än genom att lagra dem.</p>
<p>45 § Om tillsynsmyndigheten konstaterar att personuppgifter behandlas<br>eller kan komma att behandlas på ett olagligt sätt, skall myndigheten ge-<br>nom påpekanden eller liknande förfaranden försöka åstadkomma rättelse.<br>Går det inte att få rättelse på något annat sätt eller är det riskfyllt att vänta,<br>får myndigheten vid vite förbjuda den personuppgiftsansvarige att fort-<br>sätta att behandla personuppgifterna på något annat sätt än genom att<br>lagra dem.</p>
<p>219</p>
<p>Om den personuppgiftsansvarige inte frivilligt följer ett beslut om<br>säkerhetsåtgärder enligt 32 § som vunnit laga kraft, får tillsynsmyn-<br>digheten föreskriva vite för att beslutet skall genomföras.</p>
<p>46 § Innan tillsynsmyndigheten beslutar om vite enligt 44 eller 45 §, skall<br>den personuppgiftsansvarige ha fått tillfälle att yttra sig. Om det är<br>riskfyllt att vänta, får myndigheten dock i avvaktan på yttrandet meddela<br>ett tillfälligt beslut om vite. Det tillfälliga beslutet skall omprövas, när<br>yttrandetiden har gått ut.</p>
<p>Ett vitesföreläggande skall delges den personuppgiftsansvarige. Del-<br>givning enligt 12 § delgivningslagen (1970:428) får dock användas bara<br>om det finns skäl att anta att den personuppgiftsansvarige har avvikit eller<br>på annat sätt håller sig undan.</p>
<p>47 § Tillsynsmyndigheten far hos länsrätten i det län där myndigheten är<br>belägen ansöka om att sådana personuppgifter som har behandlats på ett<br>olagligt sätt skall utplånas.</p>
<p>Beslut om utplånande får inte meddelas om det är oskäligt.</p>
<p>Skadestånd</p>
<p>48 § Den personuppgiftsansvarige skall ersätta den registrerade för den<br>skada och den kränkning av den personliga integriteten som en behand-<br>ling av personuppgifter i strid med denna lag eller god sed vid behandling<br>av personuppgifter har orsakat.</p>
<p>Ersättningsskyldigheten kan i den utsträckning det är skäligt jämkas,<br>om den personuppgiftsansvarige visar att felet inte berodde på honom<br>eller henne.</p>
<p>Prop. 1997/98:44</p>
<p>Bilaga 6</p>
<p>220</p>
<p>Straff</p>
<p>49 § Till böter eller fängelse i högst sex månader eller, om brottet är<br>grovt, till fängelse i högst två år döms den som uppsåtligen eller av<br>oaktsamhet</p>
<p>a) lämnar osann uppgift i information till registrerade som föreskrivs i<br>denna lag, i anmälan till tillsynsmyndigheten enligt 36 § eller till<br>tillsynsmyndigheten när myndigheten begär information enligt 43 §,</p>
<p>b) i strid med 13-21 §§ behandlar känsliga personuppgifter eller sådana<br>uppgifter som avses i 21 §,</p>
<p>c) i strid med 33-35 §§ för över personuppgifter till tredje land, eller</p>
<p>d) låter bli att göra anmälan enligt 36 § eller enligt föreskrifter meddelade<br>med stöd av 41 §.</p>
<p>Närmare föreskrifter</p>
<p>50 § Regeringen eller den myndighet som regeringen bestämmer far i<br>fråga om automatisk behandling av personuppgifter meddela närmare<br>föreskrifter om</p>
<p>a) i vilka fall behandling av personuppgifter är tillåten,</p>
<p>b) vilka krav som ställs på den personuppgiftsansvarige vid behandling av<br>personuppgifter,</p>
<p>c) i vilka fall användning av personnummer är tillåten,</p>
<p>d) vad en anmälan eller ansökan till en personuppgiftsansvarig skall<br>innehålla,</p>
<p>e) vilken information som skall lämnas till registrerade och hur<br>informationen skall lämnas, och</p>
<p>f) anmälan till tillsynsmyndigheten och förfarandet när anmälda uppgifter<br>har ändrats</p>
<p>Överklagande</p>
<p>51 § Tillsynsmyndighetens beslut enligt denna lag om annat än<br>föreskrifter får överklagas hos allmän förvaltningsdomstol.</p>
<p>Prövningstillstånd krävs vid överklagande till kammarrätten.<br>Tillsynsmyndigheten får bestämma att dess beslut skall gälla även om<br>det överklagas</p>
<p>Ikraftträdande- och övergångsbestämmelser</p>
<p>1. Denna lag träder i kraft den 24 oktober 1998, då datalagen (1973:289)<br>skall upphöra att gälla Den äldre lagen gäller dock fortfarande i fråga<br>om överklagande av beslut som har meddelats före den 24 oktober<br>1998.</p>
<p>2. I fråga om sådan behandling av personuppgifter som pågår vid ikraft-<br>trädandet skall t. o. m. den 30 september 2001 den äldre lagen tillämpas<br>i stället för den nya Detta gäller även bestämmelserna i den äldre lagen<br>om överklagande.</p>
<p>Prop. 1997/98:44</p>
<p>Bilaga 6</p>
<p>221</p>
<p>3. Bestämmelserna i 9, 10, 13 och 21 §§ i den nya lagen skall inte börja<br>tillämpas förrän den 1 oktober 2007 i fråga om sådan manuell behand-<br>ling av personuppgifter som pågår vid ikraftträdandet.</p>
<p>4 I fråga om personuppgifter som vid ikraftträdandet lagras för historisk<br>forskning skall bestämmelserna i 9, 10, 13 och 21 §§ i den nya lagen<br>börja tillämpas först när uppgifterna behandlas på något annat sätt<br>Innan dess skall motsvarande bestämmelser i den äldre lagen tillämpas<br>De angivna bestämmelserna i den nya lagen skall dock inte till följd av<br>vad som nu sagts börja tillämpas tidigare än vad som följer av 2 eller 3.</p>
<p>5. Anmälan enligt 36 § i den nya lagen får göras innan den nya lagen har<br>trätt i kraft för den aktuella behandlingen</p>
<p>6. Ett samtycke som har lämnats innan den nya lagen har trätt i kraft för<br>den aktuella behandlingen skall gälla även efter ikraftträdandet om<br>samtycket uppfyller kraven i den nya lagen</p>
<p>7. Har en begäran om registerutdrag enligt 10 § i den äldre lagen kommit<br>in innan den nya lagen trätt i kraft för den aktuella behandlingen men<br>har utdraget inte expedierats före ikraftträdandet skall framställningen<br>anses som en ansökan enligt 26 § i den nya lagen.</p>
<p>8. Den nya lagens bestämmelser om skadestånd skall bara tillämpas om<br>den omständighet som yrkandet hänför sig till har inträffat efter det att<br>den nya lagen har trätt i kraft för den aktuella behandlingen I annat fall<br>tillämpas de äldre bestämmelserna</p>
<p>Prop 1997/98:44</p>
<p>Bilaga 6</p>
<p>222</p>
<h3>2. Förslag till lag om ändring i sekretesslagen (1980:100)</h3>
<p>Härigenom föreskrivs i fråga om sekretesslagen (1980:100)<sup>2</sup></p>
<p>dels att 7 kap. 16 §, 9 kap. 6 och 7 §§, 14 kap. 3 § samt 15 kap. 11 §<br>skall ha följande lydelse,</p>
<p>dels att det i lagen skall införas en ny paragraf, 15 kap. 14 §, av<br>följande lydelse.</p>
<p>Nuvarande lydelse Föreslagen lydelse</p>
<p>7 kap.</p>
<p>16 §</p>
<p>Sekretess gäller för person- Sekretess gäller för person-<br>uppgift i personregister som avses i uppgift, om det kan antas att ett<br>datalagen (1973:289), om det kan utlämnande skulle medföra att upp-<br>antas att utlämnande skulle medföra giften behandlas i strid med person-<br>att uppgiften används för auto- uppgiftslagen (0000:000).<br>matisk databehandling i strid med<br>datalagen.</p>
<p>Sekretess för uppgift som anges i<br>första stycket gäller också, om det<br>kan antas att utlämnande skulle<br>medföra att uppgiften används för<br>automatisk databehandling i utlan-<br>det och att detta medför otillbörligt<br>intrång i personlig integritet. Vid<br>tillämpning av denna bestämmelse<br>ankommer det på Datainspektionen<br>att pröva fråga om utlämnande.<br>Sekretess enligt detta stycke gäller<br>dock ej, om uppgiften skall använ-<br>das för automatisk databehandling<br>enbart i en stat som har anslutit sig<br>till Europarådets konvention om<br>skydd för enskilda vid automatisk<br>behandling av personuppgifter.</p>
<p>9 kap<br>6§</p>
<p>Sekretess gäller hos Datainspek- Sekretess gäller hos Datainspek-<br>tionen i ärende om tillstånd eller tionen i ärende om tillstånd eller<br>tillsyn, som enligt lag ankommer på tillsyn, som enligt lag eller annan<br>inspektionen, och i ärende om så- författning ankommer på inspek-<br>dant bistånd som avses i Europarå- tionen, och i ärende om sådant bi-<br>dets konvention om skydd för en- stånd som avses i Europarådets<br>skilda vid automatisk databehand- konvention om skydd för enskilda</p>
<p>Prop. 1997/98:44</p>
<p>Bilaga 6</p>
<p><sup>2</sup> Lagen omtryckt 1992:1474.</p>
<p>223</p>
<p>ling av personuppgifter, för uppgift<br>om enskilds personliga eller eko-<br>nomiska förhållanden, om det kan<br>antas att den enskilde eller någon<br>honom närstående lider skada eller<br>men om uppgiften röjs. Har uppgift,<br>för vilken gäller sekretess enligt vad<br>nu har sagts, lämnats till regeringen<br>eller Justitiekanslem, gäller<br>sekretessen också där.</p>
<p>vid automatisk databehandling av<br>personuppgifter, för uppgift om<br>enskilds personliga eller ekono-<br>miska förhållanden, om det kan<br>antas att den enskilde eller någon<br>honom närstående lider skada eller<br>men om uppgiften röjs. Har uppgift,<br>för vilken gäller sekretess enligt vad<br>nu har sagts, lämnats till<br>Justitiekanslem, gäller sekretessen<br>också där.</p>
<p>Prop. 1997/98:44</p>
<p>Bilaga 6</p>
<p>I fråga om uppgift i allmän handling gäller sekretessen i högst sjuttio<br>år.</p>
<p>7§</p>
<p>Sekretess gäller i myndighets Sekretess gäller i myndighets<br>verksamhet för enbart teknisk bear- verksamhet för enbart teknisk bear-<br>betning eller teknisk lagring för betning eller teknisk lagring för<br>annans räkning av personregister annans räkning av personuppgifter<br>som avses i datalagen (1973:289), som avses i personuppgifislagen<br>för uppgift om enskilds personliga (0000:000), för uppgift om enskilds<br>eller ekonomiska förhållanden. personliga eller ekonomiska<br>förhållanden</p>
<p>14 kap</p>
<p>3 §'</p>
<p>Utöver vad som följer av 1 och 2 §§ får sekretessbelagd uppgift lämnas<br>till myndighet, om det är uppenbart att intresset av att uppgiften lämnas<br>har företräde framför det intresse som sekretessen skall skydda.</p>
<p>Första stycket gäller inte i fraga<br>om sekretess enligt 7 kap. 1-6, 33<br>och 34 §§, 8 kap. 8 § första stycket<br>och 9 och 15 §§ samt 9 kap. 4 och<br>7 §§, 8 § första och andra styckena<br>och 9 §. Inte heller gäller första<br>stycket, om utlämnandet strider mot<br>lag eller förordning eller, såvitt an-<br>går uppgift i personregister enligt<br>datalagen (1973:289), föreskrift<br>som har meddelats med stöd av<br>datalagen</p>
<p>Första stycket gäller inte i fraga<br>om sekretess enligt 7 kap. 1-6, 33<br>och 34 §§, 8 kap. 8 § första stycket<br>och 9 och 15 §§ samt 9 kap 4 och<br>7 §§, 8 § första och andra styckena<br>och 9 §. Inte heller gäller första<br>stycket, om utlämnandet strider mot<br>lag eller förordning eller föreskrift<br>som har meddelats med stöd av<br>personuppgifislagen (0000:000).</p>
<p>15 kap</p>
<p>11 §</p>
<p>Varje myndighet skall för allmänheten hålla tillgänglig beskrivning av<br>de register, förteckningar eller andra anteckningar hos myndigheten som<br>förs med hjälp av automatisk databehandling (ADB-register). Sådan</p>
<p><sup>1</sup> Senaste lydelse 1994:86.</p>
<p>224</p>
<p>skyldighet föreligger dock inte i fråga om ADB-register som inte till Prop 1997/98:44<br>någon del anses som allmän handling hos myndigheten. Myndigheten är Bilaga 6<br>mte heller skyldig att tillhandahålla beskrivning som uppenbarligen skulle<br>vara av ringa betydelse för enskildas rätt att ta del av allmänna handlingar<br>hos myndigheten.</p>
<p>Beskrivning som avses i första stycket skall ge upplysning om</p>
<p>1. ADB-registrets benämning,</p>
<p>2. ADB-registrets ändamål,</p>
<p>3. vilka typer av uppgifter i ADB-registret som myndigheten har tillgång</p>
<p>till och på vilket sätt dessa uppgifter normalt inhämtas,</p>
<p>4. hos vilka andra myndigheter ADB-registret är tillgängligt för överföring</p>
<p>till läsbar form,</p>
<p>5. vilka terminaler eller andra tekniska hjälpmedel som enskild själv kan</p>
<p>få utnyttja hos myndigheten,</p>
<p>6. vilka bestämmelser om sekretess som myndigheten vanligen skall<br>tillämpa på uppgifter i ADB-registret,</p>
<p>7. vem som hos myndigheten kan lämna närmare upplysningar om ADB-<br>registret och dess användning i myndighetens verksamhet,</p>
<p>8. rätt till försäljning av person- 8. rätt till försäljning av person-<br>uppgifter i personregister som av- uppgifter i personregister.</p>
<p>ses i datalagen (1973:289)</p>
<p>I beskrivningen skall dock uppgift enligt andra stycket utelämnas, om<br>det behövs för att beskrivningen i övriga delar skall kunna företes för<br>allmänheten</p>
<p>74 f</p>
<p>Om en myndighet för hand-<br>läggning av ett mål eller ärende<br>använder sig av en upptagning för<br>automatisk databehandling, skall<br>upptagningen tillföras hand-<br>lingarna i målet eller ärendet i läs-<br>bar form, om inte särskilda skäl<br>föranleder annat.</p>
<p>1. Denna lag träder i kraft den 24 oktober 1998</p>
<p>2. Beträffande uppgift i ärende som avgjorts genom beslut av Datainspek-<br>tionen före den 24 oktober 1998 gäller dock fortfarande 9 kap 6 § i den<br>äldre lydelsen</p>
<p>225</p>
<p>15 Riksdagen 1997/98. 1 samt. Nr 44</p>
<p>Prop 1997/98:44<br>Bilaga 6</p>
<h3>3. Förslag till lag om ändring i brottsbalken</h3>
<p>Härigenom föreskrivs i fråga om brottsbalken</p>
<p>dels att 4 kap 10 § skall ha följande lydelse,</p>
<p>dels att det i balken skall införas en ny bestämmelse, 4 kap. 9 c §, av<br>följande lydelse.</p>
<table border="1">
<tr><td>
<p>Nuvarande lydelse</p></td><td>
<p>Föreslagen lydelse</p>
<p>4 kap</p>
<p>Den som i annat fall än som sägs<br>i 8 och 9 §§ olovligen bereder sig<br>tillgäng till upptagning för auto-<br>matisk databehandling eller olov-<br>ligen ändrar eller utplånar eller i<br>register för in sådan upptagning<br>döms för dataintrång till böter eller<br>fängelse i högst två år. Med upp-<br>tagning avses härvid även uppgifter<br>som är under befordran via elek-<br>troniskt eller annat liknande hjälp-<br>medel för att användas för auto-<br>matisk databehandling.</p></td></tr>
</table>
<p>10 §</p>
<p>För försök, förberedelse eller För försök, förberedelse eller<br>stämpling till människorov, olaga stämpling till människorov, olaga<br>frihetsberövande eller försättande i frihetsberövande eller försättande i<br>nödläge, för underlåtenhet att av- nödläge och för underlåtenhet att<br>slöja sådant brott, så ock för försök avslöja sådant brott döms till ansvar<br>eller förberedelse till olaga tvång enligt vad som sägs i 23 kap. Det-<br>som är grovt dömes till ansvar enligt samma gäller för försök eller för-</p>
<table border="1">
<tr><td>
<p>vad i 23 kap. stadgas</p></td><td>
<p>beredelse till olaga tvång som är<br>grovt eller till dataintrång som om<br>det fullbordats inte skulle ha varit<br>att anse som ringa</p></td></tr>
</table>
<p>Denna lag träder i kraft den 24 oktober 1998.</p>
<p>226</p>
<h3>4. Förslag till lag om ändring i regeringsformen</h3>
<p>Härigenom föreskrivs att 8 kap. 7 § regeringsformen skall ha följande ly-<br>delse.</p>
<p>Nuvarande lydelse Föreslagen lydelse</p>
<p>8 kap.</p>
<p>7§‘</p>
<p>Utan hinder av 3 eller 5 § kan regeringen efter bemyndigande i lag<br>genom förordning meddela föreskrifter om annat än skatt, om<br>föreskrifterna avser något av följande ämnen:</p>
<p>1. skydd för liv, personlig säkerhet eller hälsa,</p>
<p>2. utlännings vistelse i riket,</p>
<p>3. in- eller utförsel av varor, av pengar eller av andra tillgångar, tillverk-<br>ning, kommunikationer, kreditgivning, näringsverksamhet, ransonering,<br>återanvändnmg och återvinning av material, utformning av byggnader,<br>anläggningar och bebyggelsemiljö eller tillståndsplikt i fråga om<br>åtgärder med byggnader och anläggningar,</p>
<p>4. jakt, fiske, djurskydd eller natur- och miljövård,</p>
<p>5. trafik eller ordningen på allmän plats,</p>
<p>6. undervisning och utbildning,</p>
<p>7. förbud att röja sådant som någon har erfarit i allmän tjänst eller under<br>utövande av tjänsteplikt,</p>
<p>8. skydd för personlig integritet vid 8. skydd för personlig integritet vid<br>registrering av uppgifter med behandling av personuppgifter,<br>hjälp av automatisk databehand-<br>ling.</p>
<p>Bemyndigande som avses i första stycket medför ej rätt att meddela<br>föreskrifter om annan rättsverkan av brott än böter. Riksdagen kan i lag,<br>som innehåller bemyndigande med stöd av första stycket, föreskriva även<br>annan rättsverkan än böter för överträdelse av föreskrift som regeringen<br>meddelar med stöd av bemyndigandet.</p>
<p>Prop. 1997/98:44</p>
<p>Bilaga 6</p>
<p>Denna lag träder i kraft den 1 januari 1999.</p>
<p>Regeringsformen omtryckt 1994:1483.</p>
<p>227</p>
<h3>5. Förslag till lag om ändring i personuppgiftslagen<br>(0000:000)</h3>
<p>Härigenom föreskrivs<sup>1</sup> att 20, 21, 35, 41 och 50 §§ personuppgifislagen<br>skall ha följande lydelse.</p>
<p>Nuvarande lydelse Föreslagen lydelse</p>
<p>20 §</p>
<p>Regeringen eller den myndighet Regeringen eller den myndighet<br>som regeringen bestämmer får i som regeringen bestämmer får med-<br>fråga om automatisk behandling av dela föreskrifter om ytterligare<br>personuppgifter meddela före- undantag från förbudet i 13 §, om<br>skrifter om ytterligare undantag från det behövs med hänsyn till ett<br>förbudet i 13 §, om det behövs med viktigt allmänt intresse,<br>hänsyn till ett viktigt allmänt<br>intresse.</p>
<p>21 §</p>
<p>Det är förbjudet för andra än myndigheter att behandla personuppgifter<br>om lagöverträdelser, domar i brottmål, straffprocessuella tvångsmedel<br>eller administrativa frihetsberövanden.</p>
<p>Regeringen eller den myndighet Regeringen eller den myndighet<br>som regeringen bestämmer får i som regeringen bestämmer får<br>fråga om automatisk behandling av meddela föreskrifter om undantag<br>personuppgifter meddela före- från förbudet i första stycket,<br>skrifter om undantag från förbudet i<br>första stycket.</p>
<p>Regeringen får i enskilda fall be- Regeringen får i enskilda fall be-<br>sluta om undantag från förbudet i sluta om undantag från förbudet i<br>första stycket. Regeringen får över- första stycket. Regeringen får över-<br>låta åt tillsynsmyndigheten att fatta låta åt tillsynsmyndigheten att fatta<br>sådana beslut sådana beslut.</p>
<p>35 §</p>
<p>Regeringen får i fråga om auto- Regeringen får meddela före-<br>matisk behandling av personupp- skrifter om undantag från förbudet i<br>gifter meddela föreskrifter om un- 33 § för överföring av person-<br>dantag från förbudet i 33 § för uppgifter till vissa stater. Re-<br>överfönng av personuppgifter till geringen får också meddela före-<br>vissa stater. Regeringen får också z skrifter om att överföring av person-<br>kraga om automatisk behandling av uppgifter till tredje land är tillåten,<br>personuppgifter meddela före- om överföringen regleras av ett<br>skrifter om att överföring av person- avtal som innehåller vissa be-</p>
<p><sup>1</sup> Jfr Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd<br>för enskilda personer med avseende på behandling av personuppgifter och om det fria<br>flödet av sådana uppgifter (EGT nr L 281, 23.11.1995, s. 31, Celex 395L0046).</p>
<p>Prop. 1997/98:44</p>
<p>Bilaga 6</p>
<p>228</p>
<p>uppgifter till tredje land är tillåten, stämmelser till skydd för de Prop 1997/98:44<br>om överföringen regleras av ett registrerades rättigheter. Bilaga 6</p>
<p>avtal som innehåller vissa bestäm-<br>melser till skydd för de registrerades<br>rättigheter</p>
<p>Regeringen eller den myndighet Regeringen eller den myndighet<br>som regeringen bestämmer får som regeringen bestämmer får<br>vidare i fråga om automatisk be- vidare meddela föreskrifter om<br>handling av personuppgifter, undantag från förbudet i 33 §, om<br>meddela föreskrifter om undantag det behövs med hänsyn till ett<br>från förbudet i 33 §, om det behövs viktigt allmänt intresse eller om det<br>med hänsyn till ett viktigt allmänt finns tillräckliga garantier till skydd<br>intresse eller om det finns till- för de registrerades rättigheter<br>räckliga garantier till skydd för de<br>registrerades rättigheter.</p>
<p>Regeringen får under de förut- Regeringen får under de förut-<br>sättningar som nämns i andra sättningar som nämns i andra<br>stycket i enskilda fall besluta om stycket i enskilda fall besluta om<br>undantag från förbudet i 33 §. undantag från förbudet i 33 § Re-<br>Regeringen får överlåta åt tillsyns- geringen får överlåta åt tillsyns-<br>myndigheten att fatta sådana beslut, myndigheten att fatta sådana beslut</p>
<p>41 §</p>
<p>Regeringen får meddela före- Regeringen får meddela före-<br>skrifter om att vissa automatiska skrifter om att vissa behandlingar av<br>behandlingar av personuppgifter personuppgifter som kan innebära<br>som kan innebära särskilda risker särskilda risker för otillbörligt<br>för otillbörligt intrång i den per- intrång i den personliga integriteten<br>sonliga integriteten skall för för- skall för förhandskontroll anmälas<br>handskontroll anmälas till tillsyns- till tillsynsmyndigheten enligt 36 §<br>myndigheten enligt 36 § tre veckor i tre veckor i förväg Om regeringen<br>förväg. Om regeringen har meddelat har meddelat sådana föreskrifter,<br>sådana föreskrifter, gäller inte gäller inte undantaget från an-<br>undantaget från anmälmngsskyldig- mälningsskyldigheten enligt 37 §<br>heten enligt 37 §.</p>
<p>50 §</p>
<p>Regeringen eller den myndighet Regeringen eller den myndighet<br>som regeringen bestämmer får i som regeringen bestämmer får med-<br>fråga om automatisk behandling av dela närmare föreskrifter om<br>personuppgifter meddela närmare<br>föreskrifter om</p>
<p>a) i vilka fall behandling av personuppgifter är tillåten,</p>
<p>b) vilka krav som ställs på den personuppgiftsansvarige vid behandling av<br>personuppgifter,</p>
<p>c) i vilka fall användning av personnummer är tillåten,</p>
<p>d) vad en anmälan eller ansökan till en personuppgiftsansvarig skall<br>innehålla,</p>
<p>229</p>
<p>e) vilken information som skall lämnas till registrerade och hur<br>informationen skall lämnas, och</p>
<p>f) anmälan till tillsynsmyndigheten och förfarandet när anmälda uppgifter<br>har ändrats.</p>
<p>Prop. 1997/98:44</p>
<p>Bilaga 6</p>
<p>Denna lag träder i kraft den 1 januari 1999.</p>
<p>230</p>
<h2>Lagrådets yttrande</h2>
<p>Utdrag ur protokoll vid sammanträde 1997-11-26</p>
<p>Närvarande: regeringsrådet Stig von Bahr,<br>regeringsrådet Arne Baekkevold, justitierådet Edvard Nilsson.</p>
<p>Enligt en lagrådsremiss den 30 oktober 1997 (Justitiedepartementet) har<br>regeringen beslutat inhämta Lagrådets yttrande över förslag till</p>
<p>1. personuppgiftslag,</p>
<p>2. lag om ändring i sekretesslagen (1980:100),</p>
<p>3. lag om ändring i brottsbalken,</p>
<p>4. lag om ändring i regeringsformen,</p>
<p>5. lag om ändring i personuppgiftslagen (0000:000)</p>
<p>Förslagen har inför Lagrådet föredragits av kanslirådet<br>Thomas Rolén och hovrättsassessorn Klas Reinholdsson</p>
<p>Förslagen föranleder följande yttrande av Lagrådet:</p>
<p>Förslaget till personuppgiftslag</p>
<p>Allmänna synpunkter</p>
<p>Den föreslagna lagen ersätter den nuvarande datalagen (1973:289) och<br>avses genomföra Europaparlamentets och rådets direktiv 95/46/EG av den<br>24 oktober 1995 om skydd för enskilda personer med avseende på<br>behandling av personuppgifter och om det fria flödet av sådana uppgifter.<br>Syftet med direktivet är att skapa en hög nivå på integritetsskyddet för att<br>därigenom möjliggöra ett fritt flöde av personuppgifter medlemsländerna<br>emellan. Lagförslaget följer i huvudsak direktivets text och struktur</p>
<p>Lagrådet tar i detta inledande avsnitt först upp frågan om hur offentlig-<br>hetsprincipen enligt tryckfrihetsförordningen (TF) förhåller sig till direk-<br>tivet och den föreslagna lagen. Därefter behandlas förhållandet mellan å<br>ena sidan bestämmelserna om tryck- och yttrandefrihet i TF och yttran-<br>defrihetsgrundlagen (YGL) och å andra sidan direktivet och lagförslaget.<br>Avsnittet avslutas med en granskning av om de bemyndiganden som finns<br>i lagförslaget är förenliga med bestämmelserna i regeringsformen (RF)<br>om delegenng av normgivning.</p>
<p>Förhållandet till offentlighetsprincipen</p>
<p>Offentlighetsprincipen enligt 2 kap. TF innebär i huvudsak att varje<br>svensk medborgare har rätt att ta del av allmänna handlingar, inklusive<br>personregister, i den utsträckning handlingarna inte innehåller uppgifter<br>för vilka gäller sekretess (2 kap. 1 och 2 §§ TF). Den som begär att få ta<br>del av allmänna handlingar har i regel rätt att få vara anonym och behöver<br>normalt inte uppge syftet med sin begäran (2 kap 14 § tredje stycket TF).<br></p>
<p>Prop. 1997/98:44</p>
<p>Bilaga 7</p>
<p>231</p>
<p>I lagrådsremissen diskuterar regeringen förhållandet mellan EG-direk-<br>tivet och offentlighetsprincipen. Regeringens slutsats är att direktivet går<br>att förena med offentlighetsprincipen. Samtidigt föreslår regeringen att -<br>även om bestämmelser i grundlag alltid tar över bestämmelser i vanlig lag<br>- det i klargörande syfte skall tas in en uttrycklig bestämmelse i<br>personuppgiftslagen (8 § första stycket) om att lagen inte tillämpas, i den<br>mån det skulle inskränka myndigheternas skyldighet att lämna ut<br>personuppgifter enligt 2 kap. TF. Vidare föreslås (8 § andra stycket) dels<br>en föreskrift om att bestämmelserna i lagen inte hindrar att en myndighet<br>arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om<br>hand av en arkivmyndighet, dels en föreskrift om att 9 § fjärde stycket -<br>som avser behandling för historiska, statistiska eller vetenskapliga ända-<br>mål - inte skall gälla för en myndighets användning av personuppgifter i<br>allmänna handlingar</p>
<p>Av 11 kap. 14 § RF framgår att bestämmelser i vanlig lag som står i strid<br>med grundlagsbestämmelser inte skall tillämpas om felet är uppenbart<br>Frågan är då om även EG-rättsliga bestämmelser skall vika för grund-<br>lagsbestämmelser. EG-domstolen har i några fall funnit att EG-rätten har<br>företräde framför nationella grundlagar (se bl.a. Torbjörn Andersson,<br>Rättsskyddspnncipen, 1997, s 55 ff, med hänvisningar). Frågan har för<br>svensk rätts del behandlats bl.a. i samband med Sveriges anslutning till<br>EU, närmare bestämt i förarbetena till bestämmelserna i 10 kap. 5 § RF<br>om överlåtelse av beslutanderätt till EG och den anslutande lagen<br>(1994:1500) med anledning av Sveriges anslutning till Europeiska<br>unionen Konstitutionsutskottet (KU), vars uttalande godkändes av<br>riksdagen, anförde därvid bl.a. (bet. 1993/94:KU 21 s. 28 ff) att om EU<br>skulle besluta om bestämmelser som rör t.ex. offentlighets- och sek-<br>retessregler dessa bestämmelser inte kan ges en sådan räckvidd att de<br>rubbar de principer som svensk tryck-, yttrandefrihets- och offentlig-<br>hetslagstiftning bygger på. Om en EG-rättslig regel i en förordning eller<br>ett direktiv framstår som konstitutionellt oacceptabel borde enligt KU den<br>svenska hållningen inte vara att tala om en konflikt mellan EG-rätten och<br>nationell rätt utan frågan borde i stället vara om EG-organet haft rätt att<br>med verkan för Sverige fatta beslutet. Man skulle enligt utskottet fråga sig<br>om den beslutade rättsakten ligger inom det område där beslutanderätt<br>överlåtits, om svaret är nej är rättsakten inte giltig som EG-rätt i Sverige</p>
<p>Frågan om förhållandet mellan EG-rätten och nationella grundlagar kan<br>inte i alla delar anses ha fått någon slutlig lösning. Enligt Lagrådets<br>mening kan man emellertid inte utgå från att EG-domstolen vid en kon-<br>flikt mellan förevarande direktiv och den svenska offentlighetsprincipen<br>skulle finna att direktivet får vika.</p>
<p>När det sedan gäller frågan om direktivet är förenligt med den svenska<br>offentlighetsprincipen är det som framhålls i lagrådsremissen främst sex<br>artiklar som är av intresse. Lagrådet redovisar här i korthet artiklarnas<br>innebörd och regeringens ståndpunkter. Vid genomgången bör hållas i<br></p>
<p>Prop 1997/98:44</p>
<p>Bilaga 7</p>
<p>232</p>
<p>minnet att utlämnande av uppgifter med stöd av offentlighetsprincipen är Prop. 1997/98:44<br>att anse som en sådan behandling av personuppgifter som omfattas av Bilaga 7<br>direktivet</p>
<p>Av artikel 6.1 b framgår att personuppgifter skall samlas in för särskilda,<br>uttryckligt angivna ändamål och att senare behandling av uppgifterna i<br>princip inte får ske på ett sätt som är oförenligt med de ändamål för vilka<br>uppgifterna ursprungligen samlades in. Regeringens inställning är att en<br>myndighets utlämnande av personuppgifter med stöd av offentlighet-<br>sprincipen inte kan anses vara oförenligt med de ändamål för vilka<br>uppgifterna ursprungligen samlades in, eftersom offentlighetsprincipen<br>framgår av svensk grundlag och får anses utgöra en integrerad del av all<br>förvaltmngsverksamhet som myndigheterna ägnar sig åt. - Artikel 7<br>innebär att personuppgifter får behandlas i princip endast om det är nöd-<br>vändigt för att fullgöra en rättslig förpliktelse som åvilar den register-<br>ansvarige eller för att fullgöra en arbetsuppgift som är ett led i myndig-<br>hetsutövning som utförs av den registeransvarige Regeringens ståndpunkt<br>är att utlämnande är tillåtet, eftersom dels myndigheterna är rättsligt<br>förpliktade att följa bl.a. grundlagsreglema om utlämnande av allmänna<br>handlingar, dels utlämnandet är ett led i myndigheternas tjänsteutövning<br>- Av artikel 8 framgår att behandling av känsliga personuppgifter i<br>princip skall förbjudas, det är dock tillåtet att bl.a. av hänsyn till ett viktigt<br>allmänt intresse göra undantag från förbudet om det finns lämpliga<br>skyddsåtgärder Regeringen anför att ett utlämnande enligt offentlighets-<br>principen är ett viktigt svenskt allmänt intresse och att de svenska<br>sekretessbestämmelserna utgör sådana lämpliga skyddsåtgärder som avses<br>i EG-direktivet. - Artiklarna 10 och 11.1 innebär att information skall<br>lämnas som är nödvändig för att tillförsäkra den registrerade en korrekt<br>behandling, exempelvis information om "mottagarna eller de kategorier<br>som mottar uppgifterna". Information behöver dock inte lämnas när den<br>registrerade redan känner till informationen. Regeringen konstaterar att<br>myndigheterna med hänsyn till en uppgiftsmottagares rätt att vara anonym<br>inte kan lämna uppgifter om till vilka personer insamlade uppgifter kan<br>komma att lämnas ut Genom att information kan lämnas om att<br>uppgifterna kan komma att lämnas ut enligt offentlighetsprincipen får de<br>registrerade dock enligt regeringen - på det sätt direktivet kräver -<br>information om till vilka kategorier av mottagare som uppgifterna kan<br>komma att lämnas ut. Eftersom utlämnande enligt offentlighetsprincipen<br>sedan lång tid tillbaka föreskrivits i svensk grundlag kan det vidare enligt<br>regeringen förutsättas att allmänheten redan känner till att utlämnande kan<br>ske, varför det inte torde vara nödvändigt att lämna särskild information i<br>detta hänseende. - Enligt artikel 13.1 g är det tillåtet för medlemsstaterna<br>att göra undantag från bl.a. bestämmelserna i artiklarna 6.1, 10 och 11.1<br>med hänsyn till skyddet av den registrerades eller andras fri- och<br>rättigheter. Regeringens mening är att rätten för var och en att få ta del av<br>allmänna handlingar med stöd av offentlighetsprincipen är en sådan<br>rättighet som kan göra det befogat med undantag.</p>
<p>233</p>
<p>16 Riksdagen 1997/98. 1 saml. Nr 44</p>
<p>Lagrådet kan till att börja med konstatera att det vid beredningen av<br>lagstiftningsärendet framkommit olika uppfattningar i frågan om di-<br>rektivet går att förena med offentlighetsprincipen. Datalagskommittén,<br>som bedömde frågan på samma sätt som regeringen, var inte enig. De<br>flesta av de remissinstanser som uttalat sig i frågan har gett uttryck för<br>tveksamhet. Det är också av intresse att notera att Datalagsutredningen -<br>som i sitt betänkande SOU 1993:10 bedömde ett då föreliggande direk-<br>tivförslag som i huvudsak överensstämmer med den slutliga versionen -<br>kom fram till att direktivet inte var förenligt med offentlighetsprincipen<br>(SOU 1993:10 s. 87 ff.)</p>
<p>Regeringen har stött sin tolkning av direktivet på en punkt i direktivets<br>ingress som tillkom på svenskt initiativ i förhandlingarnas slutskede, näm-<br>ligen punkt 72. Däri anges att direktivet gör det möjligt att vid genom-<br>förandet av bestämmelserna ta hänsyn till principen om allmänhetens rätt<br>till tillgång till allmänna handlingar. Även med beaktande härav känner<br>sig Lagrådet emellertid inte övertygat om att direktivet går att förena med<br>offentlighetsprincipen. Enligt Lagrådets mening framstår de tolkningar<br>som regeringen gör av de nämnda artiklarna som pressade. I samman-<br>hanget måste beaktas att det övergripande syftet med direktivet är att för<br>behandlingen av personuppgifter fastlägga en för medlemsländerna ge-<br>mensam hög nivå till skydd för den personliga integriteten för att<br>därigenom i sin tur skapa förutsättningar för ett fritt flöde av uppgifter<br>mellan länderna. Den svenska offentlighetsprincipen torde gå väsentligt<br>längre än vad som gäller i de flesta EU-länder. En tillämpning av denna<br>princip på personuppgifter medför således en lägre nivå vad gäller skydd<br>för den personliga intenteten än i andra medlemsländer. Mot denna bak-<br>grund är det enligt Lagrådets mening inte sannolikt att EG-domstolen<br>skulle godta en tolkning av direktivet i den riktning som regeringen har<br>gjort. Det föreligger således en påtaglig risk för att domstolen skulle finna<br>offentlighetsprincipen oförenlig med direktivet</p>
<p>Det anförda innebär att man - om man vill vara säker på att den svenska<br>lagstiftningen skall stå sig vid en prövning i EG-domstolen måste ändra<br>bestämmelserna i TF och sekretesslagen (1980:100) om utlämnande av<br>upp-gifter så att de närmare ansluter till det övergripande syftet med EG-<br>direktivet.</p>
<p>Lagrådet har emellertid förståelse för att man inte vill göra ett ingrepp i<br>offentlighetsprincipen utan att det står helt klart att så måste ske. Det kan<br>nämligen inte uteslutas att EG-domstolen trots allt kommer att finna<br>offentlighetsprincipen förenlig med direktivet. Om man med hänsyn<br>härtill bestämmer sig för att inte ändra bestämmelserna om allmänna<br>handlingars offentlighet måste man dock vara medveten om att principen<br>om EG-rättens företräde framför nationell lagstiftning kan ge upphov till<br>svåra problem vid rättstillämpningen.</p>
<p>Prop. 1997/98:44</p>
<p>Bilaga 7</p>
<p>Oavsett om TF behålls oförändrad eller inte avstyrker Lagrådet att det in-<br>förs en bestämmelse i personuppgiftslagen (8 § första stycket) av innebörd<br></p>
<p>234</p>
<p>att lagen inte skall tillämpas om det skulle inskränka myndigheternas<br>skyldighet att lämna ut personuppgifter enligt 2 kap. TF; ett sådant<br>undantag synes antingen strida mot EG-rätten eller vara onödigt.</p>
<p>Också de föreslagna undantagen i 8 § andra stycket avseende arkivering<br>och bevarande av handlingar hos en myndighet och om arkivmyndighets<br>omhändertagande av arkivmaterial har motiverats med hänsyn till offent-<br>lighetsprincipen. Myndigheternas skyldigheter att t.ex. arkivera hand-<br>lingar har givetvis betydelse vid tillämpningen av offentlighetsprincipen<br>men någon uttrycklig föreskrift härom finns inte i TF eller annan grund-<br>lag. Här kommer således undantagen - i den mån de inte har stöd i<br>direktivet - i konflikt med principen om EG-rättens företräde framför<br>allmän nationell lagstiftning.</p>
<p>Frågan är då om dessa undantag har stöd i direktivet. Enligt regeringen<br>skall arkiven tillgodose rätten att ta del av allmänna handlingar, behovet<br>av information för rättskipningen och förvaltningen samt forskningens<br>behov (3 § tredje stycket arkivlagen /1990:782/). De ändamål som<br>bevarandet av myndighetsarkiven skall tillgodose kan enligt regeringen<br>hänföras under vad som i EG-direktivet kallas "historiska, statistiska och<br>vetenskapliga ändamål". Är en myndighets primära hantering av upp-<br>gifterna tillåten, kan det vidare enligt regeringen inte anses oförenligt med<br>den primära hanteringen att bevara uppgifterna eller att lämna över<br>handlingar till en arkivmyndighet för långtidsförvaring. Regeringen fram-<br>håller att myndigheterna är rättsligt förpliktade att bevara allmänna<br>handlingar och att bevarandet är en arbetsuppgift av allmänt intresse, den<br>behandling av icke känsliga personuppgifter som bevarandet utgör är<br>således tillåten enligt artikel 7. För myndigheternas bevarande av känsliga<br>personuppgifter behövs däremot enligt regeringen ett undantag enligt<br>artikel 8. Regeringen anser att de svenska myndigheternas bevarande av<br>känsliga personuppgifter utgör ett sådant viktigt allmänt intresse som<br>berättigar en medlemsstat att göra undantag. Att arkivmyndigheten i sin<br>tur lämnar ut icke sekretessbelagda uppgifter med stöd av offentlighets-<br>principen kan enligt regeringens bedömning inte anses oförenligt med de<br>ändamål för vilka arkivmyndigheterna samlade in uppgifterna. De<br>bestämmelser som finns om sekretess och skydd för arkiv får anses utgöra<br>sådana lämpliga skyddsåtgärder som krävs enligt EG-direktivet.</p>
<p>Lagrådet delar inte regeringens uppfattning. Såvitt framgår av lagråds-<br>remissen är undantagen i fråga om bevarande och arkivering av allmänna<br>handlingar motiverade endast med hänsyn till undantagens betydelse för<br>offentlighetsprincipen. Lagrådet kan inte finna annat än att undantagen<br>strider mot det övergripande syftet med direktivet, nämligen i första hand<br>att skapa en gemensam hög nivå till skydd för den personliga integriteten.<br>Lagrådet föreslår mot denna bakgrund att undantagen i 8 § andra stycket<br>utgår</p>
<p>Prop. 1997/98:44</p>
<p>Bilaga 7</p>
<p>235</p>
<p>Förhållandet till tryck- och yttrandefriheten</p>
<p>Syftet med personuppgifislagen är enligt 1 § att skydda den personliga<br>integriteten vid behandling av personuppgifter. Som framgår av lagråds-<br>remissen kan flera artiklar i det EG-direktiv som personuppgifislagen<br>bygger på komma i konflikt med bestämmelserna om tryck- och yttrande-<br>frihet i TF och YGL. Frågan är därför om direktivet medger avvikelser<br>när det gäller sådana för svensk rätts del grundläggande konstitutionella<br>fri- och rättigheter som regleras i dessa grundlagar</p>
<p>Enligt artikel 13 i direktivet får medlemsstaterna genom lagstiftning<br>begränsa omfattningen av de skyldigheter och rättigheter som anges i<br>vissa artiklar i kapitel II (som omfattar artiklarna 5-21) i fall då en sådan<br>begränsning är en nödvändig åtgärd med hänsyn till bl.a "skydd av den<br>registrerades eller andras fri- och rättigheter". Artikel 9 innehåller<br>emellertid en särskild möjlighet till undantag och avvikelser från bestäm-<br>melser i kapitel II med hänsyn till yttrandefriheten Det är därför osäkert<br>om det citerade uttrycket i artikel 13 inkluderar yttrandefriheten (jfr SOU<br>1997:49 s. 249 och 253).</p>
<p>I artikel 9 i direktivet föreskrivs att medlemsstaterna när det gäller<br>behandling av personuppgifter som sker uteslutande för journalistiska<br>ändamål eller konstnärligt eller litterärt skapande skall besluta om<br>undantag och avvikelser från bestämmelserna i bl.a. kapitel II endast om<br>de är nödvändiga för att förena rätten till privatlivet med reglerna om<br>yttrandefriheten. Läst enligt orden ger artikeln alltså inte någon möjlighet<br>att låta avvikande föreskrifter i TF eller YGL fa företräde såvitt gäller<br>annat än journalistiska ändamål eller konstnärligt eller litterärt skapande.</p>
<p>Vid tolkningen av artiklarna 9 och 13 har det betydelse att Europa-<br>konventionens fri- och rättigheter skall respekteras som allmänna rätts-<br>principer på EG-rättens område Av Europadomstolens tillämpning av<br>den konventionen framgår att integritetsskyddsintressen och yttrande-<br>frihetsintressen skall vägas mot varandra (Jfr SOU 1997:49 s. 259 f.) Det<br>framstår dock inte som självklart att EG-domstolen på grund härav skulle<br>i de nämnda artiklarna tolka in ett från principiell synpunkt så vittgående<br>undantag från integritetsskyddsintresset som följer av de svenska reglerna<br>i TF och YGL</p>
<p>Sammanfattningsvis finner Lagrådet att det, med en försiktig formulering,<br>får anses tveksamt om EG-domstolen skulle acceptera att de<br>bestämmelser i direktivet som införlivas med svensk rätt genom person-<br>uppgiftslagen får vika för de svenska grundlagsreglerna i vidare mån än<br>som medges enligt ordalagen av artikel 9 i direktivet</p>
<p>I 7 § första stycket i den föreslagna personuppgifislagen föreskrivs att<br>lagens bestämmelser inte tillämpas i den utsträckning det skulle strida mot<br>bestämmelserna om tryck- och yttrandefrihet i TF eller YGL. Slutsatsen<br>av det anförda är att ett sådant undantag inte bör tas in i lagen Vill man</p>
<p>Prop 1997/98:44</p>
<p>Bilaga 7</p>
<p>236</p>
<p>vara säker på att inte lagstifta i strid med direktivet, bör i stället<br>sistnämnda bestämmelser ändras så att en sådan konflikt undviks. Gör<br>man inte det, uppkommer tillämpningsproblem av det slag som Lagrådet<br>pekat på när det gäller frågan om offentlighetsprincipens förenlighet med<br>direktivet.</p>
<p>Enligt 7 § andra stycket skall vissa angivna paragrafer i lagen under inga<br>förhållanden tillämpas på spridningen av innehållet i yttranden som<br>tidigare utgetts, sänts eller spritts på ett sådant sätt som avses i TF eller<br>YGL. Med hänvisning till det tidigare anförda avstyrker Lagrådet denna<br>bestämmelse, som troligen inte skulle stå sig vid en prövning i EG-dom-<br>stolen; i detta fall rör det sig ju ännu så länge inte om något grundlagsfäst<br>yttrandefrihetsmtresse som kan vägas mot integritetsskyddsintresset.</p>
<p>Normgivningsdelegation</p>
<p>I det remitterade förslaget finns bemyndiganden för regeringen eller den<br>myndighet som regeringen bestämmer att meddela föreskrifter om<br>undantag från vissa bestämmelser och att precisera de generella regler och<br>principer som finns i den föreslagna lagen Regeringen bemyndigas vidare<br>att meddela föreskrifter om förhandskontroll av vissa behandlingar av<br>personuppgifter och om undantag från förbudet mot överföring av person-<br>uppgifter till tredje land. Det kan, vilket också framhålls i remissen, sättas<br>i fråga om dessa bemyndiganden är förenliga med reglerna i RF om vad<br>som gäller vid meddelande av lagar och andra föreskrifter. Lagrådet får i<br>denna del anföra följande</p>
<p>Enligt 2 kap 3 § andra stycket RF skall varje medborgare i den ut-<br>sträckning som närmare anges i lag skyddas mot att hans personliga<br>integritet kränks genom att uppgifter om honom registreras med hjälp av<br>automatisk databehandling. I lagrådsremissen anförs att denna bestäm-<br>melse inte hindrar att regeringen eller den myndighet som regeringen be-<br>stämmer ges behörighet att närmare precisera och konkretisera regle-<br>ringen i den föreslagna lagen (jfr 8 kap 1 § RF). Lagrådet delar denna<br>uppfattning</p>
<p>Lagrådet övergår härefter till frågan hur de föreslagna bemyndigandena<br>förhåller sig till bestämmelserna i 8 kap. 2 och 3 §§ RF Enligt 8 kap. 2 §<br>skall föreskrifter om enskildas personliga ställning samt om deras person-<br>liga och ekonomiska förhållanden inbördes meddelas genom lag. Be-<br>träffande föreskifter av detta slag är - såvitt nu är av intresse (jfr 8 kap<br>8 § RF) - kravet på lagform undantagslöst. Föreskrifterna tillhör därmed<br>det s.k. obligatoriska lagområdet</p>
<p>Föreskrifter om förhållandet mellan enskilda och det allmänna, som gäller<br>åligganden för enskilda eller i övrigt avser ingrepp i enskildas personliga<br>eller ekonomiska förhållanden, skall enligt 8 kap 3 § meddelas genom<br>lag. Utan hinder av denna bestämmelse kan dock regeringen efter bemyn-<br>digande i lag meddela föreskrifter avseende vissa uppräknade ämnen Till</p>
<p>Prop. 1997/98:44</p>
<p>Bilaga 7</p>
<p>237</p>
<p>de uppräknade ämnena hör skydd för personlig integritet vid registrering<br>av uppgifter med hjälp av automatisk databehandling (8 kap. 7 § första<br>stycket 8 RF, i remissen förslås att lagrummet skall utvidgas till att om-<br>fatta skydd för personlig integritet vid all behandling av personuppgifter).<br>Har riksdagen bemyndigat regeringen att meddela föreskifter i visst ämne<br>kan riksdagen också medge att regeringen i sin tur överlåter åt för-<br>valtningsmyndighet att meddela bestämmelser i ämnet (8 kap. 11 § RF)</p>
<p>Av det anförda framgår att riksdagen inom vissa ramar kan delegera<br>normgivning till regeringen och förvaltningsmyndighet om föreskrifterna<br>kan hänföras till 8 kap. 3 § RF. Delegenng är däremot utesluten om före-<br>skrifterna avser i 8 kap. 2 § angivna områden. Klassificeringen av de<br>föreskifter som i remissen föreslås bli föremål för delegenng är med andra<br>ord avgörande för delegeringens grundlagsenlighet</p>
<p>Till undvikande av missförstånd må påpekas att det hittills sagda tar sikte<br>på delegenng av föreskrifter med klart materiellt innehåll. Regeringen kan<br>utan riksdagens bemyndigande besluta om föreskrifter om verkställighet<br>av lag (8 kap. 13 § första stycket 1 RF).</p>
<p>De bemyndiganden till regeringen eller den myndighet som regeringen<br>bestämmer som föreslås i remissen avser undantag från förbudet mot be-<br>handling av känsliga personuppgifter (20 §), undantag från förbudet för<br>andra än myndigheter att behandla personuppgifter om lagöverträdelser<br>m.m. (21 §), undantag från förbudet mot överföring av personuppgifter<br>till tredje land (35 §), undantag från skyldigheten att anmäla vissa auto-<br>matiska behandlingar till tillsynsmyndigheten (36 §) samt vissa närmare<br>villkor för automatisk behandling av personuppgifter (50 §). Vidare<br>bemyndigas regeringen - utan möjlighet till subdelegation - att såvitt<br>gäller vissa stater meddela föreskrifter om undantag från förbudet mot<br>överföring av personuppgifter till tredje land (35 §) och att föreskriva att<br>särskilt riskabla behandlingar skall anmälas för förhandskontroll till<br>tillsynsmyndigheten (41 §).</p>
<p>Det råder enligt Lagrådets uppfattning inget tvivel om att flera av de före-<br>slagna bemyndigandena går längre än att meddela verkställighetsföre-<br>skrifter. Någon annan ståndpunkt intas inte heller i lagrådsremissen</p>
<p>Som redovisats i det föregående tar 8 kap. 2 § RF sikte på dels föreskrifter<br>om enskildas personliga ställning, dels enskildas personliga och ekono-<br>miska förhållanden inbördes. I remissen hävdas att föreskrifter om skydd<br>för personlig integritet vid behandling av personuppgifter inte kan anses<br>röra enskildas personliga ställning i den mening som avses i 8 kap. 2 §<br>RF. Lagrådet kan ansluta sig till denna bedömning.</p>
<p>Vad gäller frågan om de föreslagna bemyndigandena avser föreskrifter<br>om enskildas personliga och ekonomiska förhållanden inbördes anförs i<br>remissen att gränsen mellan privaträttsliga föreskrifter av detta slag och<br>offentligrättsliga föreskrifter (8 kap. 3 § RF) bör kunna dras efter vem</p>
<p>Prop. 1997/98:44</p>
<p>Bilaga 7</p>
<p>238</p>
<p>som kan åberopa föreskrifterna och vilka sanktioner som är omedelbart<br>förknippade med ett brott mot dem. Föreskrifter som enskilda med fram-<br>gång kan direkt åberopa mot andra enskilda i domstol och som kan leda<br>till att någon enskild förpliktas betala pengar - t.ex. skadestånd - till<br>någon annan enskild anges i enlighet härmed vara att anse som privat-<br>rättsliga.</p>
<p>I remissen konstateras att bestämmelserna i personuppgiftslagen skall<br>vara förknippade med skadeståndssanktion (48 §). Till skillnad från vad<br>Datalagskommittén föreslagit läggs dock därutöver förslag fram om att<br>brott mot de bestämmelser från vilka det är tillåtet att föreskriva undantag<br>skall kunna föranleda straffansvar (49 §) Den som i strid med bestäm-<br>melserna behandlar känsliga uppgifter eller uppgifter om lagöverträdelser<br>m.m. eller för över personuppgifter till tredje land skall således enligt<br>förslaget kunna straffas Den personuppgiftsansvarige avses i dessa fall<br>också kunna drabbas av ingripanden av tillsynsmyndigheten i form av<br>exempelvis vitesförelägganden. Av detta följer enligt remissen att bestäm-<br>melserna är huvudsakligen omedelbart förknippade med offentligrättsliga<br>sanktioner och därmed att anse som offentligrättsliga. Det förhållandet att<br>de straffsanktionerade bestämmelserna dessutom är förknippade med<br>skadeståndssanktion anses med andra ord inte kunna förta bestäm-<br>melserna deras offentligrättsliga karaktär. I remissen dras mot denna bak-<br>grund slutsatsen att de föreslagna bemyndigandena avser offentligrättsliga<br>föreskrifter och inte sådana privaträttsliga förskrifter som tillhör det<br>obligatoriska lagområdet.</p>
<p>Lagrådet har inga invändningar mot de i remissen beskrivna principerna<br>för gränsdragningen mellan privaträttsliga och offentligrättsliga före-<br>skrifter. Till föreskrifter om enskildas personliga och ekonomiska för-<br>hållanden inbördes bör alltså räknas sådana föreskrifter som en enskild<br>person med framgång kan direkt åberopa mot andra enskilda i domstol<br>och som kan leda till att enskilda förpliktas att erlägga exempelvis<br>skadestånd. Av detta följer enligt Lagrådets uppfattning att de föreslagna<br>bemyndigandena omfattar föreskrifter av privaträttslig natur. Den omstän-<br>digheten att föreskrifterna dessutom kan ha påtagliga offentligrättsliga<br>inslag innebär inte att den privaträttsliga delen bortfaller. Lagrådet tar där-<br>för avstånd från tanken i remissen att införandet av ett system för offentlig<br>tillsyn av tillämpningen av privaträttsliga föreskrifter eller en krimi-<br>nalisering av dessa får till konsekvens att föreskrifterna förlorar sin privat-<br>rättsliga karaktär och förvandlas till offentligrättsliga Ett godtagande av<br>remissens tolkning skulle innebära en väsentlig och godtycklig urholkning<br>av det i 8 kap. 2 § RF stadgade obligatoriska lagområdet. Tilläggas kan att<br>den i remissen redovisade effekten av offentligrättsliga inslag på privat-<br>rättsliga föreskrifter såvitt Lagrådet känner till inte har något stöd i<br>rättspraxis eller den juridiska litteraturen.</p>
<p>Lagrådet finner sammanfattningsvis att flera av de bemyndiganden som<br>föreslås i personuppgifislagen - särskilt bemyndigandena i 20, 21 och<br>35 §§ - avser föreskrifter som är att hänföra till 8 kap 2 § RF. Bemyn-</p>
<p>Prop 1997/98:44</p>
<p>Bilaga 7</p>
<p>239</p>
<p>digandena är därmed oförenliga med normgivningsbestämmelsema i<br>8 kap. RF. Lagförslaget kan i dessa delar inte genomföras i befintligt<br>skick.</p>
<p>Det är mte helt lätt att uttala sig om hur lagförslaget skall ändras för att<br>kravet på grundlagsenlighet skall vara uppfyllt. Utrymmet för verk-<br>ställighetsföreskrifter till föreskrifter som avses i 8 kap 2 § RF är<br>begränsat. En lösning som möjligen kan komma i fråga är att införa<br>ytterligare preciseringar i lagtexten och samtidigt ge tillsynsmyndigheten<br>befogenhet att meddela allmänna råd om tillämpningen av den föreslagna<br>lagen. Sådana allmänna råd är visserligen inte formellt bindande men<br>torde, i förening med tillsynsmyndighetens övriga befogenheter, kunna<br>medverka till att behandlingen av personuppgifter sker i enlighet med god<br>sed på området och inom ramen för EG-direktivet.</p>
<p>Vad Lagrådet nu anfört har betydelse också för bedömningen av hur den<br>föreslagna ändringen i 8 kap. 7 § första stycket 8 RF förhåller sig till<br>andra bestämmelser i 8 kap. Lagrådet återkommer senare i yttrandet till<br>denna fråga.</p>
<p>Kommentar till vissa lagrum</p>
<p>3§</p>
<p>Med hänsyn till vad Lagrådet anfört under rubriken Förhållandet till<br>offentlighetsprincipen bör i fråga om betydelsen av beteckningen<br>Blockering (av personuppgifter) hänvisningen till 2 kap. TF ersättas med<br>orden "denna lag".</p>
<p>5§</p>
<p>Enligt första stycket gäller lagen för behandling av personuppgifter som<br>helt eller delvis är automatisk. Med uttrycket "automatisk behandling",<br>som återkommer i flera andra paragrafer, avses annan behandling än<br>manuell behandling. Att lagen också tillämpas på manuell behandling av<br>personregister framgår av andra stycket.</p>
<p>Direktivet gäller enligt artikel 3.1 i den svenskspråkiga texten för sådan<br>behandling av personuppgifter som helt eller delvis företas på automatisk<br>väg och för annan behandling än automatisk av personregister. Uttrycket<br>"behandling på automatisk väg" återkommer i artikel 18.1, medan be-<br>greppet "automatisk behandling" används i artikel 15.1. Den engelsk-<br>språkiga texten innehåller i dessa artiklar termerna "processing by auto-<br>matic means", "automatic processing operation" respektive "automated<br>Processing", medan den franskspråkiga texten genomgående talar om<br>"traitement automatisé".</p>
<p>Automatisk databehandling är sedan länge ett inarbetat begrepp Detta<br>kan synas tala för att man i en lag om uppgiftsskyldighet som skall vara<br>teknikoberoende använder det motsvarande uttrycket automatisk behand-<br>ling. Ett sådant uttryckssätt för emellertid tanken till en behandling som<br></p>
<p>Prop 1997/98:44</p>
<p>Bilaga 7</p>
<p>240</p>
<p>sker automatiskt efter en viss händelse eller tidpunkt e.d. oavsett hur<br>behandlingen utförs. Det ligger nära till hands att lägga in en motsvarande<br>betydelse i uttrycket automatiska beslut. Det är förmodligen av detta skäl<br>som det uttrycket har undvikits i det remitterade förslaget, där i stället<br>uttrycket "automatiserade beslut" förekommer (se rubriken till 29 §).</p>
<p>Lagrådet förordar att uttrycket "automatisk behandling" i förevarande<br>paragraf byts ut mot uttrycket "automatiserad behandling". Ett alternativ<br>kan vara att man, som i den svenskspråkiga versionen av direktivet, i<br>stället talar om "behandling som företas på automatisk väg".</p>
<p>Godtas Lagrådets förslag, får motsvarande ändringar göras i 20, 21, 29,<br>35,36,41,42 och 50 §§.</p>
<p>9§</p>
<p>Som Lagrådet återkommer till vid 48 § bör i första stycket b) i före-<br>varande paragraf läggas till att personuppgifter skall behandlas i enlighet<br>med god sed.</p>
<p>21 §</p>
<p>I första stycket föreskrivs att det är förbjudet för andra än myndigheter att<br>behandla personuppgifter om lagöverträdelser, domar i brottmål, straff-<br>processuella tvångsmedel eller administrativa frihetsberövanden.</p>
<p>Det är mte helt klart vad som avses med termen "lagöverträdelser". Rent<br>språkligt sett torde termen omfatta alla överträdelser av förhållningsregler<br>i lag. Det skulle innebära att även sådana överträdelser som är<br>osanktionerade eller som i regel endast föranleder administrativa sank-<br>tioner skulle omfattas. Som exempel på det sistnämnda kan nämnas orik-<br>tigt uppgiftslämnande på skatteområdet, otillåtet byggande, felaktigheter<br>vid miljöfarlig verksamhet o.d. Bestämmelsen har sin motsvarighet i<br>artikel 8.5 första stycket direktivet, som i den svenska versionen också<br>innehåller termen lagöverträdelser. Av direktivet synes dock kunna utläsas<br>att en mer begränsad innebörd är avsedd. I artikel 8.5 andra stycket anges<br>sålunda att medlemsstaterna får föreskriva att uppgifter som rör bl. a.<br>administrativa sanktioner också skall behandlas under kontroll av en<br>myndighet. Det måste innebära att termen lagöverträdelser i artikelns<br>första stycke inte avses omfatta överträdelser som medför administrativa<br>sanktioner. Det förefaller troligt att avsikten varit att med lagöverträdelser<br>skall förstås endast överträdelser som innefattar brott (jfr SOU 1997:39 s.<br>380). Enligt Lagrådets mening bör lagtexten i detta avseende förtydligas.</p>
<p>27 §</p>
<p>Paragrafen innehåller undantag från informationsskyldigheten vid sekre-<br>tess och tystnadsplikt. I första meningen görs undantag från informa-<br>tionsskyldigheten i den utsträckning det är föreskrivet i författning - eller<br>i beslut som har meddelats med stöd av författning - att uppgifter inte får<br>lämnas ut till den registrerade. I andra meningen föreskrivs att en</p>
<p>Prop. 1997/98:44</p>
<p>Bilaga 7</p>
<p>241</p>
<p>personuppgiftsansvarig, som mte är en myndighet, i motsvarande fall som<br>avses i sekretesslagen får vägra att lämna ut uppgifter till den registrerade.</p>
<p>Sistnämnda föreskrift, som saknar direkt motsvarighet i Datalagskom-<br>mitténs forslag, torde vara en nyhet i svensk lagstiftning. Den innebär att<br>enskilda personer blir skyldiga att sätta sig in i en omfattande och<br>komplicerad lagstiftning som är utformad med tanke på myndigheters<br>verksamhet och vid prövning av informationsskyldigheten försöka dra<br>paralleller till den egna verksamheten. Man måste räkna med att detta kan<br>medföra problem i den praktiska tillämpningen. Lagrådet ifrågasätter om<br>inte någon annan lösning som tillgodoser behovet kan åstadkommas.<br>Frågan bör enligt Lagrådet beredas ytterligare.</p>
<p>38 §</p>
<p>Med anledning av det tillägg som Lagrådet har förordat i 9 § första<br>stycket b) bör i första stycket av förevarande paragraf föreskrivas att<br>personuppgiftsombudet skall se till att personuppgifter behandlas,<br>förutom på ett lagligt och korrekt sätt, i enlighet med god sed.</p>
<p>42 §</p>
<p>Beträffande sista meningen hänvisar Lagrådet till vad som anförts vid 27<br>§■</p>
<p>48 §</p>
<p>Enligt första stycket skall den personuppgiftsansvarige ersätta den<br>registrerade för den skada och den kränkning av den personliga inte-<br>griteten som en behandling av personuppgifter i strid med denna lag eller<br>god sed vid behandling av personuppgifter har orsakat.</p>
<p>Att den personuppgiftsansvarige är skyldig att iaktta god sed vid<br>behandling av personuppgifter sägs inte i lagen i övrigt utan framgår<br>endast indirekt av förevarande bestämmelse. Enligt Lagrådets mening bör<br>en uttrycklig föreskrift om denna skyldighet tas in i lagen, lämpligen som<br>ett tillägg i 9 § första stycket b). Godtas detta förslag, kan hänvisningen<br>till god sed vid behandling av personuppgifter utgå i förevarande bestäm-<br>melse; en behandling av personuppgifter i strid med god sed strider då<br>också mot lagen.</p>
<p>I författningskommentaren uttalas att, i den utsträckning ett förfarande i<br>strid med lagen ingår som ett led i ett sådant brott som avses i 1 kap 3 §<br>skadeståndslagen, ideellt skadestånd för lidande respektive ersättning för<br>kränkning kan utgå enligt såväl den nyss nämnda bestämmelsen som<br>förevarande paragraf. De brott som det kan bli fråga om är bl.a.<br>ärekränkningsbrott. När ersättning enligt 1 kap. 3 § skadeståndslagen<br>skall bestämmas för kränkning genom ett sådant brott, beaktas bl.a. det<br>sätt på vilket ärekränkande uppgifter har spritts (se prop. 1972:5 s. 572<br>samt SOU 1972:88 s. 55 och SOU 1992:84 s. 141). Det förhållandet att<br>uppgifterna har spritts genom behandling av personuppgifter kan alltså<br>påverka storleken av skadeståndet för den kränkning som ärekränk-</p>
<p>Prop. 1997/98:44</p>
<p>Bilaga 7</p>
<p>242</p>
<p>ningsbrottet har inneburit. Att i ett sådant fall också skadestånds-<br>bestämmelsen i förevarande paragraf kan bli tillämplig torde knappast<br>medföra att den registrerade får rätt till ytterligare skadestånd enligt den<br>bestämmelsen. Kränkningen ersätts med andra ord inte med ett högre<br>belopp enbart därför att flera bestämmelser kan vara tillämpliga</p>
<p>Enligt andra stycket kan ersättningsskyldigheten i den utsträckning det är<br>skäligt jämkas, om den personuppgiftsansvarige visar att felet inte<br>berodde på honom eller henne. Enligt Lagrådets mening är det inte helt<br>säkert att denna bestämmelse står i överensstämmelse med artikel 23.2 i<br>direktivet, som enligt den svenskspråkiga texten innehåller att den<br>registeransvarige kan helt eller delvis undgå skadeståndsansvar om han<br>bevisar att han inte är ansvarig för den händelse som orsakade skadan</p>
<p>Innebörden av den nämnda artikeln synes oklar. En möjlighet är att läsa<br>den som en ren exculpationsbestämmelse av innehåll att något skade-<br>ståndsansvar inte kan utkrävas "i den mån" den registeransvarige visar att<br>han inte är ansvarig för den skadeorsakande händelsen. 1 lagrådsremissen<br>har artikeln emellertid uppfattats som en jämkningsbestämmelse, som ger<br>möjlighet men inte skyldighet att sätta ned skadeståndet även om den<br>registeransvarige visar sig vara helt utan skuld till den händelse som<br>orsakade skadan För denna tolkning skulle kunna tala att punkt 55 i<br>direktivets ingress anger att den registeransvarige kan befrias från<br>skadeståndsansvar om han kan visa att han inte är ansvarig för skadan,<br>särskilt i fall då han kan påvisa att ett fel har begåtts av den registrerade<br>eller i fall av force majeure Innebörden härav är möjligen att den<br>registeransvarige åtminstone i andra fall kan åläggas t o m. fullt skade-<br>ståndsansvar även om han visar sig inte ha något ansvar för den<br>skadeorsakande händelsen Det är dock vanskligt att ha någon bestämd<br>uppfattning om hur direktivet är att förstå på denna punkt.</p>
<p>För att inte Sverige skall kunna beskyllas för att lagstifta i strid med<br>direktivet förordar Lagrådet att andra stycket i förevarande paragraf ges<br>en lydelse som närmare överensstämmer med artikel 23.2. Frågan hur<br>bestämmelsen skall tolkas bör, utan några förarbetsuttalanden, över-<br>lämnas till rättstillämpningen</p>
<p>I författningskommentaren sägs att frågan om jämkning av ersättningen,<br>t.ex. på grund av medvållande, regleras i förevarande bestämmelse.<br>Oavsett vilken innebörd artikel 23.2 har går detta uttalande enligt Lag-<br>rådets mening för långt. Även om denna artikel skall uppfattas som en<br>jämkningsbestämmelse, är den ju inte tillämplig i fall då den person-<br>uppgiftsansvarige misslyckas med att exculpera sig. I ett sådant fall måste<br>bestämmelsen i 6 kap. 1 § skadeståndslagen om jämkning på grund av<br>medvållande kunna tillämpas<br></p>
<p>Prop 1997/98:44</p>
<p>Bilaga 7</p>
<p>49 §</p>
<p>Enligt punkt b) i denna paragraf kan den som behandlar vissa person-<br>uppgifter i strid med 13-21 §§ dömas till straff. Denna bestämmelse kan</p>
<p>243</p>
<p>komma i konflikt med föreskriften i 45 § om förbud vid vite att fortsätta<br>att behandla personuppgifter på ett olagligt sätt. Liksom i andra sam-<br>manhang när en kollision kan uppkomma mellan straff och vite bör gälla<br>att den som har överträtt ett vitesförbud inte får dömas till straff för en<br>gärning som omfattas av förbudet. Lagrådet förordar att en bestämmelse<br>av detta innehåll tas in i förevarande paragraf som ett nytt andra stycke</p>
<p>Ikraftträdande- och övergångsbestämmelser</p>
<p>I punkt 1 anges att den föreslagna lagen träder i kraft den 24 oktober<br>1998, då datalagen (1973:289) skall upphöra att gälla. Enligt punkt 2 skall<br>dock den äldre lagen (datalagen) tillämpas i stället för den nya lagen<br>t.o.m. den 30 september 2001 i fråga om "sådan behandling av person-<br>uppgifter som pågår vid ikraftträdandet". I författningskommentaren an-<br>förs att det krav som följer av punkt 2 har samma innebörd som mot-<br>svarande krav enligt artikel 32.2 i EG-direktivet.</p>
<p>Med behandling av personuppgifter avses enligt 3 § varje åtgärd eller<br>serie av åtgärder som vidtas i fråga om personuppgifter, bl a. insamling,<br>registrering, lagring, bearbetning eller ändring, inhämtande, användning,<br>utlämnande, sammanställning eller samköming, blockering, utplåning<br>eller förstöring. Den genom punkt 2 förlängda tiden för tillämpning av<br>datalagen t.o.m. den 30 september 2001 tar enligt ordalydelsen sikte<br>enbart på behandlingar av personuppgifter som pågår vid ikraftträdandet,<br>dvs den 24 oktober 1998 Såvitt Lagrådet kan finna innebär detta att den<br>nya lagen måste tillämpas på åtskilliga behandlingar under förlängnings-<br>perioden trots att dessa ingår som ett led i hanteringen av ett automatiskt<br>personregister som fanns redan vid ikraftträdandet. Den nya lagen synes<br>således skola tillämpas så snart den aktuella behandlingen är av ett annat<br>slag än den som pågick vid ikraftträdandet eller avser nya person-<br>uppgifter, dvs. uppgifter som insamlats efter ikraftträdandet. Konse-<br>kvensen synes bli att den registeransvarige blir tvungen att vad gäller ett<br>och samma register tillämpa datalagen på vissa behandlingar (person-<br>uppgifter) och den nya lagen på andra. Det framstår som uppenbart att en<br>sådan ordning kommer att ge upphov till betydande tillämpnings- och<br>kontrollproblem</p>
<p>Enligt Lagrådets uppfattning talar inte minst praktiska skäl för att<br>datalagen under förlängningsperioden skall kunna tillämpas i större ut-<br>sträckning än vad som följer av en strikt tolkning av övergångs-<br>bestämmelserna. En sådan utvidgning av tillämpningsområdet synes<br>knappast behöva komma i konflikt med EG-direktivet (jfr Datalags-<br>kommitténs resonemang i frågan, SOU 1997:29 s. 453 f). Lagrådet<br>förordar att utformningen av punkt 2 ses över med denna inriktning</p>
<p>Förslaget till lag om ändring i regeringsformen</p>
<p>Prop. 1997/98:44</p>
<p>Bilaga 7</p>
<p>Det nuvarande i 8 kap. 7 § första stycket 8 givna bemyndigandet för re-<br>geringen att meddela föreskrifter om skydd för personlig integritet vid re-<br></p>
<p>244</p>
<p>gistrering av uppgifter med hjälp av automatisk databehandling tillkom<br>genom lagstiftning år 1994 (prop. 1993/94:116, bet. 1993/94:KU36, SFS<br>1994:1480). I det lagstiftningsärendet synes någon diskussion mte ha förts<br>om hur bemyndigandet förhöll sig till bestämmelserna i 8 kap. 2 § RF.<br>Eftersom delegering inte är möjlig i fråga om föreskrifter som är hän-<br>förliga till sistnämnda lagrum (jfr vad Lagrådet i anslutning till förslaget<br>om personuppgiftslag anfört om normgivningsdelegation) kan dock den<br>slutsatsen dras att bemyndigandet ansetts avse föreskrifter hänförliga till 8<br>kap. 3 § RF. De mot bemyndigandet korresponderande bestämmelserna i<br>datalagen synes således ha bedömts vara av offentligrättslig karaktär.</p>
<p>Någon anledning för Lagrådet att pröva grundlagsenligheten hos det<br>nuvarande bemyndigandet föreligger inte. Som Lagrådet uttalat i det<br>föregående torde dock, sedan den föreslagna personuppgifislagen trätt i<br>kraft, föreskrifter om personlig integritet vid behandling av personupp-<br>gifter bli att hänföra till sådana föreskrifter som avses i 8 kap 2 § RF.<br>Delegering av normgivning enligt 8 kap. 7 § RF kan därmed inte komma i<br>fråga. Lagrådet förordar att bemyndigandet upphävs.</p>
<p>Övriga lagförslag</p>
<p>Lagrådet lämnar förslagen utan erinran.</p>
<p>Prop. 1997/98:44</p>
<p>Bilaga 7</p>
<p>245</p>
<h2>Justitiedepartementet</h2>
<p>Utdrag ur protokoll vid regeringssammanträde den 8 december 1997</p>
<p>Närvarande: statsrådet Freivalds, ordförande, och statsråden Tham,<br>Schori, Johansson, Åhnberg, Pagrotsky</p>
<p>Föredragande: statsrådet Pierre Schori</p>
<p>Prop. 1997/98:44</p>
<p>Regeringen beslutar proposition Personuppgiftslag</p>
<p>246</p>
<h2>Rättsdatablad</h2>
<p>Prop. 1997/98:44</p>
<table border="1">
<tr><td>
<p>Författningsrubrik</p></td><td>
<p>Bestämmelser som Celexnummer for</p>
<p>infor, ändrar, upp- bakomliggande EG-</p>
<p>häver eller upprepar regler</p>
<p>ett normgivnings-<br>bemyndigande</p></td></tr>
<tr><td>
<p>Personuppgifislagen</p>
<p>(0000:0000)</p></td><td>
<p>20, 21, 35, 36, 41 och Celex 395L0046</p>
<p>50 §§</p></td></tr>
<tr><td>
<p>Lag om ändring i<br>regeringsformen</p></td><td>
<p>8 kap. 7 § 8</p></td></tr>
<tr><td>
<p>Lag om ändring i<br>personuppgifislagen</p></td><td>
<p>20, 21, 35, 41 och 50 §§ Celex 395L0046</p></td></tr>
</table>
<p>(0000:0000)</p>
<p>247</p>
<p>gotab 55752. Stockholm 1997</p>
11att riksdagen antar regeringens förslag tillbifall=utskottet1997/98:KU18?11att riksdagen antar regeringens förslag till?22att riksdagen antar regeringens förslag till?22att riksdagen antar regeringens förslag tillbifall=utskottet1997/98:KU18?33att riksdagen antar regeringens förslag tillbifall=utskottet1997/98:KU18?33att riksdagen antar regeringens förslag till?44att riksdagen antar regeringens förslag till?44att riksdagen antar regeringens förslag tillvilande=utskottet1997/98:KU18?55att riksdagen antar regeringens förslag tilluppskov=utskottet1997/98:KU18?55att riksdagen antar regeringens förslag till?44.1att riksdagen antar regeringens förslag till?INLInlämning1997-12-17 00:00:00inträffat60BBordläggning1997-12-18 00:00:00inträffat2HÄNHänvisning1997-12-18 00:00:00inträffat3MOTMotionstid slutar1998-02-05 00:00:00inträffat4inlamnatavInlämnat avJustitiedepartementet2014-11-24 05:26:26statustextstatustextÄrendet är avslutatGL03442019-05-22 17:21:17tilldelatTilldelatKonstitutionsutskottet2014-11-24 05:26:26behandlas_i1997/98:KU18GL01KU18bet1997/98KU18PersonuppgiftslagBetänkandebehandlas_i1998/99:KU3GM01KU3bet1998/99KU3Behandlingen av personuppgifter (vilande grundlagsförslag och följdlagstiftning)Betänkandeföljdmotion<br/>
med anledning av prop. 1997/98:44<br/>
PersonuppgiftslagGL02K13mot1997/98K13med anledning av prop. 1997/98:44 PersonuppgiftslagMotionföljdmotion<br/>
med anledning av prop. 1997/98:44<br/>
PersonuppgiftslagGL02K14mot1997/98K14med anledning av prop. 1997/98:44 PersonuppgiftslagMotionföljdmotion<br/>
med anledning av prop. 1997/98:44<br/>
PersonuppgiftslagGL02K15mot1997/98K15med anledning av prop. 1997/98:44 PersonuppgiftslagMotionföljdmotion<br/>
med anledning av prop. 1997/98:44<br/>
PersonuppgiftslagGL02K16mot1997/98K16med anledning av prop. 1997/98:44 PersonuppgiftslagMotionföljdmotion<br/>
med anledning av prop. 1997/98:44<br/>
PersonuppgiftslagGL02K17mot1997/98K17med anledning av prop. 1997/98:44 PersonuppgiftslagMotionföljdmotionav Bengt Harding Olson (FP)<br/>
med anledning av prop. 1997/98:44<br/>
PersonuppgiftslagGL02K14mot1997/98K14med anledning av prop. 1997/98:44 Personuppgiftslagav Bengt Harding Olson (FP)Motionföljdmotionav Bengt Harding Olson m.fl. (FP, KD, C)<br/>
med anledning av prop. 1997/98:44<br/>
PersonuppgiftslagGL02K16mot1997/98K16med anledning av prop. 1997/98:44 Personuppgiftslagav Bengt Harding Olson m.fl. (FP, KD, C)Motionföljdmotionav Carl Bildt m.fl. (M)<br/>
med anledning av prop. 1997/98:44<br/>
PersonuppgiftslagGL02K13mot1997/98K13med anledning av prop. 1997/98:44 Personuppgiftslagav Carl Bildt m.fl. (M)Motionföljdmotionav Lars Leijonborg m.fl. (FP)<br/>
med anledning av prop. 1997/98:44<br/>
PersonuppgiftslagGL02K17mot1997/98K17med anledning av prop. 1997/98:44 Personuppgiftslagav Lars Leijonborg m.fl. (FP)Motionföljdmotionav Peter Eriksson (MP)<br/>
med anledning av prop. 1997/98:44<br/>
PersonuppgiftslagGL02K15mot1997/98K15med anledning av prop. 1997/98:44 Personuppgiftslagav Peter Eriksson (MP)Motion