Prop.
1999/2000:11
Regeringen överlämnar denna proposition till riksdagen.
Stockholm den 7 oktober 1999
Lena Hjelm-Wallén
Britta Lejon
(Justitiedepartementet)
I propositionen föreslås att personuppgiftslagens bestämmelse om förbud
mot överföring av personuppgifter ändras. Överföring av personuppgifter
till ett land som inte ingår i Europeiska unionen eller är anslutet till Euro-
peiska ekonomiska samarbetsområdet (tredje land) skall inte längre vara
förbjuden om det tredje landet har en adekvat nivå för skyddet av person-
uppgifter. När det gäller att avgöra om skyddsnivån är adekvat skall alla
omständigheter kring överföringen beaktas. Ändringen medför att per-
son-uppgiftslagen ansluter närmare till lydelsen i Europaparlamentets och
rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda
personer med avseende på behandling av personuppgifter och om det fria
flödet av sådana uppgifter.
I propositionen föreslås också att ringa fall av överträdelser av person-
uppgiftslagens straffbestämmelse skall undantas från det straffbara om-
rådet.
Ändringarna medför sammantagna att skyddet för personuppgifter i
betydligt högre grad inriktas på de förfaranden som medför allvarliga
integritetsrisker och att lagstiftningen närmar sig en sådan missbruksin-
riktad regleringsmodell som riksdagen uttalat sig för. Därigenom un-
derlättas användningen av modem informationsteknik.
Ändringarna föreslås träda i kraft den 1 januari 2000.
1 Riksdagen 1999/2000. 1 saml. Nr 11
Prop. 1999/2000:11
1 Beslut......................................................................................................3
2 Förslag till lag om ändring i personuppgiftslagen (1998:204)...............4
3 Ärendet och dess beredning....................................................................5
4 Bakgrund................................................................................................6
4.1 Personuppgiftslagens tillkomst...........................................6
4.1.1 EG-direktivet....................................................6
4.1.2 Datalagskommitténs förslag och
personuppgiftslagen..........................................7
4.2 Reglerna om överföring av personuppgifter till tredje land8
4.2.1 EG-direktivets bestämmelser om överföring av
personuppgifter till tredje land.........................8
4.2.2 Allmänna överväganden om överförings-
reglema i lagstiftningsärendet om person-
uppgiftslagen ..................................................10
4.2.3 Personuppgiftslagens regler om överföring av
personuppgifter till tredje land.......................10
4.3 Datainspektionens förslag.................................................11
4.3.1 Debatten i Sverige efter personuppgiftslagens
ikraftträdande..................................................11
4.3.2 En specialbestämmelse för informations-
spridning och kommunikation i personuppgifts-
förordningen...................................................12
4.3.3 Konstitutionsutskottets uttalanden..................12
4.3.4 Synpunkter som framförts vid remissbe-
handlingen av Datainspektionens förslag.......13
5 Lättnader i förbudet mot överföring av personuppgifter till tredje
land..................................................................................................14
6 Straffbestämmelsen i personuppgiftslagen......................................18
7 Framtida åtgärder för att underlätta användningen av
informationsteknik...........................................................................19
8 Ekonomiska konsekvenser av förslaget..........................................19
9 F örfattningskommentar...................................................................20
Bilaga 1 Förteckning över remissinstanser, Datainspektionens förslag..22
Bilaga 2 Promemorians lagförslag..........................................................23
Bilaga 3 Förteckning över remissinstanser, Promemorians förslag........24
Bilaga 4 Lagrådsremissens lagförslag.....................................................25
Bilaga 5 Lagrådets yttrande.....................................................................26
Utdrag ur protokoll vid regeringssammanträde den 7 oktober 1999.......29
Prop. 1999/2000:11
Regeringen föreslår att riksdagen antar regeringens förslag till lag om
ändring i personuppgiftslagen (1998:204).
Prop. 1999/2000:11
Härigenom föreskrivs att 33 och 49 §§ personuppgiftslagen (1998:204)
skall ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
Det är förbjudet att till tredje
land föra över personuppgifter som
är under behandling. Förbudet
gäller också överföring av perso-
nuppgifter för behandling i tredje
land.
33 §
Det är förbjudet att till tredje
land föra över personuppgifter som
är under behandling om landet inte
har en adekvat nivå för skyddet av
personuppgifterna. Förbudet gäller
också överföring av personupp-
gifter för behandling i tredje land.
Frågan om en skyddsnivå är
adekvat skall bedömas med hänsyn
till samtliga omständigheter som
har samband med överföringen.
Särskild vikt skall läggas vid upp-
gifternas art, ändamålet med be-
handlingen, hur länge behandling-
en skall pågå, ursprungslandet, det
slutliga bestämmelselandet och de
regler som finns för behandlingen
i det tredje landet.
49 §
Till böter eller fängelse i högst sex månader eller, om brottet är grovt,
till fängelse i högst två år döms den som uppsåtligen eller av oaktsamhet
a) lämnar osann uppgift i sådan information till registrerade som före-
skrivs i denna lag, i anmälan till tillsynsmyndigheten enligt 36 § eller till
tillsynsmyndigheten när myndigheten begär information enligt 43 §,
b) behandlar personuppgifter i strid med 13-21 §§,
c) för över personuppgifter till tredje land i strid med 33-35 §§, eller
d) låter bli att göra anmälan enligt 36 § första stycket eller enligt före-
skrifter meddelade med stöd av 41 §.
I ringa fall döms inte till ansvar.
Den som överträtt ett vitesföreläggande enligt 44 § eller 45 § första
stycket döms inte till ansvar för en gärning som omfattas av vitesföreläg-
gandet.
Denna lag träder i kraft den 1 januari 2000.
Prop. 1999/2000:11
Personuppgiftslagen (1998:204) trädde i kraft den 24 oktober 1998. Ge-
nom personuppgiftslagen genomfördes Europaparlamentets och rådets
direktiv 95/46/EG av den 24 oktober 1995 om skydd for enskilda perso-
ner med avseende på behandling av personuppgifter och om det fria flö-
det av sådana uppgifter.
Regeringen gav den 22 oktober 1998 Datainspektionen i uppdrag att
bland annat utreda det närmare behovet av att göra undantag från förbu-
det i 33 § personuppgiftslagen när det gäller överföringar av personupp-
gifter till tredje land som typiskt sett inte innebär några risker for de re-
gistrerade eller det annars mot bakgrund av allmänhetens intresse att
sprida och inhämta information framstår som angeläget att undantag görs,
särskilt i samband med behandling av personuppgifter i internationella
kommunikationsnätverk, t.ex. Internet.
Datainspektionen redovisade den 1 mars 1999 ett förslag till regeringen
i rapporten Personuppgifter på Internet. Enligt förslaget skulle en be-
stämmelse införas i personuppgiftsforordningen (1998:1191) som tillåter
viss överföring till tredje land. Datainspektionens förslag har remissbe-
handlats. En förteckning över remissinstanserna finns i bilaga 1. Remiss-
svaren finns tillgängliga i Justitiedepartementet (dnr Jul999/1126).
I ett betänkande (bet. 1998/99:KU15) behandlade konstitutionsutskot-
tet ett antal motioner från den allmänna motionstiden 1998 som rör frågor
om personuppgiftslagen och andra integritetsffågor. Konstitutionsutskot-
tet hemställde den 2 mars 1999 att riksdagen skulle ge regeringen till
känna vad utskottet anfört bland annat om de problem som var bakgrun-
den till uppdraget till Datainspektionen. Riksdagen godkände den 10
mars vad utskottet hemställt (rskr. 1998/99:147).
Sedan Datainspektionens förslag remissbehandlats utarbetades inom
Justitiedepartementet en promemoria Ändringar i personuppgiftslagen av
den 1 juni 1999. Promemorians lagförslag finns i bilaga 2. De remissin-
stanser som tagits upp i bilaga 3 kallades till ett remissmöte i Justitiede-
partementet den 8 juni 1999. Anteckningar från remissmötet samt skrift-
liga remissvar finns tillgängliga i Justitiedepartementet (dnr
Jul999/1126). Datainspektionens förslag om kommuners och landstings
möjligheter att sprida information m.m. bereds inom Justitiedepartemen-
tet.
Lagrådet
Regeringen beslutade den 17 juni 1999 att inhämta Lagrådets yttrande
över det lagförslag som finns i bilaga 4. Lagrådets yttrande finns i
bilaga 5. Lagrådets synpunkter behandlas i den allmänna motiveringen i
avsnitt 5 och i författningskommentaren. Vissa språkliga justeringar av
lagtexten har gjorts efter det att Lagrådet yttrat sig.
Prop. 1999/2000:11
4.1 Personuppgiftslagens tillkomst
Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda
personer med avseende på behandling av personuppgifter och om det fria
flödet av sådana uppgifter (EG-direktivet) antogs den 24 oktober 1995.
EG-direktivets syfte är att skapa en gemensam, hög nivå på integri-
tetsskyddet för att därigenom möjliggöra ett fritt flöde av personuppgifter
medlemsländerna emellan. Medlemsstaterna far inom den ram som ges i
direktivet närmare precisera villkoren för när behandling av person-
uppgifter far förekomma. Dessa preciseringar far dock inte hindra det fria
flödet av personuppgifter inom unionen.
Direktivet finns i sin helhet intaget som bilaga i propositionen Person-
uppgiftslag (prop. 1997/98:44). Huvuddragen i direktivet är följande.
Direktivet är tillämpligt på all behandling av personuppgifter. Förutom
automatiserad behandling omfattas också manuell behandling, dock en-
dast sådan manuell behandling som sker i register som är sökbara utifrån
särskilda kriterier. Direktivet är inte tillämpligt på sådan behandling av
personuppgifter som faller utanför gemenskapsrätten (t.ex. den som gäl-
ler allmän säkerhet, statens säkerhet eller statens verksamhet på
straffrättens område) och inte heller på behandling som sker för person-
ligt bruk. Behandling av personuppgifter för journalistiska ändamål eller
konstnärligt eller litterärt skapande undantas från de flesta av direktivets
bestämmelser.
Personuppgifter får samlas in endast för särskilda, uttryckligt angivna
och berättigade ändamål och uppgifterna far inte senare användas på ett
sätt som är oförenligt med ursprungsändamålet.
Personuppgifter far behandlas endast när samtycke lämnats, när det är
nödvändigt för att fullgöra ett avtal i vilket den registrerade är part, när
det finns en i författning reglerad förpliktelse att behandling av uppgif-
terna skall ske, när det är nödvändigt för att skydda den enskildes grund-
läggande intressen, när det är nödvändigt att utföra en arbetsuppgift i det
allmännas intresse eller, slutligen, om det skett en intresseavvägning som
resulterat i att behandling av personuppgifter skall få ske.
Känsliga uppgifter (uppgifter som avslöjar etniskt ursprung, religion,
politisk åsikt, facklig tillhörighet, hälsotillstånd etc.) far inte behandlas.
Dock gäller vissa undantag, bl.a. då den enskilde gett sitt uttryckliga sam-
tycke, för ideella organisationers samt hälso- och sjukvårdens behov och
vid författningsreglerade skyldigheter.
Medlemsstaterna skall bestämma på vilka villkor nationella identifika-
tionsnummer, som t.ex. de svenska personnumren, får behandlas.
När personuppgifter samlas in skall de registrerade informeras om bl.a.
vem som är registeransvarig och vad uppgifterna skall användas till.
All behandling av personuppgifter skall enligt huvudregeln anmälas till
en tillsynsmyndighet. Medlemsstaten kan dock genom bransch- och sek-
torsreglering eller motsvarande från anmälningsskyldigheten undanta så-
dan behandling av personuppgifter som inte kränker enskildas fri- och
rättigheter.
Behandling av personuppgifter som innebär särskilda integritetsrisker
far inte förekomma utan att tillsynsmyndigheten först kontrollerat be-
handlingen.
Den registrerade skall ha rätt att få sina rättigheter enligt den nationella
lagen prövade av tillsynsmyndigheten och domstol.
Överföring av personuppgifter till ett tredje land får i princip endast
ske om det mottagande landet har en adekvat skyddsnivå.
Tillsynsmyndigheten skall vara ett oberoende organ. Den skall ha un-
dersökningsbefogenheter och befogenheter att effektivt ingripa mot otill-
låten behandling av personuppgifter.
Medlemsstaterna är skyldiga att genomföra direktivet i nationell rätt
inom tre år efter antagandet den 24 oktober 1995. För de automatiserade
behandlingar som pågår vid tiden för genomförandet finns möjlighet för
medlemsstaterna att föreskriva en övergångsperiod på högst tre år. För
redan existerande manuella register kan övergångsperioden utsträckas
till, som längst, tolv år.
EG-direktivet skulle ha varit genomfört i medlemsstaterna senast den
24 oktober 1998. Hittills har bara drygt hälften av medlemsstaterna ge-
nomfört direktivet.
Prop. 1999/2000:11
Efter beslut av regeringen den 15 juni 1995 tillkallades en parlamenta-
riskt sammansatt kommitté med uppgift att bland annat göra en total revi-
sion av datalagen och analysera på vilket sätt EG-direktivet om person-
uppgifter skulle genomföras i svensk lagstiftning. Kommittén antog nam-
net Datalagskommittén. Den 2 april 1997 avgav kommittén betänkandet
Integritet - Offentlighet - Informationsteknik (SOU 1997:39).
Vid remissbehandlingen av Datalagskommitténs förslag uttalade sig
många remissinstanser för en lagstiftning enligt en s.k. missbruksmodell,
dvs. en reglering som mer riktar sig mot att förbjuda sådan behandling av
personuppgifter som inte bör vara tillåten än att reglera vad som är tillå-
tet.
Regeringen ansåg dock att det inte var möjligt att uppfylla skyldigheten
att genomföra direktivet på annat sätt än genom att införa en lag enligt en
hanteringsmodell som reglerar vad som är tillåtet. Något konkret förslag
till hur EG-direktivet på ett godtagbart sätt skulle kunna genomföras en-
ligt en missbruksmodell hade heller inte framkommit under remissbe-
handlingen.
Vid införandet av personuppgiftslagen valde regeringen att i huvudsak
låta lagen följa direktivets text och struktur. I propositionen understryker
regeringen att det är EG-domstolen som slutligen har att tolka de be-
grepp och uttryck som direktivet innehåller (prop. 1997/98:44 s. 38).
Personuppgiftslagen omfattar automatiserad behandling av person-
uppgifter och manuell behandling av personuppgifter i register. Person-
uppgiftslagen är generellt tillämplig och omfattar även sådan verksamhet
som faller utanför EG-rätten. Avvikande bestämmelser i lag eller förord-
ning gäller framför personuppgiftslagen.
4.2 Reglerna om överföring av personuppgifter till tredje
land
Reglerna i EG-direktivet och personuppgiftslagen om under vilka om-
ständigheter personuppgifter får föras över till tredje land, dvs. en stat
utanför EU eller EES, har en central roll. Utan sådana bestämmelser är
det uppenbart att skyddsregler för behandlingen av personuppgifter skulle
kunna kringgås genom att personuppgifter överförs till ett tredje land och
behandlas där. Samtidigt medför det ökade internationella informations-
utbytet att det måste finnas klara och användbara regler som i olika situa-
tioner gör det möjligt att föra över personuppgifter till tredje land.
I artikel 25 och 26 i EG-direktivet finns det bestämmelser om överföring
av personuppgifter till tredje land. Bestämmelserna innebär följande.
Medlemsstaterna skall föreskriva att överföring av personuppgifter,
som är under behandling eller som är avsedda att behandlas efter överfö-
ring till tredje land, bara får ske om ifrågavarande tredje land säkerställer
en adekvat skyddsnivå. Detta skall dock inte påverka tillämpningen av de
nationella bestämmelser som har antagits till följd av andra bestämmelser
i direktivet.
Bedömningen av om skyddsnivån i ett tredje land är adekvat skall ske
på grundval av alla de förhållanden som har samband med en överföring
eller en grupp av överföringar av uppgifter. Härvid skall särskilt beaktas
• uppgiftens art,
• den eller de avsedda behandlingarnas ändamål,
• den eller de avsedda behandlingarnas varaktighet,
• ursprungslandet,
• det slutliga bestämmelselandet,
• de allmänna respektive särskilda rättsregler som gäller i ifrågavarande
tredje land och
• de regler för yrkesverksamhet och säkerhet som gäller i ifrågavarande
tredje land.
Medlemsstaterna och kommissionen skall informera varandra när de
anser att ett tredje land inte erbjuder en adekvat skyddsnivå. Om kom-
Prop. 1999/2000:11
missionen - i enlighet med en särskild beslutsprocedur som föreskrivs i
direktivet - kommer fram till att ett tredje land inte erbjuder en adekvat
skyddsnivå, är medlemsstaterna skyldiga att vidta de åtgärder som är
nödvändiga för att hindra överföring av uppgifter av samma slag till detta
land. Kommissionen skall i sådant fall vid lämpligt tillfälle inleda för-
handlingar för att avhjälpa den situation som därvid har uppkommit.
Kommissionen kan vidare - i enlighet med den särskilda beslutsprocedur
som föreskrivs i direktivet - konstatera att ett tredje land, genom sin in-
terna lagstiftning eller på grund av de internationella förpliktelser som
åligger landet, har en adekvat skyddsnivå. Medlemsstaterna skall då vidta
de åtgärder som är nödvändiga för att följa kommissionens beslut. Som
exempel på internationella förpliktelser som åligger tredje land nämns
särskilt sådana förpliktelser som är en följd av de förhandlingar som
kommissionen har inlett och som gäller skydd för privatliv och enskilda
personers grundläggande fri- och rättigheter.
Medlemsstaterna skall - utom där något annat föreskrivs för särskilda
fall i den nationella lagstiftningen - föreskriva att överföring av person-
uppgifter till ett tredje land, som inte har en sådan adekvat skyddsnivå,
far ske i följande fall.
• Om den registrerade otvetydigt har samtyckt till den planerade över-
föringen.
• Om överföringen är nödvändig för att fullgöra ett avtal mellan den re-
gistrerade och den personuppgiftsansvarige eller för att på den registre-
rades begäran genomföra åtgärder innan avtalet ingås.
• Om överföringen är nödvändig för att ingå eller fullgöra ett avtal mel-
lan den personuppgiftsansvarige och tredje man, där avtalet är i den re-
gistrerades intresse.
• Om överföringen är nödvändig eller bindande enligt författning av skäl
som rör viktiga allmänna intressen eller för att fastslå, göra gällande
eller försvara rättsliga anspråk.
• Om överföringen är nödvändig för att skydda intressen som är av
grundläggande betydelse för den registrerade.
• Om överföringen görs från ett register som 1) enligt lagar eller andra
författningar är avsett att förse allmänheten med information och som
2) är tillgängligt antingen för allmänheten eller för var och en som kan
styrka ett berättigat intresse, i den utsträckning som de i lagstiftningen
angivna villkoren för att fa tillgång är uppfyllda.
Det är vidare möjligt för medlemsstaterna att tillåta överföring av person-
uppgifter till ett tredje land med en icke adekvat skyddsnivå om den per-
sonuppgiftsansvarige ställer tillräckliga garantier för skyddet av privatliv
och enskilda personers grundläggande fri- och rättigheter och för utövan-
det av sådana rättigheter. Sådana garantier kan framgå av lämpliga av-
tals-klausuler. Medlemsstaterna skall informera kommissionen om de
överföringar som har tillåtits enligt denna bestämmelse. Om kommissio-
nen eller en medlemsstat gör en invändning - på grunder som är berätti-
gade med hänsyn till skyddet för privatliv och enskilda personers grund-
läggande fri- och rättigheter - skall kommissionen vidta lämpliga åtgär-
der i enlighet med den särskilda beslutsprocedur som föreskrivs i direkti-
Prop. 1999/2000:11
1* Riksdagen 1999/2000. 1 saml. Nr 11
vet. Medlemsstaterna skall vidta de åtgärder som är nödvändiga för att
följa kommissionens beslut. Om kommissionen å andra sidan - i enlighet
med den särskilda beslutsprocedur som nyss nämnts - beslutar att vissa
standardklausuler erbjuder tillräckliga garantier, skall medlemsstaterna
vidta nödvändiga åtgärder för att följa kommissionens beslut.
Bestämmelserna i EG-direktivet om överföring till tredje land är detalje-
rade och komplicerade. Datalagskommittén gjorde den bedömningen att
det i lagstiftningen inte borde införas mer komplicerade regler än nöd-
vändigt med hänsyn till EG-direktivet (SOU 1998:39 s. 413).
Kommittén föreslog ett förbud mot överföring av personuppgifter till
tredje land och konkreta undantag från förbudet för de situationer som
räknas upp i artikel 26.1.a-e i EG-direktivet. En särskild bestämmelse
om att personuppgifter utan vidare far föras över för användning enbart i
en stat som har anslutit sig till Europarådets dataskyddskonvention före-
slogs också mot bakgrund av Sveriges förpliktelser enligt konventionen.
Vidare föreslogs bemyndiganden för regeringen att meddela föreskrifter
för vissa situationer om undantag från förbudet. I några fall fick regering-
en vidaredelegera föreskriftsrätten.
Regeringens förslag i propositionen till personuppgiftslagen stämde i
väsentliga delar överens med kommitténs förslag och antogs av riksdagen
med en mindre språklig justering.
Enligt 33 § personuppgiftslagen är det förbjudet att till tredje land föra
över personuppgifter som är under behandling. Förbudet gäller också
överföring av personuppgifter för behandling i ett tredje land.
Med tredje land avses enligt definitionen i 3 § personuppgiftslagen ett
land utanför EU eller EES.
Det finns vissa generella undantag från förbudet.
Enligt 34 § första stycket personuppgiftslagen är det tillåtet att föra
över personuppgifter till tredje land, om den registrerade har lämnat sitt
samtycke till överföringen eller om överföringen är nödvändig för att
a) ett avtal mellan den registrerade och den personuppgiftsansvarige
skall kunna fullgöras eller åtgärder som den registrerade begärt skall
kunna vidtas innan ett avtal träffas,
b) ett sådant avtal mellan den personuppgiftsansvarige och tredje man
som är i den registrerades intresse skall kunna ingås eller fullgöras,
c) rättsliga anspråk skall kunna fastställas, göras gällande eller försva-
ras, eller
d) vitala intressen för den registrerade skall kunna skyddas.
Enligt 34 § andra stycket personuppgiftslagen är det också tillåtet att föra
över personuppgifter för användning enbart i en stat som har anslutit sig
Prop. 1999/2000:11
10
till Europarådets konvention om skydd för enskilda vid automatisk data-
behandling av personuppgifter.
Regeringen har också möjlighet att i vissa fall besluta om undantag
från förbudet. I några av dessa fall kan regeringen delegera föreskrifts-
rätten vidare.
Regeringen far enligt 35 § första stycket personuppgiftslagen meddela
föreskrifter om undantag från förbudet i 33 § för överföring av person-
uppgifter till vissa stater. Enligt samma lagrum far regeringen också
meddela föreskrifter om att överföring av personuppgifter till tredje land
är tillåten, om överföringen regleras av ett avtal som ger tillräckliga ga-
rantier till skydd för de registrerades rättigheter.
Regeringen eller den myndighet regeringen bestämmer far vidare enligt
35 § andra stycket personuppgiftslagen meddela föreskrifter om undantag
från förbudet i 33 §, om det behövs med hänsyn till ett viktigt allmänt
intresse eller om det finns tillräckliga garantier till skydd för de registre-
rades rättigheter.
Enligt 35 § tredje stycket personuppgiftslagen far regeringen under de
förutsättningar som nämns i andra stycket i enskilda fall besluta om un-
dantag från förbudet i 33 §. Regeringen far överlåta åt tillsynsmyndighe-
ten att fatta sådana beslut.
Genom personuppgiftsförordningen (1998:1191) har regeringen till
Datainspektionen delegerat vidare möjligheten att meddela föreskrifter
enligt 35 § andra stycket personuppgiftslagen, när det gäller automatise-
rad behandling av personuppgifter, om att överföring är tillåten om det
finns tillräckliga garantier till skydd för de registrerades rättigheter. Da-
tainspektionen kan också fatta beslut i enskilda fall.
4.3 Datainspektionens förslag
I samband med ikraftträdandet av personuppgiftslagen möttes lagens
regler om överföring av personuppgifter till tredje land av kritik. Regler-
na ansågs medföra en oönskad begränsning av möjligheten att använda
sig av modem informationsteknik, som t.ex. elektronisk post eller elek-
troniska anslagstavlor. Flera exempel nämndes i debatten där en tillämp-
ning av personuppgiftslagens regler ansågs leda till orimliga resultat ef-
tersom uppgifterna bedömdes vara harmlösa i den mening att en sprid-
ning av uppgifterna inte borde kunna leda till någon integritetskränkning.
Som angetts i avsnitt 3 gav regeringen den 22 oktober 1998 Datain-
spektionen i uppdrag att bl.a. utreda det närmare behovet av att göra un-
dantag från förbudet i 33 § personuppgiftslagen när det gäller överföring-
ar av personuppgifter till tredje land som typiskt sett inte innebär några
risker för de registrerade eller det annars mot bakgrund av allmänhetens
intresse att sprida och inhämta information framstår som angeläget att
undantag görs, särskilt i samband med behandling av personuppgifter i
internationella kommunikationsnätverk, t.ex. Internet. Datainspektionen
Prop. 1999/2000:11
11
redovisade ett förslag till regeringen den 1 mars 1999 i rapporten Person- Prop. 1999/2000:11
uppgifter på Internet.
Enligt Datainspektionen borde det, såvitt här är av intresse, i personupp-
giftsförordningen införas en bestämmelse med följande lydelse.
För informationsspridning eller kommunikation far personuppgifter i
löpande text föras över till tredje land via Internet eller annat nät om tex-
ten framställts för sådant ändamål och omständigheterna är sådana att det
är uppenbart att det saknas risk för kränkning av den registrerades per-
sonliga integritet.
I rapporten pekade Datainspektionen på att en alternativ lösning vore att
ändra lydelsen av överföringsförbudet i 33 § personuppgiftslagen så att
det mer liknar EG-direktivets förbud mot överföring i artikel 25.1. Da-
tainspektionen föreslog dock inte en sådan lösning med hänsyn till att den
skulle kunna resultera i bristande förutsebarhet och dessutom inte kunde
anses rymmas i Datainspektionens uppdrag.
Konstitutionsutskottet anförde i sitt ovan nämnda betänkande bland annat
(s. 23):
I flertalet motioner begärs att en översyn av den nuvarande lagstift-
ningen görs i syfte att åstadkomma ett mer modernt regelverk som tar
sikte på missbruk av personuppgifter. Enligt utskottets mening bör en
översyn av personuppgiftslagen komma till stånd med syfte att, så långt
det är möjligt inom EG-direktivets ram, åstadkomma en förändring av
lagstiftningen i den riktning som föreslås i motionerna. Utskottet kan
härvid konstatera att det inom IT-kommissionens rättsliga observatorium
pågår ett arbete med att diskutera och analysera alternativa lagstiftnings-
modeller. Enligt utskottets mening bör dock - i avvaktan på en tekniko-
beroende integritetslagstiftning - intensifierade åtgärder vidtas för att
åstadkomma en lagstiftning som syftar till att ingripa mot missbruk av
personuppgifter och inte mot själva hanteringen av sådana uppgifter.
Särskilt med anledning av Datainspektionens förslag uttalade utskottet
(s. 24-25):
12
Utskottet utgår från att regeringen därefter - inom de ramar som EG- Prop. 1999/2000:11
direktivet uppställer - genomfor de förändringar som krävs för att mot-
verka de problem med personuppgiftslagens utformning som regerings-
uppdraget avsåg att komma till rätta med, förändringar som kan behöva
gå längre än vad Datainspektionen föreslagit. Regeringen är naturligtvis
oförhindrad att, om så krävs, föreslå riksdagen förändringar i personupp-
giftslagen. Utskottet utgår från att förändringar genomförs skyndsamt.
Vid remissbehandlingen av Datainspektionens förslag välkomnade de
flesta förslaget att mjuka upp det strikta överföringsförbudet. En del re-
missinstanser ansåg dock förslaget otillräckligt eller betydelselöst. Några
remissinstanser, bland annat Riksdagens ombudsmän (JO) och Kammar-
rätten i Göteborg, godtog förslaget i avvaktan på en grundligare översyn.
Svea hovrätt, Statskontoret, Patent- och registreringsverket (PRV), Sve-
riges industriförbund, Svenska Arbetsgivareföreningen (SAF), Svenska
IT-företagens organisation och BitoS uttalade sig för att en justering av
33 § personuppgiftslagen borde göras så att bestämmelsen mer liknar
motsvarande bestämmelse i EG-direktivet. Invändningar eller tveksam-
het från normgivningssynpunkt framfördes också vad gäller möjligheten
att genomföra förslaget i förordningsform. Posten AB, Telia AB och Da-
taföreningen uttalade sig för att förslaget under alla omständigheter borde
genomföras i lag.
När det gäller detalj synpunkter framfördes kritik mot att begränsa för-
slaget till löpande text och att bestämmelsen bara skulle avse text som
framställts för information eller kommunikation. Uppenbarhetsrekvisitet
uppfattades av några remissinstanser som alltför restriktivt.
Datainspektionens förslag att ge större förutsättningar för vissa slag av
behandlingar fick således ett i grunden positivt bemötande. Tungt vägan-
de synpunkter framkom dock för att i stället göra justeringar i perso-
nuppgiftslagens bestämmelser om överföring av personuppgifter till
tredje land. Inom Justitiedepartementet utarbetades därför en promemoria
och departementet bjöd därefter in remissinstanserna till ett remissmöte
för att diskutera förslagen i promemorian.
13
Prop. 1999/2000:11
Regeringens forslag: Personuppgiftslagens förbud mot överföring av
personuppgifter till tredje land ändras så att lydelsen ansluter närmare
till motsvarande bestämmelse i EG-direktivet. Överföring till tredje
land kommer härigenom inte längre att vara förbjuden om skyddsni-
vån i det tredje landet är adekvat.
Frågan om en skyddsnivå är adekvat skall bedömas med hänsyn till
samtliga omständigheter kring överföringen. Särskild vikt skall läggas
vid uppgifternas art, ändamålet med behandlingen, hur länge behand-
lingen skall pågå, ursprungslandet, det slutliga bestämmelselandet och
de regler som finns för behandlingen i det tredje landet
Promemorians förslag: Överensstämmer i sak med regeringens.
Remissinstanserna: Förslaget har tillstyrkts av så gott som samtliga
remissinstanser. Socialstyrelsen har dock anfört att det kan råda viss
tveksamhet om bedömningen av regleringens konsekvenser verkligen
kommer att visa sig hålla. Sveriges industriförbund har framfört samma
synpunkt som Socialstyrelsen med tillägget att det är angeläget att till-
lämpningen blir sådan som förutses i promemorian. IT-kommissionen har
anfört att förslaget är djärvt och går i rätt riktning men att invändningar
kan göras mot resonemanget om att överföringsförbudet kan sättas ur
spel bara för att uppgifterna spritts till andra EU-länder, som ju har en
adekvat skyddsnivå. Posten AB och Sveriges advokatsamfund har påtalat
att det med den föreslagna lydelsen till en början kan vara svårt för en
personuppgiftsansvarig att avgöra vad som är adekvat skyddsnivå. Sveri-
ges advokatsamfund har också efterlyst fler exemplifieringar av försla-
gets konsekvenser. Justitiekanslern och IT-kommissionen har framfört
liknande synpunkter. Dataföreningen i Sverige har uttalat att det är en
fördel att bestämmelsen inte använder oklara begrepp som t.ex. löpande
text och harmlösa uppgifter. Datainspektionen har uttalat förståelse för
förslaget att lösa problematiken på lagnivå men påtalat att det är viktigt
att hålla i minnet att de grundläggande reglerna för när en behandling är
tillåten fortfarande gäller. Enligt Domstolsverket bör tolkningen att även
en avsaknad av skydd kan anses som adekvat skyddsnivå framgå klarare
av lagtexten. IT-kommissionen har efterlyst en justering av lagtexten så
att den inte talar om adekvat skyddsnivå i ett visst land. Svenska journa-
listförbundet har inte haft någon invändning mot förslaget som sådant
men har framhållit att det är otillräckligt.
Skälen för regeringens förslag: Den nuvarande bestämmelsen i 33 §
personuppgiftslagen förbjuder överföring av personuppgifter till tredje
land. I de situationer som räknas upp i 34 och 35 §§ kan undantag från
förbudet göras.
Motsvarande regel om överföring till tredje land i EG-direktivet
(artikel 25.1) förbjuder överföring till ett tredje land för det fall nivån för
14
skyddet av personuppgifter i det tredje landet inte är adekvat. En överfö- Prop. 1999/2000:11
ring till ett land som har en adekvat skyddsnivå är således tillåten.
Det är enligt regeringens mening angeläget att en överföring till ett
tredje land kan äga rum om skyddsnivån är tillräcklig i det tredje landet.
Det har självfallet inget egenvärde att hindra en överföring till ett tredje
land om uppgifterna åtnjuter ett godtagbart skydd där.
Möjligheten att föra över personuppgifter till ett tredje land som har en
adekvat skyddsnivå bör komma till uttryck i den grundläggande förbuds-
regeln i personuppgiftslagen. Till detta kommer att frågan är av sådan
betydelse för yttrande- och informationsfrihetsintressena att en reglering
under alla omständigheter bör beslutas av riksdagen och alltså ges i lag-
form.
Förbudet i 33 § personuppgiftslagen bör alltså förses med ett undantag
för det fall att skyddsnivån i det tredje landet är adekvat.
Lagrådet har i sak inte haft någon erinran mot lagändringarna och har
påpekat att ändringen i 33 § innebär en utformning som närmare ansluter
till direktivtexten. Enligt Lagrådet kan lagändringarna vara ett bidrag till
att motverka de problem som är förknippade med att tillämpa den regle-
ringsmodell som använts i direktivet och i personuppgiftslagen men som
vållar de problem som berörs i konstitutionsutskottets betänkande
1998/99:KU15 (s. 22 f.). Lagrådet har vidare anfört att dessa problem
dock egentligen enbart kan lösas genom en revidering av direktivet och
att detta inte kan förväntas ske inom en nära framtid. Regeringen åter-
kommer till frågan om åtgärder för att revidera direktivet i avsnitt 7.
Frågan om en skyddsnivå är adekvat skall bedömas med hänsyn till
samtliga omständigheter kring överföringen. Av EG-direktivet framgår
att vissa omständigheter skall tilläggas särskild vikt vid prövningen om
ett tredje lands skyddsnivå är adekvat. Dessa omständigheter är uppgif-
tens art, den eller de avsedda behandlingarnas ändamål och varaktighet,
ursprungslandet och det slutliga bestämmelselandet, de allmänna respek-
tive särskilda rättsregler som gäller i ifrågavarande tredje land liksom de
regler för yrkesverksamhet och säkerhet som gäller där. Dessa omstän-
digheter bör nämnas i den svenska lagtexten.
Frågan om en skyddsnivå i ett visst land är adekvat kan alltså bedömas
på olika sätt beroende på omständigheterna i det enskilda fallet. Det kan
mycket väl tänkas att ett land har adekvat skyddsnivå på vissa områden
men inte på andra.
För det fall kommissionen i enlighet med det förfarande som gäller för
den kommitté som inrättats enligt artikel 31 i EG-direktivet har fattat
beslut om att skyddsnivån i en viss stat är adekvat har regeringen, liksom
hittills, möjlighet att meddela föreskrifter med ett innehåll som återspeg-
lar beslutet.
En uppmjukning av förbudet kan få stor betydelse för möjligheten att
använda sig av Internet eller andra internationella kommunikationsnät-
verk. Överföringar, t.ex. i form av elektronisk post, till länder med en
adekvat skyddsnivå blir tillåtna om behandlingen i sig är tillåten enligt
personuppgiftslagens övriga regler.
En behandling av personuppgifter som sker genom offentliggörande på
Internet blir med en reglering av det slag som regeringen föreslår tillåten
om den skyddsnivå som finns i de länder dit personuppgifterna kan
15
överföras är adekvat. Detta gäller självfallet, som Datainspektionen också
påpekat, bara under förutsättning att behandlingen uppfyller personupp-
giftslagens krav i övrigt. I de allra flesta fall innebär ett offentliggörande
av personuppgifter på Internet att personuppgifterna förs över till länder
som helt saknar skyddsregler för hur personuppgifter får behandlas. I
många fall där en behandling i form av ett offentliggörande är tillåten
enligt personuppgiftslagens regler (märk särskilt 9, 10 och 13-20 §§)
och där således så gott som hela befolkningen i EU- och EES-statema
och andra stater med god skyddsnivå kan ta del av personuppgifterna
framstår det som föga meningsfullt att ställa upp en begränsning för per-
sonuppgifternas överföring till andra stater i världen. En sådan begräns-
ning förefaller egendomlig eftersom uppgifterna redan är tillgängliga för
100-tals miljoner människor. Något egentligt skydd för uppgifterna
skulle en sådan begränsning i varje fall inte medföra eftersom uppgiften
redan fatt så stor spridning. I sådana situationer kan det ofta anses finnas
adekvat skyddsnivå i ett tredje land, trots en total avsaknad av skydds-
regler, helt enkelt därför att något skydd inte är nödvändigt eller inte
skulle ha någon reell effekt.
I sitt remissvar över Datainspektionens förslag har PRV framfört att
EG-direktivets överföringsregler torde kräva att något slags reell skydds-
nivå finns i det tredje landet för att överföring skall fa ske. EG-direktivet
skulle alltså uppfattas som om det kräver att en bedömning skall göras av
om vissa i det tredje landet gällande regler (oavsett om det är fråga om
rättsliga regler eller t.ex. självregleringsmekanismer) är adekvata eller
inte. Om denna uppfattning vore riktig skulle ett offentliggörande av per-
sonuppgifter på Internet aldrig kunna ske utan samtycke av den registre-
rade eftersom uppgifterna blir tillgängliga i länder som helt saknar
skyddsregler. EG-direktivet anger i frågan om vad som utgör en adekvat
skyddsnivå i artikel 25.2 uttryckligen att särskild vikt skall läggas vid
bland annat de regler för behandlingen som finns i det tredje landet. Det
som i EG-direktivet kallas adekvat skyddsnivå är alltså något annat än de
regler som kan gälla i ett tredje land, nämligen ett uttryck för att omstän-
digheterna kring överföringen sammantagna skall vara sådana att perso-
nuppgifter har ett tillräckligt skydd. Det kan alltså enligt regeringens
uppfattning mycket väl finnas situationer där det inte finns några skydds-
regler alls i det tredje landet men skyddsnivån ändå är adekvat.
I anledning av IT-kommissionens synpunkt om konsekvensen av sprid-
ning av personuppgifter till andra EU-länder vill regeringen understryka
att överföring till andra EU-länder är möjlig, inte för att skyddsnivån där
är adekvat utan för att det är en följd av EG-direktivet att personuppgif-
ter fritt kan flöda mellan medlemsstaterna. Om en personuppgift far be-
handlas på ett sätt som innebär offentliggörande får den också spridas till
andra EU-länder. Om uppgifterna far behandlas på ett sådant sätt avgörs
av personuppgiftslagens grundläggande bestämmelser.
Lagrådet har som redan nämnts inte haft någon erinran mot regering-
ens förslag till ändringar av lagen. Lagrådet har dock ifrågasatt om rege-
ringens resonemang om tolkningen av EG-direktivet kommer att visa sig
hållbara. Enligt regeringens uppfattning finns det emellertid ingenting i
ordalydelsen av EG-direktivets överföringsregler som talar mot den tolk-
ning som regeringen gör. Den osäkerhet rörande tolkningen som Lagrå-
Prop. 1999/2000:11
16
det pekat på är i varje fall inte sådan att det finns anledning att avstå från
lagstiftning i enlighet med regeringens förslag.
Regeringen har förståelse för synpunkten att det skulle ha behövts fler
exemplifieringar för att klarlägga vad som är tillåtet och inte och för syn-
punkten att det kan vara svårt att av lagtexten utläsa när överföring far
ske. Det måste emellertid hållas i minnet att det är EG-direktivet som
utgör grunden för tolkningen av den aktuella svenska lagbestämmelsen.
Denna tolkning kommer ytterst att bli beroende av vilken bedömning
EG-domstolen kan komma att göra av direktivtexten. Som regeringen
angett i propositionen Sveriges medlemskap i Europeiska unionen (prop.
1994/95:19, del 1 s. 529) är utrymmet för uttalanden från lagstiftarens
sida till vägledning för rättstillämpningen i sådana fall begränsat. Den
nationella lagstiftaren gör därför klokt i att avhålla sig från sådana utta-
landen i fall där mer än en tolkning låter sig göras. Av samma skäl bör
lagtextens lydelse anknyta så nära som möjligt till EG-direktivets lydel-
se.
Effekten av en sådan justering av överföringsförbudet som nu föreslås
kan jämföras med vilka möjligheter Datainspektionens förslag hade inne-
burit. Enligt Datainspektionens förslag skulle en överföring kunna ske
om den uppfyller de specifika krav som ställs upp i den föreslagna be-
stämmelsen. Motsvarande krav för möjligheten till överföring finns inte i
regeringens förslag utan bedömningen av vilken skyddsnivå som krävs
måste göras med beaktande av samtliga omständigheter i det enskilda
fallet. Utrymmet för vilka överföringar som kan anses tillåtna är alltså
betydligt större med en reglering av detta slag. Genom regeringens för-
slag utnyttjas också all den handlingsfrihet som finns i EG-direktivet.
De invändningar som Datainspektionen framfört i sin rapport om bristan-
de möjlighet att förutse vad som är tillåtet har i och för sig visst fog men
motiverar inte att detta handlingsutrymme inte tas till vara. Behandling
av personuppgifter ger upphov till så komplexa rättsliga överväganden att
det är ofrånkomligt att en bedömning måste göras i varje fall för sig.
Prop. 1999/2000:11
17
Prop. 1999/2000:11
Regeringens förslag: Straffbestämmelsen i personuppgiftslagen jus-
teras så att gärningar som är ringa inte längre är straffbara.
Promemorians förslag: Överensstämmer i sak med regeringens.
Remissinstanserna: Förslaget har tillstyrkts av samtliga remissinstan-
ser. Flera remissinstanser, däribland Svea hovrätt, Datainspektionen,
Socialstyrelsen, Posten AB, Statskontoret, Sveriges industriförbund och
Svenska tidningsutgivareföreningen, har uttryckt starkt stöd för förslaget.
Skälen för regeringens förslag: Användningen av informationsteknik
i samhället ökar snabbt. Personuppgifter behandlas i dag t.ex. på Internet
i en väsentligt större omfattning än vad som var fallet för bara några år
sedan. Den ökade användningen innebär naturligtvis på många sätt ökade
integritetsrisker. Det finns dock överträdelser av personuppgiftslagens
straffbestämmelse som i det enskilda fallet inte framstår som särskilt
straffvärda.
Den ändring som föreslås i förbudet mot överföring av personuppgifter
till tredje land medför också, som Datainspektionen påpekat i sin rapport,
att det ibland kan vara svårt för den personuppgiftsansvarige att på för-
hand avgöra om en överföring är tillåten eller inte. Det kan förutses att
det kommer att finnas situationer där det visar sig att den personupp-
giftsansvarige gjort en felaktig bedömning men överträdelsen av överfö-
ringsförbudet inte är särskilt klandervärd. Det är angeläget att motverka
sådana negativa konsekvenser.
Mot denna bakgrund bör gärningar som är ringa inte leda till straff.
Lagrådet har beträffande effekten av den föreslagna avkriminalisering-
en uttalat att den inte påverkar det skadeståndsrättsliga ansvar som före-
ligger enligt lagens 48 § och som utgör en viktig sanktion vid överträdel-
ser av personuppgiftslagens bestämmelser. Vidare har Lagrådet uttalat att
det är svårt att ha någon bestämd uppfattning om i vad mån skadestånd
kan utgå i de fall av överträdelser av förbudet mot överföring av perso-
nuppgifter till tredje land vilka nu föreslås bli straffria, men att redan
denna tveksamhet kan motverka syftet med avkriminaliseringen.
Som Lagrådet påpekat påverkar inte den föreslagna avkriminalisering-
en det skadeståndsrättsliga ansvaret enligt personuppgiftslagen. Det ska-
deståndsrättsliga ansvaret är väsentligt eftersom det är ett krav enligt arti-
kel 24 i EG-direktivet att Sverige har effektiva sanktioner mot överträ-
delser av reglerna. Regeringen är övertygad om att den praktiska betydel-
sen av avkriminaliseringen är väl ägnad att motverka den tveksamhet
som kan uppstå hos personuppgiftsansvariga.
I anledning av de uttalanden som gjorts av konstitutionsutskottet om
vikten av intensifierade åtgärder för att åstadkomma en lagstiftning som
syftar till att ingripa mot missbruk av personuppgifter snarare än mot
hanteringen av sådana uppgifter är det viktigt att varje möjlighet att ta ett
steg i denna riktning tas till vara. Regeringens förslag till avkriminalise-
18
ring innebär att lagstiftningen kommer att närma sig en missbruksinriktad Prop. 1999/2000:11
regleringsmodell.
IT-kommissionen har inom det arbete som bedrivs inom det IT-rättsliga
observatoriet utfört en studie över möjligheten att åstadkomma en lag-
stiftning för skyddet av personuppgifter enligt en s.k. missbruksmodell
(Det IT-rättsliga observatoriets rapport 8/98). Studien har diskuterats vid
ett seminarium i observatoriets regi.
Regeringen avser att fortsätta arbetet med att undersöka alternativa lag-
stiftningsmetoder. Det är dock tydligt att det i det korta eller medellånga
perspektivet inte kommer att vara möjligt att fullt ut föreslå en lagstift-
ning som helt är inriktad på att reglera vad som utgör ett missbruk av
personuppgifter. Det är helt enkelt inte möjligt att åstadkomma en lag-
stiftning efter en sådan modell inom EG-direktivets ram. Däremot avser
regeringen att, utöver vad som nu föreslås, noga överväga vilka ytterliga-
re inslag av en mer missbruksinriktad reglering som kan genomföras in-
om ramen for EG-direktivet. Regeringen kommer också att studera hur
stort utrymmet är for att tillåta överföring av personuppgifter till tredje
land, särskilt i samband med publicering på Internet, om den personupp-
giftsansvarige ställer tillräckliga garantier till skydd for den registrerade.
Sverige har i EU—samarbetet påtalat de problem som uppmärksammats
i den svenska debatten. Sverige har också tillsammans med Österrike och
Storbritannien tagit initiativet till en seminarieserie där företrädare for
medlemsstaterna får möjlighet att presentera sin lagstiftning och diskute-
ra tillämpningsproblem som uppstått i de olika länderna. Seminarieserien
syftar bland annat till att identifiera områden där det kan finnas ett ge-
mensamt intresse bland medlemsstaterna för en revidering av direktivet.
Senast hösten 2001 skall kommissionen föreslå nödvändiga föränd-
ringar i direktivet. Det är regeringens föresats att använda tiden fram till
dess for att främja att ett förslag till revidering läggs fram och för att öka
förståelsen for de förändringar som enligt svensk uppfattning är önskvär-
da.
Det kan inte förutses några konsekvenser av förslaget som medför ökade
kostnader för det allmänna eller for samhället i övrigt. Däremot kan för-
slaget antas fa en positiv effekt på samhällsekonomin i och med att det
ökar möjligheten att använda sig av informationsteknik för spridning av
personuppgifter utomlands. Någon närmare beräkning är inte möjlig att
göra.
19
Prop. 1999/2000:11
Förbudet mot att föra över personuppgifter till tredje land har modifierats
på så sätt att överföring endast är förbjuden om landet inte har en adekvat
nivå för skyddet av personuppgifterna.
Enligt ett nytt andra stycke skall frågan om en skyddsnivå är adekvat
bedömas mot bakgrund av samtliga omständigheter kring överföringen.
Särskild vikt skall läggas vid uppgifternas art, ändamålet med behand-
lingen, hur länge behandlingen skall pågå, ursprungslandet, det slutliga
bestämmelselandet och de regler för behandlingen som finns i det tredje
landet. Andra stycket har sin motsvarighet i artikel 25.2 i EG-direktivet.
I den allmänna motiveringen avsnitt 5.1 diskuteras betydelsen av uppgif-
ternas art och ändamålet med behandlingen. Med de regler som finns för
behandlingen avses vad som i EG-direktivet uttryckts som ”de allmänna
respektive särskilda rättsregler som gäller i ifrågavarande tredje land lik-
som de regler för yrkesverksamhet och säkerhet som gäller där”. Även
andra regler än de rent rättsliga reglerna, t.ex. förekomsten av mekanis-
mer för självreglering, skall övervägas vid bedömningen. Reglerna måste
inte direkt ta sikte på behandlingen men åtminstone till sin praktiska ef-
fekt beröra denna. Regler kan till exempel finnas som ställer upp allmän-
na begränsningar för att få utöva viss yrkesverksamhet som medför att de
aktuella personuppgifterna åtnjuter skydd. Den faktiska efterlevnaden av
reglerna får anses ingå bland de faktorer som skall tillmätas särskild vikt.
Lagrådet har i sitt yttrande påpekat att uttrycken ”ursprungslandet” och
”det slutliga bestämmelselandet” till skillnad mot ”tredje land” inte är
definierade i lagen. Uttrycken kan enligt Lagrådet avse andra länder än
Sverige och det land dit överföringen sker. Som exempel anger Lagrådet
att personuppgifter kan vara hämtade till Sverige från ett land inom eller
utanför EU/EES och ha sin slutliga bestämmelseort i ett fjärde land och
att skyddet i såväl det första som det sista landet då skall beaktas. Det är
naturligtvis av stor betydelse för skyddet av personuppgifterna hur själva
dataflödet ser ut. EG-direktivet och den svenska lagen anger uttryckligen
att ursprungslandet och det slutliga bestämmelselandet tillhör de faktorer
som skall tillmätas särskild vikt. Ursprungslandet avser det land varifrån
personuppgifterna härrör medan det slutliga bestämmelselandet avser det
land till vilka personuppgifterna kommer att överföras.
De närmare gränsdragningarna om vad som i det enskilda fallet utgör
adekvat skyddsnivå far avgöras i rättstillämpningen.
Det är den personuppgiftsansvarige som har bevisbördan för att
skyddsnivån i det tredje landet är adekvat. En annan sak är att det i
många fall inte kommer att krävas mycket för att beviskravet skall anses
uppfyllt.
Paragrafens tillämpning på elektronisk post och internationella kom-
munikationsnätverk har kommenterats ovan i den allmänna motiveringen
i avsnitt 5.1.
20
Enligt ett nytt andra stycke skall ansvar inte ådömas i ringa fall.
Vad som är ringa fall far bedömas med hänsyn till samtliga omständig-
heter i det enskilda fallet. Alla faktorer som uppgifternas art och vilken
integritetskränkning eller risk för integritetskränkning som behandlingen
orsakat skall vägas in vid bedömningen av om en överträdelse är att be-
trakta som ringa.
Av grunderna för 5 § andra stycket lagen (1964:163) om införande av
brottsbalken följer att en gärning som innebär en överträdelse av person-
uppgiftslagens straffbestämmelse, som begåtts före lagens ikraftträdande
och som skulle ha bedömts som ringa om det nya andra stycket hade gällt
då, inte skall leda till straff.
Lagrådet har uttalat att avkriminaliseringen inte torde bli tillämplig i
de fall där datalagen skall tillämpas enligt övergångsbestämmelserna till
personuppgiftslagen.
Prop. 1999/2000:11
21
Remissyttranden över Datainspektionens rapport Personuppgifter på In-
ternet av den 1 mars 1999 har avgetts av Riksdagens ombudsmän (JO),
Svea hovrätt, Malmö tingsrätt, Kammarrätten i Göteborg, Justitiekans-
lem, Domstolsverket, Riksåklagaren, Rikspolisstyrelsen, Överstyrelsen
för civil beredskap, Socialstyrelsen, Post- och telestyrelsen, Vägverket,
Kommunikationsforskningsberedningen, Posten AB, Telia AB,
Statskontoret, Riksrevisionsverket, Humanistisk-samhällsvetenskapliga
forskningsrådet, Juridiska fakultetsnämnden vid Stockholms universitet,
Riksarkivet, Patent- och registreringsverket, Lantmäteriverket, Stock-
holms kommun, Jönköpings kommun, Malmö kommun, Göteborgs
kommun, Umeå kommun, Stockholms läns landsting, Svenska Kom-
munförbundet, Landstingsförbundet, Sveriges advokatsamfund, Sveriges
industriförbund, Företagarnas riksorganisation, Sveriges Radio AB, Sve-
riges Television AB, Tjänstemännens centralorganisation (TCO), Sveri-
ges Akademikers Centralorganisation (SACO), Landsorganisationen i
Sverige (LO), Svenska Arbetsgivareföreningen, Svenska journalistför-
bundet, Svenska tidningsutgivareföreningen, Dataföreningen i Sverige,
Föreningen Grävande Journalister, Svenska IT-företagens organisation,
BitoS, Ungdomsstyrelsen, Claes Tullbrink, Anders Bjömgreen och Jacob
Palme.
Prop. 1999/2000:11
Bilaga 1
22
„ , , Prop. 1999/2000:11
Förslag till lag om ändring i personuppgiftslagen (1998:204)
Härigenom föreskrivs att 33 och 49 §§ personuppgiftslagen (1998:204)
skall ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
Det är förbjudet att till tredje
land föra över personuppgifter som
är under behandling. Förbudet
gäller också överföring av perso-
nuppgifter för behandling i tredje
land.
33 §
Det är förbjudet att till tredje
land föra över personuppgifter som
är under behandling om landet inte
har en adekvat nivå för skyddet av
personuppgifter. Förbudet gäller
också överföring av person-
uppgifter för behandling i tredje
land.
Frågan om en skyddsnivå är
adekvat skall bedömas med hänsyn
till samtliga omständigheter som
har samband med överföringen.
Särskild vikt skall läggas vid upp-
giftens art, ändamålet med be-
handlingen, hur länge behandling-
en varar, ursprungslandet, det
slutliga bestämmelselandet och de
regler som finns för behandlingen
i det tredje landet.
49 §
Till böter eller fängelse i högst sex månader eller, om brottet är grovt,
till fängelse i högst två år döms den som uppsåtligen eller av oaktsamhet
a) lämnar osann uppgift i sådan information till registrerade som före-
skrivs i denna lag, i anmälan till tillsynsmyndigheten enligt 36 § eller till
tillsynsmyndigheten när myndigheten begär information enligt 43 §,
b) behandlar personuppgifter i strid med 13-21 §§,
c) för över personuppgifter till tredje land i strid med 33-35 §§, eller
d) låter bli att göra anmälan enligt 36 § första stycket eller enligt före-
skrifter meddelade med stöd av 41 §.
I ringa fall av brott mot första
stycket döms inte till ansvar.
Den som överträtt ett vitesföreläggande enligt 44 § eller 45 § första
stycket döms inte till ansvar för en gärning som omfattas av vitesföreläg-
gandet.
Denna lag träder i kraft den 1 december 1999.
23
Remissyttranden över Justitiedepartementets promemoria av den 1 juni
1999 har avgetts av: Svea hovrätt, Justitiekanslem, Domstolsverket,
Rikspolisstyrelsen, Datainspektionen, Socialstyrelsen, Post- och telesty-
relsen, Vägverket, Posten AB, Telia AB, Statskontoret, Riksarkivet, Pa-
tent- och registreringsverket, Landstingsförbundet, Sveriges advokat-
samfund, Sveriges industriförbund, Tjänstemännens centralorgansiation
(TCO), Svenska Arbetsgivareföreningen, Svenska journalistförbundet,
Svenska tidningsutgivareföreningen, Dataföreningen i Sverige, Svenska
IT-företagens organisation, BitoS och IT-kommisssionen.
Följande remissinstanser har beretts tillfälle men avstått från att yttra sig
över promemorian: Riksdagens ombudsmän (JO), Malmö tingsrätt,
Kammarrätten i Göteborg, Riksåklagaren, Juridiska fakultetsnämnden vid
Stockholms universitet, Svenska Kommunförbundet, Sveriges Radio AB,
Sveriges Television AB, Sveriges Akademikers Centralorganisation
(SACO), Landsorganisationen i Sverige (LO), Föreningen Grävande
Journalister och Tele 2 AB.
Prop. 1999/2000:11
Bilaga 3
24
Förslag till lag om ändring i personuppgiftslagen (1998:204)
Prop. 1999/2000:11
Bilaga 4
Härigenom föreskrivs att 33 och 49 §§ personuppgiftslagen (1998:204)
skall ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
Det är förbjudet att till tredje
land föra över personuppgifter som
är under behandling. Förbudet
gäller också överföring av perso-
nuppgifter för behandling i tredje
land.
33 §
Det är förbjudet att till tredje
land föra över personuppgifter som
är under behandling om landet inte
har en adekvat nivå för skyddet av
personuppgifterna. Förbudet gäller
också överföring av personupp-
gifter för behandling i tredje land.
Frågan om en skyddsnivå är
adekvat skall bedömas med hänsyn
till samtliga omständigheter som
har samband med överföringen.
Särskild vikt skall läggas vid upp-
giftens art, ändamålet med be-
handlingen, hur länge behandling-
en varar, ursprungslandet, det
slutliga bestämmelselandet och de
regler som finns för behandlingen
i det tredje landet.
49 §
Till böter eller fängelse i högst sex månader eller, om brottet är grovt,
till fängelse i högst två år döms den som uppsåtligen eller av oaktsamhet
a) lämnar osann uppgift i sådan information till registrerade som före-
skrivs i denna lag, i anmälan till tillsynsmyndigheten enligt 36 § eller till
tillsynsmyndigheten när myndigheten begär information enligt 43 §,
b) behandlar personuppgifter i strid med 13-21 §§,
c) för över personuppgifter till tredje land i strid med 33-35 §§, eller
d) låter bli att göra anmälan enligt 36 § första stycket eller enligt före-
skrifter meddelade med stöd av 41 §.
Ansvar för en gärning enligt
första stycket skall inte dömas ut i
ringa fall.
Den som överträtt ett vitesföreläggande enligt 44 § eller 45 § första
stycket döms inte till ansvar för en gärning som omfattas av vitesföreläg-
gandet.
Denna lag träder i kraft den 1 december 1999.
25
Utdrag ur protokoll vid sammanträde 1999-09-10
Närvarande: f.d. justitierådet Lars Å. Beckman, regeringsrådet
Susanne Billum, justitierådet Göran Regner.
Enligt en lagrådsremiss den 17 juni 1999 (Justitiedepartementet) har re-
geringen beslutat inhämta Lagrådets yttrande över förslag till lag om änd-
ring i personuppgiftslagen (1998:204).
Förslaget har inför Lagrådet föredragits av hovrättsassessorn
Klas Reinholdsson.
Förslaget föranleder följande yttrande av Lagrådet:
De föreslagna lagändringarna syftar till att underlätta användningen av
modem informationsteknik. De innebär dels att förbudet i 33 § person-
uppgiftslagen mot överföring av personuppgifter till land utanför
EU/EES mjukas upp, dels att ansvar för brott mot bl.a. detta förbud inte
skall ådömas i ringa fall. I sak har Lagrådet i och för sig ingen erinran
mot lagändringarna, som beträffande 33 § innebär en utformning som
närmare ansluter sig till artikel 25 i EG:s direktiv om skydd för enskilda
personer med avseende på behandling av personuppgifter och om det fria
flödet av sådana uppgifter. Lagändringarna kan vara ett bidrag till att
motverka de problem som är förknippade med att tillämpa den reg-
leringsmodell som används i direktivet och i personuppgiftslagen men
som vållar de problem som berörs i konstitutionsutskottets betänkande
1998/99:KU15 (s. 22 f.). Dessa problem kan dock egentligen lösas enbart
genom en revidering av direktivet vilken inte kan förväntas ske inom en
nära framtid.
Lagrådet vill vidare anföra följande med anledning av förslaget.
33 §
Det framgår av förarbetena till personuppgiftslagen att det nuvarande
förbudet mot överföring av personuppgifter till tredje land (dvs. ett land
utanför EU/EES) var avsett att bli kompletterat med föreskrifter av rege-
ringen eller Datainpektionen om undantag från förbudet mot överföring
utöver dem som finns i lagens 34 §, se 35 § första stycket och prop.
1997/98:44 s. 96. Några sådana föreskrifter av allmän karaktär har emel-
lertid inte meddelats. I den mån sådana undantagsföreskrifter inte skulle
vara mera utförliga och ha större konkretion än vad som nu föreslås som
ändringar i 33 §, är det en fördel att reglerna tas in i själva lagen med
hänsyn till bl.a. att många enskilda personer och företag skall tillämpa
reglerna.
Prop. 1999/2000:11
Bilaga 5
26
En fråga som kan ställas med anledning av lagförslaget är vilken praktisk
betydelse ändringen i 33 § far. För den enskilde kommer det att vara svårt
att bedöma om förbudet i sin nya utformning gäller eller inte, när det är
fråga om att t.ex. lägga ut personuppgifter på en webbplats som är all-
mänt tillgänglig på Internet. En sådan åtgärd medför att uppgifterna blir
tillgängliga i hela världen och därmed kan anses överförda till alla länder.
Huruvida alla länder då har en adekvat skyddsnivå ter sig nästan omöjligt
att veta, särskilt som också den faktiska efterlevnaden av befintliga regler
i länderna skall tas med i bedömningen. En tanke som avspeglas i remis-
sen är att vissa uppgifter kan vara av sådan beskaffenhet att de normalt
framstår som så harmlösa att det inte har någon betydelse om det finns
något skydd alls. En sådan tanke ter sig dock svårförenlig med de ganska
höga krav på skydd for alla slags personuppgifter som direktivet ställer.
Det ter sig med hänsyn till direktivet också diskutabelt att, som görs i
remissen, hävda att personuppgifter far överföras till ett land utanför
EU/EES därför att uppgifterna görs offentliga inom EU/EES-området
och därmed far sådan spridning inom detta att skyddet mot överföring till
tredje land inte skulle fa någon reell effekt.
Lagändringen kan innebära att enskilda inte anser sig med tillräcklig sä-
kerhet kunna avgöra om en avsedd överföring till tredje land är tillåten
enligt 33 § i dessa nya lydelse och därför avstår. Å andra sidan kanske
paragrafen inte efterlevs därför att den uppfattas som en orealistiskt häm-
sko på kommunikationen via bl.a. Internet.
Det kan visserligen sägas att den föreslagna ändringen i 49 § som innebär
att ringa fall av överträdelser av förbudet i 33-35 §§ blir strafffia minskar
den tvekan som enskilda kan ha angående en tillämnad överförings tillåt-
lighet. Den föreslagna avkriminaliseringen påverkar emellertid inte det
skadeståndsrättsliga ansvar som föreligger enligt lagens 48 § och som
utgör en viktig sanktion vid överträdelser av personuppgiftslagens be-
stämmelser (se a. prop. s. 105 ff.). I vad mån skadestånd kan utgå i de fall
av överträdelser av förbudet mot överföring av personuppgifter till tredje
land vilka nu föreslås bli strafffia är svårt att ha någon bestämd uppfatt-
ning om, men redan denna tveksamhet kan motverka syftet med avkrimi-
naliseringen.
I det nya andra stycket i 33 § används uttrycken ”ursprungslandet” och
”det slutliga bestämmelselandet”. De återfinns i artikel 25.2 i EG:s direk-
tiv, men de är till skillnad mot ”tredje land” inte definierade i lagen. Ut-
trycken kan avse andra länder än Sverige och det land dit överföringen
sker. Så t.ex. kan personuppgifter vara hämtade till Sverige från ett land
inom eller utanför EU/EES och ha sin slutliga bestämmelseort i ett fjärde
land. Skyddet i såväl det första som det sista landet skall då beaktas.
Prop. 1999/2000:11
Bilaga 5
27
49 §
Utöver vad som sagts under 33 § kan anmärkas att den föreslagna avkri-
minaliseringen i ringa fall inte torde bli tillämplig i den situationen att
personuppgifter överförts till tredje land, inte i strid med 33-35 §§
personuppgiftslagen, utan i strid med 11 § datalagen som enligt över-
gångsbestämmelserna till personuppgiftslagen alltjämt är tillämplig i frå-
ga om behandling av personuppgifter som påbörjats före den 24 oktober
1998. I vissa fall kan det vara svårt att avgöra vilken av lagarna som är
tillämplig på en överföring och därmed vilka ”ringa fall” som är strafffia.
Beträffande de förmodligen inte så fa fall där den gamla lagen skall till-
lämpas ännu cirka två år, inträder inte den lättnad i regelverket som nu
föreslås genom avkriminalisering i ringa fall.
Det nya andra stycket avser alla de gärningar som räknas upp i första
stycket, dvs. också andra överträdelser än otillåten överföring av perso-
nuppgifter till tredje land. I remissen berörs inte vilka konsekvenser av-
kriminaliseringen far för dessa andra fall. Så t.ex. behandlas inte i vilken
mån avkriminaliseringen kan anses förenlig med direktivets krav i artikel
24 på effektiva sanktioner vid överträdelser av de bestämmelser som har
antagits för att genomföra direktivet. Såvitt Lagrådet kan bedöma hindrar
dock inte direktivet den föreslagna avkriminaliseringen, även om denna
omfattar också överträdelser där skadeståndsansvar enligt 48 § person-
uppgiftslagen inte kommer i fråga.
Prop. 1999/2000:11
Bilaga 5
28
Utdrag ur protokoll vid regeringssammanträde den 7 oktober 1999.
Närvarande: statsrådet Hjelm-Wallén, ordförande, och statsråden
Freivalds, Thalén, Winberg, Ulvskog, Lindh, Sahlin, von Sydow,
Klingvall, Pagrotsky, Messing, Engqvist, Rosengren, Larsson,
Wämersson, Lejon, Lövdén, Ringholm
Föredragande: statsrådet Lejon
Prop. 1999/2000:11
Regeringen beslutar proposition 1999/2000:11 Personuppgiftslagens
överföringsregler.
29
Eländers Gotab 59101, Stockholm 1999