2286957GO03502000/0150propproppropProposition 2000/01:50PropositionPropositionJustitiedepartementet5002000-11-30 00:00:002025-12-19 14:06:492001-01-01 00:00:00Kreditupplysningslagen och dataskyddsdirektivet Prop. 2000/01:50 digitaliseradhtmlskarvenhttps://data.riksdagen.se/dokument/GO0350/texthttps://data.riksdagen.se/dokument/GO0350https://data.riksdagen.se/dokumentstatus/GO0350
<h1><a name="caption1"></a>Regeringens proposition<br>2000/01:50</h1>
<h2>Kreditupplysningslagen och dataskyddsdirektivet</h2><img src="https://data.riksdagen.se/fil/GO0350/prop_200001__50-1.png" style="width:37pt;height:21pt;"/>
<p>Prop.</p>
<p>2000/01:50</p>
<p>Regeringen överlämnar denna proposition till riksdagen.</p>
<p>Stockholm den 30 november 2000</p>
<p>Göran Persson</p>
<p>Lars-Erik Lövdén<br>(Justitiedepartementet)</p>
<h2>Propositionens huvudsakliga innehåll</h2>
<p>Propositionen innehåller förslag till ändringar i kreditupplysningslagen<br>(1973:1173). Förslagen syftar i första hand till att anpassa kreditupp-<br>lysningslagen till EG:s dataskyddsdirektiv och personuppgiftslagen<br>(1998:204).</p>
<p>Lagändringarna ger förstärkningar i den enskildes integritets skydd. De<br>innebär i huvudsak följande.</p>
<p>- I kreditupplysningsverksamhet far uppgifter om fysiska personer<br>samlas in endast för kreditupplysningsändamål.</p>
<p>- Personuppgiftslagens grundläggande krav på behandling av person-<br>uppgifter skall gälla också i kreditupplysningsverksamhet.</p>
<p>- Bestämmelserna om begränsningar för behandling av känsliga<br>uppgifter anpassas till direktivet och personuppgiftslagen.</p>
<p>- Skyldigheten att informera i registerbesked och kreditupplysnings-<br>kopior utökas. En begäran om registerbesked om en fysisk person<br>skall göras skriftligen och vara egenhändigt undertecknad.</p>
<p>- En allmän bestämmelse om gallring av uppgifter införs.</p>
<p>- Bestämmelserna om rättelse av uppgifter skall omfatta inte endast<br>felaktiga och missvisande uppgifter utan även uppgifter som annars<br>har behandlats i strid med lagen.</p>
<p>I propositionen görs vidare bedömningen att uppgifter också i fort-<br>sättningen bör få behandlas utan att den enskilde har gett sitt samtycke<br>till behandlingen, och det föreslås en uttrycklig bestämmelse om detta.<br>Det föreslås även bestämmelser om datasäkerhet för uppgifter om<br>juridiska personer.</p>
<p>Regeringen tar även upp frågan om användning av s.k. flödesinforma-<br>tion i kreditupplysningar avseende näringsidkare. Regeringen gör be-</p>
<p>1 Riksdagen 2000/01. 1 saml. Nr 50</p>
<p>dömningen att kreditupplysningslagen inte bör ändras för att möjliggöra<br>en ökad användning av sådana uppgifter.</p>
<p>Vissa andra aktuella frågor som rör kreditupplysningsverksamhet<br>behandlas inte i propositionen. En sådan fråga är vad som bör gälla för<br>uppgifter om skuldsanering i kreditupplysningar. En annan gäller de<br>problem som är förenade med att kreditupplysningar om näringsidkare<br>får innehålla uppgifter med viss osäkerhet. Dessa frågor övervägs inom<br>Regeringskansliet.</p>
<p>Registerförfattningsutredningen (SOU 1999:105) och Bulvanutred-<br>ningen (SOU 1998:47) har lämnat vissa förslag som rör kreditupplys-<br>ningsverksamhet. Dessa förslag bereds för närvarande inom Regerings-<br>kansliet.</p>
<p>De här föreslagna lagändringarna föreslås träda i kraft den 1 april<br>2001.</p>
<p>Prop. 2000/01:50</p>
<h2>Innehållsförteckning</h2>
<p>Prop. 2000/01:50</p>
<p>1 Förslag till riksdagsbeslut.................................................................4</p>
<p>2 Förslag till lag om ändring i kreditupplysningslagen (1973:1173)... 5</p>
<p>3 Ärendet och dess beredning............................................................11</p>
<p>4 Anpassning till dataskyddsdirektivet..............................................13</p>
<p>4.1 Kreditupplysningslagen och dataskyddsdirektivet...........13</p>
<p>4.2 Grundläggande krav.........................................................15</p>
<p>4.3 Behandling av uppgifter utan samtycke...........................19</p>
<p>4.4 Känsliga uppgifter m.m....................................................21</p>
<p>4.5 Gallring.............................................................................25</p>
<p>4.6 Information till den registrerade.......................................27</p>
<p>4.7 Rättelse.............................................................................29</p>
<p>5 Flödesinformation...........................................................................30</p>
<p>6 Ikraftträdande- och övergångsbestämmelser..................................32</p>
<p>7 Ekonomiska konsekvenser av förslagen.........................................33</p>
<p>8 Författningskommentar...................................................................34</p>
<p>Bilaga 1 Dataskyddsdirektivet.............................................................40</p>
<p>Bilaga 2 Sammanfattning av departementspromemorian....................73</p>
<p>Bilaga 3 Departementspromemorians lagförslag................................74</p>
<p>Bilaga 4 Datainspektionens rapport.....................................................78</p>
<p>Bilaga 5 Förteckning över remissinstanserna......................................81</p>
<p>Bilaga 6 Lagrådsremissens lagförslag.................................................82</p>
<p>Bilaga 7 Lagrådets yttrande.................................................................88</p>
<p>Protokollsutdrag......................................................................................91</p>
<p>Rättsdatablad...........................................................................................92</p>
<h2>1 Förslag till riksdagsbeslut</h2>
<p>Regeringen föreslår att riksdagen antar regeringens förslag till lag om<br>ändring i kreditupplysningslagen (1973:1173).</p>
<p>Prop. 2000/01:50</p>
<h2>Förslag till lag om ändring i<br>kreditupplysningslagen (1973:1173)</h2>
<p>Härigenom föreskrivs<sup>1</sup> i fråga om kreditupplysningslagen (1973:1173)<sup>2<br></sup>dels att 5, 6, 8 och 10-12 §§ skall ha följande lydelse,</p>
<p>dels att det närmast före 5 a, 9, 13, 14 och 23 §§ skall införas nya<br>rubriker som skall lyda ”Informationsutbyte”, ”Utlämnande av upplys-<br>ningar”, ”Överlåtelse och upplåtelse av register”, ”Tystnadsplikt” respek-<br>tive ”Överklagande”,</p>
<p>dels att det närmast före 6, 8, 10, 11 och 12 §§ skall införas nya</p>
<p>Prop. 2000/01:50</p>
<p>rubriker av följande lydelse.</p>
<p>Nuvarande lydelse</p>
<p>Kreditupplysningsverksamhet<br>skall bedrivas så att den ej leder<br>till otillbörligt intrång i personlig<br>integritet genom innehållet i de<br>upplysningar som förmedlas eller<br>på annat sätt eller till att oriktiga<br>eller missvisande uppgifter lagras<br>eller lämnas ut.</p>
<p>Föreslagen lydelse</p>
<p>5§</p>
<p>Kreditupplysningsverksamhet<br>skall bedrivas så att den inte leder<br>till otillbörligt intrång i personlig<br>integritet genom innehållet i de<br>upplysningar som förmedlas eller<br>på annat sätt eller till att oriktiga<br>eller missvisande uppgifter lagras<br>eller lämnas ut. För sådan behand-<br>ling av personuppgifter som om-<br>fattas av personuppgiftslagen<br>(1998:204) gäller i stället 9§<br>första stycket a, b och d-h den<br>lagen.</p>
<p>Uppgifter om fysiska personer<br>får samlas in endast för kreditupp-<br>lysningsändamål.</p>
<p>Vid helt eller delvis automa-<br>tiserad behandling av uppgifter<br>om juridiska personer skall den<br>som bedriver kreditupplysnings-<br>verksamhet vidta lämpliga tek-<br>niska och organisatoriska säker-<br>hetsåtgärder for att hindra att<br>behandlingen sker på ett otillåtet<br>sätt och att uppgifterna utsätts för<br>otillåten insyn. Bestämmelser om<br>säkerheten vid behandling av<br>personuppgifter finns i 30-32 §§<br>personuppgiftslagen.</p>
<p>Utan hinder av 10 § personupp-</p>
<p><sup>1</sup> Jfr Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd<br>för enskilda personer med avseende på behandling av personuppgifter och om det fria<br>flödet av sådana uppgifter (EGT L 281,23.11.1995, s. 31, Celex 31995L0046).</p>
<p><sup>2</sup> Lagen omtryckt 1981:737.</p>
<p>giftslagen får personuppgifter be-<br>handlas utan samtycke i kreditupp-<br>lysningsverksamhet. Den registre-<br>rade kan inte heller motsätta sig<br>behandlingen.</p>
<p>Bestämmelsen i andra stycket<br>tillämpas inte i den utsträckning<br>det skulle strida mot bestämmel-<br>serna i tryckfrihetsförordningen<br>eller yttrandefrihetsgrundlagen.</p>
<p>Prop. 2000/01:50</p>
<p>Uppgifter om en persons ras,<br>etniska ursprung, politiska uppfatt-<br>ning, religiösa eller filosofiska<br>övertygelse eller sexualliv får inte<br>samlas in, lagras eller lämnas ut i<br>kreditupplysningsverksamhet.</p>
<p>Uppgifter om sjukdom, hälso-<br>tillstånd eller liknande får inte<br>utan medgivande av Datainspek-<br>tionen samlas in, lagras eller läm-<br>nas ut i kreditupplysningsverksam-<br>het. Detsamma gäller uppgifter om<br>att någon misstänks eller har<br>dömts för brott eller har avtjänat<br>straff eller undergått någon annan<br>påföljd för brott eller har varit<br>föremål för någon åtgärd enligt<br>socialtjänstlagen (1980:620),<br>lagen (1990:52) med särskilda<br>bestämmelser om vård av unga,<br>lagen (1988:870) om vård av<br>missbrukare i vissa fall, lagen<br>(1991:1128) om psykiatrisk<br>tvångsvård, lagen (1991:1129) om<br>rättspsykiatrisk vård, lagen<br>(1993:387) om stöd och service till<br>vissa funktionshindrade, 11-14 §§<br>polislagen (1984:387), lagen<br>(1976:511) om omhändertagande<br>av berusade personer m.m. eller<br>utlänningslagen (1989:529).</p>
<p>finns synnerliga skäl.</p>
<p>Vad som anges i andra stycket</p>
<h3>Känsliga uppgifter m.m.</h3>
<p>6§<sup>3</sup></p>
<p>Uppgifter om en persons ras,<br>etniska ursprung, politiska uppfatt-<br>ning, religiösa eller filosofiska<br>övertygelse, medlemskap i fack-<br>förening, hälsa eller sexualliv får<br>inte behandlas i kreditupplys-<br>ningsverksamhet.</p>
<p>Uppgifter om lagöverträdelser<br>som innefattar brott, domar i<br>brottmål, straffprocessuella</p>
<p>tvångsmedel eller administrativa<br>Jrihetsberövanden får inte utan<br>medgivande av Datainspektionen<br>behandlas i kreditupplysningsverk-<br>samhet.</p>
<p>Ett medgivande som avses i andra stycket får lämnas endast om det</p>
<p>Vad som anges i andra stycket</p>
<p><sup>3</sup> Senaste lydelse 1997:556.</p>
<p>hindrar inte att uppgifter om betal-<br>ningsförsummelser, kreditmiss-<br>bruk eller näringsförbud samlas in,<br>lagras eller lämnas ut i kredit-<br>upplysningsverksamhet.</p>
<p>hindrar inte att uppgifter om betal-<br>ningsförsummelser, kreditmiss-<br>bruk eller näringsförbud behand-<br>las i kreditupplysningsverksamhet.</p>
<p>Prop. 2000/01:50</p>
<p>Kreditupplysningar om fysiska<br>personer som inte är näringsidkare<br>får inte innehålla uppgifter om<br>omständigheter eller förhållanden<br>som är av betydelse för bedöm-<br>ningen av personens vederhäftig-<br>het i ekonomiskt hänseende, om tre<br>år förflutit från utgången av det år<br>då omständigheten inträffade eller<br>förhållandet upphörde. Uppgifter<br>som inte får lämnas ut skall efter<br>den angivna tiden gallras ut ur<br>register som används i kreditupp-<br>lysningsverksamhet. Gallringen<br>skall göras så snart det kan ske<br>och i vart fall innan en upplysning<br>lämnas om den som uppgiften<br>avser.</p>
<h3>Gallring</h3>
<p>8§<sup>4</sup></p>
<p>En uppgift om en fysisk person<br>skall gallras när det inte längre är<br>nödvändigt att bevara uppgiften<br>med hänsyn till ändamålet med<br>registret.</p>
<p>En uppgift om en fysisk person<br>som inte är näringsidkare skall<br>gallras senast när tre år har för-<br>flutit från utgången av det år då<br>den omständighet inträffade eller<br>det förhållande upphörde som<br>uppgiften avser.</p>
<p>Var och en har rätt att mot<br>skälig avgift hos den som bedriver<br>kreditupplysningsverksamhet få<br>skriftligt besked om huruvida det i<br>verksamheten finns uppgifter<br>lagrade om honom och, om det<br>finns sådana uppgifter, vad de har<br>för innehåll.</p>
<h3>Registerbesked</h3>
<p>10 §</p>
<p>Var och en har rätt att mot skä-<br>lig avgift hos den som bedriver<br>kreditupplysningsverksamhet fa<br>skriftligt besked om huruvida det i<br>verksamheten behandlas uppgifter<br>om honom. Fysiska personer har<br>rätt att en gång per kalenderår få<br>ett besked gratis. Behandlas<br>sådana uppgifter skall besked<br>lämnas om</p>
<p>a) vilka uppgifter som behand-<br>las,</p>
<p><sup>4</sup> Senaste lydelse 1997:556.</p>
<p>b) om den registrerade är en<br>fysisk person: varifrån uppgifterna<br>har hämtats,</p>
<p>c) ändamålen med behandlingen<br>och</p>
<p>d) till vilka mottagare eller<br>kategorier av mottagare som upp-<br>gifterna lämnas ut.</p>
<p>Bestämmelserna i första stycket<br>tillämpas inte i den utsträckning<br>det skulle strida mot bestämmel-<br>serna i tryckfrihetsförordningen<br>eller yttrandefrihetsgrundlagen.</p>
<p>En begäran om besked enligt<br>första stycket om en fysisk person<br>skall göras skriftligen och vara<br>egenhändigt undertecknad.</p>
<p>11</p>
<p>När en kreditupplysning om en<br>fysisk person lämnas ut, skall till<br>den som avses med upplysningen<br>samtidigt och kostnadsfritt sändas<br>ett skriftligt meddelande om de<br>uppgifter, omdömen och råd som<br>upplysningen innehåller rörande<br>honom och om vem som har<br>begärt upplysningen.</p>
<p>Prop. 2000/01:50</p>
<h3>Kreditupplysningskopia</h3>
<p>§’</p>
<p>När en kreditupplysning om en<br>fysisk person lämnas ut, skall till<br>den som avses med upplysningen<br>samtidigt och kostnadsfritt sändas<br>ett skriftligt meddelande om</p>
<p>a) vem som bedriver kreditupp-<br>lysningsverksamheten,</p>
<p>b) ändamålen med behand-<br>lingen,</p>
<p>c) de uppgifter, omdömen och<br>råd som upplysningen innehåller<br>om honom,</p>
<p>d) möjligheten att få rättelse av<br>de uppgifter som rör honom, och</p>
<p>e) vem som har begärt upplys-<br>ningen.</p>
<p>Vad som sägs i första stycket gäller också när en kreditupplysning<br>lämnas om ett handelsbolag eller kommanditbolag.</p>
<p>Vad som sägs i första och andra<br>stycket gäller inte kreditupplys-<br>ningar som lämnas genom offent-<br>liggörande på ett sådant sätt som<br>avses i tryckfrihetsförordningen<br>eller yttrandefrihetsgrundlagen.</p>
<p>Vad som sägs i första och andra<br>styckena gäller inte kreditupplys-<br>ningar som lämnas genom offent-<br>liggörande på ett sådant sätt som<br>avses i tryckfrihetsförordningen<br>eller yttrandefrihetsgrundlagen.</p>
<p><sup>5</sup> Senaste lydelse 1997:556.</p>
<h3>Rättelse</h3>
<p>Prop. 2000/01:50</p>
<p>Förekommer anledning till miss-<br>tanke att en uppgift i kreditupp-<br>lysning som lämnats under den<br>senaste tolvmånadersperioden<br>eller i register som används i<br>kreditupplysningsverksamhet är<br>oriktig eller missvisande, skall den<br>som bedriver verksamheten utan<br>dröjsmål vidta skäliga åtgärder för<br>att utreda förhållandet.</p>
<p>Visar sig uppgiften vara oriktig<br>eller missvisande, skall den, om<br>den förekommer i register, rättas,<br>kompletteras eller uteslutas ur<br>registret. Har uppgiften tagits in i<br>en kreditupplysning som lämnats<br>på annat sätt än som avses i<br>tryckfrihetsförordningen och ytt-<br>randefrihetsgrundlagen, skall rät-<br>telse eller komplettering så snart<br>det kan ske tillställas var och en<br>som under den senaste tolv-<br>månadersperioden fatt del av upp-<br>giften. Har uppgiften under den<br>senaste tolvmånadersperioden<br>lämnats i periodisk skrift eller i en<br>kreditupplysningsverksamhet som<br>bedrivs genom återkommande<br>offentliggöranden enligt yttrande-<br>frihetsgrundlagen, skall rättelse<br>eller komplettering så snart det<br>kan ske införas i ett följande<br>nummer av skriften eller mot-<br>svarande form av offentliggörande<br>enligt yttrandefrihetsgrundlagen.<br>Vad som sägs i detta stycke gäller<br>dock icke, om uppgiften uppen-<br>barligen saknar betydelse för be-<br>dömningen av vederbörandes<br>vederhäftighet i ekonomiskt hän-<br>seende.</p>
<p>12 §<sup>6</sup></p>
<p>Finns det anledning att miss-<br>tänka att en uppgift som behandlas<br>i kreditupplysningsverksamhet<br>eller som har lämnats i en kredit-<br>upplysning under den senaste tolv-<br>månadersperioden är oriktig eller<br>missvisande, eller att den annars<br>har behandlats i strid med denna<br>lag, skall den som bedriver verk-<br>samheten utan dröjsmål vidta skä-<br>liga åtgärder för att utreda för-<br>hållandet.</p>
<p>Visar det sig att uppgiften är<br>oriktig eller missvisande, eller att<br>den annars har behandlats i strid<br>med lagen, skall den, om den<br>förekommer i register, rättas, kom-<br>pletteras eller uteslutas ur registret.<br>Har en oriktig eller missvisande<br>uppgift tagits in i en kreditupp-<br>lysning som lämnats på annat sätt<br>än som avses i tryckfrihetsför-<br>ordningen eller yttrandefrihets-<br>grundlagen, skall rättelse eller<br>komplettering så snart det kan ske<br>tillställas var och en som under<br>den senaste tolvmånadersperioden<br>fatt del av uppgiften. Har upp-<br>giften under den senaste tolv-<br>månadersperioden lämnats i en<br>periodisk skrift eller i en kredit-<br>upplysningsverksamhet som be-<br>drivs genom återkommande<br>offentliggöranden enligt yttrande-<br>frihetsgrundlagen, skall rättelse<br>eller komplettering så snart det<br>kan ske införas i ett följande<br>nummer av skriften eller mot-<br>svarande form av offentliggörande<br>enligt yttrandefrihetsgrundlagen.<br>Vad som sägs i detta stycke gäller<br>dock inte, om uppgiften uppen-<br>barligen saknar betydelse för be-<br>dömningen av vederbörandes<br>vederhäftighet i ekonomiskt hän-<br>seende.</p>
<p>Senaste lydelse 1991:1563.</p>
<p>Ilar en fråga om rättelse eller liknande åtgärd tagits upp efter framställ- Prop. 2000/01:50<br>ning från den som uppgiften avser, skall denne kostnadsfritt underrättas<br>om huruvida sådan åtgärd vidtagits.</p>
<p>1. Denna lag träder i kraft den 1 april 2001.</p>
<p>2.1 stället för 5 § första stycket tillämpas 5 § i dess äldre lydelse i fråga<br>om sådan behandling av personuppgifter för vilken 9 § personuppgifts-<br>lagen (1998:204) enligt övergångsbestämmelserna till den lagen inte är<br>tillämplig.</p>
<p>10</p>
<h2>Ärendet och dess beredning</h2>
<p>Kreditupplysningslagen (1973:1173) innehåller regler för den yrkes-<br>mässigt bedrivna kreditupplysningsverksamheten. Lagen syftar i första<br>hand till att undanröja riskerna för att kreditupplysningar medför<br>otillbörligt intrång i de omfrågades personliga integritet eller leder till<br>skada genom oriktiga eller missvisande uppgifter. Samtidigt är lagen<br>avsedd att bidra till en effektivt fungerande kreditupplysningsverk-<br>samhet.</p>
<p>År 1991 tillkallades en särskild utredare för att se över kreditupplys-<br>ningslagen (dir. 1991:69 och 1993:41), Kreditupplysningsutredningen.<br>Utredaren presenterade sitt arbete i delbetänkandet EES-anpassning av<br>kreditupplysningslagen (SOU 1992:22) och i slutbetänkandet Integritet<br>och effektivitet på kreditupplysningsområdet (SOU 1993:110).</p>
<p>Europaparlamentet och rådet antog den 24 oktober 1995 direktivet<br>95/46/EG om skydd för enskilda personer med avseende på behandling<br>av personuppgifter och om det fria flödet av sådana uppgifter (data-<br>skyddsdirektivet). Direktivet finns i bilaga 1.</p>
<p>År 1995 tillkallades en kommitté med uppgift att göra en total revision<br>av datalagen (1972:289) och analysera på vilket sätt dataskyddsdirektivet<br>skulle genomföras (dir. 1995:91), Datalagskommittén. Kommittén över-<br>lämnade år 1997 sitt betänkande Integritet Offentlighet Informations-<br>teknik (SOU 1997:39). Kommitténs förslag ledde till personuppgifts-<br>lagen (1998:204). Personuppgiftslagen, som trädde i kraft den 24 oktober<br>1998, ersatte 1972 års datalag och genomförde direktivet i huvudsak<br>(prop. 1997/98:44, bet. 1997/98 :KU 18, rskr. 1997/98:180). I förarbetena<br>konstaterades att ett stort antal andra författningar, bl.a. kreditupplys-<br>ningslagen, måste anpassas till direktivet och till personuppgiftslagen och<br>att detta arbete skulle drivas vidare inom Regeringskansliet.</p>
<p>De flesta av Kreditupplysningsutredningens förslag har resulterat i lag-<br>stiftning (prop. 1996/97:65, bet. 1996/97:FiU23 och 27, rskr.<br>1996/97:274). Med hänsyn till Datalagskommitténs då pågående arbete<br>lämnades dock frågor som behandlas i dataskyddsdirektivet eller som<br>annars hade beröring med Datalagskommitténs arbete utanför lagstift-<br>ningsärendet. En fråga som inte togs upp är om kreditupplysningslagen<br>bör fullständigt reglera vad som skall gälla på kreditupplysningsområdet<br>eller om lagen bör samverka med andra lagar, särskilt numera person-<br>uppgiftslagen. En annan fråga som inte behandlades är frågan om<br>datasäkerhet. Utanför lagstiftningsärendet lämnades också frågan om<br>uppgifter skall fa samlas in och lagras i kreditupplysningsverksamhet<br>utan att den berörda personen har lämnat sitt samtycke till det.</p>
<p>På uppdrag av Justitiedepartementet har utarbetats promemorian Kre-<br>ditupplysningslagen — anpassning till dataskyddsdirektivet (Ds 1998:44).<br>I promemorian analyseras vilka ändringar som bör göras i kreditupp-<br>lysningslagen med anledning av direktivet och personuppgiftslagen,<br>varvid även de flesta av de återstående frågorna från Kreditupplysnings-<br>utredningens förslag behandlas. En sammanfattning av promemorian<br>finns i bilaga 2. Promemorians lagförslag finns i bilaga 3.</p>
<p>I olika sammanhang har framförts kritik, bl.a. från kreditupplysnings-<br>företag, mot att kreditupplysningslagens grundläggande krav på hur<br>kreditupplysningsverksamhet skall bedrivas kommit att ges en större</p>
<p>Prop. 2000/01:50</p>
<p>11</p>
<p>betydelse i praxis än som enligt kritikerna varit avsett när kraven<br>infördes. Kritiken har skjutit in sig på att uppgifter om vidtagna inkasso-<br>åtgärder och uppgifter ur företags kundreskontra inte fått användas i<br>kreditupplysningar om näringsidkare.</p>
<p>År 1997 uppdrog regeringen åt Datainspektionen att utreda vilka upp-<br>gifter om näringsidkare som bör få användas i kreditupplysningar.<br>Datainspektionen redovisade uppdraget i en rapport samma år. Data-<br>inspektionens bedömning finns i bilaga 4.</p>
<p>Promemorian och rapporten har remissbehandlats. En förteckning över<br>remissinstanserna finns i bilaga 5. Remissyttrandena finns tillgängliga i<br>lagstiftningsärendet (Ju 98/2403).</p>
<p>I propositionen behandlar regeringen de förslag som lämnats i prome-<br>morian, kvarstående förslag från Kreditupplysningsutredningen samt de<br>frågor som berörs i Datainspektionens rapport.</p>
<p>Flera remissinstanser har synpunkter och förslag i andra frågor som rör<br>kreditupplysningsverksamhet. Dessa och andra frågor som aktualiserats<br>under arbetet behandlas inte i propositionen.</p>
<p>En fråga som kommit upp är hur länge en uppgift om skuldsanering<br>bör kvarstå innan den gallras ur kreditupplysningsregister. I dag kvarstår<br>uppgiften om skuldsanering tre år efter det år då saneringen avslutades.<br>Den frågan kommer att behandlas i en kommande departementsprome-<br>moria om skuldsanering m.m. I Regeringskansliet har också tagits upp de<br>problem som är förenade med att kreditupplysningar om näringsidkare<br>får innehålla uppgifter som är förenade med viss osäkerhet, t.ex. ansök-<br>ningar om betalningsföreläggande.</p>
<p>Rcgisterförfattningsutredningen (SOU 1999:105) föreslår vissa änd-<br>ringar vad gäller sekretessen inom exekutionsväsendet som får betydelse<br>för kreditupplysningsverksamhet. Betänkandet har remissbehandlats och<br>bereds för närvarande inom Regeringskansliet. Detsamma gäller för<br>Bulvanutredningcns förslag (SOU 1998:47) som även det berör kredit-<br>upplysningsverksamhet.</p>
<p>Lagrådet</p>
<p>Regeringen beslutade den 12 oktober 2000 att inhämta Lagrådets ytt-<br>rande över de lagförslag som finns i bilaga 6.</p>
<p>Lagrådets yttrande finns i bilaga 7. Lagrådet har godtagit förslagen<br>men förordat att det i lagen införs en uttrycklig bestämmelse om den<br>registrerades rätt att motsätta sig behandling av uppgifter. Lagrådet har<br>också beträffande en lagändring föreslagit en övergångsbestämmelse.<br>Regeringen har följt Lagrådets förslag. Lagrådets förslag och synpunkter<br>i övrigt behandlas i avsnitten 4.3, 4.4 och 6 samt i författningskom-<br>mentaren.</p>
<p>I förhållande till lagrådsremissens förslag har en bestämmelse som ger<br>fysiska personer rätt till ett registerutdrag per år gratis lagts till.<br>Dessutom har några språkliga och redaktionella ändringar gjorts.</p>
<p>Prop. 2000/01:50</p>
<p>12</p>
<h2>Anpassning till dataskyddsdirektivet</h2>
<p>4.1 Kreditupplysningslagen och dataskyddsdirektivet</p>
<p>Regeringens bedömning: Kreditupplysningslagen bör inte innehålla<br>en heltäckande reglering, utan även personuppgiftslagen bör vara<br>tillämplig på kreditupplysningsverksamhet.</p>
<p>Prop. 2000/01:50</p>
<p>Promemorians bedömning överensstämmer med regeringens bedöm-<br>ning (se promemorian s. 21 f.).</p>
<p>Remissinstanserna instämmer i bedömningen eller lämnar den utan<br>någon invändning.</p>
<p>Skälen for regeringens bedömning: Med kreditupplysningar avses<br>uppgifter, omdömen eller råd som lämnas till ledning for bedömning av<br>någons kreditvärdighet eller vederhäftighet i övrigt i ekonomiskt hän-<br>seende. Kreditupplysningslagen gäller för kreditupplysningar avseende<br>såväl fysiska som juridiska personer. Sådan kreditupplysningsverksamhet<br>som omfattas av lagen får, med vissa undantag, bedrivas endast efter<br>tillstånd av Datainspektionen. Lagen ställer upp vissa grundläggande<br>krav på hur verksamheten skall bedrivas. Särskilda och strängare regler<br>gäller för känsliga uppgifter, t.ex. uppgifter om etniskt ursprung, brott<br>eller hälsa. Uppgifter om fysiska personer som inte är näringsidkare skall<br>gallras efter tre år. När en kreditupplysning om en fysisk person lämnas<br>ut, skall den omfrågade få en kreditupplysningskopia. Var och en har rätt<br>att få besked om vilka uppgifter som finns registerade om honom eller<br>henne. I kreditupplysningslagen finns även bestämmelser om bl.a.<br>skadestånd.</p>
<p>Kreditupplysningar avseende fysiska personer utgör som regel person-<br>uppgifter. För behandling av personuppgifter finns en generell reglering i<br>dataskyddsdirektivet vilket har genomförts i svensk rätt i person-<br>uppgiftslagen. Regleringen omfattar uppgifter om fysiska personer men<br>inte uppgifter om juridiska personer. Den gäller inte för all behandling<br>utan är begränsad till automatiserad behandling och viss strukturerad<br>manuell behandling. Sålunda ryms den behandling som i praktiken kan<br>innebära störst risker för den enskildes integritet. Till skillnad från kredit-<br>upplysningslagen innehåller direktivet och personuppgiftslagen inte<br>något allmänt krav på tillstånd innan personuppgifter får behandlas, utan<br>regleringen bygger i stället på anmälningsskyldighet. Sådana person-<br>uppgifter som innebär särskilda risker får dock behandlas först efter<br>förhandskontroll. Vid behandling av personuppgifter skall vissa grund-<br>läggande krav följas. I likhet med kreditupplysningslagen gäller strängare<br>regler för uppgifter som är särskilt känsliga. Utgångspunkten är vidare att<br>det krävs att den registerade har gett sitt samtycke för att någon skall få<br>behandla uppgifter om honom eller henne. Information om behandlingen<br>skall lämnas till den registrerade, både självmant och efter ansökan.<br>Även regler om skadestånd finns.</p>
<p>För kreditupplysningsverksamhet gäller sålunda både kreditupplys-<br>ningslagen och personuppgiftslagen. Kreditupplysningsutredningen tog<br>upp frågan om kreditupplysningslagen inte i stället borde innehålla en<br>heltäckande reglering (se SOU 1993:110 s. 114 f.). Utredningen hän-<br>visade bl.a. till att den rådande ordningen innebär olägenheter eftersom</p>
<p>13</p>
<p>kreditupplysnings företagen måste följa inte bara kreditupplysningslagen<br>utan också andra författningar, främst den då gällande datalagen som<br>alltså nu har ersatts av personuppgiftslagen. Utredningen ansåg att kredit-<br>upplysningslagen så fullständigt som möjligt borde reglera vad som skall<br>gälla på kreditupplysningsområdet.</p>
<p>Frågan tas också upp i promemorian. Där görs den bedömningen att<br>behandling av personuppgifter i kreditupplysningsverksamhet bör regle-<br>ras i första hand genom personuppgiftslagen.</p>
<p>Det skulle i och för sig kunna innebära praktiska fördelar, inte minst<br>för kreditupplysningsföretagen, om alla de bestämmelser som är rele-<br>vanta för verksamheten fanns samlade i kreditupplysningslagen. Rege-<br>ringen instämmer likväl i promemorians och remissinstansernas bedöm-<br>ning att det inte är lämpligt att låta kreditupplysningslagen innehålla en<br>heltäckande reglering. Personuppgiftslagen är avsedd att vara allmänt<br>tillämplig och innehålla generella regler. Behovet av särregler för vissa<br>verksamheter förutses bli tillgodosett genom andra författningar. Av<br>personuppgiftslagen följer sålunda att bestämmelser i en annan lag eller<br>en förordning skall gälla om de avviker från personuppgiftslagen (2 §). I<br>författningar för andra verksamheter som regleras av personuppgifts-<br>lagen, t.ex. beträffande polisregister och hälsodata- och vårdregister, har<br>inte införts någon fullständig reglering. I stället har man där bara tagit in<br>de bestämmelser som speciellt reglerar verksamheten eller som annars<br>ansetts lämpligen böra finnas i författningen. En annan ordning skulle<br>också göra kreditupplysningslagen otymplig. Kreditupplysningslagen bör<br>alltså inte innehålla en heltäckande reglering, utan även personuppgifts-<br>lagen bör vara tillämplig i kreditupplysningsverksamhet.</p>
<p>När kreditupplysningslagen anpassas till personuppgiftslagen och<br>direktivet bör utgångspunkten således vara att lagen skall innehålla de<br>bestämmelser om behandling av personuppgifter som avviker från<br>personuppgiftslagen. Även om kreditupplysningslagcn sålunda inte skall<br>innehålla en fullständig reglering, bör ändå eftersträvas att lagen reglerar<br>de frågor som är av särskild betydelse för kreditupplysningsverksamhet.<br>Det bör alltså inte vara uteslutet att vissa väsentliga bestämmelser finns i<br>kreditupplysningslagen trots att de egentligen inte avviker från person-<br>uppgiftslagens bestämmelser. Som understryks i promemorian är det en<br>fördel om kreditupplysningslagens bestämmelser kan behållas. Bestäm-<br>melserna har fungerat väl och både myndigheter och företag är väl<br>förtrogna med dem. Några mera genomgripande ändringar i kreditupp-<br>lysningslagen är inte heller påkallade. Av följande avsnitt i propositionen<br>framgår att ändringar dock bör göras i bestämmelserna i 5 § med all-<br>männa krav, i 6 § om känsliga uppgifter och i 8 § om gallring. Juste-<br>ringar bör också göras i bestämmelserna i 10 § om registerbesked, i 11 §<br>om kreditupplysningskopia och i 12 § om rättelse. I enlighet med<br>promemorians bedömning krävs inte några andra ändringar. Det kan här<br>bara nämnas att tillståndsreglema i 3 och 4 §§ är förenliga med direktivet<br>(jfr artikel 20 och punkterna 53 och 54 i ingressen till direktivet).</p>
<p>Sambandet med personuppgiftslagen bör göras tydligare genom att<br>rubriker införs i kreditupplysningslagen som anknyter till de rubriker<br>som finns i personuppgiftslagen. 1 promemorian föreslås det också att det<br>i inledningen till kreditupplysningslagen tas in en bestämmelse för att<br>poängtera att personuppgiftslagens bestämmelser som regel gäller också<br></p>
<p>Prop. 2000/01:50</p>
<p>14</p>
<p>för sådan behandling av personuppgifter som sker i kreditupplys- Prop. 2000/01:50<br>ningsverksamhet. Som bl.a. Hovrätten över Skåne och Blekinge påpekar<br>gäller emellertid detta redan genom 2 § personuppgiftslagen (jfr<br>Lagrådets yttrande i prop. 1997/98: 97 s. 265). En bestämmelse som<br>markerar förhållandet till personuppgiftslagen kan visserligen ha ett<br>pedagogiskt värde och har därför tagits in i rena registerförfattningar (jfr<br>anf. prop. s. 168). Särskilt med hänsyn till de förslag till andra ändringar i<br>lagen som lämnas i propositionen (t.ex. i 5 §, se följande avsnitt) synes<br>det emellertid inte vara tillräckligt motiverat att ha en sådan bestämmelse<br>i kreditupplysningslagen.</p>
<p>4.2 Grundläggande krav</p>
<p>Regeringens förslag: Bestämmelserna i 5 § kreditupplysningslagen<br>med allmänna krav på kreditupplysningsverksamhet ändras inte. För<br>sådan behandling av personuppgifter som omfattas av person-<br>uppgiftslagen skall dock de grundläggande kraven på behandling i den<br>lagen gälla. Vidare föreskrivs att uppgifter om fysiska personer får<br>samlas in endast för kreditupplysningsändamål. Bestämmelser om<br>datasäkerhet för uppgifter om juridiska personer förs in i 5 §,</p>
<p>Promemorians förslag om allmänna krav skiljer sig lagtekniskt från<br>regeringens. Promemorians förslag till ändamålsbestämmelse avser även<br>lagring och utlämnande (se promemorian s. 25 f.).</p>
<p>Kreditupplysningsutredningens förslag om datasäkerhet överens-<br>stämmer i sak med regeringens (se betänkandet s. 136 f.).</p>
<p>Remissinstanserna: Datainspektionen anmärker att de krav som gäller<br>enligt 9 § personuppgiftslagen vid behandling av personuppgifter gäller<br>till följd av den lagens allmänna tillämplighet och anser att kraven i 5 §<br>kreditupplysningslagen på kreditupplysningsverksamhet inte bör ändras.<br>Landsorganisationen (LO) framför liknande synpunkter. Övriga remiss-<br>instanser tillstyrker förslaget eller lämnar det utan någon invändning.<br>Förslaget om ändamålsbestämmelse tillstyrks. Remissinstanserna till-<br>styrker Kreditupplysningsutredningens förslag om datasäkerhet.</p>
<h3>Skälen för regeringens förslag</h3>
<p>Förhållandet till 9 § personuppgiftslagen</p>
<p>De allmänna kraven för hur kreditupplysningsverksamhet skall bedrivas<br>finns i 5 § kreditupplysningslagen. I paragrafen föreskrivs att verk-<br>samheten skall bedrivas så att den inte leder till otillbörligt intrång i<br>personlig integritet genom innehållet i de uppgifter som förmedlas eller<br>på annat sätt eller till att oriktiga eller missvisande uppgifter lagras eller<br>lämnas ut. Till aktsamhetskraven i 5 § knyts en skadeståndssanktion i<br>21 §. Den som bedriver kreditupplysningsverksamhet skall ersätta skada<br>som till följd av verksamheten tillfogas någon genom otillbörligt intrång<br>i hans personliga integritet eller genom att en oriktig uppgift lämnas om</p>
<p>15<br></p>
<p>honom, såvida inte den som bedriver verksamheten kan visa att tillbörlig<br>omsorg och varsamhet iakttagits.</p>
<p>I 9 § personuppgiftslagen anges en rad grundläggande krav för hur<br>personuppgifter skall behandlas. Den personuppgiftsansvarige skall se<br>till att kraven följs. Personuppgifter får behandlas endast om det är<br>lagligt (första stycket a). Uppgifterna skall alltid behandlas på ett korrekt<br>sätt och i enlighet med god sed (första stycket b). Uppgifter tär samlas in<br>bara för särskilda, uttryckligt angivna och berättigade ändamål (första<br>stycket c). Uppgifterna får inte behandlas för något ändamål som är<br>oförenligt med det för vilket de samlades in (första stycket d). Upp-<br>gifterna måste vara adekvata och relevanta i förhållande till ändamålet<br>med behandlingen (första stycket e). Fler uppgifter får inte behandlas än<br>som är nödvändigt med hänsyn till ändamålet med behandlingen (första<br>stycket f). Uppgifterna skall vara riktiga och, om det är nödvändigt,<br>aktuella (första stycket g). Alla rimliga åtgärder skall vidtas för att rätta,<br>blockera eller utplåna sådana uppgifter som är felaktiga eller ofull-<br>ständiga med hänsyn till ändamålet med behandlingen (första stycket h).<br>Uppgifterna får inte bevaras under längre tid än som är nödvändigt med<br>hänsyn till ändamålet med behandlingen (första stycket i). Kraven i 9 §<br>överensstämmer med de krav som medlemsstaterna skall ställa på den<br>personuppgiftsansvarige enligt artikel 6 i direktivet. Den personuppgifts-<br>ansvarige skall enligt 48 § ersätta den registrerade för skada och kränk-<br>ning av den personliga integriteten som en behandling av personuppgifter<br>i strid med personuppgiftslagen har orsakat. Ersättningsskyldigheten kan<br>dock i den utsträckning det är skäligt jämkas, om den personuppgifts-<br>ansvarige visar att felet inte berodde på honom. Skadeståndsbestäm-<br>melsema i 48 § genomför artikel 23 i direktivet.</p>
<p>I promemorian görs bedömningen att den reglering till skydd för den<br>personliga integriteten som följer av 9 § personuppgiftslagen omfattar<br>motsvarande reglering i 5 § krcditupplysningslagen samtidigt som den är<br>mer precis till sitt innehåll. Därför föreslås att nuvarande reglering utgår<br>ur 5 § och att det där i stället tas in krav på verksamheten som motsvarar<br>kraven i 9 § personuppgiftslagen. Med promemorians förslag skulle det<br>alltså i kreditupplysningslagen föreskrivas att kreditupplysningsverk-<br>samhet vad gäller fysiska personer skall uppfylla de krav som framgår av<br>9 § personuppgiftslagen och att verksamheten i övrigt, dvs. vad gäller<br>juridiska personer, skall bedrivas så att den inte leder till att oriktiga eller<br>missvisande uppgifter lagras eller lämnas ut. Någon följdändring i<br>skadeståndsbestämmelsema i 21 § kreditupplysningslagen föreslås inte.<br>Förslaget har föranlett kritik från bl.a. Datainspektionen.</p>
<p>Det kan konstateras att direktivet förutsätter att den personuppgifts-<br>ansvarige vid behandling av personuppgifter skall följa de krav på<br>behandlingen som anges i artikel 6 i direktivet och som har sin mot-<br>svarighet i 9 § personuppgiftslagen. Detta gäller också för behandling i<br>kreditupplysningsverksamhet. Utrymmet lär vara begränsat att ge andra<br>föreskrifter, vare sig med strängare eller lindrigare krav. Det är knappast<br>heller motiverat att ställa några andra krav vid behandling av person-<br>uppgifter i kreditupplysningsverksamhet än dem som finns i 9 §. Som<br>anförs i promemorian bör alltså kraven i 9 § gälla för sådan behandling<br>av personuppgifter i kreditupplysningsverksamhet som omfattas av<br>personuppgiftslagen, dvs. automatiserad behandling och viss strukturerad</p>
<p>Prop. 2000/01:50</p>
<p>16</p>
<p>manuell behandling (se 5 § personuppgiftslagen). I 5 § kreditupplys-<br>ningslagen bör därför klargöras att grundläggande krav på behandling av<br>personuppgifter finns i 9 § personuppgiftslagen och att dessa skall<br>tillämpas. En sådan lösning framstår lagtekniskt som lämpligare än<br>promemorians förslag att kraven i 9 § personuppgiftslagen tas över i<br>kreditupplysningslagen och att följaktligen skadeståndsbestämmelsema i<br>21 § kreditupplysningslagen blir tillämpliga vid överträdelse av kraven. I<br>så fall kunde ifrågasättas om inte regleringen av skadeståndsskyldighet i<br>21 § också borde ändras och närma sig den i 48 § personuppgiftslagen.<br>Hovrätten över Skåne och Blekinge nämner exemplet att en skada som<br>inträffat genom intrång i en dator kanhända inte skulle ersättas enligt<br>21 § kreditupplysningslagen men väl enligt 48 § personuppgiftslagen.<br>Propositionens förslag innebär att skadeståndsbestämmelsema i 48 §<br>personuppgiftslagen skall tillämpas vid sådan behandling av person-<br>uppgifter i kreditupplysningsverksamhet som görs i strid med 9 § a, b<br>och d-h i den lagen. Om behandlingen däremot görs i strid med<br>bestämmelserna i kreditupplysningslagen, gäller 21 § kreditupplys-<br>ningslagen.</p>
<p>Promemorians bedömning är att regleringen i 9 § personuppgiftslagen<br>bör fa som resultat att man tar bort de allmänna kraven i 5 § kredit-<br>upplysningslagen om att kreditupplysningsverksamhet skall bedrivas så<br>att den inte leder till otillbörligt intrång i personlig integritet. Emellertid<br>är tillämpningsområdena för 5 § kreditupplysningslagen och 9 § person-<br>uppgiftslagen inte identiska. Kraven i 9 § är inriktade på den person-<br>uppgiftsansvarige och gäller för hur personuppgifter skall behandlas,<br>medan kraven i 5 § gäller för hur kreditupplysningsverksamhet som<br>sådan skall bedrivas. Likaså gäller kraven i 9 § inte för all manuell<br>behandling av personuppgifter, och integritetsregeln i 5 § kan fylla en<br>funktion för sådan manuell behandling som inte omfattas av 9 §. Allmänt<br>sett ter det sig också otillfredsställande att kreditupplysningslagen inte<br>skulle ge uttryck för att fysiska personer har ett integritetsskydd vid<br>kreditupplysningsverksamhet, låt vara att skyddet i praktiken far sitt<br>huvudsakliga innehåll genom 9 § personuppgiftslagen. Med hänsyn till<br>det anförda föreslås att de allmänna kraven i 5 § för bedrivande av<br>kreditupplysningsverksamhet skall bevaras oändrade. Det innebär att<br>dessa krav kommer att gälla inom kreditupplysningslagens tillämpnings-<br>område i den mån 9 § personuppgiftslagen inte skall tillämpas i stället.</p>
<p>Angående 9 § första stycket punkterna c och i personuppgiftslagen, se<br>dock vidare nedan i detta avsnitt och avsnitt 4.5.</p>
<p>I sammanhanget bör uppmärksammas att direktivet inte kräver någon<br>ändring i skadeståndsbestämmelsema i 21 § kreditupplysningslagen. Det<br>kan inte heller antas leda till några praktiska eller rättsliga problem om<br>21 § kreditupplysningslagen behålls med sin något annorlunda lydelse<br>jämfört med 48 § personuppgiftslagen. De förslag till reglering av<br>allmänna krav i 5 § kreditupplysningslagen som lämnas i propositionen<br>motiverar också att 21 § behålls oändrad. Det kan tilläggas att även<br>skadeståndsbestämmelsema i 1972 års datalag skilde sig från 21 §.</p>
<p>Prop. 2000/01:50</p>
<p>17</p>
<p>Ett krav på insamling för kreditupplysningsändamål</p>
<p>I 5 § kreditupplysningslagen anges inte uttryckligen att uppgifter om<br>fysiska personer far samlas in i kreditupplysningsverksamhet endast för<br>kreditupplysningsändamål. I promemorian görs den bedömningen att<br>direktivet kräver att detta klart framgår av lagen Q fr 9 § första stycket c<br>personuppgiftslagen). Regeringen instämmer i bedömningen. Det före-<br>slås därför att en ändamålsbestämmelse tas in i kreditupplysningslagen. I<br>likhet med reglerna i direktivet och personuppgiftslagen bör bestäm-<br>melsen vara begränsad till insamling av uppgifter. Som föreslås i prome-<br>morian bör bestämmelsen dock inte vara begränsad till bara sådan<br>insamling som omfattas av personuppgiftslagen (se 5 § i den lagen) utan<br>bör lämpligen omfatta all insamling av uppgifter om fysiska personer.</p>
<p>Med anledning av att Länsrätten i Stockholms län anmärker att<br>definitionen av kreditupplysningsändamål framgår endast indirekt genom<br>begreppet ”kreditupplysningsverksamhet” kan påpekas att det av 2 §<br>framgår vad som avses med kreditupplysning vilket torde vara tillräckligt<br>för tillämpningen av ändamålsbestämmelsen.</p>
<p>Den föreslagna ändamålsbestämmelsen aktualiserar frågan om för-<br>hållandet mellan kreditupplysningslagens bestämmelser och bestäm-<br>melserna i tryckfrihetsförordningen (TF) och yttrandefrihetsgrundlagen<br>(YGL).</p>
<p>Kreditupplysningslagen innehåller inte någon generell bestämmelse<br>som reglerar förhållandet till tryck- och yttrandefriheten. Att kreditupp-<br>lysningslagen inte skall tillämpas i den utsträckning det skulle strida mot<br>bestämmelserna i TF och YGL följer i och för sig redan av allmänna<br>principer. Möjligen borde i förtydligande syfte en upplysning om detta<br>tas in i kreditupplysningslagen. I personuppgiftslagen har en sådan regel<br>tagits in i 7 §.</p>
<p>I kreditupplysningslagen har man hittills använt en annan teknik,<br>nämligen att för varje bestämmelse i lagen ange hur den förhåller sig till<br>grundlagarna. En sådan ordning är förenad med vissa nackdelar, bl.a.<br>riskerar den att leda till motsatsslut. En övergång till en generell regle-<br>ring bör dock föregås av en ingående analys av befintliga bestämmelser.<br>Vissa av dem har införts i förtydligande syfte medan andra har införts<br>därför att den allmänna regleringen av kreditupplysningsverksamheten<br>lämpar sig mindre väl när sådan verksamhet bedrivs genom offent-<br>liggörande på ett sådant sätt som avses i TF och YGL. En sådan analys<br>bör inte göras i detta lagstiftningsärende. I ställer bör i kreditupp-<br>lysningslagen klargöras att den föreslagna ändamålsbestämmelsen inte<br>gäller i den mån den skulle strida mot anskaffarskyddet i TF och YGL.<br>Regeringen avser dock att i lämpligt sammanhang återkomma till frågan<br>om en generell reglering av förhållandet mellan reglerna i kredit-<br>upplysningslagen och reglerna i TF och YGL.</p>
<p>Datasäkerhet</p>
<p>I 30-32 §§ personuppgiftslagen finns en utförlig reglering av säkerheten<br>vid behandling av personuppgifter. Bestämmelserna reglerar bl.a. vilka<br>säkerhetsåtgärder som skall vidtas och vilken säkerhetsnivå som skali<br>uppnås. Regeringen delar promemorians och remissinstansernas bedöm-</p>
<p>Prop. 2000/01:50</p>
<p>18</p>
<p>ning att regleringen i personuppgiftslagen är tillräcklig när det gäller<br>säkerheten för uppgifter om fysiska personer i kreditupplysnings-<br>verksamhet och att någon särskild reglering för fysiska personer inte bör<br>tas in i kreditupplysningslagen. I detta avseende bör alltså personupp-<br>giftslagen gälla.</p>
<p>Personuppgiftslagens säkerhetsbestämmelser gäller dock bara för upp-<br>gifter om fysiska personer och inte för uppgifter om juridiska personer.<br>Kreditupplysningsutredningen övervägde frågan om datasäkerhet och<br>ansåg att regler om säkerhetsåtgärder behövdes också för juridiska<br>personer. Utredningen föreslog därför att det i kreditupplysningslagen<br>skulle införas en bestämmelse om att den som har rätt att bedriva<br>kreditupplysningsverksamhet är ansvarig för databehandlingen och skall<br>vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att<br>hindra att behandlingen sker på ett otillbörligt sätt och att uppgifterna<br>utsätts för otillåten insyn. Som framgår av avsnitt 3 lämnades frågan<br>utanför prop. 1995/96:65 med hänvisning till Datalagskommitténs då<br>pågående arbete. Även regeringen gör bedömningen att det behövs regler<br>om säkerhet för uppgifter avseende juridiska personer. En sådan<br>bestämmelse bör nu tas in i kreditupplysningslagen och den bör utformas<br>efter utredningens förslag.</p>
<p>Eftersom kreditupplysningslagen därmed kommer att innehålla en<br>säkerhetsbestämmelse för juridiska personer, bör det i lagen även tas in<br>en erinran om att personuppgiftslagen innehåller bestämmelser om<br>säkerhet vid behandling av personuppgifter.</p>
<p>4.3 Behandling av uppgifter utan samtycke</p>
<p>Regeringens förslag: I kreditupplysningsverksamhet skall uppgifter<br>även i fortsättningen fa behandlas utan samtycke av den registrerade.<br>Den registrerade kan inte heller motsätta sig viss behandling av<br>uppgifter eller utlämnande av vissa uppgifter.</p>
<p>Prop. 2000/01:50</p>
<p>Promemorians förslag överensstämmer med regeringens förslag (se<br>promemorian s. 29 f. och 40 f.).</p>
<p>Remissinstanserna: De flesta remissinstanser tillstyrker prome-<br>morians förslag eller lämnar dem utan någon invändning. Datainspek-<br>tionen instämmer i slutsatsen att kreditupplysningsverksamhet måste få<br>bedrivas utan samtycke men anser att den registrerade själv skall ges rätt<br>att bestämma om kreditupplysningar skall lämnas ut om honom eller<br>henne. Sveriges advokatsamfund ifrågasätter om en ordning som tillåter<br>behandling utan samtycke står i överensstämmelse med direktivet.</p>
<p>Skälen för regeringens förslag: Enligt personuppgiftslagen far per-<br>sonuppgifter normalt behandlas bara om den registrerade har lämnat sitt<br>samtycke till behandlingen (10 §). I lagen anges emellertid vissa<br>situationer då behandling far ske utan samtycke. Det gäller om<br>behandlingen är nödvändig bl.a. för att en arbetsuppgift av allmänt<br>intresse skall kunna utföras (10 § d) eller för att ett ändamål som rör ett<br>berättigat intresse hos den personuppgiftsansvarige eller hos tredje man<br>skall kunna tillgodoses (10 § f). I det sistnämnda fallet krävs dessutom att<br>intresset väger tyngre än den registrerades intresse av skydd mot</p>
<p>19</p>
<p>kränkning av den personliga integriteten. Bestämmelserna motsvarar<br>artikel 7 i direktivet.</p>
<p>Kreditupplysningslagen innehåller inte något krav på samtycke för att<br>personuppgifter skall få behandlas i kreditupplysningsverksamhet. Lagen<br>ger inte heller den enskilde möjlighet att motsätta sig viss behandling<br>eller utlämnande av vissa uppgifter.</p>
<p>Det finns ett allmänt intresse att kreditupplysningsverksamhet kan<br>bedrivas effektivt. Om möjligheten att behandla uppgifter i varje enskilt<br>fall var beroende av att ett samtycke hade lämnats, skulle effektiviteten<br>allvarligt hämmas och fördyringar uppkomma. Som regel kan det förut-<br>sättas att en person som t.ex. söker kredit eller förutser behovet av en<br>kredit går med på att uppgifter om honom eller henne behandlas.<br>Resultatet blir många gånger annars att krediten inte beviljas eller ges på<br>väsentligt sämre villkor. Det bör inte heller frånkännas betydelse att<br>enskilda som väljer att inte lämna sitt samtycke till behandling av<br>uppgifter kanske inte alltid inser nackdelarna med detta, nämligen att de<br>riskerar att t.ex. vägras kredit eller nekas hyra en bostad om deras<br>vederhäftighet i ekonomiskt avseende inte kan kontrolleras.</p>
<p>Ett krav på samtycke för att uppgifter om fysiska personer skall få<br>behandlas i kreditupplysningsverksamhet skulle alltså medföra problem,<br>inte bara för kreditupplysningsföretagen utan också för andra närings-<br>idkare och för enskilda. Mot detta måste ställas den enskildes intresse av<br>integritetsskydd. Därvid skall dock beaktas att de uppgifter som behand-<br>las i kreditupplysningsverksamhet som regel kommer från offentliga<br>register och att utlämnandet av uppgifterna till tredje man är reglerat i<br>kreditupplysningslagen. Till exempel får en kreditupplysning om en<br>privatperson inte lämnas ut om det finns anledning att anta att upplys-<br>ningen kommer att användas av någon annan än den som på grund av ett<br>ingånget eller ifrågasatt kreditavtal eller av någon annan liknande anled-<br>ning har behov av upplysningen (9 §). Därtill kommer att vissa inte-<br>gritetskänsliga uppgifter över huvud taget inte får behandlas i kredit-<br>upplysningsverksamhet eller behandlas bara efter medgivande från<br>Datainspektionen (6 §).</p>
<p>I promemorian anses att personuppgifter bör få behandlas i kredit-<br>upplysningsverksamhet utan att den som uppgiften avser har lämnat sitt<br>samtycke till behandlingen. Kreditupplysningsutredningen gjorde samma<br>bedömning (se bet. s. 135 f.). Inte någon av remissinstanserna ger uttryck<br>för motsatt uppfattning. Även regeringen anser att den ordning som<br>gäller i dag är ändamålsenlig och att den om möjligt bör behållas.</p>
<p>Frågan är då om direktivet medger att uppgifter får behandlas utan den<br>enskildes samtycke i kreditupplysningsverksamhet. Advokatsamfundet<br>ifrågasätter om så är fallet. Som framgår ovan är det emellertid i<br>direktivet förutsett att viss behandling av personuppgifter måste få ske<br>utan samtycke. I promemorian görs den bedömningen att de undantag<br>från samtyckeskravet som redogjorts för ovan (se 10 § d och f person-<br>uppgiftslagen) är tillämpliga när det gäller behandling av uppgifter i<br>kreditupplysningsverksamhet. Även Kreditupplysningsutredningen ansåg<br>att direktivet skulle medge detta. Lagrådet har menat att artikel 7 f i<br>direktivet (10 f § i personuppgiftslagen) inte ger erforderligt stöd för en<br>generell föreskrift om att personuppgifter i kreditupplysningsverksamhet<br>får behandlas utan den registrerades samtycke men har godtagit en sådan</p>
<p>Prop. 2000/01:50</p>
<p>20</p>
<p>regel med hänvisning till artikel 7 e (10 d §). Det står klart att det råder<br>delade meningar om hur artikel 7 f skall tolkas. Regeringen konstaterar<br>dock att direktivet i sig, även med Lagrådets synsätt, medger en sådan<br>regel. Direktivet lär då inte heller tillåta att det uppställs ett krav på<br>samtycke.</p>
<p>En annan fråga är om den enskilde bör ges rätt att i framtiden motsätta<br>sig behandling. Direktivet utgår från en sådan rätt, men tillåter medlems-<br>staterna att i nationell lagstiftning meddela avvikande bestämmelser (se<br>artikel 14 samt 12 § personuppgiftslagen). En rätt for den enskilde att<br>motsätta sig behandling är visserligen mindre hämmande från effek-<br>tivitetssynpunkt än ett allmänt krav på samtycke for behandling. Den<br>innebär ändå klara nackdelar för de berörda.</p>
<p>Även den mindre ingripande reglering som Datainspektionen förordar,<br>nämligen att den registrerade skall ges rätt att själv bestämma om<br>kreditupplysningar om honom eller henne skall lämnas ut eller inte, är<br>förenad med nackdelar. I likhet med vad som anförts beträffande sam-<br>tycke finns det en risk för att enskilda som väljer att motsätta sig utläm-<br>nande inte alltid skulle inse nackdelarna med detta. Det har inte heller<br>framkommit något som tyder på att det finnas behov av den förordade<br>regleringen. Därtill kommer, som redan påpekats, att en enskild som t.ex.<br>söker kredit som regel kan förutsättas gå med på att uppgifter om honom<br>eller henne lämnas ut.</p>
<p>Regeringen instämmer således även i dessa avseende i promemorians<br>bedömning. Det bör alltså inte införas någon rätt för den enskilde att<br>motsätta sig viss behandling av uppgifter eller utlämnande av vissa<br>uppgifter.</p>
<p>För att klargöra vad som gäller i förhållande till 10 § personuppgifts-<br>lagen bör en uttrycklig bestämmelse tas in i 5 § kreditupplysningslagen<br>om att upplysningar far behandlas utan den enskildes samtycke. I<br>enlighet med Lagrådets förslag bör dessutom uttryckligen anges att den<br>enskilde inte heller kan motsätta sig behandlingen.</p>
<p>4.4 Känsliga uppgifter m.m.</p>
<p>Regeringens förslag: Uppgifter om hälsa och medlemskap i fack-<br>förening far inte behandlas i kreditupplysningsverksamhet. De sär-<br>skilda reglerna i kreditupplysningslagen om behandling av uppgifter<br>om åtgärder enligt främst det socialrättsliga regelsystemet tas bort.<br>Möjligheten att behandla uppgifter om brott m.m. anpassas till person-<br>uppgiftslagen och dataskyddsdirektivet.</p>
<p>Prop. 2000/01:50</p>
<p>Promemorians förslag överensstämmer med regeringens förslag med<br>den skillnaden att förbudet mot behandling av uppgifter om åtgärder<br>enligt främst det socialrättsliga regelsystemet föreslås behållas och göras<br>absolut (se promemorian s. 32 f.).</p>
<p>Remissinstanserna: De flesta remissinstanser tillstyrker förslagen<br>eller lämnar dem utan någon invändning. Justitiekanslern ifrågasätter om<br>en uppgift om misstanke om brott uppfyller kraven i 9 § personuppgifts-<br>lagen (artikel 6 i direktivet), särskilt kravet att uppgifter skall vara riktiga<br>och nödvändiga. Hovrätten över Skåne och Blekinge är tveksam till om</p>
<p>21</p>
<p>behandlingen av brottmålsdomar m.m. bör regleras i kreditupplys-<br>ningslagen. Kammarrätten i Stockholm ifrågasätter om inte uppgifter om<br>att någon varit föremål för åtgärder av ekonomisk natur enligt social-<br>tjänstlagen bör få behandlas efter tillstånd från Datainspektionen.<br>Finansbolagens Förening och Svenska Inkassoföreningen anser att det<br>bör vara tillåtet att i kreditupplysningar använda uppgifter om hälsa och<br>medlemskap i fackförening, om den berörde samtycker till det. Dun &<br>Bradstreet Sverige Aktiebolag menar att Datainspektionen även i fram-<br>tiden bör kunna medge behandling av uppgifter om hälsa.</p>
<p>Skälen för regeringens förslag: Utgångspunkten för personuppgifts-<br>lagen och direktivet är att personuppgifter skall få behandlas om behand-<br>lingen i det enskilda fallet uppfyller grundläggande krav, som kraven att<br>fler uppgifter än nödvändigt inte får behandlas och att de behandlade<br>uppgifterna skall vara adekvata, relevanta och riktiga (jfr 9 § första<br>stycket e-g personuppgiftslagen). Direktivet innehåller dock bestämmel-<br>ser om förbud mot behandling när det gäller vissa särskilda kategorier av<br>uppgifter vilka typiskt sett är känsliga från integritetssynpunkt. Enligt<br>direktivet gäller sålunda som huvudregel att det skall vara förbjudet att<br>behandla personuppgifter som avslöjar ras, etniskt ursprung, politiska<br>åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening,<br>hälsa och sexualliv (artikel 8.1). Behandling av uppgifter om lagöver-<br>trädelser, brottmålsdomar eller säkerhetsåtgärder skall få utföras endast<br>under kontroll av myndighet eller efter vidtagande av lämpliga skydds-<br>åtgärder (artikel 8.5). Reglerna i artikel 8.1 och 8.5 har sin motsvarighet i<br>13 § resp. 21 § personuppgiftslagen.</p>
<p>Hälsa och medlemskap i fackförening m.m.</p>
<p>I 6 § kreditupplysningslagen finns bestämmelser om känsliga uppgifter.<br>Enligt bestämmelserna får uppgifter om en persons ras, etniska ursprung,<br>politiska uppfattning, religiösa eller filosofiska övertygelse eller sexual-<br>liv inte samlas in, lagras eller lämnas ut i kreditupplysningsverksamhet.<br>Uppgifter om sjukdom, hälsotillstånd eller liknande får samlas in, lagras<br>eller lämnas ut endast med Datainspektionens medgivande. Detsamma<br>gäller uppgifter om att någon misstänks eller har dömts för brott eller har<br>avtjänat straff eller undergått någon påföljd för brott eller har varit<br>föremål för någon åtgärd med stöd av socialtjänstlagen (1980:620), lagen<br>(1990:52) med särskilda bestämmelser om vård av unga, lagen<br>(1988:870) om vård av missbrukare i vissa fall, lagen (1991:1128) om<br>psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, lagen<br>(1993:387) om stöd och service till vissa funktionshindrade, 11-14 §§<br>polislagen (1983:387), lagen (1976:511) om omhändertagande av<br>berusade personer m.m. eller utlänningslagen (1989:529). Datainspek-<br>tionen får lämna medgivande endast om det finns synnerliga skäl.</p>
<p>Begränsningar för behandlingen av känsliga uppgifter utgör bestäm-<br>melser av sådan vikt för kreditupplysningsverksamhet att de även i fort-<br>sättningen bör finnas i kreditupplysningslagen. Det gäller även uppgifter<br>om brottmålsdomar m.m.</p>
<p>Bestämmelserna i 6 § kreditupplysningslagen om känsliga uppgifter är<br>inte helt i samklang med direktivets krav. Till skillnad från direktivet<br>finns inte något allmänt förbud mot behandling av uppgifter om hälsa. I</p>
<p>Prop. 2000/01:50</p>
<p>22</p>
<p>stället gäller att sådana uppgifter far behandlas om Datainspektionen har<br>lämnat sitt medgivande. Inte heller innehåller 6 § någon begränsning för<br>uppgifter om medlemskap i fackförening. I direktivet finns inte något<br>förbud för behandling av uppgifter om sociala och liknande åtgärder.<br>Bestämmelsen om brottsmålsdomar m.m. i 6 § kreditupplysningslagen<br>skiljer sig också från motsvarande reglering i personuppgiftslagen och<br>direktivet.</p>
<p>Som Finansbolagens Förening och Svenska Inkassoföreningen påpekar<br>gäller i och för sig direktivets förbud mot behandling av känsliga<br>personuppgifter inte i de fall där den registrerade har samtyckt till<br>behandlingen, utom om förbudet inte kan upphävas genom samtycke<br>enligt medlemsstatens lagstiftning (artikel 8.2 a). Enligt kreditupplys-<br>ningslagen kan förbudet mot behandling av känsliga uppgifter dock inte<br>brytas igenom av den enskildes samtycke. Att den enskilde samtycker till<br>att t.ex. en uppgift om sjukdom används i kreditupplysningsverksamhet<br>är alltså inte avgörande för om Datainspektionen skall medge att<br>uppgiften får användas. Enligt regeringens mening saknas det anledning<br>att nu ändra på den principen. Det kan tilläggas att uppgifter om hälsa<br>sällan har någon självständig betydelse i kreditupplysningssammanhang.<br>En kreditgivare kan i regel få tillräckliga uppgifter om kreditvärdighet<br>utan att en sådan uppgift lämnas ut. Av promemorian framgår också att<br>det inte har gjorts någon dispensansökan till Datainspektionen i detta<br>hänseende under den tid lagen varit i kraft.</p>
<p>En uppgift om medlemskap i fackförening har hittills, enligt svenskt<br>synsätt, inte ansetts vara så känslig från integritets synpunkt att det skulle<br>motivera särskilda begränsningar i möjligheten att använda uppgiften i<br>kreditupplysningsverksamhet. Det får dock konstateras att direktivet bärs<br>upp av en annan inställning, nämligen att en sådan uppgift kan vara lika<br>ömtålig från integritetssynpunkt som övriga känsliga uppgifter i artikel<br>8.1. Inte heller för sådana uppgifter bör samtycke från den enskilde få<br>avgöra om uppgiften skall få behandlas.</p>
<p>Finansbolagens Förening och Svenska Inkassoföreningen erinrar också<br>om att direktivet ger möjlighet för medlemsstaterna att göra undantag<br>från förbudet om det behövs med hänsyn till ett viktigt allmänt intresse<br>(artikel 8.4). Denna möjlighet lär dock inte kunna utnyttjas för att göra<br>undantag i förbudet mot behandling av känsliga uppgifter i kredit-<br>upplysningsverksamhet.</p>
<p>Mot bakgrund av det anförda föreslår regeringen att 6 § ändras så att<br>uppgifter om hälsa och om medlemskap i fackförening inte i något fall<br>skall få behandlas i kreditupplysningsverksamhet.</p>
<p>Brottmålsdomar m.m.</p>
<p>Bestämmelsen i 6 § om brottmålsdomar m.m. bör anpassas till motsva-<br>rande bestämmelse i personuppgiftslagen (21 §) och alltså omfatta<br>uppgifter om lagöverträdelser som innefattar brott, domar i brottmål,<br>straffprocessuella tvångsmedel och administrativa frihetsberövanden. Av<br>naturliga skäl råder ofta osäkerhet om en uppgift om misstanke om brott.<br>Med anledning av Justitiekanslems synpunkt att det kan ifrågasättas om<br>en sådan uppgift verkligen kan bedömas som riktig och nödvändig bör<br>framhållas att det inte kan uteslutas att sådana uppgifter kan vara av</p>
<p>Prop. 2000/01:50</p>
<p>23</p>
<p>intresse i kreditupplysningssammanhang. Det ankommer på Datainspek-<br>tionen att i enskilda fall ta ställning till när sådana uppgifter får<br>behandlas, varvid inspektionen har att pröva om bl.a. kraven på riktighet<br>och nödvändighet är uppfyllda. Liksom i dag bör Datainspektionens<br>dispensmöjlighet utnyttjas synnerligen restriktivt.</p>
<p>Förbudet mot behandling av uppgifter om lagöverträdelser som inne-<br>fattar brott bör inte heller i fortsättningen hindra att uppgifter om<br>betalningsförsummclser, kreditmissbruk eller näringsförbud behandlas i<br>kreditupplysningsverksamhet.</p>
<p>Regeringen återkommer i annat sammanhang till Bulvanutredningens<br>förslag om möjligheter att i kreditupplysningssammanhang meddela upp-<br>gifter om domar eller godkända strafförelägganden avseende ekonomisk<br>brottslighet (se SOU 1998:47).</p>
<p>Åtgärder enligt socialtjänstlagen m.m.</p>
<p>I promemorian föreslås det ett absolut förbud mot behandling av upp-<br>gifter om att någon har varit föremål för åtgärder enligt socialtjänstlagen<br>och vissa andra lagar. Bakgrunden till förslaget är närmast att sådana<br>uppgifter inte torde ha någon självständig betydelse vid en kredit-<br>bedömning och därmed inte uppfylla de grundläggande kraven på be-<br>handling av personuppgifter i 9 § personuppgiftslagen (artikel 6 i<br>dataskyddsdirektivet). Direktivet är emellertid ett harmoniseringsdirektiv<br>och medger inte att medlemsstaterna föreskriver förbud mot behandling<br>av andra kategorier av personuppgifter än dem i artikel 8. Det är alltså<br>inte möjligt att införa ett absolut förbud mot behandling av uppgifter om<br>att någon har varit föremål för en åtgärd med stöd av socialtjänstlagen,<br>lagen med särskilda bestämmelser om vård av unga m.fl. lagar. Det går<br>inte heller att ha kvar det allmänna förbudet i 6 § vad gäller sådana<br>uppgifter. Regeringen föreslår därför att förbudet upphävs.</p>
<p>Lagrådet har framhållit att ett upphävande av förbudet innebär en<br>försvagning av den enskildes integritetsskydd. Lagrådet har uttalat att<br>beslut enligt socialtjänstlagen och lagen om stöd och service till vissa<br>funktionshindrade kan komma att innehålla viktig information från<br>kreditvärderingssynpunkt och att det inte kommer att finnas någon direkt<br>tillbakahållandc faktor i hanteringen av uppgifterna om behandlingen<br>släpps fri.</p>
<p>Dc aktuella uppgifterna är dock i stor utsträckning sekretessbelagda<br>hos socialnämnderna. Sålunda lämnar socialnämnden normalt inte ut<br>uppgifter om t.ex. socialbidrag. Som Lagrådet har påpekat torde det<br>visserligen i allmänhet inte möta något hinder för ett kreditupplysnings-<br>företag att få tillgång till förvaltningsdomstolarnas avgöranden i de fall<br>socialnämndens beslut överklagas. Enligt regeringens bedömning lär dc<br>aktuella uppgifterna emellertid sällan ha någon självständig betydelse i<br>kreditupplysningssammanhang. En kreditgivare kan som regel fa till-<br>räckliga uppgifter om den omfrågades kreditvärdighet utan att uppgifter<br>om åtgärder enligt t.ex. socialtjänstlagen behöver anges. Det kan mot den<br>bakgrunden ifrågasättas om kraven på t.ex. nödvändighet, adekvans och<br>relevans alls är uppfyllda. Är dessa grundläggande krav inte uppfyllda får<br>uppgifterna inte behandlas. I vissa fall kan dessutom andra bestämmelser<br>göra att en sådan uppgift inte får behandlas eller att den får behandlas</p>
<p>Prop. 2000/01:50</p>
<p>24</p>
<p>först efter medgivande. Att någon har varit föremål för en åtgärd enligt<br>de angivna lagarna kan ibland utgöra en uppgift om administrativt<br>frihetsberövande, t.ex. en uppgift om omhändertagande enligt lagen med<br>särskilda bestämmelser om vård av unga eller en uppgift om förvar enligt<br>utlänningslagen. I så fall far uppgiften inte behandlas utan Datainspek-<br>tionens medgivande, se under föregående rubrik. En åtgärd enligt den<br>sociala lagstiftningen kan ibland anses utgöra en uppgift om hälsa, t.ex.<br>om insatser enligt lagen om stöd och service till vissa funktionshindrade<br>eller om missbruksvård enligt socialtjänstlagen. En sådan uppgift får<br>över huvud taget inte behandlas. Regeringen kommer att på lämpligt sätt<br>följa utvecklingen.</p>
<p>Personnummer</p>
<p>I artikel 8.7 i direktivet ges medlemsstaterna möjlighet att bestämma på<br>vilka villkor ett nationellt identifikationsnummer far behandlas. I 22 §<br>personuppgiftslagen föreskrivs att uppgifter om personnummer får<br>behandlas utan samtycke bara när det är klart motiverat med hänsyn till<br>a) ändamålet med behandlingen, b) vikten av en säker identifiering eller<br>c) något annat viktigt skäl. Bestämmelsen har hämtats från 7 § andra<br>stycket i 1972 års datalag.</p>
<p>Kreditupplysningsutredningen föreslog att det direkt av kreditupplys-<br>ningslagen skulle framgå att registrering av personnummer får ske (se<br>bet. s. 137). Som skäl för att personnummer skulle fa användas angav<br>utredningen att register även i framtiden kommer att bli mycket om-<br>fattande och att det är viktigt att de personer som förekommer i registren<br>kan bli säkert identifierade. Härtill kom, enligt utredningen, att företagen<br>fortlöpande hämtar in uppgifter från olika myndigheter och att det då är<br>nödvändigt att informationen hänförs till rätt person. Även när kredit-<br>upplysningar lämnas ut måste det stå helt klart vilken person som avses.<br>Utredningen ansåg därför att kraven för att få använda personnummer<br>regelmässigt får anses vara uppfyllda i samband med kreditupplys-<br>ningsverksamhet. I promemorian görs samma bedömning, och denna<br>delas överlag av remissinstanserna.</p>
<p>Även regeringens uppfattning är att uppgifter om personnummer bör få<br>behandlas i kreditupplysningsverksamhet. Som anförs i promemorian är<br>det inte motiverat att, vid sidan av regleringen i 22 § personuppgifts-<br>lagen, ta in en bestämmelse om personnummer i kreditupplysningslagen.<br>De förutsättningar för behandling av uppgifter om personnummer som<br>anges i 22 § lär regelmässigt föreligga när uppgifterna behandlas i<br>kreditupplysningsverksamhet.</p>
<p>4.5 Gallring</p>
<p>Regeringens förslag: En allmän gallringsbestämmelse införs som<br>innebär att uppgifter om fysiska personer skall gallras när det inte<br>längre är nödvändigt att bevara uppgifterna med hänsyn till ändamålet<br>med registret. Den nuvarande regeln om att kreditupplysningar om<br>privatpersoner inte far innehålla uppgifter som är äldre än tre år<br>behålls men ges en något annorlunda utformning.</p>
<p>Prop. 2000/01:50</p>
<p>25</p>
<p>Promemorians förslag om en allmän gallringsbestämmelse överens-<br>stämmer med regeringens förslag (se promemorian s. 28 f.).</p>
<p>Remissinstanserna: De flesta remissinstanser tillstyrker prome-<br>morians förslag eller lämnar det utan någon invändning. Hovrätten över<br>Skåne och Blekinge föreslår en annan lydelse på treårsregeln. Data-<br>inspektionen avstyrker förslaget om en allmän gallringsbestämmelse,<br>varvid inspektionen påpekar att förslaget innebär en dubbelreglering på<br>grund av promemorians förslag om grundläggande krav (se avsnitt 4.2).<br>Finansbolagens Förening och Svenska Inkassoföreningen ifrågasätter<br>behovet av gallringsregler i kreditupplysningslagen.</p>
<p>1 en särskild framställning begär Upplysningscentralen UC AB och<br>Dun & Bradstreet Sverige AB att den nuvarande lydelsen av treårsregeln<br>skall behållas och att regeringen tydliggör att de register som förs av<br>kreditupplysningsföretag uteslutande för konstruktion av modeller för<br>kreditriskbedömning inte omfattas av kreditupplysningslagens bestäm-<br>melser.</p>
<p>Skälen för regeringens förslag och bedömning: Direktivet och<br>personuppgiftslagen innehåller en allmän gallringsregel. Personuppgifter<br>far inte lagras under längre tid än som är nödvändigt för de ändamål för<br>vilka uppgifterna samlades in eller senare behandlades (artikel 6.1 e).<br>Därefter skall uppgifterna gallras. Motsvarande regel finns i 9 § första<br>stycket i personuppgiftslagen.</p>
<p>Bestämmelserna om gallring i kreditupplysningsverksamhet finns i dag<br>i 8 § kreditupplysningslagcn. Där anges att kreditupplysningar om<br>fysiska personer som inte är näringsidkare inte får innehålla uppgifter om<br>omständigheter eller förhållanden som är av betydelse för bedömningen<br>av personens vederhäftighet i ekonomiskt hänseende, om tre år förflutit<br>från utgången av det år då omständigheten inträffade eller förhållandet<br>upphörde (treårsregeln). Uppgifter som inte får lämnas ut skall gallras ur<br>register som används i kreditupplysningsverksamhet. Gallringen skall<br>göras så snart det kan ske och i vart fall innan en upplysning lämnas om<br>den som uppgiften avser. Treårsregeln omfattar inte uppgifter om fysiska<br>personer som är näringsidkare.</p>
<p>I enlighet med promemorians bedömning bör gallring av uppgifter i<br>kreditupplysningsverksamhet även i fortsättningen regleras av kreditupp-<br>lysningslagen.</p>
<p>Treårsregeln är tydlig och har fungerat väl. Efter tre år får det anses att<br>uppgifterna inte uppfyller kraven på relevans, adekvans, nödvändighet<br>och aktualitet när det gäller fysiska personer som inte är näringsidkare<br>(se 9 § personuppgiftslagen och artikel 6 i dataskyddsdirektivet). Treårs-<br>regeln i 8 § får sålunda anses förenlig med direktivet och kan, som<br>föreslås i promemorian, behållas. Treårsregeln i 8 § avviker dock från<br>gallringsrcgeln i direktivet och personuppgiftslagen eftersom den bara<br>gäller för privatpersoner och inte omfattar de fysiska personer som är<br>näringsidkare. Enligt sin lydelse sträcker sig direktivets och person-<br>uppgiftslagens gallringsregel dessutom längre än treårsregeln genom att<br>föreskriva att uppgifter alltid skall gallras så snart det inte längre är<br>nödvändigt att lagra dem, vilket kan vara inom en kortare tid än tre år.<br>Som föreslås i promemorian bör treårsregeln därför kompletteras med en<br>allmän bestämmelse om gallring som i sak motsvarar gallringsregeln i<br>personuppgiftslagen och direktivet. Därmed kommer gallringsreglema</p>
<p>Prop. 2000/01:50</p>
<p>26</p>
<p>för kreditupplysningsverksamhet att finnas samlade i kreditupplysnings-<br>lagen. Till skillnad från gallringsregeln i personuppgiftslagen och<br>direktivet bör den allmänna gallringsbestämmelsen i kreditupplysnings-<br>lagen inte vara begränsad till sådana uppgifter som behandlas automa-<br>tiserat eller ingår i ett manuellt register som är sökbart utifrån särskilda<br>kriterier. Som föreslås i promemorian bör bestämmelsen i stället omfatta<br>alla uppgifter.</p>
<p>Införandet av en allmän gallringsbestämmelse aktualiserar frågan hur<br>treårsregeln bör utformas. Hovrätten över Skåne och Blekinge anmärker<br>att det är oklart hur den nuvarande utformningen förhåller sig till direk-<br>tivet. Om kreditupplysningar avseende fysiska personer inte får innehålla<br>uppgifter om ekonomiska förhållanden som är äldre än tre år, får enligt<br>hovrätten antas att sådana gamla uppgifter inte har betydelse för be-<br>dömandet av någons ekonomiska kreditvärdighet. Uppgifterna är alltså<br>inte nödvändiga och de borde därmed inte få lagras. Enligt den nu-<br>varande treårsregeln är det emellertid tillräckligt att gallring sker innan<br>en upplysning lämnas ut, varför gamla uppgifter kan komma att lagras en<br>betydligt längre tid än tre år. Hovrätten föreslår att när det gäller fysiska<br>personer som inte är näringsidkare, skall en uppgift gallras senast när tre<br>år har förflutit från utgången av året då den omständighet inträffade eller<br>det förhållande upphörde som avses med uppgiften. Treårsregeln bör<br>lämpligen utformas i enlighet med hovrättens förslag.</p>
<p>Med anledning av framställningen från Upplysningscentralen UC AB<br>och Dun & Bradstreet Sverige AB skall tilläggas att treårsregeln inte<br>heller i dag medger att uppgifter bevaras under någon längre tid. Efter det<br>att tidsfristen har gått ut skall gallring ske så snart som möjligt. Kredit-<br>upplysningslagen ålägger den som bedriver verksamheten endast att vid-<br>ta skäliga åtgärder för att utreda förhållandet och att rätta uppgifter som<br>förekommer i register (12 §). Den föreslagna skärpningen av gallrings-<br>regeln medför ingen ändring av utrednings- och rättelseskyldigheten.<br>Den nya treårsregeln utesluter givetvis inte att det enligt andra regler kan<br>vara möjligt att bevara uppgifterna, t.ex. för statistiska ändamål.</p>
<p>En fråga som kommit upp är hur länge en uppgift om skuldsanering<br>bör kvarstå innan den gallras ur kreditupplysningsregister. Med de<br>förslag som läggs fram i denna proposition kommer den att kvarstå som<br>längst tre år efter det år då skuldsaneringen avslutades. Frågan kommer<br>att behandlas i en kommande departementspromemoria om skuld-<br>sanering.</p>
<p>4.6 Information till den registrerade</p>
<p>Regeringens förslag: Bestämmelserna om registerbesked och kredit-<br>upplysningskopia behålls i kreditupplysningslagen men anpassas till<br>direktivet och personuppgiftslagen. Det innebär att informations-<br>skyldigheten utökas. Fysiska personer har rätt att en gång per år fa ett<br>registerbesked gratis. En begäran om registerbesked som avser en<br>fysisk person skall göras skriftligen och vara egenhändigt under-<br>tecknad.</p>
<p>Prop. 2000/01:50</p>
<p>27</p>
<p>Promemorians förslag: Informationsskyldigheten när det gäller Prop. 2000/01:50<br>fysiska personer skall inte regleras i kreditupplysningslagen utan följa<br>personuppgiftslagen. Härigenom kan Datainspektionen föreskriva att det<br>nuvarande systemet med kreditupplysningskopia skall fortsätta att gälla<br>(se promemorian s. 38 f.).</p>
<p>Kreditupplysningsutredningens förslag om krav på skriftlighet för<br>begäran om registerbesked överensstämmer med regeringens (se<br>betänkandet s. 189).</p>
<p>Remissinstanserna: Remissutfallet är blandat. Många remissinstanser<br>instämmer i promemorians förslag eller lämnar det utan någon invänd-<br>ning. Flera remissinstanser är emellertid kritiska. Kammarrätten i<br>Stockholm framhåller att regeln om kreditupplysningskopia innebär en<br>avvikelse från personuppgiftslagen och att den därför bör finnas kvar i<br>kreditupplysningslagen. Datainspektionen anser att de nuvarande infor-<br>mationsbestämmelsema i kreditupplysningslagen bör vara kvar och<br>motsätter sig promemorians förslag. Även Riksskatteverket (RSV) anser<br>att rätten till registerbesked och kreditupplysningskopia bör regleras i<br>kreditupplysningslagen. Finansbolagens Förening och Svenska Inkasso-<br>föreningen påpekar att en kreditupplysningskopia enligt kreditupplys-<br>ningslagen och en information om insamlad information enligt person-<br>uppgiftslagen inte är fullt jämförbara. Föreningarna ifrågasätter riktig-<br>heten av promemorians slutsats att en fysisk person med stöd av person-<br>uppgiftslagen kommer att ha rätt till kreditupplysningskopia. Remiss-<br>instanserna tillstyrker utredningens förslag om krav på skriftlighet eller<br>lämnar det utan någon invändning.</p>
<p>Skälen för regeringens förslag: Enligt direktivet skall den registre-<br>rade fa information om behandling av uppgifter (artiklarna 10 och 11).<br>Informationen skall omfatta åtminstone a) uppgift om den register-<br>ansvariges och dennes eventuella företrädares identitet, b) uppgift om<br>ändamålen med behandlingen och c) all ytterligare information som är<br>nödvändig lör att tillförsäkra den registrerade en korrekt behandling,<br>såsom information om mottagarna av uppgifterna. Direktivet innehåller<br>även regler om skyldighet att efter ansökan lämna viss information<br>(artikel 12). Den registrerade skall ha rätt att från den registeransvarige<br>utan hinder och med rimliga intervall samt utan större tidsutdräkt eller<br>kostnader få bekräftelse på om uppgifter som rör honom eller henne<br>behandlas eller inte. Det gäller också information om ändamålen med<br>behandlingen, de berörda uppgifiskategorierna, mottagarna eller till vilka<br>kategorier av mottagare som uppgifter lämnas ut, vilka uppgifter som<br>behandlas och varifrån uppgifterna kommer. I 23-26 §§ personuppgifts-<br>lagen finns motsvarande reglering. Datainspektionen får i fråga om auto-<br>matiserad behandling av personuppgifter meddela närmare föreskrifter<br>om vilken information som skall lämnas till den registrerade och hur<br>informationen skall lämnas (13 § personuppgifisförordningen<br>[1998:1191]).</p>
<p>För kreditupplysningsverksamhet regleras den registrerades rätt till<br>information efter begäran i 10 § kreditupplysningslagen. Bestämmelserna<br>där innebär att den registrerade har rätt att mot skälig avgift få skriftligt<br>besked om huruvida det finns uppgifter lagrade och vad de i så fall har<br>for innehåll (registerbesked). Enligt 11 § skall upplysningar lämnas om</p>
<p>28<br></p>
<p>de uppgifter, omdömen och råd som kreditupplysningen innehållit och Prop. 2000/01:50<br>om vem som har begärt upplysningen (kreditupplysningskopia).</p>
<p>Att den enskilde far information om vilka upplysningar som lämnas ut<br>och till vem de lämnas är värdefullt av flera skäl, bl.a. for att det ger den<br>enskilde möjlighet att kontrollera att de uppgifter som lämnas är<br>korrekta, adekvata och relevanta. Informationsreglema utgör en av<br>grundvalarna for kreditupplysningslagen. Som bl.a. Kammarrätten i<br>Stockholm och Datainspektionen framhåller bör informationsskyldig-<br>heten även i fortsättningen regleras av kreditupplysningslagen och inte av<br>personuppgiftslagen.</p>
<p>Bestämmelserna i 10 och 11 §§ kreditupplysningslagen bör dock<br>ändras så att de säkert uppfyller direktivets krav på informations-<br>skyldighet. Ändringarna bör göras efter mönster av motsvarande<br>bestämmelser i personuppgiftslagen. Sålunda bör i 10 § anges att ett<br>registerbesked skall innehålla information om vilka uppgifter som<br>behandlas, varifrån uppgifter om en fysisk person har hämtats, for vilket<br>ändamål behandlingen görs och till vilka mottagare uppgifter lämnas. I<br>11 § bör anges att en kreditupplysningskopia skall innehålla information<br>om vem som bedriver kreditupplysningsverksamheten, för vilket<br>ändamål behandlingen görs, vilken möjlighet som finns att fa felaktiga<br>uppgifter rättade, vilka uppgifter, omdömen och råd som upplysningen<br>innehåller och vem som begärt upplysningen. Liksom i dag bör juridiska<br>personer ha samma rätt till registerbesked och handelsbolag och<br>kommanditbolag dessutom ha samma rätt till kreditupplysningskopia<br>som fysiska personer har (jfr prop. 1996/98:65 och bet. 1996/97:FiU23).<br>Skyldigheten att i registerbesked ange varifrån uppgifter har hämtats bör<br>dock inte heller i fortsättningen gälla för uppgifter om juridiska personer.</p>
<p>För att enskildas rätt till registerbesked inte skall försämras bör det i<br>kreditupplysningslagen föreskrivas att fysiska personer har rätt att en<br>gång per år få ett registerbesked gratis. Därutöver bör var och en, liksom<br>i dag, ha rätt att få registerbesked mot skälig avgift.</p>
<p>Det finns anledning att göra en ändring i 10 § kreditupplysningslagen<br>som inte har samband med direktivet. Av Kreditupplysningsutredningens<br>betänkande framgår att det har förekommit att registerbesked begärts av<br>någon annan än den som avses med uppgifterna. Ett krav på skriftlighet<br>och underskrift - vilket direktivet medger - kan verka återhållande på<br>benägenheten att obehörigen begära utdrag om andra personer och kan<br>därmed stärka integritetsskyddet. Som utredningen föreslår bör en<br>begäran om information som avser en fysisk person därför framställas<br>skriftligen och vara egenhändigt undertecknad. I enlighet med utred-<br>ningens bedömning är det inte motiverat att ställa samma krav när det<br>gäller registerbesked om juridiska personer.</p>
<p>4.7 Rättelse</p>
<p>Regeringens förslag: Bestämmelserna om rättelse av uppgifter skall<br>omfatta inte endast felaktiga och missvisande uppgifter utan även<br>uppgifter som annars har behandlats i strid med lagen.</p>
<p>29</p>
<p>Promemorians bedömning: De nuvarande bestämmelserna uppfyller<br>direktivets krav (se promemorian s. 44).</p>
<p>Remissinstanserna: Hovrätten över Skåne och Blekinge föreslår att<br>bestämmelserna om rättelse formuleras i enlighet med motsvarande<br>bestämmelser i personuppgiftslagen. I övrigt instämmer remissinstan-<br>serna i promemorians bedömning eller lämnar den utan någon<br>invändning.</p>
<p>Skälen för regeringens förslag: Enligt direktivet skall en registrerad<br>ha rätt att få sådana uppgifter som inte behandlats på riktigt sätt rättade,<br>utplånade eller blockerade, särskilt om dessa är felaktiga eller ofull-<br>ständiga (artikel 12 b). Om uppgifterna har lämnats ut till någon, skall<br>den registeransvarige underrätta denne om åtgärden, under förutsättning<br>att en underrättelse inte är omöjlig eller innebär oproportionerligt stor<br>ansträngning (artikel 12 c). Bestämmelserna har genomförts i 28 §<br>personuppgiftslagen.</p>
<p>Frågan om rättelse av uppgifter i kreditupplysningsverksamhet regleras<br>i 12 § krcditupplysningslagen. Bestämmelserna innebär dels en under-<br>söknings- och korrigeringsskyldighet, dels en underrättelseskyldighet för<br>den som driver kreditupplysningsverksamhet.</p>
<p>Bestämmelser om rättelse är så viktiga för kreditupplysningsverk-<br>samhet att de även i fortsättningen bör finnas i kreditupplysningslagen.<br>Bestämmelserna i 12 § kreditupplysningslagen uppfyller i stort sett<br>direktivets krav men bör i ett avseende anpassas till direktivet och<br>personuppgi (Islägen. Som Hovrätten över Skåne och Blekinge påpekar<br>täcker 12 § rättelse av felaktiga uppgifter men inte själva behandlingen<br>av uppgifterna. Bestämmelserna i 12 § reglerar sålunda inte frågan hur en<br>registrerad skall få en uppgift utplånad som i och för sig är korrekt men<br>som ändå inte får behandlas enligt kreditupplysningslagen, t.ex. en<br>uppgift om hälsa, medlemskap i fackförening eller någon annan uppgift<br>som över huvud taget inte får behandlas (jfr avsnitt 4.4). Bestämmelserna<br>bör därför ändras så att de omfattar inte bara oriktiga och missvisande<br>uppgifter utan i likhet med 28 § personuppgiftslagen även gäller<br>uppgifter som annars har behandlats i strid med lagen, t.ex. en känslig<br>uppgift som har lagrats trots att det inte är tillåtet.</p>
<h2>5 Flödesinformation</h2>
<p>Regeringens bedömning: Det finns inte skäl att ändra kreditupplys-<br>ningslagen för att möjliggöra en ökad användning av uppgifter om<br>näringsidkare.</p>
<p>Datainspektionens bedömning överensstämmer med regeringens.</p>
<p>Remissinstanserna: De flesta remissinstanser instämmer i Data-<br>inspektionens bedömning eller lämnar den utan någon invändning.<br>Svensk Handel, Upplysningscentralen UC Aktiebolag, Finansbolagens<br>Förening och Svenska Inkassoföreningen anser att s.k. flödesuppgifter<br>alltid skall 11 ingå i kreditupplysningar.</p>
<p>Skälen för regeringens bedömning: Enligt de allmänna kraven på<br>kreditupplysningsverksamhet i 5 § kreditupplysningslagen skall verk-<br></p>
<p>Prop. 2000/01:50</p>
<p>30</p>
<p>samheten bedrivas så att den inte leder till otillbörligt intrång i personlig<br>integritet genom innehållet i de upplysningar som förmedlas eller på<br>annat sätt eller till att oriktiga uppgifter lagras eller lämnas ut. I<br>propositionen föreslås vidare att personuppgiftslagens grundläggande<br>krav på behandling av personuppgifter skall gälla i kreditupplysnings-<br>verksamhet (se avsnitt 4.2). Bestämmelserna är tillämpliga även på<br>uppgifter om fysiska personer som är näringsidkare.</p>
<p>I olika sammanhang har kritik framförts mot att Datainspektionen vid<br>tillämpning av 5 § kreditupplysningslagen i flera fall inte tillåtit använd-<br>ning av uppgifter om vidtagna inkassoåtgärder eller uppgifter ur företags<br>kundreskontra (s.k. flödesinformation) i kreditupplysningar om närings-<br>idkare. Kritiken kom fram även i samband med behandlingen av den<br>senaste propositionen med förslag till ändringar i kreditupplysningslagen<br>(prop. 1996/97:65). Vid sin behandling av propositionen anförde finans-<br>utskottet i sitt av riksdagen godkända betänkande att regeringens fortsatta<br>överväganden av frågan inte borde föregripas (se bet. 1996/97:FiU23).<br>Med anledning av kritiken gav regeringen i uppdrag åt Datainspektionen<br>att utreda vilka uppgifter om näringsidkare som bör få användas i<br>kreditupplysningar. Datainspektionen skulle bedöma förutsättningarna<br>för en ökad tillgång till uppgifter om näringsidkare i kreditupplysningar<br>och väga behovet mot främst riskerna för att missvisande eller oriktiga<br>uppgifter används i kreditupplysningssammanhang. De uppgifter som<br>avsågs var huvudsakligen uppgifter om inkassoåtgärder vidtagna av<br>företag och information ur företags kundreskontror.</p>
<p>I sin rapport till regeringen anser Datainspektionen att det inte finns<br>skäl till några lagändringar. Datainspektionen uttalar att information om<br>inkassoåtgärder vidtagna av företag liksom information om leverantörs-<br>skulder och betalningsbeteende ur företags kundreskontra visserligen kan<br>utgöra tidiga indikationer på bristande betalningsförmåga eller betal-<br>ningsovilja. Dessa indikationer kan enligt Datainspektionen därför vara<br>av viss betydelse för en kreditgivare som skall bilda sig en uppfattning<br>om en näringsidkares framtida betalningsbeteende. Datainspektionen<br>framhåller att detta emellertid förutsätter att uppgifterna är av god<br>kvalitet och att näringsidkaren informeras om att sådana uppgifter<br>översänds till kreditupplysningsföretagen för att ge näringsidkaren<br>tillfälle att rätta eventuellt felaktiga eller missvisande uppgifter.</p>
<p>Datainspektionen påpekar vidare att den i två beslut har öppnat för<br>möjligheterna att under vissa förutsättningar registrera sådan information<br>som tidigare inte tillåtits. Det ena beslutet avser en statistisk samman-<br>ställning av den sammanvägda informationen från olika fakturor beträf-<br>fande en juridisk person. Det andra beslutet avser registrering och<br>utlämnande av uppgifter om gäldenärers sammanlagda skuldsaldon hos<br>kronofogdemyndigheterna. Som skäl för att Datainspektionen inte har<br>ansett sig kunna gå längre anförs att det finns en ovilja hos företag att<br>lämna ut fullständiga uppgifter ur kundreskontra eftersom företagshem-<br>ligheter skulle kunna avslöjas och att tystnadsplikt föreligger i inkasso-<br>verksamhet enligt 11 § inkassolagen (1974:182) beträffande enskildas<br>personliga förhållanden och yrkes- eller affärshemligheter. Likaså<br>framhålls att materialet inte skulle bli representativt eftersom det torde<br>vara omöjligt att inhämta information från samtliga företag och<br>inkassobolag. Datainspektionen anmärker också att den vid sin ärende-</p>
<p>Prop. 2000/01:50</p>
<p>31</p>
<p>hantering har konstaterat att informationen redan idag är missvisande<br>samt understryker att felaktig gäldenärsidentifikation är ett mycket<br>vanligt problem i inkassoverksamhet. Slutsatsen dras att detta problem<br>kan vara ännu större i företagens kundreskontra.</p>
<p>De flesta remissinstanserna, däribland kreditupplysningsföretaget Dun<br>& Bradstreet Sverige Aktiebolag, delar Datainspektionens bedömning att<br>lagen inte bör ändras för att ge möjlighet till ökad tillgång till uppgifter<br>om näringsidkare.</p>
<p>Regeringen konstaterar att det är viktigt att kreditupplysningar baseras<br>på ett så fylligt underlag som möjligt. Det måste självfallet eftersträvas<br>att den information som lämnas är korrekt och rättvisande, men det får<br>inom företagssektorn accepteras att kreditupplysningarna innehåller<br>uppgifter som är behäftade med en viss osäkerhet. I kreditupplys-<br>ningslagen har således inte ställts upp några särskilda begränsningar i<br>möjligheten att använda uppgifter om betalningsförsummelser och<br>kreditmissbruk beträffande näringsidkare. Exempelvis kan uppgifter om<br>ansökningar om betalningsförelägganden användas. När det gäller just<br>flödesinformation är det dock viktigt att hålla i minnet att informationen<br>som regel grundar sig på ensidiga påståenden. Av Datainspektionens<br>rapport framgår att sådan information ofta är oriktig eller missvisande,<br>bl.a. på grund av felaktig gäldenärsidentifikation och administrativa<br>misstag. Sveriges Inkassoorganisation betonar också risken för att för-<br>hållandevis stora mängder felaktig information kommer att lämnas ut om<br>förutsättningarna ökas för tillgång till uppgifter om näringsidkare i<br>kreditupplysningar. Enligt organisationen blir de flesta felaktigheter i<br>reskontror rättade först på inkassostadict, och det påpekas att företag i<br>regel saknar tillförlitliga rutiner för att identifiera kunderna korrekt. Även<br>Riksskatteverket är kritiskt mot kvaliteten på flödesinformationen och<br>anför att en stor del av anspråken i den summariska processen är tvistiga<br>och att osäkerheten på inkasso- och reskontrastadiet är ännu större.<br>Visserligen finns det, som Finansbolagens Förening påpekar,.möjligheter<br>att rätta felaktiga uppgifter i efterhand, men detta kräver ofta omfattande<br>utredningar och tillgång till bakomliggande material, t.ex. reskontror och<br>köpeavtal.</p>
<p>Kraven i 5 § kreditupplysningslagen och 9 § personuppgiftslagen ger<br>goda garantier för att uppgifter i kreditupplysningar håller en acceptabel<br>kvalitet och grundas på ett tillräckligt stort och representativt urval.<br>Samtidigt går det, vilket Datainspektionens rapport ger vid handen, att<br>utforma system för behandling av flödesinformation som uppfyller<br>kraven.</p>
<p>Med hänvisning till det anförda gör regeringen bedömningen att det<br>inte finns skäl att ändra krcditupplysningslagen för att möjliggöra ökad<br>användning av uppgifter om näringsidkare.</p>
<p>Prop. 2000/01:50</p>
<h2>6 Ikraftträdande- och övergångsbestämmelser</h2>
<p>Regeringens förslag: Lagändringarna skall träda i kraft den 1 april<br>2001. En klargörande övergångsbestämmelse införs.</p>
<p>32</p>
<p>Promemorians bedömning: Några särskilda övergångsbestämmelser Prop. 2000/01:50<br>är inte nödvändiga (se promemorian s. 46 f.).</p>
<p>Remissinstanserna: De flesta remissinstanser tillstyrker forslaget eller<br>lämnar det utan någon invändning. Några remissinstanser, bl.a. Data-<br>inspektionen, menar att promemorians forslag kan kräva övergångs-<br>bestämmelser. Svenska Bankföreningen och Svenska Fondhandlare-<br>föreningen föreslår att ändringarna skall träda i kraft forst den 1 oktober<br>2001.</p>
<p>Skälen for regeringens forslag: De föreslagna lagändringarna bör<br>träda i kraft så snart som möjligt. Med beaktande av den tid som kommer<br>att gå innan riksdagen kan fatta beslut i lagstiftningsärendet är den 1 april<br>2001 en lämplig tidpunkt för ikraftträdandet.</p>
<p>Några remissinstanser ifrågasätter om det inte behövs särskilda<br>övergångsbestämmelser. Svenska Bankföreningen och Finansbolagens<br>Förening påpekar att det saknas anledning att göra bestämmelser som<br>genomför dataskyddsdirektivet tillämpliga på kreditupplysningsverk-<br>samhet tidigare än för annan verksamhet. För personuppgiftslagen gäller<br>nämligen särskilda övergångsbestämmelser, bl.a. i fråga om sådan<br>behandling av personuppgifter som har påbörjats före ikraftträdandet den<br>24 oktober 1998. Enligt dessa övergångsbestämmelser skall för sådan<br>behandling inte personuppgiftslagen utan 1973 års datalag tillämpas till<br>och med den 30 september 2001.</p>
<p>Förslaget att personuppgiftslagens grundläggande krav på behandling<br>av personuppgifter skall gälla också i kreditupplysningsverksamhet (se<br>avsnitt 4.2) innebär att kraven skall tillämpas bara om personuppgifts-<br>lagen är tillämplig. Om personuppgiftslagen enligt sina övergångs-<br>bestämmelser inte är tillämplig, skall kraven alltså inte tillämpas. Som<br>Lagrådet har föreslagit bör en uttrycklig övergångsbestämmelse införas<br>där detta klargörs. I detta avseende blir direktivets regler alltså inte<br>tillämpliga tidigare på kreditupplysningsverksamhet än i enlighet med<br>reglerna i personuppgiftslagen.</p>
<p>Som anförs i promemorian finns det inte något behov av övergångs-<br>reglering för den föreslagna bestämmelsen om att uppgifter om fysiska<br>personer får samlas in endast för kreditupplysningsändamål. Detsamma<br>gäller för bestämmelserna om att personuppgifter i kreditupplysnings-<br>verksamhet får behandlas utan samtycke och att den enskilde inte heller<br>kan motsätta sig en behandling. Inte heller övriga ändringar kräver några<br>övergångsbestämmelser, utan även de bör kunna tillämpas från och med<br>lagens ikraftträdande. Det föreslås således inte några övergångsbestäm-<br>melser.</p>
<h2>7 Ekonomiska konsekvenser av förslagen</h2>
<p>Regeringens förslag i detta ärende innebär ett genomförande av data-<br>skyddsdirektivet.</p>
<p>Förslagen i propositionen bedöms, bland myndigheter, främst påverka<br>Datainspektionen. Eftersom det dock inte handlar om några nya uppgifter<br>bedöms inspektionen kunna utföra uppgifter med anledning av<br>lagändringarna inom ramen för befintliga resurser. Inte heller i övrigt</p>
<p>2 Riksdagen 2000/01. 1 saml. Nr 50<br></p>
<p>torde de nya reglerna medföra några beaktansvärda kostnader för det Prop. 2000/01:50<br>allmänna.</p>
<h2>8 Författningskommentar</h2>
<p>Förslaget till lag om ändring i kreditupplysningslagen</p>
<p>5§</p>
<p>Kreditupplysningsverksamhet skall bedrivas så att den inte leder till otillbörligt intrång i<br>personlig integritet genom innehållet i de upplysningar som förmedlas eller på annat sätt<br>eller till att oriktiga eller missvisande uppgifter lagras eller lämnas ut. För sådan<br>behandling av personuppgifter som omfattas av personuppgiftslagen (1998:204) gäller i<br>stället 9 § första stycket a, b och d-h den lagen.</p>
<p>Uppgifter om fysiska personer får samlas in endast för kreditupplysningsändamål.</p>
<p>Vid helt eller delvis automatiserad behandling av uppgifter om Juridiska personer skall<br>den som bedriver kreditupplysningsverksamhet vidta lämpliga tekniska och organisatoriska<br>säkerhetsåtgärder för att hindra att behandlingen sker på ett otillåtet sätt och att<br>uppgifterna utsätts för otillåten insyn. Bestämmelser om säkerheten vid behandling av<br>personuppgifter finns i 30-32 §§ personuppgiftslagen.</p>
<p>Utan hinder av 10 § personuppgiftslagen får personuppgifter behandlas utan samtycke i<br>kreditupplysningsverksamhet. Den registrerade kan inte heller motsätta sig behandlingen.</p>
<p>Bestämmelsen i andra stycket tillämpas inte i den utsträckning det skulle strida mot<br>bestämmelserna i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen.</p>
<p>(Jfr 5 § i promemorians förslag och 5 § tredje och fjärde styckena<br>Kreditupplysningsutredningens förslag.)</p>
<p>Paragrafen innehåller bestämmelser om bedrivande av kreditupplys-<br>ningsverksamhet. Tillägget till första stycket innebär att vissa grund-<br>läggande regler i personuppgiftslagen gäller när uppgifter behandlas i<br>kreditupplysningsverksamhet. Andra stycket, som anger för vilket ända-<br>mål uppgifter får samlas in, är nytt. Även tredje stycket om datasäkerhet,<br>fjärde stycket om samtycke och femte stycket om förhållandet till tryck-<br>frihetsförordningen och yttrandefrihetsgrundlagen är nya. Frågorna<br>behandlas i avsnitt 4.2 och 4.3.</p>
<p>Första stycket</p>
<p>Första stycket första meningen anger allmänna krav på kreditupplys-<br>ningsverksamhet. Verksamheten skall bedrivas så att den inte leder till<br>otillbörligt intrång i personlig integritet genom innehållet i de upplys-<br>ningar som förmedlas eller på annat sätt eller till att oriktiga eller<br>missvisande uppgifter lagras eller lämnas ut.</p>
<p>I 9 § personuppgiftslagen finns grundläggande krav på behandling av<br>personuppgifter. I andra meningen klargörs att 9 § första stycket a, b och<br>d-h personuppgiftslagen gäller för sådan behandling av personuppgifter i<br>kreditupplysningsverksamhet som omfattas av personuppgiftslagen. Det<br>innebär att de allmänna kraven i första meningen inte skall tillämpas på<br>behandlingen om dessa bestämmelser i personuppgiftslagen är tillämp-<br>liga. De allmänna kraven i första meningen gäller för de fall som inte<br>omfattas av 9 § personuppgiftslagen, t.ex. för behandling av uppgifter om<br></p>
<p>34</p>
<p>juridiska personer och för sådan behandling av personuppgifter som inte<br>omfattas av personuppgiftslagen (jfr 5 § personuppgiftslagen).</p>
<p>Bestämmelserna i 9 § första stycket c (ändamål) och i (gallring)<br>personuppgiftslagen gäller inte i kreditupplysningsverksamhet, utan i<br>stället tillämpas 5 § andra stycket resp. 8 § kreditupplysningslagen.</p>
<p>Andra stycket</p>
<p>Andra stycket anger att uppgifter om fysiska personer får samlas in<br>endast för kreditupplysningsändamål. Med kreditupplysningsändamål<br>avses bedömning av någons kreditvärdighet eller vederhäftighet i övrigt i<br>ekonomiskt hänseende (se 2 § första stycket). Det innebär att de<br>uppgifter som samlas in skall vara relevanta för en kreditbedömning eller<br>annan ekonomisk riskbedömning. Bestämmelsen gäller inte för uppgifter<br>om juridiska personer.</p>
<p>Tredje stycket</p>
<p>I tredje stycket finns bestämmelser om datasäkerhet vid behandling av<br>uppgifter om juridiska personer. Vid helt eller delvis automatiserad<br>behandling av sådana uppgifter skall den som bedriver kreditupplys-<br>ningsverksamheten vidta lämpliga tekniska och organisatoriska säker-<br>hetsåtgärder för att hindra att behandlingen sker på ett otillåtet sätt och<br>att uppgifterna utsätts för otillåten insyn. Vilka säkerhetsåtgärder som<br>skall vidtas beror på arten av de uppgifter som skall skyddas och de<br>risker som behandlingen kan innebära. Uttrycket ”helt eller delvis<br>automatiserad” är hämtat från personuppgiftslagen (se 5 § första stycket<br>den lagen). Med behandling av uppgifter avses detsamma som i person-<br>uppgiftslagen (jfr definitionen i 3 § den lagen). Av 4 § andra stycket<br>följer att Datainspektionen far besluta om villkor för säkerheten.</p>
<p>Bestämmelser om datasäkerhet vid behandling av uppgifter om fysiska<br>personer finns i 30-32 §§ personuppgiftslagen.</p>
<p>Fjärde stycket</p>
<p>I fjärde stycket första meningen sägs uttryckligen att uppgifter får<br>behandlas utan den registrerades samtycke. Det innebär att uppgifter om<br>fysiska personer får behandlas i kreditupplysningsverksamhet även om<br>den som avses med uppgiften inte har samtyckt till det. Bestämmelsen<br>gäller i stället för 10 § personuppgiftslagen. I andra meningen klargörs<br>att den registrerade inte heller har rätt att motsätta sig en sådan<br>behandling. Bestämmelsen har införts på förslag av Lagrådet.</p>
<p>Femte stycket</p>
<p>Femte stycket innehåller en upplysning om att ändamålsbestämmelsen i<br>andra stycket inte får tillämpas i den utsträckning det skulle strida mot<br>bestämmelserna i tryckfrihetsförordningen eller yttrandefrihetsgrund-<br>lagen (jfr 7 § personuppgiftslagen). Det innebär att ändamålsbestäm-<br>melsen inte gäller i den mån den skulle strida mot anskaffarskyddet i<br></p>
<p>Prop. 2000/01:50</p>
<p>35</p>
<p>1 kap. 1 § fjärde stycket tryckfrihetsförordningen och 1 kap. 2 § yttrande- Prop. 2000/01:50<br>frihetsgrundlagen.</p>
<h3>6§</h3>
<p>Uppgifter om en persons ras, etniska ursprung, politiska uppfattning, religiösa eller<br>filosofiska övertygelse, medlemskap i fackförening, halsa eller sexualliv får inte behandlas<br>i kreditupplysningsverksamhet.</p>
<p>Uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella<br>tvångsmedel eller administrativa frihetsberövanden får inte utan medgivande av<br>Datainspektionen behandlas i kreditupplysningsverksamhet.</p>
<p>Ett medgivande som avses i andra stycket får lämnas endast om det finns synnerliga<br>skäl.</p>
<p>Vad som anges i andra stycket hindrar inte att uppgifter om betalningsförsummelser,<br>kreditmissbruk eller näringsförbud behandlas i kreditupplysningsverksamhet.</p>
<p>(Jfr 6 § i promemorians förslag och 6 § i Kreditupplysningsutredningens<br>förslag.)</p>
<p>Paragrafen reglerar behandlingen av känsliga uppgifter m.m. Bestäm-<br>melserna har anpassats till dataskyddsdirektivet och personuppgiftslagen.<br>Förbudet i första stycket har utökats med uppgifter om medlemskap i<br>fackförening och hälsa. I andra stycket har den särskilda regleringen för<br>uppgifter om åtgärder enligt socialtjänstlagen m.fl. lagar utgått och<br>bestämmelserna om brottmål sdomar m.m. utformats i överensstämmelse<br>med 21 § första stycket personuppgiftslagcn. Med behandling av<br>uppgifter avses detsamma som i personuppgiftslagen (jfr definitionen i<br>3 § den lagen). Bestämmelserna gäller i stället för 13-21 §§ person-<br>uppgiftslagen. Övervägandena finns i avsnitt 4.4.</p>
<h3>8§</h3>
<p>En uppgift om en fysisk person skall gallras när det inte längre är nödvändigt att bevara<br>uppgiften med hänsyn till ändamålet med registret.</p>
<p>En uppgift om en fysisk person som inte är näringsidkare skall gallras senast när tre år<br>har förflutit från utgången av det år då den omständighet inträffade eller det förhållande<br>upphörde som uppgiften avser.</p>
<p>(Jfr 8 § i promemorians förslag och 8 § i Kreditupplysningsutredningens<br>förslag.)</p>
<p>Paragrafen innehåller bestämmelser om gallring. En allmän gallrings-<br>bestämmelse har tagits in i första stycket och treårsregeln har fått en ny<br>lydelse i andra stycket. Bestämmelserna gäller i stället för 9 § första<br>stycket i personuppgiftslagcn. övervägandena finns i avsnitt 4.5.</p>
<p>Första stycket</p>
<p>Enligt den allmänna gallringsbestämmelsen skall en uppgift om en fysisk<br>person gallras när det inte längre är nödvändigt att bevara uppgiften med<br>hänsyn till ändamålet med registret. Det gäller uppgifter om alla fysiska<br>personer, dvs. även näringsidkare. Det innebär att en uppgift, t.ex. om<br>näringsförbud, skall gallras när det inte längre är nödvändigt att bevara<br>uppgiften för kreditupplysningsändamål.</p>
<p>36</p>
<p>Andra stycket</p>
<p>Prop. 2000/01:50</p>
<p>Treårsregeln i andra stycket sätter en yttersta gräns for uppgifter om<br>privatpersoner. En uppgift om en fysisk person som inte är näringsidkare<br>skall gallras senast när tre år har förflutit från utgången av det år då den<br>omständighet inträffade eller det förhållande upphörde som avses med<br>uppgiften. Bestämmelsen innebär att en uppgift om en privatperson alltid<br>skall gallras efter tre år.</p>
<h3>10 §</h3>
<p>Var och en har rätt att mot skälig avgift hos den som bedriver kreditupplys-<br>ningsverksamhet fä skriftligt besked om huruvida det i verksamheten behandlas uppgifter<br>om honom. Fysiska personer har rätt att en gång per kalenderår få ett besked gratis.<br>Behandlas sådana uppgifter skall besked lämnas om</p>
<p>a) vilka uppgifter som behandlas,</p>
<p>b) om den registrerade är en fysisk person: varifrån uppgifterna har hämtats,</p>
<p>c) ändamålen med behandlingen och</p>
<p>d) till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut.</p>
<p>Bestämmelserna i första stycket tillämpas inte i den utsträckning det skulle strida mot<br>bestämmelserna i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen.</p>
<p>En begäran om besked enligt första stycket om en fysisk person skall göras skriftligen<br>och vara egenhändigt undertecknad.</p>
<p>(Jfr 10 § i promemorians förslag och 10 § i Kreditupplysningsutred-<br>ningens förslag.)</p>
<p>Paragrafen reglerar rätten till registerbesked. Informationsskyldigheten<br>har anpassats till dataskyddsdirektivet och till motsvarande bestämmelser<br>i personuppgiftslagen. Andra stycket innehåller en upplysning om att<br>bestämmelserna i första stycket inte far tillämpas i den utsträckning det<br>skulle strida mot bestämmelserna i tryckfrihetsförordningen eller ytt-<br>randefrihetsgrundlagen (jfr 7 § personuppgiftslagen). Det innebär att om<br>ett besked om varifrån uppgifterna har hämtats skulle strida mot<br>meddelarskyddet i 3 kap. 3 § tryckfrihetsförordningen och 2 kap. 3 §<br>yttrandefrihetsgrundlagen så skall besked inte lämnas om detta. I det nya<br>tredje stycket har tagits in ett krav på skriftlighet och egenhändigt<br>undertecknande för begäran om registerbesked om en fysisk person.<br>Bestämmelserna gäller i stället för 26 § personuppgiftslagen. Frågorna<br>behandlas i avsnitt 4.6.</p>
<h3>H §</h3>
<p>När en kreditupplysning om en fysisk person lämnas ut, skall till den som avses med<br>upplysningen samtidigt och kostnadsfritt sändas ett skriftligt meddelande om</p>
<p>a) vem som bedriver kreditupplysningsverksamheten,</p>
<p>b) ändamålen med behandlingen,</p>
<p>c) de uppgifter, omdömen och råd som upplysningen innehåller om honom,</p>
<p>d) möjligheten att få rättelse av de uppgifter som rör honom, och</p>
<p>e) vem som har begärt upplysningen.</p>
<p>Vad som sägs i första stycket gäller också när en kreditupplysning lämnas om ett<br>handelsbolag eller kommanditbolag.</p>
<p>Vad som sägs i första och andra styckena gäller inte kreditupplysningar som lämnas<br>genom offentliggörande på ett sådant sätt som avses i tryckfrihetsförordningen eller<br>yttrandefrihetsgrundlagen.</p>
<p>(Jfr 10 § i promemorians förslag.)</p>
<p>37</p>
<p>Paragrafen reglerar rätten till kreditupplysningskopia. Informations- Prop. 2000/01:50<br>skyldigheten har anpassats till dataskyddsdirektivet och till motsvarande<br>bestämmelser i personuppgiftslagcn. Bestämmelserna gäller i stället för<br>23-25 §§ personuppgiftslagen. Frågorna behandlas i avsnitt 4.6.</p>
<p>12 §</p>
<p>Finns det anledning att misstänka att en uppgift som behandlas i kredit-<br>upplysningsverksamhet eller som har lämnats i en kreditupplysning under den senaste<br>tolvmånadersperioden är oriktig eller missvisande, eller att den annars har behandlats i<br>strid med denna lag, skall den som bedriver verksamheten utan dröjsmål vidta skäliga<br>åtgärder för att utreda förhållandet.</p>
<p>Visar det sig att uppgiften är oriktig eller missvisande, eller att den annars har<br>behandlats i strid med lagen, skall den, om den förekommer i register, rättas, kompletteras<br>eller uteslutas ur registret. Har en oriktig eller missvisande uppgift tagits in i en<br>kreditupplysning som lämnats på annat sätt än som avses i tryckfrihetsförordningen eller<br>yttrandefrihetsgrundlagen, skall rättelse eller komplettering så snart det kan ske tillställas<br>var och en som under den senaste tolvmånadersperioden fått del av uppgiften. Har<br>uppgiften under den senaste tolvmånadersperioden lämnats i en periodisk skrift eller i en<br>kreditupplysningsverksamhet som bedrivs genom återkommande offentliggöranden enligt<br>yttrandefrihetsgrundlagen, skall rättelse eller komplettering så snart det kan ske införas i ett<br>följande nummer av skriften eller motsvarande form av offentliggörande enligt<br>yttrandefrihetsgrundlagen. Vad som sägs i detta stycke gäller dock inte, om uppgiften<br>uppenbarligen saknar betydelse för bedömningen av vederbörandes vederhäftighet i<br>ekonomiskt hänseende.</p>
<p>Har en fråga om rättelse eller liknande åtgärd tagits upp efter framställning från den som<br>uppgiften avser, skall denne kostnadsfritt underrättas om huruvida sådan åtgärd vidtagits.</p>
<p>Paragrafen innehåller bestämmelser om rättelse. Första stycket har<br>ändrats så att skyldigheten att utreda förhållanden föreligger inte bara om<br>det finns anledning att misstänka att en uppgift i en kreditupplysning som<br>har lämnats under den senaste tolvmånadersperioden, eller en uppgift i<br>ett register, är oriktig eller missvisande, utan även om det finns anledning<br>att misstänka att uppgifter i övrigt behandlas i strid med lagen.<br>Utredningsskyldigheten gäller alltså även för en i och för sig riktig men<br>felaktigt behandlad uppgift, t.ex. en uppgift om hälsa eller medlemskap i<br>fackförening (jfr 6 § första stycket).</p>
<p>Också skyldigheten enligt andra stycket att rätta, komplettera eller<br>utesluta en uppgift ur ett register omfattar alla fall där uppgifter<br>behandlas i strid med lagen. Bestämmelserna gäller i stället för 28 §<br>personuppgiftslagen. Frågan behandlas i avsnitt 4.7.</p>
<p>1. Denna lag träder i kraft den 1 april 2001.</p>
<p>2. 1 stället för 5 § första stycket tillämpas 5 § i dess äldre lydelse i fråga om sådan<br>behandling av personuppgifter för vilken 9 § personuppgiftslagen (1998:204) enligt<br>övergångsbestämmelserna till den lagen inte är tillämplig.</p>
<p>De föreslagna ändringarna i kreditupplysningslagen föreslås träda i kraft<br>den 1 april 2001.</p>
<p>Bestämmelsen i punkt 2 är en följd av att personuppgiftslagens<br>grundläggande krav på behandling av personuppgifter skall tillämpas<br>endast om lagen enligt sina övergångsbestämmelser är tillämplig. Om<br>personuppgiftslagen enligt övergångsbestämmelserna inte är tillämplig,<br>skall 5 § kreditupplysningslagen i dess äldre lydelse tillämpas, alltså<br>bestämmelsen om att verksamheten skall bedrivas så att den inte leder till</p>
<p>38</p>
<p>otillbörligt intrång i personlig integritet. Bestämmelsen har införts på Prop. 2000/01:50<br>förslag av Lagrådet.</p>
<p>39</p>
<h2>Dataskyddsdirektivet</h2>
<h3>EUROPAPARLAMENTETS OCH RÅDETS DIREKTIV 95/46/EG</h3>
<p>av den 24 oktober 1995</p>
<h3>om skydd för enskilda personer med avseende på behandling av<br>personuppgifter och om det fria flödet av sådana uppgifter</h3>
<p>EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD<br>HAR ANTAGIT DETTA DIREKTIV</p>
<p>med beaktande av Fördraget om upprättandet av Europeiska gemen-<br>skapen, särskilt artikel 100a i detta,</p>
<p>med beaktande av kommissionens förslag ,</p>
<p>med beaktande av Ekonomiska och sociala kommitténs yttrande ,</p>
<p>i enlighet med det förfarande som anges i fördragets artikel 189b ,<br>och med beaktande av följande:</p>
<p>Prop. 2000/01:50</p>
<p>Bilaga 1</p>
<p>1) Gemenskapens målsättningar som uttryckts i fördraget, såsom detta<br>ändrats genom Fördraget om Europeiska unionen, består i att<br>förverkliga en allt fastare sammanslutning av de europeiska folken, i<br>att upprätta allt närmare relationer mellan de stater som förenas i<br>gemenskapen, i att säkerställa ekonomiska och sociala framsteg i<br>sina länder genom gemensamma åtgärder för att undanröja de<br>barriärer som delar Europa, i att fortgående förbättra<br>levnadsvillkoren för dess folk, i att bevara och stärka fred och frihet<br>och i att främja demokratin på grundval av de grundläggande<br>rättigheter som erkänns i medlemsstaternas grundlagar och lagar<br>liksom i den europeiska konventionen om skydd för de mänskliga<br>rättigheterna och de grundläggande friheterna.</p>
<p>2) Systemen för databehandling av uppgifter är till för människomas<br>skull. Oavsett fysiska personers medborgarskap eller hemvist måste<br>systemen respektera dessa personers grundläggande fri- och<br>rättigheter - särskilt rätten till privatlivet - och bidra till ekonomiska<br>och sociala framsteg, handelns utveckling och enskilda personers<br>välfärd.</p>
<p>3) Upprättandet av den inre marknaden och dennas funktion, som i<br>enlighet med artikel 7a i fördraget innebär fri rörlighet för varor,<br>personer, tjänster och kapital, förutsätter inte bara att<br>personuppgifter fritt kan överföras från en medlemsstat till en annan<br>utan också att enskilda personers grundläggande rättigheter skyddas.</p>
<p>4) Inom gemenskapen behandlas och används personuppgifter allt<br>oftare inom olika ekonomiska och samhälleliga områden.<br>Framstegen på informationsteknikens område har gjort det avsevärt<br>lättare att behandla och utbyta sådana uppgifter.</p>
<p>5) Den ekonomiska och sociala integration som är en följd av<br>upprättandet av den inre marknaden och dennas funktion i enlighet</p>
<p>40</p>
<p>med artikel 7a i fordraget kommer med nödvändighet att leda till en<br>betydande ökning av flödet av personuppgifter över gränserna<br>mellan samtliga aktörer på de ekonomiska och samhälleliga<br>områdena, oavsett om dessa aktörer tillhör den privata eller den<br>offentliga sektorn. Utbytet av personuppgifter mellan foretag i olika<br>medlemsstater kommer att öka. De nationella myndigheterna i de<br>olika medlemsstaterna måste som ett led i tillämpningen av<br>gemenskapsrätten samarbeta och utbyta personuppgifter for att<br>kunna fullgöra sina åligganden eller utföra arbetsuppgifter för en<br>myndighet i en annan medlemsstat inom det område utan inre<br>gränser som den inre marknaden innebär.</p>
<p>6) Det ökade vetenskapliga och tekniska samarbetet liksom det sam-<br>ordnade införandet av nya telekommunikationsnät inom gemen-<br>skapen nödvändiggör och underlättar dessutom det gränsöver-<br>skridande flödet av personuppgifter.</p>
<p>7) Skillnaden i skyddsnivå mellan medlemsstater vad gäller enskilda<br>personers fri- och rättigheter, särskilt rätten till privatliv med av-<br>seende på behandling av personuppgifter, kan hindra översändande<br>av sådana uppgifter från en medlemsstats territorium till en annans.<br>Denna skillnad kan därför utgöra ett hinder för att utöva en rad<br>ekonomiska aktiviteter på gemenskapsnivå, snedvrida konkurrensen<br>och hindra myndigheterna att fullgöra de skyldigheter som åligger<br>dem enligt gemenskapsrätten. Denna skillnad i skyddsnivå beror på<br>olikheter i nationella lagar och andra författningar.</p>
<p>8) För att hindren mot flöden av personuppgifter skall kunna avskaffas<br>måste skyddsnivån när det gäller enskilda personers fri- och<br>rättigheter med avseende på behandlingen av sådana uppgifter vara<br>likvärdig i alla medlemsstater. Denna målsättning är av grund-<br>läggande betydelse för den inre marknaden men kan inte uppnås<br>genom åtgärder endast av medlemsstaterna, i synnerhet med tanke<br>på omfattningen av de skillnader som för närvarande finns mellan<br>nationell lagstiftning på området och med tanke på behovet av att<br>samordna lagstiftningen i medlemsstaterna för att säkerställa en<br>sådan enhetlig reglering av det gränsöverskridande flödet av<br>personuppgifter som överensstämmer med målsättningen för den<br>inre marknaden enligt artikel 7a i fördraget. Det är därför<br>nödvändigt att gemenskapen vidtar åtgärder för att åstadkomma en<br>tillnärmning av lagstiftningen.</p>
<p>9) Eftersom tillnärmningen av de nationella lagstiftningarna kommer<br>att leda till ett likvärdigt skydd kommer medlemsstaterna inte längre<br>att kunna hindra det fria flödet av personuppgifter mellan dem under<br>hänvisning till enskilda personers fri- och rättigheter, särskilt rätten<br>till privatliv. Medlemsstaterna kommer att fa ett handlingsutrymme,<br>som i samband med genomförandet av detta direktiv också kommer<br>att kunna utnyttjas av näringslivet och arbetsmarknadens parter.<br>Medlemsstaterna kommer därför att i sin nationella lagstiftning<br>särskilt kunna ange de allmänna villkor som skall gälla för<br>behandlingen av uppgifter. Medlemsstaterna skall härvid sträva<br>efter att förbättra det skydd som deras nuvarande lagstiftning ger.<br>Inom ramen för detta handlingsutrymme och i enlighet med gemen-<br>skapsrätten kan skillnader uppkomma vid genomförandet av direk-</p>
<p>Prop. 2000/01:50</p>
<p>Bilaga 1</p>
<p>41</p>
<p>tivet, vilket kan påverka flödet av uppgifter såväl inom en medlems-<br>stat som på gemenskapsnivå.</p>
<p>10) Ändamålet med den nationella lagstiftningen om behandling av<br>personuppgifter är att skydda grundläggande fri- och rättigheter,<br>särskilt den rätt till privatlivet som erkänns både i artikel 8 i den<br>europeiska konventionen om skydd för de mänskliga rättigheterna<br>och de grundläggande friheterna och i gemenskapsrättens allmänna<br>rättsprinciper. Av denna anledning får tillnärmningen av denna<br>lagstiftning inte medföra någon inskränkning i det skydd de ger,<br>utan skall i stället syfta till att garantera en hög skyddsnivå inom<br>gemenskapen.</p>
<p>11) Dc principer om skydd för enskilda personers fri- och rättigheter,<br>särskilt rätten till privatlivet, som detta direktiv innehåller, utgör en<br>precisering och en förstärkning av principerna i Europarådets<br>konvention av den 28 januari 1981 om skydd för enskilda vid<br>automatisk databehandling av personuppgifter.</p>
<p>12) Principerna för skyddet måste gälla för all behandling av<br>personuppgifter som utförs av en person vars verksamhet regleras<br>av gemenskapsrätten. En fysisk persons behandling av uppgifter<br>uteslutande för personliga ändamål eller för hemmabruk, såsom<br>korrespondens eller förande av adressregister, skall dock inte<br>omfattas.</p>
<p>13) Sådan verksamhet som avses i avdelningarna V och VI i Fördraget<br>om Europeiska unionen och som rör allmän säkerhet, försvar,<br>statens säkerhet och statens verksamhet på straffrättens område<br>faller inte inom tillämpningsområdet för gemenskapsrätten, dock<br>med förbehåll för medlemsstaternas skyldigheter enligt artiklarna<br>56.2, 57 eller 100a i Fördraget om upprättandet av Europeiska<br>gemenskapen. Sådan behandling av personuppgifter som är<br>nödvändig för att skydda statens ekonomiska välstånd omfattas inte<br>av detta direktiv, när behandlingen har samband med frågor om<br>statens säkerhet.</p>
<p>14) För närvarande görs inom ramen för informationssamhället<br>betydande framsteg såvitt avser tekniken för att uppta, överföra,<br>bearbeta, registrera, lagra eller lämna ut ljud- eller bilduppgifter om<br>fysiska personer; detta direktiv bör därför tillämpas på behandling<br>av sådana uppgifter.</p>
<p>15) Behandlingen av sådana uppgifter omfattas av detta direktiv endast<br>om den sker med hjälp av automatisk databehandling eller om de<br>uppgifter som behandlas ingår eller avses ingå i ett register som är<br>uppbyggt efter vissa med utgångspunkt i för enskilda personer<br>utformade kriterier för att underlätta tillgång till de berörda<br>uppgifterna.</p>
<p>16) Behandlingen av ljud- och bilduppgifter - exempelvis i samband<br>med videoövervakning - omfattas inte av detta direktiv om den<br>utförs för att tillgodose den allmänna säkerheten, försvaret, statens<br>säkerhet eller statens verksamhet på straffrättens område eller till<br>annan verksamhet som inte faller inom gemenskapsrättens<br>ti 1 lämpningsområde.</p>
<p>17) När det gäller behandling av ljud- och bilduppgifter för journa-<br>listiska ändamål eller i litterärt eller konstnärligt skapande, särskilt<br></p>
<p>Prop. 2000/01:50</p>
<p>Bilaga 1</p>
<p>42</p>
<p>på det audiovisuella området, skall direktivets principer i enlighet<br>med bestämmelserna i artikel 9 tillämpas restriktivt.</p>
<p>18) För att undvika att en enskild person förvägras det skydd som<br>tillkommer honom enligt detta direktiv skall varje behandling av<br>personuppgifter inom gemenskapen ske i enlighet med lagstift-<br>ningen i en av medlemsstaterna. Med hänsyn till detta bör<br>behandlingen av uppgifter som utförs av någon som på uppdrag av<br>en registeransvarig som är etablerad i en medlemsstat regleras av<br>den statens lagstiftning.</p>
<p>19) Etablering på en medlemsstats territorium förutsätter effektiv och<br>faktisk verksamhet med hjälp av en stabil struktur. Härvid har den<br>berörda verksamhetens rättsliga form inte avgörande betydelse,<br>oavsett om det är fråga om en filial eller om ett dotterbolag som är<br>en juridisk person. Om den ansvarige är etablerad på flera<br>medlemsstaters territorier, särskilt genom dotterbolag, måste han för<br>att undvika varje kringgående garantera att varje verksamhet<br>uppfyller bestämmelserna i den nationella lagstiftning som gäller för<br>aktiviteterna.</p>
<p>20) Den omständigheten att den registeransvarige är etablerad i ett<br>tredje land far inte utgöra ett hinder för det skydd som enskilda<br>personer ges i detta direktiv. I sådana fall skall på behandlingen av<br>uppgifter tillämpas den medlemsstats lagstiftning som innehåller de<br>hjälpmedel som används för behandlingen. Det bör finnas garantier<br>för att de rättigheter som följer av detta direktiv respekteras i<br>praktiken.</p>
<p>21) Detta direktiv påverkar inte de territorialitetsregler som gäller på<br>straffrättens område.</p>
<p>22) Medlemsstaterna bör i sin lagstiftning eller genom andra bestäm-<br>melser som antas för att genomföra detta direktiv närmare ange de<br>allmänna villkoren för att en behandling skall vara tillåten. Särskilt<br>artikel 5 jämförd med artiklarna 7 och 8 tillåter medlemsstaterna att,<br>oavsett de allmänna regler som gäller, ange särskilda villkor för<br>behandlingen av uppgifter på särskilda områden och för de olika<br>kategorier av uppgifter som behandlas i artikel 8.</p>
<p>23) Medlemsstaterna har befogenhet att genomföra skyddet för enskilda<br>personer både genom en generell lagstiftning om skydd för enskilda<br>personer såvitt avser behandling av personuppgifter och genom<br>särskild lagstiftning som till exempel om statistiska institut.</p>
<p>24) Sådan lagstiftning som rör skydd för juridiska personer med<br>avseende på behandling av uppgifter som angår dem berörs inte av<br>detta direktiv.</p>
<p>25) Principerna för skyddet måste avspeglas dels i de förpliktelser som<br>åvilar personer, myndigheter, företag, institutioner, organ eller andra<br>registeransvariga särskilt med avseende på uppgifternas kvalitet,<br>den tekniska säkerheten, anmälningar till tillsynsmyndigheten och<br>de omständigheter under vilka behandling far utföras, dels i de<br>rättigheter som tillkommer enskilda personer, vilkas personuppgifter<br>blir föremål för behandling, att bli informerade om att behandling<br>sker, att få tillgång till uppgifterna, att begära rättelse och att under<br>vissa omständigheter invända mot behandlingen.</p>
<p>Prop. 2000/01:50</p>
<p>Bilaga 1</p>
<p>43</p>
<p>26) Principerna för skyddet måste gälla all information som rör en<br>identifierad eller identifierbar person. För att avgöra om en person<br>är identifierbar skall härvid beaktas alla hjälpmedel som i syfte att<br>identifiera vederbörande rimligen kan komma att användas antingen<br>av den registeransvarige eller av någon annan person. Skydds-<br>principema gäller inte för uppgifter som gjorts anonyma på ett<br>sådant sätt att den registrerade inte längre är identifierbar. En sådan<br>uppförandekodex som avses i artikel 27 kan vara ett användbart<br>redskap för att ge vägledning om hur uppgifter kan göras anonyma<br>och behållas i en form som gör det omöjligt att identifiera den<br>registrerade.</p>
<p>27) Enskilda personer skall skyddas både i samband med automatisk<br>databehandling av uppgifterna och i samband med manuell behand-<br>ling. Omfattningen av detta skydd får inte faktiskt bero på den<br>teknik som används eftersom detta skulle kunna skapa en allvarlig<br>risk för kringgående. När det gäller manuell behandling omfattar<br>detta direktiv endast register och inte ostrukturerade akter. Särskilt<br>innehållet i ett register måste vara strukturerat efter bestämda<br>kriterier som avser enskilda personer, för att lätt ge tillgång till<br>personuppgifter. I enlighet med definitionen i artikel 2 c) kan de<br>olika kriterier som gör det möjligt att fastställa de enskilda delarna<br>av en strukturerad samling personuppgifter och de olika kriterier<br>som reglerar möjligheten att få tillgång till en sådan samling<br>utformas av varje medlemsstat. Akter eller grupper av akter liksom<br>dessas omslag, vilka inte är strukturerade enligt särskilda kriterier,<br>faller inte under några omständigheter inom detta direktivs<br>tillämpningsområde.</p>
<p>28) Varje behandling av personuppgifter måste vara laglig och korrekt<br>gentemot berörda personer. Uppgifterna måste särskilt vara ade-<br>kvata, relevanta och nödvändiga med hänsyn till de ändamål för<br>vilka de behandlas. Dessa ändamål skall vara uttryckligt angivna,<br>berättigade och bestämda vid tiden för insamling av uppgifterna.<br>Sådana ändamål med behandlingen som läggs fast sedan upp-<br>gifterna samlats in lår inte vara oförenliga med de ändamål som<br>ursprungligen angavs.</p>
<p>29) Senare behandling av personuppgifter för historiska, statistiska eller<br>vetenskapliga ändamål kan - förutsatt att medlemsstaterna ger<br>lämpliga garantier - inte allmänt sett anses oförenliga med de<br>ändamål för vilka uppgifterna tidigare samlades in. Dessa garantier<br>skall särskilt hindra att uppgifterna används för att vidta åtgärder<br>mot eller fatta beslut som rör en viss person.</p>
<p>30) För att vara tillåten skall en behandling av personuppgifter dessutom<br>utföras med den registrerades samtycke eller vara nödvändig för<br>ingåendet eller utförandet av förpliktelser i enlighet med ett avtal<br>som är bindande för den registrerade, eller fordras enligt lagstiftning<br>vid utförandet av något som är i det allmännas intresse eller är ett<br>led i myndighetsutövning eller vara i en fysisk eller juridisk persons<br>intresse förutsatt att skyddet av den registrerades fri- och rättigheter<br>inte går före. För att särskilt garantera jämvikt mellan de berörda<br>intressena och för att samtidigt säkerställa en effektiv konkurrens får<br>medlemsstaterna närmare ange på vilka villkor användning och</p>
<p>Prop. 2000/01:50</p>
<p>Bilaga 1</p>
<p>44</p>
<p>utlämnande till tredje man av personuppgifter får äga rum inom<br>ramen for tillåtna aktiviteter som av företag och andra organ utövas<br>i deras löpande verksamhet. Medlemsstaterna får även närmare ange<br>på vilka villkor personuppgifter i marknadsföringssyfte får vidare-<br>befordras till tredje man, oavsett om detta sker kommersiellt eller av<br>välgörenhetsorganisationer, föreningar eller stiftelser, exempelvis av<br>politisk karaktär, men förutsatt att regler iakttas som har till syfte att<br>ge den registrerade möjlighet att invända mot att de uppgifter som<br>rör honom behandlas utan att behöva ange sina skäl och utan att<br>åsamkas kostnader för detta.</p>
<p>31) Behandling av personuppgifter måste även anses tillåten när den<br>utförs för att skydda ett intresse som är av avgörande betydelse för<br>den registrerades liv.</p>
<p>32) Det ankommer på den nationella lagstiftningen att avgöra om den<br>som ansvarar för en behandling som utförs i det allmännas intresse<br>eller vid myndighetsutövning skall vara en myndighet eller något<br>annat offentligrättsligt eller civilrättsligt subjekt, såsom exempelvis<br>en yrkesorganisation.</p>
<p>33) Uppgifter som på grund av sin natur kan kränka grundläggande fri-<br>och rättigheter eller privatlivets helgd får inte behandlas utan<br>samtycke av den registrerade. Dock måste det finnas en uttrycklig<br>möjlighet att för att tillgodose särskilda behov, i synnerhet när<br>behandlingen av uppgifterna utförs för ändamål som har samband<br>med hälso- och sjukvården av personer som är underkastade<br>tystnadsplikt eller för att genomföra berättigade åtgärder av vissa<br>föreningar eller stiftelser vilkas syften är att skydda utövningen av<br>vissa grundläggande fri- och rättigheter.</p>
<p>34) När det av hänsyn till viktiga allmänna intressen är nödvändigt,<br>måste medlemsstaterna kunna avvika från förbudet mot att behandla<br>känsliga kategorier av uppgifter på sådana områden som exempelvis<br>folkhälsa och socialskydd, särskilt för att säkerställa kvalitet och<br>lönsamhet när det gäller förfaranden som används i samband med<br>ansökningar om förmåner och tjänster inom sjukförsäkringssyste-<br>met, i samband med vetenskaplig forskning och i samband med<br>offentlig statistik. Dock åligger det medlemsstaterna att sörja för att<br>det finns lämpliga och konkreta garantier för att skydda enskilda<br>personers grundläggande rättigheter och privatliv.</p>
<p>35) Myndigheters behandling av personuppgifter för officiellt erkända<br>religiösa sammanslutningars räkning för att uppfylla målsättningar<br>som uttrycks i grundlagen eller folkrätten utförs för att tillgodose<br>viktiga samhälleliga intressen.</p>
<p>36) Om det i samband med att allmänna val hålls för att det<br>demokratiska systemet skall fungera är nödvändigt att de politiska<br>partierna i vissa medlemsstater samlar in uppgifter om enskilda<br>personers politiska uppfattning får behandling av sådana uppgifter<br>tillåtas av hänsyn till viktiga allmänna intressen, på villkor att<br>bestämmelser om lämpliga garantier föreskrivs.</p>
<p>37) För sådan behandling av personuppgifter som sker för journalistiska<br>ändamål eller för konstnärligt eller litterärt skapande - särskilt på<br>det audiovisuella området — bör det fastställas undantag från eller<br>begränsningar i förhållande till vissa bestämmelser i detta direktiv<br></p>
<p>Prop. 2000/01:50</p>
<p>Bilaga 1</p>
<p>45</p>
<p>så långt detta är nödvändigt för att förena enskilda personers<br>grundläggande rättigheter med yttrandefriheten, särskilt den rätt att<br>ta emot och lämna upplysningar som särskilt fastslås i artikel 10 i<br>den europeiska konventionen om skydd för de mänskliga rättig-<br>heterna och de grundläggande friheterna. För att åstadkomma en<br>avvägning mellan dc grundläggande fri- och rättigheterna åligger<br>det medlemsstaterna att besluta om nödvändiga undantag och<br>begränsningar såvitt avser de generella åtgärder som har avseende<br>på uppgiftsbehandlingens berättigande, åtgärder för att vidareföra<br>uppgifter till tredje land och tillsynsmyndighetens befogenheter.<br>Detta får dock inte leda till att medlemsstaterna beslutar om<br>undantag från åtgärder som vidtas för att säkerställa behandlingens<br>säkerhet. Den tillsynsmyndighet som är behörig på området bör<br>utrustas med i vart fall vissa befogenheter att utövas efter<br>behandlingen i fråga, exempelvis befogenhet att med jämna<br>mellanrum offentliggöra en rapport eller att överlämna ärenden till<br>rättsliga myndigheter.</p>
<p>38) En korrekt behandling av uppgifter förutsätter att de registrerade<br>kan få kännedom om behandlingen och att de - när uppgifter samlas<br>in hos dem - kan få korrekt och fullständig information med hänsyn<br>till de närmare omständigheterna vid insamlingen.</p>
<p>39) I vissa fall rör behandlingen uppgifter som den registeransvarige<br>inte har samlat in direkt från den registrerade. Vidare kan<br>utlämnande av uppgifter till tredje man vara tillåten även om<br>utlämnandet inte kunde förutses när uppgifterna samlades in från<br>den registrerade. I samtliga dessa fall skall den registrerade<br>informeras när uppgifterna registreras eller senast när uppgifterna<br>för första gången lämnas ut till tredje man.</p>
<p>40) Det är dock inte nödvändigt att ställa detta krav om den registrerade<br>redan känner till informationen. Detta krav behöver inte heller<br>ställas om registreringen eller utlämnandet uttryckligen regleras i<br>lagstiftningen eller om lämnande av information till den berörda<br>personen visar sig vara omöjligt eller innebära oproportionerligt<br>stora ansträngningar, vilket skulle kunna vara fallet i samband med<br>behandling för historiska, statistiska eller vetenskapliga ändamål. I<br>detta sammanhang kan antalet registrerade, uppgifternas ålder och<br>de kompensatoriska åtgärder som kan vidtas tas i beaktande.</p>
<p>41) Alla måste kunna utöva sin rätt att få tillgång till uppgifter som rör<br>dem och som är föremål för behandling, för att i detalj kunna<br>försäkra sig om att uppgifterna är korrekta och om att behandlingen<br>är tillåten. Av samma anledning måste var och en ha rätt att få reda<br>på den logik som gäller för den automatiska databehandlingen av<br>uppgifter som rör honom, åtminstone såvitt avser sådana auto-<br>matiska beslut som avses i artikel 15.1. Denna rättighet får inte<br>kränka affärshemligheten eller upphovsrätten, särskilt inte den<br>upphovsrätt som skyddar programvaran. Detta bör dock inte få<br>resultera i att den registrerade nekas all information.</p>
<p>42) Medlemsstaterna kan av hänsyn till intresset hos den registrerade<br>eller till andras fri- och rättigheter begränsa rätten till tillgång till<br>uppgifter och information. De kan till exempel besluta att tillgång<br></p>
<p>Prop. 2000/01:50</p>
<p>Bilaga 1</p>
<p>46</p>
<p>till uppgifter av medicinsk art endast får erhållas genom formedling<br>av någon som är yrkesmässigt verksam inom hälso- och sjukvården.</p>
<p>43) Rätten till tillgång till uppgifter och information samt vissa<br>skyldigheter hos den registeransvarige kan inskränkas av medlems-<br>staterna i den utsträckning som det är nödvändigt för att skydda till<br>exempel statens säkerhet, försvaret, allmän säkerhet eller viktiga<br>ekonomiska eller finansiella intressen som är av betydelse för en<br>medlemsstat eller för unionen, liksom för brottsutredningar och åtal<br>och åtgärder som rör överträdelser av etiska regler som gäller för<br>sådana yrken som särskilt regleras i lagstiftning. På förteckningen<br>över undantag och begränsningar bör upptas de uppgifter för över-<br>vakning, tillsyn eller reglering som är nödvändiga på de tre<br>sistnämnda områdena, nämligen allmän säkerhet, ekonomiska och<br>finansiella intressen samt beivrande av brott. Uppräkningen av<br>uppgifter på dessa tre områden påverkar inte undantag eller<br>begränsningar av hänsyn till statens säkerhet och försvaret.</p>
<p>44) För att uppfylla vissa av de nämnda målsättningarna kan medlems-<br>staterna på grund av bestämmelser i gemenskapsrätten tvingas att<br>avvika från bestämmelserna i detta direktiv om rätten till tillgång till<br>uppgifter, skyldigheten att informera enskilda personer och<br>kvaliteten på uppgifterna.</p>
<p>45) I sådana fall då uppgifter av hänsyn till allmänna intressen, på grund<br>av myndighetsutövning eller av hänsyn till en persons berättigade<br>intressen kan bli föremål för tillåten behandling, skall varje berörd<br>person ändå, på berättigade och avgörande skäl som avser hans<br>särskilda situation, ha rätt att invända mot att uppgifter som rör<br>honom själv behandlas. Medlemsstaterna har dock möjlighet att anta<br>bestämmelser av motsatt innehåll.</p>
<p>46) Skyddet för de registrerades fri- och rättigheter förutsätter såvitt<br>avser behandling av personuppgifter att lämpliga tekniska och<br>organisatoriska åtgärder vidtas både när systemet för behandlingen<br>utformas och när själva behandlingen sker, särskilt för att garantera<br>säkerheten och för att på så sätt hindra all otillåten behandling. Det<br>åligger medlemsstaterna att säkerställa att de registeransvariga<br>respekterar dessa åtgärder. Åtgärderna skall garantera en lämplig<br>säkerhetsnivå med hänsyn till den nuvarande utvecklingsnivån och<br>till kostnaderna för genomförandet under hänsynstagande till de<br>risker som behandlingen innebär och arten av de uppgifter som skall<br>skyddas.</p>
<p>47) När ett meddelande som innehåller personuppgifter översänds<br>genom förmedling av en organisation för telekommunikation eller<br>elektronisk post, vars enda ändamål är att översända sådana<br>meddelanden, blir det normalt den från vilken meddelandet härrör<br>och inte den person som erbjuder nämnda tjänst som anses ansvara<br>för behandlingen av personuppgifterna. De som erbjuder sådana<br>tjänster kommer dock normalt att anses som ansvariga för behand-<br>lingen av de ytterligare personuppgifter som fordras för att tjänsten<br>skall kunna användas.</p>
<p>48) Anmälningsförfarandet är avsett för att göra en behandlings syfte<br>och viktigaste egenskaper allmänt kända för att säkerställa att</p>
<p>Prop. 2000/01:50</p>
<p>Bilaga 1</p>
<p>47</p>
<p>behandlingen sker i enlighet med de nationella åtgärder som vidtas<br>för att genomföra detta direktiv.</p>
<p>49) För att undvika olämpliga administrativa formaliteter kan medlems-<br>staterna besluta om undantag från och förenklingar av anmälnings-<br>plikten såvitt avser sådana fall då behandlingen sannolikt inte<br>kommer att kränka de berörda personernas fri- och rättigheter,<br>förutsatt att detta är i överensstämmelse med en åtgärd som vidtagits<br>av en medlemsstat och som särskilt anger begränsningarna.<br>Medlemsstaterna kan även besluta om undantag och förenklingar i<br>fall då någon som utsetts av den registeransvarige försäkrar sig om<br>att de utförda behandlingarna inte kommer att kränka de registre-<br>rades fri- och rättigheter. Den person som sålunda utsetts att skydda<br>uppgifterna måste - vare sig han är anställd av den registeransvarige<br>eller inte - ha möjlighet att utöva sin verksamhet på ett fullständigt<br>oberoende sätt.</p>
<p>50) Undantag från anmälningsplikten och förenklad anmälan bör kunna<br>tillåtas särskilt då det är fråga om behandling av uppgifter som<br>endast syftar till att ett register skall föras, som är avsett för att i<br>enlighet med nationell lagstiftning ge allmänheten information och<br>som är tillgängligt för allmänheten eller var och en som kan styrka<br>att han har ett berättigat intresse.</p>
<p>51) Det förhållandet att den registeransvarige omfattas av förenklat<br>anmälningsförfarande eller är undantagen från anmälningsplikt<br>befriar honom inte från de övriga förpliktelser som följer av detta<br>direktiv.</p>
<p>52) I detta sammanhang måste en efterföljande kontroll från den<br>behöriga myndighetens sida i allmänhet anses som en tillräcklig<br>åtgärd.</p>
<p>53) Vissa typer av behandling - till exempel behandling som har till<br>ändamål att utesluta den berörde från möjligheten att utöva en<br>rättighet, motta en förmån eller ingå ett avtal eller sådan behandling<br>som innebär användning av ny teknik - kan på grund av sin natur,<br>sin omfattning eller sitt ändamål innebära särskilda risker för att de<br>registrerades fri- och rättigheter skall kränkas. Medlemsstaterna kan<br>om de önskar det precisera dessa risker i sin lagstiftning.</p>
<p>54) Med tanke på omfattningen av den behandling av uppgifter som<br>utförs i samhället torde det antal behandlingar som innebär särskilda<br>risker vara mycket begränsat. Medlemsstaterna måste föreskriva att<br>tillsynsmyndigheten eller den som utövar tillsyn i samråd med<br>tillsynsmyndigheten företar en förhandskontroll av dessa behand-<br>lingar innan de utförs. Sedan en sådan förhandskontroll genomförts<br>får tillsynsmyndigheten i enlighet med den nationella lagstiftningen<br>som gäller för myndigheten yttra sig över eller tillåta behandlingen.<br>En sådan kontroll kan även företas som ett led i det nationella<br>parlamentets förberedande arbete med en åtgärd eller som ett led i<br>arbetet med en åtgärd som grundas på en sådan lagstiftande åtgärd<br>som definierar behandlingens art och anger lämpliga skydds-<br>åtgärder.</p>
<p>55) För de fall då den registeransvarige inte respekterar de registrerades<br>rättigheter måste det i medlemsstatens lagstiftning finnas möjlighet<br>till rättslig prövning. Personer som lider skada till följd av otillåten<br></p>
<p>Prop. 2000/01:50</p>
<p>Bilaga 1</p>
<p>48</p>
<p>behandling skall ha rätt till ersättning av den registeransvarige,<br>vilken kan befrias från skadeståndsansvar om han kan visa att han<br>inte är ansvarig för skadan, särskilt i fall då han kan påvisa att ett fel<br>begåtts av den registrerade eller i fall av force majeure. Sanktioner<br>skall vidtas mot såväl privaträttsliga som offentligrättsliga subjekt<br>som överträder de nationella bestämmelser som antagits för att<br>genomföra detta direktiv.</p>
<p>56) Gränsöverskridande flöden av personuppgifter är nödvändiga för<br>den internationella handelns utveckling. Det skydd som genom detta<br>direktiv tillförsäkras enskilda personer inom gemenskapen hindrar<br>inte att personuppgifter överförs till sådana tredje länder som garan-<br>terar en adekvat skyddsnivå. Frågan om skyddsnivåns adekvans<br>skall bedömas med hänsyn till alla de omständigheter som har<br>samband med en överföring eller en grupp av överföringar.</p>
<p>57) Om ett tredje land inte garanterar en adekvat skyddsnivå skall<br>överföring av personuppgifter till det landet förbjudas.</p>
<p>58) Undantag från detta förbud skall under vissa omständigheter kunna<br>medges om den registrerade lämnar sitt samtycke, om överföring är<br>nödvändig för ett avtal eller ett rättsligt anspråk, när skyddet av<br>väsentliga samhällsintressen kräver det, till exempel vid interna-<br>tionellt utbyte av uppgifter mellan skattemyndigheter eller tullmyn-<br>digheter eller mellan socialförsäkringsmyndigheter eller om över-<br>föringen utförs med utgångspunkt i ett register som upprättats<br>genom lagstiftning och som är avsett att vara tillgängligt för<br>allmänheten eller för personer som har ett berättigat intresse. En<br>sådan överföring bör inte omfatta alla uppgifter eller hela kategorier<br>av uppgifter som finns i registret. När registret är avsett att vara<br>tillgängligt för personer med ett berättigat intresse skall över-<br>föringen göras endast på begäran av dessa personer eller om de<br>själva är mottagarna.</p>
<p>59) Särskilda åtgärder kan vidtas för att uppväga en otillräcklig skydds-<br>nivå i ett tredje land om den registeransvarige ställer lämpliga<br>garantier. Bestämmelser om förfaranden för förhandling mellan<br>gemenskapen och tredje land måste antas.</p>
<p>60) Överföring till tredje land far i vilket fall som helst endast utföras i<br>enlighet med bestämmelser som medlemsstaterna antagit för<br>genomförande av detta direktiv, särskilt artikel 8 i detta.</p>
<p>61) Medlemsstaterna och kommissionen måste på sina respektive<br>kompetensområden uppmuntra berörda delar av näringslivet att anta<br>uppförandekodexar för att underlätta genomförandet av detta direk-<br>tiv med beaktande av de särskilda former av behandling som utförs<br>på vissa områden och med respekt för de nationella bestämmelser<br>som antagits för dess genomförande.</p>
<p>62) För skyddet av enskilda personer med avseende på behandlingen av<br>personuppgifter är det av avgörande betydelse att medlemsstaterna<br>inrättar oberoende tillsynsmyndigheter.</p>
<p>63) Dessa myndigheter måste ges nödvändiga resurser för att utföra sina<br>uppgifter, såsom befogenhet att - särskilt när det gäller klagomål<br>från enskilda personer - undersöka och intervenera samt befogen-<br>heter att inleda rättsliga förfaranden. De måste även bidra till att<br></p>
<p>Prop. 2000/01:50</p>
<p>Bilaga 1</p>
<p>49</p>
<p>garantera insyn i behandlingen av uppgifter i de medlemsstater<br>under vilkas jurisdiktion de hör.</p>
<p>64) Tillsynsmyndigheterna i de olika medlemsstaterna kommer att<br>behöva bistå varandra i samband med utförandet av de uppgifter<br>som åligger dem för att säkerställa att skyddsreglema respekteras på<br>ett tillfredsställande sätt i hela Europeiska unionen.</p>
<p>65) En arbetsgrupp för skydd av enskilda personer i samband med<br>behandling av personuppgifter skall inrättas på gemenskapsnivå.<br>Gruppen skall vid utförandet av sina uppgifter vara fullständigt<br>oberoende. Gruppen skall med hänsyn till sin särskilda karaktär ge<br>kommissionen råd och bidra till den enhetliga tillämpningen av de<br>nationella regler som antagits för att genomföra detta direktiv.</p>
<p>66) Med avseende på överföring av uppgifter till tredje land fordrar<br>genomförandet av detta direktiv att kommissionen ges befogenhet<br>att besluta om genomförandet och att ett förfarande i enlighet med<br>riktlinjerna i rådets beslut 87/373/EEG(l) införs.</p>
<p>67) Den 20 december 1994 träffade Europaparlamentet, rådet och<br>kommissionen en överenskommelse om ett ”modus vivendi” beträf-<br>fande genomförandeåtgärder for rättsakter som antagits i enlighet<br>med förfarandet i artikel 189b i Romfördraget.</p>
<p>68) De principer för skyddet av enskilda personers fri- och rättigheter,<br>och då särskilt rätten till privatliv, som i detta direktiv uppställs med<br>avseende på behandling av personuppgifter skall för vissa områdens<br>vidkommande kunna kompletteras eller preciseras med hjälp av<br>särskilda bestämmelser som skall överensstämma med dessa<br>principer.</p>
<p>69) Medlemsstaterna bör ges en frist på högst tre år räknat från<br>ikraftträdandet av de nationella bestämmelser som antas för att<br>genomföra detta direktiv, så att de stegvis kan tillämpa de nya<br>nationella bestämmelserna på alla sådana behandlingar som redan<br>påbörjats. För att möjliggöra ett kostnadseffektivt genomförande av<br>dessa bestämmelser skall medlemsstaterna tillåtas att under<br>ytterligare en tidsperiod, som löper ut tolv år efter dagen för<br>antagandet av detta direktiv, vidta åtgärder för att säkerställa att då<br>befintliga manuella register bringas i överensstämmelse med vissa<br>av direktivets bestämmelser. Uppgifter som ingår i dessa register<br>och som behandlas manuellt under denna förlängda övergångs-<br>period skall dock när det är föremål för en ytterligare sådan<br>behandling bringas i överensstämmelse med dessa bestämmelser.</p>
<p>70) Det är inte nödvändigt att den registrerade på nytt lämnar sitt<br>samtycke till att den registeransvarige fortsätter att behandla käns-<br>liga uppgifter, när en sådan behandling är nödvändig för genom-<br>förandet av att avtal som har slutits på grundval av frivilligt och<br>informerat samtycke före dessa bestämmelsers ikraftträdande.</p>
<p>71) Detta direktiv hindrar inte en medlemsstat från att anta bestämmel-<br>ser för att reglera sådan marknadsföring som riktar sig till<br>konsumenter som har hemvist inom dess territorium, förutsatt att<br>dessa regler inte rör skyddet av enskilda personer med avseende på<br>behandling av personuppgifter.</p>
<p>Prop. 2000/01:50</p>
<p>Bilaga 1</p>
<p>50</p>
<p>72) Detta direktiv gör det möjligt att vid genomförandet av dessa<br>bestämmelser ta hänsyn till principen om allmänhetens rätt till<br>tillgång till allmänna handlingar.</p>
<p>Prop. 2000/01:50</p>
<p>Bilaga 1</p>
<p>51</p>
<p>HÄRIGENOM FÖRESKRIVS FÖLJANDE.</p>
<h3>KAPITEL 1</h3>
<h3>ALLMÄNNA BESTÄMMELSER</h3>
<p>Artikel 1</p>
<h3>Direktivets syfte</h3>
<p>1. Medlemsstaterna skall i enlighet med detta direktiv skydda fysiska<br>personers grundläggande fri och rättigheter, särskilt rätten till privatliv, i<br>samband med behandling av personuppgifter.</p>
<p>2. Medlemsstaterna får varken begränsa eller förbjuda det fria flödet av<br>personuppgifter mellan medlemsstaterna av skäl som har samband med<br>det under punkt 1 föreskrivna skyddet.</p>
<p>Artikel 2</p>
<h3>Definitioner</h3>
<p>I detta direktiv avses med</p>
<p>a) personuppgifter: varje upplysning som avser en identifierad eller<br>identifierbar fysisk person (den registrerade). En identifierbar person är<br>en person som kan identifieras, direkt eller indirekt, framför allt genom<br>hänvisning till ett identifikationsnummer eller till en eller flera faktorer<br>som är specifika för hans fysiska, fysiologiska, psykiska, ekonomiska,<br>kulturella eller sociala identitet,</p>
<p>b) behandling av personuppgifter (behandling): varje åtgärd eller serie<br>av åtgärder som vidtas beträffande personuppgifter, vare sig det sker på<br>automatisk väg eller inte, till exempel insamling, registrering, organi-<br>sering, lagring, bearbetning eller ändring, återvinning, inhämtande,<br>användning, utlämnande genom översändande, spridning eller annat<br>tillhandahållande av uppgifter, sammanställning eller samköming,<br>blockering, utplåning eller förstöring,</p>
<p>c) register med personuppgifter (register)<sup>1</sup>, varje strukturerad samling av<br>personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om<br>samlingen är centraliserad, decentraliserad eller spridd på grundval av<br>funktionella eller geografiska förhållanden,</p>
<p>d) registeransvarig: den fysiska eller juridiska person, den myndighet,<br>den institution eller det andra organ som ensamt eller tillsammans med<br>andra bestämmer ändamålen och medlen för behandlingen av person-<br>uppgifter. När ändamålen och medlen för behandlingen bestäms av<br>nationella lagar och andra författningar eller av gemenskapsrätten kan<br>den registeransvarige eller de särskilda kriterierna för att utse honom<br>anges i nationell rätt eller i gemenskapsrätten,</p>
<p>e) registerjorare: den fysiska eller juridiska person, den myndighet, den<br>institution eller det andra organ som behandlar personuppgifter för den<br>registeransvariges räkning,</p>
<p>f) tredje man: den fysiska eller juridiska person, den myndighet, den<br>institution eller det andra organ än den registrerade, den register-<br></p>
<p>Prop. 2000/01:50</p>
<p>Bilaga 1</p>
<p>52</p>
<p>ansvarige, registerföraren och de personer som under den register- Prop. 2000/01:50<br>ansvariges eller registerförarens direkta ansvar har befogenhet att Bilaga 1<br>behandla uppgifterna,</p>
<p>g) mottagare: den fysiska eller juridiska person, den myndighet, den<br>institution eller det andra organ till vilket uppgifterna utlämnas, vare sig<br>det är en tredje man eller inte. Myndigheter som kan komma att motta<br>uppgifter inom ramen för ett särskilt uppdrag skall dock inte betraktas<br>som mottagare,</p>
<p>h) den registrerades samtycke: varje slag av frivillig, särskild och<br>informerad viljeyttring genom vilken den registrerade godtar behandling<br>av personuppgifter som rör honom.</p>
<p>Artikel 3</p>
<h3>Tillämpningsområde</h3>
<p>1. Detta direktiv gäller för sådan behandling av personuppgifter som helt<br>eller delvis företas på automatisk väg liksom för annan behandling än<br>automatisk av personuppgifter som ingår i eller kommer att ingå i ett<br>register.</p>
<p>2. Detta direktiv gäller inte för sådan behandling av personuppgifter</p>
<p>- som utgör ett led i en verksamhet som inte omfattas av gemenskaps-<br>rätten, exempelvis sådan verksamhet som avses i avdelningarna V och VI<br>i Fördraget om Europeiska unionen, och inte under några omständigheter<br>behandlingar som rör allmän säkerhet, försvar, statens säkerhet (inbe-<br>gripet statens ekonomiska välstånd när behandlingen har samband med<br>frågor om statens säkerhet) och statens verksamhet på straffrättens<br>område,</p>
<p>- av en fysisk person som ett led i verksamhet av rent privat natur eller<br>som har samband med hans hushåll.</p>
<p>Artikel 4</p>
<h3>Tillämplig nationell rätt</h3>
<p>1. Varje medlemsstat skall tillämpa de nationella bestämmelser som den<br>för genomförandet av detta direktiv antar för behandlingen av<br>personuppgifter när</p>
<p>a) behandlingen utförs som ett led i verksamhet inom den medlemsstats<br>territorium, där den registeransvarige är etablerad. Om en register-<br>ansvarig är etablerad inom flera medlemsstaters territorier skall han vidta<br>nödvändiga åtgärder för att säkerställa att alla verksamheter uppfyller<br>kraven enligt den tillämpliga nationella lagstiftningen,</p>
<p>b) den registeransvarige inte är etablerad inom en medlemsstats<br>territorium utan på en plats där medlemsstatens lagstiftning gäller på<br>grund av folkrätten,</p>
<p>c) den registeransvarige inte är etablerad på gemenskapens territorium<br>och för behandling av personuppgifter använder databehandlad eller icke<br>databehandlad utrustning som befinner sig på den nämnda medlems-<br>statens territorium, om inte sådan utrustning endast används för att låta<br>uppgifter passera genom gemenskapen.</p>
<p>2. Under de omständigheter som avses i punkt 1 c) måste den<br>registeransvarige utse en företrädare som är etablerad inom den berörda<br>medlemsstatens territorium, utan att detta i övrigt påverkar de eventuella<br>rättsliga åtgärder som kan komma att inledas mot den ansvarige själv.</p>
<p>KAPITEL II</p>
<h3>ALLMÄNNA BESTÄMMELSER OM NÄR<br>PERSONUPPGIFTER FÅR BEHANDLAS</h3>
<p>Artikel 5</p>
<p>Medlemsstaterna skall inom de begränsningar som bestämmelserna i<br>detta kapitel innebär, precisera på vilka villkor behandling av<br>personuppgifter är tillåten.</p>
<p>AVDELNING I</p>
<h3>PRINCIPER OM UPPGIFTERNAS KVALITET</h3>
<p>Artikel 6</p>
<p>1. Medlemsstaterna skall föreskriva att personuppgifter</p>
<p>a) skall behandlas på ett korrekt och lagligt sätt,</p>
<p>b) skall samlas in för särskilda, uttryckligt angivna och berättigade<br>ändamål; senare behandling far inte ske på ett sätt som är oförenligt med<br>dessa ändamål. Senare behandling av uppgifter för historiska, statistiska<br>eller vetenskapliga ändamål skall inte anses oförenlig med dessa ändamål<br>förutsatt att medlemsstaterna beslutar om lämpliga skyddsåtgärder,</p>
<p>c) skall vara adekvata och relevanta och inte får omfatta mer än vad som<br>är nödvändigt med hänsyn till de ändamål för vilka de har samlats in och<br>för vilka de senare behandlas,</p>
<p>d) skall vara riktiga och, om nödvändigt, aktuella. Alla rimliga åtgärder<br>måste vidtas för att säkerställa att personuppgifter som är felaktiga eller<br>ofullständiga i förhållande till de ändamål för vilka de samlades in eller<br>för vilka de senare behandlas, utplånas eller rättas,</p>
<p>e) förvaras på ett sätt som förhindrar identifiering av den registrerade<br>under en längre tid än vad som är nödvändigt för de ändamål för vilka<br>uppgifterna samlades in eller för vilka de senare behandlades. Medlems-<br>staterna skall vidta lämpliga skyddsåtgärder för de personuppgifter som<br>lagras under längre perioder för historiska, statistiska eller vetenskapliga<br>ändamål.</p>
<p>2. Det åligger den registeransvarige att säkerställa att punkt 1 efterlevs.</p>
<p>Prop. 2000/01:50</p>
<p>Bilaga 1</p>
<p>54</p>
<p>AVDELNING II</p>
<p>PRINCIPER SOM GÖR ATT UPPGIFTSBEHANDLING KAN</p>
<p>TILLÅTAS</p>
<p>Artikel 7</p>
<p>Medlemsstaterna skall föreskriva att personuppgifter far behandlas<br>endast om</p>
<p>a) den registrerade otvetydigt har lämnat sitt samtycke, eller</p>
<p>b) behandlingen är nödvändig för att fullgöra ett avtal i vilket den<br>registrerade är part eller för att vidta åtgärder på begäran av den<br>registrerade innan ett sådant avtal ingås, eller</p>
<p>c) behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som<br>åvilar den registeransvarige, eller</p>
<p>d) behandlingen är nödvändig för att skydda intressen som är av<br>grundläggande betydelse för den registrerade, eller</p>
<p>e) behandlingen är nödvändig för att utföra en arbetsuppgift av allmänt<br>intresse eller som är ett led i myndighetsutövning som utförs av den<br>registeransvarige eller tredje man till vilken uppgifterna har lämnats ut,<br>eller</p>
<p>f) behandlingen är nödvändig för ändamål som rör berättigade intressen<br>hos den registeransvarige eller hos den eller de tredje män till vilka<br>uppgifterna har lämnats ut, utom när sådana intressen uppvägs av den<br>registrerades intressen eller dennes grundläggande fri- och rättigheter<br>som kräver skydd under artikel 1.1.</p>
<p>AVDELNING III</p>
<h3>SÄRSKILDA BEHANDLINGSKATEGORIER</h3>
<p>Artikel 8</p>
<h3>Behandlingen av särskilda kategorier av uppgifter</h3>
<p>1. Medlemsstaterna skall förbjuda behandling av personuppgifter som<br>avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller<br>filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör<br>hälsa och sexualliv.</p>
<p>2. Punkt 1 gäller inte om</p>
<p>a) den registrerade har lämnat sitt uttryckliga samtycke till en sådan<br>behandling, utom när det enligt medlemsstatens lagstiftning anges att<br>förbudet i punkt 1 inte kan upphävas genom den registrerades samtycke,<br>eller</p>
<p>b) behandlingen är nödvändig för att fullgöra de skyldigheter och<br>särskilda rättigheter som åligger den registeransvarige inom arbetsrätten,<br>i den omfattning detta är tillåtet enligt en nationell lagstiftning som<br>föreskriver lämpliga skyddsåtgärder, eller</p>
<p>Prop. 2000/01:50</p>
<p>Bilaga 1</p>
<p>55</p>
<p>c) behandlingen är nödvändig för att skydda den registrerades eller Prop. 2000/01:50<br>någon annan persons grundläggande intressen när den registrerade är Bilaga 1<br>fysiskt eller rättsligt förhindrad att ge sitt samtycke, eller</p>
<p>d) behandlingen utförs inom ramen för berättigad verksamhet hos en<br>stiftelse, en förening eller ett annat icke vinstdrivande organ, som har ett<br>politiskt, filosofiskt, religiöst eller fackligt syfte, förutsatt att behand-<br>lingen endast rör sådana organs medlemmar eller personer som på grund<br>av organets ändamål har regelbunden kontakt med detta och uppgifterna<br>inte lämnas ut till tredje man utan den registrerades samtycke, eller</p>
<p>e) behandlingen rör uppgifter som på ett tydligt sätt offentliggörs av den<br>registrerade eller är nödvändiga för att kunna fastslå, göra gällande eller<br>försvara rättsliga anspråk.</p>
<p>3. Punkt 1 gäller inte när behandlingen av uppgifterna är nödvändig med<br>hänsyn till förebyggande hälso- och sjukvård, medicinska diagnoser,<br>vård eller behandling eller administration av hälso- eller sjukvård eller<br>när dessa uppgifter behandlas av någon som är yrkesmässigt verksam på<br>hälso- och sjukvårdsområdet och som enligt nationell lagstiftning eller<br>bestämmelser som antagits av behöriga nationella organ är underkastad<br>tystnadsplikt eller av en annan person som är ålagd en liknande<br>tystnadsplikt.</p>
<p>4. Under förutsättning av lämpliga skyddsåtgärder och av hänsyn till ett<br>viktigt allmänt intresse far medlemsstaterna antingen i sin nationella<br>lagstiftning eller genom ett beslut av tillsynsmyndigheten besluta om<br>andra undantag än de som nämns i punkt 2.</p>
<p>5. Behandling av uppgifter om lagöverträdelser, brottmålsdomar eller<br>säkerhetsåtgärder får utföras endast under kontroll av en myndighet eller<br>- om lämpliga skyddsåtgärder finns i nationell lag - med förbehåll för de<br>ändringar som medlemsstaterna kan tillåta med stöd av nationella<br>bestämmelser som innehåller lämpliga och specifika skyddsåtgärder. Ett<br>fullständigt register över brottmålsdomar får dock föras endast under<br>kontroll av en myndighet.</p>
<p>Medlemsstaterna lår föreskriva att uppgifter som rör administrativa<br>sanktioner eller avgöranden i tvistemål också skall behandlas under<br>kontroll av en myndighet.</p>
<p>6. De undantag från punkt 1 som anges i punkterna 4 och 5 skall anmälas<br>till kommissionen.</p>
<p>7. Medlemsstaterna skall bestämma på vilka villkor ett nationellt<br>identifikationsnummer eller något annat vedertaget sätt för identifiering<br>får behandlas.</p>
<p>56</p>
<p>Artikel 9</p>
<h3>Behandling av personuppgifter och yttrandefriheten</h3>
<p>Medlemsstaterna skall med avseende på behandling av personuppgifter<br>som sker uteslutande för journalistiska ändamål eller konstnärligt eller<br>litterärt skapande besluta om undantag och avvikelser från bestämmel-<br>serna i detta kapitel, kapitel IV och kapitel VI endast om de är<br>nödvändiga för att förena rätten till privatlivet med reglerna om<br>yttrandefriheten.</p>
<h3>AVDELNING IV</h3>
<p>INFORMATIONSPLIKT TILL DEN REGISTRERADE</p>
<p>Artikel 10</p>
<h3>Information vid insamling av uppgifter från den registrerade</h3>
<p>Medlemsstaterna skall föreskriva att den registeransvarige eller hans<br>företrädare i vart fall skall ge den person från vilken uppgifter om honom<br>själv samlas in följande information, utom i fall då han redan känner till<br>informationen:</p>
<p>a) Den registeransvariges och dennes eventuella företrädares identitet.</p>
<p>b) Ändamålen med den behandling för vilken uppgifterna är avsedda.</p>
<p>c) All ytterligare information, exempelvis</p>
<p>- mottagarna eller de kategorier som mottar uppgifterna,</p>
<p>- huruvida det är obligatoriskt eller frivilligt att besvara frågorna<br>samt eventuella följder av att inte svara,</p>
<p>- förekomsten av rättigheter att fa tillgång till och att erhålla rättelse<br>av uppgifter som rör honom,</p>
<p>i den utsträckning som den ytterligare informationen - med hänsyn till de<br>särskilda omständigheter under vilka uppgifterna samlas in - är<br>nödvändig för att tillförsäkra den registrerade en korrekt behandling.</p>
<p>Artikel 11</p>
<h3>Information när uppgifterna inte har samlats in från den<br>registrerade</h3>
<p>1. Om uppgifterna inte har samlats in från den registrerade, skall<br>medlemsstaterna föreskriva att den registeransvarige eller hans före-<br>trädare vid tiden för registreringen av personuppgifter eller, om utläm-<br>nande till en tredje man kan förutses, inte senare än vid den tidpunkt då<br>uppgifterna först lämnas ut, skall ge den registrerade åtminstone följande<br>information, utom när den registrerade redan känner till informationen:</p>
<p>a) Den registeransvariges och dennes eventuella företrädares identitet.</p>
<p>b) Ändamålen med behandlingen.</p>
<p>c) All ytterligare information, exempelvis</p>
<p>- de kategorier av uppgifter som behandlingen gäller,</p>
<p>- mottagarna eller de kategorier som mottar uppgifterna.</p>
<p>Prop. 2000/01:50</p>
<p>Bilaga 1</p>
<p>57</p>
<p>- förekomsten av rättigheter att fl tillgång till och att erhålla rättelse av<br>de uppgifter som rör honom, i den utsträckning som den ytterligare<br>informationen - med hänsyn till de särskilda omständigheter under vilka<br>uppgifterna samlas in - är nödvändig för att tillförsäkra den registrerade<br>en korrekt behandling.</p>
<p>2. Bestämmelserna i punkt 1 skall inte gälla när det - särskilt i samband<br>med behandling för statistiska ändamål eller historiska eller veten-<br>skapliga forskningsändamål - visar sig omöjligt eller innebära en<br>oproportionerligt stor ansträngning att ge information eller om regist-<br>rering eller utlämnande uttryckligen föreskrivs i författning. I sådana fall<br>skall medlemsstaterna föreskriva lämpliga skyddsåtgärder.</p>
<p>AVDELNING V</p>
<p>DEN REGISTRERADES RÄTT ATT FÅ TILLGÅNG TILL<br>UPPGIFTER</p>
<p>Artikel 12</p>
<h3>Rätt till tillgång</h3>
<p>Medlemsstaterna skall säkerställa att varje registrerad har rätt att från den<br>registeransvarige</p>
<p>a) utan hinder och med rimliga intervall samt utan större tidsutdräkt<br>eller kostnader</p>
<p>- fa bekräftelse på om uppgifter som rör honom behandlas eller inte<br>och information om åtminstone ändamålen med behandlingen, de<br>berörda uppgiftskategoriema och mottagarna eller mottagarkatc-<br>goriema till vilka uppgifterna utlämnas,</p>
<p>- få begriplig information om vilka uppgifter som behandlas och all<br>tillgänglig information om varifrån dessa uppgifter kommer,</p>
<p>- få kännedom om den logik som används när uppgifter som rör<br>honom behandlas på automatisk väg åtminstone såvitt avser sådana<br>automatiska beslut som avses i artikel 15.1,</p>
<p>b) i förekommande fall få sådana uppgifter som inte behandlats i enlighet<br>med bestämmelserna i detta direktiv rättade, utplånade eller blockera-<br>de, särskilt om dessa är ofullständiga eller felaktiga,</p>
<p>c) få genomfört att en tredje man till vilken sådana uppgifter utlämnats<br>underrättas om varje rättelse, utplåning eller blockering som utförts i<br>enlighet med punkt b), om detta inte visar sig vara omöjligt eller<br>innebär en oproportionerligt stor ansträngning.</p>
<p>Prop. 2000/01:50</p>
<p>Bilaga 1</p>
<p>58</p>
<p>AVDELNING VI</p>
<h3>UNDANTAG OCH BEGRÄNSNINGAR</h3>
<p>Artikel 13</p>
<h3>Undantag och begränsningar</h3>
<p>1. Medlemsstaterna får genom lagstiftning vidta åtgärder för att begränsa<br>omfattningen av de skyldigheter och rättigheter som anges i artiklarna<br>6.1, 10, 11.1, 12 och 21 i fall då en sådan begränsning är en nödvändig<br>åtgärd med hänsyn till</p>
<p>a) statens säkerhet,</p>
<p>b) försvaret,</p>
<p>c) allmän säkerhet,</p>
<p>d) förebyggande, undersökning, avslöjande av brott eller åtal för brott<br>eller av överträdelser av etiska regler som gäller för lagreglerade<br>yrken,</p>
<p>e) ett viktigt ekonomiskt eller finansiellt intresse hos en medlemsstat<br>eller hos Europeiska unionen, inklusive monetära frågor,<br>budgetfrågor och skattefrågor,</p>
<p>f) en tillsyns-, inspektions- eller regleringsfunktion som, även om den<br>är av övergående karaktär, är förbunden med myndighetsutövning i<br>de under punkterna c), d) och e) nämnda fallen,</p>
<p>g) skydd av den registrerades eller andras fri- och rättigheter.</p>
<p>2. Under förutsättning av lämpliga rättsliga garantier får medlems-<br>staterna, i synnerhet om uppgifterna inte används för åtgärder eller beslut<br>som avser särskilda registrerade personer, i fall då det uppenbarligen inte<br>föreligger någon risk att den berörda personens privatliv kränks, genom<br>lagstiftning begränsa de rättigheter som anges i artikel 12 när uppgifterna<br>endast behandlas för ändamål som har med vetenskaplig forskning att<br>göra eller när uppgifterna endast lagras i form av personuppgifter under<br>en begränsad tid som inte överstiger den tid som är nödvändig för att<br>framställa statistik.</p>
<p>AVDELNING VII</p>
<h3>DEN REGISTRERADES RÄTT ATT GÖRA INVÄNDNINGAR</h3>
<p>Artikel 14</p>
<h3>Den registrerades rätt att göra invändningar</h3>
<p>Medlemsstaterna skall tillförsäkra den registrerade rätten att</p>
<p>a) åtminstone i de fall som avses i artikel 7 e) och f) när som helst av<br>avgörande och berättigade skäl som rör hans personliga situation<br>motsätta sig behandling av uppgifter som rör honom, utom när den<br>nationella lagstiftningen föreskriver något annat. När invändningen är<br>berättigad får den behandling som påbörjats av den registeransvarige<br>inte längre avse dessa uppgifter,</p>
<p>Prop. 2000/01:50</p>
<p>Bilaga 1</p>
<p>59</p>
<p>b) efter anmodan och utan kostnader motsätta sig behandling av<br>personuppgifter som rör honom och som den registeransvarige<br>bedömer kan komma att behandlas for ändamål som rör direkt<br>marknadsföring, eller att bli informerad innan personuppgifter för<br>första gången lämnas ut till tredje man eller används för tredje mans<br>räkning för ändamål som rör direkt marknadsföring, och att<br>uttryckligen få erbjudande om att utan kostnader motsätta sig ett<br>sådant utlämnande eller sådan användning.</p>
<p>Medlemsstaterna skall vidta nödvändiga åtgärder för att säkerställa att de<br>registrerade känner till den rättighet som anges i första stycket i b).</p>
<p>Artikel 15</p>
<h3>Databehandlade beslut</h3>
<p>1. Medlemsstaterna skall ge varje person rätten att inte bli föremål för ett<br>beslut som har rättsliga följder för honom eller som märkbart påverkar<br>honom och som enbart grundas på automatisk behandling av uppgifter<br>som är avsedda att bedöma vissa personliga egenskaper hos honom,<br>exempelvis hans arbetsprestationer, kreditvärdighet, pålitlighet och<br>uppträdande.</p>
<p>2. Om inte annat följer av övriga bestämmelser i detta direktiv skall<br>medlemsstaterna föreskriva att en person lår bli föremål för ett beslut av<br>det slag som avses i punkt 1 om beslutet</p>
<p>a) fattas som ett led i ingåendet eller fullgörandet av ett avtal, förutsatt<br>att den registrerades begäran om ingående eller fullgörande av avtalet har<br>bifallits eller att det vidtas lämpliga åtgärder för att skydda hans<br>berättigade intressen, exempelvis möjligheten för honom att göra sin<br>uppfattning gällande, eller</p>
<p>b) tillåts i lagstiftning som innehåller bestämmelser till skydd för den<br>registrerades berättigade intressen.</p>
<h3>AVDELNING VIII</h3>
<h3>SEKRETESS OCH SÄKERHET VID BEHANDLING</h3>
<p>Artikel 16</p>
<h3>Sekretess vid behandling</h3>
<p>Den som utför arbete under den registeransvarige eller registerföraren,<br>liksom registerföraren själv, och som får tillgång till personuppgifter, får<br>behandla dem endast enligt instruktion från den registeransvarige, om<br>han inte är skyldig att göra det enligt lag.</p>
<p>Prop. 2000/01:50</p>
<p>Bilaga 1</p>
<p>60</p>
<p>Artikel 17</p>
<h3>Säkerhet vid behandling</h3>
<p>1. Medlemsstaterna skall föreskriva att den registeransvarige skall<br>genomföra lämpliga tekniska och organisatoriska åtgärder för att skydda<br>personuppgifter från förstöring genom olyckshändelse eller otillåtna<br>handlingar eller förlust genom olyckshändelse samt mot ändringar,<br>otillåten spridning av eller otillåten tillgång till uppgifterna, särskilt om<br>behandlingen innefattar överföring av uppgifter i ett nätverk, och mot<br>varje annat slag av otillåten behandling.</p>
<p>Dessa åtgärder skall med beaktande av den nuvarande tekniska nivån och<br>de kostnader som är förenade med åtgärdernas genomförande<br>åstadkomma en lämplig säkerhetsnivå i förhållande till de risker som är<br>förknippade med behandlingen och arten av de uppgifter som skall<br>skyddas.</p>
<p>2. Medlemsstaterna skall föreskriva att den registeransvarige, när<br>behandlingen utförs för dennes räkning, skall välja en registerförare som<br>kan ge tillräckliga garantier vad gäller de tekniska säkerhetsåtgärder och<br>de organisatoriska åtgärder som måste vidtas och tillse att dessa åtgärder<br>genomförs.</p>
<p>3. När uppgifter behandlas av en registerförare skall hanteringen regleras<br>genom ett avtal eller genom en annan rättsligt bindande handling mellan<br>registerföraren och den registeransvarige och i handlingen skall särskilt<br>föreskrivas att</p>
<p>- registerföraren endast far handla på instruktioner från den register-<br>ansvarige,</p>
<p>- de skyldigheter som anges i punkt 1, såsom de definieras i<br>lagstiftningen i den medlemsstat i vilken registerföraren är etablerad,<br>även skall åvila registerföraren.</p>
<p>4. För att säkra bevisning skall de delar av avtalet eller den rättsligt<br>bindande handlingen som rör skyddet av uppgifter och de krav som rör<br>åtgärder som anges i punkt 1 föreligga i skriftlig eller därmed jämförlig<br>form.</p>
<h3>AVDELNING IX</h3>
<h3>ANMÄLAN</h3>
<p>Artikel 18</p>
<h3>Anmälningsplikt gentemot tillsynsmyndigheten</h3>
<p>1. Medlemsstaterna skall föreskriva att den registeransvarige eller hans<br>eventuella företrädare före genomförandet av en behandling eller en serie<br>behandlingar som helt eller delvis genomförs på automatisk väg och som<br></p>
<p>Prop. 2000/01:50</p>
<p>Bilaga 1</p>
<p>61</p>
<p>har samma eller flera närbesläktade ändamål skall underrätta den<br>tillsynsmyndighet som avses i artikel 28.</p>
<p>2. Medlemsstaterna får endast i följande fall och på följande villkor<br>föreskriva om undantag från anmälningsplikten eller förenklad anmäl-<br>ningsplikt:</p>
<p>- Om medlemsstaten för de typer av behandling, i samband med vilka<br>det med hänsyn till de behandlade uppgifterna inte är sannolikt att de<br>registrerades fri- och rättigheter kränks, anger behandlingens ända-<br>mål, vilka uppgifter eller kategorier av uppgifter som behandlas,<br>vilka registrerade eller kategorier av registrerade som avses, till vilka<br>mottagare eller kategorier av mottagare uppgifterna lämnas ut samt<br>hur länge uppgifterna skall bevaras och/eller</p>
<p>- om den registeransvarige i enlighet med den nationella lagstiftning<br>som gäller för denne, utser ett uppgiftsskyddsombud, som särskilt<br>skall ha till uppgift</p>
<p>- att på ett oberoende sätt säkerställa den interna tillämpningen av de<br>nationella bestämmelser som antagits till följd av detta direktiv,</p>
<p>- att föra ett register över de behandlingar som utförs av den register-<br>ansvarige, vilket register skall innehålla den information som nämns i<br>artikel 21.2,</p>
<p>- för att på detta sätt säkerställa att de registrerades fri- och rättigheter<br>sannolikt inte kommer att kränkas som en följd av behandlingarna.</p>
<p>3. Medlemsstaterna får föreskriva att punkt 1 inte skall gälla för en sådan<br>behandling vars enda syfte är förandet av ett register, som enligt lagar<br>eller andra författningar är avsett att förse allmänheten med information<br>och som är tillgängligt antingen för allmänheten eller för var och en som<br>kan styrka ett berättigat intresse.</p>
<p>4. Medlemsstaterna får föreskriva undantag från anmälningsplikten eller<br>ett förenklat anmälningsförfarande för sådan behandling som avses i<br>artikel 8.2 d).</p>
<p>5. Medlemsstaterna får föreskriva att vissa eller alla icke-automatiska<br>behandlingar av personuppgifter skall anmälas eller att ett förenklat<br>anmälningsförfarande skall gälla för dem.</p>
<p>Artikel 19</p>
<h3>Anmälans innehåll</h3>
<p>1. Medlemsstaterna skall precisera vilka uppgifter som anmälan skall<br>innehålla. Den skall åtminstone innehålla</p>
<p>a) den registeransvariges och dennes eventuella företrädares namn och<br>adress,</p>
<p>b) ändamålen med behandlingen,</p>
<p>c) en beskrivning av den eller de kategorier av registrerade som berörs<br>och av de uppgifter eller kategorier av uppgifter som hänför sig till<br>dem,</p>
<p>Prop. 2000/01:50</p>
<p>Bilaga 1</p>
<p>62</p>
<p>d) mottagarna eller de kategorier av mottagare till vilka uppgifterna kan<br>komma att lämnas ut,</p>
<p>e) föreslagna överföringar av uppgifter till tredje land,</p>
<p>f) en allmän beskrivning som gör det möjligt att preliminärt bedöma<br>lämpligheten av de åtgärder som i enlighet med artikel 17 vidtagits<br>för att trygga säkerheten i behandlingen.</p>
<p>2. Medlemsstaterna skall ange villkoren för anmälan till tillsyns-<br>myndigheten av förändringar som rör den i punkt 1 angivna informa-<br>tionen.</p>
<p>Artikel 20</p>
<h3>Förhandskontroll</h3>
<p>1. Medlemsstaterna skall bestämma vilka behandlingar som kan innebära<br>särskilda risker för den registrerades fri- och rättigheter och skall<br>säkerställa att dessa behandlingar kontrolleras innan de påbörjas.</p>
<p>2. Sådana förhandskontroller skall utföras av tillsynsmyndigheten när<br>den mottagit anmälan från den registeransvarige eller från uppgifts-<br>skyddsombudet, som i tveksamma fall skall rådfråga tillsynsmyndig-<br>heten.</p>
<p>3. Medlemsstaterna kan också utföra sådana kontroller som ett led i det<br>nationella parlamentets förberedande arbete med en åtgärd eller som ett<br>led i arbetet med en åtgärd som grundas på en sådan lagstiftande åtgärd,<br>som definierar behandlingens art och anger lämpliga skyddsåtgärder.</p>
<p>Artikel 21</p>
<h3>Behandlingarnas offentlighet</h3>
<p>1. Medlemsstaterna skall vidta åtgärder för att tillse att behandlingarna<br>görs offentligt tillgängliga.</p>
<p>2. Medlemsstaterna skall föreskriva att tillsynsmyndigheten skall föra ett<br>register över sådana behandlingar som har anmälts i enlighet med artikel<br>18.</p>
<p>Registret skall innehålla åtminstone den information som anges i artikel</p>
<p>19.1 a)-e).</p>
<p>Registret skall vara allmänt tillgängligt.</p>
<p>3. För sådan behandling som inte omfattas av anmälningsplikt skall<br>medlemsstaterna föreskriva att de registeransvariga eller något annat<br>organ, som medlemsstaterna utser, på lämpligt sätt skall tillhandahålla<br>var och en som begär det åtminstone den information som anges i artikel</p>
<p>19.1 a-e).</p>
<p>Prop. 2000/01:50</p>
<p>Bilaga 1</p>
<p>63</p>
<p>Medlemsstaterna får föreskriva att denna bestämmelse inte skall<br>tillämpas på sådan behandling vars enda ändamål är att föra ett register,<br>som i enlighet med lagar eller andra författningar är avsett att ge<br>allmänheten information och som är tillgängligt for allmänheten eller för<br>var och en som kan styrka ett berättigat intresse.</p>
<h3>KAPITEL III</h3>
<p>RÄTTSLIG PRÖVNING, ANSVAR OCH SANKTIONER</p>
<p>Artikel 22</p>
<h3>Rättslig prövning</h3>
<p>Medlemsstaterna skall - utan att det påverkar möjligheten att utnyttja<br>något administrativt förfarande, till exempel vid den tillsynsmyndighet<br>som avses i artikel 28, som kan användas innan ett ärende anhängiggörs<br>hos en rättslig instans - föreskriva att var och en har rätt att föra talan<br>inför domstol om sådana kränkningar av rättigheter som skyddas av den<br>nationella lagstiftning som är tillämplig på ifrågavarande behandling.</p>
<p>Artikel 23</p>
<h3>Ansvar</h3>
<p>1. Medlemsstaterna skall föreskriva att var och en som lidit skada till<br>följd av en otillåten behandling eller av någon annan åtgärd som är<br>oförenlig med de nationella bestämmelser som antagits till följd av detta<br>direktiv, har rätt till ersättning av den registeransvarige för den skada<br>som han har lidit.</p>
<p>2. Den registeransvarige kan helt eller delvis undgå detta ansvar om han<br>bevisar att han inte är ansvarig for den händelse som orsakade skadan.</p>
<p>Artikel 24</p>
<h3>Sanktioner</h3>
<p>Medlemsstaterna skall anta lämpliga bestämmelser för att säkerställa att<br>detta direktiv genomförs fullständigt och skall särskilt besluta om de<br>sanktioner som skall användas vid överträdelse av de bestämmelser som<br>antagits för att genomföra detta direktiv.</p>
<p>Prop. 2000/01:50</p>
<p>Bilaga 1</p>
<p>64</p>
<h3>KAPITEL IV</h3>
<p>ÖVERFÖRING AV PERSONUPPGIFTER TILL TREDJE LAND</p>
<p>Artikel 25</p>
<h3>Principer</h3>
<p>1. Medlemsstaterna skall föreskriva att överföringen av personuppgifter<br>som är under behandling eller som är avsedda att behandlas efter<br>överföring till tredje land endast far ske om ifrågavarande tredje land -<br>utan att detta påverkar tillämpningen av de nationella bestämmelser som<br>antagits till följd av de andra bestämmelserna i detta direktiv -<br>säkerställer en adekvat skyddsnivå.</p>
<p>2. Bedömningen av om skyddsnivån i ett tredje land är adekvat skall ske<br>på grundval av alla de förhållanden som har samband med en överföring<br>eller en grupp av överföringar av uppgifter. Härvid skall särskilt beaktas<br>uppgiftens art, den eller de avsedda behandlingarnas ändamål och varak-<br>tighet, ursprungslandet och det slutliga bestämmelselandet, de allmänna<br>respektive särskilda rättsregler som gäller i ifrågavarande tredje land<br>liksom de regler för yrkesverksamhet och säkerhet som gäller där.</p>
<p>3. Medlemsstaterna och kommissionen skall informera varandra när de<br>anser att ett tredje land inte erbjuder en adekvat skyddsnivå enligt punkt<br>2.</p>
<p>4. Om kommissionen i enlighet med ett sådant förfarande som beskrivs i<br>artikel 31.2 finner att ett tredje land inte erbjuder en sådan adekvat<br>skyddsnivå som beskrivs i punkt 2 i denna artikel, skall medlemsstaterna<br>vidta de åtgärder som är nödvändiga för att hindra överföring av<br>uppgifter av samma slag till ifrågavarande tredje land.</p>
<p>5. Vid lämpligt tillfälle skall kommissionen inleda förhandlingar för att<br>avhjälpa den situation som uppstått när kommissionen kommit till den<br>slutsats som anges i punkt 4.</p>
<p>6. Kommissionen kan, i enlighet med det i artikel 31.2 angivna<br>förfarandet, konstatera att ett tredje land genom sin interna lagstiftning<br>eller på grund av de internationella förpliktelser som - särskilt till följd<br>av sådana förhandlingar som anges i punkt 5 och som gäller skyddet för<br>privatliv och enskilda personers grundläggande fri- och rättigheter -<br>åligger landet har en skyddsnivå som är adekvat i den mening som avses<br>i punkt 2 i denna artikel.</p>
<p>Medlemsstaterna skall vidta de åtgärder som är nödvändiga för att följa<br>kommissionens beslut.</p>
<p>Prop. 2000/01:50</p>
<p>Bilaga 1</p>
<p>3 Riksdagen 2000/01. 1 saml. Nr 50</p>
<p>Artikel 26</p>
<h3>Undantag</h3>
<p>1. Med undantag från artikel 25 skall medlemsstaterna - om det inte<br>finns tvingande regler om detta i deras lagstiftning - före-skriva att<br>överföring av personuppgifter till ett tredje land som inte har en adekvat<br>skyddsnivå i den mening som avses i artikel 25.2 får ske om</p>
<p>a) den registrerade otvetydigt har samtyckt till den planerade<br>överföringen, eller</p>
<p>b) överföringen är nödvändig för att fullgöra ett avtal mellan den<br>registrerade och den registeransvarige eller för att på den registrera-<br>des begäran genomföra åtgärder som vidtas innan avtalet ingås, eller</p>
<p>c) överföringen är nödvändig för att ingå eller fullgöra ett avtal mellan<br>den registeransvarige och tredje man i den registrerades intresse, eller</p>
<p>d) överföringen är nödvändig eller bindande enligt författning av skäl<br>som rör viktiga allmänna intressen eller för att fastslå, göra gällande<br>eller försvara rättsliga anspråk, eller</p>
<p>e) överföringen är nödvändig för att skydda intressen som är av<br>avgörande betydelse för den registrerade, eller</p>
<p>f) överföringen görs från ett offentligt register som enligt lagar eller<br>andra författningar är avsett att ge allmänheten information och som<br>är tillgängligt antingen för allmänheten eller för var och en som kan<br>styrka ett berättigat intresse, i den utsträckning som de i lag-<br>stiftningen angivna villkoren för tillgänglighet uppfylls i det enskilda<br>fallet.</p>
<p>2. Utan att detta påverkar tillämpningen av punkt 1 får en medlemsstat<br>tillåta överföring av personuppgifter till ett tredje land som inte säker-<br>ställer en skyddsnivå som är adekvat enligt artikel 25.2, om den<br>registeransvarige ställer tillräckliga garantier för att privatliv och<br>enskilda personers grundläggande fri- och rättigheter skyddas samt för<br>utövningen av motsvarande rättigheter. Sådana garantier kan framgå av<br>lämpliga avtalsklausuler.</p>
<p>3. Medlemsstaten skall informera kommissionen och de övriga medlems-<br>staterna om de överföringar som tillåtits enligt punkt 2.</p>
<p>Om en medlemsstat eller kommissionen på grunder som är berättigade<br>med hänsyn till skyddet för privatliv och enskilda personers grund-<br>läggande fri- och rättigheter gör en invändning skall kommissionen vidta<br>lämpliga åtgärder i enlighet med det förfarande som avses i artikel 31.2.</p>
<p>Medlemsstaterna skall vidta de åtgärder som är nödvändiga för att följa<br>kommissionens beslut.</p>
<p>4. Om kommissionen i enlighet med det förfarande som anges i artikel</p>
<p>31.2 beslutar att vissa standardavtalsklausuler erbjuder tillräckliga garan-<br>tier enligt punkt 2, skall medlemsstaterna vidta nödvändiga åtgärder för<br>att följa kommissionens beslut.</p>
<p>Prop. 2000/01:50</p>
<p>Bilaga 1</p>
<p>66</p>
<p>KAPITEL V</p>
<p>Prop. 2000/01:50</p>
<p>Bilaga 1</p>
<h3>UPPFÖRANDEKODEX</h3>
<p>Artikel 21</p>
<p>1. Medlemsstaterna och kommissionen skall uppmuntra utarbetande av<br>uppförandekodexar som — med beaktande av de särskilda förhållandena<br>på olika områden - skall bidra till att på ett riktigt sätt genomföra de<br>nationella bestämmelser som medlemsstaterna antar för att genomföra<br>detta direktiv.</p>
<p>2. Medlemsstaterna skall föreskriva att branschorganisationer eller andra<br>organ som företräder andra kategorier av registeransvariga, som har<br>upprättat förslag till nationella kodexar eller som avser att ändra eller<br>utöka existerande nationella kodexar, kan lägga fram dessa för<br>bedömning av den nationella myndigheten.</p>
<p>Medlemsstaterna skall föreskriva att denna myndighet bland annat skall<br>kontrollera att de förslag som har lagts fram för myndigheten är i<br>överensstämmelse med de nationella bestämmelser som antagits till följd<br>av detta direktiv. Om myndigheten anser det lämpligt skall den inhämta<br>synpunkter från de registrerade eller deras företrädare.</p>
<p>3. Förslag till gemenskapskodexar och förslag till ändringar eller tillägg<br>till existerande sådana kodexar kan läggas fram för den arbetsgrupp som<br>avses i artikel 29. Denna arbetsgrupp skall bland annat avgöra om de<br>förslag som lagts fram för gruppen är i överensstämmelse med de<br>nationella bestämmelser som antagits för att genomföra detta direktiv.<br>Om gruppen anser det lämpligt skall den inhämta synpunkter från de<br>registrerade eller deras företrädare. Kommissionen kan tillse att de<br>kodexar som godkänts av arbetsgruppen offentliggörs på lämpligt sätt.</p>
<p>KAPITEL VI</p>
<p>TILLSYNSMYNDIGHET OCH ARBETSGRUPP FÖR SKYDD AV<br>ENSKILDA MED AVSEENDE PÅ BEHANDLINGEN AV<br>PERSONUPPGIFTER</p>
<p>Artikel 28</p>
<h3>Tillsynsmyndighet</h3>
<p>1. Varje medlemsstat skall tillse att det utses en eller flera myndigheter<br>som har till uppgift att inom dess territorium övervaka tillämpningen av<br>de bestämmelser som medlemsstaterna antar till följd av detta direktiv.</p>
<p>Dessa myndigheter skall fullständigt oberoende utöva de uppgifter som<br>åläggs dem.</p>
<p>67</p>
<p>2. Varje medlemsstat skall, tillse att tillsynsmyndigheten hörs när sådana<br>lagar eller andra författningar utarbetas som rör skyddet av enskilda<br>personers fri- och rättigheter med avseende på behandlingen av<br>personuppgifter.</p>
<p>3. Varje tillsynsmyndighet skall särskilt ha</p>
<p>- undersökningsbefogcnheter, såsom befogenhet att få tillgång till<br>uppgifter som blir föremål för behandling och befogenhet att inhämta<br>alla uppgifter som är nödvändiga för att sköta tillsynen,</p>
<p>- effektiva befogenheter att ingripa, som till exempel att kunna avge<br>yttranden i enlighet med artikel 20 innan en behandling äger rum, och<br>se till att sådana yttranden i lämplig omfattning offentliggörs, att<br>kunna besluta om blockering, utplåning eller förstöring av uppgifter,<br>att kunna besluta om tillfälligt eller slutligt förbud mot behandling,<br>att kunna ge den registeransvarige varning eller tillrättavisning eller<br>att kunna hänvisa saken till nationella parlament eller till andra<br>politiska institutioner,</p>
<p>- befogenhet att inleda rättsliga förfaranden när de nationella<br>bestämmelser som antagits till följd av detta direktiv har överträtts<br>eller att uppmärksamma de rättsliga myndigheterna på dessa<br>överträdelser.</p>
<p>Sådana beslut av tillsynsmyndigheten som går en part emot kan<br>överklagas till domstol.</p>
<p>4. Var och en kan, på egen hand eller företrädd av en organisation, vända<br>sig till tillsynsmyndigheten med begäran om skydd för sina fri- och<br>rättigheter med avseende på behandling av personuppgifter. Den berörda<br>personen skall informeras om vilka följder hans begäran har fått.</p>
<p>Var och en kan i samband med tillämpningen av de nationella bestäm-<br>melser som har antagits med stöd av artikel 13 i detta direktiv till<br>tillsynsmyndigheten ge in en begäran om att få kontrollera om en<br>behandling är tillåten. Den berörda personen skall informeras om vilka<br>följder hans begäran har fått.</p>
<p>5. Varje tillsynsmyndighet skall regelbundet upprätta en rapport om sin<br>verksamhet. Denna rapport skall offentliggöras.</p>
<p>6. En tillsynsmyndighet har, oavsett vilken nationell lagstiftning som<br>gäller för den aktuella behandlingen, behörighet att inom sin egen<br>medlemsstats territorium utöva de befogenheter som i enlighet med<br>punkt 3 åligger den. Varje myndighet kan av en myndighet i en annan<br>medlemsstat anmodas att utöva sina befogenheter.</p>
<p>Prop. 2000/01:50</p>
<p>Bilaga 1</p>
<p>De övervakande myndigheterna skall i den utsträckning som det behövs<br>samarbeta med varandra, särskilt genom att utbyta användbar informa-<br>tion.</p>
<p>68</p>
<p>7. Medlemsstaterna skall föreskriva att tillsynsmyndighetens ledamöter Prop. 2000/01:50<br>och personal, även sedan deras anställning upphört, skall ha tystnadsplikt Bilaga 1<br>med avseende på förtrolig information som de har tillgång till.</p>
<p>Artikel 29</p>
<h3>Arbetsgrupp för skydd av enskilda med avseende på behandlingen<br>av personuppgifter</h3>
<p>1. En arbetsgrupp för skydd av enskilda med avseende på behandling av<br>personuppgifter, hädanefter kallad ”arbetsgruppen” inrättas härmed.</p>
<p>Arbetsgruppen skall vara rådgivande och oberoende.</p>
<p>2. Arbetsgruppen skall vara sammansatt av en företrädare för den eller de<br>tillsynsmyndigheter som utsetts av vaije medlemsstat, av en företrädare<br>för den eller de myndigheter som har inrättats för gemenskapens<br>institutioner och organ samt av en företrädare för kommissionen.</p>
<p>Varje medlem av arbetsgruppen skall utses av den institution eller av den<br>eller de myndigheter som han företräder. När en medlemsstat har fler<br>tillsynsmyndigheter än en, skall dessa utse en gemensam företrädare.<br>Detsamma skall gälla för de myndigheter som inrättats för gemenskapens<br>institutioner och organ.</p>
<p>3. Arbetsgruppen skall fatta beslut med enkel majoritet av tillsyns-<br>myndigheternas företrädare.</p>
<p>4. Arbetsgruppen skall välja sin ordförande. Ordförandens mandattid<br>skall vara två år. Mandatet kan förlängas.</p>
<p>5. Arbetsgruppens sekretariatsuppgifter skall ombesörjas av kommis-<br>sionen.</p>
<p>6. Arbetsgruppen skall själv fastställa sin arbetsordning.</p>
<p>7. Arbetsgruppen skall behandla frågor som förts upp på dess dagordning<br>av ordföranden, antingen på dennes eget initiativ eller på begäran av en<br>företrädare för tillsynsmyndigheterna eller för kommissionen.</p>
<p>Artikel 30</p>
<p>1. Arbetsgruppen skall</p>
<p>a) utreda varje fråga som rör tillämpningen av de nationella bestäm-<br>melser som antagits för genomförandet av detta direktiv, för att bidra<br>till en enhetlig tillämpning av bestämmelserna,</p>
<p>b) yttra sig till kommissionen om skyddsnivån inom gemenskapen och i<br>tredje land,</p>
<p>c) ge kommissionen råd om varje föreslagen ändring av detta direktiv,<br>om vilka ytterligare eller särskilda åtgärder som bör vidtas för att<br>skydda fysiska personers fri- och rättigheter med avseende på</p>
<p>69</p>
<p>4 Riksdagen 2000/01. 1 saml. Nr 50<br></p>
<p>behandling av personuppgifter och om alla andra föreslagna gemen-<br>skapsåtgärder som rör sådana fri- och rättigheter,</p>
<p>d) avge yttranden om de uppförandekodexar som utarbetas på gemen-<br>skapsnivå.</p>
<p>2. Om arbetsgruppen konstaterar förekomsten av sådana skillnader<br>mellan medlemsstaternas lagstiftning eller praxis, som kan vara till<br>nackdel för likvärdigheten i skyddet för personer med avseende på<br>behandlingen av personuppgifter inom gemenskapen, skall gruppen<br>informera kommissionen om detta.</p>
<p>3. Arbetsgruppen kan på eget initiativ utfärda rekommendationer i alla<br>frågor som rör skyddet av personer med avseende på behandlingen av<br>personuppgifter inom gemenskapen.</p>
<p>4. Arbetsgruppens yttranden och rekommendationer skall framläggas för<br>kommissionen och den kommitté som avses i artikel 31.</p>
<p>5. Kommissionen skall informera arbetsgruppen om det sätt på vilket den<br>har tagit hänsyn till yttrandena och rekommendationerna. För att göra<br>detta skall kommissionen utarbeta en rapport som också skall framläggas<br>för Europaparlamentet och rådet. Rapporten skall offentliggöras.</p>
<p>6. Arbetsgruppen skall utarbeta en årsrapport om situationen rörande<br>skyddet för fysiska personer med avseende på behandlingen av person-<br>uppgifter inom gemenskapen och i tredje land, som den skall översända<br>till kommissionen, Europaparlamentet och rådet. Rapporten skall<br>offentliggöras.</p>
<h3>KAPITEL VII</h3>
<h3>GEMENSKAPENS ÅTGÄRDER FÖR GENOMFÖRANDE</h3>
<p>Artikel 31</p>
<h3>Kommittén</h3>
<p>1. Kommissionen skall biträdas av en kommitté som är sammansatt av<br>företrädare för medlemsstaterna och som har kommissionens företrädare<br>som ordförande.</p>
<p>2. Kommissionens företrädare skall förelägga kommittén ett förslag till<br>åtgärder. Kommittén skall yttra sig över förslaget inom en tid som<br>ordföranden bestämmer med hänsyn till hur brådskande ärendet är.</p>
<p>Yttrandet skall avges med den majoritet som anges i artikel 148.2 i<br>fördraget. Vid omröstning i kommittén skall medlemsstaternas röster<br>vägas på det sätt som anges i den artikeln. Ordföranden skall inte rösta.<br>Kommissionen skall besluta om åtgärder som skall ha omedelbar verkan.<br>Om emellertid åtgärderna avviker från kommitténs yttrande, skall</p>
<p>Prop. 2000/01:50</p>
<p>Bilaga 1</p>
<p>70</p>
<p>kommissionen omedelbart underställa rådet ärendet. I detta fall gäller<br>följande:</p>
<p>- Kommissionen skall uppskjuta genomförandet av åtgärderna under<br>en tidsfrist om tre månader räknad från meddelandedatum,</p>
<p>- Rådet kan med kvalificerad majoritet fatta ett avvikande beslut inom<br>den tidsfrist som anges i den första strecksatsen.</p>
<h3>SLUTBESTÄMMELSER</h3>
<p>Artikel 32</p>
<p>1. Medlemsstaterna skall sätta i kraft de lagar och andra författningar,<br>som är nödvändiga för att följa detta direktiv, senast tre år efter dess<br>antagande.</p>
<p>När en medlemsstat antar dessa bestämmelser skall de innehålla en<br>hänvisning till detta direktiv eller åtföljas av en sådan hänvisning när de<br>offentliggörs. Närmare föreskrifter om hur hänvisningen skall göras skall<br>varje medlemsstat själv utfarda.</p>
<p>2. Medlemsstaterna skall se till att sådan behandling som redan pågår när<br>de nationella bestämmelser som antas till följd av detta direktiv träder i<br>kraft bringas i överensstämmelse med dessa bestämmelser inom tre år<br>från denna tidpunkt.</p>
<p>I fråga om sådana uppgifter som redan finns i manuella register vid<br>ikraftträdandet av de nationella bestämmelser som antas för att genom-<br>föra detta direktiv far medlemsstaterna, med avvikelse från föregående<br>stycke, föreskriva att behandlingen skall bringas i överensstämmelse med<br>artiklarna 6-8 i detta direktiv inom tolv år räknat från dagen för direk-<br>tivets antagande. Medlemsstaterna skall dock ge den registrerade rätt att<br>på begäran och särskilt i samband med att han utövar sin rätt till tillgång<br>till uppgifter, erhålla rättelse, utplåning eller blockering av uppgifter som<br>är ofullständiga, felaktiga eller lagrade på ett sätt som inte är förenligt<br>med de legitima ändamål som den registeransvarige vill uppnå.</p>
<p>3. Med undantag från punkt 2 kan medlemsstaterna under förutsättning<br>av lämpliga skyddsåtgärder föreskriva att uppgifter som endast bevaras<br>för historisk forskning inte behöver överensstämma med artiklarna 6-8 i<br>detta direktiv.</p>
<p>4. Medlemsstaterna skall till kommissionen överlämna texten till de<br>nationella bestämmelser som de antar inom det område som omfattas av<br>detta direktiv.</p>
<p>Artikel 33</p>
<p>Kommissionen skall första gången senast tre år efter den tidpunkt som<br>anges i artikel 32.1 och därefter regelbundet till rådet och Europa-<br>parlamentet avge en rapport om genomförandet av detta direktiv, even-</p>
<p>Prop. 2000/01:50</p>
<p>Bilaga 1</p>
<p>tucllt försedd med lämpliga ändringsförslag. Rapporten skall offent-<br>liggöras.</p>
<p>Kommissionen skall särskilt undersöka tillämpningen av detta direktiv på<br>behandling av ljud- och bilduppgifter som rör fysiska personer och skall<br>framlägga alla lämpliga förslag som med beaktande av informations-<br>teknikens och informationssamhällets utveckling, visar sig nödvändiga.</p>
<p>Artikel 34</p>
<p>Detta direktiv riktar sig till medlemsstaterna.</p>
<p>Utfärdat i Luxemburg den 24 oktober 1995</p>
<p>På Europaparlamentets vägnar På rådets vägnar</p>
<p>K. HÄNSCH L. AT1ENZA SERNA</p>
<p>Ordförande Ordförande</p>
<p>Prop. 2000/01:50</p>
<p>Bilaga 1</p>
<p>72</p>
<h2>Sammanfattning av departementspromemorian</h2>
<p>I utredningen tar jag inledningsvis upp frågan om reglerna angående<br>personuppgifter bör inforas i kreditupplysningslagen. Som skäl för detta<br>har nämnts att kreditupplysningsföretagen och Datainspektionen inte<br>skall behöva tillämpa både kreditupplysningslagen och den kommande<br>personuppgiftslagen för sin verksamhet. Jag har dock stannat för att<br>regleringen av hur personuppgifter skall behandlas i princip bör finnas<br>enbart i personuppgiftslagen och att endast sådana regler som avviker<br>från den lagen bör föras in i kreditupplysningslagen. I kreditupplys-<br>ningslagen bör dock tas in en regel som hänvisar till att också<br>personuppgiftslagen är tillämplig.</p>
<p>Av dataskyddsdirektivet följer att medlemsstaterna skall precisera på<br>vilka villkor behandling av personuppgifter är tillåten. Dessa villkor<br>föreslås angivna i lagen. Genom bestämmelsen får uppgifter, omdömen<br>och råd samlas in, lagras eller lämnas ut endast om det är påkallat av<br>kreditupplysningsändamål. Att automatiserad databehandling får använ-<br>das i kreditupplysningsverksamhet följer av reglerna i personuppgifts-<br>lagen och behöver därför inte särskilt anges i kreditupplysningslagen.<br>Också frågor om teknisk och organisatorisk säkerhet bör lösas genom<br>personuppgiftslagens bestämmelser.</p>
<p>Det föreslås att en allmän regel om gallring tas in. Personuppgifter får<br>enligt regeln inte bevaras under en längre tid än vad som är nödvändigt<br>med hänsyn till ändamålen med behandlingen.</p>
<p>Beträffande känsliga personuppgifter föreslås ett förbud mot att<br>behandla uppgifter avseende medlemskap i fackförening och hälsa.<br>Vidare föreslås att nuvarande möjlighet för Datainspektionen att medge<br>att uppgifter om att någon har varit föremål för åtgärder enligt<br>socialtjänstlagen, lagen med särskilda bestämmelser om vård av unga<br>m.fl. angivna lagar upphävs. Däremot bibehålls möjligheten att använda<br>uppgifter om brott och påföljder av brott. Också personnummer bör få<br>användas i kreditupplysningsverksamhet; i detta hänseende är dock<br>regleringen i personuppgiftslagen tillfyllest.</p>
<p>Beträffande information till den registrerade föreslås att person-<br>uppgiftslagen skall reglera frågan; kopior till handels och kommandit-<br>bolag skall dock alltjämt regleras i kreditupplysningslagen. Avsikten är<br>att nuvarande system med att sända ut upplysningskopior skall behållas<br>och regleras genom föreskrifter från Datainspektionen.</p>
<p>Det föreslås att den registrerade inte skall ha någon möjlighet att<br>motsätta sig registrering. Personuppgiftslagens bestämmelse bör reglera<br>frågan.</p>
<p>Kreditupplysningsverksamhet innebär att företagen lämnar uppgifter,<br>råd och omdömen till exempelvis kreditinstitut. Däremot beslutar inte<br>kreditupplysningsföretagen om kredit skall beviljas. Dataskyddsdirek-<br>tivets regler om s.k. automatiserade beslut rör således inte kreditupplys-<br>ningsverksamhet, varför en bestämmelse om sådana beslut inte är<br>nödvändig i kreditupplysningslagen.</p>
<p>Efter en genomgång av övriga bestämmelser i direktivet och kredit-<br>upplysningslagen konstaterar jag att direktivets villkor är uppfyllda.</p>
<p>Ändringarna föreslås träda i kraft den 1 juli 1999.</p>
<p>Prop. 2000/01:50</p>
<p>Bilaga 2</p>
<p>73</p>
<h2>Departementspromemorians lagförslag</h2>
<p>Förslag till lag om ändring i kreditupplysningslagen<br>(1973:1173)</p>
<p>Härigenom föreskrivs<sup>1</sup> i fråga om kreditupplysningslagcn<br>(1973:1173)<sup>2</sup></p>
<p>dels att 11 § skall upphöra att gälla,</p>
<p>dels att 5, 6, 8, 10 och 19 §§ skall ha följande lydelse,</p>
<p>dels att det i lagen skall införas en ny bestämmelse, 1 a §, av följande<br>lydelse,</p>
<p>dels att närmast före 1 a, 5, 6, 8 och 10 §§ skall införas nya rubriker av<br>följande lydelse,</p>
<p>dels att rubriken närmast före 2 § skall lyda ”Definitioner”, att rubri-<br>ken närmast före 9 § skall lyda ”Utlämnande av kreditupplysningar”,<br>att rubriken närmast före 12 § skall lyda ”Rättelse”, att rubriken närmast<br>före 13 § skall lyda ”Överlåtelse”, att rubriken närmast före 14 § skall<br>lyda ”Sekretess” samt att rubriken närmast före 23 § skall lyda<br>”Överklagande”.</p>
<p>Prop. 2000/01:50</p>
<p>Bilaga 3</p>
<p>Nuvarande lydelse Föreslagen lydelse</p>
<h3>Förhållande till personuppgifts-<br>agcn</h3>
<p>Om inget annat följer av denna<br>lag eller villkor som meddelats<br>med stöd därav, tillämpas person-<br>ppgiftslagen (1998:204) vid be-<br>andingen av personuppgifter för<br>kreditupplysningsändamål.</p>
<h3>Allmänt om<br>kreditupplysningsverksamhet</h3>
<p>5§<sup>3</sup></p>
<p>I fråga om fysiska personer får<br>uppgifter, omdömen och råd sam-<br>las in, lagras eller lämnas ut i<br>kreditupplysningsverksamhet en-<br>dast om det är påkallat av<br>kreditupplysningsändamål. Därvid<br>skall verksamheten uppfylla de</p>
<p><sup>1</sup> Jfr Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd<br>för enskilda personer med avseende på behandling av personuppgifter och om det fria<br>flödet av sådana uppgifter (EGT nr L 281,23.11.1995, s. 31, Celex 395L0046).</p>
<p><sup>2</sup> Lagen omtryckt 1981:737.</p>
<p>74</p>
<p>Kreditupplysningsverksamhet<br>skall bedrivas så att den ej leder<br>till otillbörligt intrång i personlig<br>integritet genom innehållet i de<br>upplysningar som förmedlas eller<br>på annat sätt eller till att oriktiga<br>eller missvisande uppgifter lagras<br>eller lämnas ut.</p>
<p>krav som framgår av 9 § person- Prop. 2000/01:50<br>uppgiftslagen. Verksamheten får Bilaga 3<br>bedrivas utan samtycke från den<br>registrerade.t</p>
<p>Kreditupplysningsverksamhet i<br>övrigt skall bedrivas så att den inte<br>leder till att oriktiga eller miss-<br>visande uppgifter lagras eller läm-<br>nas ut.</p>
<p>Uppgifter om en persons ras,<br>etniska ursprung, politiska uppfatt-<br>ning, religiösa eller filosofiska<br>övertygelse eller sexualliv far inte<br>samlas in, lagras eller lämnas ut i<br>kreditupplysningsverksamhet</p>
<p>Uppgifter om sjukdom, hälso-<br>tillstånd eller liknande får inte<br>utan medgivande av Datainspek-<br>tionen samlas in, lagras eller<br>lämnas ut i kreditupplysnings-<br>verksamhet. Detsamma gäller<br>uppgifter om att någon misstänks<br>eller har dömts for brott eller har<br>avtjänat straff eller undergått<br>någon annan påföljd för brott eller</p>
<h3>Känsliga personuppgifter</h3>
<p>6§</p>
<p>Uppgifter om en persons ras,<br>etniska ursprung, politiska uppfatt-<br>ning, religiösa eller filosofiska<br>övertygelse, medlemskap i fack-<br>förening, hälsa eller sexualliv far<br>inte samlas in, lagras eller lämnas<br>ut i kreditupplysningsverksamhet.<br>Detsamma gäller uppgifter att<br>någon har varit föremål för någon<br>åtgärd enligt socialtjänstlagen<br>(1980:620), lagen (1990:52) med<br>särskilda bestämmelser om vård<br>av unga, lagen (1988:870) om<br>vård av missbrukare i vissa fall,<br>lagen (1991:1128) om psykiatrisk<br>tvångsvård, lagen (1991:1129) om<br>rättspsykiatrisk vård, lagen<br>(1993:387) om stöd och service till<br>vissa funktionshindrade, 11-14 §§<br>polislagen (1984:387), lagen<br>(1976:511) om omhändertagande<br>av berusade personer m.m. eller<br>utlänningslagen (1989:529).</p>
<p>Uppgifter om att någon miss-<br>tänks eller har dömts för brott eller<br>har avtjänat straff eller undergått<br>någon annan påföljd för brott får<br>inte utan medgivande av Data-<br>inspektionen samlas in, lagras<br>eller lämnas ut i kreditupp-<br>lysningsverksamhet.</p>
<p><sup>3</sup> Senaste lydelse 1981:737.</p>
<p>75</p>
<p>har varit föremål för någon åtgärd<br>enligt socialtjänstlagen</p>
<p>(1980:620), lagen (1990:52) med<br>särskilda bestämmelser om vård<br>av unga, lagen (1988:870) om<br>vård av missbrukare i vissa fall,<br>lagen (1991:1128) om psykiatrisk<br>tvångsvård, lagen (1991:1129) om<br>rättspsykiatrisk vård, lagen<br>(1993:387) om stöd och service till<br>vissa funktionshindrade, 11-14 §§<br>polislagen (1984:387), lagen<br>(1976:511) om omhändertagande<br>av berusade personer m.m. eller<br>utlänningslagen (1989:529).</p>
<p>Ett medgivande som avses i andra stycket får lämnas endast om det<br>finns synnerliga skäl.</p>
<p>Vad som anges i andra stycket hindrar inte att uppgifter om<br>bctalningslörsummelser, kreditmissbruk eller näringsförbud samlas in,<br>lagras eller lämnas ut i kreditupplysningsverksamhet.</p>
<p>Prop. 2000/01:50</p>
<p>Bilaga 3</p>
<h3>Gallring</h3>
<p>8§</p>
<p>Uppgifter om fysiska personer i<br>register som används i kreditupp-<br>lysningsverksamhet får inte beva-<br>ras under en längre tid än vad som<br>är nödvändigt med hänsyn till<br>ändamålen med registret.</p>
<p>Kreditupplysningar om fysiska personer som inte är näringsidkare får<br>inte innehålla uppgifter om omständigheter eller förhållanden som är av<br>betydelse för bedömningen av personens vederhäftighet i ekonomiskt<br>hänseende, om tre år förflutit från utgången av det år då omständigheten<br>inträffade eller förhållandet upphörde. Uppgifter som inte får lämnas ut<br>skall efter den angivna tiden gallras ut ur register som används i<br>kreditupplysningsverksamhet. Gallringen skall göras så snart det kan ske<br>och i vart fall innan en upplysning lämnas om den som uppgiften avser.</p>
<h3>Information till den registrerade</h3>
<p>Var och en har rätt att mot<br>skälig avgift hos den som bedriver<br>kreditupplysningsverksamhet få<br>skriftligt besked om huruvida det i<br>verksamheten finns uppgifier<br>lagrade om honom och, om det<br>finns sådana uppgifter, vad de har<br>för innehåll.</p>
<p>10 §</p>
<p>Information skall beträffande<br>fysiska personer lämnas i den om-<br>fattning som framgår av 23-27 §§<br>personuppgiftslagen.</p>
<p>76</p>
<p>När en kreditupplysning om ett<br>handelsbolag eller ett kommandit-<br>bolag lämnas ut, skall till den som<br>avses med upplysningen samtidigt<br>och kostnadsfritt sändas ett skrift-<br>ligt meddelande om de uppgifter,<br>omdömen och råd som upplys-<br>ningen innehåller rörande honom<br>och om vem som har begärt<br>upplysningen.</p>
<p>Vad som sägs i andra stycket<br>gäller inte kreditupplysningar som<br>lämnas genom offentliggörande på<br>ett sådant sätt som avses i tryck-<br>frihetsförordningen eller yttrande-<br>frihetsgrundlagen</p>
<p>Prop. 2000/01:50</p>
<p>Bilaga 3</p>
<p>19 §</p>
<p>Till böter eller fängelse i högst ett år döms den som uppsåtligen eller<br>av oaktsamhet</p>
<p>1. bedriver kreditupplysningsverksamhet utan att ha rätt till det enligt<br>3§,</p>
<p>2. bryter mot 6-9 §§, 13 § första stycket eller andra stycket första<br>meningen eller 16 § tredje stycket,</p>
<p>3. bryter mot ett villkor som har meddelats enligt 4 § andra stycket,<br>13 § andra stycket andra meningen eller 17 § första stycket, eller</p>
<p>4. lämnar en osann uppgift i<br>sådana fall som avses i 10 § eller<br>16 § andra stycket eller i ett<br>meddelande enligt 11 §.</p>
<p>Till böter döms den som genom oriktiga uppgifter uppsåtligen<br>föranleder att någon som bedriver kreditupplysningsverksamhet, i annat<br>fall än som avses i 9 § andra meningen, lämnar ut en kreditupplysning<br>utan att ha grund till detta enligt 9 §. Till samma straff döms den som<br>genom att utnyttja uppgifter hos någon som bedriver kreditupplysnings-<br>verksamhet uppsåtligen bereder sig tillgång till en kreditupplysning utan<br>att ha grund till detta enligt 9 §. I ringa fall döms dock inte till ansvar.</p>
<p>4. lämnar en osann uppgift i<br>sådana fall som avses i 16 § andra<br>stycket eller i ett meddelande<br>enligt 10 § andra stycket.</p>
<p>Denna lag träder i kraft den 1 juli 1999.</p>
<p>5 Riksdagen 2000/01. 1 samt. Nr 50</p>
<p>77</p>
<h2>Datainspektionens rapport</h2>
<p>Prop. 2000/01:50</p>
<p>Bilaga 4</p>
<p>Datainspektionen skall i enlighet med regeringens uppdrag, Ju97/2458,<br>bedöma förutsättningarna för en ökad tillgång till uppgifter om närings-<br>idkare i kreditupplysningar och väga behovet mot främst riskerna för att<br>missvisande eller oriktiga uppgifter används i kreditupplysningssam-<br>manhang. De uppgifter som avses är huvudsakligen uppgifter om<br>inkassoåtgärder vidtagna av företag och information ur företags kund-<br>reskontra. Vidare har frågan aktualiserats om de möjligheter som<br>juridiska personer i dag har att kontrollera riktigheten av de uppgifter<br>som lämnas om dem i kreditupplysningar är tillräckliga. Förslag till<br>eventuella lagändringar skall även läggas fram.</p>
<p>Mot bakgrund av den gjorda utredningen, som redovisas i bilaga 1 och<br>21, gör Datainspektionen följande bedömning.</p>
<p>Den aktuella informationen om inkassoåtgärder vidtagna av företag och<br>om lcvcrantörsskulder och betalningsbeteende ur företags kundreskontra<br>kan utgöra tidiga indikationer på bristande betalningsförmåga eller<br>betalningsovilja hos den omfrågade näringsidkaren. Dessa indikationer<br>kan vara av viss betydelse för en kreditgivare som skall bilda sig en<br>uppfattning om kundens/näringsidkarens framtida betalningsbeteende i<br>syfte att göra en god afför och därvid undvika kreditförluster.</p>
<p>En förutsättning för alt dessa uppgifter skall fylla funktionen av at ge<br>tidiga indikationer på bristande betalningsförmåga eller betalningsovilja<br>är att uppgifterna är av god kvalitet och varken felaktiga eller<br>missvisande. Felaktiga eller missvisande uppgifter i en kreditupplysning<br>kan leda till att felaktiga beslut fattas genom att affärer inte blir av och<br>krediter inte beviljas trots att kunden/näringsidkaren har en god<br>betalningsmoral och är kreditvärdig.</p>
<p>En ytterligare förutsättning som måste uppfyllas är att kunden/nä-<br>ringsidkaren får information om att uppgifter om dennes betalningar och<br>eventuella bristande betalningar översänds till kreditupplysningsföretag<br>för att utlämnas i kreditupplysningar. Utan information om att detta sker<br>får näringsidkaren ingen reeell möjlighet att reagera på felaktiga<br>uppgifter. Problemet att informera berörda näringsidkare skulle kunna<br>lösas antingen genom att det rapporterande företaget i avtal åläggs att<br>lämna relevant information till sina kunder eller att kopia av utlämnad<br>kreditupplysning tillställs näringsidkaren. I det senare fallet behöver<br>bestämmelsen i 11 § kreditupplysningslagen (1973:1173) utvidgas att<br>gälla även aktiebolag.</p>
<p>Datainspektionen har i två beslut rörande kreditupplysningsföretag<br>öppnat för möjligheterna att under vissa förutsättningar registrera sådan<br>information som tidigare inte tillåtits. Dels har inspektionen meddelat att<br>inget fanns att erinra mot att en metod tas i bruk som innebär att en<br>statistisk sammanställning av den sammanvägda informationen från olika</p>
<p><sup>1</sup> Utelämnade här.</p>
<p>78</p>
<p>fakturor beträffande en juridisk person (som inhämtats från utvalda<br>foretag med vilka kreditupplysningsföretaget tecknat avtal) redovisas i<br>kreditupplysning om den juridiska personen. Inspektionen påpekade<br>dock att dess inställning kunde komma att ändras om det visade sig att en<br>missvisande bild lämnades om det omfrågade företagets betalnings-<br>beteende (se sid 20 och 21, dnr 1447-97, i bilaga 1). Dels har ett<br>tidsbegränsat tillstånd meddelats beträffande registrering och utlämnande<br>av uppgifter om gäldenärers (såväl fysiska som juridiska personer)<br>sammanlagda skuldsaldon hos kronofogdemyndigheterna (se sid 13 och<br>14, dnr 4190-95, i bilaga 1).</p>
<p>Anledningen till att Datainspektionen inte ansett sig kunna gå längre<br>hänför sig till följande faktorer.</p>
<p>En faktor är att det ibland finns en ovilja hos företag att lämna ut<br>fullständiga uppgifter ur kundreskontra till följd av att företags-<br>hemligheter därigenom skulle kunna avslöjas. En annan faktor är den<br>tystnadsplikt som föreligger i inkassoverksamhet enligt 11 § inkasso-<br>lagen (1974:182) beträffande enskildas personliga förhållanden samt<br>yrkes- eller affärshemligheter. Detta hinder mot ulämnande av uppgifter<br>om inkassoåtgärder vidtagna av inkassobolag skulle således behöva<br>undanröjas genom lagändring. En ytterligare faktor är att informationen<br>inte heller av praktiska skäl kan bli fullständig och heltäckande eftersom<br>det torde vara omöjligt att inhämta information från samtliga företag och<br>inkassobolag. Materialet skulle sålunda inte vara representativt.</p>
<p>Datainspektionen har vidare vid sin ärendehantering konstaterat att<br>informationen redan idag är missvisande och att oriktiga uppgifter<br>förekommer till följd av bl.a. felaktig identifiering av gäldenärer och<br>bakomliggande tivster och utredningar. Datainspektionen vill under-<br>stryka att felaktig gäldenärsidentifikation är ett mycket vanligt före-<br>kommande problem i inkassoverksamhet. Därav torde slutsatsen kunna<br>dras att detta problem är ännu större i företagens kundreskontra. Felaktig-<br>heter i materialet kommer att föras över till kreditupplysningsregistren<br>utan någon kontroll av uppgifternas riktighet. Följden skulle bli att<br>antalet felaktiga och missvisande uppgifter i kreditupplysningar skulle<br>öka.</p>
<p>Att kräva rättning av uppgifter i kreditupplysningsregistren skulle med-<br>föra svårigheter för kreditupplysningsföretagen eftersom utredningarna<br>skulle bli mycket omfattande och kräva tillgång till företagens reskontra<br>och även bakomliggande köpeavtal m.fl. handlingar som upprättats i<br>samband med affärsförbindelsen med kunden.</p>
<p>Datainspektionen har inhämtat synpunkter från elva intressenter, näm-<br>ligen kreditupplysningsbolag, inkassobolag och inkassobolagens<br>branschorganisationer samt dessutom vissa andra närstående intressenter.<br>Majoriteten är positiva till utökning av uppgifter. Många av dessa anser<br>emellertid att kvaliteten på uppgifterna måste säkras före ett genom-<br>förande. Ett par intressenter, bl.a. den inkassobranschorganisation som<br>organiserar de flesta inkassobolagen, är direkt negativa till utvidgning på<br></p>
<p>Prop. 2000/01:50</p>
<p>Bilaga 4</p>
<p>79</p>
<p>grund av att de anser att uppgifterna på reskontra- och inkassostadiet är<br>av för dålig kvalitet för att ligga till grund för kreditupplysning.<br>Majoriteten visar också på svårigheter att rätta felaktiga uppgifter, att<br>genomföra dementier och att göra rättvisande uppgiftsval. Vidare anför<br>de att inkassolagcn behöver ändras för att ändringarna skall kunna<br>genomföras.</p>
<p>Två av intressenterna har vidare pekat på att många andra länder tillåter<br>vidgad information i kreditupplysningssammanhang (se sid 6 och 7 i<br>bilaga 2). Enligt Datainspektionens mening är dock en jämförelse med<br>andra länder inte rättvisande, eftersom myndighetsinformation inte är<br>lika lättillgänglig utomlands som i Sverige.</p>
<p>Önskemål har även framförts om att uppgifter om ekonomisk brottslighet<br>bör finnas i kreditupplysningar om näringsidkare (se sid 9 i bilaga 2). En<br>särskild utredare har redan regeringens uppdrag att utreda frågor om<br>åtgärder mot vissa bulvanförhållanden m.m. i syfte att effektivisera<br>bekämpningen av ekonomisk brottslighet genom att förhindra eller<br>försvåra den (Dir. 1996:55). I detta uppdrag ingår också att överväga<br>möjligheterna att lättare avslöja bulvanförhållanden. Utredaren skall<br>därvid bl.a. överväga om registeruppgifter om brottmålsdomar i första<br>hand rörande ekonomisk brottslighet bör göras tillgängliga i samband<br>med affärskontroll. Uppdraget skall vara slutfört före utgången av<br>december 1997. Resultatet av utredningen bör avvaktas.</p>
<p>Mot bakgrund av vad som sålunda framkommit och särskilt vad som<br>framförts av inkassobranschorganisationen anser Datainspektionen inte<br>att det finns skäl till ändringar i kreditupplysningslagen och inkasso-<br>lagen.</p>
<p>Prop. 2000/01:50</p>
<p>Bilaga 4</p>
<p>80</p>
<h2>Förteckning över remissinstanserna</h2>
<p>Efter remiss har yttranden över promemorian och rapporten avgetts av<br>Riksdagens ombudsmän, Riksåklagaren, Justitiekanslem, Hovrätten över<br>Skåne och Blekinge, Jönköpings tingsrätt, Kammarrätten i Stockholm,<br>Länsrätten i Stockholms län, Rikspolisstyrelsen, Datainspektionen<br>(endast beträffande promemorian), Finansinspektionen, Riksskatteverket,<br>Konkurrensverket, Konsumentverket (endast beträffande promemorian),<br>Juridiska fakultetsstyrelsen vid Lunds universitet, Svenska Kommun-<br>förbundet, Svenska Bankföreningen, Finansbolagens Förening, Svensk<br>Handel, Sveriges Försäkringsförbund, Svenska fondhandlareföreningen,<br>Stockholms Handelskammare (endast beträffande promemorian),<br>Sveriges advokatsamfund, Svenska Inkassoföreningen, Sveriges Inkasso-<br>organisation, UpplysningsCentralen UC AB, Dun & Bradstreet Sverige<br>AB och Landsorganisationen i Sverige (endast beträffande prome-<br>morian).</p>
<p>Kommerskollegium, Sveriges Industriförbund, Sveriges Köpmanna-<br>förbund, Företagarnas Riksorganisation, Kooperativa förbundet, Svenska<br>KreditmannafÖreningen i Stockholm, Svensk Upplysningstjänst, EKO<br>företagsupplysningar AB, Tjänstemännens centralorganisation och<br>Sveriges akademikers centralorganisation har beretts tillfälle att yttra sig<br>men avstått från att göra det.</p>
<p>Prop. 2000/01:50</p>
<p>Bilaga 5</p>
<p>81</p>
<h2>Lagrådsremissens lagförslag</h2>
<p>Förslag till lag om ändring i kreditupplysningslagen<br>(1973:1173)</p>
<p>Härigenom föreskrivs<sup>1</sup> i fråga om kreditupplysningslagen<br>(1973:1173)<sup>2</sup></p>
<p>dels att 5, 6, 8 och 10-12 §§ skall ha följande lydelse,</p>
<p>dels att det närmast före 5 a, 9, 13, 14 och 23 §§ skall införas nya<br>rubriker som skall lyda ”Informationsutbyte”, ”Utlämnande av upplys-<br>ningar”, ”Överlåtelse och upplåtelse av register”, ”Tystnadsplikt” respek-<br>tive ”Överklagande”,</p>
<p>dels att det närmast före 6, 8, 10-12 §§ skall införas nya rubriker av<br>följande lydelse.</p>
<p>Prop. 2000/01:50</p>
<p>Bilaga 6</p>
<p>Nuvarande lydelse</p>
<p>Kreditupplysningsverksamhet<br>skall bedrivas så att den ej leder<br>till otillbörligt intrång i personlig<br>integritet genom innehållet i de<br>upplysningar som förmedlas eller<br>på annat sätt eller till att oriktiga<br>eller missvisande uppgifter lagras<br>eller lämnas ut.</p>
<p>Föreslagen lydelse</p>
<p>5§</p>
<p>Kreditupplysningsverksamhet<br>skall bedrivas så att den inte leder<br>till otillbörligt intrång i personlig<br>integritet genom innehållet i de<br>upplysningar som förmedlas eller<br>på annat sätt eller till att oriktiga<br>eller missvisande uppgifter lagras<br>eller lämnas ut. För sådan behand-<br>ling av personuppgifter som om-<br>fattas av personuppgiftslagen<br>(1998:304) gäller i stället 9§<br>första stycket a, b och d-h den<br>lagen.</p>
<p>Uppgifter om fysiska personer<br>får samlas in endast för kreditupp-<br>lysningsändamål.</p>
<p>Vid helt eller delvis automa-<br>tiserad behandling av uppgifter<br>om juridiska personer skall den<br>som bedriver kreditupplysnings-<br>verksamhet vidta lämpliga<br>tekniska och organisatoriska<br>säkerhetsåtgärder för att hindra<br>att behandlingen sker på ett<br>otillåtet sätt och att uppgifterna<br>utsätts för otillåten insyn.<br>Bestämmelser om säkerheten vid</p>
<p><sup>1</sup> Jfr Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd<br>för enskilda personer med avseende på behandling av personuppgifter och om det fria<br>flödet av sådana uppgifter (EGT L 281,23.11.1995, s. 31, Celex 395L0046).</p>
<p><sup>2</sup> Lagen omtryckt 1981:737.</p>
<p>82</p>
<p>behandling av personuppgifter Prop. 2000/01:50<br>finns i 30-32 §§ personupp- Bilaga 6<br>giftslagen.</p>
<p>Utan hinder av 10 § personupp-<br>giftslagen far personuppgifter be-<br>handlas utan samtycke i kreditupp-<br>lysningsverksamhet.</p>
<p>Bestämmelsen i första stycket<br>andra meningen tillämpas inte i<br>den utsträckning det skulle strida<br>mot bestämmelserna i tryckfrihets-<br>förordningen och yttrandefrihets-<br>grundlagen.</p>
<p>Uppgifter om en persons ras,<br>etniska ursprung, politiska uppfatt-<br>ning, religiösa eller filosofiska<br>övertygelse eller sexualliv far inte<br>samlas in, lagras eller lämnas ut i<br>kreditupplysningsverksamhet.</p>
<p>Uppgifter om sjukdom, hälso-<br>tillstånd eller liknande får inte<br>utan medgivande av Datainspek-<br>tionen samlas in, lagras eller läm-<br>nas ut i kreditupplysningsverksam-<br>het. Detsamma gäller uppgifter om<br>att någon misstänks eller har<br>dömts för brott eller har avtjänat<br>straff eller undergått någon annan<br>påföljd för brott eller har varit<br>föremål för någon åtgärd enligt<br>socialtjänstlagen (1980:620),<br>lagen (1990:52) med särskilda<br>bestämmelser om vård av unga,<br>lagen (1988:870) om vård av<br>missbrukare i vissa fall, lagen<br>(1991:1128) om psykiatrisk<br>tvångsvård, lagen (1991:1129) om<br>rättspsykiatrisk vård, lagen<br>(1993:387) om stöd och service till<br>vissa funktionshindrade, 11—14 §§<br>polislagen (1984:387), lagen<br>(1976:511) om omhändertagande<br>av berusade personer m.m. eller<br>utlänningslagen (1989:529).</p>
<h3>Känsliga uppgifter m.m.</h3>
<p>§<sup>3</sup></p>
<p>Uppgifter om en persons ras,<br>etniska ursprung, politiska uppfatt-<br>ning, religiösa eller filosofiska<br>övertygelse, medlemskap i fack-<br>förening, hälsa eller sexualliv får<br>inte behandlas i kreditupplys-<br>ningsverksamhet.</p>
<p>Uppgifter om lagöverträdelser<br>som innefattar brott, domar i<br>brottmål, strajfprocessuella</p>
<p>tvångsmedel eller administrativa<br>frihetsberövanden får inte utan<br>medgivande av Datainspektionen<br>behandlas i kreditupplysningsverk-<br>samhet.</p>
<p><sup>3</sup> Senaste lydelse 1997:556.</p>
<p>83</p>
<p>Ett medgivande som avses i andra<br>finns synnerliga skäl.</p>
<p>Vad som anges i andra stycket<br>hindrar inte att uppgifter om betal-<br>ningsförsummelser, kreditmiss-<br>bruk eller näringsförbud samlas in,<br>lagras eller lämnas ut i kredit-<br>upplysningsverksamhet.</p>
<p>Kreditupplysningar om fysiska<br>personer som inte är näringsidkare<br>får inte innehålla uppgifter om<br>omständigheter eller förhållanden<br>som är av betydelse för bedöm-<br>ningen av personens vederhäftig-<br>het i ekonomiskt hänseende, om tre<br>år förflutit från utgången av det år<br>då omständigheten inträffade eller<br>förhållandet upphörde. Uppgifter<br>som inte får lämnas ut skall efter<br>den angivna tiden gallras ut ur<br>register som används i kreditupp-<br>lysningsverksamhet. Gallringen<br>skall göras så snart det kan ske<br>och i vart fall innan en upplysning<br>lämnas om den som uppgiften<br>avser.</p>
<p>stycket får lämnas endast om det</p>
<p>Vad som anges i andra stycket<br>hindrar inte att uppgifter om<br>bctalningsförsummelser, kredit-<br>missbruk eller näringsförbud be-<br>handlas i kreditupplysningsverk-<br>samhet.</p>
<h3>Gallring</h3>
<p>?<sup>4</sup></p>
<p>En uppgift om en fysisk person<br>skall gallras när det inte längre är<br>nödvändigt att bevara uppgiften<br>med hänsyn till ändamålet med<br>registret.</p>
<p>En uppgift om en fysisk person<br>som inte är näringsidkare skall<br>gallras senast när tre år har<br>förflutit från utgången av det år då<br>den omständighet inträffade eller<br>det förhållande upphörde som<br>uppgiften avser.</p>
<p>Prop. 2000/01:50</p>
<p>Bilaga 6</p>
<p>Var och en har rätt att mot<br>skälig avgift hos den som bedriver<br>kreditupplysningsverksamhet få<br>skriftligt besked om huruvida det i<br>verksamheten finns uppgifter<br>lagrade om honom och, om det<br>finns sådana uppgifter, vad de har<br>for innehåll.</p>
<h3>Registerbesked</h3>
<p>10 §</p>
<p>Var och en har rätt att mot<br>skälig avgift hos den som bedriver<br>kreditupplysningsverksamhet få<br>skriftligt besked om huruvida det i<br>verksamheten behandlas uppgifter<br>om honom. Behandlas sådana<br>uppgifter skall besked lämnas om</p>
<p>a) vilka uppgifter som behand-<br>las,</p>
<p><sup>4</sup> Senaste lydelse 1997:556.</p>
<p>84</p>
<p>b) om den registrerade är en<br>fysisk person: varifrån uppgifterna<br>har hämtats,</p>
<p>c) ändamålen med behandlingen<br>och</p>
<p>d) till vilka mottagare eller<br>kategorier av mottagare som upp-<br>gifterna lämnas ut.</p>
<p>Bestämmelserna i första stycket<br>tillämpas inte i den utsträckning<br>det skulle strida mot bestämmel-<br>serna i tryckfrihetsförordningen<br>och yttrandefrihetsgrundlagen.</p>
<p>En begäran om besked enligt<br>första stycket om en fysisk person<br>skall göras skriftligen och vara<br>egenhändigt undertecknad.</p>
<p>Prop. 2000/01:50</p>
<p>Bilaga 6</p>
<h3>Kreditupplysningskopia</h3>
<p>När en kreditupplysning om en<br>fysisk person lämnas ut, skall till<br>den som avses med upplysningen<br>samtidigt och kostnadsfritt sändas<br>ett skriftligt meddelande om de<br>uppgifter, omdömen och råd som<br>upplysningen innehåller rörande<br>honom och om vem som har<br>begärt upplysningen.</p>
<p>11 §<sup>5</sup></p>
<p>När en kreditupplysning om en<br>fysisk person lämnas ut, skall till<br>den som avses med upplysningen<br>samtidigt och kostnadsfritt sändas<br>ett skriftligt meddelande om</p>
<p>a) vem som bedriver kreditupp-<br>lysningsverksamheten,</p>
<p>b) ändamålen med behand-<br>lingen,</p>
<p>c) möjligheten att få rättelse,</p>
<p>d) de uppgifter, omdömen och<br>råd som upplysningen innehåller<br>om honom och</p>
<p>e) vem som har begärt upplys-<br>ningen.</p>
<p>Vad som sägs i första stycket gäller också när en kreditupplysning<br>lämnas om ett handelsbolag eller kommanditbolag.</p>
<p>Vad som sägs i första och andra<br>stycket gäller inte kreditupp-<br>lysningar som lämnas genom<br>offentliggörande på ett sådant sätt<br>som avses i tryckfrihetsförord-<br>ningen eller yttrandefrihetsgrund-</p>
<p>lagen.</p>
<p>Vad som sägs i första och andra<br>styckena gäller inte kreditupplys-<br>ningar som lämnas genom offent-<br>liggörande på ett sådant sätt som<br>avses i tryckfrihetsförordningen<br>eller yttrandefrihetsgrundlagen.</p>
<p><sup>5</sup> Senaste lydelse 1997:556.</p>
<p>85</p>
<p>Förekommer anledning till<br>misstanke att en uppgift i kredit-<br>upplysning som lämnats under den<br>senaste tolvmånadersperioden<br>eller i register som används i<br>kreditupplysningsverksamhet är<br>oriktig eller missvisande, skall den<br>som bedriver verksamheten utan<br>dröjsmål vidta skäliga åtgärder för<br>att utreda förhållandet.</p>
<p>Visar sig uppgiften vara oriktig<br>eller missvisande, skall den, om<br>den förekommer i register, rättas,<br>kompletteras eller uteslutas ur<br>registret. Har uppgiften tagits in i<br>en kreditupplysning som lämnats<br>på annat sätt än som avses i<br>tryckfrihetsförordningen och ytt-<br>randcfrihetsgrundlagcn, skall<br>rättelse eller komplettering så snart<br>det kan ske tillställas var och en<br>som under den senaste tolv-<br>månadersperioden fått del av upp-<br>giften. Har uppgiften under den<br>senaste tolvmånadersperioden<br>lämnats i periodisk skrift eller i en<br>kreditupplysningsverksamhet som<br>bedrivs genom återkommande<br>offentliggöranden enligt yttrande-<br>frihetsgrundlagen, skall rättelse<br>eller komplettering så snart det<br>kan ske införas i ett följande<br>nummer av skriften eller mot-<br>svarande form av offentliggörande<br>enligt yttrandefrihetsgrundlagen.<br>Vad som sägs i detta stycke gäller<br>dock icke, om uppgiften uppen-<br>barligen saknar betydelse för<br>bedömningen av vederbörandes<br>vederhäftighet i ekonomiskt hän-<br>seende.</p>
<p>Rättelse</p>
<p>12 §<sup>6</sup></p>
<p>Finns det anledning att miss-<br>tänka att en uppgift som behandlas<br>i kreditupplysningsverksamhet<br>eller som har lämnats i en<br>kreditupplysning under den<br>senaste tolvmånadersperioden är<br>oriktig eller missvisande, eller att<br>den annars har behandlats i strid<br>med denna lag, skall den som<br>bedriver verksamheten utan dröjs-<br>mål vidta skäliga åtgärder för att<br>utreda förhållandet.</p>
<p>Visar det sig att uppgiften är<br>oriktig eller missvisande, eller att<br>den annars har behandlats i strid<br>med lagen, skall den, om den<br>förekommer i register, rättas, kom-<br>pletteras eller uteslutas ur registret.<br>Har en oriktig eller missvisande<br>uppgift tagits in i en kreditupp-<br>lysning som lämnats på annat sätt<br>än som avses i tryckfrihets-<br>förordningen och yttrandefrihets-<br>grundlagen, skall rättelse eller<br>komplettering så snart det kan ske<br>tillställas var och en som under<br>den senaste tolvmånadersperioden<br>fått del av uppgiften. Har upp-<br>giften under den senaste tolv-<br>månadersperioden lämnats i en<br>periodisk skrift eller i en kredit-<br>upplysningsverksamhet som be-<br>drivs genom återkommande<br>offentliggöranden enligt yttrande-<br>frihetsgrundlagen, skall rättelse<br>eller komplettering så snart det<br>kan ske införas i ett följande<br>nummer av skriften eller mot-<br>svarande form av offentliggörande<br>enligt yttrandefrihetsgrundlagen.<br>Vad som sägs i detta stycke gäller<br>dock inte, om uppgiften uppen-<br>barligen saknar betydelse för<br>bedömningen av vederbörandes<br>vederhäftighet i ekonomiskt hän-<br>seende.</p>
<p>Prop. 2000/01:50</p>
<p>Bilaga 6</p>
<p><sup>6</sup> Senaste lydelse 1991:1563.</p>
<p>86</p>
<p>Har en fråga om rättelse eller liknande åtgärd tagits upp efter fram-<br>ställning från den som uppgiften avser, skall denne kostnadsfritt<br>underrättas om huruvida sådan åtgärd vidtagits.</p>
<p>Prop. 2000/01:50</p>
<p>Bilaga 6</p>
<p>Denna lag träder i kraft den 1 april 2001.</p>
<p>87</p>
<h2>Lagrådets yttrande</h2>
<p>Utdrag ur protokoll vid sammanträde 2000-10-30</p>
<p>Närvarande: f.d. justitierådet Staffan Vängby, justiticrådet<br>Leif Thorsson, regeringsrådet Rune Lavin.</p>
<p>Enligt en lagrådsremiss den 12 oktober 2000 (Justitiedepartementet) har<br>regeringen beslutat inhämta Lagrådets yttrande över förslag till lag om<br>ändring i kreditupplysningslagen (1973:1173).</p>
<p>Förslaget har inför Lagrådet föredragits av ämnesrådet Anita<br>Wickström.</p>
<p>Förslaget föranleder följande yttrande av Lagrådet'.</p>
<p>5§</p>
<p>Enligt fjärde stycket i paragrafen får personuppgifter utan hinder av 10 §<br>personuppgiftslagen behandlas utan samtycke i kreditupplysningsverk-<br>samhet. Det kan ifrågasättas om bestämmelsen är förenlig med EG:s<br>dataskyddsdirektiv. I motiveringen åberopas som skäl för att så är fallet<br>bestämmelserna i artikel 7 e) och f) i direktivet.</p>
<p>Enligt artikel 7 f) får personuppgifter behandlas utan den registrerades<br>samtycke om behandlingen är nödvändig för ändamål som rör<br>berättigade intressen hos den registeransvarige eller hos den eller de<br>tredje män till vilka uppgifterna har lämnats ut, utom när sådana in-<br>tressen uppvägs av den registrerades intressen eller dennes grund-<br>läggande fri- och rättigheter som kräver skydd under artikel 1.1, dvs.<br>särskilt rätten till privatliv. Det är här fråga om intresseavvägning där<br>kommersiella intressen står mot den enskildes intresse av att få ha sina<br>uppgifter i fred. Bara i undantagsfall bör den personuppgiftsansvariges<br>intresse av behandlingen anses väga över intresset hos en registrerad som<br>uttryckligen motsatt sig behandlingen (jfr SOU 1997:39 s. 362 f).<br>Lagrådet menar att ifrågavarande punkt, som kan sägas utgöra en<br>reservbestämmelse i förhållande till föregående punkter i paragrafen, inte<br>ger erforderligt stöd för en generell föreskrift om att personuppgifter i<br>kreditupplysningssammanhang får behandlas utan den registrerades<br>samtycke.</p>
<p>Artikel 7 e) medger att personuppgifter får behandlas utan den regi-<br>strerades samtycke bl.a. om behandlingen är nödvändig för att utföra en<br>arbetsuppgift av allmänt intresse. Vissa skäl som anförs i motiveringen<br>och som kan sägas gå ut på att det gäller att skydda den enskilde mot<br>dennes eget oförstånd hör knappast hemma i modern lagstiftning. I första<br>hand åberopas emellertid att det är ett allmänt intresse att kredit-<br>upplysningsverksamhet kan bedrivas effektivt och att om möjligheten att<br>behandla uppgifter i varje enskilt fall var beroende av att ett samtycke<br>hade lämnats, så skulle effektiviteten allvarligt hämmas och fördyringar<br>uppkomma. Det är här fråga om en värdering där större eller mindre vikt<br>kan tillmätas det ena eller andra intresset. Till dess frågan eventuellt<br>avgjorts av EG-domstolen kan en sådan värdering antas ligga inom<br>ramen för vad direktivet tillåter.</p>
<p>Prop. 2000/01:50</p>
<p>Bilaga 7</p>
<p>88</p>
<p>Enligt artikel 14 första stycket a) skall dock medlemsstaterna Prop. 2000/01:50<br>tillförsäkra den registrerade rätten att åtminstone i de fall som avses i Bilaga 7<br>artikel 7 e) och f) när som helst av avgörande och berättigade skäl som<br>rör hans personliga situation motsätta sig behandling av uppgifter som<br>rör honom, utom när den nationella lagstiftningen föreskriver något<br>annat. Enligt lagrådsremissen behöver det utöver bestämmelsen i<br>förevarande paragraf att upplysningar far behandlas utan den enskildes<br>samtycke inte dessutom uttryckligen anges att den enskilde inte heller<br>kan motsätta sig en viss behandling av personuppgifter eller ett<br>utlämnande av vissa uppgifter. Lagrådet är inte helt övertygat om att<br>denna bedömning är korrekt. Större trygghet för att kreditupp-<br>lysningslagen kommer att anses överensstämma med datadirektivet<br>skulle vinnas, om till det föreslagna stycket läggs meningen: ”Den<br>registrerade kan inte heller motsätta sig behandlingen”.</p>
<p>Förslaget innebär bl.a. att behandlingen av uppgifter om åtgärder enligt<br>socialtjänstlagen och lagen om stöd och service till vissa funk-<br>tionshindrade inte längre skall kräva Datainspektionens medgivande.<br>Anledningen är att dataskyddsdirektivet som är ett harmoniseringsdi-<br>rektiv inte medger förbud mot behandling av dylika uppgifter. Enligt<br>Lagrådets mening innebär den föreslagna lagändringen en försvagning av<br>den enskildes integritetsskydd. Till skillnad från vad som anges i<br>motiveringen anser Lagrådet att beslut enligt de båda nämnda lagarna<br>kan komma att innehålla viktig information från kreditvärde-<br>ringssynpunkt. Den omständigheten att information av denna art hittills<br>inte använts i någon större utsträckning kan bero på att kredit-<br>upplysningsföretagen avstått från att söka medgivande hos Datain-<br>spektionen. Om behandlingen av dessa uppgifter släpps fri, kommer det<br>inte att finnas någon direkt tillbakahållande faktor i hanteringen av<br>uppgifterna.</p>
<p>Bestämmelserna i 7 kap. 4 § sekretesslagen omfattar beslut enligt båda<br>lagarna. De ifrågavarande uppgifterna bör därför inte kunna erhållas från<br>en socialnämnd. Däremot bör det i allmänhet inte möta något hinder för<br>ett kreditupplysningsföretag att få tillgång till förvaltningsdomstolars<br>domar med tillhörande bilagor i frågor som gäller tillämpningen av<br>någondera lagen.</p>
<p>Lagrådet vill med det sagda peka på den faktiska möjlighet som här<br>öppnar sig för kreditupplysningsföretag att använda social information i<br>sin verksamhet. Dataskyddsdirektivet tycks dock inte möjliggöra att<br>uppgifter om åtgärder enligt socialtjänstlagen och lagen om stöd och<br>service till vissa funktionshindrade får behålla sitt hittillsvarande skydd<br>enligt kreditupplysningslagen.</p>
<h3>Övergångsbestämmelse</h3>
<p>Några övergångsbestämmelser föreslås inte. Enligt motiveringen innebär<br>förslaget, att personuppgiftslagens grundläggande krav på behandling av<br>personuppgifter skall gälla också i kreditupplysningsverksamhet, att<br>kraven skall tillämpas bara om personuppgiftslagen är tillämplig. Om</p>
<p>89</p>
<p>personuppgiftslagen enligt sina övergångsbestämmelser inte är tillämp-<br>lig, skulle kraven alltså inte tillämpas.</p>
<p>Enligt 5 § första stycket andra meningen i förslaget ”gäller” vissa<br>angivna bestämmelser i personuppgiftslagen för sådan behandling av<br>personuppgifter som omfattas av personuppgiftslagen. Av bestämmelsen<br>kan utläsas att den skall tillämpas på sådan behandling av person-<br>uppgifter på vilka personuppgiftslagen i princip är tillämplig. Visserligen<br>skulle ordet ”omfattas” kunna anses undanta sådan behandling som<br>personuppgiftslagen inte skall tillämpas på enligt övergångsbestäm-<br>melserna till lagen. Formuleringen kan emellertid föranleda tvekan i det<br>hänseendet. Det är också så att i vissa hänseenden, t.ex. i fråga om<br>manuell behandling, är det endast vissa angivna paragrafer, bland dem<br>just 9 §, som inte är tillämpliga. Den angivna avsikten bör ges ett klarare<br>uttryck genom en övergångsbestämmelse som förslagsvis kan ges<br>följande lydelse: ”1 stället för 5 § första stycket tillämpas 5 § i dess äldre<br>lydelse i fråga om sådan behandling av personuppgifter för vilken 9 §<br>personuppgiftslagcn (1998:204) enligt övergångsbestämmelserna till den<br>lagen inte är tillämplig.”</p>
<p>Prop. 2000/01:50</p>
<p>Bilaga 7</p>
<p>90</p>
<h2>Justitiedepartementet</h2>
<p>Utdrag ur protokoll vid regeringssammanträde den 30 november 2000</p>
<p>Närvarande: statsministern Persson, ordförande, och statsråden Thalén,<br>Winberg, Ulvskog, Sahlin, von Sydow, Östros, Messing, Engqvist,<br>Rosengren, Larsson, Wämersson, Lövdén, Ringholm</p>
<p>Föredragande: statsrådet Lövdén</p>
<p>Prop. 2000/01:50</p>
<p>Regeringen beslutar proposition 2000/01:50 Kreditupplysningslagen och<br>dataskyddsdirektivet</p>
<p>91</p>
<h2>Rättsdatablad</h2>
<p>Prop. 2000/01:50</p>
<table border="1">
<tr><td>
<p>Författningsrubrik</p></td><td>
<p>Bestämmelser som Celexnummer för</p>
<p>inför, ändrar, upp- bakomliggande EG-</p>
<p>häver eller upprepar regler</p>
<p>ett normgivnings-<br>bemyndigande</p></td></tr>
<tr><td>
<p>Kreditupplysningslagcn</p></td><td>
<p>Celex 31995L0046</p></td></tr>
</table>
<p>(1973:1173)</p>
<p>Eländers Gotab 60871, Stockholm 2000</p>
<p>92</p>
11Regeringen föreslår att riksdagen antar regeringens förslag till?11Regeringen föreslår att riksdagen antar regeringens förslag tilldelvis bifall=utskottet2000/01:FiU21?INLInlämning2000-12-11 00:00:00inträffat60hanteringBBordläggning2000-12-12 00:00:00inträffat2hanvisningINLInlämning2000-12-12 00:00:00planerat60hanteringHÄNHänvisning2000-12-13 00:00:00inträffat3hanvisningREGRegistrering2000-12-13 00:00:00inträffat70hanteringMOTMotionstid slutar2001-01-19 00:00:00inträffat4hanvisninginlamnatavInlämnat avJustitiedepartementet2014-11-23 16:38:49statustextstatustextÄrendet är avslutatGO03502019-05-22 17:19:38tilldelatTilldelatFinansutskottet2014-11-23 16:38:49behandlas_i2000/01:FiU21GO01FiU21bet2000/01FiU21Kreditupplysningslagen och dataskyddsdirektivetBetänkandeföljdmotion<br/>
med anledning av prop. 2000/01:50<br/>
Kreditupplysningslagen och dataskyddsdirektivetGO02Fi11mot2000/01Fi11med anledning av prop. 2000/01:50 Kreditupplysningslagen och dataskyddsdirektivetMotionföljdmotion<br/>
med anledning av prop. 2000/01:50<br/>
Kreditupplysningslagen och dataskyddsdirektivetGO02Fi12mot2000/01Fi12med anledning av prop. 2000/01:50 Kreditupplysningslagen och dataskyddsdirektivetMotionföljdmotion<br/>
med anledning av prop. 2000/01:50<br/>
Kreditupplysningslagen och dataskyddsdirektivetGO02Fi13mot2000/01Fi13med anledning av prop. 2000/01:50 Kreditupplysningslagen och dataskyddsdirektivetMotionföljdmotion<br/>
med anledning av prop. 2000/01:50<br/>
Kreditupplysningslagen och dataskyddsdirektivetGO02Fi14mot2000/01Fi14med anledning av prop. 2000/01:50 Kreditupplysningslagen och dataskyddsdirektivetMotionföljdmotionav Gunnar Hökmark m.fl. (M)<br/>
med anledning av prop. 2000/01:50<br/>
Kreditupplysningslagen och dataskyddsdirektivetGO02Fi14mot2000/01Fi14med anledning av prop. 2000/01:50 Kreditupplysningslagen och dataskyddsdirektivetav Gunnar Hökmark m.fl. (M)Motionföljdmotionav Karin Pilsäter m.fl. (FP)<br/>
med anledning av prop. 2000/01:50<br/>
Kreditupplysningslagen och dataskyddsdirektivetGO02Fi12mot2000/01Fi12med anledning av prop. 2000/01:50 Kreditupplysningslagen och dataskyddsdirektivetav Karin Pilsäter m.fl. (FP)Motionföljdmotionav Per Landgren m.fl. (KD)<br/>
med anledning av prop. 2000/01:50<br/>
Kreditupplysningslagen och dataskyddsdirektivetGO02Fi11mot2000/01Fi11med anledning av prop. 2000/01:50 Kreditupplysningslagen och dataskyddsdirektivetav Per Landgren m.fl. (KD)Motionföljdmotionav Rolf Kenneryd m.fl. (C)<br/>
med anledning av prop. 2000/01:50<br/>
Kreditupplysningslagen och dataskyddsdirektivetGO02Fi13mot2000/01Fi13med anledning av prop. 2000/01:50 Kreditupplysningslagen och dataskyddsdirektivetav Rolf Kenneryd m.fl. (C)Motion