Regeringens proposition 2017/18:105

Ny dataskyddslag	Prop.
	2017/18:105

Regeringen överlämnar denna proposition till riksdagen.

Stockholm den 15 februari 2018

Stefan Löfven

Morgan Johansson

(Justitiedepartementet)

Propositionens huvudsakliga innehåll

Regeringen föreslår att personuppgiftslagen upphävs och att en ny lag med kompletterande bestämmelser till EU:s dataskyddsförordning införs. Vidare föreslås att vissa bestämmelser i offentlighets- och sekretesslagen ändras.

Den föreslagna lagen innehåller bl.a. bestämmelser om att dataskydds- förordningen med vissa undantag ska gälla även utanför sitt egentliga tillämpningsområde, t.ex. i verksamhet som rör nationell säkerhet. Lagen ska dock vara subsidiär i förhållande till annan lag eller förordning, vilket möjliggör avvikande bestämmelser i s.k. registerförfattningar. Lagförslaget förtydligar under vilka förutsättningar personuppgifter får behandlas med stöd av dataskyddsförordningen. Regeringen föreslår bl.a. att ett barn som är minst 13 år ska kunna samtycka till behandling av personuppgifter i samband med användning av informationssamhällets tjänster, t.ex. sociala medier. Vidare föreslås att sanktionsavgifter ska kunna tas ut även då en myndighet bryter mot dataskyddsförordningen. Förslaget till ny lag innehåller också vissa bestämmelser om begränsning av de registrerades rättigheter samt om skadestånd och överklagande av bl.a. tillsynsmyndighetens beslut.

Slutligen anges att dataskyddsförordningen och den nya lagen inte ska tillämpas i den utsträckning det strider mot tryckfrihetsförordningen eller yttrandefrihetsgrundlagen.

Lagändringarna föreslås träda i kraft den 25 maj 2018.

1

Bilaga 9	Lagrådets yttrande .........................................................	330	Prop. 2017/18:105
Utdrag ur protokoll vid regeringssammanträde den 15 februari
	2018 ....................................................................................	335

5

Prop. 2017/18:105 1

Förslag till riksdagsbeslut

Regeringen föreslår att riksdagen antar regeringens förslag till

1.lag med kompletterande bestämmelser till EU:s dataskydds- förordning,

2.lag om ändring i offentlighets- och sekretesslagen (2009:400).

6

2

Lagtext

Prop. 2017/18:105

Regeringen har följande förslag till lagtext.

2.1Förslag till lag med kompletterande bestämmelser till EU:s dataskyddsförordning

Härigenom föreskrivs följande.

1 kap. Inledande bestämmelser

1 § Denna lag kompletterar Europaparlamentets och rådets förord- ning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän data- skyddsförordning), här benämnd EU:s dataskyddsförordning.

Termer och uttryck i denna lag har samma betydelse som i EU:s data- skyddsförordning.

Utvidgad tillämpning av bestämmelserna i EU:s dataskyddsförordning

2 § Bestämmelserna i EU:s dataskyddsförordning, i den ursprungliga lydelsen, och denna lag ska gälla även vid behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten och i verksamhet som omfattas av avdelning V kapitel 2 i fördraget om Europeiska unionen.

3 § Bestämmelserna i 2 § gäller inte i verksamhet som omfattas av

1.lagen (2007:258) om behandling av personuppgifter i Försvars- maktens försvarsunderrättelseverksamhet och militära säkerhetstjänst,

2.lagen (2007:259) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet, eller

3.6 kap. polisdatalagen (2010:361).

4 § Artiklarna 33 och 34 i EU:s dataskyddsförordning tillämpas inte i fråga om personuppgiftsincidenter som ska rapporteras enligt säkerhets- skyddslagen (1996:627) eller föreskrifter som har meddelats i anslutning till den lagen.

Lagens territoriella tillämpningsområde

5 § Denna lag gäller vid behandling av personuppgifter som utförs inom ramen för verksamhet som bedrivs vid personuppgiftsansvarigas eller personuppgiftsbiträdens verksamhetsställen i Sverige. Lagen gäller även vid behandling av personuppgifter som utförs av personuppgiftsansvariga som inte är etablerade i Sverige, men på en plats där svensk rätt gäller enligt folkrätten.

7

Prop. 2017/18:105 Lagen gäller också vid behandling av personuppgifter som utförs av personuppgiftsansvariga eller personuppgiftsbiträden som endast är etablerade i tredjeland, om behandlingen avser registrerade som befinner sig i Sverige och har anknytning till

1.utbjudande av varor eller tjänster till sådana registrerade, eller

2.övervakning av deras beteende i Sverige.

Bestämmelsen i 2 kap. 4 § gäller vid behandling av personuppgifter som avser barn som bor i Sverige, oavsett var de personuppgiftsansvariga eller personuppgiftsbiträdena är etablerade.

Avvikande bestämmelser i annan författning

6 § Om en annan lag eller en förordning innehåller någon bestämmelse som avviker från denna lag, tillämpas den bestämmelsen.

Förhållandet till tryck- och yttrandefriheten

7 § EU:s dataskyddsförordning och denna lag ska inte tillämpas i den utsträckning det skulle strida mot tryckfrihetsförordningen eller yttrande- frihetsgrundlagen.

Artiklarna 5–30 och 35–50 i EU:s dataskyddsförordning samt 2–5 kap. denna lag ska inte tillämpas vid behandling av personuppgifter som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande.

Tystnadsplikt för dataskyddsombud

8 § Den som fullgör uppgift som dataskyddsombud enligt artikel 37 i EU:s dataskyddsförordning får inte obehörigen röja det som han eller hon vid fullgörandet av sin uppgift har fått kännedom om.

I det allmännas verksamhet tillämpas offentlighets- och sekretesslagen (2009:400) i stället för första stycket.

2 kap. Rättslig grund för behandling av personuppgifter

Rättslig förpliktelse

1 § Personuppgifter får behandlas med stöd av artikel 6.1 c i EU:s data- skyddsförordning, om behandlingen är nödvändig för att den person- uppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning.

Uppgift av allmänt intresse och myndighetsutövning

2 § Personuppgifter får behandlas med stöd av artikel 6.1 e i EU:s data- skyddsförordning, om behandlingen är nödvändig

1. för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning, eller

2. som ett led i den personuppgiftsansvariges myndighetsutövning

enligt lag eller annan författning.

8

Enskilda arkiv	Prop. 2017/18:105
3 § Regeringen eller den myndighet som regeringen bestämmer	får

meddela föreskrifter om att personuppgiftsansvariga som inte omfattas av föreskrifter om arkiv får behandla personuppgifter för arkivändamål av allmänt intresse.

Den myndighet som regeringen bestämmer får i enskilda fall besluta att sådana personuppgiftsansvariga får behandla personuppgifter för arkivändamål av allmänt intresse. Ett beslut får förenas med villkor.

Barns samtycke

4 § Vid erbjudande av informationssamhällets tjänster direkt till ett barn som bor i Sverige ska behandling av personuppgifter vara tillåten med stöd av barnets samtycke, om barnet är minst 13 år. Om barnet är under 13 år, ska sådan behandling vara tillåten endast om samtycke ges eller godkänns av den som har föräldraansvar för barnet.

3 kap. Behandling av vissa kategorier av personuppgifter

Känsliga personuppgifter

1 § Med känsliga personuppgifter avses i denna lag sådana uppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning.

Arbetsrätt, social trygghet och socialt skydd

2 § Känsliga personuppgifter får behandlas med stöd av artikel 9.2 b i EU:s dataskyddsförordning, om behandlingen är nödvändig för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och inom områdena social trygghet och socialt skydd.

Personuppgifter som behandlas med stöd av första stycket får lämnas ut till tredje part endast om det inom arbetsrätten eller inom områdena social trygghet och socialt skydd finns en skyldighet för den person- uppgiftsansvarige att göra det eller om den registrerade uttryckligen har samtyckt till utlämnandet.

Viktigt allmänt intresse

3 § Känsliga personuppgifter får behandlas av en myndighet med stöd av artikel 9.2 g i EU:s dataskyddsförordning

1.om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag,

2.om behandlingen är nödvändig för handläggningen av ett ärende,

eller

3.i annat fall, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den

registrerades personliga integritet.

Vid behandling som sker enbart med stöd av första stycket är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.

9

Prop. 2017/18:105 Vid tillämpningen av första stycket 1 ska andra än myndigheter jämställas med myndigheter, i den utsträckning bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offent- lighets- och sekretesslagen (2009:400) gäller i deras verksamhet.

4 § Regeringen får meddela ytterligare föreskrifter om sådan behandling av känsliga personuppgifter som är nödvändig med hänsyn till ett viktigt allmänt intresse.

Hälso- och sjukvård och social omsorg

5 § Känsliga personuppgifter får behandlas med stöd av artikel 9.2 h i EU:s dataskyddsförordning, om behandlingen är nödvändig för

1.förebyggande hälso- och sjukvård och yrkesmedicin,

2.bedömningen av en arbetstagares arbetskapacitet,

3.medicinska diagnoser,

4.tillhandahållande av hälso- och sjukvård eller behandling,

5.social omsorg, eller

6.förvaltning av hälso- och sjukvårdstjänster, social omsorg samt deras system.

Behandling enligt första stycket får ske under förutsättning att kravet på tystnadsplikt i artikel 9.3 i EU:s dataskyddsförordning är uppfyllt.

Arkiv

6 § Känsliga personuppgifter får behandlas för arkivändamål av allmänt intresse med stöd av artikel 9.2 j i EU:s dataskyddsförordning, om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att personuppgiftsansvariga som inte omfattas av föreskrifter om arkiv får behandla känsliga personuppgifter för arkiv- ändamål av allmänt intresse.

Den myndighet som regeringen bestämmer får i enskilda fall besluta att sådana personuppgiftsansvariga får behandla känsliga personuppgifter för arkivändamål av allmänt intresse. Ett beslut får förenas med villkor.

Statistik

7 § Känsliga personuppgifter får behandlas med stöd av artikel 9.2 j i EU:s dataskyddsförordning, om behandlingen är nödvändig för statis- tiska ändamål och samhällsintresset av det statistikprojekt där behand- lingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära.

Personuppgifter som rör lagöverträdelser

8 § Personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning får behandlas av myndigheter.

Även andra än myndigheter får behandla sådana personuppgifter, om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv.

10

9 § Regeringen eller den myndighet som regeringen bestämmer får Prop. 2017/18:105 meddela ytterligare föreskrifter om i vilka fall andra än myndigheter får

behandla sådana personuppgifter som avses i artikel 10 i EU:s data- skyddsförordning.

Den myndighet som regeringen bestämmer får i enskilda fall besluta att andra än myndigheter får behandla sådana uppgifter. Ett beslut får förenas med villkor.

Personnummer och samordningsnummer

10 § Personnummer och samordningsnummer får behandlas utan sam- tycke endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktans- värt skäl.

11 § Regeringen får meddela ytterligare föreskrifter om i vilka fall behandling av personnummer och samordningsnummer är tillåten.

4 kap. Användningsbegränsningar

Arkiv

1 § Personuppgifter som behandlas enbart för arkivändamål av allmänt intresse får användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen.

Första stycket hindrar inte myndigheter från att använda person- uppgifter som finns i allmänna handlingar.

Vid tillämpningen av andra stycket ska andra än myndigheter jämställas med myndigheter, i den utsträckning bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offent- lighets- och sekretesslagen (2009:400) gäller i deras verksamhet.

Statistik

2 § Personuppgifter som behandlas enbart för statistiska ändamål får användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen.

5 kap. Begränsningar av vissa rättigheter och skyldigheter

Information och tillgång till personuppgifter
1 § Artiklarna 13–15 i EU:s dataskyddsförordning om information och
rätt att få tillgång till personuppgifter gäller inte sådana uppgifter som
den personuppgiftsansvarige inte får lämna ut till den registrerade enligt
lag eller annan författning eller enligt beslut som har meddelats med stöd
av författning.
Om den personuppgiftsansvarige inte är en myndighet, gäller undan-
taget i första stycket även för uppgifter som hos en myndighet skulle ha
varit sekretessbelagda enligt offentlighets- och sekretesslagen
(2009:400).	11

Prop. 2017/18:105

2 § Artikel 15 i EU:s dataskyddsförordning gäller inte personuppgifter i löpande text som inte har fått sin slutliga utformning när begäran gjordes eller som utgör minnesanteckning eller liknande.

Undantaget i första stycket gäller inte om personuppgifterna

1.har lämnats ut till tredje part,

2.behandlas enbart för arkivändamål av allmänt intresse eller statis- tiska ändamål, eller

3.har behandlats under längre tid än ett år i löpande text som inte har fått sin slutliga utformning.

Bemyndigande

3 § Regeringen får meddela ytterligare föreskrifter om begränsningar enligt artiklarna 23, 89.2 och 89.3 i EU:s dataskyddsförordning.

6 kap. Tillsynsmyndighetens handläggning och beslut

Befogenheter

1 § De befogenheter som tillsynsmyndigheten har enligt artikel 58.1, 58.2 och 58.3 i EU:s dataskyddsförordning gäller vid tillsyn över att bestämmelserna i denna lag och andra föreskrifter som kompletterar EU:s dataskyddsförordning följs.

Första stycket innebär inte att tillsynsmyndigheten får ta ut sanktionsavgifter vid andra överträdelser än de som avses i artikel 83 i EU:s dataskyddsförordning.

Sanktionsavgifter

2 § Tillsynsmyndigheten får ta ut en sanktionsavgift av en myndighet vid överträdelser som avses i artikel 83.4, 83.5 och 83.6 i EU:s dataskydds- förordning, i den ursprungliga lydelsen. Då ska artikel 83.1, 83.2 och 83.3 i förordningen tillämpas.

Sanktionsavgiften ska bestämmas till högst 5 000 000 kronor vid över- trädelser som avses i artikel 83.4 i EU:s dataskyddsförordning och till högst 10 000 000 kronor vid överträdelser som avses i artikel 83.5 och 83.6 i förordningen.

3 § Tillsynsmyndigheten får ta ut en sanktionsavgift vid överträdelser av artikel 10 i EU:s dataskyddsförordning, i den ursprungliga lydelsen. Då ska artikel 83.1, 83.2 och 83.3 i förordningen tillämpas. Avgiftens storlek ska bestämmas med tillämpning av artikel 83.5 i förordningen.

4 § En sanktionsavgift får inte beslutas om den som avgiften ska tas ut av inte har fått tillfälle att yttra sig inom fem år från den dag då över- trädelsen ägde rum.

Ett beslut om sanktionsavgift ska delges.

5 § En sanktionsavgift tillfaller staten.

12

6 § En sanktionsavgift ska betalas till den myndighet som regeringen Prop. 2017/18:105 bestämmer inom 30 dagar från det att beslutet om att ta ut avgiften har

fått laga kraft eller inom den längre tid som anges i beslutet.

Om sanktionsavgiften inte betalas inom den tid som anges i första stycket, ska myndigheten lämna den obetalda avgiften för indrivning. Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m. Vid indrivning får verkställighet ske enligt utsökningsbalken.

7 § Regeringen får meddela ytterligare föreskrifter om sanktionsavgifter enligt EU:s dataskyddsförordning och denna lag.

7 kap. Skadestånd och överklagande

Skadestånd

1 § Rätten till ersättning från den personuppgiftsansvarige eller person- uppgiftsbiträdet enligt artikel 82 i EU:s dataskyddsförordning gäller vid överträdelser av bestämmelser i denna lag och andra föreskrifter som kompletterar EU:s dataskyddsförordning.

Överklagande av personuppgiftsansvariga myndigheters beslut

2 § Beslut enligt artiklarna 12.5 och 15–21 i EU:s dataskyddsförordning som har meddelats av en myndighet i egenskap av personuppgifts- ansvarig får överklagas till allmän förvaltningsdomstol.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Första stycket gäller inte beslut av regeringen, Högsta domstolen, Högsta förvaltningsdomstolen eller Riksdagens ombudsmän.

Överklagande av tillsynsmyndighetens beslut

3 § Tillsynsmyndighetens beslut enligt EU:s dataskyddsförordning och enligt 6 kap. 2 och 3 §§ denna lag får överklagas till allmän förvaltnings- domstol. När ett beslut överklagas, är tillsynsmyndigheten motpart i domstolen.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Överklagande av vissa andra beslut

4 § Beslut enligt 2 kap. 3 § andra stycket, 3 kap. 6 § tredje stycket och 3 kap. 9 § andra stycket denna lag får överklagas till allmän förvaltnings- domstol.

Prövningstillstånd krävs vid överklagande till kammarrätten.

13

2.2	Förslag till lag om ändring i offentlighets- och		Prop. 2017/18:105
	sekretesslagen (2009:400)
Härigenom föreskrivs att 10 kap. 27 § och 21 kap. 7 § och rubriken
närmast före 21 kap. 7 § offentlighets- och sekretesslagen (2009:400) ska
ha följande lydelse.
Nuvarande lydelse		Föreslagen lydelse

10 kap.

27 §1

Utöver vad som följer av 2, 3, 5 och 15–26 §§ får en sekretessbelagd uppgift lämnas till en myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda.

Första stycket gäller inte i fråga om sekretess enligt 24 kap. 2 a och 8 §§, 25 kap. 1–8 §§, 26 kap. 1–6 §§, 29 kap. 1 och 2 §§, 31 kap. 1 § första stycket, 2 och 12 §§, 33 kap. 2 §, 36 kap. 3 § samt 40 kap. 2 och 5 §§.

Första stycket gäller inte heller	Första stycket gäller inte heller
om utlämnandet strider mot lag	om utlämnandet strider mot lag
eller förordning eller föreskrift	eller förordning.
som har meddelats med stöd av
personuppgiftslagen (1998:204).
21 kap.
Behandling i strid med person-	Behandling i strid med data-
uppgiftslagen	skyddsregleringen
	7 §
Sekretess gäller för person-	Sekretess gäller för person-
uppgift, om det kan antas att ett	uppgift, om det kan antas att upp-
utlämnande skulle medföra att	giften efter ett utlämnande kommer
uppgiften behandlas i strid med	att behandlas i strid med Europa-
personuppgiftslagen (1998:204).	parlamentets och rådets förord-
	ning	(EU) 2016/679 av			den
	27 april 2016 om skydd för fysiska
	personer		med	avseende	på
	behandling av personuppgifter och
	om det fria flödet av sådana
	uppgifter och om upphävande av
	direktiv 95/46/EG			(allmän	data-
	skyddsförordning), i den ursprung-
	liga	lydelsen,		eller	lagen
	(2018:000)		med	kompletterande
	bestämmelser			till	EU:s
	dataskyddsförordning.

Denna lag träder i kraft den 25 maj 2018.

1 Senaste lydelse 2013:795.

15

Prop. 2017/18:105 3

Ärendet och dess beredning

Den 27 april 2016 utfärdades Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behand- ling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen. Dataskyddsförordningen, som börjar tillämpas den 25 maj 2018, finns i svensk lydelse i bilaga 1.

Den 25 februari 2016 beslutade regeringen att ge en särskild utredare i uppdrag att föreslå de anpassningar och kompletterande författnings- bestämmelser på generell nivå som dataskyddsförordningen ger anled- ning till (dir. 2016:15). Utredningen, som tog namnet Dataskyddsutred- ningen (Ju 2016:04), överlämnade den 12 maj 2017 betänkandet Ny data- skyddslag – Kompletterande bestämmelser till EU:s dataskyddsförord- ning (SOU 2017:39). En sammanfattning av betänkandet finns i bilaga 2. Betänkandets lagförslag finns i bilaga 3.

Betänkandet har remissbehandlats. En förteckning över remissinstan- serna finns i bilaga 4. Remissvaren finns tillgängliga i Justitiedeparte- mentet (Ju2017/04264/L6).

Justitiedepartementet har i en promemoria som kompletterar betänkan- det lämnat förslag avseende den nya lagens territoriella tillämpnings- område. En sammanfattning av promemorian finns i bilaga 5. Prome- morians lagförslag finns i bilaga 6. Promemorian har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 7. Remissvaren finns tillgängliga i Justitiedepartementet (Ju2017/06940/L6).

Förslag till undantag från bestämmelsen som utsträcker dataskydds- förordningens tillämpningsområde har beretts med Säkerhetspolisen, Datainspektionen, Säkerhets- och integritetsskyddsnämnden, Myndig- heten för samhällsskydd och beredskap, Försvarsmakten, Försvarets radioanstalt och Totalförsvarets rekryteringsmyndighet. Myndigheternas svar finns tillgängliga i Justitiedepartementet (Ju2017/04264/L6).

Vissa frågor av övergångskaraktär behandlas i Utredningen om 2016 års dataskyddsdirektivs delbetänkande Brottsdatalag (SOU 2017:29, Ju2017/03283/L4).

Lagrådet

Regeringen beslutade den 21 december 2017 att inhämta Lagrådets yttrande över de lagförslag som finns i bilaga 8. Lagrådets yttrande finns i bilaga 9. Lagrådets synpunkter och förslag behandlas och bemöts i avsnitt 5.1.3, 6.1.1, 6.2, 8.5, 10.4, 17.3.5 och i författningskommentaren. Regeringen följer i allt väsentligt Lagrådets förslag. I förhållande till lagrådsremissens lagförslag har vissa språkliga och redaktionella ändringar gjorts.

16

4

EU:s dataskyddsreform

Prop. 2017/18:105

4.1Gällande rätt

Den allmänna regleringen om behandling av personuppgifter inom EU finns i dag i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet). Dataskyddsdirektivet gäller inte för behandling av personuppgifter på områden som faller utanför unionsrätten, t.ex. allmän säkerhet och försvar samt statens verksamhet på straffrättens område. Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsrambeslutet) är tillämpligt på informationsutbyte över gränserna. Dataskyddsrambeslutet gäller däre- mot inte för rent nationell personuppgiftsbehandling inom exempelvis polisens område. Från dataskyddsrambeslutets tillämpningsområde undantas också personuppgiftsbehandling inom området nationell säker- het. På detta område finns det således inte någon EU-gemensam reglering om behandling av personuppgifter.

Dataskyddsdirektivet har genomförts i svensk rätt huvudsakligen genom personuppgiftslagen (1998:204), förkortad PUL. Bestämmelserna i personuppgiftslagen har till syfte att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Personuppgiftslagen följer i princip dataskyddsdirektivets struktur och innehåller liksom direktivet bestämmelser om bl.a. personuppgiftsansvar, grundläggande krav för behandling av personuppgifter och information till den registrerade.

Personuppgiftslagen är tillämplig även utanför EU-rättens område och gäller både för myndigheter och enskilda som behandlar personuppgifter. Personuppgiftslagen är samtidigt subsidiär, vilket innebär att lagens bestämmelser inte ska tillämpas om det finns avvikande bestämmelser i en annan lag eller en förordning. Det finns en stor mängd sådana bestäm- melser i sektorsspecifika författningar som främst reglerar hur olika myndigheter får behandla personuppgifter.

Personuppgiftslagen kompletteras också av bestämmelser i person- uppgiftsförordningen (1998:1191), förkortad PUF, som bl.a. pekar ut Datainspektionen som tillsynsmyndighet. Datainspektionen bemyndigas i förordningen att meddela närmare föreskrifter om bl.a. i vilka fall behandling av personuppgifter är tillåten och vilka krav som ställs på den personuppgiftsansvarige.

4.2	En ny förordning och ett nytt direktiv
Europeiska kommissionen lade fram sitt förslag till en reformerad data-
skyddsreglering i EU år 2012. Förslaget bestod av dels en förordning
med allmänna regler om skydd av personuppgifter som skulle ersätta
dataskyddsdirektivet, dels ett direktiv med regler om skydd av person-
uppgifter	som behandlas i samband med förebyggande, utredning,	17

Prop. 2017/18:105 avslöjande eller lagföring av brott och därmed förbunden rättslig verk- samhet som skulle ersätta dataskyddsrambeslutet.

Den 27 april 2016 antogs dataskyddsförordningen. Samma dag antogs Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, nedan kallat det nya dataskyddsdirektivet. Genomförandet av det direktivet omfattas inte av detta lagstiftnings- ärende.

Dataskyddsförordningen kommer från och med den 25 maj 2018 att ersätta dataskyddsdirektivet och utgöra den generella regleringen av personuppgiftsbehandling inom EU. Enligt artikel 288 andra stycket i fördraget om Europeiska unionens funktionssätt ska en EU-förordning ha allmän giltighet och vara till alla delar bindande och direkt tillämplig i varje medlemsstat. Trots att dataskyddsförordningen, till skillnad från dataskyddsdirektivet, är direkt tillämplig innehåller den många bestäm- melser som förutsätter eller ger utrymme för kompletterande nationella bestämmelser av olika slag. Förordningen har därmed i vissa delar en direktivliknande karaktär. I skäl 8 till förordningen anges också att om förordningen föreskriver förtydliganden eller begränsningar av dess bestämmelser genom medlemsstaternas nationella rätt kan medlems- staterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av förordningen i nationell rätt.

4.3Förordningens syfte

I skäl 9 till förordningen konstateras att dataskyddsdirektivet inte har kunnat förhindra bristande enhetlighet i genomförandet och tillämp- ningen av dataskyddet i olika delar av unionen. Skillnader i nivån på skyddet av personuppgifter kan enligt skälet förhindra det fria flödet av personuppgifter och kan därför utgöra ett hinder för att bedriva ekono- misk verksamhet på unionsnivå, snedvrida konkurrensen och hindra myndigheterna från att fullgöra sina skyldigheter enligt unionsrätten.

För att säkerställa en enhetlig skyddsnivå över hela unionen och undvika avvikelser som hindrar den fria rörligheten av personuppgifter inom den inre marknaden behövs, enligt skäl 13 till förordningen, en förordning som skapar rättslig säkerhet och öppenhet för ekonomiska aktörer och som ger fysiska personer i alla medlemsstater samma rättsligt verkställbara rättigheter och skyldigheter samt ålägger personuppgifts- ansvariga och personuppgiftsbiträden samma ansvar. På så sätt blir över- vakningen av behandling av personuppgifter enhetlig, sanktionerna i alla medlemsstater likvärdiga och samarbetet mellan tillsynsmyndigheterna i olika medlemsstater effektivt.

18

4.4

Tillämpningsområdet

Prop. 2017/18:105

Dataskyddsförordningen ska, precis som dataskyddsdirektivet, tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av person- uppgifter som ingår i eller kommer att ingå i ett register.

Från dataskyddsförordningens tillämpningsområde undantas behand- ling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten eller som utförs av medlemsstaterna när de bedriver verksamhet som omfattas av den gemensamma utrikes- och säkerhetspolitiken. Behandling av personuppgifter som utförs av en fysisk person som ett led i verksamhet av privat natur eller som har samband med hans eller hennes hushåll omfattas inte heller av förord- ningens bestämmelser. Vidare gäller förordningen inte för sådan behand- ling av personuppgifter som utförs av behöriga myndigheter för ända- målen att förebygga, utreda, upptäcka eller lagföra brott eller verkställa straffrättsliga påföljder. Sådan behandling regleras i stället genom det nya dataskyddsdirektivet. Slutligen ska förordningens bestämmelser inte tillämpas av EU:s institutioner, organ och byråer. Den behandling av personuppgifter som sker där regleras i stället genom Europaparla- mentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskaps- organen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter. Ett förslag till reviderad förordning om skydd för personuppgifter som behandlas av unionens institutioner, organ, kontor och byråer har lagts fram av kommissionen (COM(2017) 8 final).

Dataskyddsförordningen ska tillämpas på all behandling av person- uppgifter som sker inom ramen för den verksamhet som bedrivs av personuppgiftsansvariga eller personuppgiftsbiträden som är etablerade i unionen, oavsett om behandlingen utförs i unionen eller inte. En skillnad jämfört med dataskyddsdirektivet är att förordningen under vissa omständigheter ska tillämpas även på behandling av personuppgifter som utförs av personuppgiftsansvariga eller personuppgiftsbiträden som inte är etablerade i unionen. Detta gäller om behandlingen avser registrerade som befinner sig i unionen, under förutsättning att behandlingen har anknytning till antingen utbjudande av varor eller tjänster till sådana registrerade i unionen eller övervakning av deras beteende, så länge beteendet sker inom unionen. Slutligen ska dataskyddsförordningen också tillämpas på behandling av personuppgifter som utförs av en personuppgiftsansvarig som inte är etablerad i unionen, men på en plats där en medlemsstats nationella rätt gäller enligt folkrätten.

4.5Sakliga förändringar

Dataskyddsförordningen baseras till stor del på dataskyddsdirektivets struktur och innehåll, men innebär även en rad förändringar. Några av dessa förtjänar att nämnas särskilt.

Den registrerades rättigheter förstärks i syfte att ge den registrerade ökad kontroll över sina personuppgifter. Den information som ska till-

19

Prop. 2017/18:105 handahållas den registrerade preciseras och utvidgas och det anges uttryckligen att den personuppgiftsansvarige ska tillhandahålla informa- tionen i en begriplig och lättillgänglig form. Förordningen innebär även en förstärkning av rätten för den registrerade att få åtkomst till sina personuppgifter i syfte att föra över dem till en annan leverantör av elektroniska tjänster, s.k. dataportabilitet. Vidare införs en tydligare rätt till radering (rätt att bli bortglömd).

När informationssamhällets tjänster erbjuds direkt till ett barn, krävs enligt dataskyddsförordningen att samtycke eller godkännande av barnets samtycke i vissa fall inhämtas av den som har föräldraansvar för barnet för att personuppgifter som rör barnet ska få behandlas. Barns särställ- ning och särskilda utsatthet poängteras på flera ställen i förordningen.

Genom förordningen införs en skyldighet för den personuppgifts- ansvarige att anmäla till tillsynsmyndigheten om det inträffar en så kallad personuppgiftsincident, dvs. en säkerhetsincident som oavsiktligt på- verkar behandlingen av personuppgifter. Även den registrerade ska infor- meras om incidenten om den sannolikt leder till en hög risk för enskildas rättigheter och friheter.

Det införs krav på konsekvensanalyser om en viss behandling sannolikt kommer att leda till hög risk för enskildas rättigheter eller skyldigheter. Den allmänna anmälningsskyldigheten till tillsynsmyndigheten tas däremot bort. Vidare införs det tydligare regler för kommunikation med den registrerade och ansvar för dem som behandlar personuppgifter. Ett krav på inbyggt dataskydd och dataskydd som standard införs.

Genom förordningen införs ett nytt gemensamt system med sanktions- avgifter som ska tas ut vid överträdelser av förordningen. Även på andra sätt innebär förordningen ett ökat fokus på en enhetlig tillämpning av dataskyddsreglerna inom EU, t.ex. genom åtgärder som godkännande av uppförandekoder och certifiering. Det införs även en skyldighet för de nationella tillsynsmyndigheterna att samarbeta med varandra och en mekanism för enhetlighet när flera tillsynsmyndigheter är inblandade. Det införs samtidigt en ny princip om en enda kontaktpunkt, som ska underlätta för sådana personuppgiftsansvariga som är verksamma i flera medlemsstater, genom att de endast ska behöva vara i kontakt med en av de behöriga tillsynsmyndigheterna. Det införs även ett nytt unionsorgan, Europeiska dataskyddsstyrelsen, som får långtgående befogenheter att uttala sig om tolkningen av förordningen även i enskilda fall.

Utrymmet för att ge offentlighetsprincipen företräde framför data- skyddsregleringen blir tydligare, genom en uttrycklig och direkt tillämp- lig bestämmelse i artikel 86 i dataskyddsförordningen. Av bestämmelsen följer att personuppgifter i allmänna handlingar får lämnas ut i enlighet med nationell rätt, för att jämka samman allmänhetens rätt att få tillgång till handlingar med rätten till skydd för personuppgifter i enlighet med förordningen. Artikeln möjliggör alltså en tillämpning av bestämmel- serna i tryckfrihetsförordningen, förkortad TF, om allmänhetens tillgång till handlingar när det gäller allmänna handlingar som innehåller personuppgifter.

20

5	Ett nytt svenskt regelverk om dataskydd	Prop. 2017/18:105
5.1	En ny lag införs och personuppgiftslagen
	upphävs
Regeringens förslag: Personuppgiftslagen upphävs och en ny lag
med bestämmelser som kompletterar EU:s dataskyddsförordning på
ett generellt plan införs.
Utredningens förslag överensstämmer med regeringens.
Remissinstanserna tillstyrker förslaget eller har inga synpunkter på
det. Bland andra Myndigheten för vård- och omsorgsanalys och Göte-
borgs universitet påpekar, utan att invända mot utredningens förslag, att
dataskyddsreformen medför att rättsområdet blir mer komplext. Några
myndigheter, bl.a. Pensionsmyndigheten och Lantmäteriet, framhåller
behovet av en samlad översyn av registerförfattningarna. Ett par remiss-
instanser, bl.a. Sveriges konsumenter och Stiftelsen för internetinfra-
struktur, ifrågasätter utredningens strävan att varken utvidga eller
inskränka möjligheterna till behandling av personuppgifter, annat än då
dataskyddsförordningen kräver en sådan förändring. Flera remiss-
instanser, bl.a. Domstolsverket, Myndigheten för vård- och omsorgs-
analys, Konkurrensverket och Riksidrottsförbundet, efterlyser mer väg-
ledning kring hur olika termer och begrepp i dataskyddsförordningen ska
tolkas och tillämpas. Vidare tar flera remissinstanser, bl.a. Arbetsförmed-
lingen, Riksidrottsförbundet och Tjänstemännens centralorganisation,
upp frågor som är specifika för deras verksamhet eller den reglering som
styr den.
Skälen för regeringens förslag: Dataskyddsförordningen ersätter
dataskyddsdirektivet, som har genomförts i svensk rätt huvudsakligen
genom personuppgiftslagen, personuppgiftsförordningen och Data-
inspektionens föreskrifter. Dataskyddsförordningen ska däremot inte
implementeras i svensk rätt, utan i stället tillämpas direkt av enskilda,
myndigheter och domstolar. När dataskyddsförordningen börjar tillämpas
kommer alltså den generella regleringen om behandling av person-
uppgifter att finnas i dataskyddsförordningen. Det svenska generella
regelverket om dataskydd kan då inte längre finnas kvar, eftersom det
skulle leda till en otillåten dubbelreglering. Personuppgiftslagen bör
därför upphävas.
Den omständigheten att den nya generella unionsrättsakten om data-
skydd är en förordning, och inte ett direktiv, innebär således omfattande
begränsningar av möjligheten att införa eller behålla nationella bestäm-
melser om dataskydd. Dataskyddsförordningen både förutsätter och
medger emellertid nationella bestämmelser som kompletterar eller före-
skriver undantag från förordningens regler. I skäl 8 till förordningen
anges att om förordningen föreskriver förtydliganden eller begränsningar
av dess bestämmelser genom medlemsstaternas nationella rätt, kan
medlemsstaterna, i den utsträckning det är nödvändigt för samstämmig-
heten och för att göra de nationella bestämmelserna begripliga för de
personer som de tillämpas på, införliva delar av förordningen i nationell
rätt.		21

Prop. 2017/18:105	Vissa av de kompletterande bestämmelser som behövs eller är lämpliga
	är av generell karaktär, i betydelsen att de rör hela samhället eller fler-
	talet myndigheter och inte bara en viss sektor. Denna typ av generella
	bestämmelser bör samlas i en ny övergripande lag om dataskydd. För att
	betona att lagen inte är heltäckande, utan endast utgör ett komplement till
	dataskyddsförordningen, bör den i enlighet med utredningens förslag
	benämnas lagen med kompletterande bestämmelser till EU:s dataskydds-
	förordning. I det följande kallas den nya lagen för dataskyddslagen.
	Vidare har förordningen, framför allt när det gäller den offentliga
	sektorn, en direktivliknande karaktär och tillåter att förordningens regler
	specificeras i nationell rätt. Detta följer bl.a. av artikel 6.2, där det anges
	att medlemsstaterna får behålla eller införa mer specifika bestämmelser
	för att anpassa tillämpningen av bestämmelserna i förordningen när det
	gäller behandling som sker enligt	artikel 6.1 c (rättslig förpliktelse)
	och 6.1 e (uppgift av allmänt intresse och myndighetsutövning). Detta får
	ske genom att medlemsstaterna närmare fastställer specifika krav för
	uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och
	rättvis behandling. Av skäl 10 framgår att detta även gäller för behand-
	lingen av känsliga personuppgifter. Av artikel 6.3 framgår vidare att, vid
	behandling enligt artikel 6.1 c och e, ska den rättsliga grunden fastställas
	i unionsrätten eller i nationell rätt. Där anges också att den rättsliga
	grunden kan innehålla särskilda bestämmelser för att anpassa tillämp-
	ningen av bestämmelserna i dataskyddsförordningen, bl.a. de allmänna
	villkor som ska gälla för den personuppgiftsansvariges behandling,
	vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs,
	de enheter till vilka personuppgifterna får lämnas ut och för vilka ända-
	mål, ändamålsbegränsningar, lagringstid samt typer av behandling och
	förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en
	laglig och rättvis behandling. Detta innebär att det även fortsättningsvis
	finns ett utrymme för sådan sektorsspecifik särreglering om behandling
	av personuppgifter som finns i de svenska registerförfattningarna, t.ex.
	studiestödsdatalagen (2009:287) och domstolsdatalagen (2015:728).
	Anpassningen av sådana sektorsspecifika författningar behandlas dock
	inte i detta lagstiftningsärende.
	Flera remissinstanser tar upp frågor som är specifika för deras verk-
	samhet och den reglering som styr den. Sådana sektorsspecifika frågor
	omfattas dock inte av detta lagstiftningsärende. Flera remissinstanser
	efterlyser också mer vägledning kring hur dataskyddsförordningens
	bestämmelser ska tolkas och tillämpas, framför allt i fråga om tillämplig
	rättslig grund. I detta lagstiftningsärende behandlas dock inte frågor som
	rör tillämpningen av dataskyddsförordningens direkt tillämpliga bestäm-
	melser, annat än i samband med resonemang kring behovet och lämplig-
	heten av kompletterande lagstiftning på generell nivå. Regeringen kan
	också konstatera att det i många fall är svårt att ge mer vägledning än den
	utredningen ger i betänkandet. När det gäller de nya begrepp som intro-
	duceras genom dataskyddsreformen finns det ännu inte någon praxis eller
	annan rättskälla att luta sig mot.
	Det bör dock understrykas	att	tillsynsmyndigheten, enligt
	artikel 57.1 b, har i uppgift att öka personuppgiftsansvarigas och person-
	uppgiftsbiträdens medvetenhet om sina skyldigheter enligt dataskydds-
22	förordningen. Av skäl 132 framgår	att	medvetandehöjande kampanjer

från tillsynsmyndighetens sida bör innefatta särskilda åtgärder riktade Prop. 2017/18:105 dels till personuppgiftsansvariga och personuppgiftsbiträden, inbegripet

mikroföretag samt små och medelstora företag, dels till fysiska personer, särskilt i utbildningssammanhang. Dessutom har tillsynsmyndigheten, enligt artikel 57.1 b, i uppgift att öka allmänhetens medvetenhet om och förståelse för risker, regler, skyddsåtgärder och rättigheter i fråga om behandling. Särskild uppmärksamhet ska ägnas åt insatser som riktar sig till barn. Vidare har regeringen gett Datainspektionen i uppdrag att för- stärka sitt arbete med att underlätta näringslivets anpassning till data- skyddsförordningen, för att svenska företag inte ska tappa tempo i sitt digitaliseringsarbete och samtidigt upprätthålla ett gott integritetsskydd (N2016/07306/FÖF).

Bland andra Myndigheten för vård- och omsorgsanalys och Göteborgs universitet påpekar, utan att invända mot utredningens förslag, att data- skyddsreformen medför att rättsområdet blir mer komplext. Regeringen har förståelse för dessa synpunkter. Det förhållandet att personuppgifts- lagen ersätts av den mer omfattande regleringen i dataskyddsförord- ningen och en kompletterande nationell reglering på generell nivå, inne- bär att regelverket kan uppfattas som mer komplext. Det bör dock fram- hållas att den ökade komplexiteten är en följd av att det nya EU-rättsliga regelverket är direkt tillämpligt och att detta förutsätter kompletterande nationell reglering. Samtidigt kan konstateras att för de allra flesta personuppgiftsansvariga kommer endast dataskyddsförordningen och dataskyddslagen att vara tillämpliga. För personuppgiftsansvariga som har verksamhet i flera medlemsstater finns dessutom stora fördelar med en dataskyddsreglering som är direkt tillämplig i hela EU. Vidare har tillsynsmyndigheten, som beskrivs ovan, redan enligt dataskyddsförord- ningen ett uppdrag att informera om regleringen.

Några myndigheter, bl.a. Pensionsmyndigheten och Lantmäteriet, framhåller behovet av en samlad översyn av registerförfattningarna. Ett par remissinstanser, bl.a. Sveriges konsumenter och Stiftelsen för inter- netinfrastruktur, ifrågasätter utredningens strävan att varken utvidga eller inskränka möjligheterna till behandling av personuppgifter, annat än då dataskyddsförordningen kräver en sådan förändring. Regeringen kan emellertid konstatera att den korta tid som står till buds för att anpassa den svenska dataskyddsregleringen till den nya EU-regleringen inte medger mer omfattande nationella reformer på detta område. Det ute- sluter inte att vissa sådana övergripande förändringar skulle kunna vara befogade och därför bli föremål för överväganden i ett annat samman- hang.

5.1.1Termer och uttryck

Regeringens förslag: Termer och uttryck i dataskyddslagen ska ha samma betydelse som i EU:s dataskyddsförordning.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna: I stort sett alla instanser tillstyrker förslaget eller

har inga synpunkter på det. Myndigheten för vård- och omsorgsanalys

23

Prop. 2017/18:105 anser dock att det inte är användarvänligt att definitionerna inte anges i lagen.

Skälen för regeringens förslag: Många av de termer och uttryck som används i dataskyddsförordningen definieras i artikel 4 i förordningen. Andra begrepp definieras visserligen inte, men är av unionsrättslig karak- tär och kan inte ges en särskild betydelse i nationell rätt, t.ex. begreppet tredjeland. Termer och uttryck som används i dataskyddslagen bör därför ha samma betydelse som i dataskyddsförordningen.

Med anledning av Myndigheten för vård- och omsorgsanalys synpunkt att förordningens definitioner bör anges i lagen, bör framhållas att lagen endast utgör ett komplement till dataskyddsförordningen. Det stora flertalet av de regler som ska tillämpas finns i dataskyddsförordningen och ska tillämpas direkt av myndigheter, företag och andra person- uppgiftsansvariga. Om förordningens definitioner infördes i dataskydds- lagen skulle det kunna ge intrycket av att lagen är fristående från förordningen.

5.1.2Hänvisningsteknik

Regeringens förslag: De hänvisningar till EU:s dataskyddsförordning som finns i dataskyddslagen ska, med undantag för bestämmelsen om behandling av personuppgifter utanför dataskyddsförordningens egentliga tillämpningsområde och bestämmelserna om sanktions- avgifter, vara dynamiska, dvs. avse förordningen i den vid varje tidpunkt gällande lydelsen.

Utredningens förslag överensstämmer delvis med regeringens. Utred- ningen föreslår dynamiska hänvisningar till dataskyddsförordningen även i bestämmelserna om sanktionsavgifter.

Remissinstanserna tillstyrker förslaget eller har inga synpunkter på det.

Skälen för regeringens förslag: Den föreslagna dataskyddslagen innehåller hänvisningar till bestämmelser i dataskyddsförordningen. Hänvisningar till EU-rättsakter kan göras antingen statiska eller dynamiska. En statisk hänvisning innebär att hänvisningen avser EU- rättsakten i en viss angiven lydelse. En dynamisk hänvisning innebär att hänvisningen avser EU-rättsakten i den vid varje tidpunkt gällande lydelsen.

Dataskyddsförordningen är direkt tillämplig. För att säkerställa att ändringar i dataskyddsförordningen får omedelbart genomslag är det lämpligt att hänvisningarna dit görs dynamiska. Detta hindrar emellertid inte att dataskyddslagen kan behöva ändras om dataskyddsförordningens innehåll ändras. De hänvisningar till dataskyddsförordningen som finns i dataskyddslagen bör med vissa undantag vara dynamiska, dvs. avse förordningen i dess vid varje tidpunkt gällande lydelse. Hänvisningarna kommer således att omfatta även eventuella framtida ändringar i dataskyddsförordningen.

Flera av hänvisningarna till dataskyddsförordningen i de bestämmelser som regeringen föreslår är av upplysande karaktär. Det gäller främst

hänvisningarna i bestämmelserna om rättslig grund, känsliga person-

24

Prop. 2017/18:105 hänvisning till dataskyddsförordningen ska införas i en bestämmelse. Frågan om hänvisningens karaktär i det fallet behandlas i avsnitt 15.3.

5.1.3 Avvikande bestämmelser i annan lag eller i förordning ska ha företräde

Regeringens förslag: Om en annan lag eller en förordning innehåller någon bestämmelse som avviker från dataskyddslagen, tillämpas den bestämmelsen.

Utredningens förslag överensstämmer i sak med regeringens. Utred- ningen föreslår dock en annan utformning av författningsbestämmelsen.

Remissinstanserna: Det stora flertalet tillstyrker förslaget eller har inga synpunkter på det. Kungliga tekniska högskolan anser dock att det av lagtexten bör framgå att även direkt tillämpliga EU-förordningar omfattas. Sveriges advokatsamfund anser att det bör framgå av bestäm- melsen att bestämmelser som avviker från dataskyddslagen ska tillämpas såvida de inte är oförenliga med dataskyddsförordningen.

Skälen för regeringens förslag: Personuppgiftslagen är subsidiär på så sätt att om det i en annan lag eller i en förordning finns bestämmelser som avviker från lagen, ska de bestämmelserna gälla (2 § PUL). Frågan är om en sådan ordning bör gälla även i fråga om dataskyddslagen.

Dataskyddsförordningen ger i viss utsträckning utrymme för undantag eller kompletteringar avseende en särskild typ av verksamhet, se avsnitt 5.1. Dataskyddslagen kommer endast att innehålla övergripande och generella bestämmelser. De flesta bestämmelser som kompletterar förordningen kommer således att finnas i någon annan författning.

Dataskyddslagen är, i likhet med personuppgiftslagen, av offentlig- rättslig karaktär. Som helhet måste den även betraktas som betungande i förhållande till de personuppgiftsansvariga och personuppgiftsbiträden som träffas av den. Dataskyddslagens bestämmelser gäller inte bara för statliga myndigheter, utan även för kommuner, företag och enskilda. Det krävs därför enligt 8 kap. 2 § första stycket 2 och 3 § regeringsformen, förkortad RF, bemyndiganden i lag för att anslutande föreskrifter ska kunna meddelas av regeringen eller av en förvaltningsmyndighet.

När det däremot gäller sektorsspecifika författningar som enbart rör behandling av personuppgifter som utförs av statliga myndigheter som lyder under regeringen förhåller det sig annorlunda. Med undantag för de fall som avses i 2 kap. 6 § andra stycket RF kan sådana föreskrifter som direkt eller indirekt rör behandling av personuppgifter meddelas av regeringen med stöd av dess restkompetens enligt 8 kap. 7 § första stycket 2 RF. Det finns i dag ett stort antal förordningar av detta slag.

	Vidare kan sektorsspecifika föreskrifter som reglerar kommunala
	myndigheters eller enskilda organs behandling av personuppgifter
	meddelas med stöd av bemyndiganden i annan lag än dataskyddslagen.
	Lagrådet efterfrågar ytterligare överväganden angående skälen för en
	ordning som innebär att föreskrifter i förordning ska gälla framför
	dataskyddslagens bestämmelser. Som Lagrådet påpekar innebär detta att
	räckvidden av den formella lagkraftens princip enligt 8 kap. 18 § RF
26	begränsas. På dataskyddsområdet är det emellertid en väl etablerad

ordning att även föreskrifter på förordningsnivå kan ges företräde Prop. 2017/18:105 framför den generella regleringen om skydd för personuppgifter. En

förutsättning för detta är givetvis att föreskrifterna har beslutats med stöd av regeringens restkompetens eller med stöd av ett bemyndigande i lag.

Vidare kommer det enligt regeringens bedömning även i fortsättningen att finnas ett stort behov av både lagar och förordningar som innehåller bestämmelser som rör behandling av personuppgifter. Dessa bestäm- melser kommer i första hand att komplettera dataskyddsförordningen, men kan i vissa fall avse frågor som också regleras i dataskyddslagen. Det kan vara bestämmelser som direkt rör behandling av person- uppgifter, t.ex. om möjligheten att behandla känsliga personuppgifter i en viss verksamhet. Bestämmelserna kan också indirekt röra behandling av personuppgifter, t.ex. skyldigheter att lämna ut vissa uppgifter eller särskilda förfaranderegler.

Regeringen gör mot denna bakgrund bedömningen att såväl lagar som förordningar som avviker från dataskyddslagen bör ha företräde framför bestämmelserna i dataskyddslagen, på motsvarande sätt som har gällt i förhållande till personuppgiftslagen.

Bestämmelser som rör behandling av personuppgifter kan också före- komma i andra EU-förordningar än dataskyddsförordningen. I Sverige jämställs sådana förordningar med lag och kommer därmed, på samma sätt som lagar beslutade av riksdagen, att ha företräde framför data- skyddslagen. Det finns enligt regeringens mening inte skäl att, som Kungliga tekniska högskolan förordar, särskilt ange detta i lagtexten.

Regeringen anser att den bestämmelse som anger att dataskyddslagen är subsidiär till avvikande bestämmelser i annan författning bör utformas på samma sätt som 4 § i den nya förvaltningslagen (2017:900). Detta innebär ingen saklig skillnad jämfört med den formulering som används i personuppgiftslagen. Det bör dock betonas att den bestämmelse om subsidiaritet som föreslås i dataskyddslagen kommer att få en betydligt mer begränsad betydelse än dess motsvarighet i 2 § PUL, även om dess innebörd är densamma. Detta beror på att dataskyddslagen, till skillnad från personuppgiftslagen, inte är heltäckande. Dataskyddslagen utgör endast ett komplement till dataskyddsförordningen och reglerar bara vissa frågor. Bestämmelsen om att annan lag eller förordning ska ha före- träde framför dataskyddslagen utvidgar inte utrymmet för att göra nationella undantag från de direkt tillämpliga bestämmelserna i data- skyddsförordningen. Principen om unionsrättens företräde innebär att en bestämmelse i en sektorsspecifik författning får tillämpas endast om den är förenlig med dataskyddsförordningen och avser en fråga som enligt förordningen får särregleras eller specificeras genom nationell rätt. Det finns enligt regeringens mening inte skäl att, som Sveriges advokat- samfund förespråkar, ange detta särskilt i lagtexten.

27

Prop. 2017/18:105 6

Tillämpningsområdet

6.1Behandling av personuppgifter utanför dataskyddsförordningens tillämpningsområde

6.1.1Förordningens tillämpningsområde utsträcks

Regeringens förslag: Bestämmelserna i EU:s dataskyddsförordning och dataskyddslagen ska gälla även i verksamhet utanför unionsrättens tillämpningsområde och vid Sveriges deltagande i den gemensamma utrikes- och säkerhetspolitiken. Detta ska dock inte gälla i verksamhet som omfattas av lagen om behandling av personuppgifter i Försvars- maktens försvarsunderrättelseverksamhet och militära säkerhetstjänst, lagen om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet eller 6 kap. polis- datalagen.

Utredningens förslag överensstämmer delvis med regeringens. Utred- ningen föreslår inte något undantag. Vidare har utredningens förslag en annan språklig utformning.

Remissinstanserna: Det stora flertalet remissinstanser tillstyrker utredningens förslag eller har inga synpunkter på det. Förvaltningsrätten i Stockholm och Centrala studiestödsnämnden efterfrågar dock fördjupade överväganden i denna del. Försvarsmakten motsätter sig att förordningen ska vara tillämplig i verksamhet som omfattas av lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst. Försvarets radioanstalt anser att det bör framgå av lagen att dataskyddsförordningen inte gäller i verksamhet som omfattas av lagen (2007:259) om behand- ling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet. Sveriges advokatsamfund ifrågasätter utvidgningen i den del som avser den gemensamma utrikes- och säkerhetspolitiken och menar att regleringen kan komma i konflikt med framtida bestämmelser inom det området som beslutas av rådet. Lunds universitet anser att det behövs en mer utförlig motivering till att förordningens tillämpningsområde utvidgas till att omfatta även den gemensamma utrikes- och säkerhetspolitiken. Försvarsmakten, Lunds universitet och Sveriges advokatsamfund anser att det av lagtexten ska framgå vilka delar av dataskyddsförordningen som ska gälla utanför dess tillämpningsområde. Ytterligare ett par remissinstanser, bl.a. Centrala studiestödsnämnden, påpekar att den föreslagna utformningen av bestäm- melsen kan medföra tillämpningssvårigheter.

Skälen för regeringens förslag

Dataskyddsförordningens tillämpningsområde bör utsträckas

Dataskyddsdirektivet gäller inte för sådan behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av gemenskaps- rätten, exempelvis sådan verksamhet som avses i avdelningarna V och VI

i fördraget om Europeiska unionen, och inte under några omständigheter

28

Prop. 2017/18:105 inom unionsrättens tillämpningsområde och verksamhet som skulle kunna anses falla utanför denna, inte behöver definiera denna gräns utan i stället kan tillämpa ett och samma regelverk.

Sveriges advokatsamfund anser att det är vanskligt att utvidga data- skyddsförordningens tillämpning till den gemensamma utrikes- och säkerhetspolitiken, eftersom rådet med stöd av artikel 39 i fördraget om Europeiska unionen har befogenhet att anta beslut om bestämmelser om behandling av personuppgifter i medlemsstaterna på detta område. Det kan dock konstateras att rådet ännu inte har antagit några sådana bestäm- melser. För det fall att rådet skulle göra det kan detta hanteras genom att bestämmelser som avviker från dataskyddslagen tas in i en förordning beslutad med stöd av regeringens restkompetens, se avsnitt 5.1.3. Regeringen bedömer därför att de farhågor som Sveriges advokat- samfund hyser inte utgör skäl att frångå utredningens förslag.

Regeringen anser därför, i likhet med utredningen, att förordningens bestämmelser om behandling av personuppgifter bör utsträckas till att gälla även vid sådan behandling av personuppgifter som enligt artikel 2.2 a och b inte omfattas av dataskyddsförordningens tillämpnings- område. Bestämmelserna i dataskyddslagen bör också gälla i dessa fall. Se dock nedan om undantag samt avsnitt 18 om ikraftträdande- och övergångsbestämmelser.

Lagrådet anser att den nu aktuella paragrafen bör utformas så att verksamhet som omfattas av avdelning V kapitel 2 i fördraget om Europeiska unionen anges före verksamhet som inte omfattas av unionsrätten. Regeringen anser emellertid att de verksamheter som ska omfattas av det utsträckta tillämpningsområdet bör anges i samma ordning som i artikel 2.2 i dataskyddsförordningen. Någon ändring i förhållande till lagrådsremissen föreslås därför inte i denna del.

Utredningen föreslår att dataskyddsförordningen ska gälla i tillämpliga delar inom det utsträckta tillämpningsområdet. Anledningen till detta är att det finns bestämmelser i förordningen som inte kan tillämpas utanför dess egentliga tillämpningsområde. Som utredningen påpekar är det inte möjligt att i nationell rätt ålägga tillsynsmyndigheter i andra länder att samarbeta med den svenska tillsynsmyndigheten. De bestämmelser som ålägger tillsynsmyndigheterna en skyldighet att samarbeta är således inte tillämpliga. Däremot finns det förstås ingenting som hindrar att den svenska tillsynsmyndigheten söker sådant samarbete, om det i det enskilda fallet skulle vara värdefullt. Vidare är det inte möjligt att genom nationell rätt ge Europeiska dataskyddsstyrelsen behörighet att t.ex. utfärda riktlinjer och rekommendationer inom det område där EU inte har befogenheter i enlighet med fördragen. Det är inte heller möjligt att ge kommissionen rätt att anta delegerade akter eller att ålägga kommis- sionen andra uppgifter. Även i lagrådsremissen föreslås att förordningen ska gälla i tillämpliga delar inom det utsträckta tillämpningsområdet

Som Lagrådet påpekar kommer emellertid denna begränsning att gälla även om det inte anges i bestämmelsen. Att förordningen ska gälla i tillämpliga delar behöver därmed inte anges i lagtexten. Regeringen anser inte heller, till skillnad från Försvarsmakten, Lunds universitet och Sveriges advokatsamfund, att det är lämpligt att i detalj ange i lagtexten vilka bestämmelser i förordningen som är tillämpliga.

30

Prop. 2017/18:105 polisen har avslutats. Detta bör, som Försvarsmakten och Försvarets radioanstalt förordar, åstadkommas genom undantag från den bestäm- melse som utsträcker dataskyddsförordningens tillämpningsområde. I verksamhet som omfattas av lagen om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhets- tjänst, lagen om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet samt 6 kap. polisdata- lagen bör därför den bestämmelse som utsträcker dataskyddsförord- ningens tillämpningsområde inte gälla. Frågan har beretts med

Säkerhetspolisen, Datainspektionen, Säkerhets- och integritetsskydds- nämnden, Försvarsmakten, Försvarets radioanstalt, Totalförsvarets rekry- teringsmyndighet och Myndigheten för samhällsskydd och beredskap, som inte invänder mot förslaget.

Sammanfattande bedömning

Regeringen anser således i likhet med utredningen att bestämmelserna i dataskyddsförordningen och i dataskyddslagen bör gälla även vid behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten och i verksamhet som omfattas av avdelning V kapitel 2 i fördraget om Europeiska unionen. Dataskyddsförordningen och dataskyddslagen bör dock inte gälla i verksamhet som omfattas av lagen om behandling av personuppgifter i Försvarsmaktens försvars- underrättelseverksamhet och militära säkerhetstjänst, lagen om behand- ling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet samt 6 kap. polisdatalagen.

Sverige har inte överlåtit beslutskompetens till EU inom de områden där dataskyddsförordningens bestämmelser ska gälla enligt förslaget i denna del. Om förordningen ändras bör därför den svenska lagstiftaren ta ställning till om dessa ändringar ska få genomslag även på de områden som är undantagna från förordningens tillämpningsområde. Hänvis- ningen till förordningen i den nu aktuella bestämmelsen i dataskydds- lagen bör därför vara statisk, dvs. avse den ursprungliga lydelsen av förordningen.

	6.1.2	Bestämmelserna om personuppgiftsincidenter ska
		inte gälla om incidenten rör rikets säkerhet
	Regeringens förslag: Bestämmelserna i EU:s dataskyddsförordning
	om anmälan till tillsynsmyndigheten av en personuppgiftsincident
	samt information till den registrerade om en sådan incident ska inte
	tillämpas i fråga om incidenter som ska rapporteras enligt säkerhets-
	skyddslagen eller föreskrifter som har meddelats i anslutning till den
	lagen.
	Utredningen föreslår inte något sådant undantag.
	Remissinstanserna: Säkerhetspolisen, Försvarsmakten och För-
	svarets radioanstalt invänder mot utredningens förslag i den del detta
	innebär att dataskyddsförordningens bestämmelser om personuppgifts-
	incidenter ska tillämpas utanför förordningens egentliga tillämpnings-
32	område.

Prop. 2017/18:105 Enligt 10 a § första stycket säkerhetsskyddsförordningen (1996:633) ska en myndighet skyndsamt anmäla vissa it-incidenter till den myndig- het som enligt 39 § utövar tillsyn över säkerhetsskyddet, dvs. till För- svarsmakten eller Säkerhetspolisen. Rapporteringsskyldigheten gäller bl.a. om incidenten allvarligt kan påverka säkerheten i ett informations- system där hemliga uppgifter behandlas i en omfattning som inte är ringa eller om incidenten allvarligt kan påverka säkerheten i ett informations- system som särskilt behöver skyddas mot terrorism. Med uttrycket hemliga uppgifter avses i säkerhetsskyddsförordningen uppgifter som omfattas av sekretess enligt offentlighets- och sekretesslagen och som rör rikets säkerhet.

Enligt 20 § förordningen (2015:1052) om krisberedskap och bevak- ningsansvariga myndigheters åtgärder vid höjd beredskap (krisbered- skapsförordningen) ska en myndighet till Myndigheten för samhälls- skydd och beredskap skyndsamt rapportera it-incidenter som inträffat i myndighetens informationssystem och som allvarligt kan påverka säker- heten i den informationshantering som myndigheten ansvarar för eller i tjänster som myndigheten tillhandahåller åt en annan organisation. Denna rapporteringsskyldighet omfattar dock inte sådana incidenter som ska rapporteras enligt 10 a § säkerhetsskyddsförordningen.

Utredningen om genomförande av NIS-direktivet (Ju 2016:11) föreslår i sitt betänkande (SOU 2017:36) en ny lag om informationssäkerhet för vissa tillhandahållare av samhällsviktiga tjänster och digitala tjänster. Förslaget innebär bl.a. att leverantörer av samhällsnyttiga tjänster utan onödigt dröjsmål ska rapportera incidenter som har en betydande inverkan på kontinuiteten i den samhällsviktiga tjänst som de tillhanda- håller. Rapporteringen ska göras till Myndigheten för samhällsskydd och beredskap. Bestämmelserna i den föreslagna lagen ska emellertid inte tillämpas på verksamhet som är av betydelse för Sveriges säkerhet. Detta innebär att den rapportering av it-incidenter som myndigheter är skyldiga att göra enligt 10 a § säkerhetsskyddsförordningen även fortsättningsvis ska rapporteras enligt säkerhetsskyddsförordningen och inte enligt den nya lagen (SOU 2017:36 s. 95).

Utredningen om 2016 års dataskyddsdirektiv lämnar i sitt del- betänkande (SOU 2017:29) förslag till en ny brottsdatalag. Förslaget innebär bl.a. att en personuppgiftsincident ska anmälas till tillsyns- myndigheten, utom i de fall där incidenten rör nationell säkerhet. Om incidenten rör nationell säkerhet ska den personuppgiftsansvarige inte heller vara skyldig att underrätta den registrerade om incidenten. Utred- ningen om 2016 års dataskyddsdirektiv anför att behovet av att skydda hemliga uppgifter som rör Sveriges säkerhet är så viktigt att endast den myndighet som utövar tillsyn över säkerhetsskyddet ska få ta del av den. Även om den rapporteringen har ett annat syfte än rapporteringen av personuppgiftsincidenter, anser utredningen att behovet av skydd för uppgifter som rör Sveriges säkerhet väger tyngre än behovet av att skydda enskilda från eventuella intrång i den personliga integriteten. Eftersom nationell säkerhet ligger utanför direktivets tillämpningsområde anser utredningen att sådana personuppgiftsincidenter som ska anmälas enligt 10 a § säkerhetsskyddsförordningen inte bör anmälas till tillsyns- myndigheten (SOU 2017:29 s. 337).

34

Prop. 2017/18:105 dock, som Säkerhetspolisen anför, en risk för att det skulle innebära tillämpningssvårigheter, eftersom andra begrepp används i svensk rätt rörande samma sak. Som exempel kan nämnas att begreppet rikets säkerhet används i säkerhetsskyddslagen (1996:627). Det begreppet har dock i svensk rätt successivt ersatts av uttrycket Sveriges säkerhet, bl.a. i 19 kap. brottsbalken. I regeringens lagrådsremiss, Ett modernt och stärkt skydd för Sveriges säkerhet – ny säkerhetsskyddslag, föreslås att uttrycket Sveriges säkerhet ska ersätta rikets säkerhet även i säkerhets- skyddslagen.

Säkerhetspolisen och Försvarets radioanstalt föreslår i sina remissvar över betänkandet att det av dataskyddslagen bör framgå att artiklarna 33 och 34 i dataskyddsförordningen inte ska gälla personuppgiftsincidenter som ska rapporteras enligt 10 a § säkerhetsskyddsförordningen. Regeringen anser dock inte att det är lämpligt att i lag hänvisa till en förordning. Undantaget bör i stället ange att artiklarna 33 och 34 inte ska tillämpas i fråga om incidenter som ska rapporteras enligt säkerhets- skyddslagen eller föreskrifter som har meddelats i anslutning till den lagen.

6.2Dataskyddslagens tillämpning vid gränsöverskridande behandling

Regeringens förslag: Dataskyddslagen ska gälla vid behandling av personuppgifter som utförs inom ramen för verksamhet som bedrivs vid personuppgiftsansvarigas och personuppgiftsbiträdens verksam- hetsställen i Sverige. Lagen ska även gälla för personuppgifts- ansvariga som inte är etablerade i Sverige, men på en plats där svensk rätt gäller enligt folkrätten. Lagen ska också gälla för personuppgifts- ansvariga och personuppgiftsbiträden som endast är etablerade i tredje land, om behandlingen har anknytning till utbjudande av varor eller tjänster till registrerade i Sverige eller övervakning av registrerades beteende i Sverige.

Dataskyddslagens reglering om barns samtycke till behandling av personuppgifter vid erbjudande av informationssamhällets tjänster ska gälla alla barn som bor i Sverige, oavsett var de personuppgifts- ansvariga eller personuppgiftsbiträdena är etablerade.

Utredningen föreslår inte någon sådan bestämmelse.

Promemorians förslag överensstämmer i sak med regeringens.

Remissinstanserna: Det stora flertalet remissinstanser tillstyrker förslaget i promemorian eller har inga synpunkter på det. Umeå universitet är inte övertygat om att etableringslandsprincipen leder till färre problem och anser att frågan bör utredas grundligt. Sveriges advokatsamfund avstyrker förslaget i den del som innebär att effektlandsprincipen ska gälla som utgångspunkt för dataskyddslagens territoriella tillämpningsområde. Förvaltningsrätten i Stockholm uppfattar förslaget som att vissa situationer hamnar utanför tillämpnings- området och efterlyser mer problematiserande överväganden kring det.

Lunds universitet invänder mot uttrycket barn som bor i Sverige och

36

förordar i stället uttrycket varaktigt vistas. Även Uppsala universitet Prop. 2017/18:105 invänder mot uttrycket barn som bor i Sverige. Universitet har också

synpunkter på formuleringen på en plats där svensk rätt gäller enligt folkrätten och förordar som enligt folkrätten lyder under svensk rätt eller som enligt folkrätten ska följa svensk rätt.

Skälen för regeringens förslag

Dataskyddslagens territoriella tillämpningsområde bör regleras

Behandling av personuppgifter är i många fall en gränsöverskridande aktivitet. Det är t.ex. inte ovanligt att den som behandlar personuppgifter om personer i Sverige inte själv är etablerad genom ett verksamhetsställe i landet. På motsvarande sätt kan svenska företag och organisationer behandla personuppgifter om individer i andra länder utan att ha något verksamhetsställe där. I dessa situationer uppkommer fråga om vilket lands lag som ska tillämpas – den lag som gäller i den registrerades land (effektlandsprincipen) eller den lag som gäller i det land där den person- uppgiftsansvarige är etablerad (etableringslandsprincipen). Dataskydds- förordningen innehåller inte några regler om vilken nationell rätt som ska gälla vid gränsöverskridande personuppgiftsbehandling.

Det är ur ett tillämpningsperspektiv viktigt att det står klart i vilka fall dataskyddslagen gäller vid gränsöverskridande behandling av person- uppgifter. Utan reglering av det territoriella tillämpningsområdet kommer det att råda osäkerhet i denna fråga. Av rättssäkerhetsskäl bör det därför införas en uttrycklig bestämmelse om det territoriella tillämp- ningsområdet i dataskyddslagen.

En reglering som följer förordningens principer

Etableringslandsprincipen kan sägas vara utgångspunkten i dataskydds- förordningens reglering om det territoriella tillämpningsområdet (arti- kel 3.1 och 3.3). Ett val av etableringslandsprincipen som huvudregel för dataskyddslagens tillämpningsområde skulle således harmoniera väl med regleringen i förordningen. Till skillnad från Umeå universitet bedömer regeringen inte att en sådan ordning skulle riskera att leda till otillbörlig konkurrenspåverkan. Det kan också konstateras att personuppgiftslagens reglering om tillämpningsområdet utgår från etableringslandsprincipen (4 § PUL). Ett val av denna princip skulle således även innebära en kontinuitet i förhållande till den nuvarande regleringen. Det kan också noteras att det vid möten i kommissionens expertgrupp har framkommit att kommissionen förordar etableringslandsprincipen samt att flertalet medlemsstater avser att välja denna princip som utgångspunkt för sin nationella kompletteringslagstiftning, se Kompletterande promemoria till betänkandet Ny dataskyddslag (SOU 2017:39), Ju2017/04264/L6.

Mot denna bakgrund bör etableringslandsprincipen gälla som utgångs- punkt för dataskyddslagens territoriella tillämpningsområde. Det saknar därmed betydelse var behandlingen faktiskt utförs och var den registrerade befinner sig. Omvänt bör lagen, enligt huvudregeln, inte gälla för personuppgiftsansvariga som saknar verksamhetsställe i Sverige, även om de behandlar uppgifter om personer i Sverige.

37

Prop. 2017/18:105	I den svenska språkversionen av dataskyddsförordningen anges i
	artikel 3.1 att förordningen ska tillämpas på behandling av person-
	uppgifter inom ramen för verksamhet som bedrivs av personuppgifts-
	ansvariga och personuppgiftsbiträden som är etablerade i unionen eller
	på en plats där en medlemsstats nationella rätt gäller enligt folkrätten,
	oavsett om behandlingen utförs i unionen eller inte. Vid en jämförelse
	med andra språkversioner framgår dock att avsikten är att förordningen
	endast ska tillämpas vid behandling som sker inom ramen för den
	verksamhet som bedrivs på verksamhetsställen i unionen. Om en
	personuppgiftsansvarig är etablerad såväl inom som utanför unionen, ska
	förordningen således inte tillämpas på den behandling som sker endast
	inom ramen för den verksamhet som bedrivs vid verksamhetsstället i
	tredjeland. Justitiedepartementet har mot denna bakgrund gett in en
	begäran om korrigering av den svenska lydelsen av artikel 3.1
	(Ju2016/00482/L6).
	På motsvarande sätt bör lagen vara tillämplig endast i fråga om
	behandling som utförs inom ramen för den verksamhet som bedrivs vid
	ett verksamhetsställe i Sverige. Den bör således inte gälla för behandling
	som utförs endast inom ramen för verksamhet som den personuppgifts-
	ansvarige bedriver vid ett verksamhetsställe i ett annat EU-land, även om
	den personuppgiftsansvarige också har ett verksamhetsställe i Sverige.
	Förvaltningsrätten i Stockholm förstår förslaget på så sätt att både den
	behandling av personuppgifter som utförs av personuppgiftsansvariga
	med etablering i Sverige och verksamhetsställe i en annan medlemsstat
	och den behandling som utförs av de som har etablering i en annan
	medlemsstat och verksamhetsställe i Sverige faller utanför lagens
	tillämpningsområde. Förvaltningsrättens synpunkter tycks bygga på upp-
	fattningen att en personuppgiftsansvarig endast kan vara etablerad i ett
	land samt att en personuppgiftsansvarig kan ha ett verksamhetsställe i ett
	land utan att vara etablerad där. Regeringen finner mot den bakgrunden
	anledning att understryka att en personuppgiftsansvarig kan ha verksam-
	hetsställen, och därmed vara etablerad i dataskyddsförordningens
	mening, i flera stater. En personuppgiftsansvarig som har ett verksam-
	hetsställe i Sverige anses således etablerad här. På motsvarande sätt kan
	en personuppgiftsansvarig inte anses etablerad i Sverige utan att ha ett
	verksamhetsställe här. Förslagets innebörd är att etablering i Sverige inte
	är en tillräcklig förutsättning för att lagen ska gälla. Lagen ska nämligen
	vara tillämplig bara i fråga om behandling som utförs inom ramen för
	den verksamhet som bedrivs vid verksamhetsstället i Sverige. Detta bör
	förtydligas i enlighet med Lagrådets förslag.
	Dataskyddsförordningen är enligt artikel 3.3 tillämplig på behandling
	av personuppgifter som utförs av en personuppgiftsansvarig som inte är
	etablerad i unionen, men på en plats där en medlemsstats nationella rätt
	gäller enligt folkrätten. Som exempel nämns i skäl 25 en medlemsstats
	diplomatiska beskickning eller konsulat. På motsvarande sätt bör data-
	skyddslagen vara tillämplig vid behandling av personuppgifter som
	utförs av personuppgiftsansvariga som inte är etablerade i Sverige, men
	som är etablerade på en plats där svensk rätt gäller enligt folkrätten, t.ex.
	vid svenska utlandsmyndigheter. Uppsala universitet invänder mot den
	föreslagna formuleringen och anser att ordet plats är alltför likt ordet ort,
38	som avser en geografisk plats. Regeringen anser dock att den ordalydelse

Prop. 2017/18:105 behandling avseende barn i andra medlemsstater, där lagstiftaren gjort en annan bedömning av vilken åldersgräns som bör gälla.

Mot denna bakgrund bör bestämmelsen om barns samtycke gälla vid behandling av personuppgifter som avser barn som bor i Sverige, oavsett var de personuppgiftsansvariga eller deras biträden är etablerade. Detta hindrar inte det fria flödet av personuppgifter, eftersom den sänkta åldersgränsen utgör en lättnad för de personuppgiftsansvariga i för- hållande till deras skyldigheter enligt förordningen.

Lunds universitet och Uppsala universitet anser att uttrycket bor i Sverige är alltför vagt. Regeringen anser dock att det i detta sammanhang är angeläget att använda ett uttryck som var och en förstår innebörden av, inte minst de barn som berörs av bestämmelsen. Begreppet bor är av det skälet att föredra framför varaktigt vistas eller hemvist. Som framgår av promemorian ska ett barn inte anses bo i Sverige om det endast är på genomresa eller besök i landet. Detta torde också överensstämma med hur begreppet bor används i vanligt språkbruk. Det ska däremot inte krävas att barnet är folkbokfört i landet, att det redan har vistats i Sverige under en viss tidsperiod eller att det har beviljats uppehållstillstånd här. Även asylsökande barn i Sverige omfattas således av bestämmelsen.

	7	Förhållandet till yttrande- och
		informationsfriheten
	7.1	Förhållandet till tryckfrihetsförordningen och
		yttrandefrihetsgrundlagen förtydligas
	Regeringens förslag: EU:s dataskyddsförordning och dataskydds-
	lagen ska inte tillämpas i den utsträckning det skulle strida mot tryck-
	frihetsförordningen eller yttrandefrihetsgrundlagen.
	Utredningens förslag överensstämmer i huvudsak med regeringens.
	Utredningen föreslår att dataskyddsförordningen och dataskyddslagen
	inte ska tillämpas i den utsträckning det skulle strida mot bestäm-
	melserna om tryck- och yttrandefrihet i tryckfrihetsförordningen eller
	yttrandefrihetsgrundlagen.
	Remissinstanserna: Det stora flertalet remissinstanser tillstyrker för-
	slaget eller har inga synpunkter på det. Flera remissinstanser, bl.a. Veten-
	skapsrådet, Landsorganisationen i Sverige, Sveriges akademikers
	centralorganisation, Sveriges Ingenjörer, Myndigheten för press, radio
	och TV, Tidningsutgivarna och Stiftelsen Svenska Filminstitutet, lyfter
	särskilt fram vikten av en tydlig reglering om undantag för grundlags-
	skyddad verksamhet. Mörbylånga kommun påpekar att frågor om för-
	hållandet mellan personuppgiftslagen och offentlighetsprincipen fort-
	farande dyker upp i verksamheten. Forskningsrådet för hälsa, arbetsliv
	och välfärd framhåller att det är ytterst angeläget att den svenska
	offentlighetsprincipen inte förändras av dataskyddslagen. Datainspek-
40	tionen ifrågasätter förslagets förenlighet med EU-rätten och föreslår att

Prop. 2017/18:105 om tryck- och yttrandefrihet i tryckfrihetsförordningen och yttrande- frihetsgrundlagen. Med anledning av Södertörns tingsrätts och Data-

	inspektionens synpunkter kan framhållas att regeringen i propositionen
	Ändrade mediegrundlagar (prop. 2017/18:49) gör bedömningen att det
	med hänsyn till skyddet för den personliga integriteten finns skäl att
	begränsa grundlagsskyddet för vissa söktjänster som innehåller person-
	uppgifter av särskilt integritetskänslig karaktär. I propositionen föreslår
	regeringen därför att det införs bestämmelser i tryckfrihetsförordningen
	och yttrandefrihetsgrundlagen som ger utrymme att under vissa förut-
	sättningar i lag föreskriva om förbud mot offentliggörande av sådana
	personuppgifter, om de är tillgängliga på ett sätt som innebär särskilda
	risker för intrång i enskildas personliga integritet.
	Frågan är då om det finns behov av en bestämmelse i dataskyddslagen
	som tydliggör förhållandet mellan dataskyddsförordningen och bestäm-
	melserna om tryck- och yttrandefrihet i tryckfrihetsförordningen och
	yttrandefrihetsgrundlagen. Som utredningen och flera remissinstanser
	konstaterar är det angeläget att dataskyddsförordningens och dataskydds-
	lagens bestämmelser inte ger upphov till osäkerhet kring möjligheterna
	till personuppgiftsbehandling på det grundlagsskyddade området. En
	sådan osäkerhet skulle kunna påverka vitala delar av opinionsskapande
	verksamhet som är av grundläggande betydelse för demokratin och som
	skyddas genom bl.a. censurförbudet och	meddelarfriheten. Som
	utredningen konstaterar innebär det förhållandet att den unionsrättsliga
	dataskyddsregleringen är en direkt tillämplig förordning, som dessutom
	kan leda till kännbara sanktionsavgifter, ett än större behov av ett
	förtydligande av förhållandet till tryck- och yttrandefrihetsregleringen.
	Regeringen instämmer därför i utredningens bedömning att det bör
	införas en bestämmelse som tydliggör att dataskyddsförordningen och
	dataskyddslagen inte ska tillämpas i den utsträckning det skulle strida
	mot grundlagsregleringen om tryck- och yttrandefrihet.
	Utredningen föreslår inte att det ska införas någon bestämmelse om
	dataskyddsregelverkets förhållande till handlingsoffentligheten. Som
	bl.a. Mörbylånga kommun ger uttryck för är det emellertid angeläget att
	även förhållandet mellan dataskyddsregelverket och offentlighets-
	principen är tydligt. Förhållandet till offentlighetsprincipen regleras i dag
	i skäl 72 i dataskyddsdirektivet, där det anges att det är möjligt att vid
	genomförandet av direktivet ta hänsyn till principen om allmänhetens
	tillgång till allmänna handlingar. Som framgår ovan gjorde regeringen
	vid genomförandet av dataskyddsdirektivet bedömningen att tryckfrihets-
	förordningen inte behövde ändras. I 8 § PUL infördes en bestämmelse
	som förtydligade förhållandet till offentlighetsprincipen. Av bestäm-
	melsen framgår att lagens bestämmelser inte ska tillämpas i den utsträck-
	ning det skulle inskränka en myndighets skyldighet att enligt 2 kap. TF
	lämna ut personuppgifter.
	I dataskyddsförordningen regleras förhållandet till offentlighets-
	principen i artikel 86. Där anges att personuppgifter i allmänna hand-
	lingar som förvaras av en myndighet, ett offentligt organ eller ett privat
	organ för utförande av en uppgift av allmänt intresse får lämnas ut av
	myndigheten eller organet i enlighet med medlemsstatens nationella lag-
	stiftning för att jämka samman allmänhetens	rätt att få tillgång till
42	allmänna handlingar med rätten till skydd för personuppgifter i enlighet

Prop. 2017/18:105 7.2	Undantag utanför det grundlagsskyddade
	området

Regeringens förslag: Bestämmelserna i EU:s dataskyddsförordning och dataskyddslagen om principer, den registrerades rättigheter, vissa skyldigheter för den personuppgiftsansvarige och personuppgifts- biträdet, uppförandekoder och certifiering samt överföring av person- uppgifter till tredjeländer eller internationella organisationer ska inte tillämpas vid behandling av personuppgifter som sker för journa- listiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande utanför tryckfrihetsförordningens och yttrandefrihetsgrund- lagens tillämpningsområde. Bestämmelserna om syfte, tillämpnings- område och definitioner samt bestämmelser om säkerhet för person- uppgifter, tillsyn, rättsmedel, ansvar och sanktioner ska dock tillämpas även i dessa fall.

Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna: Det stora flertalet remissinstanser tillstyrker

förslaget eller har inga synpunkter på det. Sveriges Radio AB delar utred- ningens bedömning och anför att rätten att informera, utöva kritik samt väcka debatt om samhällsfrågor är av central betydelse även utanför det grundlagsskyddade området. Stiftelsen Svenska Filminstitutet, som ser positivt på utredningens förslag, understryker vikten av att filmarbetare inte hämmas i sin skapandeprocess av en omfattande dataskydds- reglering. Enligt Vetenskapsrådet riskerar rådande oklarhet om inne- börden av begreppet akademiskt skapande leda till tolkningsproblem och oönskade konsekvenser innan praxis hunnit utvecklats på området.

Skälen för regeringens förslag: I 7 § andra stycket PUL görs undan- tag från stora delar av lagens bestämmelser vid personuppgiftsbehandling som inte omfattas av tryckfrihetsförordningen eller yttrandefrihets- grundlagen, men som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande. Undantaget har införts med stöd av artikel 9 i dataskyddsdirektivet (se avsnitt 7.1) och innebär i praktiken att bara de bestämmelser i lagen som rör tillsyn och säkerhet vid behandling ska tillämpas i sådan verksamhet. Undantagsbestämmelsen i 7 § andra stycket PUL har ansetts tillämplig exempelvis på journalistisk verksam- het utanför det grundlagsskyddade området på internet som resulterar i yttranden som endast sprids där och även för viss kommunikation som inte bedrivs av yrkesverksamma journalister (prop. 1997/98:44 s. 52–53 och NJA 2001 s. 409).

Genom artikel 85.2 i förordningen åläggs medlemsstaterna att göra vissa undantag från förordningen för behandling som sker för journa- listiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande. Undantag får dock bara göras om de är nödvändiga för att förena rätten till integritet med yttrande- och informationsfriheten. I skäl 153 i data- skyddsförordningen anges att undantag särskilt bör gälla vid person- uppgiftsbehandling inom det audiovisuella området och i nyhetsarkiv samt pressbibliotek.

Begreppet akademiskt skapande är nytt och definieras inte närmare

vare sig i skäl eller i artikeltext. Utredningen bedömer att begreppet inte

44

torde omfatta forskning, eftersom personuppgiftsbehandling för Prop. 2017/18:105 forskningsändamål är särreglerad på annat sätt i förordningen. Möjligen

skulle behandling i samband med själva färdigställandet och spridningen av texter med vetenskapligt innehåll kunna avses. Det är dock vanskligt att uttala sig närmare om begreppets innebörd i nuläget. Innebörden av begreppet kommer i stället att få utvecklas i praxis.

Som konstateras i avsnitt 7.1 innebär artikel 85.2 att möjligheterna till undantag från förordningen är något större än de som i dag gäller enligt dataskyddsdirektivet. Regeringen delar därför utredningens bedömning att det även fortsättningsvis finns möjlighet att ha ett undantag av det slag som finns i 7 § andra stycket PUL. Det kan konstateras att betydel- sen av opinionsbildning genom alternativa kanaler såsom sociala medier, bloggar och liknande har ökat dramatiskt under senare år. Detta medför att skälen för ett undantag utanför tryckfrihetsförordningens och yttrandefrihetsgrundlagens tillämpningsområde inte har minskat och inte heller kan förutses göra det framöver. I likhet med utredningen anser regeringen därför att det bör införas ett undantag för behandling av personuppgifter som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande i den utsträckning som förordningen tillåter det.

Enligt artikel 85.2 är det inte möjligt att införa undantag beträffande kapitel I om syfte, tillämpningsområde och definitioner, kapitel VIII om rättsmedel, ansvar och sanktioner samt kapitel X och XI som innehåller genomförande- och slutbestämmelser. Förordningens bestämmelser om särskilda behandlingssituationer i kapitel IX torde knappast bli tillämp- liga för den behandling som avses här, varför de inte behöver undantas uttryckligen. I likhet med vad som gäller enligt 7 § andra stycket PUL, bör undantag inte heller göras från de bestämmelser som rör säkerhet för personuppgifter och tillsyn. Sammantaget innebär detta att undantaget bör omfatta bestämmelserna i artiklarna 5–30 och 35–50 i dataskydds- förordningen, liksom de delar av dataskyddslagen som har stöd i de aktuella bestämmelserna.

8Rättslig grund för behandling av personuppgifter

8.1Laglig behandling

Den europeiska dataskyddsregleringen utgår från att varje behandling av personuppgifter måste vila på en rättslig grund. I dataskyddsförordningen räknas dessa rättsliga grunder upp i artikel 6.1. Behandling är enligt denna bestämmelse laglig endast om och i den mån som åtminstone ett av följande villkor är uppfyllt:

a) Den registrerade har lämnat sitt samtycke till att dennes person- uppgifter behandlas för ett eller flera specifika ändamål.

45

Prop. 2017/18:105	b) Behandlingen är nödvändig för att fullgöra ett avtal i vilket den
	registrerade är part eller för att vidta åtgärder på begäran av den regist-
	rerade innan ett sådant avtal ingås.
	c) Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse
	som åvilar den personuppgiftsansvarige.
	d) Behandlingen är nödvändig för att skydda intressen som är av
	grundläggande betydelse för den registrerade eller för en annan fysisk
	person.
	e) Behandlingen är nödvändig för att utföra en uppgift av allmänt
	intresse eller som ett led i den personuppgiftsansvariges myndighets-
	utövning.
	f) Behandlingen är nödvändig för ändamål som rör den person-
	uppgiftsansvariges eller en tredje parts berättigade intressen, om inte den
	registrerades intressen eller grundläggande rättigheter och friheter väger
	tyngre och kräver skydd av personuppgifter, särskilt när den registrerade
	är ett barn.
	Bestämmelsen motsvarar i stora drag artikel 7 i dataskyddsdirektivet,
	som har genomförts i svensk rätt genom 10 § PUL. Den största skill-
	naden är att det enligt förordningen inte är tillåtet för myndigheter att, när
	de fullgör sina uppgifter, behandla personuppgifter med stöd av den
	rättsliga grund som utgår från en avvägning mellan den ansvariges
	berättigade intressen och den registrerades rättigheter och intressen
	(artikel 6.1 f). I detta sammanhang kan nämnas att flera remissinstanser
	efterfrågar en definition av begreppet myndighet. Artikel 29-arbets-
	gruppen för skydd av personuppgifter anser att detta begrepp bör
	definieras i nationell lagstiftning (Riktlinjer om dataskyddsombud, WP
	243 rev.01). Regeringen bedömer mot den bakgrunden att det är
	regeringsformens terminologi som i Sverige bör vara utgångspunkten vid
	tolkningen av begreppet myndighet i dataskyddsförordningen. Enligt
	denna terminologi är samtliga statliga och kommunala organ myndig-
	heter, med undantag av riksdagen, kommun- och landstingsfullmäktige.
	Organ som är organiserade i privaträttsliga former, t.ex. kommunala och
	statliga bolag, är inte myndigheter, även om de utövar offentlig makt.
	Uppräkningen i artikel 6.1 är uttömmande. Om ingen av de grunder
	som anges där är tillämplig är behandlingen inte laglig och får därmed
	inte utföras. Detta gäller all behandling av personuppgifter, även sådan
	ostrukturerad behandling som i dag kan ske utan stöd av rättslig grund
	enligt missbruksregeln i 5 a § PUL. De rättsliga grunderna är i viss mån
	överlappande. Flera rättsliga grunder kan därför vara tillämpliga
	avseende en och samma behandling.
	För att en behandling av personuppgifter ska vara tillåten enligt
	artikel 6.1 b–f måste den vara nödvändig i förhållande till den rättsliga
	grunden, t.ex. nödvändig för att utföra en uppgift av allmänt intresse.
	Enligt Svenska Akademiens Ordbok betyder det svenska ordet nöd-
	vändig att någonting absolut fordras eller inte kan underlåtas. Det unions-
	rättsliga begreppet har dock inte denna strikta innebörd. Nödvändig-
	hetsrekvisitet i artikel 7 i dataskyddsdirektivet har t.ex. inte ansetts
	utgöra ett krav på att det ska vara omöjligt att utföra en uppgift av
	allmänt intresse utan att behandlingsåtgärden vidtas. Detta synsätt
	kommer till uttryck i EU-domstolens dom i målet Huber mot Tyskland,
46	som rörde tolkningen av motsvarande nödvändighetsrekvisit i artikel 7 e

Prop. 2017/18:105 i myndighetsutövning och för att utföra uppgifter av allmänt intresse anges i stället att syftet med behandlingen ska vara nödvändigt för att utföra uppgiften eller myndighetsutövningen.

Vidare ska uppgifterna enligt artikel 5.1 bl.a. vara adekvata och korrekta (accurate) och får inte förvaras under en längre tid än vad som är nödvändigt (leden c, d och e). Uppgifterna måste också behandlas på ett sätt som säkerställer lämplig säkerhet (led f).

Förordningen ställer inte något krav på att de särskilda ändamålen ska vara fastställda i författning, men det finns heller ingenting som hindrar att detta görs, förutsatt att bestämmelserna uppfyller ett mål av allmänt intresse och är proportionella mot det legitima mål som eftersträvas (artikel 6.3 andra stycket). Oavsett om ändamålen fastställts i författning eller inte är det dock alltid den personuppgiftsansvarige som ansvarar för, och ska kunna visa att, principerna i artikel 5 efterlevs (artikel 5.2).

Artiklarna 5 och 6 i dataskyddsförordningen är grundläggande och kumulativa. Dels måste någon av de rättsliga grunder som anges i artikel 6.1 vara tillämplig, dels måste samtliga principer i artikel 5.1 följas.

8.2Grunden för behandlingen ska ha stöd i rättsordningen

Regeringens bedömning: Kravet i EU:s dataskyddsförordning på att den grund för behandling som avses i artikel 6.1 c och e ska vara fastställd i enlighet med unionsrätten eller den nationella rätten innebär inte ett krav på att själva behandlingen av personuppgifter måste regleras. Det är i stället den rättsliga förpliktelsen, uppgiften av allmänt intresse respektive myndighetsutövningen som ska ha stöd i rättsordningen.

Den rättsliga förpliktelsen, uppgiften av allmänt intresse respektive myndighetsutövningen är fastställd i enlighet med svensk rätt, om den följer av författning eller beslut som har meddelats i enlighet med regeringsformens bestämmelser. Som en följd av den svenska arbets- marknadsmodellen kan rättsliga förpliktelser och uppgifter av allmänt intresse även följa av kollektivavtal.

Utredningens bedömning överensstämmer med regeringens.

Remissinstanserna: Nästan alla remissinstanser instämmer i utred-

ningens bedömning eller har inga synpunkter på denna. Srf konsulternas förbund ifrågasätter bedömningen i fråga om kollektivavtal och påpekar att avtalen inte är allmänt tillgängliga. Även Datainspektionen och Dataskydd.net ifrågasätter utredningens bedömning i fråga om kollektivavtal. Flera remissinstanser, bl.a. Arbetsgivarverket, Karlskrona kommun, Landsorganisationen i Sverige och Collectum, uttrycker å andra sidan sitt stöd för denna bedömning. Datainspektionen menar att det finns risk för att behandling av personuppgifter av vikt för samhällets funktioner inte kan utföras, om det inte säkerställs att särskild nationell lagstiftning införs där behov finns. Vidare menar Datainspektionen att de

personuppgiftsansvariga som ska tillämpa förordningen måste göra en

48

bedömning av om den författning som kan utgöra rättslig grund för Prop. 2017/18:105 behandlingen uppfyller kraven bl.a. på tydlighet, precisering och

förutsägbarhet i skäl 41 samt kraven på proportionalitet i artikel 6.3 andra stycket sista meningen.

Skälen för regeringens bedömning

Vad ska fastställas i unionsrätten eller nationell rätt?

Som nämns i avsnitt 8.1 får behandling av personuppgifter bara ske under de omständigheter som särskilt anges i unionsrätten eller i den nationella rätten. Detta rättsliga stöd ges direkt i dataskyddsförordningen såvitt gäller behandling som sker på grundval av den registrerades samtycke, för att fullgöra ett avtal, för att skydda en fysisk persons grundläggande intressen samt för ändamål som rör den personuppgifts- ansvariges eller en tredje parts berättigade intressen (artikel 6.1 a, b, d och f). Eftersom dessa bestämmelser inte föranleder några nationella författningsåtgärder behandlas de inte här (se dock avsnitt 9 angående barns samtycke).

När det gäller behandling som är nödvändig för att fullgöra en rättslig förpliktelse (artikel 6.1 c), som ett led i myndighetsutövning eller för att utföra en uppgift av allmänt intresse (artikel 6.1 e) måste det emellertid även finnas ett annat stöd i rättsordningen än det som ges i dataskydds- förordningen. I artikel 6.3 första stycket i dataskyddsförordningen anges det nämligen att den grund för behandlingen som avses i artikel 6.1 c och e ska fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. I skäl 45 till dataskyddsförordningen anges att förordningen inte medför något krav på en särskild lag för varje enskild behandling, utan att det kan räcka med en lag som grund för flera behandlingar som bygger på en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller om behand- lingen krävs för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning.

Av ordalydelsen i artikel 6.3 första stycket framgår att det som ska fastställas i unionsrätten eller i nationell rätt är den grund för behand- lingen som avses i artikel 6.1 c och e. Det krävs således inte en reglering i unionsrätten eller i nationell rätt av den personuppgiftsbehandling som ska ske med stöd av dessa rättsliga grunder. Det som måste ha stöd i rättsordningen är i stället den rättsliga förpliktelsen respektive uppgiften av allmänt intresse eller rätten att utöva myndighet.

Vad menas med att grunden för behandlingen ska vara fastställd?

Kravet i artikel 6.3 första stycket på att grunden för behandlingen i vissa fall ska fastställas utgör ett villkor som måste vara uppfyllt för att person- uppgiftsansvariga ska kunna åberopa de rättsliga grunder som avses i artikel 6.1 c och e. Rättsliga förpliktelser, uppgifter av allmänt intresse och myndighetsutövning som inte är fastställda i enlighet med unions- rätten eller medlemsstatens nationella rätt kan därmed inte läggas till grund för behandling av personuppgifter.

Något motsvarande krav på att grunden för behandlingen ska vara

fastställd finns inte i dataskyddsdirektivet. Det har därför t.ex. ansetts

49

Prop. 2017/18:105 möjligt att med stöd av 10 § d PUL utföra behandling av personuppgifter som är nödvändig för att utföra en arbetsuppgift av allmänt intresse, även

	om uppgiften inte är fastställd i författning eller liknande.
	Det bör emellertid betonas att dataskyddsförordningens krav på att
	grunden för behandlingen ska vara fastställd inte utgör någon nyhet när
	det gäller svenska myndigheters behandling av personuppgifter. Lega-
	litetsprincipen är en av de principer som kännetecknar Sverige som rätts-
	stat. Principen är grundlagsfäst genom 1 kap. 1 § RF, som anger att den
	offentliga makten utövas under lagarna. Med uttrycket lagarna avses inte
	bara sådana föreskrifter som riksdagen har beslutat, utan även andra
	författningar och t.ex. sedvanerätt (prop. 1973:90 s. 397 och KU 1973:26
	s. 59). Legalitetsprincipen innebär alltså att myndigheternas maktutöv-
	ning i vidsträckt mening, även i den mån denna förutsätter behandling av
	personuppgifter, måste ha stöd i någon av de källor som tillsammans
	bildar rättsordningen.
	Datainspektionen menar att det finns risk för att behandling av person-
	uppgifter av vikt för samhällets funktioner inte kan utföras, om det inte
	säkerställs att särskild nationell lagstiftning införs där behov finns.
	Regeringen bedömer emellertid att denna risk är mycket liten, eftersom
	det inte torde förekomma någon offentlig verksamhet i Sverige av vikt
	för samhällets funktioner som saknar stöd i författning eller beslut som
	har meddelats i enlighet med regeringsformens bestämmelser.
	Vidare menar Datainspektionen att de personuppgiftsansvariga som
	ska tillämpa förordningen måste göra en bedömning av om den författ-
	ning som kan utgöra rättslig grund för behandlingen uppfyller kraven på
	proportionalitet i artikel 6.3 andra stycket sista meningen. Regeringen
	kan konstatera att den bestämmelsen anger att unionsrätten eller
	medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse
	och vara proportionell mot det legitima mål som eftersträvas. Detta
	motsvarar det krav som Europakonventionen ställer på lagstiftaren i en
	rättsstat. Genom lagen (1994:1219) om den europeiska konventionen
	angående skydd för de mänskliga rättigheterna och de grundläggande
	friheterna har Europakonventionen inkorporerats i svensk rätt. Vidare
	gäller enligt 2 kap. 19 § RF att lagar och andra föreskrifter inte får
	meddelas i strid med Sveriges åtaganden enligt Europakonventionen. Det
	bör därför vara mycket ovanligt att svensk rätt inte uppfyller Europa-
	konventionens krav. Mot denna bakgrund bör utgångspunkten vara att
	även dataskyddsförordningens motsvarande krav är uppfyllt i fråga om
	de rättsliga förpliktelser, uppgifter av allmänt intresse och den myndig-
	hetsutövning som fastställs i enlighet med svensk rätt. Den person-
	uppgiftsansvarige behöver därmed inte göra någon proportionalitets-
	bedömning avseende regleringen av den rättsliga grunden för behand-
	lingen, utan kan utgå från att svensk rätt uppfyller detta krav. Däremot
	måste behandlingen vara nödvändig i förhållande till den rättsliga
	grunden och följa de grundläggande principerna i artikel 5. Dessutom
	ankommer det på varje svensk myndighet att i all verksamhet iaktta
	proportionalitetskravet. Detta krav kommer numera även till uttryck i 5 §
	i den nya förvaltningslagen, där det anges att en åtgärd aldrig får vara
	mer långtgående än vad som behövs och att den får vidtas endast om det
	avsedda resultatet står i rimligt förhållande till de olägenheter som kan
50	antas uppstå för den som åtgärden riktas mot.

Prop. 2017/18:105 svensk lag, t.ex. i fråga om förpliktelser, myndighetsutövning och upp- gifter av allmänt intresse som följer av direkt tillämpliga EU-förord- ningar eller som meddelas med stöd av sådana förordningar.

Den svenska arbetsmarknadsmodellen innebär att arbetsmarknadens parter i stor utsträckning reglerar arbets- och anställningsvillkor genom kollektivavtal. Kollektivavtalen innehåller en rad bestämmelser som arbetsmarknadens parter och medlemmarna i de avtalsslutande organisa- tionerna är skyldiga att följa, t.ex. om föräldratillägg, semesterlön, över- tidsersättning och ersättning för läkarbesök och läkemedel. Överträdelser av bestämmelserna kan föranleda skadeståndsansvar. Kollektivavtalen har även betydelse för tredje man eftersom de ska tillämpas på samma sätt i förhållande till alla arbetstagare och således även i förhållande till oorganiserade arbetstagare och arbetstagare som är medlemmar i en annan arbetstagarorganisation än den som avtalet slutits med.

Reglering i kollektivavtal har i Europadomstolens praxis ansetts i sig förenlig med kravet enligt Europakonventionen att åtgärder med rättig- hetsbegränsande effekter ska ha stöd i lag (jfr Europadomstolens dom i målet Evaldsson mot Sverige, nr 75252/01, dom den 13 februari 2007). Denna praxis talar för att samma princip bör gälla vid tillämpningen av EU-lagstiftning som rör fri- och rättigheter, såsom dataskyddsförord- ningen. Eftersom kollektivavtal utgör en del av den svenska rätts- ordningen bör således grunden för behandlingen av personuppgifter kunna anses vara fastställd i enlighet med svensk rätt om den följer av kollektivavtal. Regeringen delar mot den bakgrunden, i likhet med bl.a.

Arbetsgivarverket och Landsorganisationen i Sverige, utredningens bedömning.

Med anledning av Srf konsulternas förbunds synpunkter vill regeringen betona att för att ett kollektivavtal ska kunna läggas till grund för behandling av personuppgifter så måste det vara tillgängligt för den registrerade. I annat fall är det grundläggande legalitetskravet i data- skyddsförordningen inte uppfyllt.

Sammanfattningsvis konstaterar regeringen att en rättslig grund är fastställd i enlighet med svensk rätt om den följer av författning eller beslut som meddelats i enlighet med regeringsformens bestämmelser. Som en följd av den svenska arbetsmarknadsmodellen kan en rättslig grund även följa av kollektivavtal.

8.3Behandling för att uppfylla en rättslig förpliktelse

Regeringens förslag: Personuppgifter får behandlas om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning.

Utredningens förslag överensstämmer i sak med regeringens.

Remissinstanserna: Nästan alla remissinstanser tillstyrker förslaget

eller har inga synpunkter på det. Datainspektionen anser att det i bestäm-

52

melsen ska anges att kraven i artikel 6.3 måste följas. Några remiss- Prop. 2017/18:105 instanser, bl.a. Skatteverket och Collectum, efterfrågar ett tydliggörande

kring hur förordningens bestämmelse om att syftet med behandlingen ska fastställas i den rättsliga grunden ska tolkas och tillämpas i praktiken.

Skälen för regeringens förslag

Begreppet rättslig förpliktelse

Bestämmelsen i artikel 6.1 c i dataskyddsförordningen överensstämmer i sak med artikel 7 c i dataskyddsdirektivet. Enligt båda bestämmelserna får personuppgifter behandlas om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Enligt regeringens bedömning bör utgångspunkten vara att begreppet rättslig förpliktelse i de båda rättsakterna ska tolkas och tillämpas på samma sätt. Vägledning bör därför kunna hämtas från praxis som utveck- lats i anslutning till dataskyddsdirektivet och personuppgiftslagen.

I första hand torde offentligrättsliga förpliktelser omfattas av begreppet rättslig förpliktelse. Det finns dock även i civilrättsliga författningar bestämmelser som i sig utgör eller kan medföra rättsliga skyldigheter, t.ex. inom arbetsrätten. Rent språkligt omfattar begreppet rättslig för- pliktelse även sådana skyldigheter som har lagts fast i ett avtal. För- pliktelser som följer av avtal där den registrerade själv är part utgör emellertid en separat rättslig grund för personuppgiftsbehandling enligt både dataskyddsdirektivet och dataskyddsförordningen, nämligen led b i respektive artikel. Detta talar för att de rättsliga förpliktelser som avses i led c är av ett annat slag, även om förpliktelser som följer av vissa lagreglerade avtal, t.ex. försäkringsavtal av betydelse för andra än parterna eller gynnande tredjemansavtal, skulle kunna omfattas av bestämmelsen.

Rättsliga förpliktelser har stöd i rättsordningen

Som nämns i avsnitt 8.2 följer det av grundlag att den offentliga makten utövas under lagarna. Förpliktelser som åligger enskilda eller kommuner kan regleras direkt i lag, i förordningar eller andra föreskrifter. För- pliktelser kan också fastställas i domar eller myndighetsbeslut som meddelats med stöd av lag eller andra föreskrifter. Som en följd av den svenska arbetsmarknadsmodellen kan rättsliga förpliktelser även anges i kollektivavtal. Sådana avtal omfattas inte av artikel 6.1 b, eftersom den registrerade inte själv är part.

Även domstolar och förvaltningsmyndigheter kan, vid sidan av sina uppgifter och uppdrag, sägas ha rättsliga förpliktelser. Domstolar och förvaltningsmyndigheter har t.ex. när det gäller personaladministration författningsreglerade förpliktelser som i sig kräver personuppgifts- behandling. Vidare kan en myndighets uppdrag enligt instruktionen till myndigheten eller ett regleringsbrev i vissa fall utgöra en i enlighet med nationell rätt fastställd rättslig förpliktelse i dataskyddsförordningens mening, t.ex. om myndigheten ges i uppdrag att föra ett visst register. I normalfallet torde dock myndighetens uppdrag i första hand utgöra en rättslig grund för behandling av personuppgifter med stöd av artikel 6.1 e

53

Prop. 2017/18:105 i dataskyddsförordningen, dvs. på grundval av att uppdraget avser en uppgift av allmänt intresse, se avsnitt 8.4.

Syftet med behandlingen ska framgå av förpliktelsen

Enligt artikel 6.3 andra stycket första meningen i dataskyddsförordningen ska syftet med behandlingen, då denna grundar sig på en rättslig förpliktelse, fastställas i den rättsliga grunden. Några remissinstanser, bl.a. Skatteverket och Collectum, efterfrågar ett tydliggörande av hur bestämmelsen ska tolkas och tillämpas i praktiken. Kravet torde innebära att en förpliktelse inte kan läggas till grund för behandling av person- uppgifter om syftet med behandlingen inte framgår. Det ska alltså vara möjligt för såväl den personuppgiftsansvarige som den registrerade att förstå varför behandlingen av personuppgifter ska ske. Detta kan exempelvis ske genom en författning som anger att en näringsidkare i en viss situation är skyldig att lämna uppgifter till en myndighet eller en domstol.

Behov av förtydligande i nationell rätt

Regeringen gör bedömningen att det i och för sig inte behövs någon ytterligare nationell reglering på generell nivå för att sådan behandling av personuppgifter som är nödvändig för att uppfylla en rättslig förpliktelse ska kunna ske med stöd av den rättsliga grunden i artikel 6.1 c i data- skyddsförordningen. Detta gäller oavsett om den personuppgiftsansva- rige är en myndighet eller ett privaträttsligt organ. Regeringen anser dock, i likhet med utredningen, att det finns anledning att ta in en be- stämmelse i dataskyddslagen som tydliggör att en förpliktelse utgör en rättslig grund för behandling av personuppgifter om förpliktelsen följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning. Detta är enligt skäl 8 till dataskyddsförordningen förenligt med unionsrätten, även om åtgärden kan sägas utgöra ett införlivande av en direkt tillämplig förord- ningsbestämmelse.

Datainspektionen anser att det i bestämmelsen ska anges att kraven i artikel 6.3 andra stycket i dataskyddsförordningen måste följas och anför att det måste vara tydligt för den enskilde tillämparen att behandlingen av personuppgifter i varje enskilt fall ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas. Som regeringen utvecklar i avsnitt 8.2 måste dock kravet i artikel 6.3 andra stycket sista meningen på att unionsrätten eller medlemsstatens nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas i första hand anses riktat till lagstiftaren och andra som har befogenhet att fastställa rättsliga förpliktelser och inte till personuppgiftsansvariga eller personuppgifts- biträden. Det finns därför inte skäl att föra in en hänvisning till dessa krav i dataskyddslagen.

54

Prop. 2017/18:105 Vid tillämpningen av personuppgiftslagen har den behandling av personuppgifter som är nödvändig i t.ex. myndigheternas verksamhet i vissa fall ansetts vara tillåten efter en intresseavvägning enligt 10 § f PUL. Den motsvarande bestämmelsen i dataskyddsförordningen, artikel 6.1 f, ska dock inte gälla för behandling som utförs av offentliga myndigheter när de utför sina uppgifter. Myndigheternas utrymme för att grunda behandling på samtycke från den registrerade är också alltjämt begränsat, i vart fall i sådana situationer där det är osannolikt att ett samtycke lämnas frivilligt (skäl 43). För att myndigheternas verksamhet ska kunna fungera även i fortsättningen anser regeringen att begreppet uppgift av allmänt intresse måste ges en vid betydelse.

I förhållande till den privata sektorn innebär dataskyddsförordningen en väsentlig förändring på så sätt att det inte längre är självklart att en personuppgiftsansvarig inom den sektorn som utför en uppgift av allmänt intresse kan utföra nödvändig behandling av personuppgifter på den grunden. Genom kravet på att grunden för behandlingen ska fastställas i enlighet med unionsrätten eller den nationella rätten begränsas nämligen tillämpningsområdet för artikel 6.1 e. Det räcker inte att en behandling av personuppgifter är nödvändig för att utföra en uppgift av allmänt intresse

– uppgiften måste också vara fastställd i enlighet med gällande rätt. När det gäller Tjänstemännens centralorganisations synpunkt om arbets- marknadsparternas framtagande och behandling av lönestatistik m.m., kan konstateras att Datalagskommittén ansåg att denna uppgift var av allmänt intresse enligt personuppgiftslagen (SOU 1997:39 s. 305). Det finns inte anledning att göra någon annan bedömning enligt dataskydds- förordningen. För att personuppgifter ska kunna behandlas på denna rättsliga grund krävs emellertid också att uppgiften är fastställd i enlighet med svensk rätt och att behandlingen är nödvändig.

När det däremot gäller svenska myndigheters behandling av person- uppgifter innebär dataskyddsförordningens krav på att grunden för behandlingen ska vara fastställd inte någon egentlig förändring. Som utvecklas i avsnitt 8.2 innebär legalitetsprincipen nämligen att myndig- heternas verksamhet redan i dag måste vara fastställd enligt svensk rätt.

Enligt artikel 6.3 andra stycket första meningen i dataskyddsförord- ningen ska syftet med behandlingen, i fråga om behandling enligt punkt 1 e, vara nödvändigt för att utföra en uppgift av allmänt intresse. Till skillnad mot vad som gäller avseende grunden rättslig förpliktelse behöver ändamålet således inte framgå. Ändamålet med varje enskild behandling måste dock vara nödvändigt för att utföra den fastställda uppgiften. Bestämmelsen uttrycker det samband som måste finnas mellan behandlingen och den fastställda uppgiften och riktar sig till den som bestämmer de särskilda ändamålen för behandlingen, vilket i normalfallet är den personuppgiftsansvarige men i vissa fall även kan vara lag- stiftaren. Detta krav på samband framgår även av artikel 5.1 b, där det anges att de särskilda ändamålen ska vara berättigade.

Myndigheters verksamhet är av allmänt intresse

Alla uppgifter som riksdag eller regering gett i uppdrag åt statliga myndigheter att utföra är enligt regeringens mening av allmänt intresse.

Om uppgifterna inte vore av allmänt intresse skulle myndigheterna inte

56

Prop. 2017/18:105 beslut. På motsvarande sätt följer de kommunala myndigheternas obliga- toriska uppgifter av åligganden som fastställts i lag eller förordning. Även sådana frivilliga åtaganden som en kommun gör inom ramen för sin allmänna befogenhet ska framgå av gällande rätt, nämligen av det reglemente som fullmäktige utfärdar för den ansvariga nämnden.

Även privata aktörer kan utföra fastställda uppgifter av allmänt intresse

Vid tillämpningen av artikel 6.1 e spelar det ingen roll om den person- uppgiftsansvarige är en offentlig eller en privat aktör. Om den uppgift som den personuppgiftsansvarige utför är av allmänt intresse och denna uppgift är fastställd i enlighet med unionsrätten eller den nationella rätten finns en rättslig grund för nödvändig behandling enligt artikel 6.1 e. Det saknar då betydelse om en privat aktör utför verksamheten på direkt uppdrag av en myndighet eller på eget initiativ.

Avmonopolisering och konkurrensutsättning av offentlig verksamhet i Sverige har inneburit att privaträttsliga organ numera utför en inte obetydlig del av de uppgifter som sannolikt skulle anses vara av allmänt intresse, även i begreppets mest snäva bemärkelse. Detta gäller inom den kommunala sektorn exempelvis avseende förskoleverksamhet och skola, hälso- och sjukvård samt stöd och service till funktionshindrade. Inom den traditionellt statliga sektorn kan nämnas rikstäckande infrastruktur, kommunikation och energiförsörjning. Ibland bedrivs verksamheten allt- jämt under kommunal eller statlig styrning, i form av kommunala eller statliga bolag, men på andra områden förekommer också eller enbart privata subjekt som är associationsrättsligt helt fristående från den offentliga sektorn.

I flera av dessa fall är verksamheten av kommersiell karaktär och bygger i viss utsträckning på avtal med den registrerade. I den mån behandling av personuppgifter är nödvändig kan den i sådana fall ske med stöd av artikel 6.1 b i dataskyddsförordningen, även om uppgiften inte skulle vara fastställd i lagstiftningen. När det gäller hälso- och sjukvårdsverksamhet, i både offentlig och privat regi, fastställs dock uppgiften i bl.a. hälso- och sjukvårdslagen (2017:30). På motsvarande sätt regleras uppgiften att tillhandahålla stöd och service till funktions- hindrade av lagen (1993:387) om stöd och service till vissa funktions- hindrade och uppgiften att tillhandahålla insatser inom socialtjänsten av socialtjänstlagen (2001:453). Skolväsendets uppgifter fastställs i skol- lagen (2010:800), som gäller för både offentliga och enskilda anordnare av utbildning.

De uppgifter av allmänt intresse som utförs i syfte att utföra ett uttryck- ligt uppdrag eller till följd av ett åliggande måste anses vara av denna karaktär oavsett om de faktiskt utförs i myndighetens egen regi eller om de genom utkontraktering eller entreprenad utförs av någon annan. När en juridisk eller fysisk person, på uppdrag av en kommunal eller statlig myndighet, utför en förvaltningsuppgift som åligger kommunen eller myndigheten, bör alltså även den privata utföraren, entreprenören eller det kommunala bolaget anses utföra en uppgift av allmänt intresse. Ett privaträttsligt organ som fullgör ett uppdrag från en myndighet avseende en sådan uppgift som är fastställd i författning, regeringsbeslut eller kom-

munalt beslut i fullmäktige kan därför vidta nödvändiga behandlings-

58

Prop. 2017/18:105 uppgifter, finns det således inte någon konflikt mellan offentlighets- principens tillämpning hos dessa organ och dataskyddsförordningen.

Svenska kyrkan undrar om det finns en konflikt mellan dataskydds- förordningen och det krav på att lämna ut handlingar som gäller i kyrkans verksamhet. Enligt 11 § lagen om Svenska kyrkan ska var och en ha rätt att ta del av Svenska kyrkans handlingar. Denna rätt får begränsas bara om det är särskilt motiverat med hänsyn till vissa särskilt angivna intressen. Den lagstadgade handlingsoffentlighet som gäller för dessa handlingar liknar således den som gäller i fråga om myndig- heternas handlingar enligt tryckfrihetsförordningen. Enligt regeringens bedömning bör Svenska kyrkans handlingar därför betraktas som all- männa i den mening som avses i artikel 86 i dataskyddsförordningen. Dataskyddsförordningen ger således stöd för att Svenska kyrkan lämnar ut handlingar i enlighet med lagen om Svenska kyrkan.

Syftet med behandlingen ska vara nödvändigt

För att behandling av personuppgifter ska vara tillåten enligt artikel 6.1 e i dataskyddsförordningen krävs att ändamålet med behandlingen är nödvändigt för att utföra uppgiften. Detta ska enligt regeringens bedöm- ning inte tolkas som att uppgiften av allmänt intresse måste vara avgrän- sad så att den bara kan utföras på ett sätt. Den metod som den person- uppgiftsansvarige väljer för att utföra sin uppgift måste dock – som all offentlig förvaltning – vara ändamålsenlig, effektiv och proportionerlig och får därmed inte medföra ett onödigt intrång i enskildas privatliv. Ju mer detaljerat en viss uppgift har reglerats, desto mindre utrymme torde det finnas för den personuppgiftsansvarige att välja olika tillvägagångs- sätt. Detta medför i sin tur en större förutsebarhet i fråga om vilken personuppgiftsbehandling som kan aktualiseras. Om ett uppdrag i stället har reglerats på en mer övergripande och resultatinriktad nivå kan det sannolikt utföras på många olika sätt, vilka i förhållande till varandra kan vara mer eller mindre nödvändiga i dataskyddsförordningens mening. Kravet på att ändamålet ska vara nödvändigt för att utföra en uppgift av allmänt intresse innebär alltså i sig en spärr mot helt onödig behandling av personuppgifter eller sådan behandling som utgör ett oproportionerligt intrång i privatlivet som inte kunnat förutses.

Alla myndigheter, såväl statliga som kommunala, vidtar en rad admi- nistrativa åtgärder som krävs för att myndigheten ska fungera. Som exempel kan nämnas myndigheternas interna säkerhetsarbete och infor- mation, personalvård samt, som bl.a. Åklagarmyndigheten påpekar, olika former av uppföljning och utvärdering av den egna verksamheten. Krav på myndigheterna att vidta sådana administrativa åtgärder kan framgå direkt eller indirekt av författning eller beslut. När det gäller myndig- heternas säkerhetsarbete finns det t.ex. bestämmelser i förordningen om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap. I fråga om personalvård finns det bestämmelser i bl.a. arbets- miljölagen (1977:1160). Allmänna krav på myndigheterna att följa upp och utvärdera den egna verksamheten följer av bestämmelserna i myndighetsförordningen (2007:515). Det förekommer dock även att myndigheterna, för att fungera, behöver vidta administrativa åtgärder

som varken direkt eller indirekt kan sägas följa av författning eller beslut.

60

Prop. 2017/18:105 regeringen konstaterar i avsnitt 8.3 finns det dock inte skäl att införa ett sådant tillägg.

	8.5	Behandling som ett led i myndighetsutövning
	Regeringens förslag: Personuppgifter får behandlas om behandlingen
	är nödvändig som ett led i myndighetsutövning som den personupp-
	giftsansvarige utövar enligt lag eller annan författning.
	Utredningens förslag överensstämmer med regeringens.
	Remissinstanserna: Nästan alla remissinstanser tillstyrker förslaget
	eller har inga synpunkter på det. Datainspektionen anser att det i bestäm-
	melsen ska anges att kraven i artikel 6.3 andra stycket måste följas.
	Migrationsverket och Lunds universitet anser att begreppet myndighets-
	utövning inte bör användas. Lunds universitet menar att det är svårt att
	tänka sig någon myndighetsutövning som inte utförs i allmänt intresse
	och att det därför riskerar att leda till oklarheter att särskilt nämna
	myndighetsutövning. Dataskydd.net anser att bestämmelsen är onödig.
	Skälen för regeringens förslag: Enligt artikel 6.1 e i dataskydds-
	förordningen får personuppgifter behandlas bl.a. om behandlingen är
	nödvändig som ett led i den personuppgiftsansvariges myndighets-
	utövning. Begreppet myndighetsutövning förekommer även i data-
	skyddsdirektivet (artikel 7 e) och i personuppgiftslagen (10 § e) och har
	en EU-gemensam innebörd. Utgångspunkten i svensk rätt är att det som i
	Sverige brukar anses som myndighetsutövning faller under begreppet
	(SOU 1997:39 s. 362). Detta bör gälla även fortsättningsvis.
	Myndighetsutövning mot enskilda karaktäriseras av beslut eller andra
	ensidiga åtgärder som ytterst är uttryck för samhällets maktbefogenheter
	i förhållande till medborgarna. Myndighetsutövning kan också ske i
	förhållandet mellan myndigheter, t.ex. när en myndighet har tillsyn över
	en annan myndighets verksamhet. Utanför begreppet myndighets-
	utövning faller däremot råd, upplysningar och andra inte bindande
	uttalanden samt sådan faktisk verksamhet som inte innebär tvång. Av
	naturliga skäl är det i första hand statliga och kommunala myndigheter
	som ägnar sig åt myndighetsutövning. Även juridiska och fysiska
	personer kan dock med stöd av lag anförtros förvaltningsuppgifter som
	innefattar myndighetsutövning (12 kap. 4 § RF).
	Enligt artikel 6.3 andra stycket första meningen i dataskyddsförord-
	ningen ska syftet med behandlingen, i fråga om behandling enligt
	punkt 1 e, vara nödvändigt som ett led i den personuppgiftsansvariges
	myndighetsutövning. Ändamålet med behandlingen behöver således inte,
	till skillnad från behandling som grundas på en rättslig förpliktelse, fram-
	gå av det sammanhang där befogenheten att utöva myndighet fastställs.
	Kravet att ändamålet med behandlingen av personuppgifter måste vara
	nödvändigt för att utöva myndighetsutövningen ger uttryck för det
	samband som måste finnas mellan behandlingen och myndighetsutöv-
	ningen. Detta samband framgår även av kravet i artikel 5.1 b på att de
	särskilda ändamålen ska vara berättigade.
	Myndighetsutövning som medför skyldigheter för den enskilde eller i
62	övrigt	avser ingrepp i den enskildes personliga eller ekonomiska för-

hållanden måste enligt regeringsformen ha sin grund i lag eller i Prop. 2017/18:105 föreskrifter som meddelats med stöd av lag. Att meddela föreskrifter om

åtgärder som är gynnande för den enskilde ryms däremot inom regeringens restkompetens. Myndighetsutövning kan även vara fastställd i enlighet med unionsrätten. Befogenhet att utöva myndighet fastställs i svensk rätt ofta direkt i den författning som reglerar en viss rättighet, skyldighet, åtgärd eller verksamhet. Befogenheten kan även framgå genom att en myndighet i lag eller förordning har pekats ut som behörig myndighet enligt en viss unionsrättsakt. Myndighetsutövning kan dock aldrig utövas utan stöd i gällande rätt.

Befogenhet att utöva myndighet i Sverige är således alltid fastställd i en författning. Det krävs därför inte någon ny nationell reglering på generell nivå för att sådan behandling av personuppgifter som är nöd- vändig som ett led i den personuppgiftsansvariges myndighetsutövning ska kunna ske med stöd av den rättsliga grunden i artikel 6.1 e i förord- ningen. Det bör noteras att denna rättsliga grund för behandling av personuppgifter kan tillämpas av alla personuppgiftsansvariga som tilldelats myndighetsutövande befogenheter.

Regeringen anser dock, i likhet med utredningen, att det finns anled- ning att ta in en bestämmelse i dataskyddslagen som tydliggör att myndighetsutövning utgör en rättslig grund för behandling av person- uppgifter. Detta är enligt skäl 8 till dataskyddsförordningen förenligt med unionsrätten, även om åtgärden kan sägas utgöra ett införlivande av en direkt tillämplig förordningsbestämmelse. Eftersom begreppet myndighetsutövning används i dataskyddsförordningen anser regeringen till skillnad från Migrationsverket och Lunds universitet att det bör användas även i dataskyddslagen, trots att det inte förekommer i den nya förvaltningslagen och trots att det i princip inryms i begreppet uppgift av allmänt intresse.

I lagrådsremissen föreslår regeringen, i likhet med utredningen, att det i dataskyddslagen ska anges att personuppgifter får behandlas med stöd av artikel 6.1 e i dataskyddsförordningen, om behandlingen är nödvändig som ett led i den personuppgiftsansvariges myndighetsutövning enligt lag eller annan författning. Lagrådet anser att kravet på stöd i lag eller annan författning inte bör anges i bestämmelsen. Enligt regeringens mening behövs dock denna upplysning för att tydliggöra att myndighets- utövning är fastställd i dataskyddsförordningens mening, om den sker enligt lag eller annan författning.

Som regeringen konstaterar i avsnitt 8.3 finns det inte skäl att som Datainspektionen efterfrågar ange i bestämmelsen att kraven i artikel 6.3 andra stycket i dataskyddsförordningen måste följas.

8.6Inledande upplysningsbestämmelse?

Regeringens bedömning: Det behövs inte någon bestämmelse som upplyser om att EU:s dataskyddsförordning anger att personuppgifter får behandlas endast om minst ett av de villkor som anges i artikel 6.1 i förordningen är uppfyllt.

63

Prop. 2017/18:105 Utredningens bedömning överensstämmer inte med regeringens. Utredningen föreslår en upplysningsbestämmelse.

Remissinstanserna: Hovrätten för Västra Sverige, Kungliga tekniska högskolan och Swedish Direct Marketing Association ifrågasätter behovet av en upplysningsbestämmelse. Bolagsverket anser att det bör införas en motsvarande hänvisning till artikel 5 i dataskyddsförord- ningen.

Skälen för regeringens bedömning: Dataskyddsförordningen är direkt tillämplig. I likhet med bl.a. Hovrätten för Västra Sverige och Kungliga tekniska högskolan anser regeringen att behovet av den upplysningsbestämmelse som utredningen föreslår angående rättslig grund kan ifrågasättas. Dataskyddslagen utgör endast ett komplement till förordningen och kan inte tillämpas självständigt. Som Bolagsverkets synpunkt indikerar är behovet av en upplysningsbestämmelse i fråga om artikel 6 inte större än det är avseende andra bestämmelser i dataskydds- förordningen, t.ex. artikel 5. Mot denna bakgrund anser regeringen att den upplysningsbestämmelse som utredningen föreslår riskerar att vara förvirrande i stället för vägledande. En sådan bestämmelse bör därför inte införas.

	9	Barns samtycke som rättslig grund
	Regeringens förslag: Vid erbjudande av informationssamhällets
	tjänster direkt till ett barn som bor i Sverige ska behandling av
	personuppgifter vara tillåten med stöd av barnets samtycke, om barnet
	är minst 13 år. Om barnet är under 13 år, ska sådan behandling vara
	tillåten endast om samtycke ges eller godkänns av den som har
	föräldraansvar för barnet.
		Utredningens förslag överensstämmer med regeringens.
		Remissinstanserna: Majoriteten av remissinstanserna tillstyrker eller
	har inga invändningar mot utredningens förslag. Av de remissinstanser
	som särskilt yttrar sig i denna fråga anser t.ex. Hovrätten för Västra
	Sverige, Kommerskollegium, Socialstyrelsen, Centrala studiestöds-
	nämnden, Myndigheten för press, radio och TV, Falköpings kommun,
	Malmö kommun, Barnens Rätt i Samhället, Företagarna, Surfa Lugnt,
	Sveriges Radio AB, Sveriges Television AB, Swedish Direct Marketing
	Association, Dataspelsbranschen och Sveriges elevkårer att en 13-
	årsgräns är att föredra. Flera av dessa remissinstanser, såsom Centrala
	studiestödsnämnden, Barnens Rätt i Samhället och Surfa Lugnt, fram-
	håller att övervägande skäl talar för att åldersgränsen ska sättas lågt med
	hänsyn till det stora genomslag och betydelse som informations-
	samhällets tjänster har fått i unga personers liv, bl.a. som kommunika-
	tionskanal. Enligt Barnens Rätt i Samhället har barn som är 13 år och
	yngre insikt och förmåga att kunna fatta beslut med konsekvenser för den
	egna integriteten. Svenskt Näringsliv betonar att det finns en över-
	hängande risk att den åldersgräns som införs i praktiken innebär en
64	begränsning i användningen av olika nättjänster för barn och unga.

Prop. 2017/18:105 Ett antal remissinstanser, såsom Riksdagens ombudsmän, Förvalt- ningsrätten i Linköping, Försäkringskassan, Pensionsmyndigheten, Östergötlands läns landsting, länsstyrelserna i Värmland, Skåne och Stockholms län, Specialpedagogiska skolmyndigheten, Lunds universitet, Grästorps kommun, Stiftelsen för internetinfrastruktur och Lärarnas riksförbund, avstyrker eller är tveksamma till utredningens förslag och menar bl.a. att det underlag som utredningen presenterar inte är till- räckligt för att avvika från förordningens 16-årsgräns liksom att 13 år är en för lågt satt åldersgräns. Folkhälsomyndigheten understryker att utredningens förslag vilar på ett bristfälligt kunskapsunderlag där resone- manget till stora delar saknar ett barnperspektiv. Förvaltningsrätten i Linköping framför att barn utgör en utsatt grupp som måste ha ett särskilt skydd och att ett barn bör ha uppnått en sådan ålder att han eller hon förstår vad samtycket avser och konsekvenserna av det. Enligt Stiftelsen för internetinfrastruktur är det inte relevant vilka andra skyddsmeka- nismer som finns för att ”rätta till” det ogiltiga samtycket.

Några remissinstanser, t.ex. Förvaltningsrätten i Jönköping, Uppsala universitet, Umeå universitet, Länsstyrelsen i Kronobergs län, Väster- bottens läns landsting och Östergötlands läns landsting efterfrågar en närmare analys av frågan om åldersgräns. Kammarrätten i Göteborg, Polismyndigheten, Datainspektionen, Försäkringskassan, Socialstyrelsen,

Karlskrona kommun och Sveriges Kommuner och Landsting framhåller vikten av en harmonisering av åldersgränsen för barns samtycke till personuppgiftsbehandling. Av det skälet menar flera av dessa remiss- instanser att det är tveksamt att avvika från förordningens 16-årsgräns. Företagarna menar dock att det saknas behov av att anpassa ålders- gränsen efter andra länders val.

Kammarrätten i Göteborg föreslår att uttrycket den person som har föräldraansvar i den föreslagna paragrafen ändras till barnets vårdnads- havare. Länsstyrelsen i Kronobergs län betonar att det i förslaget bör förtydligas om ett samtycke krävs från båda vårdnadshavarna vid gemen- sam vårdnad.

Östergötlands läns landsting och Sveriges advokatsamfund anser att begreppet informationssamhällets tjänster behöver utredas vidare. Statis- tiska centralbyrån väcker frågan om även tjänster på distans, som sker elektroniskt via en individuell begäran av en tjänstemottagare, men utan ersättning och som erbjuds av t.ex. en myndighet omfattas av begreppet informationssamhällets tjänster. När det gäller begreppet direkt till barn delar Kommerskollegium utredningens tolkning att begreppet bör ta sikte på sådana tjänster som kan antas användas av barn. Barnens Rätt i Samhället efterlyser ett förtydligande av formuleringen förebyggande och rådgivande tjänster som erbjuds direkt till barn som föreskrivs i skäl 38 i förordningen och konkreta exempel på hur krav på utformning av information och samtycke ur ett barnperspektiv kan uppfyllas. Surfa Lugnt föreslår att en myndighet eller organisation ska få i uppgift att utvärdera konsekvenserna av ett införande av en åldersgräns.

66

Prop. 2017/18:105 utgöra rättslig grund för personuppgiftsbehandling har därför fått göras från fall till fall.

Datainspektionen har uttalat att det krävs att den som ger samtycket kan förstå innebörden av det. En person som inte själv kan tillgodogöra sig informationen om vad ett samtycke till personuppgiftsbehandling innebär kan inte ge ett rättsligt bindande samtycke. Datainspektionen har vidare ansett att barn under 15 år i allmänhet inte kan anses ha nått en sådan mognad att de kan förstå innebörden av att samtycka till person- uppgiftsbehandling. Samtidigt har Datainspektionen i ett samrådsyttrande som rörde användande av personnummer som spärr för deltagande på en chattsajt framhållit att föräldrarnas samtycke till barns registrering av sina personuppgifter måste inhämtas i vart fall när det gäller barn som inte har fyllt 13 år (SOU 2017:39 s. 137 och 138). Detta visar att det inte är helt tydligt vad som i dag gäller i frågan om åldersgräns för barns samtycke till personuppgiftsbehandling.

I Sverige får en omyndig person, dvs. en person som är under 18 år, som huvudregel inte själv råda över sin egendom eller åta sig förbin- delser. Det finns dock ett antal undantag från denna huvudregel. I vissa sammanhang får barnet självt ingå rättshandlingar och föra sin talan. Dessutom ska ibland barnets samtycke ges avgörande betydelse. I flera författningar, t.ex. 21 kap. 5 § föräldrabalken och 4 kap. 3 § patientlagen (2014:821), föreskrivs även att barnets vilja ska tillmätas betydelse med ökad ålder och mognad. När det gäller barnets möjligheter att ingå avtal och sköta andra angelägenheter av ekonomisk natur gäller i vissa fall en åldersgräns om 16 år. I några enstaka fall har åldersgränsen bestämts till 12 år. Denna åldersgräns gäller t.ex. vid samtycke till adoption och när reklam i tv-sändningar får syfta till att fånga uppmärksamheten hos barn. I andra sammanhang har åldersgränsen för barns samtycke och möjlighet att själva agera ofta satts vid 15 år. Barn som har fyllt 15 år har t.ex. rätt att själva föra sin talan i mål och ärenden enligt lagen (1990:52) med särskilda bestämmelser om vård av unga. Vidare kan en person som har fyllt 15 år dömas till påföljd för brott som han eller hon begått. Dessutom är sexuellt umgänge med barn kriminaliserat endast såvitt gäller barn under 15 år.

I svensk lag är det således ovanligt att det stipuleras en lägre åldersgräns än 15 år. Detta talar enligt regeringens mening för att åldersgränsen i Sverige för att kunna lämna ett giltigt samtycke inte bör sättas lägre än 15 år. Samtidigt talar bl.a. avsaknaden av en lagstadgad åldersgräns – och det förhållandet, som Svenskt Näringsliv framhåller, att de flesta bolag som riktar sig till unga med digitala varor och tjänster utgår från den 13-årsgräns som föreskrivs i amerikansk rätt – för att åldersgränsen bör vara så låg som förordningen medger. Även barns yttrande- och informationsfrihet samt självbestämmelserätt talar för det. Se vidare nedan.

Olika åldersgränser gäller i olika länder

Ett antal remissinstanser, t.ex. Datainspektionen, pekar på den harmoni- seringstanke som genomsyrar dataskyddsreformen och framhåller vikten av en harmonisering av åldersgränsen. I pågående lagstiftningsarbeten i

andra länder behandlas bl.a. frågan om en åldersgräns för barns samtycke

70

till personuppgiftsbehandling. Det faktum att den aktuella regleringen i Prop. 2017/18:105 dataskyddsförordningen ger nationell flexibilitet visar dock att harmoni-

sering inte har ansetts avgörande i denna fråga. Till bilden hör också, som exempelvis Svenskt Näringsliv poängterar, att en 13-årsgräns gäller i några andra länder, t.ex. i USA. Detta talar för att Sverige bör välja en åldersgräns om 13 år.

Barn har yttrande- och informationsfrihet samt självbestämmanderätt

Som flera remissinstanser, t.ex. Myndigheten för press, radio och TV och Sveriges elevkårer, framhåller måste stor vikt fästas vid de fri- och rättigheter som barn åtnjuter. I FN:s konvention om barnets rättigheter, den s.k. barnkonventionen, anges bl.a. att konventionsstaterna ska till- försäkra det barn som är i stånd att bilda egna åsikter rätten att fritt uttrycka dessa i alla frågor som rör barnet, varvid barnets åsikter ska tillmätas betydelse i förhållande till barnets ålder och mognad. Barn- konventionen slår också fast att barnet har rätt till yttrandefrihet. Denna rätt innefattar frihet att oberoende av territoriella gränser söka, motta och sprida information och tankar av alla slag, i tal, skrift eller tryck, i konstnärlig form eller genom annat uttrycksmedel som barnet väljer.

Det finns anledning att understryka att föräldrar och andra vårdnads- havare har både en rätt och en skyldighet att ge barnet lämplig ledning och råd vid utövandet av barnets rättigheter. Vägledning ska ges på ett sätt som överensstämmer med barnets fortlöpande utveckling. Barnet ska alltså med stigande ålder få större möjlighet att själv styra över på vilket sätt det vill ta vara på sina rättigheter. Eftersom barn håller på att utvecklas fysiskt och psykiskt, måste dock utövandet av barnets rättig- heter anpassas till dess utvecklingsnivå.

Dagens barn och unga använder internet bl.a. för att ta del av informa- tion, sprida åsikter liksom förmedla tankar och därigenom utöva de fri- och rättigheter som beskrivs ovan. Som flera remissinstanser konstaterar har tillgången till information via söktjänster och deltagandet i olika onlineaktiviteter stor social betydelse för barn och unga. Det är ett sätt att skapa och behålla kontakt med kamrater, delta i politiska och andra diskussionsforum, söka information till skolarbeten, spela spel, se på film och lyssna på musik. Studier visar att användningen av sociala nätverks- sajter, såsom Facebook, Instagram och Kik, har ökat markant de senaste åren (SOU 2016:41 s. 374–376). En hög åldersgräns för när ett barn själv kan ge giltigt samtycke till personuppgiftsbehandling kan i praktiken leda till att barn i mitten av sin tonårstid utestängs från möjligheten till social och kulturell samvaro inom ramen för det som avses med informations- samhällets tjänster, om dess vårdnadshavare inte samtycker till den personuppgiftsbehandling som krävs för att barnet ska kunna använda tjänsten. Detta kan i sin tur leda till en inskränkning i barnets rätt att fritt söka information och uttrycka sig i olika sammanhang. Det innebär också en begränsning av barnets självbestämmanderätt. Dessa oönskade effekter talar med styrka för att åldersgränsen bör bestämmas till den lägsta tillåtna, dvs. 13 år. Samtidigt måste de oönskade effekterna vägas emot de integritetsvinster som en högre åldersgräns skulle kunna ge.

71

Prop. 2017/18:105 10	Känsliga personuppgifter
10.1	Förbudet och undantagen föreskrivs i
	dataskyddsförordningen

Regeringens förslag: Personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa och uppgifter om en fysisk persons sexualliv eller sexuella läggning ska i dataskyddslagen benämnas känsliga person- uppgifter.

Regeringens bedömning: Behandling av känsliga personuppgifter får ske endast under de förutsättningar som anges i EU:s dataskydds- förordning. Undantagen från förbudet mot behandling är direkt tillämpliga.

	Utredningens förslag och bedömning överensstämmer delvis med
	regeringens. Utredningen bedömer att vissa av undantagen i sig måste
	föreskrivas i nationell rätt, antingen i generell eller i sektorsspecifik
	reglering, för att vara tillämpliga. Vidare föreslår utredningen en upplys-
	ningsbestämmelse avseende behandling av känsliga personuppgifter.
	Remissinstanserna: Det stora flertalet remissinstanser instämmer i
	utredningens bedömning eller kommenterar den inte. Polismyndigheten
	anser att begreppet känsliga personuppgifter, som är väl inarbetat, inte
	bör utökas till att omfatta genetiska och biometriska uppgifter. Veten-
	skapsrådet och Sveriges advokatsamfund anser att begreppet särskilda
	kategorier av personuppgifter bör användas i stället för begreppet
	känsliga personuppgifter. Förvaltningsrätten i Stockholm efterfrågar för-
	tydliganden avseende skillnaden mellan nödvändighetsrekvisitets inne-
	börd i artiklarna 6 och 9 samt anser att upplysningsbestämmelsen har en
	något svår lagteknisk lösning. Datainspektionen anser att det är en brist
	att utredningen inte gjort någon analys av hur de föreslagna undantags-
	bestämmelserna för behandling av känsliga personuppgifter förhåller sig
	till kravet på rättslig grund. Pensionsmyndigheten anser inte att det är
	självklart att det finns ett behov av att i dataskyddslagen eller i annan
	nationell lagstiftning ta in bestämmelser om undantag från förbudet att
	behandla känsliga personuppgifter. Dataskydd.net anser att upplysnings-
	bestämmelsen ska tas bort och att utredningen missar poängen med
	bestämmelserna i artikel 9.2 b, g, h, i och j.
	Skälen för regeringens förslag och bedömning: Enligt dataskydds-
	förordningen måste all behandling av personuppgifter vila på en rättslig
	grund. En grundläggande förutsättning för behandling är således att
	någon av de rättsliga grunder som anges i artikel 6 är tillämpliga.
	Dessutom ska den personuppgiftsansvarige följa de principer för
	behandlingen som framgår av artikel 5. För vissa typer av person-
	uppgifter måste därutöver särskilda krav vara uppfyllda för att
	behandling ska få ske.
	Enligt	artikel 9.1	i dataskyddsförordningen är	det förbjudet att
74	behandla	uppgifter	som avslöjar ras eller etniskt	ursprung, politiska

Prop. 2017/18:105 som Förvaltningsrätten i Stockholm efterfrågar förtydliganden om, enligt regeringens bedömning densamma i artikel 9 som i artikel 6, se avsnitt 8.1.

Det bör noteras att flera av undantagsbestämmelserna i artikel 9.2 inte innehåller någon hänvisning till nationell rätt, närmare bestämt de som anges i artikel 9.2 c, d, e och f. Dessa undantag gäller vid behandling som sker för att skydda en persons grundläggande intressen (c), inom vissa icke vinstdrivande organ (d), då personuppgifterna har offentlig- gjorts av den registrerade (e) respektive i samband med rättsliga anspråk eller i dömande verksamhet (f). Eftersom det är uppenbart att dessa bestämmelser inte föranleder några nationella författningsåtgärder behandlas de inte här. I den utsträckning det inte framkommer något annat i förordningen eller genom EU-domstolens praxis, framstår det dock som naturligt att dessa undantagsbestämmelser tolkas i linje med den praxis som utvecklats enligt motsvarande bestämmelser i data- skyddsdirektivet och personuppgiftslagen.

Regeringen anser inte att det finns skäl att, som utredningen föreslår, införa någon allmän upplysningsbestämmelse avseende behandling av känsliga personuppgifter.

Överväganden och förslag när det gäller behandling av känsliga personuppgifter för arkivändamål av allmänt intresse och statistiska ändamål finns i avsnitt 14.

10.2 Den registrerades samtycke

Regeringens bedömning: Det bör inte införas något undantag från bestämmelsen om att känsliga personuppgifter får behandlas med stöd av den registrerades uttryckliga samtycke.

	Utredningens bedömning överensstämmer med regeringens.
	Remissinstanserna ger inte uttryck för någon annan uppfattning.
	Skälen för regeringens bedömning: I artikel 9.2 a i dataskydds-
	förordningen finns en möjlighet för medlemsstaterna att föreskriva att
	den registrerade inte kan samtycka till behandling av känsliga personupp-
	gifter. Bestämmelsen motsvarar artikel 8.2 a i dataskyddsdirektivet. Vid
	införandet av personuppgiftslagen ansåg regeringen att det inte fanns
	något integritetsskyddsintresse som gjorde det befogat att förbjuda en
	behandling som den registrerade och den personuppgiftsansvarige var
	överens om (prop. 1997/98:44 s. 69). Det infördes därför varken någon
	sådan bestämmelse i lag eller någon möjlighet för regeringen eller Data-
	inspektionen att föreskriva om förbud mot behandling trots den regist-
	rerades samtycke. Utredningen anser att det inte heller nu bör införas ett
	förbud mot behandling trots den registrerades samtycke.
	Regeringen ansluter sig till utredningens bedömning i denna fråga, som
	inte heller ifrågasätts av remissinstanserna. Den registrerades uttryckliga
	samtycke bör alltså även fortsättningsvis medföra att känsliga person-
	uppgifter får behandlas. Att behandling av känsliga personuppgifter får
	ske då den registrerade har lämnat sitt samtycke framgår direkt av
	artikel 9.2 a och behöver inte föreskrivas i nationell rätt. Det innebär att
76	någon nationell reglering inte bör införas på grund av artikel 9.2 a.

10.3

Arbetsrätt, social trygghet och socialt skydd

Prop. 2017/18:105

Regeringens förslag: Känsliga personuppgifter får behandlas om det är nödvändigt för att den personuppgiftsansvarige eller den regist- rerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och inom områdena social trygghet och socialt skydd. Personuppgifter som behandlas med stöd av detta undantag får lämnas ut till tredje part endast om det inom arbetsrätten eller inom områdena social trygghet och socialt skydd finns en skyldighet för den personuppgiftsansvarige att göra det eller om den registrerade uttryckligen har samtyckt till utlämnandet.

Utredningens förslag överensstämmer i sak med regeringens. I utred- ningens förslag anges dock inte områdena social trygghet och socialt skydd uttryckligen i bestämmelsen.

Remissinstanserna: En majoritet av remissinstanserna tillstyrker förslaget eller har inga synpunkter på det. Centrala studiestödsnämnden anser att det är klokt att inta en försiktig hållning och inte föreslå någon reglering på områdena social trygghet och socialt skydd. Uppsala univer- sitet ifrågasätter i stället utredningens resonemang och anser att antagan- det att den sociala trygghetslagstiftningen ligger långt bort från arbets- rätten är olyckligt och riskerar att skapa fel slutsatser om när och hur arbetsgivare får behandla personuppgifter. Malmö kommun och Piteå kommun anser att det är oklart om begreppet social trygghet och socialt skydd ska ha den EU-rättsliga innebörd som utredningen menar. Svensk Försäkring påpekar att gruppförsäkringar och i de flesta fall även tjänste- pensionerna tillhandahålls av försäkringsföretag, som behöver behandla känsliga personuppgifter för att kunna tillhandahålla det avsedda försäk- ringsskyddet. Pensionsmyndigheten avstyrker förslaget och anser att det inte finns något i förordningstexten som ger skäl för nationella regler. Dataskydd.net avstyrker förslaget och anser att artikel 9.2 inte kan kring- gås annat än genom lagstiftning som ger behandlingen en rättslig grund, vilket i så fall sker i annan lagstiftning än dataskyddslagen. Flera remiss- instanser, bl.a. Svensk Handel och Svenskt Näringsliv, har synpunkter på hur bestämmelsen om utlämnande till tredje part bör tolkas och tillämpas.

Skälen för regeringens förslag

I artikel 9.2 b i dataskyddsförordningen föreskrivs ett undantag från förbudet mot behandling av känsliga personuppgifter på arbetsrättens område. Undantaget motsvaras delvis av artikel 8.2 b i dataskyddsdirek- tivet, som har genomförts i svensk rätt genom 16 § första stycket a PUL. Förordningens undantag är dock vidare och avser behandling som är nödvändig för att både den personuppgiftsansvarige och den registrerade ska kunna fullgöra sina rättigheter och skyldigheter inom arbetsrätten. Vidare omfattar bestämmelsen i förordningen även områdena social trygghet och socialt skydd. Undantaget gäller i den omfattning behand- lingen är tillåten enligt nationell rätt eller ett kollektivavtal och under förutsättning att lämpliga skyddsåtgärder som säkerställer den regist- rerades grundläggande rättigheter och intressen fastställs.

77

Prop. 2017/18:105	Termen arbetsrätt har vid tillämpningen av personuppgiftslagen getts
	en vid tolkning som innebär att i stort sett alla skyldigheter och rättig-
	heter för arbetsgivare beträffande de anställda och deras organisationer
	innefattas, såsom exempelvis behandling i samband med sjuklön och
	rehabilitering av arbetstagare. Även skyldigheter och rättigheter för
	fackliga organisationer i förhållande till arbetsgivare och deras organisa-
	tioner omfattas.
	Utredningen anser att det inte är helt klart vad som avses med
	begreppen social trygghet och socialt skydd i artikel 9.2 b, men konsta-
	terar att sociallagstiftning och den lagstiftning som återfinns på social-
	försäkringsområdet sakligt sett tycks ligga långt ifrån arbetsrätten. Med
	tanke på det sammanhang där begreppen förekommer bedömer utred-
	ningen att avsikten sannolikt i stället är att reglera behandling som är
	nödvändig för att arbetsgivare, fackförbund eller arbetsgivarorganisa-
	tioner ska kunna erbjuda eller förmedla pensioner och försäkringar med
	anknytning till den registrerades anställning eller yrkesliv, såsom tjänste-
	pensioner och olika typer av gruppförsäkringar. Eftersom sådan behand-
	ling i många fall ändå kan ske med stöd av undantaget som rör arbets-
	rätten, undantaget som rör viktiga allmänna intressen eller med stöd av
	samtycke, ser utredningen inte behov av att införa denna del av
	artikel 9.2 b i dataskyddslagen.
	Uppsala universitet ifrågasätter utredningens bedömning i denna del.
	Universitetet menar att begreppen social trygghet och socialt skydd har
	en viss innebörd enligt EU-rätten samt att det är avsett att vara ett vitt
	begrepp. Utredningens antagande om att den sociala trygghetslagstift-
	ningen ligger långt bort från arbetsrätten är enligt universitet olyckligt
	och riskerar att skapa fel slutsatser om när och hur arbetsgivare får
	behandla personuppgifter.
	Enligt regeringens bedömning torde det stå klart att bestämmelsen i
	artikel 9.2 b gör det möjligt att behandla även känsliga personuppgifter
	när det är nödvändigt för att i vart fall arbetsgivare, arbetstagare, fackliga
	organisationer och arbetsgivarorganisationer ska kunna fullgöra sina
	skyldigheter eller utöva sina rättigheter med koppling till arbetslivet. Det
	är således inte bara behandling av personuppgifter som har sin rättsliga
	grund i arbetsrätten, i snäv bemärkelse, som omfattas. Bestämmelsen bör,
	precis som 16 § PUL, även kunna tillämpas vid behandling av person-
	uppgifter som en arbetsgivare utför som en följd av lagstiftningen på
	socialförsäkringsområdet, t.ex. i samband med en arbetstagares sjukdom
	och rehabilitering. Det kan därför ifrågasättas om det tillägg som gjorts i
	dataskyddsförordningen avseende områdena social trygghet och social
	omsorg innebär någon egentlig förändring jämfört med vad som gäller
	enligt personuppgiftslagen. För närvarande går det dock inte att dra några
	helt säkra slutsatser om begreppens innebörd. Som Uppsala universitet
	påpekar har begreppen en unionsrättslig innebörd och denna kommer
	efter hand att klargöras genom bl.a. EU-domstolens praxis. Det kan
	därför inte uteslutas att begreppen har en vidare innebörd än vad som
	följer av utredningens bedömning.
	En förutsättning för att behandlingen ska omfattas av undantaget i
	artikel 9.2 b är att den är tillåten enligt gällande rätt, t.ex. enligt kollektiv-
	avtal, och att detta rättsliga stöd innehåller bestämmelser om lämpliga
78	skyddsåtgärder för att säkerställa den registrerades grundläggande rättig-

Prop. 2017/18:105 avtal eller enligt annan författning än dataskyddslagen, under förut-

sättning att lämpliga skyddsåtgärder fastställts.
Många gruppförsäkringar och kanske särskilt flera av de som har
anknytning till arbetslivet eller som följer av kollektivavtal kan fylla en
viktig funktion inom området social trygghet och socialt skydd (jfr
prop. 2003/04:150 s. 314 och 343). Den föreslagna bestämmelsen skulle
därför kunna vara tillämplig även för de som tillhandahåller eller admi-
nistrerar sådana försäkringar. Bestämmelsen utgör inte heller någon
inskränkning av de möjligheter att behandla känsliga personuppgifter
som följer av andra undantagsbestämmelser i artikel 9.2 i dataskydds-
förordningen.	Flera	undantagsbestämmelser	kan	vara tillämpliga
samtidigt. Således kommer exempelvis försäkringsföretag även i fortsätt-
ningen att, med stöd av artikel 9.2 f, kunna behandla känsliga person-
uppgifter när detta är nödvändigt till följd av avtal med fackliga
organisationer	om	gruppförsäkring för	deras	medlemmar (jfr
prop. 1997/98:44 s. 125). På motsvarande sätt kan det vara nödvändigt
för t.ex. en arbetsgivare att med stöd av artikel 9.2 f lämna ut uppgifter
till en advokat eller annan rådgivare, för att kunna göra gällande eller
försvara rättsliga anspråk i arbetsrättsliga ärenden.

	10.4	Viktigt allmänt intresse
	Regeringens förslag: Myndigheter och andra som omfattas av
	offentlighetsprincipen får behandla känsliga personuppgifter, om
	uppgifterna har lämnats till den personuppgiftsansvarige och behand-
	lingen krävs enligt lag. Dessutom får en myndighet behandla känsliga
	personuppgifter, om det är nödvändigt för handläggningen av ett
	ärende. Vidare får känsliga personuppgifter behandlas av en myndig-
	het i annat fall, om behandlingen är nödvändig med hänsyn till ett
	viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den
	registrerades personliga integritet.
	Vid behandling som sker enbart med stöd av de nämnda grunderna,
	är det förbjudet att utföra sökningar i syfte att få fram ett urval av
	personer grundat på känsliga personuppgifter.
	Regeringen får meddela ytterligare föreskrifter om sådan behandling
	av känsliga personuppgifter som är nödvändig med hänsyn till ett
	viktigt allmänt intresse.
	Utredningens förslag överensstämmer i huvudsak med regeringens.
	Utredningen föreslår att myndigheter ska få behandla känsliga person-
	uppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är
	nödvändiga för handläggningen av det. Dessutom innebär utredningens
	förslag att myndigheter i enstaka fall ska få behandla känsliga person-
	uppgifter om det är absolut nödvändigt för ändamålet med behandlingen
	och behandlingen inte innebär ett otillbörligt intrång i den registrerades
	personliga integritet. Slutligen föreslår utredningen ett absolut sökförbud
	samt att bemyndigandet ska ha en annan språklig utformning.
	Remissinstanserna: En majoritet av remissinstanserna tillstyrker
	förslaget	eller har inga synpunkter på det. Socialstyrelsen, Malmö
80	kommun, Piteå kommun och Västra Götalands läns landsting anser att

Prop. 2017/18:105 undantag från förbudet att behandla känsliga personuppgifter. Pensions- myndigheten anser att det bör analyseras ytterligare om det är det viktiga allmänna intresset, snarare än behandlingen, som ska regleras i nationell rätt. Vidare anser Pensionsmyndigheten att den föreslagna bestämmelsen rörande behandling i löpande text kan bli svår att tillämpa för myndig- heter som har helt automatiserade handläggningsflöden och anser därför att den bör göras teknikneutral. Pensionsmyndigheten vill också fram- hålla att den lagtekniska utformningen, som innebär att bestämmelserna avgränsats till uppgifter som lämnats i ett ärende eller till myndigheten, gör att det inte är möjligt att tillämpa bestämmelsen när behandling av känsliga personuppgifter sker i myndigheters s.k. egna utrymmen. Lik- artade synpunkter angående myndigheternas egna utrymmen har lämnats av Bolagsverket och Sveriges advokatsamfund. Dataskydd.net avstyrker förslaget och anser att artikel 9.2 inte kan kringgås annat än genom lag- stiftning som ger behandlingen en rättslig grund, vilket i så fall sker i annan lagstiftning än i dataskyddslagen. Hovrätten för Västra Sverige anser att det är positivt att utredningen föreslår att myndigheter inte får använda sökbegrepp som avslöjar känsliga personuppgifter. Domstols- verket anser att ett sökförbud som utformats i enlighet med utredningens förslag är lätt att tillämpa och därmed leder till tydlighet och enkelhet. Domstolsverket påpekar dock att det vid behandling för arkivändamål av allmänt intresse inte finns något sökförbud, vilket torde få till följd att det sökförbud som gäller för myndigheters personuppgiftsbehandling upphör i samband med att uppgifter arkiveras. Polismyndigheten tillstyrker förslaget om generellt sökförbud men framhåller att det behövs ett undantag för sökningar på känsliga personuppgifter som sker i register- vårdande syfte. Säkerhets- och integritetsskyddsnämnden ifrågasätter utformningen av det föreslagna sökförbudet och anser att dess orda- lydelse i praktiken förhindrar all användning av sökbegrepp, vilket bl.a. kan omöjliggöra en effektiv registervård och tillsyn. Migrationsverket anser att det, utifrån ett integritetsperspektiv, är bra att det föreslås ett sökförbud gällande känsliga personuppgifter, men påpekar att det medför en risk för att viss nödvändig personuppgiftsbehandling inte kan genom- föras. Migrationsverket anser att sökning, även gällande känsliga person- uppgifter, borde tillåtas med förbehållet att uppgifterna endast får tas fram för helt avidentifierad statistik. Skatteverket anser att det skulle underlätta om sökbegränsningarna utformas på samma sätt i dataskydds- lagen och brottsdatalagen. Specialpedagogiska skolmyndigheten påpekar att sökförbudet kan leda till problem för specialskolan när det gäller att ta fram verksamhetsstatistik. Transportstyrelsen anser att det, om det införs ett sökförbud för känsliga personuppgifter, bör övervägas undantag för myndigheters sökningar i verksamhetssystem där syftet är att följa upp och kvalitetssäkra den egna verksamheten. Piteå kommun ser stora administrativa svårigheter med att leva upp till ett förbud mot att använda sökbegrepp som avslöjar känsliga personuppgifter. Detta förslag riskerar enligt kommunen att bli kostnadsdrivande för kommunerna utan tydlig nytta. Sveriges advokatsamfund anser att den föreslagna sökbegräns- ningen bör anpassas till den service som myndigheter ger åt privat- personer.

82

Prop. 2017/18:105 s.k. egna utrymmen. Regeringen kan dock konstatera att de särskilda frågeställningar som rör sådan behandling inte föranleds av dataskydds- förordningen. Därmed behandlas de inte i detta lagstiftningsärende.

Behandling som krävs enligt lag

Viss behandling av känsliga personuppgifter är oundviklig i myndig- heternas verksamhet som en direkt följd av exempelvis offentlighets- och sekretesslagens och förvaltningslagens krav, såsom krav på diarieföring och skyldighet att ta emot e-post. Samma skyldigheter gäller i viss utsträckning för vissa andra organ än myndigheter, som en följd av att dessa organ jämställs med myndigheter enligt offentlighets- och sekre- tesslagen. Utredningen föreslår mot denna bakgrund en bestämmelse om att myndigheter och andra organ som omfattas av offentlighetsprincipen får behandla känsliga personuppgifter som har lämnats till myndigheten eller organet om behandlingen krävs enligt lag.

Den grundlagsfästa rätten att ta del av allmänna handlingar måste enligt regeringens mening anses utgöra ett viktigt allmänt intresse. Ordning och reda bland allmänna handlingar är en förutsättning för att handlingsoffentligheten ska fungera och fylla sitt syfte. Den hantering av allmänna handlingar som krävs enligt svensk rätt är därför motiverad med hänsyn till ett viktigt allmänt intresse. En stor del av denna hantering sker i den elektroniska miljön och medför behandling av personuppgifter.

Den nödvändiga behandling av personuppgifter som sker vid hante- ringen av allmänna handlingar har rättslig grund i svensk rätt, framför allt i offentlighets- och sekretesslagen, arkivlagstiftningen och förvalt- ningslagen. Denna lagstiftning innehåller lämpliga och särskilda åtgärder som skyddar enskildas integritet, t.ex. i form av sekretess, rätt till partsinsyn och föreskrifter om informationssäkerhet och gallring. Enligt regeringens bedömning kan därmed även känsliga personuppgifter behandlas då det är nödvändigt i dessa sammanhang, med stöd av artikel 9.2 g i dataskyddsförordningen.

För att det inte ska råda något tvivel om att denna nödvändiga behandling är tillåten också efter den 25 maj 2018 bör dataskyddslagen innehålla en uttrycklig bestämmelse som tydliggör detta. Enligt regeringens mening saknas det skäl att, som Datainspektionen och Lunds universitet förordar, tydligare än utredningens förslag koppla bestäm- melsen till den behandling som sker som en följd av offentlighets- principen. Den föreslagna formuleringen, som innebär att behandling är tillåten endast om den krävs enligt lag i kombination med att bestäm- melsen endast avser uppgifter som har lämnats till myndigheten, utgör enligt regeringens bedömning en tillräckligt tydlig begränsning av bestämmelsens tillämpningsområde. Således bör det av dataskyddslagen framgå att myndigheter och andra som omfattas av offentlighetsprincipen får behandla känsliga personuppgifter, om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag.

Det bör noteras att ett utlämnande av en allmän handling som sker på begäran av en enskild inte sker med stöd av dataskyddsförordningen eller dataskyddslagen. Ett sådant utlämnande sker i stället med stöd av tryck-

frihetsförordningen, som enligt artikel 86 och den bestämmelse som

86

Prop. 2017/18:105 tioner som gör det mycket enkelt att strukturera informationen, även om detta inte varit syftet med den ursprungliga registreringen av uppgifterna. Gränsen mellan vad som utgör strukturerad och ostrukturerad behandling är således inte alltid helt lätt att dra och därmed mindre ändamålsenlig som avgränsning i fråga om vad som utgör ett otillbörligt integritets- intrång.

Som Informationshanteringsutredningen konstaterade i sitt betänkande hanteras myndigheters ärenden i dag vanligen inom ramen för ett elektro- niskt ärendehanteringssystem, dvs. i en databas (SOU 2015:39 s. 306). Nödvändig behandling av känsliga personuppgifter, bl.a. i sådana system, bör enligt regeringens mening vara tillåten vid handläggningen av ett ärende oavsett om uppgifterna förekommer i löpande text eller inte. De skyddsåtgärder som omgärdar myndigheternas behandling, bl.a. genom bestämmelserna om sekretess i offentlighets- och sekretesslagen och bestämmelserna om partsinsyn m.m. i förvaltningslagen, bör i stället kompletteras med en sökbegränsning (se nedan).

Sammanfattningsvis föreslår regeringen att myndigheter ska få behandla känsliga personuppgifter om behandlingen är nödvändig för handläggningen av ett ärende.

Behandling som inte innebär ett otillbörligt intrång

Även inom ramen för myndigheters faktiska verksamhet, dvs. sådan verksamhet som inte utgör handläggning av ärenden, är behandling av känsliga personuppgifter ofta nödvändig med hänsyn till viktiga allmänna intressen. Det kan t.ex. röra sig om att myndigheten besvarar en fråga från en medborgare som via e-post uppgett känsliga person- uppgifter eller att känsliga personuppgifter framkommer vid kommunika- tionen mellan skola och föräldrar eller inom en myndighet i samband med utvärdering av den egna verksamheten. Enligt nuvarande ordning är sådan behandling tillåten med stöd av missbruksregeln i 5 a § PUL, om behandlingen inte innebär en kränkning av den registrerades personliga integritet. Regeringen anser, mot bakgrund av vikten av att samhällets funktioner upprätthålls, att dataskyddslagen på ett likartat sätt bör ge myndigheterna ett visst utrymme för behandling av känsliga person- uppgifter även i den faktiska verksamheten.

Utredningen föreslår att myndigheter i enstaka fall ska få behandla känsliga personuppgifter om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Datainspektionen invänder mot användningen av begreppet absolut nödvändigt och anser, liksom Kung- liga tekniska högskolan, att det leder till begreppsförvirring. Datainspek- tionen föreslår att begreppet synnerlig vikt används i stället. Piteå kommun anser att kravet på absolut nödvändighet för ändamålet skulle kunna mildras.

Regeringen instämmer i att användningen av olika rekvisit, vars närmare innebörd i förhållande till varandra inte är uppenbar, skulle kunna leda till vissa tillämpningssvårigheter. Det krav som gäller enligt dataskyddsförordningen, dvs. att behandlingen ska vara nödvändig, bör därför användas även i dataskyddslagen. Att bestämmelsen är avsedd att

88

Prop. 2017/18:105 karaktär, den inställning de registrerade kan antas ha till behandlingen, den spridning uppgifterna kan komma att få och risken för vidare- behandling för andra ändamål än insamlingsändamålet. Den närmare betydelsen av begreppet otillbörligt intrång bör dock också ges utrymme att utvecklas i rättstillämpningen.

I detta sammanhang bör noteras att det vid behandling som innebär betydande intrång i den personliga integriteten och innebär övervakning eller kartläggning av den enskildes personliga förhållanden krävs särskilt lagstöd enligt 2 kap. 6 och 20 §§ RF.

Sökbegränsning

Utredningen föreslår, som en ytterligare skyddsåtgärd, att myndigheter inte ska få använda sökbegrepp som avslöjar känsliga personuppgifter. Sökförbudet är avsett att omfatta alla typer av tekniska åtgärder som innebär att uppgifter används för att strukturera eller systematisera information så att känsliga personuppgifter avslöjas. Sökförbudet har dock begränsats till att avse de fall då behandlingen sker enbart med de generella myndighetsundantagen som grund. Det innebär bl.a., som Domstolsverket noterar, att sökförbudet inte ska gälla vid behandling för arkivändamål av allmänt intresse (avsnitt 14).

Regeringen kan konstatera att en sökning som avslöjar och samman- ställer känsliga personuppgifter är en åtgärd som i sig innebär en integri- tetskränkning. Företeelsen ligger nära det som ursprungligen har moti- verat förbudet mot behandling av känsliga personuppgifter, nämligen möjligheten att kartlägga personer på grundval av exempelvis etnicitet eller politiska åsikter. Med en sökbegränsning uppnås därmed ett skydd av just de intressen som bestämmelserna om känsliga personuppgifter ska värna. Detta utgör enligt regeringens mening ett starkt skäl för att införa en sådan begränsning för myndigheter.

En majoritet av remissinstanserna tillstyrker utredningens förslag eller har inga invändningar mot det. Som Domstolsverket påpekar är ett absolut sökförbud lätt att tillämpa. Flera instanser invänder dock mot bestämmelsens kategoriska utformning och menar att det behövs undan- tag för att myndigheternas verksamhet ska fungera. Polismyndigheten framhåller att det behövs ett undantag för sökningar på känsliga person- uppgifter som sker i registervårdande syfte. Säkerhets- och integritets- skyddsnämnden anser att förslagets ordalydelse i praktiken kan omöjlig- göra en effektiv registervård och tillsyn. Migrationsverket och Special- pedagogiska skolmyndigheten har synpunkter som rör möjligheterna att ta fram statistik. Transportstyrelsen anser att det bör övervägas undantag för myndigheters sökningar i verksamhetssystem där syftet är att följa upp och kvalitetssäkra den egna verksamheten.

Regeringen anser att de synpunkter som lämnats visar att konsekven- serna av ett absolut sökförbud inte är tillräckligt utredda. Detta gäller även i förhållande till offentlighetsprincipen. Det bör också beaktas att den behandling av känsliga personuppgifter som i dag sker med stöd av 8 § PUF eller enligt missbruksregeln i 5 a § PUL inte omfattas av någon sökbegränsning.

Utredningen om 2016 års dataskyddsdirektiv föreslår i sitt delbetän-

kande Brottsdatalag (SOU 2017:29) en sökbegränsning som i stället

90

Prop. 2017/18:105 Bemyndigande

I 20 § PUL bemyndigas regeringen eller den myndighet som regeringen bestämmer att föreskriva ytterligare undantag om det behövs med hänsyn till ett viktigt allmänt intresse. Bemyndigandet har utnyttjats för att i förordning föreskriva att vissa myndigheter och privata organ får behandla känsliga personuppgifter. Det kommer även i fortsättningen att finnas ett behov av att i förordning kunna tillåta behandling av känsliga personuppgifter med hänsyn till viktiga allmänna intressen för vissa tydligt avgränsade ändamål eller för vissa särskilda verksamheter, utöver de generella bestämmelser som föreslås här. På grund av att dataskydds- förordningen inte innehåller någon motsvarighet till den så kallade miss- bruksregeln i 5 a § PUL, kommer sannolikt behovet av ytterligare bestämmelser om behandling av känsliga personuppgifter att öka.

Dataskyddslagen bör därför innehålla ett bemyndigande för regeringen att meddela ytterligare föreskrifter om sådan behandling av känsliga personuppgifter som är nödvändig med hänsyn till ett viktigt allmänt intresse. Eftersom regeringen hittills inte har sett anledning att utnyttja möjligheten i 20 § PUL att bemyndiga Datainspektionen att meddela föreskrifter och något behov av sådan vidaredelegation inte har fram- kommit, föreslås ingen sådan möjlighet.

När nya bestämmelser övervägs med stöd av bemyndigandet måste givetvis en noggrann bedömning göras av om lagform ändå krävs enligt 2 kap. 6 och 20 §§ RF. Det måste också säkerställas att dataskydds- förordningens krav i övrigt är uppfyllda, framför allt när det gäller lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

10.5Hälso- och sjukvård och social omsorg

Regeringens förslag: Under förutsättning att kravet på tystnadsplikt enligt EU:s dataskyddsförordning är uppfyllt får känsliga person- uppgifter behandlas, om behandlingen är nödvändig för förebyggande hälso- och sjukvård och yrkesmedicin, bedömningen av en arbets- tagares arbetskapacitet, medicinska diagnoser, tillhandahållande av hälso- och sjukvård eller behandling, social omsorg eller förvaltning av hälso- och sjukvårdstjänster, social omsorg samt deras system.

Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna: Det stora flertalet remissinstanser tillstyrker

förslaget eller har inga synpunkter på det. Socialstyrelsen och Diskrimi- neringsombudsmannen anser att det är av stor vikt att förutsättningarna för att behandla känsliga personuppgifter är reglerade på ett tydligt sätt.

Hälso- och sjukvårdens ansvarsnämnd anser att det är angeläget att det finns ett tydligt stöd för att behandla personuppgifter inom tillsyn över hälso- och sjukvård. Vidare anser ansvarsnämnden att det är angeläget att användandet av begreppet arbetstagare inte innebär någon förändring av möjligheten att behandla uppgifter om hälsotillstånd avseende yrkes- utövare i reglerade yrken som inte är anställda. Myndigheten för vård-

och omsorgsanalys anser att det bör förtydligas att begreppet förvaltning

92

Prop. 2017/18:105 den befintliga regleringen i 18 § PUL samt social omsorg, liksom tillsyn på hälso- och sjukvårdsområdet och över social omsorg.

För det andra ska den aktuella verksamheten utföras på grundval av unionsrätten eller medlemsstaternas nationella rätt eller enligt avtal med yrkesverksamma på hälsoområdet. Denna förutsättning är enligt regeringens bedömning uppfylld så snart verksamheten bedrivs i enlighet med verksamhetslagstiftningen på de aktuella områdena, t.ex. hälso- och sjukvårdslagen, socialtjänstlagen och andra relevanta författningar. Det är i dessa författningar som den personuppgiftsansvarige finner den rättsliga grunden för att överhuvudtaget få behandla personuppgifter utan den registrerades samtycke.

För att känsliga personuppgifter ska få behandlas i dessa verksamheter krävs dessutom, för det tredje, att förutsättningarna i artikel 9.3 är uppfyllda. Där anges att personuppgifter bara får behandlas av eller under ansvar av en yrkesutövare, eller av en annan person, som omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fastställs av nationella behöriga organ. Sådan tystnadsplikt gäller inom den svenska offentliga sektorn enligt offentlig- hets- och sekretesslagen. För de privata utförarna finns bestämmelser om tystnadsplikt i bl.a. patientsäkerhetslagen (2010:659) och socialtjänst- lagen. Datainspektionen anser att det behöver utredas om det därutöver bör införas en lagstadgad tystnadsplikt för hälso- och sjukvårdens personuppgiftsbiträden. Denna fråga bör övervägas i samband med anpassningen till dataskyddsförordningen av den sektorslagstiftning som finns på hälso- och sjukvårdsområdet och behandlas därför inte i detta lagstiftningsärende.

Regeringen delar i och för sig bl.a. Pensionsmyndighetens uppfattning om att det inte behövs någon ytterligare reglering på nationell nivå för att nödvändig behandling av känsliga personuppgifter ska vara tillåten med stöd av artikel 9.2 h. Det är dock, som bl.a. Socialstyrelsen betonar, av stor vikt för verksamheten inom de områden som omfattas av bestäm- melsen att förutsättningarna för att behandla känsliga personuppgifter framgår tydligt, även för de aktörer som inte omfattas av sektorsspecifika författningar om behandling av känsliga personuppgifter. Det bör därför, i enlighet med utredningens förslag, uttryckligen anges i dataskyddslagen att känsliga personuppgifter får behandlas om behandlingen är nödvändig av skäl som hör samman med förebyggande hälso- och sjukvård och yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet, medi- cinska diagnoser, tillhandahållande av hälso- och sjukvård eller behand- ling, social omsorg samt förvaltning av hälso- och sjukvårdstjänster, social omsorg och deras system. Bestämmelsen bör även erinra om att sådan behandling får ske endast under förutsättning att kravet på tystnadsplikt i artikel 9.3 i dataskyddsförordningen är uppfyllt.

Innebörden av de begrepp som används i bestämmelsen bör tolkas och tillämpas på samma sätt som artikel 9.2 h i dataskyddsförordningen. Som nämns ovan framgår det av skäl 53 till dataskyddsförordningen att avsikten är att begreppet förvaltning av hälso- och sjukvårdstjänster ska tolkas vitt och inbegripa bl.a. tillsyn över hälso- och sjukvård. Tolk- ningen av begreppet arbetstagares arbetskapacitet, som Hälso- och sjuk- vårdens ansvarsnämnd tar upp, påverkar således inte möjligheten till

94

behandling av känsliga personuppgifter inom tillsyn över hälso- och Prop. 2017/18:105 sjukvård.

10.6	Folkhälsa
Regeringens bedömning: Känsliga personuppgifter får enligt EU:s
dataskyddsförordning behandlas om behandlingen är nödvändig av
skäl av allmänt intresse på folkhälsoområdet, under förutsättning att
gällande rätt innehåller lämpliga och specifika åtgärder för att skydda
den registrerades rättigheter och friheter, särskilt tystnadsplikt. Det
behövs inte någon bestämmelse om detta i dataskyddslagen.
Utredningens bedömning överensstämmer delvis med regeringens.
Utredningen bedömer att undantaget måste genomföras i nationell rätt för
att vara tillämpligt och att det inte bör införas något sådant undantag i
dataskyddslagen.
Remissinstanserna: Endast ett fåtal instanser yttrar sig över utred-
ningens bedömning i denna del. Folkhälsomyndigheten invänder mot
utredningens bedömning och anser att ett folkhälsoundantag väsentligen
skulle underlätta myndighetens arbete och minimera riskerna för att
myndigheten inte kommer att kunna genomföra de undersökningar och
bearbetningar som behövs för att följa befolkningens hälsa. Även Forsk-
ningsrådet för hälsa, arbetsliv och välfärd invänder mot utredningens
bedömning och anför att datainsamling inom folkhälsoområdet inte bara
gäller det som utredningen definierar som hälso- och sjukvård. Västra
Götalands läns landsting anser att det vore värdefullt med ett särskilt
undantag i dataskyddslagen för behandling av känsliga personuppgifter
inom folkhälsoområdet.
Skälen för regeringens bedömning: I förordningens artikel 9.2 i finns
ett särskilt undantag från förbudet att behandla känsliga personuppgifter
som tar sikte på behandling som är nödvändig av skäl av allmänt intresse
på folkhälsoområdet, såsom behovet av att säkerställa ett skydd mot
allvarliga gränsöverskridande hot mot hälsan eller säkerställa höga
kvalitets- och säkerhetsnormer för vård och läkemedel eller medicin-
tekniska produkter. Bestämmelsen saknar motsvarighet i dataskydds-
direktivet eller personuppgiftslagen.
I skäl 54 anges att termen folkhälsa bör tolkas i enlighet med förord-
ning 1338/2008 om gemenskapsstatistik om folkhälsa och hälsa och
säkerhet i arbetet. Den definition som anges där är mycket vid och
omfattar alla aspekter som rör hälsosituationen, dvs. allmänhetens hälso-
tillstånd, inbegripet sjuklighet och funktionshinder, hälsans bestämnings-
faktorer, hälso- och sjukvårdsbehov, resurser inom hälso- och sjuk-
vården, tillhandahållande av och allmän tillgång till hälso- och sjukvård,
utgifter för och finansiering av hälso- och sjukvården samt dödsorsaker.
För att behandling av känsliga personuppgifter ska vara tillåten enligt
artikel 9.2 i krävs för det första att behandlingen är nödvändig av skäl av
allmänt intresse på folkhälsoområdet, på grundval av unionsrätten eller
medlemsstatens nationella rätt. Detta innebär enligt regeringens bedöm-
ning att den personuppgiftsansvarige ska ha stöd i rättsordningen för att
utföra	en uppgift på folkhälsoområdet. Detta rättsliga stöd ska enligt	95

Prop. 2017/18:105 artikel 9.2 i innehålla lämpliga och specifika åtgärder för att skydda den registrerades rättigheter och friheter, särskilt tystnadsplikt. Tröskeln för att den personuppgiftsansvarige ska få behandla känsliga personuppgifter som ett led i att utföra sin uppgift på folkhälsoområdet är således högre än den som gäller för behandling av andra personuppgifter i samma verk- samhet.

Utredningen bedömer att undantaget i artikel 9.2 i måste genomföras i nationell rätt för att vara tillämpligt. Regeringen anser emellertid att undantaget är direkt tillämpligt och att känsliga personuppgifter får behandlas med stöd av artikel 9.2 i, om kravet på lämpliga och specifika åtgärder för att skydda den registrerades rättigheter och friheter är uppfyllt. Regeringen gör således till skillnad från utredningen bedöm- ningen att undantaget i sig inte måste genomföras i svensk rätt för att vara tillämpligt.

Folkhälsoarbete anses i Sverige vara tvärsektoriellt och involverar såväl statliga som kommunala myndigheter. I den mån känsliga person- uppgifter behöver behandlas som ett led i detta folkhälsoarbete bör dessa vara sekretessreglerade i verksamheten. Till exempel regleras sekretess hos statistikmyndigheterna i 24 kap. 8 § OSL och sekretess inom hälso- och sjukvården liksom vid åtgärder mot smittsamma sjukdomar i 25 kap. OSL. Vidare gäller viss sekretess enligt offentlighets- och sekretesslagen och offentlighets- och sekretessförordningen (2009:641) hos bl.a. Folk- hälsomyndigheten, Tandvårds- och läkemedelsförmånsverket och Forsk- ningsrådet för hälsa, arbetsliv och välfärd samt vid tillsyn enligt bl.a. livsmedelslagen (2006:804) och läkemedelslagen (2015:315). Dessutom gäller under vissa förutsättningar sekretess enligt 21 kap. 1 § OSL för uppgift som rör en enskilds hälsa eller sexualliv, oavsett var uppgiften förekommer.

Enligt regeringens bedömning är förutsättningarna för att behandling ska få ske enligt artikel 9.2 i uppfyllda om de känsliga personuppgifterna är sekretessreglerade i verksamheten. Om sekretessreglering saknas kan det däremot inte tas för givet att dataskyddsförordningens krav på lämp- liga och specifika åtgärder för att skydda den registrerades rättigheter och friheter är uppfyllda.

Det hade i och för sig varit möjligt att, på motsvarande sätt som före- slås avseende artikel 9.2 h, införa en motsvarighet till förordningens bestämmelse i dataskyddslagen. Utredningen lämnar dock inte något sådant förslag. Enligt regeringens bedömning, som skiljer sig från utred- ningens, behövs det heller inte någon ytterligare reglering på generell nivå för att behandling av känsliga personuppgifter ska kunna ske med stöd av artikel 9.2 i. Om det på något specifikt område eller för någon enskild myndighet bedöms att befintliga skyddsåtgärder är otillräckliga, bör den frågan övervägas i ett annat sammanhang.

96

11	Personuppgifter som rör lagöverträdelser Prop. 2017/18:105

Regeringens förslag: Personuppgifter som rör lagöverträdelser får behandlas av myndigheter.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter som tillåter andra än myndigheter att behandla sådana uppgifter. Den myndighet som regeringen bestämmer får i enskilda fall besluta om att tillåta sådan behandling. Ett beslut får förenas med villkor.

Utredningens förslag överensstämmer i huvudsak med regeringens. I utredningens förslag anges inte att beslut får förenas med villkor. Vidare har utredningens förslag en annan språklig utformning.

Remissinstanserna: Det stora flertalet remissinstanser tillstyrker förslaget eller har inga synpunkter på det. Datainspektionen delar utred- ningens uppfattning om att artikel 10 i dataskyddsförordningen kan tolkas som att inspektionen i viss mån kan vara något mindre restriktiv än tidigare med att tillåta andra än myndigheter att behandla uppgifter om lagöverträdelser, men efterlyser mer vägledning för när det kan vara motiverat. Sveriges akademikers centralorganisation och Sveriges Ingen- jörer anser att beslut som tillåter behandling av personuppgifter i enskilda fall bör meddelas mycket restriktivt. Riksidrottsförbundet påtalar idrottsrörelsens behov av att behandla personuppgifter som rör lagöverträdelser, bl.a. för att motverka dopning och matchfixning. Flera remissinstanser som företräder näringslivet, bl.a. Svensk Handel, Teknik- företagen och Svenskt Näringsliv, anser att det ska vara tillåtet att behandla personuppgifter som rör lagöverträdelser när detta krävs enligt utländska regelverk, bl.a. vid handel med tredjeland. Några av dessa, samt Svensk Försäkring och Sveriges advokatsamfund, ifrågasätter utred- ningens bedömning av i vilken mån misstanke om brott innefattas i begreppet överträdelser. Dataskydd.net anser att bestämmelsen bör ange att de myndigheter som regeringen bestämmer får behandla person- uppgifter som rör lagöverträdelser och att dessa myndigheter får medge andra än myndigheter att behandla sådana uppgifter i vissa specifika fall.

Skälen för regeringens förslag

Fällande domar i brottmål samt överträdelser

Uppgifter som rör lagöverträdelser tillhör inte de särskilda kategorier av personuppgifter som omfattas av förbudet mot behandling i artikel 9 i dataskyddsförordningen, men anses ändå vara en kategori personupp- gifter som förtjänar särskilt skydd. Enligt artikel 10 får behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder utföras endast under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet.

97

Prop. 2017/18:105 Artikel 10 i dataskyddsförordningen motsvarar artikel 8.5 i dataskydds- direktivet, som har genomförts i svensk rätt genom 21 § PUL. Tillämp- ningsområdet för förordningens bestämmelse är dock något mer begränsad. Vid en jämförelse med andra språkversioner tycks begreppet överträdelser i artikel 10 inte avse vilka överträdelser som helst, utan endast sådana som utgör en brottslig gärning. Begreppet överträdelser kan därför anses som likvärdigt med det snävare uttryck som används i personuppgiftslagen, dvs. lagöverträdelser som innefattar brott. Justitie- departementet har mot denna bakgrund lämnat in en begäran om korrigering av den svenska språkversionen av dataskyddsförordningen (Ju2016/00482/L6).

En betydande skillnad jämfört med direktivet är att artikel 10 i förordningen inte ger medlemsstaterna någon möjlighet att på denna grund begränsa behandlingen av personuppgifter om administrativa sank- tioner och avgöranden i tvistemål. Uppgifter om administrativa frihets- berövanden omfattas således inte av någon särskild reglering enligt dataskyddsförordningen, om de inte utgör känsliga personuppgifter enligt artikel 9.1, exempelvis om de också avslöjar uppgifter om etniskt ursprung eller psykisk ohälsa.

Begreppet säkerhetsåtgärder bedömdes vid genomförandet av data- skyddsdirektivet som likvärdigt med straffprocessuella tvångsmedel. Denna bedömning framstår som rimlig även i förhållande till begreppet därmed sammanhängande säkerhetsåtgärder, som används i dataskydds- förordningen.

Särskilt om misstanke om brott

Frågan om i vilken utsträckning brottsmisstankar omfattas av begreppet lagöverträdelser som innefattar brott har varit föremål för diskussion. Datalagskommittén menade att en uppgift om att någon har eller kan ha begått stöld otvivelaktigt utgör en uppgift om lagöverträdelse, även om det inte finns någon dom beträffande brottet. Uppgifter om faktiska iakttagelser om en persons handlande kunde dock enligt Datalagskom- mittén inte rimligen anses som uppgifter om lagöverträdelser i alla de fall handlandet kan innebära en lagöverträdelse (SOU 1997:39 s. 380). Högsta förvaltningsdomstolen har i det s.k. TankStopp-målet (HFD 2016 ref. 8) uttalat att registrering av uppgifter om fordon som förekommit i samband med obetalda tankningar ska anses innefatta en behandling av personuppgifter om lagöverträdelser som innefattar brott i den mening som avses i personuppgiftslagen. Utredningen har mot denna bakgrund, i avsaknad av klargörande EU-rättslig praxis, bedömt att misstankar om brott bör omfattas av artikel 10 i dataskyddsförordningen i samma utsträckning som de gör enligt personuppgiftslagen. Flera remiss- instanser invänder mot denna bedömning och anser att den saknar stöd i dataskyddsförordningen. Svensk Handel konstaterar bl.a. att kamera- bevakning skulle bli omöjlig och helt utan verkan för det fall det alltid skulle vara förbjudet för andra än myndigheter att behandla person- uppgifter som innefattar misstanke om brott. Svensk Handel menar att det inte kan vara avsikten med vare sig dataskyddsförordningen, data- skyddslagen eller kamerabevakningslagen.

98

Prop. 2017/18:105	Enligt regeringens mening är det inte lämpligt att i dataskyddslagen
	ange vilka skyddsåtgärder som bör finnas vid behandling av uppgifter
	om lagöverträdelser. I stället bör detta övervägas i särskild ordning där
	behovet kan analyseras särskilt från fall till fall. Regeringen föreslår
	därför i likhet med utredningen att regeringen eller den myndighet
	regeringen bestämmer ska ges befogenhet att meddela föreskrifter som
	tillåter andra än myndigheter att behandla personuppgifter som rör lag-
	överträdelser. Regeringen har för avsikt att, som utredningen föreslår,
	vidaredelegera denna normgivningskompetens till tillsynsmyndigheten.
	Eftersom dataskyddslagen föreslås vara subsidiär i förhållande till
	andra lagar och förordningar, kommer det även i fortsättningen att finnas
	utrymme för särreglering som tillåter behandling av personuppgifter som
	rör lagöverträdelser, t.ex. av sådant slag som i dag finns i lagen (2015:51)
	om register över tillträdesförbud vid idrottsarrangemang. Det bör dock
	noteras att det inte krävs en uttrycklig undantagsreglering för att behand-
	ling av uppgifter som rör lagöverträdelser ska vara tillåten. Således är det
	tillåtet att behandla sådana personuppgifter om det krävs för att t.ex.
	uppfylla en editionsplikt eller ett informationsföreläggande som med-
	delats av domstol med stöd av lag.
	Som utredningen föreslår bör den myndighet som regeringen bestäm-
	mer även ges befogenhet att i enskilda fall besluta att andra än myndig-
	heter får behandla uppgifter om lagöverträdelser. Regeringen har för
	avsikt att peka ut tillsynsmyndigheten som ansvarig för den uppgiften.
	Enligt regeringens bedömning kan kravet på lämpliga skyddsåtgärder i
	artikel 10 i princip vara uppfyllt genom den tillståndsprövning som före-
	går sådana beslut i enskilda fall. Besluten kan dock vid behov även
	förenas med villkor såsom återkallelseförbehåll, tidsbegränsningar eller
	krav på återrapportering samt krav på att den personuppgiftsansvarige
	ska vidta vissa åtgärder till skydd för de registrerades rättigheter och
	friheter.
	Utöver kravet på lämpliga skyddsåtgärder ställer dataskyddsförord-
	ningen inte upp några begränsningar i fråga om medlemsstaternas
	möjlighet att i sin nationella rätt tillåta andra än myndigheter att behandla
	personuppgifter som rör lagöverträdelser. Detta innebär att utrymmet för
	att tillåta sådan behandling genom föreskrifter och beslut i enskilda fall
	blir större än enligt personuppgiftslagen, eftersom denna utgår från att
	behandlingen är förbjuden. Tillsynsmyndighetens utrymme att avslå en
	begäran om tillstånd torde i princip vara begränsat till de fall där behand-
	lingen skulle vara oförenlig med dataskyddsförordningen i övrigt, i
	synnerhet principerna i artikel 5 och kravet på rättslig grund i artikel 6. I
	annat fall bör tillstånd beviljas, men vid behov förenas med krav på
	lämpliga skyddsåtgärder för de registrerades rättigheter och friheter.
	Flera remissinstanser, bl.a. Svensk Handel, Teknikföretagen och
	Svenskt Näringsliv, påtalar att svenska exportföretag måste behandla
	vissa uppgifter som rör lagöverträdelser på grund av att utländska
	regelverk ställer krav på kontroll mot vissa sanktions- eller spärrlistor.
	De ger uttryck för en oro för att Sverige ska inta en mer restriktiv håll-
	ning än vad dataskyddsförordningen kräver, vilket skulle försämra
	möjligheterna för svenska företag att konkurrera på en internationell
	marknad. Det är regeringens uppfattning att svenska företag inte ska ges
100	sämre möjligheter att behandla uppgifter som rör lagöverträdelser än

företag i andra länder. Regeringen kan också konstatera att det typiskt Prop. 2017/18:105 sett bör vara möjligt för svenska exportföretag att få tillstånd att behandla

sådana uppgifter i den mån detta krävs för sådan kontroll mot sanktions- och spärrlistor som är nödvändig för export till vissa länder. Detta bör i vart fall gälla om dessa listor är fastställda i demokratisk ordning och allmänt tillgängliga.

Några remissinstanser pekar på att systemet med särskilda beslut i enskilda fall är betungande för både tillsynsmyndigheten och företagen, varför föreskrifter som tillåter nödvändig behandling är att föredra. Med anledning av denna synpunkt vill regeringen understryka att det, t.ex. i fråga om vissa viktigare spärr- och sanktionslistor, kan finnas anledning för tillsynsmyndigheten att använda möjligheten att meddela föreskrifter. Detta kan minska den administrativa bördan både för företagen och för tillsynsmyndigheten själv.

I detta sammanhang bör även nämnas att behovet av särskilda föreskrifter eller beslut i enskilda fall också torde öka som en följd av att den så kallade missbruksregeln i 5 a § PUL saknar motsvarighet i data- skyddsförordningen.

12	Personnummer och samordningsnummer
Regeringens förslag: Personnummer och samordningsnummer får
behandlas utan samtycke endast när det är klart motiverat med hänsyn
till ändamålet med behandlingen, vikten av en säker identifiering eller
något annat beaktansvärt skäl.
Regeringen får meddela ytterligare föreskrifter om behandling av
personnummer och samordningsnummer.
Utredningens förslag överensstämmer med regeringens.
Remissinstanserna: Det stora flertalet tillstyrker förslaget eller har
inga synpunkter på det. Kammarrätten i Göteborg konstaterar att 22 §
PUL inte behöver tillämpas vid sådan behandling av personuppgifter i
ostrukturerat material som avses i 5 a § PUL och efterfrågar över-
väganden om det är ett undantag som fortsatt bör gälla avseende person-
nummer och samordningsnummer. Dataskydd.net anser att uppgifter om
personnummer eller samordningsnummer ska få behandlas utan sam-
tycke endast när det är klart motiverat med hänsyn till ändamålet med
behandlingen samt att tillsynsmyndigheten bör bemyndigas att meddela
föreskrifter.
Skälen för regeringens förslag: Personnummer och samordnings-
nummer utgör inte känsliga personuppgifter i dataskyddsförordningens
mening, men har ändå getts en särställning genom att medlemsstaterna
getts möjlighet att införa särskilda villkor för behandlingen (artikel 87).
Villkoren ska i sådana fall säkerställa att identifikationsuppgifterna bara
får användas med iakttagande av lämpliga skyddsåtgärder för de
registrerades fri- och rättigheter. Något uttryckligt krav på skydds-
åtgärder finns inte enligt dataskyddsdirektivet. Förordningens bestäm-
melse överensstämmer i övrigt med artikel 8.7 i dataskyddsdirektivet,		101

Prop. 2017/18:105 som har genomförts i 22 § PUL. De villkor som uppställs i 22 § PUL innebär att uppgifter om personnummer och samordningsnummer får behandlas utan samtycke bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.

Regleringen i 22 § PUL ger uttryck för att behandlingen av person- nummer och samordningsnummer bör vara restriktiv och föregås av en intresseavvägning mellan behovet av behandlingen och de integritets- risker som den innebär. Bestämmelsen ligger väl i linje också med för- ordningens intentioner och är enligt regeringens mening flexibel och väl avpassad för att förhindra omotiverad behandling av personnummer och samordningsnummer. Regeringen anser därför, till skillnad från Data- skydd.net, att en bestämmelse som i sin helhet motsvarar 22 § PUL bör införas i dataskyddslagen.

I 50 § c PUL anges att regeringen eller den myndighet som regeringen bestämmer, dvs. Datainspektionen enligt 16 § PUF, får meddela närmare föreskrifter om i vilka fall användning av personnummer är tillåten. Några sådana föreskrifter har inte meddelats av Datainspektionen. Det är däremot relativt vanligt med sektorsspecifika förordningsbestämmelser om behandling av personnummer och samordningsnummer. Det kommer även fortsättningsvis att finnas behov för regeringen att meddela sådana föreskrifter. Det saknas dock skäl för regeringen att i detta lagstiftnings- ärende ta ställning till om det finns ett sådant behov när det gäller den typ av ostrukturerad behandling som Kammarrätten i Göteborg nämner.

Som utredningen föreslår bör det därför införas ett bemyndigande i dataskyddslagen som avser föreskrifter om personnummer och samord- ningsnummer. Eftersom Datainspektionen hittills inte har sett anledning att utnyttja möjligheten enligt 16 § PUF att meddela föreskrifter och något behov av sådan vidaredelegation inte har framkommit, föreslås däremot ingen sådan möjlighet.

En bestämmelse om behandling av personnummer och samordnings- nummer kan, oavsett om den tas in direkt i sektorsspecifik lag eller i förordning med stöd av bemyndigandet, tillåta behandling i andra fall än de som tillåts enligt den föreslagna bestämmelsen i dataskyddslagen. En avvikande bestämmelse måste dock leva upp till förordningens krav på lämpliga skyddsåtgärder för de registrerades fri- och rättigheter.

Sammanfattningsvis föreslår alltså regeringen att personnummer och samordningsnummer ska få behandlas utan samtycke endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Vidare föreslås att regeringen ska få meddela ytterligare föreskrifter om behandling av personnummer och samordningsnummer.

102

13	Begränsningar av vissa rättigheter och		Prop. 2017/18:105
	skyldigheter i dataskyddsförordningen
Regeringens förslag: Bestämmelserna i EU:s dataskyddsförordning
om information och rätt att få tillgång till personuppgifter gäller inte
uppgifter som den personuppgiftsansvarige inte får lämna ut till den
registrerade enligt lag eller annan författning eller enligt beslut som
meddelats med stöd av författning. Om den personuppgiftsansvarige
inte är en myndighet gäller undantaget för uppgifter som hos en
myndighet skulle ha varit sekretessbelagda enligt offentlighets- och
sekretesslagen.
Bestämmelsen i EU:s dataskyddsförordning om den registrerades
rätt till tillgång till personuppgifter m.m. gäller inte personuppgifter i
löpande text som utgör utkast eller minnesanteckning eller liknande.
Undantaget gäller dock inte om uppgifterna har lämnats ut till tredje
part, om uppgifterna behandlas enbart för arkivändamål av allmänt
intresse eller för statistiska ändamål eller om de har behandlats under
längre tid än ett år i löpande text som inte har fått sin slutliga
utformning.
Regeringen får meddela ytterligare föreskrifter om begränsningar
enligt EU:s dataskyddsförordning.
Regeringens bedömning: Rätten att göra invändningar mot
myndigheters behandling av personuppgifter bör inte begränsas
genom ett undantag i dataskyddslagen. Sådana begränsningar bör i
stället vid behov övervägas på sektorspecifik nivå.
Utredningens förslag och bedömning överensstämmer i huvudsak
med regeringens. I utredningens förslag till bemyndigande nämns inte
artikel 89.2–3 i dataskyddsförordningen i författningstexten.
Remissinstanserna: Det stora flertalet remissinstanser tillstyrker
utredningens förslag och instämmer i dess bedömning eller har inga
synpunkter på dem. Enligt Kronofogdemyndigheten utgör de föreslagna
bestämmelserna om undantag från informationsskyldigheten nödvändiga
anpassningar till tryckfrihetsförordningens och offentlighets- och
sekretesslagens bestämmelser. Pensionsmyndigheten anser att det bör
förtydligas på vilken grund i artikel 23.1 som den registrerades
rättigheter	begränsas.	Riksrevisionen bedömer att undantagen i
artikel 14.5 b och c är tillämpliga i granskningsverksamheten, men anser
att det vore önskvärt med ett förtydligande, t.ex. en bestämmelse som
särskilt reglerar möjligheten för myndigheter som bedriver granskning
och tillsyn att göra undantag från informationsskyldigheten. Svenska
bankföreningen anser att den registrerades rätt till dataportabilitet inte
ska gälla i fråga om uppgifter som hos en myndighet skulle ha varit
sekretessbelagda enligt offentlighets- och sekretesslagen. Förvaltnings-
rätten i Stockholm kan se problem med att effektuera en begäran om
information som ska		lämnas enligt artikel 14, dvs. information om
personuppgifter som inte har erhållits från den registrerade, och som
behandlas i löpande text. Länsstyrelsen i Kronobergs län ifrågasätter
utredningens förslag om att utkast till allmänna handlingar ska kunna
lämnas ut om de varit utkast i mer än ett år. Även Svensk Försäkring			103

Prop. 2017/18:105 anser att tidsgränsen på ett år ska förlängas. Srf konsulternas förbund anser att vad som kan anses vara minnesanteckningar och när en text är färdigställd kan bli svårdefinierat. Kammarrätten i Göteborg håller med om att den registrerades rätt att göra invändningar inte bör begränsas, men efterfrågar exempel på vad som kan utgöra tvingande berättigade skäl som kan anses väga tyngre än den registrerades intressen. Försvarsmakten anser däremot att undantag ska meddelas avseende den registrerades rätt att göra invändningar. Centrala studiestödsnämnden har förståelse för att utredningen inte bedömer det lämpligt att föreslå en generell inskränkning av rätten att invända, men påpekar att hanteringen mycket väl kan bli administrativt resurskrävande. Post- och telestyrelsen och Konkurrensverket noterar att utredningen inte uttryckligen berör frågan om invändningsrätt vid myndighetsutövning. Malmö kommun anser att det noga bör övervägas om det finns behov att införa ett generellt undantag från rätten att göra invändningar i dataskyddslagen särskilt när det gäller myndigheter, men förstår varför utredningen anser att sådana undantag bör övervägas på sektorspecifik nivå. Svensk Försäkring anser att bemyndigandet att meddela ytterligare begräns- ningar ska kunna vidaredelegeras till Datainspektionen, då ett sådant förfarande skulle göra regleringen mer flexibel. Dataskydd.net tillstyrker undantag från artikel 15 på grund av sekretess, men avstyrker förslagen i övrigt. Dataskydd.net anför att undantag för löptext saknar stöd i dataskyddsförordningen, som är teknikneutral och inte ska avgränsas till

	sökbara register.
	Skälen för regeringens förslag och bedömning
	Regleringen i förordningen
	I dataskyddsförordningen har den registrerades rättigheter förstärkts i
	syfte att ge den registrerade ökad kontroll över sina personuppgifter.
	Den information som ska tillhandahållas den registrerade har precise-
	rats och utvidgats och det anges uttryckligen att den personuppgifts-
	ansvarige ska tillhandahålla informationen i en begriplig och lättill-
	gänglig form. Den personuppgiftsansvariges skyldighet att självmant till-
	handahålla den registrerade information om behandlingen av personupp-
	gifter anges i artiklarna 13 och 14. Den registrerade har vidare enligt
	artikel 15 rätt att på begäran få tillgång till de personuppgifter som
	behandlas och viss information.
	Enligt artikel 16 har den registrerade rätt att på begäran få felaktiga
	personuppgifter rättade. Förutsättningarna för att den registrerade ska få
	sina personuppgifter raderade anges i artikel 17 (rätten att bli bortglömd).
	Vidare anges i artikel 18 att den registrerade under vissa omständigheter
	har rätt att kräva att behandlingen begränsas.
	Förordningen innehåller i artikel 20 en bestämmelse som ger den
	registrerade rätt att få åtkomst till sina personuppgifter i syfte att föra
	över dem till en annan leverantör av elektroniska tjänster, s.k. dataporta-
	bilitet, om behandlingen grundar sig på den registrerades samtycke eller
	avtal med denne.
	Enligt artikel 21 har den registrerade rätt att göra invändningar mot
	behandling av personuppgifter som grundar sig på artikel 6.1 e eller f,
104	dvs. som sker för att utföra en uppgift av allmänt intresse, i myndig-

Prop. 2017/18:105 behandling av personuppgifter inte bör inskränkas på ett generellt plan genom ett undantag i dataskyddslagen. Sådana undantag bör i stället övervägas på sektorspecifik nivå.

Med anledning av Kammarrätten i Göteborgs synpunkter bör fram- hållas att en myndighet som kan visa att behandling av personuppgifter är nödvändig som ett led i myndighetsutövning eller för att utföra en uppgift av allmänt intresse typiskt sett bör anses ha påvisat sådana tvingande berättigade skäl som kan anses väga tyngre än den regist- rerades intressen.

Sekretess och tystnadsplikt ska gå före informationsplikten och rätten till tillgång

Om personuppgifter som rör en registrerad person samlas in från den registrerade, ska den personuppgiftsansvarige enligt artikel 13 självmant lämna viss information till den registrerade, bl.a. om ändamålen med och den rättsliga grunden för behandlingen. Den personuppgiftsansvariges skyldighet att förse den registrerade med sådan information i de fall personuppgifterna inte har erhållits från den registrerade anges i artikel 14.

I artikel 14.5 föreskrivs flera undantag från bestämmelserna om den registrerades rätt till information när personuppgifter inte har erhållits från den registrerade. Enligt artikel 14.5 b ska dessa bestämmelser inte tillämpas i den mån tillhandahållandet av sådan information visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning. Enligt artikel 14.5 c ska bestämmelserna inte heller tillämpas om erhållande eller utlämnande av uppgifter uttryckligen föreskrivs genom unionsrätten eller genom en medlemsstats nationella rätt som den registrerade om- fattas av och som fastställer lämpliga åtgärder för att skydda den registre- rades berättigade intressen. Detta innebär bl.a. att en tillsynsmyndighet som regel inte behöver informera den registrerade om behandlingen av sådana personuppgifter som myndigheten erhållit som en följd av en reglerad uppgiftsskyldighet. Undantagen i artikel 14.5 är direkt tillämp- liga och behöver inte, som Riksrevisionen förordar, upprepas eller förtydligas i dataskyddslagen.

I 27 § PUL anges att bestämmelserna i 23–26 §§ om den registrerades rätt till information inte gäller i den utsträckning det är särskilt före- skrivet i lag eller annan författning eller annars framgår av beslut som har meddelats med stöd av författning att uppgifter inte får lämnas ut till den registrerade. En personuppgiftsansvarig som inte är en myndighet får därvid i motsvarande fall som avses i offentlighets- och sekretesslagen vägra att lämna ut uppgifter till den registrerade. Frågan är om mot- svarande undantag bör tas in i dataskyddslagen.

I artikel 14.5 d i dataskyddsförordningen anges att den personuppgifts- ansvariges informationsplikt när personuppgifter inte har erhållits från den registrerade inte ska tillämpas om personuppgifterna måste förbli konfidentiella till följd av tystnadsplikt enligt unionsrätt eller nationell rätt, inbegripet lagstadgade sekretessförpliktelser. I artikel 15.4 anges endast att den registrerades rätt till tillgång inte ska inverka menligt på andras friheter och rättigheter.

106

Prop. 2017/18:105	dataskyddsdirektivet om rätten till tillgång. Rätten till tillgång innebär
	enligt EU-domstolen inte en rätt att få del av den handling där person-
	uppgifterna förekommer, se dom YS mot Minister voor Immigratie, C-
	141/12, EU:C:2014:2081, punkt 58. I dataskyddsförordningen regleras
	rätten till tillgång i artikel 15 i dataskyddsförordningen. Denna rätt ska
	enligt artikel 15.4 inte inverka menligt på andra rättigheter och friheter.
	I 26 § tredje stycket PUL föreskrivs undantag från rätten till tillgång.
	Enligt bestämmelsen behöver s.k. registerutdrag enligt 26 § första stycket
	inte lämnas om personuppgifter i löpande text som inte fått sin slutliga
	utformning när ansökan gjordes eller som utgör minnesanteckning eller
	liknande. Undantaget gäller dock inte om uppgifterna har lämnats ut till
	tredje man eller om uppgifterna behandlas enbart för historiska, statis-
	tiska eller vetenskapliga ändamål eller, när det gäller löpande text som
	inte fått sin slutliga utformning, om uppgifterna har behandlats under
	längre tid än ett år.
	I förarbetena till detta undantag anges, bl.a. med hänvisning till
	regleringen i 2 kap. TF, att det på såväl den offentliga som den privata
	sidan finns goda skäl för en ordning som innebär att ofärdiga alster,
	minnesanteckningar och liknande inte behöver lämnas ut
	(prop. 1997/98:44 s. 83–84). Att under en rimlig tid få ha sina ofärdiga
	alster och minnesanteckningar i fred kan enligt förarbetena anses som en
	sådan fri- och rättighet som enligt artikel 13.1 i dataskyddsdirektivet
	berättigar till en begränsning av informationsskyldigheten. Av för-
	arbetena framgår vidare att om uppgifterna behandlats under så lång tid
	som ett år utan att texten färdigställts, kan dock den registrerades intresse
	av att få ta del av sina uppgifter anses väga tyngre än den personuppgifts-
	ansvariges intresse av att utan insyn få ytterligare fördröja
	färdigställandet av texten.
	Detta resonemang är enligt regeringens mening fortfarande relevant. I
	förhållande till myndigheter behövs ett sådant undantag för att säkerställa
	de mål av allmänt intresse som det ankommer på myndigheter att värna.
	Dessa intressen utgör grund för undantag från de registrerades rättig-
	heter, särskilt enligt artikel 23.1 e, f och h. I förhållande till den privata
	sektorn är undantaget nödvändigt bl.a. för att skydda enskildas fri- och
	rättigheter, vilket är en tillåten grund för undantag enligt artikel 23.1 i.
	Undantaget respekterar andemeningen i de grundläggande rättigheterna
	och friheterna och utgör en nödvändig och proportionell åtgärd i ett
	demokratiskt samhälle.
	Regeringen anser att det befintliga undantaget i 26 § tredje stycket
	PUL fyller sitt syfte och fungerar väl. Till skillnad från Dataskydd.net
	anser regeringen att detta även gäller avgränsningen till löpande text. Det
	bör därför i dataskyddslagen tas in en bestämmelse som på motsvarande
	sätt gör undantag från rätten till tillgång enligt artikel 15 i dataskydds-
	förordningen avseende personuppgifter i löpande text som inte fått sin
	slutliga utformning när ansökan gjordes eller som utgör minnesanteck-
	ning eller liknande. Undantaget bör i likhet med gällande rätt inte gälla
	om uppgifterna har lämnats ut till tredje part eller om uppgifterna
	behandlas enbart för arkivändamål av allmänt intresse eller för statistiska
	ändamål eller, när det gäller löpande text som inte fått sin slutliga
	utformning, om uppgifterna har behandlats under längre tid än ett år.
108	Länsstyrelsen i Kronobergs län uppfattar förslaget som att t.ex. utkast till

beslut ska lämnas ut efter ett år. Regeringen vill dock i det samman- Prop. 2017/18:105 hanget betona att artikel 15 i dataskyddsförordningen inte ger den regist-

rerade någon rätt att ta del av den handling där uppgifter om honom eller henne förekommer. Själva utkastet behöver således inte lämnas ut. Däre- mot ska den registrerade, på begäran, få tillgång till uppgifterna i hand- lingen och den information som anges i artikel 15, om behandlingen har pågått under längre tid än ett år. Regeringen anser inte att det fram- kommit skäl att förlänga denna tid, på det sätt som bl.a. Svensk Försäkring föreslår. Skulle ett sådant behov föreligga på ett visst område bör det regleras särskilt.

Regeringen ska få meddela ytterligare föreskrifter

Ytterligare undantag kan komma att behöva föreskrivas med stöd av artikel 23 i dataskyddsförordningen. Det kommer också att finnas behov av sådana undantag från de registrerades rättigheter som kan föreskrivas med stöd av artikel 89.2–3. Mot denna bakgrund bör det införas ett bemyndigande i dataskyddslagen som i sak motsvarar det bemyndigande som finns i 8 a § PUL. Regeringen anser, till skillnad från Svensk Försäkring, att det saknas skäl att införa en möjlighet att vidaredelegera rätten att meddela sådana föreskrifter till Datainspektionen.

14 Arkiv och statistik

14.1Arkivändamål av allmänt intresse

14.1.1Föreskrifter om arkiv ger stöd för behandling av personuppgifter

Regeringens bedömning: Myndigheter och andra som omfattas av föreskrifter om arkiv har enligt gällande rätt rättslig grund för behand- ling av personuppgifter för arkivändamål av allmänt intresse.

Vidarebehandling av personuppgifter för arkivändamål av allmänt intresse ska enligt EU:s dataskyddsförordning inte anses vara ofören- lig med de ursprungliga ändamålen. Någon rättslig grund behöver inte fastställas för sådan vidarebehandling.

Utredningens bedömning överensstämmer med regeringens. Remissinstanserna: Det stora flertalet remissinstanser instämmer i

utredningens bedömning eller kommenterar den inte. Enligt Riksarkivet ryms myndigheternas arkivering inom det ändamål för vilket uppgifterna ursprungligen samlas in. Riksarkivet anser därför att begreppet arkiv- ändamål av allmänt intresse bör reserveras för den behandling som sker hos arkivinstitutioner. Svenska kyrkan påpekar att utredningen inte har behandlat frågan om huruvida Svenska kyrkans arkivändamål ska anses vara arkivändamål av allmänt intresse. Statens skolverk anger att även kommunala arkivmyndigheter tar över och förvarar enskilda arkiv. Skol- verket anser att även denna verksamhet bör regleras.

109