Brottsdatalag

Delbetänkande av Utredningen om 2016 års dataskyddsdirektiv

Stockholm 2017

SOU 2017:29

SOU och Ds kan köpas från Wolters Kluwers kundservice. Beställningsadress: Wolters Kluwers kundservice, 106 47 Stockholm Ordertelefon: 08-598 191 90

E-post: kundservice@wolterskluwer.se

Webbplats: wolterskluwer.se/offentligapublikationer

För remissutsändningar av SOU och Ds svarar Wolters Kluwer Sverige AB på uppdrag av Regeringskansliets förvaltningsavdelning.

Svara på remiss – hur och varför

Statsrådsberedningen, SB PM 2003:2 (reviderad 2009-05-02).

En kort handledning för dem som ska svara på remiss.

Häftet är gratis och kan laddas ner som pdf från eller beställas på regeringen.se/remisser

Layout: Kommittéservice, Regeringskansliet

Omslag: Elanders Sverige AB

Tryck: Elanders Sverige AB, Stockholm 2017

ISBN 978-91-38-24590-3

ISSN 0375-250X

Till statsrådet Anders Ygeman

Den 17 mars 2016 bemyndigade regeringen statsrådet Ygeman att tillkalla en särskild utredare med uppdrag att föreslå hur EU:s direktiv om skydd av personuppgifter vid brottsbekämpning, brottmålshantering och straffverkställighet ska genomföras i svensk rätt. Regeringen beslutade samtidigt om direktiv för utred- ningen (dir. 2016:21).

Till särskild utredare förordnades från och med den 1 april 2016 numera f.d. överåklagaren Gunnel Lindberg.

Utredningen har antagit namnet Utredningen om 2016 års data- skyddsdirektiv (Ju 2016:06).

Till sakkunniga att biträda utredningen förordnades från och med den 1 april 2016 rättssakkunniga vid Justitiedepartementet Anna Westin och kanslirådet vid Finansdepartementet Leena Mil- denberger. Till experter utsågs juristen vid Datainspektionen Cecilia Agnehall, verksjuristen vid Ekobrottsmyndigheten Eva Bergholm Guhnby, personuppgiftsombudet, tillika verksjuristen, vid Säkerhetspolisen Fredrik Berglund, verksjuristen vid Tullverket Pernilla Jäderberg, verksjuristen vid Polismyndigheten David Kum- mel, advokaten Conny Larsson, sektionschefen vid Kriminalvården Eric Leijonram, seniora föredraganden vid Säkerhets- och integri- tetsskyddsnämnden Lisa Lundin, it-utvecklingschefen vid Åklagar- myndigheten Stephan Uttersköld, dåvarande juristen vid Dom- stolsverket Jonna Wiborn, verksjuristen vid Kustbevakningen Peter Åkesson och rättsliga experten vid Skatteverket Maria Östgren.

Jonna Wiborn entledigades från sitt uppdrag den 31 augusti 2016 och bitr. enhetschefen Amanda Rörby utsågs i hennes ställe. Den 22 oktober 2016 entledigades Lisa Lundin från sitt uppdrag och juristen Fabian Holgersson utsågs i hennes ställe.

Ämnesrådet vid Justitiedepartementet Sofie Lindblom har varit huvudsekreterare i utredningen från och med den 1 april 2016. Sek-

reterare i utredningen har varit verksjuristen Malin Lundberg från och med den 1 april 2016, hovrättsassessorerna Karin Månsson och Anja Nordfeldt från och med den 1 maj 2016, hovrättsassessorn Karin Brandqvist Sundblad från och med den 16 maj 2016 och hov- rättsassessorn Maria Arnell från och med den 1 september 2016.

Härmed överlämnas betänkandet Brottsdatalag, SOU 2017:29. Till betänkandet har fogats särskilda yttranden av experterna David Kummel och Conny Larsson. Med undantag från vad som framgår där har de sakkunniga och experterna i huvudsak ställt sig bakom utredningens överväganden och förslag.

Stockholm i april 2017

Gunnel Lindberg

/ Sofie Lindblom

Maria Arnell

Karin Brandqvist Sundblad

Malin Lundberg

Karin Månsson

Anja Nordfeldt

Innehåll

Sammanfattning ................................................................

19

1

Författningsförslag.....................................................

29

1.1

Förslag till brottsdatalag (2018:000)......................................

29

1.2

Förslag till brottsdataförordning (2018:000)........................

57

1.3Förslag till lag om ändring i lagen (2000:562) om

internationell rättslig hjälp i brottmål....................................

70

1.4Förslag till lag om ändring i lagen (2000:1219) om

internationellt tullsamarbete ..................................................

71

1.5Förslag till lag om ändring i lagen (2003:1174) om vissa

former av internationellt samarbete i brottsutredningar......

72

1.6Förslag till lag om ändring i offentlighets- och

sekretesslagen (2009:400).......................................................

73

1.7Förslag till lag om ändring i lagen (2017:000) om

internationellt polisiärt samarbete .........................................

76

1.8 Förslag till förordning om ändring i

 

förordningen (2008:1396) om förenklat uppgiftsutbyte

 

mellan brottsbekämpande myndigheter i Europeiska

 

unionen....................................................................................

77

1.9Förslag till förordning om ändring i förordningen (2015:1052) om krisberedskap och

bevakningsansvariga myndigheters åtgärder vid höjd

 

beredskap.................................................................................

78

3

Innehåll

SOU 2017:29

2

Utredningens uppdrag och arbete................................

79

2.1

Utredningsuppdraget .............................................................

79

2.2

Genomförande av uppdraget .................................................

80

2.3

Avgränsningen av uppdraget..................................................

81

3

Dagens reglering av behandlingen av personuppgifter ....

83

3.1

Huvuddragen i dagens personuppgiftsreglering...................

83

 

3.1.1

Regeringsformen och Europakonventionen .........

83

 

3.1.2

Personuppgiftslagen................................................

84

3.1.3Personuppgiftslagens förhållande till annan

 

lagstiftning...............................................................

91

3.2 Särregler för brottsbekämpande verksamhet........................

91

3.2.1

Polisen......................................................................

91

3.2.2

Tullverket.................................................................

95

3.2.3

Kustbevakningen.....................................................

97

3.2.4

Skatteverket.............................................................

99

3.2.5

Åklagarväsendet ....................................................

101

3.2.6

Lagen om internationellt polisiärt samarbete......

102

3.2.7

Lagen om internationellt tullsamarbete...............

102

3.2.8Lagen om register över tillträdesförbud vid

 

idrottsarrangemang ...............................................

103

3.3 Särregler för lagföring ..........................................................

103

3.3.1

Åklagarväsendet ....................................................

103

3.3.2

Domstolsväsendet.................................................

106

3.3.3Register över ordningsbot och

strafföreläggande...................................................

107

3.4 Särregler för verkställighet av straff ....................................

109

3.4.1Särreglering bara för vissa former av

verkställighet .........................................................

109

3.4.2Verkställighet av fängelse, skyddstillsyn och

 

villkorlig dom med samhällstjänst........................

110

3.4.3

Verkställighet av bötesstraff.................................

112

3.4.4Verkställighet av rättspsykiatrisk vård, vård enligt socialtjänstlagen, ungdomsvård och

ungdomstjänst.......................................................

113

4

SOU 2017:29

Innehåll

3.4.5

Internationellt samarbete rörande

 

 

verkställighet av straffrättsliga påföljder..............

115

3.5Regler om personuppgiftsbehandling hos andra aktörer

än myndigheter .....................................................................

115

3.5.1Uppgifter om brottsbekämpning, lagföring

eller straffverkställighet.........................................

115

3.5.2Offentliga försvarare och annat juridiskt

 

 

biträde.....................................................................

116

 

3.5.3

Idrottsorganisationer.............................................

117

3.6

2013 års lag ............................................................................

117

4

Reformer på dataskyddsområdet ...............................

119

4.1

Gällande unionsrättsakter ....................................................

119

 

4.1.1

Rättighetsstadgan ..................................................

119

 

4.1.2

1995 års dataskyddsdirektiv ..................................

119

 

4.1.3

Dataskyddsrambeslutet.........................................

120

4.2

Europeiska unionens dataskyddsreform .............................

120

 

4.2.1

Två nya rättsliga instrument .................................

120

 

4.2.2

En dataskyddsförordning......................................

121

 

4.2.3

Ett nytt dataskyddsdirektiv ..................................

122

 

4.2.4

Viss personuppgiftsbehandling ligger utanför

 

 

 

båda instrumenten .................................................

123

4.3

Dataskyddskonventionen.....................................................

123

5

Det nya dataskyddsdirektivet ....................................

125

5.1

Allmänt om direktivet ..........................................................

125

5.2

Innehållet i direktivet............................................................

125

6

En ny ramlag...........................................................

137

6.1En ramlag för brottsbekämpning, lagföring och

straffverkställighet bör införas.............................................

137

6.1.1

En ny reglering behövs..........................................

137

6.1.2

En generellt tillämplig men subsidiär lag .............

139

6.1.3

Ramlagens syfte .....................................................

144

6.1.4

2013 års lag bör upphävas......................................

145

5

Innehåll

SOU 2017:29

6.2

Uttryck i ramlagen ...............................................................

146

6.3

Dataskyddsbestämmelser i tidigare rättsakter och avtal ....

154

7

Ramlagens tillämpningsområde.................................

159

7.1

Utformningen av tillämpningsområdet ..............................

159

 

7.1.1

Personuppgiftsbehandling som behöriga

 

 

 

myndigheter utför för vissa syften.......................

159

7.1.2Personuppgiftsbehandling som rör

brottsbekämpning, lagföring och

 

straffverkställighet ................................................

161

7.1.3Personuppgiftsbehandling som rör allmän

 

ordning och säkerhet ............................................

164

7.1.4

Vad är en behörig myndighet? .............................

169

7.1.5Arbetsuppgifterna är avgörande för när en

 

myndighet är behörig............................................

171

7.1.6

Helt eller delvis automatiserad behandling .........

173

7.2 Undantag från tillämpningsområdet ...................................

174

7.2.1Personuppgiftsbehandling som rör nationell

säkerhet..................................................................

174

7.2.2Den gemensamma utrikes- och

säkerhetspolitiken .................................................

178

7.3Förhållandet till offentlighetsprincipen och till tryck-

 

och yttrandefriheten.............................................................

179

8

Gränsdragningsfrågor som rör tillämpningsområdet .....

181

8.1

Några allmänna principer för gränsdragningen ..................

181

8.2

Gränsdragningsfrågor som rör brottsbekämpning.............

185

 

8.2.1

Anmälan om brott.................................................

185

 

8.2.2

Användning av straffprocessuella tvångsmedel...

187

8.2.3Utredning av brott som begåtts av någon

under 15 år.............................................................

188

8.2.4Stödverksamhet till den brottsbekämpande

 

verksamheten.........................................................

189

8.2.5

Häktesverksamhet.................................................

191

8.2.6

Handräcknings- och transportverksamhet..........

193

8.2.7

Samverkan mot organiserad brottslighet.............

195

6

SOU 2017:29

 

Innehåll

8.2.8

Viss skyddslagstiftning..........................................

196

8.2.9Omhändertagande och förstörande av alkohol

och narkotika m.m.................................................

197

8.2.10Kontrollverksamhet eller brottsbekämpning?..... 198

8.2.11Allmän övervakning eller brottsbekämpning?..... 203

8.3 Gränsdragningsfrågor som rör lagföring.............................

206

8.3.1

Åklagaruppgifter....................................................

206

8.3.2

Brottmålshantering i domstol...............................

207

8.3.3

Särskild talan i brottmål ........................................

208

8.3.4

Talan om förbud i vissa fall ...................................

211

8.3.5

Personutredning i brottmål...................................

214

8.3.6

Behandling av uppgifter om lagöverträdelser ......

215

8.4Gränsdragningsfrågor som rör verkställighet av

påföljder

.................................................................................

217

8.4.1 .............................

Verkställighet av fängelsestraff

217

8.4.2 .................

Verkställighet av sluten ungdomsvård

221

8.4.3 ........................

Verkställighet av frivårdspåföljder

221

8.4.4 .................................

Verkställighet av bötesstraff

222

8.4.5 ......

Verkställighet av påföljder som innebär vård

224

8.4.6Domstolsprövning av vissa

verkställighetsfrågor..............................................

225

8.5Gränsdragningsfrågor som rör upprätthållande av

allmän ordning och säkerhet ................................................

227

8.5.1

Tvångsingripanden vid ordningsstörningar .........

227

8.5.2

Tillträdesförbud vid idrottsarrangemang .............

228

8.5.3

Militärpolisen.........................................................

229

8.5.4Ordningsvakter och andra med likartade

 

 

uppgifter.................................................................

230

 

8.5.5

Lagstiftning av i huvudsak social karaktär ...........

232

9

Principer för behandling av personuppgifter ...............

235

9.1Behandling för ändamål inom ramlagens

tillämpningsområde ..............................................................

235

9.1.1Förutsättningarna för att få behandla

 

personuppgifter .....................................................

235

9.1.2

Rättslig grund för behandling – huvudregeln ......

236

7

Innehåll

SOU 2017:29

9.1.3Rättslig grund i undantagsfall för diarieföring

och handläggning ..................................................

239

9.1.4Skillnad mellan bestämmelser om rättslig grund för behandling och

ändamålsbestämmelser..........................................

240

9.1.5Behandling bara för särskilda, uttryckligt

 

angivna och berättigade ändamål..........................

242

9.1.6

Behandling för nya ändamål .................................

246

9.1.7Behandling för vetenskapliga, statistiska och

historiska ändamål.................................................

253

9.2 Grundläggande krav på behandlingen .................................

254

9.2.1Ingen generell bestämmelse om

grundläggande principer .......................................

254

9.2.2Personuppgifter ska vara korrekta och

adekvata .................................................................

257

9.2.3Olika typer av personuppgifter ska skiljas från

 

varandra..................................................................

260

9.2.4

Känsliga personuppgifter......................................

263

9.2.5Inga ytterligare regler om vilka

 

 

personuppgifter som får behandlas......................

276

 

9.2.6

Åtgärder för att säkerställa

 

 

 

personuppgifternas kvalitet ..................................

278

9.3

Längsta tid som personuppgifter får behandlas..................

282

 

9.3.1

Terminologin bör renodlas...................................

282

 

9.3.2

Hur länge får personuppgifter behandlas? ..........

284

9.4

Automatiserade beslut..........................................................

287

9.5

Användningsbegränsning.....................................................

288

9.6Behandling för ändamål utanför ramlagens

 

tillämpningsområde..............................................................

291

10

Personuppgiftsansvarigas skyldigheter .......................

297

10.1

Vad innebär personuppgiftsansvar?.....................................

297

 

10.1.1

Definition av personuppgiftsansvarig..................

297

 

10.1.2

Personuppgiftsansvarets omfattning ...................

298

8

SOU 2017:29 Innehåll

10.2 Skyldigheten att säkerställa författningsenlig

 

 

behandling .............................................................................

300

 

10.2.1 Tekniska och organisatoriska åtgärder.................

300

 

10.2.2

Loggning ................................................................

305

 

10.2.3

Tillgången till personuppgifter .............................

311

 

10.2.4

Konsekvensbedömning.........................................

313

 

10.2.5

Förhandssamråd med tillsynsmyndigheten .........

314

 

10.2.6

Samarbete med tillsynsmyndigheten....................

318

 

10.2.7 Skyldighet att förteckna behandlingar .................

319

 

10.2.8

Anmälan av överträdelser......................................

323

10.3

Säkerheten för personuppgifter ...........................................

325

10.4

Personuppgiftsincidenter .....................................................

328

 

10.4.1 Vad är en personuppgiftsincident?.......................

328

 

10.4.2

Anmälan till tillsynsmyndigheten ........................

330

 

10.4.3 Underrättelse till den registrerade........................

334

10.4.4Dokumentations- och underrättelseskyldighet... 338

10.5

Dataskyddsombud ................................................................

339

 

10.5.1

Definition av dataskyddsombud...........................

339

 

10.5.2

Krav på dataskyddsombud....................................

340

 

10.5.3

Dataskyddsombudens arbetsuppgifter.................

344

10.6

Personuppgiftsbiträden ........................................................

348

 

10.6.1

Definition av personuppgiftsbiträde ....................

348

 

10.6.2

Anlitande av personuppgiftsbiträden ...................

349

 

10.6.3

Behandling enligt den

 

 

 

personuppgiftsansvariges instruktioner...............

354

 

10.6.4 Skyldighet att förteckna behandlingar .................

356

 

10.6.5

Övriga skyldigheter för

 

 

 

personuppgiftsbiträden .........................................

357

10.7

Gemensamt personuppgiftsansvar.......................................

359

 

10.7.1 Gemensamt personuppgiftsansvar i dag...............

359

 

10.7.2 En tydligare reglering av gemensamt

 

 

 

personuppgiftsansvar.............................................

361

10.8

Föreskriftsrätt .......................................................................

364

9

Innehåll

SOU 2017:29

11

Enskildas rättigheter ................................................

367

11.1

Tydligare reglering av enskildas rättigheter ........................

367

11.2

Rätten till information .........................................................

367

 

11.2.1 Allmänt om rätten till information......................

367

 

11.2.2 Reglerna om information i straffrättsliga

 

 

 

förfaranden har företräde......................................

370

 

11.2.3

Innehållet i direktivet............................................

371

 

11.2.4

Nuvarande reglering..............................................

372

 

11.2.5 Innebörden av artiklarna om information ...........

374

 

11.2.6 Allmän information som ska göras tillgänglig ....

377

 

11.2.7 Information som ska lämnas i specifika fall ........

378

 

11.2.8 Information som ska lämnas på begäran .............

381

 

11.2.9 Information om automatiserade beslut ...............

389

11.3

Begränsning av rätten till information ................................

390

 

11.3.1 Rätten till information får begränsas ...................

390

 

11.3.2

Kategorier av behandling ......................................

396

 

11.3.3 Ofärdig text och minnesanteckningar .................

397

11.3.4Orimliga eller uppenbart ogrundade

 

 

framställningar.......................................................

400

11.4

Rättelse, radering och begränsning av behandlingen..........

402

 

11.4.1 Rätten till rättelse och komplettering..................

402

 

11.4.2

Rätten till radering ................................................

405

 

11.4.3

Begränsning av behandlingen ...............................

407

 

11.4.4

Val av åtgärd ..........................................................

412

11.5

Hur informationen ska begäras och lämnas........................

413

11.5.1Kraven på informationen och på den som

begär information..................................................

413

11.5.2 Skriftlig begäran ....................................................

413

11.5.3Åtgärder för att säkerställa att begäran görs av

en behörig person..................................................

414

11.5.4 Lättbegriplig information i lämplig form ............

415

11.5.5 Åtgärder som underlättar utövandet av

 

rättigheterna ..........................................................

417

11.5.6 Skyldighet att informera om handläggningen .....

418

11.5.7 Beslut ska vara skriftliga och motiverade ............

419

11.5.8 Underrättelseskyldighet .......................................

420

10

SOU 2017:29 Innehåll

 

11.5.9 Information ska inte avgiftsbeläggas....................

424

12

Tillsyn

....................................................................

425

12.1

Dagens tillsyn över personuppgiftsbehandling...................

425

 

12.1.1 ...................................................

Datainspektionen

425

 

12.1.2 ..........

Säkerhets - och integritetsskyddsnämnden

426

 

12.1.3 ...............................................................

JO och JK

428

12.2

Utgångspunkter för utredningens överväganden om

 

 

tillsyn .....................................................................................

 

428

12.3

Tillsynsmyndighet .....................................enligt direktivet

432

12.3.1Förslaget från Utredningen om tillsyn över

 

den personliga integriteten ...................................

432

12.3.2

Annan tillsyn kan också förekomma....................

433

12.4 Tillsynsområdet.....................................................................

433

12.4.1

Tillsynsområdet bör slås fast i en definition........

433

12.4.2Ingen förändring av tillsynen över dömande

 

 

verksamhet .............................................................

435

12.5

Tillsynsmyndighetens uppdrag ............................................

441

 

12.5.1 Tillsynsmyndighetens oberoende ska värnas.......

441

 

12.5.2 Tillsynsmyndigheten ska ha dubbla perspektiv...

443

12.6

Tillsynsmyndighetens uppgifter ..........................................

445

 

12.6.1 Huvuduppgifterna bör regleras i ramlagen ..........

445

 

12.6.2

Klagomål från enskilda..........................................

447

 

12.6.3 Kontroll av om behandling är

 

 

 

författningsenlig ....................................................

450

 

12.6.4

Information och rådgivning..................................

456

12.7

Tillsynsmyndighetens befogenheter....................................

460

 

12.7.1 Hur bör tillsynen bedrivas? ..................................

460

 

12.7.2

Utgångspunkterna för regleringen.......................

462

 

12.7.3

Undersökningsbefogenheter ................................

463

12.7.4Skillnad mellan förebyggande och

 

korrigerande befogenheter....................................

466

12.7.5

Förebyggande befogenheter .................................

468

12.7.6

Korrigerande befogenheter...................................

470

12.8 Handläggningen av tillsynsfrågor ........................................

473

11

Innehåll

SOU 2017:29

 

12.8.1

Förvaltningslagens tillämplighet ..........................

473

 

12.8.2

Kommunikationsskyldighet .................................

474

 

12.8.3

Beslut ska gälla när de fått laga kraft....................

475

 

12.8.4

Anmälningsskyldighet ..........................................

476

12.9

Möjlighet att ifrågasätta giltigheten av unionsrättsakter ...

477

12.10

Internationellt samarbete.....................................................

479

 

12.10.1

Skyldighet att bistå en tillsynsmyndighet i en

 

 

 

annan medlemsstat................................................

479

 

12.10.2

Svensk begäran om bistånd av en annan

 

 

 

medlemsstat...........................................................

481

12.11

Tillsyn ska vara avgiftsfri......................................................

483

 

12.11.1

Tillsynsmyndigheten ska inte kunna ta ut

 

 

 

avgifter ...................................................................

483

 

12.11.2

Ersättning för bistånd till en annan

 

 

 

medlemsstat...........................................................

484

12.12

Övriga frågor ........................................................................

486

13

Sanktioner ..............................................................

489

13.1

Utgångspunkter för valet av sanktionssystem....................

489

 

13.1.1

Olika typer av sanktioner .....................................

489

 

13.1.2

Innehållet i direktivet och nuvarande reglering...

489

 

13.1.3

Ett sammanhållet sanktionssystem......................

491

13.2

Vilket sanktionssystem bör väljas?......................................

492

 

13.2.1

Ingen straffbestämmelse i ramlagen.....................

492

 

13.2.2

En ny administrativ sanktion ska införas ............

496

13.3

Utformningen av sanktionsavgiftssystemet .......................

501

13.4

Vem ska betala sanktionsavgift?..........................................

504

13.5

Vad ska föranleda sanktionsavgift? .....................................

505

 

13.5.1

Allmänna utgångspunkter ....................................

505

13.5.2Överträdelser som kan föranleda

 

sanktionsavgift ......................................................

506

13.5.3

Ska sanktionsavgift alltid tas ut? ..........................

510

13.6 Hur sanktionsavgiften ska bestämmas................................

512

13.6.1

Sanktionsavgiftens storlek....................................

512

12

SOU 2017:29

Innehåll

13.6.2Hur avgiften ska bestämmas i det enskilda

 

 

fallet........................................................................

517

13.7

Beslut om sanktionsavgift ....................................................

520

 

13.7.1 Vem ska besluta om sanktionsavgift? ..................

520

 

13.7.2 Förfarandet vid beslut om sanktionsavgift ..........

521

 

13.7.3

Betalning och verkställighet..................................

523

 

13.7.4

Överklagande.........................................................

524

13.8

Sanktionsavgift och Europakonventionen ..........................

524

 

13.8.1 Konventionens krav på rättssäkerhetsgarantier...

524

 

13.8.2 Konventionens förbud mot dubbelprövning.......

525

14

Rättsmedel och skadestånd ......................................

527

14.1

Krav på effektiva rättsmedel vid felaktig

 

 

personuppgiftsbehandling ....................................................

527

14.2

Talerätt för registrerade........................................................

529

14.3

Skadestånd.............................................................................

530

 

14.3.1

Det allmännas skadeståndsansvar.........................

530

14.3.2Skadeståndsskyldighet för

 

 

personuppgiftsansvariga........................................

532

14.4

Överklagande av en myndighets beslut i egenskap av

 

 

personuppgiftsansvarig.........................................................

537

14.5

Klagomål................................................................................

540

14.6

Dröjsmålstalan ......................................................................

545

 

14.6.1 En särskild reglering behövs .................................

545

 

14.6.2

Handläggningen hos tillsynsmyndigheten...........

550

 

14.6.3

Domstolsprövningen.............................................

554

14.7

Överklagande av tillsynsmyndighetens beslut....................

557

14.7.1Tillsynsmyndighetens beslut ska kunna

överklagas...............................................................

557

14.7.2 Det behövs ingen ny forumregel ..........................

562

14.8 Rättsmedlen är oberoende av varandra................................

563

14.9 Rätt för ideella organisationer att företräda registrerade ... 564

13

Innehåll

SOU 2017:29

15

Överföring till tredjeland och internationella

 

 

organisationer..........................................................

569

15.1

Bakgrund...............................................................................

569

 

15.1.1

2013 års lag ............................................................

569

 

15.1.2

Personuppgiftslagen..............................................

570

 

15.1.3

Innehållet i direktivet............................................

571

15.2

Några grundläggande begrepp .............................................

572

 

15.2.1

Överföring.............................................................

572

 

15.2.2

Medlemsstat...........................................................

574

 

15.2.3

Tredjeland..............................................................

578

 

15.2.4

Internationell organisation ...................................

578

 

15.2.5

Internationella avtal ..............................................

579

15.3

Allmänna principer för överföring av personuppgifter......

580

 

15.3.1 Grundläggande förutsättningar för överföring ...

580

15.3.2Överföringen ska vara nödvändig för ett visst

 

 

ändamål och riktas till en behörig myndighet .....

583

 

15.3.3 Viss skyddsnivå ska vara säkerställd ....................

585

 

15.3.4 Överföring av uppgifter från andra

 

 

 

medlemsstater ska vara medgiven ........................

586

15.4

Beslut om adekvat skyddsnivå .............................................

589

15.5

Tillräckliga skyddsåtgärder ..................................................

591

15.6

Undantag i särskilda situationer ..........................................

595

 

15.6.1 Överföringen ska vara nödvändig i en särskild

 

 

 

situation .................................................................

595

 

15.6.2

Enskildas vitala intressen......................................

599

 

15.6.3

Registrerades berättigade intressen......................

601

 

15.6.4 Myndigheters intresse i enskilda fall....................

602

 

15.6.5 Rättsliga anspråk i enskilda fall ............................

604

 

15.6.6 Allvarlig fara för allmän säkerhet .........................

605

 

15.6.7 En intresseavvägning ska göras i vissa fall ...........

606

15.7

Vidareöverföring...................................................................

607

15.8

Överföring till andra än behöriga myndigheter..................

611

15.8.1Förutsättningarna för överföring till andra än

behöriga myndigheter...........................................

611

15.8.2 Överföringen ska vara absolut nödvändig...........

614

14

SOU 2017:29

Innehåll

15.8.3Överföring till behörig myndighet blir

 

ineffektiv eller är olämplig ....................................

615

15.8.4

En intresseavvägning ska göras.............................

617

15.9 Villkor för användningen av personuppgifter .....................

618

15.9.1

Villkor som ställs upp av utländska

 

 

myndigheter eller organ ........................................

618

15.9.2Villkor när personuppgifter överförs av

 

 

svenska myndigheter .............................................

619

15.10 Dokumentationskrav och informationsskyldighet.............

621

15.11

Internationellt samarbete .....................................................

624

15.12

Sekretess vid överföring till tredjeland ................................

625

 

15.12.1

Överföring innebär utlämnande ...........................

625

 

15.12.2

Utlämnande av offentliga allmänna handlingar

 

 

 

till tredjeland..........................................................

625

 

15.12.3

Uppgifter som inte är sekretessbelagda ...............

626

 

15.12.4

Uppgifter som är sekretessbelagda.......................

626

16

Sekretessfrågor .......................................................

629

16.1

Allmänt om offentlighet och sekretess ...............................

629

 

16.1.1

Rätten att ta del av allmänna handlingar ..............

629

 

16.1.2

Huvuddragen i sekretessregleringen ....................

629

16.2

Ändrade regler om sekretess och tystnadsplikt med

 

 

anledning av dataskyddsreformen........................................

631

16.3

Sekretess i tillsynsverksamheten..........................................

632

 

16.3.1

Nuvarande reglering..............................................

632

 

16.3.2

Behovet av en ny sekretessbestämmelse ..............

635

 

16.3.3

Utformningen av sekretessbestämmelsen............

638

 

16.3.4

En sekretessbrytande regel för

 

 

 

tillsynsverksamheten .............................................

641

 

16.3.5

En hänvisningsbestämmelse bör införas ..............

643

16.4

Sekretess för sammanställningar av känsliga

 

 

personuppgifter.....................................................................

643

16.5

Sekretess för rapporter om personuppgiftsincidenter........

645

15

Innehåll

SOU 2017:29

17

Konsekvenser ..........................................................

647

17.1

Få helt nya krav eller arbetsuppgifter men skärpta krav i

 

 

vissa fall

.................................................................................

647

17.2

Ekonomiska ...................................................konsekvenser

649

 

17.2.1 .......................................

Konsekvenser för staten

649

 

17.2.2 .......Konsekvenser för kommuner och landsting

651

 

17.2.3 ....................................

Konsekvenser för enskilda

651

17.3

Konsekvenser för brottsligheten och det

 

 

brottsförebyggande ..................................................arbetet

652

17.4

Konsekvenser ...........................................................i övrigt

652

18

Ikraftträdande och övergångsbestämmelser ................

655

18.1

Ikraftträdande.......................................................................

655

18.2

Övergångsbestämmelser ......................................................

655

 

18.2.1 Den nya dataskyddsregleringen medför

 

 

 

särskilda övergångsproblem..................................

655

 

18.2.2

Ärendehandläggning m.m. ...................................

658

 

18.2.3 Övergångsbestämmelser till det nya

 

 

 

sanktionssystemet.................................................

659

 

18.2.4

Övergångsbestämmelser i övrigt..........................

662

19

Författningskommentar ............................................

665

19.1

Förslaget till brottsdatalag ...................................................

665

19.2

Förslaget till lag om ändring i lagen (2000:562) om

 

 

internationell rättslig hjälp i brottmål .................................

771

19.3

Förslaget till lag om ändring i lagen (2000:1219) om

 

 

internationellt tullsamarbete................................................

771

19.4

Förslaget till lag om ändring i lagen (2003:1174) om

 

 

vissa former av internationellt samarbete i

 

 

brottsutredningar..................................................................

771

19.5

Förslaget till lag om ändring i offentlighets- och

 

 

sekretesslagen (2009:400) ....................................................

772

16

SOU 2017:29 Innehåll

19.6 Förslaget till lag om ändring i lagen (2017:000) om

 

internationellt polisiärt samarbete .......................................

774

Särskilda yttranden ..........................................................

775

Bilagor

 

 

Bilaga 1

Kommittédirektiv 2016:21 ...........................................

781

Bilaga 2

Europaparlamentets och rådets direktiv (EU)

 

 

2016/680........................................................................

795

17

Sammanfattning

Uppdraget

Europeiska unionen har enats om en genomgripande dataskydds- reform som ska vara genomförd under våren 2018. Reformen om- fattar dels en allmän dataskyddsförordning, dels ett dataskydds- direktiv som behandlar dataskyddet vid bl.a. brottsbekämpning, lagföring och straffverkställighet. En konsekvens av reformen är att personuppgiftslagen kommer att upphävas och att all lagstiftning om personuppgiftsbehandling behöver ses över och anpassas.

Utredningens uppdrag är att föreslå hur det nya direktivet ska genomföras i svensk rätt. Eftersom regleringen i förordningen inte omfattar det som regleras i direktivet är en viktig uppgift att genom den nya lagstiftningen avgränsa tillämpningsområdet i förhållande till förordningen.

Alla myndigheter som kommer att tillämpa den lagstiftning som genomför direktivet kommer även att tillämpa förordningen. Ut- redningen har därför strävat efter att ha samma terminologi och likartade lösningar som i förordningen, när båda rättsakterna inne- håller samma eller liknande artiklar och det inte finns sakliga skäl att välja en annan lösning för direktivets del.

Uppdraget har genomförts i nära kontakt med Dataskyddsut- redningen, som har till uppgift att senare i vår lägga fram de förslag till kompletterande reglering som dataskyddsförordningen kan kräva och att utreda vissa andra generella frågor som dataskyddsre- formen väcker. Under arbetet har utredningen också haft kontakt med alla andra pågående utredningar vilkas arbete kan påverkas av vår utrednings förslag.

19

Sammanfattning

SOU 2017:29

En ny ramlag

Utredningen föreslår att direktivet i huvudsak genomförs genom en ny ramlag, brottsdatalagen. Syftet med lagen är både att skydda fysiska personers grundläggande fri- och rättigheter och att säker- ställa att behöriga myndigheter kan behandla och utbyta person- uppgifter med varandra på ett ändamålsenligt sätt. Lagen ska – i lik- het med personuppgiftslagen – vara generellt tillämplig inom det område som direktivet reglerar. Lagen ska även vara subsidiär. De myndigheter som bedriver verksamhet inom lagens tillämpnings- område har i allmänhet särskilda registerförfattningar som reglerar personuppgiftsbehandlingen. Utredningen kommer att i slutbetän- kandet föreslå de anpassningar som krävs med anledning av ram- lagen i de registerförfattningar som ingår i utredningens uppdrag. Registerförfattningarna kommer att gälla utöver brottsdatalagen.

Lagen kompletteras med en förordning, som genomför vissa detaljbestämmelser i direktivet.

Tillämpningsområdet

Lagen ska tillämpas av myndigheter som har till uppgift att före- bygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder vid behandling av personuppgifter. Lagen ska också gälla för personuppgiftsbe- handling vid upprätthållande av allmän ordning och säkerhet. De som har sådana arbetsuppgifter betecknas behöriga myndigheter. Lagen ska även tillämpas av andra aktörer som har fått i uppgift att utöva myndighet för något av de nämnda syftena.

De behöriga myndigheternas behandling av personuppgifter kommer dock bara att styras av lagen när de behandlar personupp- gifter i syfte att förebygga, förhindra eller upptäcka brottslig verk- samhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. Dataskyddsförord- ningen kommer att bli tillämplig i övrigt, t.ex. när Polismyndig- heten behandlar personuppgifter i tillståndsärenden eller när en allmän domstol handlägger ett tvistemål. Det som blir avgörande för om lagen är tillämplig är dels om det är en behörig myndighet som behandlar personuppgifterna, dels syftet med behandlingen.

20

SOU 2017:29

Sammanfattning

Gränsdragningsfrågor som rör lagens tillämpningsområde disku- teras ingående i kapitel 8.

Lagen ska i huvudsak gälla för sådan behandling av personupp- gifter som är helt eller delvis automatiserad.

Lagen ska inte tillämpas på Säkerhetspolisens behandling av per- sonuppgifter som rör nationell säkerhet. Undantag ska också gälla för Polismyndigheten om den övertagit en uppgift som rör natio- nell säkerhet från Säkerhetspolisen. Något motsvarande undantag för andra myndigheter vid deras behandling av uppgifter som rör nationell säkerhet görs inte.

Principer för behandlingen av personuppgifter

Det ska alltid finnas en rättslig grund för att personuppgifter ska få behandlas med stöd av ramlagen. Den huvudsakliga grunden att behandlingen av personuppgifterna ska vara nödvändig för att en behörig myndighet ska kunna utföra en sådan arbetsuppgift som gör lagen tillämplig. Arbetsuppgiften ska framgå av en bindande unionsrättsakt, en lag, en förordning eller ett särskilt beslut av regeringen. Den andra rättsliga grunden är om behandlingen krävs för diarieföring eller om uppgifterna har lämnats till en behörig myndighet i en anmälan, ansökan eller liknande och behandlingen är nödvändig för myndighetens handläggning.

Personuppgifter får dessutom bara behandlas för särskilda, ut- tryckligt angivna, och berättigade ändamål.

Det ställs krav på att personuppgifterna ska behandlas författ- ningsenligt och på ett korrekt sätt. De personuppgifter som be- handlas ska vara korrekta och, om det är nödvändigt, uppdaterade. De ska också vara adekvata och relevanta i förhållande till ändamå- len med behandlingen. Fler uppgifter än nödvändigt får inte be- handlas och inga uppgifter får behandlas längre än vad som är nöd- vändigt med hänsyn till ändamålen med behandlingen.

Det är tillåtet att behandla personuppgifter för ett nytt ändamål som ligger inom lagens tillämpningsområde, men det måste alltid först prövas om det finns en tillåten rättslig grund för den nya be- handlingen och om den är nödvändig och proportionerlig för det nya ändamålet. Det behöver däremot inte prövas om det nya ända- målet är förenligt med det ursprungliga.

21

Sammanfattning

SOU 2017:29

Lagen föreskriver att olika typer av personuppgifter ska särskil- jas – t.ex. uppgifter om misstänkta respektive brottsoffer – och att personuppgifter som grundar sig på fakta ska skiljas från person- uppgifter som grundar sig på personliga bedömningar.

Personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackföre- ning eller som rör hälsa, sexualliv eller sexuell läggning betecknas känsliga personuppgifter. Enligt huvudregeln får sådana uppgifter inte behandlas, men om uppgifter om en person redan behandlas får de, på samma sätt som i dag, kompletteras med känsliga person- uppgifter, under förutsättning att det är absolut nödvändigt för ändamålet med behandlingen.

Biometriska uppgifter som används i identifieringssyfte och genetiska uppgifter är också känsliga personuppgifter. Sådana upp- gifter får enbart behandlas om det är särskilt föreskrivet.

Det är förbjudet att utföra sökningar i syfte att få fram ett per- sonurval grundat på känsliga personuppgifter. För att det inte ska vara möjligt att med stöd av offentlighetsprincipen få tillgång till en sådan sammanställning, föreslår utredningen en särskild sekretess- regel som innebär att det gäller absolut sekretess för uppgifter i sådana sammanställningar.

Personuppgiftsansvariga åläggs att vidta alla rimliga åtgärder för att rätta personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen. Det regleras också under vilka förutsättningar personuppgifter som behandlas på ett otillåtet sätt ska raderas och när behandlingen av dem i stället ska begränsas.

Personuppgiftsansvarigas skyldigheter

De skyldigheter som personuppgiftsansvariga har i dag kommer till stor del att gälla även i fortsättningen. Vissa regler blir dock mer preciserade och det tillkommer också vissa nya skyldigheter. Kra- ven på säkerhets- och skyddsåtgärder blir mer preciserade, liksom kravet på att det ska finnas en behandlingshistorik. Det ställs exempelvis krav på inbyggt dataskydd och dataskydd som standard. Det införs också en generell bestämmelse om att tillgången till per- sonuppgifter ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.

22

SOU 2017:29

Sammanfattning

Till de nya skyldigheterna hör att personuppgiftsansvariga ska dokumentera alla personuppgiftsincidenter och anmäla de inciden- ter som kan antas påverka registrerades integritet till tillsynsmyn- digheten. Det gäller dock inte sådana incidenter som rör nationell säkerhet.

Det införs också ett generellt krav på att personuppgiftsansva- riga som planerar en ny typ av behandling eller att genomföra be- tydande förändringar i pågående behandling ska göra en bedöm- ning av konsekvenserna för registrerades personliga integritet och, beroende på framför allt risken för intrång, samråda med tillsyns- myndigheten innan behandlingen påbörjas eller förändras.

Alla personuppgiftsansvariga ska utse dataskyddsombud. Om- budens arbetsuppgifter anges i lagen.

En annan nyhet är att förutsättningarna för gemensamt person- uppgiftsansvar regleras. Utredningen föreslår att gemensamt per- sonuppgiftsansvar endast får förekomma om det följer av lag eller förordning eller om regeringen i ett enskilt fall har beslutat om det.

Enskildas rättigheter

När det gäller enskildas rättigheter kommer till stora delar samma reglering som i dag att gälla, men rätten till information blir tydli- gare i vissa avseenden. Genom att lagen är subsidiär kommer reg- lerna om information i straffrättsliga förfaranden att ha företräde framför ramlagens bestämmelser om information.

Utgångspunkten är att den som vill kontrollera om hans eller hennes personuppgifter behandlas får vända sig till den personupp- giftsansvarige, som utan onödigt dröjsmål ska lämna skriftligt be- sked om uppgifterna behandlas. Om så är fallet har den registrerade rätt att få del av uppgifterna och få viss information om behand- lingen. Informationsskyldigheten gäller dock inte om uppgifterna inte får lämnas ut på grund av att vissa i lagen angivna intressen kan skadas. Om det finns grund för att inte lämna informationen får även skälen för det utelämnas.

Personuppgifter i ofärdig text eller som utgör minnesanteck- ningar omfattas som regel inte av informationsskyldigheten. Det- samma gäller personuppgifter som sökanden redan har tagit del av.

23

Sammanfattning

SOU 2017:29

Den personuppgiftsansvarige ska på begäran av den registrerade utan onödigt dröjsmål rätta eller komplettera personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med be- handlingen. En motsvarande skyldighet gäller i fråga om radering av personuppgifter som behandlas på ett otillåtet sätt eller om rade- ring krävs för att den personuppgiftsansvarige ska fullgöra en rätts- lig förpliktelse. I vissa fall ska behandlingen av personuppgifterna i stället begränsas. Om det finns stöd för att begränsa informa- tionen till den registrerade får den personuppgiftsansvarige också utelämna skälen för beslut om korrigeringsåtgärder.

Tillsynen över personuppgiftsbehandling

Utredningen tar inte ställning till vilken myndighet som ska utses till tillsynsmyndighet eller hur myndigheten ska organiseras, efter- som det har utretts i annan ordning. Utredningen behandlar enbart frågan hur verksamheten ska bedrivas.

Tillsynsmyndighetens dubbla perspektiv – att både verka för att fysiska personers grundläggande rättigheter och friheter skyddas och att underlätta det fria flödet av personuppgifter – lyfts fram. Myndighetens uppdrag, huvuduppgifter och befogenheter regleras i ramlagen. En viktig utgångspunkt är att tillsynsmyndighetens obe- roende ska värnas, vilket görs bäst om det inte regleras när och hur tillsyn ska inledas respektive avslutas och hur den ska bedrivas.

Tillsynsmyndigheten ska utöva allmän tillsyn över personupp- giftsbehandling, handlägga klagomål från registrerade, på begäran av fysiska personer kontrollera om deras personuppgifter behandlas författningsenligt, på begäran bistå utländska tillsynsmyndigheter och ge råd och stöd åt personuppgiftsansvariga och personupp- giftsbiträden.

Tillsynsmyndighetens undersökningsbefogenheter, som inklu- derar rätt att få tillgång till personuppgifter som behandlas och dokumentation om behandlingen och om säkerhets- och skyddsåt- gärder, tillträde till lokaler där personuppgifter behandlas och rätt till biträde av den personuppgiftsansvarige eller personuppgiftsbi- trädet vid tillsynen, blir tydligare.

Det görs också tydlig skillnad mellan tillsynsmyndighetens förebyggande och korrigerande befogenheter. Till de förebyggande

24

SOU 2017:29

Sammanfattning

befogenheterna, som inte är bindande, hör råd, rekommendationer och påpekanden. Tillsynsmyndigheten får också möjlighet att ut- färda skriftlig varning om att det finns risk för att viss behandling kan komma att stå i strid med regelverket.

Till de korrigerande befogenheterna, som är bindande för den personuppgiftsansvarige eller personuppgiftsbiträdet, hör föreläg- ganden, förbud mot fortsatt behandling och beslut om sanktions- avgift.

Tillsynsmyndighetens internationella samarbete regleras också i ramlagen. I anslutning till det föreslås en sekretessbrytande regel som ger myndigheten möjlighet att, om det ligger i svenskt intres- se, lämna ut uppgifter som är sekretessbelagda när tillsynsmyndig- heten begär bistånd av en utländsk tillsynsmyndighet. Vidare före- slås en ny sekretessregel som ska gälla hos tillsynsmyndigheten i tillsynsverksamhet enligt lagen för uppgifter som en utländsk till- synsmyndighet har lämnat i samband med en begäran om svenskt bistånd med tillsyn. Sekretessen gäller om det kan antas att möjlig- heterna för den svenska tillsynsmyndigheten att bedriva tillsyn motverkas om uppgiften röjs.

Sanktioner

Utredningen anser att överträdelser av bestämmelserna om per- sonuppgiftsbehandling i ramlagen inte ska straffsanktioneras. Det ska i stället införas en ny administrativ sanktion i form av sank- tionsavgift. Det motsvarar vad som gäller vid överträdelse av be- stämmelserna i dataskyddsförordningen.

Sanktionsavgift får tas ut av personuppgiftsansvariga och i vissa fall av personuppgiftsbiträden. Sanktionsavgift får tas ut av person- uppgiftsansvariga vid överträdelse av de grundläggande bestämmel- serna till skydd för enskildas integritet. Det gäller bl.a. om person- uppgifter behandlas utan rättslig grund eller utan ett särskilt angi- vet och berättigat ändamål, om personuppgifterna inte uppfyller kraven på att vara korrekta, aktuella, adekvata och relevanta eller om fler uppgifter än nödvändigt behandlas eller om de behandlas längre än vad som är nödvändigt med hänsyn till ändamålen. Det gäller också om den personuppgiftsansvarige inte vidtar tillräckliga säkerhets- och skyddsåtgärder eller om personuppgifter överförs

25

Sammanfattning

SOU 2017:29

till tredjeland eller internationella organisationer i strid med regel- verket.

Sanktionsavgift får också tas ut om den personuppgiftsansvarige inte bistår tillsynsmyndigheten vid tillsyn eller inte rättar sig efter tillsynsmyndighetens förelägganden eller beslut.

Regleringen av sanktionsavgift bygger på strikt ansvar, men sanktionsavgift behöver inte tas ut vid varje överträdelse. Vid be- dömningen av om sanktionsavgift ska tas ut och till vilket belopp den ska bestämmas ska särskild hänsyn tas till bl.a. om överträdel- sen varit uppsåtlig eller berott på oaktsamhet, den skada, fara eller kränkning som överträdelsen inneburit, överträdelsens karaktär, svårhetsgrad och varaktighet och vad som gjorts för att begränsa skadan.

Sanktionsavgiften ska bestämmas till lägst 25 000 kronor och högst 10 000 000 kronor för mindre allvarliga överträdelser och det dubbla vid andra överträdelser.

Tillsynsmyndigheten ska besluta om sanktionsavgift och sank- tionsavgiften ska tillfalla staten.

Rättsmedel och skadestånd

Den personuppgiftsansvarige ska ersätta den registrerade för den skada och kränkning som behandling av personuppgifter i strid med ramlagen med tillhörande förordning har orsakat. Jämkning av skadeståndsskyldigheten ska, i motsats till vad som är fallet i dag, inte vara möjlig.

Vissa beslut som en myndighet fattat i egenskap av personupp- giftsansvarig ska kunna överklagas. Det gäller beslut i fråga om rättelse, komplettering, radering eller begränsning av behandlingen, beslut att inte lämna ut information på begäran av en registrerad, att ta ut avgift för sådan information eller att inte medge ompröv- ning av automatiserade beslut. Regleringen motsvarar i allt väsent- ligt det som gäller i dag.

Tillsynsmyndighetens beslut enligt lagen får också överklagas. Vid överklagande till kammarrätten ska det krävas prövningstill-

stånd vid överklagande av både personuppgiftsansvariga myndig- heters och tillsynsmyndighetens beslut.

26

SOU 2017:29

Sammanfattning

Det införs också en möjlighet för registrerade att föra s.k. dröjs- målstalan om tillsynsmyndigheten dröjer med att handlägga kla- gomål. Om en registrerad har lämnat in ett klagomål till tillsyns- myndigheten och den inte inom tre månader har tagit ställning till om klagomålet ska föranleda tillsyn, har den registrerade rätt att inom två veckor antingen få ett skriftligt besked i den frågan eller ett särskilt beslut om att begäran om besked avslås. Om tillsyns- myndigheten har avslagit begäran får den registrerade överklaga beslutet till allmän förvaltningsdomstol. Om domstolen bifaller talan ska den förelägga tillsynsmyndigheten att inom en bestämd tid lämna den registrerade besked i frågan om tillsyn kommer att utövas. Domstolen ska däremot inte ta ställning i frågan om tillsyn ska utövas.

Överföring till tredjeland och internationella organisationer

I ramlagen regleras vad som ska gälla vid överföring av personupp- gifter till tredjeland och internationella organisationer. Med tredje- land avses i lagen andra stater än EU:s medlemsstater, Island, Liechtenstein, Norge och Schweiz.

Behöriga myndigheter får överföra personuppgifter som be- handlas automatiserat till ett tredjeland eller en internationell orga- nisation eller överföra uppgifterna dit för att de ska behandlas auto- matiserat där. Det ställs upp en rad villkor för att uppgifterna ska få överföras. Personuppgifter får endast överföras om överföringen är nödvändig för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga på- följder eller upprätthålla allmän ordning och säkerhet. Överföring- en ska enligt huvudregeln riktas till en behörig myndighet i ett tredjeland eller en internationell organisation som är en behörig myndighet. Dessutom krävs det att kommissionen har meddelat ett beslut om att det tredjelandet eller den internationella organisatio- nen har adekvat skyddsnivå för personuppgifter eller, om det inte finns ett sådant beslut, personuppgifterna omfattas av tillräckliga skyddsåtgärder. I vissa särskilda undantagssituationer får dock per- sonuppgifter överföras även om det inte finns ett beslut om ade- kvat skyddsnivå eller tillräckliga skyddsåtgärder. Det gäller bl.a. om det är nödvändigt för att skydda den registrerades eller en annan

27

Sammanfattning

SOU 2017:29

fysisk persons vitala intressen, för att en behörig myndighet i ett enskilt fall ska kunna förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga på- följder eller upprätthålla allmän ordning och säkerhet eller för att avvärja en omedelbar eller allvarlig fara för allmän säkerhet.

Vidare regleras vad som ska göras om ett tredjeland eller en in- ternationell organisation vill vidareöverföra personuppgifter till ett tredjeland eller en internationell organisation och möjligheten att i vissa fall överföra personuppgifter till andra än behöriga myndig- heter.

Konsekvenser

Förslagen bedöms förbättra skyddet för enskildas integritet. För- bättrat dataskydd ger samtidigt möjlighet till ökat informationsut- byte mellan brottsbekämpande myndigheter både nationellt och mellan medlemsstaterna, vilket är positivt för det brottsförebyg- gande arbetet. De ekonomiska konsekvenserna för berörda myn- digheter bedöms rymmas inom de befintliga ekonomiska ramarna.

Ikraftträdande och övergångsbestämmelser

Den nya lagen föreslås träda i kraft den 1 maj 2018. Det krävs sär- skilda övergångsbestämmelser, dels för det nya sanktionssystemet, dels för mål och ärenden som rör behandlingen av personuppgifter som har påbörjats före lagens ikraftträdande men inte hunnit slut- föras. Det krävs också övergångsbestämmelser för mål som har överklagats men inte hunnit slutföras och för ersättning för skador som har vållats före ikraftträdandet.

28

1 Författningsförslag

1.1Förslag till

brottsdatalag (2018:000)

Härigenom föreskrivs följande.

1 kap. Allmänna bestämmelser

Syftet med lagen

1 § Syftet med denna lag är att skydda fysiska personers grundläg- gande fri- och rättigheter i samband med behandling av personupp- gifter och att säkerställa att behöriga myndigheter kan behandla och utbyta personuppgifter med varandra på ett ändamålsenligt sätt.

Genom denna lag genomförs Europaparlamentets och rådets direk- tiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgif- ter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgif- ter och om upphävande av rådets rambeslut 2008/977/RIF (data- skyddsdirektivet).

Lagens tillämpningsområde

2 § Denna lag gäller för behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straff- rättsliga påföljder. Den gäller också för behandling av personuppgifter som en behörig myndighet utför i syfte att upprätthålla allmän ord- ning och säkerhet.

29

Författningsförslag

SOU 2017:29

3 § Lagen gäller för sådan behandling av personuppgifter som är helt eller delvis automatiserad och för annan behandling av personupp- gifter som ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

4 § Lagen gäller inte vid Säkerhetspolisens behandling av personupp- gifter som rör nationell säkerhet eller om Polismyndigheten har över- tagit en arbetsuppgift som rör nationell säkerhet från Säkerhetspoli- sen.

Avvikande bestämmelser i annan författning

5 § Om det i en annan lag eller en förordning finns bestämmelser som avviker från denna lag, ska de bestämmelserna gälla.

Uttryck i lagen

6 § I denna lag används följande uttryck med nedan angiven betydelse.

Uttryck

Betydelse

 

 

 

Behandling av personuppgifter

En åtgärd eller kombination av

 

åtgärder som vidtas i fråga om

 

personuppgifter

eller

uppsätt-

 

ningar av personuppgifter, oavsett

 

om det görs automatiserat eller

 

inte, t.ex. insamling, registrering,

 

organisering, strukturering,

lag-

 

ring, bearbetning

eller

ändring,

 

framtagning, läsning, användning,

 

utlämnande, spridning eller till-

 

handahållande på annat sätt, jus-

 

tering, sammanföring,

begräns-

 

ning, radering eller förstöring.

Behörig myndighet

1. En myndighet som har till

 

uppgift att

 

 

 

 

a) förebygga,

förhindra

eller

 

upptäcka brottslig verksamhet,

 

b) utreda eller lagföra brott,

30

SOU 2017:29

Författningsförslag

 

c) verkställa

straffrättsliga

på-

 

följder, eller

 

 

 

 

 

d) upprätthålla allmän ordning

 

och säkerhet, eller

 

 

 

 

2. en annan aktör som utövar

 

myndighet för något av de syften

 

som anges i 1.

 

 

 

 

Biometriska uppgifter

Personuppgifter

som

rör

en

 

persons fysiska,

fysiologiska

eller

 

beteendemässiga kännetecken, som

 

tagits fram genom särskild teknisk

 

behandling och som möjliggör eller

 

bekräftar

unik

identifiering

av

 

personen i fråga.

 

 

 

 

Dataskyddsombud

En fysisk person som utses av

 

den personuppgiftsansvarige

för

 

att självständigt se till att person-

 

uppgifter behandlas författnings-

 

enligt och på ett korrekt sätt.

 

Genetiska uppgifter

Personuppgifter

som

rör en

 

persons nedärvda eller förvärvade

 

genetiska

kännetecken och

som

 

härrör från analys av ett spår av

 

eller ett prov från personen i

 

fråga.

 

 

 

 

 

Internationell organisation

En organisation och dess un-

 

derställda organ som lyder under

 

folkrätten eller ett annat organ

 

som inrättats genom eller på

 

grundval av en överenskommelse

 

mellan två eller flera stater.

 

Medlemsstat

En stat som är medlem i Euro-

 

peiska unionen och Island, Liech-

 

tenstein, Norge och Schweiz.

 

Mottagare

Den till vilken personuppgifter

 

lämnas ut, med undantag av en

 

myndighet som med stöd av för-

 

fattning

utövar

tillsyn,

kontroll

 

eller revision.

 

 

 

 

31

Författningsförslag SOU 2017:29

Personuppgift

Varje upplysning om en iden-

 

tifierad eller

identifierbar fysisk

 

person som är i livet.

 

 

Personuppgiftsansvarig

Den behöriga myndighet som

 

ensam

eller

tillsammans

med

 

andra bestämmer ändamålen med

 

och medlen för behandlingen av

 

personuppgifter.

 

 

Personuppgiftsbiträde

Den som, med stöd av ett

 

skriftligt avtal eller annan skriftlig

 

överenskommelse, behandlar per-

 

sonuppgifter för den personupp-

 

giftsansvariges räkning.

 

Personuppgiftsincident

En säkerhetsincident som leder

 

till oavsiktlig eller olaglig för-

 

störing, förlust eller ändring eller

 

obehörigt röjande av eller obehörig

 

åtkomst till personuppgifter.

 

Registrerad

Den fysiska person som per-

 

sonuppgiften rör.

 

 

Tillsynsmyndighet

Myndighet som regeringen ut-

 

ser att enligt dataskyddsdirektivet

 

utöva tillsyn över behandling av

 

personuppgifter som utförs av be-

 

höriga myndigheter i syfte att före-

 

bygga,

förhindra eller upptäcka

 

brottslig verksamhet,

utreda

eller

 

lagföra brott, verkställa straffrätts-

 

liga påföljder eller upprätthålla all-

 

män ordning och säkerhet.

 

Tredjeland

En stat som inte är en med-

 

lemsstat.

 

 

 

Tredje man

Någon annan än den registre-

 

rade,

den personuppgiftsansva-

 

rige, dataskyddsombudet, person-

 

uppgiftsbiträdet och sådana per-

 

soner som under den personupp-

 

giftsansvariges eller

personupp-

 

giftsbiträdets

direkta

ansvar

har

 

rätt att behandla personuppgifter.

32

SOU 2017:29 Författningsförslag

Uppgift som rör hälsa

Personuppgift som rör en per-

 

sons fysiska eller psykiska hälsa,

 

inkluderande information om till-

 

handahållande av hälso- och sjuk-

 

vårdstjänster som ger upplysning

 

om personens hälsostatus.

2 kap. Behandling av personuppgifter

Behandling för ändamål inom denna lags tillämpningsområde

Tillåtna rättsliga grunder för behandling av personuppgifter

1 § Personuppgifter får behandlas om det är nödvändigt för att en be- hörig myndighet ska kunna utföra en arbetsuppgift i syfte att före- bygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lag- föra brott, verkställa en straffrättslig påföljd eller upprätthålla allmän ordning och säkerhet. Arbetsuppgiften ska framgå av en bindande unionsrättsakt eller av en lag, en förordning eller ett särskilt beslut i vilket regeringen uppdragit åt den behöriga myndigheten att ansvara för en sådan uppgift.

2 § Utöver vad som sägs i 1 § får personuppgifter behandlas om

1.det är nödvändigt för diarieföring, eller

2.uppgifterna har lämnats till en behörig myndighet i en anmälan, ansökan eller liknande och behandlingen är nödvändig för myndig- hetens handläggning.

Ändamål för behandling av personuppgifter

3 § Personuppgifter får behandlas bara för särskilda, uttryckligt an- givna och berättigade ändamål.

Om det ändamål som personuppgifterna behandlas för inte framgår av sammanhanget eller på annat sätt, ska det tydliggöras genom en sär- skild upplysning.

33

Författningsförslag

SOU 2017:29

4 § Innan personuppgifter får behandlas för ett nytt ändamål inom denna lags tillämpningsområde ska det säkerställas att

1.det finns en tillåten rättslig grund enligt 1 § för den nya behand- lingen, och

2.behandlingen är nödvändig och proportionerlig för det nya ända- målet.

5 § En behörig myndighet får behandla personuppgifter för veten- skapliga, statistiska eller historiska ändamål inom denna lags tillämp- ningsområde.

Grundläggande krav på behandlingen av personuppgifter

Laglig och korrekt behandling

6 § Personuppgifter ska behandlas författningsenligt och på ett kor- rekt sätt.

Personuppgifters kvalitet

7 § Personuppgifter som behandlas ska vara korrekta och, om det är nödvändigt, uppdaterade.

Uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet.

8 § Personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen. Fler personuppgifter får inte behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.

Åtskillnad mellan olika slag av personuppgifter

9 § Så långt det är möjligt ska personuppgifter som rör olika katego- rier av registrerade, som personer som är misstänkta eller dömda för brott, brottsoffer eller andra som berörs av ett brott, särskiljas. Om det inte framgår av sammanhanget eller på annat sätt till vilken kate- gori personen hör, ska det tydliggöras genom en särskild upplysning.

34

SOU 2017:29

Författningsförslag

10 § Så långt det är möjligt ska personuppgifter som grundar sig på fakta skiljas från personuppgifter som grundar sig på personliga be- dömningar. Om grunden inte framgår av sammanhanget eller på annat sätt ska den tydliggöras genom en särskild upplysning.

Känsliga personuppgifter

11 § Personuppgifter som avslöjar ras, etniskt ursprung, politiska åsik- ter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa, sexualliv eller sexuell läggning får inte behandlas.

Om uppgifter om en person behandlas får de dock kompletteras med sådana uppgifter som anges i första stycket när det är absolut nödvändigt för ändamålet med behandlingen.

12 § Biometriska uppgifter som används för att identifiera en person och genetiska uppgifter får behandlas endast om det är särskilt före- skrivet och det är absolut nödvändigt för ändamålet med behand- lingen.

13 § Personuppgifter som avses i 11 och 12 §§ betecknas i denna lag som känsliga personuppgifter. Känsliga personuppgifter får behandlas med stöd av 2 §.

14 § Det är förbjudet att utföra sökningar i syfte att få fram ett per- sonurval grundat på känsliga personuppgifter.

Åtgärder för att säkerställa personuppgifternas kvalitet

15 § Alla rimliga åtgärder ska vidtas för att personuppgifter som är fel- aktiga eller ofullständiga med hänsyn till ändamålet med behandlingen utan onödigt dröjsmål rättas och för att förhindra att sådana uppgifter lämnas ut eller görs tillgängliga. Personuppgifter som är inaktuella ska uppdateras om det är nödvändigt.

När personuppgifter lämnas ut till en behörig myndighet ska mot- tagaren så långt det är möjligt ges information som gör det möjligt att bedöma i vilken utsträckning uppgifterna är korrekta, fullständiga, uppdaterade och tillförlitliga.

35

Författningsförslag

SOU 2017:29

16 § Alla rimliga åtgärder ska vidtas för att personuppgifter som be- handlas i strid med 1, 2, 3 § första stycket, 4–6, 8, 11, 12, 14 eller 17 § första stycket utan onödigt dröjsmål raderas och för att förhindra att sådana uppgifter lämnas ut eller görs tillgängliga. Detsamma gäller om radering krävs för att utföra en rättslig förpliktelse.

Om förutsättningarna i första stycket för att radera personuppgif- ter är uppfyllda men de behöver finnas kvar som bevisning, ska den personuppgiftsansvarige i stället utan onödigt dröjsmål begränsa be- handlingen av uppgifterna.

Längsta tid som personuppgifter får behandlas

17 § Personuppgifter får inte behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen.

Bestämmelsen i första stycket hindrar inte att en behörig myndig- het arkiverar och bevarar allmänna handlingar eller att arkivmaterial lämnas till en arkivmyndighet.

18 § Om det inte är föreskrivet i lag eller annan författning när en viss kategori av personuppgifter inte längre får behandlas för andra ända- mål än arkivändamål, ska den personuppgiftsansvarige årligen se över behovet av att fortsatt behandla personuppgifterna.

Automatiserade beslut

19 § Om ett beslut, som har rättsliga följder för en fysisk person eller annars i betydande grad påverkar honom eller henne, enbart grundas på automatiserad behandling av sådana personuppgifter som är av- sedda att bedöma hans eller hennes egenskaper, ska personen ha möj- lighet att på begäran få beslutet omprövat av någon person.

Automatiserade beslut får inte enbart grundas på känsliga person- uppgifter.

Villkor om användningsbegränsning

20 § Om det inte är särskilt föreskrivet får villkor för behandling av personuppgifter inte ställas upp i förhållande till en mottagare i en annan medlemsstat eller ett EU-organ, om det inte i motsvarande fall

36

SOU 2017:29

Författningsförslag

får ställas upp samma typ av villkor i förhållande till en svensk mot- tagare.

Behandling för ändamål utanför denna lags tillämpningsområde

21 § Av artikel 2.1 d i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), i den ursprungliga lydelsen, framgår att data- skyddsförordningen ska tillämpas när en behörig myndighet behandlar personuppgifter för ändamål utanför denna lags tillämpningsområde.

Föreskrifter

22 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1.underrättelseskyldighet, eller

2.åtgärder för att säkerställa att personuppgifter inte behandlas längre än nödvändigt.

3 kap. Personuppgiftsansvarigas skyldigheter

Personuppgiftsansvarets omfattning

1 § Den personuppgiftsansvarige är ansvarig för all behandling av per- sonuppgifter som utförs under dennes ledning eller på dennes vägnar.

Åtgärder för att säkerställa författningsenlig behandling

Tekniska och organisatoriska åtgärder

2 § Den personuppgiftsansvarige ska, genom lämpliga tekniska och organisatoriska åtgärder, säkerställa och kunna visa att behandlingen av personuppgifter är författningsenlig och att registrerades rättig- heter skyddas.

37

Författningsförslag

SOU 2017:29

3 § Både vid beslut om hur behandlingen ska utföras och vid behand- lingen ska den personuppgiftsansvarige, genom lämpliga tekniska och organisatoriska åtgärder, se till att dataskyddsprinciper säkerställs på ett effektivt sätt och att nödvändiga skyddsåtgärder integreras i be- handlingen (inbyggt dataskydd).

4 § Den personuppgiftsansvarige ska säkerställa att det i automatisera- de behandlingssystem som regel endast är möjligt att behandla de per- sonuppgifter som är nödvändiga för varje särskilt angivet ändamål med behandlingen (dataskydd som standard).

5 § Den personuppgiftsansvarige ska säkerställa att det i automatise- rade behandlingssystem förs loggar över personuppgiftsbehandling i den utsträckning det är särskilt föreskrivet.

Tillgången till personuppgifter

6 § Den personuppgiftsansvarige ska se till att tillgången till person- uppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.

Konsekvensbedömning och förhandssamråd

7 § Kan en typ av ny behandling, eller betydande förändringar avse- ende redan pågående behandling, antas medföra särskild risk för in- trång i registrerades personliga integritet, ska den personuppgiftsan- svarige innan behandlingen påbörjas eller förändringen genomförs bedöma konsekvenserna för skyddet av personuppgifter.

Om konsekvensbedömningen visar att det finns särskild risk för intrång i registerades personliga integritet eller om typen av behand- ling innebär särskild risk för intrång, ska den personuppgiftsansvarige samråda med tillsynsmyndigheten i god tid innan behandlingen på- börjas eller betydande förändringar genomförs.

38

SOU 2017:29

Författningsförslag

Säkerheten för personuppgifter

Skyddsåtgärder

8 § Den personuppgiftsansvarige ska vidta lämpliga tekniska och orga- nisatoriska åtgärder för att skydda de personuppgifter som behandlas, särskilt mot obehörig eller otillåten behandling och mot förlust, för- störing eller annan oavsiktlig skada.

Personuppgiftsincidenter

9 § Senast 72 timmar efter det att den personuppgiftsansvarige fått kännedom om en personuppgiftsincident ska den anmälas till tillsyns- myndigheten, utom i de fall där incidenten rör nationell säkerhet.

Anmälan behöver inte göras om det kan antas att personuppgifts- incidenten inte har medfört eller kommer att medföra någon risk för otillbörligt intrång i registrerades personliga integritet.

10 § Om en personuppgiftsincident som ska anmälas enligt 9 § första stycket har medfört eller kan antas medföra särskild risk för otillbör- ligt intrång i registrerades personliga integritet, ska den personupp- giftsansvarige utan onödigt dröjsmål underrätta den registrerade om incidenten.

Underrättelseskyldigheten enligt första stycket gäller inte om den personuppgiftsansvarige

1.har tillämpat lämpliga tekniska och organisatoriska skyddsåtgär- der på de personuppgifter som påverkades av incidenten,

2.har säkerställt att det inte längre finns särskild risk för otillbör- ligt intrång i registrerades personliga integritet, eller

3.skulle behöva göra oproportionerliga ansträngningar för att underrätta alla berörda.

I fall som avses i andra stycket 3 ska allmänheten informeras eller en liknande åtgärd vidtas genom vilken de registrerade får nödvändig information.

11 § Den personuppgiftsansvarige får underlåta att lämna information enligt 10 § i den utsträckning det är särskilt föreskrivet i lag eller annan författning eller annars framgår av beslut som har meddelats med stöd av författning att uppgifter inte får lämnas ut av hänsyn till intresset av att

39

Författningsförslag

SOU 2017:29

1.förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet,

2.andra rättsliga utredningar eller undersökningar inte hindras,

3.nationell säkerhet skyddas, eller

4.annans fri- och rättigheter skyddas.

Första stycket gäller även för en personuppgiftsansvarig som inte är en myndighet i motsvarande fall som avses i offentlighets- och sek- retesslagen (2009:400).

Samarbete med tillsynsmyndigheten

12 § Den personuppgiftsansvarige ska samarbeta med tillsynsmyn- digheten när den utför uppgifter enligt denna lag och föreskrifter som har meddelats i anslutning till den.

Dataskyddsombud

13 § Den personuppgiftsansvarige ska utse ett eller flera dataskydds- ombud och anmäla till tillsynsmyndigheten när dataskyddsombud ut- ses och entledigas.

14 § Dataskyddsombud ska

1.självständigt kontrollera att den personuppgiftsansvarige be- handlar personuppgifter författningsenligt och på ett korrekt sätt och

iövrigt fullgör sina skyldigheter,

2.informera och ge råd till den personuppgiftsansvarige och de som behandlar personuppgifter under dennes ledning om deras skyl- digheter vid behandling av personuppgifter,

3.på begäran ge den personuppgiftsansvarige råd vid en konse- kvensbedömning och kontrollera att den genomförs på korrekt sätt,

4.vara kontaktpunkt för enskilda i frågor som rör behandling av personuppgifter, och

5.samarbeta med tillsynsmyndigheten och vara kontaktpunkt för den vid förhandssamråd och andra frågor som rör behandling av per- sonuppgifter.

40

SOU 2017:29

Författningsförslag

15 § Om den personuppgiftsansvarige bryter mot bestämmelser för behandling av personuppgifter och rättelse inte vidtas, ska dataskydds- ombudet anmäla det till tillsynsmyndigheten.

16 § [Tystnadsplikt för dataskyddsombud]

Personuppgiftsbiträden

17 § Den personuppgiftsansvarige får, om det är lämpligt, anlita per- sonuppgiftsbiträden. När ett personuppgiftsbiträde anlitas, ska den personuppgiftsansvarige försäkra sig om att biträdet vidtar lämpliga tekniska och organisatoriska åtgärder för att behandlingen av person- uppgifter ska vara författningsenlig och för att skydda registrerades rättigheter.

18 § Det ska finnas ett skriftligt avtal eller annan skriftlig överens- kommelse om personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning.

Ett personuppgiftsbiträde får inte utan skriftligt tillstånd av den personuppgiftsansvarige anlita ett annat personuppgiftsbiträde.

19 § Ett personuppgiftsbiträde och de som arbetar under biträdets led- ning får behandla personuppgifter bara i enlighet med instruktioner från den personuppgiftsansvarige.

Om ett personuppgiftsbiträde i strid med den personuppgiftsan- svariges instruktioner fastställer ändamålen med och medlen för be- handlingen, ska biträdet anses vara personuppgiftsansvarig för den be- handlingen.

20 § Det som sägs om den personuppgiftsansvariges skyldigheter i 5, 6, 8 och 12 §§ gäller även för personuppgiftsbiträden.

Gemensamt personuppgiftsansvar

21 § Två eller flera behöriga myndigheter får vara gemensamt person- uppgiftsansvariga endast i den utsträckning det följer av lag eller för- ordning eller om regeringen i ett enskilt fall beslutar om det.

41

Författningsförslag

SOU 2017:29

Bemyndigande

22 § Regeringen får meddela föreskrifter om skyldigheten att föra register över kategorier av behandling av personuppgifter och skyl- digheten att införa interna rutiner för anmälan av överträdelser.

Föreskrifter

23 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1.åtgärder som avses i 2–5, 7 och 8 §§,

2.tillgången till personuppgifter,

3.anmälan om personuppgiftsincidenter,

4.underrättelser till registrerade om personuppgiftsincidenter, och

5.innehållet i avtal och överenskommelser enligt 18 §.

4 kap. Enskildas rättigheter

Rätten till information

Allmän information

1 § Den personuppgiftsansvarige ska göra följande allmänna informa- tion tillgänglig för registrerade.

1.Den personuppgiftsansvariges identitet och kontaktuppgifter.

2.Dataskyddsombudets kontaktuppgifter.

3.Ändamålen med behandlingen.

4.Rätten enligt 3 § att begära att få information om behandling av personuppgifter och att få del av dem.

5.Rätten att begära rättelse, radering eller begränsning av behand- lingen enligt 9 och 10 §§.

6.Möjligheten att lämna in klagomål till tillsynsmyndigheten och kontaktuppgifterna till den.

Personrelaterad information

2 § Den personuppgiftsansvarige ska i specifika fall lämna följande information till den registrerade, om det behövs för att han eller hon ska kunna ta tillvara sina rättigheter.

42

SOU 2017:29

Författningsförslag

1.Den rättsliga grunden för behandlingen.

2.Kategorier av mottagare av personuppgifterna, även i tredjeland eller internationella organisationer.

3.Hur länge personuppgifterna får behandlas eller, om det inte är möjligt att ange, kriterierna för att fastställa det.

4.Övrig nödvändig information.

Vid bedömningen av om information enligt första stycket 4 ska lämnas ska det särskilt beaktas om personuppgifterna samlats in utan den registrerades vetskap.

3 § Den personuppgiftsansvarige ska till den som begär det utan onö- digt dröjsmål lämna skriftligt besked om personuppgifter som rör honom eller henne behandlas. Behandlas sådana uppgifter ska sökan- den få del av dem och få följande skriftliga information.

1.Vilka personuppgifter om sökanden som behandlas.

2.Varifrån personuppgifterna kommer.

3.Den rättsliga grunden för behandlingen.

4.Ändamålen med behandlingen.

5.Mottagare eller kategorier av mottagare av personuppgifterna, även i tredjeland eller internationella organisationer.

6.Hur länge personuppgifterna får behandlas eller, om det inte är möjligt att ange, kriterierna för att fastställa det.

7.Rätten att begära rättelse, radering eller begränsning av behand- lingen enligt 9 och 10 §§.

8.Möjligheten att lämna in klagomål till tillsynsmyndigheten och kontaktuppgifterna till den.

Utlämnande enligt första stycket behöver inte omfatta personupp- gifter som sökanden har tagit del av, om inte han eller hon begär det. Det ska dock framgå av informationen att personuppgifterna i fråga behandlas.

4 § Den som har varit föremål för ett sådant beslut som avses i 2 kap. 19 § får av den personuppgiftsansvarige begära närmare information om beslutet.

43

Författningsförslag

SOU 2017:29

Begränsning av rätten till information

5 § Informationsskyldigheten i 2 och 3 §§ gäller inte i den utsträck- ning det är särskilt föreskrivet i lag eller annan författning eller annars framgår av beslut som har meddelats med stöd av författning att upp- gifter inte får lämnas ut av hänsyn till intresset av att

1.förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet,

2.andra rättsliga utredningar eller undersökningar inte hindras,

3.nationell säkerhet skyddas, eller

4.annans fri- och rättigheter skyddas.

Om förutsättningarna i första stycket är uppfyllda, är den person- uppgiftsansvarige inte skyldig att lämna ut skälen för beslut enligt första stycket eller beslut i fråga om rättelse, radering eller begräns- ning av behandlingen enligt 9 eller 10 §.

Undantagen från informationsskyldigheten enligt första och andra styckena gäller även för en personuppgiftsansvarig som inte är en myndighet i motsvarande fall som avses i offentlighets- och sekretess- lagen (2009:400).

6 § Informationsskyldigheten i 3 § gäller inte personuppgifter i löpan- de text som inte fått sin slutliga utformning när begäran gjordes eller som utgör minnesanteckning eller liknande.

Informationsskyldigheten gäller dock om uppgifterna har lämnats ut till tredje man, behandlas enbart för vetenskapliga, statistiska eller historiska ändamål eller arkivändamål av allmänt intresse eller, när det gäller löpande text som inte fått sin slutliga utformning, om uppgifter- na har behandlats längre än ett år.

7 § Om en begäran enligt 3 § är orimlig eller uppenbart ogrundad får den personuppgiftsansvarige avslå den.

Av 12 § andra stycket framgår att den personuppgiftsansvarige i vissa fall får ta ut avgift i stället för att avslå begäran.

44

SOU 2017:29

Författningsförslag

Möjligheten att begära kontroll genom tillsynsmyndigheten

8 § I 5 kap. 3 § finns bestämmelser om att en fysisk person får begära att tillsynsmyndigheten kontrollerar om hans eller hennes personupp- gifter behandlas författningsenligt.

Rätten till rättelse, radering och begränsning av behandlingen

9 § Den personuppgiftsansvarige ska på begäran av den registrerade utan onödigt dröjsmål rätta eller komplettera personuppgifter som rör honom eller henne om de är felaktiga eller ofullständiga med hänsyn till ändamålet med behandlingen.

Om den personuppgiftsansvarige inte kan fastställa att personupp- gifterna är korrekta ska behandlingen av uppgifterna i stället utan onödigt dröjsmål begränsas.

10 § Den personuppgiftsansvarige ska på begäran av den registrerade utan onödigt dröjsmål radera personuppgifter som rör honom eller henne om de behandlas i strid med 2 kap. 1, 2, 3 § första stycket, 4–6, 8, 11, 12, 14 eller 17 § första stycket. Detsamma gäller om radering krävs för att den personuppgiftsansvarige ska utföra en rättslig för- pliktelse.

Om förutsättningarna i första stycket för att radera personuppgif- ter är uppfyllda men de behöver finnas kvar som bevisning, ska den personuppgiftsansvarige på begäran av den registrerade i stället utan onödigt dröjsmål begränsa behandlingen av uppgifterna.

11 § Den personuppgiftsansvarige avgör vilken åtgärd som ska vidtas med anledning av en begäran om rättelse, radering eller begränsning av behandlingen.

Avgiftsfri information

12 § Information enligt 1, 2 och 4 §§ ska lämnas utan avgift. Informa- tion och uppgifter enligt 3 § ska lämnas utan avgift en gång per år.

Om någon begär information och uppgifter enligt 3 § oftare än en gång per år, får den personuppgiftsansvarige ta ut en rimlig avgift eller avslå begäran enligt 7 § första stycket.

45

Författningsförslag

SOU 2017:29

Föreskrifter

13 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1.information enligt 1–4 §§,

2.avgift för information som avses i 3 §, och

3.kraven på en begäran enligt 3, 4, 9 eller 10 §.

5 kap. Tillsyn

Tillsynsmyndighetens uppdrag

1 § Tillsynsmyndigheten ska verka både för att fysiska personers grundläggande fri- och rättigheter skyddas i samband med behandling av personuppgifter och för att underlätta det fria flödet av person- uppgifter inom denna lags tillämpningsområde.

Tillsynsmyndighetens uppgifter 2 § Tillsynsmyndigheten ska

1.utöva allmän tillsyn över personuppgiftsbehandling,

2.handlägga klagomål från registrerade,

3.utföra kontroll enligt 3 §, och

4.på begäran bistå en tillsynsmyndighet i en annan medlemsstat.

3 § Tillsynsmyndigheten ska på begäran kontrollera om uppgifter om en fysisk person behandlas författningsenligt. Den som begär sådan kontroll ska visa att han eller hon har begärt information enligt 4 kap. 3 § eller en åtgärd enligt 4 kap. 9 eller 10 §.

Myndigheten får vägra att utföra sådan kontroll som avses i första stycket om begäran är orimlig eller uppenbart ogrundad.

4 § Tillsynsmyndigheten ska ge råd och stöd till personuppgiftsansva- riga och personuppgiftsbiträden om deras skyldigheter enligt lag eller annan författning vid förhandssamråd och när det i övrigt är påkallat.

46

SOU 2017:29

Författningsförslag

Tillsynsmyndighetens befogenheter

Undersökningsbefogenheter

5 § Tillsynsmyndigheten har rätt att av personuppgiftsansvariga och personuppgiftsbiträden på begäran få

1.tillgång till alla personuppgifter som behandlas,

2.upplysningar om och dokumentation av behandlingen av person- uppgifter och säkerhets- och skyddsåtgärder,

3.tillträde till lokaler som den personuppgiftsansvarige eller per- sonuppgiftsbiträdet disponerar och tillgång till utrustning och andra medel för behandling av personuppgifter, och

4.det biträde och annan information som behövs för tillsynen.

Förebyggande befogenheter

6 § Om tillsynsmyndigheten bedömer att det finns risk för att per- sonuppgifter kan komma att behandlas i strid med lag eller annan författning, ska myndigheten genom råd, rekommendationer eller påpe- kanden försöka förmå den personuppgiftsansvarige eller personupp- giftsbiträdet att vidta åtgärder för att minska den risken.

Tillsynsmyndigheten får utfärda en skriftlig varning för att plane- rad behandling av personuppgifter riskerar att stå i strid med lag eller annan författning. Detsamma gäller om pågående behandling riskerar att stå i strid med lag eller annan författning.

Korrigerande befogenheter

7 § Om tillsynsmyndigheten konstaterar att personuppgifter behand- las i strid med lag eller annan författning eller att den personuppgifts- ansvarige eller personuppgiftsbiträdet annars inte fullgör sina skyldig- heter, får tillsynsmyndigheten

1.genom sådana åtgärder som anges i 6 § första stycket försöka förmå den personuppgiftsansvarige eller personuppgiftsbiträdet att vidta åtgärder för att behandlingen ska bli författningsenlig eller att uppfylla andra skyldigheter,

2.förelägga den personuppgiftsansvarige eller personuppgiftsbiträ- det att vidta åtgärder för att behandlingen ska bli författningsenlig eller att uppfylla andra skyldigheter,

47

Författningsförslag

SOU 2017:29

3.förbjuda fortsatt behandling om bristen är allvarlig, eller

4.besluta om sanktionsavgift enligt 6 kap.

Om ett föreläggande utfärdas ska det av föreläggandet framgå när åtgärderna senast ska vara genomförda och, om det är lämpligt, vilka åtgärder som ska vidtas.

Kommunikation

8 § Innan tillsynsmyndigheten fattar ett beslut enligt 7 § första stycket 2–4, ska den som beslutet gäller ges tillfälle att inom en bestämd tid yttra sig över allt material av betydelse för beslutet, om det inte är uppenbart obehövligt.

Besked angående handläggningen av ett klagomål

9 § Om tillsynsmyndigheten inte inom tre månader från den dag då ett klagomål kom in till myndigheten har tagit ställning till om tillsyn ska utövas i anledning av klagomålet, ska myndigheten på skriftlig begäran av den registrerade antingen lämna besked i den frågan eller i ett särskilt beslut avslå begäran.

Besked eller beslut enligt första stycket ska meddelas inom två veckor från den dag då begäran kom in till myndigheten.

10 § Om tillsynsmyndigheten har avslagit en begäran enligt 9 §, får den registrerade begära nytt besked tidigast tre månader efter det att myndighetens beslut meddelades. Om den registrerade innan dess på nytt begär besked avseende samma klagomål, ska myndigheten avvisa begäran.

Samarbete med tillsynsmyndigheter i andra medlemsstater

11 § En begäran om bistånd från en tillsynsmyndighet i en annan medlemsstat får vägras endast om det skulle strida mot en bindande unionsrättsakt, en lag eller en förordning att tillmötesgå den.

12 § När tillsynsmyndigheten utövar tillsyn enligt 2 § 4 har den de be- fogenheter som anges i 5–7 §§.

48

SOU 2017:29

Författningsförslag

13 § Tillsynsmyndigheten får, om det är förenligt med svenska intres- sen, lämna ut en uppgift till en behörig tillsynsmyndighet i annan medlemsstat, även om uppgiften är sekretessbelagd enligt offentlig- hets- och sekretesslagen (2009:400).

14 § Information som tillsynsmyndigheten efter begäran har fått från en tillsynsmyndighet i en annan medlemsstat får inte användas för något annat ändamål än det för vilket informationen begärdes.

Ansökan hos allmän förvaltningsdomstol

15 § Om tillsynsmyndigheten vid handläggningen av ett ärende be- dömer att det finns särskilda skäl att ifrågasätta giltigheten av en unionsrättsakt som påverkar tillämpningen av denna lag, får myndig- heten hos allmän förvaltningsdomstol ansöka om att en åtgärd som anges i 7 § första stycket 2–4 ska vidtas.

Ansökan ska göras hos den förvaltningsrätt som är behörig att pröva ett överklagande av tillsynsmyndighetens beslut.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Föreskrifter

16 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1.kraven på en begäran enligt 3 §,

2.anmälningsskyldighet, och

3.samarbete med tillsynsmyndigheter i andra medlemsstater.

6 kap. Administrativa sanktionsavgifter

Överträdelser som kan föranleda sanktionsavgift

1 § Sanktionsavgift får tas ut av en personuppgiftsansvarig vid över- trädelse av bestämmelser i

1.2 kap. 1–5, 7–12, 14–18 eller 19 § andra stycket,

2.3 kap. 2–8 §§, eller

3.8 kap. 1–6 eller 8 §.

49

Författningsförslag

SOU 2017:29

Sanktionsavgift får också tas ut om en personuppgiftsansvarig inte anmäler en personuppgiftsincident enligt 3 kap. 9 § första stycket, inte dokumenterar sådana incidenter eller underlåter att bistå tillsynsmyn- digheten enligt 5 kap. 5 § eller att följa tillsynsmyndighetens beslut enligt 5 kap. 7 § första stycket 2 eller 3.

2 § Sanktionsavgift får tas ut av ett personuppgiftsbiträde vid över- trädelse av 3 kap. 5, 6 eller 8 §.

Sanktionsavgift får också tas ut om ett personuppgiftsbiträde underlåter att bistå tillsynsmyndigheten enligt 5 kap. 5 § eller inte följer tillsynsmyndighetens beslut enligt 5 kap. 7 § första stycket 2 eller 3.

Hur sanktionsavgiften ska bestämmas

3 § Sanktionsavgiften ska vid överträdelser av 3 kap. 6 eller 7 § eller av bestämmelser om dokumentation av personuppgiftsincidenter vara minst 25 000 kronor och högst 10 000 000 kronor.

Vid överträdelser av övriga bestämmelser som anges i 1 och 2 §§ ska avgiften vara minst 50 000 kronor och högst 20 000 000 kronor.

Om flera bestämmelser har överträtts genom samma personupp- giftsbehandling, eller om en eller flera bestämmelser har överträtts genom sammankopplade personuppgiftsbehandlingar, ska sanktions- avgiften bestämmas efter överträdelsernas allvar. Sanktionsavgiften får aldrig överstiga maximibeloppet för den allvarligaste överträdelsen.

4 § Vid bedömningen av om sanktionsavgift ska tas ut och när stor- leken på avgiften ska bestämmas ska särskild hänsyn tas till

1.om överträdelsen varit uppsåtlig eller berott på oaktsamhet,

2.den skada, fara eller kränkning som överträdelsen inneburit,

3.överträdelsens karaktär, svårhetsgrad och varaktighet,

4.vad den personuppgiftsansvarige eller personuppgiftsbiträdet gjort för att begränsa skadan, och

5.om den personuppgiftsansvarige eller personuppgiftsbiträdet tidigare ålagts att betala sanktionsavgift.

5 § Sanktionsavgiften får sättas ned helt eller delvis om överträdelsen är ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgift.

50

SOU 2017:29

Författningsförslag

Beslut om sanktionsavgift

6 § Tillsynsmyndigheten beslutar om sanktionsavgift. Sanktionsavgiften tillfaller staten.

7 § Sanktionsavgift får inte beslutas, om den som avgiften ska tas ut av inte har fått tillfälle att yttra sig inom fem år från den dag då överträ- delsen ägde rum.

Föreskrifter

8 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om hand- läggningen av beslut om och verkställighet av sanktionsavgift.

7 kap. Skadestånd och rättsmedel

Skadestånd

1 § Den personuppgiftsansvarige ska ersätta den registrerade för den skada och kränkning av den personliga integriteten som behandling av personuppgifter i strid med denna lag, eller föreskrifter som har med- delats i anslutning till den, har orsakat.

Överklagande

Överklagande av beslut som fattats av en myndighet i egenskap av personuppgiftsansvarig

2 § Beslut i fråga om rättelse eller komplettering enligt 4 kap. 9 § första stycket, radering enligt 4 kap. 10 § första stycket, eller begräns- ning av behandlingen enligt 4 kap. 9 § andra stycket eller 10 § andra stycket, som har meddelats av en myndighet i egenskap av personupp- giftsansvarig, får överklagas till allmän förvaltningsdomstol. Detsam- ma gäller beslut att inte lämna information enligt 4 kap. 3 eller 4 §, att ta ut avgift enligt 4 kap. 12 § andra stycket eller att inte medge om- prövning av ett automatiserat beslut enligt 2 kap. 19 § första stycket.

Prövningstillstånd krävs vid överklagande till kammarrätten.

51

Författningsförslag

SOU 2017:29

Första stycket gäller inte beslut av regeringen, Högsta domstolen, Högsta förvaltningsdomstolen eller riksdagens ombudsmän.

Dröjsmålstalan

3 § Tillsynsmyndighetens beslut att avslå en begäran om besked enligt 5 kap. 9 § får överklagas till allmän förvaltningsdomstol.

Om domstolen bifaller överklagandet, ska den förelägga tillsyns- myndigheten att inom en bestämd tid lämna den registrerade besked i fråga om tillsyn kommer att utövas.

Domstolens beslut får inte överklagas.

Överklagande av andra beslut av tillsynsmyndigheten

4 § Tillsynsmyndighetens beslut enligt denna lag eller enligt föreskrif- ter som har meddelats i anslutning till den får överklagas till allmän förvaltningsdomstol.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Beslut som inte får överklagas

5 § Andra beslut enligt denna lag än de som anges i 2–4 §§ får inte överklagas.

8 kap. Överföring av personuppgifter till tredjeland och internationella organisationer

Grundläggande förutsättningar för överföring

1 § En behörig myndighet får överföra personuppgifter som behandlas till ett tredjeland eller en internationell organisation. Det gäller även överföring av personuppgifter för behandling i ett tredjeland eller av en internationell organisation. Personuppgifterna får dock endast överföras om överföringen

1. är nödvändig för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påfölj- der eller upprätthålla allmän ordning och säkerhet,

52

SOU 2017:29

Författningsförslag

2.riktas till en behörig myndighet i ett tredjeland eller till en inter- nationell organisation som är en behörig myndighet, och

3.omfattas av

a)ett beslut om adekvat skyddsnivå enligt 3 §, eller

b)tillräckliga skyddsåtgärder enligt 4 §, eller

c)ett undantag för särskilda situationer enligt 5 §.

En behörig myndighet som avser att överföra personuppgifter till ett tredjeland eller en internationell organisation ska särskilt beakta risken för att enskilda får försämrat skydd för sina personuppgifter.

2 § Personuppgifter som en svensk myndighet har fått från en annan medlemsstat får överföras till ett tredjeland eller en internationell organisation endast om den medlemsstat som lämnat uppgifterna till en svensk myndighet har medgett att de överförs.

Om medgivande enligt första stycket på grund av tidsbrist inte kan inhämtas i förväg, får personuppgifter ändå överföras om det är nöd- vändigt för att avvärja en omedelbar och allvarlig fara för allmän säker- het. Detsamma gäller om det är nödvändigt för att avvärja en omedel- bar och allvarlig fara för andra väsentliga intressen för Sverige eller en annan medlemsstat.

Tillåtna grunder för överföring

Beslut om adekvat skyddsnivå

3 § Om Europeiska kommissionen har beslutat att det finns en ade- kvat nivå för skyddet av personuppgifter i ett tredjeland, eller en viss geografisk eller på annat sätt angiven del av det, får personuppgifter överföras dit. Detsamma gäller om det finns ett sådant beslut avseende en internationell organisation.

Tillräckliga skyddsåtgärder

4 § Om det inte finns ett beslut om adekvat skyddsnivå enligt 3 §, får personuppgifter ändå överföras till ett tredjeland eller en internationell organisation om

1. skyddsåtgärder för personuppgifter har fastställts i ett avtal som ger tillräckliga garantier till skydd för registrerades rättigheter, eller

53

Författningsförslag

SOU 2017:29

2. den behöriga myndighet som uppgifterna ska överföras till på annat sätt garanterar tillräckligt skydd för dem.

Överföring i särskilda situationer

5 § Om det inte finns ett beslut om adekvat skyddsnivå enligt 3 § eller tillräckliga skyddsåtgärder enligt 4 §, får en överföring, eller en sam- ling av överföringar, av personuppgifter göras till ett tredjeland eller en internationell organisation endast om överföringen är nödvändig för att

1.skydda den registrerades eller en annan fysisk persons vitala in- tressen, eller andra berättigade intressen för den registrerade,

2.i ett enskilt fall förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påfölj- der eller upprätthålla allmän ordning och säkerhet,

3.i ett enskilt fall kunna fastställa, göra gällande eller försvara ett rättsligt anspråk som hänför sig till ett sådant syfte som anges i 2, eller

4.avvärja en omedelbar och allvarlig fara för allmän säkerhet. Personuppgifter får inte överföras till ett tredjeland eller en inter-

nationell organisation om den registrerades intresse av skydd mot kränkning av grundläggande fri- och rättigheter väger tyngre än det allmännas intresse av en sådan överföring som avses i första stycket 2 eller 3.

Vidareöverföring

6 § En svensk behörig myndighet får inte tillåta att sådana person- uppgifter som anges i 2 § första stycket, och som överförts till ett tredjeland eller en internationell organisation, vidareöverförs till ett tredjeland eller en internationell organisation, om inte en behörig myndighet i den andra medlemsstaten har medgett att uppgifterna får vidareöverföras.

7 § När en behörig myndighet ska ta ställning till om personuppgifter som behandlats i Sverige och därefter lämnats till en annan medlems- stat, som överfört dem till ett tredjeland eller en internationell organi- sation, får vidareöverföras till ett tredjeland eller en internationell organisation, ska alla kända omständigheter som har samband med vidareöverföringen beaktas. Särskild vikt ska läggas vid brottets allvar,

54

SOU 2017:29

Författningsförslag

allvaret i faran för allmän säkerhet, det ändamål för vilket personupp- gifterna ursprungligen lämnades till den andra medlemsstaten och nivån på skyddet av personuppgifter i det tredjelandet eller hos den internationella organisationen dit uppgifterna ska vidareöverföras.

Överföring till andra än behöriga myndigheter

8 § En behörig myndighet, med undantag för en annan aktör som ut- övar myndighet, får i ett enskilt fall, trots kravet i 1 § 2, överföra per- sonuppgifter till någon som inte är en behörig myndighet i ett tredje- land. Personuppgifterna får överföras endast om

1.det är absolut nödvändigt för att den svenska myndigheten ska kunna utföra en arbetsuppgift enligt 1 kap. 2 § som den har ansvar för,

2.den svenska myndigheten informerar den som ska ta emot per- sonuppgifterna om det eller de specifika ändamål för vilket eller vilka uppgifterna får behandlas, och

3.det skulle vara ineffektivt eller olämpligt att överföra dem till be- hörig myndighet i det tredjelandet.

Personuppgifter får inte överföras enligt första stycket om den registrerades intresse av skydd mot kränkning av grundläggande fri- och rättigheter väger tyngre än det allmännas intresse av att över- föringen görs.

Villkor om användningsbegränsning

9 § Om en svensk behörig myndighet har fått personuppgifter från ett tredjeland eller en internationell organisation och gäller på grund av en överenskommelse med det tredjelandet eller den internationella orga- nisationen villkor som begränsar möjligheten att använda uppgifterna, ska svenska myndigheter följa villkoren oavsett vad som är föreskrivet i lag eller annan författning.

10 § En svensk behörig myndighet får, vid överföring av personupp- gifter till ett tredjeland eller en internationell organisation, i ett enskilt fall ställa upp villkor som begränsar möjligheten att använda uppgifter- na, om det krävs med hänsyn till enskilds rätt eller från allmän syn- punkt.

55

Författningsförslag

SOU 2017:29

Föreskrifter

11 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1.information till annan medlemsstat när personuppgifter över- förts utan förhandsmedgivande enligt 2 § andra stycket,

2.information till behörig myndighet i tredjeland när personupp- gifter överförts enligt 8 §, och

3.dokumentation av överföringar och information om sådana till tillsynsmyndigheten.

1.Denna lag träder i kraft den 1 maj 2018.

2.Genom lagen upphävs lagen (2013:329) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen.

3.Bestämmelsen i 3 kap. 5 § om loggning behöver inte tillämpas på automatiserade behandlingssystem som inrättats före den 6 maj 2018 förrän den 1 maj 2023.

4.Sanktionsavgift enligt 6 kap. får beslutas endast för överträdelser som har begåtts efter ikraftträdandet.

5.För överträdelser av bestämmelser om personuppgiftsbehandling som rör brottsbekämpning, lagföring, straffverkställighet och upprätt- hållande av allmän ordning och säkerhet som begåtts före ikraftträdan- det gäller fortfarande äldre föreskrifter.

6.Ärenden om tillsyn över personuppgiftsbehandling och som Datainspektionen eller Säkerhets- och integritetsskyddsnämnden inte har avgjort före ikraftträdandet handläggs enligt äldre föreskrifter.

7.Äldre föreskrifter gäller fortfarande för överklagande av beslut som meddelats före ikraftträdandet och som rör behandling av person- uppgifter för brottsbekämpning, lagföring, straffverkställighet och upprätthållande av allmän ordning och säkerhet.

8.Bestämmelserna om skadestånd i 48 § i personuppgiftslagen (1998:204) gäller fortfarande för skada som har orsakats vid behand- ling av personuppgifter som rör brottsbekämpning, lagföring, straff- verkställighet och upprätthållande av allmän ordning och säkerhet före ikraftträdandet.

56

SOU 2017:29

Författningsförslag

1.2Förslag till

brottsdataförordning (2018:000)

Härigenom föreskrivs följande.

1 kap. Allmänna bestämmelser

1 § I denna förordning finns kompletterande föreskrifter beträffande sådan behandling av personuppgifter som omfattas av brottsdatalagen (2018:000).

2 § Uttryck som används i denna förordning har samma innebörd och tillämpningsområde som i brottsdatalagen (2018:000).

2 kap. Behandling av personuppgifter

1 § Om det visar sig att sådana personuppgifter som anges i 2 kap. 15 § första stycket eller 16 § första stycket brottsdatalagen (2018:000) har lämnats ut ska mottagaren omedelbart underrättas om det. Detsamma gäller så långt möjligt den som har tagit del av sådana personuppgifter som har gjorts tillgängliga.

2 § Den personuppgiftsansvarige ska se till att det finns rutiner för

1.att säkerställa att de som behandlar personuppgifter respekterar fristerna för när personuppgifter inte längre får behandlas, och

2.årlig översyn av behovet av att lagra personuppgifter.

3 § Den som lämnar ut personuppgifter ska underrätta mottagaren om sådana särskilda villkor för behandlingen som har ställts upp med stöd av en bindande unionsrättsakt, en lag eller en förordning.

3 kap. Personuppgiftsansvarigas skyldigheter

Tekniska och organisatoriska åtgärder

1 § De åtgärder som den personuppgiftsansvarige ska vidta enligt 3 kap. 2 och 3 §§ brottsdatalagen (2018:000) ska vara rimliga med be- aktande av behandlingens art, omfattning, sammanhang och ändamål och de särskilda riskerna med behandlingen. När den personuppgifts-

57

Författningsförslag

SOU 2017:29

ansvarige vidtar åtgärder enligt 3 kap. 3 § samma lag ska även de tek- niska möjligheterna och kostnaderna för åtgärderna beaktas.

Dokumentationsskyldighet

Interna strategier

2 § De åtgärder som avses i 3 kap. 2 § brottsdatalagen (2018:000) ska, om det inte är uppenbart obehövligt med hänsyn till verksamhetens begränsade omfattning, innefatta antagande och dokumentation av interna strategier för dataskydd.

Register över behandlingar

3 § Den personuppgiftsansvarige ska förteckna kategorier av behand- lingar av personuppgifter som denne ansvarar för. Registret ska, för- utom namnet på och kontaktuppgifter till den personuppgiftsansva- rige, gemensamt personuppgiftsansvariga och dataskyddsombud, för varje kategori av behandling innehålla följande uppgifter.

1.Den rättsliga grunden för behandlingen.

2.Ändamålen med behandlingen.

3.Kategorier av tjänstemän som har tillgång till de personuppgifter som behandlas.

4.Kategorier av mottagare till vilka uppgifterna kan komma att lämnas ut, även i tredjeland eller internationella organisationer.

5.Kategorier av registrerade som berörs av behandlingen.

6.Kategorier av personuppgifter som kan komma att behandlas.

7.Samlingar av överföringar av personuppgifter till tredjeland eller internationella organisationer.

8.Användning av profilering.

9.Om det är möjligt, tidsfrister för hur länge kategorierna av per- sonuppgifter får behandlas.

10.Om det är möjligt, en allmän beskrivning av vilka säkerhetsåt- gärder som har vidtagits.

58

SOU 2017:29

Författningsförslag

Loggning

4 § Skyldigheten att föra loggar i automatiserade behandlingssystem enligt 3 kap. 5 § brottsdatalagen (2018:000) ska omfatta behandlingar som innebär insamling, ändring, läsning, utlämning, överföring till tredjeland eller internationella organisationer, sammanföring och rade- ring av personuppgifter. Loggarna över läsning och utlämning ska visa datum och tidpunkt för behandlingen och, så långt möjligt, vem som har läst eller lämnat ut personuppgifterna och vem som har fått ta del av personuppgifterna.

Konsekvensbedömning och förhandssamråd

5 § Konsekvensbedömningar som avses i 3 kap. 7 § första stycket brottsdatalagen (2018:000) ska dokumenteras och innehålla följande uppgifter.

1.En allmän beskrivning av den planerade behandlingen.

2.En bedömning av riskerna för intrång i registrerades personliga integritet.

3.Vilka åtgärder som planeras för att hantera riskerna.

4.Åtgärder och rutiner för att säkerställa skyddet av personuppgif- terna.

5.Rutiner för att visa att tillämpliga dataskyddsregler följs.

6 § Vid förhandssamråd enligt 3 kap. 7 § andra stycket brottsdatalagen (2018:000) ska den personuppgiftsansvarige ge in konsekvensbedöm- ningen till tillsynsmyndigheten och tillhandahålla den övriga informa- tion som begärs av myndigheten.

Vid bedömningen av om typen av behandling innebär sådan risk för intrång i registrerades personliga integritet att förhandssamråd ska äga rum ska ny teknik, nya rutiner eller nya förfaranden särskilt beaktas.

Anmälan av överträdelser

7 § Den personuppgiftsansvarige ska ha interna rutiner för anmälan av överträdelser av bestämmelser om personuppgiftsbehandling som garanterar att anmälarens identitet skyddas.

59

Författningsförslag

SOU 2017:29

Säkerheten vid behandling av personuppgifter

Skyddsåtgärder

8 § Skyddsåtgärder enligt 3 kap. 8 § brottsdatalagen (2018:000) ska åstadkomma en skyddsnivå som är lämplig med beaktande av

1.de tekniska möjligheterna,

2.kostnaderna för åtgärderna,

3.behandlingens art, omfattning, sammanhang och ändamål,

4.de särskilda riskerna med behandlingen,

5.om känsliga personuppgifter behandlas, och

6.hur integritetskänsliga övriga personuppgifter som behandlas är.

Personuppgiftsincidenter

9 § Av 10 a och 39 §§ säkerhetsskyddsförordningen (1996:633) fram- går vilka incidenter som enligt 3 kap. 9 § första stycket brottsdatalagen (2018:000) inte ska anmälas till tillsynsmyndigheten på grund av att de rör nationell säkerhet.

10 § En anmälan enligt 3 kap. 9 § första stycket brottsdatalagen (2018:000) ska innehålla följande information.

1.En beskrivning av personuppgiftsincidenten och när den inträf-

fade.

2.Kategorier av registrerade och det uppskattade antalet registre- rade som berörs.

3.Kategorier av personuppgiftsposter och det uppskattade antalet poster som berörs.

4.Sannolika konsekvenser av incidenten.

5.Vilka åtgärder som vidtagits eller kommer att vidtas med anled- ning av incidenten.

6.Genomförda eller planerade underrättelser till registrerade.

7.Namnet på och kontaktuppgifter till dataskyddsombud eller annan lämplig kontaktpunkt.

All information enligt första stycket ska lämnas samtidigt om det är möjligt.

Om anmälan görs senare än 72 timmar efter att personuppgifts- incidenten blev känd för den personuppgiftsansvarige ska förseningen förklaras.

60

SOU 2017:29

Författningsförslag

11 § En underrättelse enligt 3 kap. 10 § första stycket brottsdatalagen (2018:000) ska innehålla följande uppgifter.

1.En beskrivning av personuppgiftsincidenten och när den inträf-

fade.

2.Bedömda konsekvenser för den registrerade.

3.Vilka åtgärder som vidtagits eller kommer att vidtas med anled- ning av personuppgiftsincidenten.

4.Åtgärder som den registrerade kan vidta för att begränsa skadan.

5.Kontaktuppgifter till dataskyddsombud eller annan lämplig kon- taktpunkt.

12 § Den personuppgiftsansvarige ska dokumentera alla personupp- giftsincidenter. Av dokumentationen ska framgå omständigheterna rörande incidenten, dess effekter och de åtgärder som vidtagits med anledning av den.

13 § Om en personuppgiftsincident rör personuppgifter som kommer från eller har lämnats till en behörig myndighet i en annan medlems- stat ska sådan information som anges i 10 § första stycket utan onö- digt dröjsmål lämnas till den myndigheten.

Dataskyddsombud

14 § Den personuppgiftsansvarige ska säkerställa att dataskyddsom- bud ges möjlighet att delta i de frågor som rör skyddet av personupp- gifter.

Den personuppgiftsansvarige ska se till att dataskyddsombud kan utföra de uppgifter som anges i 3 kap. 14 och 15 §§ brottsdatalagen (2018:000) genom att tillhandahålla nödvändiga resurser, ge tillgång till dokumentation om behandling av personuppgifter och vid behov medge åtkomst till personuppgifter som behandlas. Den personupp- giftsansvarige ska också se till att dataskyddsombud ges möjlighet att upprätthålla sin sakkunskap.

61

Författningsförslag

SOU 2017:29

Personuppgiftsbiträden

Avtalets eller överenskommelsens innehåll

15 § Ett avtal eller en annan överenskommelse enligt 3 kap. 18 § brottsdatalagen (2018:000) ska åtminstone ange vad behandlingen ska avse, hur länge behandlingen ska pågå, dess art och ändamål, typen av personuppgifter, kategorier av registrerade och den personuppgiftsan- svariges skyldigheter och rättigheter. I avtalet eller överenskommelsen ska det särskilt föreskrivas att personuppgiftsbiträdet ska

1.behandla personuppgifter bara enligt instruktioner från den per- sonuppgiftsansvarige,

2.säkerställa att personer som har tillstånd att behandla personupp- gifter har förbundit sig att iaktta regler om tystnadsplikt eller omfattas av lagstadgad tystnadsplikt,

3.hjälpa den personuppgiftsansvarige att säkerställa att bestämmel- serna om registrerades rättigheter följs,

4.radera eller återlämna alla personuppgifter till den personupp- giftsansvarige när uppdraget har slutförts och, om inte annat följer av lag eller förordning, radera befintliga kopior,

5.ge den personuppgiftsansvarige tillgång till den information som krävs för att visa att det som sägs i denna paragraf, 16 § och 3 kap. 17– 19 §§ brottsdatalagen följs, och

6. respektera de villkor som framgår av denna paragraf, 16 § och 3 kap. 18 § brottsdatalagen vid anlitande av ett annat personuppgifts- biträde.

Underbiträden

16 § Har den personuppgiftsansvarige lämnat ett generellt tillstånd enligt 3 kap. 18 § andra stycket brottsdatalagen (2018:000), ska per- sonuppgiftsbiträdet informera den personuppgiftsansvarige innan nya personuppgiftsbiträden anlitas.

Register över behandlingar

17 § Varje personuppgiftsbiträde ska förteckna kategorier av behand- ling av personuppgifter som utförs för en personuppgiftsansvarigs räkning. Registret ska innehålla namnet på och kontaktuppgifter till

62

SOU 2017:29

Författningsförslag

personuppgiftsbiträdet och för varje kategori av behandling följande uppgifter.

1.Namnet på och kontaktuppgifter till eventuella underbiträden.

2.Namnet på och kontaktuppgifter till den personuppgiftsansva- rige för vars räkning personuppgiftsbiträdet agerar.

3.Om överföringar av personuppgifter har gjorts till ett tredjeland eller en internationell organisation, vilka uppgifter som har överförts och till vem.

4.Om möjligt, en allmän beskrivning av de säkerhetsåtgärder som har vidtagits.

Underrättelseskyldighet

18 § Ett personuppgiftsbiträde ska utan onödigt dröjsmål underrätta den personuppgiftsansvarige om en personuppgiftsincident.

Övriga skyldigheter

19 § Det som sägs om den personuppgiftsansvariges skyldigheter i 4 och 8 §§ gäller även för personuppgiftsbiträden.

Gemensamt personuppgiftsansvariga

20 § Gemensamt personuppgiftsansvariga ska i en skriftlig överens- kommelse reglera sina respektive förpliktelser i egenskap av person- uppgiftsansvarig. I överenskommelsen ska det särskilt regleras

1.hur ansvaret för enskildas rättigheter ska utövas och vars och ens skyldighet att tillhandahålla information enligt 4 kap. 1 och 2 §§ brottsdatalagen (2018:000), och

2.vem som ska vara kontaktpunkt för registrerade.

En sådan överenskommelse som anges i första stycket får inte inne- bära att de personuppgiftsansvarigas författningsenliga skyldigheter inte fullgörs.

Den registrerade får, trots en sådan överenskommelse som avses i första stycket, utöva sina rättigheter gentemot var och en av de per- sonuppgiftsansvariga.

63

Författningsförslag

SOU 2017:29

Bemyndiganden

21 § Tillsynsmyndigheten får meddela närmare föreskrifter om

1.sådana åtgärder som avses i 3 kap. 2–4 och 8 §§ brottsdatalagen (2018:000),

2.krav och rutiner för loggning enligt 3 kap. 5 § brottsdatalagen,

3.vilka typer av behandlingar som ska omfattas av förhandssamråd enligt 3 kap. 7 § andra stycket brottsdatalagen, och

4.anmälan och underrättelse om personuppgiftsincidenter.

4 kap. Enskildas rättigheter

Krav på utformningen av information

1 § Information enligt 3 kap. 10 § första stycket och 4 kap. 1–4 §§ brottsdatalagen (2018:000) ska vara lättillgänglig och lättbegriplig och lämnas i lämplig form. Detsamma gäller information enligt 3–7 §§, 3 kap. 11 § och 5 kap. 2 § denna förordning.

Enskilds begäran

2 § Begäran enligt 4 kap. 3, 4, 9 eller 10 § brottsdatalagen (2018:000) ska göras skriftligen hos den personuppgiftsansvarige.

Den personuppgiftsansvarige ska säkerställa att begäran görs av en behörig person.

Beslut

3 § Beslut enligt 4 kap. 5, 7, 9 och 10 §§ och 12 § andra stycket brotts- datalagen (2018:000) ska vara skriftliga. Beslut som går den registre- rade emot ska motiveras.

Av 4 kap. 5 § andra och tredje styckena brottsdatalagen framgår att skälen för vissa beslut inte behöver lämnas ut.

64

SOU 2017:29

Författningsförslag

Underrättelser

Underrättelser till enskilda

4 § Sökanden ska utan onödigt dröjsmål underrättas om beslut enligt 4 kap. 5 § första eller tredje stycket brottsdatalagen (2018:000) i fråga om information enligt 4 kap. 3 § samma lag. Sökanden ska i sådana fall också underrättas om möjligheterna att lämna in klagomål till en till- synsmyndighet och att begära kontroll enligt 5 kap. 3 § brottsdata- lagen. Någon underrättelse behöver inte lämnas om det skulle skada det intresse som föranleder att information inte lämnas.

5 § Sökanden ska underrättas om beslut enligt 4 kap. 7 § första stycket eller 12 § andra stycket brottsdatalagen (2018:000).

6 § Den registrerade ska underrättas om beslut enligt 4 kap. 9 eller 10 § brottsdatalagen (2018:000) och om möjligheten att lämna in kla- gomål till tillsynsmyndigheten. Om den personuppgiftsansvarige med stöd av 4 kap. 5 § andra eller tredje stycket brottsdatalagen inte har lämnat ut skälen för beslutet ska den registrerade också underrättas om möjligheten att begära kontroll enligt 5 kap. 3 § brottsdatalagen.

7 § Den registrerade ska underrättas innan en begränsning enligt 4 kap. 9 § andra stycket brottsdatalagen (2018:000) upphör.

Underrättelser till andra

8 § Den myndighet från vilken personuppgifter kommer ska under- rättas om beslut enligt 4 kap. 9 § första stycket brottsdatalagen (2018:000).

Den som har tagit emot personuppgifter ska underrättas om beslut enligt 4 kap. 9 eller 10 § brottsdatalagen.

5 kap. Tillsyn

Kontroll genom tillsynsmyndigheten

1 § En begäran enligt 5 kap. 3 § brottsdatalagen (2018:000) ska göras skriftligen och ange vilken behörig myndighet och vilket mål, ärende, register eller verksamhetsområde som begäran om kontroll gäller.

65

Författningsförslag

SOU 2017:29

Tillsynsmyndigheten ska säkerställa att begäran görs av en behörig person.

2 § Tillsynsmyndigheten ska skriftligen underrätta den sökande om att kontroll enligt 5 kap. 3 § brottsdatalagen (2018:000) har utförts.

Beslut att vägra utföra kontroll ska vara skriftliga och motiveras.

Anmälningsskyldighet

3 § Om tillsynsmyndigheten i sin tillsynsverksamhet uppmärksammar förhållanden som kan utgöra brott, ska myndigheten anmäla det till Åklagarmyndigheten.

Om tillsynsmyndigheten uppmärksammar felaktigheter som kan medföra skadeståndsansvar för staten, ska den anmäla det till Justitie- kanslern.

Tillsynsmyndigheten ska samråda med den berörda myndigheten innan en sådan anmälan som avses i första eller andra stycket görs. Till anmälan ska tillsynsmyndigheten foga det underlag som finns och även i övrigt lämna det biträde som behövs i anledning av anmälan.

Förhandssamråd

4 § Om tillsynsmyndigheten anser att sådan planerad behandling som avses i 3 kap. 7 § brottsdatalagen (2018:000) kan komma att stå i strid med lag eller annan författning, ska myndigheten senast sex veckor efter att begäran om samråd mottogs skriftligen lämna råd enligt 5 kap. 6 § första stycket samma lag. Om det finns särskilda skäl får tiden förlängas med en månad. Tillsynsmyndigheten ska inom en månad från det att begäran om samråd mottogs informera om för- längningen och om orsakerna till den.

66

SOU 2017:29

Författningsförslag

Samarbete med utländska tillsynsmyndigheter

Utländsk begäran om bistånd

5 § En begäran om bistånd från en tillsynsmyndighet i en annan med- lemsstat ska besvaras så snabbt som möjligt och senast en månad efter att begäran togs emot. Den som begärt bistånd ska underrättas om handläggningen och om resultatet av begäran.

6 § Om bistånd till en tillsynsmyndighet i en annan stat vägras, ska den som begärt biståndet underrättas. I underrättelsen ska skälen för vägran anges.

Svensk begäran om bistånd av en annan medlemstat

7 § Tillsynsmyndigheten får begära bistånd av en tillsynsmyndighet i en annan medlemsstat med sådana åtgärder som myndigheten får vidta när den utövar tillsyn.

8 § En begäran om bistånd ska innehålla all information som behövs för att tillsynsmyndigheten i den andra medlemsstaten ska kunna be- svara begäran. Syftet med och skälen för åtgärden ska anges.

Internationella överenskommelser

9 § Tillsynsmyndigheten får, trots det som sägs i 10 §, ingå överens- kommelser med tillsynsmyndigheter i andra medlemsstater om avgift för internationellt bistånd.

Avgiftsfrihet

10 § Tillsynsmyndigheten ska utföra sina tillsynsuppgifter avgiftsfritt, om inte annat bestäms.

67

Författningsförslag

SOU 2017:29

6 kap. Administrativa sanktionsavgifter

Handläggning

1 § Ett beslut om sanktionsavgift ska delges den som avgiften ska tas ut av.

Verkställighet av sanktionsavgift

2 § En sanktionsavgift ska betalas till den myndighet som regeringen bestämmer inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft eller inom den längre tid som anges i beslutet.

Om sanktionsavgiften inte betalas inom den tid som anges i första stycket, ska myndigheten lämna den obetalda avgiften för indrivning. Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m. Vid indrivning får verkställighet ske enligt utsökningsbalken.

3 § En beslutad sanktionsavgift faller bort till den del beslutet inte har verkställts inom tio år från det att beslutet fick laga kraft.

4 § Om betalningsansvaret har upphävts genom ett beslut som fått laga kraft, ska sanktionsavgiften återbetalas. För sanktionsavgift som återbetalas utgår ränta enligt 5 § räntelagen (1975:635) för tiden från den dag då avgiften betalades till och med den dag den återbetalas.

7 kap. Överföring av personuppgifter till tredjeland och internationella organisationer

1 § Den som har överfört personuppgifter till ett tredjeland eller en internationell organisation utan ett förhandsmedgivande enligt 8 kap. 2 § andra stycket brottsdatalagen (2018:000), ska utan dröjsmål infor- mera den medlemsstat som lämnat uppgifterna till en svensk myndig- het om överföringen.

2 § Om en svensk myndighet har överfört personuppgifter enligt 8 kap. 8 § brottsdatalagen (2018:000), ska myndigheten utan onödigt dröjsmål informera behörig myndighet i det tredjelandet om överfö-

68

SOU 2017:29

Författningsförslag

ringen. Det som nu har sagts gäller inte om det skulle vara ineffektivt eller olämpligt att informera om överföringen.

3 § Överföringar av personuppgifter enligt 8 kap. 4 § 2 och 5 § brotts- datalagen (2018:000) ska dokumenteras. Av dokumentationen ska fram- gå vilka personuppgifter som överförts, datum och tidpunkt för över- föringen, ändamålet med och grunden för överföringen och till vilken myndighet som personuppgifterna överfördes.

På begäran ska dokumentationen göras tillgänglig för tillsynsmyn- digheten.

4 § Den personuppgiftsansvarige ska informera tillsynsmyndigheten om samlingar av överföringar som görs enligt 8 kap. 4 § 2 brottsdata- lagen (2018:000).

5 § Överföringar av personuppgifter enligt 8 kap. 8 § brottsdatalagen (2018:000) ska dokumenteras. Den personuppgiftsansvarige ska in- formera tillsynsmyndigheten om sådana överföringar.

1.Denna förordning träder i kraft den 1 maj 2018.

2.Genom förordningen upphävs förordningen (2013:343) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen.

3.Bestämmelserna i 3 kap. 4 § om loggning behöver inte tillämpas på automatiserade behandlingssystem som inrättats före den 6 maj 2018 förrän den 1 maj 2023.

69

Författningsförslag

SOU 2017:29

1.3Förslag till

lag om ändring i lagen (2000:562)

om internationell rättslig hjälp i brottmål

Härigenom föreskrivs att 5 kap. 2 § lagen (2000:562) om interna- tionell rättslig hjälp i brottmål ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

5 kap.

2 §1

Rättslig hjälp som lämnas en annan stat enligt denna lag får i en- skilda fall förenas med villkor som är påkallade med hänsyn till en- skilds rätt eller som är nödvändiga från allmän synpunkt. Detsamma gäller när rättslig hjälp, utan samband med ett ärende, lämnas en annan stat i form av uppgifter och bevisning för att användas vid utredning av brott eller i ett rättsligt förfarande med anledning av brott.

Villkor som avses i första

Villkor som avses i första

stycket får inte ställas upp om de

stycket får inte ställas upp om de

strider mot en internationell

strider mot en internationell

överenskommelse som är bin-

överenskommelse som är bin-

dande för Sverige.

dande för Sverige. I brottsdata-

 

lagen (2018:000) finns bestämmel-

 

ser om att villkor om hur person-

 

uppgifter får behandlas inte får stäl-

 

las upp i vissa fall.

Denna lag träder i kraft den 1 maj 2018.

1 Senaste lydelse 2005:491.

70

SOU 2017:29

Författningsförslag

1.4Förslag till

lag om ändring i lagen (2000:1219) om internationellt tullsamarbete

Härigenom föreskrivs att 2 kap. 7 § lagen (2000:1219) om inter- nationellt tullsamarbete ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

2kap.

7 §

Uppgifter som lämnas ut enligt 6 § får i enskilda fall förenas med villkor för användandet, om det krävs med hänsyn till enskilds rätt

eller från allmän synpunkt.

 

 

 

 

Villkor som avses i första

Villkor som avses i första

stycket får inte strida mot en så-

stycket får inte strida mot en så-

dan internationell överenskom-

dan

internationell

överenskom-

melse som avses i 1 kap. 1 §.

melse som avses

i 1 kap.

1 §.

 

I brottsdatalagen (2018:000)

finns

 

bestämmelser om att villkor om

 

hur

personuppgifter

får behandlas

 

inte får ställas upp i vissa fall.

 

Denna lag träder i kraft den 1 maj 2018.

71

Författningsförslag

SOU 2017:29

1.5Förslag till

lag om ändring i lagen (2003:1174)

om vissa former av internationellt samarbete i brottsutredningar

Härigenom föreskrivs att 6 § lagen (2003:1174) om vissa former av internationellt samarbete i brottsutredningar ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

6 §1

Överlämnande av uppgifter eller bevisning från en svensk myndig- het till en gemensam utredningsgrupp som inrättats med stöd av denna lag får i enskilda fall förenas med villkor som är nödvändiga av hänsyn till enskilds rätt eller som är nödvändiga från allmän synpunkt.

Villkor som avses i första

Villkor som avses i första

stycket får inte ställas upp om de

stycket får inte ställas upp om de

strider mot den överenskommelse

strider mot den överenskommelse

enligt 1 § första stycket som är

enligt 1 § första stycket som är

tillämplig.

tillämplig.

I

brottsdatalagen

 

(2018:000) finns bestämmelser om

att villkor om hur personuppgifter får behandlas inte får ställas upp i vissa fall.

Denna lag träder i kraft den 1 maj 2018.

1 Senaste lydelse 2005:494.

72

SOU 2017:29

Författningsförslag

1.6Förslag till

lag om ändring i offentlighets- och sekretesslagen (2009:400)

Härigenom föreskrivs i fråga om offentlighets- och sekretesslagen (2009:400)

dels att 9 kap. 2 § och 35 kap. 24 § ska ha följande lydelse,

dels att det i lagen ska införas två nya paragrafer, 17 kap. 7 c § och 35 kap. 4 b §, med följande lydelse.

Lydelse enligt prop. 2016/17:139

Föreslagen lydelse

9 kap.

2 §

Bestämmelser som begränsar möjligheten att använda vissa upp- gifter som en svensk myndighet har fått från en myndighet i en annan stat finns i

1.lagen (1990:314) om ömsesidig handräckning i skatteärenden,

2.lagen (2017:000) om internationellt polisiärt samarbete,

3.lagen (2000:344) om Schengens informationssystem,

4.lagen (2000:562) om internationell rättslig hjälp i brottmål,

5.lagen (2000:1219) om internationellt tullsamarbete,

6.lagen (2003:1174) om vissa former av internationellt samarbete i brottsutredningar,

7.lagen (2011:1537) om bistånd med indrivning av skatter och av- gifter inom Europeiska unionen,

8.lagen (1998:620) om belastningsregister,

9.lagen (2012:843) om administrativt samarbete inom Europeiska unionen i fråga om beskattning,

10.lagen (2013:329) med vissa

bestämmelser om skydd för person- uppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen,

11. lagen (2015:63) om utbyte av upplysningar med anledning av FATCA-avtalet, och

12. lagen (2015:912) om auto- matiskt utbyte av upplysningar om finansiella konton.

10. lagen (2015:63) om utbyte av upplysningar med anledning av FATCA-avtalet,

11. lagen (2015:912) om auto- matiskt utbyte av upplysningar om finansiella konton, och

73

Författningsförslag SOU 2017:29

 

12. brottsdatalagen (2018:000).

Nuvarande lydelse

Föreslagen lydelse

 

 

17 kap.

 

 

 

 

7 c §

 

 

 

 

Sekretess gäller hos tillsynsmyn-

 

digheten i tillsynsverksamhet enligt

 

5 kap.

brottsdatalagen (2018:000)

 

för uppgift som har lämnats i sam-

 

band med en begäran om svenskt

 

bistånd från en tillsynsmyndighet i

 

en medlemsstat

som medlemsstat

 

definieras i den lagen, om det kan

 

antas att den svenska tillsynsmyn-

 

dighetens möjlighet att bedriva till-

 

syn motverkas om uppgiften röjs.

 

För uppgift i en allmän hand-

 

ling gäller sekretessen i högst fyrtio

 

år.

 

 

 

 

35 kap.

 

 

 

 

4 b §

 

 

 

 

Sekretess gäller hos en behörig

 

myndighet enligt

brottsdatalagen

 

(2018:000) för uppgift i ett sådant

 

personurval som avses i 2 kap. 14 §

 

samma lag.

 

 

 

För uppgift i en allmän hand-

 

ling gäller sekretessen högst sjuttio

 

år.

 

 

 

 

24 §

 

 

 

 

Den tystnadsplikt som följer av

 

4 b §

inskränker

rätten enligt

 

1 kap. 1 § tryckfrihetsförordningen

 

och 1 kap. 1 och 2 §§ yttrandefri-

 

hetsgrundlagen

att

meddela och

 

offentliggöra uppgifter.

74

Den tystnadsplikt som följer av 11 § och den tystnadsplikt som följer av ett förbehåll som gjorts med stöd av 9 § andra stycket in- skränker rätten att meddela och offentliggöra uppgifter.

SOU 2017:29

Författningsförslag

Den tystnadsplikt som följer av 11 § och den tystnadsplikt som följer av ett förbehåll som gjorts med stöd av 9 § andra stycket in- skränker rätten enligt 1 kap. 1 § tryckfrihetsförordningen och 1 kap. 1 och 2 §§ yttrandefrihetsgrundla- gen att meddela och offentliggöra uppgifter.

Den tystnadsplikt som följer av 15 och 16 §§ inskränker rätten att meddela och offentliggöra uppgifter, när det är fråga om uppgift vars röjande kan antas medföra fara för att någon utsätts för våld eller lider annat allvarligt men.

Denna lag träder i kraft den 1 maj 2018.

75

En svensk brottsbekämpande myndighet får i enskilda fall ställa upp villkor som begränsar möj- ligheten att använda uppgifter eller bevisning som lämnas till en annan stat eller en mellanfolklig organisation, om det krävs med hänsyn till enskilds rätt eller från allmän synpunkt. Sådana villkor får inte strida mot en internatio- nell överenskommelse som är bindande för Sverige. I brottsda- talagen (2018:000) finns bestäm- melser om att villkor om hur per- sonuppgifter får behandlas inte får ställas upp i vissa fall.

Författningsförslag

SOU 2017:29

1.7Förslag till

lag om ändring i lagen (2017:000) om internationellt polisiärt samarbete

Härigenom föreskrivs i fråga om lagen (2017:000) om internatio- nellt polisiärt samarbete

dels att 6 kap. 2 § ska upphöra att gälla, dels att 6 kap. 4 § ska ha följande lydelse.

Lydelse enligt prop. 2016/17:139

Föreslagen lydelse

6 kap.

4 §

En svensk brottsbekämpande myndighet får i enskilda fall ställa upp villkor som begränsar möj- ligheten att använda uppgifter eller bevisning som lämnas till en annan stat eller en mellanfolklig organisation, om det krävs med hänsyn till enskildas rätt eller från allmän synpunkt. Sådana villkor får inte strida mot en internatio- nell överenskommelse som är bindande för Sverige.

Denna lag träder i kraft den 1 maj 2018.

76

SOU 2017:29

Författningsförslag

1.8Förslag till

förordning om ändring i förordningen (2008:1396) om förenklat uppgiftsutbyte mellan brottsbekämpande myndigheter i Europeiska unionen

Härigenom föreskrivs att 6 § förordningen (2008:1396) om förenk- lat uppgiftsutbyte mellan brottsbekämpande myndigheter i Euro- peiska unionen ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

 

6 §

 

 

Uppgifter som tillhandahålls

Uppgifter

som

tillhandahålls

med stöd av 3 eller 4 § får i en-

med stöd av 3 eller 4 § får i en-

skilda fall förenas med villkor för

skilda fall förenas med villkor för

användandet, om det krävs med

användandet, om det krävs med

hänsyn till enskilds rätt eller från

hänsyn till enskilds rätt eller från

allmän synpunkt. Ett sådant vill-

allmän synpunkt. Ett sådant vill-

kor får inte strida mot Sveriges

kor får inte strida mot Sveriges

internationella förpliktelser.

internationella

förpliktelser. I

 

brottsdatalagen

(2018:000) finns

 

bestämmelser om att villkor om

 

hur personuppgifter

får behandlas

 

inte får ställas upp i vissa fall.

Denna förordning träder i kraft den 1 maj 2018.

77

Författningsförslag

SOU 2017:29

1.9Förslag till

förordning om ändring i förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap

Härigenom föreskrivs att 20 § förordningen (2015:1052) om kris- beredskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

20 §

Till stöd för arbetet med samhällets informationssäkerhet ska en myndighet till Myndigheten för samhällsskydd och beredskap skynd- samt rapportera it-incidenter som inträffat i myndighetens informa- tionssystem och som allvarligt kan påverka säkerheten i den informa- tionshantering som myndigheten ansvarar för eller i tjänster som myndigheten tillhandahåller åt en annan organisation.

En myndighet som tillhandahåller tjänster åt en annan organisation ska i samband med rapportering enligt första stycket informera och vid behov samråda med den eller de uppdragsgivare som berörs av incidenten.

Rapporteringsskyldigheten omfattar inte sådana incidenter som ska rapporteras enligt 10 a § säkerhetsskyddsförordningen (1996:633).

Om det kan antas att en incident som rapporterats till Myndig- heten för samhällsskydd och beredskap enligt första stycket har sin grund i en brottslig gärning, ska Myndigheten för samhällsskydd och beredskap skyndsamt uppmana den rapporterande myndigheten att anmäla incidenten till polisen.

I brottsdatalagen (2018:000) och brottsdataförordningen (2018:000) finns bestämmelser om skyldighet att anmäla personupp- giftsincidenter.

Denna förordning träder i kraft den 1 maj 2018.

78

2Utredningens uppdrag och arbete

2.1Utredningsuppdraget

Utredningsuppdraget består i att föreslå hur man i svensk rätt ska genomföra Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verk- ställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF. Direktiven för utredningsarbetet finns i bilaga 1 och dataskyddsdirektivet i bilaga 2.

I utredningens uppdrag ingår bl.a. att

analysera och beskriva direktivets tillämpningsområde och hur svensk rätt förhåller sig till direktivets förpliktelser,

lämna förslag till en ny ramlagstiftning med bestämmelser om skydd av personuppgifter inom direktivets tillämpningsområde,

analysera och bedöma behovet av författningsändringar i vissa centrala författningar om rättsväsendets behandling av person- uppgifter,

lämna de förslag till ändringar som krävs för att anpassa dessa författningar till de nya förutsättningarna för regleringen,

bedöma om direktivet ger anledning till ny eller ändrad reglering om tillsyn och vid behov lämna författningsförslag, och

bedöma om det finns anledning att reglera Säkerhetspolisens personuppgiftsbehandling separat från den lagstiftning som

79

Utredningens uppdrag och arbete

SOU 2017:29

gäller för Polismyndigheten och vid behov lämna författnings- förslag.

Uppdraget i den del det avser ny ramlagstiftning och tillsyn inom direktivets tillämpningsområde ska redovisas senast den 1 april 2017. Uppdraget ska slutredovisas senast den 30 september 2017.

2.2Genomförande av uppdraget

Utredningens arbete påbörjades i slutet av april 2016 och har bedri- vits på sedvanligt sätt med regelbundna sammanträden med grup- pen av sakkunniga och experter. Utredningen har, för att ta fram detta betänkande, sammanträtt vid sammanlagt 10 tillfällen.

Enligt utredningens direktiv ska utredaren i lämplig omfattning samråda med Dataskyddsutredningen (Ju 2016:04) och Utred- ningen om tillsynen över den personliga integriteten (Ju 2015:02).

Utredaren och huvudsekreteraren samrådde med Dataskyddsut- redningen den 15 april 2016 inför planeringen av utredningsarbetet. Utredarna har därefter samrått vid flera tillfällen. Sekreterarna har haft fortlöpande kontakter med varandra i för utredningarna gemensamma frågor. Den mycket begränsade tiden för vårt utred- ningsarbete har dock inte lämnat utrymme för att i tillräcklig ut- sträckning ta del av Dataskyddsutredningens förslag och texter. Det kan därför finnas oavsiktliga skillnader mellan utredningarnas syn på likartade frågor.

Utredaren samrådde med Utredningen om tillsynen över den personliga integriteten den 11 april och den 6 september 2016.

Utredaren och huvudsekreteraren samrådde med Utredningen om kameraövervakning – brottsbekämpning och integritetsskydd (Ju 2015:14) den 22 september 2016. Utredarna samrådde också den 1 mars 2017.

Utredaren och huvudsekreteraren samrådde med Utredningen om stärkt integritet i Rättsmedicinalverkets verksamhet (Ju 2016:18) den 11 oktober 2016.

Utredaren och huvudsekreteraren samrådde med PNR-utred- ningen (Ju 2016:07) den 16 november 2016.

Utredaren och huvudsekreteraren samrådde den 8 februari 2016 med Eva Lönqvist som fått i uppdrag att biträda Justitiedeparte-

80

SOU 2017:29

Utredningens uppdrag och arbete

mentet med att anpassa viss lagstiftning på området för allmän ordning och säkerhet till EU:s dataskyddsreform.

Utredaren och huvudsekreteraren samrådde med Socialdata- skyddsutredningen (S 2016:05) den 7 november 2016.

Utredaren och delar av sekretariatet samrådde den 7 november och den 21 december 2016 med Peder Liljeqvist som fått i uppdrag att biträda Justitiedepartementet med att anpassa domstolsdata- lagen till dataskyddsförordningen.

Utredaren och delar av sekretariatet träffade företrädare för Kri- minalvården den 14 oktober 2016.

Utredaren och huvudsekreteraren sammanträffade med företrä- dare för Sveriges Kommuner och Landsting den 10 november 2016.

Utredaren och huvudsekreteraren har också deltagit vid möten med andra utredningar som utreder frågor om anpassning till EU:s dataskyddsreform den 28 september, 18 oktober, 7 november och 21 december 2016.

2.3Avgränsningen av uppdraget

Utredningens direktiv framgår av avsnitt 2.1. Utredningen om till- synen över den personliga integriteten och Dataskyddsutredningen har till viss del ett överlappande uppdrag, varför genomförandet av vissa delar av direktivet inte ankommer på vår utredning.

Utredningen om tillsyn över den personliga integriteten har bl.a. haft till uppgift att överväga hur den framtida tillsynen över behandling av personuppgifter bör organiseras och resurssättas och att lämna de förslag som behövs för att tillsynsmyndigheten ska kunna fullgöra de uppgifter som kan bli resultatet av reformeringen av EU:s dataskyddsreglering. I uppdraget till den utredningen ingår att föreslå författningsändringar och andra åtgärder som behövs.

Vi har uppfattat uppdraget till Utredningen om tillsynen över den personliga integriteten på det sättet att det främst avsett orga- nisatoriska frågor, frågor som rör ledningen av myndigheten och tillsynsmyndighetens oberoende, vilket är frågor som främst berörs i artiklarna 41–43 och 44.1 i direktivet. De förslag som vi redovisar tar sin utgångspunkt i de bedömningar Utredningen om tillsynen över den personliga integriteten har gjort i fråga om vilken myndig- het som ska utses till tillsynsmyndighet enligt direktivet. Vår ut-

81

Utredningens uppdrag och arbete

SOU 2017:29

redning tar därför inte tar ställning till frågor som rör hur tillsyns- myndigheten och dess styrelseledamöter eller motsvarande ska ut- ses och hur länge de får tjänstgöra eller frågor om hur tillsynsmyn- dighetens oberoende ska värnas genom organisatoriska åtgärder.

Det ingår i uppgifterna för Dataskyddsutredningen att bl.a. ana- lysera om det finns behov av författningsändringar med avseende på tystnadsplikt hos tillsynsmyndigheten till skydd för enskild. Det innebär att vår utredning inte tar ställning till behovet av författ- ningsreglering med anledning av kraven i artikel 44.2 i direktivet.

82

3Dagens reglering av behandlingen av personuppgifter

3.1Huvuddragen i dagens personuppgiftsreglering

3.1.1Regeringsformen och Europakonventionen

Enligt 2 kap. 6 § andra stycket regeringsformen är var och en – utöver vad som anges i första stycket i paragrafen – skyddad gent- emot det allmänna mot betydande intrång i den personliga integri- teten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden.

Grundlagsskyddet omfattar enbart betydande intrång. I förar- betena till ändringen framhålls att det är naturligt att det läggs stor vikt vid uppgifternas karaktär vid bedömningen av hur ingripande intrånget i den personliga integriteten kan anses vara i samband med insamling, lagring och bearbetning eller utlämnande av upp- gifter om enskildas personliga förhållanden. Ju känsligare uppgif- terna är, desto mer ingripande anses det allmännas hantering av uppgifterna normalt vara. Även hantering av ett litet fåtal uppgifter kan med andra ord innebära ett betydande intrång i den personliga integriteten om uppgifterna är av mycket känslig karaktär. Vid be- dömningen av intrångets karaktär är det också naturligt att stor vikt läggs vid ändamålet med behandlingen. En hantering som syf- tar till att utreda brott kan enligt förarbetena normalt anses vara mer känslig än t.ex. en hantering som uteslutande sker för att ge en myndighet underlag för förbättringar av kvaliteten i handlägg- ningen. Mängden uppgifter kan också vara en betydelsefull faktor i sammanhanget (En reformerad grundlag, prop. 2009/10:80, s. 183). Konstitutionsutskottet har i flera lagstiftningsärenden som rört myndigheters personuppgiftsbehandling framhållit att målsätt- ningen bör vara att myndighetsregister med ett stort antal regi-

83

Dagens reglering

SOU 2017:29

strerade och särskilt känsligt innehåll ska regleras särskilt i lag (se bl.a. bet. 1990/91:KU11 s. 11 och 1997/98:KU18 s. 43).

Den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventio- nen) gäller som svensk lag (SFS 1994:1219). Enligt artikel 8 har var och en rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Inskränkningar i dessa rättigheter får endast göras med stöd av lag och för vissa i artikeln uppräknade ändamål, bl.a. hänsyn till den allmänna säkerheten och förebyggande av oordning och brott. Artikel 8 skyddar bl.a. mot felaktig behandling av personuppgifter (se Segerstedt-Wiberg m.fl. mot Sverige, Ansö- kan 62332/00).

Även Europeiska unionens (EU) stadga om de grundläggande rättigheterna (rättighetsstadgan) innehåller bestämmelser om be- handling av personuppgifter (se avsnitt 4.1.1).

3.1.2Personuppgiftslagen

Grundläggande begrepp

Genom datalagen (1973:289) introducerades termen personregister som ett centralt begrepp i svensk lagstiftning om behandling av personuppgifter. Med personregister avsågs register, förteckning eller andra anteckningar som förs med hjälp av automatisk databe- handling och som innehåller personuppgift som kan hänföras till den som avses med uppgiften. Genom datalagen blev termen regi- ster den allmänt använda termen för datoriserade uppgiftssam- lingar. Termen register används fortfarande i vissa författningar.

Det traditionella registerbegreppet kom med tiden att kritiseras bl.a. därför att det har en teknisk anknytning och för tankarna till på visst sätt organiserade eller systematiserade samlingar av upp- gifter. I personuppgiftslagen (1998:204) nämns inte register utan det talas i stället om behandling av personuppgifter, vilket numera är det gängse begreppet. Den vars personuppgifter behandlas be- nämns dock alltjämt den registrerade.

84

SOU 2017:29

Dagens reglering

Lagens tillämpningsområde

Personuppgiftslagen, genom vilken det nu gällande dataskyddsdi- rektivet genomfördes i svensk rätt, innehåller generella regler för all behandling av personuppgifter. Med personuppgifter avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Begreppet behandling av personuppgifter om- fattar i stort sett allt man kan göra med sådana uppgifter, t.ex. att samla in, söka, bevara eller sprida uppgifter.

Lagen ska enligt 5 § tillämpas på helt eller delvis automatiserad behandling av personuppgifter. Dessutom är den tillämplig på manuell behandling av personuppgifter som ingår, eller är avsedda att ingå, i en strukturerad samling av personuppgifter som är till- gängliga för sökning eller sammanställning enligt särskilda kriterier.

Personuppgiftslagen reglerar även sådan verksamhet som faller utanför unionsrätten. Enligt 2 § gäller särreglering i lag eller för- ordning framför bestämmelserna i personuppgiftslagen. Sådan sär- reglering finns framför allt i olika registerförfattningar.

Behandling av uppgifter om juridiska personer (som definitions- mässigt inte utgör personuppgifter) omfattas inte av personupp- giftslagen.

Grundläggande krav för behandlingen

I 9 § personuppgiftslagen slås fast vissa grundläggande krav för be- handling av personuppgifter. Sådana uppgifter ska alltid behandlas lagligt, på ett korrekt sätt och i enlighet med god sed. Personupp- gifter ska samlas in och behandlas bara för särskilda, uttryckligt angivna och berättigade ändamål. Efter insamlingen får uppgifterna inte behandlas för något annat ändamål som är oförenligt med det ändamål för vilket uppgifterna samlades in (den s.k. finalitetsprin- cipen). De personuppgifter som behandlas ska vidare vara adekvata och relevanta i förhållande till ändamålen med behandlingen och får inte heller vara fler än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Om det är nödvändigt ska uppgif- terna vara aktuella. Om personuppgifterna är felaktiga eller ofull- ständiga, ska den personuppgiftsansvarige vidta alla rimliga åtgärder för att utplåna, blockera eller rätta uppgifterna.

85

Dagens reglering

SOU 2017:29

Personuppgifter får inte sparas längre än nödvändigt med hän- syn till de ändamål för vilka de behandlas.

Tillåten och otillåten behandling

I 10–12 §§ finns en uttömmande uppräkning av de fall där behand- ling av personuppgifter är tillåten. Personuppgifter får alltid be- handlas om den registrerade har gett sitt samtycke. Återkallar per- sonen sitt samtycke får ytterligare personuppgifter om honom eller henne inte behandlas.

I vissa fall får personuppgifter behandlas även om den registre- rade inte har gett sitt samtycke. En förutsättning i dessa fall är att behandlingen är nödvändig för ändamålen.

Personuppgifter får behandlas i samband med ett avtal med den registrerade, när det behövs för att fullgöra avtalet eller när det behövs för att på den registrerades begäran vidta åtgärder innan avtalet träffas. Vidare får behandling utföras om den är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig skyldighet. Dessutom får personuppgifter behandlas för att skydda vitala intressen för den registrerade. Likaså får personuppgifter behandlas om det är nödvändigt för att den personuppgiftsansva- rige, eller en tredje man till vilken personuppgifter lämnas ut, ska kunna utföra en arbetsuppgift i samband med myndighetsutövning. Slutligen får personuppgifter behandlas om en avvägning ger vid handen att den personuppgiftsansvariges berättigade intresse av behandling väger tyngre än den registrerades intresse av skydd.

Behandling av känsliga personuppgifter

I 13 § personuppgiftslagen förbjuds behandling av känsliga person- uppgifter. Med det avses uppgifter som avslöjar ras eller etniskt ur- sprung, politiska åsikter, religiös eller filosofisk övertygelse, med- lemskap i fackförening och uppgifter som rör hälsa eller sexualliv.

Förbudet mot behandling av känsliga personuppgifter är inte undantagslöst. I 14–19 §§ anges under vilka förutsättningar sådana uppgifter får behandlas. Om den registrerade har gett sitt uttryck- liga samtycke till behandlingen eller på ett tydligt sätt offentliggjort de känsliga uppgifterna får de enligt 15 § behandlas. Vidare görs i

86

SOU 2017:29

Dagens reglering

16 § undantag för nödvändig behandling, bl.a. för att den person- uppgiftsansvarige ska kunna fullgöra skyldigheter eller utöva rät- tigheter inom arbetsrätten, för att den registrerades eller annans vitala intressen ska kunna skyddas i fall där den registrerade inte kan lämna samtycke till behandlingen eller för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras.

Undantag görs också i 17 § för ideella organisationer med poli- tiskt, filosofiskt, religiöst eller fackligt syfte, som får behandla uppgifter om bl.a. sina medlemmar.

Likaså finns det undantag i 18 § för behandlingen av känsliga personuppgifter för hälso- och sjukvårdsändamål och i 19 § för forskning och statistik. Regeringen, eller den myndighet regeringen bestämmer, får enligt 20 § föreskriva ytterligare undantag från för- budet i 13 §, om det behövs med hänsyn till ett viktigt allmänt in- tresse.

Uppgifter om brott och behandling av personnummer

Det är enligt 21 § personuppgiftslagen förbjudet för andra än myn- digheter att behandla sådana personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångs- medel eller administrativa frihetsberövanden. Sådana uppgifter får dock behandlas för forskningsändamål om behandlingen godkänts vid etikprövning. Regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare undantag från förbudet. Likaså kan i enskilda fall undantag medges.

Uppgifter om personnummer och samordningsnummer får en- ligt 22 § behandlas utan samtycke bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.

Automatiserade beslut

Enligt 29 § personuppgiftslagen ska, om ett beslut som har rättsliga följder för en fysisk person eller annars har märkbara verkningar för honom eller henne och beslutet grundas enbart på automati- serad behandling av sådana personuppgifter som är avsedda att be-

87

Dagens reglering

SOU 2017:29

döma egenskaper hos personen, den som berörs av beslutet ha möjlighet att på begäran få beslutet omprövat av någon person.

Information till den registrerade

Personuppgiftslagen innehåller ett flertal bestämmelser som syftar till att genom information trygga den enskildes rätt att kontrollera om hans eller hennes personuppgifter behandlas. Den personupp- giftsansvariges skyldighet att självmant lämna information till regi- strerade gäller enligt 23 § i första hand uppgifter som den registre- rade själv har lämnat. Har uppgifterna samlats in från annan källa, föreskrivs i 24 § att den personuppgiftsansvarige självmant ska in- formera den registrerade när uppgifterna registreras, eller om av- sikten med behandlingen är att lämna ut dem till tredje man, när uppgifterna lämnas ut första gången. Information behöver dock inte lämnas om det finns bestämmelser om registrerandet eller ut- lämnandet av uppgifterna i lag eller annan författning. Information behöver heller inte lämnas om det skulle vara omöjligt eller kräva en oproportionerligt stor arbetsinsats.

Informationen ska enligt 25 § omfatta uppgift om vem som är personuppgiftsansvarig, ändamålen med behandlingen och all övrig information som den registrerade behöver för att kunna ta tillvara sina rättigheter i samband med behandlingen. Informationsskyldig- heten omfattar bara sådana uppgifter som den registrerade inte redan känner till.

Den personuppgiftsansvarige är vidare enligt 26 § skyldig att på ansökan, en gång per år, gratis informera om uppgifter om sökan- den behandlas, ändamålen med behandlingen, vilka uppgifter som behandlas, varifrån dessa kommer och till vem de lämnas ut. Någon information behöver dock inte lämnas om personuppgifter som endast behandlas i löpande text som ännu inte fått sin slutliga ut- formning eller utgör minnesanteckning, utom i de fall där uppgif- terna har lämnats ut till tredje man eller – i fråga om behandling i löpande text – har behandlats längre än ett år.

Informationsskyldigheten gäller enligt 27 § inte heller om upp- gifterna omfattas av sekretess eller tystnadsplikt.

88

SOU 2017:29

Dagens reglering

Rättelse

Personuppgifter som har behandlats i strid med personuppgiftsla- gen eller föreskrifter som har meddelats med stöd av den, ska enligt 28 § på begäran av den registrerade rättas, utplånas eller blockeras av den personuppgiftsansvarige. Om felaktiga personuppgifter har lämnats ut till tredje man, ska denne i vissa fall informeras om kor- rigeringen.

Säkerheten vid behandling

I 30 och 31 §§ personuppgiftslagen finns allmänna bestämmelser om säkerheten vid behandling av personuppgifter. Bestämmelserna avser att trygga både den tekniska säkerheten och att de personer som behandlar personuppgifterna har tillräckliga instruktioner för att behandla uppgifterna på ett korrekt sätt. Den personuppgiftsan- svarige ansvarar för säkerheten.

Överföring av personuppgifter till tredjeland

Enligt 33 § personuppgiftslagen är det förbjudet att till tredjeland föra över personuppgifter under behandling om landet i fråga inte har en adekvat nivå för skyddet av personuppgifter. Förbudet gäller också överföring av personuppgifter för behandling i tredjeland. Frågan om skyddsnivån är adekvat ska bedömas med hänsyn till samtliga omständigheter som har samband med överföringen. I paragrafen anges vilka omständigheter som ska tillmätas särskild vikt.

I 34 § anges vissa undantag från förbudet i 33 §. Ett viktigt undantag är att det är tillåtet att föra över personuppgifter för an- vändning enbart i en stat som har anslutit sig till Europarådets konvention om skydd för enskilda vid automatisk behandling av personuppgifter (i fortsättningen dataskyddskonventionen). Enligt 35 § personuppgiftslagen har regeringen möjlighet att besluta om ytterligare undantag från förbudet i 33 §. I bilagor till personupp- giftsförordningen (1998:1191) anges vilka stater som enligt beslut av Europeiska kommissionen (i fortsättningen kommissionen) an-

89

Dagens reglering

SOU 2017:29

ses ha en adekvat skyddsnivå för behandlingen av personuppgifter vid överföring till vissa i besluten specificerade mottagare.

Tillsyn

Datainspektionen är enligt 2 § personuppgiftsförordningen till- synsmyndighet enligt personuppgiftslagen. Datainspektionen är som regel också tillsynsmyndighet för sådan behandling av person- uppgifter som regleras i särskilda registerförfattningar. Inspektio- nen har bl.a. till uppgift att verka för att människor skyddas mot att den personliga integriteten kränks genom behandling av person- uppgifter. Datainspektionen informerar bl.a. om gällande regler, utövar tillsyn över att reglerna efterlevs och ger råd och hjälp åt personuppgiftsombud. I 43–47 §§ personuppgiftslagen regleras till- synsmyndighetens befogenheter, t.ex. rätten att meddela vite och möjligheten att förbjuda viss behandling.

Sanktioner

Om behandling av personuppgifter i strid med personuppgiftslagen orsakar skada och kränkning av den personliga integriteten för den registrerade, har han eller hon enligt 48 § personuppgiftslagen rätt till skadestånd från den personuppgiftsansvarige. Ersättningsrätten omfattar både personskada, sakskada och ren förmögenhetsskada som kränkningen av den personliga integriteten kan ha medfört. Skadeståndsansvaret är i princip strikt. Den registrerade behöver bara visa att det förekommit en felaktig behandling och att den skadat eller kränkt honom eller henne.

En straffbestämmelse finns i 49 §. Till böter eller fängelse i högst sex månader döms bl.a. den som behandlar personuppgifter i strid med bestämmelserna om behandling av känsliga personupp- gifter eller för över personuppgifter till tredjeland i strid med be- stämmelserna i 33–35 §§. I ringa fall döms inte till ansvar. Vidare får ansvar inte utkrävas för en gärning som omfattas av ett vites- föreläggande enligt lagen.

90

SOU 2017:29

Dagens reglering

3.1.3Personuppgiftslagens förhållande till annan lagstiftning

I 2 § personuppgiftslagen föreskrivs, som nyss nämnts, att om det i en annan lag eller en förordning finns bestämmelser som avviker från lagen ska de bestämmelserna gälla. Sådan särreglering finns för de flesta av de verksamhetsområden som berörs av det nya data- skyddsdirektivet, vilket redovisas närmare i det följande. Regle- ringen har, av de skäl som anges i avsnitt 3.1.1, normalt lagform.

Författningar som reglerar personuppgiftsbehandling är ofta konstruerade så att de gäller utöver personuppgiftslagen. Det inne- bär att författningarna i fråga bara innehåller de bestämmelser som avviker från olika bestämmelser i personuppgiftslagen. Inom det nya direktivets tillämpningsområde är lagen (2001:617) om be- handling av personuppgifter inom kriminalvården ett exempel på det.

Det finns emellertid även författningar som gäller i stället för personuppgiftslagen. Det innebär att de i sin helhet ersätter per- sonuppgiftslagen inom sitt tillämpningsområde. I vissa av dessa an- ges genom hänvisningar vilka bestämmelser i personuppgiftslagen som ändå ska tillämpas. Den lagstiftningstekniken används inom det nya direktivets tillämpningsområde för flertalet av de centrala författningarna. Det gäller t.ex. polisdatalagen (2010:361), kustbe- vakningsdatalagen (2012:145) och åklagardatalagen (2015:433).

3.2Särregler för brottsbekämpande verksamhet

3.2.1Polisen

Allmänt om polisdatalagen

Polisdatalagen är generellt utformad och gäller i polisens brotts- bekämpande verksamhet. Det finns dock även andra författningar som reglerar personuppgiftsbehandling i polisens brottsbekäm- pande verksamhet, framför allt lagstiftning som reglerar behandling i särskilda register. I 1 kap. 3 § polisdatalagen undantas från lagens tillämpningsområde behandling av personuppgifter enligt vapen- lagen (1996:67), lagen (1998:620) om belastningsregister, lagen (1998:621) om misstankeregister, lagen (2000:344) om Schengens informationssystem, lagen (2006:444) om passagerarregister och

91

Dagens reglering

SOU 2017:29

lagen (2015:51) om register över tillträdesförbud vid idrottsarran- gemang. Eftersom det, med undantag för den sistnämnda lagen, inte ingår i utredningens uppdrag att se över de författningar som undantas från polisdatalagens tillämpningsområde berörs de inte vidare här.

Lagens tillämpningsområde

Polisdatalagen gäller vid behandling av personuppgifter i brottsbe- kämpande verksamhet vid Polismyndigheten och Säkerhetspolisen och i Ekobrottsmyndighetens polisiära verksamhet, med undantag för behandling i de register som anges i 1 kap. 3 §. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter. Lagen tillämpas enligt 1 kap. 6 § även i viss utsträckning på behandling av uppgifter om juridiska personer.

I annan verksamhet än den brottsbekämpande tillämpar Polis- myndigheten personuppgiftslagen, om det inte finns en specialreg- lering. Myndigheten tillämpar t.ex. utlänningsdatalagen (2016:27) i verksamhet som den bedriver enligt utlännings- och medborgar- skapslagstiftningen, om det inte är fråga om brottsbekämpning.

Förhållandet till personuppgiftslagen

Polisdatalagen gäller enligt 2 kap. 1 § i stället för personuppgiftsla- gen. I 2 kap. 2 § hänvisas dock till ett betydande antal bestämmelser i personuppgiftslagen som ska tillämpas vid behandling av person- uppgifter i polisens brottsbekämpande verksamhet. Det gäller bl.a. personuppgiftslagens definitioner, vissa grundläggande bestämmel- ser om behandlingen av personuppgifter, information till den regi- strerade, tillsyn och skadestånd.

Ändamål för behandling och utlämnande av uppgifter

I 2 kap. polisdatalagen anges för vilka ändamål personuppgifter får behandlas. Ändamålen delas in i primära och sekundära ändamål. De primära ändamålen avser behandling av personuppgifter för att

92

SOU 2017:29

Dagens reglering

tillgodose de behov som finns i polisens brottsbekämpande verk- samhet. Dessa ändamål är uttömmande angivna i 2 kap. 7 § polis- datalagen. Personuppgifter får enligt denna paragraf behandlas om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller fullgöra de förpliktelser som följer av internationella åtaganden.

De sekundära ändamålen aktualiseras när personuppgifter som behandlas i polisens brottsbekämpande verksamhet lämnas ut till andra myndigheter eller organisationer för deras behov eller till andra delar av polisverksamheten. Enligt de sekundära ändamålen, som anges i 2 kap. 8 § polisdatalagen, får personuppgifter behandlas genom sådant utlämnande när det är nödvändigt för att tillhanda- hålla information som behövs i brottsbekämpande verksamhet hos Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket eller hos utländsk myndighet eller mellanfolklig organisation. Personuppgiftsbehand- ling genom utlämnande är också tillåtet om den är nödvändig för att tillhandahålla information som behövs i Polismyndighetens handräckningsverksamhet eller, om det finns särskilda skäl, att till- handahålla informationen i annan verksamhet som myndigheten ansvarar för. Likaså får personuppgifter i ett enskilt fall behandlas för att lämnas ut för vissa andra i paragrafen specificerade ändamål eller för något annat ändamål, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in (finalitetsprincipen).

Personuppgifter får enligt 2 kap. 9 § också behandlas om det är nödvändigt för diarieföring, eller om uppgifterna har lämnats till Polismyndigheten eller Ekobrottsmyndigheten i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.

I 2 kap. 15 § finns sekretessbrytande bestämmelser som anger i vilken utsträckning personuppgifter får lämnas ut till bl.a. Interpol och Europol, utländsk underrättelse- eller säkerhetstjänst och annan utländsk myndighet eller mellanfolklig organisation. Sekre- tessbrytande bestämmelser som gäller i förhållande till Säkerhets- polisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket finns i 2 kap. 16–18 §§ polis- datalagen.

93

Dagens reglering

SOU 2017:29

Behandling av känsliga personuppgifter

Behandling av känsliga personuppgifter regleras i 2 kap. 10 § polis- datalagen. Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Om uppgifter om en person behandlas på annan grund får de kompletteras med sådana uppgif- ter om det är absolut nödvändigt för syftet med behandlingen.

Register som regleras särskilt i polisdatalagen

Några register regleras särskilt i 4 kap. polisdatalagen. Dessa är register över dna-profiler, dvs. dna-registret, utredningsregistret och spårregistret, fingeravtrycks- och signalementsregister, pen- ningtvättsregister och det internationella registret. För dessa regi- ster finns särskilda bestämmelser om ändamål, gallring och direkt- åtkomst.

Behandling av personuppgifter för forensiska ändamål

I 5 kap. polisdatalagen finns bestämmelser om personuppgiftsbe- handling vid Polismyndigheten för forensiska ändamål. Där regle- ras framför allt ändamålen med sådan personuppgiftsbehandling som avviker från regleringen i övrigt i lagen, på grund av att avdel- ningen Nationellt forensiskt centrum har en särskild roll som expertmyndighet åt hela rättsväsendet. Kapitlet innehåller även särskilda bestämmelser om bevarande och gallring. När det gäller behandling av känsliga personuppgifter, utlämnande av personupp- gifter och uppgiftsskyldighet gäller i huvudsak samma bestämmel- ser som för Polismyndigheten.

Behandling av personuppgifter i Säkerhetspolisens brottsbekämpande verksamhet

I 6 kap. polisdatalagen finns bestämmelser om behandling av per- sonuppgifter i Säkerhetspolisens brottsbekämpande verksamhet. Där regleras framför allt ändamålen för Säkerhetspolisens person-

94

SOU 2017:29

Dagens reglering

uppgiftsbehandling, som delvis avviker från regleringen för Polis- myndigheten. Det finns även särskilda bestämmelser om bevarande och gallring. När det gäller utlämnande av personuppgifter och uppgiftsskyldighet gäller i huvudsak samma bestämmelser som för Polismyndigheten.

3.2.2Tullverket

En ny tullbrottsdatalag har föreslagits

Lagen (2005:787) om behandling av uppgifter i Tullverkets brotts- bekämpande verksamhet – som för närvarande gäller för person- uppgiftsbehandling i den del av Tullverkets verksamhet som ligger inom direktivets tillämpningsområde – föreslås ersättas av en ny lag, tullbrottsdatalagen (Tullbrottsdatalag, prop. 2016/17:91). En- ligt förslaget ska den nya lagen träda i kraft den 1 juli 2017. Mot den bakgrunden redovisas här enbart förslaget till tullbrottsdatalag.

Lagens tillämpningsområde

Tullbrottsdatalagen, som har utformats i nära anslutning till polis- datalagen, kustbevakningsdatalagen och åklagardatalagen, föreslås reglera all behandling av personuppgifter i Tullverkets brottsbe- kämpande verksamhet. Lagen föreslås enligt 1 kap. 2 § endast gälla om behandlingen är helt eller delvis automatiserad eller om per- sonuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter. Lagen föreslås enligt 1 kap. 4 § i viss utsträckning även tillämpas på behandling av uppgifter om juridiska personer.

Förhållandet till personuppgiftslagen

Lagen föreslås gälla i stället för personuppgiftslagen, men hänvis- ningar görs i 2 kap. 2 § till vissa bestämmelser i personuppgiftsla- gen som ändå ska tillämpas. Det gäller bl.a. personuppgiftslagens definitioner, vissa grundläggande bestämmelser om behandlingen av personuppgifter, information till den registrerade, tillsyn och skadestånd.

95

Dagens reglering

SOU 2017:29

Ändamål för behandling och utlämnande av uppgifter

De ändamål för vilka personuppgifter föreslås få behandlas i Tull- verkets brottsbekämpande verksamhet är uppdelade i primära och sekundära ändamål. Personuppgifter ska enligt 2 kap. 5 § få be- handlas om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, för att utreda eller beivra brott eller för att fullgöra förpliktelser som följer av internationella åtaganden. Per- sonuppgifter som behandlas enligt den paragrafen föreslås också få behandlas när det är nödvändigt för att tillhandahålla information som behövs i brottsbekämpande verksamhet hos Polismyndighe- ten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndighe- ten, Kustbevakningen och Skatteverket eller en utländsk myndig- het eller mellanfolklig organisation. Personuppgiftsbehandling genom utlämnande föreslås också enligt 2 kap. 6 § vara tillåten om den är nödvändig för att tillhandahålla information som behövs i verksamhet hos Kriminalvården för att förebygga brott och upp- rätthålla säkerheten och i annan verksamhet som Tullverket ansva- rar för, om det finns särskilda skäl för att tillhandahålla informatio- nen. Likaså föreslås personuppgifter i ett enskilt fall få behandlas för något annat ändamål, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in (finalitetsprincipen). Särskilda regler föreslås gälla för behandling av vissa personuppgifter från transportföretag.

Personuppgifter ska enligt 2 kap. 7 § också få behandlas om det är nödvändigt för diarieföring, eller om uppgifterna har lämnats till Tullverket i en anmälan eller liknande och behandlingen är nödvän- dig för handläggningen.

I 2 kap. 12 § föreslås en sekretessbrytande bestämmelse som anger i vilken utsträckning personuppgifter får lämnas ut till bl.a. Interpol och Europol, utländsk polismyndighet eller åklagarmyn- dighet och tullmyndighet eller kustbevakning inom Europeiska ekonomiska samarbetsområdet (EES). En sekretessbrytande be- stämmelse som gäller i förhållande till Polismyndigheten, Säker- hetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Kustbe- vakningen och Skatteverket föreslås i 2 kap. 13 §.

96

SOU 2017:29

Dagens reglering

Behandling av känsliga personuppgifter

Känsliga personuppgifter, dvs. uppgifter som avslöjar en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening eller som rör hälsa eller sexualliv, föreslås enligt 2 kap. 10 § inte få behandlas enbart på grund av vad som är känt om en persons sådana förhållanden. Om uppgifter om en person behandlas på annan grund ska de dock få kompletteras med känsliga personuppgifter när det är absolut nöd- vändigt för syftet med behandlingen.

3.2.3Kustbevakningen

Allmänt om kustbevakningsdatalagen

För Kustbevakningens behandling av personuppgifter gäller kust- bevakningsdatalagen. Lagen reglerar i princip all behandling av per- sonuppgifter i Kustbevakningens operativa verksamhet. I 3 och 4 kap. regleras behandling av personuppgifter i Kustbevakningens brottsbekämpande verksamhet och i 5 kap. behandling av person- uppgifter i annan operativ verksamhet som Kustbevakningen be- driver. Behandling för de ändamål som anges i 5 kap. ligger i allt väsentligt utanför direktivets tillämpningsområde och berörs därför inte vidare här. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är av- sedda att ingå i en strukturerad samling av personuppgifter.

Förhållandet till personuppgiftslagen

Kustbevakningsdatalagen gäller enligt 2 kap. 1 § i stället för person- uppgiftslagen, men i 2 kap. 2 § finns hänvisningar till vissa bestäm- melser i personuppgiftslagen som ändå ska tillämpas. Det gäller bl.a. personuppgiftslagens definitioner, vissa grundläggande be- stämmelser om behandlingen av personuppgifter, information till den registrerade, tillsyn och skadestånd.

97

Dagens reglering

SOU 2017:29

Ändamålen för behandling och utlämnande av uppgifter

Kustbevakningsdatalagen är uppbyggd på i princip samma sätt som polisdatalagen. De ändamål för vilka personuppgifter får behandlas är indelade i primära och sekundära ändamål. De primära ändamå- len avser behandling av personuppgifter för att tillgodose de behov som finns inom Kustbevakningen.

De primära ändamålen för den brottsbekämpande verksamheten anges uttömmande i 3 kap. 2 § lagen. Enligt den paragrafen får per- sonuppgifter behandlas om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller fullgöra förpliktelser som följer av internationella åtaganden.

Personuppgifter som behandlas i Kustbevakningens brottsbe- kämpande verksamhet får enligt 3 kap. 3 § också behandlas när det är nödvändigt för att tillhandahålla information som behövs i brottsbekämpande verksamhet hos Polismyndigheten, Säkerhets- polisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Skatteverket eller utländsk myndighet eller mellanfolklig orga- nisation. Personuppgifter får även behandlas om det är behövs för att tillhandahålla information som behövs i annan verksamhet hos Kustbevakningen för utredning och beslut i ärenden som rör vat- tenföroreningsavgift eller tillsyn och kontroll enligt lag eller för- ordning. Personuppgifter får även behandlas om det är nödvändigt för att tillhandahålla information som behövs i en annan myndig- hets verksamhet, om Kustbevakningen enligt lag eller förordning är skyldig att bistå myndigheten med viss uppgift eller om informa- tionen tillhandahålls inom ramen för myndighetsöverskridande samverkan mot brott. Likaså får personuppgifter i ett enskilt fall behandlas för att lämnas ut för vissa andra i paragrafen specifice- rade ändamål eller för något annat ändamål, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in (finalitetsprincipen).

Personuppgifter får enligt 2 kap. 6 § också behandlas om det är nödvändigt för diarieföring, eller om uppgifterna har lämnats till Kustbevakningen i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.

I 3 kap. 6 § regleras i vilka fall personuppgifter får lämnas till Interpol och Europol, polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol eller utländsk kustbevaknings-

98

SOU 2017:29

Dagens reglering

eller tullmyndighet inom EES. Personuppgifter får lämnas ut till dem om det är förenligt med svenska intressen och det behövs för att myndigheten eller organisationen ska kunna förebygga, för- hindra, upptäcka, utreda eller beivra brott. Uppgifter får vidare lämnas ut till utländsk myndighet eller mellanfolklig organisation om utlämnandet följer av en internationell överenskommelse som Sverige har tillträtt efter riksdagens godkännande. I 3 kap. 7 § anges under vilka förutsättningar personuppgifter som omfattas av sekre- tess får lämnas ut till Polismyndigheten, Säkerhetspolisen, Eko- brottsmyndigheten, Åklagarmyndigheten, Tullverket och Skatte- verket.

Behandling av känsliga personuppgifter

I 2 kap. 7 § kustbevakningsdatalagen regleras behandling av käns- liga personuppgifter. Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Om uppgifter om en person behandlas på annan grund får de kompletteras med käns- liga personuppgifter om det är absolut nödvändigt för syftet med behandlingen.

3.2.4Skatteverket

En ny skattebrottsdatalag har föreslagits

Lagen (1999:90) om behandling av personuppgifter vid Skattever- kets medverkan i brottsutredningar – som för närvarande gäller för personuppgiftsbehandling i den del av Skatteverkets verksamhet som ligger inom direktivets tillämpningsområde – föreslås ersättas av en ny lag, skattebrottsdatalagen (Skattebrottsdatalag, prop. 2016/17:89). Enligt förslaget ska den nya lagen träda i kraft den 1 juli 2017. Mot den bakgrunden redovisas här enbart förslaget till skattebrottsdatalag.

99

Dagens reglering

SOU 2017:29

Lagens tillämpningsområde

Skattebrottsdatalagen, som har utformats i nära anslutning till polisdatalagen, kustbevakningsdatalagen och åklagardatalagen, föreslås reglera all behandling av personuppgifter i Skatteverkets brottsbekämpande verksamhet. Skatteverkets brottsbekämpande verksamhet avser i första hand sådana brott som anges i 1 § lagen (1997:1024) om Skatteverkets medverkan i brottsutredningar, bl.a. brott mot skattebrottslagen (1971:69) och lagen (2014:836) om näringsförbud. Skatteverket får enligt den paragrafen medverka vid förundersökning i fråga om andra brott, om åklagaren finner sär- skilda skäl för det. Tillämpningsområdet omfattar även sådana brott.

Skattebrottsdatalagen ska enligt 1 kap. 2 § endast gälla om be- handlingen är helt eller delvis automatiserad eller om personupp- gifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter. Lagen ska enligt 1 kap. 4 § i viss utsträckning även tillämpas på behandling av uppgifter om juridiska personer.

Förhållandet till personuppgiftslagen

Lagen föreslås gälla i stället för personuppgiftslagen, men hänvis- ningar görs i 2 kap. 2 § till vissa bestämmelser i personuppgifts- lagen som ändå ska tillämpas. Det gäller bl.a. personuppgiftslagens definitioner, vissa grundläggande bestämmelser om behandlingen av personuppgifter, information till den registrerade, tillsyn och skadestånd.

Ändamålen för behandling och utlämnande av uppgifter

De ändamål för vilka personuppgifter föreslås få behandlas i Skatte- verkets brottsbekämpande verksamhet är uppdelade i primära och sekundära ändamål. Personuppgifter föreslås enligt 2 kap. 5 § få be- handlas om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, för att utreda brott eller för att fullgöra för- pliktelser som följer av internationella åtaganden. Personuppgifter som behandlas enligt den paragrafen föreslås också få behandlas när det är nödvändigt för att tillhandahålla information som behövs i

100

SOU 2017:29

Dagens reglering

brottsbekämpande verksamhet hos Polismyndigheten, Säkerhets- polisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Kustbevakningen eller en utländsk myndighet eller mellan- folklig organisation. Personuppgiftsbehandling genom utlämnande föreslås enligt 2 kap. 6 § också vara tillåten bl.a. när det är nödvän- digt för att tillhandahålla information som behövs i annan verk- samhet som Skatteverket ansvarar för, om det kan antas att infor- mationen behövs i ett ärende i den verksamheten. Personuppgifter föreslås i ett enskilt fall få behandlas för något annat ändamål, under förutsättning att ändamålet inte är oförenligt med det ända- mål för vilket uppgifterna samlades in (finalitetsprincipen).

Personuppgifter ska enligt 2 kap. 7 § också få behandlas om det är nödvändigt för diarieföring, eller om uppgifterna har lämnats till Skatteverket i en anmälan eller liknande och behandlingen är nöd- vändig för handläggningen.

I 2 kap. 11 och 12 §§ föreslås sekretessbrytande bestämmelser som anger i vilken utsträckning personuppgifter får lämnas ut till svenska brottsbekämpande myndigheter och till en utländsk myn- dighet eller mellanfolklig organisation.

Behandling av känsliga personuppgifter

Känsliga personuppgifter, dvs. uppgifter som avslöjar en persons ras, etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening eller som rör hälsa eller sexualliv, föreslås enligt 2 kap. 8 § inte få behandlas enbart på grund av vad som är känt om en persons sådana förhållanden. Om upp- gifter om en person behandlas på annan grund ska de få komplette- ras med känsliga personuppgifter, om det är absolut nödvändigt för syftet med behandlingen.

3.2.5Åklagarväsendet

Åklagare har till uppgift både att bekämpa och lagföra brott, men eftersom åklagares brottsbekämpning syftar till att lagföra redo- visas regleringen av åklagarväsendets personuppgiftsbehandling i avsnitt 3.3.1.

101

Dagens reglering

SOU 2017:29

3.2.6Lagen om internationellt polisiärt samarbete

Lagen om internationellt polisiärt samarbete tillämpas på polisiärt samarbete mellan Sverige och andra medlemsstater i EU och mellan Sverige och Island, Norge, Schweiz och Liechtenstein i den ut- sträckning som följer av internationella överenskommelser. Polis- datalagen gäller enligt 1 a § lagen om internationellt polisiärt sam- arbete för polisens behandling av personuppgifter i det samarbete som regleras i lagen, om inte den lagen innehåller särskilda regler.

I 16–21 §§ lagen om internationellt polisiärt samarbete finns be- stämmelser om informationsutbyte enligt Prümrådsbeslutet och den behandling av personuppgifter som är tillåten vid sådant infor- mationsutbyte. I 22 och 23 §§ regleras på motsvarande sätt infor- mationsutbyte enligt CBE-direktivet. I 24–27 §§ finns bestämmel- ser om tillgång till uppgifter i informationssystemet för viseringar (VIS) enligt VIS-rådsbeslutet för utredning av vissa grova brott och för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar sådana brott. Paragraferna reglerar den behandling av personuppgifter som är tillåten för dessa syften.

I 28 och 29 §§ finns vissa bestämmelser som är gemensamma för Prümrådsbeslutet, CBE-direktivet och VIS-rådsbeslutet.

I propositionen Nya möjligheter till operativt polissamarbete med andra stater (prop. 2016/17:139) föreslås att lagen om interna- tionellt polisiärt samarbete ska upphävas och ersättas med en ny lag i samma ämne. Där föreslås bl.a. att lagen delas in i kapitel och att det införs fem kapitel som reglerar olika former av personuppgifts- behandling vid polisiärt samarbete med andra stater inom och utan- för EU. Några ändringar i sak föreslås inte när det gäller regle- ringen av behandling av personuppgifter.

3.2.7Lagen om internationellt tullsamarbete

Lagen (2000:1219) om internationellt tullsamarbete tillämpas på internationellt tullsamarbete som följer av vissa internationella åtaganden och som har till syfte att förhindra, upptäcka, utreda eller beivra överträdelser av tullbestämmelser. Den gäller inte bara för straffrättsliga överträdelser av tullbestämmelser utan även över- trädelser som hanteras i Tullverkets verksamhet effektiv handel.

102

SOU 2017:29

Dagens reglering

I 2 kap. 6–8 §§ finns bestämmelser om utbyte av uppgifter. Regleringen gäller för både spontant uppgiftsutbyte och utläm- nande av uppgifter på begäran av en behörig utländsk myndighet eller mellanfolklig organisation. Enligt 8 § ska den myndighet som översänt uppgifter till en utländsk mottagare på begäran av den person som uppgiften rör underrätta honom eller henne om vilken mottagare uppgiften översänts till och för vilket ändamål. Personen behöver dock inte underrättas i vissa i paragrafen angivna situa- tioner.

3.2.8Lagen om register över tillträdesförbud vid idrottsarrangemang

Lagen om register över tillträdesförbud vid idrottsarrangemang ger Polismyndigheten och idrottsorganisationer möjlighet att behandla personuppgifter för att på ett ändamålsenligt sätt kunna upprätt- hålla gällande beslut om tillträdesförbud vid idrottsarrangemang. Polismyndigheten får enligt 2 § med hjälp av automatiserad be- handling föra ett tillträdesförbudsregister, som innehåller uppgifter om personer som har meddelats tillträdesförbud enligt lagen (2005:321) om tillträdesförbud. I förarbetena framhålls att Polis- myndighetens personuppgiftsbehandling enligt lagen åtminstone delvis är brottsbekämpande (se Register över tillträdesförbud vid idrottsarrangemang, prop. 2013/14:254, s. 43).

3.3Särregler för lagföring

3.3.1Åklagarväsendet

Allmänt om åklagardatalagen

Åklagardatalagen är uppbyggd på samma sätt som polisdatalagen och kustbevakningsdatalagen. Lagen gäller för behandling av per- sonuppgifter i åklagarväsendets operativa verksamhet. Personupp- gifter får behandlas både i åklagares brottsbekämpande verksamhet och om det behövs för att åklagare ska kunna fullgöra andra opera- tiva uppgifter som de har enligt bestämmelser i lag eller förordning. Behandling för sistnämnda ändamål ligger utanför direktivets till- lämpningsområde och berörs därför inte vidare här. Lagen gäller

103

Dagens reglering

SOU 2017:29

endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter.

Lagens tillämpningsområde

Åklagardatalagen gäller i åklagarväsendets operativa verksamhet, dvs. åklagarverksamhet vid Åklagarmyndigheten och Ekobrotts- myndigheten. Lagen gäller däremot inte för behandling av person- uppgifter i den polisiära verksamheten vid Ekobrottsmyndigheten där polisdatalagen gäller i stället.

Åklagardatalagen gäller enligt 1 kap. 4 § till viss del även för be- handling av uppgifter om juridiska personer.

Förhållandet till personuppgiftslagen

Åklagardatalagen gäller i stället för personuppgiftslagen men i 2 kap. 2 § finns hänvisningar som innebär att ett flertal bestäm- melser i personuppgiftslagen ska tillämpas. Det gäller bl.a. person- uppgiftslagens definitioner, vissa grundläggande bestämmelser om behandlingen av personuppgifter och bestämmelser om informa- tion till den registrerade, tillsyn och skadestånd.

Ändamålen för behandling och utlämnande av uppgifter

De ändamål för vilka personuppgifter får behandlas är indelade i primära och sekundära ändamål. De primära ändamålen avser be- handling av personuppgifter för att tillgodose de behov som finns inom åklagarväsendet. De primära ändamålen för behandling anges uttömmande i 2 kap. 5 § åklagardatalagen. Personuppgifter får be- handlas i åklagarväsendets brottsbekämpande verksamhet om det behövs för att förebygga eller förhindra brottslig verksamhet, ut- reda eller beivra brott eller fullgöra de förpliktelser som följer av internationella åtaganden. Personuppgifter får även behandlas i åklagarväsendets operativa verksamhet om det behövs för att åkla- gare ska kunna fullgöra andra författningsreglerade uppgifter.

104

SOU 2017:29

Dagens reglering

De sekundära ändamålen är aktuella när personuppgifter som får behandlas i åklagarväsendets brottsbekämpande verksamhet lämnas ut till andra myndigheter eller organisationer för deras behov. En- ligt de sekundära ändamålen, som anges i 2 kap. 6 §, får person- uppgifter behandlas när det är nödvändigt för att tillhandahålla information som behövs i brottsbekämpande verksamhet hos Åklagarmyndigheten, Ekobrottsmyndigheten, Polismyndigheten, Säkerhetspolisen, Tullverket, Kustbevakningen och Skatteverket, eller hos utländsk myndighet, ett EU-organ eller en mellanfolklig organisation. Likaså får personuppgifter i ett enskilt fall behandlas för att lämnas ut för vissa andra i paragrafen specificerade ändamål eller för något annat ändamål, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in (finalitetsprincipen).

Personuppgifter får enligt 2 kap. 7 § också behandlas om det är nödvändigt för diarieföring, eller om uppgifterna har lämnats till åklagarväsendet i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.

I 2 kap. 13 § regleras i vilka fall personuppgifter får lämnas till Interpol och Europol eller en polismyndighet eller åklagarmyndig- het i en stat som är ansluten till Interpol. Personuppgifter får lämnas ut till dem om det är förenligt med svenska intressen och det behövs för att myndigheten eller organisationen ska kunna förebygga, förhindra, upptäcka, utreda eller beivra brott. Uppgifter får vidare lämnas ut till utländsk myndighet eller mellanfolklig organisation om utlämnandet följer av en internationell överens- kommelse som Sverige efter riksdagens godkännande har tillträtt. I 2 kap. 14 § anges under vilka förutsättningar personuppgifter som omfattas av sekretess får lämnas ut till Åklagarmyndigheten, Ekobrottsmyndigheten, Polismyndigheten, Säkerhetspolisen, Tull- verket, Kustbevakningen och Skatteverket.

Behandling av känsliga personuppgifter

Känsliga personuppgifter, dvs. uppgifter som avslöjar en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening eller som rör hälsa eller sexualliv, får enligt 2 kap. 8 § inte behandlas enbart på grund av vad

105

Dagens reglering

SOU 2017:29

som är känt om en persons sådana förhållanden. Om uppgifter om en person behandlas på någon annan grund får de dock komplette- ras med sådana uppgifter när det är absolut nödvändigt för syftet med behandlingen.

3.3.2Domstolsväsendet

Allmänt om domstolsdatalagen

Domstolsdatalagen (2015:728) gäller vid behandling av personupp- gifter hos de allmänna domstolarna, de allmänna förvaltningsdom- stolarna och hyres- och arrendenämnderna. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om person- uppgifterna ingår i eller är avsedda att ingå i en strukturerad sam- ling av personuppgifter.

Lagens tillämpningsområde

Domstolsdatalagen är enligt 2 § – i motsats till polisdatalagen och Tullverkets och Skatteverkets motsvarande lagar – tillämplig i all rättsskipande och rättsvårdande verksamhet vid de allmänna dom- stolarna, de allmänna förvaltningsdomstolarna och hyres- och arrendenämnderna. Lagen gäller också när personuppgifterna vida- rebehandlas i den administrativa verksamheten för att lämnas ut efter begäran. Trots det mycket omfattande tillämpningsområdet regleras endast få frågor i domstolsdatalagen, vilket beror på den vittomfattande ändamålsregeln som medger behandling för hand- läggning av alla typer av mål och ärenden.

I de allmänna domstolarna är det framför allt hanteringen av brottmål och vissa anknytande ärenden (t.ex. ärenden om hemliga tvångsmedel, om ändring och undanröjande av påföljd och om in- ternationell rättslig hjälp i brottmål) som omfattas av direktivets tillämpningsområde. För de allmänna förvaltningsdomstolarna är det i huvudsak hanteringen av mål som rör verkställighet av straff- rättsliga påföljder som är av intresse.

106

SOU 2017:29

Dagens reglering

Förhållandet till personuppgiftslagen

Domstolsdatalagen gäller enligt 4 § i stället för personuppgiftslagen men i 5 § domstolsdatalagen finns hänvisningar som anger att vissa bestämmelser i personuppgiftslagen ska tillämpas. Det gäller bl.a. personuppgiftslagens definitioner, vissa grundläggande bestämmel- ser om behandlingen av personuppgifter och bestämmelser om information till den registrerade, tillsyn och skadestånd.

Ändamålen för behandling och utlämnande av uppgifter

Enligt 6 § domstolsdatalagen får personuppgifter behandlas om det behövs för handläggning av mål och ärenden. Personuppgifter som behandlas enligt den paragrafen får enligt 7 § även behandlas om det behövs för att fullgöra uppgiftslämnande i överensstämmelse med lag eller förordning.

Behandling av känsliga personuppgifter

I 13 § domstolsdatalagen föreskrivs att uppgifter om en person inte får behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv.

3.3.3Register över ordningsbot och strafföreläggande

Föreläggande av ordningsbot och strafföreläggande

Föreläggande av ordningsbot och strafföreläggande är förenklade former av lagföring som innebär att den misstänkte föreläggs att inom viss tid godkänna och betala ett i föreläggandet angivet bötes- straff och eventuellt vissa kostnader. Gör den misstänkte det gäller föreläggandet enligt 48 kap. 3 § rättegångsbalken som en lagakraft- vunnen dom.

Åklagare får även enligt 48 kap. 4 § rättegångsbalken genom strafföreläggande förelägga den misstänkte villkorlig dom eller sådan påföljd i förening med böter, om det är uppenbart att rätten skulle döma till sådan påföljd.

107

Dagens reglering

SOU 2017:29

Förordningen om register över strafförelägganden

I förordningen (1997:902) om register över strafförelägganden reg- leras i 2 § Tullverkets rätt att föra register över utfärdade straff- förelägganden och i 3 § Polismyndighetens skyldighet att föra ett register över uppbörd i ärenden om strafförelägganden (se av- snitt 3.4.3 beträffande sistnämnda register).

Ett strafförelägganderegister får enligt 6 § användas för hand- läggning av ärenden om strafföreläggande, för visst uppgiftsläm- nande och för framställning av statistik. I 9 § anges uttömmande vilka uppgifter ett strafförelägganderegister får innehålla.

Numera gäller reglerna om register över strafförelägganden bara för Tullverket, vars tullåklagare får utfärda strafföreläggande. Åkla- gardatalagen är generellt tillämplig och när den infördes konstate- rades det att särreglerna i nu aktuell förordning inte längre behövs i åklagarväsendet (se Åklagardatalag, prop. 2014/15:63, s. 66).

Förordningen om register över ordningsbot

I förordningen (1997:903) om register över ordningsbot ges Polis- myndigheten rätt att behandla personuppgifter i ett register över förelägganden av ordningsbot.

Registret används inte bara av Polismyndigheten utan även av Säkerhetspolisen, Tullverket och Kustbevakningen. All registrering av förelägganden av ordningsbot hanteras i registret.

Registret får enligt 2 § användas i ärenden om föreläggande av ordningsbot för handläggning, uppbörd och underrättelser till myndigheter samt för tillsyn, planering, uppföljning och framställ- ning av statistik. I 5 § anges uttömmande vilka uppgifter registret får innehålla.

108

SOU 2017:29

Dagens reglering

3.4Särregler för verkställighet av straff

3.4.1Särreglering bara för vissa former av verkställighet

Fängelse, skyddstillsyn, villkorlig dom med samhällstjänst och böter

Kriminalvården ansvarar för verkställighet av flertalet straffrättsliga påföljder. Det gäller fängelsestraff och frivårdspåföljder i form av skyddstillsyn och villkorlig dom med samhällstjänst.

Både Polismyndigheten och Kronofogdemyndigheten har upp- gifter när det gäller betalning av böter. Polismyndigheten ansvarar för uppbörd, dvs. frivillig betalning, och Kronofogdemyndigheten för indrivning.

De regler om behandling av personuppgifter som gäller i dessa verksamheter och som ligger inom direktivets tillämpningsområde redovisas i det följande.

Överlämnande till särskild vård

Om rätten beslutar om överlämnande till särskild vård enligt 31 kap. brottsbalken eller överlämnande till särskild vård för unga enligt 32 kap. brottsbalken är det andra myndigheter som ansvarar för verkställigheten. Vid vård enligt lagen (1988:870) om vård av missbrukare i vissa fall är det socialnämnden eller ett hem där sådan vård meddelas som ansvarar för verkställigheten.

Om påföljden är rättspsykiatrisk vård ansvarar enligt 6 § lagen (1991:1129) om rättspsykiatrisk vård en sjukvårdsinrättning som drivs av ett landsting för verkställigheten.

Är påföljden ungdomsvård eller ungdomstjänst ansvarar social- nämnden för verkställigheten. I de fall där påföljden bestäms till sluten ungdomsvård ansvarar enligt 3 § lagen (1998:603) om verk- ställighet av sluten ungdomsvård Statens institutionsstyrelse för verkställigheten.

De regler om behandling av personuppgifter som gäller i dessa verksamheter och som ligger inom direktivets tillämpningsområde redovisas i det följande.

109

Dagens reglering

SOU 2017:29

3.4.2Verkställighet av fängelse, skyddstillsyn och villkorlig dom med samhällstjänst

Allmänt om lagen om behandling av personuppgifter inom kriminalvården

Lagen om behandling av personuppgifter inom kriminalvården innehåller endast övergripande bestämmelser om behandlingen av personuppgifter. Bestämmelser om de register som ska föras (cen- trala kriminalvårdsregistret och säkerhetsregistret) och detaljerade regler om vilka typer av uppgifter som får behandlas om olika per- sonkategorier finns i stället i förordningen (2001:682) om behand- ling av personuppgifter inom kriminalvården.

Lagens tillämpningsområde

Lagen gäller enligt 1 § vid behandling av personuppgifter i fråga om personer som

är föremål för personutredning,

är häktade,

är dömda till fängelse, skyddstillsyn eller villkorlig dom med föreskrift om samhällstjänst, eller är ålagda fängelse som för- vandlingsstraff för böter eller vite, eller som på grund av en ut- ländsk dom ska verkställa någon av dessa påföljder i Sverige,

på någon annan grund är intagna i häkte eller fängelse, eller

annars transporteras av Kriminalvårdens transporttjänst.

Förhållandet till personuppgiftslagen

Lagen om behandling av personuppgifter inom kriminalvården gäller utöver personuppgiftslagen och innehåller bara vissa särbe- stämmelser i förhållande till personuppgiftslagen, som i övrigt gäl- ler för Kriminalvårdens verksamhet.

110

SOU 2017:29

Dagens reglering

Ändamålen med behandlingen

Personuppgifter får enligt 3 § lagen behandlas bara om det är nöd- vändigt för att

Kriminalvården ska kunna fullgöra sina uppgifter i enlighet med lag eller förordning,

underlätta tillgången till sådana uppgifter om verkställighet av påföljd eller häktning som rättsväsendets myndigheter behöver, eller

upprätthålla säkerheten och förebygga brott under den tid som häktning, verkställighet av påföljd, intagning av annat skäl eller transport utförd av Kriminalvården pågår.

Behandling av känsliga personuppgifter

Uppgifter som avslöjar en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening eller som rör hälsa eller sexualliv får enligt 5 § lagen inte behandlas enbart på grund av vad som är känt om personens sådana förhållanden. Om känsliga personuppgifter behandlas på annan grund, får uppgifterna kompletteras med sådana personupp- gifter om det är absolut nödvändigt för syftet med behandlingen.

Förordningen om behandling av personuppgifter inom kriminalvården

I förordningen om behandling av personuppgifter inom kriminal- vården finns dels generella regler om vilka uppgifter som får be- handlas, dels bestämmelser om särskilda register. Vilka uppgifter som får behandlas varierar med grunden för att en person före- kommer hos Kriminalvården. Reglerna är t.ex. olika beroende på vilken påföljd som verkställs.

Det centrala kriminalvårdsregistret regleras i 34–36 §§. Ända- målet med registret är dels att möjliggöra för myndigheten att full- göra sina författningsenliga uppgifter, dels att underlätta tillgången till sådana uppgifter om verkställighet av påföljd som rättsväsen- dets myndigheter behöver. Endast personer som har dömts till

111

Dagens reglering

SOU 2017:29

fängelse, skyddstillsyn, villkorlig dom med samhällstjänst eller har ålagts förvandlingsstraff för böter eller vite eller personer som ska verkställa en utländsk sådan påföljd i Sverige får finnas i registret.

Säkerhetsregistret regleras i 39–41 och 43–45 §§. Ändamålet med registret är att upprätthålla säkerheten och att förebygga brott. Endast personer som är häktade eller intagna i vissa fängelser för att avtjäna fängelsestraff eller som ska verkställa en utländsk sådan påföljd får finnas i registret. Registrering förutsätter dessutom att vissa särskilda omständigheter föreligger, t.ex. att den registrerade tidigare har rymt eller gjort sig skyldig till allvarligt hot eller våld mot personal eller mot andra intagna eller att det finns särskild anledning att anta att han eller hon kan komma att göra det.

Förordningen innehåller också regler om de journaler som ska föras över verkställigheten. Vid överflyttning av verkställighet av påföljd till en annan stat får enligt 48 § bl.a. sådana journaler lämnas ut till den myndighet i den andra staten som är ansvarig för verk- ställigheten.

3.4.3Verkställighet av bötesstraff

Regler om verkställighet av böter

Enligt 1 § bötesverkställighetslagen (1979:189) verkställs bötes- straff antingen genom uppbörd eller indrivning. Uppbörd innebär att den bötfällde frivilligt betalar bötesbeloppet. Uppbörd kan också bestå i att belopp som har betalats som förskott på böter tas i anspråk. Bötesstraff som ålagts genom strafföreläggande eller före- läggande av ordningsbot ska enligt 2 § i första hand verkställas genom uppbörd. Detsamma gäller böter som ålagts genom dom eller slutligt beslut av allmän domstol. Om uppbörd inte ska ske eller om uppbörd inte leder till full betalning ska böterna enligt 6 § lämnas vidare för indrivning.

Uppbörd av böter

Polismyndigheten är enligt 3 § bötesverkställighetsförordningen (1979:197) central uppbördsmyndighet. Polismyndigheten ansvarar för uppbörd av böter oavsett vilken myndighet som utfärdat ett

112

SOU 2017:29

Dagens reglering

föreläggande av ordningsbot eller ett strafföreläggande. Polismyn- digheten ansvarar även för uppbörd av böter som utdömts av all- män domstol.

I Polismyndighetens verksamhet med uppbörd av böter tilläm- pas personuppgiftslagen om det inte finns någon särreglering. Som tidigare nämnts får Polismyndigheten föra register över förelägg- anden av ordningsbot och strafförelägganden (se avsnitt 3.3.3). Registren är bl.a. avsedda att utgöra hjälpmedel i Polismyndighe- tens roll som central uppbördsmyndighet.

I departementspromemorian Uppbörd av böter (Ds 2015:5) föreslås en ny lag och förordning om uppbörd av böter. De är av- sedda att ersätta de nuvarande bestämmelserna om uppbörd av bötesstraff. Promemorian har remitterats. Förslagen bereds i Rege- ringskansliet (Justitiedepartementet).

Verkställighet av böter som inte betalas frivilligt

Indrivning innebär att betalning för böter tas ut tvångsvis genom åtgärder som Kronofogdemyndigheten vidtar. Om gäldenären inte betalar kan under vissa förutsättningar bötesstraffet komma att för- vandlas till fängelse. På initiativ av Kronofogdemyndigheten prövar åklagare om det finns skäl att väcka talan vid allmän domstol om omvandling av straffet. Förfarandet regleras dels i 15–23 §§ bötes- verkställighetslagen, dels i 17–23 §§ bötesverkställighetsförord- ningen.

3.4.4Verkställighet av rättspsykiatrisk vård, vård enligt socialtjänstlagen, ungdomsvård och ungdomstjänst

Rättspsykiatrisk vård

När det gäller rättspsykiatrisk vård finns det ingen särskild regler- ing av personuppgiftsbehandling i sådan verksamhet. I den ut- sträckning som verksamheten är hänförlig till hälso- och sjukvård gäller patientdatalagen (2008:355) även för rättspsykiatrisk vård (se Patientdatalag m.m., prop. 2007/08:126, s. 49). I övrigt tillämpas personuppgiftslagen.

113

Dagens reglering

SOU 2017:29

I 2 kap. 2 § patientdatalagen, som gäller utöver personuppgifts- lagen, anges i vilken utsträckning behandling av personuppgifter är tillåten med eller utan den registrerades samtycke. Personuppgifter får enligt 2 kap. 4 § behandlas bl.a. för att uppfylla kraven på jour- nalföring i 3 kap. och att upprätta annan dokumentation som följer av lag, förordning eller annan författning. Vårdgivaren är enligt 2 kap. 6 § personuppgiftsansvarig. Uppgifter om lagöverträdelser får behandlas endast om det är absolut nödvändigt. Det gäller även en vårdgivare som inte är en statlig myndighet, landsting eller kom- mun. Behandling av känsliga personuppgifter och behandling av uppgifter om lagöverträdelser regleras i 2 kap. 8 §. I 3 kap. regleras skyldigheten att föra patientjournal och vad som i övrigt gäller för behandling av personuppgifter i sådana journaler. Lagen innehåller också bestämmelser om skadestånd och överklagande.

Ungdomsvård, vård enligt socialtjänstlagen och vård av missbrukare

Statens institutionsstyrelse, som ansvarar för verkställighet av slu- ten ungdomsvård, tillämpar lagen (2001:454) om behandling av personuppgifter inom socialtjänsten i sin verksamhet. Lagen gäller utöver personuppgiftslagen. Personuppgifter får enligt 6 § bara behandlas om behandlingen är nödvändig för att arbetsuppgifter inom socialtjänsten ska utföras och för uppgiftslämnande som föreskrivs i lag eller förordning. Lagen reglerar i 7 § bl.a. behand- ling av känsliga personuppgifter och uppgifter om lagöverträdelser, domar i brottmål och straffprocessuella tvångsmedel.

Kommunala myndigheter tillämpar också lagen om behandling av personuppgifter inom socialtjänsten i verksamhet enligt lagstift- ningen om socialtjänst och lagstiftningen om vård utan samtycke av unga eller missbrukare. Det innebär att lagen är tillämplig när kommunala myndigheter behandlar personuppgifter beträffande någon som har dömts till överlämnande till särskild vård enligt lagen om vård av missbrukare eller till ungdomstjänst eller ung- domsvård.

114

SOU 2017:29

Dagens reglering

3.4.5Internationellt samarbete rörande verkställighet av straffrättsliga påföljder

Ett flertal lagar och förordningar reglerar internationellt samarbete beträffande verkställighet av påföljd. Det gäller exempelvis lagen (1963:193) om samarbete med Danmark, Finland, Island och Norge angående verkställighet av straff, lagen (1972:260) om inter- nationellt samarbete rörande verkställighet av brottmålsdom, lagen (2015:96) om erkännande och verkställighet av frihetsberövande påföljder inom Europeiska unionen, lagen (2009:1427) om erkän- nande och verkställighet av bötesstraff inom Europeiska unionen och lagen (2011:423) om erkännande och verkställighet av beslut om förverkande inom Europeiska unionen. Flera av de myndig- heter vars registerförfattningar har redovisats i detta kapitel fullgör olika uppgifter enligt dessa lagstiftningar som kräver behandling av personuppgifter.

3.5Regler om personuppgiftsbehandling hos andra aktörer än myndigheter

3.5.1Uppgifter om brottsbekämpning, lagföring eller straffverkställighet

Det är inte bara myndigheter som behandlar uppgifter som rör brottsbekämpning, lagföring och straffverkställighet. Åtskilliga andra aktörer får i sin verksamhet i större eller mindre utsträckning tillgång till uppgifter om t.ex. domar i brottmål. I vilken utsträck- ning sådana uppgifter får behandlas regleras dels i personuppgifts- lagen, dels i andra författningar som ligger utanför direktivets till- lämpningsområde.

Som framgår i avsnitt 3.1.2 förbjuds andra än myndigheter i per- sonuppgiftslagen att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångs- medel eller administrativa frihetsberövanden. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från förbudet. Datainspektionen har meddelat sådana föreskrifter (DIFS 1998:3). Föreskrifterna innebär att personupp- gifter om lagöverträdelser får behandlas bl.a. om behandlingen

115

Dagens reglering

SOU 2017:29

är nödvändig för att fullgöra en föreskrift på socialtjänstområ- det,

avser uppgift i fristående skolors elevvårdsverksamhet eller mot- svarande verksamhet hos enskilda anordnare av högskoleutbild- ning,

är nödvändig för att kontrollera att en jävssituation inte förelig- ger i advokatverksamhet eller annan juridisk verksamhet, eller

bara avser enstaka uppgift som är nödvändig för att anmälnings- skyldighet enligt lag ska kunna fullgöras.

3.5.2Offentliga försvarare och annat juridiskt biträde

I förundersökningar och brottmålsrättegångar biträds både den misstänkte och i vissa fall målsäganden av ett juridiskt biträde. Endast den som är advokat får enligt huvudregeln i 21 kap. 5 § rät- tegångsbalken utses till offentlig försvarare. Till målsägandebiträde får enligt 4 § lagen (1988:609) om målsägandebiträde jämförd med 26 § rättshjälpslagen (1996:1619) förordnas en advokat, en biträ- dande jurist eller någon annan som är lämplig för uppdraget. Mot- svarande krav ställs på den som enligt 5 § lagen (1999:997) om sär- skild företrädare för barn får utses till särskild företrädare. Den som fullgör uppgifter som offentlig försvarare, målsägandebiträde eller särskild företrädare för barn behandlar i stor utsträckning per- sonuppgifter som härrör från förundersökningar, brottsmålsrätte- gångar och straffverkställighet.

I 8 kap. rättegångsbalken finns bestämmelser om advokatväsen- det. En advokat ska vara ledamot av Sveriges advokatsamfund, vars verksamhet delvis är av offentligrättslig natur genom den tillsyn som samfundets styrelse och disciplinnämnd enligt 8 kap. 6 och 7 §§ rättegångsbalken utövar över advokaterna.

Enligt 8 kap. 4 § rättegångsbalken ska en advokat i sin verksam- het redbart och nitiskt utföra de uppdrag som anförtrotts honom och iaktta god advokatsed.

Det finns inte några särregler för behandling av personuppgifter som utförs av någon av de kategorier som nämns i detta avsnitt. De tillämpar således personuppgiftslagen.

116

SOU 2017:29

Dagens reglering

3.5.3Idrottsorganisationer

En idrottsorganisation får enligt 7 § lagen om register över tillträ- desförbud vid idrottsarrangemang behandla personuppgifter från det tillträdesförbudsregister som Polismyndigheten för, om det behövs för att förebygga, förhindra eller upptäcka överträdelse av ett tillträdesförbud vid ett idrottsarrangemang som organisationen anordnar. En sådan organisation har också enligt 9 § rätt att ta del av uppgifter i tillträdesförbudsregistret trots att det gäller sekretess för uppgifterna. Uppgifter ur tillträdesförbudsregistret får enligt 10 § lämnas ut till en idrottsorganisation på medium för automa- tiserad behandling.

3.62013 års lag

Allmänt om lagen

Lagen (2013:329) med vissa bestämmelser om skydd för person- uppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen (i fortsättningen 2013 års lag) genomför rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (EUT L 350, 30.12.2008, s. 60, i fortsätt- ningen dataskyddsrambeslutet). Lagen gäller när personuppgifter överförs eller har överförts eller görs eller har gjorts tillgängliga inom ramen för polissamarbete eller straffrättsligt samarbete. Lagen gäller endast om behandlingen är helt eller delvis automatise- rad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter.

Lagens tillämpningsområde

Lagen gäller för behandling av personuppgifter i verksamhet som har till syfte att förebygga, förhindra eller upptäcka brottslig verk- samhet, utreda eller beivra brott eller verkställa straffrättsliga på- följder, om uppgifterna inom ramen för polissamarbete eller straff- rättsligt samarbete görs eller har gjorts tillgängliga eller överförs eller har överförts mellan en svensk myndighet och en medlemsstat i EU eller mellan en svensk myndighet och Island, Norge, Schweiz

117

Dagens reglering

SOU 2017:29

eller Liechtenstein eller mellan en svensk myndighet och ett EU- organ eller EU-informationssystem.

Från lagens tillämpningsområde undantas i 4 § dels behandling av personuppgifter som rör nationell säkerhet, dels personuppgifter som görs eller har gjorts tillgängliga eller överförs eller har över- förts genom visst informationsutbyte som specificeras i paragrafen.

Personuppgifter som en svensk myndighet har tagit emot får enligt 5 § endast behandlas för andra ändamål än det som uppgif- terna först överfördes eller gjordes tillgängliga för om syftet med behandlingen är att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott, verkställa straffrättsliga på- följder eller att vidta rättsliga eller administrativa åtgärder med direkt anknytning till något av dessa ändamål eller att avvärja en omedelbar och allvarlig fara för allmän säkerhet.

Personuppgifter får även behandlas för andra ändamål om den som överfört eller gjort uppgifterna tillgängliga har lämnat sitt medgivande eller den som uppgifterna avser har samtyckt till det.

Särskilda begränsningar gäller för överföring av personuppgifter som en svensk myndighet har erhållit enligt 6 § för överföring till enskilda och enligt 7 § för överföring till tredjeland eller interna- tionella organ.

I lagen finns också bestämmelser om villkor för användningen av personuppgifter.

118

4 Reformer på dataskyddsområdet

4.1Gällande unionsrättsakter

4.1.1Rättighetsstadgan

I artikel 8 i rättighetsstadgan slås fast att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Sådana uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till in- samlade uppgifter som rör honom eller henne och att få rättelse av dem. En oberoende myndighet ska kontrollera att dessa regler efterlevs.

I artikel 52 i stadgan anges i vilken utsträckning inskränkningar får göras i de rättigheter som erkänns i stadgan. Utgångspunkten är att sådana inskränkningar endast får göras i lag och ska vara fören- liga med det väsentliga innehållet i rättigheterna. Begränsningar får endast göras om de är nödvändiga och svarar mot ett allmänt sam- hällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter.

4.1.21995 års dataskyddsdirektiv

Den allmänna regleringen av behandling av personuppgifter inom Europeiska unionen finns i dag i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 23.11.1995, s. 31, i fortsättningen det nu gällande dataskyddsdirektivet). Direktivet syftar till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter

119

Reformer på dataskyddsområdet

SOU 2017:29

med avseende på behandling av personuppgifter och att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU.

Direktivet, som har genomförts i svensk rätt huvudsakligen genom personuppgiftslagen (1998:204) med tillhörande förordning (se avsnitt 3.1.2), gäller inte för behandling av personuppgifter utanför gemenskapsrätten, t.ex. allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område.

4.1.3Dataskyddsrambeslutet

Dataskyddsrambeslutet är tillämpligt på uppgifter som överförs eller görs tillgängliga mellan medlemsstaterna och mellan medlems- stater och EU-organ och mellan medlemsstaster och vissa utpekade informationssystem. Dataskyddsrambeslutet gäller däremot inte för nationell personuppgiftsbehandling. Från tillämpningsområdet undantas också personuppgiftsbehandling inom området nationell säkerhet.

Dataskyddsrambeslutet har genomförts i svensk rätt främst genom 2013 års lag med tillhörande förordning (se avsnitt 3.6).

4.2Europeiska unionens dataskyddsreform

4.2.1Två nya rättsliga instrument

Diskussionerna om det behövdes ett nytt rättsligt instrument som skulle ersätta 1995 års dataskyddsdirektiv pågick länge. Kommis- sionen presenterade den 25 januari 2012 förslag till en genomgri- pande reform av EU:s regler om skydd för personuppgifter. Pake- tet omfattade inte bara en förordning med en generell reglering som skulle ersätta det nu gällande dataskyddsdirektivet utan även ett nytt direktiv med särregler för främst den brottsbekämpande sektorn som skulle ersätta dataskyddsrambeslutet men ha ett bre- dare tillämpningsområde.

Det huvudsakliga syftet med kommissionens förslag var att ytterligare harmonisera och effektivisera skyddet av personuppgif- ter inom EU i syfte att förbättra den inre marknadens funktion och öka enskildas kontroll över sina personuppgifter.

120

SOU 2017:29

Reformer på dataskyddsområdet

Förslaget till förordning baserades till stor del på den struktur och reglering som finns i det nu gällande dataskyddsdirektivet. Generellt innebar förslaget stärkt skydd för enskilda vid behandling av personuppgifter. Förordningen innehöll även en rad nyheter jämfört med dataskyddsdirektivet. Dit hörde nya regler om de nationella tillsynsmyndigheternas ställning, villkor och uppgifter och om obligatoriskt ömsesidigt bistånd och samarbete dem emel- lan. En annan nyhet var skyldigheten för den personuppgiftsansva- rige att utan dröjsmål underrätta tillsynsmyndigheten om en per- sonuppgiftsincident ägt rum.

Förslaget till direktiv anslöt i stor utsträckning till den reglering som gäller enligt dataskyddsrambeslutet. Nya inslag var bl.a. kravet på att, så långt det är möjligt, vid behandlingen skilja mellan per- sonuppgifter som avser olika kategorier av personer och likaså mellan uppgifter med olika grad av riktighet och tillförlitlighet. En annan nyhet var skyldigheten för den personuppgiftsansvarige att utan dröjsmål underrätta tillsynsmyndigheten om en personupp- giftsincident ägt rum. Vidare föreslogs nya regler om de nationella tillsynsmyndigheternas ställning, villkor och uppgifter och om obligatoriskt ömsesidigt bistånd och samarbete dem emellan. Till skillnad från dataskyddsrambeslutet föreslogs det nya dataskydds- direktivet vara tillämpligt inte bara på utbyte av information över gränserna utan även på nationell personuppgiftsbehandling för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verk- ställa straffrättsliga påföljder.

Efter flera års förhandlingar enades Europaparlamentet och rådet den 27 april 2016 om en ny reglering av skyddet för enskilda vid behandling av personuppgifter. Den består av två rättsliga in- strument, en förordning och ett direktiv.

4.2.2En dataskyddsförordning

Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på be- handling av personuppgifter och om det fria flödet av sådana upp- gifter och om upphävande av direktiv 95/46/EG (EGT L 119, 4.5.2016, s. 1, i fortsättningen dataskyddsförordningen) börjar till- lämpas den 25 maj 2018.

121

Reformer på dataskyddsområdet

SOU 2017:29

Förordningen utgör en ny generell reglering för behandling av personuppgifter inom EU som ska ersätta dataskyddsdirektivet från år 1995 och som är direkt tillämplig. När förordningen träder i kraft måste personuppgiftslagen upphävas. Andra författningar som omfattas av den nya förordningens tillämpningsområde måste upphävas i de delar förordningen innehåller motsvarande före- skrifter och i övrigt anpassas till den.

Förordningen reglerar bl.a. grundläggande principer för behand- ling av personuppgifter, den registrerades rättigheter, personupp- giftsansvar, tillsyn över personuppgiftsbehandling och rätten för enskilda att få tillgång till rättsmedel och sanktioner mot ansvariga som inte lever upp till förordningens krav.

Från förordningens tillämpningsområde undantas personupp- giftsbehandling som utförs av behöriga myndigheter i syfte att förebygga, utreda, upptäcka eller lagföra brott eller verkställa straff, inkluderande skydd mot samt förebyggande av hot mot den all- männa säkerheten. Personuppgiftsbehandling för dessa syften lig- ger i stället under det nya dataskyddsdirektivets tillämpningsom- råde (se avsnitt 4.2.3).

En särskild utredare har fått i uppdrag att föreslå de anpass- ningar och kompletterande författningsbestämmelser på generell nivå som dataskyddsförordningen ger anledning till (dir. 2016:15). Utredningen har antagit namnet Dataskyddsutredningen. Den ut- redningen förutsätts samråda med vår utredning. I direktiven till Dataskyddsutredningen framhålls att samråd är särskilt viktigt i processuella frågor och frågor som rör sanktioner, tillsynsmyndig- heten och arkivering.

4.2.3Ett nytt dataskyddsdirektiv

Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på be- höriga myndigheters behandling av personuppgifter för att före- bygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (EUT L 119, 4.5.2016, s. 89, i fortsättningen direktivet) ska vara genomfört i nationell rätt senast den 6 maj 2018.

122

SOU 2017:29

Reformer på dataskyddsområdet

Direktivet ska dels skydda fysiska personers grundläggande fri- och rättigheter, särskilt deras rätt till skydd av personuppgifter, dels underlätta det informationsutbyte mellan behöriga myndig- heter som är nödvändigt enligt unionsrätt eller nationell rätt. Direktivet ersätter dataskyddsrambeslutet. En närmare beskrivning av innehållet i direktivet finns i avsnitt 5.2.

4.2.4Viss personuppgiftsbehandling ligger utanför båda instrumenten

Viss behandling av personuppgifter undantas från både dataskydds- förordningens och dataskyddsdirektivets tillämpningsområden. Det gäller personuppgiftsbehandling i verksamhet som inte omfat- tas av unionsrätten, däribland området nationell säkerhet.

Vidare undantas den personuppgiftsbehandling som förekom- mer vid EU:s myndigheter och andra organ. Den regleras i stället i Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutio- nerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (EGT L 8, 12.1.2001, s. 1). Inom EU pågår förhandlingar om regleringen av behandlingen av personuppgifter vid unionens myndigheter och andra organ.

4.3Dataskyddskonventionen

Europarådets ministerkommitté antog år 1981 en konvention till skydd för enskilda vid automatisk databehandling av personupp- gifter, den s.k. dataskyddskonventionen (nr 108). Konventionen trädde i kraft den 1 oktober 1985. Dess syfte är att säkerställa re- spekten för grundläggande fri- och rättigheter, särskilt den enskil- des rätt till personlig integritet i samband med automatisk data- behandling av personuppgifter. Utgångspunkten är att vissa av den enskildes rättigheter kan behöva skyddas i förhållande till den prin- cip om fritt flöde av information, oberoende av gränser, som finns inskriven i internationella överenskommelser om mänskliga rättig- heter. Konventionens tillämpningsområde är enligt huvudregeln automatiserade personregister och automatisk databehandling av personuppgifter i allmän och enskild verksamhet.

123

Reformer på dataskyddsområdet

SOU 2017:29

I konventionen anges krav på de personuppgifter som undergår automatisk databehandling, bl.a. krav på att uppgifterna ska hämtas in och behandlas på ett korrekt sätt och vara relevanta med hänsyn till ändamålet, att vissa typer av uppgifter inte får behandlas auto- matiserat om inte nationell lagstiftning ger ett ändamålsenligt skydd, och att lämpliga säkerhetsåtgärder ska vidtas för att skydda personuppgifter gentemot oavsiktlig eller otillåten förstörelse.

Konventionen kompletteras av ett antal av ministerkommittén antagna rekommendationer om hur personuppgifter bör behandlas inom olika områden. En sådan rekommendation rör polisen.

Sverige har, i likhet med övriga medlemsstater i EU, anslutit sig till dataskyddskonventionen.

Europarådet inledde år 2010 en översyn av konventionen och rekommendationerna. Arbetet med översynen kan förväntas vara slutfört inom en nära framtid.

124

5 Det nya dataskyddsdirektivet

5.1Allmänt om direktivet

Det nya dataskyddsdirektivet riktar sig till medlemsstaterna och kräver att de genomför viss lagstiftning inom två år efter ikraftträ- dandet. Det innebär att direktivet ska vara genomfört senast den 6 maj 2018. Direktivet är indelat i tio kapitel och innehåller totalt

65artiklar.

I detta avsnitt beskrivs kortfattat innehållet i samtliga artiklar,

för att skapa en översiktlig bild av vilka krav på lagstiftning som direktivet ställer. Det närmare innehållet i artiklarna redovisas i de kapitel som behandlar sakfrågorna.

Av skäl 99 framgår att Storbritannien och Irland inte är bundna av bestämmelserna i direktivet i vissa delar.

Danmark ska enligt skäl 100 inom sex månader efter antagandet av direktivet besluta om man ska genomföra direktivet i sin natio- nella lagstiftning eller inte.

Av skäl 101–103 framgår att Norge, Island, Schweiz och Liech- tenstein är bundna av direktivet genom att de har anslutit sig till Schengenregelverket.

5.2Innehållet i direktivet

Allmänna bestämmelser – artiklarna 1–3

Enligt artikel 1 innehåller direktivet bestämmelser om skydd för fysiska personer med avseende på behöriga myndigheters behand- ling av personuppgifter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusiva att skydda mot och förebygga och förhindra hot mot den allmänna säkerheten. Syftet med direktivet är att dels skydda fysi-

125

Det nya dataskyddsdirektivet

SOU 2017:29

ska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter, dels säkerställa att, när det krävs utbyte av personuppgifter inom unionen mellan behöriga myndig- heter, detta utbyte varken begränsas eller förbjuds av hänsyn till skyddet för fysiska personer mot behandling av personuppgifter. Det slås också fast att direktivet inte hindrar att medlemsstaterna föreskriver strängare skyddsåtgärder när det gäller registrerades rättigheter och friheter.

Artikel 2 anger direktivets tillämpningsområde. Direktivet ska tillämpas på behandling av personuppgifter som utförs av behöriga myndigheter för de ändamål som anges i artikel 1.1. Direktivet ska tillämpas dels på helt eller delvis automatiserad behandling av per- sonuppgifter, dels på annan behandling av personuppgifter som ingår i eller kommer att ingå i register. Däremot ska direktivet inte tillämpas på behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten eller på personupp- giftsbehandling som utförs av unionens institutioner eller andra organ.

Artikel 3 innehåller definitioner. Där anges bl.a. vad som avses med personuppgift, behandling, register, behörig myndighet, per- sonuppgiftsansvarig, personuppgiftsbiträde och personuppgiftsin- cident. Vidare definieras genetiska och biometriska uppgifter.

Principer – artiklarna 4–11

I artikel 4 anges grundläggande principer för behandling av person- uppgifter. Personuppgifter ska

behandlas på ett lagligt och korrekt sätt,

samlas in för särskilda, uttryckligt angivna och berättigade ända- mål och inte behandlas på ett sätt som står i strid med dessa än- damål,

vara adekvata, relevanta och inte för omfattande i förhållande till de syften för vilka de behandlas,

vara korrekta och, om nödvändigt, uppdaterade,

inte möjliggöra identifiering av den registrerade under längre tid än nödvändigt, och

126

SOU 2017:29

Det nya dataskyddsdirektivet

behandlas på ett sätt som säkerställer säkerheten för uppgif- terna.

Behandling för något annat ändamål som anges i artikel 1.1 än det för vilket uppgifterna samlades in är tillåten om den personupp- giftsansvarige har rätt att behandla personuppgifter för ett sådant ändamål och behandlingen är nödvändig och står i proportion till det nya ändamålet. Behandlingen kan inkludera arkivändamål som är av allmänt intresse och vetenskaplig, statistisk eller historisk användning för de ändamål som anges i artikel 1.1, om det finns lämpliga skyddsåtgärder.

Enligt artikel 5 ska lämpliga tidsgränser föreskrivas för när per- sonuppgifter ska raderas eller för regelbunden översyn av behovet av att lagra sådana uppgifter. Det ska finnas regler för att säkerställa att tidsgränserna hålls.

Enligt artikel 6 ska den personuppgiftsansvarige så långt möjligt göra åtskillnad mellan personuppgifter som rör olika kategorier av registrerade, som misstänkta, dömda, brottsoffer och andra som berörs av brott, exempelvis personer som kan komma att kallas som vittnen.

I artikel 7 föreskrivs att åtskillnad så långt möjligt ska göras mellan personuppgifter som grundar sig på fakta och uppgifter som grundar sig på personliga bedömningar. Behöriga myndigheter ska vidta alla rimliga åtgärder för att se till att personuppgifter som är felaktiga, ofullständiga eller inaktuella inte överförs eller görs till- gängliga. Om felaktiga personuppgifter har överförts eller person- uppgifter överförts olagligen ska mottagaren omedelbart underrät- tas om det. I sådana fall ska personuppgifterna rättas eller raderas eller behandlingen av dem begränsas.

Enligt artikel 8 är behandling laglig endast om och i den ut- sträckning behandlingen är nödvändig för att behöriga myndighe- ter ska kunna utföra sådana uppgifter som anges i artikel 1.1 och som grundas på unionsrätt eller nationell rätt. Den nationella rätten ska åtminstone specificera syftet med behandlingen, vilka person- uppgifter som ska behandlas och ändamålet med behandlingen.

I artikel 9 föreskrivs att personuppgifter som samlats in för något av de i direktivet angivna ändamålen inte får behandlas för något annat ändamål om inte sådan behandling är tillåten enligt unionsrätten eller nationell rätt. När personuppgifter behandlas för

127

Det nya dataskyddsdirektivet

SOU 2017:29

andra ändamål än dem som anges i artikel 1.1 ska dataskyddsför- ordningen tillämpas, såvida inte behandlingen utförs som ett led i en verksamhet som inte omfattas av unionsrätten. Om de behöriga myndigheterna har andra uppgifter än dem som anges i artikel 1.1, ska dataskyddsförordningen tillämpas på behandling för sådana ändamål. Det gäller även behandling för arkivändamål som är av allmänt intresse eller för statistiska, historiska eller vetenskapliga ändamål. I artikeln anges också vad som gäller för överföring av uppgifter för behandling för andra ändamål.

Artikel 10 reglerar behandling av det som brukar kallas känsliga personuppgifter. Med det avses uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening. Regleringen omfattar även behandling av genetiska uppgifter, biometriska uppgifter i identifieringssyfte eller uppgifter om hälsa, sexualliv eller sexuell läggning. Behandling av sådana uppgifter är bara tillåten om den är absolut nödvändig, det finns tillräckliga skyddsåtgärder och behandlingen är tillåten enligt unionsrätt eller nationell rätt för att skydda intressen som är av grundläggande betydelse för den registrerade eller en annan fysisk person eller om det är fråga om uppgifter som den regist- rerade själv har offentliggjort.

I artikel 11 förbjuds att beslut, som har negativa rättsverkningar eller i betydande grad påverkar den registrerade, fattas om de en- bart grundas på automatiserad behandling, såvida inte de är tillåtna enligt unionsrätten eller nationell rätt och det finns lämpliga skyddsåtgärder. Profilering som leder till diskriminering på grund- val av känsliga personuppgifter ska förbjudas.

Den registrerades rättigheter – artiklarna 12–18

Enligt artikel 12 ska den personuppgiftsansvarige utan kostnad lämna den registrerade information om hans eller hennes rättighe- ter. Informationen ska vara koncis, lättillgänglig och språkligt lätt- fattlig. Den personuppgiftsansvarige ska utan onödigt dröjsmål skriftligen besvara en begäran från den registrerade om information om hur hans eller hennes personuppgifter behandlas. Om en regi- strerads begäran är uppenbart ogrundad eller orimlig får den per-

128

SOU 2017:29

Det nya dataskyddsdirektivet

sonuppgiftsansvarige antingen ta ut en avgift eller vägra tillmötesgå begäran.

I artikel 13 anges vilken information som alltid måste göras till- gänglig för den registrerade. Det är den personuppgiftsansvariges identitet och kontaktuppgifter, dataskyddsombudets kontaktupp- gifter, ändamålen med den avsedda behandlingen, rätten att klaga till en tillsynsmyndighet och dess kontaktuppgifter och rätten att begära att få del av personuppgifter, rättelse, radering eller begräns- ning av behandlingen. Därutöver ska den personuppgiftsansvarige i specifika fall lämna viss annan information för att göra det möjligt för den registrerade att utöva sina rättigheter.

Artikel 14 behandlar den registrerades rätt till tillgång till per- sonuppgifter. Om inte annat sägs i artikel 15 ska den registrerade ha rätt att av den personuppgiftsansvarige få bekräftelse på om per- sonuppgifter som rör honom eller henne behandlas och, om så är fallet, få tillgång till personuppgifterna och följande information:

ändamålen med behandlingen och den rättsliga grunden,

vilka kategorier av personuppgifter som behandlas,

vilka mottagare eller kategorier av mottagare som har fått per- sonuppgifterna,

hur länge uppgifterna kommer att lagras eller, om det inte är möjligt, kriterierna för att fastställa lagringstiden,

rätten att begära rättelse, radering eller begränsning av behand- lingen, och

rätten att klaga hos en tillsynsmyndighet och dess kontaktupp- gifter.

Enligt artikel 15 får medlemsstaterna genom lagstiftning, så länge åtgärden är nödvändig och proportionell, helt eller delvis begränsa den registrerades rätt till tillgång till personuppgifter och infor- mation i syfte att undvika att förundersökningar och andra utred- ningar eller förfaranden, brottsbekämpande åtgärder, lagföring eller verkställighet av straffrättsliga påföljder försvåras eller i syfte att skydda allmän säkerhet, nationell säkerhet eller andra personers rättigheter och friheter.

129

Det nya dataskyddsdirektivet

SOU 2017:29

Artikel 16 behandlar rätten till rättelse eller radering av person- uppgifter eller begränsning av behandlingen och vilka skyldigheter den personuppgiftsansvarige har i sådana frågor. Den registrerade ska ha rätt att utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade. Med beaktande av ändamålet med behandlingen ska den registrerade även kunna få ofullständiga personuppgifter kompletterade. I vissa fall ska den registrerade även ha rätt att få personuppgifter raderade. I stället för att radera personuppgifterna ska den personuppgiftsansvarige i vissa fall be- gränsa behandlingen av uppgifterna.

Enligt artikel 17 ska den registrerades rättigheter även kunna ut- övas genom den behöriga tillsynsmyndigheten om tillgången till information har begränsats.

I artikel 18 öppnas möjlighet att föreskriva att rätten till infor- mation, tillgång till uppgifter, rättelse, radering och begränsning av behandling ska utövas enligt nationell rätt om personuppgifterna ingår i ett domstolsbeslut eller ett rättsligt protokoll eller ärende som behandlas i samband med brottsutredning och straffrättsliga förfaranden.

Av skäl 107 framgår att direktivet inte hindrar att det i nationell straffprocesslagstiftning finns bestämmelser om den registrerades rätt till information, tillgång till och rättelse eller radering av per- sonuppgifter och begränsning av behandling i samband med straff- rättsliga förfaranden och begränsningar i dessa rättigheter.

Personuppgiftsansvarig och personuppgiftsbiträde – artiklarna 19–28

Den personuppgiftsansvarige ska enligt artikel 19 vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen av personuppgifter utförs i enlighet med direktivet.

Artikel 20 behandlar inbyggt dataskydd och dataskydd som standard.

Artikel 21 öppnar en möjlighet att låta två eller flera personupp- giftsansvariga ha gemensamt personuppgiftsansvar för ett register.

I artikel 22 regleras vilka krav som ställs när en personuppgifts- ansvarig anlitar ett personuppgiftsbiträde. Som huvudregel får ett

130

SOU 2017:29

Det nya dataskyddsdirektivet

personuppgiftsbiträde enligt artikel 23 bara behandla uppgifter en- ligt instruktioner från den personuppgiftsansvarige.

Artikel 24 innehåller detaljerade regler om personuppgiftsansva- rigas skyldighet att föra register över olika typer av behandlingar. I artikel 25 ställs krav på att det ska finnas loggar över olika typer av behandling i automatiserade behandlingssystem. Registren och loggarna ska på begäran göras tillgängliga för tillsynsmyndigheten.

Enligt artikel 26 ska personuppgiftsansvariga och personupp- giftsbiträden på begäran samarbeta med tillsynsmyndigheten.

I artikel 27 ställs krav på att den personuppgiftsansvarige gör en förhandsbedömning av behandlingens konsekvenser för skyddet av personuppgifter när det gäller en ny typ av behandling som sanno- likt leder till hög risk för fysiska personers rättigheter och friheter.

Artikel 28 ställer krav på att den personuppgiftsansvarige under vissa förutsättningar ska samråda med tillsynsmyndigheten innan nya register inrättas.

Säkerhet för personuppgifter – artiklarna 29–31

Artikel 29 innehåller krav på säkerhet i samband med behandlingen av personuppgifter. Den personuppgiftsansvarige och personupp- giftsbiträdet ska – med beaktande av bl.a. kostnaderna och behand- lingens art, omfattning och ändamål – vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa lämplig säkerhetsnivå. Säkerheten ska omfatta åtkomstskydd för utrustning, kontroll av datamedier, lagringskontroll, användarkontroll, åtkomstkontroll, kommunikationskontroll, indatakontroll, transportkontroll, åter- ställande, driftsäkerhet och dataintegritet.

I artikel 30 regleras den personuppgiftsansvariges skyldigheter om det inträffar en personuppgiftsincident. En sådan ska anmälas till tillsynsmyndigheten utan dröjsmål och enligt huvudregeln se- nast 72 timmar efter att den personuppgiftsansvarige har fått kän- nedom om incidenten. I artikeln anges också vad en sådan anmälan ska innehålla och vilken dokumentation om incidenten som krävs.

Artikel 31 innehåller regler om information till den registrerade om en personuppgiftsincident och i vilka fall det inte krävs någon sådan information.

131

Det nya dataskyddsdirektivet

SOU 2017:29

Dataskyddsombud – artiklarna 32–34

Enligt artikel 32 ska den personuppgiftsansvarige utnämna ett data- skyddsombud. Undantag får göras för domstolars och andra obe- roende rättsliga myndigheters dömande verksamhet. Flera myndig- heter får ha samma dataskyddsombud. Ombudets kontaktuppgifter ska dels offentliggöras, dels meddelas till tillsynsmyndigheten.

Enligt artikel 33 ska den personuppgiftsansvarige säkerställa att dataskyddsombudet kan delta i frågor som rör skyddet av person- uppgifter och stödja dataskyddsombudet i hans eller hennes upp- gifter.

Dataskyddsombudets uppgifter anges i artikel 34. I uppgifterna ingår bl.a. att informera och ge råd till den personuppgiftsansvarige och de anställda som behandlar personuppgifter, att övervaka att direktivet efterlevs och att samarbeta med och vara en kontakt- punkt för tillsynsmyndigheten.

Överföring av personuppgifter till tredjeländer eller internationella organisationer – artiklarna 35–40

I artikel 35 anges allmänna principer för överföring av personupp- gifter till tredjeland och internationella organisationer. Där före- skrivs bl.a. att överföringen ska vara nödvändig för något av de ändamål som anges i artikel 1.1 och att den ska riktas till en person- uppgiftsansvarig i ett tredjeland eller en internationell organisation som är behörig för sådana ändamål. Om uppgifterna kommer från en annan medlemsstat ska den enligt huvudregeln ge förhandstill- stånd till överföringen.

Artikel 36 reglerar överföring till mottagare i tredjeland eller internationella organisationer som enligt kommissionens beslut har en adekvat skyddsnivå. Sådana överföringar kräver inte särskilt till- stånd.

Även om det inte finns något beslut om en adekvat skyddsnivå får, enligt artikel 37, uppgifter överföras till mottagare i ett tredje- land eller en internationell organisation om lämpliga skyddsåtgär- der kan säkerställas i ett enskilt fall.

I artikel 38 görs också undantag för överföring i särskilda situa- tioner, bl.a. för att avvärja en omedelbar och allvarlig fara för den allmänna säkerheten i en medlemsstat eller ett tredjeland.

132

SOU 2017:29

Det nya dataskyddsdirektivet

Artikel 39 reglerar överföring direkt till vissa mottagare som inte är behöriga myndigheter.

Kommissionen och medlemsstaterna åläggs i artikel 40 att bl.a. utveckla rutiner för det internationella samarbetet för att underlätta en effektiv tillämpning av lagstiftningen om skydd för personupp- gifter och att också erbjuda bistånd till tredjeland och internatio- nella organisationer i det syftet.

Oberoende tillsynsmyndigheter – artiklarna 41–51

Enligt artikel 41 ska varje medlemsstat utse en eller flera myndig- heter som ska vara ansvariga för att övervaka tillämpningen av direktivet. Samma myndighet som har utsetts till tillsynsmyndighet enligt dataskyddsförordningen får utses att vara tillsynsmyndighet enligt direktivet.

Tillsynsmyndigheten ska enligt artikel 42 vara fullständigt obe- roende när den utför sina uppgifter och utövar sina befogenheter enligt direktivet. I artikeln utvecklas vilka krav som ska vara upp- fyllda för att myndigheten ska anses vara oberoende.

De som ska leda tillsynsmyndigheten ska enligt artikel 43 utses genom ett öppet förfarande av parlamentet, regeringen, statschefen eller ett oberoende organ. I artikeln anges också i vilka situationer de som ska leda myndigheten ska lämna sina uppdrag eller avsättas.

Enligt artikel 44 ska inrättandet av myndigheten och regler och förfaranden för bl.a. tillsättning av dem som ska leda myndigheten föreskrivas i författning. Tillsynsmyndigheten och dess personal, inkluderande de som ska leda myndigheten, ska ha tystnadsplikt.

Tillsynsmyndighetens behörighet regleras i artikel 45. Tillsyns- myndigheten ska utföra de uppgifter och ha de behörigheter som framgår av direktivet. Tillsynen ska dock inte omfatta tillsyn över domstolarna i deras dömande verksamhet. Medlemsstaterna får undanta även andra oberoende rättsliga myndigheter som behand- lar personuppgifter inom ramen för sin rättsliga verksamhet från tillsyn.

Tillsynsmyndighetens uppgifter räknas upp i artikel 46. Till upp- gifterna hör bl.a. att övervaka tillämpningen av de bestämmelser som antas i enlighet med direktivet, att ge råd till lagstiftande organ i frågor som rör personuppgiftsbehandling, att på begäran ge regi-

133

Det nya dataskyddsdirektivet

SOU 2017:29

strerade information om hur de ska kunna utöva sina rättigheter enligt direktivet och att avgiftsfritt behandla klagomål från registre- rade. Om en begäran är uppenbart ogrundad eller orimlig får dock tillsynsmyndigheten ta ut avgift eller vägra att tillmötesgå begäran.

Tillsynsmyndighetens befogenheter anges i artikel 47. Tillsyns- myndigheten ska ha rätt att från den personuppgiftsansvarige och personuppgiftsbiträdet få tillgång till alla personuppgifter som be- handlas och få all information som myndigheten behöver för att kunna fullgöra sina uppgifter. Tillsynsmyndigheten ska vidare ha effektiva korrigerande befogenheter t.ex. att kunna varna den per- sonuppgiftsansvarige eller personuppgiftsbiträdet om att planerade behandlingar kan stå i strid med de bestämmelser som genomför direktivet och kunna beordra rättelse, radering eller begränsning av behandlingen eller förbjuda den. Tillsynsmyndigheten ska också ha rätt att anmäla överträdelser till rättsliga myndigheter.

De behöriga myndigheterna ska enligt artikel 48 ha effektiva mekanismer för att rapportera överträdelser av direktivet.

Tillsynsmyndigheten ska enligt artikel 49 upprätta en årlig rap- port om sin verksamhet. Rapporten ska överlämnas till parlamen- tet, regeringen och andra myndigheter som anges i nationell rätt. Den ska också göras tillgänglig för bl.a. allmänheten och kommis- sionen.

Tillsynsmyndigheterna ska enligt artikel 50 utbyta information med och ge varandra ömsesidigt bistånd. Varje tillsynsmyndighet ska kunna besvara en begäran från en annan tillsynsmyndighet utan onödigt dröjsmål och senast inom en månad och får bara vägra att tillmötesgå en begäran om myndigheten inte är behörig eller det skulle stå i strid med direktivet, unionsrätt eller nationell rätt. Kommissionen får genom genomförandeakter ange formerna för ömsesidigt bistånd.

I artikel 51 anges vilka uppgifter den styrelse som inrättats genom dataskyddsförordningen ska ha när det gäller behandling av personuppgifter enligt direktivet.

134

SOU 2017:29

Det nya dataskyddsdirektivet

Rättsmedel, ansvar och sanktioner – artiklarna 52–57

Artikel 52 reglerar rätten för registrerade att lämna in klagomål över personuppgiftsbehandling till en tillsynsmyndighet. Har klagomå- let lämnats till fel myndighet ska den utan dröjsmål överlämna kla- gomålet till rätt myndighet. Den registrerade ska underrättas om handläggningen av klagomålet och vad det resulterar i.

I artikel 53 föreskrivs att en fysisk eller juridisk person har rätt till effektivt rättsmedel mot en tillsynsmyndighets beslut som är rättsligt bindande och avser dem. Detsamma gäller om tillsynsmyn- digheten inte behandlat ett klagomål inom tre månader eller inte informerat den registrerade enligt artikel 52.

Rätten till ett effektivt rättsmedel mot en personuppgiftsansva- rig eller ett personuppgiftsbiträde regleras i artikel 54.

Enligt artikel 55 ska den registrerade ha rätt att ge ett organ, en organisation eller en sammanslutning i uppdrag att ge in klagomål och att låta den utöva de rättigheter som anges i artiklarna 52–54 för hans eller hennes räkning.

Den som lidit skada till följd av olaglig behandling av person- uppgifter eller någon annan åtgärd som står i strid med de bestäm- melser som genomför direktivet ska enligt artikel 56 ha rätt till ersättning från den personuppgiftsansvarige eller annan myndighet som är behörig enligt nationell rätt.

Artikel 57 ställer krav på att det finns sanktioner för överträdel- ser av de bestämmelser som genomför direktivet. Sanktionerna ska vara effektiva, proportionella och avskräckande.

Genomförandeakter – artikel 58

Artikel 58 reglerar kommissionens kommittéförfarande.

Slutbestämmelser – artiklarna 59–65

Enligt artikel 59 upphävs dataskyddsrambeslutet.

I artikel 60 slås fast att direktivet inte påverkar särskilda be- stämmelser om skydd av personuppgifter i gällande unionsrättsak- ter på området för straffrättsligt samarbete och polissamarbete och

135

Det nya dataskyddsdirektivet

SOU 2017:29

i artikel 61 regleras förhållandet till tidigare ingångna avtal på om- rådet för straffrättsligt samarbete och polissamarbete.

Artikel 62 reglerar kommissionens skyldighet att senast sex år efter ikraftträdandet och därefter vart fjärde år utvärdera direktivet.

I artikel 63 föreskrivs att medlemsstaterna ska ha införlivat direktivet senast den 6 maj 2018. Medlemsstaterna får dock i undantagsfall föreskriva att datasystem som inrättats före ikraft- trädandet ska stå i överensstämmelse med bestämmelsen om logg- ning i direktivet senast den 6 maj 2023. Under exceptionella om- ständigheter kan tiden förlängas ytterligare i högst tre år.

Av artikel 64 framgår att direktivet träder i kraft dagen efter att det har offentliggjorts i EU:s officiella tidning och enligt artikel 65 riktar sig direktivet till medlemsstaterna.

136

6 En ny ramlag

6.1En ramlag för brottsbekämpning, lagföring och straffverkställighet bör införas

6.1.1En ny reglering behövs

Utredningens bedömning: Det behövs en ny reglering för att genomföra dataskyddsdirektivet i svensk rätt. Regleringen bör ha lagform.

Skälen för utredningens bedömning

Behovet av en ny reglering

Det nu gällande dataskyddsdirektivet – som upphör att gälla när dataskyddsförordningen börjar tillämpas – har genomförts i svensk rätt huvudsakligen genom personuppgiftslagen (1998:204). Person- uppgiftslagen har gjorts generellt tillämplig, vilket innebär att den gäller även utanför EU-rättens tillämpningsområde och reglerar be- handling av personuppgifter oavsett ändamålet med behandlingen. Lagen gäller således även för verksamheter som omfattas av det nya dataskyddsdirektivet.

Personuppgiftslagen är subsidiär i förhållande till andra lagar och förordningar. Inom flera områden finns det särregler i register- författningar som helt eller delvis ersätter personuppgiftslagen. Som framgår av avsnitt 3 2–3.4 utgår registerförfattningarna när det gäller brottsbekämpning, lagföring och straffverkställighet från be- stämmelserna i personuppgiftslagen. Antingen gäller registerför- fattningarna utöver personuppgiftslagen, och innehåller bara de be- stämmelser som avviker från bestämmelserna i den lagen, eller så

137

En ny ramlag

SOU 2017:29

gäller de i stället för personuppgiftslagen men hänvisar till de be- stämmelser i den lagen som ska tillämpas.

Det nya dataskyddsdirektivet ska vara genomfört i svensk rätt senast den 6 maj 2018. Personuppgiftslagen innehåller, tillsammans med myndigheternas registerförfattningar, bestämmelser som i stor utsträckning motsvarar de krav på reglering som direktivet ställer. När dataskyddsförordningen börjar tillämpas den 25 maj 2018 kommer personuppgiftslagen och föreskrifter som har meddelats med stöd av den lagen att behöva upphävas. Det regelverk som ersätter personuppgiftslagen – dataskyddsförordningen och kom- pletterande nationella bestämmelser – kommer inte att vara anpas- sat till de särskilda förutsättningar som gäller för personuppgifts- behandling inom brottsbekämpning, lagföring och straffverkställig- het, eftersom sådan verksamhet är undantagen från förordningens tillämpningsområde. Det krävs därför en ny reglering för att genomföra direktivet.

Regleringen bör ha lagform

Enligt 2 kap. 6 § andra stycket regeringsformen är enskilda gent- emot det allmänna skyddade mot betydande intrång i den person- liga integriteten, om det sker utan samtycke och innebär övervak- ning eller kartläggning av personliga förhållanden. Enligt 2 kap. 20 och 21 §§ regeringsformen kan inskränkningar i detta skydd enbart göras genom lag och bara för att tillgodose ändamål som är godtag- bara i ett demokratiskt samhälle. Direktivet är inte avsett att leda till några inskränkningar i skyddet av enskildas personliga integritet utan har tvärtom till syfte att stärka det. Regleringen är ändå enligt utredningens mening av den arten att den lämpligen bör ha lagform (jfr Dataskydd vid europeiskt polissamarbete och straffrättsligt samarbete, prop. 2012/13:73, s. 58). Dessutom finns redan i dag de författningsbestämmelser som styr myndigheternas behandling av personuppgifter inom direktivets tillämpningsområde huvudsak- ligen i lag.

138

SOU 2017:29

En ny ramlag

6.1.2En generellt tillämplig men subsidiär lag

Utredningens förslag: Dataskyddsdirektivet ska i huvudsak genomföras genom en ny lag som ska vara generellt tillämplig. Särregler i en annan lag eller en förordning ska dock gälla fram- för den nya lagen. Lagen ska benämnas brottsdatalagen.

Skälen för utredningens förslag

En generell reglering

Dataskyddsdirektivet ska alltså genomföras genom en ny reglering i lag. Frågan är om det bör göras genom ändringar i befintlig lag- stiftning, framför allt i berörda myndigheters registerförfattningar, eller genom att det införs en helt ny lag.

Den nuvarande regleringen av personuppgiftsbehandling på direktivets tillämpningsområde är komplex. Myndigheterna måste förhålla sig till flera olika författningar beroende på för vilket ända- mål personuppgifterna behandlas. Som ett exempel kan nämnas att Polismyndigheten vid uppgiftsutbyte med en annan EU-medlems- stat kan behöva tillämpa inte bara personuppgiftslagen och polis- datalagen (2010:361), utan också lagen om internationellt polisiärt samarbete eller 2013 års lag. Alternativet att genomföra direktivet genom ändringar i myndigheternas registerförfattningar skulle ha den fördelen att det skulle ge myndigheterna en mer sammanhållen reglering.

Det finns dock flera nackdelar med att placera den nya regle- ringen i de olika registerförfattningarna. En sådan är att register- författningarna skulle tyngas i onödan av bestämmelser som är desamma för flera av dem. En annan är att det skulle behöva införas nya registerförfattningar för de myndigheter som i dag inte har någon sådan utan enbart tillämpar personuppgiftslagen. Eftersom myndigheterna i dag inom direktivets tillämpningsområde antingen tillämpar personuppgiftslagen vid sidan av sin registerförfattning eller genom hänvisningar i registerförfattningen ändå tillämpar vissa bestämmelser i personuppgiftslagen, är det inget nytt för dem att förhålla sig till en ramlagstiftning som innehåller den generella regleringen. Det talar för att så långt som möjligt skapa ett gemen- samt regelverk för behandling av personuppgifter inom direktivets

139

En ny ramlag

SOU 2017:29

tillämpningsområde. Det bör därför, som anges i utredningens direktiv, införas en ny ramlagstiftning för brottsbekämpning, lag- föring och straffverkställighet (dir. 2016:21 s. 7). Att den även bör gälla för upprätthållande av allmän ordning och säkerhet behandlas i avsnitt 7.1.3.

Lagen bör vara subsidiär

Utredningen ska enligt direktiven sträva efter principiella lösningar som ansluter till och är förenliga med gällande författningar och systematik (dir. 2016:21 s. 5 f.). Den nya ramlagen bör därför inne- hålla de bestämmelser som krävs för att genomföra direktivet och som bör vara generellt tillämpliga. Regleringen bör på samma sätt som i dag kompletteras av registerförfattningar, där bestämmelser som är specifika för myndigheternas verksamhet finns.

Ramlagen kommer att vara anpassad till skyldigheterna och kra- ven i direktivet. I utredningens uppdrag ingår att anpassa myndig- heternas registerförfattningar till ramlagen. Även andra författ- ningar som innehåller bestämmelser om personuppgiftsbehandling på ramlagens tillämpningsområde måste ses över så att de, i den mån de innehåller bestämmelser som avviker från ramlagen, inte står i strid med direktivet.

Av artikel 18 framgår att det är tillåtet att i nationell rätt ha reg- ler som avviker från direktivets bestämmelser om enskildas rätt till information och korrigeringsåtgärder om personuppgifterna ingår i domstolsbeslut, rättsliga protokoll eller ärenden som behandlas i samband med brottsutredningar och straffrättsliga förfaranden. Som utvecklas i avsnitt 11.2.2 finns det således inget som hindrar att reglerna om rätt till information vid förundersökning och andra straffrättsliga förfaranden har företräde framför ramlagens bestäm- melser om information.

Mot den bakgrunden bör ramlagen, på samma sätt som person- uppgiftslagen, vara subsidiär i förhållande till bestämmelser i lag eller annan författning.

När personuppgiftslagen infördes övervägdes om det skulle in- föras en spärr som tydliggjorde att särregler i annan författning bara skulle gälla i den utsträckning de inte stred mot det nu gäl- lande dataskyddsdirektivet (Integritet, Offentlighet, Informations-

140

SOU 2017:29

En ny ramlag

teknik, SOU 1997:39, s. 210 f.). Datalagskommittén stannade dock för att inte föreslå någon sådan regel, eftersom man menade att det bara skulle skapa oro utan att medföra någon motsvarande nytta.

Befintlig lagstiftning måste ses över och anpassas så att det inte finns bestämmelser som står i strid med direktivet. Det arbetet pågår både genom vår utredning och andra översyner. När ny eller ändrad lagstiftning på området övervägs i framtiden måste det också säkerställas att det inte införs bestämmelser som står i strid med direktivet. Utredningen anser i likhet med Datalagskommittén att det inte finns behov av att föreslå någon generell spärr av det slag som diskuterades men förkastades i förarbetena till personupp- giftslagen.

En delvis ändrad struktur

Som framgår av avsnitt 3.2 och 3.3 gäller bl.a. polisdatalagen, kust- bevakningsdatalagen (2012:145), åklagardatalagen (2015:433) och domstolsdatalagen (2015:728) i stället för personuppgiftslagen. Dessa författningar innehåller hänvisningar till de bestämmelser i personuppgiftslagen som är tillämpliga i myndigheternas verksam- het. När personuppgiftslagen ersätts av en ny ramlag som enbart ska gälla inom direktivets tillämpningsområde går det inte att ha en systematik där registerförfattningarna gäller i stället för ramlagen, eftersom utgångspunkten är att i princip alla bestämmelser i ram- lagen kommer att vara tillämpliga i myndigheternas verksamhet. De uppräknade registerförfattningarna kommer därför att behöva an- passas till ramlagen på så sätt att de ska gälla utöver ramlagen och bara innehålla de bestämmelser som innebär undantag eller avvikel- ser från bestämmelserna i ramlagen.

De registerförfattningar som i dag gäller utöver personuppgifts- lagen måste också anpassas så att de i stället ska gälla utöver ram- lagen.

En konsekvens av den ändrade strukturen är att vissa bestäm- melser som nu finns i registerförfattningarna kan komma att flyttas till ramlagen, om de är av den arten att de bör gälla för all verksam- het inom direktivets tillämpningsområde. Som exempel kan näm- nas regler om hur känsliga personuppgifter får behandlas (se av- snitt 9.2.4). Om det finns behov av särregler för de olika myndig-

141

En ny ramlag

SOU 2017:29

heterna när det gäller hur känsliga personuppgifter får behandlas bör de finnas kvar i myndigheternas registerförfattningar. Utred- ningen kommer att – i enlighet med direktiven för arbetet – i slut- betänkandet lämna förslag till de förändringar som behöver göras i myndigheternas registerförfattningar som en följd av ramlagen.

Lagens benämning

Ramlagen kommer som framgår av avsnitt 7.1 att tillämpas när be- höriga myndigheter behandlar personuppgifter inom ramen för brottsbekämpning, lagföring och straffverkställighet och för att upprätthålla allmän ordning och säkerhet. Den kommer att tilläm- pas ofta och det kommer i stor utsträckning att hänvisas till den. Lagen bör därför ha ett så enkelt och tydligt namn som möjligt.

Ett namn som skulle kunna återspegla lagens huvudsakliga inne- håll men ändå är förhållandevis kort är lagen om behandling av per- sonuppgifter vid brottsbekämpning, lagföring och straffverkställig- het. Namnet har dock ingen naturlig kortform eller förkortning som kan användas vid hänvisningar till den. Lagrådet kritiserade dessutom ett liknande förslag (lag om behandling av personupp- gifter i polisens brottsbekämpande verksamhet) när den nu gällan- de polisdatalagen granskades. Lagrådet ansåg att rubriken var alltför intetsägande (Integritet och effektivitet i polisens brottsbekämpan- de verksamhet, prop. 2009/10:85, s. 66 och 519). I förslaget till skattebrottsdatalag motiveras lagens namn med hänvisning till nyss nämnda lagrådsyttrande (prop. 2016/17:89 s. 48).

De registerförfattningar som har införts på direktivets tillämp- ningsområde de senaste åren har alla ordet datalag i namnet, t.ex. polisdatalagen, åklagardatalagen och domstolsdatalagen. Även Tull- verkets och Skatteverkets nya registerförfattningar föreslås inne- hålla ordet datalag. Ett alternativ är därför att benämna ramlagen brottsdatalagen. Det är ett kort namn som det är lätt att hänvisa till och som skulle kunna förkortas BDL.

Nackdelen med benämningen brottsdatalag är att det inte fram- går att lagen gäller för behandling av personuppgifter vid straff- verkställighet. Straffverkställighet handlar dock om att verkställa en påföljd för brott eller särskild rättsverkan av brott. Den tydliga kopplingen mellan straffverkställighet och brott gör att namnet

142

SOU 2017:29

En ny ramlag

inte är missvisande. I avsnitt 7.1.3 föreslås att lagen även ska om- fatta behandling av personuppgifter i syfte att upprätthålla allmän ordning och säkerhet. Det täcks inte av benämningen brottsdatalag. Fördelarna med ett kort namn som det är lätt att hänvisa till upp- väger dock nackdelen att det inte uttömmande anger lagens till- lämpningsområde. Lagen bör därför benämnas brottsdatalagen.

Benämningen brottsdatalag aktualiserar frågan hur myndighe- ternas registerförfattningar bör benämnas. De kommer även fort- sättningsvis att komplettera ramlagen och innehålla de mer precise- rade eller avvikande regler som behövs för respektive myndighets verksamhet. Registerförfattningarna benämns i dag polisdatalag, kustbevakningsdatalag, åklagardatalag etc.

Kustbevakningsdatalagen och domstolsdatalagen gäller i dag i all verksamhet som inte är administrativ hos respektive myndighet. När dataskyddsförordningen börjar gälla finns det skäl att dela upp sådana registerförfattningar som både reglerar personuppgiftsbe- handling som styrs av ramlagen och behandling för vilken data- skyddsförordningen gäller. För de myndigheter som redan har en sådan uppdelning av regelverken för personuppgiftsbehandling, Tullverket och Skatteverket, innebär uppdelningen på regelverk däremot ingen förändring. Det aktualiserar frågan hur registerför- fattningarna bör benämnas i framtiden. Ett alternativ är att använda myndighetsnamnet tillsammans med brottsdatalag för de register- författningar som kompletterar ramlagen, t.ex. Polismyndighetens brottsdatalag, Tullverkets brottsdatalag och Kustbevakningens brottsdatalag. En alternativ benämning på ramlagen skulle då kunna vara allmän brottsdatalag för att skilja den från myndighetsförfatt- ningarna. Eftersom frågan väckts i ett sent skede av utrednings- arbetet läggs inget sådant förslag.

Lagen bör kompletteras av en förordning

Direktivet innehåller i vissa artiklar mycket detaljerade regler i fråga om exempelvis dokumentations- och underrättelseskyldighet. Sådana detaljregler bör inte tas in i lagen utan regleras i förordning. För att genomföra direktivet i sin helhet är det enligt utredningens mening nödvändigt att komplettera brottsdatalagen med en förord-

143

En ny ramlag

SOU 2017:29

ning. Utredningen lämnar därför även förslag till hur en sådan för- ordning, benämnd brottsdataförordning, bör utformas.

6.1.3Ramlagens syfte

Utredningens förslag: Syftet med ramlagen ska vara dels att skydda fysiska personers grundläggande fri- och rättigheter i samband med behandling av personuppgifter, dels att säkerställa att behöriga myndigheter kan behandla och utbyta personupp- gifter med varandra på ett ändamålsenligt sätt.

Skälen för utredningens förslag: Av artikel 1.2 framgår att regle- ringen har dubbla syften. Den ska skydda fysiska personers grund- läggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Samtidigt ska regleringen säkerställa att behöriga myndigheters utbyte av personuppgifter inom unionen, när sådant utbyte krävs enligt unionsrätten eller nationell rätt, varken begrän- sas eller förbjuds av skäl som rör skyddet för fysiska personer med avseende på behandlingen av personuppgifter.

I registerförfattningar förekommer ibland bestämmelser som anger lagens övergripande syfte. I exempelvis 1 kap. 1 § polisdata- lagen anges det övergripande syftet med lagen vara att ge polisen möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin brottsbekämpande verksamhet och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Bestäm- melser om syftet med en reglering saknar normalt egentligt mate- riellt innehåll. Man kan därför fråga sig om det behövs en sådan bestämmelse i ramlagen. Det har emellertid inte enbart en symbo- lisk eller informativ betydelse att uttryckligen slå fast lagens syfte. Att en lags syfte uttryckligen anges kan få relevans i rättstillämp- ningen genom att det ger vägledning för tolkningen av de materi- ella bestämmelserna i lagen (se Myndighetsdatalag, SOU 2015:39, s. 220).

Det finns därför skäl att införa en bestämmelse om lagens syfte så att det tydligt framgår att regleringen har dubbla syften. Att fysiska personers grundläggande fri- och rättigheter ska skyddas vid behandling av personuppgifter är en central målsättning för regleringen. Samtidigt är vissa intrång i den personliga integriteten

144

SOU 2017:29

En ny ramlag

nödvändiga för att myndigheterna ska kunna utföra sina uppgifter och för att brottsoffer ska kunna få sin rätt tillgodosedd. Olika intressen ställs alltså mot varandra. En brottsutredning eller brott- målsrättegång innehåller ofta personuppgifter om både brottsoffer, misstänkta, vittnen och tjänstemän som deltar i verksamheten. Regleringen bör därför ge uttryck för en väl avvägd balans mellan, å ena sidan, skyddet för den personliga integriteten, och, å andra sidan, samhällets behov av att myndigheter kan behandla person- uppgifter i den verksamhet som omfattas av direktivets tillämp- ningsområde. En bestämmelse som föreskriver att lagens syfte är att skydda fysiska personers grundläggande fri- och rättigheter vid behandling av personuppgifter och att samtidigt säkerställa att be- höriga myndigheter kan behandla och utbyta personuppgifter med varandra på ett ändamålsenligt sätt tydliggör den dubbla målsätt- ningen.

Formuleringen avviker något från hur målsättningen anges i artikel 1.2. Enligt direktivet ska det säkerställas att behöriga myn- digheters utbyte av personuppgifter inom unionen inte begränsas eller förbjuds med hänsyn till skyddet för enskildas personliga in- tegritet. En grundläggande förutsättning för att behöriga myndig- heter ska kunna utbyta personuppgifter är att de får behandla så- dana uppgifter. Enligt utredningens mening bör ramlagen därför inte bara syfta till att de behöriga myndigheterna ska kunna utbyta personuppgifter med varandra, utan också till att de kan behandla personuppgifter på ett ändamålsenligt sätt.

6.1.42013 års lag bör upphävas

Utredningens förslag: Lagen med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt sam- arbete inom Europeiska unionen och hänvisningar till den lagen ska upphävas.

Skälen för utredningens förslag: Enligt artikel 59 ska dataskydds- rambeslutet upphöra att gälla samma dag som medlemsstaterna ska ha införlivat direktivet i nationell rätt.

Rambeslutet bygger i huvudsak på det nu gällande dataskydds- direktivet. Eftersom Sverige i princip genomförde det direktivet

145

En ny ramlag

SOU 2017:29

även inom de sektorer som rambeslutet reglerar fanns det redan i stor utsträckning bestämmelser som motsvarade artiklarna i rambe- slutet i personuppgiftslagen och i myndigheternas registerförfatt- ningar när rambeslutet skulle genomföras. De återstående delarna av rambeslutet genomfördes i 2013 års lag. Lagen tillämpas framför allt när uppgifter överförs från eller till en annan EU-medlemsstat, Island, Norge, Schweiz eller Liechtenstein i verksamheter som har till syfte att förebygga, förhindra eller upptäcka brottslig verksam- het, utreda eller beivra brott eller verkställa straffrättsliga påföljder. I den mån motsvarande bestämmelser behövs för att genomföra direktivet bör dessa tas in i ramlagen så att regleringen blir så sam- manhållen som möjligt. Därför bör 2013 års lag upphävas. Därmed bör också alla de bestämmelser som hänvisar till den lagen upphä- vas. Sådana hänvisningar finns dels i myndigheternas registerför- fattningar, dels i vissa författningar som reglerar enskilda register eller annan personuppgiftsbehandling inom rambeslutets tillämp- ningsområde. Hänvisningar i myndigheternas registerförfattningar kommer att ses över i slutbetänkandet, i samband med övriga an- passningar av dem, medan hänvisningar i övrigt behandlas i detta betänkande.

6.2Uttryck i ramlagen

Utredningens förslag: Vissa uttryck som används i ramlagen ska definieras.

Skälen för utredningens förslag

Definitionerna bör ligga så nära direktivets definitioner som möjligt

I artikel 3 definieras vissa uttryck som är av grundläggande bety- delse för förståelsen av bestämmelserna i direktivet. Definitionerna överensstämmer i allt väsentligt med definitionerna i artikel 4 i dataskyddsförordningen. Som framgår av avsnitt 7.1.5 kommer de myndigheter som är behöriga i ramlagens mening att också tillämpa förordningen i delar av sin verksamhet. För att underlätta tillämp- ningen finns det därför skäl att i så stor utsträckning som möjligt använda direktivets terminologi så att definitionerna i ramlagen och

146

SOU 2017:29

En ny ramlag

förordningen blir så lika som möjligt. Det innebär att motsvarande definitioner i personuppgiftslagen inte bör användas i den mån de avviker från direktivets terminologi, trots att de har tillämpats under lång tid och stämmer bättre överens med terminologin i svensk lagstiftning.

I artikel 3.3 finns en definition av begränsning av behandling. Som framgår av avsnitt 11.4.3 stämmer direktivets definition inte överens med vad som får antas vara avsikten med åtgärden. En defi- nition i enlighet med direktivets lydelse blir därför missvisande och en definition i enlighet med syftet blir innehållslös. Begränsning av behandling bör därför inte definieras i ramlagen.

Både det nu gällande och det nya dataskyddsdirektivet innehål- ler en definition av register. När det nu gällande dataskyddsdirekti- vet genomfördes ville man komma bort från registerbegreppet som redan då ansågs otidsenligt (Personuppgiftslag, prop. 1997/98:44, s. 39). Någon definition av register infördes därför inte i person- uppgiftslagen. Definitionen i direktivet användes i stället för att avgränsa lagens tillämpningsområde genom att det i 5 § anges att lagen även gäller för manuell behandling av personuppgifter om uppgifterna ingår i eller är avsedda att ingå i en strukturerad sam- ling av personuppgifter som är tillgängliga för sökning eller sam- manställning enligt särskilda kriterier. Som framgår av avsnitt 7.1.6 föreslår utredningen att tillämpningsområdet för ramlagen anges på samma sätt. Ordet register förekommer inte i den föreslagna lagen. Någon definition behövs därför inte.

I direktivet definieras även profilering och pseudonymisering. Profilering nämns i artikel 11 som ett exempel på beslut som grun- das enbart på automatiserad behandling. I artikel 24.1 e anges att det register som den personuppgiftsansvarige ska föra över person- uppgiftsbehandling i tillämpliga fall ska innehålla uppgifter om användningen av profilering. Pseudonymisering nämns i artikel 20 som ett exempel på säkerhetsåtgärder som bör vidtas. Utredningen föreslår inte att termerna ska användas i ramlagen och några defi- nitioner av dem behövs därför inte.

Nedan följer en redogörelse för de definitioner som bör finnas i ramlagen.

147

En ny ramlag

SOU 2017:29

Behandling av personuppgifter

Behandling definieras i artikel 3.2. Direktivets definition skiljer sig något i fråga om uppräkningen av exempel på behandling jämfört med det nu gällande dataskyddsdirektivet och 3 § personuppgifts- lagen. Definitionen i ramlagen bör nära ansluta till direktivets text.

Behandling av personuppgifter bör definieras som en åtgärd eller kombination av åtgärder som vidtas i fråga om personuppgif- ter eller uppsättningar av personuppgifter, oavsett om det görs automatiserat eller inte, t.ex. insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läs- ning, användning, utlämnande, spridning eller tillhandahållande på annat sätt, justering, sammanföring, begränsning, radering eller för- störing.

Behörig myndighet

Att det bör införas en definition av uttrycket behörig myndighet och hur den bör utformas framgår av avsnitt 7.1.4.

Biometriska uppgifter

Varken det nu gällande dataskyddsdirektivet eller personuppgifts- lagen innehåller någon definition av biometriska uppgifter. Inte heller i andra författningar finns det någon sådan definition, men uttrycket biometriska data används i bl.a. passlagen (1978:302) och utlänningslagen (2005:716). Enligt artikel 3.13 avses med biomet- riska uppgifter personuppgifter som erhållits genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräf- tar unik identifiering av personen, som ansiktsbilder eller finger- avtrycksuppgifter. Biometriska uppgifter räknas upp i artikel 10 som en särskild kategori av personuppgifter som bara får behandlas under vissa förutsättningar (se avsnitt 9.2.4). Definitionen av vad som avses med biometriska uppgifter får därmed betydelse för i vilken utsträckning sådana uppgifter får behandlas.

Biometri är ett samlingsnamn för sådan automatiserad teknik som syftar till att identifiera en person eller avgöra om en påstådd

148

SOU 2017:29

En ny ramlag

identitet är riktig. Den baseras på mätning av fysiska karaktärsdrag hos den som ska identifieras (jfr Fingeravtryck i pass, prop. 2008/09:132, s. 6 f.). När det gäller pass är det framför allt mönster av fingeravtryck, ansiktsgeometri och ögats iris som används, men även regnbågshinna, näthinna, röst, hand, blodkärl, dna eller gång går att använda. Gemensamt för teknikerna är att kroppen mäts elektroniskt. Biometriska uppgifter är den information som kan tas fram ur ett biometriskt underlag. Dessa uppgifter kan användas för att skapa en referensmall eller för att jämföra med tidigare lagrade referensmallar i syfte att kontrollera en persons identitet.

I direktivets definition av biometriska uppgifter anges ansikts- bilder som ett exempel på sådana uppgifter. Det kan leda tanken till att vanliga fotografier och filmer skulle omfattas av definitionen. Om de inte bearbetas tekniskt genom en särskild metod som syftar till identifiering faller de utanför definitionen. Om de däremot be- arbetas i exempelvis ett ansiktsigenkänningsprogram så att det går att identifiera personer på bilden eller filmen omfattas de av defi- nitionen.

Ramlagen bör innehålla en definition av uttrycket biometriska uppgifter. Till skillnad från direktivets definition bör den dock inte innehålla några exempel på sådana uppgifter, eftersom det kan leda till felaktiga slutsatser om vad som omfattas. Biometriska uppgifter bör definieras som personuppgifter som rör en persons fysiska, fysiologiska eller beteendemässiga kännetecken, som tagits fram genom särskild teknisk behandling och som möjliggör eller be- kräftar unik identifiering av personen i fråga.

Dataskyddsombud

Dataskyddsombud nämns i flera artiklar men är inte definierat. I avsnitt 10.5.1 diskuterar utredningen behovet av en definition och hur den bör utformas.

Genetiska uppgifter

Genetiska uppgifter definieras inte i det nu gällande dataskydds- direktivet eller i personuppgiftslagen. Med genetiska uppgifter av- ses enligt artikel 3.12 alla personuppgifter som rör nedärvda eller

149

En ny ramlag

SOU 2017:29

förvärvade genetiska kännetecken för en fysisk person, vilka ger unik information om personens fysiologi eller hälsa och som fram- för allt härrör från en analys av ett biologiskt prov från personen i fråga. I skäl 23 anges att det är kromosom-, dna- och rna-analyser eller andra analyser som gör det möjligt att inhämta sådan infor- mation som avses.

Genetiska uppgifter räknas upp i artikel 10 som en särskild kate- gori av personuppgifter som bara får behandlas under vissa förut- sättningar (se avsnitt 9.2.4). Definitionen av vad som avses med genetiska uppgifter får därmed betydelse för i vilken utsträckning uppgifter som tas fram vid analys av prover från människokroppen får behandlas.

I direktivets definition nämns information om fysiologi eller hälsa. Det går dock även att få fram annan information genom analys av ett sådant biologiskt prov, exempelvis information om en persons biogeografiska ursprung. I framtiden kommer man troli- gen att kunna ta fram ytterligare uppgifter ur sådana prover. Utred- ningen anser därför att all information som rör nedärvda eller för- värvade genetiska kännetecken för en person och som kan tas fram ur ett prov från människokroppen bör anses vara genetiska uppgif- ter. Det bör också gälla information som på motsvarande sätt kan tas fram ur spår som påträffas på en brottsplats, exempelvis blod- spår. Det bör framgå av definitionen. Det innebär att definitionen av genetiska uppgifter i ramlagen blir något vidare än den i data- skyddsförordningen. Det bör enligt utredningens mening inte or- saka några problem i praktiken.

Genetiska uppgifter bör således definieras som personuppgifter som rör en persons nedärvda eller förvärvade genetiska känne- tecken och som härrör från analys av ett spår av eller ett prov från personen i fråga.

Internationell organisation

I artikel 3.16 anges vad som avses med en internationell organisa- tion. Att det bör införas en definition av internationell organisation i ramlagen och hur den bör utformas behandlas i avsnitt 15.2.4.

150

SOU 2017:29

En ny ramlag

Medlemsstat

Medlemsstat definieras inte i direktivet. I avsnitt 15.2.2 diskuterar utredningen behovet av en definition och hur den bör utformas.

Mottagare

Enligt artikel 3.10 omfattar uttrycket mottagare i princip samtliga personer, myndigheter eller andra organ till vilka personuppgifter lämnas ut. Myndigheter som får del av personuppgifter för att kunna utföra ett särskilt uppdrag ska dock inte anses som motta- gare. I skäl 22 anges som exempel på myndigheter som får del av personuppgifter för att utföra särskilda uppdrag, skatte- och tull- myndigheter, finansutredningsgrupper, oberoende administrativa myndigheter eller finansmarknadsmyndigheter med ansvar för re- glering av värdepappersmarknader.

I 3 § personuppgiftslagen, som genomför artikel 2 g i det nu gällande direktivet, anges att en myndighet inte ska anses som mot- tagare när personuppgifter lämnas ut till myndigheten för att den ska kunna utföra sådan tillsyn, kontroll eller revision som den är skyldig att sköta. Vilka myndighetsuppdrag som åsyftas kommen- teras inte i förarbetena, utan där anges endast att definitionen av mottagare är avsedd att ha samma innebörd som motsvarande ut- tryck i direktivet (prop. 1997/98:44 s. 116). En motsvarande defi- nition behövs i ramlagen.

Mottagare bör definieras som den till vilken personuppgifter lämnas ut, med undantag av en myndighet som med stöd av för- fattning utövar tillsyn, kontroll eller revision.

Personuppgift

Med personuppgift avses enligt både det nu gällande och det nya direktivet varje upplysning som avser en fysisk person som är identifierad eller som kan identifieras. I definitionen i artikel 3.1 exemplifieras personuppgifter som upplysningar om namn, identi- fikationsnummer, lokaliseringsuppgift eller onlineidentifikatorer eller faktorer som är specifika för personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.

151

En ny ramlag

SOU 2017:29

Det framgår inte uttryckligen av direktivet om det gäller för uppgifter om avlidna personer eller inte. Definitionen av person- uppgift omfattar enligt sin ordalydelse även uppgifter om avlidna personer. Definitionen är densamma som i artikel 4.1 i dataskydds- förordningen. I skäl 27 i förordningen anges emellertid att den inte gäller för behandling av personuppgifter om avlidna personer, men att medlemsstaterna får fastställa bestämmelser för behandlingen av sådana personuppgifter. Det kan enligt utredningens mening inte ha varit avsikten att behandling av uppgifter om avlidna skulle om- fattas av direktivet men inte av förordningen när definitionerna av personuppgift i princip är identiska. Utredningen betraktar det som ett rent förbiseende att inte motsvarande skäl finns i direkti- vet. För att tydliggöra att personuppgift har samma betydelse som i förordningen bör det framgå av definitionen att den inte omfattar uppgifter om avlidna personer.

Personuppgifter bör alltså definieras som varje upplysning om en identifierad eller identifierbar fysisk person som är i livet.

Personuppgiftsansvarig

Att det bör finnas en definition av personuppgiftsansvarig och hur den bör utformas framgår av avsnitt 10.1.1.

Personuppgiftsbiträde

Att det bör finnas en definition av personuppgiftsbiträde och hur den bör utformas framgår av avsnitt 10.6.1.

Personuppgiftsincident

Att det bör finnas en definition av personuppgiftsincident och hur den bör utformas framgår av avsnitt 10.4.1.

Registrerad

I direktivets definition av personuppgift i artikel 3.1 anges att en identifierad eller identifierbar fysisk person benämns registrerad.

152

SOU 2017:29

En ny ramlag

Definitionen av personuppgift är utformad på samma sätt i det nu gällande direktivet. I 3 § personuppgiftslagen definieras däremot den registrerade som den som en personuppgift avser.

Utredningen anser att det blir tydligare att definiera vad som av- ses med en registrerad än att låta det ingå som en del av definitio- nen av personuppgift. Registrerad bör därför definieras som den fysiska person som personuppgiften rör. Det blir då en skillnad i förhållande till dataskyddsförordningen men det saknar praktisk betydelse.

Tillsynsmyndighet

Att det bör finnas en definition av tillsynsmyndighet och hur den bör utformas framgår av avsnitt 12.4.1.

Tredjeland

Det finns ingen definition av tredjeland i direktivet trots att det innehåller detaljerade regler om överföringar av personuppgifter till bl.a. tredjeland. Att det bör finnas en definition av uttrycket tredje- land och hur den bör utformas framgår av avsnitt 15.2.3.

Tredje man

Det finns ingen definition av tredje man i direktivet men däremot i 3 § personuppgiftslagen. Att det bör finnas en definition av tredje man och hur den bör utformas framgår av avsnitt 11.3.3.

Uppgift som rör hälsa

Varken det nu gällande dataskyddsdirektivet eller personuppgifts- lagen definierar vad som avses med uppgift som rör hälsa. Enligt artikel 3.14 avses personuppgifter som rör en fysisk persons fysiska eller psykiska hälsa, inbegripet tillhandahållande av hälso- och sjuk- vårdstjänster, vilka ger information om dennes hälsostatus. I skäl 24 anges att det gäller information om en persons tidigare, nu- varande eller framtida fysiska eller psykiska hälsotillstånd. Där ges

153

En ny ramlag

SOU 2017:29

också exempel på vilka uppgifter som kan anses avse hälsa. Ram- lagen bör innehålla en definition av vad som avses med uppgift som rör hälsa som motsvarar definitionen i direktivet. Uppgift som rör hälsa bör definieras som personuppgift som rör en persons fysiska eller psykiska hälsa, inkluderande information om tillhandahållande av hälso- och sjukvårdstjänster som ger upplysning om personens hälsostatus.

Uppgifter om hälsa räknas upp i artikel 10 som en särskild kate- gori av personuppgifter som bara får behandlas under vissa förut- sättningar (se avsnitt 9.2.4).

6.3Dataskyddsbestämmelser i tidigare rättsakter och avtal

Utredningens bedömning: Det behövs inte någon särskild reg- lering för att genomföra artiklarna 60 och 61 i direktivet.

Skälen för utredningens bedömning

Innehållet i direktivet och nuvarande reglering

Enligt artikel 60 ska direktivet inte påverka tillämpningen av sär- skilda bestämmelser om skydd av personuppgifter i unionsrätts- akter på området för straffrättsligt samarbete och polissamarbete som trädde i kraft den 6 maj 2016 eller tidigare. En förutsättning är dock att rättsakterna reglerar behandlingen av personuppgifter mel- lan medlemsstaterna eller medlemsstaternas tillgång till informa- tionssystem som är relevanta för direktivets tillämpningsområde. Kommissionen ska enligt artikel 62.6 se över om tidigare rättsakter behöver anpassas till direktivet och, om så behövs, lägga fram för- slag till ändring av dessa rättsakter. De tidigare rättsakterna på om- rådet ska alltså fortsätta att gälla tills de ändras eller upphävs.

Som exempel på tidigare rättsakter som ska kvarstå oförändrade nämns i skäl 94 rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämp- ning av terrorism och gränsöverskridande brottslighet (Prümråds- beslutet) och konventionen om ömsesidig rättslig hjälp i brottmål

154

SOU 2017:29

En ny ramlag

mellan Europeiska unionens medlemsstater (rådets akt av den

29maj 2000).

Enligt artikel 61 ska internationella avtal som rör överföring av

personuppgifter till tredjeland eller internationella organisationer och som ingicks av medlemsstaterna före den 6 maj 2016 fortsätta att gälla tills de ändras, ersätts eller återkallas. En förutsättning är dock att avtalen är förenliga med unionsrätten så som den tilläm- pades före angivet datum.

En liknande bestämmelse finns i artikel 26 i dataskyddsrambe- slutet. Enligt den ska rambeslutet inte påverka medlemsstaternas eller unionens skyldigheter och åtaganden enligt de bilaterala och/eller multilaterala avtalen med tredjeland som redan gällde när rambeslutet antogs. Artikel 26 ansågs inte kräva någon lagstift- ningsåtgärd (prop. 2012/13:73 s. 108).

Bestämmelser om skydd för personuppgifter i tidigare rättsakter

Det finns en rad unionsrättsakter på området för straffrättsligt samarbete och polissamarbete som innehåller bestämmelser om skydd av personuppgifter. Sådana bestämmelser ska alltså gälla i stället för direktivet om de är äldre än det. På motsvarande sätt bör sådana svenska lagar och förordningar som genomför de tidigare antagna unionsrättsakterna ges företräde framför ramlagen. Det är därför av intresse vilka rättsakter som har trätt i kraft före direktivet och som har genomförts i svensk rätt.

Prümrådsbeslutet och konventionen om ömsesidig rättslig hjälp i brottmål mellan EU:s medlemsstater har redan nämnts som exem- pel på tidigare unionsrättsakter på området. Konventionen av den 19 juni 1990 om tillämpningen av Schengenavtalet och rådets beslut 2007/533/RIF av den 12 juni 2007 om inrättande, drift och använd- ning av andra generationen av Schengens informationssystem (SIS II) är också sådana tidigare unionsrättsakter som ska tillämpas i stället för direktivet. Konventionen upprättad på grundval av arti- kel K 3 i fördraget om Europeiska unionen om ömsesidigt bistånd och samarbete mellan tullförvaltningar är ett annat exempel på en tidigare unionsrättsakt på området. En annan sådan rättsakt är Europaparlamentets och rådets direktiv (EU) 2015/413 av den 11 mars 2015 om gränsöverskridande informationsutbyte om tra-

155

En ny ramlag

SOU 2017:29

fiksäkerhetsrelaterade brott (det s.k. CBE-direktivet). Rådets be- slut 2008/633/RIF av den 23 juni 2008 om åtkomst till informa- tionssystemet för viseringar (VIS) för sökningar för medlemssta- ternas utsedda myndigheter och för Europol i syfte att förhindra, upptäcka och utreda terroristbrott och andra grova brott är också en äldre unionsrättsakt som innehåller bestämmelser om skydd av personuppgifter som ska gälla framför direktivet.

De nu aktuella unionsrättsakterna har i huvudsak genomförts i svensk rätt genom lagen (2000:344) om Schengens informations- system, lagen (2000:562) om internationell rättslig hjälp i brottmål, lagen (2003:1174) om vissa former av internationellt samarbete i brottsutredningar, lagen (2000:1219) om internationellt tullsamar- bete och den föreslagna lagen om internationellt polisiärt sam- arbete.

Rådets rambeslut 2006/960/RIF av den 18 december 2006 om förenklat informations- och underrättelseutbyte mellan de brotts- bekämpande myndigheterna i Europeiska unionens medlemsstater har genomförts i förordningen (2008:1396) om förenklat uppgifts- utbyte mellan brottsbekämpande myndigheter i Europeiska unio- nen. Förordningen är även tillämplig på informationsutbyte enligt rådets beslut 2007/845/RIF av den 6 december 2007 om samarbete mellan medlemsstaternas kontor för återvinning av tillgångar när det gäller att spåra och identifiera vinning eller annan egendom som härrör från brott. Regleringen innehåller bestämmelser om data- skydd och får därmed anses vara en sådan äldre rättsakt som avses i artikel 60.

Rådets rambeslut 2009/315/RIF av den 26 februari 2009 om organisationen av medlemsstaternas utbyte av uppgifter ur krimi- nalregistret och uppgifternas innehåll syftar till att förbättra och underlätta utbytet av uppgifter ur kriminalregister mellan EU:s medlemsstater. Beslutet lägger också grunden för det europeiska informationssystemet för utbyte av uppgifter ur kriminalregistret, Ecris (rådets beslut 2009/316/RIF av den 6 april 2009 om inrät- tande av det europeiska informationssystemet för utbyte av upp- gifter ur kriminalregistret). Rambeslutet har genomförts i lagen (1998:620) om belastningsregister, förordningen (1999:1134) om belastningsregister och polisdatalagen. Rambeslutet och reglering- en som genomför det innehåller vissa bestämmelser om skydd för personuppgifter som bör ha företräde framför direktivet.

156

SOU 2017:29

En ny ramlag

En annan unionsrättsakt av intresse i sammanhanget är Euro- polförordningen (Europaparlamentets och rådets förordning [EU] 2016/794 av den 11 maj 2016 om Europeiska unionens byrå för samarbete inom brottsbekämpning [Europol] och om ersättande och upphävande av rådets beslut 2009/371/RIF, 2009/934/RIF, 2009/935/RIF, 2009/936/RIF och 2009/968/RIF). Förordningen ska, med något undantag, tillämpas från och med den 1 maj 2017. Den antogs den 11 maj 2016 och trädde i kraft 20 dagar efter att den hade offentliggjorts i Europeiska unionens officiella tidning, vilket gjordes den 24 maj 2016. Förordningen har alltså trätt i kraft efter den 6 maj 2016 och omfattas därför inte av artikel 60. Förord- ningen innehåller bestämmelser om behandling av personuppgifter men det är inte klart hur de förhåller sig till direktivet.

Genom rådets beslut 2002/187/RIF av den 28 februari 2002 in- rättades Eurojust för att stärka kampen mot grov brottslighet. Rådets beslut har sedermera ändrats genom besluten 2003/659/RIF och 2009/426/RIF. Regleringen innehåller vissa bestämmelser om dataskydd för behandling av personuppgifter vid Eurojust. Beslutet om att inrätta Eurojust har genomförts enbart genom att Eurojusts administrativa direktör och personalen vid Eurojust har lagts till i bilagan till lagen (1976:661) om immunitet och privilegier i vissa fall. Det finns ett förslag till förordning om Eurojust genom vilken Eurojust bl.a. ska få en förnyad rättslig ram, men det har ännu inte antagits.

Avtal om överföring till tredjeland och internationella organisationer

Som framgått ovan ska internationella avtal som rör överföring av personuppgifter till tredjeland och internationella organisationer och som ingåtts före den 6 maj 2016 fortsätta att gälla. Med inter- nationella avtal bör, enligt utredningens mening, i detta samman- hang förstås varje gällande bilateralt eller multilateralt avtal mellan medlemsstater och tredjeland eller med internationella organisatio- ner inom området för straffrättsligt samarbete och polissamarbete som rör överföring av personuppgifter.

Som exempel på bilateralt avtal om informationsutbyte som Sverige ingått med tredjeland kan nämnas avtalet med Thailand om samarbete mellan brottsbekämpande myndigheter för att bekämpa

157

En ny ramlag

SOU 2017:29

organiserad brottslighet (SÖ 2013:3). Avtalet innehåller till viss del bestämmelser om dataskydd, som hänvisar till internationella över- enskommelser. Avtalet med Bosnien och Hercegovinas ministerråd om samarbete mellan brottsbekämpande myndigheter (SÖ 2013:4) innehåller liknande bestämmelser.

Sverige har även ingått ett flertal bilaterala avtal när det gäller informationsutbyte på tullområdet, t.ex. med USA och Ryssland. Avtalet med USA är genomfört i förordningen (1988:146) om till- lämpning av en överenskommelse mellan Sverige och Amerikas Förenta Stater om ömsesidigt bistånd i tullfrågor. Avtalet med Ryssland regleras i förordningen (1994:8) om tillämpning av en överenskommelse mellan Sverige och Ryska federationen om ömsesidigt bistånd i tullfrågor och förordningen (1998:318) om tillämpning av ett avtal mellan Sverige och Ryssland om ömsesidigt bistånd vid bekämpning av vissa fiskala brott.

Någon särskild reglering behövs inte

Av artiklarna 60 och 61 följer att särskilda bestämmelser om skydd av personuppgifter i unionsrättsakter på området och internatio- nella avtal som rör överföring av personuppgifter till tredjeland och internationella organisationer som medlemsstaterna ingått innan direktivet antogs ska tillämpas framför direktivet och gälla tills de ändras eller upphävs. Det är alltså inte fråga om någon tillfällig eller övergående reglering, utan en inskränkning i direktivets tillämp- ningsområde. De tidigare unionsrättsakter och avtal som Sverige ingått med tredjeland har i allt väsentligt genomförts i svensk rätt. I den mån sådana lagar och förordningar reglerar dataskydd på ram- lagens tillämpningsområde bör de gälla framför ramlagen.

I avsnitt 6.1.2 föreslås att ramlagen ska vara subsidiär. Där dis- kuteras framför allt förhållandet mellan ramlagen och myndigheter- nas registerförfattningar, men resonemanget gör sig gällande även här. Några särskilda bestämmelser som genomför artiklarna 60 och 61 behövs därför inte.

158

7 Ramlagens tillämpningsområde

7.1Utformningen av tillämpningsområdet

7.1.1Personuppgiftsbehandling som behöriga myndigheter utför för vissa syften

Utredningens förslag: Ramlagens tillämpningsområde ska kny- tas till behandling av personuppgifter som behöriga myndig- heter utför för vissa syften.

Skälen för utredningens förslag: Direktivet ska enligt artikel 2.1 tillämpas på behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten.

Personuppgiftsbehandling inom direktivets tillämpningsområde är enligt artikel 2.2 d i dataskyddsförordningen undantagen från förordningens tillämpningsområde. Eftersom förordningen är direkt tillämplig i svensk rätt och gäller för all personuppgiftsbe- handling som regleras av unionsrätt och inte omfattas av direktivet är avgränsningen av ramlagens tillämpningsområde en central fråga.

Direktivet gäller för all personuppgiftsbehandling inom sitt till- lämpningsområde, även om den är helt nationell. Det är en bety- dande skillnad i förhållande till dataskyddsrambeslutet, som bara gäller för behandling av personuppgifter inom ramen för polisiärt och straffrättsligt samarbete när personuppgifter överförs eller görs tillgängliga mellan EU-medlemsstater, Island, Liechtenstein, Norge och Schweiz och EU-organ och EU:s informationssystem. I övrigt är tillämpningsområdet för direktivet och rambeslutet angivet på i stort sett samma sätt – båda omfattar behandling av personuppgif-

159

Ramlagens tillämpningsområde

SOU 2017:29

ter i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder. Direktivets tillämpningsområde omfattar också personuppgiftsbehandling i syfte att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. Det väcker frågan om regleringen i ramlagen kan utgå från hur till- lämpningsområdet är utformat i 2013 års lag.

Tillämpningsområdet för 2013 års lag bygger på i vilken verk- samhet personuppgifter behandlas. En sådan lösning är enkel och tydlig för tillämparen. Som nyss nämnts bygger direktivets tillämp- ningsområde på dels syftet med behandlingen, dels om det är en behörig myndighet som utför den. Att enbart knyta ramlagens tillämpningsområde till i vilken verksamhet personuppgiftsbehand- ling utförs skulle därför göra det för vidsträckt. Som exempel kan nämnas att man i Kriminalvårdens häktesverksamhet behandlar personuppgifter både om personer som är frihetsberövade på grund av brottsutredning, lagföring och straffverkställighet och personer som är föremål för olika administrativa frihetsberövanden, t.ex. tvångsvård eller häktning enligt konkurslagen (1987:672). Om syf- tet med förvaringen i häkte är brottsbekämpning, lagföring, straff- verkställighet eller ordningshållning ligger det under direktivets tillämpningsområde. Är det däremot fråga om ett frihetsberövande av något annat slag gäller som regel dataskyddsförordningen (se av- snitt 8.2.5).

Tillämpningsområdet kan dock inte heller knytas enbart till syftet med personuppgiftsbehandlingen. Kameraövervakning kan tas som exempel för att illustrera det. Fast monterade kameror får sättas upp i exempelvis banklokaler och butikslokaler, om syftet med övervakningen ska vara att förebygga, avslöja eller utreda brott. Bankens eller butikens personuppgiftsbehandling i samband med sådan övervakning skulle därmed omfattas av ramlagens till- lämpningsområde om enbart syftet med behandlingen var avgö- rande. I och med att banker och butiker inte träffas av direktivets definition av behörig myndighet ligger deras personuppgiftsbe- handling dock utanför tillämpningsområdet. En annan sak är att Polismyndighetens behandling av de personuppgifter som har samlats in av en bank vid exempelvis ett rån omfattas av tillämp- ningsområdet, eftersom myndigheten omfattas av definitionen av behörig myndighet och syftet med behandlingen är att utreda brott.

160

SOU 2017:29

Ramlagens tillämpningsområde

Ramlagens tillämpningsområde måste därför knytas både till vil- ket syfte behandlingen av personuppgifter har och till att det är en behörig myndighet som utför behandlingen. Om en behörig myn- dighet behandlar personuppgifter för något av de syften som anges i ramlagen är lagen tillämplig, oavsett om behandlingen endast ut- förs i ringa omfattning eller under kort tid. Innan utredningen går närmare in på frågan vad som är en behörig myndighet (se av- snitt 7.1.4) är det nödvändigt att först redovisa för vilka syften per- sonuppgifter får behandlas. I kapitel 8 diskuteras ingående olika gränsdragningsfrågor knutna till uttrycket behörig myndighet och syftena med behandlingen.

7.1.2Personuppgiftsbehandling som rör brottsbekämpning, lagföring och straffverkställighet

Utredningens förslag: Ramlagen ska gälla för behandling av personuppgifter som utförs i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder.

Skälen för utredningens förslag: Direktivets tillämpningsområde omfattar personuppgiftsbehandling som utförs i syfte att före- bygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder.

I svensk rätt brukar man skilja mellan å ena sidan verksamhet för att förebygga, förhindra eller upptäcka brottslig verksamhet och å andra sidan verksamhet som syftar till att utreda och beivra konkreta brott (se t.ex. 2 § polislagen [1984:387] och 2 kap. 7 § polisdatalagen [2010:361]). Vid genomförandet av unionsrättsakter där det talas om att förebygga och utreda brott har ordet brott därför tolkats så att det omfattar såväl konkreta brott som sådan icke-preciserad brottslig verksamhet som exempelvis underrättelse- verksamhet tar sikte på (Genomförande av Prümrådsbeslutet – automatiserat uppgiftsutbyte, prop. 2010/11:129, s. 110 och prop. 2012/13:73, s. 63). Samma tolkning bör göras nu.

Utredningens utgångspunkt är att uttrycket förebygga, för- hindra och upptäcka brottslig verksamhet – som används i flera av de berörda myndigheternas registerförfattningar – bör ges samma

161

Ramlagens tillämpningsområde

SOU 2017:29

tolkning som hittills. I förarbetena till polisdatalagen diskuteras underrättelseverksamheten ingående (prop. 2009/10:85, s. 104 f.). Där vidgas också användningen av begreppet till att avse vad som där betecknas som underrättelsestyrd verksamhet. All sådan verk- samhet, såväl på lokal nivå som regional och central nivå, och även annan planlagd verksamhet som betecknas som underrättelsestyrd bör således omfattas av ramlagens tillämpningsområde.

Spaningsverksamhet som inte är hänförlig till brottsutredande verksamhet är normalt underrättelsestyrd, exempelvis när spaning bedrivs lokalt för att kartlägga droghandel, prostitution eller någon annan typ av lokal brottslighet. Spaningsverksamhet av nu aktuellt slag bedrivs framför allt av Polismyndigheten.

Polismyndigheten bedriver emellertid även annan verksamhet som brukar räknas till brottsförebyggande arbete, t.ex. förebyg- gande insatser som riktar sig till brottsoffer eller personer som riskerar att utsättas för brott. I sådant arbete torde behovet av att behandla personuppgifter vara begränsat. Det kan diskuteras om sådan brottsofferverksamhet som har anknytning till pågående eller avslutade brottsutredningar, t.ex. uppföljning av meddelade kon- taktförbud eller personskydd som beviljats med anledning av be- gångna brott, bör hänföras till uppgiften att utreda brott eller ses som brottsförebyggande arbete. Det saknar dock betydelse i detta sammanhang eftersom det i båda fallen är en uppgift som omfattas av ramlagens tillämpningsområde. Även behandlingen av person- uppgifter vid Polismyndighetens kommunikationscentraler har i viss utsträckning ansetts falla under polisdatalagens tillämpnings- område och bör därmed omfattas av ramlagens tillämpningsområde (se prop. 2009/10:85, s. 140 f.).

Tullverket bedriver brottsförebyggande arbete som rör framför allt otillåten införsel av varor. Även den verksamheten, som inne- fattar bl.a. underrättelseverksamhet och sådan kartläggning och spaning som nyss nämnts, ligger inom ramlagens tillämpningsom- råde.

I förarbetena till 2013 års lag anses uttrycken upptäcka och beivra brott stämma bättre överens med språkbruket i svensk rätt än uttrycken avslöja och lagföra brott (se prop. 2012/13:73, s. 63). Utredningen delar regeringens bedömning när det gäller uttrycket upptäcka brott men anser att uttrycket lagföra brott bör användas i ramlagen i stället för beivra brott av följande skäl.

162

SOU 2017:29

Ramlagens tillämpningsområde

Uttrycket utreda och beivra brott används i 2 kap. 7 § polisdata- lagen, 3 kap. 2 § kustbevakningsdatalagen (2012:145) och 2 kap. 5 § åklagardatalagen (2015:433). Samma uttryck föreslås också i både tullbrottsdatalagen och skattebrottsdatalagen (se avsnitt 3.2.2 och 3.2.4). Utreda brott omfattar framför allt arbete som utförs inom ramen för en förundersökning enligt 23 kap. rättegångsbalken, medan förenklade förfaranden som mynnar ut i att strafföreläg- gande eller föreläggande av ordningsbot utfärdas i stället för att åtal väcks hänförs till beivra brott. Uttrycket beivra brott passar därför väl för Polismyndighetens, Tullverkets, Kustbevakningens och åklagares verksamhet, men mindre väl för handläggningen vid de allmänna domstolarna när de dömer någon till ansvar för brott och bestämmer påföljd. Däremot täcker uttrycket lagföra brott, som används i direktivet, såväl de förenklade förfaranden som Polis- myndigheten, Tullverket, Kustbevakningen och åklagare tillämpar som handläggningen i domstol. Ordet lagföra framstår också som mer modernt än beivra. Utredningen anser därför att det mer vitt- omfattande uttrycket lagföra brott bör väljas i ramlagen. Frågan om även myndigheternas registerförfattningar bör ändras på motsva- rande sätt kommer att behandlas i slutbetänkandet.

Uttrycket verkställa påföljd används i dag inte i någon av de be- rörda myndigheternas registerförfattningar. Däremot används det i 2013 års lag. I förarbetena till den lagen anges att regleringen om- fattar bl.a. Kriminalvården och Statens institutionsstyrelse (prop. 2012/13:73, s. 61 f.). Terminologin i 2013 års lag framstår som lämplig och bör användas även i ramlagen. I avsnitt 8.4 diskuteras vilka myndigheter och andra aktörer som ansvarar för straffverk- ställighet i direktivets mening och som därmed bör tillämpa ramla- gen.

Ramlagen bör således gälla vid personuppgiftsbehandling som utförs i syfte att förebygga, förhindra eller upptäcka brottslig verk- samhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder. Det innebär att lagen kan bli tillämplig vid underrättelse- verksamhet och annan brottsförebyggande verksamhet, förunder- sökning och liknande utredningar som hänvisar till reglerna om förundersökning, åtalsprövning, strafföreläggande och föreläggan- de av ordningsbot, domstols handläggning av brottmål och verk- ställighet av påföljder. Det är dock inte tillräckligt att personupp- giftsbehandlingen utförs i något av dessa syften. Det krävs också

163

Ramlagens tillämpningsområde

SOU 2017:29

att det är en behörig myndighet som utför den, vilket utvecklas i avsnitt 7.1.4.

7.1.3Personuppgiftsbehandling som rör allmän ordning och säkerhet

Utredningens förslag: Ramlagen ska gälla för behandling av personuppgifter som utförs i syfte att upprätthålla allmän ord- ning och säkerhet.

Skälen för utredningens förslag

Tillämpningsområdet ska omfatta skydd av allmän säkerhet

Direktivets tillämpningsområde inkluderar personuppgiftsbehand- ling i syfte att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. I skäl 12 anges att polisens och andra brottsbekämpande myndigheters verksamhet främst är inriktad på att förebygga, förhindra, utreda, avslöja och lagföra brott, men att sådan verksamhet också kan innefatta myndighetsutövning genom vidtagande av tvångsåtgärder vid demonstrationer, större idrotts- evenemang och upplopp. Det anges också att verksamheten även omfattar upprätthållande av lag och ordning som en uppgift som anförtros åt polisen eller andra brottsbekämpande myndigheter när det är nödvändigt för att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten och mot i lag skyddade grundläg- gande allmänna intressen som kan leda till ett brott.

Det är framför allt Polismyndigheten som har i uppdrag att skydda allmänheten mot hot mot den allmänna säkerheten. En av Polismyndighetens huvuduppgifter enligt 2 § polislagen är att före- bygga, förhindra och upptäcka brottslig verksamhet och andra störningar av den allmänna ordningen eller säkerheten och att över- vaka den allmänna ordningen och säkerheten och ingripa när stör- ningar har inträffat. Befogenheterna att ingripa finns bl.a. i 13– 13 c §§ polislagen. I avsnitt 8.5.1 utvecklas närmare vad de innebär.

Även Kustbevakningen har vissa ordningshållande arbetsupp- gifter. De rör främst sådant uppträdande i trafiken till sjöss som stör ordningen eller utgör en omedelbar fara för ordningsstörning.

164

SOU 2017:29

Ramlagens tillämpningsområde

En kustbevakningstjänsteman har också rätt att ingripa för att avvärja brott som avser trafikregler och säkerhetsanordningar för sjötrafiken, vattenförorening från fartyg och dumpning av avfall i vatten. Vid ett ingripande i någon av dessa situationer har en kust- bevakningstjänsteman enligt 3 § lagen (1982:395) om Kustbevak- ningens medverkan vid polisiär övervakning rätt att avvisa, avlägsna eller omhänderta den som stör ordningen eller utgör en omedelbar fara för den enligt reglerna i 13 § polislagen. Kustbevakningen har också särskilda ordningshållande uppgifter enligt lagstiftningen om sjöfartsskydd respektive hamnskydd.

I förarbetena till polisdatalagen framhålls att det är svårt att dra en tydlig gräns mellan polisens ordningshållning och brottsbe- kämpning. Det beror på att övervakning och ordningshållande verksamhet även kan syfta till att förebygga och ingripa mot brott. Sådan verksamhet kan ofta också övergå i brottsbekämpning. Det ansågs dock föra för långt att betrakta mer renodlad övervakning och ordningshållande verksamhet som brottsbekämpande. Den verksamheten skulle därmed inte omfattas av polisdatalagens till- lämpningsområde (se prop. 2009/10:85, s. 75).

I artikel 1.1 anges att direktivet omfattar personuppgiftsbe- handling i syfte att förebygga, förhindra, utreda, avslöja eller lag- föra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. Det väcker frågan om det bara är ordningshållande verksamhet som är en del av brottsbekämpningen som omfattas av direktivets tillämpningsområde. Enligt utredningens mening bör direktivet inte tolkas på det sättet. Om bara ordningshållande verk- samhet som utgör en del av brottsbekämpningen skulle omfattas av direktivet, skulle det inte ha funnits något skäl att nämna den verk- samheten särskilt. Personuppgiftsbehandling i syfte att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten räknas upp i artikeln och i skäl 12 tydliggörs att det handlar om ingripanden mot sådant som inte i sig är brott som exempelvis tvångsåtgärder vid demonstrationer. Det är därmed enligt utred- ningens mening tydligt att direktivet omfattar mer än det som kan sägas höra till den traditionella brottsbekämpande verksamheten. Ramlagen bör ha ett tillämpningsområde som motsvarar direkti- vets. Det innebär att lagen bör gälla även för personuppgiftsbe- handling som utförs för ordningshållande syften.

165

Ramlagens tillämpningsområde

SOU 2017:29

Åtgärder för att skydda allmän säkerhet är som framgått något annat än att skydda den nationella säkerheten. Det sistnämnda är Säkerhetspolisens arbetsuppgift och behandlas i avsnitt 7.2.1.

Vilket uttryckssätt bör användas?

I svensk rätt har uttrycket allmän ordning och säkerhet använts under lång tid i olika polisrättsliga författningar. Uttrycket, som inte har någon legaldefinition, är vittomfattande och svårdefinierat. Det används bl.a. i ordningslagen (1993:1617) och polislagen.

I polislagen används uttrycket i 1 § som anger polisverksamhe- tens ändamål. Där sägs att polisens arbete syftar till att upprätthålla allmän ordning och säkerhet och att i övrigt tillförsäkra allmän- heten skydd och hjälp. I kommentaren till polislagen framhålls att det i polisens uppgift att upprätthålla allmän ordning och säkerhet inte bara ligger att motverka och beivra straffsanktionerade hand- lingar. Även i övrigt har polisen viss skyldighet att söka säkerställa förutsättningarna för en i möjligaste mån trygg och friktionsfri samlevnad medborgarna emellan (Berggren m.fl. s. 35).

I 1 § polislagen används alltså uttrycket allmän ordning och säkerhet som ett överordnat begrepp som både omfattar brottsut- redning och annan brottsbekämpande verksamhet och olika former av övervakning. Det återspeglar den helhetssyn på polisens alla olika funktioner som eftersträvas. I de enskilda bestämmelserna i lagen, särskilt när det gäller polismans befogenheter, används ut- trycket i en snävare mening som ligger mera i linje med regleringen i ordningslagen. Den lagen tar sikte på regler som riktar sig till all- mänheten och som rör användningen av allmänna utrymmen och samfärdseln samt sammankomster och tillställningar av olika slag.

Uttrycket allmän ordning och säkerhet används inte helt konse- kvent ens i polislagen. I vissa av bestämmelserna används uttrycket ”den allmänna ordningen” medan ”ordningen och säkerheten” an- vänds i någon bestämmelse. Av förarbetena till 13–13 c §§ kan inte utläsas att lagstiftaren har avsett någon egentlig skillnad mellan uttryckssätten eller att de skulle avse olika situationer. Både 13 a och 13 c §§ polislagen infördes för att komma till rätta med de pro- blem som polisen ställs inför i samband med större evenemang (se Ändringar i polislagen m.m., prop. 1996/97:175, s. 23 f.). Det är

166

SOU 2017:29

Ramlagens tillämpningsområde

också sådana situationer som skäl 12 i direktivet förefaller ta sikte på, eftersom myndighetsutövning vid demonstrationer, större idrottsevenemang och upplopp nämns uttryckligen. I ramlagen bör uttrycket allmän ordning och säkerhet användas för att säkerställa att lagens tillämpningsområde täcker den verksamhet som är av- sedd. Det stämmer också överens med hur Polismyndighetens uppgifter anges i bl.a. polislagen.

Ibland anges att polisen ska upprätthålla allmän ordning och säkerhet och ibland att polisen ska övervaka allmän ordning och säkerhet. I 2 § polislagen anges att en av polisens huvuduppgifter är att övervaka den allmänna ordningen och säkerheten. Övervakning kan ha många olika former, t.ex. att någon i en ledningscentral följer trafikflödet eller allmänhetens rörelser på en viss plats via övervakningskameror. Det kan även vara fråga om automatisk has- tighetsövervakning med övervakningskameror och allmän trafik- övervakning på vägar eller fasta kontrollplatser. Övervakning kan också innebära att polisen rutinmässigt med bil passerar vissa lokaler eller områden eller att polismän eller bevakningspersonal tillfälligt eller stadigvarande bevakar en viss plats eller byggnad. För att upprätthålla allmän ordning och säkerhet krävs normalt fysisk närvaro på platsen där oordning förekommer eller riskerar att göra det. Uttrycket övervaka den allmänna ordningen och säkerheten är således mera vittomfattande än uttrycket upprätthålla allmän ord- ning och säkerhet. Enligt utredningens mening återspeglar ut- trycket upprätthålla allmän ordning och säkerhet bäst vad som enligt skäl 12 avses med direktivets uttryck skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. Det bör därför användas för att avgränsa tillämpningsområdet för ramlagen.

I begreppet allmän ordning och säkerhet har ansetts ligga att det ska vara något som berör allmänheten, dvs. samhällsmedlemmarna i gemen, vem som helst eller en obestämd krets av enskilda (se Nils- Olof Berggren och Johan Munck, Polislagen, En kommentar, 11 uppl. 2015, i fortsättningen Berggren m.fl., s. 35 f. och där an- märkt litteratur). Frågan har bl.a. diskuterats i anslutning till poli- sens agerande vid arbetsmarknadskonflikter, demonstrationer och andra liknande situationer där samhällsmedborgare kan komma att stå mot varandra. I NJA 1989 s. 308 hade drygt 200 personer tagit sig in på en byggarbetsplats, i syfte att hindra byggandet av en motorväg. Vägran att på polisens uppmaning lämna platsen ansågs i

167

Ramlagens tillämpningsområde

SOU 2017:29

det rättsfallet utgöra en sådan kränkning av den allmänna ord- ningen att de medverkande kunde dömas för ohörsamhet mot ord- ningsmakten.

Anpassningar av registerförfattningar

Genom att ramlagen föreslås omfatta personuppgiftsbehandling vid upprätthållande av allmän ordning och säkerhet kommer den att ha ett vidare tillämpningsområde än polisdatalagen. Frågan om det bör föranleda att polisdatalagens tillämpningsområde anpassas till ram- lagens kommer att behandlas i slutbetänkandet.

Kustbevakningsdatalagen gäller enligt 1 kap. 2 § behandling av personuppgifter i Kustbevakningens operativa verksamhet som rör både brottsbekämpning och annan operativ verksamhet som sjö- övervakning och räddningstjänst. I 5 kap. regleras personuppgifts- behandling i den verksamhet som inte är brottsbekämpande. Där regleras personuppgiftsbehandling i verksamhet som gäller både upprätthållande och övervakning av allmän ordning och säkerhet. Utredningen återkommer i slutbetänkandet till frågan hur person- uppgiftsbehandlingen i den ordningshållande verksamheten bör regleras.

Omfattas informationssäkerhet?

Samhällets beroende av informationsteknik har enligt regeringen utvecklats till att bli en fråga om nationell och internationell säker- het (Förebygga, förhindra och försvåra – den svenska strategin mot terrorism, skr. 2014/15:146, s. 26). I bl.a. 31 § personuppgiftslagen och 7 och 9 §§ säkerhetsskyddslagen (1996:627) finns bestämmel- ser om informationssäkerhet. Den som är ansvarig för en verksam- het ska se till att informationssäkerheten håller tillräckligt hög nivå. Alla myndigheter och organ som hanterar känslig information för- utsätts arbeta aktivt med att skydda sin information. Försvarsmak- ten, Försvarets radioanstalt, Myndigheten för samhällsskydd och beredskap, Försvarets materielverk, Post- och telestyrelsen, Säker- hetspolisen och Polismyndigheten har emellertid ett särskilt utpe- kat ansvar för informationssäkerhet.

168

SOU 2017:29

Ramlagens tillämpningsområde

I likhet med det nu gällande dataskyddsdirektivet innehåller direktivet bestämmelser om informationssäkerhet. Direktivet inne- bär skärpningar i olika avseenden, bl.a. ställs det krav på att person- uppgiftsincidenter ska rapporteras till tillsynsmyndigheten. Direk- tivets bestämmelser om informationssäkerhet tar – på samma sätt som det nu gällande dataskyddsdirektivet – enbart sikte på att per- sonuppgiftsansvariga bär ett särskilt ansvar för informationssäker- heten när det gäller de personuppgifter de behandlar. Det finns däremot inget som tyder på att det nya direktivet är avsett att om- fatta förebyggande arbete som rör informationssäkerhet i allmän- het eller verksamhet för att förebygga och förhindra de hot som samhället kan ställas inför på informationssäkerhetens område. Tvärtom tyder skrivningarna i skäl 12 på att det som åsyftas är hot mot fysisk säkerhet. När begreppet allmän ordning och säkerhet används i ramlagen för att ange tillämpningsområdet bör det såle- des inte omfatta informationssäkerhet.

7.1.4Vad är en behörig myndighet?

Utredningens förslag: Behörig myndighet ska definieras som en myndighet som har till uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verk- ställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet eller en annan aktör som utövar myndighet för något av dessa syften.

Skälen för utredningens förslag: Ramlagen ska gälla för person- uppgiftsbehandling som behöriga myndigheter utför för vissa syf- ten. Det bör därför definieras vad som avses med behörig myndig- het i ramlagen. Utredningen delar den bedömning som gjordes i förarbetena till 2013 års lag att det är en bättre lagteknisk lösning att knyta an till uppräkningen av verksamhetsuppgifter i direktivet än att i lag räkna upp de myndigheter som ska tillämpa lagen (se prop. 2012/13:73 s. 62). Genom att direktivet har ett så brett till- lämpningsområde, vilket illustreras i kapitel 8, är det svårt att i författningstext peka ut alla myndigheter som har sådana arbets- uppgifter att de ska betraktas som behöriga myndigheter i ram- lagens mening. Det är också svårt att i lagtext ange de kategorier

169

Ramlagens tillämpningsområde

SOU 2017:29

som enligt viss lagstiftning har behörighet att utöva myndighet inom ramlagens tillämpningsområde. En uppräkning baserad på myndigheter och andra aktörer riskerar därför att bli ofullständig. Dessutom skulle en sådan uppräkning behöva förses med åtskilliga undantag, eftersom inte all deras personuppgiftsbehandling regleras i ramlagen. Definitionen bör därför utgå från myndigheternas arbetsuppgifter och de andra aktörernas rätt att utöva myndighet.

I artikel 3.7 definieras behörig myndighet som en offentlig myn- dighet som har behörighet att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive skydda mot eller förebygga hot mot den allmänna säkerheten eller ett annat organ eller annan enhet som har anförtrotts myndighets- utövning för något av detta. Som framgår av avsnitt 7.1.2 och 7.1.3 bör en delvis annan formulering väljas för avgränsningen av ramla- gens tillämpningsområde. Samma formulering bör användas i de- finitionen av behörig myndighet. Behörig myndighet bör således definieras som en myndighet som har till uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet eller en annan aktör som utövar myndighet för något av dessa syften. Begreppet utöva myndighet – som också används i bl.a. 17 kap. 15 § brottsbalken – bör enligt utredningens mening användas. Det är enbart för aktörer som inte är myndighe- ter som det har betydelse om personuppgifter behandlas som ett led i myndighetsutövning eller inte. Personuppgifter som andra aktörer behandlar när de inte utövar myndighet ligger utanför ram- lagens tillämpningsområde. När det gäller myndigheter omfattas däremot all personuppgiftsbehandling inom ramlagens tillämp- ningsområde, oavsett om den har samband med myndighetsutöv- ning eller inte.

Hur man kan resonera vid bedömningen av om kraven för att vara en behörig myndighet är uppfyllda och vilka andra aktörer som kan anses utöva myndighet behandlas i kapitel 8.

170

SOU 2017:29

Ramlagens tillämpningsområde

7.1.5Arbetsuppgifterna är avgörande för när en myndighet är behörig

Behörig eller inte behörig myndighet?

Det är självklart att vissa myndigheter på grund av sina arbetsupp- gifter ska betraktas som behöriga myndigheter enligt ramlagen. Det är Polismyndigheten, Kustbevakningen, Skatteverket, Tullverket, Åklagarmyndigheten, Ekobrottsmyndigheten, de allmänna dom- stolarna och Kriminalvården som främst kommer att behandla per- sonuppgifter som omfattas av ramlagens tillämpningsområde.

Dessa myndigheter har emellertid även arbetsuppgifter som lig- ger utanför ramlagens tillämpningsområde. Det gäller i hög grad Polismyndigheten och de allmänna domstolarna men också Tull- verket, Kustbevakningen och Skatteverket, där den brottsbekäm- pande verksamheten bara utgör en del av den totala verksamheten. Även åklagare har vissa operativa uppgifter som inte omfattas av ramlagens tillämpningsområde. Den omständigheten att en myn- dighet har vissa arbetsuppgifter inom ramlagens tillämpningsom- råde gör inte att myndigheten i all sin verksamhet är behörig myn- dighet i ramlagens mening. Som exempel kan nämnas Skatteverket, där myndighetens brottsbekämpande enheter omfattas av defini- tionen av behörig myndighet, medan de enheter som arbetar med folkbokföring eller fastställande av skatt inte gör det. En myndig- het kan således vara både behörig och icke behörig i ramlagens mening beroende på vilka arbetsuppgifter som utförs (se skäl 11).

När det har konstaterats att den som ska behandla personupp- gifter är behörig myndighet i ramlagens mening måste det också fastställas att personuppgifterna ska behandlas för ett syfte som omfattas av lagen för att den ska vara tillämplig. Genom att regler- ingen i direktivet är utformad som ett undantag från dataskydds- förordningens tillämpningsområde kommer det att krävas av de behöriga myndigheterna och de enskilda tjänstemännen att de i större utsträckning än i dag överväger syftet med behandlingen av personuppgifter och om behandlingen ligger inom ramlagens till- lämpningsområde. Om personuppgifter behandlas för något annat syfte än brottsbekämpning, lagföring, straffverkställighet eller upp- rätthållande av allmän och säkerhet ska ramlagen inte tillämpas.

171

Ramlagens tillämpningsområde

SOU 2017:29

Dubbla regelverk

Det är framför allt de myndigheter som arbetar med brottsbekämp- ning som kommer att möta gränsdragningsproblem. Det beror bl.a. på att deras verksamhet är sådan att det inte alltid från början är tydligt om syftet med behandlingen är brottsbekämpande eller inte. Även på andra områden kan gränsdragningen ibland vara svår.

Det är omöjligt att inom ramen för denna utredning uttöm- mande ange när de behöriga myndigheterna ska tillämpa ramlagen. I kapitel 8 redovisas dels vissa principer som utredningen anser bör vara vägledande, dels exempel på när ramlagen bör eller inte bör tillämpas. I det enskilda fallet blir det dock den handläggande tjänstemannen som får avgöra vilken lagstiftning som är tillämplig.

Svårigheterna med att avgöra vilket regelverk som ska tillämpas bör dock inte överdrivas. Redan i dag tillämpar myndigheterna olika regelverk – personuppgiftslagen och myndighetsanknutna registerförfattningar – beroende på i vilken verksamhet personupp- gifterna behandlas. Problematiken med dubbla regleringar när det gäller personuppgiftsbehandling finns således redan i dag.

Så som tillämpningsområdet för direktivet är utformat kommer fler myndigheter och andra aktörer än enbart myndigheterna i rättskedjan att i viss del av sin verksamhet behöva tillämpa ram- lagen. Det gäller exempelvis den som bedriver sluten ungdomsvård eller rättspsykiatrisk vård. Vidare kommer andra aktörer som ut- övar myndighet inom ramlagens tillämpningsområde att behöva tillämpa den när de behandlar personuppgifter för sådana syften som lagen reglerar. De ska då betraktas som behöriga myndigheter i ramlagens mening och tillämpa den. En del av aktörerna har hit- tills enbart tillämpat personuppgiftslagen och kommer att i fort- sättningen tillämpa dataskyddsförordningen i huvuddelen av sin verksamhet. Det ställs alltså krav på att de, när personuppgiftslagen upphör att gälla, noga överväger för vilka syften personuppgifter behandlas och vilket regelverk som ska tillämpas på behandlingen.

Behandling av personuppgifter i verksamhet som omfattas av unionsrätten omfattas således antingen av ramlagens eller data- skyddsförordningens tillämpningsområde. Ramlagen och förord- ningen kan inte vara tillämpliga på samma behandling för samma syfte. Har behandlingen däremot flera olika syften kan de vara till- lämpliga parallellt. Som exempel kan nämnas Polismyndighetens

172

SOU 2017:29

Ramlagens tillämpningsområde

behandling av personuppgifter vid gränskontroll. Den behandling som görs med stöd av utlännings- och medborgarskapslagstift- ningen ligger under förordningens tillämpningsområde, medan ramlagen ska tillämpas på den behandling som har ett brottsbekäm- pande syfte (jfr 3 § utlänningsdatalagen [2016:27] och Utlännings- datalag, prop. 2015/16:65, s. 108). Det innebär att det är fråga om två olika behandlingar av personuppgifter som var och en måste ha stöd i och följa gällande regelverk. Hur gränsen ska dras diskuteras i avsnitt 8.2.10.

7.1.6Helt eller delvis automatiserad behandling

Utredningens förslag: Ramlagen ska gälla för sådan behandling av personuppgifter som är helt eller delvis automatiserad. Lagen ska även gälla för annan behandling av personuppgifter som in- går i eller är avsedda att ingå i en strukturerad samling av per- sonuppgifter som är tillgängliga för sökning eller sammanställ- ning enligt särskilda kriterier.

Skälen för utredningens förslag: En fråga är vilka slags behand- lingar som ska omfattas av tillämpningsområdet. Enligt artikel 2.2 är direktivet tillämpligt på sådan behandling av personuppgifter som helt eller delvis företas på automatiserad väg och på annan behandling av personuppgifter som ingår i eller kommer att ingå i ett register. Med register avses enligt artikel 3.6 en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda krite- rier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden. Tillämpningsområdet är detsamma enligt det nu gällande data- skyddsdirektivet och dataskyddsförordningen.

Som anges i avsnitt 6.2 ville man komma bort från registerbe- greppet redan när personuppgiftslagen infördes. Personuppgiftsla- gen gäller därför enligt 5 § för sådan behandling av personuppgifter som är helt eller delvis automatiserad och för annan behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Regle- ringen i personuppgiftslagen har varit utgångspunkt vid utform-

173

Ramlagens tillämpningsområde

SOU 2017:29

ningen av tillämpningsområdet för myndigheternas registerförfatt- ningar. Mot den bakgrunden bör tillämpningsområdet för ramlagen anges på samma sätt. Det innebär ingen skillnad i sak i förhållande till direktivet. Att formuleringen skiljer sig något från hur tillämp- ningsområdet uttrycks i dataskyddsförordningen saknar enligt ut- redningens mening betydelse.

7.2Undantag från tillämpningsområdet

7.2.1Personuppgiftsbehandling som rör nationell säkerhet

Utredningens förslag: Ramlagen ska inte gälla vid Säkerhets- polisens behandling av personuppgifter som rör nationell säker- het. Undantaget ska också gälla i de fall där Polismyndigheten har övertagit en arbetsuppgift som rör nationell säkerhet från Säkerhetspolisen.

Skälen för utredningens förslag

Säkerhetspolisens personuppgiftsbehandling som rör nationell säkerhet undantas

Enligt artikel 2.3 a ska direktivet inte tillämpas på personuppgifts- behandling som utgör ett led i en verksamhet som inte omfattas av unionsrätten. Av skäl 14 framgår att verksamhet som rör nationell säkerhet, verksamhet som utförs av byråer och organ som hanterar nationella säkerhetsfrågor och medlemsstaternas behandling av per- sonuppgifter inom verksamhet som avser den gemensamma utri- kes- och säkerhetspolitiken inte omfattas av direktivets tillämp- ningsområde.

Det nu gällande dataskyddsdirektivet gäller inte för sådan per- sonuppgiftsbehandling som inte omfattades av EG-rätten när direktivet antogs, t.ex. statens verksamhet på straffrättens område eller verksamhet som rör statens säkerhet eller försvar. I förarbe- tena till personuppgiftslagen framhöll regeringen att om viss offentlig verksamhet generellt skulle undantas från lagen fanns det risk för att viss behandling inom den sektorn inte skulle omfattas av någon lagstiftning med motsvarande syfte som den nya lagen.

174

SOU 2017:29

Ramlagens tillämpningsområde

Personuppgiftslagen gjordes därför generellt tillämplig och om- fattar även sådan verksamhet som då föll utanför EG-rätten. Genom att det krävs en särskild författning för att avvika från det integritetsskydd som personuppgiftslagen ger, garanteras att beho- vet av särregler alltid övervägs noga i den ordning som gäller för författningsgivning (se prop. 1997/98:44 s. 41).

Undantaget i det nya dataskyddsdirektivet är utformat så att det utesluter viss verksamhet, inte vissa typer av myndigheter eller organisationer. Säkerhetspolisens verksamhet ligger i allt väsentligt utanför direktivets tillämpningsområde. Till Säkerhetspolisens huvuduppgifter hör att förebygga, förhindra och upptäcka brottslig verksamhet som innefattar brott mot rikets säkerhet och terror- brott och att utreda och beivra sådana brott. Säkerhetspolisen an- svarar vidare för personskyddet av den centrala statsledningen. Nu nämnda uppgifter hör till nationell säkerhet. Säkerhetspolisen har även andra uppgifter som hör till nationell säkerhet eller har ett mycket nära samband med sådan verksamhet. Av samma skäl som det inte bör anges i ramlagen vilka myndigheter som ska tillämpa den bör inte Säkerhetspolisens personuppgiftsbehandling generellt undantas från ramlagens tillämpningsområde. Redan i dag har myn- digheten vissa uppgifter som omfattas av direktivets tillämpnings- område och det kan inte uteslutas att myndigheten i framtiden får nya sådana uppgifter. Undantaget bör därför utformas så att det endast träffar de delar av Säkerhetspolisens personuppgiftsbehand- ling som rör nationell säkerhet.

I förarbetena till 2013 års lag diskuterades ingående hur motsva- rande undantag i dataskyddsrambeslutet skulle formuleras och där stannade regeringen för att begreppet nationell säkerhet borde an- vändas (prop. 2012/13:73 s. 69 f.). I 19 kap. brottsbalken används numera begreppet Sveriges säkerhet i stället för det äldre rikets säkerhet. När begreppet byttes ut konstaterade regeringen att inne- börden av vad som betraktas som rikets säkerhet förändrats och fått ett vidare tillämpningsområde (Förstärkt skydd mot främman- de makts underrättelseverksamhet, prop. 2013/14:51, s. 20). I be- tänkandet En ny säkerhetsskyddslag (SOU 2015:25) används också begreppet Sveriges säkerhet. Betänkandet har remissbehandlats och bereds i Regeringskansliet (Justitiedepartementet).

175

Ramlagens tillämpningsområde

SOU 2017:29

Eftersom undantagen från tillämpningsområdet både i direktivet och dataskyddsförordningen utgår från begreppet nationell säker- het anser utredningen att det uttrycket bör användas i ramlagen.

Det sagda innebär dock inte att Säkerhetspolisens personupp- giftsbehandling bör lämnas oreglerad inom området nationell säkerhet. På samma sätt som Säkerhetspolisen i dag tillämpar polis- datalagen och vissa bestämmelser i personuppgiftslagen i verksam- het som rör nationell säkerhet bör myndigheten i framtiden till- lämpa vissa bestämmelser i ramlagen. Vilka bestämmelser det bör vara och hur myndighetens behandling av personuppgifter i övrigt bör regleras kommer utredningen att behandla i slutbetänkandet.

Det finns även andra myndigheter som i viss omfattning hante- rar personuppgifter rörande nationell säkerhet. Det gäller bl.a. åklagare och allmänna domstolar när de behandlar personuppgifter i mål och ärenden som rör brott mot Sveriges säkerhet, som är den benämning som används bl.a. i brottsbalken i stället för nationell säkerhet. Det kan inte uteslutas att även andra myndigheter i viss utsträckning hanterar sådana personuppgifter.

De överväganden som gjordes när personuppgiftslagen infördes gör sig fortfarande gällande. Nationell säkerhet bör därför inte undantas generellt från den nya lagens tillämpningsområde. Det är en mycket liten del av åklagares och de allmänna domstolarnas verksamhet som rör nationell säkerhet. Det saknas skäl att undanta den mycket begränsade personuppgiftsbehandling som utförs av åklagare eller i domstolar på det området från ramlagens tillämp- ningsområde. De bör därför på samma sätt som i dag tillämpa samma regler som gäller för behandling av personuppgifter i verk- samheten i övrigt vid utredning eller handläggning av brottmål och därtill anknutna ärenden enligt rättegångsbalken som rör Sveriges säkerhet. Detsamma bör gälla om någon annan myndighet undan- tagsvis skulle hantera sådana personuppgifter, exempelvis om Kri- minalvården skulle ha tillgång till någon personuppgift som rör nationell säkerhet vid verkställighet av straff.

176

SOU 2017:29

Ramlagens tillämpningsområde

Ramlagen ska tillämpas i vissa fall

Även om merparten av Säkerhetspolisens personuppgiftsbehand- ling undantas från ramlagens tillämpningsområde, finns det viss behandling i myndighetens operativa verksamhet som bör omfattas av ramlagen eftersom den inte rör nationell säkerhet.

Säkerhetspolisen ska enligt 13 § förordningen (2014:1103) med instruktion för Säkerhetspolisen bistå vid polisverksamhet som leds av Polismyndigheten om myndigheten i ett enskilt fall begär det och det inte finns särskilda skäl mot det. Säkerhetspolisen ska också lämna tekniskt biträde och annan hjälp till Polismyndigheten i den utsträckning som myndigheterna kommer överens om. När Säkerhetspolisen lämnar sådan hjälp omfattas personuppgiftsbe- handlingen av ramlagens tillämpningsområde om den avser brotts- bekämpning, lagföring eller verksamhet för att upprätthålla allmän ordning och säkerhet. Säkerhetspolisen bör följaktligen tillämpa ramlagen när den bistår Polismyndigheten i sådan verksamhet. Detsamma gäller om Säkerhetspolisen bistår andra myndigheter i deras brottsbekämpning, t.ex. vid verkställighet av hemliga tvångs- medel. Som exempel kan nämnas att Säkerhetspolisen bistår Polis- myndigheten vid verkställighet av hemlig rumsavlyssning.

Enligt 30 § förordningen (2014:1102) med instruktion för Polis- myndigheten får chefen för Nationella operativa avdelningen i sam- råd med biträdande säkerhetspolischefen i ett enskilt fall bestämma att en förundersökning eller annan liknande uppgift i den brottsbe- kämpande verksamheten ska lämnas över till Säkerhetspolisen för fortsatt handläggning. Syftet med bestämmelsen är bl.a. att jävs- situationer ska kunna undvikas (se En ny organisation för polisen, prop. 2013/14:110, s. 400). När Säkerhetspolisen med stöd av ett beslut enligt den paragrafen genomför en förundersökning eller ut- för någon annan uppgift som normalt skulle utföras av Polismyn- digheten och som omfattas av ramlagens tillämpningsområde bör Säkerhetspolisen tillämpa den lagen.

Polismyndighetens biträde till Säkerhetspolisen

En särskild fråga är vad som ska gälla för Polismyndigheten när den övertar uppgifter från Säkerhetspolisen eller biträder den på något annat sätt.

177

Ramlagens tillämpningsområde

SOU 2017:29

Enligt 28 § instruktionen för Polismyndigheten ska myndig- heten bistå vid polisverksamhet som leds av Säkerhetspolisen om Säkerhetspolisen i ett enskilt fall begär det och det inte finns sär- skilda skäl mot det. Polismyndigheten ska vidare, i den utsträck- ning som myndigheterna kommer överens om, lämna tekniskt bi- träde och annan hjälp till Säkerhetspolisen. Bestämmelsen är en spegling av 13 § instruktionen för Säkerhetspolisen.

Enligt 15 § instruktionen för Säkerhetspolisen får biträdande säkerhetspolischefen i samråd med chefen för Nationella operativa avdelningen, trots den ansvarsfördelning som annars gäller mellan myndigheterna, i ett enskilt fall bestämma att en förundersökning eller annan uppgift i den brottsbekämpande verksamheten ska läm- nas över till Polismyndigheten för fortsatt handläggning. Bestäm- melsen motsvarar 30 § instruktionen för Polismyndigheten.

Eftersom det när Säkerhetspolisen begär biträde av Polismyn- digheten eller överlämnar en arbetsuppgift till myndigheten med stöd av 15 § instruktionen för Säkerhetspolisen i de flesta fall är fråga om en arbetsuppgift som ligger utanför direktivets tillämp- ningsområde, bör Polismyndigheten inte tillämpa ramlagen i vidare mån än vad Säkerhetspolisen skulle ha gjort om uppgiften legat kvar där.

Det som nu har sagts bör även gälla för Försvarsmakten i fall där Säkerhetspolisen begär stöd enligt lagen (2006:343) om För- svarsmaktens stöd till polisen vid terrorismbekämpning.

7.2.2Den gemensamma utrikes- och säkerhetspolitiken

Enligt skäl 14 undantas medlemsstaternas behandling av person- uppgifter i verksamhet som omfattas av den gemensamma utrikes- och säkerhetspolitiken från direktivets tillämpningsområde. Ut- redningen kan inte se att någon av de som är behöriga myndigheter i ramlagens mening bedriver verksamhet inom detta område. Det finns därför inget behov av att från ramlagens tillämpningsområde undanta någon myndighet eller verksamhet som omfattas av den gemensamma utrikes- och säkerhetspolitiken.

178

SOU 2017:29

Ramlagens tillämpningsområde

7.3Förhållandet till offentlighetsprincipen och till tryck- och yttrandefriheten

Utredningens bedömning: Behandling av personuppgifter på tryck- och yttrandefrihetens område och allmänhetens tillgång till allmänna handlingar behöver inte regleras.

Skälen för utredningens bedömning: I skäl 16 framhålls att direktivet inte påverkar tillämpningen av principen om allmänhe- tens rätt att få tillgång till allmänna handlingar.

I dataskyddsförordningen finns bestämmelser som ger utrymme för nationell reglering om förhållandet mellan, å ena sidan, skyddet för personuppgifter och, å andra sidan, yttrande- och informations- friheten och offentlighetsprincipen. Enligt artikel 85.1 i förord- ningen ska medlemsstaternas nationella lagstiftning förena rätten till integritet i enlighet med förordningen med rätten till yttrande- och informationsfrihet. Den ska omfatta personuppgiftsbehandling för journalistiska ändamål och för akademiskt, konstnärligt eller litterärt skapande. När det gäller behandling för sådana ändamål ska medlemsstaterna enligt artikel 85.2 i förordningen föreskriva om undantag eller avvikelser från stora delar av förordningens bestäm- melser om det behövs för att förena rätten till integritet med yttrande- eller informationsfriheten.

Enligt artikel 86 i förordningen får personuppgifter i allmänna handlingar hos en myndighet eller vissa typer av organ lämnas ut i enlighet med unionsrätten eller nationell rätt i syfte att förena all- mänhetens rätt att få tillgång till allmänna handlingar med rätten till skydd av personuppgifter i enlighet med förordningen.

I direktiven till Dataskyddsutredningen konstaterar regeringen att det i dag är tydligare än i det nu gällande dataskyddsdirektivet att den EU-rättsliga dataskyddsregleringen inte inkräktar på områ- det för tryckfrihetsförordningen och yttrandefrihetsgrundlagen. Dataskyddsutredningen har i uppdrag att analysera hur bestämmel- ser som balanserar personuppgiftsskyddet mot yttrande- och infor- mationsfriheten utanför grundlagarnas tillämpningsområde bör ut- formas (se dir. 2016:15 s. 22).

Enligt artikel 9.1 i direktivet ska dataskyddsförordningen till- lämpas vid behandling för ändamål som ligger utanför direktivets

179

Ramlagens tillämpningsområde

SOU 2017:29

tillämpningsområde. Hur den artikeln ska genomföras behandlas i avsnitt 9.6. Någon reglering för att tydliggöra att förordningen ska tillämpas när det gäller yttrande- och informationsfriheten och offentlighetsprincipen behövs enligt utredningens mening inte.

Enligt 23 kap. 14 § andra stycket rättegångsbalken får en under- sökningsledare hos rätten begära ett förordnande om att en allmän handling som kan antas ha betydelse som bevis ska tillhandahållas. I 38 kap. 8 § rättegångsbalken finns en motsvarande bestämmelse som är generell och som kan åberopas exempelvis av en måls- ägande. En myndighet, eller någon annan aktör som omfattas av reglerna om allmänna handlingar, kan alltså med stöd av någon av dessa regler åläggas att lämna ut en allmän handling till en förun- dersökning eller brottmålsrättegång. Det gäller dock inte en hand- ling för vilken sekretess gäller enligt 15 kap. 1 eller 2 § offentlig- hets- och sekretesslagen (2009:400), som reglerar utrikessekretess respektive försvarssekretess, eller 16 kap. 1 § samma lag som regle- rar statsfinanssekretess. Det gäller inte heller en handling vars innehåll är sådant att någon som haft befattning med handlingen inte får höras som vittne om dess innehåll. Likaså undantas hand- lingar som kan avslöja yrkeshemligheter, om det inte finns synner- lig anledning.

Oavsett vad Dataskyddsutredningen kommer fram till när det gäller behandling av personuppgifter på tryck- och yttrandefrihe- tens område och allmänhetens tillgång till allmänna handlingar kan det inte antas påverka tillämpningen av 23 kap. 14 § och 38 kap. 8 § rättegångsbalken.

180

8Gränsdragningsfrågor som rör tillämpningsområdet

8.1Några allmänna principer för gränsdragningen

Det är en fråga för rättstillämpningen att avgöra vilket regelverk för dataskydd som gäller i ett enskilt fall. Som utredningen konstaterar i avsnitt 7.1 har det avgörande betydelse för tillämpningen om den som behandlar uppgiften är en behörig myndighet och i vilket syfte en personuppgift behandlas.

Det ingår inte i utredningens uppdrag att göra en jämförelse mellan reglerna i direktivet och dataskyddsförordningen och inte heller att analysera konsekvenserna av att det ena eller andra regel- verket tillämpas. Utredningen anser emellertid att det är nödvän- digt att ge tillämparna viss ledning för hur man kan resonera i fråga om när ramlagen ska tillämpas och när den inte är tillämplig. Det är också viktigt att ge de behöriga myndigheterna förutsättningar att kunna utveckla en gemensam syn på olika tillämpningsfrågor. Det gäller särskilt myndigheterna i rättskedjan. Mot den bakgrunden redovisar utredningen i det följande vissa allmänna principer som kan vara vägledande. Principerna utvecklas sedan genom exempel från olika verksamheter inom ramlagens tillämpningsområde. Det bör understrykas att det inte är någon uttömmande genomgång av vad som kan göra ramlagen tillämplig.

Om någon annan än en behörig myndighet behandlar personuppgifter är ramlagen inte tillämplig

Ett grundläggande krav för att ramlagen ska vara tillämplig är att den som behandlar personuppgifterna är en behörig myndighet i lagens mening och att behandlingen görs för något av de syften

181

Gränsdragningsfrågor

SOU 2017:29

som anges där. Som framgår av avsnitt 7.1.4 pekas det inte ut vilka myndigheter som är behöriga. Det är enligt den föreslagna defini- tionen de myndigheter som fullgör arbetsuppgifter inom ramlagens tillämpningsområde och andra aktörer som utövar myndighet i samma syften som är behöriga. Är den som behandlar personupp- gifterna inte en behörig myndighet gäller inte ramlagen för person- uppgiftsbehandlingen.

Många myndigheter och andra aktörer är skyldiga att anmäla om det uppstått misstanke om brott. En sådan skyldighet medför inte att anmälaren ska betraktas som behörig myndighet i ramlagens mening, om anmälaren varken har ett brottsbekämpande uppdrag eller utövar myndighet för de syften som ramlagen omfattar.

Det förhållandet att någon som har fått tillstånd att sätta upp en övervakningskamera t.ex. i en bank eller butikslokal i syfte att förebygga, avslöja eller utreda brott innebär inte heller att behand- lingen av de personuppgifter som erhålls genom övervakningen görs av en behörig myndighet i ramlagens mening. Företaget eller personen i fråga ägnar sig nämligen inte åt myndighetsutövning.

Varken typen av personuppgiftsbehandling eller personuppgiftens karaktär är avgörande för om ramlagen ska tillämpas

Det är, som tidigare nämnts, syftet med behandlingen av person- uppgifter i det enskilda fallet som är en grundläggande förutsätt- ning för att behandling av personuppgifter över huvud taget om- fattas av ramlagens tillämpningsområde. Genom att syftet styr när det gäller personuppgiftsbehandling som omfattas av unionsrätten, kan en behörig myndighets behandling av samma personuppgift antingen styras av ramlagens eller dataskyddsförordningens regler. Typen av personuppgiftsbehandling, vilken verksamhet den be- handlas i eller personuppgiftens karaktär är alltså inte avgörande för vilket regelverk som ska tillämpas.

Myndighetsutövning som har överlåtits till andra än myndigheter

I viss lagstiftning överlåts myndighetsutövning inom ramlagens tillämpningsområde till andra aktörer. Är det fråga om myndig- hetsutövning för ett sådant syfte som anges i ramlagen ska ram-

182

SOU 2017:29

Gränsdragningsfrågor

lagen tillämpas på behandlingen av personuppgifter, t.ex. när före- mål tas i beslag för att säkra utredningen av ett brott eller framtida förverkande. Den som har rätt att vidta sådana åtgärder anses näm- ligen vara en behörig myndighet i ramlagens mening. Det gäller t.ex. om en tjänsteman i Havs- och vattenmyndigheten tar egen- dom i beslag för ett misstänkt fiskebrott eller om en annan aktör handhar verkställighet av en straffrättslig påföljd.

Ramlagen ska tillämpas i viss verksamhet för att stödja en behörig myndighet

Myndigheterna i rättskedjan behöver ibland stöd från myndigheter med annan kompetens. Sådan stödverksamhet kan avse t.ex. foren- sisk, medicinsk eller psykiatrisk kompetens. Stödet kan också avse särskilda resurser. Den som har en författningsreglerad skyldighet att biträda behöriga myndigheter med särskild kompetens eller särskilda resurser bör vid utförandet av sådana arbetsuppgifter an- ses som behörig myndighet och tillämpa ramlagen.

Annat stöd som inte är författningsreglerat och som lämnas till en behörig myndighet av en myndighet eller annan aktör som inte själv är behörig myndighet i ramlagens mening, ligger däremot utanför ramlagens tillämpningsområde, t.ex. stöd från myndigheter som deltar i olika insatser för att förebygga brott eller att samverka mot brott och oordning. Ett exempel är när när en statlig myndig- het som t.ex. Pensionsverket bistår åklagare i en förundersökningr om ekonomisk brottslighet.

När de processuella reglerna om ansvar för brott gäller för talan som kumuleras med ansvarstalan ska ramlagen tillämpas

I ett brottmål får i viss utsträckning talan föras om annat än ansvar för brott. När de processuella reglerna om talan om ansvar för brott tillämpas på en talan som rör något annat, som t.ex. enskilda anspråk, rör det sig om frågor som är så intimt förknippade med varandra att vikten av en gemensam process enligt brottmålsreg- lerna ansetts väga över andra intressen. Då bör enligt utredningens mening sidofrågan anses vara så oupplösligt förenad med ansvars- frågan att ramlagen bör tillämpas vid personuppgiftsbehandlingen.

183

Gränsdragningsfrågor

SOU 2017:29

Ramlagen bör också tillämpas vid bevistalan mot någon under

15år.

Om sambandet med ansvarsfrågan upphör, bör ramlagen inte

tillämpas på den fortsatta handläggningen. Enskilda anspråk som överklagas enbart av enskild part är exempel på det.

Ramlagen ska inte tillämpas av den som får tillgång till ett visst register eller en viss typ av uppgifter

Den omständigheten att någon som inte har brottsbekämpande, lagförande, straffverkställande eller ordningshållande uppdrag ges tillgång till ett register som förs av en myndighet med ett sådant uppdrag innebär inte att den förra ska betraktas som behörig myn- dighet. Det gäller även den som på annat sätt får del av uppgifter om lagöverträdelser. Den som får tillgång till domar eller till vissa uppgifter ur t.ex. belastningsregistret eller registret över tillträdes- förbud blir alltså inte en behörig myndighet av det skälet. För att ramlagen ska vara tillämplig krävs att uppgifterna i fråga behandlas av en behörig myndighet för något av de syften som ramlagen anger.

Kontrollverksamhet och allmän övervakning ligger utanför ramlagens tillämpningsområde

Flera av de myndigheter som har till uppgift att bekämpa brott be- driver också i större eller mindre utsträckning kontrollverksamhet. Det gäller både polisen, Tullverket, Kustbevakningen och Skatte- verket. Det kan gälla exempelvis gränskontroll, tullkontroll, utlän- ningskontroll eller skattekontroll. Sådan kontrollverksamhet ligger utanför ramlagens tillämpningsområde även i de fall där kontrollen utförs av tjänstemän som också har brottsbekämpande uppgifter.

Förutom författningsreglerad kontrollverksamhet bedriver vissa brottsbekämpande myndigheter också allmän övervakning. Den allmänna övervakningen är oreglerad och har inte så konkret ut- formning eller tydligt brottsbekämpande syfte att behandlingen av personuppgifter kan hänföras under ramlagen.

184

SOU 2017:29

Gränsdragningsfrågor

Ramlagen ska inte tillämpas när syftet med behandlingen inte längre är brottsbekämpning eller något annat som regleras i lagen

Personuppgifter som från början behandlas för något av de syften som är en förutsättning för att ramlagen ska vara tillämplig kan med tiden visa sig sakna betydelse för dessa syften. Som exempel kan nämnas att Tullverket tar en viss mängd vitt pulver i beslag i tron att det är fråga om narkotika men att det senare visar sig vara något som inte är straffbart att inneha. Utöver den behandling av personuppgifter som är nödvändig för att avsluta ärendet och arki- vera det får uppgifterna inte längre behandlas i den brottsbekäm- pande verksamheten. Ramlagen är då inte längre tillämplig. Att ett enskilt anspråk som ursprungligen har behandlats tillsammans med frågan om ansvar för brottet avskiljs för handläggning i den för tvistemål föreskrivna ordningen är ett annat exempel på när ram- lagen inte längre ska tillämpas.

8.2Gränsdragningsfrågor som rör brottsbekämpning

8.2.1Anmälan om brott

Ska de som har anmälningsskyldighet tillämpa ramlagen?

Vissa myndigheter och andra aktörer som inte arbetar med brotts- bekämpning har en författningsreglerad skyldighet att anmäla brott. Många tillsynsmyndigheter är t.ex. skyldiga att anmäla brott som de upptäcker vid sin tillsyn. Som exempel kan nämnas att till- synsmyndigheter på miljöområdet enligt 26 kap. 2 § miljöbalken ska anmäla överträdelser av bestämmelser i balken eller föreskrifter som har meddelats med stöd av balken. Inspektionen för vård och omsorg ska enligt 7 kap. 29 § patientsäkerhetslagen (2010:659) göra en åtalsanmälan om hälso- och sjukvårdspersonal skäligen kan misstänkas för brott i yrkesutövningen. Om Säkerhets- och integri- tetsskyddsnämnden i sin verksamhet uppmärksammar förhållanden som kan utgöra brott, ska nämnden anmäla det till Åklagarmyndig- heten eller en annan behörig myndighet enligt 20 § förordningen (2007:1141) med instruktion för Säkerhets- och integritetsskydds- nämnden.

Även andra aktörer än tillsynsmyndigheter kan ha anmälnings- skyldighet. Som exempel kan nämnas att Försäkringskassan, Pen-

185

Gränsdragningsfrågor

SOU 2017:29

sionsmyndigheten, Centrala studiestödsnämnden, Migrationsver- ket, Arbetsförmedlingen och kommuner och arbetslöshetskassor enligt 6 § bidragsbrottslagen (2007:612) ska anmäla misstanke om brott mot lagen. Vidare ska enligt 17 § skattebrottslagen (1971:69) förvaltningsmyndigheter som handlägger frågor om skatter eller avgifter anmäla misstanke om brott mot den lagen. I egenskap av konkursförvaltare är en advokat skyldig att anmäla brott enligt 7 kap. 16 § konkurslagen (1987:672).

Den behandling av personuppgifter som utförs i samband med att en myndighet eller någon annan aktör anmäler brott har till syfte att gärningen ska kunna utredas och lagföras. En brottsan- mälan är dock inte ett beslut eller en faktisk åtgärd som direkt får rättsverkningar för enskilda och den kan därför inte i sig anses in- nefatta myndighetsutövning. Den ska emellertid föranleda ett age- rande hos den myndighet som mottar anmälan. Därigenom kan en anmälan indirekt få rättsliga konsekvenser för en enskild.

Om de myndigheter och andra aktörer som har anmälnings- skyldighet varken har ett brottsbekämpande uppdrag eller annars har anförtrotts myndighetsutövning på det området är de inte be- höriga myndigheter i ramlagens mening. De ska därför inte till- lämpa ramlagen.

Brott som upptäcks inom annan verksamhet hos en behörig myndighet

En praktiskt viktig fråga är hur man ska se på de situationer där det uppstår misstanke om brott i en behörig myndighet inom ramen för kontrollverksamhet eller annan verksamhet utanför ramlagens tillämpningsområde. Som utvecklas närmare i avsnitt 8.2.10 är kon- trollverksamhet inte en del av brottsbekämpningen i ramlagens mening. I exempelvis Tullverkets och Kustbevakningens kontroll- verksamhet kan det uppkomma misstanke om många olika typer av brott. På motsvarande sätt kan det vid Polismyndighetens utlän- ningskontroll t.ex. uppkomma misstanke om människohandel eller brukande av falska handlingar och i Skatteverkets beskattnings- verksamhet misstanke om skattebrott eller annan ekonomisk brottslighet. I ett sådant fall upprättas en brottsanmälan som över- lämnas till någon som är behörig att inleda förundersökning och utreda brottet. Det kan diskuteras om de anmälningar som görs i

186

SOU 2017:29

Gränsdragningsfrågor

sådan kontrollverksamhet bör jämställas med anmälningar som görs av en icke behörig myndighet som har anmälningsskyldighet. Det finns mycket som talar för det, inte minst det faktum att det är viktigt att hålla isär kontrollverksamhet och brottsbekämpande verksamhet. Även sekretessregleringen förutsätter att sådan skill- nad görs i några av myndigheterna. Enligt utredningens mening finns det sakliga skäl för att upprätthålla den gränsdragningen.

8.2.2Användning av straffprocessuella tvångsmedel

I vissa fall har myndigheter med tillsynsuppgifter getts möjlighet att säkra en eventuell brottsutredning genom att ta föremål i beslag.

Enligt 47 § fiskelagen (1993:787) har en fisketillsynsman rätt att ta fisk, redskap, fiskefartyg och vissa andra föremål i beslag om någon som begår brott mot lagen påträffas på bar gärning. Det- samma gäller befattningshavare hos Kustbevakningen, Havs- och vattenmyndigheten eller länsstyrelsen, i vars arbetsuppgifter det in- går att övervaka efterlevnaden av bestämmelser om fiske. Enligt 26 kap. 23 § miljöbalken får en naturvårdsvakt ta i beslag jakt- och fångstredskap, fortskaffningsmedel och andra föremål som kan antas ha betydelse för utredning av ett brott, om vakten ertappar någon på bar gärning som bryter mot vissa förbud eller föreskrifter meddelade med stöd av balken.

Att ta föremål i beslag innebär myndighetsutövning mot en- skild och medför att tjänstemannen agerar som behörig myndighet. Den behandling av personuppgifter som kan förekomma i samband med att det beslagtagna överlämnas till Polismyndigheten eller till åklagare ligger därmed inom ramlagens tillämpningsområde.

Regeln i 27 kap. 4 § rättegångsbalken – som ger envar som med laga rätt griper någon rätt att temporärt ta föremål i beslag – med- för däremot inte att ramlagen blir tillämplig förrän åtgärden har anmälts till en behörig myndighet. I dessa fall grundas nämligen rätten att använda tvångsmedel inte på att myndighetsutövning har överlåtits i ramlagens mening. En butikskontrollant som tar egen- dom i beslag med stöd av bestämmelsen ska därför inte tillämpa ramlagen.

187

Gränsdragningsfrågor

SOU 2017:29

8.2.3Utredning av brott som begåtts av någon under 15 år

Enligt 1 kap. 6 § brottsbalken får den som har begått brott innan han eller hon fyllt 15 år inte dömas till påföljd för brottet. I 31– 38 §§ lagen (1964:167) med särskilda bestämmelser om unga lag- överträdare regleras möjligheten att utreda sådana brott. Brott av allvarligare slag ska som regel utredas enligt 31 §. Vid sådan utred- ning tillämpas till stor del reglerna om förundersökning.

En utredning enligt 31 § kan ha flera syften. Det vanligaste är att utredningen görs för att klarlägga vem som bär ansvar för brottet och om även personer över 15 år varit delaktiga i det eller för att efterforska gods som har åtkommits genom brottet eller som kan bli föremål för förverkande. Utredningen initieras i dessa fall av Polismyndigheten eller åklagare. Det finns också möjlighet att föra s.k. bevistalan om sådana brott. Bevistalan innebär att allmän dom- stol ska ta ställning till om den unge begått brottet. Vid bevistalan tillämpar domstolen reglerna om allmänt åtal och talan förs av åkla- gare. Eftersom utredningen i dessa fall görs i syfte att utreda brott, reglerna om förundersökning tillämpas och det för bevistalan gäller samma regler som för allmänt åtal, bör enligt utredningens mening ramlagen tillämpas på behandlingen av personuppgifter.

Det finns emellertid även möjlighet för socialnämnden att initi- era en utredning enligt 31 § lagen med särskilda bestämmelser om unga lagöverträdare. Syftet med utredningen är då att ge underlag för att bedöma behovet av sociala insatser för den unge, t.ex. om det är fråga om brott som innebär att den unge äventyrar sin hälsa eller utveckling. Det syftet ligger utanför ramlagens tillämpnings- område. Det finns också en särskild bestämmelse om kroppsbe- siktning i 36 b §, om den unge misstänks ha brukat narkotika före 15 års ålder. Syftet med undersökningen är enbart att ge underlag för bedömningen av behovet av sociala insatser för den unge. Trots att beslut om sådan undersökning ska fattas av åklagare är det fråga om ett syfte utanför ramlagens tillämpningsområde och lagen bör därför inte tillämpas på behandlingen av personuppgifter.

Personuppgifter om unga lagöverträdare som inte är straffmyn- diga behandlas inte sällan i underrättelseverksamhet på grund av deras kontakter med straffmyndiga personer.

188

SOU 2017:29

Gränsdragningsfrågor

8.2.4Stödverksamhet till den brottsbekämpande verksamheten

Rättsmedicinalverket

Enligt 1 § förordningen (2007:976) med instruktion för Rättsmedi- cinalverket ansvarar verket för rättspsykiatrisk, rättskemisk, rätts- medicinsk och rättsgenetisk verksamhet. Verkets huvuduppgift är att inom de verksamhetsområdena avge sakkunnigutlåtanden till rättsväsendets myndigheter. Vidare utför Rättsmedicinalverket analyser på uppdrag av myndigheter inom rättsväsendet. Det rör sig om analyser av bl.a. blod och urin för att hitta eventuella spår av alkohol, narkotika, läkemedel och gifter som kan ha betydelse för förundersökning och åtal.

Enligt 2 § lagen (2005:225) om rättsintyg i anledning av brott ska läkare vid Rättsmedicinalverket eller läkare som har avtal med verket utfärda sådana intyg. Intygen används framför allt i utred- ningar om våldsbrott eller grova sexualbrott. Enligt 13 § lagen (1995:832) om obduktion m.m. får rättsmedicinska undersök- ningar av avlidna göras bl.a. om undersökningen kan antas vara av betydelse för utredningen av ett dödsfall som inträffat under så- dana omständigheter att det skulle kunna vara fråga om ett brott. Straffrättsligt ansvar för uppsåtligt dödande förutsätter att det inte finns en naturlig dödsorsak.

När Rättsmedicinalverket utför rättsmedicinska obduktioner, gör analyser, utfärdar rättsintyg eller på annat sätt fullgör en för- fattningsreglerad uppgift att stödja den brottsutredande verksam- heten med expertkunskaper bör ramlagen tillämpas vid personupp- giftsbehandlingen. Det gäller även när sådana uppgifter fullgörs av personer som har kontrakterats av Rättsmedicinalverket.

Rättsmedicinalverkets verksamhet med läkarutlåtanden enligt 7 § lagen (1991:2041) om särskild personutredning, m.m. i brott- mål och rättspsykiatriska undersökningar behandlas i avsnitt 8.3.5.

Nationellt forensiskt centrum

Nationellt forensiskt centrum vid Polismyndigheten har enligt 5 kap. 1 § första stycket 2 polisdatalagen (2010:361) till uppgift att utföra forensiska analyser, undersökningar eller jämförelser, för-

189

Gränsdragningsfrågor

SOU 2017:29

utom åt den egna myndigheten, åt Säkerhetspolisen, Ekobrotts- myndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen, Skatteverket och allmän domstol. Som exempel kan nämnas att det för att någon ska kunna dömas för narkotikabrott krävs att sub- stansen har analyserats och befunnits tillhöra något av de narko- tikaklassade preparaten. Vid behandlingen av personuppgifter med anledning av uppdrag åt någon av nämnda myndigheter bör ram- lagen tillämpas. Detsamma bör gälla om uppdrag utförs åt Krimi- nalvården.

Om Nationellt forensiskt centrum anser att ett annat laborato- rium har en undersökningsmetod som skulle kunna ge bättre resul- tat än en undersökning vid centrumet eller ser behov av att inhämta en second opinion beträffande en undersökning, bör ramlagen till- lämpas på eventuell personuppgiftsbehandling både när uppdraget ges och redovisas.

Nationellt forensiskt centrum utför också vissa uppdrag åt en- skilda enligt förordningen (2015:476) om behandling av person- uppgifter i Nationellt forensiskt centrums uppdragsverksamhet. Även om avsikten är att resultatet av uppdraget ska användas i en brottmålsprocess, t.ex. av den misstänkte, utförs sådana uppdrag inte åt en behörig myndighet. Vid behandling av personuppgifter i sådana uppdrag gäller därför inte ramlagen.

Polismyndighetens elimineringsdatabas

Utöver de dna-register som regleras i polisdatalagen för Polismyn- digheten ytterligare ett register över dna-profiler med stöd av lagen (2014:400) om Polismyndighetens elimineringsdatabas. Elimine- ringsdatabasen innehåller dna-profiler från vissa angivna person- kategorier som genom att komma i kontakt med material eller pro- ver som ska bli föremål för dna-analys eller lokaler där sådana ana- lyser utförs riskerar att kontaminera dessa (se prop. 2013/14:110 s. 451 f.). Syftet med elimineringsdatabasen, som inte får användas för att utreda brott, är att stärka kvaliteten i den forensiska verk- samheten med dna-analyser.

Både dna-profiler som inte kan hänföras till en identifierbar per- son och dna-profiler från prov som har tagits med stöd av 28 kap. rättegångsbalken jämförs alltid med dna-profilerna i eliminerings-

190

SOU 2017:29

Gränsdragningsfrågor

databasen innan de läggs in i spårregistret respektive utrednings- registret eller dna-registret. Syftet med det är att säkerställa att en kontaminerad profil inte registreras. Behandling av dna-profiler i elimineringsdatabasen är därigenom en verksamhet som är oupp- lösligt förbunden med Polismyndighetens hantering av de övriga dna-registren. Behandling av personuppgifter i elimineringsdata- basen bör därför omfattas av ramlagens tillämpningsområde.

Försvarsmaktens stöd till polisen

Enligt 1 § lagen (2006:343) om Försvarsmaktens stöd till polisen vid terrorismbekämpning ska Försvarsmakten ge stöd till Polis- myndigheten och Säkerhetspolisen vid terrorismbekämpning i form av insatser som kan innebära användning av våld eller tvång mot enskilda. Polismyndigheten eller Säkerhetspolisen får begära sådant stöd om det behövs för att förhindra eller på annat sätt in- gripa mot en handling som kan utgöra brott enligt lagen (2003:148) om straff för terroristbrott och ingripandet kräver resurser som varken Polismyndigheten eller Säkerhetspolisen har tillgång till. Försvarsmaktens personal står under ledning av polispersonal och har i vissa avseenden polismans befogenheter. Lagen syftar till att ge stöd vid terrorismbekämpning. Behandling av personuppgifter i den verksamheten har därmed ett brottsbekämpande syfte och ligger under ramlagens tillämpningsområde. En särskild fråga är vad som ska gälla när Försvarsmakten lämnar stöd till Säkerhetspolisen, mot bakgrund av att dess verksamhet i huvudsak ligger utanför ramlagens tillämpningsområde. Den frågan behandlar utredningen i avsnitt 7.2.1.

8.2.5Häktesverksamhet

Frihetsberövande för brottsbekämpning, lagföring och straffverkställighet

En av Kriminalvårdens huvuduppgifter är att bedriva häktesverk- samhet. Vid behandling av personuppgifter avseende den som är anhållen eller häktad för brott ska ramlagen tillämpas. Ramlagen ska också tillämpas på den som är häktad efter dom i avvaktan på

191

Gränsdragningsfrågor

SOU 2017:29

att domen får laga kraft, eftersom häktningen då syftar till att säkra verkställigheten av påföljd.

Vid fällande dom tillkommer en ny häktningsgrund, häktning för att hindra att den dömde undandrar sig verkställighet av beslut om utvisning på grund av brott. Sådan häktning kan endast bestå till dess att domen fått laga kraft. Häktning på den grunden syftar visserligen enbart till att verkställa utvisningen men enligt utred- ningens mening bör ramlagen ändå tillämpas vid personuppgifts- behandlingen, eftersom utvisning är en särskild rättsverkan av brott som är direkt kopplad till påföljdsbestämningen.

Ramlagen bör även tillämpas på den som är omhändertagen efter beslut enligt 26 kap. 22 § och 28 kap. 6 b § brottsbalken och förva- ras i häkte. I dessa fall syftar omhändertagandet till att säkra verk- ställigheten eller en omprövning av påföljden. Det är frågor som rör verkställighet av påföljd.

Detsamma bör gälla behandling av personuppgifter vid Polis- myndighetens och Kriminalvårdens medverkan i internationella brottmålsärenden, t.ex. när Polismyndigheten enligt 4 kap. 33 § lagen (2000:562) om internationell rättslig hjälp i brottmål tar i för- var en frihetsberövad person som transporteras genom Sverige till en annan stat för förhör eller konfrontation.

Andra frihetsberövanden

Häkteslagen (2010:611) gäller enligt 1 kap. 3 §, om inte annat är föreskrivet, också för den som är intagen i en kriminalvårdsanstalt eller ett häkte för annat ändamål än verkställighet av påföljd för brott. Lagen tillämpas bl.a. på den som har omhändertagits efter beslut enligt 4 § lagen (1976:511) om omhändertagande av beru- sade personer m.m., 47 § lagen (1991:1128) om psykiatrisk tvångs- vård och 27 § lagen (1991:1129) om rättspsykiatrisk vård. Lagen tillämpas också på en utlänning som hålls i förvar i en kriminal- vårdsanstalt eller ett häkte med stöd av 8 § lagen (1991:572) om särskild utlänningskontroll eller 10 kap. 1 eller 2 § utlänningslagen (2005:716) och den som är häktad enligt konkurslagen. När Krimi- nalvården behandlar personuppgifter beträffande någon som har placerats i häkte för något annat ändamål än för anhållande, häkt- ning eller verkställighet eller ändring av påföljd är ramlagen som

192

SOU 2017:29

Gränsdragningsfrågor

huvudregel inte tillämplig. Syftet med sådana frihetsberövanden är i allmänhet inte heller att upprätthålla allmän ordning och säkerhet. De kan syfta till att skydda den enskilde eller att säkerställa viss vård eller ett konkursförfarande. Placeringen kan också bero på att exempelvis Migrationsverket bedömt att personen utgör en fara för säkerheten i deras lokaler, vilket inte är detsamma som en fara för allmän säkerhet. Frihetsberövanden av sådana skäl kan inte göra ramlagen tillämplig. I vissa fall kan dock förvaringen i häkte bero på att personen i fråga anses vara en fara för den allmänna säkerheten. Det är därför nödvändigt att bedöma vilket regelverk som ska till- lämpas med utgångspunkt i syftet med behandlingen i det enskilda fallet.

Det som nu har sagts om den som förvaras i häkte gäller på motsvarande sätt i fråga om behandling av personuppgifter som rör den som förvaras i polisarrest i stället för häkte och på vilken 1 kap. 3 § häkteslagen är tillämplig.

8.2.6Handräcknings- och transportverksamhet

Handräckningsverksamhet

Till Polismyndighetens huvuduppgifter hör enligt 2 § 5 polislagen (1984:387) att fullgöra den verksamhet som ankommer på myndig- heten enligt särskilda bestämmelser. Det syftar bl.a. på Polismyn- dighetens skyldighet att bistå andra myndigheter med s.k. hand- räckning. Handräckningsbestämmelser syftar oftast till att bereda myndigheter tillgång till lokaler för inspektion och liknande ända- mål, att omhänderta personer som avvikit från tvångsvård och åter- föra dem och att transportera personer som är föremål för admini- strativa frihetsberövanden. Av samma skäl som anges i avsnitt 8.2.5 syftar handräckning i allmänhet inte heller till att upprätthålla all- män ordning och säkerhet. Syftet är således som regel inte brotts- bekämpning, lagföring, straffverkställighet eller upprätthållande av allmän ordning och säkerhet. Personuppgiftsbehandling vid hand- räckning ligger därmed i de allra flesta fall utanför ramlagens till- lämpningsområde (jfr prop. 2009/10:85 s. 119 f.).

Vid handräckning avseende personer som avvikit från häktning, straffverkställighet eller verkställighet av en vårdpåföljd har hand- räckningen dock ett så direkt samband med häktningen respektive

193

Gränsdragningsfrågor

SOU 2017:29

verkställigheten att Polismyndigheten vid behandling av person- uppgifter bör tillämpa ramlagen.

Transporter av frihetsberövade

Behandling av personuppgifter vid Kriminalvårdens transporter av frihetsberövade till och från förundersökningsåtgärder eller brott- målsrättegångar och transporter av häktade eller intagna mellan olika häkten eller kriminalvårdsanstalter ligger inom ramlagens till- lämpningsområde. Det gäller även vid transporter som utförs inom ramen för internationellt samarbete, t.ex. när någon transporteras genom Sverige till en annan stat för utlämning enligt 26 § lagen (1957:668) om utlämning för brott eller som ett led i rättslig hjälp i brottmål för förhör eller konfrontation enligt 4 kap. 33 § lagen om internationell rättslig hjälp i brottmål.

Kriminalvården utför emellertid även transporter av andra slag. Enligt 6 § förordningen (2007:1172) med instruktion för Kriminal- vården får myndigheten bistå andra myndigheter med inrikes- och utrikestransporter av personer som är berövade friheten. Kriminal- vården utför i betydande utsträckning transporter vid administra- tiva frihetsberövanden i form av tvångsvård och transporter av utlänningar med stöd av utlänningslagen (t.ex. transporter till Mig- rationsverkets förvar och inrikes- och utrikestransporter i samband med verkställighet av utvisnings- eller avvisningsbeslut). När Kri- minalvården behandlar personuppgifter beträffande någon som är föremål för ett administrativt frihetsberövande ligger det som an- ges i avsnitt 8.2.5 som huvudregel utanför ramlagens tillämpnings- område men kan i undantagsfall omfattas.

Det som har sagts om Kriminalvårdens behandling av person- uppgifter vid transporter är på motsvarande sätt tillämpligt när Polismyndigheten utför sådana transporter.

Verkställighet av utvisningbeslut

Enligt huvudregeln verkställer Migrationsverket beslut om avvis- ning eller utvisning enligt utlänningslagen (2005:716). Polismyn- digheten verkställer myndighetens egna beslut om avvisning och domstols beslut om utvisning på grund av brott. Migrationsverket

194

SOU 2017:29

Gränsdragningsfrågor

får också lämna över verkställigheten av avvisnings- och utvisnings- ärenden till Polismyndigheten. Det gäller bl.a. om utlänningen hål- ler sig undan.

Polismyndighetens verkställighet av beslut om utvisning kan, av skäl som utvecklas närmare i avsnitt 8.2.10, inte generellt ses som vare sig brottsbekämpande verksamhet eller verksamhet för att upprätthålla allmän ordning och säkerhet. Det går dock inte heller att säga att sådan verkställighet alltid ligger utanför tillämpnings- området. Det krävs därför en bedömning av syftet med behand- lingen av personuppgifter i det enskilda fallet för att avgöra vilket regelverk som ska tillämpas.

8.2.7Samverkan mot organiserad brottslighet

Polismyndigheten och flera andra myndigheter både inom rätts- kedjan och utanför den samverkar på olika sätt mot organiserad brottslighet. Sådan samverkan aktualiserar två frågor. Den ena är om det är en sådan arbetsuppgift som gör de medverkande myn- digheterna till behöriga myndigheter i ramlagens mening. Den andra är om uppgiftsskyldighet vid sådan samverkan innebär att en myndighet blir behörig myndighet i ramlagens mening.

Regeringen har gett Polismyndigheten i uppdrag att tillsammans med dels myndigheter med brottsbekämpande uppgifter, dels några andra myndigheter utveckla den myndighetsgemensamma sats- ningen mot organiserad brottslighet. Uppdraget ger inte någon av de sistnämnda myndigheterna några sådana arbetsuppgifter som är förutsättningen för att en myndighet ska vara behörig myndighet enligt ramlagen. Tvärtom förutsätts de samverkande myndighe- terna verka inom ramen för sina ordinarie arbetsuppifter. De myn- digheter utanför rättskedjan som deltar i samverkan blir därför inte genom uppdraget behöriga myndigheter i ramlagens mening.

Lagen (2016:774) om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet syftar till att förbättra samverkan och möj- liggöra ett ökat informationsutbyte mellan myndigheter. Lagen föreskriver att vissa av regeringen utpekade myndigheter, trots sek- retess, ska lämna ut uppgifter som en annan myndighet behöver inom ramen för särskilt beslutad samverkan mellan myndigheter för att förebygga, förhindra eller upptäcka brottslig verksamhet

195

Gränsdragningsfrågor

SOU 2017:29

som är av allvarlig eller omfattande karaktär och som bedrivs i organiserad form eller systematiskt av en grupp individer.

De myndigheter som regeringen pekar ut i förordningen (2016:775) om uppgiftsskyldighet vid samverkan mot viss organi- serad brottslighet är – förutom vissa myndigheter i rättskedjan – Arbetsförmedlingen, Försäkringskassan, Kronofogdemyndigheten och Migrationsverket. Skyldigheten att samverka medför inte att de myndigheter som är uppgiftsskyldiga blir behöriga myndigheter enligt ramlagen. Det som har sagts i avsnitt 8.2.1 om att anmäl- ningsskyldiga myndigheter och organ inte blir behöriga myndig- heter på grund av den skyldigheten gäller därför även för de myn- digheter utanför rättskedjan som tillämpar den nu aktuella lagen. På motsvarande sätt blir inte heller myndigheter och andra aktörer som utan att ha vare sig anmälningsskyldighet eller uppgiftsskyl- dighet samverkar med brottsbekämpande myndigheter behöriga myndigheter enbart på grund av samverkan.

8.2.8Viss skyddslagstiftning

Säkerhetsskyddslagen

Säkerhetsskyddslagen (1996:627) gäller i verksamhet hos staten, kommunerna och landstingen, i aktiebolag, handelsbolag, före- ningar och stiftelser över vilka staten, kommuner eller landsting utövar ett rättsligt bestämmande inflytande och för enskilda, om verksamheten är av betydelse för rikets säkerhet eller särskilt behö- ver skyddas mot terrorism. I sådan verksamhet ska det finnas visst i lagen närmare preciserat säkerhetsskydd till skydd mot spioneri, sabotage och andra brott som kan hota rikets säkerhet, skydd av sekretessbelagda uppgifter och skydd mot terrorism. Ramlagen ska inte tillämpas på personuppgiftsbehandling enligt säkerhetsskydds- lagen, eftersom uppgifterna behandlas i syfte att skydda nationell säkerhet – vilket inte omfattas av ramlagens tillämpningsområde.

196

SOU 2017:29

Gränsdragningsfrågor

Hamnskydd och sjöfartsskydd

Reglerna om sjöfartsskydd syftar till att skydda sjöfartssektorn mot grova våldsbrott. För att förebygga brott som utgör en fara för säkerheten vid sjöfart, får enligt 13 § lagen (2004:487) om sjöfarts- skydd den som uppehåller sig på ett fartyg eller i en hamnanlägg- ning kroppsvisiteras. Väskor, fordon, gods och förvaringsställe på fartyget eller inom hamnanläggningen får också undersökas. Om någon vägrar att låta sig eller sin egendom undersökas, får han eller hon avvisas eller avlägsnas från fartyget eller hamnanläggningen. Hamnskyddet innebär enligt lagen (2006:1209) om hamnskydd ett i stort sett motsvarande skydd inom de hamnområden som ligger utanför hamnanläggningarna.

Syftet med lagstiftningen om både sjöfartsskydd och hamn- skydd är att förebygga och förhindra allvarliga brott. Därmed bör ramlagen tillämpas vid personuppgiftsbehandlingen.

8.2.9Omhändertagande och förstörande av alkohol och narkotika m.m.

I ett flertal lagar och förordningar finns det bestämmelser om om- händertagande och förstörande av alkohol och narkotika (se t.ex. 20 § lagen [1990:52] med särskilda bestämmelser om vård av unga och 4 kap. 8 § häkteslagen). Motsvarande regler finns i bl.a. 8 kap. 8 § fängelselagen (2010:610) och 8 § lagen om omhändertagande av berusade personer m.m. Att omhänderta eller förstöra den typen av föremål utgör myndighetsutövning mot enskild. Om åtgärderna vidtas vid ett frihetsberövande vid brottsbekämpning, lagföring, straffverkställighet eller upprätthållande av allmän ordning och säkerhet bör ramlagen tillämpas på personuppgiftsbehandlingen, eftersom åtgärden utgör en del av säkerhetsarbetet vid verkställig- heten av frihetsberövandet. När motsvarande åtgärder vidtas vid administrativa frihetsberövanden eller vård som inte utgör en på- följd ska däremot ramlagen inte tillämpas.

197

Gränsdragningsfrågor

SOU 2017:29

8.2.10Kontrollverksamhet eller brottsbekämpning?

Gränsen mellan kontrollverksamhet och brottsbekämpning

Några av de myndigheter som i viss verksamhet är behöriga myn- digheter i ramlagens mening bedriver samtidigt i stor utsträckning kontrollverksamhet som är särskilt reglerad. Som exempel kan nämnas Polismyndigheten (gränskontroll och utlänningskontroll), Tullverket (gränskontroll och tullkontroll), Skatteverket (skatte- och avgiftskontroll) och Kustbevakningen (bl.a. gränskontroll på svenskt sjöterritorium och kontroll i svensk ekonomisk zon).

I kontrollverksamhet är det vanligt med regler som tvingar den kontrollerade att lämna korrekta och fullständiga uppgifter. Skyl- dighet att lämna över handlingar eller att bereda kontrollanten till- träde till exempelvis fordon och lokaler är också vanlig. Skyldighe- terna kan vara sanktionerade på olika sätt. Den som är misstänkt för brott får däremot aldrig tvingas att bidra till utredning eller bevisning, eftersom han eller hon därmed riskerar att belasta sig själv på ett sätt som strider mot rätten till en rättvis rättegång enligt artikel 6.1 i Europakonventionen. Rätten att tiga innebär att ingen får tvingas att avslöja sin egen brottslighet (”selfincrimination”). Gränsen mellan kontrollverksamhet och brottsbekämpning är därför av stor betydelse, eftersom skyldigheten för den enskilde att medverka skiljer sig kraftigt åt beroende på om det är fråga om kontrollverksamhet eller brottsutredning.

Kontrollverksamhet ligger enligt utredningens mening utanför ramlagens tillämpningsområde, även om den utförs av tjänstemän som annars sysslar med brottsbekämpning. Det är också så den nuvarande regleringen av vissa myndigheters personuppgiftsbe- handling är reglerad. Som exempel kan nämnas gränsdragningen i utlänningsdatalagen och de föreslagna nya lagarna för Tullverkets respektive Skatteverkets brottsbekämpande verksamhet.

Visserligen leder kontrollverksamhet, t.ex. skattekontroll eller tullkontroll, till att brott i inte ringa utsträckning upptäcks eller förhindras men det är inte syftet med verksamheten. Kontroll är i första hand till för att stödja författningsenlig tillämpning av lag- stiftningen, oavsett vilket område det är fråga om, och att upptäcka olika avvikelser. Det skulle enligt utredningens uppfattning föra alldeles för långt att betrakta all offentligrättslig kontrollverksam- het som ett sätt att förebygga brott. Med det synsättet är det få

198

SOU 2017:29

Gränsdragningsfrågor

verksamheter som inte skulle ligga under ramlagens tillämpnings- område. Det går inte heller att hävda att sådan kontrollverksamhet som utförs av myndigheter som också har till uppgift att bekämpa brott skulle ligga under ramlagens tillämpningsområde. Då skulle den gräns som i dag dras mellan t.ex. Skatteverkets beskattnings- verksamhet och den brottsbekämpande verksamheten eller Tull- verkets motsvarande verksamheter inte kunna upprätthållas.

Det finns dock situationer där det kan vara svårt att skilja kon- trolluppgifterna från brottsbekämpningen. En verksamhet som omfattar både kontroll och brottsbekämpning, t.ex. gränskontroll, kan gradvis övergå från kontroll till brottsmisstanke. Omvänt kan en brottsmisstanke visa sig vara ogrundad men ge underlag för kontrollåtgärder. Kontrollbehovet kan bestå även efter det att en brottsmisstanke uppkommit, t.ex. om det är fråga om ett brott som inte primärt ska utredas av den kontrollerande myndigheten. Vid en kontroll kan, när brottsmisstanke uppkommit, föremål tas i beslag och användas som bevismedel i en brottsutredning. Det finns inget formellt hinder mot att de iakttagelser som gjorts vid en kontroll och att de handlingar eller föremål som säkrats senare läggs till grund för en förundersökning. Det är emellertid viktigt att det görs klart för den kontrollerade om så blir fallet. Utgångs- punkten bör enligt utredningens mening vara att det är först när det i kontrollverksamhet finns anledning att anta att ett konkret brott har begåtts eller att någon utövar viss brottslig verksamhet som verksamheten övergår till att bli brottsbekämpande och ram- lagen blir tillämplig.

Skattekontroll

En av Skatteverkets huvuduppgifter är att ansvara för frågor som gäller skatter och avgifter. Skatteverket utför skattekontroll bl.a. genom kontroll av deklarationer och genom skatterevisioner enligt skatteförfarandelagen (2011:1244). Skatteverket gör även kontroll- besök i vissa branscher där det finns krav på kassaregister och per- sonalliggare. Skatteutredningar och brottsutredningar har olika syften och styrs av olika regelverk. Skatteverket skiljer organisato- riskt mellan beskattningsverksamheten och den brottsbekämpande verksamheten. Verket tillämpar redan i dag olika lagar om person-

199

Gränsdragningsfrågor

SOU 2017:29

uppgiftsbehandling i beskattningsverksamheten och den brottsbe- kämpande verksamheten. Vid utredning och beslut om skattetillägg kan det dock uppstå gränsdragningsfrågor. Skattetillägg behandlas i avsnitt 8.3.3.

Tullkontroll

Tullverket ansvarar för att övervaka och kontrollera trafiken till och från utlandet så att bestämmelser om in- och utförsel av varor följs. Tullverket kontrollerar såväl yttre som inre gräns och har befogenhet att ingripa mot och utreda brott mot tullbestämmelser vid gränspassage. Tullverket har också till uppgift att fastställa och ta ut tullar, skatter och avgifter. Inom ramen för den verksamheten får Tullverkets tjänstemän utföra olika typer av kontroller. Tullver- ket tillämpar två olika regelverk vid personuppgiftsbehandling, ett för den brottsbekämpande verksamheten och ett för verksamheten effektiv handel.

Ibland kan det vara svårt att avgöra om en arbetsuppgift som Tullverket utför ligger inom eller utanför ramlagens tillämpnings- område. Ett skäl är att det ingår i Tullverkets uppdrag att beivra överträdelser av tullbestämmelser. Sådana överträdelser kan avse både administrativa tullbestämmelser och straffbestämmelser. Båda typerna av bestämmelser kan övervakas av samma tjänsteman. Åt- gärderna kan dessutom sammanfalla i både tid och rum, t.ex. när någon stoppas för tullkontroll vid gränspassagen och ertappas med smuggelgods. Lagstiftningen skiljer inte heller alltid tydligt mellan verkets brottsbekämpande verksamhet och övriga verksamhet. Lagen (2000:1219) om internationellt tullsamarbete tillämpas på internationellt tullsamarbete som har till syfte att förhindra, upp- täcka, utreda eller beivra överträdelser av tullbestämmelser. Med det avses överträdelser av både tullbestämmelser och straffbestäm- melser. Behandling av personuppgifter vid tillämpning av den lagen kan således i vissa fall ligga under ramlagens tillämpningsområde och i andra fall utanför.

Ett annat exempel på att det inte finns en helt tydlig gräns mel- lan kontrollverksamheten och brottsbekämpningen är tullagen (2016:253), som i allt väsentligt reglerar kontroll av administrativa tullbestämmelser. Enligt 4 kap. 18 § ska ett befordringsföretag an-

200

SOU 2017:29

Gränsdragningsfrågor

mäla till Tullverket om det i företagets verksamhet uppkommer misstanke om att en försändelse innehåller narkotika som kan tas i beslag enligt lagen (2000:1225) om straff för smuggling. I 4 kap. 22 § tullagen föreskrivs att en särskilt förordnad tjänsteman får be- sluta att en postförsändelse som kommer från tredjeland ska hållas kvar av postbefordringsföretaget, om det finns anledning att anta att försändelsen innehåller narkotika som kan tas i beslag enligt lagen om straff för smuggling. Då försändelserna normalt har en adressat innebär hanteringen också behandling av personuppgifter. Eftersom syftet är att försändelsen ska kunna tas i beslag ligger Tullverkets behandling av personuppgifter inom ramlagens tillämp- ningsområde. Detsamma gäller vid hantering av postförsändelser enligt 8 och 11 §§ lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen.

I 4 kap. 50–53 §§ tullagen finns bestämmelser om kontroll av kontanta medel. Alla som reser in i eller ut ur EU och medför kontanta medel till ett värde av minst 10 000 euro ska anmäla be- loppet till behörig myndighet. Syftet med bestämmelserna är att kontrollera att resande fullgör den anmälningsplikt som föreskrivs i artikel 3 i förordning (EG) nr 1889/2005 av den 26 oktober 2005 om kontroller av kontanta medel som förs in i eller ut ur gemen- skapen. Den som bryter mot anmälningsskyldigheten döms för tullförseelse enligt 5 kap. 2 § tullagen. Den behandling av person- uppgifter som krävs för kontrollen och för anmälan om överträ- delse ligger utanför ramlagens tillämpningsområde. Vid sådan per- sonuppgiftsbehandling som krävs för utredning av förseelsen, som är straffbelagd, ska däremot ramlagen tillämpas.

Gränskontroll och utlänningskontroll

Polismyndigheten har enligt 9 kap. 1 § utlänningslagen ansvar för kontroll av personer enligt kodexen om Schengengränserna. Tull- verket och Kustbevakningen är skyldiga att hjälpa Polismyndighe- ten vid sådan kontroll och Migrationsverket får efter överenskom- melse hjälpa till vid kontrollen. Polismyndigheten ansvarar också för s.k. inre utlänningskontroll enligt 9 kap. 9 § utlänningslagen. Med det avses kontroll av om personer som redan befinner sig i Sverige har rätt att vistas här. Kustbevakningen ska medverka i så-

201

Gränsdragningsfrågor

SOU 2017:29

dan kontrollverksamhet genom kontroll av och i anslutning till sjötrafiken. Vid utlänningskontroll kan brott upptäckas, t.ex. att någon vistas olovligt i landet eller använder en falsk handling. Då upprättas brottsanmälan (se avsnitt 8.2.1).

Gränskontroll kan ha olika syften. Frågor som rör migration, asyl, medborgarskap och liknande ligger utanför ramlagens tillämp- ningsområde. Samtidigt kan behandling av personuppgifter vid gränskontroll även ha betydelse för brottsbekämpningen, bl.a. av det skälet att vissa personer kan nekas inresa i landet på grund av att det finns risk att de kan komma att begå brott här (se 8 kap. 3 § första stycket 3 utlänningslagen). I sistnämnda fall ska ramlagen tillämpas.

Vid gränskontroll kan en tjänsteman samtidigt behandla samma personuppgift för två olika syften, varav det ena ligger inom ramla- gens tillämpningsområde och det andra utanför. När en flygplats- kontrollant kontrollerar en resandes pass eller annan resehandling vid inresa till Sverige innefattar det behandling av personuppgifter för flera syften samtidigt. Resehandlingen kontrolleras både med avseende på om personen i fråga har rätt att resa in till Sverige (in- nehav av giltigt pass eller annan resehandling, behov av visum etc.) och mot bl.a. SIS-registret som innehåller uppgifter om personer som är efterlysta för brott. Behandlingen av personuppgifter för den förstnämnda kontrollen görs för syften utanför ramlagens till- lämpningsområde, medan den sistnämnda ligger inom ramlagens tillämpningsområde. Någon motsvarande generell kontroll av upp- gifter i SIS-registret förekommer inte vid inresa med annat färdme- del än flyg.

Det förhållandet att det vid viss gränskontroll också kontrolle- ras om personen är efterlyst innebär emellertid inte att gränskon- troll generellt kan sägas vara brottsbekämpande eller vara ett led i upprätthållande av allmän ordning och säkerhet. Det är tvärtom för ett mycket litet antal personer både i den totala resandeströmmen över gränserna och vid den inre gränskontrollen som kontrollen också får betydelse från brottsbekämpningssynpunkt eller för att upprätthålla allmän ordning och säkerhet.

Mot den nu angivna bakgrunden anser utredningen att gräns- kontroll inte generellt kan hänföras till brottsbekämpning eller ordningshållning och därmed ligga under ramlagens tillämpnings- område. Det går dock inte heller att säga att den alltid ligger utan-

202

SOU 2017:29

Gränsdragningsfrågor

för tillämpningsområdet. Det krävs därför en bedömning av syftet med behandlingen av personuppgifter i det enskilda fallet för att avgöra vilket regelverk som ska tillämpas.

Utredningen kan ha anledning att återkomma till vissa gräns- dragningsfrågor vid anpassningen av myndigheternas registerför- fattningar.

8.2.11Allmän övervakning eller brottsbekämpning?

Allmän övervakning

Det är framför allt Polismyndigheten och Kustbevakningen som ägnar sig åt något som ibland kallas allmän övervakning. Polismyn- digheten gör det huvudsakligen på land och Kustbevakningen huvudsakligen till sjöss.

Allmän övervakning ska både vara trygghetsskapande och visa att samhällets representanter finns tillgängliga för allmänheten. För Polismyndighetens del anges övervakning som en av myndighetens huvuduppgifter i 2 § 2 polislagen. Allmän övervakning anses enligt förarbetena till polislagen omfatta stationstjänst, områdesövervak- ning, utryckningstjänst, speciell övervakning och objektövervak- ning men inte trafikövervakning. Allmän övervakning tar således sikte både på arbete inne på polisstationerna och ute bland allmän- heten. Allmän övervakning inriktas främst på att genom närvaro uppnå största möjliga brottsförhindrande effekt. Det har inte an- setts möjligt att ge några närmare anvisningar för hur övervakning ska utföras och den medför inga särskilda befogenheter. Den syftar till att vaka över att allmän ordning och säkerhet inte störs genom brott eller angrepp på annat sätt och att myndigheten ska kunna ingripa när sådana störningar och angrepp ändå inträffar. Den all- männa övervakningen ska också skapa sådan beredskap att det är möjligt för Polismyndigheten att ingripa vid störningar eller när hjälp eller räddningsåtgärder är påkallade (Berggren m.fl. s. 40 f.). För trafikövervakning gäller i allt väsentligt detsamma. Trafiköver- vakning fokuserar på att trafiken ska flyta utan störningar, att trafi- kanternas beteenden inte ska avvika från vad som är tillåtet och att kunna ge stöd och hjälp om det inträffar olyckor.

203

Gränsdragningsfrågor

SOU 2017:29

Kustbevakningens sjöövervakning är på motsvarande sätt all- mänt inriktad och har samma grundläggande syften som Polismyn- dighetens.

Av skäl 26 framgår att de former av verksamhet som direktivet reglerar ska vara författningsreglerade. Regleringen av övervakning har inte så konkret utformning att den enligt utredningens mening kan hänföras till ramlagens tillämpningsområde (jfr skäl 33). Det ligger också i sakens natur att allmän övervakning sällan kräver behandling av personuppgifter. Det är först när sådan övervakning övergår i konkreta personkontroller, t.ex. när ett fordon stoppas för att föraren har betett sig på ett avvikande sätt, eller när en polis- man eller annan tjänsteman med befogenheter att förhindra eller utreda konkreta brott eller ordningsstörningar ingriper, som per- sonuppgifter behöver behandlas. Ramlagen blir då tillämplig.

Kameraövervakning

Kameraövervakningslagen (2013:460), som inte gäller vid hemlig kameraövervakning, reglerar inte bara sådan övervakning som ut- förs med fast monterade övervakningskameror, utan även behand- lingen av det bild- och ljudmaterial som tagits upp vid sådan över- vakning. Den gäller till övervägande del annat än brottsbekämpning men innehåller vissa regler för sådan verksamhet. Lagen är föremål för översyn (dir. 2015:125).

Det krävs enligt huvudregeln tillstånd för att en övervaknings- kamera ska få sättas upp så att den riktas mot en plats dit allmän- heten har tillträde. Enligt 10 § 4 krävs inget tillstånd för Polismyn- dighetens automatiska hastighetsövervakning med övervaknings- kameror. Syftet med sådan övervakning är att kamerainspelningen ska avslöja den som bryter mot hastighetsbestämmelser. Vid be- handling av personuppgifter i bildmaterialet ska därför ramlagen tillämpas.

Enligt 11 § första stycket 3 kameraövervakningslagen får Polis- myndigheten eller Säkerhetspolisen bedriva kameraövervakning utan tillstånd under högst en månad, om det av särskild anledning finns risk för att allvarlig brottslighet som innebär fara för liv eller hälsa kommer att utövas på en viss plats eller för omfattande för- störelse av egendom och syftet med övervakningen är att förebygga

204

SOU 2017:29

Gränsdragningsfrågor

eller förhindra brott. Om ansökan om tillstånd görs inom månads- fristen, får övervakningen fortsätta till dess att frågan om tillstånd har prövats. I sådana fall tillämpas de vanliga reglerna om tillstånd till kameraövervakning. Vid behandling av personuppgifter från sådan kameraövervakning som nu avses är ramlagen tillämplig.

Vissa företag får sätta upp fast monterade kameror utan att det krävs tillstånd, om de anmäler kameraövervakningen till tillsyns- myndigheten. Sådana övervakningskameror får enligt 12 § finnas i en banklokal, hos ett kreditmarknadsföretag eller i ett postkontor. Kameror får också finnas omedelbart utanför in- och utgångar till sådana lokaler och vid uttagsautomater eller liknande anordningar. Enligt 13 § gäller motsvarande för kameraövervakning i en butiks- lokal. Enligt båda paragraferna ska det enda syftet med kamera- övervakningen vara att förebygga, avslöja eller utreda brott. Enligt utredningens mening innebär rätten att ha kameror uppsatta för sådana ändamål inte att aktörerna i fråga kan anses vara behöriga myndigheter i ramlagens mening. I dessa fall har nämligen ingen myndighetsutövning överlåtits till dem. För deras behandling av personuppgifter gäller därför inte ramlagen.

Även andra företag, fastighetsägare eller personer kan ansöka om tillstånd till kameraövervakning av en viss byggnad eller plats under hänvisning till risken för brott. Det kan t.ex. gälla ett cent- rumföretag, en skola eller någon som bedriver verksamhet som underentreprenör till Migrationsverket. Det som har sagts om ban- ker, kreditmarknadsföretag och postkontor om att ramlagen inte är tillämplig gäller även för nu aktuella företag m.fl.

Om en brottsbekämpande myndighet begär att få ta del av ett företags kamerainspelning eller tar den i beslag som ett led i en förundersökning är ramlagen däremot tillämplig på behandlingen av personuppgifter efter utlämnandet.

205

Gränsdragningsfrågor

SOU 2017:29

8.3Gränsdragningsfrågor som rör lagföring

8.3.1Åklagaruppgifter

Allmänna åklagare

De allra flesta åklagaruppgifter ligger inom ramlagens tillämp- ningsområde. Det gäller både åklagares verksamhet som förunder- sökningsledare, deras beslut i åtalsfrågor och när de för talan i brottmålsfrågor inför domstol. Även vid åklagares handläggning av frågor som rör omvandling av straffrättsliga påföljder eller extraor- dinära rättsmedel ska ramlagen tillämpas. Gränsdragningsfrågor som rör särskild talan i brottmål behandlas i avsnitt 8.3.3, talan om vissa förbud i avsnitt 8.3.4 och personutredning i brottmål i av- snitt 8.3.5. I avsnitt 8.2.3 diskuteras vad som bör gälla vid utredning av brott som har begåtts av någon som är under 15 år.

Åklagare handlägger emellertid vissa frågor som inte anses ut- göra ett led i att förebygga eller förhindra brottslig verksamhet eller i att utreda eller beivra brott (se prop. 2014/15:63 s. 68 f.). Till dessa frågor hör bl.a. talan enligt 3 § lagen (1985:277) om vissa bul- vanförhållanden om tvångsförsäljning av fast egendom som förvär- vats eller behålls genom bulvanförhållande, talan om äktenskaps- skillnad enligt 5 kap. 5 § äktenskapsbalken, talan enligt 20 kap. 13, 15 och 16 §§ utlänningslagen, beslut enligt 2 § lagen (1988:1473) om undersökning beträffande vissa smittsamma sjukdomar i brott- mål och talan om hävande av registrering enligt vissa immaterial- rättsliga lagar. Åklagare företräder också staten i mål om vatten- föroreningsavgift enligt 9 kap. 5 § lagen (1980:424) om åtgärder mot förorening från fartyg. De flesta av dessa arbetsuppgifter ligger utanför ramlagens tillämpningsområde. Vid talan om särskild rätts- verkan av brott som förs inom ramen för ett brottmål med stöd av reglerna i 20 kap. utlänningslagen bör dock enligt utredningens mening, av de skäl som anges i avsnitt 8.3.3, ramlagen tillämpas.

Särskilda åklagare

Både Justitiekanslern (JK) och i någon mån Riksdagens ombuds- män (JO) har vissa åklagaruppgifter. JK är ensam åklagare i mål om tryckfrihetsbrott (9 kap. 2 § tryckfrihetsförordningen) och yttran-

206

SOU 2017:29

Gränsdragningsfrågor

defrihetsbrott (7 kap. 1 § yttrandefrihetsgrundlagen). Både JK och JO får som särskild åklagare väcka åtal mot befattningshavare som står under deras tillsyn och som har begått brottslig gärning genom att åsidosätta vad som åligger honom eller henne i tjänsten eller uppdraget (se 5 § lagen [1975:1339] om justitiekanslerns tillsyn och 6 § lagen [1986:765] med instruktion för Riksdagens ombudsmän). Vid behandling av personuppgifter när de utreder brott eller utför andra åklagaruppgifter bör JK och JO tillämpa ramlagen.

Även inom Tullverket finns det vissa befattningshavare som utför åklagaruppgifter (se 32 § lagen om straff för smuggling). Det som nu har sagts gäller även för dem.

Regeringen

Regeringen utövar alltjämt vissa åklagaruppgifter. Det gäller fram- för allt i internationella förhållanden. I vissa fall får åtal inte väckas utan förordnande av regeringen (se bl.a. 2 kap. 5 och 7 a §§ brotts- balken). Regeringen prövar också enligt 4 kap. 30 § lagen om inter- nationell rättslig hjälp i brottmål bl.a. om en person som är frihets- berövad i Sverige ska överföras till ett tredjeland för förhör eller rättegång i den andra staten eller om en person som är frihetsberö- vad i en sådan stat ska överföras till Sverige i motsvarande fall. Regeringen prövar vidare frågor om överförande av lagföring enligt lagen (1976:19) om internationellt samarbete rörande lagföring för brott och frågor om utlämning för brott.

När regeringen meddelar sådana förvaltningsbeslut som ligger inom ramlagens tillämpningsområde bör regeringen tillämpa ram- lagen vid behandling av personuppgifter.

8.3.2Brottmålshantering i domstol

Vid de allmänna domstolarna kommer all behandling av person- uppgifter vid hantering av brottmål där åklagare för talan att ligga inom ramlagens tillämpningsområde. Det inkluderar handläggning av t.ex. tvångsmedelsfrågor, frågor om målsägandebiträde eller sär- skild företrädare för barn och andra frågor som prövas av domstol under förundersökningen (se exempelvis 23 kap. 13, 14 och 19 §§, 24 kap. 5 § och 26 kap. 2 § rättegångsbalken). Domstols handlägg-

207

Gränsdragningsfrågor

SOU 2017:29

ning av hemliga tvångsmedel under förundersökning hanteras som ärenden enligt rättegångsbalken. Detsamma gäller ärenden enligt lagen (2007:979) om åtgärder för att förhindra vissa särskilt allvar- liga brott. Även då är ramlagen tillämplig.

På motsvarande sätt ska ramlagen tillämpas vid behandling av personuppgifter i allmän domstol vid handläggning av frågor som rör internationell rättslig hjälp i brottmål, utlämning, överlämnande enligt arresteringsorder, frysning och annat internationellt rättsligt samarbete i brottmål.

Gränsdragningsfrågor som rör särskild talan i brottmål behand- las i avsnitt 8.3.3, talan om vissa förbud i avsnitt 8.3.4 och person- utredning i brottmål i avsnitt 8.3.5.

Exempel på talan som ligger utanför ramlagens tillämpningsom- råde är talan enligt lagen (1976:206) om felparkeringsavgift, efter- som överträdelser av sådana parkeringsbestämmelser inte är straff- belagda, och talan om ersättning enligt lagen (1998:714) om ersätt- ning vid frihetsberövanden och andra tvångsåtgärder, eftersom det är en civilrättslig talan.

8.3.3Särskild talan i brottmål

Av 1 kap. 8 § brottsbalken framgår att ett brott – utöver påföljden

– kan föranleda förverkande, företagsbot eller annan särskild rätts- verkan och skyldighet att betala skadestånd. Normalt för åklagare sådan talan och ansvarar för den utredning som krävs. Vissa typer av talan kan dock ibland föras av enskild part eller av en annan företrädare för staten än åklagare. I vissa fall kan talan avskiljas för att föras i särskild ordning. Åklagare kan också i brottmål föra viss talan som inte är en följd av brottet.

Talan om enskilt anspråk

Talan om enskilt anspråk i anledning av brott får enligt 22 kap. 1 § rättegångsbalken föras i samband med åtal för brottet. Åklagare är enligt 22 kap. 2 § rättegångsbalken skyldiga att i samband med åtal förbereda och utföra målsägandes talan om enskilt anspråk på grund av brott. Målsäganden kan dock välja att själv eller genom ombud föra sådan talan. Enskilda anspråk får, trots att det är fråga

208

SOU 2017:29

Gränsdragningsfrågor

om en civilrättslig talan, kumuleras med talan om ansvar för brot- tet. Om anspråket handläggs tillsammans med åtalet tillämpas i allt väsentligt de processuella reglerna om handläggning av brottmål. När talan förs enligt de processuella regler som gäller för talan om ansvar för brott rör det sig om frågor som är så intimt förknippade med varandra att vikten av en gemensam process enligt brottmåls- reglerna ansetts väga över andra intressen. Då är enligt utredning- ens mening talan om enskilt anspråk så oupplösligt förenad med ansvarsfrågan att ramlagen bör tillämpas vid personuppgiftsbehand- lingen. Det bör gälla även i de fall där enskild part för talan i brott- målet vid sidan av åklagaren.

Om talan däremot förs i ett särskilt mål, och rätten inte beslutar att behandla anspråket i samband med brottmålet, handläggs an- språket som ett tvistemål. Detsamma gäller om talan om enskilt anspråk från början har förts tillsammans med åtalet men därefter enligt 22 kap. 5 § rättegångsbalken har avskilts för särskild hand- läggning eller om målet har överklagats endast avseende det en- skilda anspråket. I sådana fall är åklagaren inte längre behörig att föra målsägandens talan. Då ska ramlagen inte längre tillämpas vare sig av åklagaren eller domstolen.

Talan om särskild rättsverkan av brott

Förutsättningarna för särskild rättsverkan av brott utreds inom ramen för förundersökningen och talan förs i brottmålet av åklaga- ren. För talan om särskild rättsverkan gäller i allt väsentligt samma processuella regler som för brottmål men vissa särregler finns bl.a. i 36 kap. brottsbalken och i särskilda lagar om talan om förverkande. Vid utredning av och talan om särskild rättsverkan av brott bör ramlagen tillämpas, eftersom den frågan är integrerad i brottmålet och följer de processuella reglerna för handläggning av brottmål. Detsamma bör enligt utredningens mening gälla utredning av och talan enligt lagen (1974:1065) om visst stöldgods m.m., som har ett förverkandeliknande syfte.

Utvisning på grund av brott räknas också som särskild rättsver- kan av brott. De materiella reglerna om utvisning finns i utlän- ningslagen. Utvisning på grund av brott beslutas enligt 8 a kap. 6 § av den domstol som handlägger brottmålet. När en domstol enligt

209

Gränsdragningsfrågor

SOU 2017:29

34 kap. brottsbalken beslutar att ändra en påföljd som en utlänning har dömts till utöver utvisning, får enligt 8 a kap. 7 § utlänningsla- gen domstolen även meddela det beslut om utvisningen som för- ändringen av påföljd ger anledning till. Några särskilda processuella regler om handläggningen av utvisning på grund av brott finns inte. Ramlagen bör tillämpas vid sådan talan. Frågan om ramlagen ska tillämpas på den som är häktad för verkställighet av utvisning på grund av brott behandlas i avsnitt 8.2.5.

Talan om skattetillägg

Skattetillägg är en administrativ sanktion som kan riktas mot den som genom oriktig uppgift eller passivitet föranlett att skatt eller avgift inte påförts eller påförts med fel belopp. Nya regler om talan om skattetillägg har införts genom lagen (2015:632) om talan om skattetillägg i vissa fall.

I första hand är det Skatteverket som ska se till att skattetillägg beslutas och betalas. Om åklagare väcker åtal för brott enligt skat- tebrottslagen ska dock åklagaren, om förutsättningarna är upp- fyllda, samtidigt föra talan om skattetillägg som rör samma hand- lande. Syftet är att undvika dubbelprövning, eftersom skattetillägg anses ha straffliknande karaktär. När åklagare för talan om skatte- tillägg i samband med åtal för brott mot skattebrottslagen görs utredningen om skattetillägg i form av förundersökning (4 och 5 §§ lagen om talan om skattetillägg i vissa fall). Under förundersök- ningen kan tjänstemän vid Skatteverkets skattebrottsenhet biträda åklagaren med utredning om såväl brottet som frågan om skattetill- lägg. De materiella reglerna om skattetillägg i skatteförfarandelagen tillämpas även när talan förs i brottmålet (3 §), medan de processu- ella reglerna för brottmål tillämpas på talan. Skattetillägg får även beslutas av åklagare om han eller hon utfärdar strafföreläggande. Reglerna om rättegången i brottmål tillämpas i överinstans även om målet överklagas endast i fråga om skattetillägget, i motsats till vad som annars gäller (se Skattetillägg: Dubbelprövningsförbudet och andra rättssäkerhetsfrågor, prop. 2014/15:131, s. 179). Åklagaren behåller därmed sin behörighet att föra talan.

210

SOU 2017:29

Gränsdragningsfrågor

Om frågan om ansvar för skattebrott inte aktualiseras, vilket gäller det stora flertalet beslut om skattetillägg, prövas frågan om skattetillägg av Skatteverket (se prop. 2014/15:131 s. 74 f.).

Även om skattetillägg är en administrativ sanktion också då ta- lan förs av åklagare är förfarandet så intimt förknippat med brott- målet att ramlagen enligt utredningens mening bör tillämpas vid behandlingen av personuppgifter hos Skatteverkets skattebrottsen- het, hos åklagare och i allmän domstol.

När frågan om skattetillägg handläggs i Skatteverkets beskatt- ningsverksamhet har den däremot inte samband med brottmål. Därför bör enligt utredningens mening ramlagen inte tillämpas i de fallen, trots att skattetillägg anses ha en straffliknande funktion. Ramlagen är då inte heller tillämplig om allmän förvaltningsdom- stol prövar frågan om skattetillägg.

Vid behandling av personuppgifter vid verkställighet av skatte- tillägg gäller inte ramlagen, eftersom det inte är fråga om en straff- rättslig påföljd utan en administrativ sanktion. Det gäller oavsett vilken myndighet eller domstol som har beslutat om skattetillägget.

8.3.4Talan om förbud i vissa fall

Allmänt om talan om förbud

Åklagare ansvarar för utredning, beslut och i förekommande fall talan vid domstol när det gäller vissa typer av förbud som har till syfte att förebygga och förhindra brott. För utredningen tillämpas i varierande utsträckning reglerna om förundersökning i brottmål. I vissa fall kan talan om sådana förbud föras tillsammans med talan om ansvar för brott, i andra fall förs talan separat.

Om någon bryter mot ett förbud av nu aktuellt slag och förfa- randet är straffbart, gäller ramlagen för utredning, lagföring och verkställighet av straff på vanligt sätt.

Tillträdesförbud vid idrottsarrangemang, som främst har till syfte att hindra störningar av den allmänna ordningen, behandlas i avsnitt 8.5.2.

211

Gränsdragningsfrågor

SOU 2017:29

Talan om kontaktförbud

Enligt 1 § lagen (1988:688) om kontaktförbud får sådant förbud meddelas om det på grund av särskilda omständigheter finns risk för att en person kommer att begå brott mot, förfölja eller på annat sätt allvarligt trakassera den som ska skyddas av förbudet. Vid be- dömningen av risken ska det särskilt beaktas om den mot vilken förbudet avses gälla har begått brott mot någon persons liv, hälsa, frihet eller frid.

Åklagare ansvarar för den utredning som ska ligga till grund för beslut angående kontaktförbud och beslutar i fråga om sådana för- bud. Reglerna om förundersökning i brottmål gäller i tillämpliga delar för utredningen. Den som har fått ett kontaktförbud och den som har ansökt om kontaktförbud men nekats det kan begära prövning i allmän domstol. Rätten kan då besluta om kontaktför- bud. Talan om kontaktförbud kan även prövas tillsammans med åtal för brott enligt 22 § lagen om kontaktförbud. Då tillämpas reglerna om rättegången i brottmål. Lagen om kontaktförbud inne- håller vissa processuella regler för handläggningen i domstol och i övrigt tillämpas lagen om domstolsärenden.

Ramlagen bör tillämpas vid behandling av personuppgifter i frå- gor som rör kontaktförbud enligt lagen om kontaktförbud. Det gäller även vid behandling av sådana uppgifter om den övervakades position vid elektronisk övervakning som avses i 26 och 27 §§.

Om däremot frågan väcks om ett kontaktförbud enligt 14 kap. 7 § äktenskapsbalken bör utfärdas, är det fråga om en civilrättslig talan och domstolens handläggning ligger då utanför ramlagens till- lämpningsområde. Skulle ett sådant kontaktförbud överträdas, till- lämpas dock lagen om kontaktförbud. Polismyndigheten, åklagare och domstol ska då hantera frågan om överträdelse som ett brott- mål och tillämpa ramlagen.

Talan om rådgivningsförbud

Talan om rådgivningsförbud enligt lagen (1985:354) om förbud mot juridiskt eller ekonomiskt biträde i vissa fall förs av åklagare vid allmän domstol. Rådgivningsförbud får utfärdas när ett juri- diskt eller ekonomiskt biträde har gjort sig skyldig till brott som inte är ringa. Utredningen görs i form av en förundersökning. För-

212

SOU 2017:29

Gränsdragningsfrågor

budet är konstruerat som en särskild rättsverkan av brott (proposi- tionen om kontroll av rådgivare, m.m., prop. 1984/85:90, s. 25). Talan kan antingen föras inom ramen för ett mål där den som för- budet avses gälla är tilltalad för brott eller som en separat talan (prop. 1984/85:90 s. 39). För talan gäller det som är föreskrivet om mål om allmänt åtal, om det inte finns avvikande regler i lagen. Vid behandling av personuppgifter bör därmed ramlagen tillämpas.

Talan om näringsförbud

Den som grovt åsidosatt sina skyldigheter i näringsverksamhet och därvid gjort sig skyldig till brottslighet som inte är ringa, ska enligt 4 § lagen (2014:836) om näringsförbud meddelas näringsförbud om ett sådant förbud är påkallat från allmän synpunkt. Näringsförbud kan aktualiseras i fyra olika fall; på grund av brott, i samband med konkurs, på grund av underlåtenhet att betala skatt eller avgifter och på grund av överträdelse av konkurrensbestämmelser. Den som har meddelats näringsförbud får inte driva näringsverksamhet, fak- tiskt utöva ledningen av sådan verksamhet eller vara företrädare för vissa typer av juridiska personer.

Talan om näringsförbud förs i allmän domstol. Om inte annat är föreskrivet, gäller i fråga om utredningen och förfarandet i domstol det som är föreskrivet om mål som rör allmänt åtal. Talan om näringsförbud på grund av brott förs av åklagare enligt bestämmel- serna om talan i brottmål.

Talan om näringsförbud i samband med konkurs eller på grund av underlåtenhet att betala skatt eller avgifter får föras av åklagare. Det görs normalt i samband med talan om ansvar för brott. Om så inte är fallet tillämpas lagen (1996:242) om domstolsärenden vid handläggningen.

Ramlagen bör tillämpas på sådan talan om näringsförbud som förs av åklagare. Det bör gälla oavsett om den förs i samband med åtal eller som en särskild talan. När talan förs i samband med åtal är frågan så intimt förknippad med brottmålet att ramlagen enligt utredningens mening bör tillämpas. I de fall där åklagare för sär- skild talan om näringsförbud hör det normalt samman med tidigare brottmål och därför bör av samma skäl ramlagen tillämpas även i de fallen.

213

Gränsdragningsfrågor

SOU 2017:29

Om åklagaren avstår från att ansöka om näringsförbud, får i vissa fall Kronofogdemyndigheten ansöka om sådant förbud. Det är då som regel fråga om att någon har agerat grovt otillbörligt mot borgenärer eller på annat sätt åsidosatt sina skyldigheter i samband med konkurs eller underlåtit att betala skatter eller avgifter. Vid sådan talan bör ramlagen inte tillämpas, eftersom behandlingen av personuppgifter inte görs för något sådant syfte som anges i ram- lagen. Kronofogdemyndigheten bör därför inte ses som en behörig myndighet i ramlagens mening vid talan om näringsförbud.

Talan om näringsförbud på grund av överträdelse av konkur- rensbestämmelser förs av Konkurrensverket. Sådan talan ligger utanför ramlagens tillämpningsområde.

Kronofogdemyndigheten utövar tillsyn över att näringsförbud följs och Bolagsverket för register över näringsförbud och tillfälliga sådana förbud. Ramlagen ska inte tillämpas vid vare sig Kronofog- demyndighetens eller Bolagsverkets handläggning i nu aktuella av- seenden.

8.3.5Personutredning i brottmål

Kriminalvården

En av Kriminalvårdens huvuduppgifter är att enligt 1 § lagen om särskild personutredning i brottmål, m.m. genomföra sådan utred- ning om en misstänkts personliga förhållanden som krävs för att domstolen ska kunna avgöra påföljdsfrågan och att avge yttranden som belyser återfallsrisken. Domstolen beslutar att inhämta yttran- den, men i vissa situationer får även åklagare besluta om det. Krimi- nalvården ska ombesörja den personutredning som behövs i det enskilda fallet och kan då även förordna en särskild personutredare. Om det behövs för personutredningen, och inte särskilda skäl talar mot det, har den som förordnats att göra personutredningen bl.a. rätt att ta del av material i förundersökningen. Både begäran om yttrande, yttranden och annan personutredning förutsätter normalt behandling av personuppgifter. Vid sådan behandling ska ramlagen tillämpas, eftersom personutredningen är ett led i lagföringen. Det bör även gälla i de fall där Kriminalvården anlitar någon utanför den egna organisationen för att genomföra personutredningen.

214

SOU 2017:29

Gränsdragningsfrågor

Rättsmedicinalverket och Socialstyrelsen

Om någon misstänks ha begått ett brott under inflytande av en allvarlig psykisk störning är påföljdsvalet begränsat (se 30 kap. 6 § brottsbalken). För att fastställa den misstänktes psykiska status krävs att personen har undersökts av psykiatrisk expertis. Rättsme- dicinalverket ska bl.a. på uppdrag av domstol undersöka om en person har begått ett brott under påverkan av en allvarlig psykisk störning. Undersökningarna används för att utfärda läkarintyg en- ligt 7 § lagen om särskild personutredning i brottmål, m.m. och ut- låtande enligt 7 § lagen (1991:1137) om rättspsykiatrisk undersök- ning. Sådana intyg och utlåtanden används av domstolarna vid val av påföljd. Vid personuppgiftsbehandling för dessa syften bör Rättsmedicinalverket tillämpa ramlagen. Det bör även gälla den utredning i form av läkarintyg enligt 7 § lagen om särskild person- utredning i brottmål, m.m. som görs av personer som är kontrakte- rade av Rättsmedicinalverket.

Det som nu har sagts bör också gälla vid Socialstyrelsens be- handling av personuppgifter när styrelsen avger särskilda utlåtan- den över rättspsykiatriska utlåtanden och andra intyg som är av- sedda att bilda underlag för en domstols beslut om påföljd.

8.3.6Behandling av uppgifter om lagöverträdelser

Myndigheter och andra aktörer som underrättas om domar och brottsbelastning

Mot bakgrund av att det i varierande utsträckning finns behov av att kunna behandla uppgifter om dömda och om brottmålsdomar i många olika verksamheter finns det detaljerade bestämmelser om i vilka fall allmänna domstolar ska skicka domar till myndigheter och andra. Bestämmelserna finns bl.a. i förordningen (1990:893) om underrättelse om dom i vissa brottmål, m.m. Förordningen reglerar även vissa underrättelser under rättegången. Det förhållandet att en dom eller ett beslut skickas till någon innebär visserligen att den som får domen eller beslutet kan komma att behandla personupp- gifter om lagöverträdelser, men det medför inte att personupp- giftsbehandlingen ligger inom ramlagens tillämpningsområde. Be- handlingen av personuppgifter görs oftast för andra syften än de

215

Gränsdragningsfrågor

SOU 2017:29

som anges i ramlagen och de som behandlar uppgifterna har inte anförtrotts myndighetsutövning på ramlagens område. För sådan behandling gäller därmed inte ramlagen. Det gäller t.ex. Patent- och registreringsverkets skyldighet att föra register över förbud enligt lagen om förbud mot juridiskt eller ekonomiskt biträde i vissa fall.

Det nu sagda gäller dock inte om behandlingen av personupp- gifter utgör ett led i brottsbekämpning, lagföring eller verkställig- het av påföljd eller annan verksamhet som regleras i ramlagen och utförs av en behörig myndighet. Behandling av uppgifter i en dom som expedieras till Polismyndigheten för att den ska återlämna beslagtagen egendom eller sköta uppbörden av böter eller till Kri- minalvården för att myndigheten ska verkställa påföljden är exem- pel på behandling inom ramlagens tillämpningsområde. Ett annat exempel är åklagarens personuppgiftsbehandling vid överväganden av om en dom ska överklagas.

Det finns ett utvecklat system i förordningen (1998:1134) om belastningsregister och förordningen (1998:1135) om misstanke- register för att skapa tillgång till uppgifter om brottmålsavgöranden och aktuella brottsmisstankar utanför rättsväsendet. Syftet är att tillgängliggöra sådana uppgifter i bl.a. anställningsärenden och till- ståndsärenden, vid olika former av lämplighetsprövning och vid prövning av vissa andra frågor. Behandling av personuppgifter för sådana ändamål ligger utanför ramlagens tillämpningsområde. Det gäller både myndigheters och andra aktörers behandling av person- uppgifter som härrör från utdrag ur belastningsregistret eller miss- tankeregistret. Det innebär att t.ex. Transportstyrelsens hantering av uppgifter om trafikbrott i vägtrafikregistret ligger utanför ram- lagens tillämpningsområde.

Advokater och andra juridiska biträden

Advokater, målsägandebiträden och särskilda företrädare för barn hanterar i stor utsträckning personuppgifter om misstänkta, brotts- offer och andra som berörs av förundersökningar och brottmåls- rättegångar och om personer som verkställer påföljder. Någon myndighetsutövning har emellertid inte överlåtits till dem och där- med är de inte behöriga myndigheter i ramlagens mening.

216

SOU 2017:29

Gränsdragningsfrågor

8.4Gränsdragningsfrågor som rör verkställighet av påföljder

8.4.1Verkställighet av fängelsestraff

Kriminalvården

En av Kriminalvårdens huvuduppgifter är att sköta verkställigheten av utdömda fängelsestraff. Enligt sin instruktion ska Kriminalvår- den även vidta åtgärder som syftar till att brottslighet under verk- ställigheten förhindras. Båda dessa uppdrag ligger under ramlagens tillämpningsområde. Det säkerhetsarbete som Kriminalvården be- driver i syfte att säkerställa ordningen på anstalterna och att för- hindra rymningar har så nära samband med verkställigheten av fängelsestraff att ramlagen enligt utredningens mening är tillämplig på behandlingen av personuppgifter.

Det är emellertid inte självklart att ramlagen är tillämplig vid all behandling av personuppgifter inom Kriminalvården. Som tidigare nämnts är det varken verksamheten i sig eller att myndigheten ska utföra en viss arbetsuppgift som avgör om ramlagen är tillämplig utan syftet med behandlingen av personuppgifter.

Den som avtjänar fängelsestraff är enligt 3 kap. 2 § fängelselagen skyldig att delta i den sysselsättning som Kriminalvården bestäm- mer. Den vanligaste sysselsättningen är arbete i anstalt. Undantag gäller bara för den som har ålderspension. Eftersom arbetet utgör ett led i verkställigheten av straffet bör ramlagen tillämpas på be- handlingen av personuppgifter som rör intagna. Myndigheten får enligt 5 § förordningen med instruktion för Kriminalvården mot avgift tillhandahålla sådana produkter och tjänster som produceras huvudsakligen av intagna. Behandling av personuppgifter som rör kunder eller leverantörer eller den verksamheten i övrigt ligger utanför ramlagens tillämpningsområde.

Kriminalvården driver skolverksamhet på grundskole- och gym- nasienivå inom anstaltsverksamheten. Myndigheten följer skollagen och annat regelverk på området och har rätt att utfärda betyg över avslutade studier. Kriminalvården får enligt 3 kap. 1 och 2 §§ fäng- elselagen bestämma att en intagen ska ha studier som sysselsätt- ning. Någon åldersgräns gäller inte för sådan verksamhet. När stu- dier är anvisad sysselsättning utgör de ett led i verkställigheten. Det som har sagts om behandling av personuppgifter när det gäller

217

Gränsdragningsfrågor

SOU 2017:29

arbete i anstalt är relevant också för dessa studier, vilket innebär att ramlagen bör tillämpas på personuppgiftsbehandlingen.

I viss utsträckning kan intagna även anvisas studier vid univer- sitet eller högskola. Sådana studier bedrivs på distans och utbild- ningsformer och examination bestäms av vederbörande läroanstalt, som också utfärdar betyg över avslutade studier. Kriminalvården erbjuder då enbart möjlighet att delta i en extern utbildning och underlättar för den intagne att delta i den genom att tillhandahålla nödvändig utrustning. Den personuppgiftsbehandling som utförs vid högskolan eller universitetet ligger utanför ramlagens tillämp- ningsområde. Detsamma bör enligt utredningens mening gälla för Kriminalvården när den behandlar personuppgifter i nu angivet syfte.

När ett fängelsestraff verkställs kan det också innefatta hälso- och sjukvård, inkluderande tandvård. Hälso- och sjukvården som bedrivs av Kriminalvården utgör inte en del av verkställigheten utan är en konsekvens av att den intagne genom frihetsberövandet sak- nar faktisk möjlighet att utnyttja den allmänna hälso- och sjukvår- den. Den hälso- och sjukvård som Kriminalvården bedriver anses sedan länge utgöra en särskild verksamhetsgren som är skild från den övriga verksamheten och för vilken särskilda regler gäller bl.a. i fråga om sekretess. Kriminalvården anses som vårdgivare i patient- datalagens (2008:355) mening när myndigheten tillhandahåller individinriktad hälso- och sjukvård för intagna (prop. 2007/08:126 s. 50 och 224). Eftersom hälso- och sjukvården inte utgör en del av verkställigheten bör ramlagen inte tillämpas på behandlingen av personuppgifter i den verksamheten.

Det bör understrykas att det som nu har sagts inte gäller sådan kontroll och provtagning som i vissa fall görs av läkare eller sjuk- sköterska under verkställigheten av straffet, t.ex. en intagens skyl- dighet att underkasta sig provtagning för drogkontroll enligt 8 kap. 6 § fängelselagen eller att genomgå läkarundersökning enligt 8 kap. 10 § fängelselagen när fängsel har använts. Eftersom sådana åtgär- der ingår i verkställigheten, ska ramlagen tillämpas på personupp- giftsbehandlingen.

Kriminalvården behandlar i stor utsträckning uppgifter om per- soner som besöker eller på annat sätt har kontakt med de intagna. Den personuppgiftsbehandlingen utgör ett viktigt led i både verk- ställigheten (att underlätta den intagnes kontakter med anhöriga,

218

SOU 2017:29

Gränsdragningsfrågor

arbetsgivare och andra) och säkerhetsarbetet på anstalterna (att förhindra rymningar och att otillåtna föremål förs in på anstal- terna). Sådan personuppgiftsbehandling ligger därför enligt utred- ningens mening under ramlagens tillämpningsområde.

I den senare delen av verkställigheten av fängelsestraff aktuali- seras olika s.k. utslussningsåtgärder. Det rör sig om bl.a. vårdvis- telse, vistelse i s.k. halvvägshus och frigång, vilket är olika former av verkställighet av fängelsestraff utanför anstalt. Vid vårdvistelse kan Kriminalvården placera en intagen på ett vårdhem som bedrivs i privat regi. De halvvägshus som finns i dag drivs dels i Kriminal- vårdens regi, dels i privat regi. Vid vårdvistelse, vistelse i halvvägs- hus och under frigång pågår alltjämt verkställigheten av fängelse- straffet. Vid misskötsamhet kan den dömde återföras till anstalt för att avtjäna återstoden av straffet där. Kriminalvårdens behandling av personuppgifter i samband med sådana placeringar ingår därmed i verkställigheten, vilket innebär att ramlagen bör tillämpas på be- handlingen av personuppgifter.

I Kriminalvårdens uppdrag vid verkställighet av påföljder ligger också att i stor utsträckning ha kontakter med andra myndigheter, i syfte att förbereda villkorlig frigivning och att motverka återfall i brott. Det gäller kontakter med bl.a. sociala myndigheter, arbets- givare och Försäkringskassan. Det kan enligt utredningens mening ifrågasättas om förberedelserna för den intagnes liv efter verkstäl- ligheten ligger inom ramlagens tillämpningsområde. Ramlagen bör tillämpas i vart fall under tiden som den dömde har villkorlig fri- givning, eftersom verkställigheten fortfarande pågår då.

Kriminalvården ansvarar också för verkställighet enligt lagen (1994:451) om intensivövervakning med elektronisk kontroll. Så- dan övervakning ersätter i vissa fall verkställighet av fängelse i an- stalt. Det som har sagts om verkställighet i anstalt gäller i tillämp- liga delar för verkställighet enligt den nu aktuella lagen.

Privata vårdgivare

Frågan är om ramlagen även bör tillämpas på behandlingen av per- sonuppgifter när den intagne i stället för att avtjäna straffet i anstalt har placerats på ett vårdhem som bedrivs i privat regi. Kriminalvår- den får förena ett beslut om utslussningsåtgärd med de villkor som

219

Gränsdragningsfrågor

SOU 2017:29

behövs bl.a. för att Kriminalvården ska kunna utöva nödvändig kontroll och i det syftet även utnyttja elektroniska hjälpmedel. Den som har beviljats en utslussningsåtgärd har samma skyldighet som den som avtjänar fängelsestraff i anstalt att lämna prover för kon- troll av påverkan av narkotika eller alkohol. Det sagda talar enligt utredningens mening för att viss myndighetsutövning överlåts till vårdgivaren under den tid som fängelsedömda verkställer reste- rande straff där. Därmed bör de som utför sådana vårdinsatser be- traktas som behöriga myndigheter i ramlagens mening och tillämpa ramlagen vid behandlingen av personuppgifter.

Övervakningsnämnderna

Övervakningsnämnderna prövar, efter anmälan eller underställning av Kriminalvården, vissa frågor om verkställighet utanför anstalt enligt fängelselagen (se 13 kap. 3–5 §§) och lagen (1994:451) om intensivövervakning med elektronisk kontroll (se 15–19 §§). Nämndernas organisation och arbetsuppgifter regleras i förord- ningen (2007:1174) med instruktion för övervakningsnämnderna och deras verksamhetsområden i förordningen (1998:1318) om övervakningsnämndernas verksamhetsområden m.m. Kriminalvår- den sköter kanslifunktionen åt nämnderna och ger dem det under- lag som behövs för prövningen. Nämnderna ska tillämpa ramlagen vid personuppgiftsbehandling som rör verkställighet av påföljder. Detsamma gäller för Kriminalvården när den biträder nämnderna.

Regeringen

I den mån regeringen meddelar förvaltningsbeslut som rör verk- ställighet av straffpåföljd, eller beslut i en sådan fråga överklagas till regeringen, bör regeringen tillämpa ramlagen vid behandlingen av personuppgifter (se t.ex. 7 kap. 11 § och 14 kap. 5 § fängelselagen). Detsamma bör gälla vid regeringens prövning av ansökningar om nåd i brottmål.

220

SOU 2017:29

Gränsdragningsfrågor

8.4.2Verkställighet av sluten ungdomsvård

Om någon har begått brott innan han eller hon fyllt 18 år och rät- ten finner att påföljden bör bestämmas till fängelse ska rätten nor- malt enligt 32 kap. 5 § brottsbalken i stället döma till sluten ung- domsvård under viss tid, lägst 14 dagar och högst fyra år. Den som har dömts till sluten ungdomsvård ska placeras på ett särskilt ung- domshem. Statens institutionsstyrelse ansvarar enligt 3 § lagen (1998:603) om verkställighet av sluten ungdomsvård för verkstäl- ligheten. I den del av myndighetens verksamhet som avser verkstäl- lighet av sluten ungdomsvård ska ramlagen tillämpas, eftersom det är fråga om en straffrättslig påföljd.

8.4.3Verkställighet av frivårdspåföljder

Kriminalvården

Kriminalvården ansvarar även för verkställigheten av skyddstillsyn. Skyddstillsyn kan förenas med andra åtgärder. Det kan vara böter, fängelse upp till tre månader, samhällstjänst eller särskild behand- lingsplan. En dom på skyddstillsyn fortgår under tre år.

Den som döms till skyddstillsyn ska stå under övervakning åt- minstone under ett år efter domen. Övervakningstiden kan för- längas i vissa fall, bl.a. om den dömde ska utföra samhällstjänst eller följa en särskild behandlingsplan eller om han eller hon missköter sig. Kriminalvården ansvarar för övervakningen av den dömde och ska genast när den får en dom med en frivårdspåföljd vidta de åt- gärder som behövs för att övervakningen snabbt ska bli verknings- full. Kriminalvården ska bl.a. utse övervakare, om inte rätten har gjort det i domen. Kriminalvården kan också byta övervakare. Kriminalvårdens uppgifter regleras huvudsakligen genom bestäm- melser i förordningen (1998:642) om verkställighet av frivårdspå- följder.

När någon döms till villkorlig dom kan påföljden förenas med bl.a. föreskrift om samhällstjänst. Kriminalvården ansvarar för verkställigheten av samhällstjänsten men inte för verkställigheten av domen i övrigt.

När Kriminalvården behandlar personuppgifter för verkställig- het av en frivårdspåföljd ska ramlagen tillämpas. Behandling av per-

221

Gränsdragningsfrågor

SOU 2017:29

sonuppgifter vid åtgärder som ligger utanför straffverkställigheten, t.ex. kontakter med sociala myndigheter som enbart syftar till att förbättra den dömdes livsvillkor, ligger enligt utredningens mening normalt utanför ramlagens tillämpningsområde. Det kan dock inte uteslutas att behandlingen i ett enskilt fall kan ha ett syfte som gör lagen tillämplig.

Övervakningsnämnderna

Övervakningsnämnderna har även uppgifter som rör verkställighe- ten av skyddstillsyn (se 28 kap. 5 a, 6, 7, 8 och 11 §§ brottsbalken). Uppgifterna består främst i att bestämma längre övervakningstid än den som följer av 28 kap. 5 § andra stycket brottsbalken och att ingripa om den dömde inte fullgör sina skyldigheter enligt domen. Övervakningsnämnden får bl.a. besluta om föreskrifter som den dömde ska följa och att den dömde ska omhändertas i avvaktan på prövning av om påföljden ska undanröjas eller någon annan åtgärd ska vidtas. Eftersom det är frågor som rör verkställighet av påföljd ska ramlagen tillämpas.

Det som har sagts i avsnitt 8.4.1 om Kriminalvårdens medverkan är tillämpligt även på biträde till övervakningsnämnderna vid frågor som rör frivårdspåföljder.

8.4.4Verkställighet av bötesstraff

Polismyndighetens uppbördsverksamhet

Enligt 1 § bötesverkställighetslagen (1979:189) verkställs bötes- straff genom antingen uppbörd eller indrivning. Uppbörd innebär att den bötfällde inom viss tid frivilligt betalar in beloppet till upp- bördsmyndigheten. Som framgår av avsnitt 3.4.3 är Polismyndig- heten uppbördsmyndighet. Uppbörden omfattar, förutom uppbörd av böter på grund av strafförelägganden och förelägganden av ord- ningsbot och allmän domstols dom eller beslut, även uppbörd av vissa viten och av sådan särskild rättsverkan av brott som innefattar betalningsskyldighet. Ramlagen är enligt utredningens mening till- lämplig på behandlingen av personuppgifter vid uppbörd av böter och särskild rättsverkan av brott.

222

SOU 2017:29

Gränsdragningsfrågor

Förvandling av bötesstraff till fängelse

Om böter inte betalas, lämnas fordran till Kronofogdemyndigheten för indrivning. Myndigheten ansvarar, som framgår av avsnitt 3.4.3, för indrivning av böter. De närmare reglerna finns, förutom i ut- sökningsbalken, i lagen (1993:891) om indrivning av statliga ford- ringar m.m.

Kronofogdemyndighetens indrivningsverksamhet bör enligt ut- redningens mening inte betraktas som verkställighet av en straff- rättslig påföljd. Det är fråga om indrivning av en skuld till staten. I utsökningsförfarandet görs i princip ingen skillnad mellan olika typer av skulder till staten och i utsökningsärenden verkställs skul- der både till det allmänna och till enskilda vid samma förrättning. Ramlagen bör därför inte tillämpas vid behandling av personuppgif- ter i Kronofogdemyndighetens indrivning av bötesstraff (jfr dock prop. 2012/13:73 s. 61).

Om bötesbeloppet inte har betalats, t.ex. för att den dömde håller sig undan, kan bötesstraffet förvandlas till fängelse enligt ett särskilt förfarande. Enligt 17 § bötesverkställighetsförordningen (1979:197) ska Kronofogdemyndigheten, om det finns anledning att anta att böterna ska förvandlas, sända en redogörelse till åkla- gare. Redogörelsen utgör underlaget för åklagarens beslut i fråga om talan om förvandling av böterna ska väckas, men åklagaren kan besluta om ytterligare utredning och då begära biträde av Polis- myndigheten. Talan om förvandling av böter till fängelse kan enligt 15 § bötesverkställighetslagen väckas om det är uppenbart att den bötfällde av tredska har underlåtit att betala böterna eller om för- vandling annars av särskilda skäl är påkallad från allmän synpunkt. Talan väcks vid allmän domstol.

Eftersom förvandling av böter till fängelse är en ändring av en straffrättslig påföljd ska åklagaren och domstolen tillämpa ram- lagen vid behandlingen av personuppgifter. Frågan är om Krono- fogdemyndigheten, på grund av sina uppgifter enligt bötesverkstäl- lighetslagen och bötesverkställighetsförordningen, ska anses vara behörig myndighet såvitt gäller den arbetsuppgiften. Det skulle kunna hävdas att myndighetens redogörelse enligt 17 § bötesverk- ställighetsförordningen kan jämställas med en brottsanmälan. Den jämförelsen är dock inte rättvisande, eftersom åklagarens talan byg- ger på det underlag som Kronofogdemyndigheten har lämnat och

223

Gränsdragningsfrågor

SOU 2017:29

myndigheten fortlöpande följer handläggningen hos åklagaren. Myndigheten är vidare skyldig att hålla åklagaren underrättad om förändringar beträffande skulden och att vid behov uppdatera upp- gifterna i redogörelsen. Myndigheten har således en författnings- enlig skyldighet att stödja åklagaren och bör därför, beträffande denna begränsade arbetsuppgift, betraktas som behörig myndighet i ramlagens mening.

8.4.5Verkställighet av påföljder som innebär vård

Rättspsykiatrisk vård

Rättspsykiatrisk vård är en form av psykiatrisk tvångsvård som huvudsakligen aktualiseras för personer som verkställer påföljd eller är misstänkta för brott och lider av en allvarlig psykisk stör- ning men motsätter sig psykiatrisk vård. Psykiatrisk tvångsvård i andra fall regleras i lagen om psykiatrisk tvångsvård, till vilken lagen om rättspsykiatrisk vård till stor del hänvisar.

Rättspsykiatrisk vård kan enligt 31 kap. 3 § brottsbalken förenas med beslut om särskild utskrivningsprövning. Har en dom på rätts- psykiatrisk vård förenats med särskild utskrivningsprövning ska förvaltningsrätten, bl.a. när den prövar om vården ska upphöra eller om den dömde ska få vistas utanför sjukvårdsinrättningen, ge åklagare tillfälle att yttra sig innan beslut fattas.

Rättspsykiatrisk vård kan bedrivas både som sluten och öppen vård. Vården bedrivs enligt 6 § lagen om rättspsykiatrisk vård på en sjukvårdsinrättning som drivs av ett landsting. Sådan vård får också ges åt den som genomgår rättspsykiatrisk undersökning. Lagen om rättspsykiatrisk vård innehåller närmare bestämmelser om vården.

Rättspsykiatrisk vård är enligt 1 kap. 3 § patientdatalagen sådan individinriktad hälso- och sjukvård på vilken patientdatalagen är tillämplig. Lagen, som gäller utöver personuppgiftslagen, innehåller bl.a. bestämmelser om journalföring, ändamål med behandlingen, behandling av känsliga personuppgifter och enskildas rättigheter. I 2 § förordningen (1991:1472) om psykiatrisk tvångsvård och rättspsykiatrisk vård finns det bestämmelser om patientförteckning och journaluppgifter som gäller utöver patientdatalagen.

All vård som bedrivs enligt lagen om rättspsykiatrisk vård kan hänföras till något av ramlagens områden brottsbekämpning, lag-

224

SOU 2017:29

Gränsdragningsfrågor

föring eller verkställighet av straff. Det innebär att ramlagen är till- lämplig på den behandling av personuppgifter som rör verkställig- heten av påföljden eller frihetsberövandet. Frågan är då hur regle- ringen i patientdatalagen bör förhålla sig till regleringen i ramlagen. Socialdataskyddsutredningen (S 2016:05) har fått i uppdrag att ana- lysera vilka konsekvenser dataskyddsförordningen medför för bl.a. patientdatalagen (dir. 2016:52). Utredningen avser att samråda med den utredningen om behovet av anpassning mellan lagstiftningarna.

Ungdomsvård, ungdomstjänst och vård av missbrukare

Även socialnämnderna verkställer i viss utsträckning straffrättsliga påföljder. När någon med stöd av 31 kap. 2 § brottsbalken över- lämnas till vård enligt lagen (1988:870) om vård av missbrukare i vissa fall kan rätten överlämna till socialnämnden att anordna vår- den. Vidare kan den som är under 21 år dömas till ungdomsvård om han eller hon har särskilt behov av vård eller annan åtgärd enligt socialtjänstlagen (2001:453) eller lagen med särskilda bestämmelser om vård av unga. Den som är under 21 år kan i vissa fall dömas till ungdomstjänst enligt 32 kap. 2 § brottsbalken. Vård av nu aktuellt slag omfattas – när den har utdömts som påföljd för brott – av ramlagens tillämpningsområde.

8.4.6Domstolsprövning av vissa verkställighetsfrågor

Allmän domstol prövar frågor om ändring av påföljd

Allmän domstol prövar olika frågor om ändring av straffrättslig påföljd. Det vanligaste är frågor om undanröjande av villkorlig dom enligt 27 kap. 6 § och undanröjande av skyddstillsyn enligt 28 kap. 8 § brottsbalken. Även talan enligt 38 kap. 2 och 2 a §§ brottsbal- ken om ändring av påföljd på grund av ändrade förutsättningar för påföljden förs i allmän domstol. Detsamma gäller talan om om- vandling av fängelse på livstid till ett tidsbestämt straff.

På talan av åklagare prövar allmän domstol om utdömda böter, som inte har betalats, ska förvandlas till fängelse enligt 15–19 §§ bötesverkställighetslagen. Allmän domstol prövar också frågor om

225

Gränsdragningsfrågor

SOU 2017:29

resning, besvär över domvilla och andra extraordinära rättsmedel i brottmål.

Frågor av nu aktuellt slag rör verkställighet av straffrättsliga på- följder. Vid behandlingen av personuppgifter ska därför ramlagen tillämpas.

Allmän förvaltningsdomstol prövar andra verkställighetsfrågor

De allmänna förvaltningsdomstolarna prövar framför allt frågor som kan uppkomma under verkställighet av straffrättsliga påföljder och som ligger under ramlagens tillämpningsområde. Som exempel kan nämnas följande. I 38 kap. 14 § brottsbalken föreskrivs att Kri- minalvårdens beslut om bl.a. uppskjuten villkorlig frigivning enligt 26 kap. 6 och 7 §§ brottsbalken får överklagas till allmän förvalt- ningsdomstol. Enligt 14 kap. 1 § fängelselagen överklagas Krimi- nalvårdens beslut enligt lagen till allmän förvaltningsdomstol. Det- samma gäller enligt 14 kap. 4 § vissa beslut av övervakningsnämnd. Enligt 7 kap. 3 § häkteslagen och 9 § lagen om intensivövervakning med elektronisk kontroll får Kriminalvårdens beslut överklagas till allmän förvaltningsdomstol.

I 18 § lagen om rättspsykiatrisk vård föreskrivs att vissa beslut enligt lagen får överklagas till allmän förvaltningsdomstol. Det gäller bl.a. vissa beslut om intagning för rättspsykiatrisk vård, be- slut om avslag på begäran att vården ska upphöra och beslut om inskränkningar i kontakterna med omvärlden. Förvaltningsdomstol prövar också på begäran av chefsläkare om vårdtiden ska förlängas och frågor om särskild utskrivningsprövning.

Beslut av Statens institutionsstyrelse får enligt 23 § lagen om verkställighet av sluten ungdomsvård överklagas till allmän förvalt- ningsdomstol.

De allmänna förvaltningsdomstolarnas verksamhet när de prö- var frågor som rör verkställighet av en straffrättslig påföljd ligger inom ramlagens tillämpningsområde.

226

SOU 2017:29

Gränsdragningsfrågor

8.5Gränsdragningsfrågor som rör upprätthållande av allmän ordning och säkerhet

8.5.1Tvångsingripanden vid ordningsstörningar

Ramlagen ska tillämpas på Polismyndighetens behandling av per- sonuppgifter när allmän ordning och säkerhet ska upprätthållas. Befogenheterna att ingripa mot störningar finns bl.a. i 13–13 c §§ polislagen. Enligt 13 § får en polisman avvisa eller avlägsna någon som genom sitt uppträdande stör den allmänna ordningen eller utgör en omedelbar fara för den. Detsamma gäller om det behövs för att avvärja en straffbelagd gärning. Om någon försöker tränga in på ett område eller i ett utrymme till vilket tillträde har förbju- dits får en polisman enligt 13 a § avvisa eller avlägsna honom eller henne från platsen, när det är nödvändigt för att ordningen eller säkerheten ska kunna upprätthållas. Deltagare i vissa folksamlingar som genom sitt uppträdande stör den allmänna ordningen eller utgör en omedelbar fara för den får enligt 13 c § avvisas eller av- lägsnas från ett område eller utrymme, om det är nödvändigt för att ordningen ska kunna upprätthållas. Åtgärder av nu aktuellt slag ska enligt 17 § polislagen protokolleras. Det som nu har sagts om Polismyndigheten gäller även när en annan behörig myndighet in- griper med stöd av dessa bestämmelser. I avsnitt 7.1.3 redovisas Kustbevakningens ordningshållande befogenheter.

Enligt 23 § polislagen får Polismyndigheten bl.a. stänga av, ut- rymma eller förbjuda tillträde till hus och vissa utrymmen eller meddela förbud mot trafik eller vidta vissa andra liknande åtgärder, om det anses finnas risk för något brott som innebär allvarlig farlig för liv eller hälsa eller omfattande förstörelse av egendom kommer att förövas. Paragrafen tillämpas exempelvis för att spärra av platser i samband med bombhot och andra liknande händelser som kan innebär allvarlig fara för allmänheten. Enligt 24 § polislagen får Polismyndigheten i samband med allvarliga störningar av den all- männa ordningen eller säkerheten förbjuda tillträde till visst om- råde eller utrymme, om det är nödvändigt för att ordningen och säkerheten ska kunna upprätthållas. Det krävs en konkret risk för att sådana störningar ska uppstå. I brådskande fall får en polisman besluta om sådana åtgärder som regleras i 23 och 24 §§. Om det skulle vara aktuellt att behandla personuppgifter i samband med åtgärder enligt 23 eller 24 § polislagen bör ramlagen tillämpas.

227

Gränsdragningsfrågor

SOU 2017:29

I 5 kap. ordningslagen (1993:1617) finns särskilda bestämmelser om ordningen och säkerheten vid vissa idrottsarrangemang. Där förbjuds bl.a. innehav och användning av pyrotekniska varor på en idrottsanläggning när idrottsarrangemang anordnas där utan till- stånd av Polismyndigheten. Enligt 5 kap. 4 § ordningslagen är det straffbelagt bl.a. att beträda spelplanen eller kasta in föremål där under pågående idrottsarrangemang. Behandling av personuppgif- ter vid ingripanden med stöd av 5 kap. ordningslagen ligger inom ramlagens tillämpningsområde, antingen för att Polismyndighetens åtgärder syftar till att säkra allmän ordning och säkerhet eller till att förebygga brott.

Ramlagen kommer däremot inte att vara tillämplig på Polis- myndighetens förvaltningsbeslut i frågor om allmän ordning och säkerhet enligt ordningslagen. Om det emellertid vid en allmän sammankomst eller offentlig tillställning eller annan verksamhet som regleras i ordningslagen skulle uppstå oordning eller begås brott ska ramlagen tillämpas vid behandling av personuppgifter vid åtgärder för att stävja problemen. Det gäller oavsett vilken lagstift- ning som ligger till grund för ingripandet.

Vissa andra bestämmelser i polislagen behandlas i avsnitt 8.5.5.

8.5.2Tillträdesförbud vid idrottsarrangemang

Polismyndighetens, åklagares och allmän domstols handläggning

Enligt 1 § lagen (2005:321) om tillträdesförbud vid idrottsarrange- mang får en person förbjudas att få tillträde till och vistas på inhäg- nad plats huvudsakligen avsedd för idrottsutövning när idrottsar- rangemang anordnas på platsen. Det gäller även om allmänheten har tillträde till platsen. Ett tillträdesförbud får utfärdas om det på grund av särskilda omständigheter finns risk för att personen kommer att begå brott under idrottsarrangemang och brottet är ägnat att störa ordningen eller säkerheten där. Åklagare prövar frågor om tillträdesförbud på ansökan av den idrottsorganisation som står för idrottsarrangemanget eller av ett specialidrottsförbund eller efter anmälan av Polismyndigheten. Tillträdesförbud kan prö- vas av allmän domstol på begäran av den som ålagts förbudet. Genom att ramlagen även omfattar verksamhet som rör allmän ordning och säkerhet blir den tillämplig på all behandling av per-

228

SOU 2017:29

Gränsdragningsfrågor

sonuppgifter som utförs av en behörig myndighet med stöd av lagen om tillträdesförbud.

Enligt lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang ska Polismyndigheten föra ett särskilt register, tillträdesförbudsregistret, över de tillträdesförbud som har utfär- dats. Polismyndighetens uppgifter enligt den lagen bör också om- fattas av ramlagen.

Idrottsorganisationer och tillträdesförbud

Lagen om register över tillträdesförbud vid idrottsarrangemang ska även tillämpas av idrottsorganisationer när de behandlar uppgifter ur registret. En idrottsorganisation får enligt 7 § behandla uppgifter från tillträdesförbudsregistret om det behövs för att förebygga, förhindra eller upptäcka överträdelse av tillträdesförbud vid ett idrottsarrangemang som organisationen anordnar.

Idrottsorganisationer har enligt 6 § lagen om tillträdesförbud vid idrottsarrangemang möjlighet att skriftligen ansöka om att åklagare ska utfärda tillträdesförbud för en viss person. Organisa- tionen betraktas som part i ett ärende om tillträdesförbud som initieras genom en sådan ansökan. Specialidrottsförbundet för den aktuella idrottsverksamheten har enligt 9 § ställning som part i ett ärende om tillträdesförbud som tas upp efter anmälan av Polis- myndigheten.

Det förhållandet att en idrottsorganisation kan väcka frågor om tillträdesförbud och får partsställning i ärenden enligt lagen om tillträdesförbud vid idrottsarrangemang gör inte att organisationen bör betraktas som behörig myndighet i ramlagens mening. Det beror på att ingen myndighetsutövning har överlåtits till organisa- tionen. Idrottsorganisationers behandling av personuppgifter i så- dana ärenden eller av uppgifter som de fått från tillträdesförbuds- registret ligger därmed utanför ramlagens tillämpningsområde.

8.5.3Militärpolisen

Militärpolisen, som tillhör Försvarsmakten, består av militär perso- nal som har utbildats för polistjänst vid Försvarsmakten och an- ställda vid Polismyndigheten som enligt särskilda föreskrifter ställs

229

Gränsdragningsfrågor

SOU 2017:29

till Försvarsmaktens förfogande. Militärpolisen ska enligt 1 § för- ordningen (1980:123) med reglemente för militärpolisen upprätt- hålla den allmänna ordningen och säkerheten inom Försvarsmakten och vid sådana övningar som Försvarsmakten genomför tillsam- mans med andra myndigheter. I uppgifterna ingår bl.a. att före- bygga brott och hindra att ordningen och säkerheten störs genom brott eller på annat sätt, att avslöja brott och att vidta de åtgärder som behövs när ordningen och säkerheten störs på annat sätt än genom brott. En militärpolisman är, då han eller hon fullgör upp- gifter enligt 1 §, att anse som polisman. Vid behandling av person- uppgifter ska militärpolisen därmed tillämpa ramlagen.

8.5.4Ordningsvakter och andra med likartade uppgifter

Ordningsvakter

Enligt 1 § lagen (1980:578) om ordningsvakter får ordningsvakter förordnas att medverka till att upprätthålla allmän ordning. Sådana förordnanden får enligt 2–2 b §§ avse bl.a. allmänna sammankoms- ter, offentliga tillställningar, lokaler där alkoholdrycker serveras till allmänheten och säkerhetskontroller i domstol och vid offentliga sammanträden i kommuner och landsting. Av 6 § framgår att en ordningsvakt lyder under Polismyndigheten och av 7 § att han eller hon ska hålla myndigheten underrättad om förhållanden som rör verksamheten.

Om inte annat följer av förordnandet har en ordningsvakt enligt 29 § tredje stycket polislagen vissa polisiära befogenheter. En ord- ningsvakt får exempelvis avvisa eller avlägsna någon som stör den allmänna ordningen från ett område eller ett utrymme och får även under vissa förutsättningar omhänderta honom eller henne. Det är åtgärder som får direkta rättsverkningar för den enskilde, vilket innebär att de innefattar myndighetsutövning. Genom att ord- ningsvakter har anförtrotts myndighetsutövning är en ordnings- vakt att anse som behörig myndighet enligt ramlagen. Den per- sonuppgiftsbehandling som ordningsvakter utför när de utövar myndighet i syfte att upprätthålla allmän ordning omfattas därmed av ramlagens tillämpningsområde. Muntlig rapportering till en polisman omfattas dock inte (se avsnitt 7.1.6).

230

SOU 2017:29

Gränsdragningsfrågor

I avsnitt 8.2.8 redovisas reglerna om sjöfartsskydd och hamn- skydd. De som förordnas att utföra uppgifter enligt de lagarna är som regel ordningsvakter. Som tidigare konstaterats ska ramlagen tillämpas vid personuppgiftsbehandling som utförs av behöriga myndigheter enligt de lagarna. Det gäller således även ordningsvak- ter. Det som nyss sagts om muntlig rapportering gäller även då.

Skyddsvakter

I skyddslagen (2010:305) finns bestämmelser om åtgärder till skydd för vissa byggnader, anläggningar och områden, s.k. skydds- objekt. För bevakning av skyddsobjekt får polismän, militär perso- nal eller särskilt anlitad personal, kallade skyddsvakter, anlitas. En skyddsvakt får bl.a. avvisa, avlägsna eller tillfälligt omhänderta en person inom eller invid ett skyddsobjekt, om personen överträder något förbud som gäller för skyddsobjektet. En skyddsvakt får också under vissa förutsättningar besluta om kroppsvisitation och om undersökning av fordon, fartyg eller luftfartyg. Vidare har en skyddsvakt inom skyddsobjektet och i dess närhet samma befo- genheter som en polisman att gripa den som det finns skäl att an- hålla för spioneri, sabotage, terroristbrott, grovt rån eller förbere- delse till sådant brott samt att ta föremål i beslag. Den personupp- giftsbehandling som skyddsvakter utför när de utövar myndighet i nyss nämnda syften omfattas därmed av ramlagens tillämpnings- område. Vad som sagts i avsnittet om ordningsvakter om muntlig rapportering gäller även skyddsvakter.

Väktare

Med bevakningsföretag avses företag som yrkesmässigt åtar sig att för annans räkning bevaka bl.a. fastigheter, anläggningar, viss verk- samhet, offentlig tillställning eller liknande, bevaka enskilda perso- ner för deras skydd eller bevaka transporter av sedlar, mynt eller annan egendom. I lagen (1974:191) om bevakningsföretag finns bestämmelser om sådana företag, som ska vara auktoriserade och stå under tillsyn av en viss utpekad länsstyrelse. I lagen regleras också vad som gäller för den som är anställd i ett bevakningsföretag och som har till uppgift att utföra bevakningstjänst. Dessa kallas

231

Gränsdragningsfrågor

SOU 2017:29

väktare. De har inte några befogenheter av det slag som en ord- ningsvakt eller skyddsvakt har och någon myndighetsutövning har inte anförtrotts dem. De ska därför inte tillämpa ramlagen, efter- som de inte är att anse som behöriga myndigheter.

Saken förhåller sig annorlunda i de fall där en väktare har getts ett förordnande att fullgöra arbetsuppgifter som normalt utförs av en offentliganställd inom ramlagens tillämpningsområde. Kriminal- vården har getts möjlighet att anlita väktare för att fullgöra vissa arbetsuppgifter. Enligt 15 kap. 3 § fängelselagen får Kriminalvården förordna en väktare i ett auktoriserat bevakningsföretag att utföra vissa bevakningsuppdrag när en intagen ska vistas utanför anstalt. Om det finns särskilda skäl, får ett sådant förordnande även avse vissa bevakningsuppgifter inom en anstalt. En motsvarande regler- ing finns för Polismyndigheten i 23 a § polislagen, som föreskriver att myndigheten får meddela förordnande att vara bl.a. arrestant- vakt för den som inte är anställd som sådan vid Polismyndigheten och inte heller är polisman. Ett förordnande som arrestantvakt får avse även bevakningsuppdrag utanför förvaringslokalen.

De uppdrag som reglerna i fängelselagen och polislagen avser medför att väktarna anförtros viss myndighetsutövning. Den per- sonuppgiftsbehandling som en sådan väktare utför när han eller hon utövar myndighet inom Kriminalvården eller Polismyndighe- ten omfattas därmed av ramlagens tillämpningsområde i samma ut- sträckning som gäller för myndighetens anställda.

8.5.5Lagstiftning av i huvudsak social karaktär

Lagen om förstörande av vissa hälsofarliga missbrukssubstanser

Lagen (2011:111) om förstörande av vissa hälsofarliga missbruks- substanser ger Polismyndigheten och Tullverket möjlighet att ta om hand och förstöra vissa hälsofarliga missbrukssubstanser redan innan de har klassificerats som narkotika eller hälsofarlig vara. Om en sådan substans påträffas får den omhändertas i avvaktan på be- slut om förstöring. Innehav av sådana substanser är inte kriminali- serat, men däremot får substansen förstöras efter särskilt beslut av åklagare. Lagstiftningen har framför allt ett hälsoperspektiv. Syftet är att få bort farliga substanser för att skydda enskildas liv och hälsa. Däremot är det inte fråga om att förebygga brott eller att

232

SOU 2017:29

Gränsdragningsfrågor

utföra någon annan arbetsuppgift som gör ramlagen tillämplig, eftersom innehav och annan hantering av substanserna i fråga inte är straffbar. Den personuppgiftsbehandling som kan förekomma vid handläggning enligt lagen ligger därmed utanför ramlagens till- lämpningsområde.

Lagen om omhändertagande av berusade personer

I lagen om omhändertagande av berusade personer m.m. ges poli- sen rätt att omhänderta den som anträffas så berusad av alkohol- drycker eller annat berusningsmedel att han eller hon inte kan ta hand om sig själv eller annars utgör en fara för sig själv eller för någon annan. Den omhändertagne ska ses till och vid behov ska han eller hon föras till sjukhus eller läkare tillkallas.

Syftet med lagen, som tillkom när fylleri avkriminaliserades, är främst att värna enskildas liv och hälsa. Det är ett syfte utanför ramlagens tillämpningsområde. Det ligger i sakens natur att den som är så berusad att ett omhändertagande enligt lagen aktualiseras också kan vara ordningsstörande. Finns det skäl att omhänderta någon både för ordningsstörning enligt 13 § polislagen och för berusning enligt lagen om omhändertagande av berusade personer, ska sistnämnda lag tillämpas (se 9 § lagen om omhändertagande av berusade personer m.m.). Lagstiftaren har alltså ansett att omhän- dertagande för ordningsstörning i dessa fall får stå tillbaka för omhändertagande på grund av berusning. Ramlagen ska därför inte tillämpas på personuppgiftsbehandling enligt lagen om omhänder- tagande av berusade personer m.m.

Vissa bestämmelser i polislagen

Enligt 12 § polislagen får en polisman omhänderta någon som kan antas vara under 18 år och som påträffas under förhållanden som uppenbarligen innebär överhängande och allvarlig risk för hans eller hennes hälsa eller utveckling. Syftet med omhändertagandet är att den unge skyndsamt ska överlämnas till föräldrar eller annan vård- nadshavare eller till socialnämnden. Enligt 12 a § polislagen får en polisman omhänderta en person som det finns skälig anledning anta ska omhändertas med stöd av 13 § lagen om vård av missbru-

233

Gränsdragningsfrågor

SOU 2017:29

kare och skyndsamt överlämna honom eller henne till sjukhus, om socialnämndens beslut om omhändertagande inte kan avvaktas med hänsyn till en överhängande eller allvarlig risk att personen kom- mer till skada. Dessa omhändertagandebestämmelser har ett socialt syfte och personuppgiftsbehandlingen ligger därmed utanför ram- lagens tillämpningsområde.

Det som nu har sagts gäller också vid sådana omhändertaganden enligt 11 § polislagen som syftar till att bistå den som verkställer administrativa frihetsberövanden, t.ex. att omhänderta den som har rymt från psykiatrisk tvångsvård eller tvångsvård för missbrukare.

234

9Principer för behandling av personuppgifter

9.1Behandling för ändamål inom ramlagens tillämpningsområde

9.1.1Förutsättningarna för att få behandla personuppgifter

Utredningens bedömning: I ramlagen bör det tas in bestäm- melser som anger vilka rättsliga grunder för behandling av per- sonuppgifter som är tillåtna.

Skälen för utredningens bedömning: Dataskyddsregleringen utgår från att varje behandling av personuppgifter måste ha en rättslig grund för att vara laglig. Det är alltså endast om det finns en rättslig grund som personuppgifter överhuvudtaget får behandlas.

De tillåtna rättsliga grunderna anges i artikel 8.1. Personuppgif- ter får endast behandlas om det är nödvändigt för att en behörig myndighet ska kunna utföra en arbetsuppgift i vissa syften. För att uppfylla direktivets krav måste nationell rätt ange ramarna för när behandling av personuppgifter är tillåten. Den rättsliga grunden bör enligt skäl 33 vara tydlig och precis och dess tillämpning förut- sägbar för dem som omfattas av den. I ramlagen bör det därför tas in bestämmelser som anger vad som är tillåtna rättsliga grunder för behandling av personuppgifter.

Lagrådet har uttalat att planering, uppföljning och utvärdering av verksamhet är en integrerad del av själva verksamheten och inte någon fristående aktivitet som behöver regleras särskilt i register- författningar (se Tullverkets brottsbekämpning – Effektivare upp- giftsbehandling, prop. 2004/05:164, s. 179). Någon särskild be-

235

Principer för behandling av personuppgifter

SOU 2017:29

stämmelse om att sådan behandling är tillåten behövs därför inte i ramlagen.

Den omständigheten att det finns en rättslig grund innebär dock inte att vilka personuppgifter som helst får behandlas eller att det får göras på valfritt sätt. De övriga krav som framgår av direktivet måste också vara uppfyllda för att behandling ska vara tillåten. En- ligt artikel 4.1 b får personuppgifter bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål. De personuppgifter som behandlas ska dessutom vara adekvata och relevanta i förhål- lande till det ändamålet. Om det är känsliga personuppgifter som behandlas måste ytterligare villkor i artikel 10 vara uppfyllda för att behandlingen ska vara tillåten.

I detta avsnitt behandlas kraven på rättslig grund och särskilda ändamål för behandlingen, medan kraven som ställs på de person- uppgifter som behandlas tas upp i avsnitt 9.2.

9.1.2Rättslig grund för behandling – huvudregeln

Utredningens förslag: Personuppgifter får behandlas om det är nödvändigt för att en behörig myndighet ska kunna utföra en arbetsuppgift i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa en straffrättslig påföljd eller upprätthålla allmän ordning och säker- het. Arbetsuppgiften ska framgå av en bindande unionsrättsakt eller av en lag, en förordning eller ett särskilt beslut i vilket rege- ringen uppdragit åt den behöriga myndigheten att ansvara för en sådan uppgift.

Skälen för utredningens förslag

När finns det rättslig grund för behandlingen?

Enligt artikel 8.1 är behandling av personuppgifter laglig endast om behandlingen är nödvändig för att en behörig myndighet ska kunna utföra en uppgift på grundval av unionsrätt eller nationell rätt i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder eller att skydda mot eller förebygga och förhindra hot mot den allmänna säkerheten.

236

SOU 2017:29

Principer för behandling av personuppgifter

Tillämpningsområdet och den rättsliga grunden i direktivet korresponderar med varandra. Samma uttryckssätt som används för att avgränsa ramlagens tillämpningsområde bör därför användas i bestämmelsen om rättslig grund (se avsnitt 7.1.2 och 7.1.3). Det innebär att den arbetsuppgift som ska ligga till grund för person- uppgiftsbehandlingen ska utföras av en behörig myndighet i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätt- hålla allmän ordning och säkerhet. Personuppgifsbehandlingen ska vara nödvändig för arbetsuppgiften och ha stöd i unionsrätt eller nationell rätt.

Nödvändighetsrekvisitet

Personuppgiftsbehandlingen ska vara nödvändig för att den behö- riga myndigheten ska kunna utföra sina arbetsuppgifter. Enligt Svenska Akademiens Ordbok betyder ordet nödvändig att någon- ting absolut fordras eller inte kan underlåtas. I unionsrätten har kravet på nödvändighet inte samma strikta innebörd. Artikel 7 i det nu gällande direktivet har inte ansetts utgöra ett krav på att det ska vara omöjligt att fullgöra förpliktelsen eller utföra uppgiften utan att personuppgifter behandlas (se Integritet – Offentlighet – Infor- mationsteknik, SOU 1997:39, s. 359). Den slutsatsen får stöd av ett avgörande av EU-domstolen i vilket domstolen uttalade att en myndighets förande av ett centralt register över uppgifter som redan fanns i regionala register är nödvändigt om det bidrar till att effektivisera tillämpningen av relevanta bestämmelser (dom av den 16 december 2008, Huber, C-524/06). Domen bör kunna utgöra stöd även för tolkningen av det nya direktivet. Ordet nödvändig bör därför tolkas som att det är fråga om något som behövs.

I ändamålsbestämmelserna i flertalet registerförfattningar inom ramlagens tillämpningsområde ställs det redan i dag krav på att be- handlingen ska vara nödvändig. Där uttrycks det på det sättet att personuppgifter får behandlas om det behövs i vissa angivna fall. I bestämmelsen om rättslig grund i artikel 6.1 i dataskyddsförord- ningen anges att behandling är laglig om den är nödvändig i vissa angivna fall. Ordet nödvändigt bör därför användas i ramlagen. Per-

237

Principer för behandling av personuppgifter

SOU 2017:29

sonuppgifter ska alltså få behandlas bara om det är nödvändigt för att utföra en arbetsuppgift i vissa syften.

I kravet på nödvändighet ligger att personuppgifter inte får be- handlas om syftet med behandlingen kan uppnås med andra medel, t.ex. genom att anonymisera uppgifterna.

Stöd för behandlingen i unionsrätt eller nationell rätt

Den arbetsuppgift som den behöriga myndigheten ska utföra ska ha stöd i unionsrätt eller nationell rätt. Frågan är vad som avses med det. Det kan enligt utredningens mening inte vara person- uppgiftsbehandlingen i sig som avses. Om så skulle vara fallet skulle de behöriga myndigheterna endast kunna behandla person- uppgifter för att utföra sina arbetsuppgifter i den utsträckning det, utöver den reglering som fastställer arbetsuppgiften, också finns uttryckliga bestämmelser om att personuppgifter får behandlas för att utföra den arbetsuppgiften. Artikeln bör i stället tolkas så att personuppgiftsbehandlingen alltid ska ha stöd i den behöriga myn- dighetens arbetsuppgifter så som de kommer till uttryck i unions- rätten eller i nationell lagstiftning och andra för verksamheten bindande beslut om arbetsuppgifter. Det bör framgå av ramlagen.

Det kan hävdas att det inte behöver anges uttryckligen att arbetsuppgiften ska framgå av en unionsrättsakt, eftersom de enligt lagen (1994:1500) med anledning av Sveriges anslutning till Euro- peiska unionen gäller här i landet med den verkan som följer av EU-fördragen. Utredningen anser dock att det blir tydligare om det framgår av bestämmelsen att arbetsuppgiften även kan ha sin grund i en unionsrättsakt.

En myndighets arbetsuppgifter styrs i huvudsak av dess instruk- tion, medan vilken personuppgiftsbehandling som kan aktualiseras inom ramlagens tillämpningsområde styrs av de materiella bestäm- melserna för verksamheten. Inom ramlagens tillämpningsområde rör det sig framför allt om reglerna om utredning av brott, brott- målsprocess och straffverkställighet. Genom de författningar som reglerar den verksamhet i vilken personuppgifterna behandlas, till- sammans med ramlagen och registerförfattningarna, är enligt utred- ningens mening kravet i direktivet på att behandlingen ska ha stöd i unionsrätt eller nationell rätt uppfyllt.

238

SOU 2017:29

Principer för behandling av personuppgifter

Kravet på att arbetsuppgiften ska vara reglerad innebär att det inte är givet att en behörig myndighet får behandla personuppgifter när den utför en arbetsuppgift för ett syfte som ligger inom ram- lagens tillämpningsområde, om det skulle saknas författningsstöd för uppgiften. Det bör särskilt uppmärksammas t.ex. om en myn- dighet påbörjar försöksverksamhet eller en ny form av myndig- hetssamverkan som kräver att personuppgifter behandlas.

9.1.3Rättslig grund i undantagsfall för diarieföring och handläggning

Utredningens förslag: Personuppgifter får alltid behandlas om det är nödvändigt för diarieföring eller om uppgifterna har läm- nats till en behörig myndighet i en anmälan, ansökan eller lik- nande och behandlingen är nödvändig för myndighetens hand- läggning.

Skälen för utredningens förslag: De myndigheter som ska tilläm- pa ramlagen tar dagligen emot stora mängder information av vitt skilda slag, ofta i elektronisk form. De inkommande uppgifterna kan utgöra en del av en allmän handling i tryckfrihetsförordningens mening. Enligt 5 kap. 1 § offentlighets- och sekretesslagen ska som huvudregel allmänna handlingar som kommit in till en myndighet registreras, dvs. diarieföras, så snart som möjligt. Syftet är bl.a. att garantera allmänhetens tillgång till allmänna handlingar. En myn- dighet måste därför alltid ha möjlighet att behandla personuppgif- ter för att diarieföra och handlägga inkommande anmälningar, an- sökningar och liknande. Det gäller även i de fall där den behöriga myndigheten inte behöver behandla personuppgifterna för att utföra sina arbetsuppgifter (se prop. 2009/10:85 s. 112 f.). Det bör i ramlagen tydliggöras att det är en tillåten rättslig grund för be- handling.

I skäl 16 finns det stöd för att ha en sådan bestämmelse om rättslig grund. Där uttalas nämligen att direktivet inte påverkar principen om allmänhetens rätt att få tillgång till allmänna hand- lingar.

239

Principer för behandling av personuppgifter

SOU 2017:29

9.1.4Skillnad mellan bestämmelser om rättslig grund för behandling och ändamålsbestämmelser

Utredningens bedömning: Det bör göras tydligare skillnad mellan bestämmelser om rättslig grund för behandling och ändamålsbestämmelser.

Skälen för utredningens bedömning

Dagens ändamålsbestämmelser

Bestämmelser om för vilka ändamål personuppgifter får behandlas har en central roll i registerförfattningar. Genom ändamålen sätts ramen för vilken behandling som är tillåten och på så sätt kan an- vändning och spridning av personuppgifter begränsas.

I de behöriga myndigheternas registerförfattningar finns det särskilda ändamålsbestämmelser. Polismyndigheten får enligt 2 kap. 7 § polisdatalagen (2010:361) behandla personuppgifter om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller fullgöra förpliktelser som följer av internationella åtaganden. Motsvarande bestämmelser finns i 3 kap. 2 § kustbevakningsdatalagen (2012:145) och i 2 kap. 5 § åklagardatalagen (2015:433) och föreslås i tullbrottsdatalagen (se avsnitt 3.2.2). En liknande bestämmelse föreslås även i skatte- brottsdatalagen (se avsnitt 3.2.4). Domstolarna får enligt 6 § dom- stolsdatalagen (2015:728) behandla personuppgifter om det behövs för handläggning av mål och ärenden. Enligt 3 § lagen (2001:617) om behandling av personuppgifter inom kriminalvården får Krimi- nalvården behandla personuppgifter om det behövs för att myndig- heten ska kunna fullgöra sina uppgifter i enlighet med vad som föreskrivs i lag eller förordning, underlätta tillgången till sådana uppgifter om verkställighet av påföljd eller häktning som rättsvä- sendets myndigheter behöver eller upprätthålla säkerheten och förebygga brott under den tid någon är bl.a. häktad eller verkställer påföljd.

Enligt 9 § första stycket c personuppgiftslagen (1998:204) får personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål. Den bestämmelsen gäller för berörda myndigheter utom Tullverket, antingen genom att registerförfatt-

240

SOU 2017:29

Principer för behandling av personuppgifter

ningarna gäller utöver personuppgiftslagen och inte innehåller någon avvikande bestämmelse, eller genom att författningarna ut- tryckligen hänvisar till den. Den föreslås bli tillämplig även i Tull- verkets brottsbekämpande verksamhet.

Informationshanteringsutredningen anser att det har skett en sammanblandning mellan vad som i dataskyddsrättslig mening är särskilt bestämda ändamål och tillåtna rättsliga grunder för behand- ling. Det finns enligt den utredningen risk att tillämparen blandar samman ändamål med rättslig grund och godtar ett i författning bestämt allmänt ändamål som ett särskilt och tillräckligt preciserat ändamål och drar den felaktiga slutsatsen att personuppgiftslagens krav därmed är uppfyllda. Informationshanteringsutredningen an- ser att det skulle ge ett bättre integritetsskydd om personuppgifts- ansvariga enbart vore hänvisade till att, utifrån de grundläggande kraven i 9 § första stycket c personuppgiftslagen, på eget ansvar formulera ändamål som är tillräckligt specifika för att ge ledning för vilka personuppgifter som är adekvata och inte för många för den aktuella behandlingen. Förslaget till myndighetsdatalag inne- håller därför inga ändamålsbestämmelser och förutsätter inte heller att sådana ska finnas. I förslaget anges endast att personuppgifter får behandlas om det är nödvändigt för att en myndighet ska kunna utföra sin verksamhet (se SOU 2015:39 s. 278 f.).

Förslaget har fått ett blandat mottagande. Vissa remissinstanser anser att ändamålsbestämmelser har betydelse för att göra det tyd- ligt för enskilda inom vilka ramar myndigheter får samla in och behandla personuppgifter och menar att den föreslagna bestämmel- sen är alltför vag. Andra är positiva till förslaget och framhåller att det förenklar bedömningen av vilken personuppgiftsbehandling som är tillåten.

Det bör göras skillnad mellan bestämmelser om rättslig grund och ändamålsbestämmelser

Utredningen anser att det finns fog för Informationshanteringsut- redningens uppfattning att vad som i dataskyddsrättslig mening är tillåtna rättsliga grunder för behandling och vad som är renodlade ändamålsbestämmelser ibland har blandats samman. En sådan sam- manblandning kan leda till att tillämparen förväxlar rättslig grund med ändamål och godtar ett i författning angivet allmänt ändamål

241

Principer för behandling av personuppgifter

SOU 2017:29

som ett särskilt och tillräckligt preciserat ändamål. Det är därför viktigt att det görs tydligare skillnad mellan bestämmelser om rättslig grund och ändamålsbestämmelser.

I avsnitt 9.1.2 föreslås att den arbetsuppgift som ligger till grund för personuppgiftsbehandlingen ska framgå av en bindande unions- rättsakt eller av en lag, en förordning eller ett särskilt beslut i vilket regeringen uppdragit åt den behöriga myndigheten att ansvara för viss arbetsuppgift. Det kan ifrågasättas om bestämmelser som exempelvis 2 kap. 7 § polisdatalagen, där det endast anges att Polis- myndigheten får behandla personuppgifter för att utföra vissa av sina arbetsuppgifter, faktiskt är ändamålsbestämmelser eller om de i stället bör betraktas som en precisering av den rättsliga grunden. Man kan också fråga sig om det finns behov av att behålla den typen av bestämmelser när ramlagen innehåller en generell bestäm- melse om rättslig grund.

Ingen av de behöriga myndigheterna har i dag en registerför- fattning som gäller inom alla de verksamhetsområden som ram- lagen omfattar. Utredningen anser att bestämmelser som tydliggör inom vilka ramar var och en av myndigheterna får behandla per- sonuppgifter kan fylla en viktig funktion. Sådana bestämmelser innebär att lagstiftaren tvingas överväga behovet av reglering av personuppgiftsbehandlingen, om myndigheten tillförs nya arbets- uppgifter. Frågan om hur man ska se på de bestämmelser som i dag betecknas som primära ändamålsbestämmelser och om det finns behov av att anpassa dem kommer att behandlas i slutbetänkandet. Kravet på att det vid all behandling av personuppgifter ska finnas särskilda, uttryckligt angivna och berättigade ändamål för behand- lingen påverkas inte av om det finns ändamålsbestämmelser.

9.1.5Behandling bara för särskilda, uttryckligt angivna och berättigade ändamål

Utredningens förslag: Personuppgifter får behandlas bara för särskilda, uttryckligt angivna och berättigade ändamål. Om det ändamål som personuppgifterna behandlas för inte framgår av sammanhanget eller på annat sätt, ska det tydliggöras genom en särskild upplysning.

242

SOU 2017:29

Principer för behandling av personuppgifter

Skälen för utredningens förslag

Behandling för särskilda, uttryckligt angivna och berättigade ändamål

I artikel 4.1 b i direktivet anges bl.a. att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Lik- nande reglering finns i artikel 6.1 b i det nu gällande dataskydds- direktivet, som har genomförts genom 9 § första stycket c person- uppgiftslagen. En liknande bestämmelse bör tas in i ramlagen.

Att ändamålen ska vara särskilda innebär att de måste vara till- räckligt specificerade för att ge ledning för bedömningen av vilka uppgifter som är adekvata och relevanta för den aktuella behand- lingen och för att det ska kunna avgöras att inte för många uppgif- ter behandlas (se avsnitt 9.2.2). Något hinder mot att ange flera parallella ändamål för behandlingen finns inte. Ändamålen ska an- ges uttryckligen redan när personuppgifterna samlas in.

Att ändamålen ska vara berättigade innebär enligt utredningens mening en koppling till den rättsliga grunden. Personuppgifter får således inte behandlas för ett ändamål som inte är berättigat i för- hållande till den tillämpliga rättsliga grunden. Kravet på att ända- målet för behandlingen ska vara berättigat kan också sägas innebära ett krav på att behandlingen ska vara förenlig med konstitutionella och andra rättsliga principer. Genom att det i stor utsträckning är reglerat vilken personuppgiftsbehandling som kan aktualiseras på området för brottsbekämpning, lagföring, straffverkställighet och upprätthållande av allmän ordning och säkerhet har lagstiftaren redan tagit ställning till att personuppgiftsbehandlingen är berätti- gad i de fallen.

Det är dock inte bara när personuppgifter samlas in som det ska finnas ett särskilt, uttryckligt angivet och berättigat ändamål för behandlingen. Varje åtgärd som vidtas med insamlade uppgifter ska naturligtvis också uppfylla de kraven (jfr prop. 2009/10:85 s. 98). I ramlagen bör det därför tydliggöras att all behandling ska utföras för särskilda, uttryckligt angivna och berättigade ändamål.

Bestämmelsen tar sikte på ändamålen i det enskilda fallet som t.ex. förundersökningen om ett visst brott eller ärendet om förord- nande av målsägandebiträde. I avsnitt 10.2.7 föreslås att ändamålen med behandlingen ska förtecknas i det register som myndigheten ska föra och i avsnitt 11.2.6 att den personuppgiftsansvarige ska tillhandahålla allmän information om ändamålen med behand-

243

Principer för behandling av personuppgifter

SOU 2017:29

lingen. Det innebär inte att den personuppgiftsansvarige måste för- teckna respektive lämna information om alla de enskilda fall där myndigheten behandlar personuppgifter. Det som avses är de typer av ändamål som myndigheten behandlar personuppgifter för. Som exempel kan nämnas att Polismyndigheten behandlar personupp- gifter bl.a. för att ta emot anmälningar om brott, genomföra för- undersökningar, verkställa uppbörd av bötesstraff och dokumen- tera ingripanden vid ordningsstörningar och att Kriminalvården behandlar personuppgifter för att verkställa olika straffrättsliga påföljder och hantera vissa andra frihetsberövanden.

I artikel 8.2 anges att nationell rätt åtminstone ska specificera syftet med behandlingen, vilka personuppgifter som ska behandlas och behandlingens ändamål. Uttrycken syftet med behandlingen och behandlingens ändamål används ofta synonymt när man dis- kuterar personuppgiftsbehandling. Frågan är om det finns någon saklig skillnad mellan uttrycken. I den engelska språkversionen av direktivet används uttrycken ”objectives of processing” och ”pur- poses of the processing”. Orden objectives och purposes är också synonymer. Användningen av obestämd form i det första uttrycket men bestämd form i det senare kan tolkas som att det första ut- trycket avser bestämmelser om rättslig grund (brottsbekämpning, lagföring, straffverkställighet eller upprätthållande av allmän ord- ning och säkerhet), medan det andra avser ändamålen för behand- lingen i det enskilda fallet. Om någon skillnad är avsedd är det en- ligt utredningens mening den enda rimliga tolkningen.

Den föreslagna generella bestämmelsen om rättslig grund i ram- lagen, tillsammans med bestämmelsen om att personuppgifter ska behandlas för särskilda, uttryckligt angivna och berättigade ända- mål, får därmed anses uppfylla kraven i direktivet på hur regle- ringen ska vara utformad. Frågan om det bör regleras vilka person- uppgifter som får behandlas diskuteras i avsnitt 9.2.5.

Ändamålen ska framgå

En särskild fråga är vad som avses med att ändamålen ska vara ut- tryckligt angivna. Det finns i dag inget generellt krav på att ända- målsbestämningen ska dokumenteras. Enligt 3 kap. 3 § polisdata- lagen och 4 kap. 2 § kustbevakningsdatalagen ska det dock genom

244

SOU 2017:29

Principer för behandling av personuppgifter

en särskild upplysning eller på något annat sätt framgå för vilket närmare ändamål personuppgifter som har gjorts gemensamt till- gängliga behandlas. Bestämmelserna tillkom i samband med att möjligheten att göra uppgifter gemensamt tillgängliga reglerades. Syftet är att ge den som söker information motsvarande upplys- ningar som han eller hon skulle ha fått om uppgifterna hade be- handlats i traditionella register. Motsvarande föreslås gälla för Tullverkets och Skatteverkets brottsbekämpande verksamhet.

Oftast framgår det av sammanhanget för vilket ändamål person- uppgifter behandlas (t.ex. för förundersökningen om ett visst brott, handläggningen av ett visst mål eller ärende eller verkställig- heten av ett visst straff). Behovet av att upplysa om för vilka ända- mål personuppgifter behandlas gör sig framför allt gällande i den del av den brottsbekämpande verksamheten där det långtifrån alltid framgår av omständigheterna för vilket ändamål uppgifter behand- las. Det bör finnas möjlighet att kunna kontrollera för vilket eller vilka ändamål personuppgifter behandlas oavsett i vilken verksam- het det görs. Det underlättar både för den enskilde och för till- synsmyndigheten om ändamålet är tydligt. Om det ändamål för vilket personuppgifter behandlas inte framgår av sammanhanget eller på annat sätt bör det därför tydliggöras genom en särskild upplysning. En bestämmelse om det bör tas in i ramlagen.

Det krav på att ändamålet för behandlingen ska framgå som gäller för några av de behöriga myndigheterna omfattar bara upp- gifter som har gjorts gemensamt tillgängliga. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga (se t.ex. 3 kap. 1 § polisdatalagen). Om uppgifter be- handlas av en liten, klart avgränsad grupp vet de inblandade perso- nerna som regel varifrån uppgifterna kommer och varför de be- handlas. I de fallen framgår det alltså normalt av sammanhanget för vilket ändamål personuppgifter behandlas. Det vore orimligt att då ställa upp ett krav på att ändamålet ska nedtecknas. Det finns där- för skäl att göra undantag från kravet på särskild upplysning för uppgifter som inte har gjorts gemensamt tillgängliga. Utredningen återkommer till det i slutbetänkandet.

245

Principer för behandling av personuppgifter

SOU 2017:29

9.1.6Behandling för nya ändamål

Utredningens förslag: Innan personuppgifter får behandlas för ett nytt ändamål inom ramlagens tillämpningsområde ska det säkerställas att

1.det finns en tillåten rättslig grund för den nya behandlingen, och

2.behandlingen är nödvändig och proportionerlig för det nya ändamålet.

Skälen för utredningens förslag

Nya ändamål inom ramlagens tillämpningsområde

Som framgår av avsnitt 7.1.1 gäller dataskyddsförordningen för all personuppgiftsbehandling som omfattas av unionsrätt men som inte ligger inom ramlagens tillämpningsområde. En behörig myn- dighet måste därför alltid avgöra om ändamålen med behandlingen av personuppgifter omfattas av ramlagens tillämpningsområde, oav- sett om det är första gången en uppgift behandlas eller om den ska behandlas för nya ändamål. I detta avsnitt diskuteras behandling för nya ändamål inom ramlagens tillämpningsområde. Behandling för ändamål utanför ramlagens tillämpningsområde diskuteras i av- snitt 9.6.

Nuvarande reglering av behandling för nya ändamål

I 9 § första stycket d personuppgiftslagen finns en generell bestäm- melse om vidarebehandling. Där regleras finalitetsprincipen, enligt vilken personuppgifter inte får behandlas för något ändamål som är oförenligt med det ändamål för vilket uppgifterna samlades in. Be- stämmelsen gäller för alla myndigheter i rättskedjan utom Tullver- ket, antingen genom uttryckliga hänvisningar i registerförfattning- arna eller för att registerförfattningarna gäller utöver personupp- giftslagen och inte innehåller någon avvikande bestämmelse. Enligt förslaget till tullbrottsdatalag ska bestämmelsen bli tillämplig även i Tullverkets brottsbekämpande verksamhet.

246

SOU 2017:29

Principer för behandling av personuppgifter

Flera av myndigheternas registerförfattningar innehåller sär- skilda regler om vidarebehandling. I s.k. sekundära ändamålsbe- stämmelser regleras när det är tillåtet att behandla personuppgifter för att tillhandahålla information till andra myndigheter eller andra verksamheter inom myndigheten. En sådan bestämmelse är 2 kap. 6 § åklagardatalagen, som föreskriver att personuppgifter som be- handlas i åklagarväsendets operativa verksamhet även får behandlas när det är nödvändigt för att tillhandahålla information som behövs i brottsbekämpande verksamhet hos Åklagarmyndigheten, Eko- brottsmyndigheten, Polismyndigheten, Säkerhetspolisen, Tullver- ket, Kustbevakningen och Skatteverket eller en utländsk myndig- het, ett EU-organ eller en mellanfolklig organisation. I ett enskilt fall får personuppgifter även behandlas för att tillhandahålla infor- mation för något annat ändamål, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in. Syftet med de sekundära ändamålsbestämmelserna är att under- lätta för tillämparen. Han eller hon behöver endast avgöra om det är nödvändigt att lämna information som behövs i en annan brotts- bekämpande myndighets verksamhet men tvingas inte att i de situationer som anges i den sekundära ändamålsbestämmelsen av- göra om utlämnandet är förenligt med det ursprungliga ändamålet med personuppgiftsbehandlingen.

Behandling för nya ändamål inom ramlagens tillämpningsområde är förenlig med det ursprungliga ändamålet

I artikel 4.1 b regleras finalitetsprincipen, enligt vilken personupp- gifter inte får behandlas på ett sätt som står i strid med de ändamål som uppgifterna samlades in för. Samtidigt framgår det av arti- kel 4.2 att behandling för andra ändamål inom direktivets tillämp- ningsområde än det för vilket personuppgifterna samlades in ska tillåtas, om den personuppgiftsansvarige enligt unionsrätten eller nationell rätt är bemyndigad att behandla personuppgifter för ett sådant ändamål och behandlingen är nödvändig och står i propor- tion till detta andra ändamål i enlighet med unionsrätten eller nationell rätt. Det måste enligt utredningens mening innebära att all behandling för ändamål som ligger inom direktivets tillämp- ningsområde ska anses vara förenlig med insamlingsändamålen, under förutsättning att behandlingen är nödvändig och står i pro-

247

Principer för behandling av personuppgifter

SOU 2017:29

portion till det nya ändamålet. Det saknar alltså betydelse om det är den personuppgiftsansvarige som ursprungligen samlat in person- uppgifterna som utför behandlingen för det nya ändamålet eller om det är en annan personuppgiftsansvarig, så länge de båda är behö- riga myndigheter och behandlingen ligger inom direktivets tillämp- ningsområde. Även behandling för att lämna ut personuppgifter till någon som inte är en behörig myndighet kan omfattas av direkti- vet, om ändamålet för den behandlingen ligger inom direktivets tillämpningsområde. Så kan vara fallet exempelvis om Polismyndig- heten vid utredningen av ett bidragsbrott behöver skicka person- uppgifter till Centrala studiestödsnämnden för att få information för utredningen av brottet. Om utlämnandet däremot enbart görs för att Centrala studiestödsnämnden ska kunna återkräva felaktigt utbetalda lån eller bidrag ligger ändamålet utanför ramlagens till- lämpningsområde.

Frågan är om det, trots att ny behandling alltid är tillåten om den utförs av en behörig myndighet för ett ändamål inom ram- lagens tillämpningsområde, ändå finns skäl att reglera finalitetsprin- cipen i ramlagen. Det kan hävdas att en sådan reglering krävs för att genomföra direktivet på ett korrekt sätt, eftersom finalitetsprin- cipen finns uttryckt i direktivet. För att tydliggöra att någon pröv- ning mot det ursprungliga ändamålet för behandling inte behöver göras så länge ramlagen är tillämplig, skulle en reglering av finali- tetsprincipen behöva kompletteras med en bestämmelse som klar- gör att all behandling inom ramlagens tillämpningsområde är för- enlig med ursprungsändamålet. En sådan reglering framstår enligt utredningens mening som meningslös och riskerar dessutom att skapa osäkerhet om finalitetsprincipen ska tillämpas eller inte. Det bör därför inte finnas någon bestämmelse om finalitetsprincipen i ramlagen.

När personuppgifter behandlas för nya ändamål brukar man tala om vidarebehandling. Uttrycket vidarebehandling är kopplat till finalitetsprincipen och den prövning som görs mot ursprungsända- målen. Eftersom någon sådan prövning inte ska göras vid behand- ling för nya ändamål inom ramlagens tillämpningsområde bör termen vidarebehandling inte användas för sådan behandling.

248

SOU 2017:29

Principer för behandling av personuppgifter

Behandling för nya ändamål förutsätter en annan prövning

Som framgår av avsnitt 9.1.2 och 9.1.5 ska det alltid finnas en rätts- lig grund och särskilda, uttryckligt angivna och berättigade ändamål för den personuppgiftsbehandling som utförs. Ändamålen har framför allt betydelse för att kunna kontrollera att de personupp- gifter som behandlas är relevanta och adekvata för behandlingen och att inte för många personuppgifter behandlas (se avsnitt 9.2.2). Det är dock inte tillräckligt att kontrollera om personuppgifterna är adekvata och relevanta enbart när behandlingen påbörjas, utan det måste göras kontinuerligt. Finns det inte längre behov av att behandla personuppgifterna ska behandlingen av dem upphöra (se avsnitt 9.3.2).

Om personuppgifter behandlas för nya ändamål kan det leda till ökad spridning av uppgifterna genom att fler får tillgång till dem. Det kan också leda till att uppgifterna behandlas under längre tid än vad som var avsett från början. Behandling för nya ändamål kan därmed medföra ökat intrång i enskildas personliga integritet. Det är därför viktigt att en noggrann prövning görs innan personupp- gifter behandlas för ett nytt ändamål.

Enligt artikel 4.2 får personuppgifter behandlas för ett nytt ändamål om behandlingen är nödvändig och står i proportion till det nya ändamålet. Det innebär att det behöver prövas om behand- lingen är nödvändig och proportionerlig för det nya ändamålet innan behandlingen påbörjas. Det är enligt utredningens mening en annan prövning än den som ska göras fortlöpande vid all person- uppgiftsbehandling. För att tydliggöra att det är en särskild pröv- ning som krävs när personuppgifter ska behandlas för nya ändamål bör det tas in en bestämmelse i ramlagen som anger under vilka förutsättningar behandling för nya ändamål inom lagens tillämp- ningsområde är tillåten.

Det ska finnas en tillåten rättslig grund för den nya behandlingen

Artikel 4.2 är inte utformad på samma sätt som artikel 8.1, där den tillåtna rättsliga grunden för behandling regleras. Artiklarna inne- håller dock enligt utredningens mening i grunden samma krav. Eftersom det alltid måste finnas en tillåten rättslig grund för be- handling av personuppgifter gäller det naturligtvis även vid behand-

249

Principer för behandling av personuppgifter

SOU 2017:29

ling för nya ändamål. En första förutsättning för att behandling för ett nytt ändamål ska vara tillåten bör därför vara att det finns en tillåten rättslig grund för den nya behandlingen. Det krävs alltså att den nya behandlingen är nödvändig för att en behörig myndighet ska kunna utföra en arbetsuppgift i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verk- ställa en straffrättslig påföljd eller upprätthålla allmän ordning och säkerhet. Ett vanligt exempel är att det vid utredningen av ett brott upptäcks att brottet i fråga har betydelse för underrättelseverk- samhet om annan brottslighet, t.ex. att vapen påträffas som skulle kunna ha samband med andra händelser. Ett annat exempel är att ett rutinmässigt dna-prov leder till att det blir träff på ett annat brott med tidigare okänd gärningsman. Arkiverade personuppgifter kan också behöva behandlas om det kommer fram nya omständig- heter som gör att en nedlagd brottsutredning bör tas upp på nytt.

Kravet på nödvändighet

För att behandling för ett nytt ändamål ska vara tillåten ska den också vara nödvändig för det nya ändamålet. I bedömningen av om det finns en tillåten rättslig grund för behandling ingår övervägan- den om behandlingen är nödvändig för att en behörig myndighet ska kunna utföra vissa angivna arbetsuppgifter (se avsnitt 9.1.2). Det är inte klart om kravet på nödvändighet i artikel 4.2 innebär något annat än det krav som ingår i bedömningen av om det finns rättslig grund för behandlingen. För en åklagare kan det t.ex. vara nödvändigt att behandla personuppgifter både i en förundersök- ning om ett visst brott och för att ta ställning till om ett nyupp- täckt brott behöver utredas. Det innebär att det finns en rättslig grund för att behandla personuppgifter för att avgöra frågan om förundersökning ska påbörjas om det nya brottet. Behandlingen av personuppgifter är också nödvändig för det ändamålet, eftersom åklagaren bl.a. ska ta ställning till om det nya brottet skulle påverka påföljden och då behöver inhämta information om personens samlade brottsbelastning.

Även om resultatet av bedömningarna av om behandlingen är nödvändig i de allra flesta fall blir detsamma går det inte att utesluta att resultaten någon gång blir olika. Man kan tänka sig att det vid

250

SOU 2017:29

Principer för behandling av personuppgifter

utredningen av ett visst brott upptäcks nya brott men att de är be- gångna utomlands. Det finns då i och för sig rättslig grund för att behandla personuppgifter för att utreda brotten. I och med att brotten är begångna utomlands är det dock inte alltid nödvändigt att göra det. Eftersom direktivet ställer upp ett krav på nödvändig- het både när det gäller rättslig grund och när det gäller behandling för nya ändamål anser utredningen att bestämmelsen om behand- ling för nya ändamål bör innehålla ett nödvändighetsrekvisit.

Kravet på proportionalitet

Direktivet ställer även krav på att behandling för ett nytt ändamål ska stå i proportion till det nya ändamålet. Att det ska göras en proportionalitetsbedömning för att behandling för ett nytt ändamål ska vara tillåten är en nyhet.

Kravet på proportionalitet innebär enligt utredningens mening att skälen för den nya behandlingen ska väga tyngre än det intrång som behandlingen innebär för den enskilde. Vad som står att vinna med behandlingen ska alltså vägas mot intrånget i enskildas integri- tet. Om det har inträffat ett allvarligt brott behöver Polismyndig- heten t.ex. göra sökningar i olika register där det förekommer upp- gifter om personer som kan ha begått likartade brott tidigare. En sådan sökning innebär naturligtvis att en bredare krets av registre- rade kan drabbas av intrång än om man redan har en utpekad miss- tänkt. Proportionalitetsbedömningen ska inte göras i förhållande till varje enskild uppgift i registren, utan behovet av sökningen ska vägas mot det samlade intrånget av att sökningen görs.

För proportionalitetsbedömningen har det också betydelse vilka personuppgifter det är fråga om och i vilken verksamhet de an- vänds. Att behandla en adressuppgift för nya ändamål är t.ex. gene- rellt sett mer harmlöst än att behandla en uppgift som rör hälsa eller sexualliv.

Det kan vara särskilt svårt att bedöma om det är proportioner- ligt att använda information från exempelvis förundersökningar för underrättelseverksamhet eller brottsförebyggande arbete, eftersom sådan verksamhet till sin natur inte är lika konkret. Det är då svå- rare att avgöra vad som står att vinna med behandlingen. Samtidigt kan det vara av avgörande betydelse för möjligheten att avslöja och

251

Principer för behandling av personuppgifter

SOU 2017:29

utreda pågående eller framtida brottslighet att uppgifter om vissa personers brottsliga aktivitet eller kontakter får föras över från t.ex. den brottsutredande verksamheten till underrättelseverksamheten. Att bedömningen kan vara svår innebär inte att det finns skäl att avstå från att pröva proportionaliteten utan understryker tvärtom vikten av att det görs en prövning i det enskilda fallet.

Tillämparen måste alltså ställa sig frågan vilken betydelse per- sonuppgifterna kan få för den nya behandlingen. Om t.ex. en per- son redan är misstänkt för brott och misstanke uppkommer om att han eller hon begått ytterligare brott som kan ha betydelse för på- följden, utgår lagstiftningen från att brotten ska utredas tillsam- mans och att en gemensam påföljd för brotten ska kunna dömas ut. Den misstänktes intresse av att uppgifterna inte behandlas vid ut- redningen om det senare brottet väger då normalt inte lika tungt som intresset av att brotten utreds och behandlas i domstol samti- digt. En närliggande fråga är om personuppgifter som har samlats in om den som har utsatts för brott bör få användas för att utreda om han eller hon själv har begått brott. Där är svaret kanske inte lika givet. Är det fråga om ett allvarligt brott väger sannolikt intres- set av att utreda det brottet tyngre än den enskildes intresse av uppgifterna inte behandlas, men om det är fråga om ett lindrigare brott kanske avvägningen inte utfaller på samma sätt.

Syftet med ett krav på proportionalitet är alltså att det ska göras en bedömning i det enskilda fallet av behovet av den nya behand- lingen ställt i relation till intrånget. Ett sådant krav tillåter inte att vissa typer av nya ändamål generellt sett anses vara av så stort värde att de alltid väger upp integritetsintrånget.

Sekundära ändamålsbestämmelser

En behörig myndighet kan ha behov av att behandla personupp- gifter för nya ändamål både för att använda uppgifterna i den egna verksamheten och för att lämna ut dem till någon annan. Så länge ändamålet med behandlingen ligger inom ramlagens tillämpnings- område saknar det betydelse om uppgifterna lämnas till en behörig eller en icke behörig myndighet, under förutsättning att behand- lingen är nödvändig och proportionerlig för det ändamål som upp-

252

SOU 2017:29

Principer för behandling av personuppgifter

giften lämnas ut för. Det aktualiserar frågan om hur de sekundära ändamålsbestämmelserna i registerförfattningarna bör hanteras.

Att uppgiftslämnande är tillåtet enligt direktivet hindrar enligt utredningens mening i och för sig inte att man i nationell rätt sätter gränser för i vilken utsträckning personuppgifter får lämnas mellan myndigheter. Sådana begränsningar kan bidra till skyddet av enskil- das integritet och göra det tydligt och förutsebart i vilken utsträck- ning en behörig myndighet får lämna personuppgifter till andra. Frågan är då om det finns skäl att behålla de sekundära ändamåls- bestämmelserna eller om det räcker med den prövning av nödvän- dighet och proportionalitet som föreslås. På samma sätt som det i avsnitt 9.1.5 beträffande primära ändamålsbestämmelser diskuteras vad de innebär, kan det enligt utredningens mening ifrågasättas om de sekundära ändamålsbestämmelserna faktiskt är bestämmelser om ändamål (jfr SOU 2015:39 s. 281 f.). Utredningen återkommer till dessa frågor i slutbetänkandet. Sekundära ändamålsbestämmel- ser behandlas även i avsnitt 9.6.

9.1.7Behandling för vetenskapliga, statistiska och historiska ändamål

Utredningens förslag: En behörig myndighet får behandla per- sonuppgifter för vetenskapliga, statistiska eller historiska ända- mål inom ramlagens tillämpningsområde.

Skälen för utredningens förslag: Enligt artikel 4.3 kan behandling inbegripa arkivändamål av allmänt intresse och vetenskaplig, statis- tisk eller historisk användning för de ändamål som omfattas av direktivets tillämpningsområde, under förutsättning att det finns lämpliga skyddsåtgärder för de registrerades rättigheter och frihe- ter. Generella frågor om arkivering tas upp i avsnitt 9.3. I detta av- snitt diskuteras enbart behandling för vetenskapliga, statistiska och historiska ändamål inom direktivets tillämpningsområde.

Att det i direktivet lyfts fram att behandling kan inbegripa vetenskaplig, statistisk eller historisk användning gör det tydligt att direktivets övriga bestämmelser ska tillämpas även vid behandling för sådana ändamål. Det ska alltså finnas en rättslig grund för be- handlingen (se avsnitt 9.1.2). De personuppgifter som behandlas

253

Principer för behandling av personuppgifter

SOU 2017:29

ska vidare vara adekvata och relevanta och de får inte heller vara för omfattande i förhållande till de vetenskapliga, statistiska eller histo- riska ändamålen (se avsnitt 9.2.2). På samma sätt som den person- uppgiftsansvarige vid behandling för andra ändamål inom ram- lagens tillämpningsområde ska se till att personuppgifterna inte behandlas under längre tid än vad som behövs för de ändamålen (se avsnitt 9.3), får behandling för historiska, statistiska eller veten- skapliga ändamål inte heller pågå längre än vad som behövs för dessa ändamål. En bestämmelse som genomför artikel 4.3 bör tas in i ramlagen.

Artikel 4.3 reglerar bara behandling för historiska, statistiska och vetenskapliga ändamål inom direktivets tillämpningsområde. Eftersom endast behöriga myndigheter får behandla personupp- gifter enligt ramlagen är det bara dessa myndigheters behandling av uppgifter för sådana ändamål som kan omfattas av ramlagen. Det gäller dock bara behandling för sådana ändamål som rör brottsbe- kämpning, lagföring, straffverkställighet eller upprätthållande av allmän ordning och säkerhet. Det innebär att statistikbehandling som rör t.ex. vapenärenden eller ärenden enligt ordningslagen lig- ger utanför tillämpningsområdet. Andra myndigheters behandling av statistik rörande brottsbekämpning, lagföring och straffverkstäl- lighet, exempelvis Brottsförebyggande rådets sammanställning av rättsstatistik, ligger också utanför ramlagens tillämpningsområde.

9.2Grundläggande krav på behandlingen

9.2.1Ingen generell bestämmelse om grundläggande principer

Utredningens förslag: Personuppgifter ska behandlas författ- ningsenligt och på ett korrekt sätt.

Utredningens bedömning: Ramlagen bör inte innehålla någon generell bestämmelse om de grundläggande principerna för be- handling av personuppgifter. Principerna bör i stället regleras i sitt sammanhang.

254

SOU 2017:29

Principer för behandling av personuppgifter

Skälen för utredningens förslag och bedömning

De grundläggande principerna regleras i sitt sammanhang

Som framgår av avsnitt 9.1 krävs det en rättslig grund för att per- sonuppgifter överhuvudtaget ska få behandlas. Är behandlingen rättsligt grundad ska särskilda, uttryckligt angivna och berättigade ändamål bestämmas för den. Utifrån de ändamålen får det sedan avgöras vilka personuppgifter som får behandlas och vilka övriga krav som ställs.

I artikel 4.1 anges allmänna principer för behandling av person- uppgifter. Artikeln överensstämmer i allt väsentligt med artikel 6 i det nu gällande dataskyddsdirektivet. Den artikeln har genomförts i 9 § personuppgiftslagen, som reglerar de grundläggande princi- perna för personuppgiftsbehandling. Stora delar av paragrafen gäl- ler för de behöriga myndigheterna, antingen för att deras register- författningar gäller utöver personuppgiftslagen eller för att det uttryckligen hänvisas till delar av paragrafen i de registerförfatt- ningar som gäller i stället för personuppgiftslagen. Regleringen i 9 § har således tillämpats länge och är väl inarbetad i myndigheternas verksamhet. Mot den bakgrunden skulle det kunna finnas skäl att ta in en motsvarande bestämmelse i ramlagen.

Paragrafer som är allmänt hållna och bygger på uppräkningar av grundläggande principer med ett påtagligt abstrakt innehåll blir emellertid lätt intetsägande och riskerar därigenom att inte i alla avseenden tillämpas på det sätt som är avsett. För att göra regle- ringen klar och tydlig bör enligt utredningens mening artikel 4.1 vid genomförandet delas upp och principerna i de olika punkterna behandlas i direkt anslutning till regleringen av de frågor som respektive princip tar sikte på. På det sättet blir det uppenbart att principerna utgör materiella bestämmelser, vilket enligt utredning- ens mening både förbättrar skyddet för den enskilde och underlät- tar för tillämparen.

Genomförandet av de grundläggande principerna

Enligt utredningens mening bör det alltså inte tas in någon motsva- righet till personuppgiftslagens generella bestämmelse om grund- läggande krav på behandlingen i ramlagen. De grundläggande kra-

255

Principer för behandling av personuppgifter

SOU 2017:29

ven på behandling av personuppgifter bör i stället behandlas i sitt sammanhang.

Ändamålen med behandlingen regleras i artikel 4.1 b. Principen har ett konkret och viktigt innehåll som bör lyftas fram. Den be- handlas i avsnitt 9.1.5.

Kvaliteten på och omfattningen av de personuppgifter som be- handlas regleras i artikel 4.1 c och d. Uppgifterna ska vara adekvata, relevanta och korrekta. Den principen bör behandlas tillsammans med artikel 6, enligt vilken åtskillnad ska göras mellan personupp- gifter som rör olika kategorier av registrerade, och artikel 7.1, en- ligt vilken personuppgifter som grundar sig på fakta så långt möj- ligt ska skiljas från personuppgifter som grundar sig på personliga bedömningar. Frågorna behandlas i avsnitt 9.2.2 och 9.2.3.

I artikel 4.1 d föreskrivs även att alla rimliga åtgärder måste vid- tas för att säkerställa att felaktiga personuppgifter raderas eller rättas utan dröjsmål. Den principen tas upp i anslutning till artik- larna 7.2 och 7.3, som behandlar åtgärder för att säkerställa att fel- aktiga, ofullständiga eller inaktuella personuppgifter inte överförs eller görs tillgängliga. Frågorna behandlas i avsnitt 9.2.6.

Personuppgifter ska enligt artikel 4.1 e inte förvaras i en form som möjliggör identifiering av den registrerade under längre tid än vad som är nödvändigt för de ändamål för vilka de behandlas. Den principen hänger nära samman med artikel 5 som reglerar tidsgrän- ser för lagring. Hur länge personuppgifter får behandlas tas upp i avsnitt 9.3.2.

Artikel 4.1 f behandlar säkerheten för personuppgifter och bör genomföras tillsammans med artikel 29, som också reglerar säker- het i samband med behandling. Den frågan diskuteras i avsnitt 10.3.

Krav på författningsenlig och korrekt behandling

Enligt artikel 4.1 a ska personuppgifter behandlas på ett lagligt och korrekt sätt. De grundläggande kraven på lagenlighet, saklighet och opartiskhet i offentlig verksamhet finns i regeringsformen. Att en myndighet ska agera i enlighet med lag framstår som en självklarhet och är djupt förankrat i den svenska förvaltningstraditionen. Det gäller också att handläggningen ska ske på ett korrekt sätt. Det bör

256

SOU 2017:29

Principer för behandling av personuppgifter

emellertid tydliggöras i ramlagen att personuppgifter alltid ska be- handlas lagligt och på ett korrekt sätt.

Principen om laglighet innefattar att det ska finnas en rättslig grund för behandlingen (se avsnitt 9.1.2 och 9.1.3). Att använda ordet laglig kan lätt leda till motsatsslut. Eftersom det finns behov av att i andra bestämmelser i ramlagen reglera att behandlingen ska stå i överensstämmelse inte bara med lag utan även med föreskrifter på lägre nivåer anser utredningen att uttrycket författningsenlig är lämpligare att använda i ramlagen.

När det gäller principen om korrekthet kan det vid en jämfö- relse med andra språkversioner ifrågasättas om den svenska termen korrekt motsvarar avsikten med bestämmelsen. I den danska språk- versionen anges i stället att uppgifterna ska behandlas rimeligt. I den engelska används termen fairly, vilket betyder rättvist, skäligt eller rimligt. Den franska språkversionen använder termen loyale som har motsvarande betydelse. Användningen av dessa termer tyder enligt utredningens mening på att en intresseavvägning ska göras, vilket inte lika tydligt framgår av den svenska termen kor- rekt. Utredningen tolkar artikeln så att det som avses med korrekt sätt är att behandlingen inte bara formellt ska vara i enlighet med regleringen utan också spegla intentionerna med lagstiftningen.

9.2.2Personuppgifter ska vara korrekta och adekvata

Utredningens förslag: De personuppgifter som behandlas ska vara korrekta och, om det är nödvändigt, uppdaterade.

Uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet.

De personuppgifter som behandlas ska också vara adekvata och relevanta i förhållande till ändamålen med behandlingen. Fler personuppgifter än vad som är nödvändigt med hänsyn till ändamålen med behandlingen får inte behandlas.

257

Principer för behandling av personuppgifter

SOU 2017:29

Skälen för utredningens förslag

Personuppgifter ska vara korrekta och uppdaterade

Enligt artikel 4.1 d ska personuppgifter vara korrekta och, om nöd- vändigt, uppdaterade. Motsvarande bestämmelse finns i arti- kel 6.1 d i det nu gällande direktivet. Artikeln har genomförts i 9 § första stycket g personuppgiftslagen, enligt vilken personuppgifter som behandlas ska vara riktiga och, om nödvändigt, aktuella. En bestämmelse med det innehållet bör tas in i ramlagen. Utredningen anser att direktivets formulering bör användas.

En uppgift är korrekt om den stämmer överens med de verkliga förhållandena. För att bestämma vilka de verkliga förhållandena är som personuppgifterna ska spegla får man söka ledning i ändamå- len med behandlingen. I vissa fall är avsikten med behandlingen bara att registrera uppgifter som kommit in, t.ex. i en brottsanmä- lan. De behandlade personuppgifterna får då betraktas som kor- rekta om de stämmer överens med de inkomna uppgifterna, oavsett hur de förhåller sig till de verkliga förhållandena (jfr Sören Öman och Hans-Olof Lindblom, Personuppgiftslagen, En kommentar, 4:e uppl. 2011, i fortsättningen Öman m.fl., s. 206).

Frågan om en personuppgift är korrekt ska inte bara vägas mot ändamålen för behandlingen. Att uppgifter som förekommer i bl.a. brottsbekämpande verksamhet och vid annan behandling av upp- gifter om lagöverträdelser har en särskild karaktär måste också be- aktas. Frågan om en uppgift är korrekt måste därför även ses mot bakgrund av vad uppgiften rör, när den lämnas och vem som läm- nar den. Om t.ex. en person anmäler en annan för brott är uppgif- terna i anmälan korrekta om de återspeglar vad anmälaren har upp- gett. Det förhållandet att det senare hålls ett förhör vid vilket vissa uppgifter tas tillbaka eller ändras innebär inte att de först lämnade uppgifterna är felaktiga. Om det sedan vid en rättegång visar sig att personen i fråga lämnar nya uppgifter eller ändrar tidigare påståen- den återspeglar ändå det förhör som hölls vad som sades vid det tillfället och är därigenom korrekt. Särskilt när det gäller utsagor från personer som hörs under en förundersökning eller vid en rät- tegång och som har ett personligt intresse av resultatet av hand- läggningen utgår lagstiftningen från att uppgifterna kan komma att ändras. Det krav på korrekthet som kan ställas när det gäller per- sonuppgifter som behandlas vid utsagor måste därför inskränkas

258

SOU 2017:29

Principer för behandling av personuppgifter

till att utsagorna återges så som de har lämnats och att dokumenta- tionen av dem följer gällande regler.

För att kunna avgöra om uppgifterna är korrekta är det också av stor betydelse att veta om de grundar sig på fakta eller på person- liga bedömningar. Att uppgifter som grundar sig på fakta i så stor utsträckning som möjligt ska skiljas från uppgifter som grundar sig på personliga bedömningar behandlas i avsnitt 9.2.3.

De behandlade uppgifterna behöver bara vara uppdaterade om det är nödvändigt. Frågan om det är nödvändigt att uppgifterna är uppdaterade får avgöras med hänsyn till ändamålen med behand- lingen (jfr Öman m.fl. s. 206). Exempelvis kan adressuppgifter änd- ras under handläggningen av ett ärende och därmed behöva upp- dateras. När ärendet har avslutats är det dock inte nödvändigt att uppdatera en adressuppgift.

I flera av myndigheternas registerförfattningar anges att uppgif- ter som beskriver en persons utseende ska utformas på ett objektivt sätt och med respekt för människovärdet. En bestämmelse med motsvarande innehåll bör tas in i ramlagen. Bestämmelserna finns i dag i de paragrafer som reglerar användningen av känsliga person- uppgifter (se bl.a. 2 kap. 10 § tredje stycket polisdatalagen och 2 kap. 7 § tredje stycket kustbevakningsdatalagen). Regleringen har lett till viss osäkerhet om signalementsuppgifter är känsliga person- uppgifter. Bestämmelsen i ramlagen bör därför placeras tillsam- mans med reglerna om personuppgifters kvalitet för att tydliggöra att uppgifter om utseende inte i sig ska betraktas som känsliga per- sonuppgifter. Ett signalement kan dock innehålla uppgifter ur vilka man kan utläsa uppgifter om t.ex. hälsa eller etniskt ursprung. Så- dana uppgifter ska hanteras enligt reglerna om känsliga personupp- gifter (se avsnitt 9.2.4).

Personuppgifter ska vara adekvata och relevanta

Enligt artikel 4.1 c ska personuppgifter vara adekvata och relevanta och inte för omfattande i förhållande till de syften för vilka de be- handlas. En bestämmelse med det innehållet bör tas in i ramlagen. Att uppgifterna ska vara adekvata och relevanta innebär att ovid- kommande uppgifter inte får behandlas. Vilka uppgifter som är adekvata och relevanta ska bedömas i förhållande till ändamålen

259

Principer för behandling av personuppgifter

SOU 2017:29

med behandlingen. Detsamma gäller hur många personuppgifter det finns behov av att behandla. Det får betydelse för hur s.k. över- skottsinformation ska hanteras, dvs. uppgifter som samlas in och som visar sig inte vara adekvata eller relevanta för det bestämda ändamålet. Om uppgifterna inte behöver behandlas för något annat tillåtet ändamål får de inte lagras för framtida behov. Det finns regler om i vilken utsträckning överskottsinformation över huvud taget får behandlas i vissa sammanhang (se t.ex. 27 kap. 23 a § rätte- gångsbalken).

9.2.3Olika typer av personuppgifter ska skiljas från varandra

Utredningens förslag: Personuppgifter som rör olika katego- rier av registrerade, t.ex. personer som är misstänkta eller dömda för brott, brottsoffer eller andra som berörs av ett brott, ska så långt det är möjligt särskiljas. Om det inte framgår av samman- hanget eller på annat sätt vilken kategori personen tillhör, ska det tydliggöras genom en särskild upplysning.

Personuppgifter som grundar sig på fakta ska också så långt det är möjligt skiljas från personuppgifter som grundar sig på personliga bedömningar. Om grunden inte framgår av samman- hanget eller på annat sätt ska den tydliggöras genom en särskild upplysning.

Skälen för utredningens förslag: Enligt artikel 6 ska den person- uppgiftsansvarige i tillämpliga fall och så långt det är möjligt skilja mellan personuppgifter som rör olika kategorier av registrerade. Som exempel på olika kategorier av registrerade nämns personer som har begått eller är på väg att begå brott, personer som har dömts för brott, brottsoffer eller personer som p.g.a. vissa omstän- digheter kan antas vara brottsoffer och andra som berörs av ett brott, t.ex. vittnen, personer som kan lämna information om brott eller personer som har kontakter med eller band till personer som misstänks för eller är dömda för brott. Enligt artikel 7.1 ska per- sonuppgifter som grundar sig på fakta så långt det är möjligt skiljas från personuppgifter som grundar sig på personliga bedömningar.

Syftet med bestämmelserna är att säkerställa att den som söker eller får del av information också får veta varför uppgifter om en

260

SOU 2017:29

Principer för behandling av personuppgifter

viss person behandlas. Inom ramlagens tillämpningsområde är det särskilt viktigt att det framgår om en uppgift rör en icke misstänkt person och hur tillförlitlig en underrättelseuppgift bedöms vara. Ofta framgår det redan av det sammanhang i vilket personuppgif- terna behandlas, men om en uppgift tas ur sitt sammanhang för att behandlas för ett nytt ändamål blir informationen viktig (jfr prop. 2009/10:85 s. 146 f.).

Ju längre ett brottmålsförfarande fortskrider, desto tydligare blir det vilken roll olika personer har och varför deras personuppgifter behandlas. Vid handläggningen i domstol anges det tydligt vem som är misstänkt, tilltalad, målsägande, vittne eller anhörig till någon av dessa. En sådan uppdelning uppfyller enligt utredningens mening kravet på särskiljande. I förundersökningsprotokoll görs på motsvarande sätt skillnad mellan olika personkategorier (se 20 och

21§§ förundersökningskungörelsen [1947:948]).

Det är framför allt i det inledande skedet av en förundersökning

och i underrättelseverksamhet som det kan vara otydligt vilken roll en person har och varför uppgifter om honom eller henne behand- las. I 3 kap. 3 § polisdatalagen anges därför att det vid behandling av gemensamt tillgängliga uppgifter genom en särskild upplysning eller på annat sätt ska framgå för vilket närmare ändamål person- uppgifter behandlas och om en personuppgift har gjorts gemen- samt tillgänglig som ett led i övervakningen av en allvarligt krimi- nellt belastad person. Om uppgifterna kan hänföras till en person som inte är misstänkt för brott eller för att ha utövat brottslig verksamhet ska det enligt 3 kap. 4 § framgå att personen inte är misstänkt. Vidare föreskrivs att uppgifter om en person som kan antas ha samband med misstänkt brottslig verksamhet, dvs. där ändamålet inte är att utreda ett konkret brott, ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, om det inte på grund av särskilda omständigheter är onödigt. Motsvarande gäller i Kustbevakningens brottsbekämpande verksamhet enligt 4 kap. 2 och 3 §§ kustbevakningsdatalagen och föreslås gälla för Tullverket och Skatteverket i deras brottsbekäm- pande verksamhet. Även enligt 3 kap. 3 § åklagardatalagen ska det framgå om de uppgifter som behandlas rör en person som inte är misstänkt.

De bestämmelser som finns i dessa registerförfattningar är in- arbetade men uppfyller inte helt direktivets krav. Det krävs också

261

Principer för behandling av personuppgifter

SOU 2017:29

regler för övriga behöriga myndigheter. Det bör därför tas in be- stämmelser i ramlagen om att den personuppgiftsansvarige så långt det är möjligt ska skilja mellan personuppgifter som rör olika kate- gorier av registrerade. Om det inte framgår av sammanhanget eller på annat sätt till vilken kategori en person hör bör det tydliggöras genom en särskild upplysning.

Det är framför allt när uppgifter behandlas utanför sitt ur- sprungliga sammanhang som en särskild upplysning kan behövas (jfr prop. 2009/10:85 s. 146 f.). Kraven på särskild upplysning i polisdatalagen och kustbevakningsdatalagen gäller uppgifter som har gjorts gemensamt tillgängliga. Om uppgifter behandlas av en liten, klart avgränsad grupp vet de inblandade personerna som regel varifrån uppgifterna kommer, varför de behandlas och om en om- nämnd person är misstänkt för brott eller för att utöva brottslig verksamhet eller om han eller hon tillhör någon annan kategori. I de fallen framgår det normalt av sammanhanget till vilken kategori personen hör. Det vore orimligt att då ställa upp ett krav på särskild upplysning och det finns därför skäl att göra undantag från det kravet för uppgifter som inte har gjorts gemensamt tillgängliga. Utredningen återkommer till det i slutbetänkandet.

På motsvarande sätt bör personuppgifter som grundar sig på fakta skiljas från uppgifter som grundar sig på personliga bedöm- ningar. Om grunden inte framgår av sammanhanget eller på annat sätt bör den tydliggöras genom en särskild upplysning. Det som nyss sagts om undantaget från kravet på särskilda upplysningar bör gälla även för nu aktuella uppgifter som inte gjorts gemensamt tillgängliga.

Det utvidgade kravet på särskilda upplysningar väcker frågan om de behöriga myndigheterna blir skyldiga att förse alla äldre person- uppgifter som saknar sådana upplysningar med det. Eftersom kra- vet är att så långt möjligt skilja mellan olika typer av uppgifter anser utredningen att det inte kan krävas av myndigheterna att de går igenom alla äldre personuppgifter för att kontrollera om det finns särskilda upplysningar. Om tveksamhet uppstår i ett enskilt fall och det är möjligt att tillfoga en särskild upplysning bör det dock göras.

262

SOU 2017:29

Principer för behandling av personuppgifter

9.2.4Känsliga personuppgifter

Utredningens förslag: Personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller som rör hälsa, sexualliv eller sexuell läggning får inte behandlas. Om uppgifter om en person behandlas får de dock kompletteras med sådana personuppgifter när det är absolut nödvändigt för ändamålet med behandlingen.

Biometriska uppgifter som används för att identifiera en per- son och genetiska uppgifter får behandlas endast om det är sär- skilt föreskrivet och det är absolut nödvändigt för ändamålet med behandlingen.

Känsliga personuppgifter får alltid behandlas om det är nöd- vändigt för diarieföring eller om uppgifterna har lämnats till en behörig myndighet i en anmälan, ansökan eller liknande och behandlingen är nödvändig för myndighetens handläggning.

Det är förbjudet att utföra sökningar i syfte att få fram ett personurval grundat på känsliga personuppgifter.

Skälen för utredningens förslag

Nuvarande reglering

I lagstiftning om behandling av personuppgifter har känsliga per- sonuppgifter en särställning. Med känsliga personuppgifter avses enligt 13 § personuppgiftslagen uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk överty- gelse eller medlemskap i fackförening och uppgifter som rör hälsa eller sexualliv. Som huvudregel är det förbjudet att behandla käns- liga personuppgifter. Från förbudet görs i 14–19 §§ personupp- giftslagen undantag för vissa situationer, t.ex. när den enskilde har samtyckt till behandlingen eller om behandlingen är nödvändig på grund av vissa särskilt angivna skäl. Enligt 8 § personuppgiftsför- ordningen (1998:1191) får känsliga personuppgifter behandlas av en myndighet i löpande text om uppgifterna har lämnats i ett ären- de eller är nödvändiga för handläggningen av det.

Definitionen av känsliga personuppgifter i personuppgiftslagen bildar utgångspunkten för regleringen i de behöriga myndigheter- nas registerförfattningar. Enligt registerförfattningarna får känsliga

263

Principer för behandling av personuppgifter

SOU 2017:29

personuppgifter inte behandlas enbart på grund av vad som är känt om en person i dessa avseenden (se t.ex. 2 kap. 8 § åklagardatala- gen). Om uppgifter om en person redan behandlas på någon annan grund, får de dock enligt de flesta registerförfattningarna kom- pletteras med känsliga personuppgifter, om det är absolut nödvän- digt för syftet med behandlingen (se t.ex. 2 kap. 10 § polisdatala- gen). Innebörden av bestämmelserna är att det t.ex. inte är tillåtet att föra särskilda register över personer baserat på deras politiska åsikter. Förekommer en person i en förundersökning eller något annat ärende, får dock uppgifter om politisk åskådning behandlas, om det bedöms vara absolut nödvändigt för syftet med behand- lingen. Det kan t.ex. vara fallet om motivet för ett brott är poli- tiskt. Något krav på att behandlingen är absolut nödvändig gäller enligt 13 § domstolsdatalagen inte i domstolarnas rättsskipande och rättsvårdande verksamhet.

Fler kategorier av uppgifter blir känsliga personuppgifter

Enligt artikel 10 ska behandling av vissa kategorier av personupp- gifter vara tillåten endast om det är absolut nödvändigt och om det finns lämpliga skyddsåtgärder för den registrerades rättigheter och friheter. Dessutom krävs det att behandlingen är tillåten enligt unionsrätten eller nationell rätt, utförs för att skydda intressen som är av grundläggande betydelse för den registrerade eller en annan fysisk person eller rör uppgifter som på ett tydligt sätt har offent- liggjorts av den registrerade.

De kategorier av personuppgifter som räknas upp i artikel 10 är till största delen de som i dag betecknas som känsliga personupp- gifter, dvs. personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlem- skap i fackförening eller som rör hälsa eller sexualliv. Dessutom anges biometriska uppgifter för att unikt identifiera en fysisk per- son, genetiska uppgifter och uppgifter om sexuell läggning i arti- keln. De nya kategorierna behandlas i det följande. Det finns även skäl att diskutera om ordet ras bör användas i ramlagen.

I artikel 10 benämns uppgifterna särskilda kategorier av person- uppgifter. Samma uttryck används i det nu gällande dataskydds- direktivet. I personuppgiftslagen benämns sådana personuppgifter

264

SOU 2017:29

Principer för behandling av personuppgifter

känsliga personuppgifter utan att det kommenteras i motiven. Det uttrycket är enligt utredningens mening tydligare än särskilda kate- gorier av uppgifter och bör därför användas i ramlagen.

Genetiska uppgifter

Med genetiska uppgifter avses enligt den definition som föreslås i avsnitt 6.2 personuppgifter som rör sådana nedärvda eller förvär- vade kännetecken för en fysisk person som kan tas fram ur ett prov från personen i fråga. Det handlar framför allt om information som kan tas fram vid dna-analyser, men även motsvarande information som tas fram genom andra analyser omfattas. Eftersom nedärvda eller förvärvade genetiska kännetecken för en fysisk person kan framgå av ett spår som påträffas vid utredning av ett brott, omfattas även analys av spåren, trots att de då inte går att härleda till en identifierad person.

Genetiska uppgifter behandlas vid dna-analyser för att ta fram dna-profiler eller forensiska uppslag. Sådan behandling förekom- mer enbart i den forensiska verksamheten, som i Polismyndigheten sköts av Nationellt forensiskt centrum. Även Rättsmedicinalverket kan göra sådana analyser på begäran av Polismyndigheten eller en annan myndighet som omfattas av ramlagens tillämpningsområde. Behandlingen kan avse genetiska uppgifter från såväl identifierade som oidentifierade personer.

Själva dna-profilen, som behandlas i framför allt Polismyndighe- tens dna-register, är endast en sifferkombination och är därmed ingen genetisk uppgift. Dna-profilen är i stället en biometrisk upp- gift, eftersom den tas fram genom en särskild teknisk behandling av en persons arvsmassa för att möjliggöra eller bekräfta unik identi- fiering av personen i fråga.

Biometriska uppgifter

Med biometriska uppgifter avses enligt den föreslagna definitionen personuppgifter som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken som tagits fram genom särskild teknisk behandling och som möjliggör eller bekräftar unik identi- fiering av personen i fråga. Som konstateras i avsnitt 6.2 omfattas

265

Principer för behandling av personuppgifter

SOU 2017:29

inte fotografier och filmer som inte bearbetas tekniskt i det syftet av definitionen av biometriska uppgifter.

Definitionen omfattar brottsbekämpande myndigheters hante- ring av fingeravtryck. Fingeravtryck som har tagits med stöd av rättegångsbalken eller lagen (1991:572) om särskild utlännings- kontroll får behandlas i de fingeravtrycks- och signalementsregister som förs enligt 4 kap. 11 § polisdatalagen. Uppgifter om finger- avtryck som inte kan hänföras till en identifierbar person får också behandlas om uppgiften kommit fram vid utredning om brott. Även oidentifierade fingeravtryck omfattas således av definitionen av biometriska uppgifter, eftersom det är möjligt att med hjälp av sådana identifiera den person som har avsatt dem.

Bilder av fysiska personer som bearbetas tekniskt och därige- nom är att betrakta som biometriska uppgifter kan också vara kän- sliga personuppgifter på andra grunder. Uppgifter om exempelvis hälsa, etniskt ursprung eller religiös övertygelse kan framgå av sådana bilder.

Även de dna-profiler som finns i dna-registren är biometriska uppgifter. Det gäller även oidentifierade dna-profiler.

Uppgifter om huruvida någon förekommer i Polismyndighetens fingeravtrycks- och signalementsregister eller dna-register är inte biometriska uppgifter. Däremot är den behandling som utförs vid jämförelse mellan olika fingeravtryck eller dna-profiler behandling av biometriska uppgifter.

Uppgifter om sexualliv och sexuell läggning

Enligt direktivet är uppgifter om fysiska personers sexualliv och sexuella läggning känsliga personuppgifter. I artikel 8 i det nu gäl- lande dataskyddsdirektivet och i 13 § personuppgiftslagen före- skrivs enbart att uppgifter om sexualliv är en känslig personuppgift. Uppräkningen i ramlagen av känsliga personuppgifter bör omfatta uppgifter om både sexualliv och sexuell läggning.

266

SOU 2017:29

Principer för behandling av personuppgifter

Ordet ras

Ras har länge ansetts vara en känslig personuppgift. I uppräkningen i direktivet av vad som utgör känsliga personuppgifter nämns också ras. I skäl 37 klargörs att användningen av ordet ras inte innebär att unionen godtar teorier som söker fastställa förekomsten av skilda människoraser.

Frågan om utmönstring av ordet ras ur svensk lagstiftning har länge varit aktuell. Riksdagen har uttalat att det inte finns någon vetenskaplig grund för att dela in människor i skilda raser och ur biologisk synpunkt följaktligen inte heller någon grund för att an- vända ordet ras om människor. Enligt vad riksdagen anförde ris- kerar användningen av ordet ras i författningstext att underblåsa fördomar. Riksdagen konstaterade dock, i anledning av en motion, att det inte var möjligt att utmönstra ordet ras ur all lagstiftning, eftersom det så gott som uteslutande används i författningar som grundas på internationella konventioner eller författningar som genomför direktiv. Regeringen uppmanades att gå igenom i vilken utsträckning ordet ras förekom i författningar som inte grundas på internationella texter och där så var möjligt föreslå en annan defini- tion (bet. 1997/98:KU29 s. 7).

Ordet ras har på senare år ersatts med andra uttryck i rege- ringsformen och i diskrimineringslagen (2008:567) och medvetet utelämnats i ett antal lagar. Exempelvis ersattes ordet ras i rege- ringsformen genom att uttrycket ”annat liknande förhållande” lades till efter etniskt ursprung och hudfärg. Med ”annat liknande förhållande” åsyftas i första hand sådana föreställningar om ras som omfattas av ras enligt den tidigare lydelsen (prop. 2009/10:80 s. 152).

Regeringen har i flera lagstiftningsärenden uttryckt sin ambition att se över frågan om utmönstring av ordet ras ur all lagstiftning (se exempelvis prop. 2009/10:85 s. 123). Utredningen om transperso- ners straffrättsliga skydd m.m. fick därför i uppdrag att bl.a. ta ställning till om orden ras och rasmässig bör utmönstras ur författ- ningstext och eventuellt ersättas med något annat uttryck. I be- tänkandet Ett utvidgat straffrättsligt skydd för transpersoner m.m. (SOU 2015:103) föreslås att ordet ras ska ersättas eller helt ut- mönstras. I den mån det ska ersättas föreslås att samma uttryck som i bl.a. regeringsformen ska väljas i så stor utsträckning som

267

Principer för behandling av personuppgifter

SOU 2017:29

möjligt. När ordet ras används i författningstext och det bygger på det nu gällande dataskyddsdirektivets definition av känsliga per- sonuppgifter, föreslår den utredningen att ordet ras tas bort och ersätts med uttrycket ”etniskt ursprung eller hudfärg eller något annat liknande förhållande hänförligt till personen”.

Den omständigheten att direktivet använder ordet ras hindrar enligt utredningens mening inte att det i ramlagen används ett annat ord eller uttryck, förutsatt att det har samma betydelse. Att använda uttrycket ”etniskt ursprung, hudfärg eller annat liknande förhållande” som finns i bl.a. regeringsformen skulle emellertid inte fungera i ramlagen. Om hudfärg skulle räknas upp bland känsliga personuppgifter skulle det skapa problem för de brottsbekämpande myndigheterna, eftersom det skulle leda till att bilder på identifier- bara personer skulle utgöra känsliga personuppgifter om hudfärgen syns. Avsikten med dataskyddsreformen kan inte rimligen vara att alla bilder på personer ska anses utgöra känsliga personuppgifter. Det får stöd av skäl 51 i dataskyddsförordningen där det bl.a. anges att behandling av foton inte systematiskt bör anses utgöra behand- ling av känsliga personuppgifter, eftersom foton endast definieras som biometriska uppgifter när de behandlas med särskild teknik som möjliggör identifiering eller autentisering av en fysisk person. Det är enligt utredningens mening inte heller lämpligt att använda formuleringen ”etniskt urspung eller annat liknande förhållande”. Det skulle för det första leda till osäkerhet om det är någon skill- nad mellan de olika uttryckssätten. För det andra skulle det lämna ett alltför stort tolkningsutrymme och kunna leda till att de behö- riga myndigheterna antingen behandlar känsliga personuppgifter i för stor utsträckning eller inte behandlar sådana uppgifter trots att det är sakligt motiverat. Utredningen anser därför att det är nöd- vändigt att även fortsättningsvis använda ordet ras. Det innebär också att regleringen i ramlagen överensstämmer med artikel 9 i dataskyddsförordningen.

Känsliga personuppgifter bör som huvudregel inte få behandlas i större utsträckning än i dag

Enligt direktivet ska behandling av särskilda kategorier av person- uppgifter vara tillåten endast om den är absolut nödvändig och om det finns lämpliga skyddsåtgärder. Dessutom ska behandlingen vara

268

SOU 2017:29

Principer för behandling av personuppgifter

tillåten enligt unionsrätt eller nationell rätt, alternativt ska den göras för att skydda intressen av grundläggande betydelse för den registrerade eller någon annan fysisk person eller avse uppgifter som har offentliggjorts av den som personuppgifterna rör.

Enligt gällande rätt får flertalet av de behöriga myndigheterna behandla känsliga personuppgifter om de behandlar uppgifter om personen i fråga på någon annan grund, men då bara om det är absolut nödvändigt för syftet med behandlingen. Domstolarna får emellertid behandla känsliga personuppgifter i större utsträckning. Enligt 13 § domstolsdatalagen får känsliga personuppgifter inte utgöra den enda grunden för behandlingen. Det behöver dock inte vara uppgifter om den person som de känsliga personuppgifterna rör som behandlas, utan det är enligt förarbetena tillräckligt att det finns en annan konkret grund för behandlingen. Det ställs inte heller något krav på att behandlingen ska vara absolut nödvändig. Skälet till denna mer generösa reglering är att det av principiella skäl ansågs uteslutet att genom bestämmelser i lag inskränka domarnas frihet att formulera domskäl i syfte att undvika att käns- liga personuppgifter behandlas. Det anges vidare att det strängt taget inte är någon skillnad mellan i vilken utsträckning domsto- larna behöver behandla känsliga personuppgifter och andra person- uppgifter (se Domstolsdatalag, prop. 2014/15:148, s. 49).

Dagens regelverk är således betydligt mer restriktivt än direkti- vets reglering, eftersom känsliga personuppgifter i de flesta fall endast får behandlas tillsammans med andra uppgifter om personen i fråga. Även bestämmelsen i domstolsdatalagen är på ett sätt mer restriktiv genom att det sägs att känsliga personuppgifter inte får utgöra enda grund för behandlingen. Bestämmelsen i domstols- datalagen uppfyller ändå inte direktivets krav, eftersom den inte föreskriver att behandlingen ska vara absolut nödvändig. Det kravet i direktivet är undantagslöst och måste därför gälla för alla behöriga myndigheter.

Enligt artikel 1.3 är det tillåtet att ha starkare skyddsåtgärder än dem som fastställs i direktivet. Den nuvarande regleringen har fun- gerat väl för de berörda myndigheterna och kravet på att känsliga personuppgifter bara får behandlas om uppgifter om personen behandlas av annat skäl är enligt utredningens mening en sådan lämplig skyddsåtgärd som direktivet fordrar. Känsliga personupp- gifter bör därför bara få behandlas om uppgifter om personen sam-

269

Principer för behandling av personuppgifter

SOU 2017:29

tidigt behandlas på någon annan grund och det är absolut nödvän- digt för ändamålet med behandlingen. Regleringen i ramlagen bör dock utformas på ett något annorlunda sätt än i myndigheternas registerförfattningar för att det ska bli tydligare vilka uppgifter som utgör känsliga personuppgifter och när dessa får behandlas.

De behöriga myndigheterna behandlar i stor utsträckning vissa typer av känsliga personuppgifter. Det gäller framför allt uppgifter om hälsa, t.ex. i förundersökningar och mål om vålds- och sexual- brott och i personutredningar. För sådana ändamål är behandling av uppgifter om hälsa givetvis absolut nödvändig. Utredningen vill därför understryka att någon förändring av synen på vad som är absolut nödvändigt vid behandling av känsliga personuppgifter inte är avsedd. Känsliga personuppgifter ska alltjämt användas restrik- tivt och en bedömning av om kravet är uppfyllt ska göras i det en- skilda fallet. Den närmare innebörden av uttrycket kan dock variera mellan myndigheterna, eftersom deras verksamheter och behov av att behandla känsliga personuppgifter skiljer sig åt. I vilken ut- sträckning de bör få behandla känsliga personuppgifter kommer att diskuteras i slutbetänkandet, i samband med anpassningarna av myndigheternas registerförfattningar.

Som framgår av avsnitt 7.1.4 kommer fler myndigheter och andra aktörer att tillämpa ramlagen. Flera av dem har ingen särskild registerförfattning utan tillämpar i dag personuppgiftslagen med tillhörande förordning. Eftersom huvudregeln enligt personupp- giftslagen är att det är förbjudet att behandla känsliga personupp- gifter och 8 § personuppgiftsförordningen bara medger undantag för vissa typer av behandling kan det inte undvikas att dessa myn- digheter och aktörer sannolikt kommer att kunna behandla käns- liga personuppgifter i större utsträckning med den nya regleringen. Det gäller dock bara när de utför uppgifter inom ramlagens tillämp- ningsområde och är en rimlig konsekvens av att de anses vara behöriga myndigheter i ramlagens mening.

Behandling av genetiska och biometriska uppgifter

Som nyss nämnts har genetiska och biometriska uppgifter inte tidi- gare ingått i uppräkningen av vad som är känsliga personuppgifter. I förarbetena till lagen (2006:351) om genetisk integritet m.m. ut-

270

SOU 2017:29

Principer för behandling av personuppgifter

talas att genetisk information kan avslöja såväl hälsotillstånd som etnisk tillhörighet och därför är att betrakta som känsliga person- uppgifter (Genetisk integritet m.m., prop. 2005/06:64, s. 63). Det är osäkert vilket genomslag det uttalandet har fått i praktiken och om de särskilda restriktioner som gäller för behandlingen av käns- liga personuppgifter därför tillämpas på genetiska och biometriska uppgifter.

Fingeravtryck men framför allt dna-spår får en allt större bety- delse i den brottsutredande verksamheten. Tekniken utvecklas hela tiden och möjliggör i dag dels analyser av oerhört små mängder dna, dels att nya typer av uppgifter kan tas fram ur dna-spår. Det är därför viktigt att behandling av personuppgifter i samband med hanteringen av fingeravtryck, dna-spår och dna-profiler är tydligt reglerad.

Det är vanligt att polisen hittar fingeravtryck eller dna-spår från någon som inte förekommer i fingeravtrycks- eller dna-registren. Som tidigare nämnts utgör sådana oidentifierade fingeravtryck eller dna-profiler biometriska uppgifter, eftersom det går att identifiera en person med hjälp av dem. Regeln om att känsliga personupp- gifter endast får behandlas om någon annan uppgift om personen i fråga samtidigt behandlas fungerar därmed inte när det gäller oidentifierade avtryck eller spår. Det finns därför skäl att reglera behandlingen av genetiska och biometriska uppgifter särskilt. Sådana uppgifter bör få behandlas endast om det är särskilt före- skrivet och det är absolut nödvändigt för ändamålet med behand- lingen. Att dessa kategorier av uppgifter regleras särskilt är en lag- teknisk fråga och innebär inte att de ska betraktas på något annat sätt än övriga kategorier av känsliga personuppgifter.

Behandling för diarieföring eller liknande

Som framgår av avsnitt 9.1.3 måste en myndighet alltid ha möjlig- het att behandla personuppgifter för att diarieföra och handlägga inkommande anmälningar, ansökningar och andra liknande hand- lingar. De som ska tillämpa ramlagen föreslås därför få behandla personuppgifter för diarieföring och för att utföra andra nödvän- diga handläggningsuppgifter. Det bör gälla även i de fall där sådana handlingar innehåller känsliga personuppgifter, eftersom det ligger

271

Principer för behandling av personuppgifter

SOU 2017:29

utanför myndighetens kontroll om sådana uppgifter finns i hand- lingarna. Det bör framgå att sådan behandling är tillåten.

Ett generellt sökförbud

Sökning på känsliga personuppgifter kan möjliggöra exempelvis kartläggning av personer med viss politisk ståndpunkt eller religiös uppfattning. Sökningar för sådana ändamål bör som huvudregel inte tillåtas. I flera av de behöriga myndigheternas registerförfatt- ningar finns förbud mot att som sökbegrepp använda uppgifter som avslöjar känsliga personuppgifter (se t.ex. 3 kap. 5 § polisdata- lagen). Det kan dock i vissa fall vara befogat att använda känsliga personuppgifter vid sökningar. Flera registerförfattningar ger där- för möjlighet att i begränsad utsträckning använda sådana uppgifter som sökbegrepp (se t.ex. 14 och 15 §§ domstolsdatalagen). För Polismyndigheten, Kustbevakningen, Åklagarmyndigheten och Ekobrottsmyndigheten gäller förbuden att använda känsliga per- sonuppgifter som sökbegrepp dock endast vid sökningar i person- uppgifter som har gjorts gemensamt tillgängliga. De får alltså an- vända känsliga personuppgifter som sökbegrepp vid sökningar i uppgifter som endast ett fåtal personer har tillgång till.

Enligt direktivet krävs det inget förbud mot att använda känsliga personuppgifter vid sökning, men däremot får sådana uppgifter behandlas endast om det finns lämpliga skyddsåtgärder för be- handlingen. En verkningsfull skyddsåtgärd är att som huvudregel förbjuda att känsliga personuppgifter används vid sökning och att sedan reglera eventuella undantag från den regeln. Det bör därför enligt utredningens mening även i fortsättningen vara förbjudet att använda känsliga personuppgifter för sökning. Eftersom inte alla behöriga myndigheter har en registerförfattning bör ett generellt sökförbud tas in i ramlagen.

Användningen av ordet sökbegrepp i bestämmelserna om sök- förbud har lett till problem i tillämpningen. Vid en strikt tolkning av dessa bestämmelser skulle t.ex. en sökning på ordet islam inte få göras, eftersom uppgifter som avslöjar religiös övertygelse inte får användas som sökbegrepp. Islam är emellertid också ett vanligt personnamn som det måste vara möjligt att få använda vid sökning. Ett annat exempel är att ett sjukhus eller en kyrka, där ett brott

272

SOU 2017:29

Principer för behandling av personuppgifter

begåtts, används som sökbegrepp av utredningsskäl. Sökningen kan ge träff på personer och därigenom avslöja uppgifter som rör hälsa eller religiös uppfattning samtidigt som det finns utredningsskäl att använda platsen som sökbegrepp. Förbudet i ramlagen bör därför i stället utgå från syftet med sökningen. Det bör inte vara tillåtet att göra sökningar i syfte att få fram personurval grundade på känsliga personuppgifter.

Att förbudet utformas på ett annat sätt än i dag innebär inte att möjligheterna att använda känsliga personuppgifter för sökning utvidgas. Om exempelvis en uppgift om etniskt ursprung används för sökning kommer resultatet att bli ett personurval grundat på etniskt ursprung. En sådan sökning är varken tillåten enligt den nu gällande eller den föreslagna regleringen. Genom att förbudet mot att använda känsliga personuppgifter vid sökningar placeras i ram- lagen kommer det tvärtom att gälla i större utsträckning än i dag, eftersom sökförbuden i flera av registerförfattningarna enbart gäl- ler vid sökningar i uppgifter som har gjorts gemensamt tillgängliga. När syftet blir avgörande för om en sökning är tillåten eller inte kommer vidare olika former av kodning av personuppgifter för att möjliggöra sammanställningar grundade på känsliga personuppgif- ter inte längre att vara tillåtna. Om uppgifter om muslimer skulle markeras med exempelvis (m) är det med den nuvarande regle- ringen tillåtet att göra en sökning med användande av beteckningen

(m) och på så sätt få fram en sammanställning av alla som registre- rats med den koden, eftersom sökbegreppet då inte avslöjar käns- liga personuppgifter. En sökning för att få fram en motsvarande sammanställning genom att använda en kod skulle däremot inte vara tillåten med den föreslagna utformningen av sökförbudet. Skyddet mot missbruk av sökmöjligheterna förstärks därmed väsentligt.

Däremot kommer sökningar på t.ex. egennamn som också kan avslöja känsliga personuppgifter att vara tillåtna, eftersom syftet med sökningen då är att få fram närmare information om en person med ett visst namn, inte att få fram ett urval av personer grundat på känsliga personuppgifter. Det blir därför viktigt att dokumentera syftet med en sökning av det slaget både för intern kontroll och tillsyn över verksamheten.

Även vid tillåtna sökningar kan sökningen resultera i ett per- sonurval grundat på känsliga personuppgifter. I exemplet med

273

Principer för behandling av personuppgifter

SOU 2017:29

namnet Islam kan en sökning på egennamnet ge träffar både på personer med det namnet och personer som bekänner sig till en viss tro. I vilken utsträckning det sedan är tillåtet att behandla upp- gifterna i sammanställningen får prövas mot huvudregeln för be- handling av känsliga personuppgifter. Om uppgifter om en person behandlas får den eller de uppgifter från sökningen som är adekvata och absolut nödvändiga för syftet med behandlingen fortsätta att behandlas. Är de kraven inte uppfyllda får de känsliga personupp- gifterna inte behandlas. I de allra flesta fall kommer det således att vara tillåtet att behålla och fortsätta behandla endast någon eller några av de personuppgifter som framkommit vid sökningen.

I de behöriga myndigheternas registerförfattningar tillåts i viss utsträckning användning av känsliga personuppgifter vid sökning. Bestämmelserna kommer att behöva anpassas till att sökförbudet i ramlagen är annorlunda utformat än dagens reglering. Utgångs- punkten är att de behöriga myndigheterna inte ska få använda känsliga personuppgifter vid sökning i större utsträckning än i dag. För någon eller några av de behöriga myndigheterna kan dock för- budet i dag vara för snävt. Vid utredning av brott kan de brottsbe- kämpande myndigheterna ha behov av att kunna söka på andra uppgifter än brottsrubriceringar eller uppgifter som beskriver en persons utseende, exempelvis uppgifter om sexualliv vid utred- ningen av en våldtäkt. Utredningen återkommer till frågan om sökning med användande av känsliga personuppgifter i slutbetän- kandet.

Omfattas förbudet av begränsningsregeln i tryckfrihetsförordningen?

Vid utformningen av sökförbud måste också den s.k. begränsnings- regeln i 2 kap. 3 § tredje stycket tryckfrihetsförordningen beaktas.

Offentlighetsprincipen innebär bl.a. att var och en har rätt att ta del av allmänna handlingar. Vad som avses med allmän handling framgår av 2 kap. tryckfrihetsförordningen. Med handling förstås en framställning i skrift eller bild och en upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälp- medel. Handlingen är allmän bl.a. om den förvaras hos en myndig- het. En upptagning anses enligt 2 kap. 3 § andra stycket första meningen förvarad hos en myndighet, om upptagningen är tillgäng-

274

SOU 2017:29

Principer för behandling av personuppgifter

lig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyss- nas eller på annat sätt uppfattas. När det gäller förvaringskriteriet görs det skillnad mellan färdiga elektroniska handlingar, t.ex. pdf- filer och e-postmeddelanden, och potentiella elektroniska hand- lingar, dvs. handlingar som kan sammanställas av uppgifter ur en upptagning för automatiserad behandling. En sammanställning av uppgifter anses enligt den s.k. begränsningsregeln i 2 kap. 3 § tredje stycket tryckfrihetsförordningen inte förvarad hos myndigheten om sammanställningen innehåller personuppgifter och myndig- heten enligt lag eller förordning saknar befogenhet att göra sam- manställningen tillgänglig.

Syftet med begränsningsregeln är att allmänheten inte med stöd av offentlighetsprincipen ska kunna ta del av sammanställningar av uppgifter ur upptagningar som myndigheten med hänsyn till skyd- det för enskildas integritet är rättsligt förhindrad att ta fram i sin egen verksamhet. Tolkningen av begränsningsregeln har behandlats i flera lagstiftningsärenden som rör direktåtkomst. Det har bl.a. konstaterats att villkorade sökförbud, dvs. sökbegränsningar som endast tillåter sökningar under vissa angivna förutsättningar, inte anses inskränka en myndighets skyldighet att lämna ut allmänna handlingar (se exempelvis 3 kap. 6 och 7 §§ polisdatalagen och prop. 2009/10:85 s. 154 f.). Däremot anses s.k. absoluta sökförbud, dvs. förbud som innebär att en myndighet inte under några förhål- landen får använda en uppgift som sökbegrepp, inskränka hand- lingsbegreppet (se t.ex. 3 kap. 5 § polisdatalagen).

Det kan i frågasättas om det sökförbud som utredningen före- slår uppfyller kraven för att omfattas av begränsningsregeln, efter- som förbudet är knutet till syftet med sökningen. För att säker- ställa att allmänheten inte med stöd av offentlighetsprincipen ska kunna få ut sammanställningar grundade på känsliga personupp- gifter föreslår utredningen en bestämmelse om absolut sekretess för dem (se avsnitt 16.4).

275

Principer för behandling av personuppgifter

SOU 2017:29

9.2.5Inga ytterligare regler om vilka personuppgifter som får behandlas

Utredningens bedömning: Utöver reglerna om känsliga per- sonuppgifter bör det inte tas in några regler i ramlagen om vilka personuppgifter som får behandlas.

Skälen för utredningens bedömning

Ingen uttömmande reglering av vilka personuppgifter som får behandlas

Enligt artikel 8.2 ska det i nationell rätt bl.a. föreskrivas vilka per- sonuppgifter som ska behandlas. Ur ett integritetsperspektiv är det naturligtvis väsentligt att en myndighet inte behandlar andra per- sonuppgifter än vad som behövs för myndighetens verksamhet. Det är dock inte rimligt att tolka artikeln på det sättet att det i ram- lagen eller i de särskilda registerförfattningarna måste räknas upp exakt vilka personuppgifter som får behandlas. Att i författning ut- tömmande reglera vilka personuppgifter, eller ens alla kategorier av personuppgifter, som får behandlas är en närmast omöjlig uppgift, eftersom det inte på förhand går att bedöma vilka uppgifter som kan få betydelse. Särskilt i mångfacetterade verksamheter som poli- sens och domstolarnas skulle det behövas mycket omfångsrika uppräkningar av vilka uppgifter som skulle få behandlas. Inte bara för dessa utan även för övriga behöriga myndigheter skulle det krä- vas omfattande och grundliga undersökningar innan det skulle kunna slås fast vilka personuppgifter som bör få behandlas. Saken kompliceras dessutom av att det skulle behöva preciseras beträf- fande varje enskild personkategori vilka personuppgifter som får behandlas för just den kategorin.

Behovet av att behandla personuppgifter skiljer sig åt beroende på om det är fråga om förundersökning, brottmålsrättegång, verk- ställighet av straff eller att upprätthålla allmän ordning och säker- het. Vissa behöriga myndigheter har behov av att behandla fler typer av personuppgifter än andra. En allmängiltig förteckning skulle därför inte fungera. Skulle någon personkategori eller kate- gori av uppgifter saknas skulle det inte finnas rättsligt stöd för be- handlingen även om den var nödvändig. Förutom att en detaljbeto-

276

SOU 2017:29

Principer för behandling av personuppgifter

nad uppräkning av det slaget skulle strida mot svensk lagstift- ningstradition skulle den försvåra möjligheterna för behöriga myn- digheter att bedriva en effektiv verksamhet. Den som behöver be- handla personuppgifter skulle nämligen alltid behöva konsultera en omfattande förteckning för att kunna avgöra om behandlingen av en viss personuppgift var tillåten. En uppräkning av det slaget skulle också riskera att snabbt bli inaktuell och skulle därför be- höva uppdateras ofta.

Eftersom ett av syftena med direktivet enligt artikel 1.2 b är att säkerställa att behöriga myndigheters utbyte av personuppgifter inte begränsas eller förbjuds av skäl som rör skyddet för fysiska personer med avseende på behandlingen av personuppgifter kan av- sikten med artikel 8.2 enligt utredningens mening inte vara att det i nationell rätt ska finnas uttömmande uppräkningar av vilka person- uppgifter som får behandlas.

Som framgår av avsnitt 9.1.5 och 9.2.2 föreslås att vissa grund- läggande bestämmelser motsvarande dem som i dag finns i 9 § per- sonuppgiftslagen ska tas in i ramlagen. Förslagen innebär att per- sonuppgifter enbart får behandlas för särskilda, uttryckliga och berättigade ändamål. Personuppgifterna ska vidare vara adekvata och relevanta i förhållande till ändamålen med behandlingen. Fler personuppgifter än vad som är nödvändigt med hänsyn till ända- målen med behandlingen får inte behandlas och de personuppgifter som behandlas ska vara korrekta och, om nödvändigt, uppdaterade. Att behandla ovidkommande eller onödigt många personuppgifter sett till de bestämda ändamålen strider därmed mot regelverket. Dessa grundläggande krav – tillsammans med bl.a. rättegångsbal- kens och brottsbalkens regler – innebär därför såväl en kvantitativ som en kvalitativ begränsning av vilka personuppgifter som får be- handlas.

De föreslagna grundläggande kraven och regleringen av när känsliga personuppgifter får behandlas innebär därför enligt utred- ningens mening tillsammans med andra tillämpliga regler en till- räcklig avgränsning av vilka slags personuppgifter som behöriga myndigheter får behandla. Det finns därför inget behov av ytterli- gare regler om det i ramlagen.

277

Principer för behandling av personuppgifter

SOU 2017:29

Avidentifiering bör användas i så stor utsträckning som möjligt

En fråga som särskilt bör uppmärksammas är det faktiska behovet av att använda namnuppgifter eller andra uppgifter som direkt identifierar en person som t.ex. personnummer. Kan en arbetsupp- gift utföras tillfredsställande även om personuppgifterna utelämnas är de grundläggande kraven på adekvans och personuppgifternas omfattning inte uppfyllda (jfr SOU 2015:39 s. 285).

Prövningen av om en personuppgift är nödvändig för en viss behandling måste göras kontinuerligt av myndigheterna och inte bara då uppgiften registreras eller på annat sätt samlas in i verksam- heten. Även vid en senare hantering ska personuppgiften behövas för ändamålet med just den hanteringen. Det innebär exempelvis att även om uppgiften om en persons namn måste behandlas vid handläggningen av ett ärende i vilket personen är part eller annars direkt berörd, är det inte säkert att namnuppgiften behöver be- handlas i ett senare skede, t.ex. vid verksamhetsuppföljning eller vid publicering på myndighetens webbplats för att informera all- mänheten om ett principiellt viktigt avgörande. Det ska alltså vid all behandling prövas om det går att avstå från att använda uppgif- ter som direkt går att hänföra till en viss person. Möjligheten till avidentifiering bör användas i så stor utsträckning som möjligt.

9.2.6Åtgärder för att säkerställa personuppgifternas kvalitet

Utredningens förslag: Alla rimliga åtgärder ska vidtas för att personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålet med behandlingen rättas utan onödigt dröjsmål. Detsamma gäller för att förhindra att sådana uppgifter lämnas ut eller görs tillgängliga. Personuppgifter som är inaktuella ska uppdateras om det är nödvändigt.

När personuppgifter lämnas ut till en behörig myndighet, ska mottagaren så långt det är möjligt ges information som gör det möjligt att bedöma i vilken utsträckning uppgifterna är kor- rekta, fullständiga, uppdaterade och tillförlitliga.

Alla rimliga åtgärder ska också vidtas för att personuppgifter som behandlas på ett otillåtet sätt utan onödigt dröjsmål raderas och för att förhindra att sådana uppgifter lämnas ut eller görs

278

SOU 2017:29

Principer för behandling av personuppgifter

tillgängliga. Detsamma gäller om radering krävs för att utföra en rättslig förpliktelse.

I stället för att radera personuppgifterna, ska den personupp- giftsansvarige utan onödigt dröjsmål begränsa behandlingen av dem om de behöver finnas kvar som bevisning.

Skyldigheten att underrätta mottagare av personuppgifterna om att de är felaktiga eller behandlas på otillåtet sätt ska regleras i förordning.

Skälen för utredningens förslag

Felaktiga uppgifter ska rättas och uppgifter som behandlas på otillåtet sätt ska raderas

Av artikel 4.1 d framgår att alla rimliga åtgärder ska vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas utan dröjsmål raderas eller rättas. Av artikeln framgår inte i vilka fall uppgifterna ska rättas och i vilka fall de ska raderas. När det gäller korrigering på begäran av registre- rade görs det däremot skillnad mellan vilka åtgärder som ska vidtas med felaktiga uppgifter respektive med uppgifter som behandlas på ett otillåtet sätt. Enligt artikel 16.1 ska felaktiga personuppgifter rättas, medan uppgifter som behandlas i strid med vissa uppräknade bestämmelser i direktivet enligt artikel 16.2 ska raderas. Utred- ningen anser att de två korrigeringsalternativen bör användas under samma förutsättningar oavsett om korrigering görs på den person- uppgiftsansvariges eget initiativ eller på begäran av registrerade. Regleringen i ramlagen bör därför utgå från att felaktiga person- uppgifter ska rättas och att personuppgifter som behandlas på otill- låtet sätt ska raderas.

Korrigeringsalternativen

Enligt artikel 4.1 d är det enbart felaktiga personuppgifter som om- fattas av kravet på korrigering. Med hänsyn till att den personupp- giftsansvarige enligt artikel 7.2 ska se till att inte bara felaktiga utan även ofullständiga och inaktuella personuppgifter inte överförs eller görs tillgängliga, bör enligt utredningens mening kravet på

279

Principer för behandling av personuppgifter

SOU 2017:29

rättelse i ramlagen även omfatta ofullständiga och inaktuella upp- gifter. I avsnitt 9.2.2 föreslås att personuppgifter bara behöver vara uppdaterade om det är nödvändigt. Därför bör det inte krävas att inaktuella uppgifter korrigeras annat än om det är nödvändigt.

Radering anges som ett korrigeringsalternativ i artikel 4.1 d. Ut- redningen anser som nyss nämnts att de förutsättningar som gäller för radering på begäran av enskild bör gälla även när frågan om radering väcks av den personuppgiftsansvarige. Av artikel 16.2 framgår att radering kan komma i fråga dels om behandlingen av personuppgifter står i strid med de bestämmelser som genomför artiklarna 4, 8 och 10, dels om det krävs för att den personuppgifts- ansvarige ska uppfylla en rättslig förpliktelse. Förutsättningarna för att använda radering utvecklas i avsnitt 11.4.2.

Enligt artikel 16.3 ska den personuppgiftsansvarige begränsa be- handlingen av personuppgifterna i stället för att radera dem, om den registrerade bestrider att de är korrekta och det inte kan fast- ställas eller om personuppgifterna behöver sparas som bevisning. Begränsning av behandlingen nämns inte som ett korrigeringsalter- nativ i artikel 4.1 d. Som tidigare nämnts medger direktivet att medlemsstaterna har starkare skyddsåtgärder än vad som krävs enligt direktivet. Mot den bakgrunden bör begränsning av behand- lingen läggas till som ett korrigeringsalternativ, eftersom person- uppgifter kan behöva sparas som bevisning till skydd för den regi- strerade även när den personuppgiftsansvarige själv upptäcker att uppgifterna behandlas på otillåtet sätt. Begränsning av behand- lingen på den grunden att det inte kan fastställas om personupp- gifterna är korrekta blir däremot inte aktuell när korrigering görs på den personuppgiftsansvariges eget initiativ (jfr avsnitt 11.4.3).

Spridning av felaktiga uppgifter och uppgifter som behandlas på otillåtet sätt ska förhindras

Enligt artikel 7.2 ska de behöriga myndigheterna vidta alla rimliga åtgärder för att se till att personuppgifter som är felaktiga, ofull- ständiga eller inaktuella inte överförs eller görs tillgängliga. Varje behörig myndighet ska också, i den mån det är praktiskt möjligt, kontrollera kvaliteten på personuppgifterna innan de överförs eller görs tillgängliga. Regleringen hänger naturligt samman med kravet på rättelse av felaktiga personuppgifter. I kravet på att den person-

280

SOU 2017:29

Principer för behandling av personuppgifter

uppgiftsansvarige ska göra allt för att rätta felaktiga, ofullständiga eller inaktuella personuppgifter i den egna verksamheten ligger också ett ansvar för att se till att sådana uppgifter inte lämnas ut eller görs tillgängliga. Det bör tydliggöras genom en bestämmelse i ramlagen. Däremot finns det inget behov av att särskilt reglera att den personuppgiftsansvarige ska kontrollera kvaliteten på person- uppgifter innan de lämnas ut eller görs tillgängliga. Det får anses följa av det generella kravet på att den personuppgiftsansvarige ska vidta alla rimliga åtgärder för att rätta felaktiga uppgifter.

Artikel 7.2 gäller felaktiga, ofullständiga eller inaktuella person- uppgifter, medan artikel 7.3 föreskriver att mottagaren omedelbart ska underrättas om det visar sig att felaktiga personuppgifter har överförts eller att personuppgifter har överförts olagligen. I sådana fall ska personuppgifterna rättas eller raderas eller behandlingen begränsas i enlighet med artikel 16. Vad som avses med att uppgif- ter olagligen överförts är inte helt klart, men i och med att radering och begränsning av behandlingen nämns som korrigeringsalternativ bör underrättelseskyldigheten enligt utredningens mening omfatta också personuppgifter som behandlas på otillåtet sätt. Den person- uppgiftsansvarige bör alltså vara skyldig att se till att inte heller personuppgifter som behandlas på ett otillåtet sätt lämnas ut eller görs tillgängliga.

Om det upptäcks att felaktiga personuppgifter eller personupp- gifter som behandlas på otillåtet sätt har lämnats ut är det naturligt att den som har fått uppgifterna underrättas, så att uppgifterna kan rättas eller raderas eller behandlingen av dem begränsas. Skyldighe- ten för mottagaren att rätta, radera eller begränsa behandlingen av uppgifterna behöver inte regleras särskilt, eftersom alla behöriga myndigheter omfattas av den föreslagna skyldigheten att korrigera uppgifter som är felaktiga eller behandlas på otillåtet sätt. Under- rättelseskyldigheten kan regleras i förordning.

Underrättelseskyldigheten i direktivet gäller bara när uppgifter har lämnats ut. Det kan vara betydligt svårare att informera dem som har tagit del av en personuppgift som har gjorts tillgänglig, eftersom det inte alltid är känt vem som tagit del av uppgifterna och vilka uppgifter som vederbörande tagit del av. Underrättelse- skyldigheten bör dock så långt möjligt gälla även i förhållande till dem som har tagit del av en tillgängliggjord uppgift som visat sig vara felaktig eller som behandlas på otillåtet sätt. Om uppgiften

281

Principer för behandling av personuppgifter

SOU 2017:29

t.ex. finns i ett register till vilket andra behöriga myndigheter har direktåtkomst kan den rättade uppgiften förses med en upplysning om rättelsen och när den gjordes. På så sätt uppmärksammas de andra myndigheterna på att uppgiften har rättats och kan då kon- trollera vilken version av uppgiften som finns hos dem.

Information i samband med utlämnande eller tillgängliggörande av personuppgifter

Vid all överföring av personuppgifter ska enligt artikel 7.2 så långt möjligt sådan nödvändig information läggas till som gör det möjligt för den mottagande behöriga myndigheten att bedöma i vilken grad uppgifterna är korrekta, fullständiga och tillförlitliga och i vilken utsträckning de är aktuella. Bestämmelsen kompletterar skyddet för den enskilde när det gäller kvaliteten på personuppgifter genom att den som tar emot uppgifterna ges möjlighet att göra en egen bedömning av deras kvalitet. Mottagaren kan då fullgöra sin skyl- dighet att kontrollera kvaliteten på personuppgifter som kommer från andra behöriga myndigheter. En bestämmelse om att sådan in- formation så långt det är möjligt ska lämnas i samband med att per- sonuppgifter lämnas ut bör tas in i ramlagen. Informationen till mottagaren kan exempelvis avse information om var personuppgif- terna kommer från, vad man vet om uppgiftslämnaren, när och för vilket ändamål uppgifterna hämtades in och om uppgifterna grun- dar sig på fakta eller personliga bedömningar. Det kan också vara av värde för mottagaren att få veta om personuppgifterna är eller har varit föremål för domstolsbehandling och om förfarandet i så fall är avslutat.

9.3Längsta tid som personuppgifter får behandlas

9.3.1Terminologin bör renodlas

Utredningens bedömning: För att skilja mellan arkivrättsliga regler och regler om dataskydd bör orden bevarande och gall- ring bara användas i den betydelse de har i arkivlagstiftningen. Regleringen i ramlagen bör utgå från hur länge personuppgifter får behandlas för andra ändamål än arkivändamål.

282

SOU 2017:29

Principer för behandling av personuppgifter

Skälen för utredningens bedömning: Regleringen av bevarande av personuppgifter är komplex. Arkivreglerna innebär att allmänna handlingar ska bevaras i arkiv och bär på så sätt upp handlings- offentligheten. Enligt 3 § arkivlagen (1990:782) ska myndigheters arkiv bevaras, hållas ordnade och vårdas så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rätts- skipningen och förvaltningen och forskningens behov. Allmänna handlingar får enligt 10 § samma lag gallras, men det ska då beaktas att det arkivmaterial som återstår ska kunna tillgodose ändamålen med arkiven. Enligt 14 § arkivförordningen (1991:446) får statliga myndigheter gallra allmänna handlingar endast i enlighet med före- skrifter eller beslut av Riksarkivet eller enligt särskilda gallrings- föreskrifter i lag eller förordning. Gallring enligt Riksarkivets före- skrifter görs för att begränsa arkivens omfattning. Med gallring avses att handlingar eller uppgifter sorteras ut och förstörs. Gall- ring av elektroniska upptagningar innebär normalt att information raderas från databäraren. Som gallring räknas enligt Riksarkivets föreskrifter förstöring av allmänna handlingar och uppgifter i all- männa handlingar (se t.ex. 2 kap. 1 § RA-FS 2003:3). Överföring till annan databärare räknas som gallring om överföringen medför informationsförlust, förlust av sökmöjligheter eller förlust av möj- ligheter att fastställa informationens autenticitet (jfr Ordning och reda bland allmänna handlingar, SOU 2002:97, s. 73). Informatio- nen behöver således inte förstöras för att det ska vara fråga om gallring.

I flertalet registerförfattningar finns det bestämmelser om beva- rande och gallring (se bl.a. 3 kap. 9–15 §§ polisdatalagen, 2 kap. 10 § åklagardatalagen, 4 kap. 8–14 §§ kustbevakningsdatalagen och 7 § lagen om behandling av personuppgifter inom kriminalvården). Gallring enligt dessa författningar görs för att skydda den enskildes integritet. Sådana regler föreslås också i 4 kap. tullbrottsdatalagen och 4 kap. skattebrottsdatalagen.

De personuppgifter som behöriga myndigheter behandlar ingår i mycket stor utsträckning i upptagningar som är eller kommer att bli allmänna handlingar. Utgångspunkten i det arkivrättsliga regel- verket är att uppgifter ska bevaras, medan gallring är presumtionen enligt reglerna om skydd för personuppgifter. I 8 § andra stycket personuppgiftslagen har arkivlagstiftningen getts företräde genom att det anges att bestämmelser om längsta tid för bevarande inte

283

Principer för behandling av personuppgifter

SOU 2017:29

hindrar att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. Den prin- cipen bör enligt utredningens mening gälla även fortsättningsvis.

Som nyss nämnts syftar gallringsbestämmelserna i myndigheter- nas registerförfattningar till att skydda enskildas integritet. För att tydligare skilja mellan arkivrättsliga regler och regler om skydd för personuppgifter bör begreppen bevarande och gallring enbart an- vändas i den betydelse de har i arkivlagstiftningen. I ramlagen och i myndigheternas registerförfattningar bör regleringen i stället utgå från hur länge personuppgifter får behandlas för andra ändamål än arkivändamål. Utredningen återkommer i slutbetänkandet till den anpassning som behövs av registerförfattningarna.

9.3.2Hur länge får personuppgifter behandlas?

Utredningens förslag: Personuppgifter får inte behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Det hindrar inte att en behörig myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial lämnas till en arkivmyndighet.

Om det inte är föreskrivet i lag eller annan författning när en viss kategori av personuppgifter inte längre får behandlas för andra ändamål än arkivändamål, ska den personuppgiftsansva- rige årligen se över behovet av att fortsatt behandla personupp- gifterna.

Att behöriga myndigheter ska ha rutiner för att säkerställa att reglerna om längsta tid för behandling av personuppgifter respekteras ska regleras i förordning.

Skälen för utredningens förslag

Innehållet i direktivet och nuvarande reglering

Enligt artikel 4.1 e ska personuppgifter inte förvaras i en form som möjliggör identifiering av den registrerade under längre tid än vad som är nödvändigt för de ändamål för vilka de behandlas. Det ska enligt artikel 5 föreskrivas lämpliga tidsgränser för radering av per- sonuppgifter eller för periodisk översyn av behovet av att lagra

284

SOU 2017:29

Principer för behandling av personuppgifter

personuppgifter. Procedurrelaterade åtgärder ska säkerställa att tidsgränserna efterlevs. Behandling kan enligt artikel 4.3 inbegripa arkivändamål av allmänt intresse.

En bestämmelse som motsvarar artikel 4.1 e finns i artikel 6.1 e i det nu gällande dataskyddsdirektivet, som har genomförts genom 9 § första stycket i personuppgiftslagen. Där anges att personupp- gifter inte får bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Bestämmelsen är inte tillämplig för polisen, Kustbevakningen, Tullverket och åkla- garväsendet. I dessa myndigheters registerförfattningar finns det i stället särskilda bestämmelser med motsvarande innehåll.

Personuppgifter får bara behandlas så länge de behövs för annat än arkivändamål

För de behöriga myndigheterna gäller redan i dag att personupp- gifter inte får bevaras under längre tid än vad som är nödvändigt för de ändamål för vilka de behandlas. Det gäller antingen för att de tillämpar 9 § i personuppgiftslagen eller för att deras registerför- fattningar innehåller en motsvarande bestämmelse. En bestämmelse om hur länge personuppgifter får behandlas bör tas in i ramlagen. För att tydliggöra att det inte är fråga om bevarande i arkivlagens mening bör ordet behandlas användas i stället för bevaras. Person- uppgifter bör alltså inte få behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Om en behörig myndighet behandlar en personuppgift för flera ändamål samtidigt varierar tiden för hur länge uppgiften behöver behandlas. Att det inte längre finns behov av att behandla personuppgiften för ett visst ändamål medför inte att behandlingen av den måste upp- höra för alla andra ändamål samtidigt. Å andra sidan innebär det förhållandet att personuppgiften fortfarande behövs för ett visst ändamål inte att den får fortsätta att behandlas för alla ändamål lika länge.

Artikel 5 ger två möjligheter att säkerställa att personuppgifter inte behandlas längre än nödvändigt. Antingen ska det fastställas lämpliga tidsgränser för radering av personuppgifter eller för perio- disk översyn av behovet av att lagra personuppgifter. Eftersom det enligt artikel 4.3 är tillåtet att behandla personuppgifter för arkiv- ändamål av allmänt intresse kan det inte rimligen krävas att upp-

285

Principer för behandling av personuppgifter

SOU 2017:29

gifterna ska raderas. Enligt utredningens mening bör artikeln tolkas så att det ska finnas frister för när behandlingen av personuppgif- terna för annat än arkivändamål ska upphöra.

De flesta registerförfattningar föreskriver som nyss nämnts frister för när behandlingen av personuppgifterna för andra ända- mål än arkivändamål ska upphöra. I bestämmelserna anges att per- sonuppgifterna ska gallras senast vid en viss tidpunkt. Utredningen avser att i slutbetänkandet se över terminologin för att renodla den (se avsnitt 9.3.1).

De frister som finns täcker dock inte all personuppgiftsbehand- ling som utförs av de behöriga myndigheterna. Det är enligt utred- ningens mening varken möjligt eller lämpligt att i ramlagen ställa upp en generell frist för när behandlingen av personuppgifter för andra ändamål än arkivändamål ska upphöra, eftersom det varierar hur länge myndigheterna behöver kunna behandla olika typer av personuppgifter. Regleringen i ramlagen bör därför utgå från möj- ligheten att föreskriva tidsgränser för periodisk översyn av behovet av att behandla personuppgifter.

Enligt huvudregeln får personuppgifter inte behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Om den regeln kompletteras med en bestämmelse om att den behöriga myndigheten – om det saknas frist för när uppgifter inte längre får behandlas för annat än arkivändamål – en gång om året ska se över behovet av att fortsatt behandla person- uppgifterna, säkerställs att behandlingen upphör när det inte längre finns behov av den. För de behöriga myndigheter som inte har en registerförfattning, eller där registerförfattningen inte innehåller någon särskild frist för när personuppgifter inte längre får behand- las, kommer sistnämnda regel att gälla.

Det är viktigt att de behöriga myndigheterna ser till att de frister för längsta tid för behandling som finns respekteras och skapar rutiner för att se över behovet av att fortsatt behandla personupp- gifter. Om de särskilda fristerna och den föreslagna bestämmelsen om periodisk översyn kompletteras med föreskrifter på lägre nivå om att de behöriga myndigheterna ska ha rutiner för att se till att bestämmelserna efterlevs, är direktivets krav på procedurrelaterade åtgärder enligt utredningens mening uppfyllt.

286

SOU 2017:29

Principer för behandling av personuppgifter

Behandling för arkivändamål

Enligt 8 § andra stycket personuppgiftslagen hindrar bestämmel- serna i lagen om hur länge personuppgifter får bevaras inte att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. Bestämmelsen gäller för några av de behöriga myndigheterna. Arkivlagstiftningen har alltså i fråga om allmänna handlingar företräde framför person- uppgiftslagens bestämmelser om längsta bevarandetid. För polisen, åklagarväsendet och Kustbevakningen har det gjorts undantag från 8 § andra stycket. I de myndigheternas registerförfattningar finns i stället som nyss nämnts särskilda regler om gallring. Motsvarande reglering föreslås för Tullverkets och Skatteverkets brottsbekäm- pande verksamhet.

Enligt artikel 4.3 kan behandling inbegripa arkivändamål av all- mänt intresse. För att tydliggöra att personuppgifter får arkiveras när de inte längre behövs för något av de andra i ramlagen tillåtna ändamålen bör det tas in en bestämmelse i ramlagen som motsvarar 8 § andra stycket personuppgiftslagen. I vilken utsträckning per- sonuppgifterna ska gallras regleras i det arkivrättsliga regelverket.

Det bör anmärkas att behandling för arkivändamål omfattas av dataskyddsförordningens tillämpningsområde, oavsett om det är den behöriga myndigheten som arkiverar personuppgifterna eller om de överlämnas till en arkivmyndighet.

9.4Automatiserade beslut

Utredningens förslag: Om ett beslut, som har rättsliga följder för en fysisk person eller annars i betydande grad påverkar honom eller henne, enbart grundas på automatiserad behandling av sådana personuppgifter som är avsedda att bedöma hans eller hennes egenskaper, ska personen ha möjlighet att på begäran få beslutet omprövat av någon person. Automatiserade beslut som enbart grundar sig på känsliga personuppgifter förbjuds.

Skälen för utredningens förslag: I artikel 11 föreskrivs att det ska införas förbud mot automatiserade beslut, såvida inte sådana beslut är tillåtna enligt unionsrätten eller nationell rätt och det är före-

287

Principer för behandling av personuppgifter SOU 2017:29

skrivet lämpliga skyddsåtgärder för den enskilde. Skyddsåtgärderna ska åtminstone ge den enskilde rätt till personlig kontakt med någon hos den personuppgiftsansvarige. Enligt skäl 38 ska skydds- åtgärderna innefatta särskild information till den registrerade och rätt till personlig kontakt för att möjliggöra för honom eller henne att framföra synpunkter, att få beslutet förklarat för sig och att överklaga beslutet. Automatiserade beslut får inte grundas på käns- liga personuppgifter, om inte lämpliga skyddsåtgärder har vidtagits. Profilering som leder till diskriminering av fysiska personer på grundval av känsliga personuppgifter ska förbjudas.

Med automatiserade beslut avses beslut som inte fattas av någon tjänsteman utan som blir den automatiska följden av t.ex. att en viss handling ges in eller inte inkommer inom viss tid. Automatise- rade beslut förekommer i viss utsträckning inom den svenska för- valtningen, men det rör sig främst om beslut i skattefrågor och i frågor som regleras i socialförsäkringsbalken. Inom ramlagens till- lämpningsområde förekommer det i dag inga automatiserade be- slut, men med teknikutvecklingen kan det inte uteslutas att det i framtiden kommer att finnas sådana. Då direktivet sätter gränser för sådana beslut bör ramlagen innehålla en bestämmelse om auto- matiserade beslut. Den finns dock inget skäl att öppna möjlighet att införa automatiserade beslut som enbart grundar sig på känsliga personuppgifter. Sådana beslut bör därför förbjudas.

I 29 § personuppgiftslagen finns en liknande bestämmelse om automatiserade beslut. Den bör tjäna som utgångspunkt för hur bestämmelsen i ramlagen bör utformas.

Information avseende automatiserade beslut behandlas i av- snitt 11.2.9 och överklagande i avsnitt 14.4.

9.5Användningsbegränsning

Utredningens förslag: Om det inte är särskilt föreskrivet får villkor för behandlingen av personuppgifter inte ställas upp i förhållande till en mottagare i en annan medlemsstat eller ett EU-organ, om det inte i motsvarande fall får ställas upp samma typ av villkor i förhållande till en svensk mottagare. Att motta- garen ska informeras om sådana villkor ska regleras i förordning.

288

SOU 2017:29

Principer för behandling av personuppgifter

Skälen för utredningens förslag

Tolkningen av artiklarna 9.3 och 9.4

I artikel 9.3 föreskrivs skyldighet för behöriga myndigheter att informera mottagare av personuppgifter om att det har ställts upp begränsningar för hur uppgifterna får behandlas och att sådana användningsbegränsningar måste respekteras. Enligt artikel 9.4 ska fastställda villkor för behandlingen av personuppgifter inte till- lämpas i förhållande till mottagare i andra medlemsstater eller på byråer eller organ som har inrättats i enlighet med bestämmelserna om straffrättsligt samarbete och polissamarbete i fördraget om Europeiska unionens funktionssätt (EUF-fördraget), med undan- tag för sådana villkor som är tillämpliga när personuppgifter i mot- svarande fall lämnas ut nationellt.

Av punkterna 1 och 2 i artikeln framgår att dataskyddsförord- ningen ska tillämpas när personuppgifter som samlats in av behö- riga myndigheter behandlas för ändamål utanför direktivets till- lämpningsområde (se avsnitt 9.6). Det ligger därför nära till hands att tolka punkterna 3 och 4 som att de enbart gäller vid utlämnande där dataskyddsförordningen ska tillämpas. Det skäl som är kopplat till artiklarna 9.3 och 9.4, skäl 36, är dock placerat efter det skäl som anger när behandling av personuppgifter är laglig enligt direk- tivet. Det tyder på att regleringen av villkoren om användnings- begränsningar i första hand gäller vid behandling för ändamål inom direktivets tillämpningsområde. Det ter sig enligt utredningens mening också mer rimligt med en reglering av villkoren för an- vändningsbegränsning i de fallen. Det skulle innebära att villkor om användningsbegränsningar fick ställas upp i samma utsträckning i förhållande till behöriga myndigheter i andra medlemsstater som till behöriga myndigheter nationellt. Utredningen tolkar därför artiklarna 9.3 och 9.4 som att de gäller vid behandling för ändamål inom direktivets tillämpningsområde.

Information om användningsbegränsningar

Rätten att ställa upp användningsbegränsningar ska enligt arti- kel 9.3 framgå av unionsrätten eller av nationell rätt. Artikeln ska- par ingen rätt för behöriga myndigheter att ställa upp användnings-

289

Principer för behandling av personuppgifter

SOU 2017:29

begränsningar, utan innebär endast en skyldighet att informera när sådana villkor har ställts upp på grund av andra regler. Informa- tionsskyldigheten kan regleras i förordning.

Användningsbegränsningar ska enligt artikel 9.4 inte tillämpas i förhållande till mottagare i andra medlemsstater eller på byråer eller organ som har inrättats i enlighet med bestämmelserna om straff- rättsligt samarbete och polissamarbete i EUF-fördraget, utom så- dana villkor som är tillämpliga när personuppgifter i motsvarande fall lämnas ut nationellt. Artikeln torde innebära att användnings- begränsningar inte får ställas upp i större utsträckning i förhållande till mottagare i andra medlemsstater än vad som är tillåtet i för- hållande till mottagare i den egna medlemsstaten.

Det bör regleras att användningsbegränsningar inte får ställas upp i större utsträckning i förhållande till mottagare i en annan medlemsstat eller ett EU-organ än vad som gäller i förhållande till mottagare i Sverige, om det inte är särskilt föreskrivet. Bestämmel- ser om när användningsbegränsningar får ställas upp finns inom ramlagens tillämpningsområde i lagen (2000:562) om internationell rättslig hjälp i brottmål, lagen (2000:1219) om internationellt tull- samarbete, lagen (2003:1174) om vissa former av internationellt samarbete i brottsutredningar, förordningen (2008:1396) om för- enklat uppgiftsutbyte mellan brottsbekämpande myndigheter i Europeiska unionen och den föreslagna lagen (2017:000) om internationellt polisiärt samarbete. Som framgår av avsnitt 15.2.2 definieras medlemsstat på ett annat sätt i ramlagen än normalt. Det är inte lämpligt att reglera i förhållande till vilka stater villkor om användningsbegränsningar får ställas upp i de enskilda bestämmel- serna om användningsbegränsningar, eftersom var och en av dem då skulle behöva tyngas av en uppräkning. Bestämmelsen bör i stället placeras i ramlagen. För att göra det tydligt för tillämparen att möjligheten att ställa upp användningsbegränsningar kan vara begränsad i förhållande till vissa stater, bör det införas hänvisningar till ramlagens bestämmelse i de nyss nämnda lagarna.

Av artikel 60 framgår att direktivet inte ska påverka särskilda be- stämmelser om skydd av personuppgifter i unionsrättsakter på om- rådet som trädde i kraft den 6 maj 2016 eller tidigare, vilka gäller behandling mellan medlemsstater eller tillgång till informationssys- tem som inrättats på grundval av fördragen och som är relevanta för direktivets tillämpningsområde (se avsnitt 6.3). Om det enligt

290

SOU 2017:29

Principer för behandling av personuppgifter

en sådan rättsakt är tillåtet att ställa upp användningsbegränsningar i förhållande till andra medlemsstater, trots att motsvarande möj- lighet inte finns när det gäller nationella mottagare, bör bestäm- melser om det kunna behållas. Artikel 9.4 får därför tolkas som att den avser användningsbegränsningar i samband med uppgiftsutbyte i andra fall.

9.6Behandling för ändamål utanför ramlagens tillämpningsområde

Utredningens förslag: I ramlagen ska det tas in en upplysnings- bestämmelse om att dataskyddsförordningen gäller vid behand- ling för ändamål som ligger utanför ramlagens tillämpningsom- råde.

Skälen för utredningens förslag

Från ramlagen till dataskyddsförordningen

En behörig myndighet kan ha behov av att behandla personupp- gifter för nya ändamål både för att använda uppgifterna i den egna verksamheten och för att lämna ut dem till någon annan. I av- snitt 9.1 redovisas under vilka förutsättningar behöriga myndig- heter får behandla personuppgifter för ändamål som ligger inom ramlagens tillämpningsområde.

Behöriga myndigheter kan även ha behov av att behandla per- sonuppgifter för ändamål som ligger utanför ramlagens tillämp- ningsområde, framför allt för att lämna ut dem till myndigheter och andra aktörer som inte är behöriga myndigheter för deras behov. Ett exempel på det kan vara att Kustbevakningen lämnar personuppgifter till Sjöfartsverket, Transportstyrelsen eller en miljömyndighet efter en fartygskollision. Personuppgifter som en behörig myndighet behandlar enligt ramlagen kan också behöva lämnas till en enhet inom myndigheten som bedriver verksamhet utanför lagens tillämpningsområde. Personuppgifter som behandlas i Polismyndighetens brottsbekämpande verksamhet kan exempelvis

291

Principer för behandling av personuppgifter

SOU 2017:29

behöva lämnas till den inom myndigheten som beslutar i fråga om pass eller vapenlicens.

I artikel 9 regleras vad som gäller när personuppgifter som be- handlas med stöd av direktivet ska behandlas för ändamål utanför direktivets tillämpningsområde. Där anges att personuppgifter som har samlats in för ändamål inom direktivets tillämpningsområde inte får behandlas för andra ändamål, såvida inte sådan behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt. När personuppgifter behandlas för andra ändamål eller av någon som inte är en behörig myndighet ska dataskyddsförordningen tillämpas, utom när behandlingen utförs som ett led i en verksam- het som inte omfattas av unionsrätten. I skäl 34 framhålls att data- skyddsförordningen är tillämplig på överföring av personuppgifter för ändamål som inte omfattas av direktivet. Dataskyddsförord- ningen är därmed tillämplig redan på de behöriga myndigheternas behandling för att tillhandahålla personuppgifter till andra myndig- heter, om ändamålet med behandlingen ligger utanför ramlagens tillämpningsområde.

Vad innebär det att dataskyddsförordningen är tillämplig?

För behandling av personuppgifter i verksamhet som omfattas av unionsrätten gäller antingen direktivets eller dataskyddsförord- ningens reglering. Direktivet och förordningen kan vara tillämpliga parallellt om samma personuppgift behandlas för olika syften, men de kan aldrig tillämpas samtidigt på samma behandling (se av- snitt 7.1.5).

Hittills har behandling av personuppgifter för ett nytt ändamål, oavsett om det är behandling i myndighetens egen verksamhet eller för att lämna ut uppgifterna till en annan myndighet, setts som vidarebehandling. Vidarebehandling är enligt finalitetsprincipen tillåten endast om det nya ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in. Av artikel 9 i direktivet framgår att dataskyddsförordningen ska tillämpas på behandling för ändamål utanför direktivets tillämpningsområde. Det innebär att direktivets, och därmed ramlagens, bestämmelser över huvud taget inte ska tillämpas vid sådan behandling. Prövningen av om be- handlingen är tillåten ska enbart göras med utgångspunkt i bestäm-

292

SOU 2017:29

Principer för behandling av personuppgifter

melserna i förordningen. Eftersom den behandlingen blir ur- sprungsbehandling enligt förordningen är det inte fråga om någon vidarebehandling, vilket gör att finalitetsprincipen inte ska till- lämpas på den behandlingen. Det innebär att finalitetsprincipen aldrig blir tillämplig på direktivets tillämpningsområde (se även av- snitt 9.1.6).

Ramlagen bör innehålla en bestämmelse som upplyser om att det är dataskyddsförordningen som ska tillämpas när personuppgif- ter behandlas för ändamål som inte omfattas av ramlagens tillämp- ningsområde.

Sekundära ändamålsbestämmelser

I flera av myndigheternas registerförfattningar finns sekundära ändamålsbestämmelser som reglerar när behandling för att tillhan- dahålla information till andra myndigheter eller andra delar av verk- samheten är tillåten (se t.ex. 2 kap. 8 § polisdatalagen). I utred- ningens uppdrag ingår att analysera om det finns utrymme för och behov av att inom dataskyddsförordningens tillämpningsområde införa eller behålla specifik reglering i svensk rätt om behandling av personuppgifter för att tillhandahålla information (se dir. 2016:21 s. 10 f.). Det finns därför skäl att redan nu diskutera om det över huvud taget går att ha kvar de sekundära ändamålsbestämmelserna för behandling som ligger under förordningens tillämpningsom- råde. För att kunna göra det måste utredningen gå igenom när behandling är tillåten enligt förordningen och vilket utrymme det finns för kompletterande nationella bestämmelser.

Dataskyddsförordningen utgår, i likhet med direktivet, från att varje behandling av personuppgifter måste vila på en rättslig grund. De rättsliga grunderna räknas uttömmande upp i artikel 6.1 i för- ordningen. Om ingen av dem är tillämplig är behandlingen inte lag- lig och får därmed inte utföras. De rättsliga grunder som räknas upp i artikel 6.1 är följande:

a)Den registrerade har lämnat sitt samtycke till behandlingen.

b)Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.

293

Principer för behandling av personuppgifter

SOU 2017:29

c)Behandlingen är nödvändig för att fullgöra en rättslig förplik- telse som den personuppgiftsansvarige har.

d)Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller en annan fysisk person.

e)Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myn- dighetsutövning.

f)Behandlingen är nödvändig för ändamål som rör den person- uppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.

Av artikeln framgår att punkten f inte gäller för behandling som ut- förs av myndigheter.

De behöriga myndigheternas arbetsuppgifter som har lagts fast av riksdagen eller regeringen (eller som följer av unionsrätt) får anses vara av allmänt intresse, även om de inte innebär myndighets- utövning. Därför blir framför allt artikel 6.1 e relevant när behöriga myndigheter ska lämna ut personuppgifter enligt förordningen. Även artikel 6.1 c skulle kunna aktualiseras.

Medlemsstaterna får enligt artikel 6.2 i vissa fall behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen genom att fastställa specifika krav för behandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling. Det förutsätter att det är fråga om sådan per- sonuppgiftsbehandling som är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige, eller för att ut- föra en uppgift av allmänt intresse eller som ett led i den person- uppgiftsansvariges myndighetsutövning (artikel 6.1 c eller e). Av artikel 6.3 framgår att syftet med behandlingen ska fastställas i den rättsliga grunden eller, i fråga om behandling enligt punkten 1 e, vara nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Den rättsliga grunden kan enligt artikeln också innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen.

294

SOU 2017:29

Principer för behandling av personuppgifter

Grunden för behandlingen i artiklarna 6.1 c och 6.1 e ska enligt artikel 6.3 första stycket fastställas i enlighet med unionsrätten eller den nationella rätten. Enligt direktiven till Dataskyddsutredningen innebär det att det inte kommer att vara möjligt att endast stödja sig på den generella regleringen i förordningen vid sådan behand- ling. Den utredningen har därför i uppdrag att bl.a. analysera om det behövs bestämmelser som kompletterar förordningen och ger ett generellt stöd för myndigheters och andra organs behandling av personuppgifter (dir. 2016:15 s. 7 f.).

För att inte föregripa Dataskyddsutredningens bedömning av hur de olika punkterna i artikel 6 ska tolkas och om det behövs kompletterande bestämmelser i svensk rätt, anser utredningen att det är tillräckligt att konstatera att artiklarna 6.2 och 6.3 ger ut- rymme för medlemsstaterna att specificera villkoren för när be- handling av personuppgifter är tillåten. I artikel 6.3 anges dessutom som exempel på sådana särskilda bestämmelser som är tillåtna att de enheter till vilka personuppgifter får lämnas pekas ut. Det råder därför enligt utredningens mening ingen tvekan om att det är möj- ligt att i myndigheternas registerförfattningar reglera utlämnande- frågor.

Som anges i avsnitt 9.1.6 kan det däremot ifrågasättas om de sekundära ändamålsbestämmelserna är bestämmelser om ändamål. Utredningen återkommer i slutbetänkandet till frågan hur de sekundära ändamålsbestämmelserna i registerförfattningarna bör hanteras.

295

10Personuppgiftsansvarigas skyldigheter

10.1Vad innebär personuppgiftsansvar?

10.1.1Definition av personuppgiftsansvarig

Utredningens förslag: Personuppgiftsansvarig ska i ramlagen definieras som den behöriga myndighet som ensam eller till- sammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter.

Skälen för utredningens förslag: Personuppgiftsansvar är ett centralt begrepp i dataskyddslagstiftningen. Utgångspunkten är att det alltid ska finnas någon som bär ansvaret för att dataskyddsreg- lerna följs vid behandling av personuppgifter och som den enskilde kan vända sig till för att göra sina rättigheter gällande. Den person- uppgiftsansvarige har det ansvaret. Det är viktigt att det tydligt framgår vem som är personuppgiftsansvarig och därför bör det i ramlagen definieras vad som avses med uttrycket.

Personuppgiftsansvarig definieras i artikel 3.8 som en behörig myndighet som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter.

Definitionen i direktivet motsvarar den som finns i 3 § person- uppgiftslagen (1998:204), som genomför artikel 2 d i det nu gäl- lande dataskyddsdirektivet. Eftersom definitionen är väl inarbetad bör personuppgiftsansvarig därför definieras på samma sätt i ram- lagen. Det bör dock framgå att endast behöriga myndigheter kan vara personuppgiftsansvariga. Personuppgiftsansvarig bör därmed definieras som den behöriga myndighet som ensam eller tillsam-

297

Personuppgiftsansvarigas skyldigheter

SOU 2017:29

mans med andra bestämmer ändamålen med och medlen för be- handlingen av personuppgifter.

Av artikel 3.8 framgår att om ändamålen med och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller kriterier för hur den ska utses föreskrivas i unionsrätten eller nationell rätt. Direktivet ger således möjlighet att fastställa personuppgiftsan- svaret i författning.

Eftersom ramlagen ska vara tillämplig på all behandling av per- sonuppgifter för de syften som anges i lagen är det inte möjligt att i lagen ange vem som är personuppgiftsansvarig för viss behandling. I de verksamheter där endast ramlagen kommer att gälla får defi- nitionen i lagen tjäna som vägledning för vem som är personupp- giftsansvarig. Det är enligt utredningens mening ett tillräckligt tydligt sätt att fastställa personuppgiftsansvaret på. I myndigheter- nas registerförfattningar föreskrivs vem som är personuppgiftsan- svarig. Hur personuppgiftsansvaret ska regleras i myndigheternas registerförfattningar framöver kommer utredningen att behandla i slutbetänkandet.

10.1.2Personuppgiftsansvarets omfattning

Utredningens förslag: Den personuppgiftsansvarige ska vara ansvarig för all behandling av personuppgifter som utförs under dennes ledning eller på dennes vägnar.

Skälen för utredningens förslag: Av ramlagen ska det framgå vad den personuppgiftsansvarige är skyldig att göra i olika situationer, t.ex. samarbeta med tillsynsmyndigheten, vidta säkerhetsåtgärder och utse dataskyddsombud. Enligt artikel 4.4 ska den personupp- giftsansvarige inte bara ansvara för att personuppgiftsbehandlingen utförs på ett lagligt och korrekt sätt och i övrigt i enlighet med de grundläggande principer som gäller för behandlingen utan även kunna visa att principerna efterlevs.

Enligt utredningens mening bör det i ramlagen klargöras hur långt personuppgiftsansvaret sträcker sig. I en bestämmelse om personuppgiftsansvarets omfattning bör den personuppgiftsansva- riges helhetsansvar slås fast. Enligt skäl 50 bör personuppgiftsan-

298

SOU 2017:29

Personuppgiftsansvarigas skyldigheter

svariga åläggas ansvaret för all behandling av personuppgifter som de utför eller som utförs på deras vägnar. Det är enligt utredning- ens mening en rimlig utgångspunkt. På så sätt kommer personupp- giftsansvaret att omfatta dels den personuppgiftsbehandling som förekommer vid den behöriga myndigheten, dels den personupp- giftsbehandling som ett personuppgiftsbiträde utför på den person- uppgiftsansvariges vägnar (se avsnitt 10.6.2).

Den personuppgiftsansvariges helhetsansvar får också betydelse för skadeståndsansvaret, eftersom den personuppgiftsansvarige an- svarar även för den behandling som utförs av ett personuppgiftsbi- träde. Utredningen återkommer till den frågan i avsnitt 14.3.2. Det får likaså betydelse för frågan om vem som ska betala sanktionsav- gift, vilket utredningen återkommer till i avsnitt 13.4.

Det är den behöriga myndigheten som är personuppgiftsansva- rig, inte chefen eller någon anställd. Ytterst är det dock myndig- hetens chef som bär ansvaret för hur personuppgifterna behandlas. I stora myndighetsorganisationer innebär det att personuppgifts- ansvaret hamnar långt från den faktiska behandlingen av person- uppgifter. Personuppgiftsansvaret kan därmed bli ganska abstrakt.

Den omständigheten att det har utsetts ett dataskyddsombud påverkar inte personuppgiftsansvaret. Ett dataskyddsombud har nämligen inte något ansvar för den personuppgiftsbehandling som utförs (se avsnitt 10.5.3).

Enligt artikel 23 ska den som får tillgång till personuppgifter endast behandla dem enligt instruktion från den personuppgifts- ansvarige. Varje medarbetare måste därför vid behandling av per- sonuppgifter se till att regelverket för sådan behandling följs, men ansvaret för att medarbetarna har fått den utbildning som krävs och tillräckliga instruktioner vilar på den personuppgiftsansvarige.

299

Personuppgiftsansvarigas skyldigheter

SOU 2017:29

10.2Skyldigheten att säkerställa författningsenlig behandling

10.2.1Tekniska och organisatoriska åtgärder

Utredningens förslag: Genom lämpliga tekniska och organisa- toriska åtgärder ska den personuppgiftsansvarige säkerställa och kunna visa att behandlingen av personuppgifter är författnings- enlig och att registrerades rättigheter skyddas.

Den personuppgiftsansvarige ska också genom lämpliga tek- niska och organisatoriska åtgärder se till att dataskyddsprinciper säkerställs på ett effektivt sätt och att nödvändiga skydds- åtgärder integreras i behandlingen (inbyggt dataskydd). I auto- matiserade behandlingssystem ska det som regel endast vara möjligt att behandla de personuppgifter som är nödvändiga för varje särskilt angivet ändamål med behandlingen (dataskydd som standard).

Vilka omständigheter som ska beaktas när den personupp- giftsansvarige beslutar om tekniska och organisatoriska åtgärder ska regleras i förordning.

Att den personuppgiftsansvarige ska anta interna strategier för dataskydd ska också regleras i förordning.

Skälen för utredningens förslag

Innehållet i direktivet

Enligt artikel 19.1 ska den personuppgiftsansvarige vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa, och kunna visa, att behandlingen utförs i enlighet med direktivet. Åtgärderna ska vidtas med beaktande av behandlingens art, omfattning, sam- manhang och ändamål och riskerna för fysiska personers rättig- heter och friheter. Åtgärderna ska ses över och uppdateras vid be- hov. Enligt artikel 19.2 ska åtgärderna, om det står i proportion till behandlingen, omfatta den personuppgiftsansvariges genomföran- de av lämpliga strategier för dataskydd.

I artikel 20.1 regleras principen om inbyggt dataskydd. Inbyggt dataskydd innebär att den personuppgiftsansvarige, både vid beslut om vilka medel behandlingen ska utföras med och vid själva be-

300

SOU 2017:29

Personuppgiftsansvarigas skyldigheter

handlingen, ska genomföra lämpliga tekniska och organisatoriska åtgärder som återspeglar dataskyddsprinciper och integrerar nöd- vändiga skyddsåtgärder i behandlingen. Åtgärderna ska vidtas med beaktande av den senaste utvecklingen, kostnader för genomföran- det, behandlingens art, omfattning, sammanhang och ändamål och risken för fysiska personers rättigheter och friheter. Pseudonymi- sering anges som exempel på en åtgärd som bör vidtas och upp- giftsminimering som exempel på en dataskyddsprincip som bör genomföras.

I artikel 20.2 kommer principen om dataskydd som standard till uttryck. Enligt artikeln ska den personuppgiftsansvarige genomföra lämpliga tekniska och organisatoriska åtgärder för att, i standard- fallet, säkerställa att endast de personuppgifter behandlas som är nödvändiga för varje specifikt ändamål med behandlingen. Skyldig- heten avser mängden insamlade uppgifter, behandlingens omfatt- ning, hur länge uppgifterna får lagras och uppgifternas tillgänglig- het. Framför allt ska åtgärderna säkerställa att personuppgifter i standardfallet inte utan den enskildes medverkan görs tillgängliga för ett obegränsat antal andra personer.

Bestämmelserna om tekniska och organisatoriska åtgärder sak- nar motsvarighet i det nu gällande dataskyddsdirektivet och i per- sonuppgiftslagen. I 31 § personuppgiftslagen finns dock bestäm- melser om säkerhetsåtgärder.

Lämpliga tekniska och organisatoriska åtgärder ska vidtas

Artikel 4.1 i direktivet innehåller allmänna och grundläggande prin- ciper för behandling av personuppgifter. Av artikel 4.4 framgår att den personuppgiftsansvarige ska ansvara för och kunna visa efter- levnaden av dessa grundläggande principer. Enligt artikel 19.1 är den personuppgiftsansvarige skyldig att vidta lämpliga åtgärder för att säkerställa och kunna visa att behandlingen av personuppgifter utförs i enlighet med gällande rätt. Den artikeln tar sikte på de åt- gärder som behövs för att bl.a. de grundläggande principerna om behandling av personuppgifter i artikel 4.1 ska kunna efterlevas.

Artikel 19.1 bör genomföras, men det är inte möjligt att i ramla- gen ange vilka tekniska och organisatoriska åtgärder som den per-

301

Personuppgiftsansvarigas skyldigheter

SOU 2017:29

sonuppgiftsanvarige bör vidta. Det får avgöras i varje enskilt fall beroende på vilken verksamhet det rör sig om.

Vilka omständigheter som den personuppgiftsansvarige ska be- akta vid beslut om åtgärder kan regleras i förordning. Enligt utred- ningens mening bör de omständigheter som framgår av artikel 19.1 beaktas. Att åtgärderna ska ses över och uppdateras vid behov be- höver dock inte författningsregleras, eftersom det får anses ingå i den generella skyldigheten.

Vilka tekniska och organisatoriska åtgärder som kan krävas vari- erar också beroende på vilka personuppgifter som ska behandlas. Det kan vara lämpligt att regeringen eller den myndighet som rege- ringen bestämmer ges möjlighet att vid behov utfärda närmare rikt- linjer på området.

Enligt artikel 19.1 ska den personuppgiftsansvarige inte bara säkerställa att behandlingen utförs författningsenligt utan också kunna visa att så är fallet. Det bör innebära att den personuppgifts- ansvarige bl.a. ska se till att behandlingar och vidtagna åtgärder dokumenteras och att det är tekniskt möjligt att spåra behandlingar genom loggning och att loggningen följs upp. Utredningen föreslår visserligen att vissa sådana åtgärder ska regleras (se avsnitt 10.2.2 och 10.2.7), men det kan ändå vara lämpligt att i en särskild be- stämmelse tydliggöra den personuppgiftsansvariges generella an- svar att vidta åtgärder.

Enligt artikel 19.2 ska den personuppgiftsansvarige, om det står i proportion till behandlingen, anta lämpliga strategier för data- skydd. I skäl 53 anges att det är interna strategier som avses. Det som avses är enligt utredningens mening exempelvis interna regler, riktlinjer och rutiner och olika typer av styrdokument och policy- dokument. Sådana interna regelverk kan t.ex. behandla tilldelning av behörigheter och information till och utbildning av personal. Eftersom både direktivet och dataskyddsförordningen använder ordet strategier bör det användas i regleringen.

Direktivet ger ingen vägledning i fråga om vad som krävs för att skyldigheten att anta strategier ska vara proportionerlig. Enligt ut- redningens mening bör i vart fall personuppgiftsansvariga under vars ansvar det dagligen behandlas en större mängd personuppgifter eller hanteras behandlingssystem av större omfattning åläggas att anta interna strategier för skydd av personuppgifter. Det omfattar merparten av de behöriga myndigheterna inom ramlagens tillämp-

302

SOU 2017:29

Personuppgiftsansvarigas skyldigheter

ningsområde. Om en myndighet endast i liten omfattning behand- lar personuppgifter inom ramlagens tillämpningsområde finns det inte samma behov av sådana strategier. Mot den bakgrunden anser utredningen att alla personuppgiftsansvariga bör vara skyldiga att anta interna strategier för dataskydd, om det inte är uppenbart obehövligt med hänsyn till verksamhetens begränsade omfattning. En bestämmelse om det kan tas in i förordning.

Inbyggt dataskydd

Inbyggt dataskydd går ut på att låta integritetsfrågor påverka it- systemen från förstudie och kravställning via design och utveckling till användning och avveckling. Genom krav på att integritetsfrågor ska beaktas under hela tiden kan säkerheten höjas och författnings- enlig och korrekt behandling underlättas. Artikel 20.1 bör därför genomföras i ramlagen.

På samma sätt som när det gäller artikel 19.1 är det inte möjligt att i ramlagen ange vilka tekniska och organisatoriska åtgärder som den personuppgiftsanvarige bör vidta för att leva upp till principen om inbyggt dataskydd. Det får avgöras i varje enskilt fall beroende på vilken verksamhet det rör sig om och vilka personuppgifter som ska behandlas. Det handlar främst om åtgärder för att minimera mängden personuppgifter, begränsa åtkomsten till uppgifterna och på olika sätt skydda dem. I artikel 20.1 nämns pseudonymisering som ett exempel på en sådan åtgärd.

Vilka omständigheter som ska beaktas vid beslut om sådana åt- gärder kan regleras i förordning. Enligt utredningen bör de om- ständigheter som framgår av artikel 20.1 beaktas. Förutom person- uppgiftsbehandlingens art, omfattning, sammanhang och ändamål och riskerna med behandlingen ska också de tekniska möjlighe- terna och kostnaderna för åtgärderna beaktas i dessa fall.

Dataskydd som standard

Dataskydd som standard kan sägas innebära att arbetsflödena i ett system automatiskt ska styra användaren mot ett integritetssäkert arbetssätt och att grundinställningarna är satta så att inte mer in- formation än nödvändigt samlas in eller visas. Direktivet föreskri-

303

Personuppgiftsansvarigas skyldigheter

SOU 2017:29

ver att personuppgiftsansvariga ska vidta lämpliga åtgärder för att i standardfallet säkerställa det. Det behövs en bestämmelse i ram- lagen om det.

Skyldigheten förefaller gälla oavsett omständigheterna. Data- skydd som standard torde således vara något som den personupp- giftsansvarige ska säkerställa oavsett vilken behandling eller vilka personuppgifter det rör sig om och oavsett vad åtgärderna kostar. Som utredningen tolkar artikeln bör dataskydd som standard i princip gälla i alla system där personuppgifter behandlas. Det måste dock finnas visst utrymme för avsteg från huvudregeln i de fall där den personuppgiftsansvarige inte har rätt att införa sådana åtgärder, t.ex. i standardprogram som Word och Outlook där användaren inte råder över de tekniska lösningarna. De behöriga myndigheter- na måste kunna använda även sådana system. Mot den bakgrunden anser utredningen att kravet på dataskydd som standard endast bör gälla i automatiserade behandlingssystem. Vad som avses med auto- matiserade behandlingssystem behandlas i avsnitt 10.2.2.

Även om kravet på dataskydd som standard enligt utredningens mening endast bör gälla i automatiserade behandlingssystem bör de behöriga myndigheterna säkerställa att även behandling i de stan- dardprogram som används lever upp till de grundläggande kraven på behandling av personuppgifter. Om standardprogram inte gör det bör de följaktligen inte användas inom ramlagens tillämpnings- område.

I direktivet anges att skyldigheten avser mängden insamlade uppgifter, behandlingens omfattning, lagringstiden och uppgifter- nas tillgänglighet. Härigenom tydliggörs det att regleringen inte enbart avser tillgången till personuppgifter som är fallet vid lik- nande bestämmelser om säkerhetsåtgärder. Dataskydd som stan- dard innebär således att åtgärder ska vidtas för att säkerställa att inte fler personuppgifter än nödvändigt behandlas, att uppgifterna endast behandlas på ett sådant sätt och så länge som det är nödvän- digt och inte görs tillgängliga för fler än nödvändigt. Uppräkningen i artikel 20.2 bör dock inte tas in i ramlagen. Att precisera skyldig- heten på det sättet riskerar att låsa myndigheterna vid viss utform- ning av automatiserade behandlingssystem.

304

SOU 2017:29

Personuppgiftsansvarigas skyldigheter

10.2.2Loggning

Utredningens förslag: Den personuppgiftsansvarige ska säker- ställa att det i automatiserade behandlingssystem förs loggar över personuppgiftsbehandling i den utsträckning det är särskilt föreskrivet.

Skälen för utredningens förslag

Innehållet i direktivet och nuvarande reglering

Artikel 25.1 föreskriver att loggar, dvs. dokumentation, ska föras över vissa typer av behandlingar i automatiserade behandlingssys- tem. Loggningen ska avse insamling, ändring, läsning, utlämning (inklusive överföringar), sammanförande och radering. Loggarna över läsning och utlämning ska göra det möjligt att fastställa moti- vering, datum och tidpunkt för sådan behandling, vem som har läst eller lämnat ut personuppgifter och vilka som har fått tillgång till dem. Av artikel 25.2 framgår att loggarna bara bör användas för att kontrollera om behandlingen är tillåten, för att säkerställa person- uppgifternas integritet och säkerhet, för egenkontroll och för straffrättsliga förfaranden. Här avses med att säkerställa person- uppgifternas integritet att de ska skyddas mot förvanskning eller förändring. Loggarna ska, enligt artikel 25.3, på begäran göras tillgängliga för tillsynsmyndigheten. Bestämmelsen riktar sig även till personuppgiftsbiträden (se avsnitt 10.6.5).

Som tidigare nämnts ställs krav på säkerhetsåtgärder i 31 § per- sonuppgiftslagen. De anses även omfatta loggning och liknande åtgärder. Av Datainspektionens allmänna råd om säkerhet för per- sonuppgifter framgår att det, beroende på känsligheten hos per- sonuppgifterna, bör finnas en behandlingshistorik (logg) som spa- ras viss tid så att åtkomsten till uppgifterna kan kontrolleras. Enligt Datainspektionen bör en behandlingshistorik normalt vara så de- taljerad att den kan användas för att utreda felaktig eller obehörig användning av personuppgifter. Historiken bör, beroende på hur känsliga personuppgifterna är, ange t.ex. läsning, ändring, utplåning eller kopiering av personuppgifter (Säkerhet för personuppgifter, Datainspektionens allmänna råd, november 2008, s. 22). Bestäm- melser om loggning kan även finnas i myndighetsföreskrifter.

305

Personuppgiftsansvarigas skyldigheter

SOU 2017:29

Loggning i automatiserade behandlingssystem

Loggning är en säkerhetsåtgärd som innebär att behandlingshisto- rik sparas under en viss tid. Det är en teknisk funktion i systemet som fungerar automatiskt och som inte går att ändra eller påverka på annat sätt. Loggning fyller flera olika funktioner. Den ger den personuppgiftsansvarige information både om hur behandlingssys- temen används och om externa och interna angrepp mot systemen. Loggning är således mycket viktig för det interna säkerhetsarbetet. Den ger också tillsynsmyndigheten nödvändig information för granskning i efterhand av hur personuppgifter har behandlats. Det bör finnas en bestämmelse i ramlagen som slår fast att det krävs loggning. I vilken utsträckning det bör göras kan regleras i för- ordning.

Direktivet föreskriver att loggar ska föras över behandlingar i automatiserade behandlingssystem men uttrycket definieras inte. Det används endast i artikel 25.1 som handlar om loggning och artikel 29.2 som räknar upp olika säkerhetsåtgärder. I den sist- nämnda artikeln används uttrycket i samband med behörig åtkomst till automatiserade behandlingssystem och loggning av aktivitet i sådana system. Att uttrycket automatiserade behandlingssystem bara används i dessa sammanhang talar enligt utredningens mening för att det är en viss typ av system som avses och således inte it- system generellt. Den tolkningen framstår också som mest rimlig med tanke på vilka krav som ställs på loggning. Ser man till syftet med loggningen framstår behovet av den som störst vid användning av verksamhetsspecifika behandlingssystem.

Loggar bör alltså föras i automatiserade behandlingssystem. Ut- redningen anser att automatiserade behandlingssystem i detta sam- manhang bör avse för verksamheten särskilt utformade eller anpas- sade behandlingssystem där personuppgifter behandlas mer eller mindre strukturerat, t.ex. verksamhetsstöd i form av dokument- och ärendehanteringssystem och olika typer av register och databa- ser. Däremot bör standardprogram som Word, Outlook och Excel, av samma skäl som anges i avsnitt 10.2.1 när det gäller dataskydd som standard, inte omfattas av de i direktivet preciserade kraven på loggning. Olika lagringsytor, som t.ex. usb-minnen och anställdas personliga mappar på den egna datorn, bör också enligt utredning- ens mening undantas från de kraven. Personuppgiftsregleringen i

306

SOU 2017:29

Personuppgiftsansvarigas skyldigheter

övrigt gäller självfallet för behandling som utförs i sådan program- vara och på sådana lagringsytor även om de inte omfattas av de preciserade kraven på loggning. De närmare detaljerna kan regleras på lägre normgivningsnivå.

Förslaget att de mer preciserade kraven på loggning i direktivet ska begränsas till automatiserade behandlingssystem ska inte upp- fattas som att kraven på annan behandling är lägre. Loggning är ett viktigt inslag i det övergripande kravet på att personuppgiftsan- svariga ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna, vilket innebär att loggning kan krä- vas även i andra fall. Vilka uppgifter som kan behöva loggas kan dock variera. Det kan t.ex. vara viktigare med loggning i system som ett flertal personer använder än i system som enbart ett fåtal har tillgång till. Mot bakgrund av att alla de detaljkrav på loggning som direktivet ställer upp inte alltid är möjliga att leva upp till i alla system, anser utredningen att regleringen i ramlagen med tillhö- rande förordning bör begränsas till vad som krävs enligt direktivet. Det skulle nämligen riskera att urholka respekten för regleringen om den ställer detaljkrav som den personuppgiftsansvarige inte under några omständigheter kan leva upp till.

Utredningen utgår från att de personuppgiftsansvariga i den mån det är tekniskt möjligt kommer att ha loggning även i andra system av hänsyn till att det krävs för att personuppgifterna ska ha ett tillfredsställande skydd och för att ge underlag för intern kon- troll. Den personuppgiftsansvarige måste naturligtvis också se till att behandling av integritetskänsliga personuppgifter inte utförs i system som inte omfattas av de strikta kraven på loggning i syfte att kringgå kraven. Tillsynsmyndigheten bör i enskilda fall kunna ställa krav på loggning om det är en skydds- eller säkerhetsåtgärd som är nödvändig för att behandlingen ska omgärdas med tillräck- ligt skydd.

Vad ska loggas?

Loggar bör föras över de typer av behandlingar som anges i arti- kel 25.1. Därutöver bör även överföringar till tredjeland eller inter- nationella organisationer loggas.

307

Personuppgiftsansvarigas skyldigheter

SOU 2017:29

En behandlingshistorik bör normalt vara utformad så att den av- slöjar felaktig eller obehörig användning av personuppgifter. När det gäller läsning och utlämning av personuppgifter ska enligt direktivet loggarna göra det möjligt att få fram viss typ av informa- tion. Eftersom loggning är ett automatiskt förfarande kan endast viss information om behandlingen dokumenteras. Det rör sig främst om datum och tidpunkt för behandlingen. Information om vem som har behandlat personuppgiften går också att få fram, om de anställda har tilldelats behörigheter och det krävs inloggning i systemen. När det gäller utlämnande av uppgifter kan identiteten på den som har lämnat ut uppgifterna endast fastställas om de läm- nats ut elektroniskt via systemet. Detsamma gäller överföringar till tredjeland eller internationella organisationer. Det bör dock vara möjligt att logga om en medarbetare har överfört, laddat ner eller skrivit ut uppgifter. Om uppgifterna sedan lämnas ut på annat sätt än elektroniskt, t.ex. muntligen eller på papper, går det inte att logga det. Det kan också vara svårt att logga om uppgifterna lämnas ut via e-post.

Loggarna över läsning och utlämning ska enligt direktivet göra det möjligt att fastställa motiveringen för behandlingen. Skälen till att någon i ett visst fall tar del av eller lämnar ut en viss personupp- gift kan inte fastställas automatiskt genom loggning. I skäl 57 anges att identiteten på den person som läst eller lämnat ut uppgifter bör loggas och från den identifieringen skulle det kunna vara möjligt att fastställa motiveringen till behandlingen. Det som avses är troligen att man indirekt av annan loggad information kan dra vissa slutsat- ser om anledningen till behandlingen. Enligt utredningens mening är det dock inte detsamma som att motiveringen till behandlingen loggas. Som exempel kan nämnas kontroll av om någon förekom- mer i belastningsregistret. Inom polisen kan sådan kontroll vara nödvändig inom alla delar av ramlagens tillämpningsområde. Sådan kontroll görs dock även för andra polisiära ändamål, både för administrativa ändamål (anställning), för beslut i förvaltningsären- den (t.ex. om vapenlicens) eller för att besvara förfrågningar från andra myndigheter (t.ex. i tillståndsärenden). Det går alltså inte att dra någon slutsats av att en polisanställd kontrollerat om en person förekommer i belastningsregistret. Utredningens slutsats är därför att det inte är möjligt att automatiskt logga motiveringen till varför

308

SOU 2017:29

Personuppgiftsansvarigas skyldigheter

personuppgifter behandlas. Någon sådan skyldighet bör därför inte finnas.

I artikel 25 anges att loggarna över läsning och utlämning även ska visa vilka som har fått tillgång till personuppgifterna. Kravet skulle kunna avse både intern och extern tillgång. Det som avses här torde dock framför allt vara de personer eller myndigheter till vilka uppgifterna har lämnats ut. Sådan information kan bara loggas om utlämnandet görs elektroniskt via systemet. Det görs t.ex. om någon har direktåtkomst till vissa uppgifter i ett system eller om uppgifter överförs elektroniskt efter förfrågan. Den utlämnande myndigheten bör genom loggning kunna fastställa vilken annan myndighet som har fått tillgång till viss information, men inte vil- ken medarbetare hos den andra myndigheten som har tagit del av informationen. Sådan information bör dock finnas hos mottagaren, om det är en behörig myndighet. På så sätt uppfylls kraven i direk- tivet.

Vad som ska loggas kan regleras i förordning. Dokumentation genom loggning möjliggörs genom olika tekniska åtgärder. Skyl- digheten innebär att den personuppgiftsansvarige ska säkersställa att de automatiserade behandlingssystem som används möjliggör loggning i den utsträckning som krävs och att informationen fak- tiskt loggas.

Vad som bör loggas är typiskt sett ett område där det också kan finnas behov av föreskrifter på lägre normgivningsnivå, eftersom behov, arbetssätt och tekniska möjligheter varierar. Utredningen utgår från att de behöriga myndigheterna vid behov tar fram inter- na regler om loggning. Generella föreskrifter om exempelvis krav och rutiner för loggning och logguppföljning bör dock vid behov kunna meddelas av regeringen eller den myndighet som regeringen bestämmer.

Hur ska loggarna användas?

De flesta behöriga myndigheter för redan i dag loggar som en del av informationssäkerhetsarbetet. Tanken är inte att de behöriga myndigheterna ska åläggas att föra ytterligare en logg enbart för personuppgiftsbehandlingen. De system för loggning som i dag an- vänds främst i informationssäkerhetssyfte bör normalt kunna an-

309

Personuppgiftsansvarigas skyldigheter

SOU 2017:29

vändas även för kontroll från ett integritetsskyddsperspektiv. Av artikel 25.2 framgår att loggar endast får användas för att kontrol- lera om behandlingen är tillåten, för egenkontroll, för att säkerstäl- la personuppgifternas integritet och säkerhet och för straffrättsliga förfaranden. Det innebär enligt utredningens mening att loggarna får användas i informationssäkerhetssyfte.

Syftet med loggning är att åtkomsten till personuppgifterna ska kunna kontrolleras, bl.a. för att göra det möjligt att utreda felaktig eller obehörig användning av uppgifterna. För att det ska kunna göras måste loggarna sparas viss tid. Loggning kan också ha en förebyggande funktion. Det förutsätter att användarna informeras om att det förs loggar och att de kontrolleras (Säkerhet för person- uppgifter s. 22). Loggningen bör alltså följas upp och loggarna skyddas mot otillåtna ändringar.

Det är enligt utredningens mening viktigt att skilja mellan själva loggningen och uppföljning av loggningen. Logguppföljning bör göras systematiskt och återkommande i syfte att upptäcka och motverka obehörig åtkomst. Uppföljning bör också göras vid miss- tanke om att någon obehörigen tagit del av personuppgifter. Det kan vidare finnas anledning att följa upp behandlingshistoriken t.ex. på områden där det finns särskilt integritetskänsliga person- uppgifter eller behörigheter som ger vida möjligheter till åtkomst. Det kan också finnas skäl att kontrollera vissa inloggningsmönster. Myndigheterna bör ha rutiner för logguppföljningen. Den person- uppgiftsansvarige bör exempelvis ge riktlinjer och vägledning till den som kontrollerar loggarna beträffande vad som kan vara obe- hörig åtkomst. Vid logguppföljning måste också reglerna om med- delarfrihet och efterforskningsförbud i tryckfrihetsförordningen och yttrandefrihetsgrundlagen beaktas, vilket innebär att möjlig- heten till uppföljning i vissa fall begränsas eller kan vara otillåten.

Enligt utredningens mening bör det inte författningsregleras hur loggarna får användas. Risken är att man då låser fast myndig- heterna vid ett visst arbetssätt eller omöjliggör användning som i efterhand visar sig vara nödvändig. Myndigheterna kan själva reg- lera användningen genom interna föreskrifter eller riktlinjer. Till- synsmyndigheten kan också ge myndigheterna vägledning för an- vändningen av loggar, t.ex. genom allmänna råd eller andra rikt- linjer. Det är nämligen viktigt att loggningssystem inte missbrukas eller används för andra syften än som varit avsett.

310

SOU 2017:29

Personuppgiftsansvarigas skyldigheter

Loggarna utgör sådan dokumentation som tillsynsmyndigheten har rätt att på begäran få del av (se avsnitt 12.7.3). Någon särskild bestämmelse som föreskriver att loggarna ska göras tillgängliga för tillsynsmyndigheten behövs därför inte.

10.2.3Tillgången till personuppgifter

Utredningens förslag: Den personuppgiftsansvarige ska se till att tillgången till personuppgifter begränsas till vad varje tjänste- man behöver för att kunna fullgöra sina arbetsuppgifter.

Skälen för utredningens förslag

Nuvarande reglering

I de flesta registerförfattningar inom ramlagens tillämpningsom- råde finns det bestämmelser som begränsar medarbetarnas tillgång till personuppgifter. Så är fallet i exempelvis 2 kap. 11 § polisdata- lagen (2010:361), 2 kap. 9 § åklagardatalagen (2015:433) och 8 § domstolsdatalagen (2015:728). Av paragraferna framgår att till- gången till personuppgifter ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.

Tillgången till personuppgifter ska begränsas

I artikel 4.1 c, som anger de grundläggande principerna för behand- ling, föreskrivs att personuppgifter inte får vara för omfattande i förhållande till de syften för vilka de behandlas. Av artikel 29.2 e, som behandlar säkerhetsåtgärder, framgår att den personuppgifts- ansvarige eller personuppgiftsbiträdet ska säkerställa att personer som är behöriga att använda ett automatiserat behandlingssystem endast har tillgång till personuppgifter som omfattas av deras be- hörighet. Frågan är om det i ramlagen bör tas in en generell be- stämmelse om tillgången till personuppgifter.

Stora informationsmängder som är samlade så att personupp- gifter är enkelt sökbara på elektronisk väg medför risk för intrång i den personliga integriteten. Risken för intrång är särskilt stor om

311

Personuppgiftsansvarigas skyldigheter

SOU 2017:29

det, som ofta är fallet inom ramlagens tillämpningsområde, rör sig om integritetskänsliga personuppgifter. I förarbetena till flera av registerförfattningarna påtalas vikten av att det säkerställs att in- tegritetskänsliga personuppgifter görs tillgängliga bara för dem som behöver uppgifterna för sitt arbete. Vem som har rätt att an- vända personuppgifterna och hur uppgifterna sprids är nämligen omständigheter som påverkar risken för intrång i den personliga integriteten (se bl.a. prop. 2009/10:85 s. 94 och Kustbevaknings- datalag, prop. 2011/12:45, s. 87 f.). I förarbetena till åklagardata- lagen konstateras att det är en hörnsten i skyddet av enskildas integritet att åtkomst endast medges till de personuppgifter som den enskilde tjänstemannen behöver för att kunna utföra sina arbetsuppgifter (prop. 2014/15:63 s. 59).

Ju fler personer i en myndighet som har tillgång till personupp- gifter, desto större är risken för obehörig åtkomst eller spridning av uppgifterna. Att utbilda användarna i informationssäkerhets- och dataskyddsfrågor är en viktig organisatorisk säkerhetsåtgärd, men det är ofta inte tillräckligt. Att tillgången till personuppgifter i så stor utsträckning som möjligt faktiskt begränsas till vad var och en behöver för att utföra sitt arbete är viktigt för att skapa ett till- fredsställande internt skydd för personuppgifter vid myndigheters informationshantering (SOU 2015:39 s. 385).

Enligt utredningens mening finns det ett generellt behov av att begränsa tillgången till personuppgifter. En bestämmelse om det bör därför tas in i ramlagen. Den personuppgiftsansvarige är alltså alltid skyldig att pröva anställdas och uppdragstagares behov av till- gång till personuppgifter utifrån vad arbetsuppgifterna kräver och begränsa tillgången i enlighet med det. Den bör gälla personupp- gifter i både den behöriga myndighetens egna system och system som myndigheten får tillgång till genom direktåtkomst eller andra former av informationsutbyte.

Eftersom bestämmelsen bör vara generell kan det finnas behov av närmare riktlinjer för hur tillgången till personuppgifter bör avgränsas för de enskilda tjänstemännen. Det kan regleras i myn- digheternas registerförfattningar eller i föreskrifter på myndighets- nivå. Det kan också regleras i interna styrdokument hos den behö- riga myndigheten. Det bör i ramlagen upplysas om att regeringen eller den myndighet som regeringen bestämmer kan meddela före- skrifter om tillgången till personuppgifter.

312

SOU 2017:29

Personuppgiftsansvarigas skyldigheter

10.2.4Konsekvensbedömning

Utredningens förslag: Kan en typ av ny behandling, eller bety- dande förändringar avseende redan pågående behandling, antas medföra särskild risk för intrång i registrerades personliga in- tegritet, ska den personuppgiftsansvarige innan behandlingen påbörjas eller förändringen genomförs bedöma konsekvenserna för skyddet av personuppgifter. Vad en konsekvensbedömning ska innehålla och kraven i övrigt ska regleras i förordning.

Skälen för utredningens förslag: I artikel 27.1 föreskrivs att den personuppgiftsansvarige i vissa fall ska göra en bedömning av kon- sekvenserna för skyddet av personuppgifter när det gäller planerad personuppgiftsbehandling. Konsekvensbedömning ska göras om en typ av behandling, särskilt med användning av ny teknik och med beaktande av behandlingens art, omfattning, sammanhang och ändamål, sannolikt leder till hög risk för fysiska personers rättig- heter och friheter. Enligt artikel 27.2 ska en konsekvensbedömning innehålla en allmän beskrivning av den planerade behandlingen, en bedömning av riskerna för de registrerades rättigheter och friheter och uppgift om dels vilka åtgärder som planeras för att hantera dessa risker, dels skyddsåtgärder, säkerhetsåtgärder och rutiner för att säkerställa skyddet av personuppgifter och för att visa att direk- tivet efterlevs.

Det behövs en bestämmelse i ramlagen som reglerar personupp- giftsansvarigas skyldighet att göra konsekvensbedömningar. En konsekvensbedömning bör göras om det kan antas att en viss typ av ny behandling kommer att medföra särskild risk för intrång i registrerades personliga integritet. Enligt utredningens mening bör en konsekvensbedömning också göras om betydande förändringar av redan pågående behandlingar förväntas leda till sådan risk. Det framgår av artikel 27.1 vilka omständigheter som särskilt ska be- aktas vid bedömningen av risken.

I skäl 58 anges att konsekvensbedömningarna bör omfatta rele- vanta system och processer för behandlingen men inte enskilda fall. Det tydliggörs i artikeln genom att det ska röra sig om en typ av behandling. Samma uttryck bör användas i ramlagen.

Konsekvensbedömningen ska innehålla viss i direktivet angiven information. Enligt utredningens mening följer det indirekt av det

313

Personuppgiftsansvarigas skyldigheter

SOU 2017:29

kravet att konsekvensbedömningen ska dokumenteras, exempelvis i en skriftlig rapport. Det bör regleras vilken information konse- kvensbedömningen ska innehålla och att den ska dokumenteras, men det kan göras i förordning.

Det finns enligt utredningens mening inget som hindrar att per- sonuppgiftsansvariga gör konsekvensbedömningar även i andra fall, t.ex. om en typ av behandling förväntas leda till risk för intrång i registrerades personliga integritet men risken är lägre. Sådana kon- sekvensbedömningar torde ofta krävas för att den personuppgifts- ansvarige ska kunna göra relevanta bedömningar av bl.a. vilka säkerhets- och skyddsåtgärder som krävs.

10.2.5Förhandssamråd med tillsynsmyndigheten

Utredningens förslag: Om konsekvensbedömningen visar att det finns särskild risk för intrång i registerades personliga integ- ritet eller om typen av behandling innebär särskild risk för intrång, ska den personuppgiftsansvarige samråda med tillsyns- myndigheten i god tid innan behandlingen påbörjas eller be- tydande förändringar genomförs.

Skälen för utredningens förslag

Innehållet i direktivet

I artikel 28.1 föreskrivs att den personuppgiftsansvarige eller per- sonuppgiftsbiträdet under vissa förutsättningar ska samråda med tillsynsmyndigheten inför behandling av personuppgifter som kommer att ingå i ett nytt register, s.k. förhandssamråd. Sådant samråd ska bl.a. äga rum om en konsekvensbedömning visar att behandlingen skulle leda till hög risk för de registrerades rättig- heter och friheter om den personuppgiftsansvarige inte vidtar åt- gärder för att minska risken.

Tillsynsmyndigheten får enligt artikel 28.3 upprätta en förteck- ning över vilka typer av behandlingar som kräver förhandssamråd. Den personuppgiftsansvarige ska enligt artikel 28.4 lämna in kon- sekvensbedömningen till tillsynsmyndigheten tillsammans med

314

SOU 2017:29 Personuppgiftsansvarigas skyldigheter

eventuell övrig information som myndigheten behöver för att kunna bedöma behandlingen.

I artikel 28.5 regleras förfarandet hos tillsynsmyndigheten. Myndigheten ska, om den anser att den planerade behandlingen inte är förenlig med direktivet, inom viss tid lämna skriftliga råd till den personuppgiftsansvarige eller personuppgiftsbiträdet. Tillsyns- myndigheten får då utnyttja alla de befogenheter som den har.

Nuvarande reglering

Enligt artikel 20 i det nu gällande dataskyddsdirektivet ska med- lemsstaterna bestämma vilka behandlingar som kan innebära sär- skilda risker för de registrerades fri- och rättigheter och säkerställa att dessa kontrolleras innan de påbörjas. Sådana förhandskontroller ska utföras av tillsynsmyndigheten efter anmälan från den person- uppgiftsansvarige. Artikeln har genomförts i 41 § personuppgifts- lagen. Där föreskrivs att regeringen får meddela föreskrifter om att sådana behandlingar som innebär särskilda risker för intrång i den personliga integriteten ska anmälas till tillsynsmyndigheten för förhandskontroll.

I 2 § polisdataförordningen (2010:1155) regleras när Polismyn- digheten och Säkerhetspolisen ska samråda med Datainspektionen. Sådant samråd ska äga rum när myndigheterna planerar nya it- system av större omfattning eller nya it-system som kan innebära särskilda risker för intrång i den personliga integriteten och när det genomförs betydande förändringar i sådana system. Samråd ska äga rum i god tid innan beslut i frågan fattas. Paragrafen föreskriver även samråd med Säkerhets- och integritetsskyddsnämnden i vissa frågor. En likadan bestämmelse om samråd med Datainspektionen finns i 2 § kustbevakningsdataförordningen (2012:146).

En generell samrådsskyldighet för alla personuppgiftsansvariga

Enligt direktivet ska den personuppgiftsansvarige vara skyldig att samråda med tillsynsmyndigheten vid planering av behandling av personuppgifter i ett nytt register på ett sätt som kan leda till hög risk för intrång i registrerades personliga integritet. Samråd ska äga rum om en konsekvensbedömning visar att behandlingen kommer

315

Personuppgiftsansvarigas skyldigheter

SOU 2017:29

att medföra sådan risk om åtgärder inte vidtas för att minska risken eller om typen av behandling i sig kan anses innebära sådan risk. Vid bedömningen ska särskilt användandet av ny teknik, nya ruti- ner eller nya förfaranden beaktas.

Samrådsskyldigheten enligt artikel 28.1 ska gälla för alla person- uppgiftsansvariga. Det bör därför i ramlagen tas in en bestämmelse som riktar sig till de personuppgiftsansvariga och som ålägger dem skyldighet att samråda med tillsynsmyndigheten i vissa situationer. Personuppgiftsbiträdens skyldigheter vid förhandssamråd behand- las i avsnitt 10.6.5.

I direktivet krävs det bara konsekvensbedömning och samråd inför helt nya former av behandling. Enligt utredningens mening är det lika viktigt med samråd inför betydande förändringar av redan pågående behandlingar som kan antas medföra särskild risk för in- trång i den personliga integriteten. Skyldigheten att upprätta kon- sekvensbedömningar föreslås därför även omfatta den situationen (se avsnitt 10.2.4). Motsvarande bör gälla samrådsskyldigheten. För att underlätta för den personuppgiftsansvarige och för att säker- ställa att förhandssamrådet träffar rätt situationer bör tillsynsmyn- digheten genom föreskrifter kunna ange vilka typer av behand- lingar som ska omfattas av förhandssamråd.

Samråd blir främst aktuellt när den personuppgiftsansvarige har gjort en konsekvensbedömning som visar att behandlingen innebär särskild risk för intrång i registrerades personliga integritet. Vid samrådet bör den personuppgiftsansvarige redovisa vilka åtgärder som planeras för att minska risken. Att den personuppgiftsansva- rige vidtagit åtgärder för att minska risken befriar enligt utred- ningens mening inte från skyldigheten att samråda med tillsyns- myndigheten.

Samråd aktualiseras också om typen av behandling, särskilt med beaktande av ny teknik, nya rutiner eller nya förfaranden, i sig innebär särskild risk för intrång i registrerades personliga integritet och en konsekvensbedömning med anledning av det har gjorts. I sådana fall är resultatet av konsekvensbedömningen inte avgörande för om samråd med tillsynsmyndigheten ska äga rum.

Det är viktigt att samrådet äger rum så tidigt i utvecklingspro- cessen som möjligt. Då kan frågor om integritetsskydd beaktas på ett bättre sätt. Samtidigt bör förhandssamrådet inte äga rum så tidigt att det inte finns något konkret förslag på teknisk lösning för

316

SOU 2017:29

Personuppgiftsansvarigas skyldigheter

tillsynsmyndigheten att ta ställning till. Utredningen anser att sam- rådet bör äga rum i god tid innan behandlingen påbörjas eller större förändringar av redan pågående behandlingar genomförs.

Vid förhandssamråd bör den personuppgiftsansvarige lämna in konsekvensbedömningen och eventuell annan information som till- synsmyndigheten kan behöva för att bedöma dels riskerna med be- handlingen, dels om behandlingen i övrigt är förenlig med gällande rätt. Som framgår av avsnitt 10.5.3 ska dataskyddsombud fungera som kontaktpunkt för tillsynsmyndigheten vid förhandssamrådet.

Tillsynsmyndighetens befogenheter

Enligt artikel 28.5 ska tillsynsmyndigheten inom ramen för för- handssamrådet använda sina befogenheter, om den anser att den planerade behandlingen inte är författningsenlig. Utredningen tol- kar artikeln så att tillsynsmyndigheten i dessa situationer bör ha möjlighet att använda sina förebyggande befogenheter gentemot den personuppgiftsansvarige. Myndigheten ska, inom ramen för förhandssamrådet, ge den personuppgiftsansvarige skriftliga råd. Myndigheten har också möjlighet att utfärda varning för att be- handla personuppgifterna på det planerade sättet (se avsnitt 12.7.5). Om den personuppgiftsansvarige ignorerar råden och varningen och påbörjar behandlingen kan tillsynsmyndigheten vidta andra åt- gärder, t.ex. att utfärda ett föreläggande eller besluta om sanktions- avgift (se avsnitt 12.7.6 och 13.5.2). Korrigerande åtgärder vidtas dock inte inom ramen för förhandssamrådet utan är i stället ett led i tillsynsmyndighetens allmänna tillsynsuppgifter enligt ramlagen.

Direktivet innehåller vissa detaljbestämmelser om tillsynsmyn- dighetens roll vid förhandssamråd. De skriftiga råden till den per- sonuppgiftsansvarige ska lämnas inom sex veckor från det att begä- ran om samråd mottogs. Tiden får förlängas med en månad om den planerade behandlingen är komplicerad. I så fall ska tillsynsmyn- digheten inom en månad från det att begäran om samråd mottogs informera den personuppgiftsansvarige om förlängningen och om orsakerna till den. Detaljerna kan regleras i förordning.

317

Personuppgiftsansvarigas skyldigheter

SOU 2017:29

10.2.6Samarbete med tillsynsmyndigheten

Utredningens förslag: Den personuppgiftsansvarige ska samar- beta med tillsynsmyndigheten när den utför sina uppgifter enligt ramlagen och föreskrifter som har meddelats i anslutning till den.

Skälen för utredningens förslag

Innehållet i direktivet och nuvarande reglering

Enligt artikel 26 ska den personuppgiftsansvarige på begäran sam- arbeta med tillsynsmyndigheten när den utför sina uppgifter. Per- sonuppgiftsbiträden har samma skyldighet (se avsnitt 10.6.5).

Det finns i dag ingen uttrycklig regel om personuppgiftsansva- rigas samarbete med tillsynsmyndigheten. Enligt 6 § förvaltnings- lagen (1986:223) ska varje myndighet lämna andra myndigheter hjälp inom ramen för den egna verksamheten.

Samarbetsskyldigheten bör regleras

Enligt utredningens mening går kravet i direktivet på samarbete med tillsynsmyndigheten utöver det som ryms i den allmänna sam- verkansskyldigheten enligt 6 § förvaltningslagen. Den skyldigheten gäller bara inom ramen för den egna verksamheten. En myndighet torde därmed inte vara skyldig att hjälpa till med sådant som rör en annan myndighets verksamhet. Utredningen anser därför att det inte kan hävdas att artikel 26 är uppfylld genom den allmänna sam- verkansskyldigheten enligt förvaltningslagen. Regleringen av till- synsmyndighetens undersökningsbefogenheter täcker inte heller helt den samarbetsskyldighet som krävs. Samarbetsskyldigheten innebär inte bara att den personuppgiftsansvarige ska ge tillsyns- myndigheten tillgång till det material och de resurser som den har rätt till. Som utredningen tolkar bestämmelsen innebär skyldighe- ten även att den personuppgiftsansvarige ska underlätta för till- synsmyndigheten att utöva sina tillsynsbefogenheter på ett effek- tivt sätt.

318

SOU 2017:29

Personuppgiftsansvarigas skyldigheter

Som framgår av avsnitt 12.7.3 får tillsynsmyndigheten inte an- vända tvång mot den personuppgiftsansvarige för att kunna utöva sin tillsyn. Även mot den bakgrunden är det viktigt att den person- uppgiftsansvarige ges en uttrycklig skyldighet att samarbeta med tillsynsmyndigheten. Det bör därför tas in en bestämmelse i ram- lagen som slår fast att den personuppgiftsansvarige är skyldig att samarbeta med tillsynsmyndigheten.

Samarbetsskyldigheten aktualiseras när tillsynsmyndigheten ut- för sina uppgifter enligt ramlagen och de föreskrifter som utfärdas i anslutning till den. Den personuppgiftsansvarige ska alltså vara skyldig att samarbeta med tillsynsmyndigheten när den utövar all- män tillsyn över personuppgiftsbehandling, handlägger klagomål från registrerade, på begäran kontrollerar om personuppgifter be- handlas författningsenligt, vidtar åtgärder för att bistå en tillsyns- myndighet i en annan medlemsstat och ger råd inom ramen för bl.a. förhandssamråd.

Vad samarbetsskyldigheten mer konkret kommer att innebära för den personuppgiftsansvarige hör samman med vilka befogen- heter som tillsynsmyndigheten ges. Utredningen behandlar det i avsnitt 12.7.

10.2.7Skyldighet att förteckna behandlingar

Utredningens förslag: Den personuppgiftsansvariges skyldig- het att förteckna de kategorier av behandlingar som denne an- svarar för ska regleras i förordning.

Skälen för utredningens förslag

Innehållet i direktivet

Enligt artikel 24.1 ska alla personuppgiftsansvariga föra register över alla kategorier av verksamheter i samband med behandling som de ansvarar för. I artikeln anges i detalj vilka uppgifter som registret ska innehålla. I artikel 24.2 föreskrivs motsvarande skyl- dighet för personuppgiftsbiträden (se avsnitt 10.6.4).

319

Personuppgiftsansvarigas skyldigheter

SOU 2017:29

Registren ska enligt artikel 24.3 upprättas skriftligen, vilket även innefattar elektronisk form, och på begäran göras tillgängliga för tillsynsmyndigheten.

Nuvarande reglering

Personuppgiftsansvariga har i dag ingen skyldighet att föra register över de behandlingar som de ansvarar för. I stället är de enligt artikel 18.1 i det nu gällande dataskyddsdirektivet skyldiga att an- mäla behandling av personuppgifter som är helt eller delvis auto- matiserad till tillsynsmyndigheten. Tillsynsmyndigheten ska enligt artikel 21.2 föra ett register över de behandlingar som har anmälts till myndigheten. Enligt artikel 18.2 behöver dock någon anmälan till tillsynsmyndigheten inte göras om den personuppgiftsansvarige utser ett personuppgiftsombud, som bl.a. ska ha till uppgift att föra register över de behandlingar som utförs av den personuppgiftsan- svarige. Artiklarna har genomförts i 36, 37 och 39 §§ personupp- giftslagen och i 3–7 §§ personuppgiftsförordningen (1998:1191). Anmälningsskyldigheten regleras i 36 § första stycket personupp- giftslagen. Av 7 § personuppgiftsförordningen framgår att Datain- spektionen ska föra register över de behandlingar av personupp- gifter som anmälts till inspektionen.

Myndigheterna i rättskedjan är dock inte anmälningsskyldiga enligt 36 § personuppgiftslagen. Enligt 3 § 3 personuppgiftsförord- ningen gäller undantag från anmälningsskyldigheten bl.a. för be- handling av personuppgifter som regleras genom särskilda före- skrifter i lag eller förordning. Myndigheternas registerförfattningar är sådana särskilda föreskrifter. Datainspektionen för således inget register över dessa behandlingar.

För några av myndigheterna föreskrivs att ett personuppgifts- ombud ska utses och, genom hänvisning till 39 § personuppgifts- lagen, att ombudet ska föra en förteckning över de behandlingar som utförs (se exempelvis 2 kap. 2 § 9 och 5 § polisdatalagen och 2 kap. 2 § 9 och 4 § åklagardatalagen). Detsamma gäller för dom- stolarna, men ombudets skyldighet att föra en förteckning över behandlingarna regleras i 11 § domstolsdatalagen. Skatteverket, Kriminalvården och Tullverket har i dag ingen skyldighet att utse personuppgiftsombud. Om ett personuppgiftsombud utses i dessa

320

SOU 2017:29

Personuppgiftsansvarigas skyldigheter

verksamheter ska ombudet dock ha de uppgifter som framgår av personuppgiftslagen, bl.a. att föra en förteckning över de behand- lingar som utförs.

Dokumentationsskyldighet införs

I direktivet läggs uppgiften att föra register över de behandlingar som utförs på de personuppgiftsansvariga och, i tillämpliga fall, personuppgiftsbiträdena (se avsnitt 10.6.4 om personuppgiftsbi- träden).

Av skäl 56 framgår att de personuppgiftsansvariga bör föra regi- ster för att visa att behandlingen sker i överensstämmelse med direktivet och att dessa register bör tjäna som grund för övervak- ningen av behandlingen. Ett av syftena med dokumentationen är således att underlätta tillsynsmyndighetens kontroll, men även att underlätta intern kontroll och granskning av den personuppgifts- behandling som utförs. Dokumentationen bör också kunna vara till hjälp när information ska lämnas till registrerade. Det behövs en bestämmelse som reglerar skyldigheten att dokumentera behand- lingen men den kan tas in i förordning.

I artikel 24.1 föreskrivs att alla personuppgiftsansvariga ska föra register över alla kategorier av verksamheter i samband med be- handling som de ansvarar för. I artikel 24.2 anges samtidigt att per- sonuppgiftsbiträden ska föra register över alla kategorier av be- handling som utförs. Den engelska språkversionen använder for- muleringen ”categories of processing activities” i både artikel 24.1 och artikel 24.2. Uttrycket ”kategorier av behandling” som används i artikel 24.2 är enligt utredningens mening en mer korrekt över- sättning. Att artiklarna har formulerats på olika sätt i den svenska språkversionen framstår mot den bakgrunden som ett misstag. Utredningen utgår således från att även de personuppgiftsansvariga ska föra register över de kategorier av behandling som de ansvarar för. Vad som avses med kategorier av behandling framgår inte. Det är enligt utredningens mening inte rimligt att tolka begreppet så att alla typer av behandlingar som förekommer ska dokumenteras. En sådan tolkning skulle leda till en alltför omfattande dokumenta- tionsskyldighet. En kategori av behandlingar kan exempelvis vara behandling av personuppgifter i ett specifikt register eller inom

321

Personuppgiftsansvarigas skyldigheter

SOU 2017:29

ramen för ett särskilt projekt eller behandling av personuppgifter för en typ av ändamål, t.ex. registrering av brottsanmälningar och handläggning av brottmål.

Vad ska dokumenteras?

I artikel 24.1 räknas det upp vilka uppgifter som ska anges i regist- ret. Direktivet anger något fler uppgifter än vad som krävs i dag. Enligt utredningens mening bör registret innehålla alla de uppgifter som anges i artikel 24.1, vilket bör regleras i förordning.

Registret bör innehålla namn och kontaktuppgifter på den per- sonuppgiftsansvarige, dataskyddsombudet och, i tillämpliga fall, gemensamt personuppgiftsansvariga. Den personuppgiftsansvariges kontaktuppgifter bör avse post- och besöksadress, telefonnummer och e-postadress. För varje kategori av behandling bör registret ange den rättsliga grunden för och ändamålen med behandlingen, uppgift om de kategorier av mottagare som personuppgifterna kan komma att lämnas ut till och en beskrivning av kategorierna av registrerade och av personuppgifter. Med den rättsliga grunden avses författningsstödet för behandlingen, dvs. regleringen av den arbetsuppgift som föranleder personuppgiftsbehandlingen. Med ändamålen avses de typer av ändamål för vilka personuppgifter be- handlas. När det gäller kategorier av mottagare kan det räcka att ange vilken typ av myndighet som personuppgifterna kan komma att lämnas till, t.ex. åklagare eller domstol. Om mottagarkategorin befinner sig i ett tredjeland eller är en internationell organisation bör det anges. Kategorier av registrerade kan vara en grupp av per- soner som har en specifik roll, t.ex. misstänkta, målsägande, vittnen eller anhöriga till någon av dessa. När det gäller kategorier av per- sonuppgifter är det främst förekomsten av känsliga personupp- gifter som avses.

Registret bör även innehålla uppgift om användning av profile- ring och uppgift om kategorier av överföringar till tredjeland eller internationella organisationer. När det gäller överföringar till tredjeland eller internationella organisationer anges det i direktivet att kategorier av sådana överföringar ska dokumenteras. Vad som menas med kategorier av överföringar diskuteras i avsnitt 15.6.1. Som utredningen konstaterar där bör uttrycket samling av överfö-

322

SOU 2017:29

Personuppgiftsansvarigas skyldigheter

ringar användas i stället. Om registret ska fylla sitt syfte bör i prin- cip alla överföringar som görs till tredjeland eller internationella organisationer dokumenteras. Av de skäl som anges i avsnitt 15.10 är det tillräckligt att förteckna de samlingar av överföringar som har gjorts till tredjeland eller internationella organisationer.

Om det är möjligt bör registret även innehålla uppgift om hur länge personuppgiftskategorierna får behandlas och en allmän be- skrivning av de säkerhetsåtgärder som har vidtagits.

En annan uppgift som kan vara lämplig att ange i registret, men som inte anges i direktivet, är vilka kategorier av tjänstemän som har tillgång till de personuppgifter som behandlas. Det registreras i dag av flera behöriga myndigheter och underlättar både den in- terna och externa kontrollen. Utredningen anser därför att även den uppgiften bör framgå av registret.

Tillsynsmyndigheten föreslås på begäran få upplysningar om och dokumentation av behandling av personuppgifter från den per- sonuppgiftsansvarige (se avsnitt 12.7.3). Det register över behand- lingar som den personuppgiftsansvarige ska föra utgör sådan doku- mentation. Någon särskild bestämmelse om att registret ska göras tillgänglig för tillsynsmyndigheten behövs därför inte.

10.2.8Anmälan av överträdelser

Utredningens förslag: Att den personuppgiftsansvarige ska ha interna rutiner för anmälan av överträdelser av bestämmelserna om behandling av personuppgifter ska regleras i förordning.

Skälen för utredningens förslag: Enligt artikel 48 ska behöriga myndigheter inrätta effektiva mekanismer för att uppmuntra kon- fidentiell rapportering av överträdelser av bestämmelserna som genomför direktivet. Någon motsvarande reglering finns inte i dag.

Med hänsyn till att bestämmelsen har placerats i avsnittet om tillsyn, samtidigt som den riktar sig till de behöriga myndigheterna, tar den enligt utredningens mening sikte på intern kontroll. Utred- ningen uppfattar bestämmelsen som ett krav på att behöriga myn- digheter ska ha en särskild ordning för intern anmälan av överträ- delser av bestämmelser om personuppgiftsbehandling. Avsikten bör vara att den personuppgiftsansvarige ska uppmärksammas på

323

Personuppgiftsansvarigas skyldigheter

SOU 2017:29

behandlingar som bör leda till åtgärder för att viss behandling ska bli författningsenlig eller för att den personuppgiftsansvarige ska uppfylla andra skyldigheter. Det kan t.ex. krävas begränsning av tillgången eller tekniska åtgärder för att säkerställa säkerheten. De behöriga myndigheterna bör därför ha en intern ordning för att anmäla överträdelser, vilket kan regleras i förordning.

Som utvecklas i avsnitt 10.5.3 ingår det i dataskyddsombudens arbetsuppgifter att övervaka efterlevnaden av tillämpliga data- skyddsbestämmelser. I det ingår att genomföra de granskningar som behövs för myndighetens interna kontroll. Det är därför naturligt att låta dataskyddsombuden ta emot interna anmälningar om överträdelser och avgöra om de bör bli föremål för kontroll. Dataskyddsombud har som regel tillgång till de flesta behandlings- system och personuppgifter. Ombuden bör också ha den kunskap som krävs för att utreda en eventuell överträdelse och kunna be- döma vad en anmälan bör leda till. Det kan t.ex. vara en rekommen- dation till den personuppgiftsansvarige att vidta åtgärder eller att dataskyddsombudet själv anmäler överträdelsen till tillsynsmyndig- heten, om den negligeras av den personuppgiftsansvarige.

Det kan inte uteslutas att anställda i vissa fall avhåller sig från att anmäla iakttagelser om överträdelser på grund av rädsla för repres- salier från kollegor, chefer eller arbetsgivaren. Kravet på konfiden- tiell rapportering innebär enligt utredningens mening att den in- terna ordningen ska skydda anmälaren. Till skillnad från vad som kan vara fallet vid anmälningar om allvarliga missförhållanden av annat slag i verksamheten, bör det underlag som krävs för utred- ningen av överträdelsen i princip finnas i behandlingssystemen. En anmälan torde därför kunna göras anonymt utan att det äventyrar möjligheterna att utreda frågan.

Direktivet ställer inte upp några krav på hur anmälan ska göras. Ordningen kan därmed bestå av allt från en enkel manuell brevlåde- funktion till ett avancerat systemstöd. Enligt utredningens mening bör det överlämnas till de behöriga myndigheterna att bestämma hur anmälan om överträdelser av bestämmelser om personupp- giftsbehandling bör göras. Det måste dock säkerställas att anmälan kan göras på ett sådant sätt att anmälarens identitet inte avslöjas.

324

SOU 2017:29

Personuppgiftsansvarigas skyldigheter

10.3Säkerheten för personuppgifter

Utredningens förslag: Den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas, särskilt mot obehörig eller otill- låten behandling och mot förlust, förstöring eller annan oavsikt- lig skada. Vilka omständigheter som ska beaktas för att uppnå en lämplig skyddsnivå ska regleras i förordning.

Skälen för utredningens förslag

Innehållet i direktivet

Enligt artikel 29.1 ska den personuppgiftsansvarige och personupp- giftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, i synnerhet när det gäller känsliga personuppgifter. Åtgär- derna ska vara lämpliga med beaktande av den senaste utvecklingen och genomförandekostnader och med hänsyn till behandlingens art, omfattning, sammanhang och ändamål och riskerna för fysiska personers rättigheter och friheter. I artikel 29.2 ställs mer konkreta krav på vilka typer av åtgärder som ska vidtas för att förhindra att uppgifterna hamnar i orätta händer och säkerställa att det går att kontrollera viss behandling och att de system som används funge- rar tillfredsställande.

Artikel 29 kompletterar det grundläggande kravet på säkerhet i artikel 4.1 f. Där framgår att personuppgifter, med användning av lämpliga tekniska eller organisatoriska åtgärder, ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse.

Nuvarande reglering

Säkerhetsåtgärder regleras i artikel 17.1 i det nu gällande data- skyddsdirektivet. Den bestämmelsen motsvarar i stort innehållet i artikel 29.1 i det nya direktivet, men det ställs inte lika konkreta krav som i artikel 29.2.

325

Personuppgiftsansvarigas skyldigheter

SOU 2017:29

Artikel 17.1 i det nu gällande direktivet har genomförts i 31 § första stycket personuppgiftslagen. Där föreskrivs att den person- uppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas och att åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av de tekniska möjligheter som finns, vad det skulle kosta att genomföra åtgärderna, de särskilda risker som finns med behandlingen av personuppgifterna och hur känsliga de behandlade personuppgifterna är. Vidare föreskrivs i 32 § personuppgiftslagen att tillsynsmyndigheten i enskilda fall får besluta om säkerhetsåt- gärder enligt 31 §.

Datainspektionen ges i 16 § personuppgiftsförordningen möj- lighet att meddela föreskrifter om bl.a. säkerhetsåtgärder. Inspek- tionen har dock inte meddelat några sådana föreskrifter utan har i stället valt att ge närmare vägledning genom allmänna råd.

Myndigheternas registerförfattningar hänvisar antingen till per- sonuppgiftslagens bestämmelser (t.ex. 2 kap. 2 § första stycket 7 polisdatalagen) eller saknar sådana bestämmelser, varvid person- uppgiftslagens bestämmelser ändå är tillämpliga (t.ex. 2 § lagen [2001:617] om behandling av personuppgifter inom kriminalvår- den). I några registerförfattningar finns det dock bestämmelser som preciserar de allmänna kraven i personuppgiftslagen.

Bestämmelser om informationssäkerhet finns även i andra för- fattningar, t.ex. i arkivlagen (1990:782) och säkerhetsskyddslagen (1996:627) med tillhörande förordningar och i föreskrifter medde- lade av Myndigheten för samhällsskydd och beredskap (exempelvis MSBFS 2016:1 Föreskrifter och allmänna råd om statliga myndig- heters informationssäkerhet).

Bara en bestämmelse om skyddsåtgärder

Det bör tas in en bestämmelse om skyddet för personuppgifter i ramlagen. Frågan är inledningsvis hur man ska se på förhållandet mellan artikel 4.1 f och artikel 29 i direktivet.

Artikel 4.1 f slår fast en grundläggande princip för all behand- ling av personuppgifter och riktar sig till personuppgiftsansvariga. Bestämmelserna i artikel 29 är mer konkreta och riktar sig även till personuppgiftsbiträden. Enligt utredningens bedömning reglerar

326

SOU 2017:29

Personuppgiftsansvarigas skyldigheter

emellertid artiklarna 4.1 f och 29 samma sak. Båda föreskriver skyl- dighet att säkerställa lämplig säkerhet för personuppgifter med hjälp av tekniska och organisatoriska åtgärder. I artikel 29 utvecklas hur det ska uppnås och vilka åtgärder som ska vidtas. Utredningen anser därför att artikel 29 ska ses som en precisering av den grund- läggande princip som anges i artikel 4.1 f. Det behövs därmed inte två olika bestämmelser om skyddsåtgärder i ramlagen.

Kraven på skyddsåtgärder

Artikel 29.1 motsvarar i princip 31 § första stycket personuppgifts- lagen. Frågan är om artikel 29.2, som anger mer konkreta åtgärder, kräver några särskilda lagstiftningsåtgärder. Dataskyddsrambeslutet innehåller en likadan uppräkning av åtgärder. Vid genomförandet av rambeslutet ansåg regeringen att personuppgiftslagens bestäm- melser, även om de var mer generellt utformade, motsvarade ram- beslutets bestämmelser om säkerhet och att dess mer preciserade bestämmelser därför inte krävde några lagändringar (Godkännande av dataskyddsrambeslutet, prop. 2008/09:16, s. 52). Samma bedöm- ning gjordes när Schengenkonventionen genomfördes i svensk rätt (Polissamarbete m.m. med anledning av Sveriges anslutning till Schengen, prop. 1999/2000:64, s. 148). Även vid genomförandet av motsvarande bestämmelser om säkerhet i det rådsbeslut som ersatte konventionens bestämmelser om Schengens informations- system gjorde regeringen bedömningen att det inte krävdes några författningsändringar (SIS II – en andra generation av Schengens informationssystem, prop. 2009/10:86, s. 25).

Utredningen anser att samma bedömning bör göras i fråga om artikel 29.2. En generellt utformad regel om grundläggande krav på åtgärder likt 31 § första stycket personuppgiftslagen får således anses vara tillräcklig för att uppfylla kraven i direktivet. Särskilt mot bakgrund av att det finns mer detaljerade bestämmelser om informationssäkerhet i andra författningar som de behöriga myn- digheterna tillämpar är en generell reglering bättre. Det är inte hel- ler lämpligt att i ramlagen i detalj räkna upp alla de typer av skydds- åtgärder som den personuppgiftsansvarige bör vidta. Den tekniska utvecklingen och förändringar i samhället medför krav på stor flexibilitet i sådana frågor. Det är därför varken lämpligt eller möj-

327

Personuppgiftsansvarigas skyldigheter

SOU 2017:29

ligt att på ett ändamålsenligt och långsiktigt sätt författningsreglera frågor av det slaget. Det kan dock enligt utredningens mening finnas skäl att förtydliga vad åtgärderna generellt ska åstadkomma, dvs. vilka risker personuppgifterna ska skyddas mot. Det bör fram- gå att åtgärder ska vidtas för att skydda personuppgifterna, särskilt mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom oavsiktliga händelser. Härigenom kommer också de mer preciserade åtgärderna i artikel 29.2 tydligare till uttryck. Punkterna a–h behandlar olika sätt att skydda personuppgifter mot obehörig eller otillåten behandling. Punkterna i och j behandlar åt- gärder för att förhindra förlust, förstöring eller skada bl.a. genom olyckshändelse. I avsnitt 10.2.2 och 10.2.3 föreslår utredningen också att ramlagen ska innehålla bestämmelser om loggning och be- gränsning av tillgången till personuppgifter. Även de bestämmel- serna kan ses som förtydliganden av de åtgärder som anges i arti- kel 29.2.

Vilka omständigheter som bör beaktas för att uppnå en lämplig skyddsnivå kan regleras i förordning. Utöver de omständigheter som anges i 31 § personuppgiftslagen bör behandlingens art, om- fattning, sammanhang och ändamål beaktas. Särskild hänsyn bör tas till i vilken utsträckning känsliga personuppgifter behandlas och hur integritetskänsliga övriga personuppgifter som behandlas är.

Om det uppstår behov av att ytterligare precisera vilka åtgärder som den personuppgiftsansvarige bör vidta kan det göras genom föreskrifter i förordning eller på myndighetsnivå. Riktlinjer kan också lämnas genom allmänna råd.

Personuppgiftsbiträdenas skyldigheter tas upp i avsnitt 10.6.5.

10.4Personuppgiftsincidenter

10.4.1Vad är en personuppgiftsincident?

Utredningens förslag: Personuppgiftsincident ska i ramlagen definieras som en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller obehörigt röjande av eller obehörig åtkomst till personuppgifter.

328

SOU 2017:29

Personuppgiftsansvarigas skyldigheter

Skälen för utredningens förslag: En personuppgiftsincident är enligt artikel 3.11 en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. Personuppgiftsincident är ett nytt begrepp när det gäller dataskydd. På informationssäkerhets- området är ordet incident emellertid etablerat. Med en incident avses att något allvarligt och oplanerat har inträffat (Bättre regler för elektroniska kommunikationer, prop. 2010/11:115, s. 131).

En personuppgiftsincident motsvarar till viss del vad som i dag- ligt tal brukar kallas dataintrång. Med personuppgiftsincident avses dock inte bara ett sådant avsiktligt intrång, utan även olyckshändel- ser och andra oavsiktliga händelser som får oönskade effekter, t.ex. brand. I 20 § förordningen (2015:1052) om krisberedskap och be- vakningsansvariga myndigheters åtgärder vid höjd beredskap och i 10 a § säkerhetsskyddsförordningen (1996:633) används uttrycket it-incident för att beskriva i princip samma sak. Eftersom person- uppgiftsincident används i dataskyddsförordningen bör det ordet användas i ramlagen. Ordet tydliggör att det rör sig om en händelse som får oönskade effekter för skyddet av personuppgifter.

En incident kan inträffa genom yttre påverkan, men kan också bero på interna brister eller otillåtet handlande av någon inom orga- nisationen. Det som är väsentligt för definitionen av personupp- giftsincident är inte hur händelsen uppkommit eller vem som åstadkommit den utan effekten av den.

I direktivet används ordet olaglig. Enligt utredningens mening skulle det kanske vara lämpligare att använda ordet olovlig, efter- som det även kan täcka åtgärder som en i och för sig behörig per- son vidtar t.ex. för att skada arbetsgivaren. På grund av att både direktivet och dataskyddsförordningen innehåller regler om per- sonuppgiftsincidenter och definierar dem på samma sätt bör dock ordet olaglig användas i ramlagen. Personuppgiftsincident bör såle- des definieras som en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller obehörigt röjande av eller obehörig åtkomst till personuppgifter.

329

Personuppgiftsansvarigas skyldigheter

SOU 2017:29

10.4.2Anmälan till tillsynsmyndigheten

Utredningens förslag: Den personuppgiftsansvarige ska inom 72 timmar anmäla en personuppgiftsincident till tillsynsmyn- digheten, utom i de fall där incidenten rör nationell säkerhet. Någon anmälan behöver inte göras om det kan antas att inci- denten inte har medfört eller kommer att medföra någon risk för otillbörligt intrång i registrerades personliga integritet.

Anmälningsförfarandet och vad anmälan ska innehålla ska regleras i förordning.

Skälen för utredningens förslag

Innehållet i direktivet

Enligt artikel 30.1 ska den personuppgiftsansvarige vid en person- uppgiftsincident, utan onödigt dröjsmål och om möjligt inom 72 timmar, anmäla incidenten till tillsynsmyndigheten. Någon an- mälan behöver emellertid inte göras om det är osannolikt att inci- denten medför risk för fysiska personers rättigheter och friheter. I artikel 30.3 anges vad en anmälan till tillsynsmyndigheten ska innehålla. En anmälan ska bl.a. beskriva personuppgiftsincidentens art, de sannolika konsekvenserna av incidenten och vilka åtgärder som har vidtagits för att åtgärda den. Om det inte är möjligt att tillhandahålla all information samtidigt får den enligt artikel 30.4 tillhandahållas i omgångar.

Nuvarande reglering

Det finns inga bestämmelser om personuppgiftsincidenter i per- sonuppgiftslagen eller myndigheternas registerförfattningar. Inci- denter behandlas inte heller i Datainspektionens allmänna råd om säkerhet. Däremot ska incidenter i it-system rapporteras av andra skäl. I 20 § första stycket förordningen om krisberedskap och be- vakningsansvariga myndigheters åtgärder vid höjd beredskap före- skrivs att en myndighet skyndsamt ska rapportera it-incidenter som inträffat i myndighetens it-system till Myndigheten för sam- hällsskydd och beredskap. Det gäller om incidenten allvarligt kan

330

SOU 2017:29

Personuppgiftsansvarigas skyldigheter

påverka säkerheten i den informationshantering som myndigheten ansvarar för eller i tjänster som myndigheten tillhandahåller åt en annan organisation. En myndighet som tillhandahåller it-tjänster åt en annan organisation ska informera och vid behov samråda med den eller de uppdragsgivare som berörs av incidenten.

Rapporteringsskyldigheten omfattar inte it-incidenter som en- ligt 10 a § säkerhetsskyddsförordningen ska rapporteras till Säker- hetspolisen eller Försvarsmakten. Exempel på sådana incidenter är incidenter i informationssystem där hemliga uppgifter som gäller Sveriges säkerhet behandlas eller i it-system som särskilt behöver skyddas mot terrorism. Säkerhetskyddsförordningen gäller för myndigheter, kommuner och landsting och för vissa bolag, före- ningar, stiftelser och enskilda.

Anmälningsskyldigheten bör regleras i ramlagen

Som framgått är myndigheter skyldiga att rapportera it-incidenter, men den rapporteringen görs till andra myndigheter än tillsyns- myndigheten och har ett annat syfte. Regleringen i artikel 30 tar sikte på skyddet för de personuppgifter som påverkas av incidenten och konsekvenserna för registrerade. En personuppgiftsincident som inte snabbt åtgärdas kan leda till att registrerade drabbas av såväl ekonomisk skada som personlig kränkning. I skäl 61 nämns som exempel på skador som kan uppkomma vid en personupp- giftsincident bl.a. identitetsstöld och identitetsbedrägeri, diskrimi- nering, skadat anseende och röjande av personuppgifter som är sekretesskyddade.

I ramlagen bör det föreskrivas att den personuppgiftsansvarige inom viss tid ska anmäla personuppgiftsincidenter till tillsynsmyn- digheten. Undantaget från anmälningsskyldighet vid incidenter som inte medfört risk för registrerade bör också framgå. Någon an- mälan behöver t.ex. inte göras om incidenten påverkat få person- uppgifter som inte är av känslig art eller om skyddet för person- uppgifterna påverkats under så kort tid att obehörig åtkomst inte varit möjlig. Av skäl 61 framgår att det är den personuppgiftsan- svarige som ska visa att risken för otillbörligt intrång varit låg.

En personuppgiftsincident uppfyller kriterierna för en it-inci- dent. Det innebär att de flesta behöriga myndigheter kommer att

331

Personuppgiftsansvarigas skyldigheter

SOU 2017:29

behöva anmäla sådana incidenter enligt två olika förfaranden och till olika myndigheter. It-incidenter som kan antas påverka säker- heten för hemliga uppgifter som rör Sveriges säkerhet ska dock en- bart anmälas enligt säkerhetsskyddsförordningen. Behovet av att skydda sådan information anses vara så viktigt att endast den myn- dighet som utövar tillsyn över säkerhetsskyddet ska få ta del av den. Även om den rapporteringen har ett annat syfte än rapporte- ringen av personuppgiftsincidenter, anser utredningen att behovet av skydd för uppgifter som rör Sveriges säkerhet väger tyngre än behovet av att skydda enskilda från eventuella intrång i den person- liga integriteten. Eftersom nationell säkerhet ligger utanför direkti- vets tillämpningsområde anser utredningen att sådana personupp- giftsincidenter som ska anmälas enligt 10 a § säkerhetsskyddsför- ordningen inte bör anmälas till tillsynsmyndigheten.

Det är viktigt att de som tillämpar ramlagen är medvetna om att anmälan kan behöva göras till två olika myndigheter och att det skapas interna rutiner som möjliggör och underlättar sådana dubbla anmälningsförfaranden. För att tydliggöra det och säkerställa att en inträffad incident även anmäls till tillsynsmyndigheten enligt ram- lagen kan det vara lämpligt att upplysa om den nu föreslagna reg- leringen i förordningen om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap.

Vad ska anmälan innehålla?

Det bör regleras vad en anmälan till tillsynsmyndigheten ska inne- hålla, men det kan göras i förordning. En anmälan av en personupp- giftsincident ska enligt artikel 30.3 beskriva personuppgiftsinciden- tens art, dvs. vad det är som har inträffat. Om det är möjligt bör det också anges vilka kategorier av och ungefärligt antal registre- rade och personuppgiftsposter som berörs. Beroende på vad som har inträffat kan det ibland vara svårt att överblicka hur många per- sonuppgifter som berörs av incidenten och hur många registrerade som kan ha drabbats. Den personuppgiftsansvarige bör dock åt- minstone redovisa en ungefärlig uppskattning. Dessutom bör an- mälan innehålla en beskrivning av de sannolika konsekvenserna av personuppgiftsincidenten och vilka åtgärder som har vidtagits eller föreslagits för att åtgärda incidenten. En preliminär bedömning av

332

SOU 2017:29

Personuppgiftsansvarigas skyldigheter

konsekvenserna av incidenten bör göras av den personuppgiftsan- svarige. Beskrivningen av vilka åtgärder som vidtagits bör även om- fatta åtgärder för att mildra personuppgiftsincidentens negativa effekter. Anmälan bör också innehålla namnet på och kontaktupp- gifter till dataskyddsombud eller annan kontaktpunkt hos den per- sonuppgiftsansvarige.

Även om det inte anges i direktivet bör enligt utredningens mening tidpunkten för den aktuella incidenten uppges, eftersom den kan ha betydelse för bedömningen av den. Tillsynsmyndighe- ten bör även informeras om huruvida de registrerade har underrät- tats eller kommer att underrättas om det inträffade. Det ger till- synsmyndigheten möjlighet att bedöma hur incidenten hanteras i förhållande till dem.

Anmälningsförfarandet

En anmälan till tillsynsmyndigheten bör göras så snabbt som möj- ligt och senast inom 72 timmar, vilket bör framgå av ramlagen. Anmälningsförfarandet kan i övrigt regleras i förordning. Om anmälan görs senare än 72 timmar efter det att den personupp- giftsansvarige fick kännedom om personuppgiftsincidenten, bör anmälan innehålla en förklaring till förseningen. Senare anmälan bör enligt utredningens mening komma ifråga endast i särskilda fall där längre tid krävs för att överblicka personuppgiftsincidenten och dess konsekvenser. Informationen bör få lämnas i omgångar om det inte är möjligt att lämna all information samtidigt. Det bör således inte fördröja anmälan.

Om en anmälan av en personuppgiftsincident innebär att sek- retessbelagda uppgifter behöver lämnas till tillsynsmyndigheten måste sekretessen kunna brytas. En bestämmelse som föreskriver att personuppgiftsansvariga ska anmäla en personuppgiftsincident till tillsynsmyndigheten innebär en sådan uppgiftsskyldighet som avses i 10 kap. 28 § offentlighets- och sekretesslagen (2009:400). Sekretess hindrar då inte att uppgifterna lämnas.

I 11 kap. 1 § offentlighets- och sekretesslagen regleras över- föring av sekretess vid tillsyn. Där anges att om en myndighet i verksamhet som avser tillsyn, får en sekretessreglerad uppgift från en annan myndighet, blir sekretessbestämmelsen tillämplig på upp-

333

Personuppgiftsansvarigas skyldigheter

SOU 2017:29

giften även hos den mottagande myndigheten. Vid anmälan av en personuppgiftsincident överförs således eventuell sekretess som gäller för uppgiften till tillsynsmyndigheten.

10.4.3Underrättelse till den registrerade

Utredningens förslag: Om en personuppgiftsincident kan antas medföra särskild risk för otillbörligt intrång i registrerades personliga integritet, ska den personuppgiftsansvarige utan onö- digt dröjsmål underrätta den registrerade om incidenten. Under- rättelseskyldigheten gäller inte om den personuppgiftsansvarige har vidtagit vissa skyddsåtgärder eller om den skulle kräva opro- portionerligt stora ansträngningar. Den registrerade behöver inte heller underrättas om incidenten om det gäller sekretess eller tystnadsplikt för uppgifterna.

Vilken information en underrättelse ska innehålla ska regle- ras i förordning.

Skälen för utredningens förslag

Innehållet i direktivet

Enligt artikel 31.1 ska den personuppgiftsansvarige, om en person- uppgiftsincident sannolikt kommer att leda till hög risk för fysiska personers rättigheter och friheter, utan onödigt dröjsmål informera registrerade om incidenten. Informationen ska enligt artikel 31.2 innehålla en tydlig och klar beskrivning av personuppgiftsinciden- tens art och beskriva de sannolika konsekvenserna av incidenten och vilka åtgärder som har vidtagits eller föreslagits för att åtgärda incidenten. Kontaktuppgifter till dataskyddsombudet eller annan kontaktpunkt ska också uppges.

I vissa fall behöver registrerade inte underrättas. Det gäller en- ligt artikel 31.3 om den personuppgiftsansvarige har genomfört lämpliga tekniska och organisatoriska skyddsåtgärder och dessa åtgärder har tillämpats på de personuppgifter som påverkades av personuppgiftsincidenten eller om den personuppgiftsansvarige har vidtagit ytterligare åtgärder som säkerställer att den höga risken för registrerades rättigheter och friheter inte längre kommer att finnas.

334

SOU 2017:29

Personuppgiftsansvarigas skyldigheter

Underrättelseskyldigheten gäller inte heller om den skulle kräva en oproportionerlig ansträngning. Då ska i stället allmänheten infor- meras eller en liknande åtgärd vidtas som innebär att den regist- rerade informeras på ett lika effektivt sätt. Underrättelse till den registrerade får också, enligt artikel 31.5, senareläggas, begränsas eller utelämnas på de villkor och av de skäl som anges i artikel 13.3.

Om den personuppgiftsansvarige inte har underrättat den regi- strerade, men tillsynsmyndigheten anser att personuppgiftsinci- denten medför så hög risk att han eller hon bör underrättas, får tillsynsmyndigheten enligt artikel 31.4 kräva att den personupp- giftsansvarige gör det. Tillsynsmyndigheten kan också besluta att någon underrättelse inte krävs därför att något av de villkor som anges i artikel 31.3 är uppfyllt.

I vilka fall ska registrerade underrättas?

Skyldigheten att underrätta registrerade om en personuppgifts- incident och undantagen från skyldigheten bör regleras i ramlagen, medan detaljerna i förfarandet kan regleras i förordning. Underrät- telse bör lämnas utan onödigt dröjsmål om personuppgiftsinciden- ten kan antas leda till särskild risk för otillbörligt intrång i regi- strerades personliga integritet. Av skäl 62 framgår att syftet med underrättelsen bl.a. är att den registrerade ska kunna vidta nödvän- diga försiktighetsåtgärder.

Hur snabbt den personuppgiftsansvarige kan informera de regi- strerade beror på omständigheterna i det enskilda fallet. I skäl 62 framhålls att behovet av att mildra en omedelbar skaderisk kräver att de registrerade underrättas omgående, medan behovet av att vidta lämpliga åtgärder vid fortlöpande eller likartade incidenter kan motivera längre tid för underrättelsen. Enligt utredningens mening bör framför allt personuppgiftsincidentens art och den registrerades intresse av och möjlighet att själv vidta åtgärder för att begränsa skadan beaktas. Även den tid det tar för den person- uppgiftsansvarige att vidta akuta åtgärder för att begränsa skadan, avhjälpa fel och liknande bör beaktas.

I ramlagen bör det också regleras under vilka omständigheter någon underrättelse till den registrerade inte behöver lämnas. En- ligt utredningens mening bör underrättelseskyldighet inte gälla om

335

Personuppgiftsansvarigas skyldigheter

SOU 2017:29

något av de villkor som anges i artikel 31.3 är uppfyllda. Det inne- bär att den registrerade inte behöver underrättas om den person- uppgiftsansvarige har vidtagit lämpliga skyddsåtgärder. Om t.ex. personuppgifter gått förlorade vid en brand men det finns tillfreds- ställande back-up-rutiner kan risken vara så låg att någon underrät- telse inte krävs. Någon underrättelse krävs inte heller om den per- sonuppgiftsansvarige har vidtagit åtgärder som säkerställer att det inte längre finns särskild risk för otillbörligt intrång. Det kan t.ex. vara fråga om att tillgången till ett register har begränsats till dess att den personuppgiftsansvarige har kunnat överblicka konsekven- serna av incidenten. Den registrerade behöver inte heller under- rättas om det skulle kräva en oproportionerlig ansträngning av den personuppgiftsansvarige. Det skulle kunna vara fallet om en per- sonuppgiftsincident t.ex. påverkar ett mycket stort antal registre- rade. Då bör i stället allmänheten informeras på lämpligt sätt eller en liknande åtgärd vidtas för att de registrerade ska få nödvändig information.

Vilken information ska lämnas?

Det bör regleras vilken information som ska lämnas till den regi- strerade vid en personuppgiftsincident. Det kan göras i förordning. Enligt utredningens mening bör åtminstone den information som anges i artikel 31.2 lämnas. En underrättelse bör således innehålla en beskrivning av personuppgiftsincidenten och ange när den in- träffade. Kontaktuppgifter till dataskyddsombudet eller annan kon- taktpunkt bör lämnas. Därutöver bör information lämnas om vilka konsekvenser incidenten kan få för den registrerade och vilka åtgärder som har vidtagits eller kommer att vidtas med anledning av incidenten. Det kan även vara lämpligt att den personuppgiftsan- svarige anger vilka åtgärder som den registrerade själv kan vidta för att begränsa skadan. Som framgår av avsnitt 11.5.4 bör information till registrerade alltid vara lättillgänglig och lättbegriplig och till- handahållas i lämplig form.

336

SOU 2017:29

Personuppgiftsansvarigas skyldigheter

Begränsning av information till den registrerade

Informationen till den registrerade får senareläggas, begränsas eller utelämnas i vissa fall. Syftet är enligt direktivet att undvika att rättsliga utredningar, förundersökningar eller andra förfaranden hindras eller att undvika menlig inverkan på brottsbekämpande åtgärder, lagföring eller verkställighet av straffrättsliga påföljder och att skydda allmän eller nationell säkerhet eller andra personers rättigheter och friheter. Informationen får begränsas endast i den utsträckning och så länge som begränsningen är nödvändig och proportionerlig. Vid bedömningen ska hänsyn tas till den berörda personens grundläggande rättigheter och berättigade intressen.

Bestämmelser som begränsar rätten till information är nödvän- diga för att de behöriga myndigheterna ska kunna utföra sina upp- drag på ett effektivt sätt. Det är framför allt regleringen i offent- lighets- och sekretesslagen som tillgodoser det behovet. Även den relativt begränsade information som ska lämnas till den registrerade vid en personuppgiftsincident skulle t.ex. kunna skada en förunder- sökning i ett initialt skede eller avslöja att uppgifter om personen finns i ett sekretessreglerat register. I ramlagen bör det därför tas in en regel som klargör att sekretess och tystnadsplikt har företräde framför rätten till information vid personuppgiftsincidenter.

Tillsynsmyndighetens befogenheter

Enligt artikel 31.4 ska tillsynsmyndigheten ha möjlighet att före- lägga den personuppgiftsansvarige att informera den registrerade, om det inte har gjorts. Det skulle kunna bli aktuellt om tillsyns- myndigheten gör en annan bedömning av behovet av att underrätta de registrerade. Den skyldigheten behöver enligt utredningens mening inte regleras särskilt, eftersom den ryms i förslaget om till- synsmyndighetens korrigerande befogenheter (se avsnitt 12.7.6).

337

Personuppgiftsansvarigas skyldigheter

SOU 2017:29

10.4.4Dokumentations- och underrättelseskyldighet

Utredningens förslag: Den personuppgiftsansvariges skyldig- het att dokumentera personuppgiftsincidenter ska regleras i för- ordning. Även skyldigheten att i vissa fall underrätta behöriga myndigheter i andra medlemsstater ska regleras i förordning.

Skälen för utredningens förslag

Dokumentation av personuppgiftsincidenter

Enligt artikel 30.5 ska den personuppgiftsansvarige dokumentera alla personuppgiftsincidenter som avses i artikel 30.1, inbegripet omständigheterna rörande incidenten, dess effekter och de korrige- rande åtgärder som vidtagits. Dokumentationsskyldigheten bör regleras i förordning.

Eftersom dokumentationsskyldigheten är knuten till artikel 30.1 är det oklart om det endast är sådana incidenter som ska anmälas till tillsynsmyndigheten som ska dokumenteras eller om tanken är att även sådana mindre allvarliga incidenter som inte behöver an- mälas ska dokumenteras. I motsvarande bestämmelse i dataskydds- förordningen, artikel 33.5, anges att den personuppgiftsansvarige ska dokumentera alla personuppgiftsincidenter.

Enligt utredningens mening skulle en dokumentationsskyldig- het endast för sådana personuppgiftsincidenter som anmäls till till- synsmyndigheten vara av begränsat värde, eftersom dokumentation om dem ska finnas i anmälan. I direktivet anges att dokumenta- tionen ska göra det möjligt för tillsynsmyndigheten att kontrollera efterlevnaden av artikeln. För att det ska vara möjligt bör därför alla personuppgiftsincidenter dokumenteras.

Underrättelseskyldighet

Om personuppgiftsincidenten rör personuppgifter som kommer från eller har lämnats till en personuppgiftsansvarig i en annan medlemsstat, ska samma information som lämnas till tillsynsmyn- digheten utan onödigt dröjsmål lämnas till den som lämnade eller

338

SOU 2017:29

Personuppgiftsansvarigas skyldigheter

tog emot uppgifterna i den andra medlemsstaten. Det framgår av artikel 30.6.

En bestämmelse om underrättelseskyldighet bör tas in i förord- ning. Skyldigheten bör korrespondera med skyldigheten att göra en anmälan till tillsynsmyndigheten. Det innebär att om någon anmä- lan inte görs dit, antingen på grund av att incidenten medfört så låg risk att anmälan inte krävs eller på grund av att incidenten rör nationell säkerhet, gäller inte underrättelseskyldigheten.

Utgångspunkten är att en uppgift, för vilken sekretess gäller en- ligt offentlighets- och sekretesslagen, inte får röjas för en utländsk myndighet eller en mellanfolklig organisation. I 8 kap. 3 § 1 offent- lighets- och sekretesslagen görs dock undantag från huvudregeln om uppgiftslämnandet regleras särskilt i lag eller förordning. Efter- som det föreslås en bestämmelse om att behöriga myndigheter i andra medlemsstater ska underrättas i vissa fall, kommer sekretess inte att hindra att informationen lämnas.

Ett personuppgiftsbiträde har enligt direktivet ingen skyldighet att anmäla personuppgiftsincidenter till tillsynsmyndigheten eller att underrätta registrerade om incidenter. Eftersom den personupp- giftsansvarige ska anmäla personuppgiftsincidenter till tillsynsmyn- digheten behöver den personuppgiftsansvarige även få kännedom om incidenter som inträffat hos personuppgiftsbiträdet. Det bör därför införas en skyldighet för personuppgiftsbiträden att under- rätta den personuppgiftsanvarige om sådana incidenter (se av- snitt 10.6.5).

10.5Dataskyddsombud

10.5.1Definition av dataskyddsombud

Utredningens förslag: Dataskyddsombud ska i ramlagen defi- nieras som en fysisk person som utses av den personuppgiftsan- svarige för att självständigt se till att personuppgifter behandlas författningsenligt och på ett korrekt sätt.

Skälen för utredningens förslag: I direktivet talas det på flera ställen om dataskyddsombud, men det finns inte någon definition av den termen. I 3 § personuppgiftslagen definieras personuppgifts-

339

Personuppgiftsansvarigas skyldigheter

SOU 2017:29

ombud, som motsvarar det som i direktivet kallas dataskyddsom- bud. Där anges att ett personuppgiftsombud är den fysiska person som, efter förordnande av den personuppgiftsansvarige, självstän- digt ska se till att personuppgifter behandlas på ett korrekt och lag- ligt sätt.

Personuppgiftsombud är ett inarbetat begrepp. Dataskyddsom- bud är emellertid den term som används både i direktivet och i dataskyddsförordningen. Som anges i avsnitt 6.2 bör direktivets terminologi användas i så stor utsträckning som möjligt. Utred- ningen anser därför att termen dataskyddsombud bör användas i ramlagen.

Dataskyddsombud bör definieras i ramlagen. Definitionen av personuppgiftsombud i personuppgiftslagen kan då tjäna som före- bild. För att terminologin i ramlagen ska bli enhetlig bör uttrycket författningsenlig användas. Dataskyddsombud bör således definie- ras som en fysisk person som utses av den personuppgiftsansvarige för att självständigt se till att personuppgifter behandlas författ- ningsenligt och på ett korrekt sätt.

10.5.2Krav på dataskyddsombud

Utredningens förslag: Den personuppgiftsansvarige ska utse ett eller flera dataskyddsombud och anmäla till tillsynsmyndig- heten när dataskyddsombud utses och entledigas.

Skälen för utredningens förslag

Innehållet i direktivet och nuvarande reglering

Enligt artikel 32 ska den personuppgiftsansvarige utnämna ett data- skyddsombud, offentliggöra ombudets kontaktuppgifter och med- dela tillsynsmyndigheten vem som har utsetts och hans eller hen- nes kontaktuppgifter. Domstolars och andra oberoende rättsliga myndigheters dömande verksamhet får undantas från skyldigheten att utnämna dataskyddsombud.

Dataskyddsombud ska utnämnas på grundval av sina yrkesmäs- siga kvalifikationer, sin sakkunskap om lagstiftning och praxis rörande dataskydd och sin förmåga att fullgöra de uppgifter som

340

SOU 2017:29

Personuppgiftsansvarigas skyldigheter

åläggs dataskyddsombud. Ett enda dataskyddsombud får utnämnas för flera behöriga myndigheter med hänsyn tagen till organisations- struktur och storlek.

Som nyss nämnts används i dag termen personuppgiftsombud för den funktion som motsvarar dataskyddsombud. Personupp- giftslagen föreskriver ingen skyldighet att utse personuppgiftsom- bud. Flera av de behöriga myndigheterna är dock enligt sina regi- sterförfattningar skyldiga att ha personuppgiftsombud. Det gäller bl.a. Polismyndigheten, Kustbevakningen, Åklagarmyndigheten och domstolarna.

Alla personuppgiftsansvariga ska utse dataskyddsombud

Eftersom direktivet föreskriver skyldighet för personuppgiftsan- svariga att utnämna dataskyddsombud bör en bestämmelse om det tas in i ramlagen.

I dataskyddsförordningen föreskrivs ingen allmän skyldighet för personuppgiftsansvariga att utse dataskyddsombud. Däremot gäller enligt artikel 37.1 sådan skyldighet för myndigheter och andra offentliga organ. Dataskyddsombud ska också utses av personupp- giftsansvariga eller personuppgiftsbiträden vilkas kärnverksamhet består av behandling som kräver regelbunden och systematisk över- vakning av de registrerade i stor omfattning. Detsamma gäller om kärnverksamheten består av behandling i stor omfattning av käns- liga personuppgifter och personuppgifter som rör fällande domar i brottmål och överträdelser.

Enligt utredningens förslag kan endast behöriga myndigheter vara personuppgiftsansvariga. Som framgår av avsnitt 7.1.4. kan en behörig myndighet vara antingen en myndighet som har de i ram- lagen angivna arbetsuppgifterna eller en annan aktör som utövar myndighet för något av dessa syften. Myndigheter som bedriver verksamhet inom ramlagens tillämpningsområde bör vara skyldiga att utse dataskyddsombud. Frågan är om även andra aktörer än myndigheter bör vara skyldiga att utse dataskyddsombud.

I direktivet görs ingen skillnad mellan myndigheter och andra organ när det gäller att utse dataskyddsombud. Det talar för att alla personuppgiftsansvariga ska utse dataskyddsombud. Aktörer som bedriver verksamhet inom ramlagens tillämpningsområde, oavsett

341

Personuppgiftsansvarigas skyldigheter

SOU 2017:29

om det rör sig om en myndighet eller ett privat organ, behandlar ofta integritetskänsliga personuppgifter för relativt känsliga ända- mål och det är av stor vikt att den interna kontrollen i sådana verk- samheter fungerar tillfredsställande. Om en privat aktör inte behö- ver utse ett dataskyddsombud enligt förordningen kan det ifråga- sättas om det behövs ett ombud enbart för ett begränsat uppdrag inom ramlagens tillämpningsområde. Behandlingen enligt ramlagen är emellertid av sådan art att det bör finnas ett dataskyddsombud som övervakar personuppgiftsbehandlingen. Utredningen anser därför att alla personuppgiftsansvariga bör vara skyldiga att utse ett eller flera dataskyddsombud.

Ett eller flera dataskyddsombud ska utses

I artikel 32.1 anges att den personuppgiftsansvarige ska utse ett dataskyddsombud. Utredningen anser inte att bestämmelsen kan tolkas så att endast ett ombud får utses. I större myndighetsorgani- sationer kan det vara svårt för en enda person att ensam utföra de uppgifter som ett dataskyddsombud ska ha i framtiden. Flera data- skyddsombud bör därmed kunna utses för en behörig myndighet.

Utredningen anser att det inte behöver författningsregleras att samma dataskyddsombud får utnämnas för flera behöriga myn- digheter. Med hänsyn främst till organisationernas storlek, torde de flesta myndigheter eller andra aktörer som omfattas av ramlagens tillämpningsområde inte kunna använda sig av en sådan ordning. Man skulle dock kunna tänka sig att det finns behöriga myndig- heter som bedriver likartad verksamhet i nära anslutning till varan- dra och att det av den anledningen skulle kunna vara lämpligt att utse ett gemensamt ombud. Så skulle exempelvis kunna vara fallet med vissa domstolar. När myndigheter samarbetar i informations- system som är gemensamma för flera myndigheter kan det också finnas behov av ett dataskyddsombud som kan se till helheten och eventuellt hjälpa enskilda registrerade i förhållande till samtliga in- blandade myndigheter (se SOU 2015:39 s. 604). I skäl 63 nämns som exempel att flera personuppgiftsansvariga gemensamt kan utse ett dataskyddsombud t.ex. vid gemensamma resurser i centralen- heter. Om flera personuppgiftsansvariga i en sådan situation anser det lämpligt att utse ett gemensamt dataskyddsombud, exempelvis

342

SOU 2017:29

Personuppgiftsansvarigas skyldigheter

för behandling i ett gemensamt system eller i ett avgränsat samar- bete, finns det enligt utredningens mening inget som hindrar det.

Utredningen återkommer i slutbetänkandet till frågan om det bör utses dataskyddsombud för domstolarnas och andra rättsliga myndigheters dömande verksamhet.

Dataskyddsombudens kvalifikationer

Vilka kvalifikationer och vilken kunskap en person bör ha för att kunna utses till dataskyddsombud varierar naturligtvis. Enligt skäl 63 bör den nödvändiga nivån på sakkunskap fastställas med utgångspunkt i den personuppgiftsbehandling som utförs och det skydd som krävs för de personuppgifter som behandlas. Det kan således krävas mer av ett dataskyddsombud i en stor organisation som behandlar många känsliga personuppgifter och för olika ända- mål än av ett ombud i en mindre organisation där en begränsad mängd uppgifter behandlas. Det ligger i varje personuppgiftsansva- rigs intresse att dataskyddsombudet har tillräcklig kunskap, erfa- renhet och förmåga att utföra sina uppgifter.

Som framgår av den föreslagna definitionen ska dataskyddsom- bud vara fysiska personer. Enligt skäl 63 kan det vara en av den personuppgiftsansvariges medarbetare som fått särskild utbildning beträffande lagstiftning och praxis i fråga om dataskydd. Ett data- skyddsombud måste få relativt omfattande insyn i den behöriga myndighetens verksamhet. Det medför enligt utredningens mening att dataskyddsombud i de allra flesta fall kommer att utses bland den personuppgiftsansvariges anställda. Det bör dock inte införas något förbud mot att anlita dataskyddsombud utanför den egna organisationen bl.a. av det skälet att flera personuppgiftsansvariga ska kunna utse samma ombud. Uppgiften att vara dataskyddsom- bud kan utföras på deltid eller heltid.

Information om dataskyddsombuden

Den personuppgiftsansvarige bör anmäla till tillsynsmyndigheten vem som har utsetts till dataskyddsombud och när ombudet entle- digas. Det är viktigt att tillsynsmyndigheten får information om det, eftersom ombuden bl.a. ska ha till uppgift att samarbeta med

343

Personuppgiftsansvarigas skyldigheter

SOU 2017:29

tillsynsmyndigheten och fungera som kontaktpunkt för den i vissa fall (se avsnitt 10.5.3).

I avsnitt 11.2.6 behandlas den personuppgiftsansvariges skyldig- het att göra information om dataskyddsombudets kontaktuppgifter tillgänglig.

10.5.3Dataskyddsombudens arbetsuppgifter

Utredningens förslag: Dataskyddsombud ska ha vissa i ram- lagen angivna arbetsuppgifter. Skyldigheten att underlätta data- skyddsombudens verksamhet ska regleras i förordning.

Skälen för utredningens förslag

Innehållet i direktivet

I artikel 34 anges vilka arbetsuppgifter ett dataskyddsombud ska ha. Dataskyddsombud ska informera och ge råd till den personupp- giftsansvarige och de anställda som utför personuppgiftsbehandling om deras skyldigheter enligt direktivet och annan unionsrätt eller medlemsstaternas bestämmelser om dataskydd. Ombuden ska också övervaka efterlevnaden av dessa regler och av den personupp- giftsansvariges strategier för skyddet av personuppgifter. I data- skyddsombudens arbetsuppgifterna ingår vidare att på begäran ge råd beträffande konsekvensbedömningar och att övervaka genom- förandet av dem. Dataskyddsombud ska samarbeta med tillsyns- myndigheten och fungera som kontaktpunkt för den i frågor som rör behandling av personuppgifter, särskilt när det gäller förhands- samråd enligt artikel 28. Ombuden ska, om det är lämpligt, samråda med tillsynsmyndigheten även i andra frågor.

Enligt artikel 33.1 ska den personuppgiftsansvarige säkerställa att dataskyddsombudet på ett korrekt sätt och i god tid deltar i alla frågor som rör skyddet av personuppgifter. Den personuppgiftsan- svarige ska enligt artikel 33.2 stödja dataskyddsombudet i utföran- det av de arbetsuppgifter som anges i artikel 34. Det ska göras genom att den personuppgiftsansvarige tillhandahåller de resurser som krävs för att ombudet ska kunna fullgöra uppgifterna och ger ombudet tillgång till personuppgifter och it-system. Den person-

344

SOU 2017:29

Personuppgiftsansvarigas skyldigheter

uppgiftsansvarige ska också se till att dataskyddsombudets kun- skaper upprätthålls.

I skäl 63 framhålls att dataskyddsombud bör kunna utföra sina uppdrag och uppgifter på ett oberoende sätt.

Nuvarande reglering

Enligt 38–40 §§ personuppgiftslagen ska personuppgiftsombud självständigt se till att den personuppgiftsansvarige behandlar per- sonuppgifter på ett lagligt och korrekt sätt och i enlighet med god sed och påpeka eventuella brister. Har personuppgiftsombudet an- ledning att misstänka att den personuppgiftsansvarige bryter mot de bestämmelser som gäller för behandlingen av personuppgifter, och vidtas inte rättelse efter påpekande, ska ombudet anmäla det till tillsynsmyndigheten. Personuppgiftsombud ska även i övrigt samråda med tillsynsmyndigheten. Personuppgiftsombuden ska också föra förteckning över de behandlingar som den personupp- giftsansvarige utför och som skulle ha omfattats av anmälnings- skyldighet om inte ombudet hade funnits. Personuppgiftsombud ska dessutom hjälpa registrerade att få rättelse när det finns anled- ning att misstänka att behandlade personuppgifter är felaktiga eller ofullständiga.

Ombudens arbetsuppgifter enligt direktivet

Dataskyddsombudens roll påminner i stora delar om personupp- giftsombudens. Dataskyddsombuden har dock genom direktivet fått delvis nya arbetsuppgifter och en något förändrad roll. Flertalet av de arbetsuppgifter som ska anförtros dataskyddsombud har t.ex. karaktären av intern rådgivning, vilket inte är fallet i dag. Data- skyddsombuden har också fått ett tydligare uppdrag att bistå till- synsmyndigheten.

Det bör i ramlagen föreskrivas att dataskyddsombud självstän- digt ska kontrollera att de personuppgiftsansvariga behandlar per- sonuppgifter författningsenligt och på ett korrekt sätt och i övrigt fullgör de skyldigheter som åligger personuppgiftsansvariga. Kravet på självständighet infördes i personuppgiftslagen eftersom det nu gällande dataskyddsdirektivet anger att ombudet ”på ett oberoende

345

Personuppgiftsansvarigas skyldigheter

SOU 2017:29

sätt” ska kunna kontrollera den personuppgiftsansvarige. I skäl 63 uttrycks samma sak. Självständighetskravet innebär att den person- uppgiftsansvarige inte bör utse ett ombud som har en alltför under- ordnad ställning i organisationen. För att ombuden ska vara obero- ende på det sätt som direktivet förutsätter måste han eller hon också ha tillräckliga kvalifikationer och kunskaper för att kunna utföra sina arbetsuppgifter på ett självständigt sätt.

I artikel 34 b anges att dataskyddsombudens kontroll ska om- fatta ansvarstilldelning, information till och utbildning av personal som deltar i behandlingen och tillhörande granskning. Utredningen uppfattar uppräkningen som exemplifierande. Enligt utredningens mening är det inte lämpligt att i detalj författningsreglera vad om- buden ska granska. Hur omfattande ombudens kontroll bör vara får som i dag avgöras efter omständigheterna i det enskilda fallet. Uppräkningen i direktivet kan dock tjäna som vägledning. Ombu- den bör också påpeka eventuella brister för de personuppgiftsan- svariga så att de blir medvetna om dem och har möjlighet att vidta lämpliga åtgärder.

Dataskyddsombud bör informera och ge råd till personuppgifts- ansvariga och de som behandlar personuppgifter under dennes led- ning om deras skyldigheter enligt ramlagen och andra författningar som rör personuppgiftsbehandling. Det handlar främst om att göra den personuppgiftsansvarige och medarbetarna medvetna om vad de i olika situationer är skyldiga att göra, t.ex. att informera regi- strerade, att ha säkerhetsrutiner och att dokumentera personupp- giftsbehandlingen. Om den personuppgiftsansvarige begär det ska ombudet ge råd vid en konsekvensbedömning och kontrollera att bedömningen genomförs på rätt sätt.

Dataskyddsombud ska även samarbeta med och fungera som kontaktpunkt för tillsynsmyndigheten i frågor som rör behandling av personuppgifter. Det gäller särskilt vid sådant förhandssamråd som avses i artikel 28 (se avsnitt 10.2.5). Samarbetet innebär också att ombuden, när det är lämpligt, ska samråda med tillsynsmyn- digheten även i andra frågor som rör personuppgiftsbehandling.

Dataskyddsombudens roll påminner om internrevisorers. För att ombuden ska kunna utöva intern kontroll bör de inte ges arbetsuppgifter som kan komma i konflikt med kontrolluppgiften. Det kan t.ex. vara olämpligt att låta dataskyddsombud utbilda per- sonalen eller ansvara för att den får annan information, eftersom

346

SOU 2017:29

Personuppgiftsansvarigas skyldigheter

det är åtgärder som omfattas av den interna granskningen. Av samma skäl är det inte lämpligt att dataskyddsombud ges i uppdrag att föra det register över personuppgiftsbehandlingar som den personuppgiftsansvarige ska föra. I större myndigheter torde det inte innebära några svårigheter att hålla isär dessa arbetsuppgifter. I mindre organisationer kan det dock vara svårare. Det är då viktigt att dataskyddsombudet trots sin dubbla roll kan utöva kontrollen på ett oberoende sätt. En lösning kan vara att anlita ett dataskydds- ombud utanför den egna organisationen.

Bör dataskyddsombud även ges andra arbetsuppgifter?

Dagens personuppgiftsombud ska enligt 40 § personuppgiftslagen hjälpa registrerade att få rättelse när det finns anledning att miss- tänka att behandlade personuppgifter är felaktiga eller ofullstän- diga. Det framgår inte av förarbetena vad hjälpen innebär och frå- gan är om dataskyddsombud bör ha den arbetsuppgiften.

Personuppgiftsombud fungerar enligt uppgift främst som kon- taktpunkt för registrerade i frågor om rättelse och är normalt inte den som i praktiken rättar personuppgifter. Personuppgiftsombud verkar emellertid också användas som kontaktpunkt för registre- rade i andra frågor som rör behandling av personuppgifter. I förar- betena till polisdatalagen påtalas vikten av att registrerade enkelt kan vända sig till rätt person hos myndigheten bl.a. i frågor om information om behandling och om rättelse av felaktiga uppgifter (prop. 2009/10:85 s. 93). Liknande uttalanden finns också i förar- betena till andra registerförfattningar (se t.ex. prop. 2014/15:148 s. 91). Det förefaller således finnas behov av att ombudet hjälper registrerade även med andra frågor.

Enligt utredningens mening är det naturligt att dataskyddsom- buden fungerar som kontaktpunkt för enskilda i frågor som rör be- handling av personuppgifter på samma sätt som personuppgiftsom- buden. Den personuppgiftsansvarige ska också enligt artikel 13.1 självmant göra dataskyddsombudens kontaktuppgifter tillgängliga för registrerade. Det talar för att dataskyddsombuden bör ha samma roll i förhållande till enskilda som personuppgiftsombud har i dag. Utredningen anser däremot inte att det bör författnings-

347

Personuppgiftsansvarigas skyldigheter

SOU 2017:29

regleras vad dataskyddsombud ska göra i egenskap av kontaktpunkt för enskilda.

Enligt personuppgiftslagen ska ett personuppgiftsombud an- mäla till tillsynsmyndigheten om han eller hon misstänker att den personuppgiftsansvarige bryter mot gällande bestämmelser och inte vidtar rättelse. Någon sådan skyldighet föreskrivs inte i direktivet. Det är enligt utredningens mening viktigt att dataskyddsombud uppmärksammar tillsynsmyndigheten på eventuella problem och brister, särskilt om den personuppgiftsansvarige inte rättar sig efter ombudets påpekanden. Dataskyddsombuden bör därför, som per- sonuppgiftsombuden i dag, ha i uppdrag att anmäla eventuella över- trädelser till tillsynsmyndigheten.

Dataskyddsombudens verksamhet ska underlättas

För att dataskyddsombuden ska kunna utföra sina arbetsuppgifter krävs det att de personuppgiftsansvariga gör det möjligt och till- handahåller de resurser som ombuden behöver. Den personupp- giftsansvarige ska t.ex. göra ombudet delaktig i frågor och beslut som rör behandling av personuppgifter. Ombuden bör också få till- gång till all dokumentation gällande personuppgiftsbehandlingen och, i den utsträckning det behövs, tillgång till de personuppgifter som behandlas. Den personuppgiftsansvarige bör även se till att ombudet ges utrymme för vidareutbildning och annan kunskapsin- hämtning. Bestämmelser om det som nu har sagts kan tas in i för- ordning.

10.6Personuppgiftsbiträden

10.6.1Definition av personuppgiftsbiträde

Utredningens förslag: Personuppgiftsbiträde ska i ramlagen definieras som den som, med stöd av ett skriftligt avtal eller annan skriftlig överenskommelse, behandlar personuppgifter för den personuppgiftsansvariges räkning.

Skälen för utredningens förslag: Personuppgiftsbiträde definieras i artikel 3.9 som en fysisk eller juridisk person, institution eller

348

SOU 2017:29

Personuppgiftsansvarigas skyldigheter

annat organ som behandlar personuppgifter för den personupp- giftsansvariges räkning. Det motsvarar i sak definitionen i 3 § per- sonuppgiftslagen. Samma definition bör i princip användas i ram- lagen. Utredningen anser dock att det av definitionen även bör framgå att biträdets behandling utförs med stöd av ett skriftligt avtal eller annan skriftlig överenskommelse. Genom tillägget tyd- liggörs att ett avtal eller en överenskommelse krävs för att någon överhuvudtaget ska få agera som personuppgiftsbiträde. Person- uppgiftsbiträde bör därmed definieras som den som, med stöd av ett skriftligt avtal eller annan skriftlig överenskommelse, behandlar personuppgifter för den personuppgiftsansvariges räkning.

Ett personuppgiftsbiträde finns alltid utanför den personupp- giftsansvariges organisation. En anställd eller någon annan som be- handlar personuppgifter under den personuppgiftsansvariges direk- ta ansvar kan inte vara personuppgiftsbiträde.

10.6.2Anlitande av personuppgiftsbiträden

Utredningens förslag: Den personuppgiftsansvarige ska, om det är lämpligt, få anlita personuppgiftsbiträden. En personupp- giftsansvarig, som anlitar ett personuppgiftsbiträde, ska försäkra sig om att biträdet vidtar lämpliga tekniska och organisatoriska åtgärder för att behandlingen av personuppgifter ska vara för- fattningsenlig och för att skydda registrerades rättigheter.

Det ska finnas ett skriftligt avtal eller annan skriftlig över- enskommelse om personuppgiftsbiträdets behandling av per- sonuppgifter för den personuppgiftsansvariges räkning. Vad avtalet eller överenskommelsen ska innehålla ska regleras i för- ordning.

Ett personuppgiftsbiträde ska inte få anlita ett annat person- uppgiftsbiträde utan skriftligt tillstånd av den personuppgiftsan- svarige. Det som i övrigt ska gälla för sådana tillstånd ska regle- ras i förordning.

349

Personuppgiftsansvarigas skyldigheter

SOU 2017:29

Skälen för utredningens förslag

Innehållet i direktivet

Enligt artikel 22.1 får den personuppgiftsansvarige endast anlita personuppgiftsbiträden som ger tillräckliga garantier om att vidta lämpliga tekniska och organisatoriska åtgärder, så att behandlingen uppfyller kraven i direktivet och säkerställer att den registrerades rättigheter skyddas.

Personuppgiftsbiträdets behandling ska enligt artikel 22.3 regle- ras genom ett avtal eller annan rättsakt enligt unionsrätten eller nationell rätt. Avtalet ska enligt artikel 22.4 vara skriftligt.

Av artikel 22.3 framgår att föremålet för behandlingen, behand- lingens varaktighet, art och ändamål, typen av personuppgifter, kategorier av registrerade och den personuppgiftsansvariges skyl- digheter och rättigheter ska regleras i avtalet eller motsvarande. Därutöver ska vissa krav och villkor särskilt anges, t.ex. att person- uppgiftsbiträdet säkerställer att personer som har tillstånd att be- handla personuppgifterna har tystnadsplikt. Personuppgiftsbiträdet ska också radera eller återlämna alla personuppgifter till den per- sonuppgiftsansvarige när uppdraget har avslutats och radera be- fintliga kopior av personuppgifterna, om inte lagring av dem krävs enligt unionsrätten eller nationell rätt.

Enligt artikel 22.2 får personuppgiftsbiträdet inte anlita ett annat personuppgiftsbiträde utan skriftligt förhandstillstånd av den personuppgiftsansvarige. Om ett allmänt tillstånd har erhållits, ska personuppgiftsbiträdet alltid informera den personuppgiftsansva- rige om planer på att anlita nya personuppgiftsbiträden eller ersätta personuppgiftsbiträden.

Nuvarande reglering

Regler om personuppgiftsbiträden finns i artikel 17.2 och 17.3 i det nu gällande direktivet, som har genomförts i 30 och 31 §§ person- uppgiftslagen. Enligt 31 § andra stycket ska den personuppgiftsan- svarige, när denne anlitar ett personuppgiftsbiträde, förvissa sig om att biträdet kan vidta de säkerhetsåtgärder som krävs och se till att biträdet gör det. Det är dock den personuppgiftsansvarige som har ansvaret gentemot den registrerade även när ett personuppgiftsbi-

350

SOU 2017:29

Personuppgiftsansvarigas skyldigheter

träde anlitas (prop. 1997/98:44 s. 93). Det ska enligt 30 § andra stycket personuppgiftslagen finnas ett skriftligt avtal om person- uppgiftsbiträdets behandling av personuppgifter för den person- uppgiftsansvariges räkning. I avtalet ska det särskilt föreskrivas att personuppgiftsbiträdet bara får behandla personuppgifter i enlighet med instruktioner från den personuppgiftsansvarige och att per- sonuppgiftsbiträdet ska vidta de säkerhetsåtgärder som avses i 31 § första stycket för att skydda personuppgifterna.

Myndigheternas registerförfattningar hänvisar antingen till dessa paragrafer eller saknar avvikande bestämmelser.

Personuppgiftsbiträden ska kunna anlitas

På direktivets område är det ovanligt att myndigheter anlitar utom- stående privata aktörer för behandling av personuppgifter, men det kan förekomma. Ibland träffas också överenskommelser mellan myndigheter där en myndighet agerar personuppgiftsbiträde åt en annan. Det behövs därför bestämmelser i ramlagen som reglerar anlitandet av personuppgiftsbiträden.

På samma sätt som i dag bör det krävas att den personupp- giftsansvarige försäkrar sig om att personuppgiftsbiträdet ska vidta nödvändiga säkerhetsåtgärder och ser till att det görs. Artikel 22.1 omfattar inte bara säkerhetsåtgärder, utan även andra tekniska och organisatoriska åtgärder som säkerställer att behandlingen är för- fattningsenlig och utförs på ett korrekt sätt och att personuppgif- terna skyddas. Den personuppgiftsansvarige bör innan ett person- uppgiftsbiträde anlitas bl.a. förhöra sig om hur biträdet kommer att behandla uppgifterna tekniskt, hur arbetet är organiserat och vilket skydd personuppgifterna har hos biträdet. Enligt utredningens mening går bestämmelsen därmed längre än de nu gällande kraven på personuppgiftsansvariga. Bestämmelsen i ramlagen bör därför ha en något vidare formulering än motsvarande bestämmelse i person- uppgiftslagen.

351

Personuppgiftsansvarigas skyldigheter

SOU 2017:29

Ansvarsfördelningen mellan personuppgiftsansvarig och personuppgiftsbiträde

Den personuppgiftsansvarige är ansvarig för all behandling av per- sonuppgifter som utförs på dennes vägnar. Den personuppgiftsan- svarige ansvarar således både i förhållande till tillsynsmyndigheten och i förhållande till registrerade för att reglerna i ramlagen och andra tillämpliga författningar följs vid personuppgiftsbehandling hos ett personuppgiftsbiträde. Den personuppgiftsansvarige kan uppdra åt biträdet att utföra viss behandling av personuppgifter, men kan inte avsäga sig personuppgiftsansvaret och de skyldigheter som följer med det. Den personuppgiftsansvarige är också skade- ståndsskyldig gentemot enskilda vid felaktig behandling av person- uppgifter hos personuppgiftsbiträdet. Att biträdet kan bli skade- ståndsskyldigt gentemot den personuppgiftsansvarige är en annan sak.

Den omständigheten att flera bestämmelser i direktivet riktar sig direkt till personuppgiftsbiträden innebär enligt utredningens mening ingen förändring av ansvarsfördelningen mellan person- uppgiftsansvariga och personuppgiftsbiträden. Tillsynsmyndighe- ten får emellertid i vissa fall utkräva ansvar även av personuppgifts- biträden. Om ett personuppgiftsbiträde t.ex. inte vidtar nödvändiga säkerhetsåtgärder kan tillsynsmyndigheten vidta åtgärder mot både biträdet och den personuppgiftsansvarige. Likaså kan båda åläggas sanktionsavgift för sådana brister hos biträdet.

Personuppgiftsbiträdets roll ska regleras i en överenskommelse

På samma sätt som i dag bör det krävas ett skriftligt avtal eller någon annan skriftlig överenskommelse mellan personuppgiftsbi- trädet och den personuppgiftsansvarige. I artikel 22.3 anges relativt utförligt vad ett sådant avtal ska innehålla. I jämförelse med mot- svarande bestämmelse i det nu gällande dataskyddsdirektivet ställs det väsentligt högre krav på innehållet. Enligt utredningens mening bör ramlagen inte tyngas av alltför detaljerade bestämmelser. Även om det i dag anges i personuppgiftslagen vad ett personuppgifts- biträdesavtal ska innehålla anser utredningen att regleringen bör finnas i förordning när innehållet nu blir mer detaljbetonat.

352

SOU 2017:29

Personuppgiftsansvarigas skyldigheter

Av överenskommelsen bör det åtminstone framgå vad behand- lingen ska avse, behandlingens varaktighet, art och ändamål, typen av personuppgifter som ska behandlas, kategorier av registrerade och den personuppgiftsansvariges skyldigheter och rättigheter. Det bör också framgå att biträdet endast får behandla personuppgifter enligt instruktioner från den personuppgiftsansvarige. Vidare ska överenskommelsen reglera vad som gäller i fråga om tystnadsplikt.

Överenskommelsen ska även reglera biträdets skyldighet att hjälpa den personuppgiftsansvarige att säkerställa att bestämmel- serna om enskildas rättigheter följs. Det ska vidare framgå att biträ- det, beroende på den personuppgiftsansvariges önskan, antingen ska förstöra eller återlämna alla personuppgifter till den personupp- giftsansvarige när uppdraget har slutförts och förstöra befintliga kopior. Den personuppgiftsansvarige ska också ges tillgång till den information som krävs för att kunna visa tillsynsmyndigheten att bestämmelserna om anlitande av personuppgiftsbiträden efterlevs. Även dessa frågor bör regleras i överenskommelsen. Vidare bör det framgå att personuppgiftsbiträdet respekterar de villkor som gäller vid anlitande av s.k. underbiträden. Den personuppgiftsansvarige och biträdet avgör om de även vill reglera andra frågor i avtalet.

Anlitande av underbiträden

Varken det nu gällande dataskyddsdirektivet eller personuppgifts- lagen reglerar förutsättningarna för när ett personuppgiftsbiträde får anlita ett annat personuppgiftsbiträde, ett s.k. underbiträde.

Utredningen anser att det är av grundläggande betydelse att den personuppgiftsansvarige känner till vilka personuppgiftsbiträden som behandlar personuppgifter för dennes räkning. Av ramlagen bör det därför framgå att ett personuppgiftsbiträde inte får anlita ett annat personuppgiftsbiträde utan att den personuppgiftsan- svarige har lämnat skriftligt tillstånd till det. Att personuppgifts- biträden som har fått ett generellt tillstånd att anlita underbiträden ska vara skyldiga att informera den personuppgiftsansvarige när underbiträden anlitas kan regleras i förordning. Syftet med infor- mationen är att den personuppgiftsansvarige ska ha möjlighet att invända mot anlitandet av nya biträden.

353

Personuppgiftsansvarigas skyldigheter

SOU 2017:29

10.6.3Behandling enligt den personuppgiftsansvariges instruktioner

Utredningens förslag: Ett personuppgiftsbiträde och de som arbetar under biträdets ledning ska endast få behandla person- uppgifter i enlighet med instruktioner från den personuppgifts- ansvarige.

Om ett personuppgiftsbiträde i strid med den personupp- giftsansvariges instruktioner fastställer ändamålen med och medlen för behandlingen ska biträdet anses vara personuppgifts- ansvarig för den behandlingen.

Skälen för utredningens förslag

Innehållet i direktivet och nuvarande reglering

Enligt artikel 23 får personuppgiftsbiträdet och personer som utför arbete under den personuppgiftsansvariges eller personuppgiftsbi- trädets överinseende, och som får tillgång till personuppgifter, en- dast behandla uppgifterna enligt instruktion från den personupp- giftsansvarige. Undantag gäller dock om någon enligt unionsrätten eller nationell rätt är skyldig att behandla personuppgifter. Om så är fallet får personuppgiftsbiträdet göra det även utan instruktion från den personuppgiftsansvarige.

En likadan bestämmelse finns i artikel 16 i det nu gällande data- skyddsdirektivet. Den har genomförts i 30 § första stycket person- uppgiftslagen. Där föreskrivs att ett personuppgiftsbiträde och den eller de personer som arbetar under biträdets eller den personupp- giftsansvariges ledning får behandla personuppgifter bara i enlighet med instruktioner från den personuppgiftsansvarige. Om det i lag eller annan författning finns särskilda bestämmelser om behand- lingen av personuppgifter i det allmännas verksamhet i sådana frå- gor, gäller emellertid de bestämmelserna i stället för 30 § första stycket. Det som främst avses är bestämmelser om tystnadsplikt och sekretess (prop. 1997/98:44 s. 136).

I artikel 22.5 föreskrivs att ett personuppgiftsbiträde som i strid med direktivet fastställer ändamålen med och medlen för behand- lingen ska anses vara personuppgiftsansvarig avseende den behand- lingen. Någon motsvarande bestämmelse finns inte i dag.

354

SOU 2017:29

Personuppgiftsansvarigas skyldigheter

Behandling enligt den personuppgiftsansvariges instruktioner

Det bör framgå av ramlagen att ett personuppgiftsbiträde och den eller de personer som arbetar under biträdets ledning bara får be- handla personuppgifter i enlighet med instruktioner från den per- sonuppgiftsansvarige.

Det framgår inte av direktivet hur utförliga instruktioner som ska lämnas till biträdet. Instruktionerna bör givetvis vara så tydliga att otillåten behandling inte utförs (jfr SOU 1997:39 s. 335). Den överenskommelse som styr personuppgiftsbiträdets uppdrag ska innehålla viss information som ger instruktioner till biträdet, bl.a. om behandlingens varaktighet, art och ändamål. Instruktionerna kan också gälla exempelvis hur tillgången till personuppgifter hos biträdet ska begränsas, om biträdet ska använda kryptering vid kommunikation och andra åtgärder som krävs för dataskydd. En- ligt skäl 64 bör ett personuppgiftsbiträde endast överföra person- uppgifter till ett tredjeland eller en internationell organisation om biträdet fått i uppdrag att göra det. Sådana uppdrag bör också fram- gå av de instruktioner som den personuppgiftsansvarige lämnar till biträdet.

Avvikande bestämmelser i annan författning ska gälla framför bestämmelserna i ramlagen (se avsnitt 6.1.2). Om det finns avvi- kande regler i annan lagstiftning som anger att någon är skyldig att utföra en viss behandling, exempelvis att lämna ut allmänna hand- lingar, innebär det att behandlingen får utföras utan särskilda in- struktioner.

Att den som bestämmer ändamålen med och medlen för be- handlingen är att anse som personuppgiftsansvarig framgår av defi- nitionen av personuppgiftsansvarig. Enligt utredningens mening bör det i ramlagen tydliggöras att ett personuppgiftsbiträde som går utanför sin befogenhet och behandlar personuppgifter för något annat ändamål eller på något annat sätt än enligt sina in- struktioner är personuppgiftsansvarig för den behandlingen. I så- dana fall kan biträdet bli skadeståndsskyldig eller påföras sank- tionsavgift på grund av den behandlingen (se avsnitt 14.3.2 och 13.4).

Trots att personuppgiftsbiträdet kanske inte är en behörig myn- dighet enligt definitionen i ramlagen bör den behandling som bi- trädet då utför i egenskap av personuppgiftsansvarig omfattas av

355

Personuppgiftsansvarigas skyldigheter

SOU 2017:29

lagens regler. Som utredningen uppfattar direktivet har regeln om att personuppgiftsbiträden blir personuppgiftsansvariga i den nu aktuella situationen till syfte att säkerställa att behandlingen av per- sonuppgifterna utförs enligt direktivets bestämmelser. Direktivet är skräddarsytt för behandlingen av personuppgifter för vissa ända- mål. Det skulle innebära ett sämre skydd för enskilda om person- uppgiftsbiträdenas behandling inte skulle följa den regleringen om de går utanför sina instruktioner. Det som nu har sagts kan dock bara gälla så länge syftet med behandlingen ligger inom ramlagens tillämpningsområde. Skulle personuppgiftsbiträdet behandla upp- gifterna för helt andra ändamål blir enligt utredningens mening dataskyddsförordningen tillämplig.

10.6.4Skyldighet att förteckna behandlingar

Utredningens förslag: Personuppgiftsbiträdets skyldighet att förteckna de kategorier av behandling som utförs för en person- uppgiftsansvarigs räkning ska regleras i förordning.

Skälen för utredningens förslag: Enligt artikel 24.2 ska person- uppgiftsbiträden föra register över de kategorier av behandling som utförs för en personuppgiftsansvarigs räkning, vilket är en nyhet. I artikeln räknas ett antal uppgifter upp som ska framgå av registret, som enligt artikel 24.3 på begäran ska göras tillgängligt för tillsyns- myndigheten.

Den dokumentationsskyldighet för personuppgiftsbiträden som artikeln föreskriver kan regleras i förordning. De uppgifter som anges i artikel 24.2 bör framgå av registret. Någon särskild bestäm- melse om att dokumentationen ska göras tillgänglig för tillsyns- myndigheten behövs inte (jfr avsnitt 10.2.7).

356

SOU 2017:29

Personuppgiftsansvarigas skyldigheter

10.6.5Övriga skyldigheter för personuppgiftsbiträden

Utredningens förslag: Ett personuppgiftsbiträde ska ha samma skyldigheter som en personuppgiftsansvarig att logga vissa typer av behandlingar, begränsa tillgången till personuppgifter, vidta skyddsåtgärder och samarbeta med tillsynsmyndigheten.

Personuppgiftsbiträdets skyldighet att underrätta den per- sonuppgiftsansvarige om personuppgiftsincidenter ska regleras i förordning.

Skälen för utredningens förslag: Flera av skyldigheterna för per- sonuppgiftsansvariga gäller även för personuppgiftsbiträden. Det är samarbetsskyldigheten enligt artikel 26, skyldigheten enligt arti- kel 29 att vidta lämpliga säkerhetsåtgärder och skyldigheten enligt artikel 25 att föra loggar. När det gäller förhandssamråd enligt arti- kel 28 föreskrivs att den personuppgiftsansvarige eller personupp- giftsbiträdet ska samråda med tillsynsmyndigheten.

Enligt 30 § andra stycket personuppgiftslagen är ett personupp- giftsbiträde skyldigt att vidta sådana säkerhetsåtgärder som avses i 31 § första stycket. Det ska också föreskrivas i biträdesavtalet.

Den personuppgiftsansvariges skyldighet att logga vissa typer av behandlingar, samarbeta med tillsynsmyndigheten och vidta lämp- liga åtgärder för att skydda personuppgifterna regleras i ramlagen. Det bör framgå av ramlagen att bestämmelserna i fråga gäller även för personuppgiftsbiträden.

Skyldigheten att begränsa tillgången till personuppgifter till vad varje tjänsteman behöver för att fullgöra sina arbetsuppgifter bör enligt utredningens mening gälla även för personuppgiftsbiträden, vilket bör framgå av ramlagen.

När det gäller förhandssamråd med tillsynsmyndigheten anser utredningen att det bör vara en skyldighet enbart för den person- uppgiftsansvarige, eftersom den personuppgiftsansvarige är ansva- rig även för den behandling som personuppgiftsbiträdet utför. Den föreslagna bestämmelsen om förhandssamråd bör därför inte gälla för personuppgiftsbiträden. Eftersom det i artikel 28 anges att den personuppgiftsansvarige eller personuppgiftbiträdet i vissa fall ska samråda med tillsynsmyndigheten kan en sådan reglering inte anses strida mot direktivet. Ett personuppgiftsbiträde kan dock behöva bistå den personuppgiftsansvarige under förhandssamrådet om

357

Personuppgiftsansvarigas skyldigheter

SOU 2017:29

samrådet t.ex. rör förändringar avseende redan pågående person- uppgiftsbehandling som utförs av biträdet. Skyldigheten att sam- arbeta med tillsynsmyndigheten föreslås gälla även för personupp- giftsbiträden. Samarbetsskyldigheten gäller generellt och omfattar därigenom även samarbete från biträdets sida vid förhandssamråd om det blir aktuellt.

Enligt artikel 30.2 ska ett personuppgiftsbiträde utan onödigt dröjsmål underrätta den personuppgiftsansvarige efter att ha fått vetskap om en personuppgiftsincident. Det som avses bör rimligen vara en incident hos personuppgiftsbiträdet eller något biträde som denne i sin tur anlitat. Syftet med bestämmelsen är att den person- uppgiftsanvarige, efter att ha fått vetskap om incidenten, ska an- mäla den till tillsynsmyndigheten om förutsättningarna för sådan anmälan är uppfyllda. Eftersom det är den personuppgiftsansvarige som ska anmäla personuppgiftsincidenter enligt ramlagen bör det föreskrivas att ett personuppgiftsbiträde ska underrätta den per- sonuppgiftsanvarige om personuppgiftsincidenter hos biträdet. Det kan regleras i förordning.

Regleringen av personuppgiftsbiträdens skyldigheter medför en- ligt utredningens mening inga större skillnader i förhållande till dagens reglering. Personuppgiftsbiträden är redan i dag skyldiga att vidta lämpliga åtgärder för att skydda de personuppgifter som be- handlas. Det innebär ett indirekt krav på att begränsa tillgången till personuppgifter genom exempelvis behörighetstilldelning och att logga behandlingar för att kunna kontrollera åtkomsten till person- uppgifterna. Den enda nyheten är att tillsynsmyndigheten kan vidta åtgärder mot både personuppgiftsansvariga och personupp- giftsbiträden om de brister i sina skyldigheter. Eftersom den per- sonuppgiftsansvarige alltjämt är ansvarig för den behandling som personuppgiftsbiträdet utför torde det sällan bli aktuellt att ut- nyttja den möjligheten.

358

SOU 2017:29

Personuppgiftsansvarigas skyldigheter

10.7Gemensamt personuppgiftsansvar

10.7.1Gemensamt personuppgiftsansvar i dag

Ingen reglering av gemensamt personuppgiftsansvar

Den personuppgiftsansvarige definieras i personuppgiftslagen som den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen. Två eller flera personuppgifts- ansvariga torde därmed kunna vara gemensamt personuppgifts- ansvariga för viss behandling av personuppgifter. Om så är fallet, och vad deras respektive ansvar då innebär, kan dock vara svårt att avgöra. Det finns ingen reglering av vad det innebär om flera till- sammans bestämmer ändamålen med och medlen för behandlingen.

Det största problemet med ett eventuellt gemensamt person- uppgiftsansvar är den otydlighet som det kan innebära gentemot både enskilda och tillsynsmyndigheten. Det kan exempelvis vara svårt för den enskilde att veta vem han eller hon ska vända sig till för att få information om personuppgiftsbehandlingen eller för att göra eventuella anspråk gällande. För tillsynen är det av avgörande betydelse att personuppgiftsansvaret är tydligt. Ett gemensamt personuppgiftsansvar som inte har reglerats tillräckligt tydligt kan också medföra svårigheter för de personuppgiftsansvariga själva. Det kan vara svårt för dem att på ett effektivt och ändamålsenligt sätt fullgöra sitt ansvar om det är oklart hur långt ansvaret sträcker sig och vad skyldigheterna omfattar.

Även om gemensamt personuppgiftsansvar mellan myndigheter är tillåtet, torde det i praktiken vara ovanligt. I de allra flesta fall är den personuppgiftsbehandling som förekommer väl avgränsad och går att härleda till en viss myndighet. De faktiska omständigheterna tillsammans med regelverken som gäller för myndigheterna innebär att gemensamt personuppgiftsansvar sällan aktualiseras. Gemen- samt personuppgiftsansvar kan emellertid de facto uppstå vid be- handling av personuppgifter i en viss situation eller på ett visst sätt. Eftersom personuppgiftslagen inte ger någon ledning för hur frå- gor om gemensamt personuppgiftsansvar ska hanteras får de per- sonuppgiftsansvariga själva lösa dem.

359

Personuppgiftsansvarigas skyldigheter

SOU 2017:29

Skillnad mellan gemensamt ansvar och delat ansvar

Vad som menas med gemensamt personuppgiftsansvar är inte helt klart. Begreppet används i olika situationer med varierande inne- börd. Det är därför svårt att ge konkreta och tydliga exempel på situationer där sådant ansvar kan anses föreligga. En genomgång av begreppet gemensamt personuppgiftsansvar görs i promemorian Behandling av personuppgifter inom Nationellt centrum för terror- hotbedömning (Ds 2016:31 s. 117 f.). Där ges också exempel på situationer där sådant ansvar har ansetts föreligga

Inom ramlagens tillämpningsområde torde gemensamt person- uppgiftsansvar mycket sällan komma ifråga. Sådant ansvar skulle dock kunna aktualiseras vid olika typer av samarbeten och gemen- samma projekt. Det är naturligt och nödvändigt att myndigheter och andra organ inom rättskedjan samarbetar för att bekämpa brottslighet. Sådana samarbeten kan se olika ut och vara mer eller mindre formaliserade. Det varierar också i vilken utsträckning det finns behov av att kunna behandla personuppgifter inom ramen för sådant samarbete. I vissa typer av samarbeten kan avidentifierade uppgifter användas, medan det i andra fall mer eller mindre är en förutsättning att de samarbetade myndigheterna kan utbyta per- sonuppgifter.

Ett samarbete mellan två eller flera behöriga myndigheter med- för inte automatiskt gemensamt ansvar för behandlingen av per- sonuppgifter. I de allra flesta samarbeten framgår det tydligt vem som är ansvarig för vilken personuppgiftsbehandling, t.ex. genom att det endast är en behörig myndighet som har tillgång till person- uppgifterna eller it-systemet. Om myndigheterna agerar i olika skeden av en process är var och en ansvarig för behandlingen av personuppgifter i sin del av processen. Inom ramen för de flesta samarbeten tar således var och en ansvar för den behandling av per- sonuppgifter som den utför.

Det är enligt utredningens mening i detta sammanhang också viktigt att skilja mellan vad som kan betecknas som delat ansvar och vad som är gemensamt ansvar. Det förhållandet att två myn- digheter använder samma datasystem eller att en myndighet ger en annan myndighet direktåtkomst till ett visst datasystem innebär inte att det uppstår gemensamt personuppgiftsansvar. Tvärtom är utgångspunkten att varje myndighet är personuppgiftsansvarig för

360

SOU 2017:29

Personuppgiftsansvarigas skyldigheter

den behandling av personuppgifter som utförs vid myndigheten. Som exempel kan nämnas Polismyndighetens system för brottsut- redningar, DurTvå, som åklagare har tillgång till. Polismyndigheten är systemansvarig och råder över i vilken utsträckning som åklagare kan ges tillgång till systemet. Polisanställda får arbeta i systemet medan åklagare har möjlighet att läsa de uppgifter som finns och skicka meddelanden till systemet. Här kan ansvaret sägas vara delat i den meningen att var och en av myndigheterna ansvarar för till- gången till personuppgifterna för sin personal. Respektive myndig- het är personuppgiftsansvarig för den behandling som utförs.

10.7.2En tydligare reglering av gemensamt personuppgiftsansvar

Utredningens förslag: Två eller flera behöriga myndigheter får vara gemensamt personuppgiftsansvariga endast i den utsträck- ning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det.

Att gemensamt personuppgiftsansvariga genom en skriftlig överenskommelse ska fastställa sitt respektive ansvar ska regle- ras i förordning.

Skälen för utredningens förslag

Innehållet i direktivet

Personuppgiftsansvariga definieras i artikel 3.8 som en behörig myndighet som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Redan av definitionen framgår det alltså att den personuppgiftsan- svarige kan bestämma ändamål och medel för behandlingen till- sammans med andra.

Enligt artikel 21.1 är två eller flera personuppgiftsansvariga som gemensamt fastställer ändamålen med och medlen för behandlingen gemensamt personuppgiftsansvariga. De gemensamt personupp- giftsansvariga ska genom ett inbördes arrangemang under öppna former fastställa vars och ens ansvar för efterlevnaden av direktivet, särskilt vad gäller att enskilda ska kunna utöva sina rättigheter och

361

Personuppgiftsansvarigas skyldigheter

SOU 2017:29

skyldigheten att tillhandahålla information enligt artikel 13. I den mån de personuppgiftsansvarigas respektive skyldigheter fastställs i unionsrätt eller nationell rätt ska någon överenskommelse om för- delning av ansvaret inte ingås i den delen.

De gemensamt personuppgiftsansvariga ska också utse en kon- taktpunkt för registrerade. Enligt artikeln kan medlemsstaterna fastslå vem av de gemensamt personuppgiftsansvariga som kan fungera som kontaktpunkt. I artikel 21.2 öppnas en möjlighet att föreskriva att den registrerade, oavsett det inbördes arrangemanget, får göra sina rättigheter gällande mot var och en av de personupp- giftsansvariga.

Gemensamt personuppgiftsansvar bara om statsmakterna medger det

Direktivet ger enligt utredningens mening utrymme för att när- mare reglera gemensamt personuppgiftsansvar. Frågan är då om en sådan reglering bör införas och hur den i så fall skulle kunna ut- formas. Direktivet ger ingen vägledning i frågan om vem som får ta initiativ till och besluta om gemensamt personuppgiftsansvar eller hur det ska utövas i praktiken. Att enbart ta in en bestämmelse i ramlagen som definierar när gemensamt personuppgiftsansvar ska anses föreligga bringar inte klarhet i dessa frågor. Det är enligt ut- redningens mening viktigt att det finns tydliga ramar för i vilka fall gemensamt personuppgiftsansvar ska få utövas, särskilt i verksam- heter där det är författningsreglerat vem som är personuppgifts- ansvarig.

Enligt utredningens mening bör gemensamt personuppgiftsan- svar övervägas endast i speciella situationer där samarbetet mellan behöriga myndigheter är utformat så att ansvarsfördelningen inte kan utläsas på annat sätt. Bedömningen av när gemensamt person- uppgiftsansvar är sakligt motiverat bör inte lämnas till de behöriga myndigheterna själva. Sådana överväganden bör lämpligen göras av lagstiftaren och ansvaret bör därmed framgå av lag eller förordning. Det bör också vara möjligt för regeringen att i enskilda fall besluta om sådant gemensamt ansvar. Utredningen anser därför att det i ramlagen bör tas in en bestämmelse som föreskriver att två eller flera behöriga myndigheter får vara gemensamt personuppgiftsan-

362

SOU 2017:29

Personuppgiftsansvarigas skyldigheter

svariga endast i den utsträckning det följer av lag eller förordning, eller om regeringen i enskilda fall beslutar om det.

Syftet med en sådan regel är att begränsa möjligheterna till gemensamt personuppgiftsansvar. Sådant ansvar ska inte kunna uppstå de facto i en viss situation, utan endast få förekomma i den utsträckning som riksdagen eller regeringen har beslutat om det. Om tillsynsmyndigheten skulle konstatera att gemensamt person- uppgiftsansvar i en viss situation ändå föreligger, innebär det att behandlingen utförs i strid med bestämmelserna i ramlagen. Till- synsmyndigheten har då bl.a. möjlighet att förelägga de person- uppgiftsansvariga att vidta åtgärder eller förbjuda fortsatt behand- ling (se avsnitt 12.7.6).

Utredningen utgår från att en formell reglering av gemensamt personuppgiftsansvar som kräver beslut av riksdagen eller rege- ringen kommer att avhålla myndigheterna från att bygga system eller arrangera samarbete på ett sådant sätt att det oavsiktligt kan uppstå gemensamt personuppgiftsansvar. Det blir således viktigare i framtiden att analysera hur personuppgiftsbehandlingen ska orga- niseras om flera myndigheter samarbetar på sådant sätt att det kan ifrågasättas vem som har personuppgiftsansvaret.

En skriftlig överenskommelse om fördelningen av ansvaret

Det främsta syftet med artikel 21 förefaller vara att införa en skyl- dighet för gemensamt personuppgiftsansvariga att på ett tydligt sätt fastställa sitt respektive ansvar, främst i förhållande till regi- strerade. I skäl 54 framhålls vikten av att det tydligt fastställs vem som bär ansvaret. Enligt utredningens mening behöver det regleras.

Enligt artikeln ska ansvaret fastställas genom ett inbördes arran- gemang mellan de personuppgiftsansvariga. Det ska göras under öppna former. Vad det innebär framgår inte. Det bör rimligen avse någon form av överenskommelse eller samarbetsavtal mellan de personuppgiftsansvariga. Enligt utredningens mening bör det vid gemensamt personuppgiftsansvar ställas krav på att en överens- kommelse träffas och att den ska vara skriftlig. Det kan regleras i förordning. Kravet på öppenhet är uppfyllt genom regleringen om tillgång till allmänna handlingar.

363

Personuppgiftsansvarigas skyldigheter

SOU 2017:29

Det bör också framgå av överenskommelsen vem som ska fun- gera som kontaktpunkt för registrerade. För att stärka enskildas ställning och möjliggöra för dem att utöva sina rättigheter bör en registrerad få utöva sina rättigheter enligt ramlagen gentemot var och en av de gemensamt personuppgiftsansvariga, även om det finns en skriftlig överenskommelse som reglerar ansvaret.

Det bör understrykas att det inte är möjligt att genom en över- enskommelse avtala bort gällande författningsbestämmelser. En överenskommelse kan alltså inte befria någon av avtalsparterna från det ansvar som följer av gällande rätt, utan bara reglera hur ansvaret ska utövas i praktiken. Två behöriga myndigheter skulle exempelvis kunna bestämma att en av dem ska ansvara för att personuppgifter inte behandlas under längre tid än vad som är nödvändigt, men inte att en viss bestämmelse om hur länge personuppgifter får behandlas ska gälla framför en annan.

Om det i författningar eller regeringsbeslut som reglerar gemen- samt personuppgiftsansvar fastställs hur de personuppgiftsansvari- gas skyldigheter ska utövas bör det inte finnas möjlighet för de personuppgiftsansvariga att själva reglera det. En skriftlig överens- kommelse om inbördes ansvar bör därmed inte få omfatta sådana skyldigheter som regleras särskilt.

10.8Föreskriftsrätt

Utredningens förslag: Regeringen bemyndigas att meddela föreskrifter om vissa skyldigheter för personuppgiftsansvariga och personuppgiftsbiträden.

Skälen för utredningens förslag: Ramlagen och den tillhörande förordningen kommer att tillämpas av både privata aktörer och myndigheter. Även om registerlagstiftning inte tillhör det obliga- toriska lagområdet har utveckligen gått mot att sådan lagstiftning i allt större utsträckning ges lagform. Skyldigheter som åläggs per- sonuppgiftsansvariga och personuppgiftsbiträden enligt ramlagen kan innebära skyldigheter för enskilda. Föreskrifter som gäller för- hållandet mellan enskilda och det allmänna och som gäller skyldig- heter för enskilda eller i övrigt avser ingrepp i enskildas personliga eller ekonomiska förhållanden ska enligt 8 kap. 2 § första stycket 2

364

SOU 2017:29

Personuppgiftsansvarigas skyldigheter

regeringsformen som huvudregel meddelas i lag. Riksdagen kan dock enligt 8 kap. 3 § första stycket regeringsformen bemyndiga regeringen att meddela sådana föreskrifter.

I 8 kap. 7 § regeringsformen anges inom vilka områden rege- ringen utan delegering får meddela föreskrifter. Enligt paragrafen får regeringen bl.a. meddela föreskrifter om verkställighet av lag. Verkställighetsföreskrifter är i första hand tillämpningsföreskrifter av rent administrativ karaktär. Sådana bestämmelser kan fylla ut eller precisera lagbestämmelser. Lagregleringen får dock inte tillfö- ras något väsentligt nytt genom verkställighetsföreskrifter. De får t.ex. inte innebära att enskilda åläggs ytterligare skyldigheter.

Ramlagen och den tillhörande förordningen är en offentligrätts- lig reglering och omfattas av det delegeringsbara lagområdet. Det är därmed möjligt att i vissa fall bemyndiga regeringen att meddela föreskrifter inom ramlagens tillämpningsområde. För att undvika en alltför detaljerad lagreglering anser utredningen att vissa be- stämmelser som kan innebära åligganden för enskilda bör finnas i förordning. Sådana bestämmelser kan ibland fylla ut eller precisera en lagbestämmelse och ses då som verkställighetsföreskrifter. Så kan exempelvis vara fallet om åtgärder ska vidtas för att en skyldig- het i lag ska kunna uppfyllas, t.ex. dokumentation eller underrät- telse. I övriga fall kan det krävas ett bemyndigande till regeringen för att sådana bestämmelser ska kunna meddelas i förordning.

Merparten av de skyldigheter som åläggs personuppgiftsansva- riga och personuppgiftsbiträden föreslås regleras i ramlagen, men vissa detaljbestämmelser föreslås i förordningen. Eftersom det är mindre lämpligt att tynga en lag med utpräglade detaljföreskrifter anser utredningen att vissa skyldigheter för personuppgiftsansva- riga bör regleras i förordningen trots att de även kan träffa en- skilda. Det gäller skyldigheten att föra register över kategorier av behandlingar av personuppgifter och skyldigheten att införa interna rutiner för anmälan av överträdelser. De bestämmelserna är enligt utredningens mening inte heller så ingripande att de av den anled- ningen bör regleras i lag. Konsekvenserna av lagförslaget i sin hel- het kan enligt utredningens mening överblickas även om regeringen ges ett bemyndigande. Regeringen bör därför i ramlagen bemyn- digas att meddela föreskrifter om dessa skyldigheter.

365

11 Enskildas rättigheter

11.1Tydligare reglering av enskildas rättigheter

Rätten till skydd av personuppgifter är inte en absolut rättighet utan ska vägas mot andra intressen. En del i personuppgiftsskyddet är enskildas rätt att få veta hur deras personuppgifter behandlas. Information om den personuppgiftsbehandling som pågår är en förutsättning för att enskilda ska kunna kontrollera om behand- lingen är författningsenlig och i övrigt kunna bevaka sina intressen. Direktivet medför att rättigheterna för enskilda tydliggörs. Den enskilde får utökade möjligheter att kontrollera hur hans eller hen- nes personuppgifter behandlas och att begära korrigering av fel- aktiga eller ofullständiga personuppgifter och åtgärder vid otillåten behandling. I skäl 7 betonas att skyddet för fysiska personers fri- och rättigheter ska vara likvärdigt i alla medlemsstater när person- uppgifter behandlas inom direktivets tillämpningsområde. Det framhålls även att ett effektivt skydd av personuppgifter förutsätter stärkta rättigheter för enskilda och ökade skyldigheter för dem som behandlar personuppgifter.

11.2Rätten till information

11.2.1Allmänt om rätten till information

Tillgången till allmänna handlingar

Det finns regler inom olika områden som ger enskilda rätt till insyn i viss myndighetsverksamhet och rätt att ta del av handlingar som behandlas där. Det gäller även inom ramlagens tillämpningsområde. Reglerna om personuppgiftsbehandling, och den rätt till informa-

367

Enskildas rättigheter

SOU 2017:29

tion som skapas genom dem, utgör bara en mindre del av den sam- lade rätten till information.

Vem som helst har rätt att med stöd av 2 kap. 1 § tryckfrihets- förordningen ta del av allmänna handlingar. Den rätten kan bara begränsas av sekretess och tystnadsplikt. I offentlighets- och sekre- tesslagen (2009:400) finns både sekretessbestämmelser och bestäm- melser som anger när olika typer av sekretess får brytas. Sekretess till skydd för enskildas personliga eller ekonomiska intressen gäller normalt inte i förhållande till den person som uppgiften avser (12 kap. 1 §). Däremot kan sekretess till skydd för det allmännas intressen eller till skydd för annan enskilds intressen begränsa rät- ten att få del av allmänna handlingar. För de verksamheter där ram- lagen kommer att tillämpas gäller framför allt sekretess enligt 18 och 35 kap. offentlighets- och sekretesslagen, som skyddar det all- männas respektive enskildas intressen i brottsbekämpande verk- samhet. Även andra sekretessbestämmelser kan gälla i det enskilda fallet. Sådan sekretess som gäller hos alla myndigheter är inte sällan aktuell inom ramlagens tillämpningsområde, exempelvis sekretess till skydd för vissa adressuppgifter (21 kap. 3 §) eller för utlän- ningar (21 kap. 5 §).

Rätten till insyn

Den som är part i ett mål eller ärende hos en myndighet eller en domstol har i stor utsträckning rätt till insyn i förfarandet och rätt att ta del av den information som tillförs målet eller ärendet under handläggningen. Myndigheter och domstolar är i varierande ut- sträckning skyldiga att se till att en part får del av sådan informa- tion. Bestämmelser om det finns bl.a. i 16 och 17 §§ förvaltningsla- gen (1986:223), 10 och 12 §§ förvaltningsprocesslagen (1971:291) och 45 kap. 9 § rättegångsbalken. Enligt 10 kap. 3 § offentlighets- och sekretesslagen hindrar sekretess inte den som är part och som på grund av sin partsställning har rätt till insyn i handläggningen att ta del av handlingar och material i målet eller ärendet. Insynen får bara begränsas under förutsättning att det av hänsyn till allmänt eller enskilt intresse är av synnerlig vikt att en sekretessbelagd upp- gift i en handling i målet eller ärendet inte lämnas ut till parten. Sekretess hindrar aldrig en part från att ta del av en dom eller ett

368

SOU 2017:29

Enskildas rättigheter

beslut i målet eller ärendet. Sekretess innebär inte heller någon be- gränsning i en parts rätt enligt rättegångsbalken att få del av alla omständigheter som läggs till grund för ett avgörande.

Förvaltningslagens bestämmelser om partsinsyn och kommuni- kationsskyldighet gäller enligt 32 § förvaltningslagen inte i poli- sens, åklagarnas, Tullverkets, Kustbevakningens och Skatteverkets brottsbekämpande verksamhet och någon ändring av det föreslås inte i den nya försvaltningslagen. Brottsförebyggande arbete är inte författningsreglerat och det finns inte heller några särskilda regler om insyn eller tillgång till handlingar i sådan verksamhet. Under- rättelseverksamhet är endast i mycket begränsad utsträckning för- fattningsreglerad och några särskilda regler om insyn eller tillgång till handlingar i den verksamheten finns inte heller.

Särskilda regler gäller däremot om misstänktas rätt till insyn i förundersökningar enligt 10 kap. 3 a § offentlighets- och sekretess- lagen och 23 kap. rättegångsbalken. Förundersökningar omfattas i de flesta fall åtminstone inledningsvis till stor del av sekretess, men den avklingar normalt ju längre utredningen kommer. Därför har regleringen av rätten till insyn i förundersökningar stor praktisk betydelse.

Tidpunkten för när en person underrättas om att han eller hon är skäligen misstänkt är utgångspunkten för rätten till insyn. Den som är skäligen misstänkt respektive åtalad har rätt till insyn och tillgång till material enligt 23 kap. 18, 18 a och 21 §§ rättegångsbal- ken. Den som utsätts för ett straffprocessuellt tvångsmedel som kan prövas av domstol har vid domstolens handläggning partsrät- tigheter, men har inte någon insyn i t.ex. polisens eller åklagarens handläggning utöver vad som nyss har sagts. Vid domstolens hand- läggning av andra förprocessuella frågor, t.ex. frågor om offentlig försvarare eller målsägandebiträde, har den berörde på motsvarande sätt partsställning och den insyn som följer av det.

Det finns inga regler om målsägandens eller andra berördas rätt till insyn i förundersökningsförfarandet. Däremot finns det omfat- tande regler om underrättelseskyldighet som bl.a. tillgodoser måls- ägandenas intressen knutna till att en förundersökning slutförs.

Om åtal väcks blir som regel de flesta handlingar som rör åtalet offentliga. En domstols handläggning av brottmål är till största delen offentlig och för handlingarna i målet gäller bara i begränsad utsträckning sekretess. Det är framför allt i mål som rör underåriga

369

Enskildas rättigheter

SOU 2017:29

eller särskilt känsliga frågor som exempelvis vissa sexualbrott och för viss personalia som det kan gälla sekretess.

Det är viktigt att skilja den rätt till information och tillgång till handlingar som skapas genom de nu nämnda regleringarna från den rätt till information och tillgång till personuppgifter som skapas genom reglerna om skydd för personuppgifter. Bestämmelserna har helt olika syften.

11.2.2Reglerna om information i straffrättsliga förfaranden har företräde

Utredningens bedömning: Det behöver inte regleras att be- stämmelser om personuppgiftsbehandling inte får inkräkta på reglerna om rätt till information vid förundersökning och andra straffrättsliga förfaranden, eftersom avvikande regler gäller i stället för ramlagen.

Skälen för utredningens bedömning

Innehållet i direktivet

Enligt artikel 18 får medlemsstaterna föreskriva att de rättigheter som avses i artiklarna 13, 14 och 16 ska utövas i enlighet med med- lemsstaternas nationella rätt, om personuppgifterna ingår i ett domstolsbeslut eller ett rättsligt protokoll eller ärende som be- handlas i samband med brottsutredningar och straffrättsliga förfa- randen.

Av skäl 49 och 107 framgår att direktivet inte hindrar medlems- staterna att i nationell straffprocesslagstiftning genomföra bestäm- melser dels om den registrerades rätt till information om behand- lingen av hans eller hennes personuppgifter, rättelse och radering av personuppgifter och begränsning av behandlingen i samband med straffrättsliga förfaranden, dels om begränsningar av dessa rät- tigheter.

370

SOU 2017:29

Enskildas rättigheter

Behövs det någon ny reglering?

Det finns som nyss nämnts åtskilliga bestämmelser om enskildas rätt till insyn i brottsutredningar och straffrättsliga förfaranden. Av särskild betydelse är 23 kap. rättegångsbalken, som reglerar den misstänktes insyn under en förundersökning, 20 kap. rättegångs- balken som reglerar frågor som rör målsägande och förundersök- ningskungörelsen (1947:948) som framför allt reglerar underrättel- seskyldigheter till misstänkt, målsägande och andra som berörs av en förundersökning.

Brottsförebyggande arbete, underrättelseverksamhet, förunder- sökningar och brottmålsprocesser kan i dag genomföras på ett ändamålsenligt sätt, eftersom den processrättsliga lagstiftningen tillsammans med bestämmelser om sekretess och tystnadsplikt – när det finns skäl för det – begränsar enskildas rätt till information.

Eftersom ramlagen föreslås vara subsidiär i förhållande till andra lagar och förordningar kommer reglerna i de processrättsliga regel- verken och sekretessregleringen att ta över vid en konflikt mellan regelverken (se avsnitt 6.1.2). Det innebär att om reglerna om rätt till partsinsyn eller tillgång till handlingar enligt rättegångsbalken eller andra författningar eller reglerna om sekretess eller tystnads- plikt kommer i konflikt med ramlagens bestämmelser ska de först- nämnda reglerna tillämpas i stället för ramlagens.

Enligt utredningens uppfattning kommer således den ordning som gäller i dag för enskildas rätt till information och tillgång till uppgifter i brottsutredningar och straffrättsliga förfaranden inte att påverkas när ramlagen träder ikraft. Några ytterligare regler för att säkerställa att brottsutredningar eller straffrättsliga förfaranden kan genomföras på samma sätt som nu behövs därmed inte.

11.2.3Innehållet i direktivet

I direktivet finns det tre artiklar som reglerar vilken information som den personuppgiftsansvarige ska tillhandahålla den registre- rade, artiklarna 13.1, 13.2 och 14. För att kunna ta ställning till hur dessa artiklar ska genomföras i ramlagen krävs först en analys av vilka rättigheter och skyldigheter artiklarna slår fast och hur de för- håller sig till varandra.

371

Enskildas rättigheter

SOU 2017:29

Artikel 13.1 är utformad som minimikrav. Den anger vilken in- formation den personuppgiftsansvarige alltid ska göra tillgänglig för registrerade. Det är fråga om allmän information om den per- sonuppgiftsansvarige och dataskyddsombudet, ändamålen med be- handlingen, rätten att lämna in klagomål, rätten att begära tillgång till personuppgifter och rätten att begära rättelse, radering och be- gränsning av behandling.

Därutöver ska den personuppgiftsansvarige enligt artikel 13.2 i specifika fall lämna ytterligare information för att göra det möjligt för den registrerade att utöva sina rättigheter. Det gäller informa- tion om behandlingens rättsliga grund, hur länge personuppgifterna får behandlas, kategorier av mottagare av uppgifterna och den ytterligare information som det finns behov av.

Enligt artikel 14 ska den registrerade ha rätt att få bekräftelse av den personuppgiftsansvarige om hans eller hennes personuppgifter behandlas. Om så är fallet ska den registrerade få tillgång till per- sonuppgifterna och information om vilka personuppgifter som be- handlas och varifrån de har hämtats. Den registrerade ska också informeras om ändamålen med behandlingen och dess rättsliga grund, kategorier av personuppgifter, mottagare eller kategorier av mottagare, hur länge uppgifterna får behandlas, rätten att begära rättelse, radering eller begränsning av behandlingen och möjlighe- ten att lämna in klagomål till tillsynsmyndigheten.

11.2.4Nuvarande reglering

Information som den personuppgiftsansvarige ska lämna självmant

I 23–25 §§ personuppgiftslagen (1998:204) föreskrivs att den per- sonuppgiftsansvarige självmant ska informera den registrerade om behandlingen av hans eller hennes personuppgifter. I 23 § regleras vad som gäller om uppgifterna lämnats av den registrerade själv och i 24 § om uppgifterna hämtats från något annat håll. I 25 § första stycket anges vilken information som den personuppgiftsansvarige ska lämna självmant. Uppgift om den personuppgiftsansvariges identitet ska alltid lämnas och uppgift om ändamålen med behand- lingen. All annan information som behövs för att den registrerade ska kunna ta tillvara sina rättigheter i samband med behandlingen ska också lämnas, t.ex. information om mottagarna av uppgifterna,

372

SOU 2017:29

Enskildas rättigheter

skyldigheten att lämna uppgifter och rätten att ansöka om infor- mation och att få rättelse.

Enligt 25 § andra stycket personuppgiftslagen behöver informa- tion inte lämnas om sådant som den registrerade redan känner till. Undantaget har stor praktisk betydelse för omfattningen av den personuppgiftsansvariges skyldighet.

Bestämmelserna i 23 och 25 §§ personuppgiftslagen gäller för myndigheterna i rättskedjan. För polisen och Kustbevakningen görs undantag från informationsskyldigheten i 23 § dels vid insam- ling av personuppgifter genom bilder eller ljud, dels om uppgifterna samlas in i samband med larm och det med hänsyn till omständig- heterna inte finns tid att lämna informationen (2 kap. 2 § tredje stycket polisdatalagen [2010:361] och 2 kap. 2 § tredje stycket kustbevakningsdatalagen [2012:145]).

Myndigheternas registerförfattningar hänvisar däremot inte till 24 § personuppgiftslagen. Det beror på att informationsskyldighe- ten enligt den paragrafen inte gäller om det finns avvikande be- stämmelser i lag eller annan författning (se t.ex prop. 2014/15:63 s. 52 f. och prop. 2014/15:148 s. 87).

Regeringen kan enligt 50 § e personuppgiftslagen (1998:1191) meddela närmare föreskrifter om vilken information som ska läm- nas till registrerade och hur den ska lämnas. Datainspektionen har motsvarande delegation enligt 16 § 5 personuppgiftsförordningen. Några sådana föreskrifter har inte utfärdats. Datainspektionen har dock gett ut allmänna råd om information (Information till regi- strerade, Datainspektionens allmänna råd, maj 2000).

Information som den personuppgiftsansvarige ska lämna efter ansökan

Enligt 26 § personuppgiftslagen är den personuppgiftsansvarige skyldig att till var och en som ansöker om det en gång per kalen- derår gratis lämna besked om personuppgifter som rör den sökande behandlas eller inte. Om sådana uppgifter behandlas ska också skriftlig information lämnas om vilka uppgifter om den sökande som behandlas, varifrån dessa uppgifter har hämtats, ändamålen med behandlingen och till vilka mottagare eller kategorier av mot- tagare som uppgifterna lämnas ut. Paragrafen gäller för myndighe- terna i rättskedjan, antingen genom en uttrycklig hänvisning i

373

Enskildas rättigheter

SOU 2017:29

registerförfattningarna eller genom att de registerförfattningar som gäller utöver personuppgiftslagen inte har några avvikande regler.

11.2.5Innebörden av artiklarna om information

Utredningens bedömning: Artikel 13.1 avser allmän informa- tion som ska göras tillgänglig för registrerade. Artikel 13.2 avser personrelaterad information som den personuppgiftsansvarige på eget initiativ ska lämna till en registrerad i specifika fall, medan artikel 14 avser personrelaterad information som ska lämnas på begäran.

Skälen för utredningens bedömning

Allmän eller personrelaterad information?

Artiklarna om information innehåller till viss del samma eller lik- nande krav på vilken information som den personuppgiftsansvarige ska tillhandahålla; t.ex. anges ”ändamålen med behandlingen” både i artiklarna 13.1 och 14 och ”behandlingens rättsliga grund” både i artiklarna 13.2 och 14. Bestämmelserna har emellertid enligt ut- redningens uppfattning olika syften.

Artikel 13.1 avser allmän information som riktar sig till allmän- heten eller en obestämd, större krets av registrerade. Det rör sig om upplysningar av generell karaktär som hänför sig till myndig- hetens personuppgiftsbehandling i allmänhet, exempelvis kontakt- uppgifter till personuppgiftsansvarig, dataskyddsombud och till- synsmyndigheten. Det rör sig också om allmänna upplysningar om hur man ansöker om rättelse, radering eller begränsning av behand- lingen av personuppgifter. Artikel 14 tar sikte på information rik- tad till en enskild registrerad om behandlingen av hans eller hennes personuppgifter (personrelaterad information).

Då artikel 13.2 avser information som ska lämnas i specifika fall för att göra det möjligt för den registrerade att utöva sina rättig- heter, anser utredningen att artikeln inte kan syfta på upplysningar av generell karaktär. Utredningens bedömning är därför att arti- kel 13.2, i likhet med artikel 14, avser personrelaterad information.

374

SOU 2017:29

Enskildas rättigheter

En annan möjlig tolkning är att artikel 13.2 riktar sig till lagstif- taren som i lag eller förordning ska föreskriva i vilka fall informa- tion enligt artikeln ska lämnas. Utredningen anser emellertid att en sådan tolkning inte är rimlig, eftersom det inte är möjligt att i för- fattning reglera specifika fall där information bör lämnas för att den registrerade ska kunna ta tillvara sina rättigheter. Till det kommer att artikel 11.1 c i det nu gällande direktivet, som har liknande ut- formning, har genomförts genom 25 § första stycket c personupp- giftslagen som riktar sig till den personuppgiftsansvarige.

Ska informationen göras tillgänglig eller lämnas?

Artikel 13.1 föreskriver att informationen ska göras tillgänglig för den registrerade, medan det i artikel 13.2 föreskrivs att informatio- nen ska lämnas till den registrerade. Enligt utredningens uppfatt- ning är det skillnad i sak mellan uttrycken. Som nyss nämnts avser artikel 13.1 allmän information som riktar sig till en obestämd krets av registrerade. I kravet på att information ska vara tillgänglig ligger att de registrerade i princip ska ha möjlighet att ta del av informa- tionen när de önskar. Informationen kan t.ex. publiceras på myn- dighetens webbplats (jfr skäl 42) eller finnas i en broschyr, folder eller annan informationsskrift.

Informationen i artikel 13.2 avser som nyss nämnts personrela- terad information som ska lämnas till den registrerade. Kravet inne- bär enligt utredningens uppfattning att den personuppgiftsansva- rige ska ge information riktat till den registrerade, t.ex. genom att skicka sådan information med post eller e-post eller lämna muntlig information. Det är således enligt utredningens mening inte till- räckligt att enbart göra informationen tillgänglig på en webbplats, men den kan naturligtvis finnas där också.

Enligt artikel 14 ska personrelaterad information lämnas till den registrerade i samband med ett besked om att hans eller hennes personuppgifter behandlas.

375

Enskildas rättigheter

SOU 2017:29

Ska informationen lämnas på eget initiativ eller först på begäran?

En annan fråga är om artiklarna 13 och 14 förutsätter att den per- sonuppgiftsansvarige informerar på eget initiativ eller om det krävs att den registrerade begär information. Eftersom artikel 13.1 avser allmän information som ska göras tillgänglig av den personupp- giftsansvarige på exempelvis en webbplats, framstår det som natur- ligt att den tillhandahålls på den personuppgiftsansvariges eget ini- tiativ. Det som talar för att även personrelaterad information enligt artikel 13.2 ska lämnas ex officio är punkten d, som nämner per- sonuppgifter som samlas in utan den registrerades vetskap. Om personuppgifter samlats in utan den registerades vetskap saknar han eller hon förutsättningar att begära information om behand- lingen. Då krävs det att den personuppgiftsansvarige agerar för att se till att den registrerade får informationen.

Viss ledning för hur artiklarna 13.2 och 14 bör tolkas kan häm- tas från motvarande bestämmelser i personuppgiftslagen och i det nu gällande direktivet som har ett likartat innehåll och liknande struktur. Artikel 13 motsvaras av 25 § personuppgiftslagen, som tillsammans med 23 och 24 §§ genomför artiklarna 10 och 11 i det nu gällande direktivet. I förarbetena anför regeringen att artiklarna, trots att det inte sägs uttryckligen, innebär att den personuppgifts- ansvarige självmant ska lämna informationen till den registrerade (prop. 1997/98:44 s. 78). I 25 § personuppgiftslagen föreskrivs att informationen ska lämnas självmant. Utredningen anser mot den bakgrunden att den personuppgiftsansvarige på eget initiativ ska lämna sådan information som avses i artikel 13.2.

När det gäller artikel 14 är artikel 12 a i det nu gällande direkti- vet och 26 § personuppgiftslagen, som genomför artikeln, av in- tresse. Paragrafen ger den registrerade rätt till information om de personuppgifter som rör honom eller henne. Regeringen anför i förarbetena att artikel 12 a innebär att informationen bara behöver lämnas på den registrerades begäran (prop. 1997/98:44 s. 81). I 26 § personuppgiftslagen föreskrivs därför att informationen ska lämnas efter ansökan. Artikel 12 a svarar mot artikel 14 i det nya direktivet, i vilken det anges att den registrerade ska få bekräftelse av den per- sonuppgiftsansvarige om personuppgifter som rör den registrerade behandlas och, om så är fallet, viss information om dessa uppgifter. Ordet bekräftelse tyder på att information enligt artikel 14 bara

376

SOU 2017:29

Enskildas rättigheter

behöver lämnas på begäran. I motsvarande artikel i dataskyddsför- ordningen, artikel 15, används också ordet bekräftelse. Av skäl 63 i förordningen framgår att den registrerade ska göra en framställan, vilket ger ytterligare stöd för tolkningen att informationen i fråga bara behöver lämnas på begäran. Utredningen anser mot den bak- grunden att artikel 14 i direktivet avser personrelaterad information som ska lämnas först när den efterfrågas.

11.2.6Allmän information som ska göras tillgänglig

Utredningens förslag: Den personuppgiftsansvarige ska göra viss allmän information tillgänglig för registrerade.

Skälen för utredningens förslag

Innehållet i direktivet

Artikel 13.1 anger vilken information den personuppgiftsansvarige alltid ska göra tillgänglig för registrerade. Det är fråga om den per- sonuppgiftsansvariges identitet och kontaktuppgifter, dataskydds- ombudets kontaktuppgifter och ändamålen med behandlingen. Även information om rätten att begära tillgång till personuppgifter och att begära rättelse, radering och begränsning av behandlingen och möjligheten att lämna in klagomål till en tillsynsmyndighet och dess kontaktuppgifter ska göras tillgänglig.

Vilken information ska göras tillgänglig?

En bestämmelse i ramlagen bör reglera den allmänna information som ska göras tillgänglig enligt artikel 13.1. Den bör innehålla de uppgifter som räknas upp i artikeln. Hur uppgifterna bör göras till- gängliga diskuteras i avsnitt 11.2.5.

Dataskyddsombudets kontaktuppgifter bör göras tillgängliga. Dataskyddsombud behandlas i avsnitt 10.5. Enligt utredningens mening behöver det inte vara en direkt kontaktuppgift till data- skyddsombudet, t.ex. hans eller hennes e-postadress, utan det är tillräckligt att ombudet går att nå via kontaktuppgiften. Direktivet

377

Enskildas rättigheter

SOU 2017:29

förutsätter inte att dataskyddsombudets identitet ska göras till- gänglig. I dag finns det inte någon skyldighet att informera allmän- heten om personuppgiftsombudets identitet eller kontaktuppgifter, utan endast en skyldighet att anmäla uppgifterna till tillsynsmyn- digheten. Det finns inte skäl att nu införa krav på att dataskydds- ombudets identitet ska göras allmänt tillgänglig.

Vidare ska den personuppgiftsansvarige enligt artikeln göra in- formation om ändamålen med behandlingen tillgänglig. Samma krav ställs i 25 § första stycket b personuppgiftslagen. Som utveck- las i avsnitt 11.2.5 anser utredningen att det är fråga om upplys- ningar av generell karaktär som gäller den behöriga myndighetens personuppgiftsbehandling i allmänhet. Det innebär att det inte är fråga om ändamålen för behandling i varje enskilt fall som avses utan för vilka typer av ändamål personuppgifter får behandlas t.ex. förundersökningar, ärenden om strafförelägganden eller brottmål. Enligt utredningens mening bör det inte krävas en uttömmande uppräkning av för vilka ändamål personuppgifter behandlas. Det bör vara tillräckligt att enskilda genom uppräkningen får en god bild av den personuppgiftsbehandling som den behöriga myndig- heten utför.

Slutligen bör informationen också omfatta rätten att få informa- tion om behandlingen och att få del av personuppgifterna och rät- ten att begära rättelse, radering eller begränsning av behandlingen och möjligheten att lämna in klagomål till tillsynsmyndigheten. En allmän beskrivning av hur registrerade ska gå till väga för att kunna utöva dessa rättigheter, t.ex. hur man begär rättelse av personupp- gifter, bör också göras tillgänglig av den personuppgiftsansvarige. Tillsynsmyndighetens kontaktuppgifter bör anges.

11.2.7Information som ska lämnas i specifika fall

Utredningens förslag: Den personuppgiftsansvarige ska i speci- fika fall lämna viss personrelaterad information till den registre- rade, om det behövs för att han eller hon ska kunna ta tillvara sina rättigheter.

378

SOU 2017:29

Enskildas rättigheter

Skälen för utredningens förslag

Innehållet i direktivet

Utöver den allmänna information som avses i artikel 13.1, ska den personuppgiftsansvarige enligt artikel 13.2 i specifika fall lämna viss information, för att göra det möjligt för den registrerade att utöva sina rättigheter. Det gäller information om behandlingens rättsliga grund, hur länge personuppgifterna får behandlas eller kriterierna för att fastställa det, kategorier av mottagare av uppgifterna och den ytterligare information som det finns behov av, i synnerhet om personuppgifterna samlas in utan den registrerades vetskap. I skäl 42 anges att den registrerade bör informeras i den utsträckning som ytterligare information är nödvändig för att garantera att hans eller hennes personuppgifter behandlas korrekt. Vid den avväg- ningen ska de särskilda omständigheter under vilka personuppgif- terna behandlas beaktas.

Vad är specifika fall?

Ramlagen bör reglera vilken information som ska lämnas enligt artikel 13.2. Att informationen ska riktas till den registrerade och lämnas på den personuppgiftsansvariges eget initiativ behandlas i avsnitt 11.2.5. Det som då återstår att diskutera är vad som avses med specifika fall.

Information behöver endast lämnas i de fall där den registrerade behöver informationen för att kunna ta tillvara sina rättigheter. Direktivet ger ingen ledning för när det kan bli aktuellt. Enligt ut- redningens uppfattning kan det vara om den enskilde riskerar att lida någon rättsförlust, t.ex om känsliga personuppgifter har be- handlats på otillåtet sätt. Ett annat exempel kan vara att person- uppgifter har lämnats till fel mottagare och att det kan komma att medföra negativa konsekvenser för den registrerade. Den person- uppgiftsansvarige bör i sådana fall informera den registrerade om vad som har hänt och vilka åtgärder som han eller hon kan vidta, t.ex. att lämna in klagomål till tillsynsmyndigheten eller väcka talan om skadestånd. Enligt utredningens mening bör det inte krävas att den personuppgiftsansvarige informerar vid sådana fel som inte kan antas ha någon negativ inverkan. Det bör normalt krävas att det är

379

Enskildas rättigheter

SOU 2017:29

fråga om överträdelser av regelverket som skulle kunna föranleda skadeståndsansvar, allvarlig kritik eller ingripande från tillsynsmyn- digheten eller någon annan liknande reaktion.

Information som rutinmässigt lämnas till en viss kategori av personer, t.ex. information till personer som lämnar salivprov för dna-analys enligt rättegångsbalken eller till vittnen om personupp- giftsbehandling i samband med ljud- och bildupptagning under domstolsförhandling, syftar i och för sig till att underlätta för dem att ta tillvara sina rättigheter. Eftersom informationen i dessa fall lämnas till alla berörda är den inte personrelaterad. Det rör sig så- ledes inte om specifika fall.

I avsnitt 10.4.3 föreslås att registerade i vissa fall ska informeras om personuppgiftsincidenter. Sådan information syftar till att de registrerade ska kunna vidta åtgärder för att skydda sig och sina personuppgifter. En personuppgiftsincident kan vara ett sådant specifikt fall som avses i artikel 13.2. Den registrerade ska då få information både för att det är fråga om ett specifikt fall och på grund av personuppgiftsincidenten.

Vilken information ska lämnas?

Informationen som ska lämnas bör motsvara det som räknas upp i artikel 13.2. Den personuppgiftsansvarige bör således informera om den rättsliga grunden för behandlingen, dvs. regleringen av den arbetsuppgift som föranleder personuppgiftsbehandlingen.

Den personuppgiftsansvarige bör även informera om vilka kate- gorier som mottar personuppgifterna. Det bör räcka att ange vilken typ av myndighet som personuppgifterna lämnas ut till, t.ex. social- nämnd eller åklagare. Enligt kommentaren till 26 § personupp- giftslagen, där motsvarande uttryck diskuteras, kan förhållandevis allmän information om mottagare godtas (Öman m.fl. s. 401). Om mottagarkategorin finns i ett tredjeland eller är en internationell organisation bör det anges.

Vidare bör det framgå hur länge personuppgifterna får behand- las. Om det inte är möjligt att fastställa hur länge uppgifterna får behandlas i det enskilda fallet bör i stället kriterierna för att fast- ställa det anges. Det kan vara upplysningar om vilka omständighe- ter eller tidpunkter som styr hur länge personuppgifterna får be-

380

SOU 2017:29

Enskildas rättigheter

handlas, t.ex. nedläggning av förundersökning eller att ett visst antal år förflutit efter det att uppgifterna registrerades.

Den personuppgiftsansvarige bör också lämna övrig nödvändig information om behandlingen. Vad som är nödvändig information får bedömas med utgångspunkt i om den registrerade har behov av den för att kunna ta tillvara sina rättigheter. Det kan t.ex. vara in- formation om rätten att få del av personuppgifterna och rätten att begära rättelse, radering eller begränsning av behandlingen. Ett annat exempel är information om möjligheten att lämna in klago- mål till tillsynsmyndigheten. Vid bedömningen av om sådan övrig information bör lämnas ska det särskilt beaktas om personuppgif- terna samlats in utan den registrerades vetskap. Det ligger i sakens natur att behovet av information är större om den registrerade inte känner till att hans eller hennes personuppgifter behandlas.

11.2.8Information som ska lämnas på begäran

Utredningens förslag: Den personuppgiftsansvarige ska till den som begär det utan onödigt dröjsmål lämna skriftligt besked om personuppgifter som rör honom eller henne behandlas. Behand- las sådana uppgifter ska sökanden få del av dem och få viss skriftlig information om behandlingen.

Sökanden behöver inte få del av personuppgifter som han eller hon har tagit del av, om det inte begärs. Det ska dock fram- gå av informationen att personuppgifterna i fråga behandlas.

Skälen för utredningens förslag

Innehållet i direktivet

Enligt artikel 14 ska den registrerade ha rätt att få bekräftelse av den personuppgiftsansvarige om den registrerades personuppgifter behandlas. I så fall ska han eller hon få tillgång till personuppgif- terna och viss annan information. Det gäller vilka personuppgifter som behandlas och all tillgänglig information om varifrån de här- stammar. Den registrerade ska också få information om ändamålen med behandlingen och dess rättsliga grund, kategorier av person- uppgifter, mottagare eller kategorier av mottagare, hur länge upp-

381

Enskildas rättigheter

SOU 2017:29

gifterna får behandlas eller kriterierna för att fastställa det, rätten att begära rättelse, radering eller begränsning av behandlingen och möjligheten att lämna in klagomål till tillsynsmyndigheten och kontaktuppgifterna till den.

Rätten att få del av personuppgifter

För att den enskilde ska kunna hålla sig underrättad om hans eller hennes personuppgifter behandlas och kunna kontrollera om be- handlingen utförs författningsenligt bör ramlagen innehålla en be- stämmelse som motsvarar artikel 14. Den bör räkna upp de typer av information som anges i artikeln.

Enligt artikel 14 är det den registrerade som har rätt att få till- gång till personuppgifter som rör honom eller henne och informa- tion om behandlingen. Det uttrycks på samma sätt i artikel 12 i det nu gällande direktivet. I 26 § personuppgiftslagen har lagstiftaren i stället valt uttrycken var och en som ansöker respektive den sökande. Det är logiskt, eftersom den som begär besked om hans eller hennes personuppgifter behandlas kan få ett nekande svar. Vederbörande kan då inte betecknas som registrerad. Uttrycket sökanden bör därför användas i ramlagen.

Enligt artikel 14 ska den registrerade få tillgång till personupp- gifterna som behandlas och viss information om behandlingen. Artikel 15 i dataskyddsförordningen är utformad på motsvarande sätt. Utredningen anser att för att syftet med artikel 14 ska uppnås

– att den registrerade ska kunna kontrollera om hans eller hennes personuppgifter behandlas författningsenligt – bör han eller hon kunna få del av uppgifterna och inte bara få information om be- handlingen. Det bör därför föreskrivas att om uppgifter om sökan- den behandlas ska han eller hon få del av dem och få viss skriftlig i paragrafen uppräknad information om behandlingen. Att informa- tion och uppgifter behöver lämnas först när den registrerade begär det behandlas i avsnitt 11.2.5. Begränsning av tillgången behandlas i avsnitt 11.3.

382

SOU 2017:29

Enskildas rättigheter

Vilka personuppgifter har sökanden rätt att få del av?

Om den personuppgiftsansvarige behandlar personuppgifter om sökanden ska alltså han eller hon få del av uppgifterna. Enligt för- arbetena till personuppgiftslagen omfattar skyldigheten bara de be- handlade uppgifter som den personuppgiftsansvarige har i behåll när informationen lämnas. Enligt förarbetena finns det inget som hindrar att den personuppgiftsansvarige under tiden från det att an- sökan görs till dess att uppgifterna lämnas raderar uppgifterna eller slutar att behandla dem (prop. 1997/98:44 s. 132). Utredningen delar bedömningen att det är uppgifterna som behandlas vid tiden för utlämnandet som sökanden ska få del av, men vill understryka att det inte är acceptabelt att radera uppgifter som behandlades vid ansökan i syfte att undgå att behöva lämna ut dem.

EU-domstolen har i den s.k. Rijkeboer-domen behandlat frågan om rätten att få tillgång till uppgifter enligt artikel 12 a i det nu gällande direktivet endast avser nutid eller även förfluten tid. Dom- stolen slog fast att en enskilds rätt att få tillgång till uppgift om vilka personuppgifter som lämnats ut och till vilka mottagare eller mottagarkategorier även avser förfluten tid och innebär en skyldig- het för den personuppgiftsansvarige att under viss tid spara sådan information. Enligt domstolen ankommer det på medlemsstaterna att fastställa den tiden, men domstolen uttalade att ett år inte är tillräckligt om det inte visas att en längre lagring av personuppgif- terna utgör en orimlig börda för den personuppgiftsansvarige (dom av den 7 maj 2009, Rijkeboer, C-553/07). Av avsnitt 9.3.2 framgår att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. EU- domstolens dom kan enligt utredningens mening inte tolkas så att personuppgifter ska sparas enbart i syfte att vid behov kunna läm- nas ut om en registrerad med stöd av reglerna om rätt till informa- tion frågar efter dem.

Enligt skäl 43 är det tillräckligt att den registrerade får en kom- plett sammanfattning av uppgifterna i begripligt format, dvs. ett format som gör det möjligt för den registrerade att få kännedom om uppgifterna och kontrollera att de behandlas korrekt. Det har slagits fast av EU-domstolen i ett mål där fråga var om artikel 12 a i det nu gällande direktivet innebar en skyldighet att till sökanden lämna ut en kopia av ett ansökningsprotokoll som innehöll person-

383

Enskildas rättigheter

SOU 2017:29

uppgifter om sökanden. Domstolen konstaterade att artikel 12 a inte innebär en sådan skyldighet, utan att det var tillräckligt att lämna ut en fullständig sammanställning i begriplig form av upp- gifterna. Vidare konstaterade domstolen att, för att undvika att sökanden får tillgång till andra upplysningar än de personuppgifter som rör honom eller henne, sökanden kan få en kopia av den ur- sprungliga handlingen där de övriga upplysningarna har gjorts oläs- bara (dom av den 14 juli 2014, YS m.fl., förenade målen C-141/12 och C-372/12). Regleringen i ramlagen bör mot den bakgrunden innebära att en kopia av en handling med de personuppgifter som rör sökanden kan lämnas ut till honom eller henne om det bedöms vara lämpligt, men det bör inte vara någon skyldighet. Om rättig- heterna kan säkerställas genom någon annan form av utlämnande, t.ex. en sammanfattning av personuppgifterna, är det tillräckligt.

Det finns i sammanhanget anledning att påpeka att avvikande bestämmelser gäller beträffande rätten att få del av utdrag ur be- lastningsregistret och misstankeregistret. I 9 § lagen (1998:620) om belastningsregister och i 8 och 8 a § lagen (1998:621) om misstan- keregister regleras uttömmande enskilds rätt att få del av utdrag ur registren i fråga. Ramlagens bestämmelse om rätt till information blir därmed inte tillämplig på utdrag ur de registren.

Vad krävs av den personuppgiftsansvarige?

En viktig fråga är hur långtgående den personuppgiftsansvariges undersökningsplikt bör vara och vad som måste göras för att få fram alla personuppgifter som behandlas om en registrerad. I för- arbetena till personuppgiftslagen diskuterades vilka krav det nu gällande direktivet ställer. Regeringens slutsats var då att den per- sonuppgiftsansvarige endast är skyldig att utnyttja alla de sök- och sammanställningsmöjligheter som han eller hon har tillgång till (prop. 1997/98:44 s. 82 f.). Det förarbetsuttalandet måste sättas i sitt historiska sammanhang, där tillgången till datorer och sökmöj- ligheterna i den samlade verksamheten var begränsade och myndig- heterna var betydligt mindre än i dag.

Utgångspunkten är att sökanden ska få tillgång till all informa- tion som den personuppgiftsansvarige själv kan få fram om honom eller henne. Det förutsätter att det finns uppgifter som direkt kan

384

SOU 2017:29

Enskildas rättigheter

hänföras till den person som begär informationen. Sökanden måste lämna sådana uppgifter om sin identitet att det blir möjligt att söka efter informationen. Det kan vara fullständigt namn eller person- eller samordningsnummer eller någon annan lika unik identitet.

Utgångspunkten är att det är tillräckligt att den personuppgifts- ansvarige använder de möjligheter till sökning som är tillgängliga och tillåtna i verksamheten. Det är enligt utredningens mening rim- ligt att sökningar görs i myndighetens verksamhetsspecifika be- handlingssystem, t.ex. dokument- och ärendehanteringssystem, register och databaser. I den mån uppgifter är sökbara i standard- program som Word, Outlook och Excel bör de också omfattas. Det är däremot inte rimligt att alla anställda i myndigheter med hundratals eller tusentals anställda var och en ska söka efter even- tuella personuppgifter på egna lagringsytor vid varje förfrågan från en enskild (jfr avsnitt 10.2.2).

Det kan dock anmärkas att en registrerad genom att utnyttja sin rätt att begära information enligt ramlagen inte i något fall kommer att kunna få en fullständig bild av vilka personuppgifter om honom eller henne som den personuppgiftsansvarige behandlar. Det beror på den tudelning av regelverket för personuppgiftsbehandling som EU:s dataskyddsreform innebär. Den som vänder sig till t.ex. Polis- myndigheten med en begäran om att få veta vilka personuppgifter som myndigheten behandlar om honom eller henne måste därför utnyttja sin rätt till information enligt både dataskyddsförord- ningen och ramlagen.

Vilken övrig information ska lämnas?

Den registrerade ska också informeras om behandlingen av per- sonuppgifterna. Informationen bör motsvara det som räknas upp i artikel 14. Informationen ska alltså omfatta vilka uppgifter om sökanden som behandlas och varifrån dessa kommer. Information om varifrån personuppgifterna kommer behöver bara avse den in- formation som finns tillgänglig. Sådan information behöver alltså inte sparas i syfte att på begäran kunna lämnas till enskilda. Enligt utredningens uppfattning bör informationen avse förhållandena vid tidpunkten för utlämnandet.

385

Enskildas rättigheter

SOU 2017:29

Enligt artikel 14 ska den registrerade informeras om de katego- rier av personuppgifter som behandlingen gäller. Kategorier av per- sonuppgifter kan t.ex. vara adressuppgifter eller fordonsuppgifter. Utredningen anser att kategorier av personuppgifter ingår i det större begreppet personuppgifter som behandlas och därför, på samma sätt som i dag, inte kräver någon särskild reglering.

Även behandlingens rättsliga grund bör framgå, dvs. regleringen av den arbetsuppgift som föranleder personuppgiftsbehandlingen.

Den personuppgiftsansvarige bör vidare informera om ändamå- len med behandlingen. Det som avses är ändamålen med behand- lingen i det enskilda fallet.

Information om mottagare eller kategorier av mottagare av per- sonuppgifterna bör också lämnas. Med mottagare avses i ramlagen den till vilken personuppgifter lämnas ut, med undantag av en myn- dighet som, med stöd av författning, utövar tillsyn, kontroll eller revision (se avsnitt 6.2). Den personuppgiftsansvarige behöver så- ledes inte informera sökanden om att uppgifter har lämnats ut till myndigheter för tillsyn, t.ex. till JK eller Säkerhets- och integritets- skyddsnämnden. Eftersom en myndighet enligt 2 kap. 14 § tryck- frihetsförordningen varken får efterfråga eller dokumentera vilka som tar del av allmänna handlingar med personuppgifter behöver inte heller uppgifter om sådana mottagare lämnas ut (SOU 2015:39 s. 500).

För att uppfylla kravet i direktivet bör det räcka att information om kategorier av mottagare lämnas. Exempel på kategorier av mot- tagare kan vara åklagare eller domstol. Om mottagaren finns i ett tredjeland eller är en internationell organisation ska det anges.

Vidare bör det framgå hur länge personuppgifterna får behand- las. Om det inte är möjligt att ange hur länge de får behandlas i det enskilda fallet ska i stället kriterierna för att fastställa det anges. Det kan exempelvis vara den föreskrivna tidpunkten i en myndig- hets registerlagstiftning när de personuppgifter som saken gäller inte längre får behandlas.

Den personuppgiftsansvarige ska även underrätta den registre- rade om rätten att begära rättelse, radering eller begränsning av be- handlingen och om möjligheten att lämna in klagomål till tillsyns- myndigheten och kontaktuppgifterna till den.

386

SOU 2017:29

Enskildas rättigheter

Det bör enligt utredningens mening inte preciseras vad informa- tionen bör innehålla eller hur den bör lämnas. Det kan göras av regeringen eller den myndighet som regeringen bestämmer.

Att en registrerads rätt till information om vilka personuppgif- ter om honom eller henne som behandlas inte gäller i den utsträck- ning personuppgifterna inte får lämnas ut behandlas i avsnitt 11.3.1. Personuppgifter i ofärdig text eller som utgör minnesanteckningar behandlas i avsnitt 11.3.3.

När ska informationen lämnas?

Artikel 14 anger inte när en ansökan senast ska besvaras av den personuppgiftsansvarige. Artikel 12.3 reglerar bl.a. skyldigheten för den personuppgiftsansvarige att utan onödigt dröjsmål informera den registrerade om uppföljningen av hans eller hennes begäran om information enligt artikel 14, men inte när informationen ska läm- nas. Som framgår av avsnitt 11.5.6 anser utredningen att det inte bör införas någon särskild regel om information om handlägg- ningen. Däremot bör den personrelaterade informationen lämnas utan onödigt dröjsmål.

Det framgår inte heller av artikel 14 hur ofta en enskild har rätt att få information om hur hans eller hennes personuppgifter be- handlas. I skäl 43 anges att fysiska personer bör kunna utöva rätten till information med rimliga intervall. Eftersom det i artikel 12.4 bl.a. anges när en personuppgiftsansvarig får vägra att tillmötesgå en begäran om information på grund av att den är återkommande, behandlas frågan i samband med att den artikeln diskuteras (av- snitt 11.3.4).

Bör hanteringen av informationslämnandet underlättas?

Det har både i tidigare lagstiftningsärenden och vid utvärdering av 26 § personuppgiftslagen visat sig att personuppgiftsansvariga upp- lever det som betungande att lämna information till registrerade enligt paragrafen (se t.ex. EG-direktivet om personuppgifter – en offentlig utvärdering, Ds 2001:27, s. 65 f. och Översyn av person- uppgiftslagen, prop. 2005/06:173, s. 40 f.). För att underlätta de personuppgiftsansvarigas hantering föreslog Personuppgiftslagsut-

387

Enskildas rättigheter

SOU 2017:29

redningen att det skulle införas ett undantag från informationsskyl- digheten om det var omöjligt eller skulle innebära en oproportio- nerligt stor arbetsinsats för den personuppgiftsansvarige att lämna informationen (Översyn av personuppgiftslagen, SOU 2004:6, s. 195 f.). Regeringen valde emellertid att inte genomföra förslaget. I stället begränsades informationsskyldigheten för uppgifter i ostrukturerat material genom att 5 a § personuppgiftslagen inför- des (prop. 2005/06:173 s. 40 f. och 49 f.). Direktivet medger inte att informationsskyldigheten begränsas på det sättet. Informations- skyldigheten i ramlagen kommer således att omfatta även person- uppgifter i ostrukturerat material, med undantag för personupp- gifter i ofärdig löpande text eller som utgör minnesanteckningar (se avsnitt 11.3.3).

Utredningen anser att hänsyn ändå måste tas till att informa- tionsskyldigheten i vissa fall kan vara betungande för myndighe- terna. Det finns därför skäl att överväga om det finns någon annan möjlighet att underlätta för de personuppgiftsansvariga, utan att det inkräktar på den grundläggande rätten för enskilda att få infor- mation om hur deras personuppgifter behandlas. Rätten till infor- mation är nämligen som tidigare nämnts en förutsättning för att enskilda ska kunna kontrollera om behandlingen är författningsen- lig och kunna begära rättelse eller radering av uppgifterna.

En möjlighet är att införa en begränsning som motsvarar 3 kap. 2 § lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet. Av bestämmelsen följer att uppgift i en elektronisk handling inte behöver lämnas ut till den registrerade i samband med att myndigheten fullgör sin informationsskyldighet enligt 26 § personuppgiftslagen, om han eller hon redan har tagit del av handlingens innehåll. Undantaget förutsätter att den regi- strerade får information om att handlingen behandlas. Den regi- strerade har också rätt att få information om uppgift i en sådan handling om han eller hon begär det. I förarbetena framhålls att förfarandet torde vara tillräckligt för att uppfylla det nu gällande direktivets krav på att den registrerade ska kunna kontrollera om uppgifterna är korrekta eller inte (Behandling av personuppgifter inom skatt, tull och exekution, prop. 2000/01:33, s. 106 f.).

Enligt utredningens uppfattning finns det inga sakliga skäl för att den registrerade ska behöva informeras om behandlingen av personuppgifter som han eller hon redan har tagit del av, om upp-

388

SOU 2017:29

Enskildas rättigheter

gifterna inte har förändrats. Det kan t.ex. vara personuppgifter i handlingar som den registrerade själv har skickat in till myndig- heten eller som har expedierats till honom eller henne av myndig- heten, antingen elektroniskt eller på papper.

Enligt utredningens mening skulle en ordning där den person- uppgiftsansvarige inte behöver informera om personuppgifter som den registrerade redan känner till bespara myndigheterna onödigt arbete. En bestämmelse som medger att informationen inte be- höver omfatta personuppgifter som sökanden redan tagit del av bör därför tas in i ramlagen. För att leva upp till informationsskyl- digheten bör dock den personuppgiftsansvarige tydligt ange vilka personuppgifter som behandlas och ge sökanden en förteckning över dem. Om sökanden begär det, bör den personuppgiftsansva- rige vara skyldig att låta honom eller henne få del även av person- uppgifter som han eller hon tidigare tagit del av.

En förutsättning för att en sådan bestämmelse ska vara godtag- bar är dock att den inte begränsar en parts rätt till insyn i mål och ärenden enligt de processrättsliga regelverken. Eftersom ramlagens bestämmelser om rätt till eller begränsning av information inte in- verkar på en parts rätt till insyn enligt rättegångsbalken eller andra författningar bedömer utredningen att det inte är något problem.

Utredningen återkommer i avsnitt 11.3 till andra undantag från informationsskyldigheten.

11.2.9Information om automatiserade beslut

Utredningens förslag: Den som har varit föremål för ett auto- matiserat beslut får begära närmare information om beslutet.

Skälen för utredningens förslag: I artikel 11 regleras automatise- rade beslut. Som anges i avsnitt 9.4 förekommer det i dag inga automatiserade beslut inom ramlagens tillämpningsområde, men utredningen föreslår ändå en bestämmelse om sådana beslut. Det innebär att det också bör tas in en bestämmelse i ramlagen om den information som den personuppgiftsansvarige är skyldig att på begäran lämna vid sådana beslut.

389

Enskildas rättigheter

SOU 2017:29

11.3Begränsning av rätten till information

11.3.1Rätten till information får begränsas

Utredningens förslag: Skyldigheten att lämna personrelaterad information gäller inte i den utsträckning det är särskilt före- skrivet i lag eller annan författning eller annars framgår av beslut som har meddelats med stöd av författning att uppgifter inte får lämnas ut av hänsyn till intresset av att

1.förebygga, förhindra eller upptäcka brottslig verksamhet, ut- reda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet,

2.andra rättsliga utredningar eller undersökningar inte hindras,

3.nationell säkerhet skyddas, eller

4.annans fri- och rättigheter skyddas.

Om det finns grund för att begränsa informationen är den per- sonuppgiftsansvarige inte heller skyldig att lämna ut skälen för beslut att begränsa informationen eller för beslut i fråga om be- gäran om rättelse, radering eller begränsning av behandlingen.

Undantagen från informationsskyldigheten gäller även för en personuppgiftsansvarig som inte är en myndighet i motsvarande fall som avses i offentlighets- och sekretesslagen.

Skälen för utredningens förslag

Innehållet i direktivet

Direktivet ger möjlighet att i nationell rätt begränsa den registrera- des rätt till information om personuppgiftsbehandling som avser honom eller henne. Det framgår dels av artikel 13.3 som ger möj- lighet att senarelägga, begränsa eller utelämna sådan information som den personuppgiftsansvarige ska lämna enligt artikel 13.2, dels av artikel 15.1 som ger möjlighet att begränsa den registrerades rätt till sådan information som avser behandling av hans eller hennes personuppgifter som den personuppgiftsansvarige ska lämna på begäran. I artikel 16.4 ges möjlighet att begränsa information till

390

SOU 2017:29

Enskildas rättigheter

den registrerade om skälen för att den personuppgiftsansvarige inte har rättat, raderat eller begränsat behandlingen.

Syftet med att begränsa informationen ska enligt direktivet vara att undvika att officiella eller rättsliga utredningar, förundersök- ningar eller förfaranden hindras eller att undvika menlig inverkan på brottsbekämpande åtgärder, lagföring eller verkställighet av straffrättsliga påföljder och att skydda allmän eller nationell säker- het eller andra personers rättigheter och friheter. Begränsning får vidtas endast i den utsträckning och så länge som den är nödvändig och proportionerlig. Vid bedömningen ska hänsyn tas till den be- rörda fysiska personens grundläggande rättigheter och berättigade intressen.

Nuvarande reglering

Enligt artikel 13.1 i det nu gällande direktivet får medlemsstaterna genom lagstiftning begränsa omfattningen av vissa skyldigheter och rättigheter som följer av direktivet. En sådan begränsning ska vara en nödvändig åtgärd med hänsyn till bl.a. statens säkerhet, allmän säkerhet, förebyggande, undersökning, avslöjande av brott eller åtal för brott och skydd av den registrerades eller andras fri- och rättig- heter. Artikeln har åberopats till stöd för bl.a. undantaget i 27 § personuppgiftslagen från skyldigheten att lämna information enligt 23–26 §§ personuppgiftslagen till den registrerade vid sekretess och tystnadsplikt. Enligt förarbetena får bestämmelsen anses vara upp- ställd till skydd för sådana fri- och rättigheter som avses i arti- kel 13.1 g i det nu gällande direktivet (prop. 1997/98:44 s. 84).

Vid en översyn av personuppgiftslagen åberopades artikel 13.1 även till stöd för en bestämmelse om delegation till regeringen. Enligt 8 a § personuppgiftslagen får regeringen meddela föreskrif- ter om undantag bl.a. från bestämmelserna om information till den registrerade i 23–26 §§, om det behövs med hänsyn till bl.a. rikets säkerhet, allmän säkerhet, förebyggande, undersökning eller avslöj- ande av brott, åtal för brott och skyddet av fri- och rättigheter.

391

Enskildas rättigheter

SOU 2017:29

Hur bör artiklarna om begränsning av information genomföras?

Bestämmelser som begränsar rätten till information är nödvändiga för att de behöriga myndigheterna ska kunna utföra sina uppdrag på ett effektivt sätt. Artiklarna 13.3, 15.1 och 16.4 ger möjlighet att begränsa rätten till information.

I förarbetena till 8 a § personuppgiftslagen diskuterades om undantagen i artikel 13.1 i det nu gällande direktivet borde införas direkt i personuppgiftslagen. Regeringen ansåg att undantagen var alltför generella och vaga för att kunna ligga till grund för reglering. Bedömningen av om ett sådant undantag är tillämpligt borde enligt förarbetena inte göras av varje enskild personuppgiftsansvarig. Som huvudregel borde undantagsbestämmelser tas in i särlagstiftning med bestämmelser som avviker från personuppgiftslagen. I vissa fall krävs dock undantag och då behövs en möjlighet för regeringen att föreskriva om undantag, t.ex. i avvaktan på att särlagstiftning hinner utarbetas eller ändras (prop. 2005/06:173 s. 55 f.).

Förarbetsuttalandena är av intresse för hur artiklarna 13.3, 15.1 och 16.4 ska genomföras. De undantag som görs i artiklarna är lika generella och vaga som motsvarande bestämmelser i det nu gällande direktivet. Utredningen anser därför att det inte är lämpligt att per- sonuppgiftsansvariga med det som enda utgångspunkt avgör om det i ett enskilt fall kan finnas skäl för att begränsa informationen. Undantagen bör preciseras i lag eller förordning.

Begränsning av information enligt artiklarna 13.3, 15.1 och 16.4 får bara göras i syfte att undvika att förundersökningar eller andra rättsliga utredningar, brottsbekämpande åtgärder, lagföring eller verkställighet av straffrättsliga påföljder hindras eller i syfte att skydda allmän eller nationell säkerhet eller andra personers fri- och rättigheter.

Bestämmelser till skydd för bl.a. dessa intressen finns redan i offentlighets- och sekretesslagen och i vissa andra författningar. På samma sätt som i 27 § personuppgiftslagen bör möjligheten att begränsa information enligt ramlagen utgå från den regleringen. I ramlagen bör det tas in en regel om att den registrerades rätt till information inte gäller om personuppgifterna inte får lämnas ut av hänsyn till något av de intressen som nyss nämnts. Utredningen anser inte att det finns något behov av en bestämmelse motsva- rande 8 a § personuppgiftslagen.

392

SOU 2017:29

Enskildas rättigheter

Prövningen av om informationen kan begränsas

Det är, som framgår av avsnitt 11.2.1, viktigt att hålla isär reglerna om rätt till information och tillgång till allmänna handlingar.

Syftet med reglerna i tryckfrihetsförordningen är att ge var och en insyn i den offentliga verksamheten, dvs. att skapa en möjlighet för alla, inte specifikt en viss person, att kunna ta del av handlingar och uppgifter som rör en viss fråga. Sekretessregleringen syftar till att värna viktiga intressen, bl.a. det allmännas intresse av brotts- bekämpning, lagföring och straffverkställighet. Sekretess värnar också enskildas intresse av att känsliga uppgifter om deras person- liga eller ekonomiska förhållanden inte sprids. De i sig mycket komplexa regelverken om tillgång till handlingar och begräns- ningen av rätten att ta del av dem har ett helt annat fokus än lag- stiftningen om personuppgiftsbehandling.

Även om det i dag finns en koppling mellan de båda regelsyste- men genom att 27 § personuppgiftslagen knyter an till regleringen i offentlighets- och sekretesslagen, kan det ifrågasättas om det har varit lagstiftarens avsikt att en begäran om personrelaterad infor- mation ska resultera i en formell prövning av om sekretessbelagda handlingar eller uppgifter ska kunna lämnas ut till personen i fråga.

Beslut att inte lämna ut personrelaterad information får överkla- gas enligt 52 § personuppgiftslagen. I ett mål där klaganden hade nekats att få personrelaterad information prövade Högsta förvalt- ningsdomstolen vilken överklagandebestämmelse som skulle till- lämpas när beslutet hade motiverats med att det gällde sekretess enligt 18 kap. 1 och 2 §§ offentlighets- och sekretesslagen. Dom- stolen fann att den ordning som gäller för överklagande i 6 kap. samma lag skulle tillämpas med motiveringen att i den utsträckning det gäller sekretess för personrelaterad information gäller inte den ordning för överklagande som föreskrivs i personuppgiftslagen (HFD 2014 ref. 55). Med den tolkning som gjorts i det målet kan konstateras att bestämmelsen i 52 § personuppgiftslagen om över- klagande av ett beslut enligt 26 § samma lag inte har någon funk- tion att fylla, utom i de fall där den personuppgiftsansvarige inte lämnar ut uppgifterna inom de tidsfrister som anges i paragrafen eller inte lämnar ut uppgifter i text som inte har färdigställts. Det kan enligt utredningens mening inte ha varit avsikten att överkla- gandebestämmelsen skulle ha ett så begränsat tillämpningsområde.

393

Enskildas rättigheter

SOU 2017:29

Förekomsten av en särskild överklagandebestämmelse i person- uppgiftslagen visar i stället att den prövning som görs vid en begä- ran enligt 26 § inte är en formell sekretessprövning enligt offentlig- hets- och sekretesslagen. Det är en annan typ av prövning där det materiella innehållet i sekretessreglerna är avgörande för resultatet men prövningen inte innefattar samma moment. Enligt utredning- ens mening är det nämligen inte rimligt att likställa prövningen av om personrelaterad information kan lämnas ut med en prövning enligt offentlighets- och sekretesslagen.

Bestämmelserna som ger enskilda rätt till information om huruvida deras personuppgifter behandlas skapades i en annan tid, då behandlingen av personuppgifter fortfarande till stor del ägde rum i enskilda register. I avgränsade register är möjligheterna att överblicka informationen och att snabbt få bekräftat om uppgifter om en viss person behandlas betydligt större än i dagens automati- serade behandlingssystem. I de sistnämnda kan det finnas mycket stora mängder av information som i och för sig är sökbar men där det inte går att lika enkelt överblicka i vilket sammanhang person- uppgifterna förekommer. Enligt utredningens mening medför det att bestämmelser om rätt till personrelaterad information delvis måste ses i ett annat ljus än tidigare, trots att direktivet utgår från samma synsätt som det nu gällande dataskyddsdirektivet från år 1995.

Rätten till personrelaterad information ger enligt utredningens mening inte den registrerade någon rätt att få del av annat än in- formation om just behandlingen av personuppgifterna. Det handlar alltså inte om att pröva om den registrerade ska kunna få tillgång till all den information som finns i ett visst mål eller ärende. I stället ska det prövas om det förhållandet att personuppgifter be- handlas i ett visst sammanhang – t.ex. i underrättelseverksamhet eller i förundersökningen om ett visst brott – kan avslöjas för den registrerade. Det förhållandet att det avslöjas att personuppgifterna behandlas kan i ett enskilt fall riskera att hindra underrättelseverk- samheten eller förundersökningen i fråga och då bör informationen kunna begränsas. En sådan prövning kräver inte lika ingående över- väganden som när det gäller att ta ställning till om en viss handling, som innehåller sekretessbelagd information kan lämnas ut helt eller delvis utan att det vållar förundersökningen eller underrättelseverk- samheten skada. Det innebär t.ex. att om en viss person pekas ut

394

SOU 2017:29

Enskildas rättigheter

som gärningsman i en polisanmälan och det gäller sekretess för den uppgiften kommer personen i fråga – om han eller hon vänder sig till Polismyndigheten och begär besked om vilka personuppgifter som behandlas – inte att få någon upplysning om polisanmälan. Ett sådant beslut får enligt utredningens förslag överklagas enligt ram- lagens regler (se avsnitt 14.4).

En begäran om att få besked om personuppgifter behandlas ska alltså enbart besvaras utifrån regelverket om skydd för personupp- gifter. I den prövningen ingår inte att ta ställning till om uppgif- terna finns i en allmän handling och om den kan lämnas ut. Det finns givetvis inget som hindrar att en behörig myndighet gör en formell prövning enligt offentlighets- och sekretesslagen när den registrerade begär att få personrelaterad information. Om det görs och myndigheten i sitt beslut att inte lämna information motiverar det med att det gäller sekretess enligt någon eller några bestämmel- ser i offentlighets- och sekretesslagen, ska beslutet överklagas en- ligt de särskilda reglerna i den lagen (HFD 2014 ref. 55).

Då ramlagen även kommer att vara tillämplig på andra aktörer än myndigheter bör även dessa kunna underlåta att lämna informa- tion till registrerade om behandlingen av deras personuppgifter (jfr 27 § andra meningen personuppgiftslagen).

Vilken typ av information får begränsas?

Frågan är vilken information som undantaget bör omfatta. Att den personuppgiftsansvarige ska ha rätt att begränsa eller inte lämna ut personrelaterad information står klart. Det gäller både information som ska lämnas självmant och på begäran. Det finns även behov av att kunna begränsa underrättelser om skälen för beslut i fråga om rättelse, radering eller begränsning av behandlingen. Om skälen skulle riskera att röja information som hänför sig till något av nyss nämnda intressen, t.ex. att rymning från ett fängelse planeras eller att hemlig avlyssning av elektronisk kommunikation pågår, bör underrättelsen till den registrerade kunna begränsas. Om så inte var fallet skulle enskilda kunna begära rättelse och därigenom få del av information som annars inte skulle lämnas ut.

Utredningen återkommer i avsnitt 11.5.7 och 11.5.8 till de for- mella kraven på besluten.

395

Enskildas rättigheter

SOU 2017:29

Rätten till kontroll när information inte har lämnats eller begränsats

För att den registrerade ska kunna ta tillvara sina rättigheter när information inte har lämnats ut eller begränsats på grund av de intressen som anges i artiklarna 13.3, 15.1 och 16.4, föreskrivs i artikel 17.1 att tillsynsmyndigheten på den enskildes vägnar ska kunna kontrollera om personuppgifterna behandlas författnings- enligt. Enskilda som har vänt sig till den personuppgiftsansvarige med en begäran om att få personrelaterad information eller att en korrigeringsåtgärd ska vidtas ska kunna vända sig till tillsynsmyn- digheten med en begäran om kontroll. Kontrollerna behandlas i avsnitt 12.6.3.

11.3.2Kategorier av behandling

Utredningens bedömning: Möjligheten att fastställa kategorier av behandling som undantas från enskildas rätt till information bör inte utnyttjas.

Skälen för utredningens bedömning: Av artiklarna 13.4 och 15.2 framgår att det är möjligt att fastställa kategorier av behandling som helt eller delvis kan omfattas av möjligheten att begränsa en- skildas rätt till information enligt artiklarna 13.3 respektive 15.1. Det är oklart vad som som avses med uttrycket kategori av behand- ling. Enligt utredningens mening skulle det kunna vara behandling av personuppgifter i ett visst register. Det skulle också kunna vara fråga om behandling av en viss typ av personuppgifter, exempelvis dna-profiler, fordonsuppgifter eller fotografier.

Sekretessen varierar under de olika stadierna av brottsbekämp- ning, lagföring och straffverkställighet. Normalt avklingar sekre- tessen till skydd för det allmänna ju längre utredningen når. En personuppgift som är föremål för sekretess eller tystnadsplikt under förundersökningen kan bli offentlig vid åtalet, under dom- stolsförhandlingen eller i domen. Det kan gälla allt från underrät- telseinformation och uppgifter om hemliga tvångsmedel till upp- gifter om hälsa eller andra känsliga personuppgifter. Ett undantag för kategorier av behandling kan därför inte vara generellt utan

396

SOU 2017:29

Enskildas rättigheter

måste anpassas till den sekretess som kan gälla i de olika behöriga myndigheternas verksamhet.

Det är framför allt i verksamheter där det förekommer många sekretessbelagda uppgifter som det skulle vara av intresse att peka ut sådana kategorier av behandling. De brottsbekämpande myn- digheternas personuppgiftsbehandling utförs numera i liten ut- sträckning i särskilda register. Uppgifterna är i stället gemensamt tillgängliga i myndigheternas verksamhetsstöd. Det gör att det är svårt att peka ut en viss kategori av behandling som i sin helhet kan undantas. För de register som är specialreglerade, som Polismyn- dighetens dna- och fingeravtrycksregister, finns det som regel sär- skilda sekretessbestämmelser, vilket skulle göra att undantag för de kategorierna får begränsat värde. En kategori kan enligt utredning- ens mening bara undantas om det är rättsligt möjligt att avgränsa den. När det t.ex. gäller underrättelseuppgifter är det enligt utred- ningens mening inte möjligt att att göra det, eftersom underrättel- severksamheten inte är reglerad och uppgifterna inte heller behand- las i särskilt reglerade register.

Utredningen återkommer i slutbetänkandet till frågan om det, på samma sätt som i dag, kan behövas undantag från informations- skyldigheten i vissa myndigheters registerförfattningar.

11.3.3Ofärdig text och minnesanteckningar

Utredningens förslag: Rätten att få del av personrelaterad in- formation gäller inte personuppgifter i löpande text som inte fått sin slutliga utformning när begäran gjordes eller som utgör minnesanteckningar eller liknande. Den gäller dock om uppgif- terna har lämnats ut till tredje man, behandlas enbart för veten- skapliga, statistiska eller historiska ändamål eller arkivändamål av allmänt intresse eller, när det gäller löpande text som inte fått sin slutliga utformning, om uppgifterna har behandlats längre än ett år.

Tredje man ska definieras som någon annan än den registre- rade, den personuppgiftsansvarige, dataskyddsombudet, person- uppgiftsbiträdet och sådana personer som under den person- uppgiftsansvariges eller personuppgiftsbiträdets direkta ansvar har rätt att behandla personuppgifter.

397

Enskildas rättigheter

SOU 2017:29

Skälen för utredningens förslag

Innehållet i direktivet och nuvarande reglering

Som framgår av avsnitt 11.3.1 ger artikel 15.1 e möjlighet att be- gränsa den registrerades rätt till information i syfte att skydda fri- och rättigheter. En motsvarande regel finns i artikel 13.1 g i det nu gällande direktivet. I förarbetena till personuppgiftslagen hänvisade regeringen till skyddet för fri- och rättigheter som motiv för att införa begränsningen av informationsskyldigheten i 26 § tredje stycket personuppgiftslagen (prop. 1997/98:44 s. 83). Undantaget gäller för personuppgifter i löpande text som inte fått sin slutliga utformning när begäran om information gjordes eller som utgör minnesanteckning eller liknande. Om uppgifterna redan har läm- nats ut till tredje man eller om uppgifterna i den löpande texten ännu inte fått sin slutliga utformning efter ett års behandling, gäller inte undantaget. Det gäller inte heller om uppgifterna behandlas enbart för historiska, statistiska eller vetenskapliga ändamål.

Undantag för vissa typer av text

Att enskilda inte har någon rätt till insyn i utkast och koncept till skrivelser, beslut och domar under den tid som arbetet pågår värnar myndigheternas verksamhet och skyddar andra enskilda. Av samma skäl är minnesanteckningar eller liknande, t.ex. promemorior eller andra anteckningar som används under handläggningen, fredade från insyn så länge den pågår.

Utkast under arbete eller minnesanteckningar som inte ska be- varas för framtiden är inte allmänna handlingar enligt 2 kap. tryck- frihetsförordningen och lämnas därmed inte ut enligt offentlig- hetsprincipen. Det finns därför goda skäl att inte ge en sökande rätt till information om hur hans eller hennes personuppgifter behand- las i ofärdiga texter och minnesanteckningar. Ett undantag för sådan text bör därför tas in i ramlagen.

Artikel 15.1 e medger undantag från rätten till information för att skydda andra personers fri- och rättigheter. En begränsning enligt artikel 15.1 får dock endast göras i den utsträckning och så länge som den är nödvändig och proportionerlig. Vid bedömningen ska hänsyn tas till den berörda personens grundläggande rättigheter

398

SOU 2017:29

Enskildas rättigheter

och berättigade intressen. Undantaget för handlingar som inte är färdigställda är av stor praktisk betydelse för myndigheterna. Det är också en förutsättning för ett fungerande rättsväsende – och för tilltron till det – att information om enskilda inte lämnas ut innan beslut och domar är färdigställda och meddelade, särskilt som de ofta innehåller personuppgifter om andra. Utredningens uppfatt- ning är därför att en sådan begränsning – som har sin motsvarighet i 26 § tredje stycket personuppgiftslagen – är nödvändig.

När det gäller kravet på proportionalitet gör utredningen föl- jande överväganden. Om personuppgifterna i utkasten har be- handlats under längre tid än ett år utan att texten färdigställts väger den registrerades intresse av att kunna ta del av hur personuppgif- terna behandlas tyngre än den personuppgiftsansvariges intresse av att fortsätta att behandla personuppgifterna utan insyn. Informa- tion om personuppgifterna bör därför lämnas till den registrerade, om inte den personuppgiftsansvarige väljer att i stället radera per- sonuppgifterna i den ofärdiga texten (jfr prop. 1997/98:44 s. 83 f.).

Om ett ärende har avslutats och utkastet eller minnesanteck- ningen har arkiverats eller endast används vid statistikproduktion eller forskning bör information om personuppgiftsbehandlingen kunna lämnas. Undantaget bör därför inte gälla för personuppgifter i ofärdiga texter eller minnesanteckningar som enbart behandlas för vetenskapliga, statistiska eller historiska ändamål eller arkivändamål av allmänt intresse.

Information bör också lämnas om uppgifterna i den ofärdiga texten redan har lämnats ut till tredje man. Information bör dock få lämnas till dataskyddsombud, personuppgiftsbiträden och andra personer som under den personuppgiftsanvariges eller personupp- giftsbiträdets direkta ansvar behandlar personuppgifter, utan att undantaget upphör att gälla (jfr 26 § tredje stycket andra meningen jämfört med 3 § personuppgiftslagen). För att det ska bli tydligt bör tredje man definieras i ramlagen som någon annan än den regi- strerade, den personuppgiftsansvarige, dataskyddsombudet, per- sonuppgiftsbiträdet och sådana personer som under den person- uppgiftsansvariges eller personuppgiftsbiträdets direkta ansvar har rätt att behandla personuppgifter.

Det bör alltså tas in en regel i ramlagen om att information bör lämnas om uppgifter i ofärdig text eller minnesanteckningar har lämnats ut till tredje man, om uppgifterna behandlas enbart för

399

Enskildas rättigheter

SOU 2017:29

vetenskapliga, statistiska eller historiska ändamål eller arkivändamål av allmänt intresse eller, när det gäller löpande text som inte fått sin slutliga utformning, om uppgifterna har behandlats längre än ett år. Begränsningen av den registrerades rätt till information i ofärdiga texter och minnesanteckningar är då enligt utredningens uppfatt- ning såväl nödvändig som proportionerlig.

Ett beslut om att begränsa tillgången till denna typ av informa- tion får enligt utredningens förslag överklagas till allmän förvalt- ningsdomstol (se avsnitt 14.4).

11.3.4Orimliga eller uppenbart ogrundade framställningar

Utredningens förslag: Om en begäran om personrelaterad in- formation är orimlig eller uppenbart ogrundad får den person- uppgiftsansvarige avslå den.

Om någon begär sådan information eller uppgifter oftare än en gång per år, får den personuppgiftsansvarige ta ut en rimlig avgift eller avslå begäran.

Skälen för utredningens förslag

Innehållet i direktivet

Om en registrerads begäran om information är uppenbart ogrun- dad eller orimlig, särskilt på grund av att den är repetitiv, får den personuppgiftsansvarige enligt artikel 12.4 antingen ta ut en rimlig avgift för de administrativa kostnaderna för att tillhandahålla infor- mationen eller vägra att tillmötesgå begäran. Den personuppgifts- ansvarige har bevisbördan för att en begäran är uppenbart ogrundad eller orimlig.

En begäran som är orimlig eller uppenbart ogrundad ska avslås

Av skäl 40 framgår att en begäran om information kan vara orimlig om en sökande utan skäl och vid upprepade tillfällen begär uppgif- ter och uppenbart ogrundad om en sökande missbrukar sin rätt till information genom att exempelvis lämna felaktiga eller missvisande

400

SOU 2017:29

Enskildas rättigheter

uppgifter i sin begäran. Enligt utredningens mening kan begäran också vara orimlig om sökanden inte lämnar sådana uppgifter om sin identitet att det blir möjligt att söka efter informationen utan ytterligare efterforskningar.

Andra omständigheter som enligt utredningen kan göra att en begäran anses vara orimlig är att den är så oprecis att det skulle vara närmast omöjligt att besvara den. Det kan vara fallet t.ex. om begä- ran avser en större myndighets hela verksamhet, särskilt om den har många olika arbetsuppgifter. Normalt bör i sådana fall begäran kunna preciseras till viss verksamhet, visst ärende eller någon annan liknande avgränsning.

En myndighet bör enligt utredningens mening aldrig vara skyl- dig att tillgodose en begäran om information som är uppenbart ogrundad. Detsamma bör gälla en begäran som är orimlig av något annat skäl än att den är repetitiv, dvs. återkommande. Möjligheten att mot avgift besvara en begäran som är uppenbart ogrundad eller orimlig på annat sätt än att den är återkommande, bör därför inte utnyttjas. I stället bör begäran om information avslås. En bestäm- melse om det bör tas in i ramlagen.

Upprepad begäran ska besvaras mot avgift eller avslås

En begäran om information som är orimlig på grund av att den återupprepas bör antingen besvaras mot avgift eller avslås. Ut- gångspunkten bör vara att den personuppgiftsansvarige i första hand tar ut en rimlig avgift för de kostnader som begäran förorsa- kar och i andra hand vägrar att lämna den begärda informationen. Om en myndighet avser att ta ut avgift för informationen bör den först underrätta sökanden om det och förhöra sig om han eller hon vidhåller sin begäran.

Frågan är hur ofta det är rimligt att sökanden ska kunna få in- formation utan att betala avgift för det. I dag har den registrerade enligt 26 § personuppgiftslagen rätt till gratis information om be- handlingen av hans eller hennes personuppgifter högst en gång per kalenderår. Paragrafen genomför artikel 12 a i det nu gällande direktivet, som föreskriver att den registrerade med rimliga inter- vall ska få viss information. Samma uttryck finns i skäl 43 i det nya direktivet, där det framgår att fysiska personer med rimliga intervall

401

Enskildas rättigheter

SOU 2017:29

bör ha rätt att få tillgång till insamlade uppgifter som rör dem för att kunna kontrollera att behandlingen är laglig.

Utredningen anser att dagens ordning med avgiftsfri informa- tion en gång per år tillgodoser den enskildes rätt att med rimliga intervall hålla sig underrättad om hans eller hennes personuppgifter behandlas och om behandlingen är författningsenlig. Tidsintervallet är samtidigt anpassat så att den personuppgiftsansvariges arbetsin- sats inte blir orimligt betungande. Om information begärs oftare än en gång per år bör det däremot anses som orimligt på grund av att begäran är återkommande. En bestämmelse om att den personupp- giftsansvarige i dessa fall får ta ut rimlig avgift eller avslå begäran bör därför tas in i ramlagen. Det ger den enskilde möjlighet att begära information så ofta han eller hon önskar, men tvingar inte den personuppgiftsansvarige att behandla alla framställningar på samma sätt. Den personuppgiftsansvarige får med utgångspunkt i begäran avgöra om den ska besvaras mot avgift eller avslås. När- mare anvisningar för vad som gäller i fråga om avgifter bör kunna meddelas av regeringen eller den myndighet som regeringen be- stämmer. Vad som kan vara en rimlig avgift för att lämna informa- tion kan regleras t.ex. i avgiftsförordningen (1992:191).

Utredningen återkommer i avsnitt 11.5.7 och 11.5.8 till de formella kraven på besluten.

11.4Rättelse, radering och begränsning av behandlingen

11.4.1Rätten till rättelse och komplettering

Utredningens förslag: Den personuppgiftsansvarige ska på be- gäran av den registrerade utan onödigt dröjsmål rätta eller kom- plettera personuppgifter som rör honom eller henne om de är felaktiga eller ofullständiga med hänsyn till ändamålet med be- handlingen.

402

SOU 2017:29

Enskildas rättigheter

Skälen för utredningens förslag

Innehållet i direktivet

Artikel 16.1 reglerar den registrerades rätt att utan onödigt dröjs- mål få felaktiga personuppgifter rättade och – med beaktande av ändamålet med behandlingen – att få ofullständiga personuppgifter kompletterade. Enligt skäl 47 ska särskilt felaktiga faktauppgifter rättas. Rätten gäller oberoende av det grundläggande kravet i arti- kel 4.1 d att den personuppgiftsansvarige på eget initiativ ska rätta felaktiga personuppgifter.

Nuvarande reglering

I personuppgiftslagen finns det både en regel om skyldigheten för den personuppgiftsansvarige att självmant rätta felaktiga person- uppgifter och en regel om rätten för den registrerade att begära rättelse. Enligt 28 § personuppgiftslagen, som genomför arti- kel 12 b i det nu gällande direktivet, är den personuppgiftsansvarige skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i en- lighet med personuppgiftslagen eller föreskrifter som har utfärdats med stöd av lagen.

Det finns även regler om rättelse i 26 § förvaltningslagen, 30 kap. 13 § och 48 kap. 12 a § rättegångsbalken och 32 § förvalt- ningsprocesslagen. Reglerna om rättelse i förvaltningslagen och de processrättsliga regelverken medför emellertid, till skillnad från regeln om rättelse i personuppgiftslagen, ingen skyldighet för myn- digheten att rätta eller någon rätt för enskilda att begära rättelse. Reglerna gäller dessutom enbart rättelse av uppgifter i beslut och domar eller motsvarande (jfr SOU 2015:39 s. 564 f. och 569 f.).

Rätten att begära rättelse

Att de personuppgifter som behandlas är korrekta är av grundläg- gande betydelse både för myndigheternas verksamhet och för en- skilda. I ramlagen bör det därför finnas en regel om rätt för den registrerade att begära rättelse. Skyldigheten för den personupp- giftsansvarige att självmant vidta åtgärder när det upptäcks att per-

403

Enskildas rättigheter

SOU 2017:29

sonuppgifter är felaktiga, ofullständiga eller inaktuella behandlas i avsnitt 9.2.6. Här diskuteras således enbart rätten för registrerade att begära att den personuppgiftsansvarige rättar felaktiga eller ofullständiga uppgifter.

Om en registrerad har begärt att få en ofullständig uppgift kompletterad ska han eller hon enligt direktivet ha rätt att lämna en kompletterande inlaga. Enligt utredningens mening är det oklart vad bestämmelsen syftar på. En möjlig tolkning är att den registre- rade ska ha rätt att ge in en skrivelse till den personuppgiftsansva- rige där den registrerade utvecklar skälen för begäran. Den rätten följer redan av förvaltningslagen och de processrättsliga regelver- ken och behöver därför inte regleras.

Den personuppgiftsansvarige ska enligt direktivet vidta den be- gärda åtgärden utan onödigt dröjsmål. Enligt utredningens mening bör den personuppgiftsansvarige skyndsamt utreda frågan och, om det är motiverat, så fort som möjligt genomföra rättelse eller korri- gering. Den personuppgiftsansvarige får således inte av bekvämlig- hetsskäl vänta med att rätta och korrigera uppgifter till dess att de ändå ska uppdateras, om det är möjligt att göra det tidigare (jfr Öman m.fl. s. 417).

Felaktiga och ofullständiga uppgifter

I avsnitt 9.2.2 diskuteras vad som avses med att en personuppgift är korrekt. Att en felaktig eller ofullständig personuppgift rättas eller kompletteras kan innebära att den ersätts av en annan uppgift som är korrekt ur ett objektivt perspektiv eller kompletteras med en uppgift om de rätta förhållandena så att den blir fullständig i objek- tiv mening. Det kan vara fråga om t.ex. ett felaktigt namn eller att endast delar av ett namn har återgetts i en handling. Det kan även vara fråga om något fel som uppstått på grund av ett tekniskt förfarande. Det ska alltså röra sig om ett fel eller en ofullständighet på grund av något som inte bygger på en bedömning.

I ramlagen bör det regleras att den personuppgiftsansvarige på begäran ska rätta eller komplettera personuppgifter som rör den registrerade om de är felaktiga eller ofullständiga med hänsyn till ändamålet med behandlingen. Att den personuppgiftsansvarige ska ta hänsyn till ändamålet med behandlingen vid bedömningen av om

404

SOU 2017:29

Enskildas rättigheter

felaktiga personuppgifter ska rättas framgår av artikel 4.1 d. Det är dessutom en nödvändig del av prövningen av om en personuppgift är felaktig.

Den registrerade bör inte ges rätt att kräva att den personupp- giftsansvarige rättar inaktuella uppgifter. Rätten till rättelse i arti- kel 16.1 omfattar nämligen inte inaktuella uppgifter. Däremot är den personuppgiftsansvarige skyldig att – om det är nödvändigt – självmant uppdatera uppgifter som är inaktuella (se avsnitt 9.2.6).

En felaktig uppgift kan också rättas på det sättet att den tas bort utan att ersättas. Om en uppgift om en person har antecknats fel- aktigt i ett register, t.ex. om förväxling med en annan person har lett till en felaktig anteckning i misstankeregistret eller belastnings- registret, ska uppgiften rättas genom att den tas bort från registret (jfr JO:s kritik mot bl.a Säkerhetspolisen för passivitet i ett ärende om rättelse av uppgifter i belastningsregistret i JO 2007/08 s. 67).

11.4.2Rätten till radering

Utredningens förslag: På begäran av den registrerade ska den personuppgiftsansvarige utan onödigt dröjsmål radera person- uppgifter som rör honom eller henne om de behandlas på otill- låtet sätt. Detsamma gäller om radering krävs för att den per- sonuppgiftsansvarige ska utföra en rättslig förpliktelse.

Skälen för utredningens förslag

Innehållet i direktivet och nuvarande reglering

Enligt artikel 16.2 har den registrerade rätt att begära att den per- sonuppgiftsansvarige utan onödigt dröjsmål raderar personuppgif- ter som rör den registrerade dels om behandlingen står i strid med de bestämmelser som antas enligt artiklarna 4, 8 och 10, dels om det krävs för att den personuppgiftsansvarige ska utföra en rättslig förpliktelse. Enligt artikel 4.1 d är den personuppgiftsansvarige skyldig att på eget intiativ se till att vissa personuppgifter raderas.

Enligt 28 § personuppgiftslagen, som genomför artikel 12 b i det nu gällande direktivet, är den personuppgiftsansvarige skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna

405

Enskildas rättigheter

SOU 2017:29

sådana personuppgifter som inte har behandlats i enlighet med per- sonuppgiftslagen eller föreskrifter som har utfärdats med stöd av lagen.

Radering om personuppgifter behandlas i strid med ramlagen

På samma sätt som när det gäller rättelse bör radering kunna göras dels på den personuppgiftsansvariges eget initiativ, dels på begäran av registrerade. I avsnitt 9.2.6 behandlas den personuppgiftsansva- riges skyldighet att självmant vidta åtgärder om personuppgifter behandlas i strid med vissa bestämmelser i ramlagen. Rätten för registrerade att i motsvarande fall begära att den personuppgiftsan- svarige raderar uppgifterna bör regleras i ramlagen.

Hur personuppgifter ska behandlas diskuteras i kapitel 9. Där föreslås att det i ramlagen ska tas in bestämmelser om att person- uppgifter ska vara adekvata och relevanta, att inte fler personupp- gifter än nödvändigt får behandlas och att de bara får behandlas om det finns en rättslig grund och för särskilt angivna ändamål. Vidare föreslås att det ska regleras i vilken utsträckning känsliga person- uppgifter får behandlas och hur länge personuppgifter får behand- las. Frågan om en personuppgift bör raderas får bedömas mot bak- grund av dessa bestämmelser. Vid bedömningen ska även 2 kap. tryckfrihetsförordningen och det arkivrättsliga regelverket beaktas.

Radering för att utföra en rättslig förpliktelse

Utredningen föreslår i avsnitt 9.2.6 att den personuppgiftsansvarige ska vara skyldig att på eget initiativ radera personuppgifter om det krävs för att utföra en rättslig förpliktelse. Den registrerade bör därför också kunna begära att personuppgifter raderas på denna grund, vilket bör framgå av ramlagen. Uttrycket rättslig förpliktel- se syftar enligt utredningens mening på en skyldighet som åligger den personuppgiftsansvarige enligt ramlagen, den behöriga myn- dighetens registerförfattning eller andra författningar med be- stämmelser om personuppgiftsbehandling. Ett domstolsbeslut som innebär att personuppgiften ska raderas kan också vara en rättslig förpliktelse (jfr Segerstedt-Wiberg mot Sverige). Även i dessa fall

406

SOU 2017:29

Enskildas rättigheter

ska 2 kap. tryckfrihetsförordningen och det arkivrättsliga regelver- ket beaktas.

Uppgifter i allmänna handlingar

En grundläggande princip i svensk rätt är att allmänheten ska ha insyn i det allmännas verksamhet. I 2 kap. 18 § tryckfrihetsförord- ningen föreskrivs därför att grundläggande bestämmelser om hur allmänna handlingar ska bevaras och om gallring och annat avhän- dande av sådana handlingar ska meddelas i lag. Det som åsyftas är arkivlagen (1990:782), vilken kompletteras av arkivförordningen (1991:446) och Riksarkivets föreskrifter.

Många av de behöriga myndigheternas handlingar är allmänna och omfattas därmed av offentlighetsprincipen. Arkivlagstiftningen har företräde framför personuppgiftslagstiftningen på så sätt att intresset av att bevara allmänna handlingar har prioritet framför skyddet för personlig integritet. Det framgår av 8 § andra stycket personuppgiftslagen. I avsnitt 9.3.2 föreslås att en motsvarande be- stämmelse ska tas in i ramlagen. Utrymmet för att radera uppgifter i allmänna handlingar begränsas därmed av arkivlagstiftningen. Eftersom radering av uppgifter innebär att personuppgifter tas bort från informationssamlingar på ett sådant sätt att de inte kan åter- skapas, bör en sådan åtgärd bara vidtas om den är förenlig med arkivlagstiftningen. För att radera personuppgifter i allmänna hand- lingar krävs därför författningsstöd för gallring. Utrymmet för att radera personuppgifter i allmänna handlingar på grund av att per- sonuppgifterna inte har behandlats författningsenligt förefaller därför vara begränsat (jfr bl.a. SOU 2015:39 s. 529 och 573 f.).

11.4.3Begränsning av behandlingen

Utredningens förslag: Om förutsättningarna för att radera per- sonuppgifter är uppfyllda, men uppgifterna behöver finnas kvar som bevisning, ska den personuppgiftsansvarige på begäran av den registrerade i stället utan onödigt dröjsmål begränsa be- handlingen av dem.

407

Enskildas rättigheter

SOU 2017:29

Om den registrerade bestrider att personuppgifter som rör honom eller henne är korrekta och det inte kan fastställas, ska den personuppgiftsansvarige utan onödigt dröjsmål begränsa behandlingen av uppgifterna.

Skälen för utredningens förslag

Innehållet i direktivet

Enligt artikel 16.3 ska den personuppgiftsansvarige, i stället för att radera personuppgifterna, kunna begränsa behandlingen av dem dels om den registrerade bestrider att personuppgifterna är kor- rekta och det rätta förhållandet inte kan fastställas, dels om person- uppgifterna ska sparas som bevisning. Uttrycket begränsning av behandling definieras i artikel 3.3 som en markering av lagrade per- sonuppgifter med syftet att begränsa behandlingen av dem i fram- tiden.

Nuvarande reglering

Dagens motsvarighet till begränsning av behandling är blockering. Blockering av personuppgifter definieras i 3 § personuppgiftslagen som en åtgärd som vidtas för att personuppgifterna ska vara för- knippade med information om att de är spärrade och om anled- ningen till spärren, för att personuppgifterna inte ska lämnas ut till tredje man annat än med stöd av 2 kap. tryckfrihetsförordningen. Det innebär att blockerade personuppgifter får användas internt av den personuppgiftsansvarige och av personuppgiftsbiträdet, under förutsättning att det framgår att uppgifterna är spärrade och anled- ningen till åtgärden. Däremot får personuppgifterna inte lämnas ut till tredje man, förutom enligt 2 kap. tryckfrihetsförordningen (prop. 1997/98:44 s. 117).

Enligt 28 § personuppgiftslagen är, som tidigare nämnts, den personuppgiftsansvarige skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med personuppgiftslagen eller före- skrifter som har utfärdats med stöd av lagen.

408

SOU 2017:29

Enskildas rättigheter

Vad avses med begränsning av behandling?

Frågan är vad som i direktivet åsyftas med att behandling av per- sonuppgifter begränsas. Där definieras begränsning av behandling som en markering av lagrade personuppgifter i syfte att begränsa behandlingen av dem i framtiden. Det skiljer sig från blockering, som innebär att personuppgifterna förses med information om att de inte ska lämnas ut till tredje man (annat än med stöd av offent- lighetsprincipen) och om anledningen till det. Sådana personupp- gifter får dock fortfarande behandlas av den personuppgiftsansva- rige eller av personuppgiftsbiträden.

Av skäl 47 framgår att om behandlingen av personuppgifter har begränsats i stället för att de raderas, bör uppgifterna endast be- handlas för det ändamål som förhindrade raderingen. Som exempel på begränsning av behandling anges att personuppgifterna flyttas till ett annat databehandlingssystem, t.ex. ett system för arkivering, eller att uppgifterna görs otillgängliga med hjälp av tekniska medel. Det talar för att begränsning av behandling i direktivets mening är något utöver enbart en markering av personuppgifterna. Utred- ningen anser att behandlingen ska begränsas redan i samband med markeringen för att åtgärden ska bli effektiv. Det innebär att direktivets definition blir missvisande. En definition som uttalar att begränsning av behandling är en åtgärd som visar att behandlingen av personuppgifter har begränsats tillför inte något i sak. Uttrycket bör därför inte definieras.

Begränsning när personuppgifterna behöver finnas kvar som bevisning

Begränsning av behandling kan aktualiseras om personuppgifterna behöver finnas kvar som bevisning. Begränsningen ska då göras i stället för att radera personuppgifterna. Radering kan bara komma i fråga om uppgifterna behandlas otillåtet (se avsnitt 11.4.2). I skäl 47 framhålls att behandlingen av personuppgifter bör begrän- sas snarare än att uppgifterna raderas, om det finns rimliga skäl att anta att en radering skulle kunna påverka den registrerades legitima intressen. Ett exempel kan vara att uppgifterna kan behövas som bevisning i en rättsprocess om skadestånd för otillåten personupp- giftsbehandling.

409

Enskildas rättigheter

SOU 2017:29

Det kan ligga både i den registrerades och i det allmännas intresse att personuppgifter i vissa fall behålls en tid i stället för att raderas. Det är oklart vad som avses i direktivet med att person- uppgifterna behöver sparas som bevisning. Det kan tolkas som att uppgifterna behövs som bevisning om vad som förekommit vid personuppgiftsbehandlingen. Det skulle dock även kunna syfta på att det är fråga om uppgifter som behövs som bevisning i det all- männas intresse, dvs. för något av direktivets huvudsyften brotts- bekämpning, lagföring eller straffverkställighet. Mot det talar skäl 47, som enbart hänvisar till den registrerades legitima intres- sen. Utredningen anser därför att begränsning av behandlingen i stället för radering bara bör komma ifråga när personuppgifterna behöver sparas som bevisning om hur de har behandlats. Om per- sonuppgifter behålls i bevissyfte bör enligt utredningens mening uppgifterna endast få behandlas för det ändamål som förhindrade radering.

Ett exempel på att personuppgifter har sparats som bevisning är det s.k. kringresanderegistret där uppgifter behandlades i strid med polisdatalagen och där uppgifterna därför togs bort. Två kopior sparades dock för att myndigheten skulle kunna besvara frågor om vilka som förekom i registret och för att uppgifterna eventuellt skulle kunna användas som bevisning (se bl.a. SOU 2015:39 s. 574 och 645 f.).

Begränsning när personuppgifternas korrekthet bestrids

Begränsning av behandlingen kan också komma i fråga om den registrerade bestrider att personuppgifterna är korrekta, men det inte är möjligt att fastställa om så är fallet. En felaktig personupp- gift ska rättas utan onödigt dröjsmål. Om den personuppgiftsan- svariges utredning om den omstridda personuppgiften inte kan slutföras tillräckligt snabbt bör behandlingen begränsas under ut- redningstiden. Uppgifterna får då inte behandlas av den personupp- giftsansvarige eller personuppgiftsbiträden annat än för det ända- mål som föranledde begränsningen. Om det efter utredning visar sig att personuppgifterna är korrekta kan behandlingen av dem fortsätta som tidigare. Begränsningen bör då upphävas. Innan dess ska dock den registrerade underrättas om att begränsningen upp-

410

SOU 2017:29

Enskildas rättigheter

hör (se avsnitt 11.5.8). Skulle det visa sig att personuppgifterna är felaktiga ska den personuppgiftsansvarige rätta dem, varefter be- gränsningen kan upphöra.

Begränsning på denna grund ska enligt direktivet användas i stället för radering. Åtgärden kan emellertid enligt utredningens uppfattning inte vara ett alternativ till radering, eftersom den ska användas när uppgifters korrekthet bestrids och därför knyter an till rättelseförfarandet.

Åtgärd som visar att behandlingen har begränsats

Den personuppgiftsansvarige ska vidta en åtgärd med personupp- gifterna som visar att behandlingen har begränsats. Hur begräns- ningen bör göras får bedömas med utgångspunkt i vad som är lämpligt i det enskilda fallet. En naturlig åtgärd kan vara att avskilja uppgifterna från det datasystem där de behandlas. Begränsningen kan också ha formen av en teknisk begränsning, vilket kan vara en lämplig åtgärd medan personuppgifternas korrekthet utreds. En tredje möjlighet att begränsa behandlingen är att inskränka till- gången till uppgifterna.

Har behandlingen av en personuppgift begränsats får uppgiften som utgångspunkt inte längre behandlas av vare sig den person- uppgiftsansvarige eller ett personuppgiftsbiträde utom för det syfte som har föranlett begränsningen. Har en personuppgift behandlats på otillåtet sätt måste den ändå kunna behandlas inom ramen för en utredning av om brott har begåtts i samband med behandlingen eller om någon tjänsteman vid behandlingen gjort sig skyldig till fel som kan föranleda disciplinansvar eller skadestånd. Det beror på felets karaktär om all behandling av personuppgiften måste upp- höra eller om det bara gäller behandlingen i viss verksamhet.

Oavsett vilken åtgärd som vidtas för att begränsa behandlingen är den inte avsedd att vara permanent. När personuppgifterna inte längre behöver finnas kvar som bevisning ska de raderas och när ut- redningen om personuppgifternas korrekthet är avslutad ska be- gränsningen av behandlingen upphöra och uppgifterna antingen fortsätta att behandlas eller rättas.

Begränsning av behandlingen bör i likhet med de andra korrige- rande åtgärderna genomföras utan onödigt dröjsmål.

411

Enskildas rättigheter

SOU 2017:29

Rätten att begära begränsning av behandlingen

Det är inte tydligt i direktivet om enskilda ska ha rätt att begära begränsning av behandlingen. Av artikel 16.3 kan inte en sådan rätt utläsas. Å andra sidan föreskrivs det i artiklarna 13.1 e och 14 e att den registrerade ska informeras om rätten att begära begränsning av behandlingen. Även skäl 40 och 42 ger intryck av att den registre- rade ska ha en sådan rätt. Utredningen anser att registrerade bör ha den rätten om personuppgifterna behöver finnas kvar som bevis- ning. Registrerade får i sådana fall begära radering och bör därför också kunna begära den mindre ingripande åtgärden begränsning av behandlingen. Det är tillåtet att ha starkare skyddsåtgärder än dem som fastställs i direktivet och i det här fallet anser utredningen att det är motiverat. I ramlagen bör det således tas in en bestämmelse om rätt för den registrerade att begära begränsning av behandlingen i de fall där personuppgifterna behöver finnas kvar som bevisning.

11.4.4Val av åtgärd

Utredningens förslag: Den personuppgiftsansvarige avgör vil- ken åtgärd som ska vidtas med anledning av en begäran om rät- telse, radering eller begränsning av behandlingen.

Skälen för utredningens förslag: Enligt förarbetena till person- uppgiftslagen väljer den personuppgiftsansvarige själv vilket alter- nativ som ska användas av rättelse, utplånande eller blockering (prop. 1997/98:44 s. 87). Den ordningen bör även gälla i fråga om rättelse, radering eller begränsning av behandlingen enligt ram- lagen. Den personuppgiftsansvarige bör därför inte endast pröva om den åtgärd som begärs av den registrerade ska vidtas eller inte, utan är fri att välja en annan åtgärd om den är lämpligare. Det följer av att den personuppgiftsansvarige ska vara skyldig att vidta alla rimliga åtgärder för att rätta personuppgifter som är felaktiga eller ofullständiga och för att radera eller begränsa behandlingen av personuppgifter som har behandlats otillåtet. För att det ska vara tydligt bör det framgå av ramlagen att den personuppgiftsansvarige inte är bunden av begäran utan självständigt avgör vilken åtgärd som bör vidtas.

412

SOU 2017:29

Enskildas rättigheter

Den personuppgiftsansvarige ska alltså se till att den lämpligaste åtgärden vidtas oavsett vad som begärs. En åtgärd kan emellertid inte vidtas om den strider mot annan lagstiftning. Det innebär t.ex. att en myndighet inte kan radera uppgifter i en allmän handling utan författningsstöd för gallring.

11.5Hur informationen ska begäras och lämnas

11.5.1Kraven på informationen och på den som begär information

I direktivet anges vissa allmänna krav på hur den personuppgiftsan- svarige ska tillhandahålla information. Det handlar om att den in- formation som lämnas ska vara kortfattad, lättillgänglig och lättbe- griplig och lämnas i lämplig form. Information om handläggningen ska lämnas. Vidare ska informationen som huvudregel vara avgifts- fri. Reglerna syftar till att underlätta den registrerades möjligheter att ta tillvara sina rättigheter. Direktivet innehåller även bestäm- melser om den personuppgiftsansvariges skyldighet att underrätta såväl enskilda som andra om vissa beslut.

Det ställs däremot få krav i direktivet på den som begär att få information av den personuppgiftsansvarige. Indirekt kan det ut- läsas vissa sådana krav, t.ex. genom att den personuppgiftsansvarige har rätt att vägra att lämna information i vissa fall.

11.5.2Skriftlig begäran

Utredningens förslag: Kraven på en begäran om information eller att en åtgärd ska vidtas ska regleras i förordning.

Skälen för utredningens förslag: Direktivet innehåller som nyss nämnts inga direkta bestämmelser om vad som krävs av den som begär information eller att en korrigeringsåtgärd ska vidtas. I 26 § andra stycket personuppgiftslagen föreskrivs att en ansökan ska göras skriftligen hos den personuppgiftsansvarige och vara under- tecknad av sökanden. Kravet på egenhändigt undertecknande inne- bär att ett ombud inte kan underteckna ansökan. Däremot kan vårdnadshavare och andra ställföreträdare underteckna ansökan för

413

Enskildas rättigheter

SOU 2017:29

den som inte har rätt att själv begära information eller åtgärder. Något krav på egenhändigt undertecknad ansökan ställs inte i det nu gällande direktivet. Det härrör i stället från en bestämmelse om registerutdrag i 10 § datalagen (1973:289). Syftet med kravet är att säkerställa att det är den registrerade som får tillgång till informa- tionen (SOU 1997:39 s. 389 och prop. 1997/98:44 s. 82).

Enligt Datainspektionens allmänna råd medför kravet på att an- sökan ska vara undertecknad av sökanden att ansökan måste göras på papper (Information till registrerade, Datainspektionens all- männa råd, maj 2000). Informationshanteringsutredningen menar att det viktiga i sammanhanget är att kunna kontrollera att begäran verkligen härrör från den registrerade själv (SOU 2015:39 s. 500). Utredningen delar den uppfattningen. I dagens informationssam- hälle, där allt fler privatärenden utförs elektroniskt, är det enligt utredningens mening av vikt att ansökan kan göras på olika sätt, även elektroniskt. Det ligger också i linje med avsikten att under- lätta för den registrerade att utöva sina rättigheter (jfr artikel 12). Det är en generell målsättning inom EU är att undanröja hinder mot elektroniska transaktioner, se t.ex. Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elek- tronisk identifiering och betrodda tjänster för elektroniska transak- tioner på den inre marknaden och om upphävande av direktiv 1999/93/EG.

Regleringen bör därför vara teknikneutral. Begäran bör liksom i dag vara skriftlig, men kunna göras både på papper och elektro- niskt. Det kan regleras i förordning. Det kan också vara en fördel om det utformas gemensamma krav för olika typer av framställ- ningar, men det kan regleras på lägre föreskriftsnivå.

11.5.3Åtgärder för att säkerställa att begäran görs av en behörig person

Utredningens förslag: Att det ska säkerställas att begäran görs av en behörig person ska regleras i förordning.

Skälen för utredningens förslag: Om det finns skäl att ifrågasätta den registrerades identitet vid en begäran om information eller en korrigeringsåtgärd, får den personuppgiftsansvarige enligt arti-

414

SOU 2017:29

Enskildas rättigheter

kel 12.5 kräva den ytterligare information som är nödvändig för att bekräfta identiteten. Sådan information bör endast behandlas för det specifika ändamålet och inte lagras längre än vad som krävs för det ändamålet.

Som nyss nämnts är syftet med kravet på egenhändigt under- tecknande att garantera att det är den registrerade som får tillgång till personuppgifter och information eller begär att en åtgärd ska vidtas med personuppgifter som behandlas. Det bör givetvis undvi- kas att obehöriga får kännedom om integritetskänslig information om andra. Det finns emellertid möjlighet att fastställa den registre- rades identitet på annat sätt än genom en egenhändigt underteck- nad handling, t.ex. genom avancerad elektronisk underskrift. En annan möjlighet att säkerställa från vem begäran kommer kan vara att kontakta den registrerade.

Utredningen anser som framgått att det inte bör ställas krav på att en begäran ska vara undertecknad av den registrerade. Det bör även kunna godtas att den registrerade företräds av ett ombud. Det bör däremot enligt utredningens mening ställas krav på att den per- sonuppgiftsansvarige på lämpligt sätt säkerställer att begäran gjorts av en behörig person. Den personuppgiftsansvarige kan exempelvis ställa kontrollfrågor som bekräftar identiteten vid direktkontakt med den registrerade. Hur det närmare bör göras finns det inte an- ledning att gå in på här, men utgångspunkten bör vara att dels underlätta för den registrerade, dels ha en teknikneutral lösning. Det kan regleras i förordning att den personuppgiftsansvarige bör säkerställa att begäran görs av en behörig person.

11.5.4Lättbegriplig information i lämplig form

Utredningens förslag: Det ska regleras i förordning vilka krav som ställs på information till enskilda.

415

Enskildas rättigheter

SOU 2017:29

Skälen för utredningens förslag

Innehållet i direktivet

Enligt artikel 12.1 är den personuppgiftsansvarige skyldig att vidta rimliga åtgärder för att informationen till den registrerade om hans eller hennes rättigheter tillhandahålls i en koncis, begriplig och lättillgänglig form och på ett klart och tydligt språk. Det handlar om den information som den registrerade har rätt till enligt dels artikel 13, dels artiklarna 11, 14–18 och 31.

Informationen ska tillhandahållas på lämpligt sätt. Den person- uppgiftsansvarige ska i allmänhet lämna informationen i samma form som begäran. Av skäl 39 framgår att information till den regi- strerade bör vara lättåtkomlig, t.ex. genom att tillhandahållas på den personuppgiftsansvariges webbplats.

Nuvarande reglering

I dag ställs inte några särskilda krav på hur information till den registrerade ska utformas och lämnas, utöver att den i vissa fall ska lämnas på den personuppgiftsansvariges eget initiativ. I Datain- spektionens allmänna råd om information till registrerade framhålls att det är den personuppgiftsansvarige som har bevisbördan för att den registrerade har fått den information som krävs och att det där- för ligger i den personuppgiftsansvariges intresse att informationen är tydlig och begriplig. Om informationen bör lämnas muntligen eller skriftligen avgörs av omständigheterna i det enskilda fallet. Datainspektionen ger råd om hur information bör lämnas i olika situationer beroende på hur personuppgifterna samlas in. Inspek- tionen rekommenderar att den personuppgiftsansvarige utformar tydliga rutiner för hur information ska lämnas.

Förvaltningslagen innehåller bestämmelser om förvaltnings- myndigheternas serviceskyldighet och allmänna krav på handlägg- ning av ärenden. Enligt 7 § ska myndigheter sträva efter att ut- trycka sig lättbegripligt. Enligt 11 § språklagen (2009:600) ska språ- ket i offentlig verksamhet vara vårdat, enkelt och begripligt.

416

SOU 2017:29

Enskildas rättigheter

Behövs det särskild reglering?

Regleringen i förvaltningslagen och språklagen innebär att det redan finns generella krav på begriplighet och klart och tydligt språk som gäller i offentlig verksamhet. Det innebär att kraven i direktivet är uppfyllda för större delen av den verksamhet som ramlagen omfattar. Det kan dock ändå finnas skäl att ha en särskild bestämmelse om att information till registrerade om personupp- giftsbehandling ska vara lättillgänglig och lättbegriplig, eftersom det är ett så komplext ämne. I att den ska vara lättillgänglig och lättbegriplig ligger att den normalt bör vara kortfattad. Frågan kan regleras i förordning.

Det bör även framgå att informationen ska lämnas i lämplig form. Med form avser utredningen både på vilket sätt informatio- nen förmedlas (skriftligen eller muntligen) och på vilket medium den ges (t.ex. på myndighetens webbplats eller i en broschyr). I direktivet anges att informationen som utgångspunkt ska lämnas i samma form som begäran och att ett lämpligt sätt att tillhandahålla information är att göra det elektroniskt. Vad som är lämplig form beror enligt utredningens mening på vilken information det är fråga om, i vilken situation den lämnas, vilket behov den enskilde har och de tekniska möjligheterna. Det bör därför inte regleras närmare.

11.5.5Åtgärder som underlättar utövandet av rättigheterna

Utredningens bedömning: Att den personuppgiftsansvarige ska underlätta för den registrerade att ta tillvara sina rättigheter kräver inga lagstiftningsåtgärder.

Skälen för utredningens bedömning: Enligt artikel 12.2 ska den personuppgiftsansvarige underlätta utövandet av den registrerades rättigheter. I skäl 40 framhålls särskilt rutiner för att kostnadsfritt begära och få tillgång till personuppgifter, rättelse, radering och begränsning av behandling.

Alla myndigheter har en i förvaltningslagen fastlagd serviceskyl- dighet. Det finns också allmänna krav på myndigheternas och dom- stolarnas handläggning. Även de förfaranderegler som gäller i mål- och ärendehantering hos de behöriga myndigheterna innehåller

417

Enskildas rättigheter

SOU 2017:29

sådana bestämmelser. Enligt 4 § förvaltningslagen ska varje myn- dighet lämna upplysningar, vägledning, råd och annan sådan hjälp till enskilda i frågor som rör myndighetens verksamhetsområde. Hjälpen ska lämnas i den utsträckning som är lämplig med hänsyn till frågans art, den enskildes behov av hjälp och myndighetens verksamhet. Det innebär att myndigheten ska hjälpa enskilda att ta tillvara sin rätt i angelägenheter inom dess verksamhetsområde. Det kan gälla exempelvis upplysningar om hur man gör en ansökan, råd om vilka handlingar som bör bifogas och hjälp med att fylla i blan- ketter. I 7 § förvaltningslagen föreskrivs att myndigheten ska underlätta den enskildes kontakter med myndigheten. Det finns delvis likartade bestämmelser för domstolarna.

Bestämmelsen i artikel 12.2 är generellt utformad och närmast att se som en inledande bestämmelse till de efterföljande punkterna i artikeln, som preciserar vad den personuppgiftsansvarige ska göra för att underlätta för den registrerade att utöva sina rättigheter. Enligt utredningens uppfattning behöver artikel 12.2 därför inte genomföras i svensk rätt.

11.5.6Skyldighet att informera om handläggningen

Utredningens bedömning: Skyldigheten att informera om handläggningen kräver inga lagstiftningsåtgärder.

Skälen för utredningens bedömning: Den personuppgiftsansva- rige ska enligt artikel 12.3 utan onödigt dröjsmål skriftligen infor- mera den registrerade om uppföljningen av hans eller hennes begä- ran.

Artikel 12.3 syftar enligt utredningens uppfattning till att för- hindra att den personuppgiftsansvarige dröjer alltför länge med att behandla en registrerads begäran om information eller om en kor- rigeringsåtgärd. Vilken information som ska lämnas i de fall där den personuppgiftsansvarige är skyldig att lämna svar framgår inte av direktivet, utöver att svaret ska vara en uppföljning av begäran. I artiklarna 12.3 och 12.4 i dataskyddsförordningen föreskrivs i mot- svarande bestämmelser att informationen ska avse de åtgärder som har vidtagits eller orsaken till att åtgärderna inte har vidtagits. Eftersom det inte finns motsvarande regler i direktivet menar ut-

418

SOU 2017:29

Enskildas rättigheter

redningen att det skulle leda för långt att begära att den person- uppgiftsansvarige ska ange vilka åtgärder som har vidtagits eller motivera varför några åtgärder inte vidtagits i anledning av begäran. Utredningen tolkar artikeln så att det som krävs av den personupp- giftsansvarige är att den registrerade informeras om hur begäran hanteras, dvs. status för handläggningen av den. Det ligger också i linje med svensk förvaltningstradition att kräva att den personupp- giftsansvarige när det begärs bekräftar att en handling tagits emot och anger om den är under handläggning eller inte.

När det gäller begäran om rättelse, radering eller begränsning av behandlingen föreskrivs att åtgärderna ska vidtas utan onödigt dröjsmål (se avsnitt 11.4.1–3). Detsamma gäller begäran om per- sonrelaterad information (se avsnitt 11.2.8). Det kommer därför inte att finnas något behov av att informera om handläggningen annat än om det uppstår något oförutsett dröjsmål. Att den regi- strerade vid behov ska hållas informerad om handläggningen följer av allmänna förvaltningsrättsliga principer och den allmänna ser- viceskyldigheten i förvaltningslagen och kräver därför enligt utred- ningens mening inte några lagstiftningsåtgärder.

11.5.7Beslut ska vara skriftliga och motiverade

Utredningens förslag: Att beslut ska vara skriftliga och i vissa fall motiverade ska regleras i förordning.

Skälen för utredningens förslag: Enligt artikel 15.3 ska den per- sonuppgiftsansvarige skriftligen informera den registrerade om sådan information som avses i artikel 14 vägras eller begränsas och om skälen för att det görs. Av skäl 45 framgår att beslut om begränsning av information ska inkludera de faktiska och rättsliga skäl som beslutet grundar sig på. Det bör därför föreskrivas att beslut att inte lämna personrelaterad information ska vara skriftliga och motiverade.

Att den personuppgiftsansvarige kan vägra att lämna informa- tion om en begäran är orimlig eller uppenbart ogrundad eller ta ut avgift om begäran är återkommande behandlas i avsnitt 11.3.4. Be- slut om att ta ut avgift eller att inte lämna information bör vara skriftliga och motiverade.

419

Enskildas rättigheter

SOU 2017:29

Enligt artikel 16.4 ska den personuppgiftsanvarige underrätta den registrerade skriftligen om beslut att inte rätta, radera eller begränsa behandlingen. Besluten ska vara motiverade. Det bör där- för föreskrivas att beslut i fråga om rättelse, radering eller begräns- ning av behandlingen ska vara skriftliga. Beslut som går den regi- strerade emot ska också vara motiverade. Att skälen för besluten inte behöver lämnas ut i vissa fall behandlas i avsnitt 11.3.1.

Att besluten ska vara skriftliga och i vissa fall motiverade kan regleras i förordning.

11.5.8Underrättelseskyldighet

Utredningens förslag: Underrättelseskyldigheter knutna till enskildas rättigheter ska regleras i förordning.

Skälen för utredningens förslag

Innehållet i direktivet

Som nyss nämnts ska den personuppgiftsansvarige enligt arti- kel 15.3 utan onödigt dröjsmål skriftligen informera den registre- rade om sådan information som avses i artikel 14 vägras eller be- gränsas och om skälen för det. En sådan underrättelse kan enligt artikeln utelämnas om den skulle undergräva ändamålet med åtgär- den. Den personuppgiftsansvarige ska även underrätta den regi- strerade om möjligheten att lämna in klagomål till en tillsyns- myndighet eller begära rättslig prövning. Enligt artikel 15.4 ska den personuppgiftsansvarige dokumentera de sakliga och rättsliga grun- derna för beslutet. Informationen ska göras tillgänglig för tillsyns- myndigheterna.

Om den personuppgiftsansvarige inte har lämnat information till den registrerade eller inte uppgett skälen för beslut att avslå begäran om rättelse, radering eller begränsning av behandling ska enligt artikel 17.2 den registrerade underrättas om möjligheten att utöva rättigheterna genom tillsynsmyndigheten.

I de fall där behandlingen begränsas för att den registrerade be- strider att personuppgifterna är korrekta och det rätta förhållandet inte kan fastställas, ska enligt artikel 16.3 den personuppgiftsansva-

420

SOU 2017:29

Enskildas rättigheter

rige underrätta den registrerade innan begränsningen av behand- lingen upphävs. Enligt artikel 16.4 ska den personuppgiftsanvarige underrätta den registrerade skriftligen om ett beslut att inte rätta, radera eller begränsa behandlingen. Han eller hon ska också under- rättas om möjligheten att lämna in klagomål till en tillsynsmyndig- het eller begära rättslig prövning. Om en oriktig personuppgift har rättats ska enligt artikel 16.5 den personuppgiftsansvarige under- rätta den behöriga myndighet från vilken personuppgiften kom- mer. Artikel 16.6 föreskriver att om personuppgifter har rättats, raderats eller behandlingen av dem har begränsats ska den person- uppgiftsansvarige underrätta mottagarna om åtgärden. Mottagarna ska rätta eller radera personuppgifterna eller begränsa den behand- ling som utförs under deras ansvar.

Underrättelser till enskilda

Enligt förvaltningslagen, som tillämpas när en myndighet agerar i egenskap av personuppgiftsansvarig, ska beslut som regel motive- ras. Det gäller även för brottsbekämpande myndigheter och för domstolar i fråga om administrativa beslut. En myndighet som meddelar ett beslut ska även så snart som möjligt underrätta den som är part om det fullständiga innehållet i beslutet. Det krävs så- ledes inte någon lagstiftningsåtgärd för att uppfylla det kravet i artikel 15.3. Artikeln innehåller dock ett undantag från denna skyl- dighet, nämligen att den registrerade inte behöver underrättas om underrättelsen skulle undergräva ändamålet med åtgärden. Det kan vara fallet om skälen för beslutet skulle riskera att röja information som hänför sig till något av de intressen som enligt direktivet får läggas till grund för att begränsa informationen. Ett sådant undan- tag är enligt utredningens mening nödvändigt för att sökanden inte genom avslagsbeslutet ska kunna få del av information som han eller hon annars inte har rätt att få. Kraven på sådana beslut be- handlas i avnitt 11.5.7. Sökanden bör utan onödigt dröjsmål under- rättas om ett sådant beslut, om det inte skulle skada det intresse som föranleder att information inte har lämnats. Det kan regleras i förordning.

Att den personuppgiftsansvarige ska underrätta sökanden om möjligheten att begära rättslig prövning kräver inte någon lagstift-

421

Enskildas rättigheter

SOU 2017:29

ningsåtgärd, eftersom skyldigheten att upplysa enskilda om huru- vida ett beslut är överklagbart och hur det går till att överklaga följer av förvaltningslagen. Sökanden bör dock underrättas om möjligheten att lämna in klagomål till tillsynsmyndigheten och att begära att den kontrollerar om hans eller hennes personuppgifter behandlas författningsenligt. Det kan regleras i förordning. Under- rättelsen kan lämpligen lämnas i det beslut där den efterfrågade informationen begränsas eller inte lämnas ut.

Det krävs enligt utredningens mening inte heller någon bestäm- melse om att den personuppgiftsansvarige ska dokumentera de sak- liga och rättsliga grunderna för beslut och göra informationen till- gänglig för tillsynsmyndigheten. Grunderna för ett beslut ska en- ligt förvaltningslagen framgå av skälen. Tillsynsmyndighetens rätt att få tillgång till dokumentation för att kunna utöva tillsyn be- handlas i avsnitt 12.7.3.

Att den personuppgiftsansvarige kan vägra att lämna informa- tion om en begäran är orimlig eller uppenbart ogrundad eller ta ut avgift för den om begäran är återkommande behandlas i av- snitt 11.3.4 och kraven på sådana beslut i avsnitt 11.5.7. Sökanden bör underrättas om beslutet. Det kan regleras i förordning.

I avsnitt 11.5.7 behandlas också kraven på beslut om rättelse, radering eller begränsning av behandlingen. Den registrerade ska underrättas om beslutet och om möjligheten att lämna in klagomål till tillsynsmyndigheten. Om den personuppgiftsansvarige inte har angett skälen för beslutet att inte lämna information ska den regi- strerade också underrättas om möjligheten att begära att tillsyns- myndigheten kontrollerar om hans eller hennes personuppgifter behandlas författningsenligt. Det kan regleras i förordning.

Även skyldigheten att informera innan en begränsning av be- handling av personuppgifter upphör kan regleras i förordning.

Underrättelser till andra

Enligt 28 § personuppgiftslagen ska i vissa fall tredje man under- rättas om att personuppgifter har rättats. Den personuppgiftsan- svarige ska på begäran av den registrerade underrätta tredje man som fått uppgifterna om rättelsen. Någon underrättelse behöver dock inte lämnas om det skulle visa sig vara omöjligt eller skulle

422

SOU 2017:29

Enskildas rättigheter

kräva en oproportionerligt stor arbetsinsats. Paragrafen genomför artikel 12 c i det nu gällande direktivet, som också gör undantag från kravet på underrättelse till tredje man om det visar sig vara omöjligt eller innebär en oproportionerligt stor ansträngning.

När det gäller underrättelse till tredje man enligt artikel 16.6 medger direktivet inte ett sådant undantag som finns i 28 § person- uppgiftslagen. En underrättelse bör således alltid skickas på den personuppgiftsansvariges eget initiativ till mottagaren, om en per- sonuppgift har rättats eller raderats eller behandlingen av den har begränsats. Underrättelseskyldigheten bör så långt möjligt även gälla i förhållande till dem som tagit del av en felaktig personupp- gift eller en uppgift som behandlats otillåtet och som gjorts till- gänglig, t.ex. genom direktåtkomst. Underrättelseskyldigheten kan regleras i förordning. Vilka åtgärder som bör vidtas behandlas i avnitt 9.2.6.

Någon underrättelse bör inte krävas i den personuppgiftsansva- riges egen verksamhet. Det följer av de grundläggande kraven på behandling att den personuppgiftsansvarige ska se till att felaktiga personuppgifter inte behandlas. Den personuppgiftsansvarige har därför intresse av att inom den egna organisationen på lämpligt sätt sprida kännedom om de rättelser och ändringar som görs.

Enligt artikeln ska mottagare av personuppgifter som har rät- tats, raderats eller där behandlingen har begränsats vidta motsva- rande åtgärder med personuppgifter som behandlas under deras ansvar. Om en behörig myndighet underrättas om att en person- uppgift som den har tagit emot har rättats, raderats eller att be- handlingen av den har begränsats av den myndighet som överläm- nat den, ska den behöriga myndigheten pröva om motsvarande åtgärd även bör göras där. Skyldigheten att agera följer av förslaget om att den personuppgiftsansvarige ska vara skyldig att på eget initiativ rätta personuppgifter som är felaktiga eller ofullständiga, uppdatera personuppgifter som är inaktuella och radera eller be- gränsa behandlingen av personuppgifter som har behandlats på ett otillåtet sätt (se avsnitt 9.2.6). Någon ytterligare reglering behövs därför inte. Eftersom myndigheter kan ha olika ändamål för be- handlingen behöver dock en korrigeringsåtgärd hos en myndighet inte alltid leda till samma åtgärd hos en annan, trots att det är fråga om samma personuppgift.

423

Enskildas rättigheter

SOU 2017:29

Om en felaktig eller ofullständig personuppgift har rättats eller kompletterats ska den personuppgiftsansvarige underrätta den myndighet från vilken personuppgiften kommer. En bestämmelse om det bör tas in förordning.

11.5.9Information ska inte avgiftsbeläggas

Utredningens förslag: Information om behandlingen av per- sonuppgifter som den personuppgiftsansvarige ska lämna på eget initiativ och information om automatiserade beslut ska lämnas utan avgift. Information som ska lämnas på begäran är avgiftsfri en gång per år.

Skälen för utredningens förslag: Enligt artikel 12.4 ska den regi- strerades rättigheter vara kostnadsfria. Det handlar dels om kost- nadsfri information om behandlingen av den registrerades person- uppgifter enligt artikel 13, dels om att meddelanden eller åtgärder enligt artiklarna 11, 14–18 och 31 ska vara kostnadsfria.

Myndigheters information och beslut är som huvudregel kost- nadsfria, om inte annat föreskrivs. För att tydliggöra att så är fallet bör det i ramlagen föreskrivas att information som den personupp- giftsansvarige lämnar på eget initiativ om behandlingen av den regi- strerades personuppgifter ska vara avgiftsfri. Detsamma gäller den personuppgiftsansvariges information till den registrerade om automatiserade beslut. Som framgår av avsnitt 11.3.4 anser utred- ningen att personrelaterad information som lämnas på begäran ska vara avgiftsfri en gång per år. Begär någon information oftare före- slås att den personuppgiftsansvarige ska få ta ut rimlig avgift eller avslå begäran.

Enligt direktivet ska även beslut, underrättelser och åtgärder vara kostnadsfria. Enligt utredningens mening behöver det inte reg- leras särskilt utan följer av huvudregeln att ingen avgift tas ut för myndigheters beslut och meddelanden.

Utredningen anser att uttrycket utan avgift bör väljas i stället för direktivets kostnadsfri för att korrespondera med uttrycket rimlig avgift.

424

12 Tillsyn

12.1Dagens tillsyn över personuppgiftsbehandling

12.1.1Datainspektionen

Datainspektionen utövar tillsyn över all behandling av personupp- gifter, så länge ansvaret inte uttryckligen har anförtrotts någon annan myndighet. Uppdraget regleras i förordningen (2007:975) med instruktion för Datainspektionen (i det följande Datainspek- tionens instruktion). Datainspektionens tillsyn på direktivets om- råde omfattar både behandling som regleras i personuppgiftslagen (1998:204) och i särskilda registerförfattningar och andra författ- ningar som innehåller bestämmelser om behandling av personupp- gifter.

Datainspektionen är enligt 2 § personuppgiftsförordningen (1998:1191) tillsynsmyndighet enligt personuppgiftslagen. Datain- spektionen har också utsetts till nationell tillsynsmyndighet enligt flera unionsrättsakter, bl.a. artikel 28.1 i det nu gällande data- skyddsdirektivet, artikel 25.1 i rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behand- las inom ramen för polissamarbete och straffrättsligt samarbete och artikel 30.5 i rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämp- ning av terrorism och gränsöverskridande brottslighet (Prümråds- beslutet).

Inspektionens uppgift är bl.a. att verka för att människor skyd- das mot att deras personliga integritet kränks genom behandling av personuppgifter. Verksamheten ska särskilt inriktas på att infor- mera om gällande regler och att ge råd och hjälp åt personupp- giftsombud. Vidare ska myndigheten följa och beskriva utveck- lingen på it-området när det gäller frågor som rör integritet och ny teknik (1 § Datainspektionens instruktion).

425

Tillsyn

SOU 2017:29

Inspektionen har rätt att för sin tillsyn få tillgång till person- uppgifter, upplysningar och dokument och tillträde till lokaler som används för behandling av personuppgifter (43 § personuppgiftsla- gen). Genom påpekanden och liknande förfaranden ska inspektio- nen i första hand försöka åtstadkomma rättelse och i andra hand besluta om förbud mot annan behandling än lagring (45 § person- uppgiftslagen) eller vid domstol ansöka om utplåning av person- uppgifter som behandlats på ett olagligt sätt (47 § personuppgifts- lagen). I vissa fall kan inspektionen förena sina förelägganden med vite (44 och 45 §§ personuppgiftslagen). Datainspektionens beslut i tillsynsfrågor får överklagas (52 § personuppgiftslagen).

Datainspektionen ingår i den s.k. Artikel 29-gruppen som in- rättats med stöd av artikel 29.1 i det nu gällande dataskyddsdirekti- vet. Arbetsgruppen består av en företrädare för tillsynsverksamhe- ten i varje medlemsstat i EU. Arbetsgruppen har bl.a. till uppgift att bidra till en enhetlig tillämpning av nationella bestämmelser som genomför direktivet, att lämna råd till kommissionen inför ändringar av direktivet, att yttra sig till kommissionen om data- skyddsnivån inom EU och i tredjeland och att utarbeta gemen- samma uppförandekoder.

En närmare redogörelse för Datainspektionens tillsynsverksam- het finns i betänkandet Ett samlat ansvar för tillsyn över den per- sonliga integriteten (SOU 2016:65 s. 78 f.).

12.1.2Säkerhets- och integritetsskyddsnämnden

Även Säkerhets- och integritetsskyddsnämnden utövar tillsyn över personuppgiftsbehandling inom direktivets tillämpningsområde. Nämndens uppdrag regleras i lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet och förordningen (2007:1141) med instruktion för Säkerhets- och integritetsskyddsnämnden (i det följande nämndens instruktion).

Nämnden utövar tillsyn över brottsbekämpande myndigheters användning av hemliga tvångsmedel och kvalificerade skyddsidenti- teter och därmed sammanhängande verksamhet. De myndigheter vars verksamhet berörs av tillsynen är Polismyndigheten, Säker- hetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten och Tullverket. Nämnden utövar även tillsyn över Säkerhetspolisens

426

SOU 2017:29

Tillsyn

och Polismyndighetens behandling av personuppgifter enligt polis- datalagen (2010:361). Tillsynen ska särskilt ta sikte på behand- lingen av känsliga personuppgifter.

Nämnden inrättades i syfte att skapa ett fristående och själv- ständigt organ som ska säkerställa rätten till effektivt rättsmedel som den garanteras i artikel 13 i Europakonventionen. Avsikten är att nämndens tillsyn ska komplettera den tillsyn som andra myn- digheter ansvarar för, främst JK, Åklagarmyndigheten och Datain- spektionen (se Ytterligare rättssäkerhetsgarantier vid användande av hemliga tvångsmedel, m.m., prop. 2006/07:133, s. 61 f. och prop. 2009/10:85 s. 272 f.).

Nämnden utövar sin tillsyn genom inspektioner och andra undersökningar, som kan vara både föranmälda och oanmälda. Nämnden ska också på begäran av enskilda kontrollera om de har varit föremål för behandling av personuppgifter inom nämndens tillsynsområde och underrätta dem om att kontrollen genomförts. Nämnden har för sin tillsyn rätt att få tillgång till de uppgifter och den hjälp som den begär av den myndighet som tillsynen avser. Om nämnden finner något att anmärka på får den lämna synpunkter på hur bristerna bör avhjälpas. Nämndens rekommendationer är inte bindande och kan inte överklagas.

Om nämnden upptäcker brott ska det enligt 20 § nämndens in- struktion anmälas till Åklagarmyndigheten och om nämnden finner något som kan leda till skadeståndsansvar för staten ska det anmä- las till JK. Finner nämnden omständigheter som Datainspektionen bör uppmärksammas på, ska nämnden anmäla det till inspektionen. Det har hittills inte funnits anledning för nämnden att göra någon anmälan till Datainspektionen, eftersom de brottsbekämpande myndigheterna följer nämndens uttalanden om regelefterlevnad. Nämndens rekommendationer om förbättringar följs dock inte alltid av myndigheterna (se Riksrevisionens rapport om Säkerhets- och integritetsskyddsnämndens tillsyn över brottsbekämpande myndigheter, skr. 2015/16:188, s. 49).

427

Tillsyn

SOU 2017:29

12.1.3JO och JK

JO och JK utövar tillsyn över hur lagar och andra föreskrifter till- lämpas i offentlig verksamhet. Deras tillsyn omfattar därmed även behandlingen av personuppgifter och skyddet av enskildas person- liga integritet vid sådan behandling. Både JO och JK är extraordi- nära tillsynsorgan.

JO:s verksamhet regleras framför allt i regeringsformen, riks- dagsordningen och lagen (1986:765) med instruktion för Riksda- gens ombudsmän.

JK:s verksamhet regleras huvudsakligen i lagen (1975:1339) om Justitiekanslerns tillsyn och i förordningen (1975:1345) med in- struktion för Justitiekanslern.

De som står under JO:s och JK:s tillsyn ska på begäran lämna upplysningar och yttranden och ge tillgång till handlingar och protokoll. Ett granskningsärende kan inledas både efter klagomål från enskilda och på JO:s eller JK:s eget initiativ. Såväl JO som JK kan genomföra inspektioner som ett led i granskningen. Tillsyns- ärenden kan resultera i beslut som kan innehålla kritik eller vägle- dande uttalanden. JO och JK kan även väcka åtal mot någon som står under deras tillsyn för brott som begåtts i tjänsten och har också rätt att väcka frågor om disciplinär bestraffning. Varken JO eller JK har däremot rätt att ompröva eller ändra beslut som har fattats av någon som står under deras tillsyn.

12.2Utgångspunkter för utredningens överväganden om tillsyn

Frågor om tillsyn har fått ökat fokus

Frågor om tillsyn, hur den ska bedrivas och vem som ska utöva tillsyn har diskuterats inom många olika områden under senare år och lösningarna varierar. Regeringen har i skrivelsen En tydlig, rättssäker och effektiv tillsyn (skr. 2009/10:79, i det följande till- synsskrivelsen) utvecklat sin syn på tillsynsfrågor. I skrivelsen framhålls att den offentliga tillsynen är viktig för att stärka efter- levnaden av de föreskrifter som riksdagen och regeringen har be- slutat. Tillsynen bidrar till att upprätthålla grundläggande värden i

428

SOU 2017:29

Tillsyn

samhället som bl.a. rättssäkerhet. Medborgarna ska genom tillsy- nen vara tillförsäkrade att deras intressen tas till vara.

Regeringens utgångspunkt i skrivelsen är att det krävs större enhetlighet i fråga om tillsyn. I skrivelsen framhålls bl.a. att den offentliga tillsynen bör präglas av tydlighet och enhetlighet. Ett sätt att uppnå det är att tillsynsmyndigheternas uppdrag preciseras i form av tillsynsuppgifter, regler och i förekommande fall mål och prioriteringar. Regeringen pekar också på behovet av enhetliga be- grepp.

Regeringen understryker att avsteg från de generella bedöm- ningarna i skrivelsen kan leda till minskad tydlighet och enhetlig- het, men att det inom vissa områden ändå kan finnas skäl att göra avsteg, om det leder till en mer ändamålsenlig tillsyn inom det spe- cifika området. Ett annat skäl för avsteg kan vara Sveriges skyldig- heter att genomföra och anpassa lagstiftning till unionsrättsakter eller till internationella konventioner (skr. 2009/10:79 s. 13).

Utredningen har ingen annan uppfattning än den som kommer till uttryck i tillsynsskrivelsen om hur man allmänt bör se på till- synsverksamhet.

Utredningens uppdrag är begränsat

Utredningens uppdrag vad gäller tillsynen kompliceras av flera faktorer. En har att göra med att vårt uppdrag att utreda hur direk- tivet bör genomföras inte är heltäckande. Uppdraget har delvis full- gjorts av en annan utredning med ett annat fokus. Utredningen om tillsynen över den personliga integriteten (Ju 2015:02) har haft i uppdrag att kartlägga vilken tillsyn över behandling av personupp- gifter som bedrivs i dag och överväga om den i större utsträckning kan samlas hos en myndighet. Den utredningen har också haft i uppdrag att peka ut vilken eller vilka myndigheter som bör vara tillsynsmyndighet enligt dataskyddsförordningen respektive data- skyddsdirektivet och representera Sverige i European Data Protec- tion Board (i det följande styrelsen). Även frågorna om hur före- trädare för tillsynsmyndigheten ska utses och hur verksamheten ska organiseras har ingått i den utredningens uppdrag. Utredningen har avgett betänkandet Ett samlat ansvar för tillsyn över den per-

429

Tillsyn

SOU 2017:29

sonliga integriteten (SOU 2016:65). Betänkandet har remissbe- handlats och bereds i Regeringskansliet (Justitiedepartementet).

Eftersom vår utrednings uppdrag varken omfattar vilken myn- dighet som ska utses till tillsynsmyndighet eller hur tillsynsverk- samheten ska organiseras, och det inte kommer att finnas något ställningstagande till de frågor som ligger utanför vårt uppdrag när förslaget till ramlag ska redovisas, utgår vi i våra överväganden från att tillsynsverksamheten kommer att organiseras på det sätt som Utredningen om tillsynen över den personliga integriteten föreslår.

Det är oundvikligt att nyss nämnda utrednings ställningstagan- den och förslag påverkar inriktningen av våra förslag och vilka lag- tekniska lösningar som bör väljas när det gäller genomförandet av resterande delar av direktivet. Det finns därför anledning att i detta avsnitt lyfta några av de frågor som Utredningen om tillsynen över den personliga integriteten har behandlat.

Reglerna i direktivet och dataskyddsförordningen har stora likheter

Direktivet har, bl.a. när det gäller tillsynen över behandlingen av personuppgifter, till stora delar samma innehåll som dataskyddsför- ordningen eller i vart fall liknande regler. Tillsynsuppgifterna är i princip desamma enligt direktivet och förordningen, men förord- ningen reglerar också frågor som inte aktualiseras på direktivets område. Förordningen innehåller fler och mer detaljerade regler om tillsynsmyndighetens befogenheter, men i sak motsvarar de i stort sett direktivets bestämmelser.

Frågan är då vilka utgångspunkter som utredningen bör ha när det gäller genomförandet av artiklar i direktivet som är likalydande eller har betydande likheter med artiklar i dataskyddsförordningen. Eftersom förordningen kommer att gälla som svensk lag saknas det utrymme för att justera i dess bestämmelser. I den mån bestämmel- serna i dataskyddsdirektivet och dataskyddsförordningen behöver anpassas till varandra, t.ex. beträffande terminologin eller hur till- synsverksamheten bör regleras, måste följaktligen den anpass- ningen göras vid genomförandet av direktivet.

Mot bakgrund av de uttalanden som regeringen gjorde i tillsyns- skrivelsen om intresset av enhetliga begrepp, anser utredningen att det finns anledning att vara återhållsam med att använda annan

430

SOU 2017:29

Tillsyn

terminologi än den som används i förordningen, om det inte finns goda sakliga skäl för det (se avsnitt 6.2).

Ett så enhetligt system för tillsyn över personuppgiftsbehand- ling som möjligt är också till fördel för både tillsynsmyndigheten och tillsynsobjekten. Reglerna om tillsyn på direktivets och för- ordningens område bör därför enligt utredningens mening så långt möjligt stämma överens, såvida det inte finns sakliga skäl för avvi- kelser.

En fri och oberoende tillsyn måste värnas

I skäl 4 framhålls att en hög skyddsnivå för personuppgifter förut- sätter ett kraftfullt tillsynsarbete. Ett viktigt verktyg för det är en oberoende och effektiv tillsyn över behandlingen av personupp- gifter. Direktivet medför bl.a. ökade krav på att tillsynsmyndig- heternas oberoende värnas, att de får tillräckliga resurser och be- fogenheter att utöva sin tillsyn och att enskilda får möjlighet att reagera om tillsynsmyndigheten inte agerar tillräckligt snabbt.

Ett led i en effektivare tillsyn är, som framhålls i tillsynsskrivel- sen, att skapa tydliga regler för verksamheten så att både tillsyns- myndigheten, tillsynsobjekten och enskilda som befarar att deras personuppgifter kan ha behandlats på ett otillåtet sätt vet vilka skyldigheter respektive rättigheter de har och vilka resultat som kan förväntas av tillsynen. Samtidigt är det enligt utredningens mening lika viktigt att inte skapa detaljregler som riskerar att be- gränsa tillsynsmyndighetens möjligheter att arbeta oberoende och att prioritera bland sina arbetsuppgifter på det sätt som den anser bäst gagnar tillsynsverksamheten som helhet. Det är alltså en balansgång mellan att skapa tydliga regler och att inte åstadkomma ett regelsystem som riskerar att hämma tillsynsmyndighetens obe- roende. Utredningens utgångspunkt är att en effektiv tillsyn bäst gagnas av att den som utövar tillsynen får så stor frihet att välja arbetsformer som möjligt, utan att avkall görs på rättssäkerheten. Den flexibilitet som den nuvarande, oreglerade, tillsynsverksam- heten ger bör därför så långt möjligt värnas.

431

Tillsyn

SOU 2017:29

Direktivets dubbla syften

I avsnitt 6.1.3 redovisas att direktivet har dubbla syften. Det ska även prägla tillsynen. Tillsynsmyndigheten ska både skydda enskil- das rättigheter och underlätta det fria flödet av personuppgifter inom EU. Vad det innebär behandlas i avsnitt 12.5.2. Mot den bak- grunden kan regleringen som rör tillsynen inte byggas enbart uti- från enskildas perspektiv utan måste också beakta effekterna på det fria flödet av personuppgifter.

12.3Tillsynsmyndighet enligt direktivet

12.3.1Förslaget från Utredningen om tillsyn över den personliga integriteten

Enligt artikel 45.1 ska den eller de myndigheter som utses till till- synsmyndighet enligt artikel 41 utföra de uppgifter och utöva de befogenheter som anges i direktivet. Det framhålls i artiklarna 45– 47 och skäl 77 och 82 att det för att efterlevnaden av direktivet ska kunna övervakas är nödvändigt att varje tillsynsmyndighet har samma uppgifter och effektiva befogenheter.

Utredningen om tillsynen över den personliga integriteten före- slår att Datainspektionen ska vara tillsynsmyndighet enligt både dataskyddsförordningen och dataskyddsdirektivet och att det ska framgå av myndighetens instruktion. Enligt förslaget ska Säker- hets- och integritetsskyddsnämnden – vid sidan av Datainspek- tionen – även fortsättningsvis utöva tillsyn över Säkerhetspolisens behandling av personuppgifter men däremot inte över Polismyn- dighetens personuppgiftsbehandling i allmänhet. Nämnden föreslås också behålla uppgiften att utöva tillsyn över bl.a. användningen av hemliga tvångsmedel.

Våra överväganden utgår, som redovisas i avsnitt 12.2, från de förslag som Utredningen om tillsynen över den personliga integri- teten presenterat. Några författningsbestämmelser utöver de som Utredningen om tillsyn över den personliga integriteten föreslår krävs inte för att genomföra artikel 45.1.

432

SOU 2017:29

Tillsyn

12.3.2Annan tillsyn kan också förekomma

Att Datainspektionen föreslås utöva tillsyn i egenskap av behörig tillsynsmyndighet enligt direktivet utesluter enligt utredningens mening inte att andra tillsynsmyndigheter också kan utöva tillsyn på området. Regleringen hindrar med andra ord inte att Säkerhets- och integritetsskyddsnämnden även fortsättningsvis utövar tillsyn över personuppgiftsbehandling i den utsträckning det ingår i dess tillsynsområde. Den hindrar inte heller att JO eller JK i egenskap av extraordinära tillsynsorgan på samma sätt som i dag utövar tillsyn över och uttalar sig om personuppgiftsbehandling inom direktivets tillämpningsområde.

När utredningen i slutbetänkandet redovisar förslag till regle- ring av Säkerhetspolisens personuppgiftsbehandling kan det finnas anledning att återkomma till frågor som rör tillsynen över den verksamheten. Utredningen avser att då ta upp den av Utredningen om tillsynen över den personliga integriteten väckta frågan om det krävs någon förändring av Säkerhets- och integritetsskyddsnämn- dens skyldighet att anmäla vissa förhållanden till Datainspektionen (SOU 2016:65 s. 175 f.).

12.4Tillsynsområdet

12.4.1Tillsynsområdet bör slås fast i en definition

Utredningens förslag: Tillsynsmyndighet ska i ramlagen defi- nieras som myndighet som regeringen utser att enligt direktivet utöva tillsyn över behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra eller upp- täcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet.

Skälen för utredningens förslag: I avsnitt 6.1.2 föreslår utred- ningen att direktivet ska genomföras i en generellt tillämplig ramlag med tillhörande förordning. De kommer på samma sätt som i dag att kompletteras av myndigheternas registerförfattningar och för- fattningar om särskilda register. Det finns även enstaka bestämmel-

433

Tillsyn

SOU 2017:29

ser inom direktivets tillämpningsområde i andra författningar. Till- synsmyndigheten ska enligt artikel 41.1 övervaka tillämpningen av direktivet och de författningar som genomför det. Det innebär att tillsynsmyndigheten ska kunna utöva tillsyn över tillämpningen av både ramlagen och andra författningar som reglerar behandling av personuppgifter inom direktivets tillämpningsområde. En grund- läggande fråga är hur det i ramlagen bör preciseras vad tillsynen ska omfatta.

Ett alternativ är att i ramlagen räkna upp de lagar som omfattas av tillsynen på samma sätt som i 1 § andra stycket lagen om tillsyn över viss brottsbekämpande verksamhet. Att all behandling av per- sonuppgifter som utförs med stöd av ramlagen och den tillhörande förordningen ska omfattas av tillsynen är självklart. Eftersom det är syftet med behandlingen som är avgörande för om ramlagen eller dataskyddsförordningen är tillämplig (se avsnitt 7.1.1), och däri- genom vilka tillsynsregler som ska tillämpas, kan tillsynsområdet inte avgränsas genom att det i ramlagen anges vilka författningar som omfattas av tillsynen. Dessutom reglerar flera av myndigheter- nas registerförfattningar i dag personuppgiftsbehandling inte bara inom direktivets tillämpningsområde utan även inom dataskydds- förordningens. Det bör också nämnas att Utredningen om tillsyn över den personliga integriteten föreslår att Säkerhets- och integri- tetsskyddsnämndens tillsynsområde inte längre bör knytas till vissa författningar på det sätt som görs i dag.

Av samma skäl – att det är syftet med behandlingen som är av- görande för om det ena eller andra regelverket ska tillämpas – bör tillsynsområdet inte heller knytas till en uppräkning av vissa myn- digheter eller verksamheter. En sådan reglering skulle även komma i konflikt med dataskyddsförordningen, eftersom viss behandling av personuppgifter, t.ex. utlämnande av allmänna handlingar, regle- ras i förordningen.

Tillsynsområdet måste därför, på samma sätt som ramlagens till- lämpningsområde, bestämmas utifrån syftet med behandlingen av personuppgifter. Tillsynsmyndighet bör definieras som myndighet som regeringen utser enligt direktivet att utöva tillsyn över be- handling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. Eftersom valet av till-

434

SOU 2017:29

Tillsyn

synsmyndighet ligger utanför utredningens uppdrag bör regeln formuleras så neutralt som möjligt och medge att en eller flera myndigheter pekas ut.

12.4.2Ingen förändring av tillsynen över dömande verksamhet

Utredningens bedömning: Att tillsynen inte får inkräkta på dömande verksamhet kräver inga lagstiftningsåtgärder, eftersom sådan verksamhet redan är skyddad genom bestämmelser i rege- ringsformen.

Skälen för utredningens bedömning

Innehållet i direktivet

Enligt artikel 45.2 ska tillsynsmyndigheten inte vara behörig att utöva tillsyn över domstolar som behandlar personuppgifter inom ramen för sin dömande verksamhet. Medlemsstaterna får även från tillsynsområdet undanta andra oberoende rättsliga instanser som behandlar personuppgifter inom ramen för sin rättsliga verksamhet. Av skäl 80 framgår att direktivet visserligen är tillämpligt på dom- stolars och andra rättsliga myndigheters verksamheter, men att viss rättslig verksamhet bör undantas från tillsyn. Undantaget omfattar dock inte all verksamhet som domare kan medverka i. Syftet med undantaget är att garantera domares och andra rättsliga myndighe- ters oberoende när de utför rättsliga uppgifter av dömande karak- tär. Som exempel på annan oberoende rättslig myndighet nämns åklagarmyndigheter. Domstolarnas och andra oberoende rättsliga myndigheters tillämpning av bestämmelserna i direktivet ska emel- lertid under alla omständigheter vara föremål för en oberoende kontroll i enlighet med artikel 8.3 i Europeiska unionens stadga om de grundläggande rättigheterna. Någon reglering som begränsar tillsynen över domstolarna på detta sätt finns inte i det nu gällande dataskyddsdirektivet. Dataskyddsförordningen föreskriver också att dömande verksamhet ska undantas från tillsyn men regleringen där är utformad på ett delvis annat sätt.

435

Tillsyn

SOU 2017:29

Hur utövas tillsyn över domstolarna i dag?

Enligt 11 kap. 3 § regeringsformen får ingen myndighet bestämma hur en domstol ska döma i det enskilda fallet eller hur en domstol i övrigt ska tillämpa en rättsregel i ett särskilt fall. Bestämmelsen ger uttryck för den centrala principen om domstolarnas självständighet i dömandet. Principen innebär att domstolarna i sitt dömande bara har att rätta sig efter rättsregler och inte får ta emot direktiv om hur de ska döma i ett enskilt fall.

Både JO och JK utövar tillsyn över domstolarna. Det har ansetts självklart att JO:s tillsyn över domstolarna inte får inkräkta på domstolarnas grundlagsfästa självständighet. JO:s granskning tar sikte på om domstolarna arbetar på ett korrekt, sakligt och opar- tiskt sätt och syftar till att vidmakthålla medborgarnas förtroende för rättsväsendet. JO prövar därför inte frågor om en domstols bevisvärdering i ett visst mål eller ärende och JO riktar inte heller kritik mot sådana ställningstaganden i rättsliga frågor som framstår som en möjlig tillämpning av gällande rätt (se Claes Eklundh, JO och domstolarna, Från grundlag till vardagsjuridik. En vänbok till Bo Broomé, 2000, s. 86 f.). JO:s tillsyn är i stället i huvudsak in- riktad mot tillämpningen av andra regler med anknytning till förfa- randet (Claes Eklundh, JO, domstolarna och de hemliga tvångs- medlen, JT 2003–2004, s. 22). JO:s tillsyn över domstolarna disku- teras också av Hans Ragnemalm (Justitieombudsmannen och Rege- ringsrätten, FT 1994 s. 299 f.) och Rune Lavin (En JO:s syn på domsskrivningen i förvaltningsdomstol, FT 1999 s. 61 f.), som delar uppfattningen att sådan tillsyn kan utövas. Att JO:s roll när det gäller tillsyn över domstolarna går att förena med domarnas konstitutionella självständighet hävdas också av Jesper Ekeroth (se JO-ämbetet – En offentlig rättslig studie, s. 145).

JK:s tillsyn över domstolarna har ibland setts som mer proble- matisk, eftersom JK som är regeringens högste ombudsman kan sägas utöva tillsyn på regeringens vägnar (Katarina Alexius Borg- ström, JO och tjänstemännen, 2003, s. 390 f.). I 1991 års JK-utred- ning konstaterades dock att JK:s sätt att utöva tillsyn över dom- stolarna, som följer samma principer som JO:s tillsyn, inte utgör ett hot mot domstolarnas självständiga dömande (Justitiekanslern, En översyn av JK:s uppgifter, SOU 1993:37, s. 58 f. och s. 164).

436

SOU 2017:29

Tillsyn

Samma bedömning gjordes av 1993 års domarutredning (Domaren i Sverige inför framtiden, SOU 1994:99, Del A, s. 255 f.).

Även JO:s och JK:s tillsyn begränsas alltså av grundlagsregle- ringen. JO:s och JK:s tillsyn över domstolarna övervägdes senast vid 2010 års ändring av regeringsformen och ansågs då vara förenlig med rättsskipningens självständighet enligt 11 kap. 3 § regerings- formen (prop. 2009/10:80 s. 129).

Datainspektionen utövar tillsyn över domstolarnas personupp- giftsbehandling. I ett mål som rörde frågan om Datainspektionen kunde utöva tillsyn över den behandling av personuppgifter som ägt rum genom att en domstol publicerat uppropslistor på den egna webbplatsen uttalade Högsta förvaltningsdomstolen att 11 kap. 3 § regeringsformen inte omfattar sådana beslut som en domstol fattar i den egna verksamheten avseende domstolens administration. Det fanns därför inget som hindrade Datainspektionen att utöva tillsyn i det fallet (HFD 2014 ref. 32).

Frågan om det finns behov av att uttryckligen avgränsa tillsyns- myndighetens behörighet för att säkerställa domares självständiga ställning berördes varken när personuppgiftslagen eller domstols- datalagen infördes.

Behövs det en ny reglering?

Principen om domstolarnas självständighet har hittills inte ansetts hindra att tillsyn utövas över domstolsväsendet. Den verksamhet som bedrivs av domstolarna är alltså inte generellt undantagen från tillsyn vare sig när det gäller personuppgiftsbehandling eller i övrigt

– med undantag för dömande verksamhet. Med dömande verksam- het brukar i svensk rätt avses att domar eller beslut utformas och meddelas.

När det gäller tillsyn över personuppgiftsbehandling är det själv- klart att den – i likhet med annan tillsyn – inte får inkräkta på domares självständiga ställning som den garanteras i regeringsfor- men. Tillsynen får alltså inte tillåtas att komma in på frågor som hör till den dömande verksamheten. Samtidigt bör understrykas att det endast är möjligheten att utöva tillsyn över dömande verksam- het som undantas i direktivet. Annan verksamhet vid domstolarna eller som utövas av domare ska inte undantas.

437

Tillsyn

SOU 2017:29

Tillsyn inriktas oftast på sådant som redan har inträffat, t.ex. klagomål över hur ett mål eller ärende har handlagts. Risken är då liten att tillsynen påverkar den dömande verksamheten, eftersom den rättsliga prövningen redan är avslutad. Det kan visserligen häv- das att varje uttalande som görs beträffande handläggningen av ett mål eller ärende indirekt kan komma att påverka den framtida handläggningen i ett motsvarande fall och därmed inkräkta på domares oberoende. Enligt utredningens mening innebär ett sådant synsätt att varje form av tillsyn – oavsett hur den hanteras och vad den gäller – skulle omöjliggöras inte bara inom domstolssektorn utan även när det gäller förvaltningsmyndigheterna, som genom regleringen i regeringsformen har en lika självständig roll i sitt be- slutsfattande. Det är uppenbart att lagstiftaren hittills inte har be- traktat frågan på det sättet, exempelvis när det i samband med den senaste grundlagsreformen konstaterades att JO:s och JK:s tillsyn över domstolarna var förenlig med rättsskipningens självständighet.

När det gäller personuppgiftsbehandling kan den dock ibland vara så direkt förknippad med den dömande verksamheten att undantaget blir tillämpligt, t.ex. om någon ifrågasätter att hans eller hennes personuppgifter har behandlats korrekt i en dom eller ett beslut. I sådana fall torde det snarast vara fråga om något annat fel som kan ha begåtts, främst identifieringsmisstag eller skrivfel, som innebär att fel person pekats ut. Det är då i första hand andra regel- verk än personuppgiftsregleringen som bör tillämpas för att rätta till eventuella misstag och frågan faller därmed utanför det som nu diskuteras.

På samma sätt som vid annan tillsyn är det tillsynsmyndighetens skyldighet att se till att tillsynen inte överskrider de gränser som har satts upp för den. Det är naturligtvis en särskilt delikat uppgift när det gäller tillsyn över domstolarna.

I brottmålsförfarandet kan det vara enklare att dra gränsen mel- lan dömande verksamhet och annan domstolsverksamhet än vad det kan vara inom andra områden. Det är åklagaren som har utred- ningsansvaret och företräder statens intressen. Utrymmet för domare att ex officio företa åtgärder är tydligt avgränsat och innan åtal har väckts synnerligen litet. Domarens roll i den kontradikto- riska processen är i huvudsak att ta ställning till de yrkanden som har framställts av parterna. Den dömande verksamheten är således enligt utredningens mening förhållandevis enkel att avgränsa inom

438

SOU 2017:29

Tillsyn

det området. Det kan vara svårare att göra motsvarande bedömning när allmänna förvaltningsdomstolar ska tillämpa ramlagen, efter- som processen där har en annorlunda utformning. Även om den senaste förvaltningsrättsreformen minskat skillnaderna mellan pro- cesserna något, bär domaren alltjämt utredningsansvaret och de skriftliga inslagen är större i förvaltningsprocessen (jfr En mer ändamålsenlig förvaltningsprocess, prop. 2012/13:45 s. 113 f.).

Enligt utredningens mening innebär direktivets reglering inte något principiellt nytt, eftersom regeringsformen redan i dag sätter gränser för möjligheterna att utöva tillsyn över dömande verksam- het. Det bör därför inte medföra några problem för tillsynsmyn- digheten att planera och genomföra sin tillsyn så att självständig- heten i den dömande verksamheten inte riskerar att trädas för när. Några problem med tillsynen över personuppgiftsbehandling, så som den hittills har bedrivits, är inte heller kända. Det kan dock inte uteslutas att vad som är dömande verksamhet på sikt kan komma att få en annan innebörd, t.ex. om praxis från Europadom- stolen eller EU-domstolen utvecklas.

Frågan är då om undantaget behöver komma till uttryck i ram- lagen eller på annat sätt. Undantaget i artikel 45.2 tar enligt utred- ningens mening sikte på rättsliga bedömningar, inte primärt på behandlingen av personuppgifter. Det innebär att tillsynsmyndig- heten kommer att vara oförhindrad att allmänt utöva tillsyn över domstolarnas verksamhet, så länge tillsynen inte inverkar på doma- rens rättsliga prövning av sakfrågan i enskilda fall. Det behövs där- för enligt utredningens mening ingen lagstiftningsåtgärd för att Sverige ska leva upp till kraven i artikel 45.2, eftersom dömande verksamhet redan skyddas genom 11 kap. 3 § regeringsformen.

Om en sådan regel likväl skulle anses vara nödvändig för att uppfylla Sveriges åtaganden enligt direktivet skulle den enligt ut- redningens mening kunna utformas på följande sätt.

Tillsynen ska inte omfatta domstolars och andra rättsliga myndighe- ters dömande verksamhet.

439

Tillsyn

SOU 2017:29

Kan någon annan rättslig verksamhet jämställas med dömande?

Enligt svensk rätt finns det vissa funktioner som kan jämställas med dömande verksamhet. Åklagare har anförtrotts vissa arbets- uppgifter som kan jämställas med sådan verksamhet. Åklagarupp- giften fullgörs inte av en åklagarmyndighet utan av den person som har anförtrotts sådana uppgifter. I sin roll som beslutsfattare har en åklagare samma självständiga ställning som en domare (se Peter Fitger, Monika Sörbom, Tobias Eriksson, Per Hall, Ragnar Palm- qvist och Cecilia, i fortsättningen Fitger m.fl., Rättegångsbalken I, supplement 78, april 2015, s. 7:3 och Gunnel Lindberg, Åklagaren sedd ur ett förvaltningsrättsligt perspektiv, FT 2000 s. 37 f.).

Har en åklagare utfärdat ett strafföreläggande gäller det som en lagakraftvunnen dom om det godkänns (48 kap. 3 § andra stycket rättegångsbalken). Detsamma gäller ett godkänt föreläggande av ordningsbot som utfärdats av en behörig tjänsteman. De som är behöriga att utfärda förelägganden av ordningsbot är åklagare, polismän, tulltjänstemän och kustbevakningstjänstemän. Beslut i fråga om strafföreläggande och föreläggande av ordningsbot kan därmed jämställas med dömande verksamhet.

Bestämmelser om åtalsunderlåtelse finns i rättegångsbalken och lagen (1964:167) med särskilda bestämmelser om unga lagöverträ- dare. Ett åklagarbeslut om åtalsunderlåtelse betraktas i rättsligt hänseende som en sakerförklaring, dvs. ett beslut som innebär att åklagaren slår fast att någon har gjort sig skyldig till ett visst kon- kretiserat brott. Sådana beslut registreras därför enligt 3 § 4 lagen (1998:620) om belastningsregister i belastningsregistret på samma sätt som domar och beslut. Besluten i fråga kan därmed jämställas med dömande verksamhet.

Det finns enligt utredningens mening ingen anledning att i fråga om tillsyn över personuppgiftsbehandling göra skillnad mellan dömande verksamhet och andra rättsliga funktionärers självstän- dighet när de meddelar beslut som kan jämställas med domar eller beslut i brottmål. Det som nyss har sagts om dömande verksamhet och möjligheterna att utöva tillsyn över den har således betydelse även för nu aktuell verksamhet.

I 12 kap. 2 § regeringsformen föreskrivs att ingen myndighet får bestämma hur en förvaltningsmyndighet i ett särskilt fall ska be- sluta i ett ärende som rör myndighetsutövning mot en enskild eller

440

SOU 2017:29

Tillsyn

som rör tillämpningen av lag. Skyddet för förvaltningsmyndighe- ters självständighet, som är tillämplig vid nu aktuella beslut, fyller samma funktion som skyddet i 11 kap. 3 § regeringsformen för dömande verksamhet. Det som sagts om att Sverige lever upp till kraven i artikel 45.2 när det gäller dömande verksamhet gäller även för nu aktuell verksamhet.

12.5Tillsynsmyndighetens uppdrag

12.5.1Tillsynsmyndighetens oberoende ska värnas

Utredningens bedömning: Tillsynsmyndighetens oberoende ställning värnas bäst om det inte införs några regler om när och hur tillsyn ska inledas respektive avslutas eller hur tillsynen närmare ska bedrivas.

Skälen för utredningens bedömning

Hur ska myndighetens oberoende säkerställas?

Tillsynsmyndigheten ska enligt artikel 42.1 vara fullständigt obero- ende när den utför sitt uppdrag. Oberoendet ska enligt artiklar- na 42.2–6, 43 och 44 framför allt värnas genom olika organisato- riska åtgärder och vissa rättsliga befogenheter enligt artikel 47.5.

Tillsynsmyndigheten förutsätts göra en självständig granskning av hur personuppgiftsansvariga och personuppgiftsbiträden tilläm- par lagar och andra bindande föreskrifter. Det är fråga om rättslig tillsyn, vilket har betydelse både för hur tillsynen utförs och vad den kan resultera i.

Tillsynsverksamhet är i dag till stor del oreglerad. Även om det finns regler om ramarna för tillsynen – exempelvis i vilka fall en myndighet har rätt att utöva tillsyn, vilka som står under tillsyn och vad tillsynen omfattar – saknas det närmare regler om hur till- synen ska bedrivas. Skälet till det är bl.a. att tillsyn kan avse vitt skilda sektorer av samhället och ha olika fokus, från konkreta åt- gärder på plats som inspektion av djur eller anläggningar till rätts- ligt inriktad tillsyn. Tillsynsuppgifterna, befogenheterna och resul- tatet av tillsynen kan därmed variera avsevärt. Mot den bakgrunden

441

Tillsyn

SOU 2017:29

ansåg regeringen att det inte var lämpligt att i en särskild lag reglera tillsyn generellt (skr. 2009/10:79 s. 10 f.).

Regleringen i direktivet måste enligt utredningens mening upp- fattas på det sättet att tillsynsmyndighetens oberoende ska värnas dels genom organisatoriska åtgärder, dels genom att myndigheten ska vara fri när det gäller urvalet av tillsynsobjekt, arbetsformerna och redovisningen av resultaten av tillsynen. Vid genomförandet av direktivet finns det därför skäl att vara återhållsam med detaljregler som kan påverka hur tillsynsverksamheten bedrivs eller som kan göra att tillsynsmyndighetens oberoende ställning kan ifrågasättas. Det innebär att de regler som ändå krävs för att genomföra direkti- vet måste säkerställa att tillsynen kan bedrivas oberoende och effektivt. Regleringen måste nämligen ge tillsynsmyndigheten fri- het att välja att utöva tillsynen på det sätt som den anser vara bäst inom de ramar som lagstiftningen ger.

Vad behöver regleras?

Enligt de principer som utvecklats i praxis avgör en tillsynsmyn- dighet själv när och hur den ska inleda tillsyn och vad tillsynen ska omfatta. Tillsynsmyndigheten kan utöva tillsyn på eget initiativ, t.ex. på grund av egna iakttagelser, efter information från allmän- heten eller en annan myndighet eller med anledning av inkomna klagomål. Tillsyn kan också ha sin grund i att myndigheten vill se hur ny lagstiftning tillämpas eller få underlag för att bedöma be- hovet av nya råd eller föreskrifter. I framtiden bör – förutom tillsyn på begäran av en utländsk myndighet – även rapportering av per- sonuppgiftsincidenter eller uppföljning av förhandssamråd kunna leda till att tillsynsmyndigheten inleder tillsyn i någon form (se avsnitt 10.4.2 och 10.2.5).

Att det inte är reglerat vad som kan initiera tillsyn verkar inte ha vållat några problem hittills. I direktivet förutsätts inte heller att det ska regleras. Det finns därför enligt utredningens mening inte skäl att införa bestämmelser om i vilka situationer tillsyn bör initie- ras, särskilt som det skulle kunna uppfattas som en begränsning av myndighetens oberoende.

Enligt utredningens mening är det framför allt tillsynsområdet (avsnitt 12.4.1), vem som ska utöva tillsyn (avsnitt 12.3.1), tillsyns-

442

SOU 2017:29

Tillsyn

myndighetens uppgifter (avsnitt 12.6) och vilka befogenheter till- synsmyndigheten ska ha (avsnitt 12.7) som behöver regleras. Det behövs även vissa regler om handläggningen av ärenden (av- snitt 12.8). Tillsynsmyndighetens oberoende hindrar inte att den bör vara skyldig att uppmärksamma andra myndigheter på vissa förhållanden som upptäcks vid tillsynen (avsnitt 12.8.4). Någon ytterligare reglering av hur tillsynsmyndigheten ska arbeta bör där- emot inte införas av hänsyn till myndighetens oberoende. Det ställ- ningstagandet ligger i linje med hur Utredningen om tillsynen över den personliga integriteten ser på behovet att reglera tillsynsmyn- dighetens uppgifter vid tillsyn över regleringen i dataskyddsförord- ningen (SOU 2016:65 s. 154 f.).

Att det saknas formella regler för hur tillsyn kan inledas innebär naturligtvis inte att förvaltningslagen (1986:223) inte är tillämplig, om tillsynsmyndigheten väljer att lägga upp ett formellt ärende. Då gäller vanliga regler om dokumentation, inhämtande av yttranden och kommunikationsskyldighet. Utredningen återkommer i av- snitt 12.8 till vissa handläggningsfrågor.

12.5.2Tillsynsmyndigheten ska ha dubbla perspektiv

Utredningens förslag: Tillsynsmyndigheten ska verka både för att fysiska personers grundläggande fri- och rättigheter skyddas i samband med behandling av personuppgifter och för att underlätta det fria flödet av personuppgifter inom ramlagens tillämpningsområde.

Skälen för utredningens förslag

Innehållet i direktivet och nuvarande reglering

Av artikel 41.1 framgår att tillsynsmyndighetens övergripande upp- drag ska vara att övervaka reglerna om behandling av personupp- gifter i syfte att skydda fysiska personers grundläggande rättigheter och friheter i samband med behandlingen och underlätta det fria flödet av personuppgifter inom EU. Enligt 1 § Datainspektionens instruktion ska inspektionen bl.a. verka för att människor skyddas

443

Tillsyn

SOU 2017:29

mot att deras personliga integritet kränks genom behandling av personuppgifter.

Tillsynsmyndighetens övergripande uppdrag ska regleras

Utredningen om tillsynen över den personliga integriteten föreslår, som tidigare nämnts, att Datainspektionen ska utses till tillsyns- myndighet enligt både direktivet och dataskyddsförordningen och att myndighetens instruktion ska ändras i visst avseende.

Av artikel 41.1 framgår att tillsynsmyndigheten ska vara ansva- rig för tillämpningen av direktivet, i syfte att skydda fysiska perso- ners grundläggande fri- och rättigheter i samband med behand- lingen och att underlätta det fria flödet av personuppgifter inom unionen. Genom formuleringen tydliggörs att tillsynsmyndigheten inte enbart kan utgå från enskildas perspektiv utan även ska beakta att ett viktigt syfte med direktivet är att underlätta informationsut- byte mellan bl.a. brottsbekämpande myndigheter (skäl 7). I skäl 75 som behandlar tillsynsmyndighetens uppdrag nämns däremot en- dast skyddet av fysiska personer. Att det skälet enbart tar upp det ena perspektivet minskar enligt utredningens mening inte betydel- sen av att båda perspektiven nämns i artikel 41.1. Samtidigt som tillsynsmyndigheten ska verka för en hög skyddsnivå för person- uppgifter och bedriva ett kraftfullt tillsynsarbete, måste myndighe- ten därför enligt utredningens mening även beakta de behöriga myndigheternas perspektiv.

Utredningen anser att tillsynsmyndighetens övergripande upp- drag att övervaka att fysiska personers grundläggande fri- och rättigheter skyddas vid behandling av personuppgifter är så viktigt att det bör få en framskjuten plats i ramlagen. Om det uppdraget lyfts fram bör det också framgå att myndigheten när den utför sina uppgifter och utövar sina befogenheter även ska beakta att det fria flödet av personuppgifter inom EU underlättas. Som framgår av avsnitt 15.2.2 gäller direktivet även för vissa andra stater än EU:s medlemsstater. Det är således det fria flödet av personuppgifter inom ramlagens tillämpningsområde som ska underlättas.

Frågan är då vad det innebär för tillsynsmyndigheten att direkti- vets dubbla syften lyfts fram i artikel 41.1. Det är uppenbart att dessa intressen kan strida mot varandra i vissa fall. Enligt utred-

444

SOU 2017:29

Tillsyn

ningens mening är det inte självklart hur tillsynsmyndigheten kan underlätta det fria flödet av personuppgifter. Att direktivets båda syften även kommit till uttryck i den grundläggande bestämmelsen om tillsynsmyndigheten bör enligt utredningens mening uppfattas så att det ställs annorlunda krav på myndigheten. Vid sidan av en- skildas intresse av en hög skyddsnivå ska tillsynsmyndigheten även beakta intresset av ett fritt flöde av personuppgifter. Finns det ut- rymme att välja olika lösningar som kan betraktas som likvärdiga ur integritetssynpunkt, bör tillsynsmyndigheten därmed välja den som bäst tillgodoser det fria flödet av personuppgifter. Ett annat exem- pel kan vara att myndigheten underlättar informationsutbytet genom att sprida sådan kunskap som den fått genom att följa ut- vecklingen av informations- och kommunikationsteknik eller goda exempel som kan förbättra skyddet för personuppgifter (jfr arti- kel 46.1 j).

12.6Tillsynsmyndighetens uppgifter

12.6.1Huvuduppgifterna bör regleras i ramlagen

Utredningens förslag: Tillsynsmyndigheten ska

1.utöva allmän tillsyn över personuppgiftsbehandling,

2.handlägga klagomål från registrerade,

3.utföra kontroll på begäran av fysiska personer, och

4.på begäran bistå en tillsynsmyndighet i en annan medlems- stat.

Skälen för utredningens förslag

Innehållet i direktivet

I artikel 46.1 räknas tillsynsmyndighetens konkreta arbetsuppgifter upp. Enligt punkten a har tillsynsmyndigheten det generella upp- draget att övervaka och verkställa tillämpningen av de bestämmel- ser som antas i enlighet med direktivet. De närmare tillsynsupp- gifterna regleras i punkterna f–i. Där anges att tillsynsmyndigheten

445

Tillsyn

SOU 2017:29

ska behandla klagomål från registrerade, kontrollera om viss be- handling är laglig, samarbeta med och ge bistånd till tillsynsmyn- digheter i andra medlemsstater och utföra undersökningar om till- lämpningen av direktivet.

Tillsynsmyndigheten har också en vidsträckt skyldighet att ge råd och lämna information till olika aktörer. Myndigheten ska en- ligt punkten b öka allmänhetens medvetenhet och kunskaper om risker, regler, skyddsåtgärder och rättigheter i samband med per- sonuppgiftsbehandling. Personuppgiftsansvarigas och personupp- giftsbiträdens medvetenhet om sina skyldigheter ska enligt punk- ten d också ökas. Enligt punkten c ska myndigheten i enlighet med nationell rätt ge råd åt nationella parlament, regeringen och andra institutioner och organ om lagstiftningsmässiga och administrativa åtgärder som rör skyddet för fysiska personer vid personuppgifts- behandling. Myndigheten ska vidare enligt punkten e på begäran informera registrerade om hur de ska utöva sina rättigheter och för det ändamålet samarbeta med tillsynsmyndigheter i andra med- lemsstater. Myndigheten ska också enligt punkten k ge råd till per- sonuppgiftsansvariga och personuppgiftsbiträden vid samråd om personuppgiftsbehandling som innebär särskilda risker ska inrättas, s.k. förhandssamråd.

Slutligen ska tillsynsmyndigheten enligt punkten j följa sådan utveckling som påverkar skyddet av personuppgifter, bl.a. inom in- formations- och kommunikationsteknik, och enligt punkten l bidra till verksamheten vid den styrelse som ska inrättas enligt artikel 51.

Nuvarande reglering

Enligt 1 § Datainspektionens instruktion ska myndigheten bl.a. följa och beskriva utvecklingen på it-området när det gäller frågor som rör integritet och ny teknik. Den ska särskilt inrikta sin verk- samhet på att informera om gällande regler och ge råd och hjälp åt personuppgiftsombud.

446

SOU 2017:29

Tillsyn

De huvudsakliga tillsynsuppgifterna bör regleras

Eftersom direktivet ska genomföras i svensk rätt är det lämpligt att reglera uppgiften att bedriva tillsyn men frågan är hur det bör göras. I artikel 53.2 regleras rätten för registrerade att väcka talan om tillsynsmyndigheten inte i tid agerar med anledning av ett kla- gomål och i artikel 50 skyldigheten att bistå utländska tillsynsmyn- digheter. Det innebär att vissa av tillsynsmyndighetens uppgifter under alla förhållanden måste regleras. Med hänsyn till tillsyns- myndighetens oberoende är det inte lämpligt att bara reglera vissa uppgifter, eftersom det kan uppfattas som att de uppgifterna till- mäts större vikt. Utredningen anser därför att tillsynsmyndighe- tens huvuduppgifter bör framgå direkt av ramlagen. Som angetts i avsnitt 12.2 och 12.5 bör dock regleringen inte gå utöver vad som är nödvändigt för att genomföra direktivet, med hänsyn till till- synsmyndighetens oberoende.

I ramlagen bör det tas in bestämmelser som speglar tillsyns- myndighetens huvuduppgifter så som de anges i direktivet. De är att utöva allmän tillsyn över personuppgiftsbehandling så som den har beskrivits i avsnitt 12.5, att handlägga klagomål (avsnitt 12.6.2), att kontrollera om behandling är författningsenlig (avsnitt 12.6.3), att ge råd och stöd till personuppgiftsansvariga och personuppgifts- biträden (avsnitt 12.6.4) och att på begäran lämna bistånd till en tillsynsmyndighet i en annan medlemsstat (avsnitt 12.10.1).

Under tillsynsmyndighetens uppdrag att bedriva allmän tillsyn ryms enligt utredningens mening de uppgifter som nämns i arti- kel 46.1 punkterna a och i. Under uppgiften att lämna bistånd till en utländsk tillsynsmyndighet ryms artikel 46.1 punkten h.

12.6.2Klagomål från enskilda

Utredningens bedömning: Förutom att det ska framgå att handläggning av klagomål ingår i tillsynsuppgifterna bör det inte regleras hur tillsynsmyndigheten ska behandla klagomål.

447

Tillsyn

SOU 2017:29

Skälen för utredningens bedömning

Innehållet i direktivet

Enligt artikel 52.1 har alla registrerade rätt att lämna in klagomål till tillsynsmyndigheten. Enligt artikel 46.1 f ska tillsynsmyndigheten behandla klagomål från en registrerad eller dennes ombud och in- leda en undersökning i sak där så är lämpligt. Tillsynsmyndigheten ska inom rimlig tid underrätta den klagande om hur undersök- ningen fortskrider och om resultatet, särskilt om det krävs ytter- ligare undersökningsåtgärder eller samordning med en tillsynsmyn- dighet i en annan medlemsstat.

Enligt artikel 52.2–4 ska tillsynsmyndigheten utan dröjsmål överlämna ett klagomål som lämnats till fel tillsynsmyndighet till behörig myndighet och informera den registrerade om det. Därut- över ska den registrerade på begäran få ytterligare hjälp. Han eller hon ska underrättas om klagomålets handläggning och resultat och om rätten till rättsmedel enligt artikel 53. Enligt artikel 46.2 ska tillsynsmyndigheten underlätta inlämningen av klagomål, exempel- vis genom att tillhandahålla elektroniska formulär, vilket inte ska utesluta andra former av inlämning.

Nuvarande reglering och tillämpning

Att vem som helst kan göra en framställning till en myndighet, som då är skyldig att behandla den, följer av allmänna förvaltnings- rättsliga principer. En myndighet är enligt 4 § förvaltningslagen skyldig att lämna enskilda råd och hjälp genom att bl.a. vidarebe- fordra felsända handlingar till rätt myndighet. Myndigheterna anses vidare vara skyldiga att informera om handläggningen och resul- tatet av en framställning som gjorts och vid behov samverka med andra myndigheter. En myndighet som får in en framställning från en enskild anses också vara skyldig att lämna någon form av svar som inte får dröja längre än nödvändigt (se propositionen om ny förvaltningslag, prop. 1985/86:80, s. 59).

Den som ger in ett klagomål till en tillsynsmyndighet får nor- malt inte ställning som part om ett tillsynsärende inleds. Han eller hon har då inte heller någon rätt att överklaga tillsynsmyndighetens beslut i tillsynsfrågan (jfr RÅ 2010 ref. 29).

448

SOU 2017:29

Tillsyn

I dag tar Datainspektionen emot klagomål över behandling av personuppgifter. Inspektionen avgör själv när det finns anledning att inleda ett tillsynsärende. Den klagande får alltid ett besked i någon form med anledning av klagomålet. Ibland underrättas den enskilde om att någon utredning inte kommer att göras i hans eller hennes fall, men att informationen i klagomålet kan komma att användas i tillsyn vid ett senare tillfälle (SOU 2016:65 s. 81).

Behöver klagomålshanteringen regleras?

Artikel 46.1 f förutsätter inte att alla klagomål som kommer in till tillsynsmyndigheten utreds, däremot att alla klagomål behandlas. Frågan är då vad som avses med det. Av skäl 81 framgår att tillsyns- myndigheten bör hantera klagomål från registrerade och att utred- ning bör göras i den utsträckning som det är lämpligt i det enskilda fallet. Regleringen i direktivet förefaller utgå från att klagomål alltid framförs skriftligen men det är inte ett krav. Enligt utred- ningens mening bör ordet behandla här tolkas som ett krav på att klagomål måste leda till någon form av handläggning. Det minsta som kan krävas är att tillsynsmyndigheten tar ställning till om klagomålet ska föranleda någon tillsynsåtgärd. Tillsynsmyndighe- ten får med andra ord inte helt negligera ett klagomål. Här räcker det dock att konstatera att en utredning i sak bara behöver göras om tillsynsmyndigheten anser att det är lämpligt i det enskilda fal- let. Enligt artikel 53.2 ska tillsynsmyndigheten informera om resul- tatet av klagomålet. Vad det innebär diskuteras i avsnitt 14.6.2.

Enligt utredningens mening talar starka skäl för att tillsynsmyn- digheten även fortsättningsvis ska ha stor frihet att bestämma om klagomål ska utredas. Bestämmelserna i direktivet om hur klagomål ska hanteras av tillsynsmyndigheten motsvarar vad som redan till- lämpas enligt allmänna principer för tillsyn och reglerna i förvalt- ningslagen. Enligt utredningens mening krävs det därför, utöver att det ska framgå att handläggning av klagomål ingår i tillsynsuppgif- terna, inga lagstiftningsåtgärder för att genomföra bestämmelserna i artiklarna 46.1 f, 52.3 och 52.4. Artikel 52.2 behöver inte genom- föras om det i Sverige bara kommer att finnas en behörig tillsyns- myndighet enligt direktivet (se förslaget i SOU 2016:65 s. 142 f.).

449

Tillsyn

SOU 2017:29

Utredningen återkommer i avsnitt 14.5 till frågor som rör klagomål och i avsnitt 14.6 till frågan om rättsmedel vid klagomål.

Den allmänna serviceskyldigheten rymmer att en myndighet ska tillhandahålla de formulär och blanketter som behövs för verksam- heten. Det behövs därför inga lagstiftningsåtgärder för att genom- föra artikel 46.2.

12.6.3Kontroll av om behandling är författningsenlig

Utredningens förslag: Tillsynsmyndigheten ska på begäran kontrollera om uppgifter om en fysisk person behandlas för- fattningsenligt. Den som begär sådan kontroll ska visa att han eller hon har begärt information från eller en korrigeringsåtgärd av den personuppgiftsansvarige. Myndigheten får vägra att ut- föra kontroll om begäran är orimlig eller uppenbart ogrundad.

Vilka formkrav som ska gälla för begäran och beslut om kon- troll och hur sökanden ska underrättas om att kontrollen har utförts ska regleras i förordning.

Skälen för utredningens förslag

Innehållet i direktivet och nuvarande reglering

Personuppgiftsansvariga får under vissa förutsättningar begränsa enskildas rätt till information eller underlåta att lämna information. I sådana fall ska den registrerades rättigheter enligt artikel 17.1 kunna utövas genom tillsynsmyndigheten. Tillsynsmyndigheten ska då enligt artikel 46.1 g kontrollera om behanlingen är laglig och enligt artikel 17.3 inom rimlig tid underrätta den registrerade om att kontrollen har genomförts. Den registrerade ska också informe- ras om rätten att begära rättslig prövning. Om en begäran om kon- troll är uppenbart ogrundad eller orimlig, särskilt på grund av att den är repetitiv, får tillsynsmyndigheten enligt artikel 46.4 ta ut en rimlig avgift för de administrativa kostnaderna eller vägra att till- mötesgå begäran. Tillsynsmyndigheten har bevisbördan för att begäran är uppenbart ogrundad eller orimlig. Enligt artikel 46.1 g ska tillsynsmyndigheten informera den registrerade om skälen för att någon kontroll inte genomförs.

450

SOU 2017:29

Tillsyn

I artikel 28.4 i det nu gällande direktivet föreskrivs att var och en har rätt att hos tillsynsmyndigheten begära att en kontroll görs av om personuppgiftsbehandlingen är tillåten och att få besked om utfallet av begäran. Någon sådan rätt infördes dock inte när det direktivet genomfördes. I Säkerhets- och integritetsskyddsnämn- dens uppdrag ingår att göra sådana kontroller. Enligt 3 § lagen om tillsyn över viss brottsbekämpande verksamhet är Säkerhets- och integritetsskyddsnämnden skyldig att på begäran av enskilda kon- trollera om deras personuppgifter har behandlats enligt polisdata- lagen och om behandlingen har utförts författningsenligt. Den en- skilde ska underrättas om att kontrollen har utförts. Även juridiska personer kan begära sådan kontroll.

Datainspektionen är i dag inte skyldig att utföra sådana kontrol- ler. Myndigheten kan inom ramen för sin tillsyn utföra liknande kontroller, men den enskilde har inte någon rätt att kräva det. Datainspektionen hänvisar därför enskilda till Säkerhets- och integ- ritetsskyddsnämnden när inspektionen får en begäran om kontroll inom ett område där nämnden utövar tillsyn. Nämnden är bara skyldig att utföra sådana kontroller när det gäller Polismyndighe- tens och Säkerhetspolisens personuppgiftsbehandling.

Kontroll av om behandlingen är författningsenlig bör regleras

Att en enskild kan få information om och insyn i hur hans eller hennes personuppgifter behandlas är som tidigare nämnts en förut- sättning för att han eller hon ska kunna kontrollera om behand- lingen är författningsenlig och i övrigt ta tillvara sina intressen och rättigheter. Det kan t.ex. gälla att få felaktiga personuppgifter rät- tade, kompletterade eller raderade eller att göra andra invändningar mot behandlingen. I avsnitt 11.3.1 redovisas på vilka grunder den personuppgiftsansvarige kan begränsa eller underlåta att lämna in- formation. När den enskilde till följd av det själv saknar möjlighet att ta tillvara sin rätt ska det finnas möjlighet att ändå kontrollera personuppgiftsbehandlingen. Då ska tillsynsmyndigheten enligt direktivet kontrollera om behandlingen är författningsenlig.

Kontrollen ska utföras av en myndighet som har utsetts till till- synsmyndighet enligt direktivet. Att tillsynsmyndigheten ska vara

451

Tillsyn

SOU 2017:29

skyldig att på begäran kontrollera om behandlingen är författnings- enlig bör regleras i ramlagen.

Hur bör regleringen utformas?

Frågan är då hur en bestämmelse om sådan kontroll bör utformas. Det finns som nyss nämnts en liknande bestämmelse i 3 § lagen om tillsyn över viss brottsbekämpande verksamhet. Säkerhets- och integritetsskyddsnämnden har påpekat att den regeln är otydlig och alltför vid. Den ger enskilda falska förhoppningar om i vilka situa- tioner de kan kräva kontroll och vad de kan förvänta sig av till- synsmyndigheten. Mot bakgrund av dessa erfarenheter är det ange- läget med en tydlig reglering i fråga om rätten till kontroll, syftet med kontrollen och vilken information som den enskilde kan få.

Kontrollerna kan bli resurskrävande inom ramlagens tillämp- ningsområde mot bakgrund av att sekretess inom vissa verksam- heter i stor utsträckning medför att information om personupp- giftsbehandlingen inte kan lämnas. Det finns därför enligt utred- ningens mening inte skäl att gå utöver de krav som ställs i direkti- vet. Det innebär för det första att bara fysiska personer bör kunna kräva kontroll av om behandlingen är författningsenlig. För det andra bör en förutsättning för kontroll vara att den som begär kontroll först har vänt sig till den personuppgiftsansvarige och begärt besked om vilka personuppgifter om honom eller henne som behandlas eller har begärt en korrigeringsåtgärd.

Det bör även regleras att tillsynsmyndigheten skriftligen ska underrätta den sökande om att kontrollen har genomförts. Under- rättelsen bör som regel endast ge besked om att tillsynsmyndig- heten har genomfört kontrollen (jfr prop. 2006/07:133 s. 66 f. och s. 81 och prop. 2009/10:85 s. 272 f.). Underrättelseskyldigheten kan regleras i förordning. Enligt artikel 46.1 g ska underrättelsen lämnas ”inom rimlig tid”. Enligt utredningens mening behöver det inte regleras, eftersom det får anses följa av förvaltningslagen.

Syftet med kontrollen är inte att den enskilde genom tillsyns- myndigheten ska få kännedom om huruvida hans eller hennes upp- gifter behandlas hos en behörig myndighet utan att en oberoende myndighet får insyn i sådan personuppgiftsbehandling som regist- rerade inte själva kan kontrollera.

452

SOU 2017:29

Tillsyn

Det bör ställas vissa krav på begäran

Kontrollerna kommer sannolikt framför allt att avse de brottsbe- kämpande myndigheternas personuppgiftsbehandling men kan även avse annan personuppgiftsbehandling inom ramlagens till- lämpningsområde. Om en privat aktör är behörig myndighet kan det behöva kontrolleras hur personuppgifter behandlas där.

För att regleringen inte ska kunna missbrukas bör det enligt ut- redningens mening ställas vissa krav på en begäran om kontroll. Det bör krävas att sökanden anger vilken behörig myndighet som kontrollen ska avse, eftersom ramlagen ska tillämpas av ett flertal myndigheter. Vidare bör det framgå om begäran avser personupp- giftsbehandlingen i ett visst mål eller ärende, ett visst register eller viss verksamhet. En begäran om kontroll bör därför vara skriftlig. Det bör också framgå att den som begär kontroll först har vänt sig till den personuppgiftsansvarige.

Eftersom det rör sig om integritetskänsliga personuppgifter är det angeläget att säkerställa att endast behöriga personer begär kontroll. Om det finns skäl att ifrågasätta behörigheten bör till- synsmyndigheten kunna begära att sökanden styrker den (jfr av- snitt 11.5.3). Kraven på begäran kan regleras i förordning.

Tillsynsmyndigheten ska kunna vägra att utföra kontroll

Tillsynsmyndigheten har enligt artikel 46.4 möjlighet att vägra att utföra kontroll om begäran är uppenbart ogrundad eller orimlig. Det bör framgå av ramlagen att kontroll kan vägras i sådana fall.

Frågan är när en begäran kan anses vara orimlig eller uppenbart ogrundad. Ett skäl som framhålls i direktivet är att förfrågan är repetitiv, dvs. att den återupprepas. Av skäl 43 framgår att fysiska personer bör ha rätt att med rimliga intervall utöva sin rätt att hålla sig underrättade om att behandling sker och kunna kontrollera om den är laglig. Någon ytterligare ledning för vad som är rimliga in- tervall ges inte i direktivet.

När personuppgiftslagen infördes ansåg regeringen, vid tolk- ningen av begreppet rimliga intervall i artikel 12 a i det nu gällande dataskyddsdirektivet, att en enskild bör ha rätt att av den person- uppgiftsansvarige en gång per kalenderår få besked om hans eller hennes personuppgifter behandlas (se 26 § personuppgiftslagen och

453

Tillsyn

SOU 2017:29

prop. 1997/98:44 s. 82). Kontroller av om uppgifter om en person behandlas författningsenligt kan dock vara betydligt mer resurskrä- vande. Det beror bl.a. på att tillsynsmyndigheten – i motsats till den personuppgiftsansvarige – inte har tillgång till de personupp- gifter som behandlas. Tillsynsmyndigheten måste därför alltid be- gära hjälp av den personuppgiftsansvarige med att klarlägga om några uppgifter om personen behandlas och kan först därefter ta ställning till vilken kontroll som i så fall krävs. Det är därför inte givet att de överväganden som gjordes beträffande registerutdrag enligt 26 § personuppgiftslagen har samma relevans för tillsyns- myndighetens kontroller.

Enligt utredningens mening är det inte lämpligt att i författning reglera hur lång tid som bör förflyta mellan framställningar om kontroll. Det bör i stället avgöras i praxis hur ofta en begäran får upprepas utan att den betraktas som orimlig.

En begäran om kontroll bör även kunna vägras om den är orim- ligt omfattande eller om den är så oprecis att det skulle krävas oproportionerligt mycket arbete för att kunna utföra kontrollen. Som exempel kan nämnas en opreciserad begäran om kontroll av om Polismyndighetens behandling av uppgifter om en person är författningsenlig. Det säger sig självt att en sådan begäran med Polismyndighetens 28 000 anställda, hela landet som verksamhets- område och mångskiftande arbetsuppgifter skulle kräva orimliga insatser av både tillsynsmyndigheten och tillsynsobjektet. Det är tillsynsmyndigheten som har bevisbördan för att en begäran är orimlig eller uppenbart ogrundad.

Av skäl 40 – som hänför sig till artiklarna om enskildas rättig- heter – framgår att en begäran bör anses som uppenbart ogrundad om den enskilde saknar skäl för sin begäran eller på annat sätt miss- brukar sin rätt till information. I övrigt ger direktivet ingen ledning för i vilka fall en begäran kan anses vara uppenbart ogrundad. En- ligt utredningens mening kan en begäran vara uppenbart ogrundad om den som begär kontroll inte först begärt att den personupp- giftsansvarige lämnar information.

Ett beslut att vägra utföra kontroll bör kunna överklagas, om förutsättningarna i övrigt är uppfyllda (se avsnitt 14.7.1). Det bör därför krävas ett skriftligt beslut där skälen för vägran framgår. Det kan regleras i förordning.

454

SOU 2017:29

Tillsyn

Bör kontroll kunna utföras mot avgift?

Ett alternativ till att vägra utföra kontroll är enligt artikel 46.4 att tillsynsmyndigheten tar ut en rimlig avgift för de administrativa kostnaderna. Frågan är om den möjligheten bör utnyttjas vid genomförandet av direktivet. Å ena sidan talar ett av direktivets huvudsyften – att skydda den enskildes rättigheter – för att den en- skilde i så stor utsträckning som möjligt ska få en kontroll utförd. Av artikel 46.4 följer å andra sidan att det är förenligt med direkti- vet att begränsa den enskildes rättigheter i vissa fall. En avgift kan inte läka bristen om en begäran är uppenbart ogrundad. Detsamma gäller en framställning som är orimlig av något annat skäl än att den upprepas alltför ofta. Det skulle kunna övervägas att ge enskilda möjlighet att mot avgift begära kontroll oftare än vad som är rim- ligt. Eftersom kontroll kan vara arbetskrävande anser utredningen att varken tillsynsmyndigheten eller tillsynsobjektet bör belastas med alltför täta kontroller. Möjligheten att ålägga tillsynsmyndig- heten att mot avgift genomföra kontroller som är orimliga eller uppenbart ogrundade bör därför inte utnyttjas.

Information om rätt till rättslig prövning

Enligt artikel 17.3 och skäl 48 ska tillsynsmyndigheten även infor- mera den registrerade om hans eller hennes rätt att begära rättslig prövning. Det är oklart vad som avses. Eftersom kontroll av om behandlingen är författningsenlig normalt inte utmynnar i något förvaltningsbeslut kan det inte annat än undantagsvis finnas något som en domstol kan pröva med anledning av kontrollen. Den en- skilde har emellertid enligt artiklarna 53 och 54 rätt till effektiva rättsmedel om hans eller hennes rättigheter enligt direktivet kränks. Det bör enligt utredningens mening vara beslut om avslag på begäran om kontroll som avses. Utredningen återkommer till frågor om överklagande i avsnitt 14.7.1. Här räcker det att konsta- tera att det inte behövs någon lagstiftningsåtgärd för att tydliggöra att tillsynsmyndigheten, i de fall där ett beslut är överklagbart eller kan prövas på annat sätt, är skyldig att upplysa om det, eftersom den skyldigheten följer av andra regler.

455

Tillsyn

SOU 2017:29

12.6.4Information och rådgivning

Utredningens förslag: Tillsynsmyndigheten ska ge råd och stöd till personuppgiftsansvariga och personuppgiftsbiträden om deras skyldigheter enligt lag eller annan författning vid för- handssamråd och när det i övrigt är påkallat.

Skälen för utredningens förslag

Innehållet i direktivet och nuvarande reglering

En central arbetsuppgift för tillsynsmyndigheten är att på eget ini- tiativ eller på begäran ge information och råd till olika aktörer om regler som styr behandlingen av personuppgifter.

I artiklarna 46.1 c, 47.3 och 28.2 föreskrivs att tillsynsmyndig- heten ska ha en rådgivande uppgift, genom att på eget initiativ eller på begäran avge yttranden om lagstiftning och administrativa åt- gärder till riksdag, regering, andra myndigheter och organ och till allmänheten i frågor som rör skydd av personuppgifter. Enligt arti- kel 46.1 d ska tillsynsmyndigheten öka personuppgiftsansvarigas och personuppgiftsbiträdens medvetenhet om deras skyldigheter enligt direktivet. Förhandssamråd, som regleras i artikel 28, innebär att den personuppgiftsansvarige eller personuppgiftsbiträdet ska samråda med tillsynsmyndigheten bl.a. inför behandling av person- uppgifter i nyinrättade register. Enligt artikel 46.1 k ska tillsyns- myndigheten då ge skriftliga råd.

Av artikel 46.1 b framgår att tillsynsmyndigheten självmant ska lämna allmän information om risker, regler, skyddsåtgärder och rättigheter till allmänheten. Vidare ska tillsynsmyndigheten enligt artikel 46.1 e på begäran tillhandahålla mer specifik information till registrerade om hur de ska utöva sina rättigheter och vid behov samarbeta med tillsynsmyndigheter i andra medlemsstater för det ändamålet. Av artiklarna 17.3, 52.3 och 52.4 framgår att den som har kontakt med tillsynsmyndigheten med anledning av en begäran om kontroll eller ett klagomål ska få mer specifik information om hur han eller hon ska ta tillvara sin rätt i det aktuella fallet.

I 1 § Datainspektionens instruktion föreskrivs att inspektionen särskilt ska inrikta sin verksamhet på att informera om gällande regler och ge råd och hjälp åt personuppgiftsombud.

456

SOU 2017:29

Tillsyn

Förhandssamråd

I avsnitt 10.2.5 behandlas det förhandssamråd mellan personupp- giftsansvariga och tillsynsmyndigheten som krävs i vissa fall. Det som är av intresse här är tillsynsmyndighetens roll. Myndigheten ska ta emot sådana konsekvensbedömningar som ska upprättas en- ligt artikel 27, delta i samrådet och, om den planerade behandlingen riskerar att inte vara förenlig med regelverket, lämna skriftliga råd. Utredningen återkommer i avsnitt 12.7.5 till myndighetens befo- genheter vid samrådet. Förhandssamråd är en viktig del i tillsyns- myndighetens förebyggande arbete och bör därför uttryckligen anges i bestämmelsen om myndighetens rådgivande roll.

Information och rådgivning till personuppgiftsansvariga, personuppgiftsbiträden och dataskyddsombud

Genom direktivet ökar kraven på personuppgiftsansvariga och per- sonuppgiftsbiträden i olika avseenden jämfört med i dag. Enligt artikel 46.1 d ska tillsynsmyndigheten öka personuppgiftsansvari- gas och personuppgiftsbiträdens medvetenhet om deras skyldig- heter. Direktivet reglerar även dataskyddsombudens uppdrag mera i detalj. De ska bl.a. informera och ge råd till personuppgiftsansva- riga om deras skyldigheter, övervaka efterlevnaden av regelverket och samarbeta och fungera som kontaktpunkt för tillsynsmyndig- heten. Förändringarna bör enligt utredningens bedömning medföra att behovet av information och rådgivning från tillsynsmyndighe- ten till personuppgiftsansvariga, personuppgiftsbiträden och data- skyddsombud kommer att öka.

Utredningen om tillsynen över den personliga integriteten före- slår att regeln i Datainspektionens instruktion om särskilt stöd till personuppgiftsombud ska upphävas, eftersom det varken finns utrymme för eller behov av en sådan reglering på dataskyddsför- ordningens område (SOU 2016:65 s. 157 f.). Förslaget ska ses mot bakgrund av att bestämmelsen innebär en anvisning från regeringen om hur tillsynsmyndigheten ska prioritera sina tillsynsuppgifter. En sådan regel anses enligt förslaget inte vara förenlig med kraven på tillsynsmyndighetens oberoende.

Det väcker frågan om tillsynsmyndighetens informations- och rådgivningsskyldighet gentemot personuppgiftsansvariga och per-

457

Tillsyn

SOU 2017:29

sonuppgiftsbiträden enligt direktivet bör regleras. Enligt utred- ningens mening går vissa krav på information och rådgivning, bl.a. artikel 46.1 d, utöver det som ryms i den allmänna service- och samverkansskyldigheten enligt förvaltningslagen. Mot den bak- grunden bör även uppgiften att informera och ge råd till person- uppgiftsansvariga och personuppgiftsbiträden pekas ut som en sär- skild uppgift för tillsynsmyndigheten. Det kan vara lämpligt att formulera uppgiften på liknande sätt som i 1 § Datainspektionens instruktion, att tillsynsmyndigheten ska ge råd och stöd. Skyldig- heten bör omfatta råd och stöd till personuppgiftsansvariga och personuppgiftsbiträden. Skyldigheten bör begränsas till informa- tion om deras författningsenliga skyldigheter.

Det finns enligt utredningens mening inget hinder mot att ange råd och stöd till personuppgiftsansvariga och personuppgiftsbiträ- den som en arbetsuppgift bland flera, så länge regleringen inte innebär att den viktas högre eller lägre än någon av de övriga upp- gifterna. Om tillsynsmyndighetens arbetsuppgifter regleras i ram- lagen finns det inte heller någon risk för konflikt med vad som kommer att gälla på dataskyddsförordningens område. Förslaget står därmed inte i motsatsställning till förslaget från Utredningen om tillsynen över den personliga integriteten att upphäva bestäm- melsen om råd och hjälp åt personuppgiftsombud i Datainspektio- nens instruktion. Av hänsyn till tillsynsmyndighetens oberoende bör bestämmelsen utformas så att det, förutom vid förhandssam- råd, tydligt framgår att myndigheten själv avgör när råd och stöd kan vara påkallat.

Även fortsättningsvis kommer dataskyddsombuden att behöva samråda med tillsynsmyndigheten i många frågor. De är i många fall den naturliga kontaktpunkten för tillsynsmyndigheten (se av- snitt 10.5.3). I den utsträckning dataskyddsombud har behov av råd och stöd från tillsynsmyndigheten bör myndigheten naturligtvis på samma sätt som i dag tillgodose det behovet.

Information och rådgivning till riksdag, regering och andra myndigheter

I artikel 28.2 i det nu gällande dataskyddsdirektivet finns motsva- rande reglering om tillsynsmyndighetens rådgivande roll som i artiklarna 28.2, 46.1 c och 47.3 i det nya direktivet. När person-

458

SOU 2017:29

Tillsyn

uppgiftslagen infördes ansåg regeringen att svensk rätt uppfyllde de kraven utan någon lagstiftningsåtgärd (prop. 1997/98:44 s. 102).

Enligt 7 kap. 2 § regeringsformen ska vid beredningen av rege- ringsärenden behövliga upplysningar och yttranden begäras in från berörda myndigheter. Beredningskravet gäller både för riksstyrelse- ärenden, exempelvis beslut om propositioner och förordningar, och förvaltningsärenden (jfr prop. 2009/10:80 s. 215). Myndigheter under regeringen är skyldiga att svara på de remisser de får. I 4 kap. 10 § riksdagsordningen föreskrivs att en statlig myndighet är skyl- dig att lämna upplysningar och yttra sig när ett riksdagsutskott begär det.

Enligt 6 § förvaltningslagen är myndigheterna skyldiga att sam- verka med varandra i frågor som rör deras respektive verksamhets- områden. Skyldigheten enligt lagen att svara på remisser omfattar remisser från andra myndigheter.

Regleringen i artiklarna 28.2, 46.1 c och 47.3 skiljer sig inte från det nu gällande direktivet. Det finns inte anledning att göra en annan bedömning i fråga om behovet av reglering än när person- uppgiftslagen infördes. Några lagstiftningsåtgärder för att genom- föra dessa artiklar behövs alltså inte.

Information till allmänheten

Tillsynsmyndigheten är enligt direktivet skyldig att självmant in- formera allmänheten i frågor som rör personuppgiftsbehandling. Enligt 4 § förvaltningslagen har myndigheter serviceskyldighet i förhållande till enskilda och allmänheten. Principen är en del av det som är att anse som god förvaltning och innebär att förvaltnings- myndigheter ska lämna upplysningar, vägledning, råd och annan sådan hjälp till enskilda i frågor som rör myndighetens verksam- hetsområde. Hjälpen ska lämnas i den utsträckning som är lämplig med hänsyn till frågans art, den enskildes behov och myndighetens verksamhet. Eftersom uppgiften redan är reglerad krävs inte någon lagstiftningsåtgärd för att genomföra artikel 46.1 b och aktuell del av artikel 47.3. En stor del av Datainspektionens verksamhet ägnas redan i dag åt sådan information och vägledning.

459

Tillsyn

SOU 2017:29

Information och rådgivning på begäran av enskilda

Artikel 46.1 e tar enligt utredningens uppfattning sikte på två olika saker. Den ena är allmän informationsskyldighet i förhållande till enskilda om hur de kan ta tillvara sina rättigheter. Sådan allmän in- formation ska lämnas på tillsynsmyndighetens eget initiativ. Den andra är mer specifik information om den enskilde t.ex. har gett in ett klagomål till tillsynsmyndigheten. Specifik information ska läm- nas bara om det behövs. Om det krävs ska tillsynsmyndigheten även samarbeta med tillsynsmyndigheter i andra medlemsstater för att kunna ge information till enskilda.

Den allmänna skyldigheten enligt förvaltningslagen att lämna hjälp gäller oavsett om det rör sig om en förfrågan från en part i ett ärende eller från någon som har ett allmänt intresse av att få upp- lysningar om tillsynsmyndighetens verksamhet. När det behövs och är lämpligt ska myndigheten vägleda den enskilde genom att ta initiativ till ytterligare utredning, verka för att utredningen begrän- sas till vad som är nödvändigt och fästa den enskildes uppmärk- samhet på om det finns något annat, bättre sätt att nå det han eller hon eftersträvar (prop. 1985/86:80 s. 59). Serviceskyldigheten är vidsträckt men inte obegränsad. Myndigheten ska göra en bedöm- ning från fall till fall av hur långt den ska sträcka sin service.

I fråga om sådan information som nu diskuteras krävs enligt ut- redningens mening inte mer än vad som redan följer av myndighe- ternas allmänna serviceskyldighet. Det behövs därför ingen lag- stiftningsåtgärd för att genomföra artikel 46.1 e.

Det kan anmärkas att Datainspektionen har en särskild upplys- ningstjänst som via telefon och e-post besvarar frågor om person- uppgiftsbehandling och att det finns omfattande informations- material på myndighetens hemsida.

12.7Tillsynsmyndighetens befogenheter

12.7.1Hur bör tillsynen bedrivas?

I de flesta avseenden bör tillsynen över personuppgiftsbehandling kunna bedrivas på samma sätt som i dag. Tillsynen är av rättslig karaktär, dvs. den inriktas på om den granskade följer gällande regelverk för behandling av personuppgifter. Sådan tillsyn bedrivs

460

SOU 2017:29

Tillsyn

framför allt genom granskning av dokumentation och upplysningar från tillsynsobjektet. Den kan dock även innefatta åtgärder som tillsyn över hur regelverket generellt tillämpas eller kontroll av att t.ex. en loggningsfunktion eller annan teknisk säkerhetsåtgärd fun- gerar som avsett. När det gäller personuppgiftsbehandling kan sär- skilt tillsynen över säkerhetsåtgärder behöva utföras på plats hos tillsynsobjektet.

Tillsyn kan påbörjas formlöst, t.ex. genom en faktisk åtgärd som en inspektion på plats, eller mer eller mindre formaliserat där ett formellt beslut som anger exakt vad tillsynen ska omfatta är den andra ytterligheten. Det förhållandet att tillsyn kan initieras i en mängd olika situationer och att det inte alltid finns något givet svar på vad tillsynen ska resultera i, innebär att tillsynsarbetet också kan ha olika skepnader. Tillsynen kan bedrivas förutsättningslöst, t.ex. vid ett rutinmässigt tillsynsbesök hos en myndighet. Den kan också vara målinriktad och exempelvis inriktas på behandlingen i ett enskilt register eller att klarlägga om ett konkret klagomål har fog för sig.

Syftet med tillsynen avgör vad som krävs för att genomföra den. Om syftet är att undersöka klagomål i ett enskilt ärende kan det vara tillräckligt att tillsynsmyndigheten tar del av personuppgif- terna och dokumentation om hur de har behandlats. Är det fråga om en kontroll där den som begär kontrollen ifrågasätter att upp- gifter om honom eller henne behandlas kan det behövas ett bredare anslag. Om tillsynsmyndigheten behöver få underlag för ett före- läggande kan inledande åtgärder som inhämtande av handlingar behöva följas upp med tillsynsbesök och upprepade kontakter med den personuppgiftsansvarige.

Tillsyn kan också vara tematisk, vilket innebär att en viss fråga eller typ av behandling eller behandlingen i en viss typ av register undersöks oberoende av vilka som utför sådana behandlingar. Till- synen kan då omfatta många olika tillsynsobjekt och t.ex. bestå i att myndigheten inhämtar skriftlig information.

På samma sätt som det oftast inte finns någon given början på tillsynen är det inte heller reglerat hur tillsynen ska avslutas och vad den ska utmynna i. Tillsynen kan avslutas formlöst, t.ex. genom att myndigheten bestämmer sig för att inte längre avsätta resurser för den. Tillsynen kan också avslutas genom ett protokoll över genom-

461

Tillsyn

SOU 2017:29

förd inspektion. En tematisk tillsyn kan utmynna i nya föreskrifter eller allmänna råd. Tillsyn behöver alltså inte utmynna i ett beslut.

Om fel upptäcks i samband med tillsyn kan tillsynsmyndigheten utöva sina befogenheter. När det gäller personuppgiftsbehandling kan det innebära att beslut om t.ex. rättelse, komplettering eller radering kan aktualiseras. Tillsyn kan när som helst övergå i ett vanligt förvaltningsärende hos tillsynsmyndigheten, även om den har påbörjats formlöst. Då ska de regler som gäller för det förfa- randet tillämpas.

Tillsynsmyndigheten sätter alltså själv gränserna för vad som ska göras och hur och när det ska göras, så länge det inte kommer i konflikt med den reglering som genomför artiklarna 46.1 g (se av- snitt 12.6.3), 28.5 (se avsnitt 12.6.4), 53.2 (se avsnitt 14.6.2) och 50.4 (se avsnitt 12.10.1).

12.7.2Utgångspunkterna för regleringen

Utredningens bedömning: Regleringen av tillsynsmyndighe- tens befogenheter bör utformas i nära anslutning till regleringen i dataskyddsförordningen.

Skälen för utredningens bedömning: Utredningen om tillsynen över den personliga integriteten anser att det varken finns utrymme för eller behov av kompletterande reglering av tillsynsmyndighe- tens befogenheter när det gäller dataskyddsförordningen. Utred- ningen understryker att det ankommer på vår utredning att göra motsvarande överväganden när det gäller tillsynen enligt direktivet.

Enligt tillsynsskrivelsen bör ett tillsynsorgan, när en brist kon- stateras, ha möjlighet till någon form av ingripande, som ska vara effektivt och tydligt. Det är viktigt att ingripandemöjligheterna har en framåtsyftande funktion och säkerställer att regelverket följs i framtiden, samtidigt som tillsynsorganet också måste kunna ingripa mot regelöverträdelser som inte kan göras ogjorda. Ingripandemöj- ligheterna bör utformas efter de särskilda förutsättningarna inom respektive tillsynsområde och så att de skapar större enhetlighet, särskilt inom närliggande tillsynsområden (skr. 2009/10:79 s. 41 f.).

För att genomföra direktivets bestämmelser och skapa förut- sättningar för en effektiv tillsyn bör enligt utredningens uppfatt-

462

SOU 2017:29

Tillsyn

ning tillsynsmyndighetens befogenheter regleras i ramlagen. En så tydlig reglering som möjligt bör eftersträvas. De uttalanden rege- ringen gjort i tillsynsskrivelsen bör prägla hur befogenheterna regleras. Hänsyn bör således tas till om motsvarande reglering finns i dataskyddsförordningen när tillsynsmyndighetens befogenheter på direktivets område regleras.

I skäl 82 framhålls att när befogenheterna utövas ska varje åt- gärd vara lämplig, nödvändig och proportionerlig för att säkerställa efterlevnaden av regelverket. Åtgärderna ska utformas så att onö- diga kostnader och stora olägenheter undviks. Det väcker frågan om det bör införas en proportionalitetsregel som återspeglar inne- hållet i skäl 82. De befogenheter som tillsynsmyndigheten föreslås få är enligt utredningens mening inte av den karaktären att en ut- trycklig proportionalitetsregel är nödvändig.

12.7.3Undersökningsbefogenheter

Utredningens förslag: Tillsynsmyndigheten ska ha rätt att av personuppgiftsansvariga och personuppgiftsbiträden på begäran få

1.tillgång till alla personuppgifter som behandlas,

2.upplysningar om och dokumentation av behandlingen av per- sonuppgifter och säkerhets- och skyddsåtgärder,

3.tillträde till lokaler som den personuppgiftsansvarige eller personuppgiftsbiträdet disponerar och tillgång till utrustning och andra medel för behandling av personuppgifter, och

4.det biträde och annan information som behövs för tillsynen.

Skälen för utredningens förslag

Innehållet i direktivet och nuvarande reglering

Enligt artikel 47.1 ska tillsynsmyndigheten ha effektiva undersök- ningsbefogenheter som minst ska inbegripa rätten att från den per- sonuppgiftsansvarige och personuppgiftsbiträdet få tillgång till alla

463

Tillsyn

SOU 2017:29

personuppgifter som behandlas och all information som tillsyns- myndigheten behöver för att kunna fullgöra sina tillsynsuppgifter.

Enligt 43 § personuppgiftslagen, som är tillämplig på de behö- riga myndigheterna, har tillsynsmyndigheten rätt att för sin tillsyn på begäran få tillgång till de personuppgifter som behandlas, upp- lysningar om och dokumentation av behandlingen av personupp- gifter och säkerheten vid den och tillträde till sådana lokaler som har anknytning till behandlingen av personuppgifter.

Tillsynsmyndigheten bör ges tillgång till information och lokaler

Som tidigare nämnts består rättslig tillsyn till stor del av granskning av dokumentation. För att kunna utöva tillsynen effektivt kan till- synsmyndigheten dock inte bara förlita sig på de handlingar som den får tillgång till. Den kan även i viss utsträckning behöva besöka lokaler där personuppgiftsbehandling pågår bl.a. för att kunna in- spektera säkerhetsåtgärder. Tillsynsbesök kan också ge tillsyns- myndigheten bättre inblick i förutsättningarna för den verksamhet där personuppgiftsbehandlingen äger rum.

Tillsynsmyndigheten behöver alltså tillgång till de personupp- gifter som behandlas. Tillsynsmyndigheten behöver även upplys- ningar och dokumentation om pågående behandlingar, t.ex. de regi- ster över behandlingar som den personuppgiftsansvarige ska föra (se avsnitt 10.2.7). Därutöver bör tillsynsmyndigheten ha rätt till annan information som behövs, bl.a. dokumentation av säkerhets- och skyddsåtgärder. Det kan också röra sig om dokumentation som inte är direkt kopplad till den behandling som granskas, men som tillsynsmyndigheten ändå behöver för att genomföra sin till- syn. Det bör därför framgå av ramlagen att tillsynsmyndigheten ska ges tillgång till de personuppgifter som behandlas, tillgång till dokumentation om behandlingen av dem och övrig dokumentation som behövs för tillsynen.

Det normala förfarandet bör vara att tillsynsmyndigheten tar hjälp av personal vid den granskade myndigheten för att få tillgång till behandlade personuppgifter. Tillgång på det sättet ska enligt utredningens mening inte betraktas som en rätt till direktåtkomst (jfr HFD 2015 ref. 61 och SOU 2015:39 s. 389 f). I vissa fall skulle det kunna underlätta om tillsynsmyndigheten själv i samband med

464

SOU 2017:29

Tillsyn

en inspektion på plats får använda datorer och andra medel som tillsynsobjektet använder. En sådan möjlighet torde dock förutsätta att tillsynsmyndigheten ges direktåtkomst till de behöriga myndig- heternas information (jfr Datainspektionens samrådsyttrande i dnr 126-2013). Tillsynsmyndigheten bör därför enligt utredningens mening ges tillgång till utrustning och andra medel som har an- knytning till behandlingen av personuppgifter enbart med hjälp av tillsynsobjektets personal.

Frågan är om rätten att få tillgång till behandlade personupp- gifter även ger rätt att beordra de körningar och andra åtgärder som behövs för att få fram de personuppgifter som behandlas. Enligt 4 § lagen om tillsyn över viss brottsbekämpande verksamhet har Säker- hets- och integritetsskyddsnämnden bl.a. rätt till det biträde som nämnden begär. Sådant biträde kan bestå i att den granskade myn- digheten gör lokaler, arkiv och databaser tillgängliga för nämnden. En förutsättning för att få tillgång till de personuppgifter som be- handlas är att personal från den granskade myndigheten bistår vid tillsynen genom att utföra de sökningar som behövs. Enligt utred- ningens mening har tillsynsmyndigheten behov av den typen av biträde och en bestämmelse om det bör tas in i ramlagen. Den kan lämpligen utformas efter mönster av den reglering som gäller för nämnden. Vid sökningar som görs på direkt begäran av tillsyns- myndigheten anses tillsynsobjektet inte vara bunden av de begräns- ningar i fråga om behandlingen av personuppgifter som annars gäl- ler i verksamheten. Det kan t.ex. gälla ändamålen för behandlingen eller hur känsliga personuppgifter får behandlas.

Tillsynsmyndigheten kan även behöva tillgång till lokaler, ut- rustning och andra medel som används för att behandla personupp- gifter. Tillsynsmyndigheten bör inte ha rätt att med tvång skaffa sig tillgång till lokaler (jfr SOU 1997:39 s. 443 och prop. 1997/98:44 s. 101). Att göra lokaler tillgängliga ingår dock i den personupp- giftsansvariges samarbetsskyldighet i förhållande till tillsynsmyn- digheten (se avsnitt 10.2.6). Vägran att ge tillträde kan också enligt förslaget i avsnitt 13.5.1 leda till sanktionsavgift.

Utredningen återkommer till frågan om vad tillsynsmyndighe- ten kan göra om den personuppgiftsansvarige eller personuppgifts- biträdet inte uppfyller sina skyldigheter att bistå tillsynsmyndig- heten (se avsnitt 12.7.6 och 13.5.2).

465

Tillsyn

SOU 2017:29

12.7.4Skillnad mellan förebyggande och korrigerande befogenheter

Utredningens bedömning: Det bör göras tydlig skillnad mellan tillsynsmyndighetens förebyggande och korrigerande befogen- heter.

Skälen för utredningens bedömning

Innehållet i direktivet

I artikel 47.2 anges att tillsynsmyndigheten ska ha effektiva korri- gerande befogenheter, t.ex. för att kunna

a)utfärda varningar till personuppgiftsansvariga och personupp- giftsbiträden om att planerade behandlingar sannolikt kommer att stå i strid med de bestämmelser som antas i enlighet med direktivet,

b)beordra personuppgiftsansvariga och personuppgiftsbiträden att se till att behandlingen av personuppgifter är förenlig med direktivet och, om lämpligt på visst sätt och inom viss tid, bl.a. beordra rättelse, radering eller begränsning av behandlingen en- ligt artikel 16, och

c)införa tillfälliga eller definitiva begränsningar av, inklusive för- bud mot, behandlingen.

Nuvarande reglering

I artikel 28.3 i det nu gällande direktivet regleras tillsynsmyndig- hetens korrigerande befogenheter, som delvis har genomförts i 44– 47 §§ personuppgiftslagen. Paragraferna är till stor del tillämpliga på de behöriga myndigheterna.

Enligt 45 § personuppgiftslagen ska tillsynsmyndigheten genom påpekanden eller liknande förfaranden försöka åstadkomma rättel- se, om myndigheten konstaterar att personuppgifter behandlas eller kan komma att behandlas på ett olagligt sätt. Går det inte att åstad- komma rättelse eller är saken brådskande får myndigheten förbjuda den personuppgiftsansvarige att fortsätta att behandla personupp-

466

SOU 2017:29

Tillsyn

gifterna på något annat sätt än genom att lagra dem. Enligt 47 § personuppgiftslagen får tillsynsmyndigheten ansöka om att sådana personuppgifter som har behandlats på ett olagligt sätt ska utplå- nas. Enligt 44 § personuppgiftslagen får tillsynsmyndigheten för- bjuda den personuppgiftsansvarige att behandla personuppgifter på något annat sätt än genom att lagra dem, om myndigheten vid en begäran enligt 43 § inte kan få tillräckligt underlag för att konsta- tera att behandlingen av personuppgifter är laglig.

Tydligare reglering av tillsynsmyndighetens befogenheter

Datainspektionen vidtar i dag samma åtgärder både för att före- bygga otillåten personuppgiftsbehandling och för att korrigera be- handling som strider mot personuppgiftslagen. Regeringen ansåg när lagen infördes att det var viktigt att tillsynsmyndigheten i första hand kunde fungera som stöd för de personuppgiftsansvariga och ge dem råd. Datainspektionen ska genom påpekanden och andra åtgärder försöka förmå personuppgiftsansvariga att vidta åtgärder som medför att behandlingen blir laglig (prop. 1997/98:44 s. 103). Påpekanden och liknande förfaranden har i praxis ansetts rymma även åtgärder i form av förelägganden av tvingande karak- tär. Tillsynsobjekten har emellertid ansett det oklart om ett före- läggande från Datainspektionen är tvingande och om det får över- klagas (SOU 2015:39 s. 622 f.).

I artikel 47.2 görs tydlig skillnad mellan förebyggande och kor- rigerade befogenheter. För att regleringen i ramlagen ska bli så tyd- lig som möjligt bör tillsynsmyndighetens befogenheter i förebyg- gande respektive korrigerande syfte regleras i olika paragrafer. De bör också spegla i vilken ordning befogenheterna bör användas.

En särskild fråga är hur det bör uttryckas vad tillsynsmyndig- heten ska ingripa mot. Enligt artikel 47.2 punkterna a och b ska till- synsmyndigheten se till att uppgiftsbehandlingen är förenlig med de författningar som genomför direktivet. Vilka författningar som omfattas av tillsynsområdet behandlas i avsnitt 12.4.1. Enligt utred- ningens mening bör de förebyggande befogenheterna användas om det finns risk för att viss personuppgiftsbehandling kan komma att stå i strid med lag eller annan författning, medan de korrigerande

467

Tillsyn

SOU 2017:29

befogenheterna bör användas när det har konstaterats att behand- lingen strider mot gällande bestämmelser.

Utredningen ser tillsynsmyndighetens befogenheter enligt ram- lagen som en trappa som ger möjlighet att successivt använda kraft- fullare medel och därigenom stegra påtryckningarna på den som inte självmant rättar sig efter myndighetens anvisningar. Befogen- heterna sträcker sig från rådgivning till möjligheten att besluta om sanktionsavgift. Det bör dock understrykas att de korrigerande åt- gärderna inte är kopplade till varandra på det sättet att en strängare åtgärd förutsätter att alla mindre ingripande åtgärder redan har prövats.

12.7.5Förebyggande befogenheter

Utredningens förslag: Om tillsynsmyndigheten bedömer att det finns risk för att personuppgifter kan komma att behandlas i strid med lag eller annan författning, ska myndigheten genom råd, rekommendationer eller påpekanden försöka förmå den personuppgiftsansvarige eller personuppgiftsbiträdet att vidta åtgärder för att minska den risken.

Tillsynsmyndigheten får utfärda en skriftlig varning för att planerad behandling av personuppgifter riskerar att stå i strid med lag eller annan författning. Detsamma gäller om pågående behandling riskerar att stå i strid med lag eller annan författning.

Skälen för utredningens förslag

Råd och stöd

En viktig arbetsuppgift för tillsynsmyndigheten är att lämna råd till personuppgiftsansvariga och personuppgiftsbiträden om deras skyldigheter och att stödja deras strävanden att skapa författnings- enliga och integritetssäkra lösningar. Inom ramen för det förebyg- gande arbetet bör tillsynsmyndigheten på olika sätt försöka förmå den som är ansvarig att vidta de åtgärder som behövs för att minska risken för att behandling av personuppgifter kan komma att stå i strid med lag eller annan författning. Medlen för det bör främst

468

SOU 2017:29

Tillsyn

vara muntliga eller skriftliga råd, rekommendationer och påpekan- den som inte är tvingande.

På vilket sätt förändringen ska åstadkommas bör i första hand lämnas åt den personuppgiftsansvarige eller personuppgiftsbiträdet att avgöra. I många fall torde det vara tillräckligt att tillsynsmyn- digheten upplyser om på vilket sätt personuppgiftsbehandlingen riskerar att strida mot regelverket. Tillsynsmyndigheten är skyldig att lämna skriftliga råd vid förhandssamråd (se avsnitt 12.6.4 och avsnitt 10.2.5).

Varning

Enligt artikel 47.2 a ska tillsynsmyndigheten t.ex. kunna utfärda varningar till personuppgiftsansvariga och personuppgiftsbiträden för att planerade behandlingar sannolikt kommer att strida mot regelverket för personuppgiftsbehandling. Utredningen tolkar direktivet så att varning bör vara en åtgärd i det förebyggande arbetet. Möjligheten att utfärda varning är ny. Utredningen anser att varning kan vara ett lämpligt komplement till de förebyggande åtgärder som finns i dag. Varning bör kunna användas av tillsyns- myndigheten för att i ett enskilt fall markera allvaret i en situation och försöka förmå den personuppgiftsansvarige eller personupp- giftsbiträdet att ändra sig i fråga om planerad behandling. Däri- genom kan det förebyggas att behandling som inte är förenlig med regelverket påbörjas. Varning bör emellertid även kunna användas om pågående behandling riskerar att strida mot lag eller annan för- fattning.

Att utfärda varning bör som regel bli aktuellt först om tillsyns- myndigheten bedömer att den inte på annat sätt kan förmå den personuppgiftsansvarige eller personuppgiftsbiträdet att följa regel- verket. Varningen ska tjäna som väckarklocka för den personupp- giftsansvarige eller personuppgiftsbiträdet. Varning bör nämligen – även om den inte är tvingande – ses som ett steg på vägen mot ett föreläggande.

En varning bör vara skriftlig och tydligt ange på vilket sätt be- handlingen riskerar att strida mot regelverket. En varning bör kunna avse vilken form av förändring som helst i behandlingen, t.ex. vilka personuppgifter som får behandlas, hur ett behandlings-

469

Tillsyn

SOU 2017:29

system bör utformas, vilka säkerhetsåtgärder som krävs eller något annat som har betydelse för behandlingen. Eftersom en varning inte ska vara bindande är det inte fråga om ett beslut av tillsyns- myndigheten som är överklagbart.

Det kan i och för sig diskuteras om ordet varning, som används i direktivet, är ett lämpligt uttryck. Det skulle kunna leda tankarna fel, eftersom ordet varning används i många olika betydelser. Mot bakgrund av att samma ord används både i annan tillsynsverksam- het och i dataskyddsförordningen för motsvarande befogenhet anser utredningen dock att den nya åtgärden bör kallas varning.

12.7.6Korrigerande befogenheter

Utredningens förslag: Om tillsynsmyndigheten konstaterar att personuppgifter behandlas i strid med lag eller annan författning eller att den personuppgiftsansvarige eller personuppgiftsbiträ- det annars inte fullgör sina skyldigheter, får tillsynsmyndigheten

1.genom förebyggande åtgärder försöka förmå den personupp- giftsansvarige eller personuppgiftsbiträdet att vidta åtgärder för att behandlingen ska bli författningsenlig eller att upp- fylla andra skyldigheter,

2.förelägga den personuppgiftsansvarige eller personuppgifts- biträdet att vidta åtgärder för att behandlingen ska bli för- fattningsenlig eller att uppfylla andra skyldigheter,

3.förbjuda fortsatt behandling om bristen är allvarlig, eller

4.besluta om sanktionsavgift.

Om tillsynsmyndigheten utfärdar ett föreläggande ska det av föreläggandet framgå när åtgärderna senast ska vara genomförda och, om det är lämpligt, vilka åtgärder som ska vidtas.

470

SOU 2017:29

Tillsyn

Skälen för utredningens förslag

Vilka åtgärder kan komma i fråga?

Om tillsynsmyndigheten konstaterar att den personuppgiftsansva- rige eller personuppgiftsbiträdet inte uppfyller kraven på författ- ningsenlig personuppgiftsbehandling bör det finnas möjlighet för myndigheten att uppmana den ansvarige och biträdet att uppfylla sina skyldigheter. Det kan göras genom vissa av de åtgärder som normalt används i det förebyggande arbetet, nämligen råd, rekom- mendationer eller påpekanden. Om den personuppgiftsansvarige eller personuppgiftsbiträdet vidtar de åtgärder som krävs så snart tillsynsmyndigheten väcker en fråga torde det räcka med fortsatt dialog. Tillsynsmyndigheten behöver emellertid också kunna tvinga den personuppgiftsansvarige eller personuppgiftsbiträdet att full- göra sina skyldigheter. Medlen för det bör vara bindande föreläg- ganden, förbud mot fortsatt behandling och beslut om sanktions- avgift.

Bindande förelägganden

Enligt artikel 47.2 b ska tillsynsmyndigheten t.ex. kunna beordra den personuppgiftsansvarige eller personuppgiftsbiträdet att vidta åtgärder för att en behandling ska bli förenlig med bestämmelserna som genomför direktivet. I artikel 58.2 d i förordningen används ordet förelägga i motsvarande bestämmelse. Regleringen tar sikte på att tillsynsmyndigheten ska kunna utfärda bindande beslut som uppmanar tillsynsobjektet att vidta vissa åtgärder för att göra per- sonuppgiftsbehandlingen författningsenlig. Eftersom ordet före- lägga används i förordningen är det lämpligt att använda det i ram- lagen.

I direktivet anges rättelse, radering och begränsning av behand- lingen som exempel på åtgärder som tillsynsmyndigheten ska kunna förelägga den personuppgiftsansvarige eller personuppgifts- biträdet att vidta. Vad som avses med korrigeringsalternativen be- handlas i avsnitt 11.4. När det gäller sådana åtgärder kan det vara lämpligt att tillsynsmyndigheten i föreläggandet anger vilken åtgärd som ska vidtas. I många andra fall är dock den tillsynsobjektet bättre lämpad att avgöra vad som bör göras för att behandlingen

471

Tillsyn

SOU 2017:29

ska bli författningsenlig. Det kan t.ex. vara fråga om vilka tekniska åtgärder som bör vidtas eller vilka säkerhetslösningar som bör väl- jas. Tillsynsmyndigheten bör därför endast om det är lämpligt ange vilken åtgärd som ska vidtas. Däremot ska det alltid framgå när åtgärden ska vara genomförd.

En särskild fråga är om tillsynsmyndigheten bör kunna före- lägga att uppgifter ska raderas. Datainspektionen får i dag inte själv besluta om radering av personuppgifter. Beslut om radering är en mycket ingripande åtgärd, särskilt för myndigheter. Som framgår av avsnitt 11.4.2 kan radering sällan komma i fråga med hänsyn till reglerna i 2 kap. tryckfrihetsförordningen. Med anledning av åtgär- dens begränsade tillämpningsområde tillämpas 47 § personupp- giftslagen sällan mot myndigheter, men upplevs trots det inte som obsolet. Tillsynsmyndigheten bör enligt utredningens mening kunna utfärda föreläggande om radering. Myndigheten måste givet- vis beakta att åtgärden inte kan komma att stå i strid med annan lagstiftning.

Förelägganden bör inte bara kunna utfärdas för att säkerställa att personuppgiftsbehandling ska vara författningsenlig. För att tillsynsmyndigheten ska ha effektiva befogenheter behöver den även kunna utfärda bindande förelägganden som tar sikte på att personuppgiftsansvariga och personuppgiftsbiträden ska uppfylla andra skyldigheter. Det kan t.ex. vara att införa bättre säkerhets- lösningar, fullgöra dokumentationsskyldighet eller att överlämna viss dokumentation eller ge tillträde till lokaler.

Förbud mot fortsatt behandling

Enligt artikel 47.2 c ska tillsynsmyndigheten t.ex. kunna införa en tillfällig eller definitiv begränsning av, inklusive förbud mot, fort- satt behandling. Med förbud mot fortsatt behandling avses att någon behandling inte längre får förekomma. Personuppgifter får dock alltid behandlas om det är nödvändigt med hänsyn till reg- lerna i 2 kap. tryckfrihetsförordningen.

För att genomföra direktivet bör en bestämmelse om förbud mot fortsatt behandling tas in i ramlagen. I flera lagstiftningsären- den har det ansetts naturligt att förbud mot fortsatt behandling även bör kunna riktas mot myndigheter (se prop. 2009/10:85 s. 275

472

SOU 2017:29

Tillsyn

och prop. 2014/15:148 s. 89). Åtgärden bör dock på samma sätt som i dag användas restriktivt (jfr prop. 1997/98:44 s. 103). Förbud mot fortsatt behandling bör bara kunna meddelas om en myndig- het på ett allvarligt sätt har åsidosatt sina skyldigheter och bristerna är sådana att de inte kan åtgärdas på annat sätt än att behandlingen upphör (jfr SOU 2015:39 s. 626 f.).

Att en personuppgift har behandlats på ett sådant sätt att för- bud mot fortsatt behandling aktualiseras behöver inte innebära att all behandling av uppgiften måste upphöra. Förbudet måste kopp- las till vad som föranledde det (jfr avsnitt 11.4.3). Hur omfattande förbudet blir beror på vilken typ av personuppgift det är och hur den har behandlats.

Ett förbud mot fortsatt behandling bör normalt vara permanent. I vissa fall kan dock ett tillfälligt förbud vara en lämplig åtgärd, t.ex. om den personuppgiftsansvarige trots påpekande eller varning från tillsynsmyndigheten har påbörjat otillåten personuppgiftsbehand- ling och myndigheten bedömer att bristerna kan rättas till.

Ska förelägganden kunna förenas med en sanktion?

Utredningen föreslår i avsnitt 13.7.1 att tillsynsmyndigheten ska få besluta om administrativa sanktionsavgifter. Sådana avgifter kan aktualiseras t.ex. om en personuppgiftsansvarig eller ett personupp- giftsbiträde underlåter att följa ett föreläggande eller beslut från tillsynsmyndigheten. Enligt utredningens mening är det tillräckligt att tillsynsmyndigheten i ett föreläggande kan upplysa om att sank- tionsavgift kan komma att tas ut om föreläggandet inte följs. Det finns därför inget behov av att även kunna förena ett föreläggande med vite.

12.8Handläggningen av tillsynsfrågor

12.8.1Förvaltningslagens tillämplighet

På samma sätt som i dag ska förvaltningslagen tillämpas i tillsyns- myndighetens verksamhet. Lagen innehåller grundläggande regler om handläggning av ärenden hos förvaltningsmyndigheterna men gäller bara i den utsträckning det inte finns avvikande regler i andra

473

Tillsyn

SOU 2017:29

författningar. Som tidigare nämnts är tillsynsverksamhet inte för- fattningsreglerad. Det är i huvudsak inte heller fråga om ärende- hantering utan en arbetsuppgift som kan lösas på olika sätt. I vissa fall lägger tillsynsmyndigheten upp ett tillsynsärende för att kunna hantera inkommande handlingar. Det är t.ex. vanligt att klagomål som enskilda ger in hanteras som ärenden. Som tidigare nämnts anses enligt rättspraxis ett tillsynsärende inte ha några parter, vilket innebär att de bestämmelser i förvaltningslagen som tar sikte på parter i ett ärende inte blir tillämpliga (se avsnitt 12.6.2).

Direktivet innehåller vissa detaljbestämmelser som tar sikte på tillsynsmyndighetens handläggning av framställningar från enskil- da, t.ex. regler om hur tillsynsmyndigheten ska hantera klagomål från enskilda och om kontroller av om behandlingen är författ- ningsenlig. Eftersom förvaltningslagens bestämmelser bara är till- lämpliga i vissa avseenden, anser utredningen att det krävs vissa handläggningsregler för tillsyn enligt ramlagen och att de i största möjliga utsträckning bör tas in i lagen och den tillhörande förord- ningen. Genom det skapas en samlad reglering och reglerna kan anpassas till vad som krävs enligt direktivet.

12.8.2Kommunikationsskyldighet

Utredningens förslag: Innan tillsynsmyndigheten fattar ett bindande beslut mot en personuppgiftsansvarig eller ett person- uppgiftsbiträde, ska den som beslutet gäller ges tillfälle att inom en bestämd tid yttra sig över allt material av betydelse för be- slutet, om det inte är uppenbart obehövligt.

Skälen för utredningens förslag: Eftersom det inte anses finnas några parter i ett tillsynsärende behövs det en regel om kommuni- kationsskyldighet i förhållande till tillsynsobjekten. De bör ges till- fälle att yttra sig innan tillsynsmyndigheten meddelar beslut som direkt berör dem. Skyldigheten bör omfatta allt material som till- förts ärendet, både inkomna handlingar från andra än tillsynsobjek- tet och handlingar som har upprättats av tillsynsmyndigheten. Handlingar som tillsynsobjektet själv lämnat bör inte omfattas. Däremot bör annan information som tillsynsobjektet har lämnat omfattas av skyldigheten, eftersom tillsynsmyndigheten och till-

474

SOU 2017:29

Tillsyn

synsobjektet kan ha olika uppfattningar om dess betydelse. Endast om det är uppenbart obehövligt bör skyldigheten att kommunicera viss handling eller information inte gälla. När handlingar eller in- formation kommuniceras bör tillsynsmyndigheten ange en be- stämd tid inom vilken tillsynsobjektet ska ha yttrat sig. Kommuni- kationsskyldigheten bör regleras i ramlagen.

12.8.3Beslut ska gälla när de fått laga kraft

Utredningens bedömning: Tillsynsmyndigheten bör inte få förordna att myndighetens beslut ska gälla omedelbart.

Skälen för utredningens bedömning: Enligt 51 § andra stycket personuppgiftslagen får tillsynsmyndigheten besluta att ett av myn- digheten meddelat beslut ska gälla även om det överklagas. I fler- talet av de registerförfattningar som gäller för de myndigheter som kommer att tillämpa ramlagen finns dock ingen hänvisning till den bestämmelsen, varför tillsynsmyndigheten i dag inte har möjlighet att fatta sådana beslut i relation till de myndigheterna.

I förarbetena till åklagardatalagen konstateras att det finns både för- och nackdelar med att låta 51 § andra stycket personuppgifts- lagen gälla för åklagarmyndigheterna. Systematiska skäl talar för att regleringen borde utformas på samma sätt, oavsett vem beslutet gäller. Verksamhetsskäl anses dock tala mot att införa en sådan möjlighet. På samma sätt som vid införandet av polisdatalagen kon- staterar regeringen att det inte finns skäl att ge Datainspektionen möjlighet att meddela interimistiska beslut (prop. 2014/15:63 s. 57 och prop. 2009/10:85 s. 91). I förarbetena till domstolsdatalagen görs bedömningen att det inte finns något praktiskt behov av en sådan möjlighet (prop. 2014/15:148 s. 95). Samma bedömning görs för Kustbevakningen (prop. 2011/12:45 s. 87).

Direktivet förutsätter inte att tillsynsmyndigheten ska kunna meddela interimistiska beslut. Det som talar för att tillåta interi- mistiska beslut är att det ger möjlighet att hindra sådan behandling som tillsynsmyndigheten anser strider mot regelverket. Samtidigt ger beslut av det slaget förtursbehandling i domstol. Utan förturs- behandling kan domstolsprövningen dra ut på tiden. Tillsynsmyn- digheten och de granskade myndigheterna har emellertid inte alltid

475

Tillsyn

SOU 2017:29

samma uppfattning om en behandling är författningsenlig, sam- tidigt som verksamheten hos behöriga myndigheter är central i en rättsstat. Det är inte heller givet att tillsynsmyndigheten har till- räcklig kunskap om den granskade verksamheten och dess villkor för att kunna ta nödvändiga hänsyn till verksamheten. Det finns därför enligt utredningens mening skäl att vara försiktig med att låta tillsynsmyndigheten förbjuda en annan myndighet att bedriva den verksamhet som statsmakterna beslutat om.

Även om det alltså finns skäl som talar för att tillåta interimis- tiska beslut, anser utredningen att de argument som tidigare an- förts mot en sådan möjlighet inom ramlagens tillämpningsområde alltjämt väger tungt. Tillsynsmyndigheten bör därför inte kunna besluta att myndighetens beslut ska gälla utan hinder av att det inte fått laga kraft.

12.8.4Anmälningsskyldighet

Utredningens förslag: Att tillsynsmyndigheten ska anmäla per- sonuppgiftsbehandling som kan utgöra brott eller medföra ska- deståndsskyldighet för staten till den myndighet i vars arbets- uppgifter det ingår att utreda frågan ska regleras i förordning.

Skälen för utredningens förslag: Enligt artikel 47.5 ska tillsyns- myndigheten ha befogenhet att göra rättsliga myndigheter upp- märksammade på överträdelser av de bestämmelser som genomför direktivet.

Tillsynsmyndighetens befogenheter tar sikte på förhållanden som myndigheten har rätt att ingripa mot. Ibland kan emellertid myndigheten vid sin tillsyn upptäcka förhållanden som det ankom- mer på andra myndigheter att ingripa mot. Om tillsynsmyndig- heten uppmärksammar felaktig personuppgiftsbehandling som kan utgöra brott eller medföra skadeståndsskyldighet för staten, bör tillsynsmyndigheten vara skyldig att anmäla det till den myndighet i vars arbetsuppgifter det ingår att utreda frågan. En sådan reglering krävs enligt utredningens mening både för att åstadkomma ett effektivt sanktionssystem och för att möjliggöra för tillsynsmyn- digheten att ta tillvara enskildas rättigheter.

476

SOU 2017:29

Tillsyn

Det bör därför införas en skyldighet för tillsynsmyndigheten att anmäla otillåten eller på annat sätt felaktig personuppgiftsbehand- ling som den upptäcker i sin tillsynsverksamhet till den myndighet som ska utreda frågan. Om tillsynsmyndigheten uppmärksammar förhållanden som kan utgöra brott, bör den anmäla det till Åklagar- myndigheten. Om felaktigheter som kan medföra skadestånds- ansvar för staten uppmärksammas, bör tillsynsmyndigheten anmäla det till JK. Tillsynsmyndigheten bör bifoga det underlag som finns och även i övrigt lämna det biträde som behövs med anledning av anmälan. Tillsynsmyndigheten bör samråda med den berörda myn- digheten innan anmälan görs. Anmälningsskyldigheten kan regleras i förordning.

12.9Möjlighet att ifrågasätta giltigheten av unionsrättsakter

Utredningens förslag: Om tillsynsmyndigheten vid handlägg- ningen av ett ärende bedömer att det finns särskilda skäl att ifrågasätta giltigheten av en unionsrättsakt som påverkar till- lämpningen av ramlagen, får myndigheten hos allmän förvalt- ningsdomstol ansöka om att domstolen beslutar om en åtgärd som tillsynsmyndigheten själv skulle ha kunnat besluta om.

Ansökan ska göras hos den förvaltningsrätt som är behörig att pröva överklaganden av tillsynsmyndighetens beslut. Det ska krävas prövningstillstånd vid överklagande till kammarrätten.

Skälen för utredningens förslag: EU-domstolen uttalar i det s.k. Schrems-målet att de nationella tillsynsmyndigheternas befogenhet enligt artikel 8.3 i rättighetsstadgan, artikel 16.2 i funktionsför- draget och artikel 28 i det nu gällande dataskyddsdirektivet (mot- svarande artiklarna 41.1 och 42.1 i det nya direktivet) är att med fullständigt oberoende övervaka EU:s regelverk om dataskydd (dom av den 6 oktober 2015, Schrems, C-362/14, punkterna 38– 42). Målet gällde dels giltigheten av ett beslut av kommissionen om adekvat skyddsnivå för personuppgifter överförda till servrar i USA, dels frågan om en tillsynsmyndighet har rätt att ifrågasätta ett sådant beslut. Enligt domstolen är det tillsynsmyndigheternas uppgift att säkerställa att EU:s dataskydd upprätthålls. Det innefat-

477

Tillsyn

SOU 2017:29

tar att myndigheten alltid ska göra en fullständigt oberoende ut- redning av om en överföring av personuppgifter till ett tredjeland har varit rättsenlig, även om kommissionen i en unionsrättsakt beslutat om förutsättningar för överföringen. Enligt domstolen förutsätter det processuella bestämmelser i nationell rätt som ger tillsynsmyndigheten en självständig rätt att initiera en rättslig pröv- ning i domstol som gör det möjligt att väcka frågan om förhands- avgörande avseende giltigheten av en unionsrättsakt (punkter- na 65–66).

Kommissionen ska enligt artikel 36.3 besluta om ett tredjeland säkerställer en adekvat skyddsnivå. Beslutet ska sedan ligga till grund för behöriga myndigheters bedömning av förutsättningarna för överföring av personuppgifter till det landet. Därmed kan samma fråga som prövades i Schrems-målet aktualiseras vid till- lämpningen av ramlagen.

Av EU-domstolens uttalanden följer att tillsynsmyndighetens självständighet, som den garanteras i såväl rättighetsstadgan som direktivet, förutsätter möjlighet för tillsynsmyndigheten att inleda rättsliga förfaranden som innebär att giltigheten av en unionsrätts- akt kan ifrågasättas. Eftersom endast nationella domstolar kan ini- tiera en sådan prövning, genom en begäran till EU-domstolen om förhandsbesked, krävs det att tillsynsmyndigheten får inleda en rättslig process vid nationell domstol där den frågan kan aktuali- seras (se Jane Reichel, Nationella dataskyddsmyndigheter som lag- prövare av EU-rätten, FT 2016 s. 161 f.). Det behövs därför enligt utredningens mening en bestämmelse som möjliggör det.

Om det finns synnerliga skäl att ifrågasätta giltigheten av en unionsrättsakt som påverkar tillämpningen av ramlagen bör till- synsmyndigheten ha möjlighet att ansöka hos allmän förvaltnings- domstol om att en viss åtgärd ska vidtas, i stället för att själv be- sluta om den. Om domstolen delar tillsynsmyndighetens tvekan om giltigheten av unionsrättsakten, kan domstolen genom att be- gära ett förhandsavgörande från EU-domstolen få giltigheten prö- vad. Bestämmelsen bör tas in i ramlagen.

Eftersom 14 § andra stycket lagen (1971:289) om allmänna för- valtningsdomstolar endast reglerar forum vid överklagande behövs det en bestämmelse som anger var ansökan ska göras. Ansökan bör göras hos den förvaltningsrätt som är behörig att pröva ett över- klagande av tillsynsmyndighetens beslut. Förvaltningsrättens beslut

478

SOU 2017:29

Tillsyn

bör kunna överklagas. Vid överklagande till kammarrätten bör det krävas prövningstillstånd för att klaganden ska få sitt överklagande prövat i sak.

12.10 Internationellt samarbete

12.10.1Skyldighet att bistå en tillsynsmyndighet i en annan medlemsstat

Utredningens förslag: På begäran ska tillsynsmyndigheten bistå en tillsynsmyndighet i en annan medlemstat. Bistånd ska endast få vägras om det skulle strida mot en bindande unionsrättsakt, en lag eller en förordning att tillmötesgå begäran. Vid sådant bi- stånd får tillsynsmyndigheten använda sina befogenheter enligt ramlagen.

Skälen för utredningens förslag

Innehållet i direktivet

Av artiklarna 46.1 h och 50.1 framgår att tillsynsmyndigheten ska samarbeta med tillsynsmyndigheter i andra medlemsstater. Myn- digheterna ska utbyta information och ge varandra bistånd för att säkerställa att direktivet tillämpas på ett enhetligt sätt. Biståndet ska särskilt omfatta information och tillsynsåtgärder, t.ex. samråd, inspektioner och utredningar. Enligt artikel 50.2 ska tillsynsmyn- digheten vidta alla lämpliga åtgärder för att kunna besvara en be- gäran om bistånd utan onödigt dröjsmål och inte senare än en månad efter det att begäran togs emot. Med lämpliga åtgärder avses t.ex. att översända information om en pågående utredning. Infor- mation som utbytts får enligt artikel 50.3 endast användas för det syfte för vilket den har begärts. En begäran får enligt artikel 50.4 vägras endast om tillsynsmyndigheten inte är behörig i sakfrågan eller att utföra de åtgärder som begärs eller om det skulle strida mot direktivet, unionsrätten eller nationell rätt att tillmötesgå be- gäran. Enligt artikel 50.5 ska den begärande myndigheten få infor- mation om resultatet av begäran och hur åtgärderna som vidtagits

479

Tillsyn

SOU 2017:29

för att tillmötesgå den fortskrider. Även skälen för att vägra till- mötesgå en begäran ska anges.

Det internationella samarbetet bör regleras

För att genomföra direktivet behövs det vissa bestämmelser om internationellt bistånd, både när det gäller bistånd som den svenska tillsynsmyndigheten ska lämna och myndighetens möjligheter att själv begära bistånd från en annan medlemsstat. Av ramlagen bör det framgå att tillsynsmyndigheten på begäran ska bistå andra med- lemsstater och vilka befogenheter myndigheten har vid sådant bi- stånd. Den svenska tillsynsmyndigheten bör enligt utredningens mening kunna vidta samma åtgärder på begäran av en tillsynsmyn- dighet i en annan medlemsstat som myndigheten själv kan vidta vid sin tillsyn.

En begäran om bistånd får bara vägras i de situationer som anges i artikel 50.4. Enligt utredningens mening bör en begäran om bi- stånd bara få vägras om det skulle strida mot en bindande unions- rättsakt, en lag eller en förordning att tillmötesgå den. Det bör framgå av ramlagen. Begäran får således vägras t.ex. om den svenska lagstiftningen inte medger att tillsynsmyndigheten agerar på det sätt som begärs. Detaljerna beträffande samarbetet bör regleras i förordning. Den utländska tillsynsmyndigheten bör underrättas om bistånd vägras. Av underrättelsen bör det framgå varför något bistånd inte ges.

Om regeringen beslutar att bara peka ut en tillsynsmyndighet i Sverige, vilket Utredningen om tillsynen över den personliga integ- riteten föreslår, finns det inget behov av en vägransgrund som tar sikte på tillsynsmyndighetens behörighet.

Personuppgiftsbehandlingen inom ramlagens tillämpningsom- råde utförs huvudsakligen av ett begränsat antal statliga myndig- heter och behandlingen utförs till största delen inom Sverige. På flera områden samarbetar behöriga myndigheter internationellt och utbyter personuppgifter. Det ingår i tillsynsmyndigheternas upp- drag att granska det internationella uppgiftsutbytet. En tillsyns- myndighet i en annan medlemsstat kan därför vid sin tillsyn behöva bistånd med vissa kontrollåtgärder, t.ex. om personuppgifter har överförts till personuppgiftsansvariga eller personuppgiftsbiträden i

480

SOU 2017:29

Tillsyn

Sverige. Av artikel 40 b framgår att det internationella samarbetet ska omfatta bl.a. hänskjutande av klagomål, bistånd med utred- ningar och informationsutbyte. Beroende på hur andra medlems- stater väljer att genomföra direktivet kan det även bli aktuellt med bistånd att på enskildas begäran kontrollera om viss personupp- giftsbehandling är författningsenlig.

Om bistånd lämnas ska tillsynsmyndigheten underrätta den ut- ländska tillsynsmyndigheten om hur handläggningen fortskrider och resultatet av begäran. En begäran från en annan medlemsstat om bistånd bör besvaras snabbt, men enligt artikel 50.2 senast en månad efter att den togs emot. Det kan regleras i förordning.

Informationen ska enligt artikel 50.6 som regel tillhandahållas elektroniskt i ett standardiserat format. Kommissionen får enligt artikel 50.8 i genomförandeakter ange format och förfaranden för sådant bistånd. Även formerna för elektronisk överföring av infor- mation mellan tillsynsmyndigheterna och mellan dem och styrelsen får regleras på det sättet. Artiklarna 50.6 och 50.8 kräver inga lag- stiftningsåtgärder.

Utredningen behandlar frågan om tillsynsmyndigheten bör kunna ställa upp villkor för användningen av den information som lämnas till den utländska tillsynsmyndigheten vid en svensk begä- ran om bistånd i avsnitt 12.10.2. Behovet av sekretess och en sek- retessbrytande bestämmelse i det internationella samarbetet be- handlas i avsnitt 16.3.

12.10.2 Svensk begäran om bistånd av en annan medlemsstat

Utredningens förslag: Att tillsynsmyndigheten får begära bi- stånd av en tillsynsmyndighet i en annan medlemsstat och förfa- randet vid en sådan begäran ska regleras i förordning.

Information som tillsynsmyndigheten efter begäran har fått från en tillsynsmyndighet i en annan medlemsstat får inte an- vändas för något annat ändamål än det för vilket informationen begärdes.

Skälen för utredningens förslag: Den svenska tillsynsmyndighe- ten ska kunna begära bistånd av en tillsynsmyndighet i en annan medlemsstat med att utföra åtgärder som tillsynsmyndigheten själv

481

Tillsyn

SOU 2017:29

kunnat vidta. Enligt artikel 50.3 ska en sådan begäran innehålla all nödvändig information, inklusive syftet med och skälen för den. Informationen som den svenska tillsynsmyndigheten tar emot får inte användas för andra syften än dem för vilka den har begärts.

En svensk begäran om bistånd kan bli aktuell t.ex. om tillsyns- myndigheten vill göra en allmän kontroll av att regelverket följs när personuppgifter sänds till andra medlemsstater. Ett annat exempel är att en svensk brottsbekämpande myndighet har överfört person- uppgifter som borde ha rättats till en annan medlemsstat vilket gör att den svenska tillsynsmyndigheten vill få information om hur uppgifterna har behandlats av mottagaren.

Det behövs en reglering av när och hur den svenska tillsyns- myndigheten ska kunna begära bistånd. Reglerna om svensk be- gäran om bistånd av en tillsynsmyndighet i en annan medlemsstat kan tas in i förordning. Av regleringen bör det framgå att en svensk begäran ska innehålla all information som behövs för att tillsyns- myndigheten i den andra medlemsstaten ska kunna besvara den.

I artikel 50.3 föreskrivs att information som en tillsynsmyndig- het får genom samarbete med en tillsynsmyndighet i en annan medlemsstat endast får användas för det syfte för vilket den begär- des. Det bör därför tas in en bestämmelse i ramlagen om att den information som den svenska tillsynsmyndigheten får från en annan medlemsstat med anledning av en begäran om bistånd inte får användas för andra syften än dem för vilka informationen be- gärdes. En sådan bestämmelse bör finnas i lag eftersom den ska ta över andra bestämmelser i både lag och förordning (jfr propositio- nen om vissa frågor om internationellt samarbete i brottmål m.m., prop. 1990/91:131, s. 18).

Det väcker också frågan om tillsynsmyndigheten bör ges möj- lighet att ställa upp villkor för användningen av den information som lämnas till den utländska tillsynsmyndigheten. Eftersom alla medlemsstater är skyldiga att genomföra direktivet, och den ut- ländska tillsynsmyndigheten alltid får veta för vilket ändamål informationen begärs, bör det inte krävas någon begränsning av användningen av den. Det finns därför inget behov av en regel om användningsbegränsning som tar sikte på den information som den svenska tillsynsmyndigheten lämnar när den begär bistånd.

482

SOU 2017:29

Tillsyn

12.11 Tillsyn ska vara avgiftsfri

12.11.1 Tillsynsmyndigheten ska inte kunna ta ut avgifter

Utredningens förslag: Att tillsynsmyndigheten som huvudre- gel ska utföra sina tillsynsuppgifter avgiftsfritt ska regleras i förordning.

Skälen för utredningens förslag

Innehållet i direktivet och nuvarande reglering

Enligt artikel 46.3 ska tillsynsmyndigheten som huvudregel utföra sina uppgifter avgiftsfritt för både enskilda och dataskyddsombud.

Datainspektionens verksamhet finansieras genom statliga anslag. Enligt 3 och 4 §§ avgiftsförordningen (1992:191) får en myndighet ta ut avgifter för varor och tjänster som den tillhandahåller endast om det följer av lag eller förordning eller av ett särskilt beslut av regeringen. Därutöver får en myndighet ta ut avgift i vissa fall, bl.a. för att tillhandahålla information, rådgivning och annan service, om det är förenligt med myndighetens arbetsuppgifter enligt lag, in- struktion eller annan förordning och verksamheten är av tillfällig natur eller av mindre omfattning. Enligt 2017 års regleringsbrev får Datainspektionen ta ut avgift för varor och tjänster även om de inte är av tillfällig natur eller mindre omfattning. Det som avses är rät- ten för myndigheten att ta ut ersättning för den omfattande utbild- ningsverksamhet som den bedriver. Det har ansetts värdefullt att Datainspektionen kan genomföra utbildning för bl.a. personupp- giftsansvariga och personuppgiftsombud och att det får göras mot avgift. Inspektionen tar även ut avgift för vissa trycksaker.

Tillsynsverksamheten ska vara avgiftsfri

För att tydliggöra att tillsynsmyndigheten som huvudregel ska ut- föra sina tillsynsuppgifter utan kostnad bör en särskild bestäm- melse tas in i förordning. Bestämmelsen bör omfatta all verksamhet som tillsynsmyndigheten utför enligt ramlagen. Därmed omfattar den även uppgifter som myndigheten utför på begäran av en annan

483

Tillsyn

SOU 2017:29

medlemsstat (se avsnitt 12.10.1 och 12.11.2). Regleringen innebär att tillsynsmyndighetens arbete med att handlägga klagomål, utföra kontroller, genomföra inspektioner, ge råd och stöd till personupp- giftsansvariga, personuppgiftsbiträden och dataskyddsombud och utfärda föreskrifter och allmänna råd inte får avgiftsbeläggas.

Tillsynsmyndigheten bör dock, i den mån avgiftsförordningen och särskilda beslut medger det, även fortsättningsvis kunna ta ut avgift för sådant som ligger utanför ramlagen. Enligt utredningens mening bör på samma sätt som i dag t.ex. mer omfattande utbild- ningsinsatser inte ingå i uppgiften att lämna råd och stöd. Det är också rimligt att tillsynsmyndigheten får ta betalt för sådana tryck- saker som går utöver vad som kan krävas enligt ramlagen eller för- valtningslagen. Någon ändring i sak är således inte avsedd. Frågor om avgift ska kunna tas ut i vissa fall behandlas även i avsnitt 12.6.3 och 12.11.2.

12.11.2 Ersättning för bistånd till en annan medlemsstat

Utredningens förslag: Att åtgärder som vidtas på begäran av en tillsynsmyndighet i en annan medlemsstat som huvudregel ska utföras utan ersättning ska regleras i förordning. Tillsynsmyn- dighetens rätt att överenskomma med utländska tillsynsmyndig- heter om ersättning för bistånd i vissa fall ska också regleras i förordning.

Skälen för utredningens förslag: Enligt artikel 50.7 får tillsyns- myndigheterna som huvudregel inte ta ut någon avgift av varandra för åtgärder som vidtagits med anledning av en begäran om bistånd. Tillsynsmyndigheterna får dock komma överens om regler för er- sättning för vissa utgifter i samband med bistånd.

I avsnitt 12.11.1 föreslår utredningen att tillsynsmyndigheten som huvudregel inte får ta ut avgift för att utföra sina tillsynsupp- gifter. Avgiftsfriheten föreslås gälla i förhållande till alla, dvs. både i förhållande till svenska och utländska myndigheter och andra organ. Frågan är om möjligheten att göra undantag från huvudre- geln när en annan medlemsstat begär bistånd med tillsynsåtgärder i Sverige bör utnyttjas. Sådana undantag förutsätter att det har träf- fats bindande överenskommelser mellan berörda stater om det.

484

SOU 2017:29

Tillsyn

Överenskommelser med annan stat ingås som huvudregel av regeringen. Regeringen kan även uppdra åt en förvaltningsmyndig- het att ingå en internationell överenskommelse i en fråga där över- enskommelsen inte kräver riksdagens eller Utrikesnämndens med- verkan (10 kap. 1 och 2 §§ regeringsformen).

En myndighets behörighet att ingå offentligrättsliga avtal måste grundas på ett uttryckligt bemyndigande från regeringen. Bemyn- digandet kan avse en viss fråga, men det kan också utformas gene- rellt. Bestämmelsen i 10 kap. 2 § regeringsformen ställer inte upp några begränsningar i fråga om förvaltningsmyndighetens avtals- part i internationella överenskommelser. Det kan t.ex. vara en myn- dighet eller en annan regering. Med offentligrättsliga avtal avses sådana som endast kan ingås av stater och andra folkrättssubjekt och som får folkrättsliga verkningar. Sådana avtal är folkrättsligt förpliktande för Sverige när de ingåtts av en statlig eller kommunal förvaltningsmyndighet efter bemyndigande från regeringen. Något bemyndigande krävs däremot inte när förvaltningsmyndigheter in- går avtal av uteslutande privaträttslig natur. Om ett avtal ska anses vara privaträttsligt får avgöras utifrån omständigheterna i det en- skilda fallet, t.ex. avtalets omfattning eller politiska innebörd (Rikt- linjer för handläggningen av ärenden om internationella överens- kommelser, Ds 2016:38, s. 17 f.).

Det är svårt att förutse i vilken omfattning andra medlemsstater kommer att begära bistånd av den svenska tillsynsmyndigheten. Det är likaså svårt att förutsäga om biståndet blir resurskrävande för myndigheten. Det ligger i svenskt intresse att kostnader som tillsynsmyndigheter i andra medlemsstater vållar den svenska till- synsmyndigheten inte alltid ska belasta dess budget. Det är därför enligt utredningens mening rimligt att tillsynsmyndigheten får rättsliga möjligheter att ingå avtal med tillsynsmyndigheter i andra medlemsstater på det sätt som anges i artikel 50.7.

De överenskommelser som är aktuella här kommer att ingås mellan två eller flera myndigheter och rör offentligrättsliga åtgär- der. Överenskommelserna kan därmed inte anses vara ett avtal av uteslutande privaträttslig karaktär. Därför krävs en regel som be- myndigar tillsynsmyndigheten att ingå avtal med behöriga tillsyns- myndigheter i andra medlemsstater om ersättning vid begäran om bistånd. Frågan kan regleras i förordning.

485

Tillsyn

SOU 2017:29

Enligt huvudregeln i artikel 46.3 ska tillsynsuppgifter vara av- giftsfria för den registrerade och dataskyddsombudet. Om en till- synsmyndighet i en annan medlemsstat begär bistånd i en fråga som rör en enskild utgår utredningen därför från att de eventuella avgifter som medlemsstaterna kommer överens om inte kommer att drabba någon enskild.

12.12 Övriga frågor

Utredningens bedömning: Övriga bestämmelser om tillsyn kräver inga lagstiftningsåtgärder.

Skälen för utredningens bedömning: Enligt artikel 49 ska tillsyns- myndigheten upprätta en årlig rapport om sin verksamhet. Den ska lämnas in till det nationella parlamentet, regeringen eller andra myndigheter som utsetts enligt nationell rätt och offentliggöras. Rapporten kan t.ex. omfatta en förteckning över anmälda överträ- delser och vilka sanktioner som har beslutats. Enligt artikel 28.5 i det nu gällande direktivet ska tillsynsmyndigheten regelbundet upprätta en rapport om sin verksamhet, som ska offentliggöras.

Enligt 3 § myndighetsförordningen (2007:515) ska varje myn- dighet redovisa sin verksamhet till regeringen. Myndigheterna ska också enligt förordningen (2000:605) om årsredovisning och bud- getunderlag årligen avge en årsredovisning till regeringen. Förutom redogörelser för myndighetens ekonomiska förhållanden ska års- redovisningen enligt 2 kap. 4 § innehålla information om andra för- hållanden av väsentlig betydelse för regeringens uppföljning och prövning av verksamheten. Någon lagstiftningsåtgärd behöver där- för inte vidtas för att säkerställa den årliga rapporteringen enligt artikel 49.

I artikel 51 föreskrivs att den styrelse som ska inrättas enligt dataskyddsförordningen ska fullgöra motsvarande arbetsuppgifter på direktivets område. Enligt artikel 46.1 l ankommer det på till- synsmyndigheten att bidra till styrelsens arbete.

I artikel 29 i det nu gällande direktivet regleras vad som gäller för den arbetsgrupp i vilken Datainspektionen ingår som repre- sentant för Sverige. Arbetsgruppen kommer att avvecklas i och med att det direktivet upphör att gälla. Utredningen om tillsynen

486

SOU 2017:29

Tillsyn

över den personliga integriteten föreslår att Datainspektionen ska representera Sverige i styrelsen och att det ska framgå av Datain- spektionens instruktion (se SOU 2016:65 s. 142). Någon ytter- ligare åtgärd för att genomföra artikel 46.1 l behövs inte.

Enligt artikel 46.1 j ska tillsynsmyndigheten följa sådan ut- veckling som påverkar skyddet av personuppgifter, bl.a. inom in- formations- och kommunikationsteknik. I 1 § Datainspektionens instruktion föreskrivs att myndigheten ska följa och beskriva ut- vecklingen på it-området när det gäller frågor som rör integritet och ny teknik. Någon lagstiftningsåtgärd krävs därför inte för att Sverige ska leva upp till kraven i artikel 46.1 j.

487

13 Sanktioner

13.1Utgångspunkter för valet av sanktionssystem

13.1.1Olika typer av sanktioner

Det finns ingen rättslig definition av begreppet sanktion. En sank- tion är i princip alltid handlingsdirigerande eller har ett bestraf- fande syfte. Med en vid definition skulle sanktion kunna sägas vara alla former av påföljder som kan följa på ett rättsstridigt handlande.

En sanktion kan vara repressiv eller icke repressiv. Med att en sanktion är repressiv avses att det är staten som kan ta initiativ till sanktionen. En icke repressiv sanktion är t.ex. möjligheten att be- gära skadestånd i en civilprocess (se avsnitt 14.3).

Det finns flera olika sorters repressiva sanktioner. Den mest in- gripande formen är straff. En annan typ av repressiv sanktion är administrativa avgifter, t.ex. sanktionsavgifter. Sanktionsavgift kan i vissa fall vara ett komplement till andra åtgärder och användas för att i enskilda fall nyansera ingripandet. Sanktionsavgift ersätter i andra fall kriminalisering.

Även t.ex. åtgärdsförelägganden (i förening med vite), skyldig- het att vidta rättelse och möjlighet för en tillsynsmyndighet att meddela förbud räknas till repressiva administrativa sanktioner.

13.1.2Innehållet i direktivet och nuvarande reglering

Innehållet i direktivet

I direktivet överlåts det till medlemsstaterna att välja sanktioner. Enligt artikel 57 ska medlemstaterna föreskriva sanktioner för överträdelser av bestämmelser som antas enligt direktivet och vidta de åtgärder som krävs för att säkerställa att de genomförs. Sank-

489

Sanktioner

SOU 2017:29

tionerna ska vara effektiva, proportionerliga och avskräckande. Enligt skäl 89 ska både fysiska och juridiska personer, oavsett om de är privaträttsliga eller offentligrättsliga subjekt, kunna träffas av sanktioner om de överträder bestämmelserna om personuppgifts- behandling.

Dagens sanktionssystem

I personuppgiftslagen finns dels regler om straffansvar i 49 §, dels regler som ger tillsynsmyndigheten rätt att vid vite förbjuda be- handling på annat sätt än genom lagring i 44 och 45 §§. Vidare får tillsynsmyndigheten enligt 47 § hos domstol ansöka om att per- sonuppgifter som behandlats på ett olagligt sätt ska utplånas. Dessa bestämmelser genomför artikel 24 i det nu gällande direktivet. Artikeln ålägger medlemsstaterna att säkerställa att direktivet genomförs och att särskilt besluta om sanktioner som ska användas vid överträdelser av de bestämmelser som genomför direktivet. Möjligheten att begära skadestånd brukar, förutom att ses som ett rättsmedel, också ses som en del av sanktionssystemet.

I förarbetena till personuppgiftslagen framhöll regeringen att de huvudsakliga sanktionerna mot personuppgiftsansvariga som inte följer lagen är skadestånd och vite. Dessa sanktioner ansågs effek- tiva och i stort sett tillräckliga. Regeringen konstaterade att trenden gick mot avkriminalisering, men föreslog en straffbestämmelse som kriminaliserade vissa åtgärder (prop. 1997/98:44 s. 108.). Då krimi- naliserades även oaktsamhet av normalgraden, men straffansvaret har senare begränsats till grov oaktsamhet (prop. 2005/06:173 s. 47 f.). Den som uppsåtligen eller av grov oaktsamhet lämnar osann uppgift i vissa fall, behandlar känsliga personuppgifter eller uppgifter om lagöverträdelser i strid med bestämmelserna i lagen, brister i anmälningsskyldighet eller överför personuppgifter i strid med reglerna om överföring till tredjeland döms till böter eller fängelse i högst sex månader. Om brottet är grovt är straffet fäng- else i högst två år. Ringa fall är undantagna från straffansvar. Om någon inte har följt ett vitesföreläggande döms inte till ansvar för samma gärning. Straffansvar kan utkrävas av den som utfört hand- lingen eller är ansvarig för underlåtenheten. Han eller hon behöver inte vara personuppgiftsansvarig.

490

SOU 2017:29

Sanktioner

Straffbestämmelsen gäller för Skatteverket och Kriminalvården. Eftersom 49 § personuppgiftslagen enbart straffbelägger brott mot den lagen och föreskrifter som har meddelats med stöd av den omfattar straffansvaret inte brott mot bestämmelser i myndighe- ternas registerförfattningar. Straffbestämmelsen gäller över huvud taget inte för polisen, Tullverket, Kustbevakningen, åklagarväsen- det och domstolarna. Skälet till det är enligt förarbetena till dessa myndigheters registerförfattningar att det i brottsbalken föreskrivs straffrättsligt ansvar för otillåten hantering av personuppgifter. Ansvar kan, beroende på omständigheterna, utkrävas för tjänstefel enligt 20 kap. 1 § brottsbalken, brott mot tystnadsplikt enligt 20 kap. 3 § brottsbalken eller dataintrång enligt 4 kap. 9 c § brotts- balken (se t.ex. prop. 2014/15:63 s. 56 f.).

Även bestämmelserna om disciplinansvar i lagen (1994:260) om offentlig anställning kan aktualiseras, om någon bryter mot be- stämmelserna om personuppgiftsbehandling. En arbetstagare kan meddelas disciplinpåföljd för tjänsteförseelse. Disciplinpåföljderna är varning eller löneavdrag. Disciplinansvar förutsätter att den misstänkta gärningen inte ska anmälas till åtal eller, om den redan prövats straffrättsligt, att den inte har ansetts vara något brott av annat skäl än bristande bevisning. Arbetsdomstolen har bl.a. prövat frågan om disciplinansvar för en handläggare som gjort obehöriga slagningar i Försäkringskassans datasystem (se AD 2005 nr 82).

13.1.3Ett sammanhållet sanktionssystem

Ett av direktivets övergripande syften är att motverka otillåten be- handling av personuppgifter i syfte att förhindra att enskildas in- tegritet kränks. Utgångspunkten för utredningens överväganden om sanktioner är att de ska vara effektiva och bidra till god efter- levnad av bestämmelserna om personuppgiftsbehandling inom ram- lagens tillämpningsområde. I avsnitt 12.7.6 behandlas tillsynsmyn- dighetens korrigerande befogenheter i form av förelägganden och beslut om förbud mot fortsatt behandling. Skadestånd behandlas i avsnitt 14.3. Det som återstår att behandla här är frågor om straff- rättsliga, disciplinära och andra offentligrättsliga sanktioner.

Var och en av sanktionerna ska vara effektiv, proportionerlig och avskräckande. För att uppfylla kraven i direktivet ska sanktio-

491

Sanktioner

SOU 2017:29

nerna också bilda en helhet som sammantaget utgör ett effektivt sanktionssystem.

Dataskyddsdirektivet och dataskyddsförordningen har stora lik- heter i fråga om enskildas rättigheter och personuppgiftsansvarigas och personuppgiftsbiträdens skyldigheter. De myndigheter och andra aktörer som ska tillämpa ramlagen ska också i varierande ut- sträckning tillämpa förordningen. Det är mot den bakgrunden svårt att motivera att helt olika sanktionssystem ska gälla beroende på om ramlagen eller förordningen är tillämplig för överträdelser som är likartade och som därför kan antas vara värda samma sanktion. Vid övervägandena om hur sanktionssystemet bör utformas finns det därför skäl att beakta vad som gäller enligt förordningen.

13.2Vilket sanktionssystem bör väljas?

13.2.1Ingen straffbestämmelse i ramlagen

Utredningens bedömning: Överträdelser av regler om person- uppgiftsbehandling bör inte vara straffsanktionerade, utöver vad som gäller enligt brottsbalken.

Skälen för utredningens bedömning

Tidigare överväganden om kriminalisering

I direktivet sägs inget om vilka sanktioner som ska införas, utan bara att sanktioner ska säkerställa efterlevnaden och vara effektiva, proportionerliga och avskräckande. Den sanktion som åtminstone teoretiskt anses som mest avskräckande är straff. Utredningen väl- jer därför att behandla den först.

Under senare år har frågor om lämpligheten av att kriminalisera överträdelser hamnat i fokus. I början på 1990-talet lade Åklagarut- redningen fram fem kriterier som bör vara uppfyllda för att krimi- nalisering ska vara befogad (Ett reformerat åklagarväsende, SOU 1992:61, del A, s. 110 f.). Både regeringen och riksdagen ställ- de sig bakom kriterierna för kriminalisering (Ett effektivare brott- målsförfarande, prop. 1994/95:23 och bet. 1994/95:JuU2). Krite- rierna man enades om är följande.

492

SOU 2017:29

Sanktioner

Beteendet kan föranleda påtaglig skada eller fara.

Alternativa sanktioner står inte till buds, skulle inte vara ratio- nella eller skulle kräva oproportionerligt höga kostnader.

En straffsanktion krävs med hänsyn till gärningens allvar.

Straffsanktionen är ett effektivt medel för att motverka det icke önskvärda beteendet.

Rättsväsendet har resurser att klara av den eventuellt ytterligare belastning som kriminaliseringen innebär.

Regeringen gav år 2011 en utredning i uppdrag att på nytt analysera och ta ställning till vilka kriterier som bör gälla för att kriminali- sering ska anses vara befogad. Straffrättsanvändningsutredningen presenterade delvis nya kriterier, som den anser bör användas både vid bedömningen av om kriminalisering är motiverad och om av- kriminalisering kan vara aktuell (Vad bör straffas?, SOU 2013:38, del 2, s. 498 f.). Kriterierna är följande.

Det tänkta straffbudet måste avse ett identifierat och konkre- tiserat intresse som är skyddsvärt.

Det beteende som avses bli kriminaliserat måste kunna orsaka skada eller fara för skada på skyddsintresset.

Endast den som har varit klandervärd bör träffas av straffansvar.

Det får inte finnas något tillräckligt värdefullt motstående in- tresse.

Det får inte finnas någon alternativ metod som är tillräckligt effektiv för att komma till rätta med det oönskade beteendet.

Straffrättsanvändningsutredningens förslag har inte lett till någon åtgärd från lagstiftarens sida.

EU behandlade frågan om kriterier för kriminalisering år 2009. Europeiska rådet antog då bl.a. slutsatser som vägledning för rådets överläggningar på det straffrättsliga området. En av slutsatserna var att straffrättsliga bestämmelser ska användas i sista hand (Euro- peiska unionens råd, dokument 16542/3/09).

493

Sanktioner

SOU 2017:29

Är dagens bestämmelser om straff- och disciplinansvar effektiva?

Personuppgiftslagens straffbestämmelse är i dag inte tillämplig inom större delen av ramlagens tillämpningsområde. Det straffbara området har också begränsats genom att den numera bara gäller för grovt oaktsamma och uppsåtliga brott. När oaktsamhet av normal- graden avkriminaliserades år 2006 anfördes bl.a. att utvecklingen hade gått mot att straff inte är en nödvändig reaktion på överträdel- ser av personuppgiftslagen eller anslutande registerförfattningar (prop. 2005/06:173 s. 47 f.).

Frågan är om det finns bärande skäl att nu införa en straffbe- stämmelse som gäller för ramlagens tillämpningsområde. Det finns inget känt exempel på att en person har dömts för brott mot per- sonuppgiftslagen för en överträdelse som han eller hon gjort sig skyldig till som anställd vid en myndighet (SOU 2015:39 s. 637). Av det förhållandet att 49 § personuppgiftslagen inte såvitt känt har lett till några fällande domar mot anställda vid myndigheter – vilket ibland anförs som skäl för att någon straffbestämmelse inte behövs – går det emellertid inte att dra någon slutsats om bestäm- melsen fyllt sin funktion att avhålla från brott.

Det som talar för att ha en särskild straffbestämmelse är att be- stämmelserna i brottsbalken, som har åberopats som stöd för att en sådan inte behövs, inte motsvarar det som i dag kriminaliseras i 49 § personuppgiftslagen eller de överträdelser som det skulle kunna vara aktuellt att kriminalisera i ramlagen. Brottsbalksbrotten tar i stället primärt sikte på andra straffvärda förfaranden än fel- aktig behandling av personuppgifter och har helt andra rekvisit.

Den straffbestämmelse som det ligger närmast till hands att jämföra med är bestämmelsen om dataintrång. Om en arbetstagare behandlat personuppgifter felaktigt i eget intresse, exempelvis gjort registerslagningar som inte krävts för arbetsuppgifterna, fyller be- stämmelsen om dataintrång en viktig funktion. Det kan t.ex. vara fråga om någon som av nyfikenhet kontrollerat uppgifter om en granne eller en närstående. Det är inte ovanligt att offentligan- ställda döms för dataintrång. Dataintrång omfattar dock inte oakt- samhetsbrott och täcker inte heller vissa andra typer av förfaranden som kriminaliseras i personuppgiftslagen.

Bestämmelsen om tjänstefel, där vikt bl.a. läggs vid gärnings- mannens befogenheter och uppgiftens samband med myndighets-

494

SOU 2017:29

Sanktioner

utövning för att avgränsa det straffbara området, torde sällan kunna tillämpas på överträdelser av regler om personuppgiftsbehandling. Det kan t.ex. vara svårt att med stöd av reglerna i brottsbalken fälla någon till ansvar för att ett olagligt register har inrättats.

Regler om disciplinansvar fyller en viktig funktion för att säker- ställa att arbetstagare inte bryter mot arbetsgivarens föreskrifter, t.ex. om hur personuppgifter får behandlas, men bör inte ses som ett medel för att genomföra direktivets sanktionsbestämmelser. Det gäller även de straffbestämmelser som finns i brottsbalken, eftersom de primärt har ett annat syfte.

Överträdelser ska inte straffsanktioneras i ramlagen

Inom ramlagens tillämpningsområde hanteras i stor utsträckning känsliga personuppgifter eller annars särskilt integritetskänsliga uppgifter, vilket talar för att det behövs en särskild straffbestäm- melse.

Det som talar mot en nykriminalisering – som det i allt väsent- ligt skulle bli fråga om i detta fall – är både den restriktivitet med nya straffbestämmelser som förordas och att kriminalisering troli- gen inte skulle få avsedd effekt. Straffansvaret skulle i första hand träffa den som faktiskt felbehandlat personuppgifterna på visst sätt. Det torde i de flesta fall vara en person i underordnad ställning som kanske av oförstånd eller okunskap inte följt reglerna om person- uppgiftsbehandling. Erfarenheterna från bl.a. Polismyndighetens hantering av det s.k. kringresanderegistret visar att det kan vara mycket svårt att fälla någon ansvarig på högre nivå i myndigheten för brott även vid flagranta och omfattande överträdelser av reg- lerna om personuppgiftsbehandling. Det beror bl.a. på bevissvårig- heter vid principalansvar. Överträdelser kan dessutom vara resul- tatet av flera personers agerande och underlåtenhet. Det blir då svårt att visa var skulden ligger och vad som lett till överträdelsen. En straffbestämmelse med den straffskala som skulle vara aktuell i det här fallet riskerar också att inte prioriteras. Det kan alltså dis- kuteras hur stor avskräckande effekt en straffbestämmelse skulle ha för att förhindra felaktig personuppgiftsbehandling inom myndig- heter.

495

Sanktioner

SOU 2017:29

Direktivet förutsätter vidare att sanktioner ska kunna träffa både fysiska och juridiska personer. De personuppgiftsansvariga som ska tillämpa ramlagen är emellertid nästan uteslutande juridi- ska personer, men straffansvar kan enligt svensk rätt inte träffa sådana.

Utredningen anser vid en samlad bedömning att en kriminali- sering motsvarande 49 § personuppgiftslagen inte skulle vara en tillräckligt effektiv sanktion, eftersom den i huvudsak skulle träffa andra än personuppgiftsansvariga och personuppgiftsbiträden. En annan typ av sanktion riktad direkt mot framför allt personupp- giftsansvariga kan antas få mycket större effekt. Med hänsyn till att straffsanktion ska användas i sista hand och endast om det inte finns någon annan sanktion som är tillräckligt effektiv, anser utred- ningen att en annan sanktionsform bör väljas. Någon straffbestäm- melse bör alltså inte tas in i ramlagen.

13.2.2En ny administrativ sanktion ska införas

Utredningens förslag: En ny administrativ sanktion – sank- tionsavgift – ska införas.

Skälen för utredningens förslag

Behovet av en ny typ av sanktion

Genomförandet av direktivet förutsätter att det finns sanktioner mot överträdelser och att de är tillräckligt effektiva och avskräck- ande. Samma krav ställs i artikel 24 i det nu gällande dataskydds- direktivet. I förarbetena till personuppgiftslagen ansågs även be- stämmelsen om skadestånd till vissa delar genomföra den artikeln. Tanken bakom det synsättet torde vara att skadestånd ibland ses som en civilrättslig sanktion som kompletterar offentligrättsliga sanktioner som t.ex. straffbestämmelser och sanktionsavgifter. Ut- redningen behandlar skadestånd i avsnitt 14.3. Även om skadestånd vid systematiska eller allvarliga överträdelser kan uppgå till mycket höga belopp är möjligheten att begära skadestånd enligt utredning- ens mening inte tillräcklig för att uppfylla kravet på effektiva sank- tioner. Som utredningen konstaterat är kriminalisering inte heller

496

SOU 2017:29

Sanktioner

en lämplig sanktion. Det krävs därför någon annan typ av sanktion för att uppfylla de krav som ställs i direktivet.

Dataskyddsförordningen har ett nytt sanktionssystem

I dataskyddsförordningen föreskrivs en ny form av sanktion, admi- nistrativa sanktionsavgifter, för överträdelser av reglerna om per- sonuppgiftsbehandling. Syftet med sanktionsavgifterna är att stärka verkställigheten av förordningens bestämmelser (skäl 148). Det ligger därför nära till hands att överväga samma sanktionssystem som i förordningen.

Systemet med sanktionsavgifter regleras i artikel 83 och motive- ras i skäl 148–150 i förordningen. Den nationella tillsynsmyndig- heten ska enligt artikel 83.1 besluta om sådana avgifter. I arti- kel 83.2 räknas upp vilka omständigheter som allmänt ska beaktas när sanktionsavgifter beslutas och avgiftens storlek bestäms. I arti- kel 83.3 regleras hur avgiften ska beräknas vid flera överträdelser.

I princip ska sanktionsavgift beslutas för överträdelse av samt- liga bestämmelser i förordningen som föreskriver rättigheter för registrerade eller skyldigheter för personuppgiftsansvariga eller personuppgiftsbiträden. Sanktionsavgift ska enligt artiklarna 83.5 e och 83.6 även tas ut när någon inte följer tillsynsmyndighetens förelägganden eller beslut eller inte ger myndigheten tillgång till uppgifter. Enligt artikel 83.8 ska det finnas effektiva rättsmedel och rättssäkerhetsgarantier vid beslut om sanktionsavgifter. Medlems- staterna får avgöra om sanktionsavgifter ska kunna beslutas mot offentliga myndigheter och organ.

Fördelar och nackdelar med sanktionsavgift

Sanktionsavgifter finns inom en rad rättsområden. De har olika syfte och utformning. Tillämpningsområdet varierar också. I vissa fall är sanktionsavgift den enda sanktionen för en överträdelse, men i andra fall kan avgift tas ut vid sidan av eller i stället för straff. An- vändningen av sanktionsavgifter har ökat kraftigt. Övergången från straffbestämmelser till bestämmelser om sanktionsavgift syftade ursprungligen till att utnyttja rättsväsendets resurser bättre och att kunna beivra en del mindre allvarliga och ofta förekommande

497

Sanktioner

SOU 2017:29

överträdelser effektivare. Ofta kan avgift tas ut oberoende av om reglerna överträtts uppsåtligen eller av oaktsamhet.

Ett annat syfte med sanktionsavgift var att skapa en kännbar ekonomisk sanktion mot juridiska personer, som inte kan bli före- mål för straffrättsliga åtgärder. Sanktionsavgift kan riktas mot det subjekt som tjänar på överträdelsen eller har agerat mest klander- värt eller bär det största ansvaret för att överträdelsen begicks. Om sanktionsavgiften riskerar att innebära en kostnad eller förlust som är lika stor som eller större än den besparing som görs genom att regelverket inte följs, skapar avgiften incitament att undvika över- trädelser. När sanktionsavgift tas ut av en myndighet har den eko- nomiska aspekten dock inte lika stor betydelse.

Krigsmaterielexportöversynskommittén belyser ingående för- och nackdelarna med sanktionsavgifter (Sanktionsväxling – effekti- vare sanktioner på exportkontrollområdet, SOU 2014:83, s. 104 f.). Kommittén hämtade in information, förutom från länsstyrelserna, från 16 myndigheter med tillsyn över bl.a. områdena miljö, arbets- miljö, fiskeri, transport, bank- och finansverksamhet samt konsu- ment- och konkurrensfrågor, där det finns sanktionsavgifter. Kom- mittén ville veta hur tillsynsmyndigheterna ansåg att systemen med administrativa sanktionsavgifter fungerade.

Fördelarna med sanktionsavgifter ansågs vara många. En vanlig åsikt var att sanktionsavgifter har bättre förutsättningar att bidra till regelefterlevnad än straffsanktioner, eftersom brott mot den aktuella lagstiftningen inte prioriteras. Administrativa sanktionsav- gifter ansågs också vara mer förutsägbara, vilket leder till en bättre preventiv effekt. Det uppgavs t.ex. att antalet beslutade avgifter hos vissa av myndigheterna minskat över tid. Myndigheterna bedömde att det berodde på ökad regelefterlevnad.

Sanktionsavgifter ledde enligt myndigheterna också till enklare och snabbare beivrande av överträdelser, jämfört med straffsank- tioner. Sanktionsavgifter ansågs också vara resurseffektiva, efter- som den tillsynsmyndighet som beslutar om avgifterna fattar beslu- tet baserat på sin egen utredning. Andra myndigheter behöver inte kopplas in i processen, utom vid överklagande eller om avgiften ska beslutas av domstol på ansökan av tillsynsmyndigheten.

Det finns givetvis också nackdelar med sanktionsavgifter. Om sanktionsavgiftsbeloppet är lågt kan verksamhetsutövaren se av- giften som enbart en kostnad som det går att kalkylera med. I dessa

498

SOU 2017:29

Sanktioner

fall bidrar avgiften inte till ökad regelefterlevnad. System med sanktionsavgifter kan kräva mer resurser hos tillsynsmyndigheten. Domstolsväsendet kan, i vart fall inledningsvis, få fler ärenden att hantera om sanktionsavgifter införs. Innan det finns vägledande praxis kan det t.ex. råda osäkerhet om när sanktionsavgift ska tas ut och med vilket belopp. Det behöver alltså inte bli en ekonomisk besparing för staten att införa sanktionsavgifter (SOU 2014:83 s. 106). Avsaknaden av en domstols bedömning av händelseförlopp kan inverka menligt på rättssäkerheten (Administrativa sanktioner på yrkesfiskets område, prop. 2007/08:107, s. 17).

Är sanktionsavgift en lämplig reaktion mot myndigheter?

Vid överväganden om vilken sanktionsform som bör väljas måste hänsyn tas till att det i huvudsak är myndigheter som kommer att tillämpa ramlagen. Det har länge funnits en samsyn om att vites- föreläggande inte bör användas myndigheter emellan, om det inte finns särskilda skäl för det. Därför har bl.a. personuppgiftslagens regel om att tillsynsmyndigheten får förena förelägganden med vite i många fall inte gjorts tillämplig på myndigheter. När det gäller statens roll som arbetsgivare har det dock i olika sammanhang an- setts rimligt att inte särbehandla staten i fråga om ekonomiska sanktioner (se bl.a. 4 kap. 5 § diskrimineringslagen [2008:567] och 7 kap. 7 § arbetsmiljölagen [1977:1160]).

Sanktionsavgift kan tas ut av myndigheter på vissa områden. Hit hör bl.a. miljösanktionsavgift enligt miljöbalken och förordningen (2012:259) om miljösanktionsavgifter. Enligt praxis tas dock inte miljösanktionsavgift ut av myndigheter om överträdelsen skett vid myndighetsutövning.

Det finns också exempel på sanktionsavgifter som särskilt riktar sig mot myndigheter. Enligt 21 kap. 1 § 3 lagen (2016:1145) om offentlig upphandling får allmän förvaltningsdomstol vid otillåten direktupphandling besluta att en upphandlande myndighet ska be- tala upphandlingsskadeavgift. I förarbetena till den tidigare lagen om offentlig upphandling, som innehöll en motsvarande bestäm- melse, betonades vikten av att sanktionsbestämmelserna är desam- ma för alla slag av upphandlande myndigheter och enheter och att något undantag för statliga myndigheter därför inte borde göras

499

Sanktioner

SOU 2017:29

även om det innebär att staten betalar en avgift till staten (Nya rättsmedel på upphandlingsområdet, prop. 2009/10:180, s. 183).

Direktivet syftar till att förbättra skyddet för enskildas integri- tet. Enskildas intresse av skydd för sin personliga integritet väger lika tungt oavsett om uppgifter behandlas i det allmännas verksam- het eller i den privata sektorn. Såväl statliga som kommunala myn- digheter hanterar mycket stora mängder personuppgifter, ofta känsliga sådana. De utbyts dessutom i allt större utsträckning över myndighets- och nationsgränser. Även om det allmännas verksam- het styrs av annan lagstiftning än personuppgiftsregleringen, exem- pelvis tryckfrihetsförordningen, offentlighets- och sekretesslagen och arkivlagstiftningen, behandlas personuppgifter på i stort sett samma villkor som i privat sektor. Till det kommer att data- skyddsförordningen kommer att tillämpas av alla myndigheter och att sanktionsavgifter således kan komma att drabba även dem, om regelverket görs tillämpligt på myndigheter.

Det är enligt utredningens mening en principiell skillnad mellan att låta en myndighet använda ekonomiska påtryckningsmedel i syfte att förmå en annan myndighet att göra eller underlåta något och att använda ekonomiska sanktioner som reaktion på begångna överträdelser.

Sammanfattningsvis menar utredningen att övervägande skäl talar för att administrativa sanktionsavgifter ska kunna tas ut av myndigheter för överträdelser av regler om personuppgiftsbehand- ling inom ramlagens tillämpningsområde.

Är sanktionsavgift i övrigt en lämplig reaktion?

Frågan är då om sanktionsavgift i övrigt är en lämplig reaktion på överträdelser av bestämmelser i ramlagen. Det finns enligt utred- ningens mening flera skäl som talar för en sådan lösning. De myn- digheter som i dag tillämpar sanktionsavgifter inom andra områden ser många fördelar med den sanktionen. De argument som dessa lyft fram väger tungt även vid personuppgiftsbehandling.

Sanktionsavgift är en snabb och tydlig sanktion – som även kan vara kännbar ekonomiskt. Risken att som personuppgiftsansvarig drabbas av en sådan sanktion skulle enligt utredningens bedömning verka avskräckande. Sanktionsavgifter skulle också leda till att

500

SOU 2017:29

Sanktioner

ansvar för överträdelser utkrävs på rätt nivå. Det finns nämligen skäl att förmoda att överträdelser av reglerna om personuppgifts- behandling ofta beror på att otillräckliga resurser avsatts för att utforma it-system som stödjer en korrekt personuppgiftsbehand- ling, för att utarbeta handledningar och för att utbilda personalen. Risken att drabbas av sanktionsavgift skulle öka incitamenten för personuppgiftsansvariga att satsa på förebyggande åtgärder och att avsätta tillräckliga resurser för den interna kontrollen av person- uppgiftsbehandlingen. Överträdelserna skulle därmed på sikt kunna minska på det sätt som beskrivits inom andra områden. Det finns också anledning att anta att ett system med sanktionsavgifter skulle vara effektivare än straffsanktioner. Mindre bevissvårigheter kan leda till att fler överträdelser beivras än om ansvaret är straffrätts- ligt. Utredningens slutsats är alltså att det i ramlagen bör tas in regler om sanktionsavgift.

13.3Utformningen av sanktionsavgiftssystemet

Utredningens bedömning: Sanktionsavgiftssystemet bör ut- formas med beaktande av regeringens riktlinjer för sådana av- gifter, regleringen i dataskyddsförordningen och Sveriges inter- nationella åtaganden.

Skälen för utredningens bedömning

Regeringens riktlinjer för användande av sanktionsavgift

Sanktionsavgift har använts som sanktionsform under lång tid. In- förandet av skattetillägg i början av 1970-talet brukar ses som in- ledningen på mer allmän användning av sanktionsavgift som sank- tionsform (SOU 2013:38, del 2, s. 467). Inledningsvis fanns det inga riktlinjer för hur sanktionsavgifter skulle utformas och använ- das. I samband med lagstiftningsarbetet om ekonomiska sanktioner i näringsverksamhet togs dock ett samlat grepp om frågan (Eko- nomiska sanktioner vid brott i näringsverksamhet, Ds Ju 1981:3, och propositionen om ändring i brottsbalken [ekonomiska sank- tioner vid brott i näringsverksamhet], prop. 1981/1982:142. Jfr även Wiweka Warling-Nerep, Sanktionsavgifter – särskilt i närings-

501

Sanktioner

SOU 2017:29

verksamhet, 2010, s. 53, i fortsättningen Warling-Nerep). I nyss- nämnda proposition lade regeringen fram allmänna riktlinjer för hur ett sanktionsavgiftssystem bör utformas (prop. 1981/82:142 s. 24 f.)

Riktlinjerna i propositionen har kommit att ligga till grund för förslagen i olika lagstiftningsärenden och tillämpas alltjämt (se t.ex. Sanktionsavgifter för andra aktörer på fiskets område än yrkesfis- kare, prop. 2015/16:118 och Effektiv bekämpning av marknads- missbruk, prop. 2016/17:22). Riktlinjerna kan sammanfattas enligt följande.

Ett avgiftssystem kan erbjuda en ändamålsenlig lösning i fall där regelöverträdelser är särskilt frekventa eller speciella svårigheter föreligger att beräkna storleken av den vinst eller besparing som uppnås i det särskilda fallet.

Avgifter bör få förekomma endast inom speciella och klart av- gränsade rättsområden.

Bestämmelserna om beräkning av avgiftsbeloppet bör konstrue- ras så att de utgår från ett mätbart moment i den aktuella över- trädelsen – en parameter – som gör det möjligt att förutse och fastställa hur stor avgiften ska bli i det särskilda fallet.

Beroende på det aktuella rättsområdets natur bör särskilt prövas om uppsåt eller oaktsamhet ska förutsättas för avgiftsskyldighet eller om skyldigheten ska bygga på strikt ansvar. För att en kon- struktion med strikt ansvar ska vara försvarbar från rättssäker- hetssynpunkt bör det finnas starkt stöd för en presumtion om att överträdelser på området inte kan förekomma annat än som en följd av uppsåt eller oaktsamhet. Bestämmelser som reglerar möjligheten till jämkning av avgiftsbelopp bör så långt möjligt vara så preciserade att det inte föreligger någon tvekan om deras räckvidd.

Något hinder bör inte föreligga mot att låta avgiftsregler som i första hand riktas mot juridiska personer och straffrättsliga be- stämmelser riktade mot fysiska personer vara tillämpliga vid sidan av varandra. De subjektiva rekvisiten kan vara annorlunda utformade i de olika systemen – strikt ansvar vid avgift och upp- såt eller oaktsamhet vid straffrättsligt ansvar.

502

SOU 2017:29

Sanktioner

Att ta ut sanktionsavgifter kan i viss utsträckning överlämnas till de administrativa myndigheter som är verksamma på det aktuella området. I vissa fall är det emellertid lämpligt att över- lämna denna prövning till domstol.

Riktlinjerna tar sikte på sanktioner med vinstbegränsande syfte. De brukar dock också läggas till grund för utformningen av sådana sanktionssystem som har ett bestraffande syfte.

Andra riktlinjer på området

Vid sidan om regeringens riktlinjer i nyssnämnda proposition finns det ytterligare riktlinjer som bör beaktas vid utformningen av ett sanktionsavgiftssystem. Europakonventionen, som är en del av svensk rätt, kan vara av betydelse för sanktionsavgiftssystem, om de är jämställa med en straffrättslig påföljd (se avsnitt 13.8).

Europarådets rekommendation nr R (91) om administrativa sanktionsavgifter omfattar åtta principer. Många av frågeställning- arna regleras också i Europakonventionen. Några behandlas dock inte i konventionen. Rekommendationen, som inte är rättsligt bin- dande, får därför anses komplettera den. Principerna kan samman- fattas enligt följande (SOU 2014:83 s. 110 f.).

Såväl sanktionens innehåll som de omständigheter som krävs för att sanktionen ska kunna åläggas någon ska framgå av lag.

Förbud mot retroaktiv tillämpning.

Förbud mot dubbelprövning (ne bis in idem).

Krav på rimlig handläggningstid.

Krav på ett slutligt beslut. Varje inlett förfarande som kan för- anleda att en sanktion åläggs en person ska avslutas med ett slut- ligt avgörande.

Krav på ett öppet, objektivt och rättvist förfarande. Varje per- son som riskerar att åläggas en sanktion ska informeras om an- klagelsen och den bevisning som åberopas. Vidare ska han eller hon få tillfälle att yttra sig och få tillräcklig tid till det. Ett sanktionsbeslut ska innehålla skälen för beslutet.

503

Sanktioner

SOU 2017:29

Bevisbördan åligger den som beslutar om sanktionen.

Krav på domstolsprövning. En sanktion beslutad av en admi- nistrativ myndighet ska kunna överprövas av en domstol.

Utgångspunkter för utformningen av sanktionsavgiftssystemet

Vid utformningen av sanktionssystemet bör regeringens riktlinjer och Sveriges internationella åtaganden beaktas. Utredningen åter- kommer i avsnitt 13.8 till frågor som rör Europakonventionen.

Bestämmelserna om sanktionsavgift bör utformas i linje med hur sådana avgifter utformats inom andra rättsområden och de rättssäkerhetskrav som ställs på sanktionsavgift bör få genomslag. Det innebär att frågor om sanktionsavgift bör regleras i lag och att det av den bör framgå när, hur och av vem sanktionsavgift får tas ut. Systemet ska också vara förutsägbart och möta kraven på rimlig handläggningstid, domstolsprövning och en rättssäker process.

Dataskyddsförordningen har ett system med sanktionsavgifter. De behöriga myndigheterna kommer även att tillämpa förord- ningen, som är direkt tillämplig i svensk rätt. Överträdelser av be- stämmelser om personuppgiftsbehandling bör enligt utredningens mening i princip föranleda samma sanktioner. Det är dock inte möjligt att skapa helt identiska system, eftersom tillämpningsområ- dena för förordningen och direktivet och regleringen i övrigt skiljer sig åt. Det är inte heller känt om förordningens system med sank- tionsavgifter kommer att omfatta myndigheter, eftersom det över- låts till varje medlemsstat att bestämma det. Utredningen utgår emellertid i förslagen från hur sanktionsavgifter regleras i förord- ningen.

13.4Vem ska betala sanktionsavgift?

Utredningens förslag: Sanktionsavgift får tas ut av personupp- giftsansvariga och i vissa fall av personuppgiftsbiträden.

Skälen för utredningens förslag: En personuppgiftsansvarig an- svarar för all personuppgiftsbehandling som utförs under dennes ledning eller på dennes vägnar. Det gäller även den behandling per-

504

SOU 2017:29

Sanktioner

sonuppgiftsbiträden, anställda, personer som är att jämställa med anställda (t.ex. inhyrd personal) eller uppdragstagare utför. Sank- tionsavgift bör därmed kunna tas ut av personuppgiftsansvariga. Vem som är personuppgiftsansvarig på ramlagens område framgår i dag oftast av författning.

Även om sanktionsavgift normalt kommer att tas ut av person- uppgiftsansvariga, bör enligt utredningens mening sanktionsavgift även kunna tas ut av personuppgiftsbiträden. Det bör dock bara gälla om ett personuppgiftsbiträde brutit mot uttryckliga skyldig- heter enligt ramlagen. Utredningen utvecklar i avsnitt 13.5.2 i vilka fall sanktionsavgift bör kunna tas ut av personuppgiftsbiträden. Om ett personuppgiftsbiträde bestämt ändamålen med och medlen för behandlingen i strid med ramlagen är biträdet att anse som per- sonuppgiftsansvarig för den behandlingen (se avsnitt 10.6.3). För sådan behandling bör samma regler om sanktionsavgift gälla som för andra personuppgiftsansvariga.

13.5Vad ska föranleda sanktionsavgift?

13.5.1Allmänna utgångspunkter

Överträdelser som kan leda till sanktionsavgift enligt dataskydds- förordningen är något förenklat överträdelser av bestämmelser om personuppgiftsansvarigas och personuppgiftsbiträdens skyldigheter gentemot registrerade och överträdelser av bestämmelser om rät- tigheter för registrerade. Även vägran att ge tillsynsmyndigheten tillgång till uppgifter eller att följa beslut eller förelägganden som myndigheten meddelat kan leda till sanktionsavgift.

Många av de överträdelser som kan leda till sanktionsavgift en- ligt förordningen bör i motsvarande fall kunna göra det enligt ramlagen. Skälen för att vissa överträdelser bör leda till sanktions- avgift är nämligen i allt väsentligt desamma. Det rör sig om över- trädelser av de bestämmelser i ramlagen som är viktigast för att värna registrerades integritet, som innehåller de grundläggande reglerna för hur personuppgifter får behandlas och som – om de inte efterlevs – riskerar att leda till allvarliga kränkningar av regi- strerades integritet. Utredningen anser mot den bakgrunden att det inte finns skäl att för varje enskild bestämmelse i detalj redogöra

505

Sanktioner

SOU 2017:29

för varför sanktionsavgift är motiverad men redovisar i det följande vilka resonemang som ligger bakom urvalet av överträdelser.

Vissa bestämmelser i ramlagen är dock av den arten att någon sanktionsavgift inte bör komma i fråga. Om den som berörs av ett beslut kan överklaga det bör sanktionsavgift inte komma i fråga, eftersom möjligheten till domstolsprövning är tillräcklig för att ta tillvara registrerades intressen. Det är som regel inte heller lämpligt med sanktionsavgift vid överträdelse av bestämmelser som ger ut- rymme för olika bedömningar, t.ex. om det är nödvändigt att in- formera i ett specifikt fall. Bestämmelser om dokumentations- eller underrättelseskyldighet bör normalt inte heller föranleda sank- tionsavgift.

13.5.2Överträdelser som kan föranleda sanktionsavgift

Utredningens förslag: Sanktionsavgift får tas ut av en person- uppgiftsansvarig eller ett personuppgiftsbiträde vid överträdelse av vissa bestämmelser om behandling av personuppgifter.

Sanktionsavgift får också tas ut vid underlåtenhet att bistå tillsynsmyndigheten eller att rätta sig efter förelägganden eller beslut som myndigheten meddelat.

Skälen för utredningens förslag

Överträdelse av bestämmelser till skydd för registrerades integritet

Att överträda bestämmelser som syftar till att skydda registrerades integritet eller deras rättigheter bör som regel leda till sanktions- avgift. Med det som utgångspunkt bör enligt utredningens mening överträdelser av följande skyldigheter föranleda sanktionsavgift.

Bestämmelserna om att personuppgiftsbehandlingen ska ha rättslig grund och utföras för ett särskilt angivet och berättigat ändamål är av så grundläggande natur att överträdelser av dem bör föranleda sanktionsavgift.

Bestämmelserna om personuppgifters kvalitet föreskriver kon- kreta skyldigheter i fråga om bl.a. uppgifternas korrekthet, aktuali- tet, adekvans och relevans. Även kraven på att göra skillnad mellan olika slag av uppgifter och att se till att alla rimliga åtgärder vidtas

506

SOU 2017:29

Sanktioner

för att rätta och komplettera personuppgifter är viktiga för skyddet av enskildas integritet. Alla dessa skyldigheter, liksom den person- uppgiftsansvariges skyldighet att radera personuppgifter eller be- gränsa behandlingen av dem om de behandlats på otillåtet sätt och att inte behandla fler personuppgifter än nödvändigt och inte längre än vad som behövs, bör därför kunna föranleda sanktions- avgift. Otillåten behandling av känsliga personuppgifter är i dag straffsanktionerad och bör redan av det skälet kunna föranleda sanktionsavgift.

Även skyldigheten att vidta tekniska och organisatoriska åtgär- der för att säkerställa att behandlingen av personuppgifter är för- fattningsenlig och kunna visa det bör kunna leda till sanktionsav- gift. Skyldigheten preciseras genom andra bestämmelser, både om vilka personuppgifter som får behandlas och hur det får göras och genom konkreta krav på bl.a. inbyggt dataskydd, dataskydd som standard och loggning. Det bör understrykas att även andra åtgär- der än sådana som uttryckligen anges i ramlagen eller föreskrifter som meddelats i anslutning till den kan vara nödvändiga att leva upp till för att kraven på tillräckliga åtgärder ska anses ha uppfyllts.

Skyldigheten att internt begränsa tillgången till personuppgifter är också en viktig del i skyddet för personuppgifter och bör vid överträdelser kunna leda till sanktionsavgift.

Överträdelser av kravet på att vidta åtgärder för att skydda per- sonuppgifter mot obehörig eller otillåten behandling och mot för- lust, förstöring eller annan oavsiktlig skada bör också kunna leda till sanktionsavgift. Vad kravet innebär preciseras bl.a. i regler om vad som är en lämplig säkerhetsnivå. Även underlåtenhet att anmäla eller dokumentera personuppgiftsincidenter till tillsynsmyndighe- ten bör kunna föranleda sanktionsavgift. Det bör också gälla skyl- digheten att göra en konsekvensbedömning och att i vissa fall för- handssamråda med tillsynsmyndigheten.

Personuppgifter får bara överföras till tredjeland och internatio- nella organisationer under vissa förutsättningar. Utredningen anser, mot bakgrund av att motsvarande överträdelser är straffsanktione- rade i dag, att överträdelser av reglerna om överföring bör kunna föranleda sanktionsavgift.

507

Sanktioner

SOU 2017:29

Underlåtenhet att bistå tillsynsmyndigheten eller att följa dess förelägganden eller beslut

I avsnitt 12.7.3 föreslår utredningen att tillsynsmyndigheten ska ges tillgång till uppgifter och dokumentation, tillträde till lokaler och annat nödvändigt bistånd för att kunna utöva sin tillsyn. Sank- tionsavgift bör kunna tas ut vid underlåtenhet att bistå tillsynsmyn- digheten vid tillsyn. I avsnitt 12.7.6 föreslår utredningen att till- synsmyndigheten ska kunna meddela förelägganden om viss åtgärd. Tillsynsmyndigheten ska också kunna förbjuda viss behandling. Det är enligt utredningens mening viktigt att sanktionsavgift kan tas ut av den som vägrar att rätta sig efter tillsynsmyndighetens be- slut i sådana frågor. Tillsynsmyndighetens ställning kan annars undermineras.

Särskilt om personuppgiftsbiträden

Eftersom den personuppgiftsansvarige ansvarar även för person- uppgiftsbiträdens behandling bör sanktionsavgift tas ut av den per- sonuppgiftsansvarige vid överträdelser som berott på biträdets age- rande. Som framgår av avsnitt 13.4 bör dock sanktionsavgift kunna tas ut även av personuppgiftsbiträden i vissa fall när de har uttryck- liga skyldigheter som framgår av författning.

Sanktionsavgift bör således kunna tas ut av personuppgiftsbiträ- den om tillgången till personuppgifter internt inte begränsas till vad varje tjänsteman behöver för att utföra sina arbetsuppgifter eller om tillräckliga åtgärder inte vidtas för att säkerställa att de person- uppgiftsuppgifter som behandlas skyddas t.ex. mot obehörig eller otillåten behandling. Sanktionsavgift bör också kunna tas ut om skyldigheten att se till att behandling loggas inte fullgörs.

Skyldigheten att bistå tillsynsmyndigheten och att följa föreläg- ganden och beslut som meddelats av tillsynsmyndigheten föreslås gälla även för personuppgiftsbiträden (se avsnitt 12.7.3 och 12.7.6). Det bör därför vara möjligt att ålägga personuppgiftsbiträden sank- tionsavgift om de inte fullgör sådana förpliktelser.

I övrigt bör personuppgiftsbiträden inte kunna åläggas sank- tionsavgift.

508

SOU 2017:29

Sanktioner

Sanktionsavgift bör inte tas ut för vissa överträdelser

Som nyss nämnts bör inte sanktionsavgift tas ut för överträdelser av alla bestämmelser i ramlagen och de föreskrifter som meddelas i anslutning till den. Det finns inte skäl att ta ut sanktionsavgift för överträdelser av bestämmelser om personuppgiftsansvarigas skyl- dighet att på begäran av en registrerad rätta, komplettera eller radera personuppgifter eller begränsa behandlingen av dem eller ompröva vissa beslut. Om det finns sakskäl för att vidta åtgärden är den personuppgiftsansvarige skyldig att utföra den oberoende av begäran. Sanktionsavgift kan då tas ut på grund av att de bestäm- melserna överträtts. Eftersom sanktionsavgift kan tas ut för över- trädelser av de mer konkreta skyldigheterna i ramlagen finns det inte skäl att ta ut sådan avgift för överträdelser av bestämmelsen om att personuppgifter ska behandlas författningsenligt och på ett korrekt sätt.

Sanktionsavgift bör inte heller tas ut om skyldigheten att utse dataskyddsombud inte fullgörs. Det är enligt utredningens mening tillräckligt att det finns en skyldighet att anmäla att ombud har utsetts och entledigats till tillsynsmyndigheten. Om en personupp- giftsansvarig inte skulle fullgöra den skyldigheten, kan tillsyns- myndigheten reagera och t.ex. utfärda ett föreläggande.

Bestämmelser som reglerar förhållandet mellan personuppgifts- ansvariga och personuppgiftsbiträden bör inte kunna föranleda sanktionsavgift. Inte heller personuppgiftsbiträdens underlåtenhet att anmäla personuppgiftsincidenter till den personuppgiftsansva- rige bör kunna leda till sanktionsavgift.

Inte heller överträdelser av bestämmelser som reglerar skyldig- heter mellan gemensamt personuppgiftsansvariga bör kunna för- anleda sanktionsavgift. Om överträdelser förekommer i situationer där personuppgiftsansvaret är gemensamt får det avgöras i det en- skilda fallet om avgift bör tas ut av en av parterna eller av flera.

En personuppgiftsansvarig ska tillhandahålla viss information till de registrerade. De bestämmelser som reglerar skyldigheten att tillhandahålla allmän information och information som ska lämnas i specifika fall bör inte kunna föranleda sanktionsavgift. Den all- männa informationen är av sådan karaktär att det inte finns någon större risk att en registrerad lider en rättsförlust om den inte läm- nas. Skyldigheten att lämna personrelaterad information i specifika

509

Sanktioner

SOU 2017:29

fall förutsätter en bedömning av när information ska lämnas, vilket gör att sanktionsavgift inte bör kunna tas ut. Skyldigheten att på begäran informera om eller ge tillgång till personuppgifter bör inte heller kunna leda till sanktionsavgift, eftersom beslut i sådana frå- gor får överklagas.

13.5.3Ska sanktionsavgift alltid tas ut?

Utredningens förslag: Regleringen av sanktionsavgifter ska bygga på strikt ansvar.

Skälen för utredningens förslag

Sanktionsavgiftssystemet bör bygga på strikt ansvar

Huvudregeln är att sanktionsavgiftssystem bygger på strikt ansvar. Som utredningen tolkar dataskyddsförordningen förefaller varken uppsåt eller oaktsamhet vara ett krav för att ta ut sanktionsavgift. Det räcker att en bestämmelse faktiskt har överträtts. Däremot kan det påverka frågan om sanktionsavgift ska tas ut eller inte, och av- giftens storlek, om överträdelsen är uppsåtlig eller oaktsam.

Enligt utredningens mening finns det inte skäl att avvika från grundprincipen för sanktionsavgifter att ansvaret ska vara strikt. Det är framför allt den omständigheten att det inte behöver bevisas att handlandet varit avsiktligt eller att avgöra hur oaktsamt hand- landet har varit som gör att system med sanktionsavgifter anses vara så effektiva. För att inte den fördelen ska gå förlorad bör den personuppgiftsansvarige och personuppgiftsbiträden ha strikt an- svar för sådan felaktig behandling av personuppgifter som kan för- anleda att sanktionsavgift tas ut. Det är också svårt att se att över- trädelser kan bero på annat än uppsåt eller oaktsamhet.

Lagrådet har uttalat att skrivningar om att avgiftsskyldigheten bygger på strikt ansvar inte bör tas med i författningstext. I mot- sats till vad som gäller för straffbestämmelser finns det nämligen inte något formellt krav på uppsåt eller oaktsamhet för att besluta om sanktionsavgift (Ny lag om kontroll av ekologisk produktion, prop. 2012/13:55, s. 142). Utredningen ser därför inget skäl att ut- tryckligen föreskriva att ansvaret ska vara strikt.

510

SOU 2017:29

Sanktioner

Ska sanktionsavgift alltid tas ut?

Strikt ansvar innebär att det varken krävs uppsåt eller oaktsamhet för att sanktionsavgift ska kunna tas ut. Strikt ansvar medför emellertid inte att sanktionsavgift måste tas ut vid varje överträ- delse. En viktig fråga är därför om det ska vara obligatoriskt att ta ut sanktionsavgift när en viss bestämmelse har överträtts.

Enligt utredningens mening bör inte varje överträdelse av de bestämmelser i ramlagen som kan föranleda sanktionsavgift med- föra att sådan avgift faktiskt tas ut. Reglerna om personuppgifts- behandling är mycket komplexa och det nya regelverket kommer inte att förenkla tillämpningen. Det skulle ställa alltför höga krav på de personuppgiftsansvariga och lägga en orimlig börda på till- synsmyndigheten om varje överträdelse av en viss bestämmelse skulle leda till att sanktionsavgift tas ut. Som exempel kan nämnas att det inte är rimligt att ålägga en myndighet sanktionsavgift för att någon i enstaka fall har beskrivit en persons utseende på ett sätt som inte respekterar hans eller hennes människovärde, även om det kan vara djupt kränkande. Om det däremot har satts i system att göra sådana beskrivningar eller om påpekanden om att det krävs utbildning för att undvika sådant felbeteende inte följs, bör sank- tionsavgift kunna övervägas. Det bör således ligga hos den som har till uppgift att besluta om avgiften att avgöra om en överträdelse är så allvarlig eller systematisk att sanktionsavgift bör tas ut. Bestäm- melsen bör därför utformas så att det inte är obligatoriskt att be- sluta om sanktionsavgift.

Det kan diskuteras om lagstiftningen med en sådan regel lever upp till direktivets krav på effektiva sanktioner. Utredningen utgår från att de personuppgiftsansvariga – som i huvudsak är myndig- heter – normalt kommer att rätta sig efter tillsynsmyndighetens på- pekanden, förelägganden och beslut och att det bara i ett litet antal fall kommer att vara nödvändigt att ta ut sanktionsavgift. Sank- tionssystemet som helhet uppfyller således enligt utredningens mening kraven i direktivet. Att det blir en viss skillnad mot sank- tionssystemet i dataskyddsförordningen påverkar inte den bedöm- ningen.

511

Sanktioner

SOU 2017:29

13.6Hur sanktionsavgiften ska bestämmas

13.6.1Sanktionsavgiftens storlek

Utredningens förslag: För mindre allvarliga överträdelser ska avgiften vara minst 25 000 kronor och högst 10 000 000 kronor. För allvarliga överträdelser ska avgiften bestämmas till minst 50 000 kronor och högst 20 000 000 kronor. Det ska av ram- lagen framgå vilka överträdelser som kan leda till den lägre respektive högre sanktionsavgiften.

Om flera bestämmelser har överträtts genom samma person- uppgiftsbehandling, eller om en eller flera bestämmelser har överträtts genom sammankopplade personuppgiftsbehandlingar, ska sanktionsavgiften bestämmas efter överträdelsernas allvar. Sanktionsavgiften får dock aldrig överstiga maximibeloppet för den allvarligaste överträdelsen.

Skälen för utredningens förslag

Hur hög bör sanktionsavgiften vara?

I dataskyddsförordningen regleras vilken sanktionsavgift som maximalt kan tas ut vid olika överträdelser. I förordningen är de belopp som anges mycket höga och anges dessutom i euro. Några minimibelopp anges inte, men maximibeloppen är 10 000 000 euro respektive 20 000 000 euro, alternativt en viss procentsats av den totala globala årsomsättningen.

När det gäller sanktionsavgifter är det inte ovanligt att det i författning eller genom myndighetsföreskrifter anges fasta belopp för olika typer av överträdelser. Utredningen anser att en sådan ordning inte är ändamålsenlig i detta fall. Ett flertal faktorer som inte går att standardisera måste beaktas i det enskilda fallet för att avgöra hur stor sanktionsavgiften bör vara. På samma sätt som i förordningen bör sanktionsavgiften inte baseras på i förväg fast- ställda belopp utan bestämmas med utgångspunkt i omständighe- terna i det enskilda fallet.

Överträdelser av bestämmelserna i ramlagen kan typiskt sett inte förväntas generera stora besparingar eller vinster för den per- sonuppgiftsansvarige eller personuppgiftsbiträdet. Det finns där-

512

SOU 2017:29

Sanktioner

med inte förutsättningar att knyta avgiften till omsättningen av verksamheten, vinsten eller något liknande kriterium.

Varken på miljöområdet eller på arbetsmiljöområdet är de av- gifter som kan tas ut tillnärmelsevis så höga som de som anges i dataskyddsförordningen. Det lägsta belopp som kan beslutas vid en överträdelse inom dessa områden är 1 000 kronor och det högsta beloppet 1 000 000 kronor. Inte heller företagsbot eller upphand- lingsskadeavgift kan uppgå till lika höga belopp som enligt förord- ningen. För företagsbot är minimibeloppet i dag 5 000 kronor och maximibeloppet 10 000 000 kronor. För upphandlingsskadeavgift enligt lagen (2016:1145) om offentlig upphandling är lägsta belop- pet 10 000 kronor och det högsta 10 000 000 kronor. Avgiften får dock aldrig överstiga en viss procentsats av upphandlingens värde.

De överträdelser som enligt förordningen kan bli föremål för sanktionsavgift har till största delen sin motsvarighet i direktivet. Det skulle givetvis kunna hävdas att samma typ av överträdelse bör leda till samma sanktion. Utredningen anser dock att det är vikti- gare att sanktionerna i ramlagen utgör en rimlig reaktion på över- trädelserna, särskilt mot bakgrund av att det framför allt är myn- digheter som kan komma att träffas av sanktionsavgifterna. De bör också beloppsmässigt ligga i paritet med andra sanktionsavgifter i svensk rätt. Skillnaden mellan sanktionsavgifternas storlek i för- ordningen och ramlagen kan också motiveras av att de personupp- giftsansvariga som ska tillämpa förordningen kan vara multinatio- nella företag där det krävs synnerligen höga sanktionsbelopp för att det ska vara kännbart. Inom ramlagens tillämpningsområde kan även en lägre avgift förväntas påverka agerandet i önskad riktning. Till det kommer att ett felaktigt handlande av en myndighet sällan föranleds av en önskan att maximera vinst eller att göra en större besparing, även om det inte kan uteslutas att det finns ekonomiska motiv. Lägre men tillräckligt kännbara belopp torde därför påverka myndigheterna så länge budgetprincipen upprätthålls och de inte får ekonomiska tillskott för att kunna betala sina sanktionsavgifter.

Ett av huvudsyftena med sanktionsavgifter är att de ska vara av- skräckande. För att regleringen ska få en tillräckligt avskräckande effekt krävs, trots det som sagts om myndigheters relativt sett högre känslighet även för låga sanktionsavgifter, enligt utredning- ens mening att maximibeloppet sätts relativt högt.

513

Sanktioner

SOU 2017:29

De överträdelser som kan leda till sanktionsavgift kan se olika ut och de ekonomiska förutsättningarna för dem som avgiften ska tas ut av kan variera. Spannet inom vilket avgift kan bestämmas bör därför vara relativt stort. För att markera att sanktionsavgift främst är avsedd att användas för allvarliga eller systematiska överträdelser bör miniminivån vara högre än för de avgifter som nyss nämnts.

Beträffande personuppgiftsbiträden väger argumenten ovan inte lika tungt eftersom de ofta, även inom ramlagens tillämpningsom- råde, är privaträttsliga aktörer som drivs av affärsmässiga övervä- ganden och vinstintressen. Som framgår av avsnitt 10.6.2 agerar myndigheter ibland personuppgiftsbiträden åt varandra. Syftet med det torde vara att spara på statens resurser. Mot den bakgrunden bör samma sanktionsavgifter tillämpas på personuppgiftsbiträden som på personuppgiftsansvariga.

Sammanfattningsvis anser utredningen att sanktionsavgiftsbe- loppen bör vara lägre än i dataskyddsförordningen och ligga mer i linje med de sanktionsavgifter som i dag finns på andra områden och med företagsbot. Utredningen återkommer i avsnitt 13.6.2 till hur avgiften bör bestämmas i det enskilda fallet.

Sanktionsavgift ska enligt dataskyddsförordningen tas ut enligt två olika nivåer – en lägre nivå vid överträdelser som betraktas som mindre allvarliga och en högre nivå vid allvarligare överträdelser och underlåtenhet att följa förelägganden eller beslut av tillsyns- myndigheten eller att på annat sätt bistå den. Utredningen anser att det även inom ramlagens tillämpningsområde bör finnas två av- giftsnivåer.

Avgift vid mindre allvarliga överträdelser

När det gäller mindre allvarliga överträdelser är det enligt utred- ningens mening viktigt att beloppet är så pass högt att det har en viss avskräckande effekt. Utredningen anser att 25 000 kronor är ett rimligt minimibelopp för mindre allvarliga överträdelser.

Vid överväganden om den övre beloppsgränsen för mindre all- varliga överträdelser finns det skäl att titta på vad som gäller inter- nationellt, särskilt inom EU. Som tidigare konstaterats är de sanktionsavgifter som kan tas ut med stöd av dataskyddsförord- ningen synnerligen höga. Maximibeloppet för överträdelser inom

514

SOU 2017:29

Sanktioner

ramlagens tillämpningsområde bör därför inte sättas alltför lågt, men betydligt lägre än enligt förordningen. Ett maximibelopp om 10 000 000 kronor för mindre allvarliga överträdelser, vilket mot- svarar vad som i dag gäller för företagsbot och upphandlingsskade- avgift, får anses vara tillräckligt för att utgöra en kännbar sanktion.

Till mindre allvarliga överträdelser bör räknas att den person- uppgiftsansvarige eller ett personuppgiftsbiträde inte begränsat tillgången till personuppgifter internt. Även om det är en viktig bestämmelse är risken för kränkning av den enskildes integritet mindre än om uppgifterna sprids utanför verksamheten eller be- handlas otillåtet på något annat sätt.

Till mindre allvarliga överträdelser bör också räknas underlåten- het av personuppgiftsansvariga att dokumentera personuppgifts- incidenter. Även underlåtenhet att göra en konsekvensbedömning eller att inleda förhandssamråd med tillsynsmyndigheten bör anses som mindre allvarligt.

Högre avgift för allvarligare överträdelser

Av samma skäl som anförts beträffande minimi- och maximibelop- pet för mindre allvarliga överträdelser bör beloppet för allvarligare överträdelser inte sättas alltför lågt, men betydligt lägre än i data- skyddsförordningen. Det finns, utifrån förordningens modell, skäl att bestämma beloppen till det dubbla. Det innebär att 50 000 kro- nor bör vara minimibelopp för allvarligare överträdelser och att maximibeloppet bör vara 20 000 000 kronor.

Till allvarligare överträdelser bör räknas alla överträdelser av grundläggande krav på personuppgiftsbehandlingen. Bestämmel- serna är centrala för skyddet av registrerades integritet, oavsett om det är fråga om känsliga personuppgifter eller personuppgifter i allmänhet. En annan sak är att sanktionsavgiften normalt bör be- stämmas till ett högre belopp om överträdelsen avser känsliga per- sonuppgifter.

Eftersom åtgärder för att säkerställa författningsenlig behand- ling syftar till att avskräcka från behandling i strid med de grund- läggande principerna för personuppgiftsbehandling bör överträdel- ser mot de bestämmelserna också ses som allvarliga, dock med undantag för tillgången till personuppgifter internt.

515

Sanktioner

SOU 2017:29

Även överträdelser av bestämmelser som avser skyldighet att vidta åtgärder för att säkerställa säkerhet vid behandling bör ses som allvarliga, eftersom sådana överträdelser kan få mycket långt- gående konsekvenser för registrerade.

Överträdelser av vad som gäller vid överföring till tredjeland och internationella organisationer bör också leda till den högre sank- tionsavgiften. Det är allvarligt att uppgifterna får spridning om inte skyddet för dem kan garanteras.

Den högre avgiften bör också tillämpas vid underlåtenhet att följa tillsynsmyndighetens förelägganden eller beslut eller att på annat sätt bistå den. Genom det inskärps allvaret i att inte rätta sig efter tillsynsmyndighetens synpunkter.

Flera samtidiga överträdelser

Felaktig eller otillåten personuppgiftsbehandling kan innebära att flera bestämmelser om behandling av personuppgifter överträds samtidigt. Det kan t.ex. vara fråga om behandling som inte bara saknar rättslig grund utan som också strider mot andra bestämmel- ser om hur personuppgifter får behandlas. På motsvarande sätt kan en överträdelse, oavsett om den strider mot en eller flera bestäm- melser, upprepas genom personuppgiftsbehandlingar som är sam- mankopplade med varandra. Det kan få till följd att en felaktig be- handling följer med till nästa behandling. Var och en av dessa överträdelser kan, om den är tillräckligt allvarlig, leda till att sank- tionsavgift tas ut. Det är dock enligt utredningens mening inte rimligt att tillsynsmyndigheten i dessa fall lägger samman beloppen som fastställts för var och en av överträdelserna till en gemensam sanktionsavgift. Sanktionsavgiften måste framstå som en rimlig reaktion på samtliga överträdelser som är föremål för bedömning. Om den personuppgiftsansvarige eller personuppgiftsbiträdet gjort sig skyldig till flera överträdelser genom samma eller samman- kopplade personuppgiftsbehandlingar bör det totala beloppet för sanktionsavgiften i stället bestämmas efter de samlade överträdel- sernas allvar. Om det är fråga om felaktig behandling på samma sätt av många personers personuppgifter, t.ex. om ett otillåtet register omfattar många personer, får alltså en samlad bedömning göras och

516

SOU 2017:29

Sanktioner

en gemensam sanktionsavgift bestämmas med utgångspunkt i hur klandervärd den totala felbehandlingen är.

Sanktionsavgiften vid flera samtidiga överträdelser bör emeller- tid aldrig få överstiga maximibeloppet för den sanktionsavgiftsnivå som är aktuell. Det bör framgå av ramlagen. Det innebär att om någon av överträdelserna är av allvarligare slag får maximibeloppet för allvarligare överträdelser inte överskridas. Om ingen av överträ- delserna är av allvarligare slag ska maximibeloppet för mindre all- varliga överträdelser tillämpas.

13.6.2Hur avgiften ska bestämmas i det enskilda fallet

Utredningens förslag: Vid bedömningen av om sanktionsavgift ska tas ut och när storleken på avgiften ska bestämmas, ska sär- skild hänsyn tas till om överträdelsen varit uppsåtlig eller berott på oaktsamhet, den skada, fara eller kränkning som överträdel- sen inneburit, överträdelsens karaktär, svårhetsgrad och varak- tighet. Vad den personuppgiftsansvarige eller personuppgiftsbi- trädet gjort för att begränsa skadan ska också vägas in, liksom om den personuppgiftsansvarige eller personuppgiftsbiträdet tidigare ålagts sanktionsavgift.

Sanktionsavgiften får sättas ned helt eller delvis om överträ- delsen är ursäktlig eller om det annars med hänsyn till omstän- digheterna skulle vara oskäligt att ta ut avgift.

Skälen för utredningens förslag

Omständigheter som bör påverka sanktionsavgiften

För att komma fram till en lämpligt avvägd sanktionsavgift krävs det bedömningar i flera steg. Först bör det konstateras om det finns förutsättningar för att ta ut sanktionsavgift. Därefter bör det prövas om det finns skäl att avstå från att besluta om sanktions- avgift eller om sanktionsavgiftens storlek bör påverkas till följd av försvårande eller förmildrande omständigheter.

Det är som nyss nämnts inte obligatoriskt att ta ut sanktionsav- gift. Det bör därför regleras vilka omständigheter som kan göra att sanktionsavgift inte tas ut och vad som kan påverka avgiftens stor-

517

Sanktioner

SOU 2017:29

lek. Det sistnämnda är särskilt viktigt, eftersom sanktionsavgiftens storlek inte anges till ett fast belopp i lagen. En uppräkning av sådana omständigheter kan dock inte göras uttömmande utan bör ange de omständigheter som är särskilt viktiga. Bestämmelsen bör lämna utrymme för att också beakta andra förmildrande eller för- svårande omständigheter.

Uppräkningen i dataskyddsförordningen av vilka omständig- heter som bör beaktas kan tjäna som ledning för vad som är rele- vant. Utredningen anser att i princip samtliga omständigheter som räknas upp i artikel 83.2 i förordningen kan vara av större eller mindre betydelse för frågan om avgift ska tas ut och storleken på avgiften.

Både vid bedömningen av om avgift överhuvudtaget bör tas ut och vid bestämmandet av avgiftens storlek bör för det första sär- skild hänsyn tas till om överträdelsen varit avsiktlig. En avsiktlig överträdelse visar enligt utredningens mening tydligt på nonchalans mot regleringen och utrymmet att underlåta att ta ut avgift eller att bestämma avgiften till ett lågt belopp bör vara mycket litet. Tvärt- om talar avsiktliga överträdelser starkt för att sanktionsavgift ska tas ut och att den ska sättas högt. I många fall är dock överträdelser resultatet av mer eller mindre oaktsamma förfaranden, t.ex. miss- förstånd om hur regleringen ska tillämpas eller ursäktliga bedöm- ningsfel. Även graden av oaktsamhet bör därför vägas in.

För det andra bör beaktas vilken skada, fara eller kränkning som överträdelsen medfört. Ju större skadan, faran eller kränkningen är, desto mindre blir utrymmet att avstå från att ta ut avgift eller att bestämma avgiften till ett lågt belopp.

För det tredje bör överträdelsens karaktär, svårhetsgrad och var- aktighet beaktas. Här spelar det roll vilken typ av personuppgifter som har behandlats, hur många uppgifter som har behandlats, för vilka syften och hur länge uppgifterna har behandlats. Om känsliga personuppgifter eller andra särskilt integritetskänsliga uppgifter har behandlats felaktigt, bör utrymmet för att avstå från att ta ut sank- tionsavgift vara mindre och beloppet generellt sett sättas högre. Ju allvarligare överträdelsen är och ju längre den pågått, ju fler regi- strerade som berörs och ju större skada de registrerade drabbats av, desto starkare skäl talar både för att sanktionsavgift ska tas ut och för att beloppet ska sättas högt. Att en överträdelse vid en samlad

518

SOU 2017:29

Sanktioner

bedömning anses vara ringa talar för att någon sanktionsavgift inte bör tas ut eller att den i vart fall bör sättas lågt.

För det fjärde bör hänsyn tas till vad den personuppgiftsansva- rige eller personuppgiftsbiträdet gjort för att begränsa skadan. Om de har vidtagit kraftfulla åtgärder för att lindra skadan bör det en- ligt utredningens mening öka möjligheten att avstå från att ta ut sanktionsavgift eller i vart fall leda till att sanktionsavgiften blir lägre än den annars skulle ha blivit. Även tekniska och organisato- riska åtgärder som vidtagits i syfte att undvika överträdelser bör beaktas. Ju fler och effektivare åtgärder som vidtagits, desto mindre klandervärt framstår de ansvarigas agerande. Hur överträdelsen kom till tillsynsmyndighetens kännedom bör också kunna beaktas. Om den personuppgiftsansvarige eller personuppgiftsbiträdet själv anmält överträdelsen eller tvärtom försökt att dölja den, bör det kunna beaktas i mildrande respektive försvårande riktning.

En femte viktig faktor är om den personuppgiftsansvarige eller personuppgiftsbiträdet tidigare gjort sig skyldig till överträdelser. Enligt utredningens mening är det särskilt graverande om den per- sonuppgiftsansvarige eller personuppgiftsbiträdet trots påpekanden fortsatt att handla i strid med regleringen. Om den personuppgifts- ansvarige eller personuppgiftsbiträdet däremot samarbetat med tillsynsmyndigheten för att komma till rätta med överträdelser och minska negativa effekter av dem talar det i mildrande riktning.

Sanktionsavgiften bör kunna sättas ned helt eller delvis

Utredningen föreslår att den personuppgiftsansvarige och person- uppgiftsbiträden ska ha strikt ansvar för överträdelser (se av- snitt 13.5.3). Det är därför nödvändigt att ge utrymme för att jämka eller helt sätta ned sanktionsavgiften i fall där det inte fram- står som rimligt och proportionerligt att ta ut avgift.

Sanktionsavgiften bör kunna sättas ned helt eller delvis om exempelvis en personuppgiftsansvarig eller ett personuppgiftsbi- träde också blir skadeståndsskyldig. Den samlade reaktionen skulle, beroende på överträdelsen, totalt sett kunna bli alltför betungande. Det bör då vara möjligt att jämka beloppet för att undvika att den samlade reaktionen på överträdelsen blir oproportionerlig. Efter- som ansvaret för överträdelser är strikt, bör det också vara möjligt

519

Sanktioner

SOU 2017:29

att jämka sanktionsavgiften om det framkommer omständigheter som gör att överträdelsen är ursäktlig. Om regelverket överträtts på ett sådant sätt att det varit närmast omöjligt för den personupp- giftsansvarige att upptäcka överträdelsen, t.ex. om någon anställd i hemlighet manipulerat ett datasystem, skulle det t.ex. kunna finnas grund för jämkning.

Möjligheten att helt sätta ned avgiften bör tillämpas restriktivt och användas endast i undantagsfall. Det bör enbart aktualiseras om det skulle te sig oskäligt att ta ut sanktionsavgift.

13.7Beslut om sanktionsavgift

13.7.1Vem ska besluta om sanktionsavgift?

Utredningens förslag: Tillsynsmyndigheten ska besluta om sanktionsavgift.

Skälen för utredningens förslag: Beslut om sanktionsavgift fattas normalt av en tillsynsmyndighet eller en domstol. Generellt sett anses en tillsynsmyndighet lämpad att besluta om sanktionsavgift när reglerna är relativt enkla att tillämpa, beslutsfattandet är för- hållandevis schabloniserat och sanktionsbestämmelserna bygger på strikt ansvar. En domstol brukar anses mer lämpad att besluta om sanktionsavgift om det är aktuellt att pröva framför allt subjektiva rekvisit eller andra svårbedömda rekvisit.

Kraven på effektivitet och rättssäkerhet måste enligt utredning- ens uppfattning naturligtvis balanseras mot varandra vid utform- ningen av ett system med sanktionsavgifter. Det innebär inte med nödvändighet att beslut i fråga om sanktionsavgift måste fattas av domstol.

Enligt artikel 83.1 i dataskyddsförordningen ska tillsynsmyndig- heten besluta om sanktionsavgift. Av artikel 83.7 i förordningen framgår att medlemsstaterna får avgöra om och i vilken utsträck- ning sanktionsavgift ska kunna tas ut av offentliga myndigheter. I artikel 83.9 i förordningen anges att en medlemsstat får föreskriva att domstol i stället för en tillsynsmyndighet får besluta om sank- tionsavgift om ett nationellt sanktionsavgiftssystem saknas. Enligt skäl 151 verkar den artikeln ta sikte på två särskilt utpekade med-

520

SOU 2017:29

Sanktioner

lemsstater vilkas rättssystem inte tillåter den ordning förordningen föreskriver.

Utredningen utgår därför från att det kommer att bli tillsyns- myndigheten som beslutar om sanktionsavgifter på förordningens område. Som anges i avsnitt 13.3 har utredningen som utgångs- punkt att sanktionssystemen i ramlagen och förordningen så långt möjligt ska stämma överens. Mot den bakgrunden bör tillsyns- myndigheten besluta om sanktionsavgift även enligt ramlagen. Om någon annan lösning skulle väljas på förordningens område när det gäller sanktionsavgift mot myndigheter bör utredningens förslag anpassas till det.

En särskild fråga är vem hos tillsynsmyndigheten som bör pröva frågor om sanktionsavgift. Det finns enligt utredningens mening starka skäl – inte minst från rättssäkerhetssynpunkt – som talar mot att samma person som utrett en eventuell överträdelse får be- sluta om sanktionsavgift. Det är viktigt att verksamheten organi- seras så att förtroendet för tillsynsmyndigheten inte riskerar att rubbas. Med tanke på sanktionsbeslutens betydelse bör det enligt utredningens mening ställas höga krav på den som får besluta om sanktionsavgift. Det kan därför vara lämpligt att sådana beslut bara får fattas av ett fåtal personer.

Tillsynsmyndighetens beslut om sanktionsavgift bör få överkla- gas till allmän förvaltningsdomstol (se avsnitt 14.7.1). På så sätt tillgodoses rättssäkerhetsaspekterna för den som åläggs sanktions- avgift. På sikt kommer det att kunna bildas domstolspraxis till vägledning för tillsynsmyndighetens beslut.

13.7.2Förfarandet vid beslut om sanktionsavgift

Utredningens bedömning: Det behövs ingen särskild regel om att den som sanktionsavgift ska tas ut av ska få yttra sig innan tillsynsmyndigheten beslutar i fråga om sanktionsavgift.

Utredningens förslag: Sanktionsavgift får inte beslutas, om den som avgiften ska tas ut av inte har fått tillfälle att yttra sig inom fem år från den dag då överträdelsen ägde rum.

Att beslutet ska delges den som sanktionsavgiften ska tas ut av ska regleras i förordning.

521

Sanktioner

SOU 2017:29

Skälen för utredningens bedömning och förslag: Enligt artikel 57 ska medlemstaterna vidta de åtgärder som krävs för att säkerställa att de sanktioner som införs också genomförs. Det finns inga gene- rella förfaranderegler för handläggningen av ärenden om sanktions- avgift. Det krävs därför särskilda förfaranderegler i ramlagen.

Innan tillsynsmyndigheten beslutar om sanktionsavgift bör den som sanktionsavgiften ska tas ut av ges tillfälle att yttra sig. Det ger den personuppgiftsansvarige eller personuppgiftsbiträdet möjlighet att anföra omständigheter som kan påverka både frågan om sank- tionsavgift ska tas ut och frågan om sanktionsavgiftens storlek. Möjligheten att komma till tals innan beslut fattas är en förutsätt- ning för materiellt riktiga avgöranden och är en viktig rättssäker- hetsfråga. Utredningen föreslår i avsnitt 12.8.2 att tillsynsmyndig- heten ska vara skyldig att kommunicera underlaget inför beslut som riktar sig mot personuppgiftsansvariga och personuppgiftsbi- träden. Det gäller även beslut om sanktionsavgift. Någon särskild regel om kommunikation i ärenden om sanktionsavgift behövs därför inte.

Trots att beslut om sanktionsavgift sannolikt i huvudsak kom- mer att riktas mot myndigheter bör enligt utredningens mening besluten delges, eftersom utgångspunkten är att avgiften ska beta- las kort tid efter beslutet och rättssäkerhetsskäl talar för en sådan ordning. Det kan regleras i förordning.

Det bör finnas en bortre gräns för när en sanktionsavgift får be- slutas. En regel som anger när avgift senast får beslutas, som blir en form av preskriptionsregel, bör därför tas in i ramlagen. Förfaran- det är avsett att leda till snabbt beivrande av överträdelser, vilket talar för att tiden bör sättas kort. Samtidigt kan vissa överträdelser vara både svårupptäckta och ta tid att utreda. Möjligheten att be- sluta om sanktionsavgift får därför inte vara för begränsad om sys- temet ska bli effektivt och avskräckande. Med hänsyn till överträ- delsernas karaktär anser utredningen att en tid motsvarande den preskriptionstid som gäller för brott där det svåraste straffet är mer än ett års fängelse, men inte överstiger fängelse i två år, är rimlig. Preskriptionstiden skulle därmed bli fem år. Det motsvarar den preskriptionstid som i dag gäller för grova brott mot 49 § person- uppgiftslagen.

522

SOU 2017:29

Sanktioner

13.7.3Betalning och verkställighet

Utredningens förslag: Sanktionsavgiften ska tillfalla staten. I förordning ska det bl.a. regleras till vilken myndighet och när sanktionsavgiften ska betalas och vad som gäller vid indrivning.

Skälen för utredningens förslag: Tillsynsmyndighetens beslut om sanktionsavgift bör gälla som en dom och vara verkställbar. En sådan ordning är rimlig med tanke på att de personuppgiftsansva- riga i de flesta fall är myndigheter. Genom den lösningen blir också sanktionsavgiftssystemet effektivare.

Sanktionsavgiften bör som brukligt tillfalla staten, vilket bör framgå av ramlagen. Regeringen bör bestämma till vilken myndig- het betalningen ska göras.

Betalning bör normalt göras inom 30 dagar från det att beslutet fick laga kraft. Det bör dock finnas möjlighet för tillsynsmyndig- heten att i det enskilda fallet bestämma en längre betalningsfrist. Det kan t.ex. bli aktuellt vid mycket höga belopp. Om en indivi- duellt bestämd betalningsfrist inte kopplas till när beslutet får laga kraft kan betalningsskyldighet således inträda trots att beslutet har överklagats.

Ett beslut om sanktionsavgift bör få lämnas till indrivning efter sista betalningsdagen. Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m. Vid indriv- ning tillämpas utsökningsbalken. Om beslutet överklagas bör dom- stolen inhibera verkställighetsförfarandet till dess att den rättsliga prövningen har avslutats, om betalningsfristen inte har kopplats till att beslutet fått laga kraft.

Om betalningsansvaret upphävts genom beslut som fått laga kraft och betalning gjorts bör avgiften återbetalas. Det kan bli aktuellt om fristen för betalning inte kopplats till tidpunkten för laga kraft. Ränta på beloppet bör utges från den dag sanktionsav- giften betalades till och med den dag avgiften återbetalas.

Av samma skäl som det i lagen bör anges en tidpunkt för när sanktionsavgift inte längre får tas ut, bör det också finnas en bortre gräns för när ett beslut om sanktionsavgift får verkställas. När be- slutet om sanktionsavgift fått laga kraft bör beslutet verkställas inom tio år. Om så inte blir fallet bör betalningsansvaret för avgif- ten bortfalla till den del den inte har betalats.

523

Sanktioner

SOU 2017:29

Samtliga dessa frågor, utom när det gäller vem sanktionsavgiften ska tillfalla, kan regleras i förordning.

13.7.4Överklagande

Utredningens bedömning: Det behövs ingen särskild regel om överklagande av beslut om sanktionsavgift.

Skälen för utredningens bedömning: Ett beslut om att ta ut sanktionsavgift bör kunna prövas av domstol. Den som har ålagts sanktionsavgift bör ha rätt att överklaga beslutet. Eftersom det är fråga om ett förvaltningsbeslut bör beslutet överklagas till allmän förvaltningsdomstol.

Någon särskild överklaganderegel behövs inte, eftersom till- synsmyndighetens beslut får överklagas enligt den regel om över- klagande som utredningen föreslår i avsnitt 14.7.1.

13.8Sanktionsavgift och Europakonventionen

13.8.1Konventionens krav på rättssäkerhetsgarantier

Utredningens bedömning: Systemet med sanktionsavgift upp- fyller Europakonventionens krav på rättssäkerhetsgarantier.

Skälen för utredningens bedömning: Sanktionsavgift är en straff- liknande ekonomisk sanktion med ett avskräckande och bestraf- fande syfte. Det har därför i doktrinen framförts åsikter om att sanktionsavgifter normalt ska presumeras utgöra brottsanklagelser i Europakonventionens mening. Om den föreslagna sanktionsav- giften skulle anses ha den karaktären medför det att de rättssäker- hetsgarantier som ställs upp i artikel 6 i konventionen måste vara uppfyllda (se Warling-Nerep s. 153 f. och SOU 2013:38 s. 455). Utredningen behöver därför ta ställning till om förslagen lever upp till dessa garantier.

Den som avgiften ska tas ut av ska underrättas om överträdelsen och ges rätt att yttra sig innan beslut om sanktionsavgift fattas. Beslutsmyndigheten har bevisbördan för att det är fråga om en

524

SOU 2017:29

Sanktioner

överträdelse och att den bör föranleda sanktionsavgift. Ansvaret är visserligen strikt, men det finns möjlighet att avstå från att ta ut sanktionsavgift eller att jämka den. Den som åläggs sanktionsavgift har rätt till domstolsprövning och rätt att överklaga domstolens beslut. Den föreslagna regleringen uppfyller enligt utredningens mening därför väl konventionens krav på rättssäkerhetsgarantier.

13.8.2Konventionens förbud mot dubbelprövning

Utredningens bedömning: Det behövs ingen bestämmelse i ramlagen om förbud mot dubbelprövning.

Skälen för utredningens bedömning: Bestämmelser om att ingen ska kunna lagföras eller straffas två gånger för samma brott finns dels i sjunde tilläggsprotokollet till Europakonventionen, dels i rättighetsstadgan.

Enligt artikel 4.1 i sjunde tilläggsprotokollet får ingen lagföras eller straffas på nytt i en brottmålsrättegång i samma stat för ett brott för vilket han redan blivit slutligt frikänd eller dömd (förbud mot dubbelprövning). Dubbelprövningsförbudet är begränsat till samma rättssubjekt. Huvudsyftet med artikeln är att förhindra en upprepning av en brottmålsrättegång som avslutats med ett slutligt avgörande och att förhindra att samma rättssubjekt prövas för samma brott två gånger. Det är följaktligen inte förbjudet att döma ut flera straff för samma brott, utan endast att pröva samma brott på nytt, dvs. vid två olika tillfällen. Konventionen gäller som lag i Sverige och enligt 2 kap. 19 § regeringsformen får lag eller annan föreskrift inte meddelas i strid med Sveriges åtaganden enligt konventionen.

I artikel 50 i rättighetsstadgan föreskrivs att ingen får lagföras eller straffas på nytt för en lagöverträdelse för vilken han eller hon redan har blivit frikänd eller dömd i unionen genom en lagakraft- vunnen brottmålsdom. Enligt artikel 52.3 har artikel 50 samma innebörd som sin motsvarighet i Europakonventionen.

Sanktionsavgift får enbart tas ut av personuppgiftsansvariga och personuppgiftsbiträden, som i princip alltid är juridiska personer. Ställföreträdare och faktiska företrädare för de juridiska personerna

525

Sanktioner

SOU 2017:29

eller deras anställda kan däremot aldrig bli föremål för sanktionsav- gift enligt lagen.

Rekvisiten för de överträdelser av bestämmelser som kan föran- leda sanktionsavgift i ramlagen och rekvisiten för straffansvar enligt brottsbalken är olika och bestämmelserna kommer därmed i prak- tiken mycket sällan att kunna träffa samma handlande. Vidare krävs att den som avgiften ska tas ut av också är den som är straffrättsligt ansvarig (se avsnitt 13.2.1). Eftersom juridiska personer inte kan straffas enligt svensk rätt är det enbart när en fysisk person är be- hörig myndighet enligt ramlagen eller personuppgiftsbiträde som förbudet mot dubbelprövning kan aktualiseras. Enda gången som det skulle kunna komma i fråga att ta ut sanktionsavgift av en fysisk person är om han eller hon är enskild näringsidkare. Enligt utredningens bedömning rör det sig förmodligen om enstaka fall. Därmed kommer förbudet mycket sällan, om ens någonsin, att behöva tillämpas. Om det mot förmodan skulle bli fallet gäller Europakonventionen som svensk lag. Det innebär att en domstol alltid måste ta hänsyn till förbudet. Mot den bakgrunden anser utredningen att det inte behövs någon bestämmelse om förbud mot dubbelprövning i ramlagen.

526

14 Rättsmedel och skadestånd

14.1Krav på effektiva rättsmedel vid felaktig personuppgiftsbehandling

Direktivet innehåller flera artiklar om rättsmedel, där den gemen- samma nämnaren är att rättsmedlen ska vara effektiva. Den som på rimliga grunder påstår sig ha blivit utsatt för en kränkning av sina rättigheter ska ha möjlighet att få sitt påstående prövat och kunna få rättelse eller gottgörelse för konstaterade kränkningar. Rätts- medlet ska också vara effektivt i den meningen att det ska medge en tillfredsställande prövning. Det måste även vara praktiskt möj- ligt för berörda personer att utnyttja rättsmedlen. Även om ett visst rättsmedel sett för sig inte uppfyller kraven för att vara effek- tivt kan flera rättsmedel tillsammans göra det (Hans Danelius, Mänskliga rättigheter i europeisk praxis, 5 uppl. 2015, s. 539).

Enligt artikel 54 ska en registrerad ha rätt till ett effektivt rätts- medel, om han eller hon anser att hans eller hennes rättigheter har kränkts genom att personuppgifter har behandlats på ett sätt som inte är förenligt med de bestämmelser som genomför direktivet. Var och en som lidit skada till följd av behandling av personupp- gifter i strid med bestämmelserna ska enligt artikel 56 kunna få ersättning. En registrerad som anser att behandlingen av hans eller hennes personuppgifter står i strid med de bestämmelser som genomför direktivet ska enligt artikel 52.1 också ha rätt att lämna in klagomål till en tillsynsmyndighet. Om tillsynsmyndigheten inte handlägger klagomålet inom viss tid har den registrerade enligt artikel 53.2 rätt till prövning i domstol av om myndigheten onödigt dragit ut på handläggningen av ärendet (dröjsmålstalan). Den som berörs av ett rättsligt beslut, meddelat av tillsynsmyndigheten, ska enligt artikel 53.1 kunna överklaga det till domstol.

527

Rättsmedel och skadestånd

SOU 2017:29

Flertalet av rättsmedlen i direktivet gäller i förhållande till per- sonuppgiftsansvariga och i vissa fall personuppgiftsbiträden. Så är fallet med bestämmelserna om rättsmedel i artikel 52.1 (rätten att ge in klagomål till tillsynsmyndigheten), artikel 54 (rätten att föra talan) och artikel 56 (rätten till skadestånd). Artiklarna 53.1 och 53.2 (rätten att överklaga tillsynsmyndighetens beslut och att be- gära prövning av om myndigheten onödigt dragit ut på handlägg- ningen av ett klagomål) gäller däremot i förhållande till tillsyns- myndigheten.

De flesta av rättsmedlen är främst eller uteslutande tänkta att användas av registrerade. Det gäller framför allt de rättsmedel som riktar sig mot personuppgiftsansvariga och personuppgiftsbiträden. Rätten till skadestånd gäller dock för var och en som lidit skada till följd av en olaglig behandling av personuppgifter eller någon annan åtgärd som står i strid med de bestämmelser som genomför direk- tivet även om det främst är registrerade som kan drabbas av sådan skada.

Talan mot tillsynsmyndighetens beslut är i första hand tänkt att kunna användas av personuppgiftsansvariga och personuppgifts- biträden, eftersom det i huvudsak är de som träffas av bindande beslut. Även andra, exempelvis registrerade, ska dock kunna ut- nyttja rättsmedlet om besluten avser dem, eftersom ett rättsmedel ska vara tillgängligt för varje fysisk och juridisk person som ett rättsligt bindande beslut av tillsynsmyndigheten avser. Registrerade ska också ges rätt att begära domstolsprövning av om tillsynsmyn- digheten inte handlagt ett klagomål i tid.

Rätten att använda ett rättsmedel får enligt direktivet inte på- verka rätten att använda ett annat av rättsmedlen. Det innebär att en registrerad t.ex. kan välja att både ge in ett klagomål till till- synsmyndigheten och begära skadestånd av den personuppgiftsan- svarige avseende samma personuppgiftsbehandling.

Förutom de rättsmedel som anges i direktivet finns i svensk rätt dessutom möjlighet att enligt 52 § personuppgiftslagen överklaga vissa beslut som en myndighet fattat i egenskap av personuppgifts- ansvarig.

528

SOU 2017:29

Rättsmedel och skadestånd

14.2Talerätt för registrerade

Utredningens bedömning: Rätten att vid allmän domstol föra talan mot en personuppgiftsansvarig eller ett personuppgiftsbi- träde om den registrerades rättigheter har kränkts genom per- sonuppgiftsbehandling kräver inga lagstiftningsåtgärder.

Skälen för utredningens bedömning: Enligt artikel 54 ska en regi- strerad ha rätt till ett effektivt rättsmedel, om han eller hon anser att hans eller hennes rättigheter har kränkts genom att personupp- gifter har behandlats på ett sätt som inte är förenligt med de be- stämmelser som genomför direktivet. Av rubriken till artikeln – rätt till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträde – framgår att det är mot deras agerande som det ska finnas ett rättsmedel. Av skäl 85 framgår att det är ett rättsmedel enligt artikel 47 i rättighetsstadgan som avses. Det inne- bär att den registrerade ska ha rätt att föra talan vid domstol.

Enligt artikel 22 i det nu gällande direktivet har var och en rätt att föra talan inför domstol vid kränkningar till följd av behandling av personuppgifter. I skäl 55 förtydligas att det som avses är en möjlighet till rättslig prövning när en personuppgiftsansvarig inte respekterar en registrerads rättigheter. Artikel 22 ledde inte till någon lagstiftning när personuppgiftslagen infördes. Frågan be- handlas inte heller i förarbetena, förutom i relation till 28 § person- uppgiftslagen, som reglerar rätten för en registrerad att begära att en personuppgift rättas. Av förarbetena framgår att om oenighet uppstår mellan den personuppgiftsansvarige och den registrerade om huruvida korrigering ska göras, kan den registrerade vända sig till tillsynsmyndigheten. Regeringen påminner också om möjlig- heten för den registrerade att själv väcka talan vid allmän domstol (prop. 1997/98:44 s. 132 f.). Det får således, som Informationshan- teringsutredningen konstaterar, antas att regeringen ansåg att var och ens rätt att väcka talan vid allmän domstol i den ordning som gäller för tvistemål var tillräcklig för att uppfylla direktivets krav i denna del (SOU 2015:39 s. 656).

Artikel 54 i det nya direktivet har enligt utredningens bedöm- ning i sak samma innebörd. Artikeln innebär en rätt att föra talan vid domstol för den som anser att hans eller hennes rättigheter har kränkts vid behandlingen av personuppgifter.

529

Rättsmedel och skadestånd

SOU 2017:29

Utredningen gör samma bedömning som regeringen gjorde be- träffande artikel 22 i det nu gällande dataskyddsdirektivet. Det krävs därmed inte någon lagstiftningsåtgärd för att genomföra arti- kel 54. Den möjlighet enskilda har att väcka talan vid allmän dom- stol i den ordning som gäller för tvistemål får anses vara tillräcklig.

Förutom att föra talan om skadestånd (rätten till skadestånd regleras särskilt i artikel 56), torde den registrerade också kunna föra en fullgörelse- eller fastställelsetalan (se SOU 2004:6 s. 208).

Talan kan föras mot en personuppgiftsansvarig. Det finns skäl att i detta sammanhang påpeka att ett personuppgiftsbiträde som i strid med den personuppgiftsansvariges instruktioner själv fastställt ändamålen med eller medlen för behandling ska betraktas som per- sonuppgiftsansvarig för den behandlingen (se avsnitt 10.6.3).

Direktivet förutsätter att talan även ska kunna föras mot per- sonuppgiftsbiträden. Eftersom personuppgiftsbiträden inte, utom i det fall som nyss nämnts, självständigt behandlar personuppgifter kommer troligen talan mycket sällan att väckas mot personupp- giftsbiträden.

14.3Skadestånd

14.3.1Det allmännas skadeståndsansvar

Enligt 3 kap. 2 § skadeståndslagen (1972:207) ska staten eller en kommun ersätta personskada, sakskada eller ren förmögenhets- skada som vållas genom fel eller försummelse vid myndighetsutöv- ning i verksamhet för vars fullgörande staten eller kommunen sva- rar. Ersättningsskyldigheten omfattar även ideell skada på grund av att någon genom fel eller försummelse vid myndighetsutövning kränkts på det sätt som anges i 2 kap. 3 § samma lag.

I 2 kap. 3 § skadeståndslagen föreskrivs att den som allvarligt kränker någon annan genom brott som innefattar ett angrepp mot dennes person, frihet, frid eller ära ska ersätta den skada som kränkningen innebär. Ideellt skadestånd för att den personliga in- tegriteten har kränkts, dvs. ersättning för en skada som varken är personskada eller ekonomisk skada, förutsätter alltså att kränk- ningen har orsakats genom brott. Det krävs också att kränkningen är allvarlig.

530

SOU 2017:29 Rättsmedel och skadestånd

Ersättning för kränkning med stöd av 3 kap. 2 § jämförd med 2 kap. 3 § skadeståndslagen förutsätter att kränkningen har orsa- kats vid myndighetsutövning. Om det inte är fråga om myndig- hetsutövning kan skadestånd ändå utgå enligt 3 kap. 1 § skade- ståndslagen för skada som vållats av arbetstagare. Det förutsätter att kränkningen har orsakats av att den anställde har begått brott i tjänsteutövningen.

Genom Högsta domstolens praxis har det lagts fast en rätt till ideellt skadestånd vid kränkningar av Europakonventionen även i andra fall än de som regleras i skadeståndslagen. Det har bl.a. varit fråga om kränkningar av rätten till privat- och familjeliv enligt arti- kel 8 i konventionen. Utredningen om det allmännas ansvar enligt Europakonventionen föreslog en ny regel i skadeståndslagen som skulle ge fysiska och juridiska personer rätt till skadestånd av staten eller en kommun vid överträdelser av konventionen (Skadestånd och Europakonventionen, SOU 2010:87). Förslaget har inte lett till lagstiftning.

Den som anser att han eller hon har orsakats skada av det all- männa kan väcka talan mot staten eller en kommun vid allmän domstol. Saken prövas då som tvistemål.

Om en skada orsakats av staten kan JK besluta om skadestånd till enskilda inom ramen för statens frivilliga skadereglering. Sådana anspråk från enskilda handläggs enligt förordningen (1995:1301) om handläggning av skadeståndsanspråk mot staten. Det kan vara anspråk som grundas på 3 kap. 1 eller 2 § skadeståndslagen eller skadeståndsregler i andra författningar, t.ex. 48 § personuppgifts- lagen (se avsnitt 14.3.2). Möjligheten till frivillig skadereglering syftar till att avlasta domstolarna. Regleringen är främst avsedd för fall där det egentligen inte finns någon tvist, utan det står klart att ett skadeståndsgrundande fel har begåtts och att den enskilde har rätt till viss ersättning. JK:s skadereglering är kostnadsfri för en- skilda. Ombudskostnader kan i viss utsträckning ersättas. Den som inte är nöjd med JK:s beslut kan väcka talan på vanligt sätt vid allmän domstol.

På det kommunala området finns det ingen motsvarande frivillig skadereglering. En kommun är emellertid oförhindrad att frivilligt reglera en skada som någon orsakats i kommunens verksamhet, exempelvis i samband med otillåten behandling av personuppgifter. Om ett landsting eller en kommun inte själv vill reglera en påstådd

531

Rättsmedel och skadestånd

SOU 2017:29

skada, får den enskilde vända sig till allmän domstol. Som tidigare nämnts kan socialnämnder och landsting ha uppgifter som omfat- tas av ramlagens tillämpningsområde (se avsnitt 8.4.5).

14.3.2Skadeståndsskyldighet för personuppgiftsansvariga

Utredningens förslag: Den personuppgiftsansvarige ska ersätta den registrerade för den skada och kränkning av den personliga integriteten som behandling av personuppgifter i strid med ram- lagen eller föreskrifter som meddelats i anslutning till den har orsakat.

Utredningens bedömning: Jämkning av skadeståndsskyldig- heten bör inte vara möjlig.

Skälen för utredningens förslag och bedömning

Innehållet i direktivet och nuvarande reglering

Enligt artikel 56 ska var och en som lidit materiell eller immateriell skada till följd av olaglig behandling av personuppgifter eller av någon annan åtgärd som står i strid med de bestämmelser som genomför direktivet ha rätt till ersättning från den personuppgifts- ansvarige eller varje annan myndighet som är behörig enligt med- lemsstaternas nationella rätt.

Enligt 48 § första stycket personuppgiftslagen ska den person- uppgiftsansvarige ersätta den registrerade för skada och kränkning av den personliga integriteten som behandling av personuppgifter i strid med lagen har orsakat. Alla åtgärder som är oförenliga med personuppgiftslagen kan leda till skadeståndsskyldighet. Ersätt- ningsskyldighet inträder så snart en bestämmelse överträtts, vilket gör att skadeståndsansvaret är strikt.

I registerförfattningarna för myndigheterna i rättskedjan hänvi- sas till 48 § personuppgiftslagen. Myndigheternas skadeståndsan- svar omfattar därmed både överträdelser som begås mot reglerna i registerförfattningen och mot de regler i personuppgiftslagen som gäller för myndigheten.

532

SOU 2017:29

Rättsmedel och skadestånd

Regleringen i det nya direktivet motsvarar artikel 19 i data- skyddsrambeslutet. Varken i artikel 56 i direktivet eller i artikel 19 i dataskyddsrambeslutet finns det någon exculperingsregel. Med det avses en bestämmelse som gör att den personuppgiftsansvarige under vissa förhållanden kan undgå skadeståndsansvar trots att be- handlingen av personuppgifter varit felaktig. En sådan regel finns däremot i 48 § andra stycket personuppgiftslagen.

JK:s skadereglering i personuppgiftsärenden

JK handlägger inom ramen för statens frivilliga skadereglering ska- deståndsanspråk enligt 48 § personuppgiftslagen. Under åren 2011– 2013 kom det in 196 sådana ärenden. Under samma period avgjorde JK 225 ärenden varav ersättning utgick i 131 fall, dvs. i ca 60 pro- cent av ärendena. Det kan jämföras med att det i ärenden om ska- deståndsanspråk mot staten som grundas på skadeståndslagen nor- malt utgår ersättning i 12–13 procent av fallen. Exempel på skador på grund av överträdelse av personuppgiftslagen som enligt JK:s beslut medfört ersättningsskyldighet är bristande gallringsrutiner, felaktiga personuppgifter i olika register och felaktiga uppgifter på domstolars uppropslistor. I betänkandet Myndighetsdatalag redo- visas en genomgång av JK:s praxis (SOU 2015:39 s. 643 f.).

Vem ska vara skadeståndsskyldig?

Direktivet förutsätter att enskilda ska kunna begära skadestånd vid behandling av personuppgifter i strid med de bestämmelser som genomför direktivet. Det behövs därför en bestämmelse i ramlagen om skadeståndsansvar.

Enligt 48 § personuppgiftslagen är det enbart den personupp- giftsansvarige som är skadeståndsskyldig. Gentemot den registre- rade är den personuppgiftsansvarige ansvarig för all behandling, dvs. även när ett personuppgiftsbiträde eller annan hjälp anlitas. Om fel har begåtts av t.ex. ett personuppgiftsbiträde anses det allt- så bero på den personuppgiftsansvarige.

Enligt dataskyddsförordningen ska det även finnas möjlighet att rikta skadeståndstalan mot personuppgiftsbiträden (artikel 82.1), men i direktivet finns ingen motsvarande bestämmelse. Däremot

533

Rättsmedel och skadestånd

SOU 2017:29

framgår det av rubriken till artikel 54 att den registrerade ska ha rätt till ett effektivt rättsmedel inte bara mot den personuppgifts- ansvarige utan även mot personuppgiftsbiträden, dvs. kunna väcka talan vid allmän domstol mot dessa för att få en domstolsprövning till stånd.

Utredningen anser att det skulle föra för långt att enbart av rub- riken till artikel 54 dra slutsatsen att det måste finnas möjlighet för enskilda att föra skadeståndstalan även mot personuppgiftsbiträ- den. Det finns inte heller något annat som talar för att ålägga per- sonuppgiftsbiträden skadeståndsansvar. Bara den personuppgifts- ansvarige bör således vara skadeståndsansvarig enligt ramlagen. För den registrerade tillgodoses rätten till ersättning för skada som ett personuppgiftsbiträde har orsakat genom att den personuppgifts- ansvarige är ansvarig även för biträdets handlande.

Det finns dock skäl att erinra om att ett personuppgiftsbiträde ibland är att anse som personuppgiftsansvarig för viss behandling och då givetvis kan bli skadeståndsskyldig i den egenskapen. Enligt artikel 22.5 gäller det om biträdet själv fastställt ändamålen och medlen för behandlingen (se avsnitt 10.6.3).

Utredningen återkommer i slutbetänkandet till frågan om och i så fall i vilken utsträckning skadeståndsskyldighet enligt register- författningarna behöver regleras särskilt.

Vad avses med varje annan myndighet?

Enligt artikel 56 ska den som har lidit materiell eller immateriell skada ha rätt till ersättning för skadan från den personuppgifts- ansvarige eller från varje annan myndighet som är behörig enligt medlemsstaternas nationella rätt. I skäl 88 förklaras att den som lidit skada bör få ersättning av den personuppgiftsansvarige eller någon annan myndighet som är behörig enligt nationell rätt.

Frågan är vad som avses med varje annan myndighet. Formu- leringen skulle enligt utredningens uppfattning kunna tolkas på tre olika sätt. För det första kan den tolkas som att inte bara den per- sonuppgiftsansvarige kan bli skadeståndsskyldig, utan även någon annan behörig myndighet som bidragit till den felaktiga person- uppgiftsbehandlingen. För det andra kan formuleringen avse att det i nationell rätt kan vara en annan myndighet än den personupp-

534

SOU 2017:29

Rättsmedel och skadestånd

giftsansvarige som är skadeståndsansvarig. För det tredje skulle formuleringen kunna syfta på att den enskilde kan vända sig till en särskild myndighet, som hanterar frågor om det allmännas skade- ståndsansvar.

Att andra myndigheter vid sidan av den personuppgiftsansvariga myndigheten skulle kunna bli skadeståndsskyldiga anser utred- ningen inte vara en rimlig tolkning, eftersom det skulle urholka den ansvarsfördelning som direktivet bygger på. Att det däremot i vissa av medlemsstaterna kan finnas regler som gör att särskilt utpekade myndigheter i stället kan vara skadeståndsskyldiga kan inte uteslu- tas. Någon sådan ordning finns inte i svensk rätt. Om bestämmel- sen ska tolkas på det tredje sättet finns det redan en sådan myndig- het som kan avses, nämligen JK, som har det mandat som krävs.

Utredningen anser att båda de senare tolkningarna är möjliga. Direktivet förutsätter inte att det införs en ordning där en särskild myndighet är skadeståndsansvarig. Det finns inte heller skäl att ändra den ordning som gäller. Den innebär att den personuppgifts- ansvarige bär ansvaret för behandlingen och kan bli skadestånds- skyldig, men att JK samtidigt företräder staten när det gäller skade- ståndsfrågor i statlig verksamhet. Någon lagstiftningsåtgärd behövs därmed inte för att genomföra artikel 56 i denna del.

Skadeståndets omfattning

Enligt artikel 56 ska både materiell och immateriell skada till följd av olaglig behandling av personuppgifter eller av någon annan åt- gärd som står i strid med regelverket ersättas. Begreppet skada bör enligt skäl 88 tolkas brett baserat på EU-domstolens rättspraxis och på ett sätt som fullt ut återspeglar direktivets mål. Skade- ståndsansvaret är enligt direktivet strikt och förutsätter att en regi- strerad ersätts för all den skada han eller hon lidit till följd av be- handling i strid med regelverket. Det finns således ingen möjlighet att ha regler som innebär att viss personuppgiftsbehandling inte ska medföra skadeståndsansvar.

Rätten till personlig integritet är en immateriell rättighet. Den personuppgiftsansvarige är därför ersättningsskyldig inte bara för ekonomisk skada utan även för ideell skada. Den enskilde har alltså, förutom rätt till ersättning för personskada, sakskada och ren för-

535

Rättsmedel och skadestånd

SOU 2017:29

mögenhetsskada, rätt till ekonomisk kompensation för kränk- ningen. Det är bara skada eller kränkning som behandlingen har fört med sig som ska ersättas. Orsakssambandet ska vara adekvat.

Den nuvarande skadeståndsregeln i personuppgiftslagen möter både kravet på att all skada ska ersättas och att det ska finnas ade- kvat kausalitet. Bestämmelsen i ramlagen kan därför utformas med den som mönster. Som tidigare nämnts finns det ingen exculpe- ringsregel i artikel 56. En personuppgiftsansvarig kan alltså inte undgå ansvar genom att t.ex. göra gällande att uppgifterna var fel- aktiga redan när de mottogs. Eftersom direktivet inte innehåller någon regel som motsvarar 48 § andra stycket personuppgiftslagen är det emellertid enligt utredningens mening inte möjligt att ha någon sådan jämkningsregel i ramlagen.

Hur ska ersättningen för kränkning beräknas?

Liksom i dag bör ersättningen för kränkning uppskattas efter skä- lighet, mot bakgrund av samtliga omständigheter. Det som kan ha betydelse är bl.a. att personuppgifter spridits eller att det funnits risk för otillbörlig spridning av integritetskänsliga eller felaktiga personuppgifter. En annan omständighet kan vara att den registre- rade drabbats av beslut eller andra åtgärder som fått eller kunnat få negativa konsekvenser för honom eller henne. Om den registrerade själv har lämnat oriktig eller ofullständig information till den per- sonuppgiftsansvarige, kan den personuppgiftsansvariges behandling av personuppgifterna inte anses innebära en sådan kränkning av den personliga integriteten som bör föranleda ersättning.

Förhållandet till skadeståndslagen

Ramlagens bestämmelse kommer i likhet med 48 § personuppgifts- lagen att vara en sådan specialbestämmelse om skadestånd som enligt 1 kap. 1 § skadeståndslagen tar över de allmänna reglerna i den lagen. Om en ersättningsfråga inte regleras i ramlagen – t.ex. hur ersättningen för en personskada eller sakskada ska beräknas (5 kap. skadeståndslagen) eller hur ansvaret ska fördelas när flera är skadeståndsskyldiga (6 kap. 4 § skadeståndslagen) – tillämpas de allmänna reglerna i skadeståndslagen.

536

SOU 2017:29

Rättsmedel och skadestånd

14.4Överklagande av en myndighets beslut i egenskap av personuppgiftsansvarig

Utredningens förslag: Om den personuppgiftsansvarige är en myndighet ska beslut angående rättelse, komplettering, radering eller begränsning av behandlingen, som meddelats på begäran av den registrerade, kunna överklagas till allmän förvaltningsdom- stol. Detsamma gäller beslut att inte lämna information på be- gäran av en registrerad, att ta ut avgift för att lämna sådan infor- mation eller att inte medge omprövning av ett automatiserat beslut. Vid överklagande till kammarrätten ska krävas pröv- ningstillstånd.

Sådana beslut som meddelas av regeringen, Högsta domsto- len, Högsta förvaltningsdomstolen eller riksdagens ombudsmän ska inte kunna överklagas.

Några andra beslut än de som uttryckligen anges i ramlagen ska inte få överklagas.

Skälen för utredningens förslag

Innehållet i direktivet och nuvarande reglering

Enligt direktivet krävs endast att tillsynsmyndighetens beslut ska kunna överklagas (se avsnitt 14.7.1). I övrigt ställs inga krav på att beslut ska kunna överklagas. Inte heller det nu gällande direktivet ställer några sådana krav.

Enligt 52 § första stycket personuppgiftslagen får dock även vissa beslut som fattas av en personuppgiftsansvarig, som är en myndighet, överklagas till allmän förvaltningsdomstol. Det gäller emellertid bara vissa i paragrafen uppräknade beslut, nämligen be- slut om information enligt 26 §, om rättelse och underrättelse till tredje man enligt 28 §, om information enligt 29 § andra stycket och om upplysningar enligt 42 §. Överklaganderätten gäller inte beslut av riksdagen, regeringen eller riksdagens ombudsmän.

Skälet till att bestämmelsen infördes var troligtvis att beslut som en myndighet fattar i egenskap av personuppgiftsansvarig ses som ett utflöde av myndighetsutövning och inte som ett ställningsta- gande av myndigheten i ett civilrättsligt förhållande. En enskild ska

537

Rättsmedel och skadestånd

SOU 2017:29

därför inte behöva väcka talan vid allmän domstol i den ordning som gäller för tvistemål, utan i stället kunna överklaga besluten till allmän förvaltningsdomstol. De beslut som får överklagas har be- dömts vara sådana beslut som får återverkningar för enskilda (jfr SOU 2015:39 s. 663).

Även i de behöriga myndigheternas registerförfattningar finns det bestämmelser om överklagande av sådana beslut, men det varie- rar hur överklagandebestämmelserna är utformade. I t.ex. 2 kap. 2 § första stycket 13 polisdatalagen (2010:361), 2 kap. 2 § första stycket 13 åklagardatalagen (2015:433) och 2 kap. 2 § första stycket 13 kustbevakningsdatalagen (2012:145) hänvisas till 52 § första stycket personuppgiftslagen. Domstolsdatalagen (2015:728) har däremot egna överklagandebestämmelser som i sak i allt väsentligt motsvarar 52 § första stycket personuppgiftslagen, men har anpas- sats till följd av instansordningen (20–22 §§). I lagen (2001:617) om behandling av personuppgifter inom kriminalvården finns det också särskilda överklagandebestämmelser (12–16 §§).

Behovet av en överklagandebestämmelse i ramlagen

Det är naturligt att se en myndighets beslut i egenskap av person- uppgiftsansvarig, exempelvis i fråga om en personuppgift ska rättas eller inte, som ett utflöde av dess myndighetsutövning. I allmänhet har myndigheten behandlat personuppgifterna i syfte att fullgöra myndighetsuppgifter. Personuppgifterna har också normalt be- handlats med stöd av olika författningsbestämmelser, oberoende av den registrerades samtycke. Utredningen anser därför att ramlagen bör innehålla en bestämmelse som motsvarar 52 § personuppgifts- lagen, även om direktivet inte ställer krav på att andra beslut än till- synsmyndighetens ska kunna överklagas.

Utredningen kommer att behandla frågan om det behövs sär- skilda överklagandebestämmelser i registerförfattningarna i slutbe- tänkandet.

538

SOU 2017:29

Rättsmedel och skadestånd

Vilka beslut ska kunna överklagas?

När det gäller enskildas rätt att överklaga myndighetsbeslut, bör enligt utredningens uppfattning samma utgångspunkt gälla som i fråga om rätten att överklaga beslut enligt personuppgiftslagen. Överklaganderätten bör alltså enbart ta sikte på sådana beslut av myndigheten som den fattat i egenskap av personuppgiftsansvarig och som direkt berör den enskilde och som gått honom eller henne emot. Sådana beslut bör på samma sätt som andra förvaltningsbe- slut kunna överklagas till allmän förvaltningsdomstol.

Utredningen har med den utgångspunkten övervägt vilka beslut som bör vara överklagbara. Beslut som fattas på begäran av en regi- strerad om att personuppgifter ska rättas, kompletteras eller rade- ras eller att behandlingen av personuppgifter ska begränsas bör kunna överklagas. Det bör gälla oavsett om myndigheten avslår be- gäran eller vidtar en annan åtgärd än den som begärts. Har myn- digheten helt eller delvis underlåtit att lämna information som den enskilde har begärt, bör beslutet kunna överklagas. Även beslut att ta ut avgift för information eller att vägra omprövning av ett auto- matiserat beslut bör kunna överklagas.

Enbart vissa beslut som en myndighet i egenskap av personupp- giftsansvarig fattar bör alltså få överklagas. Det bör framgå direkt av ramlagen vilka beslut det är. Uppräkningen motsvarar i allt väsentligt de beslut som i dag får överklagas enligt 52 § personupp- giftslagen.

Överklagandena bör, på samma sätt som i dag, prövas av allmän förvaltningsdomstol. Det finns inte skäl att beskära instansord- ningen så att förvaltningsrättens avgörande inte får överklagas. Vid överklagande till kammarrätten bör det dock, på samma sätt som i dag, krävas att domstolen beviljar prövningstillstånd för att kla- ganden ska få sitt överklagande prövat i sak.

Vad bör inte få överklagas?

Alla beslut som en myndighet fattar i egenskap av personuppgifts- ansvarig bör dock inte få överklagas. En myndighets beslut att be- tala ut skadestånd för att personuppgifter behandlats i strid med ramlagen eller att avslå en framställning om det bör enligt utred- ningens mening inte få överklagas. Den enskilde har i sådana fall

539

Rättsmedel och skadestånd

SOU 2017:29

alltid möjlighet att väcka talan om saken vid allmän domstol. Admi- nistrativa beslut av en personuppgiftsansvarig myndighet, t.ex. i fråga om tillgången till personuppgifter, berör inte den enskilde på ett sådant sätt att de bör få överklagas. Det bör av ramlagen framgå att andra beslut än de som räknas upp inte får överklagas.

Rätten att överklaga bör inte heller gälla beslut av myndigheter vilkas beslut normalt inte får överklagas. En uttrycklig bestäm- melse om det bör tas in i ramlagen. Det gäller för beslut av rege- ringen (jfr regleringen av utlämnande av allmänna handlingar i 6 kap. 7 § offentlighets- och sekretesslagen). För utlämnande av all- männa handlingar gäller samma ordning för JO som för riksdagen och regeringen (se 4 § andra stycket lagen [1989:186] om överkla- gande av administrativa beslut av Riksdagsförvaltningen och riks- dagens myndigheter). Beslut som fattas av Riksdagens ombudsmän i egenskap av personuppgiftsansvarig myndighet därför inte kunna överklagas.

Högsta domstolens och Högsta förvaltningsdomstolens beslut får inte överklagas (jfr 11 kap. 1 § regeringsformen, 3 kap. 1 § rätte- gångsbalken och 1 § lagen [1971:289] om allmänna förvaltnings- domstolar). Därför bör inte heller deras beslut enligt ramlagen få överklagas (jfr prop. 2014/15:148 s. 94).

14.5Klagomål

Utredningens bedömning: En registrerads rätt att lämna in klagomål till en tillsynsmyndighet om han eller hon anser att hans eller hennes personuppgifter har behandlats felaktigt krä- ver inga lagstiftningsåtgärder.

Skälen för utredningens bedömning

Innehållet i direktivet

I direktivet finns bestämmelser om hur klagomål över behandling av personuppgifter ska hanteras. Med klagomål avses här missnöje som uttrycks av enskilda och som inte avser begäran om rättelse, omprövning, överklagande eller någon annan formellt reglerad åt- gärd.

540

SOU 2017:29

Rättsmedel och skadestånd

Enligt artikel 52.1 har alla registrerade som anser att behandling av personuppgifter som avser dem står i strid med de bestämmelser som genomför direktivet rätt att lämna in klagomål till en enda tillsynsmyndighet. Av artikel 46.1 f framgår att det ska ingå i till- synsmyndighetens uppgifter att behandla klagomål från registre- rade. Rätten att ge in klagomål får inte påverka andra administrativa prövningsförfaranden eller rättsmedel och rätten till andra rättsme- del får inte påverka rätten att ge in klagomål.

Artiklarna 46.1 f, 46.2 och 52.2–4 innehåller bestämmelser av processuell karaktär som anger hur tillsynsmyndigheten ska han- tera ett klagomål i förhållande till den enskilde. Där regleras bl.a. vilken information som tillsynsmyndigheten ska ge den enskilde om handläggningen och resultatet. Av artikel 53.2 framgår att det ska göras inom viss tid. Myndigheten riskerar annars att bli föremål för en s.k. dröjsmålstalan. Enligt artiklarna 13.1 d och 14 f ska den personuppgiftsansvarige göra information om rätten att lämna in klagomål till tillsynsmyndigheten tillgänglig för den registrerade. Den frågan behandlas i avsnitt 11.2.6 och 11.2.8.

Dagens hantering av klagomål

I artikel 28.4 och skäl 63 i det nu gällande direktivet finns också bestämmelser om klagomålshantering. I korthet innebär de att var och en kan vända sig till tillsynsmyndigheten med begäran om skydd för sina fri- och rättigheter vid personupp- giftsbehandling och att den som framställt en sådan begäran har rätt att få besked om vad den lett till. Indirekt framgår också att tillsynsmyndigheten har till uppgift att hantera klagomål.

I dag finns det inte någon uttrycklig regel om att den som är missnöjd med behandlingen av personuppgifter har rätt att ge in klagomål. Av 4 § förvaltningslagen (1986:223) följer dock att en enskild alltid kan kontakta en myndighet och framföra synpunkter.

Datainspektionen är tillsynsmyndighet enligt personuppgiftsla- gen och de behöriga myndigheternas registerförfattningar. Enligt inspektionens praxis kan en enskild ge in klagomål dit. Myndighe- ten brukar informera den enskilde om vilka åtgärder klagomålet lett till. Om myndigheten anser att det krävs, genomför den tillsyn med anledning av klagomålet. Av avsnitt 12.1.2 framgår att Säker-

541

Rättsmedel och skadestånd

SOU 2017:29

hets- och integritetsskyddsnämnden också har tillsyn över viss per- sonuppgiftsbehandling.

Regleringen avseende klagomål har två perspektiv

Det nya dataskyddsdirektivet innehåller betydligt fler och mer ut- förliga bestämmelser om klagomålshantering än det nu gällande direktivet. Tidigare fanns bestämmelserna enbart i kapitlet om till- synsmyndigheten. I det nya direktivet har artiklarna delvis annat innehåll och annan placering. De finns både i det kapitel som rör tillsynsmyndighetens uppgifter och i det kapitel som rör rättsmedel för enskilda. Klagomålshanteringen har därmed fått en tydlig kopp- ling även till registrerades rättigheter.

Artikel 52.1 behandlar främst hanteringen av klagomål från regi- strerades perspektiv. I artiklarna 46.1 f, 46.2 och 52.2–52.4 regleras klagomålshanteringen huvudsakligen från tillsynsmyndighetens perspektiv. Även om de sistnämnda artiklarna främst riktar sig till tillsynsmyndigheten, genom att de definierar dess uppgifter och anger hur klagomål ska behandlas av myndigheten, får de indirekt betydelse även för registrerade. De ger uttryck för vad registrerade kan förvänta sig av tillsynsmyndigheten och tydliggör därmed innebörden av rätten i artikel 52.1.

Regleringen har alltså två tydliga perspektiv: tillsynsmyndighe- tens och de registrerades.

Reglernas syfte – att ge den registrerade ett rättsmedel

Att registrerade kan framföra klagomål till en tillsynsmyndighet är ägnat att öka förtroendet för och därmed legitimiteten i den verk- samhet som tillsynen avser. Syftet med en klagomålsfunktion är dels att skapa tilltro, dels att säkerställa att det finns en fristående instans som den som anser sig vara utsatt för felaktig behandling kan vända sig till med klagomål. De registrerades behov av att få klagomål utredda står alltså i centrum.

I direktivet är utgångspunkten att ge den som anser sig vara fel- aktigt behandlad en uttrycklig möjlighet att framföra sitt klagomål och få det hanterat. Möjligheten för den registrerade att ge in kla- gomål till tillsynsmyndigheten uttrycks som en rättighet. Även om

542

SOU 2017:29

Rättsmedel och skadestånd

tillsynsmyndigheten väljer att inte genomföra tillsyn med anled- ning av klagomålet, ska den alltid ge den registrerade besked om vad klagomålet lett till. Han eller hon ges också rätt att väcka dröjsmålstalan mot myndigheten om klagomålet inte hanteras inom viss tid. Placeringen av artikel 52 i kapitlet som behandlar rättsmedel, ansvar och sanktioner understryker enligt utredningens mening att rätten att ge in klagomål ska ses som ett rättsmedel.

Behövs det en tydligare reglering av rätten att ge in klagomål?

Enligt utredningens mening har kraven på tillsynsmyndighetens hantering av klagomål skärpts i förhållande till vad som gäller i dag. Artikel 52.1 innebär emellertid endast en rätt för den registrerade att vända sig till myndigheten med synpunkter på hur hans eller hennes personuppgifter behandlats. Vad den registrerade kan upp- nå genom att ge in ett klagomål skiljer sig från vad han eller hon kan uppnå genom en domstolsprövning och kan inte heller jäm- ställas med rätten att överklaga ett beslut fattat av tillsynsmyndig- heten (se avsnitt 14.7.1).

Artikel 52.1 bör därför enligt utredningens mening inte ges någon annan innebörd än att en registrerad ska tillförsäkras rätt att framföra eventuella klagomål till en tillsynsmyndighet. Att regi- strerade ska ha rätt till ett annat rättsmedel om de inte inom viss tid informerats om handläggningen eller resultatet av klagomålet på- verkar inte den bedömningen.

Frågan är då om den mer detaljerade regleringen av klagomål i direktivet innebär att det behövs en uttrycklig bestämmelse i ram- lagen som ger en registrerad rätt att ge in klagomål till tillsynsmyn- digheten.

Det vore enligt utredningens uppfattning av flera skäl inte lämp- ligt att ta in en sådan regel i ramlagen. I andra lagstiftningsärenden där motsvarande fråga har behandlats har lagstiftaren valt att reg- lera rätten att ge in klagomål indirekt genom att i stället reglera till- synsmyndighetens uppgifter (se Ny postlag, prop. 2009/10:216, s. 77 f., jfr också El- och naturgasmarknaderna – europeisk harmo- nisering, SOU 2003:113, s. 122 f.). Inte ens i 5 § lagen (1986:765) med instruktion för Riksdagens ombudsmän – vars främsta uppgift är att behandla klagomål från allmänheten – har möjligheten att

543

Rättsmedel och skadestånd

SOU 2017:29

klaga på myndigheter konstruerats som en rättighet för enskilda. Att uttryckligen föreskriva rätt att ge in klagomål avseende per- sonuppgiftsbehandling skulle alltså avvika från systematiken i den svenska lagstiftningen. Det utgör det främsta skälet till varför ut- redningen inte föreslår en sådan bestämmelse.

En annan viktig aspekt är att regleringen inte bör ge enskilda fel förväntningar. Redan i dag finns det tyvärr ofta felaktiga förvänt- ningar på vad klagomål kan leda till och vilka åtgärder en tillsyns- myndighet kan vidta med anledning av klagomål. Enskilda förvän- tar sig t.ex. många gånger att tillsyn alltid ska utövas när klagomål har getts in eller att tillsynsmyndigheten kan ändra eller på annat sätt påverka ett beslut i sak. Att reglera rätten att ge in klagomål skulle enligt utredningens mening kunna skapa felaktiga förvänt- ningar hos enskilda om vad som kan uppnås genom ett klagomål (jfr Skapa tilltro – Generell tillsyn, enskildas klagomål och det all- männa ombudet inom socialförsäkringen, SOU 2015:46, s. 109 f.). Risken för felaktiga förväntningar skulle öka med en särskild regel, eftersom en sådan regel skulle avvika från vad som gäller vid annan klagomålshantering. I förlängningen skulle det kunna leda till att allmänhetens förtroende för verksamheten snarare undergrävs än motsatsen, eftersom de flesta klagomål inte leder till det resultat som klaganden förväntar sig.

Mot den bakgrunden anser utredningen att rätten att ge in kla- gomål endast bör regleras indirekt som en av tillsynsmyndighetens uppgifter (se avsnitt 12.6.1 och 12.6.2).

Vad avses med en enda tillsynsmyndighet?

Enligt artikel 52.1 ska den registrerade ha rätt att lämna in klagomål till en enda tillsynsmyndighet. Det är oklart vad som avses med det. Artikeln skulle kunna förstås som att en registrerad ska ha rätt att lämna in ett klagomål till vilken behörig tillsynsmyndighet som helst i en stat som är bunden av direktivet. En registrerad som bor i Sverige, vars uppgifter behandlas av en personuppgiftsansvarig i Tyskland, skulle vid en sådan tolkning kunna lämna in sitt klagomål till en svensk tillsynsmyndighet. Omvänt skulle någon som bor i Tyskland, vars personuppgifter behandlas av en personuppgifts- ansvarig i Sverige, kunna lämna in sitt klagomål i Tyskland.

544

SOU 2017:29

Rättsmedel och skadestånd

Det finns exempel på unionsrättsakter där det föreskrivs att en- skilda ska kunna vända sig med en begäran till en behörig myndig- het i valfri medlemsstat. Myndigheten som tagit emot begäran är sedan skyldig att vidarebefordra den till rätt myndighet, se t.ex. artikel 37.1 Europolförordningen. Eftersom det inte finns någon bestämmelse av motsvarande slag i direktivet anser utredningen att hänvisningen till en enda tillsynsmyndighet inte kan ha den inne- börden.

Uttrycket bör i stället tolkas så att den registrerade ska kunna vända sig till valfri tillsynsmyndighet med sitt klagomål, om det finns flera sådana myndigheter i en medlemsstat. Frågan aktuali- seras därmed bara om en medlemsstat väljer att utse flera tillsyns- myndigheter. I Sverige föreslås enbart Datainspektionen bli till- synsmyndighet enligt direktivet. Någon lagstiftningsåtgärd krävs därmed inte i den delen.

14.6Dröjsmålstalan

14.6.1En särskild reglering behövs

Utredningens bedömning: Det behövs en särskild reglering om dröjsmålstalan i ramlagen.

Skälen för utredningens bedömning

Dröjsmålstalan i EU-rätten

Inom EU-rätten är det vanligt med bestämmelser som har till syfte att förhindra passivitet och förebygga långsam handläggning hos myndigheter, s.k. dröjsmålstalan. Den enskilde får genom en sådan talan möjlighet att i domstol få prövat om den myndighet som ska fatta beslut i ärendet fördröjer handläggningen av det. Bestämmel- serna innehåller ofta tidsfrister för handläggningen och reglerar konsekvenserna av att fristerna inte iakttas. Överskrids den fast- ställda tiden, presumeras den enskilde – enligt den vanligaste typen av dröjsmålstalan – ha fått avslag på sin ansökan och kan överklaga det beslutet till domstol. På senare tid har det tillkommit en variant som innebär att en ansökan ska anses bifallen om beslut inte har

545

Rättsmedel och skadestånd

SOU 2017:29

fattats inom viss tid. Enligt ytterligare en modell ska själva under- låtenheten att fatta beslut kunna angripas genom domstolstalan. Ibland anges att följderna av att ett beslut inte har fattats när tids- fristen löper ut ska regleras nationellt.

Innehållet i direktivet

I artikel 53.2 finns en bestämmelse om dröjsmålstalan, vilket är en nyhet. Enligt artikeln ska registrerade ha rätt till ett effektivt rätts- medel om tillsynsmyndigheten inte inom tre månader behandlar ett klagomål eller om tillsynsmyndigheten inte informerar om hand- läggningen eller resultatet av det klagomål som lämnats in. Rätten får inte påverka något annat administrativt prövningsförfarande eller prövningsförfarande utanför domstol. I skäl 85 anges bl.a. att en registrerad bör ha rätt till ett effektivt rättsmedel om tillsyns- myndigheten inte reagerar på ett klagomål. Myndigheten bör vidare i rimlig tid informera den registrerade om hur arbetet med klago- målet fortskrider och vad resultatet blir.

Olika sätt att säkerställa en effektiv handläggning

I flera europeiska länder finns det regleringar som påminner om de dröjsmålsbestämmelser som finns i EU-rätten, även om lösning- arna kan variera. I svensk rätt finns det däremot ingen generell regel om dröjsmålstalan. De regler som finns i speciallagstiftning på finansmarknadsområdet är resultatet av genomförandet av unions- rättsakter. Över tid har det dock diskuterats om en generell regel om dröjsmålstalan bör införas. I lagrådsremissen En modern rätts- säker förvaltning – ny förvaltningslag den 23 februari 2017 föreslås en generell bestämmelse om dröjsmålstalan. Förslaget bygger på betänkandet En ny förvaltningslag (SOU 2010:29 s. 253 f.).

Även om det i dag inte finns någon generell regel om dröjsmåls- talan eller generell möjlighet att på annat sätt påskynda handlägg- ningen saknas det inte krav på att myndigheter ska handlägga ären- den skyndsamt. Artikel 6 i Europakonventionen, som gäller som svensk lag, ställer krav på skyndsam handläggning vid prövningen av civila rättigheter och skyldigheter och anklagelser för brott. Vidare ska enligt 2 kap. 11 § andra stycket regeringsformen en rät-

546

SOU 2017:29

Rättsmedel och skadestånd

tegång genomföras inom skälig tid. Vid handläggning i domstol finns det också ett särskilt rättsmedel – förtursförklaring – som en enskild part kan använda om han eller hon anser att handlägg- ningen av ett mål eller ärende drar ut på tiden. Den enskilde får då skriftligen ansöka hos domstolen om att den ska förklara att målet eller ärendet ska handläggas med förtur (1 § lagen [2009:1058] om förtursförklaring i domstol).

Myndigheterna är också föremål för krav från statsmakterna att förkorta handläggningstiderna och att arbeta bort ärendebalanser. I myndigheternas regleringsbrev poängterar regeringen ofta att handläggningen av ärenden ska bedrivas effektivt. Chefen för en myndighet har till uppgift att bevaka att ärenden inte blir liggande utan att åtgärder vidtas.

Vissa tillsynsorgan ska också se till att de myndigheter som står under deras tillsyn avgör sina ärenden utan onödigt dröjsmål. En- ligt 29 § myndighetsförordningen (2007:515) ska myndigheterna senast den 1 mars varje år till JK skicka in förteckningar över ären- den som har kommit in före den 1 juli föregående år men som inte har avgjorts vid årets utgång. Enligt förordningen om handläggning av skadeståndsanspråk mot staten har JK genom frivillig skadereg- lering möjlighet att ge enskilda ersättning för ideell skada till följd av dröjsmål vid myndigheters handläggning av ärenden. Enskilda kan även få skadestånd på grund av långsam handläggning eller ett uteblivet beslut efter att ha väckt talan mot staten vid allmän dom- stol. Enskilda kan vidare anmäla till JO om handläggningen av ett ärende dragit ut på tiden. Den yttersta konsekvensen av oskäliga dröjsmål kan bli att JO väcker åtal för tjänstefel mot den ansvariga befattningshavaren.

Avsaknaden av en regel om dröjsmålstalan innebär således inte att den enskilde står utan rättsmedel om han eller hon anser att en myndighet inte hanterat en fråga i rimlig tid.

Är de rättsmedel som finns för att motverka långsam handläggning tillräckliga?

Artikel 53.2 har två syften. Den ska för det första säkerställa en effektiv och ändamålsenlig klagomålshantering inom rimlig tid hos tillsynsmyndigheten. För det andra ger artikeln den registrerade ett verktyg om myndigheten inte i tid ger den enskilde besked om

547

Rättsmedel och skadestånd

SOU 2017:29

resultatet av klagomålet. De rättsmedel mot långsam handläggning som finns i dag är enligt utredningens bedömning otillräckliga för att uppfylla kraven i artikeln.

Två olika modeller för dröjsmålstalan

Övervägandena om en ny reglering bör enligt utredningens mening utgå från de rättsmedel som tidigare införts för att genomföra lik- nande EU-rättsliga bestämmelser och förslaget till ny förvaltnings- lag. Det innebär att det finns två möjliga modeller för hur rätts- medlet kan utformas.

Den ena modellen tillämpas främst på finansmarknadsområdet. Syftet med bestämmelserna är att motverka att handläggningsfris- ter överskrids. Om en myndighet inte har meddelat beslut i en viss fråga inom angiven tid får den berörde vända sig till allmän för- valtningsdomstol och begära att domstolen förklarar att ärendet onödigt uppehålls. Om domstolen förklarar att så är fallet och myndigheten därefter inte meddelar beslut inom viss tid, anses myndigheten ha fattat ett avslagsbeslut i den fråga som myndig- heten skulle ha tagit ställning till inom fristen. Domstolen prövar endast om ärendet är färdigt för avgörande, om samtliga handlingar och uppgifter som behövs som underlag för beslutet har lämnats till myndigheten och om, när det är aktuellt, alla nödvändiga sam- rådsförfaranden har genomförts. Den modellen finns t.ex. i 26 kap. 2 § lagen (2007:528) om värdepappersmarknaden och 21 kap. 5 § försäkringsrörelselagen (2010:2043). En motsvarande bestämmelse finns i 6 kap. 26 § tullagen (2016:253).

Den andra modellen för dröjsmålstalan är ännu endast ett för- slag. Förslaget innebär att det i en ny förvaltningslag ska tas in en generellt tillämplig bestämmelse om rättsmedel vid dröjsmål. Har myndigheten i ett särskilt beslut förklarat att den inte anser sig kunna avsluta ett ärende trots att det enligt den enskilde är klart för avgörande får den enskilde överklaga beslutet. Domstolspröv- ningen aktiveras då genom överklagandet. Modellen möter kravet på att det ska finns ett myndighetsbeslut som kan angripas för att ett förvaltningsprocessuellt rättsmedel ska få användas. Myndig- heten ska som vanligt svara för ärendets beredning och avgörande. Domstolens prövning avser enbart frågan om handläggningen nått

548

SOU 2017:29

Rättsmedel och skadestånd

fram till den punkt där ärendet kan avgöras. Domstolen kan, om den finner att så är fallet, förelägga myndigheten att inom viss tid avgöra ärendet. Till skillnad från den första modellen blir inte effekten av dröjsmålet att myndigheten anses ha fattat ett avslags- beslut i sak som kan överklagas. En prövning i sak kan den enskilde alltså få först när myndigheten verkligen prövat sakfrågan.

De varianter av dröjsmålstalan som finns i dag utgår i regel från att fördröjningen uppkommit vid handläggning av ärenden som initierats av en enskild part. Därmed ligger sådana ärenden som myndigheter tagit upp ex officio utanför tillämpningsområdet. Skälet till denna begränsning är att det skulle få svåröverskådliga konsekvenser och föranleda betydande tillämpningssvårigheter att ge enskilda möjlighet att föra talan om dröjsmål även i dessa fall (jfr SOU 2010:29 s. 300 f.).

Vilken lagteknisk lösning bör väljas?

Varken den reglering som finns i dag eller förslaget till ny förvalt- ningslag motsvarar enligt utredningens mening i sin helhet vad som krävs för att uppfylla artikel 53.2. Förslaget till ny förvaltningslag utgår nämligen från att det är parter som har talerätt. Enskilda får normalt sett inte partsställning när de ger in ett klagomål till Data- inspektionen och myndigheten beslutar att inte vidta någon åtgärd i anledning av klagomålet (se RÅ 2010 ref. 29). De eventuella åt- gärder som tillsynsmyndigheten vidtar i anledning av klagomål som rör behandlingen av personuppgifter riktar sig inte heller mot den enskilde utan mot den personuppgiftsansvarige. Det är därför en- ligt utredningens mening nödvändigt att skapa en särskild regel om dröjsmålstalan i ramlagen för att genomföra artikel 53.2.

Förslaget till reglering i den nya förvaltningslagen kan användas som utgångspunkt för regleringen i ramlagen. Det svarar mot den grundläggande förutsättningen för domstolsprövning i förvalt- ningsförfarandet, att det finns ett överklagbart beslut. Ett annat skäl till att den lösningen bör väljas är att det inte skulle vara lämp- ligt att låta dröjsmålstalan avseende tillsyn utmynna i att det ska anses ha fattats ett avslagsbeslut. Det skulle i så fall innebära att tillsyn inte ska utövas i anledning av klagomålet, vilket inte skulle gagna den enskilde. Tillsynsmyndighetens oberoende ställning och

549

Rättsmedel och skadestånd

SOU 2017:29

rätt att själv bedöma om det i ett enskilt fall bör utövas tillsyn skulle också kunna äventyras. Det finns emellertid skäl att i vissa avseenden avvika från hur dröjsmålstalan har utformats i förslaget till ny förvaltningslag, framför allt när det gäller tidsfristerna.

14.6.2Handläggningen hos tillsynsmyndigheten

Utredningens förslag: Om tillsynsmyndigheten inte inom tre månader från den dag då ett klagomål kom in till myndigheten har tagit ställning till om tillsyn ska utövas i anledning av kla- gomålet, ska myndigheten på skriftlig begäran av den registre- rade antingen lämna besked i den frågan eller i ett särskilt beslut avslå begäran.

Tillsynsmyndigheten ska avgöra frågan inom två veckor från den dag då begäran kom in till myndigheten.

Om tillsynsmyndigheten har avslagit en sådan begäran får den registrerade begära nytt besked tidigast tre månader efter det att beslutet om avslag på den tidigare begäran meddelades. Myndigheten ska avvisa en begäran som framställs innan tids- fristen har löpt ut.

Skälen för utredningens förslag

Besked om tillsyn ska utövas

Av artikel 53.2 framgår att det inte är tillräckligt att tillsynsmyn- digheten behandlar ett klagomål. Myndigheten ska också informera den registrerade om handläggningen eller resultatet av klagomålet.

Med att myndigheten ska informera den registrerade om hand- läggningen avses enligt utredningens mening att den registrerade ska få information om klagomålets status, dvs. hur långt ärendet har kommit. Att den registrerade ska hållas informerad om hand- läggningen följer av allmänna förvaltningsrättsliga principer och den allmänna serviceskyldigheten i förvaltningslagen och kräver därför inga lagstiftningsåtgärder.

Myndigheten bör informera om handläggningen på eget initiativ när det behövs, men också på begäran av den registrerade. Det kan

– särskilt om myndigheten bedömer att klagomålet inte kommer

550

SOU 2017:29

Rättsmedel och skadestånd

att hinna behandlas inom tre månader – t.ex. vara lämpligt att den registrerade får besked om att tillsynsmyndigheten tagit emot kla- gomålet. Myndigheten bör då också redogöra för hur klagomål hanteras, vad hanteringen kan utmynna i och, när det är möjligt, hur lång tid det normalt brukar ta att ta ställning till ett liknande klagomål. Det som avses är generell information. Sådan informa- tion ger den enskilde en realistisk bild av handläggningen och är särskilt viktig om tillsynsmyndigheten bedömer att den inte kom- mer kunna ge den registrerade ett snabbt besked om resultatet av klagomålet. Det bör däremot inte krävas att han eller hon får indi- viduellt anpassad information om beräknad handläggningstid eller eventuella åtgärder som kan komma att aktualiseras i ärendet.

Enligt artikel 53.2 ska den registrerade även få information om resultatet av klagomålet. Enligt utredningens mening innebär det inte att han eller hon ska få ett överklagbart beslut, utan enbart ett tydligt besked om tillsyn utövas eller kommer att utövas med an- ledning av klagomålet. Myndigheten behöver alltså inte redovisa för den registrerade om och i så fall vilka åtgärder som vidtas mot den personuppgiftsansvarige. Däremot kan det vara lämpligt att den registrerade får en kopia av ett sådant beslut.

När kan den registrerade hävda att tillsynsmyndigheten fördröjer handläggningen?

I artikel 53.2 föreskrivs en frist om tre månader inom vilken till- synsmyndigheten ska ha agerat. En motsvarande reglering finns i artikel 78.2 i dataskyddsförordningen.

I den svenska språkversionerna har uttrycket ”inom tre måna- der” placerats på olika ställen i direktivet och förordningen. Följ- den av det blir en skillnad mellan vad myndigheten måste göra inom tidsfristen för att inte anses ha varit passiv eller fördröjt handläggningen. I de franska, engelska, tyska och danska språkver- sionerna har tidsfristen placerats på samma sätt som i den svenska lydelsen av artikel 78.2 i förordningen. Tidsfristen syftar då på att myndigheten inom tre månader antingen ska informera den enskil- de om handläggningen eller om resultatet av klagomålet. Utred- ningen utgår därför från att det är det som avses även i direktivet.

Enligt ordalydelsen är det alltså tillräckligt att tillsynsmyndig- heten vidtar endera av dessa två åtgärder för att den inte ska anses

551

Rättsmedel och skadestånd

SOU 2017:29

ha varit passiv och kunna bli föremål för dröjsmålstalan. Enligt utredningens mening är det dock inte rimligt att tolka artikeln så snävt att det skulle räcka att tillsynsmyndigheten inom tre månader ger den registrerade allmän information om ärendets handläggning. Myndigheten skulle med en sådan ordningkunna lämna informatio- nen och därefter dröja med att ta ställning i frågan om tillsyn ska utövas utan att den enskilde skulle ha rätt att få besked om det.

Den registrerade är av naturliga skäl mest intresserad av att få besked om hans eller hennes klagomål kommer leda till tillsyn. Det kan påverka om han eller hon – när det är möjligt – vill använda ett annat rättsmedel, t.ex. begära domstolsprövning. För att möjlig- heten att föra dröjsmålstalan ska få avsedd effekt, bör det därför krävas att tillsynsmyndigheten inom tremånadersfristen ger den enskilde besked om huruvida tillsyn kommer att utövas.

Möjligheten att skriftligen begära besked av tillsynsmyndigheten

Utredningen utgår från att tillsynsmyndigheten kommer att sträva efter att i möjligaste mån hantera klagomålen skyndsamt. Normalt bör tillsynsmyndigheten inom tre månader kunna ge besked om huruvida tillsyn kommer att utövas, eftersom det i de flesta fall är relativt enkelt att avgöra om ett klagomål helt saknar grund eller om det finns några oklarheter som kan behöva utredas.

I de fall där beskedet drar ut på tiden bör den enskilde i första hand på informell väg försöka förmå tillsynsmyndigheten att på- skynda handläggningen. Om den enskilde i sina kontakter med myndigheten misslyckas med att få besked, bör han eller hon kunna vända sig till domstol för prövning av om tillsynsmyndig- heten fördröjer handläggningen.

För att domstolsprövning ska kunna aktualiseras krävs att till- synsmyndigheten först fattar ett beslut som kan överklagas. Den registrerade bör därför skriftligen begära att tillsynsmyndigheten tar ställning till om tillsyn ska utövas. Det bör kunna göras när det gått tre månader från den dag då klagomålet kom in till myndig- heten. Det bör understrykas att tre månader inte är en rekommen- derad handläggningstid. Fristen anger endast vid vilken tidpunkt den registrerade tidigast kan väcka frågan om tillsynsmyndigheten fördröjer handläggningen.

552

SOU 2017:29

Rättsmedel och skadestånd

Utredningen anser att det inte är rimligt att kräva att myndig- heten omgående besvarar den skriftliga begäran om besked i frågan om tillsyn ska utövas. Det skulle medföra att tillsynsmyndigheten tvingas prioritera den frågan framför alla andra arbetsuppgifter som myndigheten har. Tillsynsmyndigheten bör ges en viss frist inom vilken det är realistiskt att den kan ta ställning i frågan. Fristen bör vara relativt kort för att möjligheten att begära domstolsprövning av om myndigheten fördröjt handläggningen ska bli ett verknings- fullt medel. Utredningen anser att begäran om besked om tillsyn ska utövas bör besvaras inom två veckor från den dag begäran kom in till myndigheten.

Om myndigheten ger den registrerade besked i frågan om till- syn ska utövas faller frågan om domstolsprövning. Det gäller oav- sett vad beslutet innebär. Myndigheten behöver inte ge besked om vad tillsynen kommer att omfatta om beskedet är att tillsyn kom- mer att utövas. Att den registrerade så småningom bör få en kopia av ett eventuellt tillsynsbeslut är en annan sak.

Tillsynsmyndighetens beslut ska motiveras

Om tillsynsmyndigheten bedömer att den inte kan ge den registre- rade besked om huruvida tillsyn kommer att utövas, bör myndig- heten avslå begäran. Det bör krävas att myndigheten motiverar avslagsbeslutet och anger när den beräknar att kunna ge besked. Det sistnämnda är viktigt för att den registrerade ska kunna be- döma om han eller hon vill vända sig till domstol. Det är också en förutsättning för att domstolen, om den registrerade väljer att väcka dröjsmålstalan, ska få ett adekvat underlag för sin prövning. Dessutom bör effekten av att myndigheten själv tvingas skapa sig en bild av hur klagomålet fortsättningsvis ska hanteras inte under- skattas. Ett motiverat beslut förutsätter att myndigheten gör klart för sig vad som behöver göras. Det bör kunna resultera t.ex. i att tillsynsmyndigheten upprättar en plan för handläggningen. Även ett besked om att myndigheten för närvarande inte kan ta ställning till om tillsyn ska utövas kan på detta indirekta sätt påskynda han- teringen (jfr SOU 2010:29 s. 303 f.).

Den registrerade bör vara oförhindrad att återkomma med en ny begäran om besked om tillsynsmyndigheten inte beslutar i till-

553

Rättsmedel och skadestånd

SOU 2017:29

synsfrågan inom den tid som kan förväntas. Med en sådan ordning ökar pressen på tillsynsmyndigheten att handlägga frågan skynd- samt. För att förfarandet inte ska kunna missbrukas bör dock den registrerade inte kunna begära nytt besked av tillsynsmyndigheten förrän det har gått tre månader från det senaste avslagsbeslutet. Om den registrerade ändå kommer in med en sådan begäran innan tre månader passerat bör tillsynsmyndigheten kunna avvisa den. Beslutet om avvisning bör få överklagas till domstol i likhet med andra beslut av tillsynsmyndigheten (se avsnitt 14.7.1).

14.6.3Domstolsprövningen

Utredningens förslag: Om tillsynsmyndigheten avslår den regi- strerades begäran om besked om huruvida tillsyn kommer att utövas, får han eller hon överklaga beslutet till allmän förvalt- ningsdomstol.

Om domstolen bifaller ett sådant överklagande ska den förelägga tillsynsmyndigheten att, inom en bestämd tid, lämna den registrerade besked i fråga om tillsyn kommer att utövas. Annars ska domstolen avslå överklagandet. Domstolens beslut får inte överklagas.

Skälen för utredningens förslag

Vad ska domstolsprövningen gå ut på?

Om tillsynsmyndigheten meddelar att den ännu inte kan ta ställ- ning till om tillsyn ska utövas, och därmed avslår den registrerades begäran om besked, bör den registrerade kunna överklaga beslutet och i domstol få prövat om myndigheten fördröjer handlägg- ningen. Att tillsynsmyndighetens beslut får överklagas behandlas i avsnitt 14.7.1. För överklagande bör de vanliga reglerna om över- klagande i förvaltningslagen gälla. Beslutet ska således överklagas inom tre veckor från det att den registrerade fått del av det. Över- klagandet ska vara skriftligt och ges in till tillsynsmyndigheten. Av överklagandet ska det framgå vilket beslut som överklagas, i detta fall avslagsbeslutet. Det ska också framgå på vilket sätt den regi- strerade vill att beslutet ska ändras. Här kan yrkandet endast avse

554

SOU 2017:29

Rättsmedel och skadestånd

att den registrerade vill ha besked om tillsynsmyndigheten avser att utöva tillsyn.

Domstolen bör enbart pröva om de av tillsynsmyndigheten redovisade skälen för fördröjningen är hållbara. Domstolen övertar inga förvaltningsuppgifter från myndigheten och bör inte uttala sig i frågan om tillsyn bör utövas. Det avgör tillsynsmyndigheten själv- ständigt. Prövningen i domstol bör således oftast kunna göras snabbt och enkelt. Saken bör normalt kunna avgöras av ensamdo- mare (jfr SOU 2010:29 s. 304 f.).

Anser domstolen att tillsynsmyndigheten har goda skäl för att dröja med beskedet, bör den avslå överklagandet.

Om domstolen anser att den registrerade har fog för sin talan bör överklagandet bifallas. För att bifallet ska få önskad effekt, dvs. att den registrerade får besked om tillsyn kommer att utövas, bör domstolen i beslutet förelägga tillsynsmyndigheten att ge den regi- strerade besked i den frågan.

Det bör framgå av domstolens beslut när tillsynsmyndigheten senast ska lämna besked till den registrerade. Ett alternativ skulle vara att föreskriva inom vilken tid efter domstolens avgörande som tillsynsmyndigheten ska ha tagit ställning till om tillsyn ska utövas. Utredningen anser dock att en sådan lösning inte är lämplig, efter- som fristen bör kunna anpassas till omständigheterna i det enskilda fallet. Att det inte kan bli fråga om någon längre tid är en konse- kvens av att den enskildes framställning har bifallits och att myn- dighetens skäl för att dröja med beskedet därmed inte godtagits.

Den fråga som kan bli föremål för dröjsmålstalan är relativt okomplicerad och det bör därmed inte vara svårt för domstolen att bedöma inom vilken tid tillsynsmyndigheten bör lämna besked. Utredningen anser därför att domstolen alltid bör ange en bestämd tid för när tillsynsmyndigheten senast ska ta ställning till om tillsyn ska utövas. Det finns annars risk för att syftet med artikel 53.2 inte uppnås. Det kommer enligt utredningens mening inte heller i kon- flikt med tillsynsmyndighetens oberoende, eftersom domstolen inte prövar frågan om tillsyn ska utövas.

Den tid som domstolen bestämt för när tillsynsmyndigheten ska ta ställning till om tillsyn ska utövas gäller även om myndig- heten på grund av nytillkomna omständigheter skulle anse sig be- höva längre tid. Någon möjlighet för myndigheten att begära för-

555

Rättsmedel och skadestånd

SOU 2017:29

längd tid bör inte finnas. Förfarandet riskerar annars att inte bli tillräckligt effektivt.

Domstolen bör däremot inte kunna förelägga tillsynsmyndig- heten att ge besked om vilka åtgärder som kommer att vidtas mot den personuppgiftsansvarige. Det krävs inte enligt artikel 53.2 och det vore enligt utredningens mening direkt olämpligt, eftersom det skulle inkräkta på tillsynsmyndighetens oberoende.

Ska domstolens beslut kunna förenas med en sanktion?

Utredningen har övervägt om domstolens föreläggande till tillsyns- myndigheten bör kunna förstärkas genom någon form av sanktion om myndigheten inte följer föreläggandet. En möjlighet skulle kunna vara att ge domstolen rätt att förena föreläggandet med vite. Även om det finns ett fåtal bestämmelser som ger möjlighet att förelägga statliga myndigheter vite (se t.ex. 35 § lagen [2003:460] om etikprövning av forskning som avser människor) har det i prin- cip ansetts främmande att ett statligt organ ska kunna rikta sådana hot mot ett annat (se propositionen med förslag till lag om viten m.m., prop. 1984/85:96, s. 98 f.).

Utredningen utgår från att tillsynsmyndigheten kommer att respektera domstolens beslut. Finns det ett domstolsutslag, som säger att frågan ska vara avgjord vid viss tidpunkt, ökar också ris- ken för att någon som företräder myndigheten drabbas av kritik från JO eller JK. Att inte följa domstolens beslut kan ytterst resul- tera i disciplinansvar eller åtal för tjänstefel och kan även utgöra grund för skadeståndskyldighet för staten. Utredningen menar att dessa regler utgör tillräcklig påtryckning. Förvaltningslagsutred- ningen har samma uppfattning och regeringen har ställt sig bakom den bedömningen i förslaget till ny förvaltningslag (SOU 2010:29 s. 305 f. och lagrådsremissen s. 127 f.)

Ska domstolens beslut kunna överklagas eller angripas på annat sätt?

Eftersom förslaget öppnar för överklagande av beslut under förfa- randet, är det viktigt att instanskedjan hålls kort. En registrerad som inte fått bifall till sitt överklagande bör därför inte kunna föra dröjsmålsfrågan vidare för prövning i ytterligare en instans. Till-

556

SOU 2017:29

Rättsmedel och skadestånd

synsmyndigheten bör inte heller kunna överklaga beslutet. Utred- ningen anser således att domstolens beslut, oavsett utgången, inte bör kunna överklagas.

14.7Överklagande av tillsynsmyndighetens beslut

14.7.1Tillsynsmyndighetens beslut ska kunna överklagas

Utredningens förslag: Tillsynsmyndighetens beslut enligt ram- lagen eller föreskrifter som meddelats i anslutning till den får överklagas till allmän förvaltningsdomstol. Vid överklagande till kammarrätten ska det krävas prövningstillstånd.

Skälen för utredningens förslag

Innehållet i direktivet

I artikel 53.1 och skäl 86 slås fast att en fysisk eller juridisk person har rätt till ett effektivt rättsmedel mot ett rättsligt bindande beslut som avser dem och som meddelats av tillsynsmyndigheten. Enligt skäl 86 avses med beslut som får rättsliga följder bl.a. tillsynsmyn- dighetens beslut när den utövar sina utrednings- och korrigerings- befogenheter. Däremot tar rätten inte sikte på beslut om åtgärder som inte är rättsligt bindande, t.ex. yttranden eller rådgivning.

Nuvarande reglering

Enligt 22 § förvaltningslagen får ett beslut överklagas av den som beslutet angår, om det har gått honom eller henne emot och är överklagbart. Enligt 51 § första stycket personuppgiftslagen får tillsynsmyndighetens beslut, med undantag av beslut om föreskrif- ter, överklagas till allmän förvaltningsdomstol. Paragrafen genom- för artikel 28.3 i det nu gällande direktivet som slår fast att sådana beslut av tillsynsmyndighetens som går en part emot ska kunna överklagas till domstol.

Överklagandebestämmelsen i personuppgiftslagen är även till- lämplig när tillsynsmyndigheten fattat beslut enligt vissa av regis-

557

Rättsmedel och skadestånd

SOU 2017:29

terförfattningarna för de behöriga myndigheterna. Det beror på att registerförfattningen innehåller en uttrycklig hänvisning till över- klagandebestämmelsen (se t.ex. 2 kap. 2 § 13 åklagardatalagen). Några registerförfattningar innehåller överklagandebestämmelser med samma innebörd som överklagandebestämmelsen i personupp- giftslagen (se t.ex. 19 § domstolsdatalagen).

En överklagandebestämmelse i ramlagen

Om en myndighets befogenheter regleras i en författning bör det som huvudregel av samma författning framgå om och i så fall hur myndighetens beslut kan överklagas. En sådan ordning ger en sam- lad bild både av vilka befogenheter en myndighet har och hur den som blir föremål för myndighetens beslut kan angripa dem. Ut- redningen föreslår att tillsynsmyndighetens befogenheter regleras i ramlagen (se avsnitt 12.7). Den bör därför även reglera rätten att överklaga tillsynsmyndighetens beslut.

Vilka beslut ska få överklagas?

Enligt artikel 53.1 får endast rättsligt bindande beslut överklagas. Det ligger i linje med vad som allmänt gäller för överklagbarhet och klagorätt. Även om motsvarande artikel i det nu gällande direktivet har en något annorlunda språklig utformning beträffande vilka be- slut som får överklagas anser utredningen att det inte är någon sak- lig skillnad.

Förvaltningslagen ger inget svar på frågan om ett beslut kan överklagas. Rätten att överklaga regleras i stället genom bestäm- melser i specialförfattningar och myndighetsinstruktioner. Även om det i en författning anges att ett beslut enligt författningen eller ett beslut av en viss myndighet får överklagas, innebär det inte att alla sådana beslut är överklagbara. Överklagbarheten är nämligen begränsad till följd av allmänna principer som har utbildats i rätts- praxis (jfr RÅ 2007 ref. 7 och där angivna rättsfall). En myndighets faktiska handlande eller underlåtenhet att handla kan exempelvis inte överklagas. En annan förutsättning för överklagande är att beslutet har en inte alltför obetydlig verkan för parter eller andra. Normalt saknas det också möjlighet att klaga över motiveringen till

558

SOU 2017:29

Rättsmedel och skadestånd

ett beslut (Översyn av förvaltningsprocessen; en allmän regel om domstolsprövning av förvaltningsbeslut m.m., prop. 1997/98:101, s. 49 f.). Frågan om överklagbarhet har prövats när det gäller till- synsmyndighetens beslut enligt personuppgiftslagen (för exempel se Öman m.fl. s. 549 f.).

Bestämmelsen i ramlagen bör med beaktande av det som nu har sagts i likhet med dagens reglering ha som utgångspunkt att till- synsmyndighetens beslut ska kunna överklagas. På samma sätt som i dag får det avgöras i rättstillämpningen om ett beslut som tillsyns- myndigheten har fattat är överklagbart.

I avsnitt 12.6.3 och 12.7.6 föreslår utredningen att tillsynsmyn- digheten ska kunna fatta vissa beslut som saknar motsvarighet i dagens reglering. Tillsynsmyndigheten får bl.a. i vissa fall vägra att kontrollera om behandlingen av personuppgifter är författningsen- lig och kommer också att kunna meddela förelägganden om rade- ring av personuppgifter. I vilken utsträckning de nya typerna av be- slut kommer att kunna överklagas blir på motsvarande sätt en fråga för rättstillämpningen.

Överklagandena bör på samma sätt som i dag prövas av allmän förvaltningsdomstol. Av de skäl som angetts i avsnitt 14.4 bör instansordningen inte beskäras så att förvaltningsrättens avgörande inte får överklagas. Vid överklagande till kammarrätten bör det dock krävas prövningstillstånd för att klaganden ska få sitt överkla- gande prövat i sak.

Vem får överklaga?

För att någon ska få överklaga ett beslut ska han eller hon ha klago- rätt. Om en person har klagorätt måste bedömas i varje enskilt fall av den domstol som behandlar överklagandet.

I 51 § personuppgiftslagen ställs det inte något krav på att den som klagar ska vara part. I praxis har det inte heller krävts att den som överklagar tillsynsmyndighetens beslut har ställning som part. I stället har det bl.a. förts resonemang dels om beslutet angått den som överklagat det, dels om det gått honom eller henne emot (jfr 22 § förvaltningslagen). Tillämpningen stämmer väl överens med de krav på klagorätt som ställs upp i direktivet. Ramlagens bestämmel-

559

Rättsmedel och skadestånd

SOU 2017:29

se kan därför utformas med 51 § första stycket personuppgiftslagen som mönster.

Att det är den som beslutet angår och som det gått emot inne- bär i praktiken att det är den beslutet riktas mot som har rätt att överklaga tillsynsmyndighetens beslut. I ett tillsynsärende kommer det oftast att vara den personuppgiftsansvarige eller ett personupp- giftsbiträde. När det gäller avslag på begäran om kontroll av om viss behandling är författningsenlig berörs den registrerade som har begärt kontrollen. Det kan dock inte uteslutas att beslut av tillsyns- myndigheten i något annat fall skulle kunna få rättsliga följder även för någon annan än den som beslutet riktar sig mot. Vederbörande har då rätt att överklaga beslutet enligt förvaltningslagens regler om talerätt.

Särskilt om tillsynsmyndighetens beslut i anledning av klagomål

Enligt rättspraxis avseende personuppgiftslagen är Datainspektio- nens beslut att inte vidta någon åtgärd med anledning av en anmä- lan (klagomål) eller att skriva av ett ärende om tillsyn inte möjliga att överklaga (se RÅ 2010 ref. 29).

EU-domstolen har uttalat att artikel 28.3 i det nu gällande data- skyddsdirektivet ska förstås som att en enskild, som gett in en be- gäran till tillsynsmyndigheten, ska ha tillgång till ett rättsmedel som innebär att han eller hon vid nationell domstol kan angripa till- synsmyndighetens beslut om det gått honom eller henne emot (dom av den 6 oktober 2015, Schrems, C-362/14, punkten 64). Ut- redningen måste därför överväga om direktivet förutsätter att en- skilda ska ha generell rätt att överklaga tillsynsmyndighetens be- slut, t.ex. beslut att inte vidta någon åtgärd i anledning av klagomål.

I skäl 85 i direktivet framhålls att en registrerad ska ha rätt till ett effektivt rättsmedel också om tillsynsmyndigheten helt eller delvis avslår eller avvisar ett klagomål eller inte agerar när det är nödvändigt för att skydda den registrerades rättigheter. Av skäl 86 framgår att bl.a. den registrerade ska kunna vända sig till behörig nationell domstol. Vidare sägs i artikel 52.4 att tillsynsmyndigheten ska underrätta den enskilde om handläggningen och resultatet av ett klagomål som han eller hon gett in och om rätten till rättsmedel enligt artikel 53. Av artikel 53.1 följer emellertid att det enbart är

560

SOU 2017:29

Rättsmedel och skadestånd

den som ett rättsligt bindande beslut riktar sig mot som ska ha till- gång till ett effektivt rättsmedel.

Direktivet innehåller således skrivningar som kan tala både för och emot en klagorätt för enskilda när det gäller tillsynsmyndig- hetens beslut i anledning av klagomål. En generell rätt till dom- stolsprövning av tillsynsmyndighetens beslut av det slag som nu är aktuellt skulle äventyra tillsynsmyndighetens oberoende ställning. Att tillsynsmyndigheten ska vara oberoende framgår bl.a. av arti- kel 42.1. Enligt artikel 46.1 f ska tillsynsmyndigheten behandla klagomål och när så är lämpligt undersöka den sakfråga klagomålet gäller. Tillsynsmyndigheten har därmed inte någon skyldighet att vidta tillsynsåtgärder eller ens att alltid närmare undersöka sakfrå- gan. Tvärtom har tillsynsmyndigheten enligt direktivet, på samma sätt som som i svensk tillsynstradition, ett uttalat utrymme att själv avgöra vilka tillsynsärenden som ska drivas och på vilket sätt det ska göras.

I vilken utsträckning enskilda ska anses ha klagorätt får över- lämnas till rättstillämpningen.

Det bör också understrykas att en registrerad alltid har möjlig- het att väcka talan i civilrättslig ordning mot en personuppgiftsan- svarig eller ett personuppgiftsbiträde, att begära skadestånd och i vissa fall även att överklaga en myndighets beslut i egenskap av personuppgiftsansvarig (se avsnitt 14.2, 14.3 och 14.4). En registre- rad kan välja att väcka en sådan talan eller överklaga ett sådant be- slut oavsett vad tillsynsmyndigheten gjort i sin tillsyn.

Särskilt om myndigheters rätt att överklaga

De allmänna förvaltningsrättsliga principerna om klagorätt anses bara vara tillämpliga på myndigheter när de uppträder i någon pri- vaträttslig egenskap, exempelvis som arbetsgivare eller fastighets- ägare. Då anses myndigheter ha samma rätt att överklaga som en- skilda. När myndigheter däremot uppträder i sin offentligrättsliga roll, vilket de gör i egenskap av personuppgiftsansvariga, är förhål- landena annorlunda. En myndighet får då överklaga en annan myn- dighets beslut bara under vissa förutsättningar. Utgångspunkten är att överklagande kräver författningsstöd. Det har också betydelse om det är fråga om en kommunal, en landstingskommunal eller en

561

Rättsmedel och skadestånd

SOU 2017:29

statlig myndighet (se Trygve Hellners och Bo Malmqvist, Förvalt- ningslagen med kommentarer, 3 uppl., 2010, s. 300 f.).

Till skillnad från vad som anges i t.ex. artiklarna 53.2 och 54 omfattar rätten till rättsmedel enligt artikel 53.1 inte bara den regi- strerade. Av artikel 53.1 jämförd med skäl 86 framgår att även myndigheter i sin egenskap av personuppgiftsansvariga ska ha rätt att överklaga tillsynsmyndighetens beslut. Både statliga, kommu- nala (t.ex. socialnämnden vid ungdomspåföljder) och landstings- kommunala (t.ex. rättspsykiatriska enheter) myndigheter kommer att vara personuppgiftsansvariga enligt ramlagen.

Myndigheter som är personuppgiftsansvariga anses redan i dag kunna överklaga tillsynsmyndighetens beslut till allmän förvalt- ningsdomstol enligt 51 § personuppgiftslagen. Detsamma bör gälla enligt ramlagen. Att kretsen av taleberättigade är vidare när det gäl- ler tillsynsmyndighetens beslut än vid övriga rättsmedel är enligt utredningens uppfattning naturligt. Det är främst myndigheter som kommer att vara personuppgiftsansvariga för den behandling som utförs enligt ramlagen. Tillsynsmyndighetens beslut kommer oftast att rikta sig direkt mot de personuppgiftsansvariga och de kommer därför att ha intresse av att kunna överklaga besluten. Be- stämmelsen om överklagande av tillsynsmyndighetens beslut måste därför ge både statliga, kommunala och landstingskommunala myndigheter rätt att överklaga.

14.7.2Det behövs ingen ny forumregel

Utredningens bedömning: Det behövs ingen ny forumregel för talan mot tillsynsmyndighetens beslut.

Skälen för utredningens bedömning: Enligt artikel 53.3 ska med- lemsstaterna föreskriva att talan mot en tillsynsmyndighet ska väckas vid domstol i den medlemsstat där tillsynsmyndigheten har sitt säte. Med väcka talan måste i detta sammanhang förstås att ett domstolsförfarande mot tillsynsmyndigheten initieras genom över- klagande av myndighetens beslut.

Artikel 53.3 skulle kunna tolkas som en domsrättsregel. Efter- som det i artikel 41.1 anges att varje medlemsstat ska utse en eller flera tillsynsmyndigheter anser utredningen dock att artikeln bör

562

SOU 2017:29

Rättsmedel och skadestånd

tolkas som krav på att det ska finnas en forumregel. För att upp- fylla kraven i artikeln är det alltså tillräckligt att det finns bestäm- melser som möjliggör överklagande av tillsynsmyndighetens beslut och som anger till vilken domstol besluten ska överklagas.

Enligt 14 § lagen (1971:289) om allmänna förvaltningsdomstolar ska, om det i lag eller annan författning föreskrivs att talan ska väckas vid eller beslut överklagas till allmän förvaltningsdomstol, det göras vid en förvaltningsrätt. Beslut ska överklagas till den för- valtningsrätt inom vars domkrets ärendet först prövats, om det inte för ett visst slag av mål föreskrivs annat.

Det finns således redan en regel som talar om till vilken domstol tillsynsmyndighetens beslut ska överklagas och något behov av särregler finns inte. Det krävs därför ingen åtgärd för att genom- föra artikel 53.3. Eftersom den föreslagna tillsynsmyndigheten, Datainspektionen, endast har verksamhet i Stockholm finns det inga alternativa forum.

14.8Rättsmedlen är oberoende av varandra

Utredningens bedömning: Den föreslagna regleringen lever upp till kravet på att användningen av ett rättsmedel inte ska få påverka rätten att använda andra rättsmedel eller administrativa förfaranden.

Skälen för utredningens bedömning: Rätten till rättsmedel får enligt artikel 53.1 och skäl 86 inte påverka något annat administra- tivt prövningsförfarande eller prövningsförfarande utanför dom- stol. Även om den registrerade har rätt att överklaga ett beslut av en personuppgiftsansvarig myndighet ska han eller hon när som helst kunna utnyttja andra rättsmedel som står till buds.

Den registrerade kan som framgått kräva skadestånd av den per- sonuppgiftsansvarige. Det förhållandet att den personuppgiftsan- svariges beslut i fråga om skadestånd inte får överklagas avskär inte den registrerade från möjligheten att väcka talan om skadestånd eller föra annan talan vid allmän domstol.

Skadeståndsskyldighet inträder oberoende av om den person- uppgiftsansvarige fattat något formellt beslut och oavsett om ett beslut överklagats av den registrerade. Även om den personupp-

563

Rättsmedel och skadestånd

SOU 2017:29

giftsansvariges beslut ändras efter överklagande, kan den registre- rade ha rätt till skadestånd.

Den registrerade kan således under vissa förutsättningar föra talan parallellt i både allmän förvaltningsdomstol (om ändring av ett myndighetsbeslut genom överklagande) och allmän domstol (om t.ex. skadestånd) om vad som i realiteten är samma sak.

Den registrerade kan dessutom när som helst lämna in klagomål till tillsynsmyndigheten, som oberoende av domstolsprocesserna kan agera och utnyttja sina befogenheter. Möjligheten att lämna in klagomål även till andra organ än tillsynsmyndigheten står också öppen.

Enligt utredningens bedömning lever således regleringen upp till kravet på att användningen av ett rättsmedel inte får påverka rätten att använda andra rättsmedel eller administrativa förfaranden.

14.9Rätt för ideella organisationer att företräda registrerade

Utredningens bedömning: Det krävs inga lagstiftningsåtgärder för att en registrerad ska kunna ge en ideell organisation i upp- drag att företräda honom eller henne hos tillsynsmyndigheten eller i domstol.

Skälen för utredningens bedömning

Innehållet i direktivet

Enligt artikel 55 ska en registrerad ha rätt att ge ett organ, en orga- nisation eller en sammanslutning utan vinstsyfte i uppdrag att lämna in klagomål till tillsynsmyndigheten och att utöva de rättig- heter som avses i artiklarna 52, 53 och 54 för hans eller hennes räk- ning. Förutom att ge in klagomål till tillsynsmyndigheten ska alltså den som fått ett sådant uppdrag kunna överklaga beslut, väcka dröjsmålstalan eller väcka talan vid allmän domstol. Organets, orga- nisationens eller sammanslutningens stadgeenliga mål ska vara av allmänt intresse och den ska vara verksam för att skydda registrera- des rättigheter och friheter vid behandling av personuppgifter.

564

SOU 2017:29

Rättsmedel och skadestånd

Enligt skäl 87 bör en registrerad som anser att hans eller hennes rättigheter enligt direktivet har kränkts ha rätt att ge ett organ som syftar till att skydda registrerades rättigheter och intressen vad gäl- ler skyddet av deras personuppgifter, i uppdrag att lämna in klago- mål och utöva hans eller hennes rätt till rättsmedel. Den registre- rades rätt att bli företrädd bör inte påverka nationella processuella regler enligt vilka det kan vara obligatoriskt att registrerade inför domstol företräds av en advokat.

För enkelhetens skull benämns organet, organisationen eller sammanslutningen i det följande ideell organisation.

Nuvarande reglering

Processrätten medger som huvudregel inte att organisationer intar partställning vid sidan av den egentliga parten i en process. Undan- tag gäller dock för arbetstvister, (4 kap. 5 § lagen [1974:371] om rättegången i arbetstvister), tvister mellan konsumenter och näringsidkare om varor, tjänster eller andra nyttigheter (5 § lagen [2002:599] om grupprättegång), mål om skadestånd för vissa mil- jöskador och andra enskilda anspråk (32 kap. 13 och 14 §§ miljö- balken) och mål om diskriminering (6 kap. 2 § diskriminerings- lagen [2008:567]). I personuppgiftslagen och annan reglering om personuppgiftsbehandling finns inga regler om talerätt för orga- nisationer.

En enskild får enligt 48 § förvaltningsprocesslagen i en rättegång i allmän förvaltningsdomstol anlita ett ombud eller ett biträde. En- ligt 12 kap. 1 § rättegångsbalken får en enskild anlita ett ombud i en process vid allmän domstol. I såväl förvaltningsprocesslagen som rättegångsbalken ställs uttryckliga kompetenskrav på ombudet eller biträdet (48 § första stycket förvaltningsprocesslagen respektive 12 kap. 2 § rättegångsbalken), varför juridiska personer inte kan uppträda som ombud i en rättegång (se Fitger m.fl., Rättegångsbal- ken, del 1, supplement 81, oktober 2016, s. 12:5 och En mer ända- målsenlig förvaltningsprocess, prop. 2012/13:45, s. 106 f.). I för- valtningsärenden kan däremot även en juridisk person agera ombud eller biträde, eftersom motsvarande kompetenskrav saknas (9 § första stycket förvaltningslagen, Förslag till lag om allmänna för- valtningsdomstolar m.m., prop. 1971:30, del 2, s. 362 och RÅ 1963

565

Rättsmedel och skadestånd

SOU 2017:29

ref. 37). Om ett ombud eller ett biträde är oskickligt, visar oför- stånd eller är olämpligt på något annat sätt får myndigheten eller domstolen avvisa ombudet (48 § andra stycket förvaltningspro- cesslagen, 12 kap. 5 § rättegångsbalken och 9 § andra stycket för- valtningslagen).

Behövs det en särskild reglering av organisationers rätt att företräda enskilda?

Artikel 55, som saknar motsvarighet i det nu gällande direktivet, kan tolkas på två sätt. Den kan antingen tolkas som att ideella organisationer ska medges talerätt vid sidan av registrerade eller att registrerade ska kunna anlita en sådan organisation som ombud i mål och ärenden som rör personuppgiftsbehandling.

Enligt utredningens bedömning kan bestämmelsen inte uppfat- tas på det sättet att ideella organisationer ska ges talerätt vid sidan av registrerade. Det framgår tydligt av att det i artikeln sägs att den registrerade ska kunna ge organisationen i uppdrag att för hans eller hennes räkning vidta vissa åtgärder. Med den formuleringen kan regleringen inte förstås på annat sätt än att registrerade ska kunna anlita en ideell organisation som ombud.

Dagens regler medger att registrerade i förvaltningsärenden an- litar en juridisk person, t.ex. en ideell organisation. Behovet av att kunna anlita en sådan organisation i frågor som rör klagomål hos tillsynsmyndigheten är alltså redan tillgodosett. I lagrådsremissen med förslag till ny förvaltningslag föreslås att det även i förvalt- ningslagen ska ställas kompetenskrav på ombud (s. 88 f.). Kravet motsvarar de krav som finns i förvaltningsprocesslagen och rätte- gångsbalken. Den nya förvaltningslagen föreslås träda i kraft den 1 juli 2018. Om ett sådant kompetenskrav införs kommer det inte längre vara möjligt att anlita en juridisk person som ombud i ett förvaltningsärende.

När det gäller kravet på att registrerade ska ha rätt att anlita så- dana organisationer som ombud i en rättegång i domstol är det visserligen inte möjligt för organisationen som sådan att företräda dem. Däremot kan en företrädare för organisationen som har till- räcklig kompetens uppträda som ombud, eftersom det inte finns något krav på att ett ombud ska vara advokat eller jurist eller på någon särskild relation till huvudmannen. Den registrerade kan ut-

566

SOU 2017:29

Rättsmedel och skadestånd

forma en fullmakt för den ideella organisationen på ett sådant sätt att företrädare för organisationen omfattas av den. Det kan tilläg- gas att även om det skulle skapas förutsättningar för att anlita en organisation som ombud i domstol, skulle det i praktiken ändå vara en fysisk person – en representant för organisationen – som för den registrerades talan. Utredningen anser mot den bakgrunden att det inte finns skäl att föreslå någon regel om att ideella organisa- tioner ska kunna vara ombud. Registrerades rätt att ge en ideell organisation sådana uppdrag som avses i direktivet tillgodoses en- ligt utredningens mening genom de möjligheter som befintlig lag- stiftning ger.

567

15Överföring till tredjeland och internationella organisationer

15.1Bakgrund

15.1.12013 års lag

Dataskyddsrambeslutet (se avsnitt 4.1.3) reglerar behandlingen av personuppgifter vid de flesta informationsöverföringar som i dag görs inom tillämpningsområdet för det nya dataskyddsdirektivet. I rambeslutet fastställs gemensamma regler för behandling av per- sonuppgifter inom ramen för polisiärt och straffrättsligt samarbete när personuppgifter överförs eller görs tillgängliga mellan EU- medlemsstater, Island, Liechtenstein, Norge och Schweiz och EU- organ och EU:s informationssystem. Dataskyddsrambeslutet är genomfört i Sverige huvudsakligen genom 2013 års lag.

Lagen reglerar möjligheterna för en svensk myndighet att föra över personuppgifter till ett tredjeland eller ett internationellt organ. Enligt 7 § får personuppgifter överföras till ett tredjeland eller ett internationellt organ om den som har överfört eller gjort uppgifterna tillgängliga för den svenska myndigheten har medgett att de överförs, överföringen är nödvändig för något av de ändamål som omfattas av lagens tillämpningsområde och mottagaren har ansvar för ett sådant ändamål. Därtill ska staten där den mot- tagande myndigheten eller organet finns ha en adekvat skyddsnivå för den avsedda behandlingen. Undantag från kravet på adekvat skyddsnivå görs i vissa enskilda fall som framgår av paragrafen. På samma sätt föreskrivs undantag från kravet på medgivande i förväg.

Eftersom 2013 års lag enbart är tillämplig på personuppgifter som härrör från andra medlemsstater eller från de andra stater, organ och informationssystem som nyss nämnts, gäller personupp- giftslagen (1998:204) för andra överföringar bl.a. genom hänvis-

569

Överföring till tredjeland och internationella organisationer

SOU 2017:29

ningar dit i myndigheters registerförfattningar. Som exempel på när personuppgiftslagen är tillämplig kan nämnas överföringar till USA, Kanada eller Kina av personuppgifter som har sitt ursprung i Sverige. Polismyndigheten står för en stor del av överföringarna av personuppgifter till tredjeland. Sådana överföringar kan göras med stöd av, förutom nyss nämnda lagar, lagen (1998:620) om belast- ningsregister, lagen (1998:621) om misstankeregister och polis- datalagen (2010:361).

15.1.2Personuppgiftslagen

Syftet med det nu gällande dataskyddsdirektivet (se avsnitt 4.1.2) har varit att skapa en gemensam, hög nivå på integritetsskyddet vid behandling av personuppgifter för att på så sätt möjliggöra ett fritt flöde av personuppgifter mellan medlemsstaterna i EU. Direktivet har också genomförts i övriga stater som är anslutna till EES. Ett fritt flöde av personuppgifter till tredjeland är däremot inte tillåtet. Det har genom direktivet lagts fast en gemensam nivå till skydd för personuppgifter som överförs till tredjeland.

Artiklarna 25 och 26 i det nu gällande dataskyddsdirektivet om överföring till tredjeland har genomförts i 33–35 §§ personupp- giftslagen och 12–14 §§ personuppgiftsförordningen (1998:1191). I förarbetena till lagen framhålls att direktivets bestämmelser om överföring till tredjeland är detaljerade och komplicerade. En mer komplicerad reglering än vad som är nödvändig borde därför inte införas i lagstiftningen (prop. 1997/98:44 s. 95). Det ansågs ofrån- komligt att i personuppgiftslagen föreskriva förbud mot att över- föra personuppgifter till tredjeland och de konkreta undantag från förbudet som räknas upp i direktivet (prop. 1997/98:44 s. 96). Regeringen eller den myndighet som regeringen bestämmer har bemyndigats att meddela föreskrifter om ytterligare undantag från överföringsförbudet.

I januari 2000 modifierades överföringsförbudet till att bara gälla de fall där det saknas en adekvat skyddsnivå i det tredjelandet (se Personuppgiftslagens överföringsregler, prop. 1999/2000:11, s. 14 f.). Ändringen syftade till att skapa ökat utrymme för använd- ning av internet och andra elektroniska kommunikationssätt, t.ex. e-post.

570

SOU 2017:29

Överföring till tredjeland och internationella organisationer

Enligt 33 § personuppgiftslagen är det alltså förbjudet att till tredjeland föra över personuppgifter som är under behandling, om landet inte har en adekvat skyddsnivå för personuppgifter. Förbu- det gäller även överföring av personuppgifter för behandling där. Frågan om skyddsnivån är adekvat ska bedömas med hänsyn till samtliga omständigheter som har samband med överföringen. I paragrafen anges vilka omständigheter som ska tillmätas särskild vikt. Den personuppgiftsansvarige anses ha bevisbördan för att skyddsnivån i det tredjelandet är adekvat (se prop. 1999/2000:11 s. 20).

Trots avsaknad av adekvat skyddsnivå är enligt 34 § personupp- giftslagen överföring av personuppgifter till tredjeland tillåten om den enskilde har lämnat sitt samtycke till överföringen eller om överföringen är nödvändig i vissa särskilt uppräknade fall. Paragra- fen reglerar vissa undantag från överföringsförbudet i 33 §. Ett viktigt undantag är att personuppgifter får föras över för använd- ning enbart i en stat som har anslutit sig till dataskyddskonventio- nen (se avsnitt 4.3).

15.1.3Innehållet i direktivet

Även det nya dataskyddsdirektivet reglerar förutsättningarna för att överföra personuppgifter till tredjeland. Dessutom regleras överföringar till internationella organisationer. Bestämmelserna, som är förhållandevis detaljerade, finns i artiklarna 35–40.

Ett grundläggande krav för överföring av personuppgifter till ett tredjeland eller en internationell organisation är att det tredjelandet eller den internationella organisationen säkerställer en adekvat skyddsnivå för uppgifterna. Kommissionen beslutar om ett tredje- land eller en internationell organisation uppfyller det kravet. Sådana beslut får direkt verkan i medlemsstaterna. Kommissionen ska i sin bedömning bl.a. ta hänsyn till rättsstatsprincipen, tillgången till rättslig prövning och om det finns oberoende tillsyn i mottagar- landet.

Har kommissionen inte fattat något beslut om adekvat skydds- nivå, finns det ändå möjlighet att föra över personuppgifter till ett tredjeland eller en internationell organisation om överföringen om- fattas av lämpliga skyddsåtgärder. Om det inte finns ett beslut om

571

Överföring till tredjeland och internationella organisationer

SOU 2017:29

adekvat skyddsnivå och överföringen inte heller omfattas av lämp- liga skyddsåtgärder, får överföringen göras endast om den är nöd- vändig i en särskild undantagssituation.

Huvudregeln är att överföringen ska göras till en behörig myn- dighet i det tredjelandet. Medlemsstaterna ges dock möjlighet att föreskriva att personuppgifter, i enskilda och särskilda fall, får överföras direkt till mottagare i tredjeland.

15.2Några grundläggande begrepp

15.2.1Överföring

Utredningens bedömning: Det behövs inte någon definition av vad som avses med överföring.

Skälen för utredningens bedömning

Vad avses med överföring?

Vilka åtgärder som innebär överföring av personuppgifter har dis- kuterats bl.a. av Informationshanteringsutredningen och E-offent- lighetskommittén (se SOU 2015:39 s. 478 f. och Allmänna hand- lingar i elektronisk form – offentlighet och integritet, SOU 2010:4, s. 338).

Enligt Informationshanteringsutredningen är det inte fråga om överföring av personuppgifter till tredjeland bara genom att en person befinner sig utanför unionen med personuppgifter i sin be- sittning. Det krävs en avsikt att personuppgifterna ska nå en mot- tagare i tredjeland. Om en myndighet skickar, vidarebefordrar eller förmedlar information i elektronisk form till en mottagare som befinner sig i ett tredjeland torde det däremot vara fråga om en överföring (SOU 2015:39 s. 479 f.).

Det krävs inte att överföringen till det tredjelandet innebär att personuppgifter lämnas ut till tredje man. Det anses vara en över- föring även om personuppgifterna lämnas till ett personuppgifts- biträde i tredjeland för att faktiskt behandlas där, t.ex. om en myn- dighet använder sig av en utländsk leverantör av en it-tjänst (SOU 2015:39 s. 480).

572

SOU 2017:29

Överföring till tredjeland och internationella organisationer

Det saknas vägledande avgöranden i rättspraxis om vad som är att se som en överföring. I den juridiska litteraturen har det förts viss diskussion om vad som ska förstås med överföring (se bl.a. Öman m.fl. s. 447 f.). I vilken mån det ska ses som en överföring att befinna sig i ett tredjeland och där ha elektronisk tillgång till personuppgifter som ”finns” i hemlandet anses exempelvis oklart.

När det gäller publicering på internet antogs det tidigare att all öppen publicering på en webbplats innebar att personuppgifterna blev tillgängliga i hela världen och därmed kunde anses överförda till alla länder i det nu gällande dataskyddsdirektivets mening. EU- domstolen slog emellertid i det s.k. konfirmandlärarmålet fast att det inte är fråga om överföring till tredjeland när en person i en medlemsstat lägger ut personuppgifter på en webbplats på internet som är lagrad hos en fysisk eller juridisk person som har den webb- plats där man kan komma åt sidan och som är etablerad i samma medlemsstat eller i en annan medlemsstat (dom av den 6 november 2003, Lindqvist, C-101/01).

Det har diskuterats hur långt EU-domstolens uttalande sträcker sig (se t.ex. SOU 2004:6 s. 232 f.). E-offentlighetskommittén anser att EU-domstolens avgörande klarlagt att det i de flesta fall inte innebär en överföring till tredjeland när information läggs ut på internet. Om uppgifterna t.ex. publiceras på en webbplats på inter- net och webbplatsen lagras hos en internetleverantör som är etab- lerad inom EU är det i princip inte fråga om en överföring till tredjeland. Enligt kommittén bör det alltså inte ses som överföring om en myndighet lägger ut information från ett s.k. allmänt regis- ter på sin hemsida så länge den aktuella servern finns inom EU (SOU 2010:4 s. 338). Högsta domstolen ansåg i NJA 2005 s. 361 att en rektor på en enskilt bedriven skola inte hade överfört personuppgifter till tredjeland genom att publicera uppgifterna på skolans webbplats.

Utredningen anser att det är fråga om överföring när en behörig myndighet skickar, vidarebefordrar eller förmedlar information i elektronisk form till någon som befinner sig i ett tredjeland eller till en internationell organisation. Det bör också ses som överföring att en behörig myndighet gör information tillgänglig för ett tredje- land eller en internationell organisation genom att informationen tillförs ett för de behöriga myndigheterna gemensamt datasystem, t.ex. en databas hos Interpol. Överföring på papper av personupp-

573

Överföring till tredjeland och internationella organisationer

SOU 2017:29

gifter som inte har undergått automatiserad behandling eller har in- gått i ett manuellt register bör däremot inte betraktas som en över- föring.

En överföring av personuppgifter från en svensk myndighet till ett tredjeland eller en internationell organisation kan samtidigt innebära utlämnande av allmänna handlingar. Då aktualiseras även bestämmelser om sekretess. Utredningen återkommer till det i av- snitt 15.12.4.

Bör det införas en definition av överföring?

Dataskyddsdirektivet innehåller inte någon definition av över- föring. Det definieras inte heller i 2013 års lag eller i personupp- giftslagen. Något behov av att i lag slå fast vad överföring innebär finns inte heller nu. Överföring bör därför inte definieras i ram- lagen.

15.2.2Medlemsstat

Utredningens förslag: Medlemsstat ska i ramlagen definieras som en stat som är medlem i EU och Island, Liechtenstein, Norge och Schweiz.

Skälen för utredningens förslag

Vad är en medlemsstat?

Kapitel V i direktivet gäller vid all överföring av personuppgifter från en medlemsstat till ett tredjeland eller till en internationell organisation. Kapitlet reglerar också vidareöverföring till ett tredje- land eller en internationell organisation av personuppgifter som det tredjelandet eller den internationella organisationen har fått från en medlemsstat. Ordet medlemsstat används i stor utsträckning i direktivet. Det finns därför anledning att titta närmare på vad som avses med en medlemsstat.

I vanligt språkbruk benämns en stat som är medlem i EU med- lemsstat. Direktivet utgår från att det gäller för alla EU:s medlems-

574

SOU 2017:29

Överföring till tredjeland och internationella organisationer

stater. Danmark är enligt skäl 100 inte automatiskt bundet av det men beslutade i oktober 2016 att ansluta sig. I skäl 99 påminns om att Storbritannien och Irland inte är bundna av de delar av det straffrättsliga och polisiära samarbetet som de tidigare valt att stå utanför.

Enligt skäl 101–103 är direktivet en vidareutveckling av bestäm- melserna i Schengenregelverket i förhållande till Island, Liechten- stein, Norge och Schweiz. De tre förstnämnda är, tillsammans med övriga medlemsstater i EU, anslutna till EES. Schweiz, som inte ingår i EES, har ingått avtal med EU med liknande innehåll.

Utredningen anser att de stater som är bundna av direktivet ska betraktas som medlemsstater, eftersom de är skyldiga att garantera det skydd för personuppgifter som direktivet föreskriver.

Det bör införas en definition av medlemsstat

På flera ställen i direktivet används ordet medlemsstat för att bl.a. beskriva varifrån personuppgifterna som hanteras kommer och vilka staters intressen som ska beaktas i olika sammanhang. Det är svårt att undvika att använda ordet medlemsstat i ramlagen. Efter- som vissa stater som inte är medlemsstater i EU omfattas av direk- tivet går det inte att använda ordet medlemsstat i ramlagen utan att definiera det. Ett alternativ skulle vara att räkna upp alla berörda stater, men det skulle bli onödigt omfattande och komplicerat att göra det i alla bestämmelser. Genom att definiera medlemsstat blir det tydligt vilka stater regleringen omfattar utan att ramlagen tyngs av långa uppräkningar. Medlemsstat bör därför definieras i ram- lagen.

Direktivet gäller för alla EU:s medlemsstater. Island, Liechten- stein, Norge och Schweiz är också bundna av direktivet och bör därför likställas med medlemsstater i ramlagen. Medlemsstat bör definieras som en stat som är medlem i EU och Island, Liechten- stein, Norge och Schweiz.

575

Överföring till tredjeland och internationella organisationer

SOU 2017:29

Förhållandet till äldre rättsakter som gäller för EU:s medlemsstater

Dataskyddsdirektivet ska enligt artikel 60 inte påverka tillämp- ningen av särskilda bestämmelser om dataskydd i unionsrättsakter på området för straffrättsligt samarbete och polissamarbete som antagits före dagen för antagandet av direktivet. De bestämmelser som avses reglerar behandling av personuppgifter som överförs mellan medlemsstaterna eller tillgång till EU-informationssystem. Eftersom skyddet för personuppgifter ska tillämpas enhetligt i hela unionen ska kommissionen enligt artikel 62.6 se över om äldre rättsakter behöver anpassas till direktivet.

Som exempel på äldre rättsakter nämns i skäl 94 Prümrådsbe- slutet och konventionen om ömsesidig rättslig hjälp i brottmål mellan Europeiska unionens medlemsstater. Ett annat exempel är rambeslutet och rådsbeslutet om elektroniskt utbyte av uppgifter ur kriminalregister, Ecris (se avsnitt 6.3).

Äldre rättsakter på området ska således fortsätta att tillämpas i förhållande till EU:s medlemsstater.

Förhållandet till EU:s organ och informationssystem

En särskild fråga är hur direktivet förhåller sig till EU:s organ och informationssystem. Direktivet reglerar enbart överföringar av personuppgifter från medlemsstater till tredjeland (eller andra än behöriga myndigheter i tredjeland, se avsnitt 15.8) och internatio- nella organisationer. EU:s institutioner och organ, t.ex. Europol och Eurojust, och EU-informationssystem, som Schengens infor- mationssystem (SIS II) och tullinformationssystemet (TIS), faller inte in under någon av dessa kategorier.

Enligt 2 § 2013 års lag, som bl.a. genomför artikel 1.2 i data- skyddsrambeslutet, gäller den lagen för överföring av personupp- gifter till stater som är medlemmar i EU, Island, Liechtenstein, Norge eller Schweiz och till EU-organ eller EU-informationssys- tem. Någon motsvarande reglering i förhållande till EU:s organ och informationssystem finns inte i direktivet. Det enda som sägs om dem är att det i artikel 2.3 b anges att direktivet inte tillämpas på personuppgiftsbehandling som utförs av unionens institutioner, organ och byråer. Personuppgiftsbehandlingen inom EU:s institu- tioner och organ styrs i stället av Europaparlamentets och rådets

576

SOU 2017:29

Överföring till tredjeland och internationella organisationer

förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter.

Flera rättsakter som har antagits inom EU när det gäller poli- siärt och straffrättsligt samarbete innehåller särskilda bestämmelser om skydd av personuppgifter som överförs eller på något annat sätt behandlas i enlighet med rättsakterna. I några fall utgör dessa be- stämmelser en komplett och enhetlig uppsättning regler som om- fattar alla relevanta aspekter av dataskydd och som är mer detalje- rade än direktivet. Som exempel kan nämnas rättsakter som reglerar funktionssättet för Europol, Eurojust, SIS II och TIS. Rättsakterna möjliggör informationsutbyte mellan medlemsstaterna och medför även i vissa fall uppgiftsskyldighet för de nationella myndigheterna, se t.ex. artikel 7.6 i Europolförordningen. Uppgiftsskyldighet gäller även exempelvis i förhållande till Europeiska byrån för bedrägeri- bekämpning (Olaf) enligt artikel 8 i Europaparlamentets och rådets förordning (EU, EURATOM) nr 883/2013 av den 11 september 2013. Informationsutbyte äger också rum också inom ramen för den europeiska gräns- och kustbevakningen, Frontex, enligt Euro- paparlamentets och rådets förordning (EU) 2016/1624 av den 14 september 2016 om en europeisk gräns- och kustbevakning och om ändring av Europaparlamentets och rådets förordning (EU) 2016/399 och upphävande av Europaparlamentets och rådets för- ordning (EG) nr 863/2007, rådets förordning (EG) nr 2007/2004 och rådets beslut 2005/267/EG.

När uppgiftsskyldighet eller andra åtaganden och möjlighet att utbyta information med EU:s organ eller genom EU:s informa- tionssystem regleras i andra rättsakter bör de enligt utredningens mening gälla framför direktivet (jämför artikel 60 och skäl 94). Det gör att personuppgifter även i fortsättningen kan överföras till t.ex. SIS II och TIS i samma utsträckning som hittills. Om det inte finns några rättsakter utgår utredningen från att kommissionen på något annat sätt kommer att reglera informationsflödet och skyddet för personuppgifter till unionens institutioner, organ, byråer och in- formationssystem (se artikel 62.6).

577

Överföring till tredjeland och internationella organisationer

SOU 2017:29

15.2.3Tredjeland

Utredningens förslag: Tredjeland ska i ramlagen definieras som en stat som inte är en medlemsstat.

Skälen för utredningens förslag: Direktivet innehåller inte någon definition av tredjeland. Utredningen gör samma bedömning som gjordes när personuppgiftslagen infördes, nämligen att tredjeland bör definieras (SOU 1997:39 s. 343). Särskilt mot bakgrund av det som nyss har sagts om att direktivet även ska tillämpas av några stater utanför EU, är en sådan definition nödvändig. Tillämpnings- området för ramlagens överföringsregler blir också tydligare på det sättet.

Utredningen anser att definitionen av medlemsstat bör bilda utgångspunkt för hur tredjeland definieras i ramlagen. Som framgår av avsnitt 15.2.2 avses med medlemsstat en stat som är medlem i EU och Island, Liechtenstein, Norge och Schweiz. Stater som inte är medlemsstater enligt direktivet ska betraktas som tredjeland. Definitionen av tredjeland bör därför vara en stat som inte är en medlemsstat.

15.2.4Internationell organisation

Utredningens förslag: Internationell organisation ska i ramla- gen definieras som en organisation och dess underställda organ som lyder under folkrätten eller ett annat organ som inrättats genom eller på grundval av en överenskommelse mellan två eller flera stater.

Skälen för utredningens förslag: Det är en nyhet i direktivet att reglerna om överföring av personuppgifter även omfattar över- föringar till internationella organisationer. Det nu gällande data- skyddsdirektivet reglerar bara överföring till tredjeland. Data- skyddsrambeslutet innehåller däremot bestämmelser om överföring till internationella organ (”international bodies”). Reglerna om överföring i 2013 års lag omfattar därför även överföring till sådana organ.

578

SOU 2017:29

Överföring till tredjeland och internationella organisationer

Internationell organisation definieras i artikel 3.16. Utredningen anser att direktivets uttryck internationell organisation, som också används i dataskyddsförordningen, bör användas i ramlagen. För att tydliggöra vad som avses bör det tas in en definition i lagen. Internationell organisation bör definieras som en organisation och dess underställda organ som lyder under folkrätten eller ett annat organ som inrättats genom eller på grundval av en överenskom- melse mellan två eller flera stater.

Inom ramlagens tillämpningsområde är det främst till Interpol som personuppgifter brukar överföras, men det finns även andra internationella organisationer som kan komma i fråga.

15.2.5Internationella avtal

Utredningens bedömning: Det behövs inte någon definition av internationella avtal.

Skälen för utredningens bedömning: I artikel 39.2 förklaras vad som menas med ett internationellt avtal. Enligt artikeln avses varje gällande bilateralt eller multilateralt internationellt avtal mellan medlemsstater och tredjeländer inom området för straffrättsligt samarbete och polissamarbete. I artikel 61 slås fast att sådana inter- nationella avtal som rör överföring av personuppgifter till tredje- länder eller internationella organisationer och som medlemssta- terna ingick före den 6 maj 2016 och är förenliga med unionsrätten som den tillämpades före den dagen, ska fortsätta att gälla tills de ändras, ersätts eller återkallas. Det torde inte vara nödvändigt att avtalet i sin helhet gäller personuppgiftsbehandling, utan ett avtal om t.ex. internationellt samarbete som innehåller bestämmelser om dataskydd bör också kunna ses som ett internationellt avtal i direktivets mening.

Artikel 39.2 behöver inte genomföras i nationell rätt. Utred- ningen ser inte heller något behov av att definiera internationellt avtal, eftersom uttrycket inte används i ramlagen.

579

Överföring till tredjeland och internationella organisationer

SOU 2017:29

15.3Allmänna principer för överföring av personuppgifter

15.3.1Grundläggande förutsättningar för överföring

Utredningens förslag: Behöriga myndigheter får, om vissa vill- kor är uppfyllda, överföra personuppgifter som behandlas till ett tredjeland eller en internationell organisation. Det gäller även överföring av personuppgifter för behandling i ett tredjeland eller av en internationell organisation.

En behörig myndighet som avser att överföra personuppgif- ter till ett tredjeland eller en internationell organisation ska sär- skilt beakta risken för att enskilda får försämrat skydd för sina personuppgifter.

Skälen för utredningens förslag

Innehållet i direktivet och nuvarande reglering

I artikel 35 anges allmänna principer för överföring av personupp- gifter till ett tredjeland eller en internationell organisation.

En grundläggande förutsättning för överföring av personupp- gifter till ett tredjeland eller en internationell organisation är att nationella bestämmelser om behandling av personuppgifter respek- teras och att de villkor som räknas upp i punkterna a–d i arti- kel 35.1 är uppfyllda (se avsnitt 15.3.2–15.3.4). Det gäller för all överföring av personuppgifter oavsett på vilken grund överföringen görs (med undantag för att kravet i 35.1 b inte behöver vara upp- fyllt när personuppgifter får överföras till någon annan än en behö- rig myndighet, se avsnitt 15.8). Enligt artikel 35.1 får behöriga myndigheter överföra personuppgifter som håller på att behandlas eller är avsedda att behandlas efter det att de överförts till ett tredjeland eller en internationell organisation.

En liknande bestämmelse finns i 7 § första stycket 2013 års lag, som genomför artikel 13.1 i dataskyddsrambeslutet. Enligt 33 § personuppgiftslagen omfattar förbudet mot överföring till tredje- land dels personuppgifter som är under behandling, dels person- uppgifter som överförs för behandling i tredjeland.

580

SOU 2017:29

Överföring till tredjeland och internationella organisationer

De grundläggande förutsättningarna för överföring anges i ramlagen

Artikel 35.1 bör genomföras i ramlagen. Av paragrafen bör framgå att behöriga myndigheter får överföra personuppgifter till ett tredjeland eller en internationell organisation endast om vissa sär- skilt uppräknade villkor är uppfyllda. Vilka de särskilda villkoren är och hur de ska komma till uttryck i ramlagen diskuteras i det föl- jande. Här räcker det att konstatera att paragrafen bör utformas så att det framgår att samtliga villkor ska vara uppfyllda för att en behörig myndighet ska få överföra personuppgifter till ett tredje- land eller en internationell organisation. Behörig myndighet defi- nieras i ramlagen (se avsnitt 7.1.4).

Av paragrafen bör vidare framgå att det ska vara fråga om per- sonuppgifter som håller på att behandlas, dvs. är föremål för sådan behandling som omfattas av ramlagens tillämpningsområde (se av- snitt 7.1.6). Kravet på att personuppgifterna ska vara föremål för behandling uttrycks annorlunda i det nu gällande dataskyddsdirek- tivet. Där talas det i stället om personuppgifter som är under be- handling. I 33 § personuppgiftslagen används samma formulering. Att uttrycket håller på att behandlas används i det nya dataskydds- direktivet innebär enligt utredningens mening inte någon ändring i sak i förhållande till vad som gäller i dag. Utredningen anser emel- lertid att ordet behandlas bör användas i ramlagen eftersom det stämmer bättre överens med förslagen i övrigt.

Paragrafen bör också reglera överföring av personuppgifter för behandling i ett tredjeland eller av en internationell organisation. Det är fråga om sådana personuppgifter som inte är föremål för automatiserad eller annan strukturerad behandling i Sverige, utan överförs till ett tredjeland eller en internationell organisation för att automatiseras där t.ex. genom att läggas in i en databas.

Det är inte ovanligt att personuppgifter överförs till tredjeland genom så kallade nationella kontaktpunkter inom ramen för inter- nationellt samarbete. Syftet med nationella kontaktpunkter är att underlätta det internationella samarbetet genom att varje stat pekar ut en viss myndighet som är ständigt tillgänglig och genom vilken all information till staten kanaliseras, oberoende av vem den slutliga mottagaren är. Kontaktpunkten ser till att informationen omedel- bart vidarebefordras till mottagaren. Som exempel kan nämnas att Polismyndigheten är nationell kontaktpunkt bl.a. när det gäller

581

Överföring till tredjeland och internationella organisationer

SOU 2017:29

FN:s vapenprogram (Förenta nationernas resolution 55/255, anta- gen den 31 maj 2001 av generalförsamlingen, tilläggsprotokoll mot olaglig tillverkning av och handel med skjutvapen, deras delar och komponenter och ammunition till Förenta nationernas konvention mot gränsöverskridande organiserad brottslighet) och enligt FN:s konventioner om bekämpande av nukleär terrorism och brott mot sjöfartens säkerhet (Förenta nationernas konvention den 13 april 2005 för bekämpande av nukleär terrorism och Förenta nationernas konvention den 10 mars 1988 för bekämpande av brott mot sjöfar- tens säkerhet med dess protokoll den 14 oktober 2005). Ramlagens reglering av överföring bör enligt utredningens mening inte hindra att sådant samarbete är möjligt även i fortsättningen. Det är dock endast behöriga myndigheter som kan fungera som kontaktpunkter för informationsutbyte inom ramlagens tillämpningsområde.

Överföringen ska vara förenlig med övriga bestämmelser i ramlagen

Ett krav för att personuppgifter ska få överföras till ett tredjeland eller en internationell organisation är enligt artikel 35.1 att de nationella bestämmelserna som antas i enlighet med andra bestäm- melser i direktivet respekteras.

Redan i dag ska de grundläggande kraven på behandling av per- sonuppgifter i 9 § personuppgiftslagen alltid vara uppfyllda för att uppgifterna ska få överföras till ett tredjeland. Överföringen ska också vara tillåten enligt 10 § personuppgiftslagen. Är det exempel- vis känsliga personuppgifter, uppgifter om lagöverträdelser eller personnummer som ska överföras, krävs det också att behand- lingen är tillåten enligt 13–22 §§ (se prop. 1997/98:44 s. 137).

För att personuppgifter ska få överföras till ett tredjeland eller en internationell organisation bör det krävas att alla de grundläg- gande förutsättningarna för att få behandla personuppgifter är uppfyllda. Det följer av att överföringen som sådan är en behand- ling av personuppgifter i ramlagens mening. Överföringen får naturligtvis inte heller stå i strid med andra bestämmelser i lagen.

582

SOU 2017:29

Överföring till tredjeland och internationella organisationer

Skyddsnivån får inte försämras genom överföringen

Av artikel 35.3 framgår att alla bestämmelser som gäller överföring ska tillämpas för att den skyddsnivå som säkerställs genom direkti- vet inte ska undergrävas. Enligt skäl 64 är det viktigt att den skyddsnivå som direktivet garanterar fysiska personer inom unio- nen inte undergrävs när personuppgifter överförs från unionen till personuppgiftsansvariga, personuppgiftsbiträden eller andra adres- sater i tredjeland eller till internationella organisationer.

Bestämmelsen fyller en viktig funktion för att tydliggöra att en- skildas intresse av skydd för personuppgifter ska värnas även när uppgifterna lämnar medlemssfären. En bestämmelse som motsvarar innehållet i artikeln bör därför tas in i ramlagen. Av den bör framgå att en behörig myndighet som avser att överföra personuppgifter till ett tredjeland eller en internationell organisation särskilt ska beakta risken för att enskilda får ett försämrat skydd för sina per- sonuppgifter.

15.3.2Överföringen ska vara nödvändig för ett visst ändamål och riktas till en behörig myndighet

Utredningens förslag: Personuppgifter får överföras till ett tredjeland eller en internationell organisation endast om över- föringen är nödvändig för att förebygga, förhindra eller upp- täcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet.

Överföringen ska riktas till en behörig myndighet i ett tredjeland eller till en internationell organisation som är en be- hörig myndighet.

Skälen för utredningens förslag

Innehållet i direktivet och nuvarande reglering

Enligt artikel 35.1 a får personuppgifter överföras till ett tredjeland eller till en internationell organisation endast om överföringen är nödvändig för de ändamål som anges i artikel 1.1. Enligt den arti-

583

Överföring till tredjeland och internationella organisationer

SOU 2017:29

keln ska direktivet tillämpas på behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga på- följder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten.

Ett ytterligare villkor för överföring av personuppgifter är enligt artikel 35.1 b att uppgifterna överförs till en personuppgiftsansva- rig i ett tredjeland eller en internationell organisation som är en behörig myndighet för något av de ändamål som anges i artikel 1.1. I skäl 64 framhålls att en överföring endast bör utföras av behöriga myndigheter som agerar som personuppgiftsansvariga, utom när personuppgiftsbiträden uttryckligen har getts i uppdrag att göra överföringar för personuppgiftsansvarigas räkning.

I 2013 års lag finns motsvarande bestämmelser i 7 § första stycket 2 och 3, som genomför artikel 13.1 a och b i dataskydds- rambeslutet. Enligt paragrafen får personuppgifter överföras endast om det är nödvändigt för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straff- rättsliga påföljder och endast till en mottagare som har ansvar för sådan verksamhet.

Överföring enbart till behöriga myndigheter för vissa ändamål

Artiklarna 35.1 a och b bör genomföras i ramlagen. Paragrafen bör formuleras på samma sätt som regleringen av lagens tillämpnings- område, dvs. knytas till arbetsuppgifterna förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verk- ställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. Utredningen anser att det blir mer överskådligt än att hänvisa till paragrafen som reglerar lagens tillämpningsområde. Det är också så bestämmelsen i 2013 års lag har formulerats.

Kravet på att överföringen ska vara nödvändig bör enligt utred- ningens mening tolkas på samma sätt som i allmänt språkbruk, dvs. att det är fråga om något som behövs (se avsnitt 9.1.2). Den per- sonuppgift som överförs kan behövas antingen för att den över- förande eller för att den mottagande myndigheten ska kunna utföra en arbetsuppgift som den har ansvar för inom det angivna tillämp- ningsområdet. En svensk behörig myndighet kan t.ex. behöva över-

584

SOU 2017:29

Överföring till tredjeland och internationella organisationer

föra personuppgifter till ett tredjeland för att få hjälp med bevis- upptagning i ett ärende som handläggs i Sverige. På motsvarande sätt kan ett tredjeland eller en internationell organisation behöva få tillgång till svenska personuppgifter för sin brottsbekämpning, lagföring eller straffverkställighet.

Av paragrafen bör vidare framgå att det bara är tillåtet att föra över personuppgifter om det görs till en behörig myndighet i ett tredjeland eller till en internationell organisation som är en behörig myndighet. Personuppgifterna ska följaktligen överföras till en myndighet eller en annan aktör som har i uppdrag att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. Den behöriga myndigheten som personupp- gifterna lämnas till behöver inte ha samma arbetsuppgifter som den svenska myndigheten som överför personuppgifterna. Det bör således inte finnas något hinder mot att exempelvis en svensk åkla- gare lämnar personuppgifter till en utländsk domstol. Det bör inte heller finnas något hinder mot att personuppgifter överförs mellan två nationella kontaktpunkter oavsett vilken typ av myndighet som har utsetts till kontaktpunkt.

15.3.3Viss skyddsnivå ska vara säkerställd

Utredningens förslag: Personuppgifter får överföras till ett tredjeland eller en internationell organisation endast om kom- missionen har antagit ett beslut om adekvat skyddsnivå, eller, om det inte finns ett sådant beslut, om personuppgifterna om- fattas av tillräckliga skyddsåtgärder hos adressaten. Om det inte finns ett beslut om adekvat skyddsnivå eller tillräckliga skydds- åtgärder får personuppgifter överföras endast när ett undantag för särskilda situationer är tillämpligt.

Skälen för utredningens förslag: Enligt artikel 35.1 d gäller som huvudregel att personuppgifter får överföras till ett tredjeland eller en internationell organisation endast om personuppgiftsbehand- lingen där säkerställer viss skyddsnivå. Tanken är att den skydds- nivå som säkerställs genom direktivet som utgångspunkt ska gälla även när personuppgifter överförs till ett tredjeland eller en inter-

585

Överföring till tredjeland och internationella organisationer

SOU 2017:29

nationell organisation. För att personuppgifter ska få lämnas ut från en medlemsstat krävs det därför enligt artikel 36 i första hand att det tredjelandet eller den internationella organisationen omfat- tas av ett beslut från kommissionen om att landet eller organisatio- nen säkerställer en adekvat skyddsnivå. Om det inte finns ett så- dant beslut får personuppgifter enligt artikel 37 ändå överföras i vissa fall om lämpliga skyddsåtgärder har vidtagits eller säkerställts. Är inte heller det kravet uppfyllt får personuppgifter endast över- föras i de särskilda undantagssituationer som är uttömmande regle- rade i artikel 38.

De tre överföringsgrunderna redovisas mer ingående i samband med att artiklarna 36–38 behandlas. Det räcker därför här att kon- statera att villkoret ska genomföras i svensk rätt genom en be- stämmelse i ramlagen som motsvarar innehållet i artikel 35.1 d.

15.3.4Överföring av uppgifter från andra medlemsstater ska vara medgiven

Utredningens förslag: Personuppgifter som en svensk myndig- het har fått från en annan medlemsstat får överföras till ett tredjeland eller en internationell organisation endast om den medlemsstat som lämnat uppgifterna till en svensk myndighet har medgett att de överförs.

Om medgivande på grund av tidsbrist inte kan inhämtas i förväg, får personuppgifter ändå överföras till ett tredjeland eller en internationell organisation om det är nödvändigt för att avvärja en omedelbar och allvarlig fara för allmän säkerhet. Det- samma gäller om det är nödvändigt för att avvärja en omedelbar och allvarlig fara för andra väsentliga intressen för Sverige eller en annan medlemsstat.

Att den andra medlemsstaten utan dröjsmål ska informeras om överföringen ska regleras i förordning.

586

SOU 2017:29

Överföring till tredjeland och internationella organisationer

Skälen för utredningens förslag

Innehållet i direktivet

Enligt artikel 35.1 c ska den som vill överföra personuppgifter som kommer från en annan medlemsstat till ett tredjeland eller en inter- nationell organisation ha den andra medlemsstatens tillstånd till överföringen. Tillståndet ska ges innan överföringen får äga rum.

I artikel 35.2 görs undantag från huvudregeln om förhandstill- stånd. Där anges att det är tillåtet att överföra personuppgifter utan förhandstillstånd om överföringen är nödvändig för att avvärja ett omedelbart och allvarligt hot mot den allmänna säkerheten i en medlemsstat eller ett tredjeland eller mot en medlemsstats väsent- liga intressen och tillstånd inte kan inhämtas i tid. Den myndighet som skulle ha gett tillstånd ska då utan dröjsmål informeras om att överföringen har gjorts.

Nuvarande reglering

I 2013 års lag finns motsvarande bestämmelse i 7 § första stycket 1, som genomför artikel 13.1 c i dataskyddsrambeslutet. Enligt den bestämmelsen får personuppgifter överföras endast om den som överfört eller gjort uppgifterna tillgängliga har medgett att de över- förs. Enligt 7 § tredje stycket, som genomför artikel 13.2 i rambe- slutet, får, om medgivande på grund av tidsbrist inte kan utverkas i förväg, personuppgifterna ändå överföras om det är nödvändigt för att avvärja en omedelbar och allvarlig fara för allmän säkerhet. Det- samma gäller om det är nödvändigt för att avvärja en omedelbar och allvarlig fara för andra väsentliga intressen för Sverige eller en annan medlemsstat i EU. Den myndighet som skulle ha medgett överföringen ska, enligt 1 § förordningen (2013:343) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, utan dröjs- mål informeras om att överföringen gjorts utan föregående med- givande.

587

Överföring till tredjeland och internationella organisationer

SOU 2017:29

Huvudregeln är att förhandstillstånd krävs

Artikel 35.1 c bör genomföras i ramlagen. Av paragrafen bör det framgå att personuppgifter som en svensk myndighet har fått från en annan medlemsstat får överföras till ett tredjeland eller en inter- nationell organisation endast om den medlemsstat som lämnat per- sonuppgifterna till en svensk myndighet i förväg har tillåtit det. Utredningen föreslår att ordet medge används i ramlagen, eftersom det på ett bättre sätt speglar vad som avses.

Undantag vid allvarlig fara

Även artikel 35.2 om undantag från kravet på förhandsmedgivande bör genomföras i ramlagen. Med hänsyn till att bestämmelsen i 2013 års lag är väl anpassad till hur svensk lagstiftning brukar ut- formas finns det skäl att använda en liknande formulering i ram- lagen. Det innebär att ordet fara bör användas i stället för ordet hot, som används i den svenska språkversionen av direktivet. En motsvarande bestämmelse, som också syftar till att tillgodose skyd- det för allmän säkerhet, finns i artikel 38.1 c. Där används ordet fara i den svenska versionen. I den engelska versionen av direktivet används ordet ”threat” i både artikel 35.2 och 38.1 c. Någon saklig skillnad kan därför inte vara avsedd.

Det är vidare tillräckligt att det, på samma sätt som i 2013 års lag, anges att det ska vara fara för allmän säkerhet. Tillägget i direk- tivet att det ska gälla säkerheten i en medlemsstat eller ett tredje- land innebär att tillämpningsområdet omfattar alla stater och sak- nar därmed egentligt innehåll. Att använda formuleringen ”den allmänna säkerheten i en stat” skulle inte heller bidra till någon ökad klarhet. De väsentliga intressena, som enligt direktivet gäller till förmån för en medlemsstat, bör däremot avse Sverige eller en annan medlemsstat.

Det bör föreskrivas att den som har överfört personuppgifter till ett tredjeland eller en internationell organisation utan för- handsmedgivande, när sådant krävs, utan dröjsmål ska informera den medlemsstat som lämnat uppgifterna till Sverige om över- föringen. En sådan bestämmelse kan tas in i förordning.

588

SOU 2017:29

Överföring till tredjeland och internationella organisationer

15.4Beslut om adekvat skyddsnivå

Utredningens förslag: Om kommissionen har beslutat att det finns adekvat nivå för skyddet av personuppgifter i ett tredje- land, eller en viss geografisk eller på annat sätt angiven del av det, får personuppgifter överföras dit. Detsamma gäller om det finns ett sådant beslut avseende en internationell organisation.

Skälen för utredningens förslag

Innehållet i direktivet

Enligt artikel 36.1 får personuppgifter överföras till ett tredjeland eller en internationell organisation om kommissionen har beslutat att det tredjelandet eller den internationella organisationen säker- ställer en adekvat skyddsnivå. Därutöver ska de grundläggande förutsättningarna för överföring i artikel 35 vara uppfyllda.

Kommissionen får enligt artikel 36.3, med bindande verkan för medlemsstaterna, besluta att ett tredjeland, ett territorium eller en eller flera specificerade sektorer inom ett tredjeland, eller en inter- nationell organisation säkerställer en adekvat skyddsnivå. Den ter- ritoriella och sektoriella tillämpningen ska anges i beslutet och det ska också, i förekommande fall, anges vilken eller vilka myndighe- ter som är tillsynsmyndigheter. En mekanism för regelbunden översyn, minst vart fjärde år, ska inrättas. Vilka omständigheter kommissionen ska beakta när den beslutar om adekvat skyddsnivå framgår av artikel 36.2. Enligt artikel 36.4 ska kommissionen fort- löpande bevaka om utvecklingen i ett tredjeland eller hos en inter- nationell organisation påverkar ett beslut om adekvat skyddsnivå.

Kommissionen får enligt artikel 36.5, även det med bindande verkan för medlemsstaterna, besluta att ett tredjeland, ett territo- rium eller en eller flera specificerade sektorer inom det tredjelan- det, eller en internationell organisation inte längre säkerställer en adekvat skyddsnivå. Kommissionen kan alltså dra tillbaka, ändra eller upphäva ett beslut om adekvat skyddsnivå och även förordna att beslutet ska gälla omedelbart. Om kommissionen fattar ett sådant beslut är det inte längre tillåtet att överföra personuppgifter dit. Däremot kan en överföring vara tillåten om kraven på lämpliga

589

Överföring till tredjeland och internationella organisationer

SOU 2017:29

skyddsåtgärder eller undantag i särskilda situationer är uppfyllda (se skäl 70). Enligt artikel 36.8 ska kommissionen på sin webbplats och i EU:s officiella tidning offentliggöra beslut i fråga om adekvat skyddsnivå.

Nuvarande reglering

I 2013 års lag finns motsvarande bestämmelse i 7 § första stycket 4, som genomför artikel 13.1 d i dataskyddsrambeslutet. Där anges som krav för överföring att den stat där den mottagande myndig- heten eller det mottagande internationella organet finns har en ade- kvat skyddsnivå för den avsedda personuppgiftsbehandlingen.

Kommissionen får, enligt artikel 25.6 i det nu gällande data- skyddsdirektivet, konstatera att ett tredjeland, genom sin interna lagstiftning eller på grund av de internationella förpliktelser som åligger landet, har en skyddsnivå som är adekvat. Om kommissio- nen meddelar ett sådant beslut är medlemsstaterna skyldiga att vidta nödvändiga åtgärder för att följa beslutet. Medlemsstaterna och kommissionen ska informera varandra om de anser att ett visst tredjeland inte har en adekvat skyddsnivå. Om kommissionen kommer fram till att ett tredjeland inte har en adekvat skyddsnivå är medlemsstaterna skyldiga att vidta de åtgärder som är nödvän- diga för att förhindra att personuppgifter överförs dit. Kommissio- nen ska i sådant fall vid lämpligt tillfälle inleda förhandlingar med det tredjelandet för att avhjälpa den uppkomna situationen.

Möjligheten för kommissionen att besluta om adekvat skydds- nivå enligt artikel 25.6 har utnyttjats i förhållande till vissa länder och områden. Av 13 § personuppgiftsförordningen och bilaga 1 till förordningen framgår i vilken utsträckning personuppgifter får överföras till ett tredjeland, eller till vissa mottagare i ett tredjeland, som har en adekvat dataskyddsnivå.

Adekvat skyddsnivå innebär att överföring alltid är tillåten

Medlemsstaterna ska alltså, på samma sätt som i dag, vara bundna av kommissionens beslut att ett tredjeland eller en internationell organisation har en adekvat skyddsnivå. Detsamma gäller ett beslut att ett tredjeland eller en internationell organisation inte längre

590

SOU 2017:29

Överföring till tredjeland och internationella organisationer

uppfyller kraven på adekvat skyddsnivå. Även om ett tredjeland eller en internationell organisation inte längre säkerställer en ade- kvat skyddsnivå, ska det enligt artikel 36.7 fortfarande vara möjligt att i vissa fall föra över personuppgifter dit om lämpliga skyddsåt- gärder enligt artikel 37 säkerställs eller ett undantag för särskilda situationer i artikel 38 är tillämpligt.

Merparten av artikel 36 behandlar kommissionens arbetsupp- gifter och kräver därmed inga lagstiftningsåtgärder. Artiklarna 36.1 och 36.3 bör däremot genomföras i ramlagen. Av paragrafen bör framgå att personuppgifter får överföras till ett tredjeland eller en internationell organisation om kommissionen har beslutat att lan- det eller organisationen säkerställer en adekvat nivå för skyddet av personuppgifter. Detsamma bör gälla om kommissionen har be- slutat att det finns en adekvat skyddsnivå i en viss geografisk eller på annat sätt angiven del av ett tredjeland, vilket motsvarar direkti- vets uttryck ett territorium eller en eller flera specificerade sektorer inom ett tredjeland. Ett sådant beslut skulle kunna avse t.ex. en region eller en viss myndighet i ett tredjeland. De grundläggande förutsättningarna för överföring av personuppgifter till ett tredje- land eller en internationell organisation ska också vara uppfyllda för att personuppgifter ska få överföras.

Att kommissionen har återkallat ett beslut om adekvat skydds- nivå bör likställas med att det saknas ett sådant beslut. Det förhål- landet att det inte längre finns en adekvat skyddsnivå hindrar inte att personuppgifterna överförs med stöd av någon av de andra till- låtna grunderna för överföring (lämpliga skyddsåtgärder eller undantag i särskilda situationer). Det följer av övriga bestämmelser

iramlagen.

15.5Tillräckliga skyddsåtgärder

Utredningens förslag: Om det inte finns ett beslut om adekvat skyddsnivå, får personuppgifter ändå överföras till ett tredjeland eller en internationell organisation om skyddsåtgärder för per- sonuppgifter har fastställts i ett avtal som ger tillräckliga garan- tier till skydd för registrerades rättigheter, eller om den behöriga myndighet som uppgifterna ska överföras till på annat sätt garanterar tillräckligt skydd för dem.

591

Överföring till tredjeland och internationella organisationer

SOU 2017:29

Skälen för utredningens förslag

Innehållet i direktivet

Även om det inte finns något beslut av kommissionen om adekvat skyddsnivå får personuppgifter överföras till ett tredjeland eller en internationell organisation om lämpliga skyddsåtgärder kan säker- ställas i det enskilda fallet. Enligt artikel 37.1 får personuppgifter överföras till ett tredjeland eller en internationell organisation om lämpliga skyddsåtgärder för personuppgifter har fastställts i ett rättsligt bindande instrument, eller om den personuppgiftsansva- rige har bedömt alla omständigheter kring överföringen och dragit slutsatsen att lämpliga skyddsåtgärder för personuppgifterna ändå föreligger. Dessutom ska de grundläggande förutsättningarna för överföring i artikel 35 vara uppfyllda.

Som exempel på rättsligt bindande instrument anges i skäl 71 rättsligt bindande bilaterala avtal som har ingåtts av medlemssta- terna och genomförts i staternas rättsordningar och som kan åbe- ropas av registrerade. De bilaterala avtalen ska i sådana fall sörja för att kraven på dataskydd uppfylls och att registrerades rättigheter, däribland rätten till effektiv administrativ eller rättslig prövning, respekteras.

Vid bedömningen av om det finns lämpliga skyddsåtgärder för personuppgifter bör enligt skäl 71 den personuppgiftsansvarige kunna beakta sådana samarbetsavtal som ingåtts mellan Europol eller Eurojust och tredjeland och som medger utbyte av person- uppgifter. Det bör också kunna beaktas att överföringen kommer att omfattas av tystnadsplikt och att personuppgifterna inte kom- mer att behandlas i annat syfte än det för vilket de överfördes. Dessutom bör den personuppgiftsansvarige beakta att personupp- gifterna inte kommer att användas för att göra framställningar om, meddela eller verkställa ett dödsstraff eller någon annan form av grym eller omänsklig behandling. Den personuppgiftsansvarige bör också kunna begära ytterligare skyddsåtgärder.

592

SOU 2017:29

Överföring till tredjeland och internationella organisationer

Nuvarande reglering

Enligt artikel 26.2 i det nu gällande dataskyddsdirektivet får en medlemsstat tillåta att personuppgifter överförs till ett tredjeland som inte säkerställer en adekvat skyddsnivå om den personupp- giftsansvarige ställer tillräckliga garantier för att privatliv och en- skilda personers grundläggande fri- och rättigheter skyddas och för utövandet av motsvarande rättigheter. Sådana garantier kan framgå av lämpliga avtalsklausuler. Artikeln har genomförts i 35 § andra stycket personuppgiftslagen som ger regeringen, eller den myndig- het som regeringen bestämmer, möjlighet att meddela föreskrifter om undantag från överföringsförbudet i personuppgiftslagen om det finns tillräckliga garantier till skydd för de registrerades rättig- heter. I enskilda fall får regeringen också besluta om undantag på sådan grund eller överlåta till tillsynsmyndigheten att fatta sådana beslut. Regeringen får vidare enligt 35 § första stycket personupp- giftslagen meddela föreskrifter om generella undantag från förbu- det mot överföring av personuppgifter, när överföringen regleras av ett avtal som ger tillräckliga garantier till skydd för de registrerades rättigheter. Av 13 § personuppgiftsförordningen och bilaga 2 till förordningen framgår i vilken utsträckning personuppgifter får överföras till ett tredjeland med stöd av vissa standardavtalsklausu- ler. Ytterligare avtal som har ingåtts med tredjeland har genomförts i Sverige genom 13 a § personuppgiftsförordningen och bilaga 3 till förordningen.

Enligt 7 § andra stycket 2013 års lag, som genomför bl.a. arti- kel 13.3 a i dataskyddsrambeslutet, får personuppgifter överföras även om kravet på adekvat skyddsnivå inte är uppfyllt, om motta- garen i det enskilda fallet tillhandahåller tillräckliga skyddsåtgärder för personuppgifterna.

Överföring är tillåten om det finns tillräckliga skyddsåtgärder

Det bör i ramlagen tas in en bestämmelse om att personuppgifter får överföras till ett tredjeland eller en internationell organisation, trots att det inte finns ett beslut om adekvat skyddsnivå, om lämp- liga skyddsåtgärder säkerställs för personuppgiftsbehandlingen där. Paragrafen bör motsvara innehållet i artikel 37.1. De grundläggande förutsättningarna för överföring av personuppgifter till ett tredje-

593

Överföring till tredjeland och internationella organisationer

SOU 2017:29

land eller en internationell organisation ska också vara uppfyllda för att personuppgifter ska få överföras.

I enlighet med artikel 37.1 a bör för det första lämpliga skydds- åtgärder kunna föreligga om ett avtal säkerställer skyddet för per- sonuppgifter. Ett sådant avtal är dataskyddskonventionen (se av- snitt 4.3). Det har också träffats ett avtal mellan USA och EU om skydd av personuppgifter i samband med förebyggande, utredning, avslöjande och lagföring av brott (kallat Umbrella agreement). Av- talet bör betraktas som ett sådant avtal som ger tillräckliga garan- tier till skydd för behandlingen av personuppgifter. Även andra avtal om internationellt samarbete som innehåller bestämmelser om dataskydd och som respekterar registrerades rättigheter kan garan- tera tillräckligt skydd för personuppgifter som överförs.

För det andra bör personuppgifter få överföras om den person- uppgiftsansvarige har tagit hänsyn till alla omständigheter kring överföringen och dragit slutsatsen att lämpliga skyddsåtgärder för personuppgifterna föreligger. Innebörden är att överföringen är tillåten om den behöriga myndighet som personuppgifterna över- förs till säkerställer lämpliga skyddsåtgärder för personuppgifterna.

Direktivet använder uttrycket lämpliga skyddsåtgärder. Att an- vända uttrycket lämpliga skyddsåtgärder kan ge intryck av att den som vill överföra personuppgifter kan göra en skönsmässig bedöm- ning av vilka skyddsåtgärder som är lämpliga, vilket inte är avsik- ten. I 2013 års lag används uttrycket tillräckliga skyddsåtgärder, vilket är en lämplig formulering. Utredningen föreslår att formu- leringen skyddsåtgärder för personuppgifter som ger tillräckliga garantier till skydd för registrerades rättigheter används beträffande skydd som garanteras genom avtal. I den bestämmelse som genom- för artikel 37.1 b bör därför föreskrivas att den behöriga myndighet som personuppgifterna överförs till på annat sätt än genom avtal ska garantera tillräckligt skydd för uppgifterna. Tillräckliga skydds- åtgärder kan då användas som ett samlingsbegrepp både för garan- tier genom avtal och för andra garantier.

När tillräckliga skyddsåtgärder inte garanteras genom ett avtal ska den personuppgiftsansvarige, inför överföring av personupp- gifter till ett tredjeland eller en internationell organisation, bedöma alla omständigheter kring överföringen. Vid bedömningen bör den personuppgiftsansvarige t.ex. kunna beakta att den som ska be- handla uppgifterna i det tredjelandet eller den internationella orga-

594

SOU 2017:29

Överföring till tredjeland och internationella organisationer

nisationen kommer att ha tystnadsplikt som omfattar de överförda uppgifterna eller att det garanteras att personuppgifterna inte kommer att behandlas för något annat ändamål än det för vilket de överförts. Kommer personuppgifterna att omfattas av sekretess efter att de överförts till ett tredjeland eller en internationell orga- nisation kan det också vägas in vid bedömningen av om det finns tillräckliga skyddsåtgärder. Den personuppgiftsansvarige bör även kunna beakta vilka regler som gäller för behandling av personupp- gifter i det tredjelandet eller vilka interna rutiner som tillämpas i den internationella organisation dit personuppgifterna ska föras.

Prövningen av ett lands skyddsnivå ska göras med utgångspunkt i omständigheterna i det enskilda fallet. Det är alltså inte tillräckligt att det t.ex. årligen görs en bedömning av förhållandena i ett visst tredjeland eller hos en viss organisation och att den bedömningen sedan generellt läggs till grund för beslut att överföra personupp- gifter dit. En annan sak är att överföring av vissa personuppgifter kan vara standardbetonad, t.ex. att översända utdrag ur belastnings- registret. Är det fråga om sådana rutinöverföringar räcker det enligt utredningens mening att kontrollera skyddsnivån medan det inte krävs någon särskild bedömning av innehållet i registerutdraget.

För att tillsynsmyndigheten ska kunna säkerställa att pröv- ningen av skyddsnivån varit fullgod är det nödvändigt att en hän- visning görs i det enskilda fallet till vilka dokument och eventuella upplysningar som har legat till grund för bedömningen.

15.6Undantag i särskilda situationer

15.6.1Överföringen ska vara nödvändig i en särskild situation

Utredningens förslag: Om det inte finns ett beslut om adekvat skyddsnivå eller tillräckliga skyddsåtgärder får en överföring, eller en samling av överföringar, av personuppgifter göras till ett tredjeland eller en internationell organisation endast om över- föringen är nödvändig i vissa särskilda undantagssituationer.

595

Överföring till tredjeland och internationella organisationer

SOU 2017:29

Skälen för utredningens förslag

Innehållet i direktivet

Finns det inte ett beslut om adekvat skyddsnivå eller lämpliga skyddsåtgärder får en överföring, eller en kategori av överföringar, av personuppgifter endast äga rum i särskilda undantagssituationer som räknas upp i artikel 38.1. De grundläggande förutsättningarna för att överföra personuppgifter till ett tredjeland eller en inter- nationell organisation enligt artikel 35 ska dock alltid vara upp- fyllda.

De situationer som anges i artikel 38.1 är att överföringen ska vara nödvändig för att

a)skydda intressen som är av grundläggande betydelse för den registrerade eller en annan person,

b)skydda den registrerades berättigade intressen om lagstiftningen i den medlemsstat som överför personuppgifterna föreskriver det,

c)avvärja en omedelbar eller allvarlig fara för den allmänna säker- heten i en medlemsstat eller i ett tredjeland,

d)i ett enskilt fall förebygga, förhindra, avslöja, utreda eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive skydda mot, förebygga och förhindra hot mot den allmänna säkerheten, och

e)i ett enskilt fall fastslå, göra gällande eller försvara rättsliga an- språk.

Nuvarande reglering

Enligt 7 § andra stycket 2013 års lag, som genomför artikel 13.3 a i dataskyddsrambeslutet, får, om kravet på adekvat skyddsnivå inte är uppfyllt, personuppgifter överföras i ett enskilt fall om överfö- ringen är motiverad av ett berättigat intresse hos den som uppgif- terna avser eller av ett särskilt viktigt allmänt intresse eller om mottagaren i det enskilda fallet tillhandahåller tillräckliga skyddsåt- gärder för personuppgifterna.

596

SOU 2017:29

Överföring till tredjeland och internationella organisationer

Överföring är tillåten bara för att tillgodose viktiga intressen

Eftersom direktivet reglerar all personuppgiftsbehandling inom tillämpningsområdet kommer överföringsreglerna i ramlagen att tillämpas i fler situationer än motsvarande reglering i 2013 års lag. Den lagen är bara tillämplig beträffande sådana personuppgifter som Sverige har fått från en annan EU-medlemsstat, Island, Norge, Schweiz, Liechtenstein eller ett EU-organ eller EU-informations- system. Det är därför av stor vikt att det i ramlagen tydligt regleras vad som bör gälla i de fall där ett visst tredjeland eller en viss orga- nisation inte omfattas av ett beslut om adekvat skyddsnivå och där inte heller tillräckliga skyddsåtgärder garanteras. I enskilda fall kan det nämligen, trots bristen på skydd för personuppgifter, vara angeläget att kunna föra över vissa personuppgifter till ett sådant land eller en sådan organisation.

Ett exempel på när personuppgifter kan behöva överföras, trots att kraven på adekvat skyddsnivå och tillräckliga skyddsåtgärder inte är uppfyllda, kan vara att en misstänkt har överlämnats till Sverige enligt den europeiska arresteringsordern men har lyckats fly från lagföring eller verkställighet av straff och antas befinna sig i exempelvis ett land i Sydamerika eller Asien från vilket svenska myndigheter begär honom eller henne utlämnad. Ett annat exempel kan vara att svenska myndigheter har information om att en miss- tänkt terrorist befinner sig här i landet men personen identifieras först när han eller hon har rest till ett tredjeland och kan antas komma att begå brott där.

Det bör därför tas in en bestämmelse i ramlagen om att person- uppgifter får överföras till ett tredjeland eller en internationell organisation, trots att det inte finns ett beslut om adekvat skydds- nivå eller tillräckliga skyddsåtgärder, om överföringen är nödvändig i vissa särskilda undantagssituationer. Paragrafen bör motsvara innehållet i artikel 38.1. De särskilda situationerna behandlas i det följande. Det bör dock understrykas att de grundläggande förut- sättningarna för överföring alltid ska vara uppfyllda för att per- sonuppgifter ska få överföras i de särskilda undantagsfallen.

597

Överföring till tredjeland och internationella organisationer

SOU 2017:29

Samlingar av överföringar

En nyhet i direktivet är uttrycket en kategori av överföringar av personuppgifter. I den engelska språkversionen av direktivet talas det om ”a category of transfers” och i den tyska används uttrycket ”eine Katagorie von Übermittlungen”. Någon förklaring till vad som avses kan inte utläsas av direktivet. I dataskyddsförordningens bestämmelse om överföring av personuppgifter till tredjeland i särskilda situationer, artikel 49, talas det om uppsättning av över- föringar. Det engelska uttrycket som används där är ”set of trans- fers” och det tyska är ”Reihe von Übermittlungen”, vilka motsvarar den svenska språkversionen.

Ordet kategori används i andra artiklar, t.ex. kategorier av regi- strerade i artikel 6 och särskilda kategorier av personuppgifter i artikel 10. I dessa fall handlar det om olika grupper av personer, t.ex. personer som dömts för brott eller brottsoffer, respektive typer av personuppgifter, t.ex. genetiska uppgifter och uppgifter om hälsa och sexualliv. I artikel 14 b och c talas det om kategorier av personuppgifter respektive kategorier av mottagare. Kategorier av mottagare kan avse vilken typ av myndighet som får personupp- gifterna, t.ex. domstolar.

Det är svårt att förstå vad som avses med kategorier av över- föringar bara genom att jämföra med hur ordet kategori används i andra artiklar. Det ligger närmare till hands att anta att det rör sig om överföringar som på något sätt är samlade, antingen för att det rör sig om flera överföringar av samma typ av personuppgifter till olika mottagare, flera överföringar i ett ärende eller överföringar av samma personuppgifter till flera mottagare samtidigt. Som exempel kan nämnas att det i ett tredjeland utreds brott av en större liga som har anknytning till Sverige och myndigheter i det tredjelandet begär att få utdrag ur belastningsregistret på samtliga misstänkta. Ett annat exempel kan vara om det till ett tredjeland lämnas ut en digital upptagning från en kameraövervakning och det på upptag- ningen finns flera personuppgifter i form av personer, fordon och andra indirekta personuppgifter. En utskrift från hemlig avlyssning av elektronisk kommunikation som skickas till ett tredjeland eller en internationell organisation kan t.ex. innehålla uppgifter om olika personer som förekommer i en förundersökning.

598

SOU 2017:29

Överföring till tredjeland och internationella organisationer

Utredningen anser att uttrycket samling av överföringar bör an- vändas i stället för kategori av överföringar, eftersom det bättre speglar vad vi uppfattar avses i direktivet.

15.6.2Enskildas vitala intressen

Utredningens förslag: I undantagsfall får personuppgifter över- föras om det är nödvändigt för att skydda den registrerades eller en annan fysisk persons vitala intressen.

Skälen för utredningens förslag

Innehållet i direktivet och nuvarande reglering

Enligt artikel 38.1 a får en överföring, eller en kategori av överfö- ringar, av personuppgifter göras till ett tredjeland eller en interna- tionell organisation om det är nödvändigt för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan person.

I 34 § första stycket d personuppgiftslagen, som genomför arti- kel 26.1 e i det nu gällande dataskyddsdirektivet, föreskrivs att per- sonuppgifter, trots det generella förbudet, får överföras till ett tredjeland om överföringen är nödvändig för att vitala intressen för den registrerade ska kunna skyddas.

Överföring för att skydda enskildas vitala intressen

Den första undantagssituationen avser enligt artikel 38.1 a fall där överföringen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan person. Det bör tas in en regel i ramlagen som motsvarar innehållet i artikeln. Beträffande uttrycket grundläggande betydelse gör ut- redningen följande bedömning.

I den svenska språkversionen av det nu gällande dataskyddsdi- rektivet anges i artikel 7 d, som en allmän princip för behandling av personuppgifter, att behandlingen ska vara nödvändig för att skydda intressen som är av grundläggande betydelse för den regi-

599

Överföring till tredjeland och internationella organisationer

SOU 2017:29

strerade. I andra språkversioner av det direktivet används i stället uttryck som vitala eller livsviktiga intressen. I skäl 31 till det direk- tivet används uttrycket intressen som är av avgörande betydelse för den registrerades liv. I artikel 26.1 e i det nu gällande dataskyddsdi- rektivet, som föreskriver undantag från kravet på adekvat skydds- nivå vid överföring till tredjeland, används uttrycket intressen som är av avgörande betydelse för den registrerade. På grund av den osäkerhet som har rått om bestämmelsen i det nu gällande direkti- vet enbart syftar på sådant som är livsviktigt (gäller liv eller död) eller om även sådant som ”bara” är av grundläggande betydelse avses, valde lagstiftaren att i personuppgiftslagen använda uttrycket vitala intressen. Vitala intressen ansågs i svenskan ha såväl en snä- vare som en bredare innebörd (SOU 1997:39 s. 361).

Det talas i den svenska språkversionen av det nya direktivet och dataskyddsförordningen om intressen som är av grundläggande betydelse eller om grundläggande intressen. I skäl 112 till data- skyddsförordningen används uttrycket ett intresse som är väsent- ligt för den registrerades eller en annan persons vitala intressen, inklusive dennes fysiska integritet och liv. I den tyska språkversio- nen av direktivet används uttrycket ”lebenswichtiger Intressen”, dvs. livsviktiga intressen, medan det i den engelska versionen talas om ”vital interests”. I övriga språkversioner används uttryck som till svenska kan översättas med vitala intressen, t.ex. ”des intérêts vitaux” på franska och ”los intereses vitales” på spanska. Det är oklart varför formuleringen intressen som är av grundläggande betydelse – som kan tolkas som mer vittomfattande än vitala in- tressen – har använts i den svenska versionen.

Att vitala intressen används i personuppgiftslagen och därmed är ett inarbetat uttryck talar för att välja den formuleringen även i ramlagen. Vitala intressen är också det uttryck som används i andra språkversioner av direktivet. Utredningen anser därför att vitala intressen är det uttryck som bör användas. Med det bör förstås att det ska vara fråga om ett väsentligt intresse för den enskilde. Det kan röra liv, hälsa eller något annat som är av avgörande betydelse för den enskilde.

Åtgärden ska vara nödvändig för att skydda vitala intressen för den registrerade eller en annan person. Vilken annan person det kan vara fråga om kan inte utläsas av direktivet. Någon annan än en fysisk person bör det enligt utredningen inte vara fråga om, efter-

600

SOU 2017:29

Överföring till tredjeland och internationella organisationer

som målsättningen med direktivet är ett ökat skydd för fysiska personer. Utöver det bör den personkrets som ska omfattas av undantaget inte begränsas ytterligare i ramlagen. Det bör således framgå att överföringen ska vara nödvändig för att skydda vitala intressen för den registrerade eller för en annan fysisk person.

15.6.3Registrerades berättigade intressen

Utredningens förslag: I undantagsfall får personuppgifter över- föras om det är nödvändigt för att skydda den registrerades berättigade intressen.

Skälen för utredningens förslag: I artikel 38.1 b regleras den situa- tionen att överföringen av personuppgifter är nödvändig för att skydda den registrerades berättigade intressen, om lagstiftningen i den medlemsstat som överför personuppgifterna föreskriver det.

Enligt 7 § andra stycket 2013 års lag, som genomför bl.a. data- skyddsrambeslutets artikel 13.3 a i, får personuppgifter överföras trots att kravet på adekvat skyddsnivå inte är uppfyllt, om över- föringen är motiverad av ett berättigat intresse hos den som uppgif- ten avser.

Medlemsstaterna får välja om det ska föreskrivas undantag till skydd för den registrerades berättigade intressen. Utredningen anser att den möjligheten bör utnyttjas för att registrerades skydd vid personuppgiftsbehandling inte ska bli för svagt. Ett särskilt skydd för registrerades berättigade intressen finns redan i dag i 2013 års lag och motsvarande skydd bör finnas även fortsättnings- vis. Behovet tillgodoses inte genom de övriga undantagen för sär- skilda situationer. Rent språkligt innefattas t.ex. inte alla intressen som kan vara berättigade i vitala intressen. I Svenska Akademiens Ordbok förklaras ordet berättigad som någon som fått något till- delat sig eller förvärvat något, eller som är i sin fulla rätt att göra något. Berättigad kan också innebära att något är rättmätigt, väl- grundat eller grundat på fullgiltiga skäl. Det behöver alltså inte vara fråga om något som är livsviktigt eller annars av avgörande bety- delse för den registrerade. En bestämmelse som motsvarar arti- kel 38.1 b bör tas in i ramlagen. Uttrycket berättigat intresse bör användas eftersom det är inarbetat.

601

Överföring till tredjeland och internationella organisationer

SOU 2017:29

I ärenden om utlämning för brott eller övertagande av lagföring kan personuppgifter om den misstänkte behöva överföras t.ex. för att ge den andra staten underlag för att bedöma om det finns till- räcklig grund för att utlämna personen eller att överta lagföringen. Det kan vara ett berättigat intresse för den misstänkte att lagföring kommer till stånd antingen i Sverige eller i den andra staten. Ett annat exempel på berättigat intresse kan vara att en misstänkt begär att ett vittne som befinner sig i ett tredjeland ska förhöras där.

15.6.4Myndigheters intresse i enskilda fall

Utredningens förslag: I undantagsfall får personuppgifter över- föras om det är nödvändigt för att en behörig myndighet i ett enskilt fall ska kunna förebygga, förhindra eller upptäcka brotts- lig verksamhet, utreda eller lagföra brott, verkställa straffrätts- liga påföljder eller upprätthålla allmän ordning och säkerhet.

Skälen för utredningens förslag

Innehållet i direktivet

Enligt artikel 38.1 d får en överföring, eller en kategori av överfö- ringar, av personuppgifter – trots avsaknad av beslut om adekvat skyddsnivå eller tillräckliga skyddsåtgärder – göras till ett tredje- land eller en internationell organisation om överföringen är nöd- vändig i det enskilda fallet för de ändamål som omfattas av direkti- vets tillämpningsområde. Bestämmelsen är till för att tillgodose behöriga myndigheters intresse av att personuppgifter i ett speci- fikt fall ska kunna överföras till ett tredjeland eller en internationell organisation, trots att landet eller organisationen dit uppgifterna ska överföras inte omfattas av ett beslut om adekvat skyddsnivå och det inte heller finns tillräckliga skyddsåtgärder för personupp- gifterna.

602

SOU 2017:29

Överföring till tredjeland och internationella organisationer

Överföring för myndighetsintressen

En bestämmelse som motsvarar artikel 38.1 d bör tas in i ramlagen. Det är viktigt att behöriga myndigheter har möjlighet att i enskilda fall överföra personuppgifter till tredjeland eller internationella organisationer. Utan en sådan möjlighet försvåras brottsbekämp- ning och lagföring. Om polisen t.ex. får tillförlitliga uppgifter om ett nära förestående attentat från personer kopplade till ett visst tredjeland måste information kunna utbytas med behöriga myn- digheter där, även om det inte finns ett beslut om adekvat skydds- nivå eller tillräckliga skyddsåtgärder garanteras. Överföringen ska vara nödvändig för något syfte som omfattas av ramlagens tillämp- ningsområde. Utredningen anser att det blir tydligare att i regeln uttryckligen ange vilka ändamål som avses än att hänvisa till den paragraf där tillämpningsområdet regleras.

Situationer som skulle kunna göra det nu aktuella undantaget tillämpligt är om personuppgifter behöver överföras från Sverige till ett tredjeland för delgivning, bevisupptagning eller straffverk- ställighet där, eller för att få en person utlämnad därifrån för att tillgodose svenska behov. Undantaget kan även bli tillämpligt om ett tredjeland eller en internationell organisation på motsvarande sätt behöver få tillgång till svenska personuppgifter för brottsbe- kämpning, lagföring eller straffverkställighet. Överföringen ska vara nödvändig i det enskilda fallet t.ex. för att få fram upplys- ningar om en person som är misstänkt för ett mord i Sverige och som polisen tror uppehåller sig i Turkiet. Ett annat exempel kan vara att överföringen är nödvändig för att kunna delge en i USA bosatt målsägande kallelse till en brottsmålsrättegång vid svensk domstol.

I direktivet görs klart att undantaget bara får utnyttjas i enskilda fall. Det kan visserligen hävdas att varje överföring av personupp- gifter avser enskilda fall, men utredningen noterar att ingen sådan begränsning görs när det gäller undantagen till skydd för enskildas intressen. Utredningen tolkar inskränkningen till enskilda fall i denna punkt som ett uttryck för att undantaget för myndighetsin- tressen inte får utnyttjas för bl.a. strukturella och storskaliga överföringar (se skäl 72). Mot den bakgrunden bör det av lagtexten framgå att det ska vara fråga om enskilda fall.

603

Överföring till tredjeland och internationella organisationer

SOU 2017:29

15.6.5Rättsliga anspråk i enskilda fall

Utredningens förslag: I undantagsfall får personuppgifter över- föras om det i ett enskilt fall är nödvändigt för att kunna fast- ställa, göra gällande eller försvara ett sådant rättsligt anspråk som hänför sig till ett sådant syfte som omfattas av ramlagens tillämpningsområde.

Skälen för utredningens förslag

Innehållet i direktivet och nuvarande reglering

I artikel 38.1 e regleras den situationen att överföring av person- uppgifter är nödvändig i ett enskilt fall för att fastslå, göra gällande eller försvara rättsliga anspråk som hänför sig till de syften som omfattas av direktivets tillämpningsområde. Även här pekar direk- tivet ut att det ska vara fråga om en överföring som är nödvändig i ett enskilt fall.

I 34 § första stycket c personuppgiftslagen, som genomför bl.a. artikel 26.1 d i det nu gällande dataskyddsdirektivet, föreskrivs att personuppgifter, trots överföringsförbudet, får överföras till ett tredjeland om överföringen är nödvändig för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras. Det krävs inte att det rättsliga anspråket är knutet till något särskilt ändamål.

Överföring för att skydda rättsliga anspråk

En bestämmelse som motsvarar artikel 38.1 e bör tas in i ramlagen. Beträffande uttrycket rättsligt anspråk gör utredningen följande bedömning.

Rättsligt anspråk används i dag förutom i 34 § första stycket c också i 16 § första stycket c personuppgiftslagen, där det anges som en grund för att få behandla känsliga personuppgifter. I kommen- taren till sistnämnda bestämmelse sägs att det inte är helt klart vad som avses med rättsliga anspråk. Förmodligen avses sådana anspråk om vilka man kan föra talan i domstol eller ett domstolsliknande organ och som kan utkrävas av eller med hjälp av statsmakterna, t.ex. Kronofogdemyndigheten (Öman m.fl. s. 301). I den tyska

604

SOU 2017:29

Överföring till tredjeland och internationella organisationer

versionen av det nu gällande dataskyddsdirektivet (artikel 8.2 e) talas det om ”vor Gericht”, alltså inför domstol.

Trots att det råder viss oklarhet om vad som avses med ett rättsligt anspråk i personuppgiftslagen anser utredningen att det ut- trycket bör användas i ramlagen, eftersom uttrycket är inarbetat. Dessutom är det betydligt enklare att identifiera vad som kan vara ett rättsligt anspråk inom ramlagens tillämpningsområde. Det kan t.ex. vara ett enskilt anspråk i anledning av brott. Även uttrycken fastställa, göra gällande och försvara är inarbetade och bör användas i ramlagen.

Av paragrafen bör det framgå att det rättsliga anspråket ska hänföra sig till att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga på- följder eller upprätthålla allmän ordning och säkerhet. I stället för att upprepa det i paragrafen anser utredningen att en hänvisning kan göras till bestämmelsen om överföring för att tillgodose myn- dighetsintressen (se avsnitt 15.6.4). I likhet med vad som gäller för myndighetsintressena bör det framgå att undantaget till skydd för rättsliga anspråk bara får utnyttjas i enskilda fall.

15.6.6Allvarlig fara för allmän säkerhet

Utredningens förslag: I undantagsfall får personuppgifter över- föras om det är nödvändigt för att avvärja en omedelbar och all- varlig fara för allmän säkerhet.

Skälen för utredningens förslag: Enligt artikel 38.1 c får person- uppgifter överföras, trots avsaknaden av beslut om adekvat skydds- nivå och tillräckliga skyddsåtgärder, om överföringen är nödvändig för att avvärja en omedelbar och allvarlig fara för den allmänna säkerheten i en medlemsstat eller ett tredjeland.

Det finns ett liknande krav på fara för allmän säkerhet i 7 § tredje stycket 2013 års lag, som genomför artikel 13.2 i dataskydds- rambeslutet, för att få överföra personuppgifter till ett tredjeland eller ett internationellt organ när det på grund av tidsbrist inte har gått att utverka ett förhandsmedgivande till överföringen.

Det nu aktuella undantaget bör återspeglas i ramlagen. Av para- grafen bör det framgå att personuppgifter i undantagsfall får över-

605

Överföring till tredjeland och internationella organisationer

SOU 2017:29

föras till ett tredjeland eller en internationell organisation, om överföringen är nödvändig för att avvärja en omedelbar och allvarlig fara för allmän säkerhet. Det är tillräckligt att det, på samma sätt som i 2013 års lag, anges att det ska vara fara för allmän säkerhet. Tillägget i artikeln att det gäller säkerheten i en medlemsstat eller ett tredjeland gör att tillämpningsområdet omfattar alla stater. Det saknar därför materiellt innehåll. Formuleringen den allmänna säkerheten i en stat skulle inte heller bidra till någon ökad klarhet.

Bestämmelsen skulle t.ex. kunna tillämpas om överföringen är nödvändig för att avvärja ett terroristattentat eller en flygplanskap- ning. Eftersom det typiskt sett är fråga om en överhängande fara för att något ska hända får prövningen i dessa fall göras med ut- gångspunkt i att åtgärden kan antas vara nödvändig för att avvärja faran. Att faran inte förverkligas behöver inte innebära att över- föringen har varit otillåten. Bedömningen måste självfallet göras med hänsyn till vad som är känt när prövningen görs.

15.6.7En intresseavvägning ska göras i vissa fall

Utredningens förslag: Personuppgifter får inte överföras till ett tredjeland eller en internationell organisation om den registrera- des intresse av skydd mot kränkning av grundläggande fri- och rättigheter väger tyngre än det allmännas intresse av att över- föringen görs i det enskilda fallet för ett myndighetsintresse eller för att kunna fastslå, göra gällande eller försvara ett rättsligt anspråk.

Skälen för utredningens förslag: I artikel 38.2 föreskrivs att per- sonuppgifter inte får överföras till ett tredjeland eller en internatio- nell organisation om den överförande behöriga myndigheten fast- ställer att den registrerades grundläggande fri- och rättigheter väger tyngre än det allmänna intresset av en sådan överföring som avses i punkt 1 d och e, dvs. myndigheters intresse av brottsbekämpning, lagföring, straffverkställighet och ordningshållning och rättsliga anspråk som hänför sig till sådana ändamål. Det ska alltså göras en intresseavvägning mellan skyddet för den enskildes fri- och rättig- heter och det allmännas intresse av att överföringen görs för dessa ändamål. Väger den enskildes intresse av skydd mot kränkning av

606

SOU 2017:29

Överföring till tredjeland och internationella organisationer

grundläggande fri- och rättigheter tyngre än det allmännas intresse av att personuppgifterna överförs, får uppgifterna inte överföras. Sådana grundläggande fri- och rättigheter kan t.ex. vara yttrandefri- het och religionsfrihet.

Artikeln bör genomföras i ramlagen. Lagtexten bör ansluta nära till direktivets text. Det bör framgå att personuppgifter inte får överföras till ett tredjeland eller en internationell organisation om den registrerades intresse av skydd mot kränkning av grundläg- gande fri- och rättigheter väger tyngre än det allmännas intresse av att överföringen görs i det enskilda fallet för något av de två nu aktuella ändamålen.

15.7Vidareöverföring

Utredningens förslag: En svensk behörig myndighet får inte tillåta att sådana personuppgifter som en svensk myndighet har fått från en annan medlemsstat, och som överförts till ett tredje- land eller en internationell organisation, vidareöverförs till ett tredjeland eller en internationell organisation om inte en behö- rig myndighet i den andra medlemsstaten, har medgett att upp- gifterna får vidareöverföras.

Frågan om en svensk behörig myndighet ska medge vidare- överföring till ett tredjeland eller en internationell organisation av personuppgifter som en svensk myndighet har lämnat till en annan medlemsstat som överfört uppgifterna till ett tredjeland eller en internationell organisation, ska bedömas med hänsyn till alla kända omständigheter som har samband med överföringen. Särskild vikt ska läggas vid brottets allvar, allvaret i faran för allmän säkerhet, det ändamål för vilket personuppgifterna ur- sprungligen lämnades till den andra medlemsstaten och nivån på skyddet av personuppgifter i det tredjelandet eller hos den inter- nationella organisationen dit uppgifterna ska vidareöverföras.

607

Överföring till tredjeland och internationella organisationer

SOU 2017:29

Skälen för utredningens förslag

Innehållet i direktivet

Regleringen av överföring av personuppgifter till ett tredjeland eller en internationell organisation omfattar även vidareöverföring av personuppgifter från ett tredjeland eller en internationell organisa- tion till ett annat tredjeland eller en annan internationell organisa- tion. Det följer bl.a. av en bisats i artikel 35.1, i vilken det sägs att de behöriga myndigheterna endast får överföra personuppgifter som håller på att behandlas eller är avsedda att behandlas efter det att de överförts till ett tredjeland eller en internationell organisa- tion, inklusive för vidareöverföring till ett annat tredjeland eller en annan internationell organisation […].

Av artikel 35.1 e framgår att det är den behöriga myndigheten som gjorde den ursprungliga överföringen eller en annan behörig myndighet i samma medlemsstat, som ska godkänna vidareöver- föringen till ett annat tredjeland eller en annan internationell orga- nisation. Myndigheten ska beakta alla relevanta faktorer, inbegripet brottets allvar, det ändamål för vilket personuppgifterna ursprung- ligen överfördes och nivån på skyddet av personuppgifter hos den som ska motta uppgifterna om de vidareöverförs.

Med vidareöverföring avses att personuppgifter överförs från ett tredjeland antingen till ett annat tredjeland eller till en internatio- nell organisation. Det kan också vara fråga om att personuppgifter överförs från en internationell organisation till en annan internatio- nell organisation eller till ett tredjeland. Det är fråga om en över- föring i tre led. Personuppgifterna som ska vidareöverföras kom- mer då från en medlemsstat som lämnat dem vidare till en annan medlemsstat som i sin tur har överfört dem till det tredjelandet eller den internationella organisationen som vidareöverför dem.

Direktivet utgår från att det är den medlemsstat som först läm- nade personuppgifterna till en annan medlemsstat som ska god- känna vidareöverföringen från ett tredjeland till ett annat. Även om det är den medlemsstat som överförde personuppgifterna till ett tredjeland som förfogat över uppgifterna senast, och därför har lättast att överblicka om vidareöverföringen bör tillåtas, är det alltså den medlemsstat som uppgifterna ursprungligen kom från som ska godkänna att de vidareöverförs. Om ett tredjeland vänder sig till den medlemsstat som det tredjelandet fick personuppgifterna från

608

SOU 2017:29

Överföring till tredjeland och internationella organisationer

bör direktivet tolkas så att den medlemsstaten ska inhämta tillstånd till vidareöverföring från den medlemsstat som ursprungligen läm- nade uppgifterna.

Medgivande till vidareöverföring

Bestämmelsen om vidareöverföring bör genomföras i ramlagen. Som artikeln är utformad förefaller det närmast som att det i natio- nell rätt ska föreskrivas vad ett tredjeland (eller en internationell organisation) ska beakta vid överföring av personuppgifter, som kommer från en medlemsstat, till ett annat tredjeland eller till en internationell organisation. Det ligger i sakens natur att det inte är möjligt att reglera det i svensk rätt, annat än genom möjligheten att ställa upp villkor för det tredjelandets eller den internationella organisationens användning av personuppgifterna (se avsnitt 15.9). Regleringen i ramlagen bör i stället utgå från vad en svensk myn- dighet ska göra när den får en förfrågan från ett tredjeland eller en internationell organisation om att vidareöverföra personuppgifter som en svensk myndighet har fått från en annan medlemsstat.

Med vidareöverföring avser utredningen den överföring av per- sonuppgifter som görs efter att personuppgifterna har lämnat med- lemssfären, dvs. mellan tredjeländer och internationella organisa- tioner. Rent språkligt är det fråga om vidareöverföring även när en svensk myndighet lämnar vidare personuppgifter som kommer från en annan medlemsstat till ett tredjeland eller till en internationell organisation. Det är sådana situationer som regleras i 2013 års lag. I dessa fall, som behandlas i avsnitt 15.3.4, bör man även i fortsätt- ningen tala om överföring till tredjeland eller internationella orga- nisationer.

Av lagtexten bör följaktligen framgå att personuppgifter, som en svensk myndighet har fått från en annan medlemsstat och över- fört till ett tredjeland eller en internationell organisation, inte får vidareöverföras till ett tredjeland eller en internationell organisa- tion, om inte den svenska myndigheten inhämtat godkännande till vidareöverföringen från behörig myndighet i den andra medlems- staten. Medgivande till vidareöverföring kan inhämtas antingen från den myndighet som gjorde den ursprungliga överföringen eller från en annan behörig myndighet i samma medlemsstat. Ett exem-

609

Överföring till tredjeland och internationella organisationer

SOU 2017:29

pel kan vara att en tysk polismyndighet ursprungligen lämnade personuppgifterna till Polismyndigheten men att ärendet, när frå- gan om vidareöverföring väcks, handläggs av tysk åklagare. Det är då naturligt att medgivande inhämtas från den tyska åklagaren.

En begäran om medgivande till vidareöverföring kan givetvis även omfatta personuppgifter som har sitt ursprung i den svenska myndigheten, eftersom handläggningen i Sverige kan ha genererat information som innehåller fler personuppgifter än vad Sverige fick. Den svenska myndigheten får då ta ställning till hur de per- sonuppgifterna ska hanteras. Det kan vara naturligt att ta upp den frågan i dialogen med den behöriga myndigheten i den medlemsstat som lämnade personuppgifterna till Sverige, eftersom det eventuellt kan påverka dess syn på om medgivande ska lämnas.

I artikeln talas det om vidareöverföring till ett annat tredjeland eller en annan internationell organisation. Tanken kan dock inte ha varit att personuppgifter inte kan vidareöverföras från ett tredje- land till en internationell organisation och vice versa. Paragrafen bör därför inte formuleras så att överföringen ska göras till ett annat tredjeland eller en annan internationell organisation.

Exempel på vidareöverföring kan vara att Sverige har fått per- sonuppgifter från Tyskland och överfört dessa till USA som i sin tur vill vidareöverföra uppgifterna till Kanada. Då måste ett med- givande inhämtas från Tyskland för att USA ska få lämna person- uppgifterna vidare till Kanada. Om USA inte känner till att Sverige har fått uppgifterna från Tyskland kommer USA att vända sig till Sverige med frågan om personuppgifterna får vidareöverföras. I ett sådant läge kan inte Sverige medge vidareöverföringen utan att in- hämta ett medgivande från Tyskland. Den situationen kan också uppkomma att USA i det nyss nämnda exemplet i stället vill vidare- överföra personuppgifterna till en internationell organisation, t.ex. FN. Även i det fallet måste Sverige inhämta ett medgivande till vidareöverföring från Tyskland.

Bedömningen av om svensk myndighet ska medge vidareöverföring

Av ramlagen bör det framgå vad en svensk myndighet ska ta hän- syn till när den tillfrågas om den kan medge vidareöverföring av personuppgifter som Sverige har lämnat till en annan medlemsstat

610

SOU 2017:29

Överföring till tredjeland och internationella organisationer

som i sin tur har överfört uppgifterna till ett tredjeland eller en internationell organisation som vill vidareöverföra dem. Det bör framgå att det ska vara en svensk behörig myndighet som ska lämna medgivandet. Det bör antingen kunna vara den behöriga myndigheten som ursprungligen lämnade de svenska personuppgif- terna till en annan medlemsstat eller en annan behörig myndighet i Sverige. Myndigheten bör beakta alla omständigheter som har sam- band med vidareöverföringen. Utredningen anser att alla omstän- digheter är ett bättre ordval än alla relevanta faktorer. Av naturliga skäl kan bara sådana omständigheter som är kända beaktas. Sådana omständigheter som inte är relevanta bör den tillfrågade myndig- heten kunna bortse från utan att det direkt framgår av lagtexten.

Vid bedömningen av om ett medgivande till vidareöverföring ska lämnas, bör särskild vikt läggas vid brottets allvar, allvaret i faran för allmän säkerhet, det ändamål för vilket personuppgifterna ursprungligen lämnades till den andra medlemsstaten och skydds- nivån för personuppgifter i det tredjelandet eller den internationella organisationen dit uppgifterna ska vidareöverföras.

I sammanhanget bör nämnas att bestämmelsen om förhands- medgivanden i artikel 35.1 e tar sikte på medgivande i det enskilda fallet. Medgivandet ska alltså avse en viss vidareöverföring av per- sonuppgifter till ett tredjeland eller en internationell organisation. Artikeln hindrar emellertid inte att medgivande ges generellt i för- väg för vidareöverföringar mellan tredjeländer och internationella organisationer som kan komma att bli nödvändiga. Bestämmelsen i ramlagen bör därför utformas så att det blir möjligt.

15.8Överföring till andra än behöriga myndigheter

15.8.1Förutsättningarna för överföring till andra än behöriga myndigheter

Utredningens förslag: En myndighet som har till arbetsuppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, ut- reda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet får i ett enskilt fall överföra personuppgifter till någon som inte är behörig myndig- het i ett tredjeland.

611

Överföring till tredjeland och internationella organisationer

SOU 2017:29

Skälen för utredningens förslag

Innehållet i direktivet

Enligt artikel 39 får behöriga myndigheter överföra personuppgif- ter, i enskilda och särskilda fall, direkt till mottagare som är etable- rade i tredjeland under förutsättning att direktivets övriga bestäm- melser efterlevs och att samtliga i artikeln uppräknade villkor är uppfyllda. Artikeln reglerar ett undantag från den allmänna princi- pen i artikel 35.1 b att personuppgifter som ska överföras till ett tredjeland eller en internationell organisation ska lämnas till en behörig myndighet. Bestämmelser som meddelas med stöd av arti- kel 39.1 ska dock inte hindra tillämpningen av internationella avtal och ska alltså inte betraktas som undantag från befintliga bilaterala eller multilaterala internationella avtal på området för straffrättsligt och polisiärt samarbete.

En grundläggande förutsättning för att personuppgifter ska få överföras till andra än behöriga myndigheter i ett tredjeland är att den överförande myndigheten är en sådan behörig myndighet som avses i artikel 3.7 a. Med det avses en offentlig myndighet som har till arbetsuppgift att förebygga, förhindra, utreda, avslöja eller lag- föra brott, verkställa straffrättsliga påföljder eller upprätthålla den allmänna säkerheten. Någon hänvisning till artikel 3.7 b görs inte, vilket innebär att ett annat organ eller någon annan som har anför- trotts myndighetsutövning inom direktivets tillämpningsområde inte har rätt att överföra personuppgifter till andra än behöriga myndigheter.

Bakgrunden framgår av skäl 73 där följande uttalas. Myndighe- ter i medlemsstaterna som är verksamma inom direktivets tillämp- ningsområde tillämpar bilaterala eller multilaterala internationella avtal, som har ingåtts med tredjeländer på området för straffrätts- ligt samarbete och polissamarbete, för att utbyta information. Informationsutbytet sker i princip genom eller i samarbete med de tredjeländernas behöriga myndigheter. Ibland kan dock de ordina- rie förfaranden som kräver kontakt med en myndighet i ett tredje- land vara ineffektiva och olämpliga, framför allt för att överföring- en inte kan utföras i tid, eller för att myndigheten i det tredjelandet inte respekterar rättsstatsprincipen eller internationella människo- rättsliga normer och standarder. I sådana fall underlättar det om

612

SOU 2017:29 Överföring till tredjeland och internationella organisationer

behöriga myndigheter kan överföra personuppgifter direkt till andra än behöriga myndigheter i dessa tredjeländer.

Övriga bestämmelser i direktivet måste också efterlevas. Det in- nebär bl.a. att de grundläggande förutsättningarna i artikel 35 – med undantag för kravet på att överföringen ska göras till en behö- rig myndighet – ska vara uppfyllda. Vidare ska de i artikel 39.1 sär- skilt uppräknade villkoren vara uppfyllda för att överföringen ska vara tillåten. Villkoren kommer att beskrivas mer ingående i det följande.

Överföring till någon annan än en behörig myndighet

Det finns tillfällen då det underlättar om en svensk myndighet kan överföra personuppgifter till ett tredjeland utan att behöva kanali- sera dem via en behörig myndighet i det landet. Så kan vara fallet när det rör sig om en särskilt brådskande åtgärd och en kontakt med den behöriga myndigheten riskerar att försena åtgärden eller göra den meningslös. Ett exempel är att det finns misstankar om penningtvätt eller annan ekonomisk brottslighet, där möjligheten att snabbt spåra ekonomiska transaktioner kan vara avgörande för att ingripa mot pågående brott och det krävs kontakt med ett organ som inte är en behörig myndighet. Ett annat exempel kan vara att en svensk myndighet snabbt vill kunna stoppa en utbetalning på grund av misstankar om bedrägeri och då behöver kontakta en bank eller ett finansinstitut i ett tredjeland. Det kan också finnas ett akut behov av att direkt kontakta en person som riskerar att utsättas för ett allvarligt våldsbrott.

I dag är det också vanligt att Polismyndigheten i sin brottsut- redande verksamhet överför personuppgifter till t.ex. Google och Facebook, för att få uppgift om vilken fysisk person som ligger bakom ett användarkonto eller alias. Arbetet skulle väsentligt för- dröjas om varje enskild förfrågan skulle behöva gå via en behörig myndighet i det tredjelandet.

Mot den bakgrunden anser utredningen att möjligheten att in- föra undantag från kravet på att överföringen ska göras till en be- hörig myndighet bör utnyttjas. Artikel 39.1 bör därför genomföras i ramlagen. Av paragrafen bör framgå att det under vissa förutsätt- ningar är möjligt att i ett enskilt fall föra över personuppgifter till

613

Överföring till tredjeland och internationella organisationer

SOU 2017:29

någon som inte är en behörig myndighet i ett tredjeland. Det kan exempelvis vara fråga om överföringar till företag eller privatper- soner i ett tredjeland.

Den som personuppgifterna överförs till ska vara etablerad i det tredjelandet. Enligt utredningens mening bör det vara tillräckligt att en fysisk person är stadigvarande bosatt och att en juridisk per- son har sitt säte eller ett fast driftsställe i det tredjelandet för att anses vara etablerad där. Kravet på etablering behöver enligt utred- ningens bedömning inte framgå av lagtexten. Det är tillräckligt att det anges att personuppgifter får överföras till andra än behöriga myndigheter i tredjeland.

Det behöver inte föreskrivas att det ska vara fråga om särskilda fall. Att det rör sig om konkreta fall där det finns ett särskilt behov av att överföra personuppgifter till någon som inte är en behörig myndighet i ett tredjeland ligger redan i uttrycket enskilda fall.

Endast en myndighet som har som arbetsuppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda och lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet bör ges möjlighet att utnyttja undantaget. Andra aktörer som är behöriga myndigheter i ramlagens mening bör alltså inte få göra sådana överföringar.

15.8.2Överföringen ska vara absolut nödvändig

Utredningens förslag: För att personuppgifter ska få överföras till andra än behöriga myndigheter i ett tredjeland ska överfö- ringen vara absolut nödvändig för att den svenska myndigheten ska kunna utföra en arbetsuppgift som den har ansvar för och som ligger inom ramlagens tillämpningsområde. Den som ska ta emot personuppgifterna ska informeras om det eller de specifika ändamål för vilket eller vilka uppgifterna får behandlas.

Skälen för utredningens förslag: Det första villkoret för att per- sonuppgifter ska få överföras till annan än en behörig myndighet i ett tredjeland är enligt artikel 39.1 a att överföringen är absolut nödvändig för att den överförande myndigheten ska kunna utföra en arbetsuppgift som den ansvarar för enligt unionsrätten eller nationell rätt för de ändamål som omfattas av direktivets tillämp-

614

SOU 2017:29

Överföring till tredjeland och internationella organisationer

ningsområde. Enligt artikel 39.1 e ska den överförande myndighe- ten informera mottagaren om de specifika ändamål för vilket eller vilka mottagaren får behandla personuppgifterna, förutsatt att den behandlingen är nödvändig. Artiklarna 39.1 a och e bör genomföras i ramlagen. Det görs lämpligen genom att innehållet i dem anges som villkor för att personuppgifter ska få överföras till andra än behöriga myndigheter i ett tredjeland.

Överföringen ska alltså vara absolut nödvändig för att t.ex. en domstol ska kunna utföra en arbetsuppgift. Med nödvändig avses att det är fråga om något som behöver göras. För att markera att undantaget ska tillämpas restriktivt och att det kan bli fråga om överföring endast i undantagsfall bör uttrycket absolut nödvändigt användas. Personuppgifter får således överföras endast om det är absolut nödvändigt för att den överförande myndigheten ska kunna utföra en arbetsuppgift som den ansvarar för inom ramlagens till- lämpningsområde.

Vidare bör det föreskrivas att den svenska myndighet som över- för personuppgifterna ska lämna information om det eller de speci- fika ändamål för vilket eller vilka uppgifterna får behandlas av mot- tagaren. Det ligger i sakens natur att det inte går att i svensk rätt föreskriva att behandlingen i det tredjelandet ska vara nödvändig.

15.8.3Överföring till behörig myndighet blir ineffektiv eller är olämplig

Utredningens förslag: Personuppgifter får överföras till någon som inte är behörig myndighet i ett tredjeland om det skulle vara ineffektivt eller olämpligt att överföra uppgifterna till en behörig myndighet där.

Skyldigheten att informera om överföringen och undantag från skyldigheten ska regleras i förordning.

615

Överföring till tredjeland och internationella organisationer

SOU 2017:29

Skälen för utredningens förslag

Överföring till behörig myndighet bör undvikas

Enligt artikel 39.1 c får personuppgifter överföras direkt till en mottagare som är etablerad i ett tredjeland om den överförande myndigheten anser att en överföring till en behörig myndighet i det tredjelandet skulle bli ineffektiv eller vara olämplig. Det gäller i synnerhet om överföringen inte kan göras inom rimlig tid. Enligt artikel 39.1 d ska behörig myndighet i det tredjelandet utan dröjs- mål informeras, såvida det inte blir ineffektivt eller det är olämpligt att lämna informationen.

Villkoret i artikel 39.1 c bör framgå av ramlagen. Utredningen anser att det är tillräckligt att det av paragrafen framgår att det skulle vara ineffektivt eller olämpligt att överföra personuppgif- terna till en behörig myndighet i mottagarlandet. I kravet på att det skulle vara ineffektivt att föra över personuppgifterna till en behö- rig myndighet ligger att handläggningen riskerar att fördröjas. Exempel på när det kan vara ineffektivt att gå via en behörig myn- dighet i ett tredjeland kan vara överföringar till företag som Google eller Facebook, där det kan röra sig om stora mängder personupp- gifter som behöver överföras på kort tid och det kan vara av avgö- rande betydelse med ett snabbt svar.

I undantagsfall kan det vara olämpligt att överföra en person- uppgift via den behöriga myndigheten. Om tidigare kontakter i ärendet med den behöriga myndigheten fått negativa konsekvenser för den svenska myndighetens handläggning bör det kunna vara ett sådant fall. Ett annat exempel är kontakter med ett krigshärjat tredjeland där det kanske inte finns någon behörig myndighet att kommunicera med eller där det är oklart vem som är behörig företrädare för staten. Då är det nödvändigt att kunna överföra per- sonuppgifter till andra än behöriga myndigheter.

Det är den överförande myndigheten som ska bedöma om det skulle vara ineffektivt eller på annat sätt olämpligt att överföra per- sonuppgifterna till en behörig myndighet.

616

SOU 2017:29

Överföring till tredjeland och internationella organisationer

Informationsskyldighet

Det bör också finnas en bestämmelse som motsvarar innehållet i artikel 39.1 d. Av den bör framgå att om en svensk myndighet har överfört personuppgifter till någon som inte är en behörig myndig- het i ett tredjeland, ska den svenska myndigheten informera den behöriga myndigheten i det landet om överföringen. Vilken myn- dighet som är behörig i det tredjelandet avgörs av det landets regel- system. Informationen bör lämnas så snart som möjligt efter över- föringen. Det bör dock vara tillräckligt att informationen lämnas utan onödigt dröjsmål. Att visst kortare dröjsmål kan förekomma är naturligt eftersom det handlar om kontakter med tredjeland där det t.ex. kan vara nödvändigt att översätta informationen. Kravet på information ska inte gälla om det skulle vara ineffektivt eller olämpligt att lämna informationen. Det skulle t.ex. kunna vara in- effektivt om Polismyndigheten behöver informera behörig myn- dighet varje gång det görs en överföring av personuppgifter till Facebook eller Google i syfte att få information om användaren av konton. Bestämmelser om informationsskyldigheten och undantag från den kan tas in i förordning.

15.8.4En intresseavvägning ska göras

Utredningens förslag: Personuppgifter får inte överföras till någon som inte är en behörig myndighet i ett tredjeland om den registrerades intresse av skydd mot kränkning av grundläggande fri- och rättigheter väger tyngre än det allmännas intresse av att överföringen görs.

Skälen för utredningens förslag: Utöver de redan nämnda villko- ren för att personuppgifter ska få överföras till andra än behöriga myndigheter, ska enligt artikel 39.1 b den överförande myndighe- ten ha fastställt att ingen av den berörda registrerades grundläg- gande fri- och rättigheter väger tyngre än det allmänna intresset som gör överföringen nödvändig i det aktuella fallet. En intresseav- vägning ska alltså göras.

En bestämmelse som motsvarar innehållet i artikeln bör tas in i ramlagen. Intresseavvägningen påminner till viss del om den intres-

617

Överföring till tredjeland och internationella organisationer

SOU 2017:29

seavvägning som föreslås i avsnitt 15.6.7. Bestämmelsen bör därför utformas på liknande sätt. De intressen som ska vägas mot varandra är å ena sidan den registrerades intresse av skydd mot att hans eller hennes grundläggande fri- och rättigheter kränks genom över- föringen och å andra sidan det allmännas intresse av att personupp- gifterna överförs. Väger den registrerades intresse av skydd tyngre får överföringen inte göras.

15.9Villkor för användningen av personuppgifter

15.9.1Villkor som ställs upp av utländska myndigheter eller organ

Utredningens förslag: Om en svensk behörig myndighet har fått personuppgifter från ett tredjeland eller en internationell organisation och gäller på grund av en överenskommelse med det tredjelandet eller den internationella organisationen villkor som begränsar möjligheten att använda uppgifterna, ska svenska myndigheter följa villkoren oavsett vad som är föreskrivet i lag eller annan författning.

Skälen för utredningens förslag: När en utländsk myndighet eller internationell organisation överför personuppgifter till en svensk myndighet är det inte ovanligt att den ställer upp villkor för hur uppgifterna får användas. Det kan handla om för vilka ändamål de får användas eller hur länge uppgifterna får behandlas.

Det finns flera författningar som innehåller regler om vad som gäller när en svensk myndighet får personuppgifter från en ut- ländsk myndighet och det ställs villkor för hur uppgifterna får an- vändas. Sådana regler finns bl.a. i 5 kap. 1 § lagen (2000:562) om internationell rättslig hjälp i brottmål, 4 kap. 2 § lagen (2000:1219) om internationellt tullsamarbete och 5 § lagen (2003:1174) om vissa former av internationellt samarbete i brottsutredningar. I 8 § första stycket 2013 års lag, som bl.a. genomför artikel 12 i ram- beslutet, finns en regel om att svenska myndigheter ska följa villkor som begränsar möjligheten att använda personuppgifter som den fått från medlemsstater i EU, Island, Norge, Schweiz eller Liech- tenstein, ett EU-organ eller ett EU-informationssystem. Sådana

618

SOU 2017:29

Överföring till tredjeland och internationella organisationer

regler innebär att svenska myndigheter är skyldiga att följa de vill- kor som ställs i fråga om hur lämnad information får användas. Det gäller oavsett om villkoren skulle stå i strid med svensk lagstiftning (se bl.a. JO 2007/08 s. 57 angående tillämpningen).

Direktivet föreskriver inte någon skyldighet för medlemsstater- nas myndigheter att följa sådana villkor som ett tredjeland eller en internationell organisation har ställt upp för användningen av per- sonuppgifter som överförs av det tredjelandet eller den interna- tionella organisationen. Utredningen anser att det behövs en sådan reglering i ramlagen, bl.a. mot bakgrund av att den nuvarande regle- ringen inte täcker ramlagens hela tillämpningsområde. Av paragra- fen bör framgå att svenska myndigheter ska följa villkor som ställts upp av ett tredjeland eller en internationell organisation. Sådana användningsbegränsningar bör följas oavsett vad som annars är föreskrivet i lag eller annan författning. Paragrafen bör utformas efter mönster av andra liknande bestämmelser.

15.9.2Villkor när personuppgifter överförs av svenska myndigheter

Utredningens förslag: En svensk behörig myndighet får, vid överföring av personuppgifter till ett tredjeland eller en interna- tionell organisation, i ett enskilt fall ställa upp villkor som be- gränsar möjligheten att använda uppgifterna, om det krävs med hänsyn till enskilds rätt eller från allmän synpunkt.

Skälen för utredningens förslag: När en svensk behörig myndig- het överför personuppgifter till ett tredjeland eller en internationell organisation finns det ibland skäl att ställa villkor som begränsar användningen av uppgifterna, t.ex. för vilket ändamål och hur länge de får behandlas. Behovet av sådana användningsbegränsningar visar sig normalt redan i samband med att en utländsk myndighet begär att få ut personuppgifter som finns tillgängliga hos en svensk myndighet eller att den svenska myndigheten behöver överföra sådana uppgifter. Att personuppgifterna förses med villkor för an- vändningen kan ibland vara en förutsättning för att det ska anses vara lämpligt att överföra uppgifterna.

619

Överföring till tredjeland och internationella organisationer

SOU 2017:29

I dag finns det inom ramlagens tillämpningsområde bestämmel- ser i flera lagar om att svenska myndigheter under vissa förutsätt- ningar får ställa upp villkor som begränsar möjligheten att använda uppgifter som lämnas till en annan stat. Det gäller 5 kap. 2 § lagen om internationell rättslig hjälp i brottmål, 2 kap. 7 § lagen om in- ternationellt tullsamarbete och 6 § lagen om vissa former av inter- nationellt samarbete i brottsutredningar. Lagarna i fråga reglerar samarbete över gränserna och utbyte av information i det samar- betet. Regleringen gäller generellt och alltså inte bara i förhållande till tredjeland utan även i samarbetet mellan medlemsstater. Fler- talet av dem gäller dock inte i förhållande till internationella organi- sationer. Lagarna gäller vidare bara för vissa svenska myndigheter.

I 9 § 2013 års lag, som bl.a. genomför artikel 12 i dataskydds- rambeslutet, föreskrivs att om en svensk myndighet överför per- sonuppgifter, ska myndigheten underrätta mottagaren om de vill- kor som gäller för användningen av uppgifterna. Paragrafen gäller endast när personuppgifter överförs till medlemsstater i EU, till Island, Norge, Schweiz eller Liechtenstein eller till ett EU-organ eller ett EU-informationssystem.

Direktivet reglerar inte möjligheten för en behörig myndighet i en medlemsstat att ställa upp villkor för hur personuppgifter som överförs till ett tredjeland eller en internationell organisation när personuppgifter får användas. Utredningen anser att det behövs en sådan reglering i ramlagen av de skäl som nyss nämnts. En bestäm- melse om villkor för användningen av personuppgifter som över- förs till tredjeland och internationella organisationer kan inte anses stå i strid med direktivet, eftersom det syftar till att stärka skyddet för enskilda.

Ett exempel på när det kan finnas behov av att ställa upp villkor för behandlingen av personuppgifter är när en svensk behörig myn- dighet vill kunna kontrollera att personuppgifterna inte utan myn- dighetens vetskap vidareöverförs till ett annat tredjeland (se av- snitt 15.7). Förses personuppgifterna med ett sådant villkor när de överförs begränsas risken för att uppgifterna sprids vidare.

Det bör därför föreskrivas att svenska behöriga myndigheter i ett enskilt fall får ange villkor för hur personuppgifter som överförs till ett tredjeland eller en internationell organisation får användas.

620

SOU 2017:29

Överföring till tredjeland och internationella organisationer

15.10Dokumentationskrav och informationsskyldighet

Utredningens förslag: Skyldigheten att i vissa fall dokumentera överföringar som görs till tredjeland eller internationella organi- sationer ska regleras i förordning. Detsamma gäller den person- uppgiftsansvariges skyldighet att informera tillsynsmyndigheten om vissa överföringar till tredjeland och internationella orga- nisationer.

Skälen för utredningens förslag

Innehållet i direktivet

En nyhet i direktivet är att det införs dokumentationskrav och skyldighet att informera tillsynsmyndigheten om vissa typer av överföringar till tredjeland och internationella organisationer.

Enligt artikel 37.2 ska den personuppgiftsansvarige informera tillsynsmyndigheten om kategorier av överföringar som görs enligt artikel 37.1 b, dvs. på den grunden att den personuppgiftsansvarige har bedömt att det finns lämpliga skyddsåtgärder för personupp- gifterna. Sådana överföringar ska enligt artikel 37.3 dokumenteras och dokumentationen ska på begäran göras tillgänglig för tillsyns- myndigheten. Även när en överföring görs enligt artikel 38.1, dvs. i särskilda situationer, ska överföringen dokumenteras och doku- mentationen ska på begäran göras tillgänglig för tillsynsmyndighe- ten. Det framgår av artikel 38.3. I båda fallen ska dokumentationen innehålla upplysning om datum och tidpunkt för överföringen, in- formation om den mottagande behöriga myndigheten, skälet till överföringen och de personuppgifter som har överförts.

En myndighet, som med stöd av artikel 39.1 har överfört per- sonuppgifter direkt till en mottagare som är etablerad i ett tredje- land, ska enligt artikel 39.3 informera tillsynsmyndigheten om överföringen. Även sådana överföringar ska dokumenteras.

621

Överföring till tredjeland och internationella organisationer

SOU 2017:29

Informationsskyldighet och krav på dokumentation

Det bör enligt utredningens mening finnas bestämmelser som genomför direktivets krav på information och dokumentation när personuppgifter överförs till ett tredjeland eller en internationell organisation. Bestämmelserna kan tas in i förordning.

När en överföring görs på den grunden att den personuppgifts- ansvarige har bedömt att den behöriga myndigheten som person- uppgifterna ska överföras till garanterar ett tillräckligt skydd för uppgifterna på annat sätt än genom avtal, ska överföringen doku- menteras. Dokumentationen ska på begäran göras tillgänglig för tillsynsmyndigheten. Den personuppgiftsansvarige ska dock alltid informera tillsynsmyndigheten om samlingar av överföringar som görs på denna grund.

Om personuppgifter överförs med stöd av reglerna om undan- tag för särskilda situationer ska överföringen också dokumenteras och dokumentationen göras tillgänglig för tillsynsmyndigheten på begäran. Syftet är att tillsynsmyndigheten i efterhand ska kunna kontrollera om överföringen har gjorts i enlighet med reglerna. För överföringar i särskilda situationer ställs dock inget krav på att den personuppgiftsansvarige ska informera tillsynsmyndigheten om samlingar av överföringar.

När det gäller överföringar som görs till andra än behöriga myndigheter i tredjeland bör det föreskrivas att sådana överföringar ska dokumenteras. Den överförande myndigheten ska också in- formera tillsynsmyndigheten om samtliga överföringar som görs på den grunden. Informationsskyldigheten är alltså mer omfattande än vid överföringar som görs sedan den personuppgiftsansvarige har bedömt alla omständigheter kring överföringen och funnit att den mottagande behöriga myndigheten garanterar ett tillräckligt skydd för personuppgifterna.

Tillsynsmyndigheten bör tillsammans med de behöriga myndig- heterna utarbeta rutiner för när och hur informationen bör lämnas.

Särskilt om dokumentationen i vissa fall

I dokumentationen av överföringar som görs på den grunden att den mottagande myndigheten på annat sätt än genom avtal garante- rar tillräckligt skydd för personuppgifterna eller med stöd av reg-

622

SOU 2017:29

Överföring till tredjeland och internationella organisationer

lerna om undantag för särskilda situationer ska det upplysas om datum och tid för överföringen. Det bör alltså framgå när över- föringen gjordes.

Dokumentationen ska även innehålla de personuppgifter som har överförts. Är det enbart fråga om någon enstaka personuppgift, t.ex. ett namn, vållar det inga större svårigheter att dokumentera den uppgiften. Om det däremot är fråga om en större mängd per- sonuppgifter, t.ex. alla uppgifter i ett register eller i ett ärende, är det inte rimligt att alla dessa ska framgå av dokumentationen. Det bör vara tillräckligt att dokumentationen innehåller sådan informa- tion som behövs för att det i efterhand ska gå att ta fram vilka per- sonuppgifter som överfördes, exempelvis genom hänvisning till ett ärendenummer hos Åklagarmyndigheten.

Dokumentationen bör även innehålla information om den mot- tagande behöriga myndigheten. Det bör alltså framgå vart per- sonuppgifterna har skickats.

Slutligen bör dokumentationen återge skälen för överföringen. I den engelska versionen av direktivet används uttrycket ”the justifi- cation for the transfer”, dvs. motiveringen för överföringen. För att tillsynsmyndigheten ska kunna granska om överföringen har varit tillåten, bör det finnas information om varför den gjordes och hur myndigheten kom fram till att överföringen kunde göras. Under- laget för bedömningen att den mottagande myndigheten garante- rade tillräckligt skydd för personuppgifterna på annat sätt än genom avtal eller att ett undantag för särskilda situationer var för handen är alltså en viktig del av dokumentationen.

Utredningen anser att både ändamålet med överföringen och vilken grund för överföring som har tillämpats i det enskilda fallet kan tolkas in i direktivets uttryck skälet till överföringen. För tyd- lighetens skull bör det framgå att både ändamålet med och grunden för överföringen ska dokumenteras. Exempel på sådan information skulle kunna vara att personuppgifter har överförts till ett tredje- land för att svensk åklagare ska utreda ett bedrägeribrott (ändamål inom ramlagens tillämpningsområde) och att den behöriga myndig- heten i det tredjelandet bl.a. har garanterat att uppgifterna inte kommer att användas för något annat ändamål (tillräckliga skydds- åtgärder). Ett annat exempel kan vara att personuppgifter har över- förts till ett tredjeland för att en dömd har begärt (den särskilda situationen berättigat intresse) att få överföra sin straffverkstäl-

623

Överföring till tredjeland och internationella organisationer

SOU 2017:29

lighet (ändamål inom ramlagens tillämpningsområde) från Sverige till det tredjelandet. Däremot bör det inte vara tillräckligt att enbart ange att personuppgifter har överförts till ett angivet tredjeland med stöd av en viss paragraf i ramlagen.

Informations- och dokumentationsskyldigheten kan regleras i förordning.

15.11Internationellt samarbete

Utredningens bedömning: Några lagstiftningsåtgärder krävs inte för att stärka Sveriges delaktighet i det internationella sam- arbetet till skydd för personuppgifter.

Skälen för utredningens bedömning: Av artikel 40 framgår att kommissionen och medlemsstaterna ska vidta lämpliga åtgärder för att utveckla rutiner för internationellt samarbete och på internatio- nell nivå erbjuda ömsesidigt bistånd. Syftet är att underlätta en effektiv tillämpning av lagstiftningen om skydd av personuppgifter. Det ömsesidiga biståndet kan avse bl.a. underrättelser, klagomål, hjälp vid utredningar och informationsutbyte. Lämpliga åtgärder ska också vidtas öka det internationella samarbetet när det gäller tillämpningen av aktuell lagstiftning. Vidare ska medlemsstaterna främja utbyte och dokumentation om lagstiftning och praxis. Några lagstiftningsåtgärder behövs inte för att genomföra reglerna om internationellt samarbete till skydd för personuppgifter.

Mot bakgrund av att Sverige redan deltar i internationellt sam- arbete när det gäller bl.a. polisiära och straffrättsliga frågor, i vilket personuppgiftsbehandling är en viktig del, och att det redan finns lagstiftning för det samarbetet (se bl.a. avsnitt 3.2.6 och 3.2.7), ser utredningen inget behov av någon ytterligare lagstiftning.

Det internationell samarbetet mellan tillsynsmyndigheterna be- handlas i avsnitt 12.10.

624

SOU 2017:29

Överföring till tredjeland och internationella organisationer

15.12 Sekretess vid överföring till tredjeland

15.12.1 Överföring innebär utlämnande

En överföring av personuppgifter från en svensk myndighet till ett tredjeland eller en internationell organisation är ett utlämnande i offentlighets- och sekretesslagens mening (se t.ex. 6 kap. 1 § om utlämnande av allmän handling och 6 kap. 4 § om utlämnande av uppgift). Frågan är då hur förutsättningarna för att överföra per- sonuppgifter till tredjeland förhåller sig till reglerna om offentlig- het och sekretess. Bestämmelserna i direktivet om överföring av personuppgifter till tredjeland är, liksom bestämmelserna i 2013 års lag och personuppgiftslagen, formellt neutrala i den meningen att det i princip inte påverkar tillämpningen om de personuppgifter som överförs omfattas av sekretess eller inte hos den utlämnande myndigheten. Det är en annan sak att eventuell sekretess för över- förda personuppgifter kan påverka vilken skyddsnivå i mottagar- landet som krävs i det enskilda fallet. Är det fråga om sekretess- belagda uppgifter som ska överföras kan det exempelvis finnas skäl att ställa högre krav på tillräckliga skyddsåtgärder för att överföra personuppgifter på den grunden.

15.12.2Utlämnande av offentliga allmänna handlingar till tredjeland

Om personuppgifter och andra uppgifter i en allmän handling är offentliga – dvs. inte omfattas av sekretess eller träffas av en sekre- tessbestämmelse men vid en prövning bedöms inte vara sekretess- belagda – ska handlingen lämnas ut till en enskild som begär att få ta del av den med stöd av 2 kap. tryckfrihetsförordningen. Det gäller oavsett om han eller hon befinner sig i ett tredjeland och oav- sett medborgarskap. En utlänning i tredjeland har alltså samma rätt som en svensk medborgare att enligt 2 kap. 13 § tryckfrihetsför- ordningen mot avgift få en kopia av handlingen. I praktiken bety- der det att en myndighet inte kan neka att lämna ut handlingen med hänvisning till att skyddsnivån för personuppgifter i mottagar- landet inte är tillräcklig. Myndigheterna är dock enligt 2 kap. 13 § första stycket andra meningen tryckfrihetsförordningen inte skyl- diga att lämna ut allmänna handlingar i elektronisk form. Behand-

625

Överföring till tredjeland och internationella organisationer

SOU 2017:29

ling av personuppgifter vid utlämnande av allmänna handlingar reg- leras som anges i avsnitt 7.3 i dataskyddsförordningen.

15.12.3 Uppgifter som inte är sekretessbelagda

Vid utlämnande av personuppgifter till ett tredjeland i andra situa- tioner än med stöd av 2 kap. tryckfrihetsförordningen, är regelver- ket inte lika tydligt. Handlar det om utlämnande enligt bestämmel- ser om ärendehandläggning eller liknande, t.ex. bestämmelser om kommunikation eller partsinsyn, görs ingen skillnad på parter i Sverige, EU eller tredjeland.

Det finns inga generellt tillämpliga bestämmelser som vare sig förpliktar eller begränsar myndigheter vid utlämnande av offentliga personuppgifter till tredjeland, t.ex. en myndighet i ett sådant land (jfr SOU 2015:39 s. 484). Att en myndighet enligt 6 kap. 5 § offentlighets- och sekretesslagen på begäran av en annan myndig- het är skyldig att lämna ut en uppgift som den förfogar över om uppgiften inte är sekretessbelagd, ses i allmänhet som en precise- ring av myndigheternas allmänna samverkansskyldighet som tar sikte på svenska förvaltningsmyndigheter och domstolar. Den medför inte någon skyldighet att lämna ut personuppgifter, vare sig de är sekretessbelagda eller inte, till utländska myndigheter (jfr bet. 1982/83:KU12 s. 36). En utländsk myndighet anses inte heller ha rätt att överklaga en myndighets beslut att inte lämna ut en allmän handling eller att avslå en begäran om att få del av en personuppgift (Lenberg m.fl., supplement 12, juli 2015, s. 6:7.4 f.).

15.12.4 Uppgifter som är sekretessbelagda

Utgångspunkten är att en sekretessbelagd uppgift inte får röjas för en utländsk myndighet eller en mellanfolklig organisation. Enligt 8 kap. 3 § offentlighets- och sekretesslagen får dock sekretessbe- lagda uppgifter lämnas ut till en utländsk myndighet eller en mel- lanfolklig organisation om utlämnandet görs med stöd av särskild föreskrift i lag eller förordning. Med det avses uttryckliga uppgifts- skyldigheter eller andra sekretessbrytande regler.

Sekretessbelagda uppgifter får även enligt 8 kap. 3 § offentlig- hets- och sekretesslagen lämnas till en utländsk myndighet eller en

626

SOU 2017:29

Överföring till tredjeland och internationella organisationer

mellanfolklig organisation om uppgiften i motsvarande fall får läm- nas ut till en svensk myndighet och det enligt den utlämnande myndighetens prövning står klart att det är förenligt med svenska intressen att uppgiften lämnas ut. Om en svensk myndighet i mot- svarande läge inte skulle ha fått uppgifterna på grund av sekretess får de alltså inte lämnas ut. Vid bedömningen av om uppgiftsläm- nandet är förenligt med svenska intressen får bl.a. Sveriges intresse av internationellt samarbete med den utländska myndigheten eller det mellanfolkliga organet beaktas.

Det kan inom ramen för det internationella samarbetet finnas bestämmelser som hindrar att personuppgifter överförs till tredje- land. Enligt t.ex. 10 § lagen (2000:344) om Schengens informa- tionssystem får en uppgift som behandlas i registret inte överföras eller göras tillgänglig för ett tredjeland (med vilket här bör förstås stater som inte är anslutna till Schengensamarbetet) eller en inter- nationell organisation.

627

16 Sekretessfrågor

16.1Allmänt om offentlighet och sekretess

16.1.1Rätten att ta del av allmänna handlingar

Enligt 2 kap. 1 § tryckfrihetsförordningen har var och en rätt att ta del av allmänna handlingar. Den rätten får enligt 2 kap. 2 § första stycket tryckfrihetsförordningen begränsas bara om det är nödvän- digt med hänsyn till vissa intressen. En sådan begränsning ska anges noga i en bestämmelse i en särskild lag eller, om det i ett visst fall anses lämpligare, i en annan lag som den förstnämnda lagen hänvisar till. Den särskilda lag som avses är offentlighets- och sek- retesslagen (2009:400).

Sekretess innebär inte bara begränsningar av rätten att ta del av allmänna handlingar utan även förbud att röja en uppgift, vare sig det sker muntligen, genom utlämnande av allmän handling eller på något annat sätt. Sekretess innebär således både handlingssekretess och tystnadsplikt. Till den del sekretessbestämmelserna innebär tystnadsplikt, medför de en begränsning av yttrandefriheten enligt regeringsformen.

16.1.2Huvuddragen i sekretessregleringen

En sekretessbestämmelse består som regel av tre huvudsakliga rek- visit som anger sekretessens föremål, räckvidd och styrka.

Sekretessens föremål är den information som kan hemlighållas och anges i lagen genom ordet ”uppgift” tillsammans med en mer eller mindre långtgående precisering av uppgiftens art, t.ex. uppgift om enskilds personliga förhållanden.

Sekretessbestämmelsens räckvidd bestäms normalt genom att det i bestämmelsen preciseras att sekretessen bara gäller i en viss

629

Sekretessfrågor

SOU 2017:29

typ av ärende, i en viss typ av verksamhet eller hos en viss myndig- het. Ett fåtal sekretessbestämmelser gäller utan någon begränsning av räckvidden. Uppgiften kan då hemlighållas oavsett i vilket ären- de, i vilken verksamhet eller hos vilken myndighet den finns.

Sekretessens styrka bestäms som regel med hjälp av s.k. skade- rekvisit. Man skiljer mellan raka och omvända skaderekvisit. Vid raka skaderekvisit är utgångspunkten att uppgifterna är offentliga och att sekretess bara gäller om det kan antas att viss skada uppstår om de lämnas ut. Vid omvända skaderekvisit är utgångspunkten den motsatta. Då är presumtionen att uppgifterna omfattas av sek- retess. Uppgifterna får då lämnas ut endast om det står klart att uppgifterna kan röjas utan att viss skada uppstår. Sekretessen kan även vara absolut, vilket innebär att de uppgifter som sekretessen omfattar ska hemlighållas utan någon skadeprövning om uppgif- terna begärs ut.

Som huvudregel följer sekretess inte med en uppgift när den lämnas till en annan myndighet. Det beror bl.a. på att behovet av sekretess och styrkan i sekretessen inte kan bestämmas enbart med hänsyn till sekretessintresset utan varierar mellan myndigheter. Offentlighetsintresset kan kräva att de uppgifter som behandlas som hemliga hos en myndighet är offentliga hos en annan (se pro- positionen med förslag till ny sekretesslag m.m., prop. 1979/80:2, Del A, s. 75 f.). Det finns dock vissa bestämmelser om överföring av sekretess.

Vid överföring av sekretess skiljer man mellan primära och sekundära sekretessbestämmelser. En primär sekretessbestämmelse gäller hos en myndighet eller för en viss typ av verksamhet eller en viss ärendetyp. En sekundär sekretessbestämmelse är en bestäm- melse om sekretess som en myndighet ska tillämpa med stöd av en särskild bestämmelse om överföring av sekretess. Överföring av sekretess innebär enligt 3 kap. 1 § offentlighets- och sekretesslagen att en primär sekretessbestämmelse som är tillämplig på en uppgift hos en myndighet, ska tillämpas på uppgiften även av en myndighet som uppgiften lämnas till.

En primär sekretessbestämmelse kan normalt tillämpas på en uppgift oavsett om myndigheten har fått uppgifterna från en annan myndighet eller från en enskild. En sekundär sekretessbestämmelse kan däremot bara tillämpas på uppgifter som den mottagande myn- digheten har fått från en annan myndighet. En sådan bestämmelse

630

SOU 2017:29

Sekretessfrågor

kan alltså inte tillämpas på uppgifter som den mottagande myndig- heten har fått direkt från en enskild (se Skydd för förföljda per- soner, samordningsnummer m.m., prop. 1997/98:9, s. 38 f., Sekre- tessfrågor – Skyddade adresser, m.m., prop. 2005/06:161, s. 30 och JO 2000/01 s. 44 och 50).

Sekretesstiden i olika sekretessbestämmelser varierar beroende på vilken typ av uppgift det är fråga om. Endast i ett fåtal bestäm- melser saknas tidsgränser.

16.2Ändrade regler om sekretess och tystnadsplikt med anledning av dataskyddsreformen

Enligt artikel 44.2 i direktivet ska tystnadsplikt gälla för personal vid tillsynsmyndigheten för konfidentiell information som de får kännedom om vid utförandet av sina uppgifter eller utövandet av sina befogenheter. Direktivet innehåller däremot, i motsats till dataskyddsförordningen, inte någon bestämmelse om tystnadsplikt för dataskyddsombud.

Det ingår i Dataskyddsutredningens uppdrag att bl.a. överväga om nu gällande sekretessbestämmelser behöver anpassas till data- skyddsförordningens reglering om tystnadsplikt hos tillsynsmyn- digheten och sekretess och tystnadsplikt för dataskyddsombud och att anpassa hänvisningarna till personuppgiftslagen i offentlighets- och sekretesslagen (dir. 2016:15 s. 13 f.). Dataskyddsutredningen ska redovisa sitt uppdrag den 12 maj 2017.

Även om utgångspunkten har varit att Dataskyddsutredningen ska hantera de frågor som rör tystnadsplikt och sekretess med an- ledning av EU:s dataskyddsreform, är det uppenbart att det inte kan gälla frågor som enbart väcks vid genomförandet av data- skyddsdirektivet. Utredningen, som är oförhindrad att vid genom- förandet av direktivet ta upp närliggande frågor, anser att det finns anledning att redan nu lägga fram några förslag till särskild sekre- tessreglering som enbart rör ramlagens tillämpningsområde. Utred- ningen har samrått med Dataskyddsutredningen om förslagen.

Utredningen förutser vidare att det även inom ramlagens till- lämpningsområde kommer att krävas en regel om tystnadsplikt för dataskyddsombud, bl.a. därför att det enligt förslaget till ramlag kommer att finnas behöriga myndigheter som inte tillämpar offent-

631

Sekretessfrågor

SOU 2017:29

lighets- och sekretesslagen. Även de föreslås ha dataskyddsombud (se avsnitt 10.5.2). Eftersom det är önskvärt att en sådan regel ut- formas på samma sätt för både dataskyddsförordningens och ram- lagens tillämpningsområden och Dataskyddsutredningen redovisar sina förslag senare än vi, har det lämnats utrymme för en sådan regel i förslaget till ramlag. Det finns därför anledning att i slut- betänkandet återkomma till det och till frågan om Dataskyddsut- redningens övriga förslag på sekretessområdet kräver någon kom- pletterande reglering inom ramlagens tillämpningsområde.

16.3Sekretess i tillsynsverksamheten

16.3.1Nuvarande reglering

Sekretess till skydd för tillsynsverksamheten

Tillsynsverksamhet skyddas av olika sekretessregler, både primära och sekundära. Enligt 17 kap. 1 § offentlighets- och sekretesslagen gäller sekretess för uppgift om planläggning eller andra förberedel- ser för sådan inspektion, revision eller annan granskning som en myndighet ska göra, om det kan antas att syftet med gransknings- verksamheten motverkas om uppgiften röjs.

Får en myndighet i verksamhet som rör tillsyn en sekretessreg- lerad uppgift från en annan myndighet, blir enligt 11 kap. 1 § offentlighets- och sekretesslagen sekretessbestämmelsen tillämplig även hos tillsynsmyndigheten. Därmed gäller i princip samma sek- retess hos tillsynsmyndigheten som hos den myndighet som är föremål för tillsyn. Sekretessen gäller även för uppgifter som till- synsmyndigheten hämtar in från andra myndigheter än den som granskningen avser, om uppgifterna behövs för tillsynen. Enligt 11 kap. 8 § gäller en primär sekretessbestämmelse som ska tilläm- pas av tillsynsmyndigheten framför överförd sekretess enligt 11 kap. 1 §.

Sekretess gäller enligt 42 kap. 5 § offentlighets- och sekretessla- gen hos Säkerhets- och integritetsskyddsnämnden i dess tillsyns- verksamhet. Sekretessen hos nämnden regleras uttömmande i 42 kap. 6–8 §§. Om nämnden har fått uppgifter från en enskild gäller enligt 42 kap 6 § sekretess enligt 15 kap. endast om det kan antas att riket lider betydande skada om uppgiften röjs och enligt

632

SOU 2017:29

Sekretessfrågor

18 kap. endast om det kan antas att verksamheten för att förebygga eller beivra brott allvarligt motverkas om uppgiften röjs. Över- föring av sekretess regleras i 42 kap. 8 §. Sekretess följer alltid med en uppgift som lämnats av en annan myndighet till nämnden. En- ligt förarbetena är det viktigt att uppgifter i dessa fall inte får ett svagare skydd hos nämnden än hos den utlämnande myndigheten (Ytterligare rättssäkerhetsgarantier vid användande av hemliga tvångsmedel, prop. 2006/07:133, s. 74). Sekretess överförs både från myndigheter som omfattas av nämndens tillsyn och från andra myndigheter.

Sekretess till skydd för enskild i tillsynsverksamhet

Enligt 32 kap. 1 § offentlighets- och sekretesslagen gäller sekretess hos Datainspektionen i ärende om tillstånd eller tillsyn som enligt lag eller annan författning ska handläggas av inspektionen och i ärende om sådant bistånd som avses i dataskyddskonventionen, om det kan antas att den enskilde eller någon närstående till denne lider skada eller men om uppgiften röjs.

Enligt 42 kap. 6 § andra stycket gäller sekretess hos Säkerhets- och integritetsskyddsnämnden till skydd för uppgift om enskildas personliga förhållanden som lämnas av enskilda själva, om uppgif- ten skulle ha varit sekretessreglerad om den funnits hos den myn- dighet som det aktuella tillsynsärendet får anses avse. Om uppgif- terna inte kan hänföras till någon sådan myndighet, är de således offentliga.

Primär sekretess som kan gälla i tillsynsverksamhet

Den primära sekretessen för brottsbekämpande verksamhet enligt 18 kap. 1 och 2 §§ offentlighets- och sekretesslagen gäller i princip hos alla myndigheter. Är det fråga om sådan sekretess gäller där- med sekretessen till skydd för uppgifter i förundersökningar, ären- den om användning av tvångsmedel och underrättelseverksamhet även hos tillsynsmyndigheten. Detsamma gäller sekretess enligt andra bestämmelser i 18 kap. som är konstruerade så att sekretes- sen följer med uppgiften. Särskilda sekretessbestämmelser gäller som nyss nämnts för Säkerhets- och integritetsskyddsnämnden.

633

Sekretessfrågor

SOU 2017:29

Sekretess med hänsyn till förhållandet till andra stater

Enligt 15 kap. 1 § offentlighets- och sekretesslagen gäller sekretess för uppgift som angår Sveriges förbindelser med en annan stat eller i övrigt rör annan stat, mellanfolklig organisation, myndighet, med- borgare eller juridisk person i annan stat eller statslös, om det kan antas att det stör Sveriges mellanfolkliga förbindelser eller på annat sätt skadar landet om uppgiften röjs. För att sekretess ska gälla krävs att den svenska myndigheten företräder Sverige på sådant sätt att kontakten anses röra Sveriges förbindelser med den andra sta- ten. Paragrafen kan även vara tillämplig på en utländsk myndighets kontakter med en svensk myndighet, men utrymmet för sekretess är starkt begränsat (Eva Lenberg, Ulrika Geijer och Anna Tansjö, i fortsättningen Lenberg m.fl., supplement 9, januari 2014, s. 15:1.1).

Sekretessen i 15 kap. 1 a § offentlighets- och sekretesslagen in- fördes för att möta ökade krav på sekretess i internationellt sam- arbete. Sekretess gäller för uppgift som en svensk myndighet har fått från ett utländskt organ på grund av bl.a. en bindande EU- rättsakt eller ett av EU ingånget avtal eller av riksdagen godkänt avtal med en annan stat eller mellanfolklig organisation, om det kan antas att Sveriges möjlighet att delta i det internationella samar- betet försämras om uppgiften röjs. Sekretess gäller också för upp- gift som en myndighet har inhämtat i syfte att överlämna den till ett utländskt organ i enlighet med en sådan rättsakt eller ett sådant avtal. Bestämmelsen gäller hos alla som tillämpar offentlighets- och sekretesslagen.

Sekretess gäller enligt 42 kap. 7 § offentlighets- och sekretessla- gen hos Säkerhets- och integritetsskyddsnämnden för uppgift som nämnden har fått direkt från en utländsk myndighet eller en mel- lanfolklig organisation. Förutsättningen för sekretess är att det skulle ha gällt sekretess för uppgiften om den hade funnits hos den myndighet som det aktuella tillsynsärendet får anses avse. Kan uppgifterna inte hänföras till någon sådan myndighet är de alltså offentliga. Datainspektionen har däremot inte någon motsvarande sekretessbestämmelse som skyddar allmänna utländska intressen i myndighetens tillsynsverksamhet.

634

SOU 2017:29

Sekretessfrågor

16.3.2Behovet av en ny sekretessbestämmelse

Utredningens bedömning: Det behövs en ny sekretessbestäm- melse för att värna tillsynsmyndighetens internationella sam- arbete enligt ramlagen.

Skälen för utredningens bedömning

Ökat informationsutbyte mellan tillsynsmyndigheter

Brottsligheten är i allt större utsträckning gränsöverskridande. Det ställer krav på ökat samarbete mellan behöriga myndigheter inom olika delar av ramlagens tillämpningsområde. Ett av direktivets syf- ten är att underlätta det fria flödet av uppgifter mellan behöriga myndigheter, nationellt och internationellt. Det får i sin tur bety- delse för tillsynen över personuppgiftsbehandling. Ökat sådant in- formationsutbyte ställer högre krav på samarbete mellan tillsyns- myndigheterna, eftersom fler skyddsvärda och integritetskänsliga uppgifter kan komma att utbytas. Betydelsen av ett kraftfullt till- synsarbete framhålls i skäl 4. Enligt artikel 50.1 ska medlemssta- terna införa åtgärder som bidrar till ett verkningsfullt samarbete när det gäller tillsynen. Tillsynsmyndigheterna ska utbyta relevant information och bistå varandra med tillsynsåtgärder. Samarbetet behandlas i avsnitt 12.10.

I det internationella straffrättsliga samarbetet har det länge varit en självklar utgångspunkt att uppgifter skyddas av sekretess i alla medlemsstater, för att inte samarbetet ska äventyras. För närva- rande pågår lagstiftningsarbete för att skapa ökat sekretesskydd för utländska intressen vid internationellt polisiärt samarbete (se Några frågor om offentlighet och sekretess, Ds 2016:2, s. 67 f.).

Det behövs en ny sekretessbestämmelse

För att kunna fullgöra sina skyldigheter enligt ramlagen måste till- synsmyndigheten både kunna hämta in och ta emot nödvändig information från tillsynsmyndigheter i andra medlemsstater. In- formationen kan röra t.ex. personuppgiftsbehandling vid pågående förundersökningar, underrättelsearbete, samarbete i spaningsverk-

635

Sekretessfrågor

SOU 2017:29

samhet eller andra uppgifter som kan vara sekretessreglerade. Av en svensk begäran om bistånd ska det framgå vilken hjälp den svenska tillsynsmyndigheten begär och skälen för begäran. En begäran om bistånd bör givetvis formuleras så att den inte i onödan avslöjar sekretessbelagd information. De sekretessregler som finns är enligt utredningens mening tillräckliga för att tillsynsmyndigheten ska kunna fullgöra sina skyldigheter när det gäller svenska framställ- ningar om bistånd. Behovet av en sekretessbrytande bestämmelse behandlas i avsnitt 16.3.4.

Regleringen i offentlighets- och sekretesslagen utgår från att det är svenska myndigheter som åsyftas, om inte annat sägs (Lenberg m.fl., s. 8:1.1). Det får betydelse framför allt vid internationellt samarbete. Om uppgifter lämnas direkt från en utländsk myndighet eller mellanfolklig organisation till en svensk myndighet blir be- stämmelserna om överföring av sekretess inte tillämpliga (se För- stärkt integritet vid signalspaning, prop. 2008/09:201, s. 102). Det väcker frågan om den nuvarande sekretessregleringen i tillräcklig utsträckning skyddar den information som den svenska tillsyns- myndigheten kan komma att motta från en utländsk tillsynsmyn- dighet.

Tillsynen över de behöriga myndigheterna kommer att ge till- synsmyndigheten insyn i bl.a. brottsbekämpande verksamhet där intresset av sekretess till skydd för det allmännas verksamhet är starkt. Det gäller i lika hög grad utländska myndigheters brotts- bekämpande verksamhet som svenska myndigheters. Det var mot den bakgrunden som sekretessen i 18 kap. 17 § offentlighets- och sekretesslagen infördes. Som nyss nämnts pågår lagstiftningsarbete i syfte att förbättra sekretesskyddet i det internationella polisiära samarbetet. Även om det inte är ett uttryckligt krav i direktivet är det enligt utredningens mening nödvändigt att uppgifter som här- rör från internationellt samarbete på det brottsbekämpande och straffrättsliga området har ett fullgott sekretesskydd hos tillsyns- myndigheten vid tillsyn över sådant samarbete.

Om de uppgifter som utländska tillsynsmyndigheter lämnar när de begär svenskt bistånd inte skyddas genom sekretess hos den svenska tillsynsmyndigheten, kan det leda till att utländska till- synsmyndigheter både kan komma att avhålla sig från att begära bistånd från Sverige och vara mindre villiga att bistå den svenska myndigheten när den begär att få uppgifter. Det skulle kunna

636

SOU 2017:29

Sekretessfrågor

hämma den svenska tillsynsmyndighetens möjlighet att bedriva ett effektivt tillsynsarbete och göra det svårt för Sverige att leva upp till direktivets skyldigheter om internationellt samarbete vid tillsyn. Samarbetet på ramlagens område kräver därför enligt utredningens mening att utländska allmänna intressen kan skyddas. Eftersom frågan om sekretess i det gränsöverskridande tillsynsarbetet över huvud taget inte berörs i direktivet, kan bestämmelsen om sekre- tess i 15 kap. 1 a § offentlighets- och sekretesslagen inte anses till- lämplig.

Sverige har skyldighet att se till att regleringen i direktivet blir effektiv. Det finns därför skäl att införa en ny sekretessbestäm- melse som skyddar uppgifter som tillsynsmyndigheten får när den på begäran bistår en utländsk tillsynsmyndighet vid tillsyn inom direktivets tillämpningsområde.

Ett tillåtet intresse enligt tryckfrihetsförordningen?

Enligt 2 kap. 2 § första stycket tryckfrihetsförordningen får rätten att ta del av allmänna handlingar begränsas bara för vissa där sär- skilt angivna intressen. Ett sådant intresse är rikets förhållande till annan stat eller mellanfolklig organisation (2 kap. 2 § 1 tryckfri- hetsförordningen) och ett annat är myndighets verksamhet för inspektion, kontroll eller annan tillsyn (2 kap. 2 § 3).

När bestämmelsen i 18 kap. 17 § offentlighets- och sekretessla- gen infördes bedömde regeringen att ordalydelsen i fyra av de sju intressen som räknas upp i 2 kap. 2 § tryckfrihetsförordningen ut- tryckligen är begränsade till svenska förhållanden. Det gällde bl.a. intresset i punkten 3 (se Internationell rättslig hjälp i brottmål, prop. 1999/2000:61, s. 164 ). Därefter har emellertid flera bestäm- melser om sekretess i internationellt samarbete med skyddsintres- sen som liknar det nu aktuella införts. Som exempel kan nämnas 17 kap. 7 a § (administrativt samarbete avseende beskattning), 17 kap. 7 b § (tillsyn över marknaderna för el och naturgas) och 42 kap. 7 och 8 c §§ offentlighets- och sekretesslagen (Säkerhets- och integritetskyddsnämndens tillsyn över bl.a. behandling av per- sonuppgifter).

Mot bakgrund av att det under senare år har införts flera sekre- tessregler, som lutar sig mot 2 kap. 2 § 3 tryckfrihetsförordningen

637

Sekretessfrågor

SOU 2017:29

och som syftar till att skydda utländska allmänna intressen på till- synsområdet, drar utredningen slutsatsen att den tidigare uppfatt- ningen att 2 kap. 2 § 3 enbart kan avse svenska intressen har över- getts, även om det inte kommit till direkt uttryck i lagstiftningen (se t.ex. Sekretess vid samarbete mellan europeiska energitillsyns- myndigheter, prop. 2012/13:7, s. 12). Därmed finns det enligt ut- redningens uppfattning inget som hindrar att det införs en ny sek- retessbestämmelse som syftar till att värna utländska intressen på tillsynsområdet. Till det kommer att en sekretessregel i detta fall även är motiverad med hänsyn till rikets förhållande till annan stat.

16.3.3Utformningen av sekretessbestämmelsen

Utredningens förslag: Sekretess ska gälla hos tillsynsmyndig- heten i tillsynsverksamhet enligt ramlagen för uppgift som har lämnats av en tillsynsmyndighet i en annan medlemsstat i sam- band med en begäran om svenskt bistånd, om det kan antas att den svenska tillsynsmyndighetens möjlighet att bedriva tillsyn motverkas om uppgiften röjs. Sekretessen ska gälla i högst 40 år.

Skälen för utredningens förslag

Sekretessens föremål, räckvidd och styrka

Sekretessen bör skydda uppgifter som lämnas till den svenska till- synsmyndigheten av en tillsynsmyndighet i en medlemsstat när den begär svenskt bistånd. Det som behöver kunna sekretessbeläggas är framför allt uppgifter som kan ge inblick i enskilda ärenden hos tillsynsobjekten eller avslöja hur arbetet bedrivs där, t.ex. vilken spanings- eller utredningsverksamhet som bedrivs eller vilka arbets- metoder som används av t.ex. kriminalvårdsmyndigheter eller poli- sen. Den svenska tillsynsmyndigheten skulle också kunna få inblick i utländska tillsynsmyndigheters ställningstaganden och diskussio- ner kring gränsöverskridande samarbeten som inte berör Sverige.

Frågan är då hur sekretessregeln närmare bör utformas. En lös- ning kan vara att med 18 kap. 17 § offentlighets- och sekretesslagen som förebild föreskriva att sekretess gäller om det kan antas att viss åtgärd begärs under förutsättning att överlämnade uppgifter inte

638

SOU 2017:29

Sekretessfrågor

röjs. En sådan bestämmelse skulle fungera när en utländsk till- synsmyndighet begär hjälp men inte skydda utländska intressen när uppgifter lämnas av den utländska tillsynsmyndigheten på eget initiativ. En annan lösning kan vara att med 42 kap. 7 § som före- bild föreskriva att sekretess gäller i den utsträckning uppgiften skulle ha varit sekretessreglerad om den funnits hos den myndighet som det aktuella tillsynsärendet får anses avse. Nackdelen med den lösningen är att om uppgifterna inte kan hänföras till någon sådan myndighet blir de offentliga. En tredje lösning kan vara att utforma bestämmelsen på samma sätt som 17 kap. 7 b § offentlighets- och sekretesslagen. Den paragrafen tar sikte på om ett röjande skulle motverka den svenska myndighetens möjlighet att bedriva tillsyn. Bestämmelsen infördes med anledning av samarbetet inom EU vid tillsyn över marknaderna för el och naturgas (prop. 2012/13:7 s. 20). Utredningen anser att det sistnämnda alternativet är det bästa.

När en ny sekretessbestämmelse övervägs ska det alltid göras en intresseavvägning mellan sekretessintresset och insynsintresset (se prop. 1979/80:2, Del A, s. 78). När skälen för att införa en sekre- tessbestämmelse väger tyngre än insynsintresset kommer avväg- ningen mellan skyddsintresset och allmänhetens intresse av insyn normalt till uttryck genom att sekretessbestämmelsen förses med ett skaderekvisit. Det kan antingen vara ett rakt skaderekvisit, som innebär en presumtion för offentlighet, eller ett omvänt skaderek- visit, som innebär en presumtion för sekretess (se avsnitt 16.1.2). I vissa fall förses dock sekretessbestämmelsen med andra rekvisit som anger under vilka förutsättningar som sekretessen gäller. Gemensamt för de bestämmelser som saknar ett traditionellt ska- derekvisit är att de är tydligt avgränsade i fråga om föremål och räckvidd. Enligt utredningens mening finns det betydande svårig- heter att tillämpa skaderekvisit i bestämmelser som avser att skydda utländska intressen. Möjligheterna att rätt bedöma skadan är be- gränsade i de fallen och därför bör en annan typ av rekvisit väljas. Regeln bör därför utformas så att sekretess gäller om det kan antas att tillsynsmyndighetens möjlighet att bedriva tillsyn motverkas om uppgiften röjs. Det är samma rekvisit som finns i sekretessre- geln till skydd för det internationella samarbetet vid tillsyn över marknaderna för el och naturgas. Sekretessbestämmelsen bör for-

639

Sekretessfrågor

SOU 2017:29

muleras så att den kan fungera oavsett om en eller flera tillsyns- myndigheter skulle utses på direktivets område.

Av paragrafen bör det alltså framgå att sekretess gäller hos till- synsmyndigheten i dess tillsynsverksamhet enligt ramlagen för uppgift som har lämnats i samband med en begäran om svenskt bistånd från en tillsynsmyndighet i en annan medlemsstat, om det kan antas att den svenska myndighetens möjlighet att bedriva till- syn motverkas om uppgiften röjs.

Sekretesstiden och sekretessbestämmelsens placering

Vid utrikessekretess, internationellt rättsligt samarbete och annat tillsynssamarbete är sekretesstiden högst fyrtio år. Samma sekre- tesstid bör gälla för nu aktuella uppgifter.

Den nya sekretessbestämmelsen skulle kunna placeras antingen i kapitel 17, som reglerar sekretess till skydd för bl.a. myndigheters verksamhet för tillsyn, eller i kapitel 15, som reglerar sekretess till skydd för rikets förhållande till andra stater. Utredningen anser att den bör placeras i kapitel 17, där det redan finns bestämmelser med liknande skyddsintressen.

Rätten att meddela och offentliggöra uppgifter

Enligt 3 kap. 1 § offentlighets- och sekretesslagen innebär sekretess ett förbud att röja uppgift, vare sig det görs muntligen, genom ut- lämnande av allmän handling eller på något annat sätt. När en ny sekretessbestämmelse införs måste därför ställning tas till om den tystnadsplikt som följer av den föreslagna sekretessbestämmelsen bör ges företräde framför meddelarfriheten enligt 1 kap. 1 § tredje stycket tryckfrihetsförordningen och 1 kap. 1 och 2 §§ yttrande- frihetsgrundlagen.

Enligt förarbetena till sekretesslagen bör som grundprincip all- tid gälla stor återhållsamhet vid prövningen av om undantag ska göras från rätten att meddela och offentliggöra uppgifter. Den en- skilda sekretessbestämmelsens konstruktion kan ge viss vägledning. När det är fråga om bestämmelser om absolut sekretess kan det finnas större anledning att överväga undantag från rätten att med- dela och offentliggöra uppgifter än i andra fall (prop. 1979/80:2,

640

SOU 2017:29

Sekretessfrågor

Del A, s. 110 f.). Undantag från huvudregeln är framför allt aktuellt ifråga om sekretessregler utan skaderekvisit eller med omvänt ska- derekvisit. Att undantag görs med hänsyn till allmänna intressen är ovanligt. De undantag som finns i dag rör särskilt viktiga skydds- intressen (prop. 2012/13:7 s. 18 f. och Sekretess i det internatio- nella samarbetet, prop. 2012/13:192, s. 38). Enligt utredningens mening bör något undantag från huvudregeln inte göras i detta fall.

16.3.4En sekretessbrytande regel för tillsynsverksamheten

Utredningens förslag: Tillsynsmyndigheten får, om det är för- enligt med svenska intressen, lämna ut en uppgift till en behörig tillsynsmyndighet i annan medlemsstat, även om uppgiften är sekretessbelagd.

Skälen för utredningens förslag

Nuvarande reglering

Enligt 10 kap. 17 § offentlighets- och sekretesslagen hindrar sekre- tess inte att en uppgift lämnas till en myndighet, om uppgiften be- hövs där för tillsyn över eller revision hos den myndighet där upp- giften förekommer. Ordet myndighet syftar som tidigare nämnts på svenska myndigheter. Bestämmelsen möjliggör utlämnande till bl.a. JO, JK och Datainspektionen.

Sekretess hindrar enligt 10 kap. 2 § offentlighets- och sekre- tesslagen inte heller att en uppgift lämnas till en enskild eller till en annan myndighet, om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet. Syftet med para- grafen är att förhindra att sekretessregleringen gör det omöjligt för en myndighet att sköta de uppgifter som den är skyldig att utföra.

Enligt 8 kap. 3 § offentlighets- och sekretesslagen får en uppgift för vilken sekretess gäller inte röjas för en utländsk myndighet eller en mellanfolklig organisation, om inte utlämnande görs med stöd av en särskild föreskrift i lag eller förordning, eller uppgiften i mot- svarande fall skulle få lämnas ut till en svensk myndighet och det enligt den utlämnande myndighetens prövning står klart att det är förenligt med svenska intressen att uppgiften lämnas till den ut-

641

Sekretessfrågor

SOU 2017:29

ländska myndigheten eller till den mellanfolkliga organisationen. Lagen (1978:801) om internationellt samarbete rörande kriminal- vård i frihet och lagen (2000:1219) om internationellt tullsamarbete är exempel på författningar med sådana särskilda föreskrifter.

Det behövs en ny sekretessbrytande bestämmelse

För att kunna utöva tillsyn behöver tillsynsmyndigheten få tillgång till all information som rör viss behandling av personuppgifter. För det ändamålet måste tillsynsmyndigheten inte sällan själv lämna ut sekretessbelagda uppgifter för att kunna få svar på förfrågningar. Regleringen i 10 kap. 2 § offentlighets- och sekretesslagen möj- liggör för tillsynsmyndigheten att lämna ut information till andra myndigheter, för att kunna få den information som behövs för tillsynen. När det gäller utlämnande till en utländsk tillsynsmyn- dighet ska emellertid även 8 kap. 3 § offentlighets- och sekretess- lagen beaktas.

I avsnitt 12.10.1 föreslås att tillsynsmyndigheten på begäran ska bistå tillsynsmyndigheter i andra medlemsstater. På motsvarande sätt ska tillsynsmyndigheten, som framgår av avsnitt 12.10.2, kunna begära bistånd av en annan medlemsstat. Internationellt bistånd kan innefatta utbyte av information som omfattas av sekretess. Tillsynsuppgiften i sig innebär inte en sådan uppgiftsskyldighet som avses i 8 kap. 3 § offentlighets- och sekretesslagen. Om myn- digheten bedömer att den måste lämna ut sekretessbelagda uppgif- ter för att få internationellt bistånd kan det finnas grund för att bryta sekretessen med stöd av 10 kap. 2 § offentlighets- och sekre- tesslagen. Enligt förarbetena ska dock den paragrafen tillämpas restriktivt. Sekretessen får efterges bara när ett utlämnande av sekretessbelagda uppgifter är en nödvändig förutsättning för att en myndighet ska kunna fullgöra ett visst åliggande (prop. 1979/80:2, Del A, s. 465 och 494). För att genomföra direktivet och för att tillsynsmyndighetens internationella arbete ska underlättas bör det i ramlagen tas in en särskild bestämmelse som bryter sekretessen vid samarbete med en utländsk tillsynsmyndighet.

Av bestämmelsen bör framgå att en sekretessbelagd uppgift får lämnas ut till en behörig tillsynsmyndighet i en annan medlemsstat om det är förenligt med svenska intressen. Den prövningen bör

642

SOU 2017:29

Sekretessfrågor

endast få göras av den som enligt myndighetens arbetsordning eller motsvarande har rätt att fatta sådana beslut på myndighetens väg- nar (jfr Lenberg m.fl., s. 8:3.1). Skulle det vid en sådan prövning bedömas vara oförenligt med svenska intressen att lämna ut upp- gifterna, bör begäran om bistånd vägras med hänvisning till att det skulle strida mot lag att tillmötesgå den.

16.3.5En hänvisningsbestämmelse bör införas

Utredningens förslag: Det bör göras en hänvisning i offentlig- hets- och sekretesslagen till regeln om användningsbegränsning i ramlagen.

Skälen för utredningens förslag: I avsnitt 12.10.2 föreslås en sär- skild regel om hur den information som tillsynsmyndigheten hämtar in från en tillsynsmyndighet i en annan medlemsstat får användas. En sådan användningsbegränsning har företräde framför andra författningsregler. I 9 kap. 2 § offentlighets- och sekretess- lagen räknas det upp ett antal sådana bestämmelser. En hänvisning till regeln i ramlagen bör införas i den paragrafen.

16.4Sekretess för sammanställningar av känsliga personuppgifter

Utredningens förslag: Sekretess till skydd för enskild ska gälla hos en behörig myndighet för uppgift i en sammanställning av känsliga personuppgifter. Sekretessen ska gälla i högst 70 år.

För sådana uppgifter ska meddelarfrihet inte gälla.

Skälen för utredningens förslag

Sekretessens föremål, styrka och räckvidd

I avsnitt 9.2.4 föreslår utredningen ett generellt förbud mot vissa sökningar. Det ska vara förbjudet att utföra sökningar i syfte att få fram ett personurval grundat på känsliga personuppgifter. Där dis-

643

Sekretessfrågor

SOU 2017:29

kuteras också ingående om ett sådant förbud innebär att begräns- ningsregeln i 2 kap. 3 § tryckfrihetsförordningen blir tillämplig. Om så inte är fallet skulle någon som vill ta del av allmänna hand- lingar inte kunna hindras från att begära sökning på känsliga per- sonuppgifter för att få fram ett sådant personurval. För att allmän- heten inte med stöd av offentlighetsprincipen ska kunna få ut uppgifter i sammanställningar grundade på sådana sökningar, bör det enligt utredningens mening införas en sekretessregel som knyts till regeln om sökförbud i ramlagen. Sekretessen bör gälla hos be- höriga myndigheter till skydd för enskild för uppgifter i samman- ställningar av känsliga personuppgifter.

Avsikten med sekretessbestämmelsen är att skydda enskildas integritet. Det rör sig om personuppgifter som omgärdas av starka dataskyddsregler. Även om det anses nödvändigt att i vissa fall medge myndigheter att göra sökningar som kan resultera i person- urval som grundar sig på känsliga personuppgifter är det svårt att se att det skulle finnas något allmänt intresse av att kunna ta del av sådana uppgifter. Syftet med bestämmelsen är att en behörig myn- dighet inte ska behöva göra en otillåten sökning för att kunna be- döma sekretessfrågan om uppgifterna begärs ut (jfr Sekretess i ut- ländska databaser, prop. 2011/12:157, s. 17). Mot den bakgrunden bör enligt utredningens mening sekretessen vara absolut.

Sekretessbestämmelsens placering och sekretesstiden

Eftersom det är en sekretessbestämmelse till skydd för enskild i verksamhet som syftar till att förebygga eller beivra brott bör den placeras i 35 kap. offentlighets- och sekretesslagen.

Vid sekretess till skydd för enskild i 35 kap. varierar sekretessti- den mellan femtio och sjuttio år. Den kortare sekretesstiden gäller bl.a. inom Kriminalvården medan den längre gäller för flertalet bestämmelser i kapitlet. Utredningen anser att den längre sekre- tesstiden bör gälla i detta fall.

644

SOU 2017:29

Sekretessfrågor

Rätten att meddela och offentliggöra uppgifter

I avsnitt 16.3.3 påpekas att när en ny sekretessbestämmelse införs ska även behovet av eventuellt undantag från meddelarfriheten prö- vas. Syftet med sekretessbestämmelsen är att komplettera förbudet mot sammanställningar grundade på känsliga personuppgifter. Det föreslås därför att sekretessen ska vara absolut. Därmed talar också starka skäl för att undantag från meddelarfriheten bör göras i detta fall. Mot det skulle kunna invändas att det är viktigt att anställda kan slå larm om regelverket skulle missbrukas genom systematiska otillåtna sökningar. Utredningen anser att det får förutsättas att myndigheterna tillämpar en så viktig bestämmelse på rätt sätt. Skälen för att begränsa meddelarfriheten väger därför tyngre. En bestämmelse som begränsar meddelarfriheten bör därför införas.

16.5Sekretess för rapporter om personuppgiftsincidenter

En nyhet i direktivet är kravet på rapportering av personuppgifts- incidenter till tillsynsmyndigheten. Det väcker frågan om det krä- ver någon justering i sekretessregleringen.

Redan i dag gäller viss sekretess för rapporter om it-incidenter. Enligt 18 kap. 3 § offentlighets- och sekretesslagen gäller sekretes- sen för bl.a. brottsanmälningar och förundersökning i 18 kap. 1 och 2 §§ offentlighets- och sekretesslagen inte bara hos de brottsbe- kämpande myndigheterna utan även hos andra myndigheter när de biträder en brottsbekämpande myndighet. Myndigheter som står i begrepp att göra en anmälan till en brottsbekämpande myndighet förfogar över det underlag som utgör grunden för anmälan. Sekre- tessen i 18 kap. 3 § kompletterar den sekretess som gäller enligt 18 kap. 1 och 2 §§. Sekretessen gäller såväl hos myndigheter som har anmälningsskyldighet som hos andra. Om en personuppgiftsin- cident leder till en brottsanmälan skyddas alltså det underlag som en behörig myndighet eller tillsynsmyndigheten tar fram genom regleringen i 18 kap. 3 §. Den sekretessen är enligt utredningens mening tillräcklig för att tillgodose behovet av att skydda uppgifter om sådana personuppgiftsincidenter som kan utgöra brott.

Enligt 18 kap. 8 § 3 offentlighets- och sekretesslagen gäller vidare sekretess för uppgift som lämnar eller kan bidra till upplys-

645

Sekretessfrågor

SOU 2017:29

ning om säkerhets- eller bevakningsåtgärd, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs och åtgärden av- ser telekommunikation eller system för automatiserad behandling av information. Sekretess gäller oavsett var uppgiften finns. Upp- gifter om de tekniska system som en personuppgiftsincident berör skyddas genom den sekretessbestämmelsen, som har ett rakt ska- derekvisit. Det har kritiserats i olika sammanhang. Utredningen om genomförande av NIS-direktivet har i uppdrag att överväga om sekretesskyddet för rapportering av it-incidenter i 18 kap. 8 § 3 är tillräckligt (dir. 2016:29). Den utredningen ska redovisa sitt upp- drag den 1 maj 2017.

Mot bakgrund av att frågan om sekretess för rapportering av it- incidenter för närvarande utreds, anser utredningen att det inte finns skäl att nu behandla frågan om det krävs någon ytterligare sekretess för rapporter om personuppgiftsincidenter. Beroende på vad Utredningen om genomförande av NIS-direktivet kommer att föreslå, kan det eventuellt finnas anledning att återkomma till frå- gan i slutbetänkandet.

646

17 Konsekvenser

17.1Få helt nya krav eller arbetsuppgifter men skärpta krav i vissa fall

Förslaget till ramlag och förordning genomför dataskyddsdirekti- vet. En allmän utgångspunkt för uppdraget har varit att sträva efter lösningar som ansluter till nuvarande systematik för reglering av personuppgiftsbehandling. Utredningen har också strävat efter att ligga så nära dataskyddsförordningen som möjligt, när samma fråga behandlas i båda instrumenten och det inte finns sakliga skäl att välja en annan lösning för ramlagens tillämpningsområde.

Direktivet innebär framför allt en harmonisering inom EU. De flesta bestämmelserna i ramlagen motsvarar i större eller mindre utsträckning regler i personuppgiftslagen eller i myndigheternas registerförfattningar. Utredningens förslag ansluter nära till direk- tivet, men på ett fåtal punkter föreslås regler som ger ett starkare skydd för enskilda än vad som krävs enligt direktivet. I de flesta fall hör det samman med att den svenska lagstiftningen redan ger ett motsvarande skydd.

Förslagen i kapitlen 6, 7 och 9 har till stor del motsvarigheter i dagens lagstiftning. Kraven blir dock i vissa fall tydligare, vilket bör bidra till att lagstiftningen blir mer lättillämpad. I vissa avseenden ställs dock något högre krav på de personuppgiftsansvariga. Det gäller bl.a. att ytterligare kategorier av personuppgifter ska betrak- tas som känsliga personuppgifter. Kraven på hur personuppgifter- nas kvalitet ska säkerställas blir också tydligare.

Även om många av kraven i kapitel 10 följer redan av dagens lag- stiftning ställs det också vissa nya krav på de personuppgiftsansva- riga. Det införs t.ex. skyldighet att dokumentera och rapportera personuppgiftsincidenter och kraven på organisatoriska och tekni- ska åtgärder blir tydligare och mera detaljerade än i dag. Det ställs

647

Konsekvenser

SOU 2017:29

också nya krav på att de personuppgiftsansvariga ska genomföra och dokumentera konsekvensbedömningar och ha förhandssamråd med tillsynsmyndigheten. Den skyldighet som flertalet av myndig- heterna i rättskedjan har att utse personuppgiftsombud (i ramlagen dataskyddsombud) blir generell. Kraven på personuppgiftsbiträden skärps och blir tydligare.

De skyldigheter för personuppgiftsansvariga som föreslås i kapi- tel 11 motsvaras till största delen av dagens krav, men enskildas rättigheter stärks genom att informationsskyldigheten utvidgas och förtydligas i viss utsträckning.

I kapitel 13 föreslås ett system med sanktionsavgifter för över- trädelser av bestämmelser i ramlagen. Det motsvarar det sanktions- system som kommer att gälla för överträdelser av bestämmelser i dataskyddsförordningen. Det blir en ny arbetsuppgift för tillsyns- myndigheten att besluta om sanktionsavgifter, men antalet ärenden förväntas inte bli särskilt stort inom ramlagens tillämpningsom- råde. Det beror bl.a. på att de som ska tillämpa ramlagen till största delen är myndigheter, som i regel kan förväntas följa tillsynsmyn- dighetens synpunkter utan att det krävs repressiva åtgärder.

En annan nyhet är möjligheten för enskilda att föra dröjsmåls- talan, som behandlas i kapitel 14. Om tillsynsmyndigheten dröjer med att ge en klagande besked om huruvida ett klagomål gör att myndigheten kommer att utöva tillsyn, ska klaganden kunna väcka talan om dröjsmålet i allmän förvaltningsdomstol. Övriga förslag beträffande rättsmedel i kapitel 14 motsvarar i allt väsentligt det som gäller i dag.

Reglerna om överföring till tredjeland och internationella orga- nisationer i kapitel 15 motsvarar till stor del dem som finns i 2013 års lag. Grunderna för överföring har dock blivit fler och reg- lerna mer detaljerade. I några avseenden skärps också reglerna, bl.a. införs det krav på dokumentation och underrättelser till tillsyns- myndigheten. Reglerna kommer också att vara tillämpliga i många fler fall än i dag eftersom ramlagen har ett vidare tillämpningsom- råde än 2013 års lag.

När det gäller kapitel 12, som behandlar tillsyn, har Utred- ningen om tillsynen över den personliga integriteten haft i uppdrag att överväga konsekvenserna av EU:s dataskyddsreform för tillsy- nen över personuppgiftsbehandling även när det gäller direktivet. Frågan om resurser ligger enligt direktiven till vår utredning utan-

648

SOU 2017:29

Konsekvenser

för vårt uppdrag (dir. 2016:21 s. 6). Det bör dock anmärkas att sys- temet med sanktionsavgifter, som innebär en ny arbetsuppgift för tillsynsmyndigheten, inte var känd när Utredningen om tillsynen över den personliga integriteten presenterade sitt betänkande. Det kan också ifrågasättas om konsekvenserna av att laglighetskontrol- ler ska omfatta hela ramlagens tillämpningsområde fullt ut kunde överblickas då.

I kapitel 16 föreslås vissa ändringar i sekretessregleringen. De kan inte förväntas öka arbetsbördan för berörda myndigheter.

Den största förändringen som följer av EU:s dataskyddsreform är inte utredningens förslag utan det faktum att de som ska till- lämpa ramlagen med kompletterande lagstiftning även i varierande utsträckning ska tillämpa dataskyddsförordningen med komplette- rande lagstiftning. Båda regelverken kommer att tillämpas parallellt, men inte på samma behandling, t.ex. när en personuppgift vid ett visst tillfälle ska behandlas både för ändamål inom och utanför ramlagens tillämpningsområde. Tillämparna måste således behärska dubbla regelverk. Utredningen har försökt illustrera vad det kan innebära genom redovisningen i kapitel 8, som inte innehåller några förslag. Det ankommer inte på utredningen att överväga de samlade konsekvenserna av EU:s dataskyddsreform.

17.2Ekonomiska konsekvenser

17.2.1Konsekvenser för staten

Utredningens bedömning: För de behöriga myndigheterna kommer förslaget till ramlag att kräva utbildning. Kostnaderna för det bör rymmas inom befintliga anslag. Förslaget kommer också att innebära att de allmänna förvaltningsdomstolarna får något fler arbetsuppgifter, men kostnadsökningarna kommer inte att bli större än att de ryms inom de befintliga ekonomiska ramarna.

Skälen för utredningens bedömning: De förslag utredningen läg- ger fram innebär inga skyldigheter för myndigheterna att inrätta nya it-system. Några kostnader för det bör således inte beräknas med anledning av förslagen. När det gäller de ökade kraven på

649

Konsekvenser

SOU 2017:29

loggning föreslår utredningen att Sverige ska utnyttja möjligheten att skjuta upp tidpunkten när de förändringar som kan krävas ska vara genomförda till år 2023. Anledningen till det är som utvecklas i avsnitt 18.2.4 att myndigheterna behöver ha tid för att analysera vad de nya kraven innebär. Det är därför för tidigt att ta ställning till eventuella konsekvenser i den delen.

När ny lagstiftning införs krävs det normalt utbildningsinsatser. Det är inte unikt för de förslag som utredningen presenterar utan uppkommer regelmässigt i olika lagstiftningsärenden. Att det krävs utbildning i detta fall beror inte heller enbart på den lagstiftning som utredningen föreslår utan på den samlade reformen. Kostnader för utbildning täcks normalt av myndigheternas anslag och utred- ningen noterar att det vid genomförandet av betydligt större refor- mer, t.ex. när offentlighets- och sekretesslagen infördes, inte ansågs nödvändigt att tillföra särskilda medel för utbildning. Kostnaderna för utbildning bör därför rymmas inom befintliga ramar.

Ny lagstiftning kräver normalt också nya interna föreskrifter och styrande dokument. Det får anses ingå i de normala uppgif- terna för myndigheterna.

Förslagen medför vissa nya arbetsuppgifter för de allmänna för- valtningsdomstolarna. Med hänsyn till att den fråga som dröjs- målstalan gäller – om det förhållandet att tillsynsmyndigheten underlåtit att ge besked om tillsyn ska utövas har inneburit ett onödigt dröjsmål – i de flesta fall inte torde vara komplicerad, be- dömer utredningen att sådan talan kommer att väckas bara i ett fåtal fall varje år. Kostnaderna bör således rymmas inom befintliga ramar.

Antalet beslut om sanktionsavgift beräknas av de skäl som nyss nämnts bli få. Det bör därför inte påverka tillsynsmyndighetens arbetsbörda i någon större utsträckning. Eftersom sanktionsav- gifterna kan vara kännbara ekonomiskt är det rimligt att utgå från att tillsynsmyndighetens beslut kommer att överklagas till allmän förvaltningsdomstol i relativt stor utsträckning. Det faktum att sådana beslut förväntas bli ovanliga innebär att även överklagan- dena bör stanna vid ett litet antal varje år. Kostnaderna för de all- männa förvaltningsdomstolarna bör därför rymmas inom befintliga anslagsramar.

650

SOU 2017:29

Konsekvenser

17.2.2Konsekvenser för kommuner och landsting

Utredningens bedömning: Att ramlagen i vissa fall ska tilläm- pas i verksamhet som bedrivs av kommuner eller landsting in- nebär inga ökade kostnader för dem.

Skälen för utredningens bedömning: Ramlagens tillämpningsom- råde omfattar bl.a. myndigheter och andra aktörer som verkställer straffrättsliga påföljder. Viss vård, t.ex. ungdomsvård och vård för missbrukare, kan utdömas som en straffrättslig påföljd. Som fram- går av avsnitt 8.4.5 kommer det att innebära att ramlagen blir till- lämplig i viss verksamhet där man i dag tillämpar personuppgiftsl- agen eller lagen (2001:454) om behandling av personuppgifter inom socialtjänsten. Att ramlagen ska tillämpas i stället för dataskydds- förordningen innebär i sig inga ökade kostnader för dataskyddet.

Det som har sagts i avsnitt 17.2.1 om konsekvenserna för staten i fråga om it-system, utbildning och interna styrdokument har gil- tighet även för kommuner eller landsting. Att ramlagen i viss ut- sträckning ska tillämpas av kommuner ochlandsting medför alltså inte några ökade kostnader för dem.

17.2.3Konsekvenser för enskilda

Utredningens bedömning: Förslagen förbättrar skyddet för enskildas integritet och ger dem bättre förutsättningar att kunna ta tillvara sina rättigheter. De medför inga ökade kostnader för enskilda.

Skälen för utredningens bedömning: Förslagen syftar till att stärka integritetsskyddet för enskilda och att ge dem bättre möjlig- heter att kunna kontrollera hur deras personuppgifter behandlas. Enskilda får också ökade möjligheter att reagera om tillsynsmyn- digheten inte behandlar deras klagomål i rimlig tid.

Förslagen förväntas inte leda till några kostnadsökningar för en- skilda. Visserligen föreslås att de personuppgiftsansvariga i vissa fall ska kunna ta ut avgift för information som begärs, men det är i situationer där den enskilde alltför ofta återkommer med begäran

651

Konsekvenser

SOU 2017:29

om information. Den personuppgiftsansvarige kan då ge den en- skilde informationen mot avgift i stället för att avslå begäran.

Det kan finnas fall där enskilda i egenskap av personuppgiftsan- svariga ska tillämpa ramlagen i stället för dataskyddsförordningen. Det torde röra sig om få fall och av de skäl som angetts tidigare finns det inte anledning att räkna med att de kommer att drabbas av några ökade kostnader.

17.3Konsekvenser för brottsligheten och det brottsförebyggande arbetet

Utredningens bedömning: Förbättrat dataskydd ger möjlighet till ökat informationsutbyte mellan brottsbekämpande myndig- heter, vilket är positivt för det brottsförebyggande arbetet. För- slagen förväntas inte få några direkta effekter på brottsligheten.

Skälen för utredningens bedömning: Förslagen kan inte förväntas få några direkta effekter på brottsligheten, eftersom det handlar om en administrativ reform.

När det gäller det brottsförebyggande arbetet kan däremot ett ökat informationsflöde både inom Sverige och mellan medlems- staterna förväntas få positiv inverkan. Särskilt för Polismyndighe- ten har olika initiativ till utökat utbyte av information inom EU och med de andra nordiska länderna visat sig ha en positiv effekt för brottsbekämpningen. Det gäller exempelvis det utökade utbytet av dna-uppgifter, fingeravtrycksuppgifter och kriminalregisterut- drag. Informationsutbytet bör enligt utredningens mening kunna förbättras ytterligare genom de nya dataskyddsreglerna. Harmoni- serade regler om dataskydd underlättar också på annat sätt utbytet av information mellan brottsbekämpande myndigheter både inom och utom landet.

17.4Konsekvenser i övrigt

Utredningens bedömning: Förslagen förväntas inte få några andra konsekvenser.

652

SOU 2017:29

Konsekvenser

Skälen för utredningens bedömning: Förslagen får inte några samhällsekonomiska konsekvenser eller några konsekvenser för den kommunala självstyrelsen. Förslagen får inte heller några kon- sekvenser för jämställdheten eller andra sådana konsekvenser som avses i 14 § kommittéförordningen (1998:1474) eller 7 § förord- ningen (2007:1244) om konsekvensutredning vid regelgivning.

653

18Ikraftträdande och övergångsbestämmelser

18.1Ikraftträdande

Utredningens förslag: Ramlagen och övriga författningsförslag ska träda i kraft den 1 maj 2018.

Skälen för utredningens förslag: Enligt artikel 63 ska medlems- staterna senast den 6 maj 2018 anta och offentliggöra de lagar och andra författningar som är nödvändiga för att genomföra direk- tivet. Bestämmelserna ska tillämpas av medlemsstaterna från och med samma dag. Den lagstiftning som utredningen föreslår i detta betänkande bör träda i kraft så snart som möjligt, men hänsyn måste också tas till de anpassningar av myndigheternas registerför- fattningar som kommer att presenteras i slutbetänkandet. Lämplig tidpunkt för ikraftträdande är den 1 maj 2018. Samtidigt bör, som föreslås i avsnitt 6.1.4, 2013 års lag upphöra att gälla.

18.2Övergångsbestämmelser

18.2.1Den nya dataskyddsregleringen medför särskilda övergångsproblem

Utredningens bedömning: Om personuppgiftslagen upphävs innan ramlagen hunnit träda i kraft, bör personuppgiftslagens bestämmelser fortsätta att gälla för sådan behandling av person- uppgifter för brottsbekämpning, lagföring, straffverkställighet och upprätthållande av allmän ordning och säkerhet som i dag stöds på den lagen.

655

Ikraftträdande och övergångsbestämmelser

SOU 2017:29

Skälen för utredningens bedömning: Dataskyddsförordningen medför att personuppgiftslagen måste upphävas när förordningen börjar tillämpas. Det nuvarande regelverket delas då upp i en del som i huvudsak regleras direkt genom förordningen och en annan del som regleras genom de bestämmelser som genomför det nya dataskyddsdirektivet. Det aktualiserar hur vissa frågor bör hanteras i övergången mellan det gamla och det nya regelverket.

Direktivet ska vara genomfört den 6 maj 2018 medan data- skyddsförordningen börjar tillämpas den 25 maj 2018. Vid den se- nare tidpunkten kommer personuppgiftslagen att upphöra att gälla. Det gäller oberoende av om den svenska lagstiftning som genomför direktivet har hunnit träda i kraft då. Det ingår i uppdraget till Dataskyddsutredningen att lämna förslag till upphävande av den nuvarande generella personuppgiftsregleringen och det får därför förutsättas att den utredningen lämnar förslag på de övergångsreg- ler som kan krävas när personuppgiftslagen upphör att gälla. Den utredningen ska dock presentera sina förslag först den 12 maj 2017.

För att behovet av övergångsbestämmelser till den lagstiftning som vi föreslår ska kunna överblickas, ser vi det som nödvändigt att, trots att det ligger utanför vårt uppdrag, redovisa behovet av sådana övergångsbestämmelser samlat i detta avsnitt. Vi lämnar också på vissa punkter konkreta förslag till övergångsbestämmelser. Det får i det fortsatta lagstiftningsarbetet avgöras om det behövs sådana särskilda övergångsbestämmelser till ramlagen som föreslås här, eller om frågorna kan lösas genom den övergångsreglering som Dataskyddsutredningen föreslår.

Arbetet med att genomföra direktivet i svensk rätt kommer att bli omfattande och tidsödande. Det finns därför viss risk för att all den lagstiftning som ska genomföra direktivet inte hinner bli klar i tid. För de behöriga myndigheter som i dag har en registerförfatt- ning kommer lagstiftningen inte i alla delar att leva upp till kraven i direktivet, om den nya lagstiftningen inte finns på plats den 6 maj 2018. Regleringen bör ändå i allt väsentligt kunna fungera dels med stöd av att de nuvarande författningarna till stor del uppfyller de nya kraven, dels med stöd av övergångsbestämmelser till den lag som upphäver personuppgiftslagen. De behöriga myndigheter som i fortsättningen ska tillämpa ramlagen, och som inte har någon egen registerförfattning, kommer däremot inte längre att ha någon reglering för sin personuppgiftsbehandling då personuppgiftslagen

656

SOU 2017:29

Ikraftträdande och övergångsbestämmelser

upphävs, eftersom de – i motsats till andra som tillämpar person- uppgiftslagen – inte ska tillämpa dataskyddsförordningen.

Mot den bakgrunden bedömer utredningen att den bästa lös- ningen skulle vara att införa en övergångsreglering som innebär att personuppgiftslagens bestämmelser, även om lagen upphävs, fort- sätter att gälla fram till dess att ramlagen träder i kraft. En sådan reglering kan dock inte knytas till införandet av ramlagen. Den bör inte heller utgå från direktivet, eftersom den lagstiftning som genomför det och som mejslar ut dess tillämpningsområde ännu inte gäller. Direktivets tillämpningsområde utgör emellertid en spegling av det undantag som görs i artikel 2.2 i dataskyddsför- ordningen. En särskild övergångsbestämmelse som knyts till att personuppgiftslagen upphävs och som täcker behovet av att ha fortsatt rättsligt stöd för personuppgiftsbehandling på direktivets område under den tid som lagstiftningsarbetet med ramlagen pågår, skulle därför kunna utformas på följande sätt. Övergångsbestäm- melsen kan sedan upphävas när ramlagen träder i kraft.

Personuppgiftslagen gäller fortfarande för sådan behandling av person- uppgifter som avses i artikel 2.2 d i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), i den ursprungliga lydelsen.

En annan fråga som väcks är hur ärenden som ligger inom ram- lagens tillämpningsområde och som har påbörjats före den tid- punkt när ramlagen träder i kraft ska hanteras. Det kan t.ex. gälla beslut av personuppgiftsansvariga myndigheter som har överklagats eller pågående tillsynsärenden hos Datainspektionen eller Säker- hets- och integritetsskyddsnämnden. En möjlighet är att låta över- gångsfrågorna styras helt av de övergångsbestämmelser som Data- skyddsutredningen kommer att föreslå. Det finns dock risk för att någon fråga även i de fallen kan komma att falla mellan stolarna. Utredningen föreslår därför i avsnitt 18.2.2 vissa övergångsbestäm- melser som kan komma att överlappa de förslag som Dataskydds- utredningen överlämnar.

657

Ikraftträdande och övergångsbestämmelser

SOU 2017:29

18.2.2Ärendehandläggning m.m.

Utredningens förslag: För ärenden om tillsyn över personupp- giftsbehandling för brottsbekämpning, lagföring, straffverkstäl- lighet eller upprätthållande av allmän ordning och säkerhet som inte avgjorts när lagen träder i kraft ska äldre bestämmelser om handläggningen fortsätta att gälla.

Äldre bestämmelser ska också fortsätta att gälla för överkla- ganden enligt personuppgiftslagen och ärenden om skadestånd för felaktig personuppgiftsbehandling inom nyss nämnda områ- den.

Utredningens bedömning: Det behövs inga övergångsbestäm- melser för de behöriga myndigheternas behandling av person- uppgifter.

Skälen för utredningens förslag och bedömning: Det som kan behöva regleras i övergångsbestämmelser till ramlagen – förutom bestämmelser som rör det nya sanktionssystemet (se avsnitt 18.2.3) och bestämmelser som rör loggning (se avsnitt 18.2.4) – är framför allt hur pågående ärenden hos de behöriga myndigheterna och hos de nuvarande tillsynsmyndigheterna bör hanteras.

I frågor som rör behandling av personuppgifter hos de behöriga myndigheterna bör den nya lagstiftningen tillämpas från det att den träder i kraft. Det innebär exempelvis att framställningar om att få del av information, ärenden om rättelse och andra oavslutade ären- den ska hanteras enligt ramlagen. Några övergångsbestämmelser för de behöriga myndigheternas handläggning behövs därmed inte.

Beträffande tillsynsåtgärder följer det av allmänna principer att förelägganden och förbud som har meddelats med stöd av person- uppgiftslagen och som rör ramlagens tillämpningsområde fortsätter att gälla efter det att personuppgiftslagen upphävts. Det behövs därför inte någon särskild övergångsbestämmelse för det.

När det gäller andra frågor om tillsyn över behandling av per- sonuppgifter inom ramlagens tillämpningsområde bör det föreskri- vas att äldre bestämmelser ska fortsätta att gälla för de ärenden som har påbörjats före ikraftträdandet men inte hunnit avgöras när den nya lagen träder i kraft. Med den lösningen bör det inte uppstå några övergångsproblem och det saknar då också betydelse vilken

658

SOU 2017:29

Ikraftträdande och övergångsbestämmelser

organisatorisk lösning som regeringen väljer för den framtida till- synsverksamheten. En sådan övergångsreglering skulle träffa ären- den under handläggning hos både Datainspektionen och Säkerhets- och integritetsskyddsnämnden.

Även när det gäller ärenden om skadestånd för felaktig person- uppgiftsbehandling inom ramlagens tillämpningsområde bör äldre bestämmelser fortsätta att gälla. Detsamma bör gälla för överkla- ganden i ännu inte avslutade ärenden som rör behandlingen av personuppgifter. Det innebär att domstolen vid sin prövning ska tillämpa den äldre lagstiftningen. I båda fallen skulle sådana över- gångsbestämmelser underlätta övergången till den nya, delade reg- leringen.

18.2.3Övergångsbestämmelser till det nya sanktionssystemet

Utredningens förslag: Sanktionsavgift får inte tas ut för sådana överträdelser av bestämmelser om personuppgiftsbehandling för brottsbekämpning, lagföring, straffverkställighet eller upprätt- hållande av allmän ordning och säkerhet som har begåtts före ramlagens ikraftträdande.

Äldre bestämmelser ska fortsätta att gälla för överträdelser som har begåtts före ikraftträdandet.

Skälen för utredningens förslag

Ett nytt sanktionssystem införs

Enligt allmänna principer får en ny lag inte retroaktiv verkan. Frå- gan kompliceras emellertid i de fall där den nya lagen innehåller sanktionsbestämmelser, vilket är fallet med ramlagen.

I avsnitt 13.5–7 föreslår utredningen ett nytt sanktionssystem för överträdelser av bestämmelserna om behandling av personupp- gifter i ramlagen. Förslaget innebär att överträdelser ska beivras genom sanktionsavgift, som är en administrativ sanktion. Sank- tionsavgift föreslås kunna tas ut både för överträdelser som inte är straffsanktionerade nu och för överträdelser som i dag omfattas av straffansvaret i 49 § personuppgiftslagen. Sanktionsavgift ska tas ut av personuppgiftsansvariga och i vissa fall av personuppgiftsbi-

659

Ikraftträdande och övergångsbestämmelser

SOU 2017:29

träden. Det gäller oavsett om de är juridiska eller fysiska personer. I huvudsak kommer sanktionsavgift att tas ut av andra rättssubjekt än de som i dag kan åläggas straffansvar. Det nya sanktionssyste- met aktualiserar emellertid frågan hur överträdelser som begåtts före ramlagens ikraftträdande bör hanteras.

Som framgår av avsnitt 13.2.1 föreslår utredningen ingen ny straffbestämmelse. Eftersom någon motsvarighet till 49 § person- uppgiftslagen inte tas in i ramlagen bortfaller straffansvaret för de gärningar som regleras där, om inte frågan regleras genom särskilda övergångsbestämmelser.

Förbudet mot retroaktivitet och lindrigaste lagens princip

Vid bedömningen av om det behövs övergångsbestämmelser för de överträdelser som har begåtts tidigare men inte hunnit beivras när ramlagen träder i kraft, ska artikel 7 i Europakonventionen, 2 kap. 10 § regeringsformen och 5 § andra stycket lagen (1964:163) om införande av brottsbalken beaktas.

Enligt artikel 7 i Europakonventionen får ingen fällas till ansvar för någon gärning eller underlåtenhet som vid den tidpunkt då den begicks inte utgjorde ett brott enligt nationell eller internationell rätt. Inte heller får ett strängare straff utmätas än som var tillämp- ligt vid den tidpunkt då brottet begicks.

I 2 kap. 10 § regeringsformen förbjuds retroaktiv straff- och skattelagstiftning. Förbudet mot retroaktiv skattelag anses vara analogt tillämpligt på straffliknande administrativa påföljder (se propositionen om ändring i regeringsformen, prop. 1975/76:209, s. 125). Av 5 § andra stycket lagen om införande av brottsbalken framgår att straff ska bestämmas enligt den lag som gällde när gär- ningen företogs, utom i fall där annan lag gäller när dom meddelas och den nya lagen leder till frihet från straff eller lindrigare straff. Bestämmelsen har enligt förarbetena generell räckvidd, dvs. den gäller även utanför brottsbalken (propositionen med förslag till lag om införande av brottsbalken m.m., prop. 1964:10, s. 99). Den ger uttryck för det som brukar kallas den lindrigaste lagens princip.

660

SOU 2017:29

Ikraftträdande och övergångsbestämmelser

Det behövs särskilda övergångsbestämmelser

Utredningen föreslår att vissa handlingar som i dag inte är straff- bara ska kunna föranleda sanktionsavgift (se avsnitt 13.5.2). Det gäller exempelvis skyldigheten att anmäla personuppgiftsincidenter. Handlingar som i dag är straffbara föreslås inte längre kunna be- straffas men däremot kunna föranleda sanktionsavgift. Det gäller t.ex. otillåten överföring av personuppgifter till tredjeland.

Om en sådan överträdelse som kan leda till sanktionsavgift men som inte är straffbelagd i dag har inträffat före ikraftträdandet skulle det strida mot retroaktivitetsförbudet att besluta om sank- tionsavgift. Detsamma gäller om en skyldighet blir mer omfattande än vad den är i dag. I vissa fall har ramlagen liknande bestämmelser som de som finns i personuppgiftslagen, men det kan skilja sig i fråga om detaljer. Det kan då vara svårt att avgöra om det är fråga om ett förfarande som tidigarekunna föranleda straff. Eftersom tillämpningsområdet för sanktionsavgift inte är detsamma som för straffansvar är det inte rimligt att låta systemet med sanktionsavgift gälla retroaktivt. Det är inte heller självklart hur bedömningen av vilken sanktion som är lindrigast – straffpåföljd eller sanktionsav- gift – skulle utfalla i ett enskilt fall.

För att undvika de tolknings- och tillämpningsproblem som kan uppstå om den lindrigaste lagens princip skulle tillämpas på sank- tionsavgift enligt ramlagen är det enligt utredningens mening lämp- ligare att låta äldre bestämmelser fortsätta att gälla för de överträ- delser som har begåtts innan ramlagen trätt i kraft. Sanktionsavgift bör därför bara kunna tas ut för överträdelser som ägt rum efter ramlagens ikraftträdande, vilket bör tydliggöras genom en över- gångsbestämmelse.

Utredningen anser att det är viktigt att de överträdelser som är straffsanktionerade kan beivras även efter ikraftträdandet av ram- lagen. Därför bör det även införas en övergångsbestämmelse som innebär att äldre bestämmelser ska fortsätta att gälla för överträdel- ser som begåtts före ikraftträdandet.

661

Ikraftträdande och övergångsbestämmelser

SOU 2017:29

När ska överträdelsen anses ha ägt rum?

Normalt är det inga större problem att slå fast när en överträdelse har ägt rum. När det gäller personuppgiftsbehandling är det tid- punkten när en personuppgift registreras, överförs, lämnas ut eller behandlas på annat sätt som är utgångspunkten. Så länge en per- sonuppgift finns kvar i ett it-system behandlas den. Det gäller en- ligt både den nuvarande och den föreslagna lagstiftningen. Det innebär att det i de allra flesta fall pågår behandling när en överträ- delse upptäcks. Det är endast i de fall där behandlingen har upphört som tidpunkten för överträdelsen kan komma att få betydelse.

En särskild fråga är hur man bör se på överträdelser som började före men har fortsatt efter ramlagens ikraftträdande, t.ex. där be- handlingen av personuppgifter borde ha upphört före ikraftträdan- det men uppgifterna alltjämt finns kvar. Situationen kan närmast jämföras med brott som består i pågående handlande, s.k. perdure- rande brott. När det gäller brott som begås genom ett pågående handlande både före och efter en ny lags ikraftträdande, och där någon del av handlandet infaller under den nya lagens tid, anses det att den nya lagen ska tillämpas på hela förfarandet (jfr Nils-Olof Berggren, Agneta Bäcklund, Johan Munck, Dag Victor och Fredrik Wersäll, Brottsbalken, En kommentar, maj 2012, BrP s. 6). Motsva- rande resonemang bör enligt utredningens mening tillämpas vid bedömningen av hur en överträdelse av ramlagens bestämmelser ska hanteras. Avslutades behandlingen av personuppgifter efter lagens ikraftträdande ska enbart ramlagen tillämpas.

18.2.4Övergångsbestämmelser i övrigt

Utredningens förslag: Bestämmelserna om loggning behöver inte tillämpas förrän den 1 maj 2023 i automatiserade behand- lingssystem som har inrättats före den 6 maj 2018.

662

SOU 2017:29

Ikraftträdande och övergångsbestämmelser

Skälen för utredningens förslag

Särskilda övergångsbestämmelser för existerande behandlingssystem

Som tidigare nämnts ska de författningar som genomför direktivet vara i kraft senast den 6 maj 2018. Enligt artikel 63.2 får dock med- lemsstaterna, om det skulle innebära oproportionerliga ansträng- ningar att anpassa ett automatiserat system som inrättats innan dess, föreskriva att systemet ska anpassas till artikel 25.1 (kravet på loggning) senast den 6 maj 2023. Under exceptionella omständig- heter får enligt artikel 63.3 en medlemsstat medge ytterligare an- stånd med anpassningen, dock längst till 6 maj 2026. Kommissio- nen ska, om det undantaget utnyttjas, underrättas om skälen till problemen och motiveringen för tidsperioden för anpassning.

Myndigheterna i rättskedjan använder automatiserade behand- lingssystem som inrättats före den 6 maj 2018. I direktivet ställs emellertid mer detaljerade krav än tidigare på loggning i sådana system. Samtliga myndigheter har uppgett att de behöver tid för att närmare analysera behovet av anpassningar och för att utforma systemen efter de föreslagna kraven på loggning. Det kommer att krävas noggranna verksamhets- och systemanalyser för att klar- lägga i vilken utsträckning dagens system för loggning uppfyller kraven och vilka eventuella förändringar som kan behövas. Arbetet med att analysera vilka anpassningar som krävs skulle möjligen hinna genomföras till dess att ramlagen börjar gälla, men det anses inte vara möjligt att inom den korta tiden till ikraftträdandet också hinna anpassa systemen. Det kan vidare krävas viss samordning mellan myndigheterna, eftersom de utbyter många uppgifter elek- troniskt och i vissa fall använder samma datasystem. Vad myndig- heterna framfört visar att det skulle innebära oproportionerliga an- strängningar för dem att redan vid lagens ikraftträdande anpassa sina nuvarande system till loggningskraven. Det finns således be- hov av en sådan övergångsbestämmelse som direktivet medger. Ut- redningen föreslår därför att det införs övergångsbestämmelser både i ramlagen och den föreslagna förordningen som innebär att den nya bestämmelsen om loggning i förordningen inte behöver tillämpas före den 1 maj 2023.

Utredningen vill understryka att loggning i dag görs i automati- serade behandlingssystem. Den föreslagna övergångsbestämmelsen påverkar inte de generella krav på loggning som redan gäller.

663

Ikraftträdande och övergångsbestämmelser

SOU 2017:29

Övriga lagändringar

När det gäller övriga lagändringar ska de enligt huvudprincipen gälla från och med att de träder i kraft. Några övergångsbestäm- melser behövs inte.

664

19 Författningskommentar

19.1Förslaget till brottsdatalag

1 kap. Allmänna bestämmelser

Syftet med lagen

1 §

Paragrafen reglerar syftet med lagen och tydliggör att lagen genom- för dataskyddsdirektivet. Den behandlas i avsnitt 6.1.3.

I första stycket, som genomför artikel 1, anges det övergripande syftet med lagen. Syftet är dubbelt. Det ena syftet är att skydda fysiska personers grundläggande fri- och rättigheter i samband med behandling av personuppgifter. Genom formuleringen tydliggörs att lagens skyddsobjekt är fysiska personer. Lagen innehåller inga bestämmelser till skydd för juridiska personer. Det andra syftet är att säkerställa att de myndigheter som är behöriga myndigheter en- ligt lagen kan behandla och utbyta personuppgifter med varandra på ett ändamålsenligt sätt vid brottsbekämpning, lagföring, straff- verkställighet och upprätthållande av allmän ordning och säkerhet. Det gäller både nationellt och internationellt informationsutbyte.

I andra stycket anges att lagen genomför Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters be- handling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF.

665

Författningskommentar

SOU 2017:29

Lagens tillämpningsområde

2 §

I paragrafen, som tillsammans med 3 och 4 §§ genomför artikel 2, anges lagens tillämpningsområde. Den behandlas i avsnitt 7.1.1– 7.1.5. Gränsdragningsfrågor behandlas i kapitel 8.

Lagen gäller för behandling av personuppgifter. Vad som är en personuppgift och behandling av personuppgifter definieras i 6 §.

Lagen gäller bara när en behörig myndighet behandlar person- uppgifter för vissa syften. Behörig myndighet definieras i 6 §.

Det framgår inte direkt av lagen vilka som är behöriga myndig- heter. Det avgörande är om myndigheten har sådana arbetsuppgif- ter att den behandlar personuppgifter för brottsbekämpning, lag- föring, straffverkställighet eller upprätthållande av allmän ordning och säkerhet. Polismyndigheten, Tullverket, Kustbevakningen, Skatteverket, Ekobrottsmyndigheten, Åklagarmyndigheten, de all- männa domstolarna och Kriminalvården är behöriga myndigheter men enbart när de behandlar personuppgifter för sådana syften. När t.ex. Skatteverket behandlar personuppgifter i beskattnings- verksamheten eller Polismyndigheten utfärdar pass är myndigheten inte en behörig myndighet. Lagen gäller således inte generellt i de behöriga myndigheternas verksamhet. Även andra myndigheter än de nyss nämnda har vissa arbetsuppgifter som gör lagen tillämplig, t.ex. Rättsmedicinalverket vid rättsmedicinska obduktioner och utfärdande av rättsintyg och förvaltningsdomstolar när de prövar frågor som rör verkställighet av straff.

Exempel på arbetsuppgifter som inte gör en myndighet till be- hörig myndighet i lagens mening är skyldighet att anmäla brott eller annan uppgiftsskyldighet till brottsbekämpande myndigheter. Det förhållandet att en brottmålsdom expedieras till någon eller att en viss myndighet får tillgång till uppgifter om lagöverträdelser i belastningsregistret eller misstankeregistret gör inte heller att mot- tagaren av personuppgifterna blir en behörig myndighet i lagens mening.

Även andra aktörer än myndigheter kan vara behöriga myndig- heter i lagens mening, om de har anförtrotts myndighetsutövning för brottsbekämpning, lagföring, straffverkställighet eller upprätt- hållande av allmän ordning och säkerhet. Det gäller t.ex. när natur- vårdsvakter och jakttillsynsmän tar egendom i beslag och när ord-

666

SOU 2017:29

Författningskommentar

ningsvakter upprätthåller allmän ordning och säkerhet exempelvis vid domstolsförhandlingar.

Lagen ska däremot inte tillämpas av offentliga försvarare, måls- ägandebiträden och särskilda företrädare för barn. Eftersom någon myndighetsutövning inte har överlåtits till dem är de inte behöriga myndigheter i lagens mening.

Lagen gäller bara när behöriga myndigheter behandlar person- uppgifter för vissa syften, nämligen att förebygga, förhindra eller upptäcka brottslig verksamhet, att utreda eller lagföra brott, att verkställa straffrättsliga påföljder eller att upprätthålla allmän ord- ning och säkerhet. När en behörig myndighet behandlar person- uppgifter för något annat syfte gäller inte lagen.

Det är bl.a. Polismyndighetens och andra myndigheters under- rättelseverksamhet som avses när formuleringen förebygga, för- hindra eller upptäcka brottslig verksamhet används. Med underrättel- severksamhet avses arbete med insamling, bearbetning och analys av information i syfte att förhindra eller upptäcka brottslig verk- samhet när det ännu inte finns misstankar om att ett visst konkret brott har begåtts (se prop. 2009/10:85 s. 318). Om det finns miss- tankar om ett konkret brott kan personuppgifter behandlas för att utreda brottet. Även behandling av överskottsinformation med stöd av 27 kap. 23 a § rättegångsbalken omfattas, om syftet med behandlingen är att förhindra brott. Annan brottsförebyggande verksamhet kan också omfattas av tillämpningsområdet, vilket ut- vecklas i avsnitt 7.1.2.

Lagen ska däremot inte tillämpas vid sådan kontrollverksamhet som vissa myndigheter som också har ett brottsbekämpande upp- drag utför med stöd av sina kontrollbefogenheter, t.ex. vid skatte- kontroll eller tullkontroll, vilket utvecklas avsnitt 8.2.10.

Med att utreda brott avses framför allt att genomföra förunder- sökning enligt 23 kap. rättegångsbalken. Med brott avses ett kon- kret brott. Det kan vara fråga om såväl brott som bevisligen har begåtts som brott som det enbart finns misstankar om. Det saknar betydelse om brottet hunnit påbörjas, om det är straffbart på pla- neringsstadiet. Misstankarna behöver inte vara riktade mot någon bestämd person. Om misstankarna enbart avser icke-preciserad brottslighet, är det i stället fråga om underrättelseverksamhet. Även den form av förenklat utredningsförfarande som regleras i 23 kap. 22 § rättegångsbalken och åtgärder som vidtas med stöd av

667

Författningskommentar

SOU 2017:29

23 kap. 3 och 8 §§ rättegångsbalken innan förundersökning har hunnit inledas omfattas av tillämpningsområdet. Brottsbekäm- pande myndigheters handläggning av brottsanmälningar hör också hit, även om de leder till beslut om att inte inleda förundersökning.

Reglerna om förundersökning i brottmål tillämpas även vid vissa andra typer av undersökningar. I den mån sådana undersökningar görs i syfte att utreda brott, t.ex. vid utredning om utlämning för brott, är lagen tillämplig. Görs de däremot i annat syfte, t.ex. för att ge underlag för bedömningar inom socialtjänsten, är lagen inte till- lämplig.

Med lagföra brott avses framför allt åklagares beslut i åtalsfrågor och beslut i fråga om åtalsunderlåtelse och brottmålsförfarandet i allmän domstol. Till brottmålsförfarandet räknas inte bara den rät- tegång och dom som följer på allmänt åtal utan även handlägg- ningen av förprocessuella frågor som exempelvis förordnande av målsägandebiträde och offentlig försvarare och beslut i fråga om häktning och andra straffprocessuella tvångsmedel. Även expedie- ring av domar och beslut hör till brottmålsförfarandet. Vid behand- ling av personuppgifter för sådana syften ska lagen tillämpas. Det- samma gäller vid personutredning inom ramen för brottmålet och i sådan stödverksamhet som avser att tillföra åklagare eller domstolar forensisk, medicinsk eller psykiatrisk kompetens.

I begreppet lagföra brott ingår också de förenklade straffrätts- liga förfaranden som i huvudsak används vid bötesbrott, föreläg- gande av ordningsbot och strafföreläggande.

Behandling av personuppgifter i syfte att verkställa straffrättsliga påföljder förekommer hos ett flertal myndigheter. Kriminalvården verkställer fängelsestraff, skyddstillsyn och samhällstjänst och ska då tillämpa lagen. Det är dock inte vid all behandling av person- uppgifter i Kriminalvården som lagen ska tillämpas. När Kriminal- vården exempelvis bedriver hälso- och sjukvård i fängelser och häkten ligger det utanför lagens tillämpningsområde. Kriminalvår- dens hantering av administrativa frihetsberövanden ligger också utanför tillämpningsområdet.

När påföljden bestämts till böter behandlas personuppgifter av Polismyndigheten i egenskap av uppbördsmyndighet. Vid sådan behandling av personuppgifter är lagen tillämplig. Den ska däremot inte tillämpas i Kronofogdemyndighetens indrivningsverksamhet.

668

SOU 2017:29

Författningskommentar

Statens institutionsstyrelse verkställer sluten ungdomsvård och ska då tillämpa lagen. Även socialnämnder verkställer i viss ut- sträckning straffrättsliga påföljder när påföljden är ungdomsvård, ungdomstjänst eller vård av missbrukare. På motsvarande sätt verk- ställer rättspsykiatriska enheter rättspsykiatrisk vård. Vid behand- ling av personuppgifter för sådana syften ska lagen tillämpas.

Lagen ska också tillämpas vid behandling av personuppgifter när frågor som rör verkställigheten eller ändring av en straffrättslig på- följd prövas. Den är också tillämplig vid internationellt samarbete för de syften som anges i paragrafen. Det innebär att den ska till- lämpas exempelvis vid informationsutbyte för brottsbekämpning och i ärenden om utlämning, övertagande av lagföring och över- förande av straffverkställighet.

Det är framför allt Polismyndigheten som har till uppgift att upprätthålla allmän ordning och säkerhet. Lagen ska bl.a. tillämpas på behandling av personuppgifter vid ingripanden enligt 13–13 c §§ polislagen (1984:387), men inte vid förvaltningsbeslut enligt ord- ningslagen (1993:1617). Även Kustbevakningen har vissa ordnings- hållande uppgifter och ska då tillämpa lagen i samma utsträckning som Polismyndigheten. Den ska också tillämpas vid Polismyndig- hetens, åklagares och domstolars handläggning av frågor som rör tillträdesförbud vid idrottsarrangemang och på det register över sådana förbud som Polismyndigheten för. Däremot ska lagen inte tillämpas vid idrottsorganisationers behandling av uppgifter om sådana förbud, eftersom de inte är behöriga myndigheter.

Lagen ska även tillämpas av militärpolisen, ordningsvakter och skyddsvakter när de ingriper i syfte att upprätthålla allmän ordning och säkerhet. Detsamma gäller sådana väktare som genom särskilt förordnande har fått i uppdrag att utöva myndighet i Polismyn- digheten eller Kriminalvården för något av de syften som gör lagen tillämplig. Avser förordnandet något annat syfte, t.ex. kontroll av flygpassagerare, är lagen inte tillämplig.

Lagen ska inte tillämpas på allmän övervakning t.ex. via övervak- ningskameror i en kommunikationscentral, eftersom upprätthål- lande av allmän ordning och säkerhet tar sikte på fysisk närvaro på platsen för en händelse. Behandling av personuppgifter vid omhän- dertagande enligt lagen (1976:511) om omhändertagande av beru- sade personer m.m. är ett annat exempel på när lagen inte ska till-

669

Författningskommentar

SOU 2017:29

lämpas. Informationssäkerhet ligger också utanför lagens tillämp- ningsområde.

Om det ursprungliga syftet med att behandla personuppgifterna upphör, är lagen inte längre tillämplig. Ett exempel är att ett enskilt anspråk, som har behandlats tillsammans med ett brottmål, avskiljs för att i stället handläggas enligt den ordning som är föreskriven för tvistemål. Ett annat exempel är att det under en förundersökning klarläggs att det inte förelegat något brott, t.ex. att ett misstänkt dödsfall var naturligt. Någon grund för att behandla personupp- gifterna med stöd av lagen finns då inte längre.

För att lagen ska vara tillämplig krävs både att myndigheten är behörig och att behandlingen i det enskilda fallet utförs för något av de tillåtna syftena. Det innebär att om t.ex. Polismyndigheten samtidigt skickar samma personuppgift rörande en ung lagöverträ- dare till två olika mottagare (åklagaren respektive socialnämnden) är lagen tillämplig i det ena fallet men inte i det andra beroende på att behandlingen har olika syften (att redovisa underlag för åklaga- rens beslut i fråga om förundersökning respektive att fästa social- nämndens uppmärksamhet på att nämndens sociala insatser kan behövas).

När det gäller tillämpningsområdet görs ingen skillnad mellan att uppgifter behandlas för en behörig myndighets egen verksam- het eller för att bistå en annan svensk eller utländsk behörig myn- dighet, så länge syftet med behandlingen är något av de som anges i lagen. Om t.ex. Åklagarmyndigheten bistår en utländsk myndighet med någon utredningsåtgärd inom ramen för internationell rättslig hjälp i brottmål eller i samband med att en arresteringsorder från en annan medlemsstat behandlas, ska lagen tillämpas.

Lagen gäller inte vid Säkerhetspolisens behandling av person- uppgifter som rör nationell säkerhet eller om Polismyndigheten har övertagit en arbetsuppgift som rör nationell säkerhet från Säker- hetspolisen, vilket framgår av 4 §.

670

SOU 2017:29

Författningskommentar

3 §

Paragrafen begränsar lagens tillämpningsområde huvudsakligen till helt eller delvis automatiserad behandling av personuppgifter, men även viss manuell behandling omfattas. Paragrafen genomför arti- kel 2.2 och behandlas i avsnitt 7.1.6.

För att lagen ska vara tillämplig krävs att behandlingen är helt eller delvis automatiserad eller att personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgänglig för sökning eller sammanställning enligt särskilda kriterier. När det gäller automatiserad behandling krävs det inte att de hanterade personuppgifterna finns i något som kan karaktärise- ras som ett register eller att de annars är ordnade på visst sätt. Även behandling av enstaka personuppgifter, t.ex. namn, i löpande text omfattas således av lagens tillämpningsområde. Helt manuell be- handling av personuppgifter som inte ingår i någon samling och inte heller är avsedda att ingå i en sådan ligger däremot utanför till- lämpningsområdet.

4 §

Paragrafen reglerar i enlighet med artikel 2.3 undantag från lagens tillämpningsområde. Paragrafen behandlas i avsnitt 7.2.1.

I paragrafen undantas Säkerhetspolisens behandling av person- uppgifter som rör nationell säkerhet från tillämpningsområdet. Däremot undantas inte Säkerhetspolisens personuppgiftsbehand- ling i övrigt, exempelvis när myndigheten handlägger en förunder- sökning som den övertagit från Polismyndigheten med stöd av 30 § förordningen (2014:1102) med instruktion för Polismyndigheten.

Något motsvarande generellt undantag för personuppgiftsbe- handling som rör nationell säkerhet gäller inte för andra myndig- heter som tillämpar lagen. Det innebär exempelvis att Åklagar- myndigheten och allmänna domstolar ska tillämpa lagen även vid handläggning av mål om brott mot Sveriges säkerhet.

671

Författningskommentar

SOU 2017:29

Avvikande bestämmelser i annan författning

5 §

Paragrafen reglerar förhållandet mellan lagen och annan reglering av behandling av personuppgifter hos behöriga myndigheter. Para- grafen genomför artiklarna 60 och 61 och behandlas i avsnitt 6.1.2 och 6.3.

Lagen är subsidiär till annan lagstiftning. Det innebär att om det finns avvikande bestämmelser om behandlingen av personuppgifter t.ex. i en viss myndighets registerförfattning, som polisdatalagen (2010:361) eller domstolsdatalagen (2015:728), eller i en författ- ning som reglerar ett visst register, som lagen (1998:620) om be- lastningsregister, eller visst samarbete inom direktivets tillämp- ningsområde, gäller de i stället för bestämmelserna i lagen.

Avvikande bestämmelser kan också finnas i författningar som genomför dataskyddsbestämmelser som har sin grund i rättsakter och avtal som enligt artiklarna 60 och 61 i direktivet ska ha före- träde därför att de har tillkommit före direktivet, t.ex. samarbete enligt Prümrådsbeslutet som regleras i 4 kap. i den föreslagna lagen (2017:000) om internationellt polisiärt samarbete.

Uttryck i lagen

6 §

I paragrafen, som genomför artikel 3, definieras vissa uttryck som används i lagen.

Behandling av personuppgifter

Definitionen motsvarar direktivets definition av behandling i arti- kel 3.2. Uttrycket behandlas i avsnitt 6.2.

Uttrycket behandling av personuppgifter omfattar alla åtgärder som vidtas med sådana uppgifter. Så snart personuppgifter hanteras på något sätt är det fråga om behandling som omfattas av lagens bestämmelser, om den är helt eller delvis automatiserad eller avser manuell behandling i en strukturerad samling av personuppgifter.

672

SOU 2017:29

Författningskommentar

Uppräkningen i definitionen av olika sätt att hantera personupp- gifter är således inte uttömmande.

Behörig myndighet

Definitionen motsvarar direktivets definition av behörig myndig- het i artikel 3.7. Uttrycket behandlas i avsnitt 7.1.4. Gränsdrag- ningsfrågor behandlas i kapitel 8.

Det framgår inte direkt av lagen vilka myndigheter som är behö- riga myndigheter. Det avgörande är om myndigheten har till arbetsuppgift att förebygga, förhindra eller upptäcka brottslig verk- samhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. Myndigheterna är behöriga myndigheter bara när de utför sådana arbetsuppgifter. Vad som ryms i de uppgifterna och i vilka fall någon kan vara behö- rig myndighet utvecklas i kommentaren till 2 §. En myndighet kan således vara både behörig och icke behörig i lagens mening bero- ende på vilka arbetsuppgifter som utförs.

Även andra aktörer än myndigheter kan vara behöriga myndig- heter i lagens mening om de har anförtrotts myndighetsutövning för brottsbekämpning, lagföring, straffverkställighet eller upprätt- hållande av allmän ordning och säkerhet. Det utvecklas i kommen- taren till 2 §.

Biometriska uppgifter

Definitionen utgår från hur biometriska uppgifter definieras i arti- kel 3.13. Uttrycket behandlas i avsnitt 6.2.

Biometri är ett samlingsnamn för sådan automatiserad teknik som syftar till att identifiera en person eller avgöra om en påstådd identitet är riktig. Den baseras på fysiska karaktärsdrag hos den som ska identifieras. Mönster av fingeravtryck, ansiktsgeometri, ögats iris, regnbågshinna och näthinna, röst, hand, blodkärl, dna eller gång är exempel på områden där sådan teknik kan användas. Gemensamt för teknikerna är att kroppen mäts elektroniskt. Bio- metriska uppgifter är den information som kan tas fram ur ett bio- metriskt underlag. Uppgifterna kan användas för att skapa en refe- rensmall eller för att jämföra med tidigare lagrade referensmallar i

673

Författningskommentar

SOU 2017:29

syfte att kontrollera en persons identitet. Fingeravtryck och dna- profiler är i dag de vanligaste formerna av biometriska uppgifter.

Biometriska uppgifter i form av fingeravtryck kan framgå av ett spår som påträffas vid utredning av ett brott. Även analys av spåren omfattas av definitionen, trots att de vid den tidpunkten inte går att härleda till en identifierad person. Dna-spår behandlas i kom- mentaren till uttrycket genetiska uppgifter.

Av 2 kap. 12 § framgår att biometriska uppgifter som används i syfte att identifiera en person är känsliga personuppgifter som bara får behandlas om det är särskilt föreskrivet och absolut nödvändigt.

Fotografier och filmer som inte bearbetas tekniskt i syfte att åstadkomma unik identifiering faller utanför definitionen. Bearbet- ning av bilder av personer för att förbättra bildkvaliteten, förstärka detaljer och liknande omfattas alltså inte. Om bilder däremot bear- betas i exempelvis ett ansiktsigenkänningsprogram i syfte att iden- tifiera personer omfattas de av definitionen. Att fotografier kan omfattas av regleringen av känsliga personuppgifter på andra grun- der behandlas i kommentaren till 2 kap. 11 §.

Dataskyddsombud

Dataskyddsombud definieras inte i direktivet. Uttrycket behandlas i avsnitt 10.5.1.

Ett dataskyddsombud är en fysisk person som utses av den per- sonuppgiftsansvarige att självständigt utföra vissa uppgifter i syfte att se till att personuppgifter behandlas författningsenligt och på ett korrekt sätt. Ett dataskyddsombud kan antingen vara anställd hos den personuppgiftsansvarige eller en utomstående. Kravet på självständighet innebär att dataskyddsombud ska kunna utföra sina arbetsuppgifter på ett oberoende sätt. Ombuden förutsätts framför allt ha goda kunskaper om reglerna om personuppgiftsbehandling. Ombuden bör också har sådan ställning i organisationen att deras synpunkter och råd tas på allvar.

Dataskyddsombudens uppgifter regleras i 3 kap. 14 och 15 §§.

674

SOU 2017:29

Författningskommentar

Genetiska uppgifter

Definitionen utgår från hur genetiska uppgifter definieras i arti- kel 3.12. Uttrycket behandlas i avsnitt 6.2.

All information som rör en persons nedärvda eller förvärvade genetiska kännetecken och som kan tas fram ur ett spår från t.ex. en brottsplats eller ett prov från människokroppen omfattas av definitionen. Det innebär att den är något vidare än direktivets definition, som enbart omfattar information om en persons fysio- logi eller hälsa som härrör från en analys av ett prov från personen i fråga.

Genetiska uppgifter behandlas vid dna-analyser i forensisk verk- samhet för att ta fram dna-profiler eller forensiska uppslag. Be- handlingen kan avse genetiska uppgifter från såväl identifierade som oidentifierade personer. Eftersom nedärvda eller förvärvade genetiska kännetecken för en person kan framgå av ett spår som påträffas vid utredning av ett brott, omfattas även analys av spåren av definitionen, trots att de vid den tidpunkten inte går att härleda till en identifierad person. Själva dna-profilen, som behandlas i exempelvis Polismyndighetens dna-register, utgör däremot inte en genetisk uppgift, eftersom inga nedärvda eller förvärvade genetiska kännetecken kan utläsas ur den. Dna-profilen är i stället en biomet- risk uppgift, eftersom den tas fram genom en särskild teknisk be- handling av en persons arvsmassa för att möjliggöra eller bekräfta unik identifiering av personen i fråga.

I 28 kap. 12–12 b §§ rättegångsbalken finns bestämmelser om provtagning för dna-analys.

Av 2 kap. 12 § framgår att genetiska uppgifter är känsliga per- sonuppgifter som bara får behandlas om det är särskilt föreskrivet och absolut nödvändigt.

Internationell organisation

Definitionen utgår från hur internationell organisation definieras i artikel 3.16. Uttrycket behandlas i avsnitt 15.2.4.

Med internationell organisation avses dels organisationer och deras underställda organ som lyder under folkrätten, dels andra organ som inrättats genom eller på grundval av överenskommelser mellan två eller flera stater. Interpol och Världstullorganisationen

675

Författningskommentar

SOU 2017:29

(World Customs Organization) är exempel på internationella orga- nisationer som omfattas av definitionen. Internationella domstolar och tribunaler som t.ex. Internationella brottmålsdomstolen, Inter- nationella krigsförbrytartribunalen för det forna Jugoslavien och Tribunalen för Libanon ska också betraktas som internationella organisationer.

Medlemsstat

Definitionen har ingen motsvarighet i direktivet. Uttrycket be- handlas i avsnitt 15.2.2.

Med medlemsstat avses sådana stater som är bundna av direkti- vet, vilket gäller EU:s medlemsstater. Dessutom ska några stater utanför EU – Island, Liechtenstein, Norge och Schweiz – tillämpa direktivet. Även de senare är medlemsstater i lagens mening.

Mottagare

Definitionen utgår från hur mottagare definieras i artikel 3.10. Ut- trycket behandlas i avsnitt 6.2.

Mottagare defineras som den till vilken personuppgifter lämnas ut, med undantag av en myndighet som med stöd av författning utövar tillsyn, kontroll eller revision. Undantaget omfattar bl.a. myndigheter som tar del av personuppgifter i sin tillsyn över viss verksamhet, t.ex. Datainspektionen och Säkerhets- och integritets- skyddsnämnden som båda utövar tillsyn över personuppgiftsbe- handling. Även andra myndigheter som utövar tillsyn, t.ex. JO och JK, omfattas av undantaget.

Personuppgift

Definitionen utgår från hur personuppgift definieras i artikel 3.1. Med personuppgift avses varje upplysning om en identifierad eller identifierbar fysisk person som är i livet. Uttrycket behandlas i av- snitt 6.2.

Varje information som kan hänföras till en fysisk person är en personuppgift. Det gäller även information som kan hänföras till en

676

SOU 2017:29

Författningskommentar

individ om en fysisk person kan identifieras med hjälp av informa- tionen. Det krävs inte att den personuppgiftsansvarige ska förfoga över samtliga uppgifter som gör identifieringen möjlig. Det innebär att t.ex. oidentifierade fingeravtryck och dna-profiler är personupp- gifter, eftersom det är möjligt att identifiera en person med hjälp av dem. Även bild- eller ljudupptagningar kan utgöra personuppgifter, om man direkt eller indirekt kan avgöra vilken individ som upptag- ningen avser.

Definitionen omfattar bara uppgifter om personer som är i livet. Det innebär att behandling av uppgifter om avlidna eller ännu inte födda personer inte omfattas av lagen. Av lagen (1987:269) om kriterier för bestämmande av människans död och lagen (2005:130) om dödförklaring framgår när någon ska betraktas som avliden. Däremot omfattar definitionen uppgifter om vem som är släkt med den avlidne.

Uppgifter om juridiska personer omfattas inte av definitionen.

Personuppgiftsansvarig

Definitionen utgår från hur personuppgiftsansvarig definieras i artikel 3.8. Uttrycket behandlas i avsnittt 10.1.1.

Personuppgiftsansvarig är enligt definitionen den behöriga myn- dighet som ensam eller tillsammans med andra bestämmer ändamå- len med och medlen för behandlingen av personuppgifter. Att be- stämma ändamålen med behandlingen innebär i princip att bestäm- ma att en behandling ska utföras och varför. Att bestämma medlen för behandlingen avser främst att bestämma över de tekniska och organisatoriska medlen, dvs. hur behandlingen ska gå till. Det kan handla om vilka personuppgifter som ska behandlas, vilka som ska få ta del av dem och hur länge personuppgifterna får behandlas. Den personuppgiftsansvarige styr dock inte alltid själv över alla medel för behandlingen. Vid direktåtkomst bestämmer den som medger åtkomsten hur tillgången tekniskt ska lösas och vilka per- sonuppgifter som ska tillgängliggöras. Den som ges direktåtkomst är personuppgiftsansvarig för behandlingen av de personuppgifter som direktåtkomsten avser. Som framgår av definitionen kan en- dast behöriga myndigheter vara personuppgiftsansvariga.

677

Författningskommentar

SOU 2017:29

Det kan framgå av lag eller förordning vem som är personupp- giftsansvarig. I annat fall avgör de faktiska omständigheterna vem som är personuppgiftsansvarig. Två eller flera behöriga myndighe- ter får enligt 3 kap. 21 § vara gemensamt personuppgiftsansvariga endast om det anges särskilt i lag eller förordning eller i ett rege- ringsbeslut i ett enskilt fall. Förutsättningarna för gemensamt per- sonuppgiftsansvar behandlas i avsnitt 10.7.2.

Personuppgiftsbiträde

Definitionen utgår från hur personuppgiftsbiträde definieras i arti- kel 3.9. Uttrycket behandlas i avsnitt 10.6.1.

Ett personuppgiftsbiträde är en fysisk eller juridisk person som behandlar personuppgifter för den personuppgiftsansvariges räk- ning med stöd av ett skriftligt avtal eller en annan skriftlig överens- kommelse. Kravet på att det ska finnas ett avtal eller en överens- kommelse framgår av 3 kap. 18 §.

Ett personuppgiftsbiträde behandlar personuppgifter endast en- ligt instruktioner från den personuppgiftsansvarige och har inte rätt att själv bestämma över personuppgiftsbehandlingen. Ett per- sonuppgiftsbiträde finns alltid utanför den egna organisationen, t.ex. en servicebyrå eller en konsult. En myndighet kan också be- handla personuppgifter som personuppgiftsbiträde åt en annan myndighet, t.ex. vid utkontraktering av it-drift. En anställd eller någon annan som behandlar personuppgifter under den personupp- giftsansvariges direkta ansvar kan inte vara personuppgiftsbiträde.

Personuppgiftsincident

Definitionen utgår från hur personuppgiftsincident definieras i artikel 3.11. Uttrycket behandlas i avsnitt 10.4.1.

Med personuppgiftsincident avses en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller obehörigt röjande av eller obehörig åtkomst till personuppgifter. Det är som regel fråga om en oplanerad händelse som påverkar säkerheten för personuppgifterna på ett negativt sätt och som medför allvarliga konsekvenser för skyddet av uppgifterna. En per- sonuppgiftsincident kan exempelvis uppstå vid fel eller störningar i

678

SOU 2017:29

Författningskommentar

system, komponenter eller programvara eller vid haveri i ett tek- niskt system eller en komponent i infrastrukturen. En personupp- giftsincident kan också orsakas av en säkerhetsbrist i tekniska hjälpmedel. Det kan även vara fråga om handhavandefel, dvs. in- ternt felaktigt bruk eller felaktig implementering av tekniska sys- tem eller komponenter. En informationsförlust eller ett informa- tionsläckage kan också bedömas som en personuppgiftsincident. Det kan orsakas av exempelvis brand eller annan yttre påverkan, men kan också bero på felaktig avyttring av teknisk utrustning som innehåller information som inte ska vara allmänt tillgänglig, eller otillåtet eller oavsiktligt offentliggörande av sådan information. Personuppgiftsincidenter kan också vara olika typer av angrepp på och intrång i systemen, t.ex. överbelastningsattacker, införande av skadliga koder, hackning, olovligt nyttjande eller annat missbruk av lösenord, olovlig åtkomst till information genom skadliga program och obehörig användning av informationssystem. Även angrepp som möjliggjorts eller utförts av den personuppgiftsansvariges per- sonal eller andra som har anknytning till myndigheten, exempelvis inhyrd personal, kan utgöra personuppgiftsincidenter.

Det saknar betydelse för definitionen av en personuppgiftsinci- dent hur händelsen började och vem som ansvarade för att den uppkom. Det avgörande är i stället effekten av incidenten.

Registrerad

Definitionen har ingen direkt motsvarighet i direktivet, men ordet registrerad ingår i definitionen av personuppgifter i artikel 3.1. Uttrycket behandlas i avsnitt 6.2.

Med registrerad avses den fysiska person som en personuppgift rör. Av definitionen av personuppgift framgår bl.a. att personen ska vara i livet.

Tillsynsmyndighet

Definitionen utgår från hur en tillsynsmyndighet definieras i arti- kel 3.15. Uttrycket behandlas i avsnitt 12.4.1.

Tillsynsmyndighet är enligt definitionen en myndighet som ut- ses av regeringen att enligt direktivet utöva tillsyn över behandling

679

Författningskommentar

SOU 2017:29

av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätt- hålla allmän ordning och säkerhet. Genom att tillsynsområdet knu- tits till de grundläggande syftena med lagen omfattar tillsynen inte bara behandling enligt lagen utan även enligt den förordning som kompletterar lagen. Dessutom omfattar tillsynsområdet person- uppgiftsbehandling med stöd av de registerförfattningar som gäller för behöriga myndigheter eller för ett särskilt register som förs för brottsbekämpning, lagföring, straffverkställighet eller upprätthål- lande av allmän ordning och säkerhet. Tillsyn över bestämmelser om personuppgiftsbehandling i andra författningar omfattas också, om bestämmelserna reglerar personuppgiftsbehandling som utförs av en behörig myndighet för något av de syften som ligger inom lagens tillämpningsområde. Exempel på bestämmelser av sådant slag är 26 och 27 §§ lagen (1988:688) om kontaktförbud.

Tredjeland

Tredjeland definieras inte i direktivet. Definitionen täcker alla sta- ter som inte är medlemsstater i lagens mening och utgår alltså från hur medlemsstat definieras. Uttrycket behandlas i avsnitt 15.2.3.

Tredje man

Definitionen har ingen motsvarighet i direktivet. Tredje man defi- nieras som någon annan än den registrerade, den personuppgifts- ansvarige, dataskyddsombudet, personuppgiftsbiträdet och sådana personer som under den personuppgiftsansvarige eller personupp- giftsbiträdets direkta ansvar har rätt att behandla personuppgifter. Uttrycket behandlas i avsnitt 11.3.3.

Uppgift som rör hälsa

Definitionen motsvarar direktivets definition i artikel 3.14. Ut- trycket behandlas i avsnitt 6.2. Med uppgift som rör hälsa avses en personuppgift som rör en persons fysiska eller psykiska hälsa, in-

680

SOU 2017:29

Författningskommentar

kluderande information om tillhandahållande av hälso- och sjuk- vårdstjänster som ger upplysning om personens hälsostatus. Av 2 kap. 11 § framgår att uppgifter som rör hälsa är känsliga person- uppgifter som bara får behandlas under vissa förutsättningar.

2 kap. Behandling av personuppgifter

Behandling för ändamål inom denna lags tillämpningsområde

Tillåtna rättsliga grunder för behandling av personuppgifter

1 §

Paragrafen reglerar, tillsammans med 2 §, de tillåtna rättsliga grun- derna för behandling av personuppgifter enligt lagen. Paragrafen genomför artikel 8.1 och delar av artikel 8.2. Den behandlas i av- snitt 9.1.2.

En behörig myndighet får behandla personuppgifter om det är nödvändigt för att den ska kunna utföra en arbetsuppgift i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätt- hålla allmän ordning och säkerhet. Bestämmelsen bildar den yttre ramen för när behandling av personuppgifter är tillåten enligt lagen. Personuppgifter får behandlas bara om det är nödvändigt för att fullgöra en sådan arbetsuppgift. Behandling av personuppgifter och behörig myndighet definieras i 1 kap. 6 §. Vad som avses med före- bygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet och behörig myndighet redovisas i kommentaren till 1 kap. 2 §.

Personuppgiftsbehandling måste alltid ha stöd i den behöriga myndighetens arbetsuppgifter så som de kommer till uttryck i unionsrätten eller i svensk lagstiftning och andra för verksamheten bindande beslut om arbetsuppgifter som regeringen meddelat.

681

Författningskommentar

SOU 2017:29

2 §

Paragrafen reglerar, tillsammans med 1 §, de tillåtna rättsliga grun- derna för behandling av personuppgifter enligt lagen. I paragrafen regleras två särskilt angivna fall där det är tillåtet att behandla per- sonuppgifter oberoende av om förutsättningarna för behandling enligt 1 § är för handen. Tillämpningsområdet för paragrafen är be- gränsat, eftersom det enbart är personuppgifter som lämnats till en behörig myndighet som får behandlas. Frågan behandlas i av- snitt 9.1.3.

Enligt punkten 1 får personuppgifter alltid behandlas om be- handlingen är nödvändig för diarieföring. Normalt finns det en rättslig grund enligt 1 § för de behöriga myndigheternas diarie- föring, t.ex. att det är fråga om en handling som hänför sig till en förundersökning, ett mål eller ett ärende. Den nu aktuella punkten täcker behovet av att kunna diarieföra handlingar i andra fall. Det kan även röra sig om muntliga uppgifter som nedtecknas i en tjänsteanteckning eller liknande. Vilka uppgifter som måste noteras i samband med diarieföring av en handling framgår av 5 kap. 2 § offentlighets- och sekretesslagen (2009:400). Vid diarieföring av in- komna handlingar får det således alltid anges vem en handling har kommit från och i korthet vad handlingen rör. Någon annan be- handling än sådan som är nödvändig för diarieföringen får emeller- tid inte utföras med stöd av denna punkt. Den fortsatta behand- lingen ska således – utom i fall där andra punkten i denna paragraf blir tillämplig – alltid ha stöd i 1 §.

Personuppgifter får enligt punkten 2 alltid behandlas om de har lämnats till den behöriga myndigheten i en anmälan, ansökan eller liknande och behandlingen är nödvändig för myndighetens hand- läggning. Uttrycket ”anmälan, ansökan eller liknande” innefattar alla slag av framställningar till en behörig myndighet. Det gäller både skriftliga framställningar och uppgifter som lämnas muntligen men nedtecknas av någon hos den behöriga myndigheten. Oftast omfattas framställningar av detta slag av bestämmelsen om rättslig grund i 1 § och ska då behandlas med stöd av den bestämmelsen, men i vissa fall kan innehållet i handlingen vara sådant att nödvän- dighetsrekvisitet i den paragrafen inte är uppfyllt. Eftersom det vanligtvis krävs något slag av handläggning hos den behöriga myn- digheten för att hantera en framställan, har det ansetts nödvändigt

682

SOU 2017:29

Författningskommentar

med en särskild bestämmelse för personuppgiftsbehandling i dessa fall (jfr t.ex. prop. 2009/10:85 s. 324). Behandlingen måste vara nödvändig för handläggningen. Det kan i ett enskilt fall innebära att personuppgifter i ett e-postmeddelande inte får behandlas på annat sätt än att uppgifterna tas emot och därefter omedelbart arki- veras eller gallras. I ett annat fall kan bestämmelsen innebära att personuppgifterna också får behandlas i samband med att fram- ställan besvaras.

Ändamål för behandling av personuppgifter

3 §

I paragrafen föreskrivs att personuppgifter får behandlas bara för särskilda, uttryckligt angivna och berättigade ändamål och att det ska framgå för vilket ändamål uppgifterna behandlas. Paragrafen genomför delar av artiklarna 4.1 b och 8.2 och behandlas i av- snitt 9.1.5.

Av första stycket framgår att ändamålen för behandling av per- sonuppgifter ska vara särskilda, uttryckligt angivna och berättigade. Ändamålen måste bestämmas redan när uppgiften behandlas första gången, eftersom det är i förhållande till dem som det ska prövas om personuppgifterna som behandlas är adekvata och relevanta och hur många personuppgifter som behöver behandlas (8 §).

Ändamålet får inte blandas ihop med den rättsliga grunden för behandling. Ändamålet ska vara mer konkret. Att ändamålet ska vara särskilt innebär att det måste vara tillräckligt preciserat för att det ska kunna avgöras om de personuppgifter som behandlas är adekvata och relevanta för behandlingen eller om för många per- sonuppgifter behandlas. Ändamålet får alltså inte vara så vagt eller vittomfattande att någon sådan prövning i praktiken inte blir möj- lig. Ändamålet kan t.ex. vara förundersökningen om ett visst brott, åtalet för vissa gärningar eller handläggningen av en begäran om domstolsprövning av ett kontaktförbud eller tillträdesförbud. Det kan också vara fråga om verkställigheten av ett straff eller hand- läggningen av ett ingripande på grund av en ordningsstörning.

Att ändamålet ska vara berättigat innebär en koppling till de rättsliga grunderna. Personuppgifter får inte behandlas för ett ända- mål som inte är berättigat i förhållande till den tillämpliga rättsliga

683

Författningskommentar

SOU 2017:29

grunden. Personuppgifter som avser en förundersökning får t.ex. inte längre behandlas för det ändamålet när brottet har preskribe- rats. Uppgifter om verkställigheten av en påföljd får inte behandlas om påföljden har bortfallit. Däremot kan det vara berättigat för åklagare och domstolar att fortsätta att behandla personuppgifter efter en dom till dess att det står klart att den fått laga kraft.

Om det ändamål för vilket personuppgifterna behandlas inte framgår av sammanhanget eller på annat sätt ska det enligt andra stycket tydliggöras genom en särskild upplysning. Behandlas upp- gifterna i en förundersökning eller i ett mål eller ärende framgår ändamålet av sammanhanget. Det gäller också om uppgifterna finns i ett särskilt reglerat register.

4 §

I paragrafen regleras förutsättningarna för att personuppgifter ska få behandlas för ett nytt ändamål inom lagens tillämpningsområde. Paragrafen genomför artikel 4.2 och behandlas i avsnitt 9.1.6.

Personuppgifter får enligt paragrafen inte behandlas innan det har säkerställts att det finns en rättslig grund för den nya behand- lingen och att kraven i övrigt är uppfyllda. Det nya ändamålet ska alltså bestämmas innan behandlingen för det ändamålet påbörjas.

Av punkten 1 framgår att det alltid ska finnas en rättslig grund för att behandla personuppgifterna för det nya ändamålet. I 1 § anges vilka rättsliga grunder som är tillåtna. Om personuppgifter behandlas för att utreda ett brott finns det rättslig grund för att behandla dem t.ex. om det upptäcks att samma person har begått ett annat brott.

Av punkten 2 framgår att behandlingen ska vara nödvändig och proportionerlig för det nya ändamålet. Behandlingen kan vara nöd- vändig exempelvis om det i en förundersökning finns uppgifter som avslöjar planer på fritagning av en häktad och uppgiften därför behöver lämnas till Kriminalvården. Att behandlingen ska vara pro- portionerlig i förhållande till det nya ändamålet innebär att skälen för behandlingen ska väga tyngre än det intrång som behandlingen innebär för enskilda. Det har också betydelse vilka personuppgifter det är fråga om och i vilken verksamhet de ska användas.

684

SOU 2017:29

Författningskommentar

Bara om alla de förutsättningar som räknas upp i paragrafen är uppfyllda får personuppgifter behandlas för ett nytt ändamål. Någon prövning av om behandlingen för det nya ändamålet är för- enlig med det ändamål för vilket uppgifterna ursprungligen be- handlades behöver däremot inte göras. Det saknar också betydelse om det är samma eller en annan personuppgiftsansvarig som ska behandla uppgifterna för ett nytt ändamål, så länge det nya ända- målet omfattas av lagens tillämpningsområde.

5 §

I paragrafen föreskrivs att en behörig myndighet får behandla per- sonuppgifter för vetenskapliga, statistiska eller historiska ändamål inom lagens tillämpningsområde. Den genomför delar av artikel 4.3 och behandlas i avsnitt 9.1.7.

Vid behandling för vetenskapliga, statistiska eller historiska ändamål ska lagens övriga bestämmelser tillämpas på samma sätt som vid annan behandling enligt lagen. De uppgifter som behandlas ska vara adekvata och relevanta och inte för omfattande i förhål- lande till det vetenskapliga, statistiska eller historiska ändamålet. På samma sätt som man vid behandling för andra ändamål inom lagens tillämpningsområde måste se till att uppgifterna inte behandlas under längre tid än vad som behövs för de ändamålen, får uppgifter som behandlas för statistiska, vetenskapliga eller historiska ändamål inte behandlas under längre tid än vad som behövs för dessa ända- mål.

Paragrafen reglerar bara behöriga myndigheters behandling för statistiska, vetenskapliga eller historiska ändamål och gäller inte för exempelvis Brottsförebyggande rådets statistikverksamhet.

Grundläggande krav på behandlingen av personuppgifter

Laglig och korrekt behandling

6 §

I paragrafen föreskrivs att personuppgifter alltid ska behandlas för- fattningsenligt och på ett korrekt sätt. Paragrafen genomför arti- kel 4.1 a och behandlas i avsnitt 9.2.1.

685

Författningskommentar

SOU 2017:29

När det är tillåtet att behandla personuppgifter och vilka krav som ställs på behandlingen framgår inte bara av denna lag och före- skrifter som har meddelats med stöd av den, utan också av de behö- riga myndigheternas registerförfattningar och andra författningar som reglerar särskilda register eller särskilda samarbeten inom lagens tillämpningsområde. Även regler om personuppgifts- behandling i andra författningar kan vara tillämpliga, t.ex. 26 och 27 §§ lagen (1988:688) om kontaktförbud. Regler av nu aktuellt slag har betydelse både för om behandlingen är författningsenlig och vad som är ett korrekt sätt att behandla personuppgifter. I det ligger bl.a. kravet på att det ska göras en kontinuerlig bedömning av att personuppgiftsbehandlingen uppfyller alla formella krav.

Vilka personuppgifter som får behandlas, och som därmed gör behandlingen författningsenlig, styrs av andra regler. Det kan fram- gå av t.ex. rättegångsbalken, häkteslagen eller lagar om straffpro- cessuella tvångsmedel vilka personuppgifter som ska behandlas och därigenom indirekt när behandlingen är författningsenlig. Kraven på dokumentation i protokoll över polisiära ingripanden eller straffprocessuella tvångsmedel, förundersökningsprotokoll, beslut och domar är exempel på det.

Vad som är ett korrekt sätt för behandling styrs emellertid inte bara av författningsregler och den praxis som utbildas kring dem. Tillsynsmyndighetens allmänna råd och uttalanden i fråga om per- sonuppgiftsbehandling har också betydelse, liksom myndigheternas interna regler.

Otillåten behandling av personuppgifter kan i vissa fall vara straffbar enligt bestämmelser i brottsbalken, bl.a. regeln om data- intrång i 4 kap. 9 c §. Det kan då röra sig om externa angrepp eller om att någon som har tillgång till ett it-system överskrider sina befogenheter.

Personuppgifters kvalitet

7 §

Paragrafen reglerar hur personuppgifter som behandlas ska vara be- skaffade. Den genomför delar av artikel 4.1 d och behandlas i av- snitt 9.2.2.

686

SOU 2017:29

Författningskommentar

I första stycket föreskrivs att de personuppgifter som behandlas ska vara korrekta och, om det är nödvändigt, uppdaterade.

En personuppgift är korrekt om den stämmer överens med de verkliga förhållandena. För att bestämma vilka de verkliga förhål- landena är får man söka ledning i ändamålen med behandlingen. Det är ändamålen i det enskilda fallet som avses, exempelvis utred- ningen av en misshandel eller rättpsykiatrisk undersökning av en viss person. Inom lagens tillämpningsområde måste frågan om en personuppgift är korrekt inte bara vägas mot ändamålen med be- handlingen utan även ses mot bakgrund av vad uppgiften rör, när den lämnas och vem som lämnar den. För att kunna avgöra om personuppgifterna är korrekta är det också av stor betydelse att veta om de grundar sig på fakta eller på personliga bedömningar. Kravet på att personuppgifter ska vara korrekta innebär inte något hinder mot att samla in exempelvis osäkra underrättelseuppgifter, under förutsättning att personuppgifterna är relevanta för arbetet (se 8 §) och att det framgår att det är osäkert om uppgiften är riktig (se exempelvis 3 kap. 4 § andra stycket polisdatalagen [2010:361]). Att personuppgifter som grundar sig på fakta i så stor utsträckning som möjligt ska skiljas från uppgifter som grundar sig på personliga bedömningar framgår av 10 §. Det krav som kan ställas när det gäl- ler personuppgifter som behandlas vid utsagor (t.ex. förhör med misstänkta) måste inskränkas till att utsagorna återges på ett kor- rekt sätt, dvs. så som de har lämnats och att dokumentationen av dem följer gällande regler.

De personuppgifter som behandlas behöver bara vara uppdate- rade om det är nödvändigt. Frågan om det är nödvändigt att de är uppdaterade får avgöras med hänsyn till ändamålen med behand- lingen. Exempelvis kan uppgifter om telefonnummer eller andra kontaktuppgifter ändras under handläggningen av ett ärende och därmed behöva uppdateras. När ärendet har avslutats eller arkive- rats är det dock inte nödvändigt att uppdatera kontaktuppgifter.

I andra stycket föreskrivs att uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för män- niskovärdet. Motsvarande bestämmelser finns i exempelvis 2 kap. 10 § tredje stycket polisdatalagen och 2 kap. 8 § tredje stycket åkla- gardatalagen (2015:433). Syftet med bestämmelsen är att förhindra att personers utseende beskrivs i ordalag som kan vara kränkande för individen. Exempel på signalementsbeteckningar som anses

687

Författningskommentar

SOU 2017:29

acceptabla finns bl.a. i Rikspolisstyrelsens föreskrifter och allmänna råd om fingeravtryck och annan signalementsupptagning (RPSFS 2005:12, FAP 473–1).

Utformningen av bestämmelsen innebär att en behörig myndig- het alltid är oförhindrad att, när den får ett tips från allmänheten om en person som kan misstänkas för brott, göra de anteckningar som är nödvändiga för att underlätta identifieringen av personen, t.ex. anteckningar om fysiska kännetecken. Anteckningarna måste dock utformas på ett objektivt sätt. I anslutning till dessa anteck- ningar får även sådana känsliga personuppgifter som avses i 11 § första stycket antecknas, om det är absolut nödvändigt för det arbete som tipset bör föranleda.

8 §

Paragrafen reglerar omfattningen av behandlingen av personupp- gifter. Den genomför artikel 4.1 c och behandlas i avsnitt 9.2.2.

Av paragrafen framgår att de personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålen med be- handlingen och att fler personuppgifter inte får behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Det är ändamålen i det enskilda fallet som avses, exempelvis ut- redningen av en stöld eller ett ärende om förordnande av offentlig försvarare. Att personuppgifterna ska vara adekvata och relevanta innebär att ovidkommande uppgifter inte får behandlas. En pröv- ning av om en personuppgift är nödvändig för behandlingen ska göras kontinuerligt av den behöriga myndigheten, inte bara när uppgiften registreras eller på annat sätt samlas in. Även vid en senare behandling ska personuppgiften behövas för just den be- handlingen, annars är kravet på adekvans och relevans inte uppfyllt.

Förutom att uppgifterna ska vara adekvata och relevanta får de inte heller vara fler än nödvändigt. Det understryker kravet på att en fortlöpande bedömning görs.

Vid all behandling måste det alltså prövas om det går att ute- lämna personuppgifter, eller i vart fall att endast använda uppgifter som indirekt går att hänföra till en viss person. Om fullständig avidentifiering är ett fullgott alternativ till att använda direkta eller

688

SOU 2017:29

Författningskommentar

indirekta personuppgifter är förutsättningarna för att behandla personuppgifterna inte uppfyllda.

Åtskillnad mellan olika slag av personuppgifter

9 §

I paragrafen ställs krav på att personuppgifter som rör olika kate- gorier av registrerade så långt det är möjligt ska särskiljas. Paragra- fen genomför artikel 6. Den behandlas i avsnitt 9.2.3.

I paragrafen anges personer som är misstänkta för brott, dömda för brott, brottsoffer och andra som berörs av ett brott som exem- pel på kategorier av registrerade. Andra som berörs av ett brott kan vara t.ex. vittnen eller vårdnadshavare för målsägande, misstänkta eller vittnen. Det är särskilt viktigt att det framgår om någon är misstänkt för brott eller inte. Det gäller oavsett misstankegrad.

Om det framgår av sammanhanget eller på annat sätt vilken kategori en person tillhör behöver någon särskild upplysning inte lämnas. Om en person har hörts under en förundersökning eller under en brottmålsrättegång och det av sammanhanget framgår att han eller hon har hörts som t.ex. målsägande, tilltalad eller vittne, behöver uppgifterna inte förses med någon tilläggsupplysning.

Kravet på att olika kategorier av uppgifter ska särskiljas innebär att det krävs rutiner hos behöriga myndigheter för att följa upp om en tidigare brottsmisstanke avskrivs i sin helhet, exempelvis i sam- band med att en förundersökning läggs ned eller om rätten medde- lar en frikännande dom.

Varje enskild uppgift måste inte förses med en särskild upplys- ning, vilket inte heller torde vara praktiskt möjligt. Vid behandling av uppgifter i bild- eller ljudupptagningar eller i löpande text fram- går det som regel av sammanhanget till vilka personkategorier olika personer hör. Ibland kan dock en sådan upptagning eller text be- höva förses med en upplysning som förtydligar det.

Kravet på att olika uppgifter ska särskiljas gäller så långt det är möjligt. Om en misstänkt fotograferas i stadsmiljö förekommer ofta andra personer på samma fotografi. De kan vara helt okända och då kan det naturligtvis inte krävas att de kategoriseras på något sätt. Det är tillräckligt att det i stället anges vem som är den miss- tänkte.

689

Författningskommentar

SOU 2017:29

10 §

I paragrafen ställs krav på att personuppgifter som som grundar sig på fakta så långt det är möjligt ska skiljas från personuppgifter som grundar sig på personliga bedömningar. Paragrafen genomför arti- kel 7.1. Den behandlas i avsnitt 9.2.3.

Om det framgår av sammanhanget eller på annat sätt om upp- giften grundar sig på fakta eller personliga bedömningar behöver någon särskild upplysning inte lämnas. Det som uttalas vid ett för- hör eller vittnesmål kan grunda sig på bedömningar eller vara fak- tabaserat. Det kan då utläsas av sammanhanget om det är fråga om fakta eller bedömningar. Detsamma gäller innehållet i intyg och andra liknande handlingar. Kravet gäller också uppgifter som finns i promemorior och analyser. Tas uppgifterna ur sitt sammanhang måste de förses med en särskild upplysning.

Kravet på att personuppgifter som grundar sig på fakta ska skil- jas från personuppgifter som grundar sig på personliga bedöm- ningar gäller så långt det är möjligt. Det kan t.ex. vara omöjligt att värdera vad som är fakta respektive bedömningar i en anmälan om brott som har skickats med post till Polismyndigheten. Det räcker då att det framgår från vem personuppgifterna kommer. Det är särskilt viktigt att det kan utläsas om den som lämnar en uppgift själv har fått den av någon annan person och i så fall under vilka omständigheter.

Känsliga personuppgifter

11 §

Paragrafen reglerar tillsammans med 12–14 §§ i vilken utsträckning känsliga personuppgifter får behandlas. Att uppgifterna betecknas som känsliga personuppgifter framgår av 13 §. Paragrafen genom- för delar av artikel 10 och behandlas i avsnitt 9.2.4.

Enligt första stycket får personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa, sexualliv eller sexu- ell läggning inte behandlas. Det innebär att det inte är tillåtet att föra register över eller på annat sätt göra anteckningar om enskilda på den grunden att de utifrån etniskt ursprung, politiska åsikter

690

SOU 2017:29

Författningskommentar

eller något annat i paragrafen angivet förhållande kan hänföras till en viss kategori av människor.

En uppgift om utseende är normalt inte en känslig personupp- gift och den får alltså behandlas, med den begränsning som följer av 7 § andra stycket. Om en sådan uppgift samtidigt innebär uppgift om etniskt ursprung omfattas den dock av förbudet. Bestämmelsen hindrar inte att uppgifter om en persons nationalitet behandlas, eftersom en sådan uppgift normalt inte ger upplysning om etniskt ursprung (se prop. 2009/10:85 s. 325). Uppgifter om att en viss person kommer från en viss världsdel eller ett visst land faller också som regel utanför förbudet mot behandling av känsliga personupp- gifter. Skulle en sådan personuppgift i det enskilda fallet t.ex. av- slöja etniskt ursprung är dock förbudet tillämpligt.

Avbildningar av personer, t.ex. fotografier, kan avslöja många detaljer. Man kan t.ex. se hudfärg eller om personen bär klädsel eller andra kännetecken som är typiska för utövare av en viss reli- gion. Även fysiska handikapp kan avslöjas av bilder och det kan framgå att en person kan vara sjuk eller skadad. Bilder på männi- skor i mera normala sammanhang torde inte avslöja känsliga per- sonuppgifter, medan bilder på människor som utövar religiösa, politiska eller sexuella aktiviteter som regel utgör känsliga person- uppgifter (jfr Öhman m.fl. s. 288).

I andra stycket görs det undantag från huvudregeln att känsliga personuppgifter inte får behandlas. Uppgifter om en person som behandlas på annan grund får kompletteras med känsliga person- uppgifter, om det är absolut nödvändigt för ändamålet med be- handlingen. Det innebär att om andra uppgifter om en person sam- las in i samband med t.ex. en förundersökning får de kompletteras med uppgifter om religiös övertygelse eller etniskt ursprung om det är av stor betydelse för utredningen, exempelvis för att utreda hets mot folkgrupp. Under utredning av sexualbrott kan det ibland vara befogat att anteckna uppgifter om den misstänktes sexualliv. Med hänsyn till den restriktivitet som ligger i uttrycket ”absolut nödvändigt” måste dock behovet av att göra sådana komplette- ringar prövas noga i det enskilda fallet.

Känsliga personuppgifter kan också förekomma i behöriga myn- digheters verksamhet på grund av att någon under ett förhör har lämnat en sådan uppgift eller i en inlaga nämnt uppgiften. Det kan vara fråga om helt grundlösa påståenden. Eftersom myndigheterna

691

Författningskommentar

SOU 2017:29

inte kan hindra någon från att yttra sig vare sig muntligen eller skriftligen kan känsliga personuppgifter på detta sätt komma att ingå i t.ex. en förundersökning eller en dom. Om det nedtecknade förhöret eller den inkomna handlingen ingår i förundersökningen eller uppgiften antecknas i domen omfattas behandlingen av den känsliga personuppgiften även i dessa fall av undantaget i detta stycke.

12 §

Paragrafen reglerar tillsammans med 11, 13 och 14 §§ i vilken ut- sträckning två särskilda typer av känsliga personuppgifter får be- handlas. Paragrafen genomför delar av artikel 10 och behandlas i avsnitt 9.2.4.

Enligt paragrafen får biometriska uppgifter som används för att identifiera en person och genetiska uppgifter endast behandlas om det är särskilt föreskrivet och det är absolut nödvändigt för ända- målen med behandlingen. I t.ex. 4 kap. polisdatalagen (2010:361) finns sådana särskilda föreskrifter som avses i förevarande paragraf. I kommentaren till 11 § ges exempel på vad som avses med kravet på att behandlingen är absolut nödvändig. I 1 kap. 6 § definieras vad som avses med biometriska respektive genetiska uppgifter.

13 §

Paragrafen reglerar tillsammans med 11, 12 och 14 §§ i vilken ut- sträckning känsliga personuppgifter får behandlas. Paragrafen be- handlas i avsnitt 9.2.4.

I paragrafen klargörs att sådana personuppgifter som avses i 11 och 12 §§ betecknas som känsliga personuppgifter i lagen. Vidare tydliggörs att sådana uppgifter alltid får behandlas i de fall som avses i 2 §, dvs. om det är nödvändigt för diarieföring eller, i fråga om uppgifter i en anmälan, ansökan eller liknande, om det är nöd- vändigt för myndighetens handläggning. Det innebär bl.a. att det är möjligt för en behörig myndighet att ta emot och besvara anmäl- ningar, ansökningar och liknande skrifter som lämnas i elektronisk form även om de innehåller känsliga personuppgifter. Regleringen innebär också att sådana uppgifter får arkiveras om det är nödvän-

692

SOU 2017:29

Författningskommentar

digt. Som framgår av kommentaren till 2 § är den behandling som är tillåten begränsad.

14 §

Paragrafen reglerar användningen av känsliga personuppgifter vid sökning. Frågan behandlas i avsnitt 9.2.4. Av 11 och 12 §§ framgår vilka personuppgifter som är känsliga personuppgifter.

Enligt paragrafen är det förbjudet att utföra sökningar i syfte att få fram ett personurval grundat på känsliga personuppgifter. Där- med förbjuds sökningar som görs för att få fram ett urval av perso- ner som t.ex. har viss politisk eller religiös åskådning eller sexuell läggning. Uppgifter som beskriver en persons utseende, t.ex. upp- gifter om längd, hudfärg eller tatueringar, får användas som sökbe- grepp, så länge syftet med sökningen inte är att göra en samman- ställning av en viss grupp av personer grundat på exempelvis etniskt ursprung eller politisk åskådning.

Även tillåtna sökningar kan resultera i ett personurval grundat på känsliga personuppgifter. I vilken utsträckning det sedan är till- låtet att behandla någon eller några av personuppgifterna i sam- manställningen får prövas mot huvudregeln för behandling av käns- liga personuppgifter i 11 §.

Åtgärder för att säkerställa personuppgifternas kvalitet

15 §

I paragrafen föreskrivs vad den personuppgiftsansvarige ska göra för att förhindra att felaktiga eller ofullständiga personuppgifter behandlas, lämnas ut eller görs tillgängliga. Den genomför delar av artiklarna 4.1 d, 7.2 och 7.3 och behandlas i avsnitt 9.2.6. I 4 kap. 9 § regleras vad som gäller när den registrerade begär att person- uppgifter ska rättas eller kompletteras.

I första stycket föreskrivs att alla rimliga åtgärder ska vidtas för att personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålet med behandlingen utan onödigt dröjsmål ska rättas och för att förhindra att sådana uppgifter lämnas ut eller görs till- gängliga. Vad som avses med att uppgifter är korrekta framgår av

693

Författningskommentar

SOU 2017:29

kommentaren till 7 §. Den personuppgiftsansvarige ska också utan onödigt dröjsmål uppdatera uppgifter som är inaktuella om det är nödvändigt. Bestämmelsen innebär att den personuppgiftsansvarige självmant måste vidta åtgärder för att säkerställa personuppgifter- nas kvalitet.

Vad som utgör rimliga åtgärder skiljer sig åt beroende på om personuppgifterna är felaktiga, ofullständiga eller inaktuella, efter- som personuppgifter alltid ska vara korrekta men endast behöver vara uppdaterade om det är nödvändigt. Vilka åtgärder som är rim- liga att vidta får bedömas mot bakgrund av omständigheterna i varje enskilt fall, som t.ex. ändamålet med behandlingen, vilka per- sonuppgifter som behandlas och vilka konsekvenser en felaktig eller ofullständig uppgift kan få för den enskilde (se Öman m.fl. s. 209).

När personuppgifter lämnas ut till en behörig myndighet ska mottagaren enligt andra stycket så långt det är möjligt ges infor- mation som gör det möjligt att bedöma i vilken utsträckning upp- gifterna är korrekta, fullständiga, uppdaterade och tillförlitliga. Det gör att mottagaren kan fullgöra sin skyldighet att kontrollera kvali- teten på personuppgifter som kommer från andra behöriga myn- digheter. Informationen kan exempelvis ange varifrån personupp- gifterna kommer, vad som är känt om uppgiftslämnaren, när och för vilket ändamål personuppgifterna hämtades in och om de grun- dar sig på fakta eller personliga bedömningar. Andra exempel på information som kan vara relevant för mottagaren är om person- uppgiften grundas på misstanke om brott, saken är föremål för domstolsprövning eller avser en lagakraftvunnen dom. Mottagare definieras i 1 kap. 6 §.

16 §

I paragrafen föreskrivs vilka åtgärder som ska vidtas om person- uppgifter behandlas på ett otillåtet sätt. Den genomför delar av artiklarna 4.1 d, 7.2 och 7.3 och behandlas i avsnitt 9.2.6. I 4 kap. 10 § regleras vad som gäller när den registrerade begär att motsva- rande åtgärder ska vidtas.

I första stycket föreskrivs att alla rimliga åtgärder ska vidtas för att personuppgifter som behandlas i strid med 1, 2, 3 § första

694

SOU 2017:29

Författningskommentar

stycket, 4–6, 8, 11, 12, 14 eller 17 § första stycket utan onödigt dröjsmål ska raderas. Den personuppgiftsansvarige ska också se till att sådana uppgifter inte lämnas ut eller görs tillgängliga. Det gäller också när radering krävs för att den personuppgiftsansvarige ska utföra en rättslig förpliktelse. När radering kan komma i fråga, förutsättningarna för det och vad som kan vara en rättslig förplik- telse utvecklas i kommentaren till 4 kap. 10 §.

I stället för att radera personuppgifter som behandlas på ett otillåtet sätt ska den personuppgiftsansvarige enligt andra stycket utan onödigt dröjsmål begränsa behandlingen av uppgifterna om de behöver sparas som bevisning. Vad det innebär utvecklas i kom- mentaren till 4 kap. 10 §.

Längsta tid som personuppgifter får behandlas

17 §

Paragrafen reglerar hur länge behöriga myndigheter får behandla personuppgifter för andra ändamål än arkivändamål. Där framgår också hur bestämmelsen förhåller sig till arkivlagstiftningen. Para- grafen genomför artikel 4.1 e och behandlas i avsnitt 9.3.2.

I första stycket föreskrivs att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ända- målet med behandlingen. Det som avses är ändamålet i det enskilda fallet. Ibland behandlas personuppgifter för flera olika ändamål. Att det inte längre finns behov av att behandla personuppgiften för ett visst ändamål medför inte att behandlingen av den måste upphöra för alla andra ändamål samtidigt. Å andra sidan innebär det förhål- landet att personuppgiften fortfarande behövs för ett visst ändamål inte att den får fortsätta att behandlas för alla ändamål lika länge. Finns det inte längre behov av att behandla uppgifterna för något av ändamålen får de bara behandlas för arkivändamål. Behovet av att fortsätta att behandla uppgifterna måste därför prövas konti- nuerligt. Om det är tillräckligt att behandla avidentifierade uppgif- ter är det inte längre tillåtet att behandla personuppgifterna.

Av andra stycket framgår att bestämmelsen om längsta tid för behandling inte hindrar att personuppgifterna arkiveras av den be- höriga myndigheten eller att arkivmaterial lämnas till en arkivmyn- dighet.

695

Författningskommentar

SOU 2017:29

18 §

Paragrafen reglerar vad som gäller om det inte är föreskrivet hur länge behöriga myndigheter får behandla personuppgifter för andra ändamål än arkivändamål. Paragrafen genomför artikel 5 och be- handlas i avsnitt 9.3.2.

Enligt paragrafen ska den personuppgiftsansvarige en gång om året se över behovet av att behandla personuppgifter. Det gäller dock bara om det inte finns någon författningsbestämmelse som reglerar när uppgifterna inte längre får behandlas för annat än arkivändamål. Sådana bestämmelser finns i t.ex. 3 kap. 9–14 §§ och 4 kap. 14–16 §§ polisdatalagen (2010:361) och 7 § lagen (2001:617) om behandling av personuppgifter inom kriminalvården. Bestäm- melser om hur länge personuppgifter får behandlas finns inte bara i lag eller förordning utan kan även finnas i myndighetsföreskrifter som har stöd i bemyndiganden.

Automatiserade beslut

19 §

Paragrafen reglerar automatiserade beslut. Paragrafen genomför delar av artikel 11 och behandlas i avsnitt 9.4.

I första stycket föreskrivs att den som berörs av ett beslut som enbart grundas på automatiserad behandling av personuppgifter som är avsedda att bedöma hans eller hennes egenskaper har rätt att få beslutet omprövat av någon person. Rätten till information reg- leras i 4 kap. 4 §.

I andra stycket förbjuds automatiserade beslut som enbart grun- das på känsliga personuppgifter. Vilka uppgifter som är känsliga personuppgifter framgår av kommentarerna till 11 och 12 §§.

Villkor om användningsbegränsning

20 §

Paragrafen reglerar möjligheten att ställa upp villkor för behand- lingen av personuppgifter. Paragrafen genomför artikel 9.4 och be- handlas i avsnitt 9.5. Om det inte är särskilt föreskrivet får sådana

696

SOU 2017:29

Författningskommentar

villkor inte ställas upp i förhållande till en mottagare i en annan medlemsstat eller ett EU-organ, om det inte i motsvarande fall får ställas upp samma typ av villkor i förhållande till en mottagare i Sverige. Paragrafen är bara tillämplig vid utlämnande för ändamål inom lagens tillämpningsområde.

Behandling för ändamål utanför denna lags tillämpningsområde

21 §

Paragrafen upplyser om vad som gäller när personuppgifter som behandlas med stöd av lagen ska behandlas för ett ändamål som lig- ger utanför lagens tillämpningsområde. Paragrafen genomför arti- kel 9.1 och behandlas i avsnitt 9.6.

I paragrafen upplyses om att det av artikel 2.1 d i Europaparla- mentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av per- sonuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) framgår att förordningen ska tillämpas när en behörig myndighet behandlar personuppgifter för ändamål som ligger utanför lagens tillämpningsområde. Exempel på sådant utlämnande är när en be- hörig myndighet lämnar ut personuppgifter med stöd av 2 kap. tryckfrihetsförordningen.

Personuppgifter som en behörig myndighet behandlar enligt lagen kan också behöva lämnas till en enhet inom myndigheten som bedriver verksamhet utanför lagens tillämpningsområde. Per- sonuppgifter som Polismyndigheten behandlar i sin brottsbekäm- pande verksamhet kan t.ex. behövas för att bedöma en persons lämplighet att få vapenlicens. Ett annat exempel är att uppgifter i Kustbevakningens brottsutredande verksamhet överlämnas till den enhet som hanterar frågor om vattenföroreningsavgift på grund av oljeutsläpp. Vid behandling för att lämna ut personuppgifter för sådana ändamål ska dataskyddsförordningen tillämpas i stället för denna lag. Prövningen av om behandlingen är tillåten ska då enbart göras med utgångspunkt i dataskyddsförordningens bestämmelser.

697

Författningskommentar

SOU 2017:29

Föreskrifter

22 §

I paragrafen upplyses om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om underrättelse- skyldighet och om åtgärder för att säkerställa att personuppgifter inte behandlas längre än nödvändigt.

3 kap. Personuppgiftsansvarigas skyldigheter

Personuppgiftsansvarets omfattning

1 §

Paragrafen reglerar personuppgiftsansvarets omfattning. Person- uppgiftsansvarig definieras i 1 kap. 6 §. Paragrafen, som genomför artikel 4.4, behandlas i avsnitt 10.1.2.

Paragrafen slår fast det helhetsansvar som den personuppgifts- ansvarige har och tydliggör hur långt ansvaret sträcker sig när det gäller behandlingen av personuppgifter. Den närmare innebörden av personuppgiftsansvaret framgår av lagens övriga bestämmelser och föreskrifter som meddelas i anslutning till den. Vem som är personuppgiftsansvarig kan framgå av andra författningar.

Personuppgiftsansvaret omfattar all behandling av personupp- gifter som utförs under den personuppgiftsansvariges ledning. Med det avses all personuppgiftsbehandling vid den behöriga myndig- heten. Det gäller både behandling som utförs genom en aktiv hand- ling, t.ex. insamling eller sökning, och passiv behandling, t.ex. lag- ring. Ansvaret omfattar däremot inte sådan behandling som den behöriga myndigheten eventuellt utför som personuppgiftsbiträde. Genom att ansvaret knyts till behandling som utförs under den personuppgiftsansvariges ledning tydliggörs att det inte är den per- sonuppgiftsansvarige, dvs. den behöriga myndigheten, som utför personuppgiftsbehandlingen, utan de anställda.

Den personuppgiftsansvarige är också ansvarig för all behand- ling av personuppgifter som utförs på dennes vägnar. Med det avses främst sådan behandling som den personuppgiftsansvarige har upp- dragit åt ett personuppgiftsbiträde att utföra. Den personuppgifts- ansvarige kan uppdra åt ett biträde att utföra viss behandling av

698

SOU 2017:29

Författningskommentar

personuppgifter, men kan inte genom det avsäga sig personupp- giftsansvaret. Personuppgiftsansvaret sträcker sig då utanför den personuppgiftsansvariges egen verksamhet. Personuppgiftsbiträ- dens behandling ska styras av skriftliga avtal eller andra skriftliga överenskommelser och får endast utföras enligt instruktioner från den personuppgiftsansvarige, se kommentarerna till 18 och 19 §§.

Två eller flera personuppgiftsansvariga kan behandla samma per- sonuppgifter samtidigt för olika ändamål, t.ex. om de har direktåt- komst till personuppgifter i samma system. Varje personuppgifts- ansvarig är då ansvarig för den behandling som utförs under dennes ledning eller på dennes vägnar.

Åtgärder för att säkerställa författningsenlig behandling

Tekniska och organisatoriska åtgärder

2 §

Paragrafen genomför artikel 19.1 och reglerar, tillsammans med 3– 5 §§, de krav som ställs på personuppgiftsansvariga i fråga om tek- niska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen av personuppgifter är författningsenlig och att registrerades rättigheter skyddas. Tekniska och organisatoriska åt- gärder för att skydda personuppgifterna regleras i 8 §. Paragrafen behandlas i avsnitt 10.2.1.

Organisatoriska åtgärder som avses i paragrafen är bl.a. att anta interna strategier för dataskydd, att informera och utbilda persona- len och att säkerställa en tydlig ansvarsfördelning. Åtgärder som vidtas för att visa att behandlingen är författningsenlig kan t.ex. vara dokumentation av it-system, behandlingar och vidtagna åtgär- der och teknisk spårbarhet genom loggning och logguppföljning.

Vilka åtgärder som bör vidtas får avgöras efter en bedömning i enskilda fall. Vid den bedömningen har det betydelse bl.a. vilka personuppgifter som ska behandlas, mängden uppgifter och hur integritetskänsliga de är. Även grunden för behandlingen och ris- kerna med den ska beaktas. Mer långtgående åtgärder kan behövas vid behandling som kan medföra särskilda risker för integritetsin- trång eller vid omfattande behandling av en stor mängd personupp- gifter.

699

Författningskommentar

SOU 2017:29

Skyldigheten att vidta lämpliga åtgärder är inte knuten till en viss tidpunkt, utan något som den personuppgiftsansvarige ständigt ska ha för ögonen. Åtgärder som har vidtagits måste därför konti- nuerligt revideras och vid behov förändras.

I 23 § upplyses om att det kan finnas föreskrifter på lägre nivå om sådana åtgärder som avses i paragrafen.

3 §

Paragrafen, som genomför artikel 20.1, reglerar skyldigheten att beakta principen om inbyggt dataskydd vid behandling av person- uppgifter. Den behandlas i avsnitt 10.2.1.

Paragrafen innebär att den personuppgiftsansvarige både när det bestäms att en viss typ av personuppgifter ska behandlas och när behandlingen utförs, ska vidta åtgärder som medför att dataskydds- principer säkerställs och skyddsåtgärder integreras i behandlingen. Skyldigheten är tätt förknippad med de skyldigheter som följer av 2, 4 och 8 §§. Paragrafen kan ses som en precisering av den över- gripande skyldigheten i 2 §.

Exempel på grundläggande dataskyddsprinciper som bör säker- ställas är uppgiftsminimering, dvs. att så få personuppgifter som möjligt samlas in och hanteras, och att de inte behandlas längre än vad som behövs och inte används på ett otillåtet sätt. Principerna kan implementeras i verksamheten genom åtgärder som exempelvis begränsar behandlingen till personuppgifter som endast indirekt pekar ut en individ eller till personuppgifter som är mindre integri- tetskänsliga. Att använda pseudonymisering, vilket innebär att upp- gifterna inte går att koppla till en enskild person utan ytterligare information som hålls avskild, är ett annat exempel. Om det i ett ärendehanteringssystem är möjligt att behandla personuppgifterna utöver vad som är tillåtet med hänsyn till ändamålet bör funktio- nerna begränsas och spärras innan systemet tas i drift. Funktioner för att avskilja personuppgifter automatiskt är också exempel på in- byggt dataskydd. Andra åtgärder som kan vidtas för att implemen- tera dataskyddsprinciper är behörighetsstyrning och kryptering av information. Sådana åtgärder syftar till att begränsa åtkomsten till personuppgifterna så att endast de som behöver uppgifterna för att kunna utföra sina arbetsuppgifter har tillgång till dem.

700

SOU 2017:29

Författningskommentar

Integrering av skyddsåtgärder kan avse funktioner för autentise- ring, t.ex. lösenord, möjlighet att använda kryptering vid kommu- nikation över internet och på mobila enheter, funktioner för logg- ning och säkerhetskopiering.

Vilka åtgärder som bör vidtas får avgöras i varje enskilt fall. Vilka faktorer som kan vara av betydelse utvecklas i kommentaren till 2 §. De tekniska möjligheterna och kostnaderna för genom- förandet ska också vägas in.

I 23 § upplyses om att det kan finnas föreskrifter på lägre nivå om sådana åtgärder som avses i paragrafen.

4 §

Paragrafen, som genomför artikel 20.2, fastställer den personupp- giftsansvariges skyldighet att i automatiserade behandlingssystem införa dataskydd som standard. Den behandlas i avsnitt 10.2.1.

Dataskydd som standard innebär att systemet automatiskt styr användaren mot att arbeta integritetssäkert. Grundinställningarna ska vara satta så att inte mer information än nödvändigt samlas in eller visas. Skyldigheten att ha dataskydd som standard tar sikte på mängden insamlade personuppgifter, behandlingens omfattning, hur länge personuppgifterna behandlas och hur tillgängliga de är. Det innebär att den personuppgiftsansvarige ska se till att det i automatiserade behandlingssystem endast är möjligt att samla in de typer av personuppgifter som behövs, att personuppgifterna endast kan behandlas på ett sådant sätt och så länge som det är nödvändigt och att uppgifterna endast är tillgängliga för de personer som be- höver dem i sitt arbete. Paragrafen kan i likhet med 3 § ses som en precisering av den övergripande skyldigheten i 2 §.

Med automatiserade behandlingssystem avses särskilt för verk- samheten utformade eller anpassade behandlingssystem där person- uppgifter behandlas mer eller mindre strukturerat, t.ex. verksam- hetsstöd i form av dokument- och ärendehanteringssystem och olika typer av register och databaser. För att dataskydd som stan- dard ska kunna införas i automatiserade behandlingssystem krävs det att den personuppgiftsansvarige har tekniska möjligheter och rätt att vidta sådana åtgärder i systemet. Standardprogram som Word, Outlook och Excel är inte att anse som automatiserade

701

Författningskommentar

SOU 2017:29

behandlingssystem i paragrafens mening och omfattas därför inte av kraven.

Något utrymme för lämplighetsbedömning i det enskilda fallet finns inte. Den personuppgiftsansvarige är skyldig att införa data- skydd som standard oavsett vilken behandling det rör sig om eller vad kostnaderna uppgår till.

I 23 § upplyses om att det kan finnas föreskrifter på lägre nivå om sådana åtgärder som avses i paragrafen.

5 §

Paragrafen, som genomför artikel 25.1, reglerar den personupp- giftsansvariges skyldighet att säkerställa att det i automatiserade behandlingssystem förs loggar över vissa typer av behandlingar. Paragrafen behandlas i avsnitt 10.2.2.

En logg är en behandlingshistorik som sparas under en viss tid. Det är en teknisk funktion i systemet som ska fungera automatiskt och som inte ska gå att ändra eller påverka på annat sätt. En logg bör vara så detaljerad att den kan användas för att utreda felaktig eller obehörig användning av personuppgifter. Syftet med loggning är dels att verka förebyggande, dels att ge den personuppgiftsansva- rige möjlighet att kontrollera användningen av systemen och att upptäcka felaktig eller obehörig användning av personuppgifterna. Loggningen bör inte utformas så att den medför onödiga intrång i användarnas integritet.

Krav på loggning vid behandling av personuppgifter följer indi- rekt av de generella kraven på lämpliga tekniska och organisatoriska åtgärder i både 2 och 8 §§. Förevarande paragraf utgör därmed ett mer preciserat krav på loggning i vissa typer av system. Vad som avses med automatiserade behandlingssystem framgår av kommen- taren till 4 §. Standardprogram som Word, Outlook och Excel är i detta sammanhang inte att anse som automatiserade behandlings- system och omfattas därför inte av kravet på loggning i paragrafen. Inte heller lagringsytor som t.ex. usb-minnen och anställdas per- sonliga mappar på den egna datorn omfattas. Krav på loggning i så- dan programvara och på sådana lagringsytor följer dock, i den mån det är tekniskt möjligt, av 2 och 8 §§.

702

SOU 2017:29

Författningskommentar

Paragrafen innebär att den personuppgiftsansvarige ska säker- ställa att de automatiserade behandlingssystem som används möj- liggör loggning i den utsträckning som krävs och att informationen faktiskt loggas. Av 2 § följer bl.a. krav på logguppföljning. Logg- uppföljning ska göras systematiskt och återkommande och vara så- väl förebyggande som reaktiv. Den personuppgiftsansvarige ska se till att det finns rutiner för logguppföljning.

Paragrafen gäller enligt 20 § även för personuppgiftsbiträden.

I 23 § upplyses om att det kan finnas föreskrifter på lägre nivå om sådana åtgärder som avses i paragrafen.

Tillgången till personuppgifter

6 §

Paragrafen reglerar den interna tillgången till personuppgifter för dem som arbetar under den personuppgiftsansvariges ledning. Den behandlas i avsnitt 10.2.3.

Paragrafen innebär att den personuppgiftsansvarige är skyldig att se till att anställda och andra som deltar i arbetet hos den per- sonuppgiftsansvarige, t.ex. praktikanter eller inhyrd personal, bara ges tillgång till de personuppgifter som krävs för att de ska kunna fullgöra sina arbetsuppgifter. I de behöriga myndigheternas verk- samheter behandlas som regel en betydande mängd personupp- gifter. De är ofta av integritetskänsligt slag och bör inte spridas till någon som inte är behörig att ta del av uppgifterna. Kravet på be- hörighetsbegränsning syftar till att minska den interna expone- ringen och spridningen av personuppgifterna. Hur det bör göras får bedömas med utgångspunkt i förutsättningarna och den behöriga myndighetens behov. Faktorer som myndighetens och it-syste- mens storlek och om personuppgifterna är sekretessreglerade eller annars integritetskänsliga ska beaktas.

Paragrafen reglerar inte bara tillgången till den personuppgifts- ansvariges egen information. Vid direktåtkomst är det den motta- gande myndigheten som ansvarar för att den egna personalen inte ges tillgång till fler personuppgifter i det it-system som åtkomsten avser än vad arbetsuppgifterna motiverar.

Paragrafen gäller enligt 20 § även för personuppgiftsbiträden.

703

Författningskommentar

SOU 2017:29

I 23 § upplyses om att det kan finnas föreskrifter på lägre nivå om sådana åtgärder som avses här.

Konsekvensbedömning och förhandssamråd

7 §

Paragrafen, som genomför artiklarna 27.1 och 28.1, slår fast den personuppgiftsansvariges skyldighet att inför vissa behandlingar göra en konsekvensbedömning och samråda med tillsynsmyndig- heten. Den behandlas i avsnitt 10.2.4 och 10.2.5.

Av första stycket framgår att en konsekvensbedömning ska göras om det kan antas att en viss typ av ny behandling kommer att med- föra särskild risk för intrång i registrerades personliga integritet. En konsekvensbedömning ska också göras om betydande förändringar av redan pågående behandlingar kan antas leda till sådan risk. Vid riskbedömningen bör bl.a. användningen av ny teknik och behand- lingens art, omfattning, sammanhang och ändamål beaktas. Exem- pel på riskfyllda behandlingar som bör föranleda en konsekvens- bedömning är inrättandet av storskaliga register som innehåller känsliga personuppgifter eller vissa former av profilering. En kon- sekvensbedömning ska omfatta relevanta system och processer för behandlingen men inte behandlingen i enskilda fall.

Andra stycket reglerar s.k. förhandssamråd. När en konsekvens- bedömning visar att det finns särskild risk för intrång i registerades personliga integritet eller när typen av behandling innebär särskild risk för intrång, ska den personuppgiftsansvarige samråda med till- synsmyndigheten. Samrådet ska äga rum i god tid innan behand- lingen påbörjas eller betydande förändringar genomförs. Det bör dock inte äga rum så tidigt att det inte finns något konkret förslag på teknisk lösning för tillsynsmyndigheten att ta ställning till. När förhandssamrådet lämpligen bör äga rum får avgöras i varje enskilt fall och förutsätter en dialog med tillsynsmyndigheten. Tillsyns- myndighetens roll vid förhandssamråd regleras i 5 kap. 4 §.

I 23 § upplyses om att det kan finnas föreskrifter på lägre nivå om sådana åtgärder som avses i paragrafen.

704

SOU 2017:29

Författningskommentar

Säkerheten för personuppgifter

Skyddsåtgärder

8 §

I paragrafen, som genomför artiklarna 4.1 f och 29, regleras den personuppgiftsansvariges skyldighet att skydda de personuppgifter som behandlas. Paragrafen behandlas i avsnitt 10.3.

Enligt paragrafen ska den personuppgiftsansvarige vidta lämp- liga tekniska och organisatoriska åtgärder för att skydda de person- uppgifter som behandlas. Personuppgifterna ska särskilt skyddas mot obehörig eller otillåten behandling och mot förlust, förstöring eller annan oavsiktlig skada. Uppräkningen illustrerar vad skydds- åtgärderna ska åstadkomma, men den är inte uttömmande.

Skydd mot obehörig eller otillåten behandling innebär att obe- höriga personer ska vägras åtkomst till utrustning som används vid behandling (åtkomstskydd för utrustning), att obehörig läsning, kopiering, ändring eller radering av datamedier ska förhindras (kontroll av datamedier), att obehörig registrering av personupp- gifter och obehörig kännedom om, ändring eller radering av lagrade personuppgifter ska förhindras (lagringskontroll) och att obehörig läsning, kopiering, ändring eller radering av personuppgifter i sam- band med uppgiftslämnande eller transport av databärare ska för- hindras (transportkontroll). Åtgärder ska också vidtas i syfte att säkerställa att personer som är behöriga att använda ett it-system endast har tillgång till personuppgifter som omfattas av deras behö- righet (åtkomstkontroll). Den personuppgiftsansvarige ska också säkerställa att det kan kontrolleras och fastställas till vilka myndig- heter eller andra organ personuppgifter har överförts och för vilka myndigheter eller andra organ uppgifterna har gjorts tillgängliga (kommunikationskontroll) och att det i efterhand kan kontrolleras och fastställas vilka personuppgifter som förts in i ett it-system, när det har gjorts och av vem (indatakontroll).

Skydd mot förlust, förstöring eller annan oavsiktlig skada inne- bär bl.a. att de it-system som används ska kunna återställas vid störningar (återställande), att systemen ska fungera och att funk- tionsfel rapporteras (driftsäkerhet) och att de lagrade personupp- gifterna inte kan förvanskas genom funktionsfel i systemen (data- integritet).

705

Författningskommentar

SOU 2017:29

Som exempel på organisatoriska skyddsåtgärder kan nämnas fastställandet av en säkerhetspolicy, kontroller och uppföljning av säkerheten, utbildning i datasäkerhet och information om vikten av att följa gällande säkerhetsrutiner. Rutiner för anmälan och upp- följning av personuppgiftsincidenter utgör också sådana åtgärder, se kommentaren till 9 §.

Vilken skyddsnivå som är lämplig får avgöras från fall till fall. Bedömningen är bl.a. beroende av vilka personuppgifter som be- handlas och hur integritetskänsliga de är.

Paragrafen gäller enligt 20 § även för personuppgiftsbiträden.

I 23 § upplyses om att det kan finnas föreskrifter på lägre nivå om sådana skyddsåtgärder som avses i paragrafen.

Personuppgiftsincidenter

9 §

Paragrafen, som genomför artikel 30.1, reglerar anmälan av per- sonuppgiftsincidenter till tillsynsmyndigheten. Personuppgiftsinci- dent definieras i 1 kap. 6 §. Paragrafen behandlas i avsnitt 10.4.2.

Bestämmelser om rapportering av it-incidenter finns också i 10 a och 39 §§ säkerhetsskyddsförordningen (1996:633) och 20 § för- ordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap. Anmälan av personupp- giftsincidenter enligt förevarande paragraf kommer som regel att göras parallellt med anmälan av it-incidenter enligt den sistnämnda förordningen.

I första stycket föreskrivs att den personuppgiftsansvarige ska anmäla en inträffad personuppgiftsincident till tillsynsmyndigheten inom 72 timmar. Anmälan ska dock inte göras till tillsynsmyndig- heten om incidenten rör nationell säkerhet. Undantag från anmäl- ningsskyldigheten gäller således om incidenten ska anmälas enligt säkerhetsskyddsförordningen.

Någon anmälan behöver enligt andra stycket inte göras om det kan antas att personuppgiftsincidenten inte har medfört eller kom- mer att medföra någon risk för otillbörligt intrång i registrerades personliga integritet. Undantaget kan exempelvis vara tillämpligt om incidenten påverkat en mycket begränsad mängd personupp- gifter som inte är av känslig art eller om skyddet för uppgifterna

706

SOU 2017:29

Författningskommentar

påverkats under så kort tid att obehörig åtkomst inte varit möjlig. Den personuppgiftsansvarige har bevisbördan för att personupp- giftsincidenten inte har medfört eller kan antas medföra någon risk för otillbörligt intrång i registrerades personliga integritet.

I 23 § upplyses om att det kan finnas föreskrifter på lägre nivå om förfarandet vid en anmälan.

10 §

Paragrafen reglerar den personuppgiftsansvariges skyldighet att underrätta registrerade om en personuppgiftsincident. Underrättel- seskyldigheten omfattar bara sådana personuppgiftsincidenter som ska anmälas enligt 9 §. Gäller undantag från anmälningsskyldig- heten behöver den registrerade inte underrättas. Informationen kan också begränsas med stöd av 11 §. Paragrafen genomför artik- larna 31.1, 31.3 och 31.5 och behandlas i avsnitt 10.4.3.

I första stycket anges under vilka omständigheter den registrerade ska underrättas. Underrättelseskyldigheten gäller bara om person- uppgiftsincidenten medfört eller kan antas medföra särskild risk för otillbörligt intrång i registrerades personliga integritet. Sådan sär- skild risk kan exempelvis finnas om känsliga personuppgifter har gjorts tillgängliga för ett stort antal obehöriga personer eller om en större mängd personuppgifter i ett specifikt ärende har ändrats eller förstörts. Hur snabbt den personuppgiftsansvarige bör informera den registrerade beror på omständigheterna i det enskilda fallet. En omedelbar skaderisk kan kräva att de registrerade underrättas om- gående. Underrättelsen bör lämnas så snart det är möjligt. Person- uppgiftsincidentens art och den registrerades intresse av och möj- lighet att själv vidta åtgärder för att begränsa skadan bör beaktas. Även den tid det tar för den personuppgiftsansvarige att vidta akuta åtgärder för att begränsa skadan, avhjälpa fel och liknande kan påverka tidpunkten för underrättelsen.

I andra stycket regleras i vilka fall någon underrättelse inte krävs. Den registrerade behöver enligt punkten 1 inte underrättas om den personuppgiftsansvarige har tillämpat lämpliga tekniska och organi- satoriska skyddsåtgärder på de personuppgifter som påverkades av personuppgiftsincidenten. Det kan t.ex. vara fallet om personupp- gifterna har skyddats genom kryptering eller om pseudonymisering

707

Författningskommentar

SOU 2017:29

av personuppgifterna har tillämpats. Ett annat exempel kan vara att säkerhetskopiering gjorts.

Den registrerade behöver enligt punkten 2 inte heller underrättas om den personuppgiftsansvarige har vidtagit åtgärder som säker- ställer att det inte längre finns särskild risk för otillbörligt intrång i registrerades personliga integritet. En sådan åtgärd kan vara att tillgången till ett register har begränsats till dess att den personupp- giftsansvarige har kunnat överblicka konsekvenserna av incidenten.

Om det skulle krävas en oproportionerlig ansträngning att underrätta de registrerade behöver enligt punkten 3 underrättelse inte heller lämnas. Det skulle kunna vara fallet om en personupp- giftsincident påverkar ett mycket stort antal registrerade. I det sist- nämnda fallet ska i stället allmänheten informeras eller en liknande åtgärd vidtas för att de registrerade ska få nödvändig information. Det framgår av tredje stycket.

I 23 § upplyses om att det kan finnas föreskrifter på lägre nivå om sådan underrättelse som avses i förevarande paragraf.

11 §

Paragrafen, som genomför artikel 31.5, reglerar i vilka fall informa- tion till registrerade enligt 10 § får begränsas. Den behandlas i av- snitt 10.4.3.

Den personuppgiftsansvarige får enligt första stycket underlåta att lämna information om personuppgiftsincidenter i den utsträck- ning det är särskilt föreskrivet i lag eller annan författning eller annars framgår av beslut som har meddelats med stöd av författ- ning att uppgifterna inte får lämnas ut. Det är främst sekretess och tystnadsplikt enligt offentlighets- och sekretesslagen (2009:400) som avses. Vad det innebär utvecklas i kommentaren till 4 kap. 5 §. I första hand bör informationen senareläggas eller begränsas. Bara om det är absolut nödvändigt med hänsyn till de intressen som anges i paragrafen bör den personuppgiftsansvarige helt underlåta att informera den registrerade.

I andra stycket föreskrivs att en personuppgiftsansvarig som inte är en myndighet i motsvarande utsträckning får underlåta att lämna information.

708

SOU 2017:29

Författningskommentar

Samarbete med tillsynsmyndigheten

12 §

I paragrafen, som genomför artikel 26, regleras den personupp- giftsansvariges skyldighet att samarbeta med tillsynsmyndigheten. Paragrafen behandlas i avsnitt 10.2.6. Skyldigheten omfattar enbart samarbete med myndighet som har utsetts till tillsynsmyndighet enligt lagen, se definitionen i 1 kap. 6 §. Skyldighet att bistå till- synsmyndigheten regleras också i 5 kap. 5 §. Samarbete med andra tillsynsmyndigheter regleras inte i lagen.

Skyldigheten att samarbeta hör samman med tillsynsmyndighe- tens undersökningsbefogenheter. Skyldigheten innebär inte bara att den personuppgiftsansvarige ska ge tillsynsmyndigheten tillgång till det material, de resurser och den hjälp som krävs för att den ska kunna utöva tillsyn utan även att den personuppgiftsansvarige ska underlätta för tillsynsmyndigheten att utöva sina undersökningsbe- fogenheter på ett effektivt sätt. Det kan exempelvis innebära att hjälp ska erbjudas och ges inom rimlig tid. Tillsynsmyndigheten ska också ges möjlighet att ta del av information och material på det sätt som den anser mest lämpligt. Tillsynsmyndigheten förut- sätts precisera vilken hjälp myndigheten behöver och sätter däri- genom ramarna för samarbetsskyldigheten.

Skyldigheten att samarbeta gäller när tillsynsmyndigheten utför sina författningsreglerade uppgifter. Det innebär att bestämmelsen ska tillämpas när tillsynsmyndigheten utövar allmän tillsyn över personuppgiftsbehandling, handlägger klagomål från registrerade, på begäran kontrollerar om personuppgifter behandlas författ- ningsenligt, bistår en tillsynsmyndighet i en annan medlemsstat och lämnar råd inom ramen för bl.a. förhandssamråd.

Paragrafen gäller enligt 20 § även för personuppgiftsbiträden.

Dataskyddsombud

13 §

Paragrafen reglerar den personuppgiftsansvariges skyldighet att utse dataskyddsombud. Den genomför artiklarna 32.1 och 32.4 och behandlas i avsnitt 10.5.2. Dataskyddsombud definieras i 1 kap. 6 §.

709

Författningskommentar

SOU 2017:29

I paragrafen föreskrivs att ett eller flera dataskyddsombud ska utses. Dataskyddsombudet kan vara anställd hos den personupp- giftsansvarige eller en utomstående person. Den personuppgiftsan- svarige får inte utse sig själv till dataskyddsombud.

Det finns inget som hindrar att flera personuppgiftsansvariga utser ett gemensamt dataskyddsombud. Det skulle kunna aktuali- seras om de personuppgiftsansvariga bedriver liknande verksamhet i nära anslutning till varandra eller utför behandling i ett gemen- samt system eller i ett avgränsat samarbete.

Den personuppgiftsansvarige ska anmäla till tillsynsmyndighe- ten när dataskyddsombud utses och entledigas.

14 §

I paragrafen, som genomför artikel 34, anges vilka uppgifter data- skyddsombud ska utföra. Paragrafen behandlas i avsnitt 10.5.3.

I punkten 1 föreskrivs att dataskyddsombud självständigt ska kontrollera att den personuppgiftsansvarige behandlar personupp- gifter författningsenligt och på ett korrekt sätt och i övrigt fullgör de skyldigheter som åligger personuppgiftsansvariga. Det innebär att ombudet måste förvissa sig om att den personuppgiftsansvarige följer bestämmelserna i lagen och andra författningar som reglerar behandlingen av personuppgifter. Hur omfattande kontrollen bör vara får avgöras efter omständigheterna.

Dataskyddsombuden bör framför allt granska den faktiska han- teringen av personuppgifter. Därutöver bör ombuden exempelvis granska rutinerna för behandling av personuppgifter, hur tillgången till personuppgifter hanteras och vilka krav på utbildning och andra kvalifikationer som den personuppgiftsansvarige ställer på personal som behandlar personuppgifter. Ombuden bör påpeka eventuella brister för den personuppgiftsansvarige så att denne blir medveten om dem och har möjlighet att vidta lämpliga åtgärder.

Kravet på självständighet innebär att dataskyddsombud ska kunna utföra sina arbetsuppgifter på ett oberoende sätt. Ombuden bör framför allt ha sådan ställning i organisationen att deras syn- punkter och råd tas på allvar. De förutsätts också ha goda kun- skaper om regelverket om personuppgiftsbehandling.

710

SOU 2017:29

Författningskommentar

I punkten 2 anges att dataskyddsombuden ska informera och ge råd till den personuppgiftsansvarige och de som behandlar person- uppgifter under dennes ledning om deras skyldigheter vid sådan behandling. Det handlar främst om att göra den personuppgiftsan- svarige och medarbetarna medvetna om vad de i olika situationer är skyldiga att göra, t.ex. att informera registrerade, att ha säkerhets- rutiner och att dokumentera personuppgiftsbehandlingen. Det innebär inte att dataskyddsombuden ska tala om för den person- uppgiftsansvarige och medarbetarna hur de ska behandla person- uppgifter i enskilda fall.

Om den personuppgiftsansvarige begär det ska dataskyddsom- budet också ge råd vid en konsekvensbedömning och kontrollera att bedömningen genomförs på korrekt sätt. Det framgår av punk- ten 3.

Enligt punkten 4 ska dataskyddsombuden vara kontaktpunkt för enskilda i frågor som rör behandling av personuppgifter. Syftet med bestämmelsen är att enskilda ska kunna vända sig till en kun- nig person inom organisationen i frågor som t.ex. rör information om personuppgiftsbehandlingen och rättelse av felaktiga person- uppgifter. Dataskyddsombuden har som kontaktpunkt skyldighet att hjälpa enskilda som vänder sig till myndigheten. I den rollen ligger också att bevaka att den personuppgiftsansvarige fullgör sina skyldigheter gentemot registrerade. Ombuden behöver däremot inte vidta de åtgärder som kan krävas med anledning av förfråg- ningar eller klagomål från registrerade.

I punkten 5 föreskrivs att dataskyddsombuden ska samarbeta med tillsynsmyndigheten och fungera som kontaktpunkt för den vid förhandssamråd och andra frågor som rör behandling av per- sonuppgifter. Samarbeta har här i princip samma innebörd som i 12 §, dvs. det handlar om att underlätta tillsynsmyndighetens arbe- te. I samarbetsskyldigheten ligger även att ombuden, när det är lämpligt, ska samråda med tillsynsmyndigheten i frågor som rör personuppgiftsbehandling. Det innebär att ombuden vid tvek- samheter av olika slag bör fråga tillsynsmyndigheten om råd. Vid förhandssamråd bör arbetsuppgiften främst bestå i att bistå till- synsmyndigheten med nödvändigt underlag och information och eventuellt stå till förfogande vid frågor angående behandlingen.

Ett dataskyddsombud behöver inte ägna sig uteslutande åt de arbetsuppgifter som anges i paragrafen. Beroende på hur organisa-

711

Författningskommentar

SOU 2017:29

tionen ser ut kan arbetet som dataskyddsombud kombineras med andra arbetsuppgifter, så länge de inte kommer i konflikt med upp- draget som ombud.

15 §

Paragrafen, som behandlas i avsnitt 10.5.3, reglerar dataskyddsom- budens skyldighet att anmäla brister till tillsynsmyndigheten.

Om den personuppgiftsansvarige inte följer regelverket för be- handling av personuppgifter ska dataskyddsombudet agera. Skulle ombudet upptäcka en brist i behandlingen, bör han eller hon i första hand påpeka det för den personuppgiftsansvarige. Om den personuppgiftsansvarige inte åtgärdar bristen, är dataskyddsom- budet enligt paragrafen skyldig att anmäla bristen till tillsynsmyn- digheten.

Hur snart den personuppgiftsansvarige bör vidta rättelse efter ett påpekande beror på omständigheterna i det enskilda fallet. Att det kan ta någon tid att rätta till en upptäckt brist bör i allmänhet accepteras. Dröjer det alltför länge innan något görs, bör ombudet emellertid påtala saken för tillsynsmyndigheten. Att ett anställt dataskyddsombud med stöd av paragrafen gör en anmälan får inte leda till några konsekvenser för ombudet i arbetsrättsligt hän- seende, eftersom det är en lagreglerad skyldighet.

[16 § Dataskyddsombuds tystnadsplikt – se avsnitt 16.2]

Personuppgiftsbiträden

17 §

Av paragrafen framgår att personuppgiftsbiträden får anlitas och vad den personuppgiftsansvarige måste göra innan ett personupp- giftsbiträde anlitas. Paragrafen genomför artikel 22.1 och behandlas i avsnitt 10.6.2.

En personuppgiftsansvarig får anlita personuppgiftsbiträden. Det förutsätter dock att det är lämpligt. Om det är lämpligt får av- göras med hänsyn bl.a. till vilka personuppgifter som ska behandlas och om det gäller sekretess för uppgifterna. Paragrafen föreskriver

712

SOU 2017:29

Författningskommentar

att den personuppgiftsansvarige ska försäkra sig om att biträdet vidtar lämpliga tekniska och organisatoriska åtgärder för att per- sonuppgiftsbehandlingen ska vara författningsenlig och för att skydda registrerades rättigheter. Kraven omfattar inte bara säker- hetsåtgärder, utan även andra tekniska och organisatoriska åtgär- der. Skyldigheten innebär att den personuppgiftsansvarige, innan ett personuppgiftsbiträde anlitas, bl.a. bör förhöra sig om hur biträ- det kommer att behandla uppgifterna tekniskt, hur arbetet är orga- niserat och vilket skydd personuppgifterna kommer att ha.

18 §

Paragrafen, som genomför artiklarna 22.2–22.4, reglerar bl.a. kravet på skriftligt avtal eller annan skriftlig överenskommelse mellan den personuppgiftsansvarige och personuppgiftsbiträdet. Paragrafen behandlas i avsnitt 10.6.2.

I första stycket ställs krav på att det ska ingås ett skriftligt avtal eller någon annan skriftlig överenskommelse som reglerar person- uppgiftsbiträdets behandling av personuppgifter för den person- uppgiftsansvariges räkning. Eftersom statliga myndigheter, som är att anse som två enheter inom samma juridiska person, i rättslig mening inte kan ingå bindande avtal med varandra får de träffa en skriftlig överenskommelse som reglerar behandlingen om en myn- dighet agerar personuppgiftsbiträde åt en annan.

I andra stycket föreskrivs att den personuppgiftsansvarige inte utan skriftligt tillstånd från den personuppgiftsansvarige får anlita ett annat personuppgiftsbiträde, ett s.k. underbiträde. Ett sådant tillstånd kan gälla biträdets rätt att anlita underbiträden generellt eller i en specifik situation. Syftet med bestämmelsen är att den personuppgiftsansvarige ska känna till vilka personuppgiftsbiträden som behandlar personuppgifter för dennes räkning.

I 23 § upplyses om att det kan finnas föreskrifter på lägre nivå om innehållet i sådana avtal och överenskommelser som avses i första stycket.

713

Författningskommentar

SOU 2017:29

19 §

Paragrafen, som genomför artikel 22.5 och delar av artikel 23, reg- lerar vad som gäller vid behandling av personuppgifter hos ett per- sonuppgiftsbiträde. Paragrafen behandlas i avsnitt 10.6.3.

I första stycket slås fast den grundläggande principen att ett per- sonuppgiftsbiträde och den eller de personer som arbetar under biträdets ledning bara får behandla personuppgifter i enlighet med instruktioner från den personuppgiftsansvarige. Instruktionerna till biträdet bör vara så tydliga att det inte finns risk för otillåten be- handling. Instruktionerna kan exempelvis gälla hur tillgången till personuppgifter hos biträdets anställda ska begränsas, om biträdet ska använda kryptering vid kommunikation och andra åtgärder som krävs för dataskydd. Om det finns avvikande regler i annan lag- stiftning som föreskriver att personuppgiftsbiträdet är skyldig att utföra viss behandling, t.ex. att lämna ut allmänna handlingar, får behandlingen utföras utan särskilda instruktioner.

I andra stycket regleras det fallet där personuppgiftsbiträdet i strid med den personuppgiftsansvariges instruktioner bestämmer ändamålen med och medlen för behandlingen. Personuppgifts- biträdet är då att anse som personuppgiftsansvarig för den behand- lingen.

20 §

I paragrafen föreskrivs vilka skyldigheter som gäller för personupp- giftsbiträden. Paragrafen, som genomför delar av artiklarna 25, 26 och 29, behandlas i avsnitt 10.6.5.

Hänvisningen till 5 och 6 §§ innebär att personuppgiftbiträden, i likhet med personuppgiftsansvariga, är skyldiga att dels säkerställa att loggar förs i automatiserade behandlingssystem, dels se till att anställda bara ges tillgång till de personuppgifter som krävs för att fullgöra arbetsuppgifterna. Innebörden av bestämmelserna framgår av kommentarerna till 5 och 6 §§.

Vidare gäller skyldigheten enligt 8 § att vidta lämpliga skyddsåt- gärder även för personuppgiftsbiträden. Innebörden av skyldighe- ten framgår av kommentaren till den paragrafen.

Personuppgiftsbiträden är också, genom hänvisningen till 12 §, skyldiga att i samma utsträckning som personuppgiftsansvariga

714

SOU 2017:29

Författningskommentar

samarbeta med tillsynsmyndigheten. Innebörden av skyldigheten framgår av kommentaren till den paragrafen. Personuppgiftsbiträ- dens skyldighet att samarbeta med tillsynsmyndigheten kan aktua- liseras i flera olika situationer. Samarbete kan t.ex. krävas vid tillsyn hos biträdet. Då är samarbetsskyldigheten i princip densamma som för den personuppgiftsansvarige. Samarbetsskyldigheten kan också aktualiseras vid tillsyn hos den personuppgiftsansvarige som biträ- det utför personuppgiftsbehandling åt eller inom ramen för den personuppgiftsansvariges förhandssamråd med tillsynsmyndighe- ten. Skyldigheten innebär att biträdet också måste samarbeta med den personuppgiftsansvarige, eftersom det är en förutsättning för att tillsynsmyndigheten ska kunna utföra sitt arbete.

Att personuppgiftsbiträden åläggs vissa skyldigheter fråntar inte de personuppgiftsansvariga deras ansvar. Den personuppgiftsan- svarige är, som framgår av kommentaren till 1 §, ansvarig för den behandling av personuppgifter som personuppgiftsbiträdet utför på dennes vägnar. Den omständigheten att personuppgiftsbiträden ges en direkt skyldighet att vidta vissa åtgärder innebär dock att till- synsmyndigheten vid brister kan vidta åtgärder mot både person- uppgiftsbiträdet och den personuppgiftsansvarige.

Gemensamt personuppgiftsansvar

21 §

Paragrafen, som genomför artikel 21, anger när två eller flera behö- riga myndigheter får vara gemensamt personuppgiftsansvariga. Den behandlas i avsnitt 10.7.2.

Gemensamt personuppgiftsansvar får endast förekomma om det har beslutats genom lag eller förordning eller av regeringen i ett en- skilt fall. Behöriga myndigheter får inte själva komma överens om att personuppgiftsansvaret för viss personuppgiftsbehandling ska vara gemensamt.

Om det vid en bedömning av de faktiska omständigheterna kon- stateras att gemensamt personuppgiftsansvar föreligger, trots att det inte finns något beslut om det, står behandlingen i strid med denna paragraf. Tillsynsmyndigheten har då möjlighet att vidta åt- gärder mot de personuppgiftsansvariga, t.ex. att förbjuda behand- lingen.

715

Författningskommentar

SOU 2017:29

Bemyndigande

22 §

I paragrafen, som behandlas i avsnitt 10.8, bemyndigas regeringen med stöd av 8 kap. 3 § första stycket regeringsformen att meddela föreskrifter om skyldigheten att föra register över kategorier av be- handlingar av personuppgifter och skyldigheten att införa interna rutiner för anmälan av överträdelser.

Föreskrifter

23 §

I paragrafen upplyses om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om sådana åtgärder som avses i 2–5, 7 och 8 §§, om tillgången till personuppgifter, om anmälan och underrättelse av personuppgiftsincidenter och om innehållet i sådana avtal och överenskommelser som avses i 18 §.

4 kap. Enskildas rättigheter

Rätten till information

Allmän information

1 §

I paragrafen, som genomför artikel 13.1, anges vilken allmän infor- mation som på den personuppgiftsansvariges eget initiativ ska göras tillgänglig för registrerade. Informationen, som riktar sig till allmänheten eller en obestämd, större krets av registrerade, kan göras tillgänglig t.ex. på den behöriga myndighetens webbplats. Paragrafen behandlas i avsnitt 11.2.5 och 11.2.6.

Enligt punkten 1 ska den personuppgiftsansvariges identitet och kontaktuppgifter göras tillgängliga. Med det avses uppgifter om namn, post- och besöksadress, telefonnummer och e-postadress. Alla personuppgiftsansvariga är enligt 3 kap. 13 § skyldiga att utse dataskyddsombud. Enligt punkten 2 ska dataskyddsombudets kon- taktuppgifter anges. Det behöver inte vara en kontaktuppgift direkt

716

SOU 2017:29

Författningskommentar

till dataskyddsombudet, t.ex. hans eller hennes e-postadress, utan det är tillräckligt att ombudet går att nå med hjälp av uppgifterna.

I punkten 3 föreskrivs att ändamålen med behandlingen ska framgå. Det är inte ändamålen med behandlingen av personupp- gifter i enskilda fall som avses utan vilka typer av ändamål som den behöriga myndigheten behandlar personuppgifter för. Det kan t.ex. vara förundersökning, ärenden om strafföreläggande eller hand- läggning av brottmål.

I punkterna 4 och 5 föreskrivs att den personuppgiftsansvarige ska upplysa om de rättigheter som enskilda har enligt 3, 9 och 10 §§. Det gäller rätten för registrerade att få information om be- handlingen av personuppgifter och att få del av dem och rätten att begära rättelse, radering eller begränsning av behandlingen. Den personuppgiftsansvarige ska även enligt punkten 6 upplysa om möj- ligheten att lämna in klagomål till tillsynsmyndigheten och ange kontaktuppgifterna till den.

I 13 § upplyses om att det kan finnas föreskrifter på lägre nivå om sådan information som regleras i förevarande paragraf.

Personrelaterad information

2 §

Paragrafen, som genomför artikel 13.2, anger vilken information som ska lämnas till den registrerade i specifika fall för att han eller hon ska kunna ta tillvara sina rättigheter. Det är fråga om person- relaterad information som på den personuppgiftsansvariges eget initiativ ska lämnas till den registrerade. Paragrafen behandlas i av- snitt 11.2.5 och 11.2.7.

I första stycket föreskrivs att den registrerade i specifika fall ska ges viss information för att kunna ta tillvara sina rättigheter. Speci- fika fall kan vara t.ex. att den registrerade riskerar att lida rättsför- lust om han eller hon inte får del av informationen eller att det av annat skäl är viktigt för honom eller henne att känna till behand- lingen för att kunna ta tillvara sina rättigheter. Ett annat exempel kan vara att känsliga personuppgifter har behandlats i strid med 2 kap. 11 §. Information behöver inte lämnas vid fel som inte kan antas ha negativ påverkan, t.ex. när personnummer eller adressupp- gifter som visat sig vara felaktiga rättas. För att informations-

717

Författningskommentar

SOU 2017:29

skyldigheten ska inträda bör normalt krävas att det är fråga om överträdelser av regelverket som kan föranleda skadeståndsansvar, allvarlig kritik eller ingripande från tillsynsmyndigheten eller någon liknande reaktion.

Att informationen är tillgänglig på den personuppgiftsansvariges webbplats eller i en informationsskrift befriar inte den personupp- giftsansvarige från skyldigheten att lämna samma information till en viss registrerad, om informationen behövs för att han eller hon ska kunna ta tillvara sina rättigheter.

Enligt punkten 1 ska information lämnas om den rättsliga grun- den för personuppgiftsbehandlingen. Det som avses är författ- ningsstödet för behandlingen, dvs. regleringen av den arbetsuppgift som föranleder personuppgiftsbehandlingen.

Punkten 2 föreskriver att kategorier av mottagare av personupp- gifterna ska anges. Mottagare definieras i 1 kap. 6 §. Allmän infor- mation är tillräcklig, exempelvis till vilken typ av myndighet som personuppgifterna har lämnats eller ska lämnas. Det kan vara t.ex. allmän domstol eller Kriminalvården. Om mottagarkategorin finns i ett tredjeland eller är en internationell organisation ska det anges.

Information ska enligt punkten 3 lämnas om hur länge person- uppgifterna får behandlas. Om det inte är möjligt att ange hur länge uppgifterna får behandlas i det enskilda fallet ska i stället kriterierna för att fastställa det anges. Det kan vara upplysningar om vilka om- ständigheter eller tidpunkter som styr hur länge uppgifterna får behandlas, t.ex. nedläggning av åtal eller när viss tid förflutit efter det att uppgifterna behandlades första gången.

Även övrig nödvändig information ska lämnas enligt punkten 4. Om informationen är nödvändig ska bedömas utifrån den registre- rades behov av den för att kunna ta tillvara sina rättigheter. Det kan vara en upplysning om rätten att begära att få del av uppgifterna, rätten att begära rättelse, radering eller begränsning av behand- lingen och möjligheten att lämna in klagomål till tillsynsmyndig- heten.

Av andra stycket framgår att den personuppgiftsansvarige vid bedömningen av om information enligt punkten 4 ska lämnas sär- skilt ska beakta om personuppgifterna har samlats in utan att den registrerade vetat om det.

Av 5 § framgår att informationsskyldigheten får begränsas. I 12 § föreskrivs att avgift inte får tas ut för information enligt före-

718

SOU 2017:29

Författningskommentar

varande paragraf. I 13 § upplyses om att det kan finnas föreskrifter på lägre nivå om informationen i fråga.

3 §

Paragrafen, som genomför artikel 14, behandlas i avsnitt 11.2.5 och 11.2.8. I paragrafen regleras en enskilds rätt att få besked om hans eller hennes personuppgifter behandlas, att få del av sådana upp- gifter och att få viss information om behandlingen av dem.

I första stycket föreskrivs att den som begär det har rätt till skriftligt besked om personuppgifter som rör honom eller henne behandlas. Om sådana uppgifter behandlas ska sökanden få del av dem och få viss i paragrafen uppräknad skriftlig information.

Vem som helst får begära besked av den personuppgiftsansva- rige. Vårdnadshavare och andra ställföreträdare kan begära besked för den som inte själv har rätt att göra det. Om en underårig förstår vad åtgärden innebär och själv kan tillgodogöra sig den information som begäran avser bör hans eller hennes begäran godtas. Sökanden har bevisbördan för att begäran har gjorts och tidpunkten för det. Bestämmelserna i 10 § förvaltningslagen (1986:223), 44 § förvalt- ningsprocesslagen (1971:291) och 33 kap. 3 § rättegångsbalken kan vara till ledning vid avgörande av frågan om när en begäran ska an- ses ha gjorts (jfr prop. 1997/98:44 s. 132). Begäran ska besvaras utan onödigt dröjsmål. Beskedet till sökanden ska vara skriftligt och kan lämnas t.ex. via e-post. Det ska avse om personuppgifter som rör sökanden behandlas.

Om sökandens personuppgifter behandlas ska, med de begräns- ningar som följer av andra stycket och 5–7 §§, han eller hon få del av dem. Rätten omfattar även personuppgifter som utgörs av bild- och ljudupptagningar och personuppgifter i ostrukturerat material som t.ex. löpande text.

Det är de uppgifter som behandlas vid tiden för utlämnandet som ska lämnas ut (jfr prop. 1997/98:44 s. 132). Sökanden ska få tillgång till all information som den personuppgiftsansvarige själv kan få fram om honom eller henne, men det är tillräckligt att att använda de sök- och sammanställningsmöjligheter som är faktiskt tillgängliga och rättsligt tillåtna (jfr prop. 1997/98:44 s. 82 f.). Det bör räcka att sökningar görs i myndighetens verksamhetsspecifika

719

Författningskommentar

SOU 2017:29

behandlingssystem, t.ex. dokument- och ärendehanteringssystem, register och databaser. Om uppgifter är sökbara i standardprogram som Word, Outlook och Excel bör de också omfattas.

För att det ska kunna utrönas om personuppgifter behandlas krävs att det finns sökbara uppgifter som direkt kan hänföras till den person som begär informationen. Sökanden förutsätts därför lämna sådana uppgifter om sin identitet att det blir möjligt att söka efter informationen. Det kan vara fullständigt namn eller person- eller samordningsnummer eller någon annan lika unik identitet.

Sökanden kan få del av uppgifterna genom t.ex. en kopia av en handling med de personuppgifter som rör honom eller henne. Den personuppgiftsansvarige har dock ingen skyldighet att lämna ut en kopia om sökandens rättigheter kan säkerställas på annat sätt, t.ex. genom en sammanfattning av vilka personuppgifter som behandlas.

Sökanden ska också informeras om behandlingen av personupp- gifterna. Enligt punkterna 1 och 2 ska informationen avse vilka per- sonuppgifter om sökanden som behandlas och, om det är känt, varifrån uppgifterna kommer.

I punkten 3 föreskrivs att den rättsliga grunden för behandlingen ska anges. Det som avses är författningsstödet för behandlingen, dvs. regleringen av den arbetsuppgift som föranleder personupp- giftsbehandlingen. Vidare ska enligt punkten 4 information om ändamålen med behandlingen lämnas. Det som avses är ändamålen i det enskilda fallet, t.ex. vilket ärende eller vilken förundersökning det är fråga om.

Vidare ska information om mottagare eller kategorier av motta- gare av personuppgifterna lämnas enligt punkten 5. Mottagare defi- nieras i 1 kap. 6 §. Det som sägs i kommentaren till 2 § gäller även de uppgifter som är aktuella här.

Enligt punkten 6 ska information också lämnas om hur länge personuppgifterna får behandlas. Det som sägs i kommentaren till 2 § gäller även de uppgifter som är aktuella här.

I punkten 7 föreskrivs att den personuppgiftsansvarige ska in- formera om rätten att begära rättelse, radering eller begränsning av behandlingen. Den personuppgiftsansvarige ska även enligt punk- ten 8 upplysa om möjligheten att lämna in klagomål till tillsyns- myndigheten och kontaktuppgifterna till den. Punkterna motsvarar 1 § 5 och 6 och behandlas i kommentaren till den paragrafen.

720

SOU 2017:29

Författningskommentar

I andra stycket begränsas rätten att få del av personuppgifter. Om sökanden redan har tagit del av personuppgifterna behöver de inte lämnas ut till honom eller henne. Det har ingen betydelse på vilket sätt sökanden fått del av dem. Det kan t.ex. vara personupp- gifter i handlingar som sökanden själv har skickat in till myndig- heten eller som myndigheten har expedierat till honom eller henne. Den personuppgiftsansvarige måste emellertid tydligt ange vilka personuppgifter som behandlas och ge sökanden en förteckning över dem. Sökanden har också rätt att få del av personuppgifterna om han eller hon begär det.

Om en begäran om information är orimlig eller uppenbart ogrundad får den avslås enligt 7 § första stycket.

I 12 § andra stycket föreskrivs att information enligt föreva- rande paragraf ska lämnas till den registrerade avgiftsfritt en gång per år och att utlämnande därutöver kan avgiftsbeläggas. I 13 § upplyses om att det kan finnas föreskrifter på lägre nivå om sådan information som regleras i förevarande paragraf och om kraven på en begäran om information.

4 §

Paragrafen, som genomför en delar av artikel 11, ger den som har varit föremål för ett automatiserat beslut rätt till information. Para- grafen behandlas i avsnitt 11.2.9.

Paragrafen innebär att den registrerade ska kunna begära när- mare information av den personuppgiftsansvarige om beslutet. Det kan t.ex. gälla frågor om omständigheterna som ledde fram till be- slutet.

I 12 § första stycket föreskrivs att avgift inte får tas ut för information enligt förevarande paragraf. I 13 § upplyses om att det kan finnas föreskrifter på lägre nivå om sådan information som regleras i förevarande paragraf och om kraven på en begäran om information.

721

Författningskommentar

SOU 2017:29

Begränsning av rätten till information

5 §

Paragrafen, som genomför artiklarna 13.3, 15.1 och 16.4, gör undantag från den personuppgiftsansvariges informationsskyldig- het. Paragrafen är delvis utformad efter mönster av 27 § person- uppgiftslagen och behandlas i avsnitt 11.3.1.

Enligt första stycket gäller den personuppgiftsansvariges skyldig- het att lämna personrelaterad information enligt 2 och 3 §§ inte i den utsträckning det är särskilt föreskrivet i lag eller annan författ- ning eller annars framgår av beslut som har meddelats med stöd av författning att uppgifterna inte får lämnas ut. Regleringen innebär att den personuppgiftsansvarige får begränsa eller utelämna infor- mationen. Det är främst sekretess och tystnadsplikt enligt offent- lighets- och sekretesslagen (2009:400) som avses. Även andra be- stämmelser om tystnadsplikt och bestämmelser som begränsar möjligheten att använda uppgifter som en svensk myndighet har fått från en myndighet i en annan stat kan begränsa informations- skyldigheten. Undantaget från informationsskyldigheten gäller även vid beslut som har meddelats med stöd av författning, t.ex. beslut om förbehåll enligt 10 kap. 14 § offentlighets- och sekretess- lagen. Även andra författningar kan innehålla bestämmelser som gör paragrafen tillämplig, t.ex. 6 kap. 6 § lagen (2010:751) om betaltjänster. Det är dock endast bestämmelser om att uppgifter inte får lämnas som hänför sig till de intressen som räknas upp i paragrafen som inskränker rätten till information. I avsnitt 11.3.1 redovisas ingående vilken prövning den personuppgiftsansvarige ska göra och hur den förhåller sig till de i paragrafen uppräknade intressena.

I punkten 1 skyddas intresset av att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säker- het. Det rör sig alltså om skydd för allmänna intressen. Punkten 2 skyddar intresset av att andra rättsliga utredningar eller undersök- ningar inte hindras. Det kan exempelvis vara fråga om utredning om administrativa avgifter som vattenföroreningsavgift vid oljeut- släpp. I punkten 3 skyddas nationell säkerhet. Intresset av att skydda annans fri- och rättigheter regleras i punkten 4. Det är inte

722

SOU 2017:29 Författningskommentar

den registrerades fri- och rättigheter som skyddas, utan andra personers.

Den personuppgiftsansvarige är enligt andra stycket inte heller skyldig att lämna ut skälen för beslut enligt första stycket och be- slut i fråga om rättelse, radering eller begränsning av behandlingen om motiveringen skulle riskera att skada något av de intressen som anges i första stycket.

Eftersom lagen är tillämplig på andra aktörer än myndigheter föreskrivs i tredje stycket att även en personuppgiftsansvarig som inte är en myndighet i motsvarande utsträckning får begränsa eller underlåta att lämna information av hänsyn till något av de intressen som anges i första stycket.

6 §

Paragrafen, som har sin grund i artikel 15.1 e, föreskriver undantag från informationsskyldigheten i 3 § för personuppgifter i viss typ av text. Paragrafen behandlas i avsnitt 11.3.3.

Den personuppgiftsansvariges skyldighet att lämna personrela- terad information enligt 3 § gäller enligt första stycket inte för per- sonuppgifter i löpande text som inte fått sin slutliga utformning när begäran gjordes eller text som utgör minnesanteckningar eller liknande. Med löpande text avses information som inte har struktu- rerats så att sökning av personuppgifter underlättas. Bild- och ljud- upptagningar omfattas inte av undantaget eftersom det bara gäller text. Med text som inte fått sin slutliga utformning avses koncept eller utkast till protokoll, skrivelser, beslut eller liknande. Löpande text som är avsedd att tidvis ändras eller kompletteras och därför aldrig får någon slutlig utformning omfattas inte. Det sistnämnda kan t.ex. vara diarier, journaler, register eller förteckningar som förs löpande. Med minnesanteckning avses anteckningar som utgör hjälpmedel för handläggningen, t.ex. promemorior och andra an- teckningar eller upptagningar som har skapats bara för att förbe- reda ett ärende för avgörande och som inte har tillfört ärendet något i sak.

Av andra stycket framgår att undantaget från informationsskyl- digheten inte gäller under vissa förhållanden. Sökanden har då rätt

723

Författningskommentar

SOU 2017:29

att få del av personuppgifter även i ofärdig löpande text eller som utgör minnesanteckningar och liknande.

Undantaget gäller för det första inte om personuppgifterna har lämnats ut till tredje man. Tredje man definieras i 1 kap. 6 §. Det är den version av uppgifterna i t.ex. utkastet som lämnades till tredje man som informationsskyldigheten omfattar, även om utkastet därefter har ändrats.

Vidare gäller inte undantaget om personuppgifterna behandlas enbart för vetenskapliga, statistiska eller historiska ändamål eller arkivändamål av allmänt intresse. Om ett ärende har avslutats och utkastet eller minnesanteckningen har arkiverats eller om handling- arna endast används vid statistikproduktion eller forskning ska allt- så information om behandlingen av personuppgifterna lämnas ut. Undantaget gäller inte heller för löpande text som inte fått sin slut- liga utformning, om personuppgifterna har behandlats under längre tid än ett år.

Det är tidpunkten för begäran som är avgörande för bedöm- ningen av om något av undantagen gäller. Både ettårsfristen och frågan om uppgifterna har lämnats ut till tredje man eller behandlas för vetenskapliga, statistiska eller historiska ändamål eller arkiv- ändamål av allmänt intresse ska bedömas i förhållande till när begäran om information gjordes (jfr prop. 1997/98:44 s. 83 f.).

7 §

Paragrafen, som tillsammans med 12 § genomför delar av arti- kel 12.4, behandlas i avsnitt 11.3.4. Paragrafen föreskriver att infor- mation enligt 3 § inte behöver lämnas om begäran är orimlig eller uppenbart ogrundad.

I första stycket föreskrivs att den personuppgiftsansvarige får av- slå en begäran att få information om behandlingen av personupp- gifter och få del av dem om begäran är orimlig eller uppenbart ogrundad. En begäran kan vara orimlig t.ex. om den återupprepas ofta. En begäran kan också vara orimlig om den är så oprecis att det skulle vara närmast omöjligt att besvara den, t.ex. om den rör en större myndighets hela verksamhet. Normalt bör i sådana fall begä- ran kunna preciseras till viss verksamhet, visst ärende eller någon annan liknande avgränsning. En begäran kan vara uppenbart ogrun-

724

SOU 2017:29

Författningskommentar

dad t.ex. om sökanden missbrukar sin rätt till information genom att exempelvis lämna felaktiga eller missvisande uppgifter i sin begäran. Den personuppgiftsansvarige har bevisbördan för att en begäran är orimlig eller uppenbart ogrundad.

I andra stycket upplyses att den personuppgiftsansvarige med stöd av 12 § andra stycket i vissa fall får ta ut avgift i stället för att avslå begäran.

Möjligheten att begära kontroll genom tillsynsmyndigheten

8 §

I paragrafen, som behandlas i avsnitt 11.3.1, upplyses om att den registrerade med stöd av 5 kap. 3 § kan begära att tillsynsmyndig- heten kontrollerar om hans eller hennes personuppgifter behandlas författningsenligt.

Rätten till rättelse, radering och begränsning av behandlingen

9 §

Paragrafen reglerar den enskildes rätt att begära rättelse eller kom- plettering av felaktiga eller ofullständiga personuppgifter och be- gränsning av behandlingen av personuppgifterna. Den genomför artikel 16.1 och, tillsammans med 10 §, artikel 16.3. Paragrafen be- handlas i avsnitt 11.4.1 och 11.4.3. I 2 kap. 15 § regleras personupp- giftsansvarigas skyldighet att på eget initiativ rätta felaktiga eller ofullständiga personuppgifter och uppdatera inaktuella personupp- gifter.

Enligt första stycket ska den personuppgiftsansvarige på begäran av den registrerade rätta eller komplettera personuppgifter som rör honom eller henne om de är felaktiga eller ofullständiga med hän- syn till ändamålet med behandlingen. Vårdnadshavare och andra ställföreträdare kan begära rättelse eller komplettering åt en regist- rerad som inte själv har rätt att göra det. I kommentaren till 2 kap. 7 § framgår vad som avses med att en personuppgift är korrekt och vilka bedömningar som ska göras.

Rättelse eller komplettering ska göras utan onödigt dröjsmål. Det innebär att den personuppgiftsansvarige skyndsamt ska utreda

725

Författningskommentar

SOU 2017:29

frågan och, om det finns skäl för det, så fort som möjligt genom- föra åtgärden.

Den personuppgiftsansvarige ska enligt andra stycket begränsa behandlingen av personuppgifter som rör den registrerade om han eller hon bestrider att de är korrekta. Den registrerade kan ha en annan uppfattning än den personuppgiftsansvarige om huruvida en personuppgift är korrekt. Om korrektheten bestrids är den person- uppgiftsansvarige skyldig att försöka klarlägga hur det förhåller sig. Om den personuppgiftsansvariges utredning om den omstridda personuppgiften inte kan slutföras inom den tid som en person- uppgift ska rättas eller kompletteras, ska behandlingen begränsas under utredningstiden.

Har behandlingen av en personuppgift begränsats får uppgiften inte längre behandlas av vare sig den personuppgiftsansvarige, ett personuppgiftsbiträde eller någon annan, utom för de ändamål för vilka behandlingen begränsades. Uppgiften får dock lämnas ut med stöd av 2 kap. tryckfrihetsförordningen. Den personuppgiftsansva- rige ska vidta åtgärder som visar att behandlingen av personupp- giften har begränsats. En sådan åtgärd kan vara att föra över uppgif- ten från det datasystem där den behandlas, t.ex. myndighetens verksamhetssystem, till ett arkivsystem. Andra åtgärder kan vara att göra personuppgiften oåtkomlig genom en teknisk begränsning eller annan inskränkning av tillgången till uppgiften. När utred- ningen om personuppgiften är avslutad ska begränsningen av be- handlingen upphöra. Då ska personuppgiften antingen rättas eller fortsätta att behandlas som tidigare.

I 13 § upplyses om att det kan finnas föreskrifter på lägre nivå om kraven på en begäran om korrigeringsåtgärd.

10 §

Paragrafen reglerar den enskildes rätt att vid otillåten behandling av personuppgifter begära radering eller, om personuppgifterna behö- ver finnas kvar som bevisning, begränsning av behandlingen. Den genomför artikel 16.2 och, tillsammans med 9 §, artikel 16.3. Para- grafen behandlas i avsnitt 11.4.2 och 11.4.3. I 2 kap. 16 § regleras personuppgiftsansvarigas skyldighet att på eget initiativ radera eller

726

SOU 2017:29

Författningskommentar

begränsa behandlingen av personuppgifter som behandlas på otill- låtet sätt.

Enligt första stycket ska den personuppgiftsansvarige på begäran av den registrerade radera personuppgifter som rör honom eller henne om de behandlas i strid med 2 kap. 1, 2, 3 § första stycket, 4– 6, 8, 11, 12, 14 eller 17 § första stycket eller om det krävs för att den personuppgiftsansvarige ska utföra en rättslig förpliktelse. Vårdnadshavare och andra ställföreträdare kan begära radering för en registrerad som inte har rätt att själv göra det.

Om personuppgifter behandlas i strid med någon av de bestäm- melser som räknas upp i paragrafen ska de raderas. Med radering avses att personuppgifter tas bort från informationssamlingar på ett sådant sätt att de inte längre kan återskapas. I de aktuella bestäm- melserna föreskrivs bl.a. att personuppgifter ska vara adekvata och relevanta, att inte fler personuppgifter än nödvändigt får behandlas och att de bara får behandlas om det finns en rättslig grund och för särskilt angivna ändamål. Där regleras också behandling av känsliga personuppgifter och hur länge personuppgifter får behandlas. Frå- gan om en personuppgift ska raderas ska bedömas mot bakgrund av kraven i dessa bestämmelser.

Personuppgifter ska också raderas om det krävs för att den per- sonuppgiftsansvarige ska utföra en rättslig förpliktelse. Rättslig förpliktelse kan avse en skyldighet som rör hur personuppgifter får behandlas enligt denna lag, myndighetens registerförfattning eller annan författning om ett enskilt register, t.ex. lagen (1998:621) om misstankeregister.

Utrymmet för att radera uppgifter i allmänna handlingar begrän- sas av arkivlagstiftningen genom att det krävs författningsstöd för gallring.

Radering ska göras utan onödigt dröjsmål. Det innebär att den personuppgiftsansvarige skyndsamt ska utreda frågan och, om det finns skäl för det, så fort som möjligt radera uppgiften.

Om förutsättningarna för att radera personuppgifterna är upp- fyllda, men uppgifterna behöver finnas kvar som bevisning, ska en- ligt andra stycket den personuppgiftsansvarige på begäran av den registrerade i stället begränsa behandlingen av uppgifterna.

En begränsning kan bara göras i de fall där personuppgifterna behandlas otillåtet, eftersom det endast är då som radering kan komma i fråga. För att personuppgifterna inte ska raderas ska de

727

Författningskommentar

SOU 2017:29

behövas som bevisning, t.ex. i en rättsprocess angående otillåten personuppgiftsbehandling. Däremot är det inte tillåtet att ha kvar personuppgifter som ska raderas i syfte att använda dem t.ex. för brottsbekämpning.

Begränsning av behandlingen är inte en permanent åtgärd. När personuppgifterna inte längre behöver finnas kvar som bevisning, t.ex. för att domen eller beslutet i skadeståndsmålet har fått laga kraft, ska begränsningen upphöra och personuppgifterna raderas.

Behandlingen ska begränsas utan onödigt dröjsmål. Hur det kan göras utvecklas i kommentaren till 9 §.

I 13 § upplyses om att det kan finnas föreskrifter på lägre nivå om kraven på en begäran om radering eller begränsning av behand- lingen.

11 §

Enligt paragrafen, som behandlas i avsnitt 11.4.4, avgör den person- uppgiftsansvarige vilken åtgärd som ska vidtas med anledning av en begäran om rättelse, radering eller begränsning av behandlingen.

Paragrafen innebär att den personuppgiftsansvarige – med beak- tande av vilken åtgärd som är lagligen möjlig att vidta – ska se till att den lämpligaste åtgärden vidtas oavsett vilken åtgärd som begärs av den registrerade. Vad som är mest lämpligt ska bedömas med utgångspunkt i både verksamhetens behov och den registrerades rätt till skydd för sina personuppgifter.

Avgiftsfri information

12 §

Paragrafen, som tillsammans med 7 § genomför delar av arti- kel 12.4, föreskriver att information som huvudregel ska vara av- giftsfri. Den behandlas i avsnitt 11.3.4 och 11.5.9.

I första stycket slås fast att den information som den personupp- giftsansvarige på eget initiativ ska lämna till en registrerad om be- handlingen av hans eller hennes personuppgifter och information om automatiserade beslut ska vara avgiftsfri, medan den informa-

728

SOU 2017:29

Författningskommentar

tion om behandlingen av den registrerades personuppgifter som lämnas på begäran ska vara utan avgift en gång per år.

I andra stycket föreskrivs att om någon begär att få information om behandlingen av personuppgifter och få del av dem oftare än en gång per år får den personuppgiftsansvarige ta ut en rimlig avgift för det. Den personuppgiftsansvarige får, i stället för att ta ut av- gift, avslå begäran, vilket regleras i 7 § första stycket. Utgångs- punkten bör vara att den personuppgiftsansvarige i första hand tar ut avgift och i andra hand avslår begäran om information. Vilken åtgärd som är lämpligast får avgöras med utgångspunkt i omstän- digheterna i det enskilda fallet. En viktig faktor kan vara hur många framställningar om information som personen har gjort under året och hur lång tid som förflutit efter den senaste framställan. Även omständigheter som hur preciserad eller komplicerad begäran är och vilka skäl han eller hon anger för sin begäran bör beaktas.

Om den personuppgiftsansvarige avser att ta ut avgift bör den som begärt informationen underrättas om det. Den personupp- giftsansvarige bör förhöra sig om begäran vidhålls. Avgiften ska vara rimlig, vilket innebär att den inte får överstiga de administra- tiva kostnaderna för att besvara begäran.

I 13 § upplyses om att det kan finnas föreskrifter på lägre nivå om avgift för information.

Föreskrifter

13 §

I paragrafen upplyses om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter bl.a. om informa- tion till registrerade och avgift för informationen.

729

Författningskommentar

SOU 2017:29

5 kap. Tillsyn

Tillsynsmyndighetens uppdrag

1 §

Paragrafen, som genomför artikel 41.1 och behandlas i avsnitt 12.5, reglerar tillsynsmyndighetens uppdrag.

Paragrafen tydliggör att tillsynsmyndigheten ska ha dubbla per- spektiv vid sin tillsyn. Den innebär att tillsynsmyndigheten i sin tillsyn ska verka både för att fysiska personers grundläggande fri- och rättigheter skyddas i samband med behandling av personupp- gifter och för underlätta det fria flödet av personuppgifter inom denna lags tillämpningsområde. Vid sin tolkning och tillämpning av regelverket ska tillsynsmyndigheten bl.a. beakta hur tillsynen på- verkar informationsutbytet både nationellt och internationellt, t.ex. vid bedömning av vad som utgör lämpliga skyddsåtgärder och en tillräcklig skyddsnivå. Om myndigheten exempelvis i sin tillsyn konstaterar att den personuppgiftsansvarige ska vidta någon åtgärd och det finns flera alternativ som är likvärdiga ur integritetssyn- punkt, bör den åtgärd som innebär minst hinder för det fria flödet av personuppgifter förordas. Intresseavvägningen ska även speglas i tillsynsmyndighetens föreskrifter, råd och annan information som myndigheten tar fram.

Tillsynsmyndighetens uppgifter

2 §

Paragrafen genomför delar av artiklarna 46 och 50.1 och reglerar, tillsammans med 3 och 4 §§, tillsynsmyndighetens uppgifter. Para- grafen behandlas i avsnitt 12.6.1, 12.6.2 och 12.10.1.

I paragrafen räknas de huvudsakliga tillsynsuppgifterna upp. Tillsynsmyndigheten avgör om och i vilken utsträckning tillsyn ska utövas och hur den ska genomföras. Myndigheten ska agera helt oberoende vid denna bedömning. Det innebär att ingen kan kräva att myndigheten ska utöva tillsyn, förutom när det gäller kontroll enligt 3 §. Det finns inte heller några formella krav på hur tillsynen ska utövas, med undantag från vissa bestämmelser i denna lag och i föreskrifter som beslutas i anslutning till den. Om tillsynsmyndig-

730

SOU 2017:29

Författningskommentar

heten beslutar att inleda ett tillsynsärende tillämpas förvaltnings- lagen (1986:223) på handläggningen om det inte finns avvikande bestämmelser (se avsnitt 12.8.1). Det anses dock inte finnas några parter i tillsynsärenden, varför bestämmelser i förvaltningslagen som rör parter inte ska tillämpas (jfr RÅ 2010 ref. 29).

I punkten 1 anges tillsynsmyndighetens allmänna uppgift att utöva tillsyn över behandlingen av personuppgifter. Vad det inne- bär utvecklas i avsnitt 12.7.1. Av punkten 2 framgår att handlägg- ning av klagomål från registrerade är en tillsynsuppgift. Tillsyns- myndigheten är skyldig att åtminstone hantera inkomna klagomål och ta ställning till om klagomålet bör föranleda någon tillsynsåt- gärd och att underrätta klaganden om resultatet (se 9 §). Tillsyns- myndigheten är dock bara skyldig att utreda klagomål i den ut- sträckning den finner det lämpligt. Punkten 3 hänvisar till 3 § när det gäller kontroll av om viss behandling är författningsenlig. I punkten 4 regleras tillsynsmyndighetens skyldighet att på begäran bistå en tillsynsmyndighet i en annan medlemsstat. Det kan exem- pelvis vara fråga om att inhämta handlingar från en svensk myn- dighet eller att undersöka hur personuppgifter som har överförts till Sverige har behandlats. Samarbetet regleras i 11, 12 och 14 §§.

3 §

I paragrafen, som genomför artiklarna 17.1 och och 46.4 och delar av artikel 46.1, regleras tillsynsmyndighetens skyldighet att kon- trollera om viss personuppgiftsbehandling är författningsenlig. Paragrafen behandlas i avsnitt 12.6.1 och 12.6.3.

I första stycket anges vem som får begära kontroll och förutsätt- ningarna för det. Det som ska kontrolleras är om personuppgifter om en fysisk person som han eller hon inte har fått tillgång till eller information om eller begärt att få korrigerade, behandlas författ- ningsenligt. En grundläggande förutsättning för att tillsynsmyn- digheten ska vara skyldig att utföra kontrollen är att den som begär kontrollen först har begärt information eller en korrigeringsåtgärd av den personuppgiftsansvarige. Juridiska personer har inte rätt att begära kontroll.

Kontrollen ska avse om uppgifter om personen i fråga behandlas och i så fall om de behandlas i enlighet med denna lag och andra

731

Författningskommentar

SOU 2017:29

författningar som reglerar behandling av personuppgifter inom lagens tillämpningsområde. Med utgångspunkt i uppgifterna i begä- ran avgör tillsynsmyndigheten hur omfattande kontroll som be- hövs i det enskilda fallet. Den enskilde själv kan begära kontroll, men kontroll kan också begäras av en vårdnadshavare eller ett om- bud, jfr kommentaren till 4 kap. 3 §.

Tillsynsmyndigheten är endast skyldig att underrätta den sökan- de om att kontrollen har utförts, men inte att röja vad kontrollen har resulterat i.

Enligt andra stycket kan tillsynsmyndigheten vägra att utföra kontroll om begäran är orimlig eller uppenbart ogrundad. En begä- ran kan vara orimlig om den upprepas för ofta. En begäran kan även vägras om den är så opreciserad att det skulle krävas opropor- tionerligt stora ansträngningar av tillsynsmyndigheten för att ut- föra den. En begäran är uppenbart ogrundad om någon av de grundläggande förutsättningarna brister, t.ex. om den som begär kontroll inte först har vänt sig till den personuppgiftsansvarige eller om den som begär kontrollen inte är behörig att göra det. Till- synsmyndigheten har bevisbördan för att begäran är orimlig eller uppenbart ogrundad. Ett beslut att vägra att utföra kontroll kan överklagas till allmän förvaltningsdomstol, se kommentaren till 7 kap. 4 §.

4 §

Paragrafen, som genomför delar av artikel 46.1, reglerar tillsyns- myndighetens skyldighet att lämna råd och stöd till personupp- giftsansvariga och till personuppgiftsbiträden. Paragrafen behandlas i avsnitt 12.6.1 och 12.6.4.

Med råd avses både muntliga och skriftliga råd. Det kan vara fråga om allmänna råd eller rådgivning i ett enskilt fall. Det kan även vara fråga om rådgivning vid förhandssamråd. Rådgivning av sistnämnda slag är tillsynsmyndigheten skyldig att bistå med, medan myndigheten i övrigt ska ge råd och stöd bara när den anser att det är påkallat. Rådgivningen och stödet ska avse personupp- giftsansvarigas och personuppgiftsbiträdens skyldigheter.

Råd kan t.ex. lämnas genom information på tillsynsmyndighe- tens hemsida, genom publicering av allmänna råd eller andra rikt-

732

SOU 2017:29

Författningskommentar

linjer eller någon funktion för rådgivning per telefon eller e-post. Paragrafen ger således ingen rätt för personuppgiftsansvariga eller personuppgiftsbiträden att avkräva tillsynsmyndigheten råd i en konkret fråga, om det inte är särskilt reglerat. Förhandssamråd är exempel på det sistnämnda.

Tillsynsmyndighetens befogenheter

Undersökningsbefogenheter

5 §

Paragrafen, som genomför artiklarna 25.3 och 47.1, reglerar till- synsmyndighetens undersökningsbefogenheter. Den behandlas i avsnitt 12.7.3.

Enligt punkten 1 har tillsynsmyndigheten rätt att för sin tillsyn från personuppgiftsansvariga och personuppgiftsbiträden få till- gång till alla personuppgifter som behandlas. Det innebär att till- synsobjektet ska lämna de begärda uppgifterna även om det kräver viss efterforskning. Att tillsynsmyndigheten har rätt få del av annan information framgår av punkterna 2 och 4 och rätten att få hjälp med de sökningar i behandlingssystem som myndigheten be- gär regleras i punkten 4.

Punkten 2 ger tillsynsmyndigheten rätt till upplysningar och dokumentation som rör behandling av personuppgifter och vilka åtgärder som har vidtagits för att säkerställa skyddet för person- uppgifterna och registrerades personliga integritet. Dokumentatio- nen kan avse exempelvis de register eller loggar som personupp- giftsansvariga och personuppgiftsbiträden ska föra. Det kan också vara fråga om upplysningar om och dokumentation av vilka organi- satoriska och tekniska åtgärder som vidtogs i samband med att ett register inrättades eller en viss typ av behandling påbörjades. Det kan också röra sig om åtgärder för att garantera säkerheten, be- gränsa den interna tillgången till uppgifter eller förhindra otillåten behandling och åtgärder för intern kontroll. Informationen kan avse exempelvis ändamålen med behandlingen eller loggar och för- teckningar över pågående behandlingar. Att en myndighet saknar faktisk möjlighet att påverka hur uppgifter hanteras innan de blir

733

Författningskommentar

SOU 2017:29

tillgängliga hos myndigheten hindrar inte att den är skyldig att redovisa säkerheten vid behandlingen (se HFD 2012 ref. 21).

I punkten 3 regleras tillsynsmyndighetens rätt att få tillträde till lokaler som den personuppgiftsansvarige eller personuppgiftsbiträ- det disponerar och tillgång till utrustning och andra medel som används för behandlingen. Rätten till tillträde ger inte myndigheten rätt att bereda sig tillträde med tvång. Om den personuppgiftsan- svarige eller personuppgiftsbiträdet inte samarbetar kan tillsyns- myndigheten utnyttja sina korrigerande befogenheter enligt 7 §. Tillsynsmyndigheten har också rätt att få tillgång till den utrust- ning som tillsynsobjektet disponerar för att, med hjälp av tillsyns- objektets personal, kunna göra nödvändiga körningar och kon- troller. Punkten ger således inte tillsynsmyndigheten någon rätt att fritt använda tillsynsobjektets utrustning och datasystem.

Punkten 4 klargör att tillsynsmyndigheten har rätt att få hjälp med de sökningar och andra åtgärder som den begär och annan nödvändig hjälp för att genomföra tillsynen. Paragrafen ger även tillsynsmyndigheten rätt till information som inte har direkt an- knytning till behandlingen av personuppgifter men som myndig- heten behöver för tillsynen. Informationen kan avse t.ex. verksam- hetsplaner som beskriver den verksamhet där behandlingen utförs.

Förebyggande befogenheter

6 §

Paragrafen reglerar tillsynsmyndighetens befogenheter i det före- byggande arbetet. De åtgärder som regleras i paragrafen är inte av tvingande karaktär. De syftar till att förebygga att framtida be- handling av personuppgifter står i strid med regelverket. Paragrafen genomför delar av artikel 47.2 och behandlas i avsnitt 12.7.4, 12.7.5 och 10.2.5.

Av första stycket framgår att tillsynsmyndigheten, om det finns risk för att personuppgifter kan komma att behandlas i strid med lag eller annan författning, ska försöka förmå den personuppgifts- ansvarige eller personuppgiftsbiträdet att minska risken genom råd, rekommendationer och påpekanden. Det kan vara fråga om ett nytt register som ska inrättas, en ny typ av behandling som ska påbörjas eller en större förändring av pågående behandling. Tillsynsmyndig-

734

SOU 2017:29

Författningskommentar

heten kan också identifiera risker i pågående behandling som skulle kunna innebära att regelverket inte kommer att följas. Rådgivning kan avse såväl formella som informella samråd.

Av 7 § första stycket 1 framgår att de befogenheter som räknas upp i detta stycke även i vissa fall får användas i korrigerande syfte.

Enligt andra stycket får tillsynsmyndigheten skriftligen varna för att viss behandling riskerar att strida mot regelverket. En varning är en mer ingripande åtgärd än åtgärderna i första stycket. Varning kan användas för att visa hur allvarligt tillsynsmyndigheten ser på den planerade behandlingen. Tillsynsmyndigheten behöver inte ha uttömt andra förebyggande åtgärder innan den utfärdar en varning. En varning ska vara skriftlig. Av den ska framgå varför tillsyns- myndigheten bedömt att behandlingen inte kommer att vara för- fattningsenlig. Åtgärden är inte tvingande, men den som får en varning förväntas rätta sig efter den. Om tillsynsmyndigheten fin- ner det lämpligt kan den i beslutet om varning erinra om att – om tillsynsobjektet skulle sätta sina planer i verket – det skulle kunna leda till ett beslut om sanktionsavgift om förutsättningarna för det är uppfyllda.

Varning får också utfärdas om pågående behandling riskerar att stå i strid med lag eller annan författning. Det kan t.ex. aktualiseras om det vid förhandssamråd enligt 3 kap. 7 § andra stycket visar sig att det finns risk för att de förändringar som planeras kan göra att den framtida behandlingen inte blir författningsenlig.

Korrigerande befogenheter

7 §

I paragrafen regleras tillsynsmyndighetens korrigerande befogen- heter. Paragrafen, som genomför delar av artikel 47.2, behandlas i avsnitt 12.7.4 och 12.7.6.

Tillsynsmyndigheten har möjlighet att successivt använda olika medel och därigenom stegra påtryckningarna på den som inte själv- mant rättar sig. Förutom de medel som anges i första stycket 1 är befogenheterna tvingande. De sträcker sig från förelägganden till möjligheten att besluta om sanktionsavgift. Befogenheterna anges i stegrande ordning men är inte kopplade till varandra på det sättet

735

Författningskommentar

SOU 2017:29

att en strängare åtgärd förutsätter att mindre ingripande åtgärder redan har prövats.

De korrigerande befogenheterna får användas när tillsynsmyn- digheten konstaterar att den personuppgiftsansvarige behandlar personuppgifter i strid med lag eller annan författning eller annars inte fullgör sina skyldigheter. De skyldigheter som avses är framför allt skyldigheterna i 3 kap. Den personuppgiftsansvarige har emel- lertid också skyldigheter enligt 4 och 8 kap. och skyldighet att bistå tillsynsmyndigheten enligt 5 §. Även underlåtenhet att fullgöra sådana skyldigheter och skyldigheter som regleras i myndigheter- nas registerförfattningar eller i föreskrifter med anledning av denna lag omfattas.

Enligt första stycket punkten 1 får tillsynsmyndigheten använda de förebyggande befogenheter som regleras i 6 § första stycket för att försöka förmå den personuppgiftsansvarige eller personupp- giftsbiträdet att vidta åtgärder för att behandlingen ska bli författ- ningsenlig eller att uppfylla andra skyldigheter. Vilka befogenheter tillsynsmyndigheten kan använda utvecklas i kommentaren till 6 §.

Enligt punkten 2 får tillsynsmyndigheten förelägga den person- uppgiftsansvarige eller personuppgiftsbiträdet att vidta åtgärder för att viss behandling av personuppgifter ska bli författningsenlig eller för att de ska uppfylla andra skyldigheter. Sådana förelägganden är bindande för mottagaren. Vad som avses med författningsenlig ut- vecklas i kommentaren till 2 kap. 6 §.

Tillsynsmyndigheten kan t.ex. förelägga den personuppgiftsan- svarige att förändra viss personuppgiftsbehandling eller att uppfylla krav på loggning, dokumentations- eller underrättelseskyldighet. Ett föreläggande kan också avse att den personuppgiftsansvarige ska rätta, komplettera eller radera en personuppgift. Tillsynsmyn- digheten kan även förelägga den behöriga myndigheten att vidta ytterligare tekniska eller organisatoriska åtgärder för säkerheten vid behandling eller att inrätta en intern ordning för anmälan av över- trädelser av bestämmelserna, upprätta konsekvensbedömning eller fullgöra samrådsskyldighet.

Punkten 3 ger tillsynsmyndigheten rätt att förbjuda fortsatt be- handling, om den personuppgiftsansvarige eller biträdet allvarligt brister i sina skyldigheter. Med förbud mot fortsatt behandling avses att uppgifter inte längre får behandlas för de ändamål som den personuppgiftsansvarige har bestämt, utan endast får behandlas

736

SOU 2017:29

Författningskommentar

i syfte att uppfylla 2 kap. tryckfrihetsförordningen. För förbud bör krävas, förutom att det är fråga om allvarliga brister, att bristerna i fråga inte kan avhjälpas genom andra mindre ingripande åtgärder. En sådan allvarlig brist kan vara att personuppgifter behandlas för ändamål som inte är tillåtna. Att tillsynsmyndigheten inte på be- gäran får det underlag eller den hjälp som den har rätt till enligt 5 § kan i vissa fall vara en allvarlig brist, t.ex. att myndigheten vägras tillträde. Det kan också vara en allvarlig brist om den personupp- giftsansvarige eller personuppgiftsbiträdet inte rättar sig efter ett föreläggande eller negligerar en skriftlig varning.

Ett beslut enligt punkten 3 bör normalt vara permanent. Till- synsmyndigheten bör dock kunna meddela tillfälligt förbud om den anser att det finns förutsättningar för att bristen, trots att den är allvarlig, ska kunna åtgärdas.

Det ankommer på den personuppgiftsansvarige eller personupp- giftsbiträdet att vidta de tekniska åtgärder som krävs för att per- sonuppgifterna inte längre ska kunna behandlas om fortsatt be- handling förbjuds.

Av punkten 4 framgår att tillsynsmyndigheten får besluta om sanktionsavgift. De närmare reglerna om det finns i 6 kap.

Beslut enligt första stycket punkterna 2–4 ska vara skriftliga och motiveras. Tillsynsmyndighetens beslut gäller först efter att de har fått laga kraft. Besluten kan överklagas enligt 7 kap. 4 §.

I andra stycket föreskrivs att det av ett föreläggande alltid ska framgå när åtgärderna senast ska vara genomförda och, om det är lämpligt, vilka åtgärder som ska vidtas. Om föreläggandet avser rättelse, komplettering, radering eller begränsning av behandlingen bör det framgå av föreläggandet vad som ska göras. Tillsynsmyn- digheten får emellertid överlåta åt den granskade myndigheten att avgöra vilka åtgärder som ska vidtas för att behandlingen ska bli författningsenlig eller hur andra skyldigheter ska fullgöras. Det kan vara lämpligt när det är fråga om tekniska eller organisatoriska åt- gärder som ska vidtas eller när det annars finns olika alternativ för vilka åtgärder som kan vidtas och hur de bör genomföras.

737

Författningskommentar

SOU 2017:29

Kommunikation

8 §

Paragrafen, som delvis genomför artikel 47.4, reglerar tillsynsmyn- dighetens kommunikationsskyldighet vid bindande beslut enligt 7 §. Paragrafen behandlas i avsnitt 12.8.2.

Enligt paragrafen ska den personuppgiftsansvarige eller person- uppgiftsbiträdet ges tillfälle att yttra sig till tillsynsmyndigheten innan den fattar beslut om förelägganden eller andra åtgärder som anges i 7 § första stycket 2–4. Skyldigheten omfattar endast sådan information som tillför ärendet något i sak som kan ha betydelse för tillsynsmyndighetens bedömning. Om det är uppenbart obe- hövligt behövs ingen kommunikation. Det kan t.ex. gälla material som den personuppgiftsansvarige eller personuppgiftsbiträdet själv har upprättat. Däremot bör sammanställningar som tillsynsmyn- digheten upprättat över uppgifter som den personuppgiftsansvarige eller personuppgiftsbiträdet har lämnat som regel kommuniceras.

Kommunikationsskyldigheten gäller inte om frågan är okompli- cerad och den personuppgiftsansvarige eller personuppgiftsbiträdet har fått del av informationen genom andra kontakter med tillsyns- myndigheten.

Av underrättelsen som ger den berörde möjlighet att yttra sig bör det framgå när ett yttrande ska ha kommit in. Svarstiden bör anpassas till vilka åtgärder beslutet rör och hur omfattande mate- rialet är. Underrättelsen bör vara skriftlig.

Besked angående handläggningen av ett klagomål

9 §

Paragrafen ger registrerade rätt att få besked angående handlägg- ningen av klagomål som lämnats till tillsynsmyndigheten. Den genomför, tillsammans med 10 § och 7 kap. 3 §, artikel 53.2. Para- grafen behandlas i avsnitt 14.6.2.

Om tillsynsmyndigheten inte inom tre månader från den dag då ett klagomål kom in till myndigheten har tagit ställning till om tillsyn ska utövas i anledning av klagomålet, ska myndigheten enligt första stycket på skriftlig begäran av den registrerade antingen lämna besked i den frågan eller i ett särskilt beslut avslå begäran.

738

SOU 2017:29

Författningskommentar

Tillsynsmyndigheten ska alltså antingen lämna besked om huru- vida den avser att utöva tillsyn eller avslå den registrerades begäran om besked. Tillsynsmyndigheten behöver inte redovisa hur tillsy- nen kommer att bedrivas eller ange vilka åtgärder skulle kunna aktualiseras om myndigheten bestämmer sig för att utöva tillsyn. Myndigheten behöver inte heller motivera sitt ställningstagande att utöva tillsyn eller att inte göra det. Det finns dock inget som hind- rar att myndigheten anger skälen för det.

Besked eller beslut ska enligt andra stycket meddelas inom två veckor från den dag då begäran om besked kom in till tillsynsmyn- digheten. Om myndigheten inte kan ge besked om den avser att utöva tillsyn inom den angivna tiden, ska den i stället avslå begäran om besked genom ett överklagbart och motiverat beslut. Av moti- veringen bör det framgå dels varför myndigheten inte kan ge be- sked, dels hur lång tid myndigheten beräknar att den ytterligare behöver för att kunna ta ställning i frågan om den ska utöva tillsyn.

10 §

I paragrafen, som behandlas i avsnitt 14.6.2, regleras den registrera- des rätt enligt 9 § att begära nytt besked om handläggningen.

I paragrafen föreskrivs att den registrerade på nytt kan rikta en begäran om besked till tillsynsmyndigheten tre månader efter det förra beslutet. Det ligger i sakens natur att en sådan begäran inte behöver behandlas om tillsynsmyndigheten redan vid det första till- fället beslutade att inte utöva tillsyn. Det är då tillräckligt att till- synsmyndigheten upplyser om sitt tidigare beslut.

Tillsynsmyndigheten ska avvisa en begäran om besked som görs innan tremånadersfristen har löpt ut. Avvisningsbeslutet får över- klagas enligt 7 kap. 4 §.

Regleringen hindrar inte den enskilde från informella kontakter med myndigheten om handläggningen, men möjligheten att få ett formellt överklagbart beslut begränsas enligt paragrafen.

739

Författningskommentar

SOU 2017:29

Samarbete med tillsynsmyndigheter i andra medlemsstater

11 §

Paragrafen, som genomför artikel 50.4, anger i vilka fall en begäran från en tillsynsmyndighet i en annan medlemsstat om bistånd får vägras. Paragrafen behandlas i avsnitt 12.10.1.

Tillsynsmyndigheten får vägra att lämna en utländsk tillsyns- myndighet det bistånd den begär bara om det skulle strida mot en bindande unionsrättsakt, en lag eller en förordning att göra det. Det kan vara fallet t.ex. om den svenska lagstiftningen inte medger att tillsynsmyndigheten agerar på det sätt som begärs. Tillsynsmyn- digheten får exempelvis inte med tvång eller i hemlighet bereda sig tillträde till de lokaler som en personuppgiftsansvarig disponerar.

12 §

I paragrafen, som genomför artikel 50.2, regleras tillsynsmyndig- hetens befogenheter vid internationellt samarbete. Paragrafen be- handlas i avsnitt 12.10.1.

Tillsynsmyndigheten har rätt att utnyttja alla de befogenheter som den har i sin vanliga tillsyn när den bistår en utländsk tillsyns- myndighet. Vilka åtgärder som är lämpliga att använda får avgöras i det enskilda fallet.

13 §

Paragrafen innehåller en sekretessbrytande bestämmelse som gör det möjligt för tillsynsmyndigheten att lämna information till en utländsk tillsynsmyndighet. Paragrafen behandlas i avsnitt 16.3.4.

Om det är förenligt med svenska intressen får tillsynsmyndig- heten lämna ut uppgifter till en behörig tillsynsmyndighet i en annan medlemsstat även om uppgifterna omfattas av sekretess en- ligt offentlighets- och sekretesslagen (2009:400). På samma sätt som vid utlämnande med stöd av 8 kap. 3 § andra punkten samma lag ska en avvägning göras mellan Sveriges intresse av internatio- nellt samarbete på tillsynsområdet och de skäl som talar mot ut- lämnande. Om det bedöms vara oförenligt med svenska intressen att lämna ut uppgifterna utgör det grund för tillsynsmyndigheten

740

SOU 2017:29

Författningskommentar

att enligt 11 § vägra lämna begärt bistånd när det gäller den infor- mationen.

14 §

Paragrafen, som genomför delar av artikel 50.3, behandlas i av- snitt 12.10.2. Paragrafen föreskriver att de uppgifter som tillsyns- myndigheten får från en tillsynsmyndighet i en annan medlemsstat inte får användas för något annat ändamål än det för vilket de be- gärdes. Regleringen innebär ett förbud att använda upplysningarna för något annat ändamål än det som den svenska tillsynsmyndig- heten angav i sin begäran. Uppgifterna får t.ex. inte lämnas vidare till andra myndigheter för att användas i deras verksamhet.

Ansökan hos allmän förvaltningsdomstol

15 §

Paragrafen gör det möjligt för tillsynsmyndigheten att få giltig- heten av en unionsrättsakt prövad genom en talan vid allmän för- valtningsdomstol. Paragrafen behandlas i avsnitt 12.9.

Enligt första stycket har tillsynsmyndigheten möjlighet begära att förvaltningsdomstolen beslutar om en bindande åtgärd som till- synsmyndigheten själv hade kunnat besluta om enligt 7 § första stycket 2–4. I första hand rör det sig om åtgärder som rättelse, komplettering eller radering. Inom ramen för processen kan till- synsmyndigheten begära att domstolen inhämtar förhandsbesked från EU-domstolen om huruvida en viss unionsrättsakt strider mot artikel 8 i Europeiska unionens stadga om de grundläggande rättig- heterna (jfr dom av den 6 oktober 2015, Schrems, C-362/14).

Bestämmelsen ska tillämpas endast om det finns särskilda skäl att ifrågasätta giltigheten av unionsrättsakten. Det räcker inte att tillsynsobjektet gör invändning om rättsaktens giltighet. Tillsyns- myndigheten ska göra en egen bedömning av om förfarandet är nödvändigt. Det kan t.ex. vara särskilda skäl om det finns anledning ifrågasätta ett beslut från kommissionen om att ett visst tredjeland uppfyller kraven på adekvat skyddsnivå.

741

Författningskommentar

SOU 2017:29

I andra stycket föreskrivs att en ansökan enligt paragrafen ska göras till den förvaltningsrätt som är behörig att pröva ett överkla- gande av tillsynsmyndighetens beslut.

Enligt tredje stycket krävs det prövningstillstånd vid överkla- gande till kammarrätten.

Föreskrifter

16 §

I paragrafen upplyses om att regeringen eller den myndighet rege- ringen bestämmer kan meddela föreskrifter om bl.a. tillsynsmyn- dighetens anmälningsskyldighet och samarbetet med utländska till- synsmyndigheter.

6 kap. Administrativa sanktionsavgifter

Överträdelser som kan föranleda sanktionsavgift

1 §

Paragrafen reglerar vid vilka överträdelser sanktionsavgift får tas ut av en personuppgiftsansvarig. Den genomför, tillsammans med 2– 7 §§, artikel 57. Paragrafen behandlas i avsnitt 13.5.1–3. Möjlighe- ten att ålägga personuppgiftsbiträden sanktionsavgift regleras i 2 §.

Flertalet av lagens bestämmelser riktar sig till personuppgiftsan- svariga. Även vid ett personuppgiftsbiträdes handlande som lett till överträdelser kan sanktionsavgift tas ut av den personuppgiftsan- svarige, eftersom personuppgiftsansvaret enligt 3 kap. 1 § omfattar all behandling som utförs på deras vägnar.

Tillsynsmyndigheten avgör i det enskilda fallet om sanktions- avgift bör tas ut, vilket framgår av formuleringen att avgift får tas ut. I paragrafen anges uttömmande vilka överträdelser av person- uppgiftsansvarigas skyldigheter som kan föranleda sanktionsavgift och i vilka fall underlåtenhet att vidta åtgärder kan göra det. Både överträdelser av bestämmelser i lagen och bestämmelser som har utfärdats i anslutning till lagen kan leda till sanktionsavgift.

Ansvaret för överträdelser är strikt. Det krävs alltså varken upp- såt eller oaktsamhet för att sanktionsavgift ska kunna tas ut. Det är

742

SOU 2017:29

Författningskommentar

tillräckligt att en överträdelse ägt rum. I 4 § anges vilka omständig- heter som särskilt ska beaktas vid bedömning av om avgift ska tas ut och avgiftens storlek.

Enligt första stycket punkten 1 kan sanktionsavgift utgå för över- trädelse av flertalet av de grundläggande bestämmelserna i 2 kap. Det innebär bl.a. att behandling av personuppgifter utan rättslig grund, för ändamål som inte är tillräckligt preciserade och behand- ling av fler personuppgifter än som behövs eller för längre tid än vad som är nödvändigt kan leda till sanktionsavgift. Detsamma gäl- ler otillåten behandling av känsliga personuppgifter eller underlå- tenhet att i tillräcklig utsträckning göra åtskillnad mellan olika slags uppgifter eller att säkerställa personuppgifternas kvalitet, exempel- vis genom att komplettera ofullständiga uppgifter.

Enligt punkten 2 kan underlåtenhet att vidta tekniska och orga- nisatoriska åtgärder enligt 3 kap. 2–5 §§ eller skyddsåtgärder enligt 3 kap. 8 § också leda till sanktionsavgift. Överträdelsen kan t.ex. bestå i att den personuppgiftsansvarige tar i bruk ett it-system som inte har det inbyggda dataskydd som krävs. Underlåtenhet att be- gränsa tillgången till personuppgifter internt enligt 3 kap. 6 § eller att göra konsekvensbedömning och förhandssamråda med tillsyns- myndigheten enligt 3 kap. 7 § kan föranleda sanktionsavgift.

Vid överträdelser av reglerna om överföring till tredjeland eller internationella organisationer kan enligt punkten 3 sanktionsavgift också tas ut.

Sanktionsavgift kan vidare enligt andra stycket utgå för under- låtenhet att anmäla eller dokumentera inträffade personuppgifts- incidenter. Vad som är en personuppgiftsincident definieras i 1 kap. 6 §. Anmälningsskyldigheten utvecklas i kommentaren till 3 kap. 9 §.

Vid underlåtenhet att bistå tillsynsmyndigheten enligt någon av punkterna i 5 kap. 5 § får sanktionsavgift också tas ut av den per- sonuppgiftsansvarige. Det gäller också vid underlåtenhet att följa tillsynsmyndighetens förelägganden eller beslut enligt 5 kap. 7 § första stycket 2 eller 3.

Innan tillsynsmyndigheten beslutar om sanktionsavgift ska den personuppgiftsansvarige ges tillfälle att yttra sig, se 5 kap. 8 §.

743

Författningskommentar

SOU 2017:29

2 §

I paragrafen regleras vid vilka överträdelser personuppgiftsbiträden får åläggas sanktionsavgift. Paragrafen behandlas i avsnitt 13.5.1–3. Personuppgiftsbiträde definieras i 1 kap. 6 §.

De bestämmelser som räknas upp i första stycket innefattar ut- tryckliga skyldigheter för personuppgiftsbiträden. Sanktionsavgift får tas ut om tillgången till personuppgifter inte har begränsats in- ternt eller om personuppgiftsbiträden inte har vidtagit nödvändiga skyddsåtgärder. Även underlåtenhet att logga behandling av per- sonuppgifter kan leda till sanktionsavgift.

Vid underlåtenhet att bistå tillsynsmyndigheten enligt någon av punkterna i 5 kap. 5 § får sanktionsavgift enligt andra stycket också tas ut av personuppgiftsbiträden. Detsamma gäller vid underlåten- het att följa tillsynsmyndighetens förelägganden eller beslut enligt 5 kap. 7 § första stycket 2 eller 3.

Bestämmelsen anger uttömmande vilka överträdelser som kan leda till sanktionsavgift. Ansvaret är strikt.

Innan sanktionsavgift beslutas ska personuppgiftsbiträdet ges tillfälle att yttra sig, se 5 kap. 8 §.

3 §

I paragrafen fastställs minimi- och maximibelopp för sanktionsav- gift. Överträdelser av alla regler som kan föranleda sanktionsavgift ska, om det inte finns skäl enligt 5 § att sätta ned avgiften, leda till sanktionsavgift inom dessa ramar. Överträdelser av samma slag kan leda till olika höga sanktionsavgifter inom spannet. I paragrafen anges också hur sanktionsavgiften ska beräknas vid flera överträdel- ser. Hur avgiften närmare ska bestämmas regleras i 4 §. Paragrafen behandlas i avsnitt 13.6.1.

I första stycket anges sanktionsavgiften för mindre allvarliga överträdelser. Avgiften ska i dessa fall uppgå till minst 25 000 kro- nor och högst 10 000 000 kronor. I stycket anges uttömmande vilka överträdelser som ska betraktas som mindre allvarliga.

I andra stycket anges minimi- och maximibeloppen för sank- tionsavgift för allvarligare överträdelser, vilket är alla överträdelser utom de som anges i första stycket. Avgiften är i dessa fall lägst 50 000 kronor och högst 20 000 000 kronor.

744

SOU 2017:29

Författningskommentar

I tredje stycket anges hur avgiften ska bestämmas om flera regler har överträtts genom samma personuppgiftsbehandling, eller om en eller flera regler har överträtts genom sammankopplade personupp- giftsbehandlingar. Det kan t.ex. röra sig om att ett flertal registre- rades personuppgifter har behandlats på samma otillåtna sätt eller i ett otillåtet register. Det kan också vara fråga om att en person- uppgift som borde ha rättats eller raderats har spritts och sedan blivit föremål för ny behandling. Tredje stycket tar alltså sikte på det fallet att samma behandling av personuppgifter inneburit att flera av de regler som räknas upp i 1 eller 2 § överträtts. Sanktions- avgiften ska då bestämmas efter de samlade överträdelsernas allvar. Maximibeloppet för den allvarligaste överträdelsen får dock inte överskridas. Sanktionsavgiften ska framstå som en rimlig reaktion på de samlade överträdelserna. Till skillnad från vad som gäller vid fastställande av skadestånd ska alltså beloppet inte beräknas för varje enskild överträdelse mot varje registrerad utan med utgångs- punkt i vad som är en rimlig total reaktion på överträdelserna.

4 §

I paragrafen anges vilka omständigheter som särskilt ska beaktas vid bedömningen av om sanktionsavgift ska tas ut och avgiftens storlek. Samma omständigheter ska beaktas vid båda bedömningar- na. Uppräkningen är inte uttömmande. Paragrafen behandlas i av- snitt 13.6.2. Jämkning av avgiften regleras i 5 §.

I punkten 1 föreskrivs att det ska beaktas om överträdelsen var uppsåtlig eller berodde på oaktsamhet. Som framgår av kommenta- ren till 1 § är ansvaret strikt. Om det kan konstateras att en över- trädelse är avsiktlig bör det i princip vara uteslutet att avstå från att ta ut sanktionsavgift. Tillvägagångssättet och om det varit fråga om systematiskt handlande har också betydelse. Det finns skäl att se särskilt allvarligt på överträdelser som har tydlig karaktär av non- chalans mot regelverket eller som innebär att förfaranden som tidi- gare lett till påpekanden från tillsynsmyndigheten upprepas. Att en överträdelse varit avsiktlig talar också för högre avgift än i andra fall. Exempel på en avsiktlig överträdelse kan vara att en myndighet medvetet inrättar ett register som det inte är tillåtet att föra. Om en myndighet uppmärksammas på att viss personuppgiftsbehandling

745

Författningskommentar

SOU 2017:29

är otillåten men trots det fortsätter med behandlingen är det också en avsiktlig överträdelse. Däremot kan en överträdelse inte ses som avsiktlig om myndigheten, efter att den blivit medveten om att personuppgiftsbehandlingen inte är tillåten, under en kort tid fort- sätter att behandla vissa personuppgifter om det inte är möjligt att omedelbart vidta åtgärder som gör behandlingen författningsenlig.

Om överträdelsen haft sin grund i oaktsamhet talar det för lägre sanktionsavgift, såvida inte oaktsamheten är grov. Ju ringare oakt- samheten är, desto starkare skäl kan det finnas att avstå från att ta ut avgift. Om den personuppgiftsansvarige eller personuppgiftsbi- trädet gjort sitt bästa för att agera korrekt men felbedömt rättsläget är utrymmet att avstå från att ta ut sanktionsavgift också större. Det kan dock inte uteslutas att sanktionsavgift i vissa fall bör tas ut även om omständigheterna är mildrande. Det kan vara fallet t.ex. om överträdelsen fått eller riskerat att få allvarliga konsekvenser för de registrerade.

Enligt punkten 2 ska det beaktas vilken skada, fara eller kränk- ning som överträdelsen inneburit. Det är främst vad överträdelsen fått för följder för de registrerade som avses. Det behöver inte kon- stateras att skada uppstått utan det räcker att det funnits risk för skada. Som regel blir det fråga om att göra en helhetsbedömning av de potentiella skadeverkningarna. En faktisk skada behöver inte heller vara allvarligare än risken för skada, särskilt om risken varit mycket hög och skadan – om den hade inträffat – skulle ha fått stora konsekvenser.

Även överträdelsens karaktär, svårhetsgrad och varaktighet ska enligt punkten 3 beaktas. Vid bedömningen av överträdelsens karaktär och svårhetsgrad bör hänsyn tas till en rad omständig- heter. Vilket slag av behandling det varit fråga om och vilken typ av uppgifter som behandlats är naturligtvis viktigt (t.ex. om det varit känsliga personuppgifter eller annars integritetskänsliga uppgifter). Även hur många personuppgifter som behandlats är relevant lik- som behandlingens omfattning i övrigt (t.ex. om det varit fråga om enstaka uppgifter eller ett register av stor omfattning). Vidare bör hänsyn tas till vilken regel som har överträtts och vikten av det skyddsintresse som den bär upp. Hur behandlingen utförts kan också spela roll, eftersom det t.ex. kan påverka spridningen av uppgifterna. Även hur lång tid behandlingen pågått har betydelse, t.ex. om den personuppgiftsansvarige underlåtit att i rätt tid ta bort

746

SOU 2017:29

Författningskommentar

särskilt integritetskänsliga uppgifter. Generellt sett innebär längre tids behandling oftast att risken för att uppgifter kunnat spridas ökat. För vilka syften uppgifterna har behandlats kan också ha be- tydelse (t.ex. om verksamhetsintressen eller andra motiv legat bakom behandlingen). Ju mer central bestämmelsen som överträtts är för registrerades integritetsskydd, ju fler personuppgifter som behandlats och ju längre de behandlats, desto mindre är utrymmet för att avstå att ta ut avgift eller att sätta sanktionsavgiften lägre. Om känsliga personuppgifter behandlats på ett otillåtet sätt finns det i allmänhet skäl att se strängare på överträdelsen. Om överträ- delsen kan anses vara ringa bör det finnas utrymme för att inte ta ut avgift eller bestämma avgiften till ett förhållandevis lågt belopp.

I punkterna 4 och 5 räknas andra omständigheter upp som sär- skilt ska beaktas. Det kan påverka i mildrande riktning om den personuppgiftsansvarige eller personuppgiftsbiträdet har gjort sitt bästa för att förebygga eller begränsa eventuella skadliga verkningar av överträdelsen. Om den personuppgiftsansvarige däremot inte vidtagit några sådana åtgärder alls eller gjort det först efter påtryck- ningar talar det i motsatt riktning.

Om den personuppgiftsansvarige eller personuppgiftsbiträdet tidigare har ålagts att betala sanktionsavgift för samma typ eller lik- nande överträdelser bör det ses som försvårande.

Att de uppräknade omständigheterna ska beaktas särskilt ute- sluter inte att det kan finnas andra omständigheter som i det en- skilda fallet kan tillmätas lika stor eller större betydelse.

5 §

Paragrafen, som föreskriver att sanktionsavgiften kan sättas ned helt eller delvis, behandlas i avsnitt 13.6.2.

Det kan ibland finnas omständigheter som gör att det framstår som oskäligt eller stötande att ta ut sanktionsavgift, trots att förut- sättningarna för att ta ut avgift är uppfyllda. Paragrafen ger möjlig- het att sätta ned sanktionsavgiften, helt eller delvis, om överträ- delsen är ursäktlig eller om det annars med hänsyn till omständig- heterna skulle vara oskäligt att ta ut avgift.

Det kan t.ex. röra sig om fall där det har gått så lång tid sedan överträdelsen att det skulle vara oskäligt att ta ut sanktionsavgift.

747

Författningskommentar

SOU 2017:29

Avgift kan också te sig oskälig om den samlade reaktionen med hänsyn till att den personuppgiftsansvarige eller personuppgiftsbi- trädet även ålagts skadestånd skulle bli oproportionerlig i förhål- lande till överträdelsen.

Det är däremot inte oskäligt att ta ut avgift när överträdelsen exempelvis har berott på att den personuppgiftsansvarige eller per- sonuppgiftsbiträdet inte känt till reglerna eller överträdelsen berott på dålig ekonomi, tidsbrist, glömska eller dåliga rutiner.

Omständigheter utom den avgiftsskyldiges kontroll som lett till överträdelsen kan i undantagsfall göra överträdelsen ursäktlig. I fall där någon t.ex. avsiktligen och i hemlighet har manipulerat ett data- system eller vidtagit liknande åtgärder bör den personuppgifts- ansvarige kunna undgå ansvar. Det förutsätter emellertid att den personuppgiftsansvarige har vidtagit nödvändiga säkerhetsåtgärder. Den omständigheten att ett personuppgiftsbiträde har behandlat personuppgifter i strid med regelverket kan dock aldrig leda till att den personuppgiftsansvarige befrias från ansvar, utom i de fall där personuppgiftsbiträdet enligt 3 kap. 19 § andra stycket själv ska betraktas som personuppgiftsansvarig.

Beslut om sanktionsavgift

6 §

Paragrafen behandlas i avsnitt 13.7.1 och 13.7.3.

I första stycket föreskrivs att tillsynsmyndigheten beslutar om sanktionsavgift. Tillsynsmyndighet definieras i 1 kap. 6 §. Av andra stycket framgår att sanktionsavgiften tillfaller staten.

7 §

Paragrafen föreskriver att möjligheten att besluta om sanktionsav- gift bortfaller om den som ska avgiften ska tas ut av inte har fått tillfälle att yttra sig inom fem år efter överträdelsen. Paragrafen behandlas i avsnitt 13.7.2.

Så länge otillåten eller felaktig behandling pågår är det fråga om en pågående överträdelse som kan leda till sanktionsavgift. Den i paragrafen angivna tiden förskjuts då framåt så länge personuppgif-

748

SOU 2017:29

Författningskommentar

terna behandlas. Tidpunkten för överträdelsen kan emellertid få betydelse om överträdelsen avsåg överföring till tredjeland eller om behandlingen har avbrutits. Tiden bör då räknas från när överfö- ringen gjordes eller när behandlingen upphörde.

Föreskrifter

8 §

I paragrafen upplyses om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om handlägg- ningen av beslut om och verkställighet av sanktionsavgifter.

7 kap. Skadestånd och rättsmedel

Skadestånd

1 §

I paragrafen regleras den registrerades rätt till skadestånd för be- handling av personuppgifter i strid med regelverket. Paragrafen, som har utformats efter mönster av 48 § personuppgiftslagen och genomför artikel 56, behandlas i avsnitt 14.3.2.

Paragrafen är en sådan specialbestämmelse om skadestånd som enligt 1 kap. 1 § (1972:207) skadeståndslagen tar över reglerna i den lagen. Om en ersättningsfråga inte berörs i förevarande paragraf – t.ex. frågan om hur ersättningen för en personskada eller sakskada ska beräknas (5 kap. skadeståndslagen) eller hur ansvaret ska för- delas när flera är skadeståndsskyldiga (6 kap. 4 § skadeståndslagen)

– tillämpas de allmänna reglerna i skadeståndslagen.

Rätt till skadestånd kan uppkomma på grund av behandling i strid med bestämmelser i denna lag eller föreskrifter som meddelats i anslutning till lagen. För att den personuppgiftsansvarige ska bli ersättningsskyldig behöver den registrerade bara bevisa att behand- ling av den registrerades personuppgifter stått i strid med reglerna om personuppgiftsbehandling och att den har skadat eller kränkt honom eller henne.

Den registrerades rätt till skadestånd omfattar ersättning för skada och för kränkning av den personliga integriteten. Med skada

749

Författningskommentar

SOU 2017:29

avses personskada, sakskada eller ren förmögenhetsskada. Med kränkning avses ideell skada som består i att den enskildes integri- tet kränkts genom behandlingen.

Det är bara sådan skada eller kränkning som behandlingen av personuppgifter har vållat som ersätts, vilket framgår av att be- handlingen ska ha orsakat skada respektive kränkning. Orsakssam- bandet ska vara adekvat.

Ersättningen för kränkning får uppskattas efter skälighet mot bakgrund av samtliga omständigheter i det enskilda fallet. Sådana faktorer som att det funnits risk för otillbörlig spridning av käns- liga eller felaktiga personuppgifter eller att den registrerade genom behandlingen av uppgifterna drabbats av beslut eller åtgärder som kunnat få negativa följder hör till det som bör beaktas. Om det t.ex. skett en namnförväxling vid misstanke om rattfylleri och det lett till en felaktig indragning av körkort kan skadestånd aktuali- seras. Har den registrerade själv lämnat en oriktig eller ofullständig personuppgift, kan den personuppgiftsansvariges behandling av den uppgiften inte anses innebära någon sådan kränkning av den personliga integriteten som bör föranleda ersättning. Ersättningen för kränkning bör i princip fastställas för varje person för sig.

Gentemot den registrerade är den personuppgiftsansvarige an- svarig för all den behandling som utförs för den personuppgiftsan- svariges räkning. Det gäller även när ett personuppgiftsbiträde eller någon annan utfört behandlingen. Anspråk på skadestånd ska så- ledes riktas mot den personuppgiftsansvarige även i de fallen. Talan om skadestånd ska, om den personuppgiftsansvarige är en myndig- het, riktas mot den juridiska personen, dvs. staten, landstinget eller kommunen. Med myndighet avses detsamma som i regeringsfor- men, dvs. samtliga statliga och kommunala organ med undantag av riksdagen och de kommunala beslutande församlingarna.

Någon möjlighet till jämkning av skadeståndet om den person- uppgiftsansvarige hävdar att den felaktiga behandlingen inte beror på dennes handlande finns inte. Vid medvållande kan dock 6 kap. 1 § skadeståndslagen vara tillämplig.

750

SOU 2017:29

Författningskommentar

Överklagande

Överklagande av beslut som fattats av en myndighet i egenskap av personuppgiftsansvarig

2 §

I paragrafen anges i vilken utsträckning beslut som en myndighet har fattat i egenskap av personuppgiftsansvarig får överklagas. Med myndighet avses i denna paragraf detsamma som i regeringsformen, dvs. samtliga statliga och kommunala organ med undantag av riks- dagen och de kommunala beslutande församlingarna. Paragrafen behandlas i avsnitt 14.4.

Vilka typer av beslut som får överklagas räknas upp i första stycket. Uppräkningen är uttömmande. Beslut i fråga om rättelse, komplettering eller radering av personuppgifter eller begränsning av behandlingen av personuppgifter får överklagas om den registre- rade har begärt åtgärden och beslutet har gått honom eller henne emot. Rätten att överklaga kan gälla även i de fall där myndigheten vidtagit en annan åtgärd än den som den registrerade begärt.

Beslut som innebär att en personuppgiftsansvarig myndighet, helt eller delvis, inte har tillmötesgått en begäran om personrelate- rad information får också överklagas. Detsamma gäller beslut att vägra att ompröva ett automatiserat beslut och beslut att ta ut av- gift för viss information.

Besluten ska överklagas till allmän förvaltningsdomstol. Vilken förvaltningsdomstol som är behörig framgår av 14 § förordningen (1977:937) om allmänna förvaltningsdomstolars behörighet m.m. För prövning i kammarrätten krävs det enligt andra stycket pröv- ningstillstånd.

Av tredje stycket framgår att det inte finns någon möjlighet att överklaga beslut av de högsta statsorganen.

Dröjsmålstalan

3 §

Paragrafen reglerar domstolens handläggning av en s.k. dröjsmåls- talan. Den genomför, tillsammans med 5 kap. 9 §, artikel 53.2 och behandlas i avsnitt 14.6.3.

751

Författningskommentar

SOU 2017:29

I första stycket föreskrivs att tillsynsmyndighetens beslut att av- slå en begäran om besked enligt 5 kap. 9 § får överklagas till allmän förvaltningsdomstol.

Om domstolen bifaller överklagandet, ska den enligt andra stycket förelägga tillsynsmyndigheten att inom viss tid meddela den registrerade om tillsyn kommer att utövas. Domstolen ska inte pröva frågan om tillsyn bör utövas utan enbart om handläggningen i onödan dragit ut på tiden. Prövningen är alltså begränsad till om frågan om tillsyn ska utövas är klar för avgörande. För sin bedöm- ning behöver domstolen ta del av handlingarna så att den kan ta ställning till om tillsynsmyndigheten haft tillräckligt underlag för att avgöra frågan. Om domstolen konstaterar att dröjsmålet är motiverat, dvs. att skälen till att något besked inte har lämnats är godtagbara, ska den avslå överklagandet.

Vid bedömningen av om skälen för fördröjningen är godtagbara kan domstolen bl.a. behöva pröva om ärendet har handlagts med den skyndsamhet som varit påkallad och om eventuella avbrott i handläggningen kan accepteras. Det är inte möjligt att ange gene- rellt hur lång tid tillsynsmyndigheten bör få på sig. En prövning måste göras i det enskilda fallet. Allmänna invändningar om arbets- anhopning och resursbrist kan normalt sett inte accepteras som skäl för dröjsmål. Domstolen bör dock i undantagsfall kunna ta hänsyn till vilka resurser som tillsynsmyndigheten haft till sitt förfogande.

Frågeställningen är mycket begränsad och med tanke på ären- dets natur är det angeläget att domstolsprövningen görs snabbt. Eftersom prövningen är okomplicerad bör frågan kunna avgöras av ensamdomare.

Om domstolen finner att tillsynsmyndigheten dragit ut på handläggningen ska den förelägga myndigheten att inom viss tid fatta beslut om tillsyn ska utövas och att ge klaganden besked i frågan. Det kan av naturliga skäl inte bli fråga om någon längre tid, eftersom domstolen genom att bifalla överklagandet har konstate- rat att tillsynsmyndigheten redan har dragit ut på handläggningen. Någon möjlighet för domstolen att förena föreläggandet med vite eller någon annan sanktion finns inte.

Domstolens beslut får enligt tredje stycket inte överklagas. Det gäller oavsett om överklagandet bifalls eller avslås. Det innebär att varken tillsynsmyndigheten eller klaganden kan överklaga beslutet.

752

SOU 2017:29

Författningskommentar

Överklagande av andra beslut av tillsynsmyndigheten

4 §

I paragrafen, som har utformats efter mönster av 51 § personupp- giftslagen, föreskrivs att tillsynsmyndighetens beslut i andra frågor än som regleras i 3 § får överklagas. Bestämmelsen genomför arti- kel 53.1 och behandlas i avsnitt 14.7.1.

Utgångspunkten enligt första stycket är att tillsynsmyndighetens beslut enligt lagen eller enligt föreskrifter som meddelats i anslut- ning till lagen får överklagas. Det är framför allt fråga om beslut som tillsynsmyndigheten har fattat med stöd av sina korrigerande befogenheter i 5 kap. 7 §. Det kan t.ex. vara beslut om rättelse eller radering. Det kan också vara beslut om sanktionsavgift. Även be- slut enligt 5 kap. 9 § att avslå en begäran om besked om tillsyn kommer att utövas eller beslut enligt 5 kap. 3 § andra stycket att vägra utföra kontroll får överklagas.

För att kammarrätten ska ta upp ett överklagande krävs det en- ligt andra stycket prövningstillstånd.

Beslut som inte får överklagas

5 §

Enligt paragrafen, som behandlas i avsnitt 14.4, får inga andra be- slut än de som räknas upp i 2–4 §§ överklagas.

Uppräkningen är uttömmande. Någon rätt att med stöd av för- valtningslagen överklaga andra beslut som en myndighet eller annan har fattat med stöd av lagen finns alltså inte. Det gäller både beslut av personuppgiftsansvariga, tillsynsmyndigheten och per- sonuppgiftsbiträden.

753

Författningskommentar

SOU 2017:29

8 kap. Överföring av personuppgifter till tredjeland och internationella organisationer

Grundläggande förutsättningar för överföring

1 §

I paragrafen, som genomför artikel 35.1 a, b och d och artikel 35.3, anges de grundläggande förutsättningarna för att få överföra per- sonuppgifter till ett tredjeland eller en internationell organisation. Paragrafen behandlas i avsnitt 15.3.1–3.

Enligt första stycket får personuppgifter överföras till ett tredje- land eller en internationell organisation om uppgifterna behandlas i Sverige. Det gäller också om personuppgifterna överförs till ett tredjeland eller en internationell organisation för att behandlas där. Tredjeland och internationell organisation definieras i 1 kap. 6 §.

Med behandlas förstås sådan behandling av personuppgifter som lagen reglerar. Behandling av personuppgifter definieras i 1 kap. 6 §. Överföring är en form av personuppgiftsbehandling. För att per- sonuppgifter ska få överföras till ett tredjeland eller en internatio- nell organisation måste därför de grundläggande förutsättningarna för att få behandla personuppgifter alltid vara uppfyllda.

Med överföring avses att en behörig myndighet skickar, vidare- befordrar eller förmedlar information i elektronisk form till någon som befinner sig i ett tredjeland eller till en internationell organisa- tion. Det är också fråga om en överföring när en behörig myndig- het gör information tillgänglig för ett tredjeland eller en internatio- nell organisation genom att informationen tillförs ett gemensamt datasystem, t.ex. en databas hos Interpol. Däremot omfattar para- grafen normalt inte överföringar på papper av personuppgifter som inte har undergått automatiserad behandling.

Personuppgifter som har samlats in och behandlats automatise- rat i Sverige och som skickas till ett personuppgiftsbiträde i tredje- land för vidarebearbetning omfattas av regleringen. Överföring av personuppgifter till ett tredjeland eller en internationell organisa- tion för behandling där avser bl.a. den situationen att uppgifterna inte behandlas automatiserat i Sverige, utan överförs till ett tredje- land eller en internationell organisation för att automatiseras där. Som exempel kan nämnas blanketter, formulär eller undersök- ningar som fyllts i för hand och som skickas per post till ett per-

754

SOU 2017:29

Författningskommentar

sonuppgiftsbiträde i ett tredjeland där personuppgifterna läggs in i en databas.

Endast behöriga myndigheter har enligt paragrafen rätt att över- föra personuppgifter till ett tredjeland eller en internationell orga- nisation. Behörig myndighet definieras i 1 kap. 6 §.

En behörig myndighet kan även vara en kontaktpunkt hos en behörig myndighet. Polismyndigheten är kontaktpunkt enligt bl.a. FN:s vapenprotokoll och FN:s konvention för bekämpande av nukleär terrorism. Genom sådana kontaktpunkter kan även andra än den egna myndighetens personuppgifter överföras. Kontakt- punkten ansvarar då i sin egenskap av behörig myndighet för att överföringen följer de regler som gäller för överföring av person- uppgifter till tredjeland och internationella organisationer. En kon- taktpunkt som vidarebefordrar andra myndigheters personuppgif- ter kan behöva samråda med den myndighet från vilken uppgifterna kommer om det är lämpligt att de överförs till ett tredjeland eller en internationell organisation och vilket skydd personuppgifterna i så fall behöver.

Bestämmelserna om överföring reglerar inte på vems initiativ personuppgifterna överförs, om det är den svenska behöriga myn- dighetens eller den utländska behöriga myndighetens.

Överföring till ett tredjeland eller en internationell organisation får endast göras om både de i punkterna 1 och 2 angivna villkoren och något av alternativen i punkten 3 samtidigt är uppfyllda.

Punkten 1 innebär en begränsning av de syften för vilka person- uppgifter får överföras till ett tredjeland eller en internationell organisation. Överföringen av personuppgifter måste vara nödvän- dig för ett syfte som omfattas av lagens tillämpningsområde (jfr 1 kap. 2 §). Det är således inte tillåtet att till en behörig myndighet i ett tredjeland eller en internationell organisation överföra person- uppgifter i något annat syfte, t.ex. för att uppgifterna behövs i ett migrationsärende.

Nödvändighetsrekvisitet innebär att det ska prövas om person- uppgifterna behövs för att en behörig myndighet ska kunna utföra en arbetsuppgift som den har ansvar för och som omfattas av denna lags tillämpningsområde. Överföringen kan vara nödvändig för att en svensk myndighet t.ex. ska kunna utreda ett brott som har be- gåtts här men där viss bevisning finns i ett tredjeland. Ett typiskt exempel är att målsäganden eller ett vittne befinner sig i tredjeland

755

Författningskommentar

SOU 2017:29

och att förhör under förundersökningen behöver hållas där. Ett annat exempel är att personuppgifter rörande någon som är inter- nationellt efterlyst sänds till Interpol.

Överföringen kan också vara nödvändig t.ex. för att en behörig myndighet i ett tredjeland ska kunna lagföra ett brott. Kravet är också uppfyllt om en internationell organisation som är en behörig myndighet behöver personuppgifter för ett syfte som omfattas av tillämpningsområdet. Ett exempel kan vara att det i en svensk för- undersökning kommer fram information om en person som kan misstänkas för människohandel i ett tredjeland. Ett annat exempel kan vara en narkotikahärva där en försäljare av narkotika i Sverige berättar om en distributör i Turkiet. Svensk behörig myndighet kan i båda fallen överföra personuppgifter till det tredjelandet om de behövs för att upptäcka eller utreda brott där. Om en myndighet i ett tredjeland begär att få personuppgifter av en svensk behörig myndighet ska den svenska myndigheten pröva om den utländska myndigheten behöver uppgifterna för ett syfte som omfattas av lagens tillämpningsområde.

Punkten 2 begränsar till vilka utländska adressater personuppgif- ter får överföras. Personuppgifter får som huvudregel bara över- föras till en behörig myndighet i ett tredjeland eller till en inter- nationell organisation som är en behörig myndighet.

Av kravet på att överföringen ska göras till en behörig myndig- het följer att den myndighet eller organisation som ska ta emot personuppgifterna ska ha som arbetsuppgift att förebygga, för- hindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. Den som personuppgiften överförs till behö- ver inte ha samma arbetsuppgifter som den svenska myndigheten, men ska vara behörig genom att den har en arbetsuppgift som om- fattas av lagens tillämpningsområde. Exempelvis kan Polismyn- digheten lämna personuppgifter till en åklagarmyndighet i ett tredjeland. När det gäller internationella organisationer är det fram- för allt Interpol som är av intresse. Även vissa utredningsorgan under FN torde kunna ha arbetsuppgifter som omfattas av lagens tillämpningsområde, liksom internationella tribunaler. Om en svensk behörig myndighet behöver överföra personuppgifter till en myndighet eller en organisation som inte har en sådan arbetsupp-

756

SOU 2017:29

Författningskommentar

gift, t.ex. en migrationsmyndighet i ett tredjeland, är lagen inte tillämplig.

I punkten 3 ställs dessutom krav på viss skyddsnivå för person- uppgifter som överförs till ett tredjeland eller till en internationell organisation. Personuppgifter får alltid överföras till ett tredjeland eller till en internationell organisation för vilket eller vilken kom- missionen har beslutat att det finns en adekvat skyddsnivå (se 3 §). Om det inte finns ett sådant beslut får personuppgifterna ändå överföras om uppgifterna kommer att omfattas av tillräckliga säkerhetsåtgärder hos den som mottar dem (se 4 §). Finns det inte något beslut om adekvat skyddsnivå eller tillräckliga skyddsåtgär- der får personuppgifter överföras endast när ett undantag för sär- skilda situationer gäller (se 5 §). Överföringsgrunderna är alterna- tiva men ska prövas i den ordning som anges i paragrafen. I första hand ska det alltså prövas om det finns beslut om adekvat skydds- nivå och i andra hand om det finns tillräckliga skyddsåtgärder. Först därefter finns det anledning att se om någon av undantags- situationerna är för handen.

Om personuppgifter ska överföras till en internationell organi- sation, t.ex. Interpol, är det organisationen som sådan, och inte de enskilda stater som är medlemmar i organisationen, som ska upp- fylla kravet på skyddsnivå. Ska personuppgiften skickas till ett tredjeland, men överföringen görs med hjälp av Interpol, ska där- emot skyddsnivån i det tredjelandet bedömas.

Det finns alltid risk för att skyddet för enskildas integritet för- sämras när personuppgifter överförs till ett tredjeland eller en in- ternationell organisation som inte har samma dataskyddsnivå som direktivet kräver av medlemsstaterna. Den risken ska därför enligt andra stycket alltid beaktas särskilt vid bedömningen av hur viktigt det är att personuppgifterna överförs till det tredjelandet eller den internationella organisationen.

2 §

Paragrafen, som genomför artiklarna 35.1 c och 35.2, anger förut- sättningarna för att få överföra personuppgifter som en svensk myndighet har fått från en annan medlemsstat till ett tredjeland

757

Författningskommentar

SOU 2017:29

eller till en internationell organisation. Paragrafen behandlas i av- snitt 15.3.4.

Enligt första stycket krävs medgivande från den medlemsstat som en svensk myndighet har fått personuppgifterna från för att upp- gifterna ska få överföras till ett tredjeland eller en internationell organisation. Medlemsstat definieras i 1 kap. 6 §. Det behöver inte vara en behörig myndighet i Sverige som har tagit emot personupp- gifterna. Paragrafen är även tillämplig på personuppgifter som har lämnats till en annan svensk myndighet och som sedan används i t.ex. brottsbekämpande verksamhet. Personuppgifterna kan ha lämnats till svensk myndighet t.ex. genom att de skickats elektro- niskt eller gjorts tillgängliga i ett gemensamt informationssystem.

Medgivandet till överföring ska som huvudregel ges i förväg, innan personuppgifterna överförs till det tredjelandet eller den internationella organisationen. Det hindrar dock inte att en myn- dighet som lämnar personuppgifter till en annan medlemsstat gene- rellt medger att uppgifterna får överföras till ett tredjeland eller en internationell organisation om det skulle bli nödvändigt längre fram. Sådana generella medgivanden kan tänkas bli vanliga i infor- mationsutbytet mellan EU:s medlemsstater. Finns det ett generellt medgivande som omfattar personuppgifterna som ska överföras, behöver den svenska myndigheten inte göra något ytterligare för att säkerställa att den andra medlemsstaten godtar att uppgifterna överförs till ett tredjeland eller en internationell organisation.

Om det på grund av tidsbrist inte går att i förväg inhämta med- givande från den medlemsstat som lämnat personuppgifterna till Sverige, finns det enligt andra stycket möjlighet att ändå överföra uppgifterna till ett tredjeland eller en internationell organisation. För att det ska vara tillåtet krävs det att åtgärden är nödvändig för att avvärja en omedelbar och allvarlig fara för allmän säkerhet i Sverige eller utomlands, eller för att tillgodose andra väsentliga intressen för Sverige eller en annan medlemsstat. Möjligheten att överföra personuppgifter utan medgivande i förväg ska betraktas som en nödlösning. I kommentaren till 5 § utvecklas vad som avses med en omedelbar och allvarlig fara för allmän säkerhet.

758

SOU 2017:29

Författningskommentar

Tillåtna grunder för överföring

Beslut om adekvat skyddsnivå

3 §

Paragrafen, som genomför artikel 36.1, innehåller den första tillåtna grunden för att överföra personuppgifter till ett tredjeland eller till en internationell organisation. Det är först om förutsättningarna i denna paragraf inte är uppfyllda som alternativen att överföra per- sonuppgifter med stöd av reglerna om tillräckliga skyddsåtgärder i 4 § eller särskilda situationer i 5 § ska prövas. Paragrafen behandlas i avsnitt 15.4.

Enligt paragrafen får personuppgifter alltid överföras till ett tredjeland eller en internationell organisation som enligt ett beslut av kommissionen har en adekvat skyddsnivå för personuppgifter. Om kommissionen har meddelat ett sådant beslut för ett territo- rium eller en sektor i ett tredjeland får personuppgifter överföras dit. Avgränsningen avgörs av innehållet i kommissionens beslut.

De grundläggande förutsättningarna för överföring av person- uppgifter till ett tredjeland eller en internationell organisation i 1 § ska alltid vara uppfyllda för att personuppgifter ska få överföras med stöd av ett beslut om adekvat skyddsnivå. Det innebär bl.a. att personuppgifter ska överföras mellan behöriga myndigheter. Ska personuppgifter som svensk myndighet har fått från en annan med- lemsstat överföras ska även kraven i 2 § vara uppfyllda.

Om kommissionen beslutar att ett tredjeland, eller en del av det, eller en internationell organisation inte längre säkerställer en ade- kvat skyddsnivå får personuppgifter inte överföras dit med stöd av den nu aktuella paragrafen. Det hindrar dock inte att personupp- gifter överförs till det tredjelandet eller den internationella organi- sationen om någon av de andra tillåtna grunderna för överföring är tillämplig.

759

Författningskommentar

SOU 2017:29

Tillräckliga skyddsåtgärder

4 §

I paragrafen, som genomför artikel 37.1, behandlas den andra tillåt- na grunden för överföring av personuppgifter till ett tredjeland eller en internationell organisation. Paragrafen behandlas i av- snitt 15.5.

Om det inte finns ett beslut om adekvat skyddsnivå enligt 3 § får en behörig myndighet i Sverige ändå överföra personuppgifter till en behörig myndighet i ett tredjeland, eller till en internationell organisation som är en behörig myndighet, om det finns tillräckliga skyddsåtgärder för uppgifterna där. De grundläggande förutsätt- ningarna i 1 och 2 §§ ska alltid vara uppfyllda för att personuppgif- ter ska få överföras på denna grund.

Enligt punkten 1 kan tillräckliga skyddsåtgärder finnas om så- dana har fastställts i ett avtal som ger tillräckliga garantier till skydd för registrerades rättigheter. Personuppgifter kan normalt över- föras till länder som är anslutna till dataskyddskonventionen eller har ingått bindande avtal om internationellt samarbete som inne- håller dataskyddsregler som är tillämpliga på överföringen. Det kan också vara fråga om bilaterala avtal som Sverige ingått med ett tredjeland och som sörjer för att kravet på dataskydd uppfylls och registrerades rättigheter respekteras.

Enligt punkten 2 får personuppgifter också överföras om den behöriga myndighet som ska ta emot uppgifterna på annat sätt än genom avtal garanterar tillräckligt skydd för dem. Den som ska överföra personuppgifterna till det tredjelandet eller den interna- tionella organisationen ska bedöma alla omständigheter kring över- föringen och komma till slutsatsen att skyddsåtgärderna är tillräck- liga. Exempel på sådant som kan vägas in vid bedömningen av om tillräckligt skydd garanteras är bl.a. bindande åtaganden att inte sprida personuppgifterna vidare eller att inte använda personupp- gifterna efter viss tidpunkt.

Det är den personuppgiftsansvarige som har bevisbördan för att skyddsnivån är tillräcklig hos den som tar emot personuppgifterna i det tredjelandet eller den internationella organisationen. I de fall där personuppgifter överförs till ett tredjeland via en nationell kontaktpunkt i det landet bör bedömningen av om tillräckligt skydd för uppgifterna garanteras avse situationen hos den som

760

SOU 2017:29

Författningskommentar

slutligen ska ta emot dem. Om det inte är känt till vilken behörig myndighet i det tredjelandet som kontaktpunkten kommer att vidarebefordra personuppgifterna får bedömningen i stället göras utifrån vilket dataskydd kontaktpunkten erbjuder.

Överföring i särskilda situationer

5 §

Paragrafen genomför artiklarna 38.1 och 38.2. Den behandlas i av- snitt 15.6.

Paragrafen reglerar möjligheten att överföra personuppgifter till en behörig myndighet i ett tredjeland eller till en internationell organisation som är en behörig myndighet när det varken finns beslut om adekvat skyddsnivå eller tillräckliga skyddsåtgärder för uppgifterna. Kravet är då att det ska vara fråga om en särskild situa- tion. Undantagen för särskilda situationer gäller även samlingar av överföringar. Med samling avses här flera överföringar som på något sätt är sammankopplade, antingen därför att det är flera per- sonuppgifter som överförs inom ramen för ett ärende, eller för att det är en personuppgift som överförs till flera adressater. En över- föring kan också innehålla flera personuppgifter och därmed utgöra en samling, t.ex. ett utdrag från ett register. Det viktiga när det gäl- ler samlingar av överföringar är att det i efterhand går att kontrol- lera vilka personuppgifter som har överförts.

Överföringen ska enligt första stycket vara nödvändig i någon av de särskilda situationer som räknas upp i punkterna 1–4. Punkterna är alternativa. I punkterna 2 och 3 föreskrivs att överföringen ska vara nödvändig i det enskilda fallet. Oavsett vilken situation som är för handen ska de grundläggande förutsättningarna för överföring till tredjeland och internationella organisationer i 1 § alltid vara uppfyllda. Det innebär bl.a. att överföringen ska göras mellan be- höriga myndigheter och i ett syfte som omfattas av lagens tillämp- ningsområde. Även förutsättningarna i 2 § ska vara uppfyllda om personuppgifter som kommer från en annan medlemsstat ska överföras.

I punkten 1 regleras två situationer som kan göra överföringen nödvändig. Det är dels för att skydda vitala intressen för den regi- strerade eller en annan fysisk person, dels för att skydda andra be-

761

Författningskommentar

SOU 2017:29

rättigade intressen för den registrerade. I det sistnämnda fallet gäller alltså inte skyddet till förmån för någon annan än den vars personuppgifter ska överföras. Den som är misstänkt för ett brott kan ha ett berättigat intresse av att viss bevisning som finns i ett tredjeland inhämtas därifrån. Ett vittne som befinner sig i ett tredjeland kan ha ett berättigat intresse av att hans eller hennes personuppgifter överförs dit för att ett förhör ska kunna komma till stånd där.

När det gäller skyddet för vitala intressen kan det gälla både för den som personuppgiften avser och för någon annan fysisk person. Det kan t.ex. handla om att överföra uppgifter om en person som misstänks planera ett sprängdåd eller ett värdetransportrån i ett tredjeland. Ett annat exempel är att någon som har rymt från ett fängelsestraff utgör ett hot mot en målsägande eller ett vittne som bor i tredjeland och polisen där behöver få kännedom om det för att kunna skydda personen. Även andra för den enskilde väsentliga intressen som inte är direkt avgörande för liv och död, t.ex. hälsa och ekonomiska intressen, kan skyddas med stöd av undantaget för vitala intressen.

Punkten 2 tillgodoser behöriga myndigheters behov av att i ett enskilt fall kunna överföra personuppgifter till ett tredjeland eller en internationell organisation som inte uppfyller kraven på adekvat skyddsnivå eller garanterar tillräckligt skydd för personuppgifterna. Som exempel på när personuppgifter kan behöva överföras i ett enskilt fall för ett ändamål som omfattas av lagens tillämpningsom- råde kan nämnas bevisupptagning vid utländsk domstol, kvarstad på och beslag av egendom som finns i ett tredjeland och husrann- sakan i en bostad eller lokal som är belägen där. Ett annat exempel kan vara att överföringen är nödvändig i ett brottmål för att kunna delge en i tredjeland bosatt målsägande kallelse till rättegång vid svensk domstol.

Åtgärden behöver inte vara nödvändig för att tillgodose svenska myndigheters behov och intressen. Det kan finnas förutsättningar för att tillämpa punkten om ett tredjeland behöver få tillgång till svenska personuppgifter, t.ex. uppgift om att en viss person är dömd för sexuellt utnyttjande av barn. Personuppgifter kan lämnas både på begäran och på den svenska myndighetens eget initiativ.

Punkten 3 innebär att personuppgifter kan överföras till ett tredjeland eller en internationell organisation om överföringen är

762

SOU 2017:29

Författningskommentar

nödvändig i ett enskilt fall för att kunna fastställa, göra gällande eller försvara ett rättsligt anspråk. Det rättsliga anspråket ska vara hänförligt till ett ändamål som omfattas av lagens tillämpningsom- råde. Exempel på sådana rättsliga anspråk är bl.a. skadestånd i an- ledning av brott.

Ett exempel på när det kan vara nödvändigt att överföra person- uppgifter enligt punkten 4 för att avvärja en omedelbar och allvarlig fara för allmän säkerhet är om det finns information om förestå- ende allvarliga störningar i samhällslivet som har samband med brott eller andra särskilda händelser som kan vålla omfattande ord- ningsstörning, t.ex. gatukravaller och plundring. Det kan vara fråga om allmän säkerhet i Sverige eller i någon annan stat. Om det är fråga om en omedelbar fara för allmän säkerhet utomlands ligger det i sakens natur att den som vill överföra personuppgifterna har fått veta något av intresse som det är viktigt att det tredjelandet eller den internationella organisationen får information om direkt, t.ex. planer på terroristattentat eller flygplanskapning eller risk för kravaller i samband med en fotbollsmatch. Den överförande myn- digheten kan naturligtvis bara beakta sådant som den känner till vid prövningen av om personuppgifterna får överföras. Att det sedan i efterhand visar sig att överföringen inte var nödvändig, t.ex. därför att faran aldrig realiserades, innebär inte att överföringen var otill- låten.

Enligt andra stycket ska en intresseavvägning göras när person- uppgifter ska överföras enligt punkten 2 eller 3. De intressen som ska vägas mot varandra är skyddet för den registrerades grundläg- gande fri- och rättigheter och det allmännas intresse av att över- föringen görs. Om den registrerades intresse väger tyngre än det allmännas får personuppgifterna inte överföras. Ett exempel där den registrerades intresse väger tyngre kan vara om han eller hon riskerar dödsstraff, kroppsstraff eller tortyr om hans eller hennes personuppgifter överförs till en behörig myndighet i ett tredjeland.

763

Författningskommentar

SOU 2017:29

Vidareöverföring

6 §

Paragrafen reglerar, tillsammans med 7 §, vidareöverföring av per- sonuppgifter till ett tredjeland eller en internationell organisation. Med vidareöverföring förstås överföring av personuppgifter mellan tredjeländer och internationella organisationer av sådana person- uppgifter som överförts dit av en medlemsstat. Paragrafen, som genomför artikel 35.1, behandlas i avsnitt 15.7.

I paragrafen anges förutsättningarna för att en svensk myndig- het ska få tillåta en vidareöverföring. Den svenska myndigheten kan t.ex. få frågan om ett tredjeland får vidareöverföra personupp- gifter som överförts dit. För det första måste det vara en behörig myndighet i Sverige som ger tillåtelse till vidareöverföringen. För det andra innebär hänvisningen till 2 § första stycket att det ska vara fråga om personuppgifter som en svensk myndighet har fått från en annan medlemsstat, t.ex. genom att de skickats elektroniskt eller att de gjorts tillgängliga i ett gemensamt datasystem. Person- uppgifterna ska sedan ha överförts till ett tredjeland eller till en internationell organisation som i sin tur vill vidareöverföra uppgif- terna till ett tredjeland eller en internationell organisation.

Dessutom krävs det att den behöriga myndigheten i den med- lemsstat som lämnade personuppgifterna till en svensk myndighet har medgett att uppgifterna får vidareöverföras. En annan behörig myndighet i den andra medlemsstaten kan också medge vidareöver- föring. Om medgivande saknas får den svenska myndigheten inte tillåta att personuppgifterna vidareöverförs.

Något formkrav för hur medgivandet ska lämnas finns inte. Ett medgivande skulle därför kunna lämnas muntligen. Någon form av dokumentation, t.ex. genom en tjänsteanteckning, torde dock vara nödvändig för att tillsynsmyndigheten i efterhand ska kunna kon- trollera om nödvändigt medgivande fanns innan den svenska myn- digheten tillät vidareöverföringen.

764

SOU 2017:29

Författningskommentar

7 §

I paragrafen, som tillsammans med 6 § genomför artikel 35.1, anges vad en svensk myndighet ska beakta när den tar ställning till en fråga från en annan medlemsstat om att ett tredjeland eller en internationell organisation ska få vidareöverföra personuppgifter som har överförts dit av den andra medlemsstaten. Paragrafen be- handlas i avsnitt 15.7.

Paragrafen ska alltså tillämpas på personuppgifter som har sitt ursprung i en svensk myndighet. Personuppgifterna har sedan överlämnats till en annan medlemsstat som in sin tur har överfört dem till det tredjelandet eller den internationella organisationen som vill vidareöverföra uppgifterna. Det är alltid en svensk behörig myndighet som ska medge vidareöverföringen. Med det avses an- tingen den svenska behöriga myndigheten som ursprungligen läm- nade personuppgifterna till den andra medlemsstaten eller en annan svensk behörig myndighet. Om exempelvis Polismyndigheten har lämnat personuppgifter till en annan medlemsstat, som överfört uppgifterna till det tredjeland som vill vidareöverföra dem, men ärendet handläggs av svensk åklagare när förfrågan om vidareöver- föring görs är det naturligt att Åklagarmyndigheten prövar frågan om vidareöverföring. Om personuppgifterna har sitt ursprung i en annan myndighet som inte är behörig i lagens mening, t.ex. Skatte- verkets beskattningsverksamhet eller Tullverkets verksamhet effek- tiv handel, bör den myndigheten rådfrågas om medgivande till vidareöverföring ska lämnas. Den rådfrågade myndigheten bör då, utifrån vad som är känt för den, beakta motsvarande omständig- heter som den behöriga myndigheten ska ta hänsyn till.

Vid bedömningen av om medgivande till vidareöverföring ska lämnas, ska enligt paragrafen alla omständigheter som har samband med vidareöverföringen beaktas. Av naturliga skäl kan hänsyn tas endast till sådana omständigheter som är kända när bedömningen görs. Det krävs inte att myndigheten gör omfattande efterforsk- ningar för att få fram alla omständigheter som skulle kunna ha be- tydelse för om medgivande ska lämnas.

I paragrafen pekas ut några omständigheter som ska tillmätas särskild vikt när en svensk behörig myndighet ska ta ställning till en förfrågan från en annan medlemsstat om vidareöverföring kan medges. Brottets allvar ska ses i ljuset av varför vidareöverföringen

765

Författningskommentar

SOU 2017:29

är nödvändig. Är exempelvis vidareöverföringen nödvändig för att förebygga brott är det allvaret i det brottet som ska beaktas. Om personuppgifter vidareöverförs till ett tredjeland för att den all- männa ordningen och säkerheten där ska kunna upprätthållas, är det i stället allvaret i faran som hotar ordningen eller säkerheten som ska beaktas. Även det ändamål för vilket personuppgifterna ursprungligen lämnades till den andra medlemsstaten ska beaktas. När det gäller skyddsnivån för personuppgifter, bör bl.a. lagstift- ningen i det tredjelandet beaktas. Uppräkningen av omständigheter i paragrafen är inte avsedd att vara uttömmande.

Det finns i och för sig inget som hindrar att en svensk behörig myndighet i förväg generellt medger att personuppgifter får vidare- överföras om det skulle komma att behövas. Det kan tvärtom ligga i den svenska myndighetens intresse att personuppgifterna får stor spridning om det t.ex. är fråga om en efterlyst person som efter- söks. En behörig myndighet ska dock, om den lämnar generella medgivanden till vidareöverföring, beakta att olika tredjeländer och internationella organisationer kan ha olika nivå på skyddet för per- sonuppgifter och att olika personuppgifter kan behöva olika starkt skydd.

Överföring till andra än behöriga myndigheter

8 §

Paragrafen, som genomför artikel 39.1 a–c och e, är ett undantag från kravet i 1 § första stycket 2 att överföring av personuppgifter till tredjeland ska göras till behöriga myndigheter. Om förutsätt- ningarna i paragrafen är uppfyllda får personuppgifter överföras även till andra än behöriga myndigheter. Det kan t.ex. vara företag och privatpersoner i ett tredjeland. Överföring till andra än behö- riga myndigheter får dock göras endast om samtliga i första stycket punkterna 1–3 angivna förutsättningar är uppfyllda. Paragrafen be- handlas i avsnitt 15.8.

Begränsningen i första stycket innebär att det enbart är vissa svenska behöriga myndigheter som har möjlighet att utnyttja möj- ligheten till överföring. En aktör som utövar myndighet men som inte är en myndighet får inte överföra personuppgifter till andra än behöriga myndigheter.

766

SOU 2017:29

Författningskommentar

Enligt punkten 1 ska överföringen vara absolut nödvändig för att den svenska myndigheten ska kunna utföra en arbetsuppgift som anges i 1 kap. 2 §. Kravet på absolut nödvändighet innebär att över- föringen inte kan underlåtas. Det kan vara fallet bl.a. vid brådskan- de delgivning av en fysisk person i ett tredjeland genom ett del- givningsföretag som är etablerat där. Ett annat exempel kan vara att Tullverket i sin underrättelseverksamhet kan behöva kontakta ett hotell eller ett transportföretag i ett tredjeland för att snabbt få fram information. Överföring kan också vara nödvändig för att en svensk myndighet ska kunna underrätta en målsägande enligt för- undersökningskungörelsen (1947:948) när en gripen, anhållen eller häktad avviker eller ett frihetsberövande hävs, eller enligt fängelse- förordningen (2010:2010) när en intagen har permission, rymmer, fritas eller friges.

Kravet i punkten 2 innebär en skyldighet för den svenska myn- dighet som överför personuppgifterna till någon som inte är en be- hörig myndighet att underrätta den som ska ta emot uppgifterna om för vilket eller vilka specifika ändamål de får behandlas.

Enligt punkten 3 krävs slutligen att den svenska myndigheten bedömer att det skulle vara ineffektivt eller på något annat sätt olämpligt att i stället överföra personuppgifterna till en behörig myndighet i det tredjelandet. Det kan vara något i tidigare kontak- ter med den behöriga myndigheten i det landet eller andra indika- tioner som ger anledning att tro att syftet med överföringen kan komma att förfelas eller att det på något annat sätt skulle vara olämpligt att överföra personuppgifterna via den behöriga myndig- heten. Däremot är bestämmelsen inte tillämplig enbart om det skulle ta längre tid att kanalisera personuppgifterna via en behörig myndighet därför att det t.ex. krävs en formell framställning om rättslig hjälp i brottmål.

Ett exempel är de mycket vanliga överföringarna som Polis- myndigheten gör till internetoperatörer för att förhindra och ut- reda internetrelaterad brottslighet. Det skulle vara ineffektivt om varje sådan överföring skulle behöva göras genom en behörig myn- dighet i mottagarlandet både med hänsyn till mängden förfråg- ningar och den brådska som ofta råder. Ett annat exempel är infor- mation som lämnas till en bank för att förhindra att banken utnytt- jas för brottsliga penningöverföringar. I sådana fall kan kontakt behöva tas omedelbart. När det gäller underrättelser till målsägande

767

Författningskommentar

SOU 2017:29

enligt förundersökningskungörelsen skulle det kunna medföra problem för målsäganden om underrättelserna alltid kanaliseras via det tredjelandets behöriga myndigheter.

Enligt andra stycket ska det göras en intresseavvägning mellan den registrerades intresse av skydd mot kränkning av grundläg- gande fri- och rättigheter och det allmännas intresse av att över- föringen kommer till stånd. Om den enskildes skyddsintresse väger tyngre får överföringen inte göras. Ett exempel kan vara om per- sonen som uppgifterna avser riskerar förföljelse på grund av sin religion eller politiska åskådning om personuppgifterna överförs till någon annan än en behörig myndighet i ett tredjeland. Intresse- avvägningen motsvarar den som enligt 5 § andra stycket ska göras när personuppgifter ska överföras i vissa särskilda situationer.

Villkor om användningsbegränsning

9 §

I paragrafen anges vad som gäller om en svensk behörig myndighet har fått personuppgifter från ett tredjeland eller en internationell organisation och överföringen försetts med villkor för använd- ningen av uppgifterna. Paragrafen behandlas i avsnitt 15.9.1.

Om det tredjelandet eller den internationella organisationen som överfört personuppgifterna med stöd av en bindande överens- kommelse har ställt upp särskilda villkor för hur en viss person- uppgift får behandlas, t.ex. av vem eller på vilket sätt uppgiften får användas eller hur länge den får behandlas, ska enligt paragrafen villkoren följas av svenska myndigheter. Det gäller oavsett vad som annars är föreskrivet i lag eller annan författning. Ett begränsande villkor följer med personuppgiften om den lämnas vidare till en annan myndighet (se JO 2007/08 s. 57). Den myndighet som läm- nar personuppgifter vidare anses vara skyldig att informera om be- gränsningen. Likartade bestämmelser om användningsbegränsning finns bl.a. i 6 kap. 4 § den föreslagna lagen (2017:000) om interna- tionellt polisiärt samarbete och 5 kap. 1 § lagen (2000:562) om in- ternationell rättslig hjälp i brottmål.

768

SOU 2017:29

Författningskommentar

10 §

Enligt paragrafen får en svensk behörig myndighet, när den överför personuppgifter till ett tredjeland eller en internationell organisa- tion ställa upp villkor som begränsar det tredjelandets eller den internationella organisationens möjlighet att använda uppgifterna. Paragrafen behandlas i avsnitt 15.9.2.

Förutsättningen för att få ställa upp sådana villkor är dels att det finns en bindande överenskommelse som medger sådana villkor, dels att det krävs med hänsyn till enskilds rätt eller från allmän synpunkt. Det får dock bara göras i enskilda fall.

Det kan vara aktuellt att ställa upp villkor om den överförande svenska myndigheten vill försäkra sig om att det tredjelandet inte vidareöverför uppgifterna till ett annat tredjeland eller en interna- tionell organisation utan att först inhämta tillstånd från den sven- ska myndigheten. Ett annat exempel kan vara att en svensk myn- dighet har fått personuppgifter från en annan medlemsstat med villkor som begränsar användningen. Om den svenska behöriga myndigheten, med den andra medlemsstatens medgivande, då vill överföra uppgifterna till ett tredjeland eller en internationell orga- nisation är det naturligt att den svenska myndigheten föreskriver motsvarande villkor för det tredjelandet eller den internationella organisationen.

Liknande bestämmelser finns bl.a. i 5 kap. 2 § lagen (2000:562) om internationell rättslig hjälp i brottmål och 6 kap. 4 § den före- slagna lagen (2017:000) om internationellt polisiärt samarbete.

Föreskrifter

11 §

I paragrafen upplyses om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om bl.a. informa- tion till annan medlemsstat när personuppgifter, som en svensk myndighet har fått från den andra medlemsstaten, har överförts till ett tredjeland eller en internationell organisation utan förhands- medgivande och information till behörig myndighet i tredjeland när personuppgifter har överförts till någon annan än en behörig myn- dighet i det tredjelandet.

769

Författningskommentar

SOU 2017:29

Övergångsbestämmelser

Övergångsbestämmelserna behandlas i avsnitt 6.1.4, 18.1 och 18.2. Punkten 1 föreskriver när lagen ska träda i kraft och punkten 2

att 2013 års lag då ska upphöra att gälla.

I punkten 3 föreskrivs att bestämmelsen om loggning i 3 kap. 5 § inte behöver tillämpas på automatiserade behandlingssystem som inrättats före den 6 maj 2018 förrän den 1 maj 2023.

Sanktionsavgift får enligt punkten 4 beslutas endast för överträ- delser som har begåtts efter ikraftträdandet. Bestämmelsen tydlig- gör att sanktionsavgift inte får beslutas för en överträdelse som har begåtts före ikraftträdandet, även om sanktionsavgift skulle be- traktas som en mildare åtgärd än ett straff.

Enligt punkten 5 ska äldre bestämmelser fortsätta att gälla för överträdelser av bestämmelser om personuppgiftsbehandling som begåtts före ikraftträdandet. Den gäller endast för sådana överträ- delser som varit straffbara enligt 49 § personuppgiftslagen. Vid be- dömningen av om det varit fråga om en överträdelse ska de krav som gällde för personuppgiftsbehandling vid tidpunkten för över- trädelsen tillämpas.

Punkten 6 föreskriver att ärenden om tillsyn över behandling av personuppgifter inom denna lags tillämpningsområde som har in- letts hos Datainspektionen eller Säkerhets- och integritetsskydds- nämnden före ikraftträdandet men ännu inte har avgjorts när lagen träder i kraft ska handläggas enligt äldre föreskrifter.

I punkten 7 föreskrivs att äldre föreskrifter också ska gälla för överklagande av beslut om behandling av personuppgifter inom denna lags tillämpningsområde som har meddelats före ikraftträ- dandet. Med äldre föreskrifter avses här personuppgiftslagen, per- sonuppgiftsförordningen eller särskilda överklagandebestämmelser i de behöriga myndigheternas registerförfattningar. Punkten tar inte bara sikte på själva överklagandet utan också på vilket regel- verk som ska tillämpas när överklagandet prövas. Äldre föreskrifter ska tillämpas även i det fallet.

Punkten 8 innebär att bestämmelserna om skadestånd i 48 § per- sonuppgiftslagen fortfarande ska gälla för skada som har orsakats vid behandling av personuppgifter inom denna lags tillämpnings- område före ikraftträdandet.

770

SOU 2017:29

Författningskommentar

19.2Förslaget till lag om ändring i lagen (2000:562) om internationell rättslig hjälp i brottmål

5 kap.

2 §

Paragrafen, som behandlas i avsnitt 9.5, reglerar möjligheten att ställa upp villkor om användningsbegränsningar i samband med rättslig hjälp.

Första stycket är oförändrat.

I andra stycket införs en upplysning om att det i brottsdatalagen (2018:000) finns bestämmelser om att villkor om hur personupp- gifter får behandlas inte får ställas upp i vissa fall.

19.3Förslaget till lag om ändring i lagen (2000:1219) om internationellt tullsamarbete

2 kap.

7 §

Paragrafen, som behandlas i avsnitt 9.5, reglerar möjligheten att ställa upp villkor om användningsbegränsningar i samband med internationellt tullsamarbete.

Första stycket är oförändrat.

I andra stycket införs en upplysning om att det i brottsdatalagen (2018:000) finns bestämmelser om att villkor om hur personupp- gifter får behandlas inte får ställas upp i vissa fall.

19.4Förslaget till lag om ändring i lagen (2003:1174) om vissa former av internationellt samarbete i brottsutredningar

6 §

Paragrafen, som behandlas i avsnitt 9.5, reglerar möjligheten att ställa upp villkor om användningsbegränsningar inom ramen för gemensamma utredningsgrupper.

771

Författningskommentar

SOU 2017:29

Första stycket är oförändrat.

I andra stycket införs en upplysning om att det i brottsdatalagen (2018:000) finns bestämmelser om att villkor om hur personupp- gifter får behandlas inte får ställas upp i vissa fall.

19.5Förslaget till lag om ändring i offentlighets- och sekretesslagen (2009:400)

9 kap.

2 §

Paragrafen, som behandlas i avsnitt 16.3.5, innehåller en upplysning om att det finns bestämmelser som gör det möjligt att ställa upp villkor om användningsbegränsning i andra författningar.

Punkterna 1–9 är oförändrade.

Punkterna 10 och 11 är enbart omnumrerade.

Punkten 12, som är ny, innehåller en hänvisning till brottsdata- lagen (2018:000).

17 kap.

7 c §

Paragrafen, som är ny, reglerar sekretessen hos den myndighet som utsetts till tillsynsmyndighet enligt brottsdatalagen (2018:000) vid samarbete med tillsynsmyndigheter i andra medlemsstater. Vilka stater som är medlemsstater och vad som avses med tillsynsmyn- dighet framgår av 1 kap. 6 § brottsdatalagen. Paragrafen behandlas i avsnitt 16.3.2 och 16.3.3.

I första stycket föreskrivs att sekretess gäller för uppgifter som lämnas till den svenska tillsynsmyndigheten av en tillsynsmyndig- het i en annan medlemsstat i samband med en begäran om svenskt bistånd med tillsyn. Det kan exempelvis vara uppgifter som kan ge inblick i enskilda ärenden hos ett utländskt tillsynsobjekt eller av- slöja hur arbetet bedrivs där. Sekretessen skyddar alltså utländska intressen. Att uppgiften ska ha lämnats i samband med en begäran om bistånd innebär inte att den behöver ha lämnats i själva begäran utan den kan även härröra från de fortsatta kontakterna. Det kan

772

SOU 2017:29

Författningskommentar

t.ex. vara fråga om en uppgift som den utländska tillsynsmyndig- heten lämnat spontant.

Sekretessen gäller om det kan antas att den svenska tillsyns- myndighetens möjlighet att bedriva tillsyn motverkas om uppgiften röjs. Vid bedömningen bör vägas in vilken effekt offentliggörande av uppgiften skulle antas få på det framtida samarbetet och på den svenska tillsynsmyndighetens möjligheter att få bistånd i sin tillsyn från andra medlemsstater.

I andra stycket anges att sekretessen gäller i högst 40 år för upp- gift i allmän handling.

35 kap.

4 b §

Paragrafen, som är ny, reglerar sekretessen hos behöriga myndig- heter för uppgifter i sammanställningar av känsliga personuppgifter enligt 2 kap. 14 § brottsdatalagen (2018:000). Paragrafen behandlas i avsnitt 16.4.

I första stycket föreskrivs att sekretess ska gälla hos behöriga myndigheter för uppgifter i sammanställningar av känsliga person- uppgifter. Sekretessen är absolut, vilket innebär att de uppgifter som omfattas av bestämmelsen ska hemlighållas utan någon skade- prövning om uppgifterna begärs ut.

I andra stycket anges att sekretessen gäller i högst 70 år för upp- gift i allmän handling.

24 §

I paragrafen anges i vilken utsträckning den tystnadsplikt som föl- jer av sekretessbestämmelserna i kapitlet inskränker den rätt att meddela och offentliggöra uppgifter som följer av 1 kap. 1 § tryck- frihetsförordningen och 1 kap. 1 och 2 §§ yttrandefrihetsgrund- lagen. Paragrafen behandlas i avsnitt 16.4.

I ett nytt första stycke föreskrivs att den tystnadsplikt som följer av 4 b § ska ha företräde framför rätten att meddela och offentlig- göra uppgifter.

773

Författningskommentar

SOU 2017:29

I andra stycket görs enbart redaktionella ändringar, medan tredje stycket är oförändrat.

19.6Förslaget till lag om ändring i lagen (2017:000) om internationellt polisiärt samarbete

6 kap.

4 §

Paragrafen, som behandlas i avsnitt 9.5, reglerar möjligheten för en svensk brottsbekämpande myndighet att ställa upp villkor om an- vändningsbegränsningar. Det införs en upplysning om att det i brottsdatalagen (2018:000) finns bestämmelser om att villkor om hur personuppgifter får behandlas inte får ställas upp i vissa fall. Paragrafen är i övrigt oförändrad.

774

Särskilda yttranden

Särskilt yttrande av experten advokaten Conny Larsson

Jag ställer mig bakom utredningens bedömningar och de bestäm- melser som föreslås men med följande reservationer. Myndigheter- nas intresse att nå resultat i sin verksamhet kommer ofta att stå i konflikt med den personliga integriteten. Avvägningen däremellan görs av samma personal som företräder myndighetens intresse. Regelverket är dessutom svårt att överblicka och det ställs mycket stora krav på kunskaper för att förstå hur reglerna hänger ihop. Jag vill därför framhålla nödvändigheten i att personalen som behandlar personuppgifter får utbildning och annat stöd som behövs för att kunna göra korrekta bedömningar.

Förslagets definition av ”personuppgiftsbiträde” hänvisar till ett särskilt och skriftligt avtal. Eftersom definitionen i direktivet en- dast förutsätter ett avtal och inte även att detta är skriftligt, in- skränker förslaget vilka som definitionsmässigt kan utgöra person- uppgiftsbiträde. Om någon anlitas utan att avtalet ges skriftlig form anses denne inte vara något personuppgiftsbiträde och om- fattas då inte av direktivets krav på personuppgiftsbiträdena. Jag finner det mindre lyckat att skyddet för den personliga integriteten på detta sätt blir beroende av om avtalet upprättats skriftligen eller inte och skulle därför föredra samma definition som i direktivet så att kravet på att avtalet ska vara skriftligt utgår.

Vid anlitande av personuppgiftsbiträde måste särskilt bedömas om det är lagligt att låta denne få tillgång till de personuppgifter som ska behandlas. Detta kan nämligen utgöra ett utlämnande eller röjande av uppgifterna, även om personuppgiftsbiträdet inte fak- tiskt och aktivt tar del av uppgifterna. Om uppgifterna omfattas av sekretess kan röjandet vara otillåtet, särskilt när det är fråga om uppgifter som omfattas av absolut sekretess eller omvänt skaderek-

775

Särskilda yttranden

SOU 2017:29

visit. Detta kan inte alltid åtgärdas genom sekretessavtal, säker- hetskrav, behörighetsbegränsningar, loggning eller kontroll av per- sonal hos personuppgiftsbiträdet. Eftersom personuppgifterna ofta är av känsligt slag eller kan leda till särskilda konsekvenser för de registrerade vill jag framhålla att det är särskilt angeläget att noggrant utreda om tillämpliga sekretessregler eller säkerhetskrav medger anlitande av ett utomstående personuppgiftsbiträde innan denne får tillgång till personuppgifterna (se t.ex. JO dnr 2011-3032).

Förslaget innebär vidare att personuppgifter ska få behandlas för andra ändamål än de ursprungliga, om det kan anses nödvändigt och proportionerligt. Enligt direktivet ska det även vara nödvändigt och proportionerligt enligt unionsrätten eller medlemsstaternas nationella rätt. Enligt 2 kap. 21 § regeringsformen måste detta även vara godtagbart i ett demokratiskt samhälle som motsvarar vad som gäller enligt den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna. Jag finner det mycket angeläget att det sätts tydliga gränser för de sekundära ändamålen och att förslaget kompletteras med ett krav på att än- damålen även ska vara godtagbara i ett demokratiskt samhälle.

I brottsbekämpande sammanhang kan felaktig information leda till förödande konsekvenser för den registrerade. Det måste såsom anges i direktivet ställas stora krav på att alla rimliga åtgärder vidtas för att säkerställa uppgifternas riktighet. Detta är särskilt angeläget då uppgifterna behandlas i hemlighet utan att den registrerade kan påpeka eventuella felaktigheter. När det gäller att bedöma vilka konkreta säkerhetskrav behandlingen innebär kommer myndighe- terna att ställas inför svåra bedömningar. Det kommer att finnas ett mycket stort behov av stöd och vägledning, inte bara vad gäller hur de tekniska lösningarna ska utformas utan även beträffande organi- sation och administration. Därför är det av väsentlig betydelse att tillsynsmyndigheterna verkligen får de resurser och den kompetens som behövs för att kunna bistå de personuppgiftsansvariga, t.ex. genom stickprov, rådgivning och information.

De sanktionsavgifter som kan bli aktuella vid åsidosättanden av skyldigheterna ska enligt förslaget tillfalla staten. Flertalet av de myndigheter som berörs är statliga förvaltningsmyndigheter. Inne- börden blir således att staten i praktiken kommer att betala sank- tionsavgifterna till sig själv. Samtidigt föreslås att inga straffbe- stämmelser ska ingå och de skadeståndsbelopp som enligt rätts-

776

SOU 2017:29

Särskilda yttranden

praxis normalt utdöms vid kränkningar av den personliga integri- teten är blygsamma (jfr Högsta domstolens dom den 6 december 2013, T 2807-12). Jag är därför mycket tveksam till att sanktions- avgifterna verkligen kommer att få den avhållande effekt som åsyf- tas i direktivet och oroar mig för de signaler detta sänder till all- mänheten.

Avslutningsvis vill jag framhålla de särskilda risker för den per- sonliga integriteten som typiskt sett föreligger när personuppgifter ska lämnas ut till annat land. Detta gäller särskilt när det är fråga om länder utanför EU eller EES där det är oklart om det finns ett adekvat skydd för den personliga integriteten. Här är det svårt att förutse och kontrollera hur personuppgifterna kommer att använ- das efter det att de överlämnats, särskilt eftersom det inte med bin- dande verkan går att uppställa villkor eller krav som strider mot nationell rätt i dessa länder. En noggrann bedömning av riskerna för att personuppgifterna kan komma att behandlas och användas för andra ändamål som inte skulle vara tillåtet i Sverige är i dessa fall av utomordentligt stor betydelse.

777

Särskilda yttranden

SOU 2017:29

Särskilt yttrande av experten verksjuristen David Kummel

Allmän utgångspunkt avseende förhållandet mellan dataskyddsförordningen och dataskyddsdirektivet

En grundläggande tanke som präglar stora delar av utredningens förslag är att dataskyddsdirektivet ska implementeras på ett sätt som ligger så nära dataskyddsförordningen som möjligt. I flera sammanhang, se bland annat avsnitt 12.2 och 13.1.3, poängteras att förordningen och direktivet uppvisar stora likheter gällande såväl begreppsanvändning som reglering i sak. Att likheter finns följer av att de båda regelverken har arbetats fram i en samordnad process. För personuppgiftsbehandling inom det brottsbekämpande områ- det gör sig emellertid helt andra behov och avvägningar gällande än vad som är fallet på den allmänna förordningens område. Det är också anledningen till att en särskild rättsakt har valts för det brottsbekämpande området. En grundprincip i dataskyddsregelver- ket är den avvägning som krävs för att avgöra om personuppgifts- behandlingen är berättigad. Vad som är berättigat inom rätts- väsendet avgörs inte huvudsakligen av de berörda myndigheterna, utan av lagstiftaren. Inom direktivets område är förhållanden mel- lan stat och individ och avvägningar mellan det berättigade intresset av att brott bekämpas och olika former av inskränkningar i enskil- das personliga integritet noggrant författningsreglerade.

Under förhandlingsarbetet har det eftersträvats att de båda rättsakterna inte i onödan ska skilja sig åt i begreppsanvändning eller sakinnehåll. Med det i beaktande måste utgångspunkten vara att varje kvarvarande avvikelse i direktivet har föranletts av en aktiv bedömning att regleringen på direktivets område ska skilja sig åt från vad som gäller enligt förordningen. Av denna anledning bör enligt min mening implementeringen av direktivet som utgångs- punkt ta fasta på de skillnader som föreligger mellan rättsakterna, inte likheterna. Att med hänvisning till enhetlighet och en förvän- tad enklare praktisk tillämpning ställa väsentligt annorlunda eller höjda krav på personuppgiftsansvariga än vad direktivet stadgar riskerar att ge oönskade hämmande effekter på brottsbekämpande myndigheters förmåga att fullfölja det uppdrag som statsmakterna gett dem. Därutöver finns en uppenbar risk att det leder till att det ställs krav på brottsbekämpande myndigheter att ägna sig åt admi-

778

SOU 2017:29

Särskilda yttranden

nistration och dokumentation som inte möts av att skyddet för enskildas integritet på ett motsvarande sätt stärks i realiteten.

Mot denna bakgrund bör särskilt tas fasta på utredningsdirekti- vens konstaterande att ”när det gäller uppgifter och befogenheter för en tillsynsmyndighet innehåller direktivet särskilt anpassade bestämmelser”. Jag menar att utredningen, i denna och andra frå- gor, särskilt borde ha angett en motivering till att de lämnade för- slagen går längre än vad direktivet kräver eller annars genomförs på ett sätt som anpassas till den nationella regleringen på förordning- ens område. Dessa förslag bör i det fortsatta lagstiftningsarbetet genomföras endast i den utsträckning de kan motiveras och skapa en önskvärd balans mellan direktivets övergripande syfte: att säker- ställa ett effektivt rättsväsende genom främjandet av en informa- tionshantering i och mellan medlemsstater, samtidigt som enskildas personliga integritet skyddas.

Ramlagens tillämplighet på behandling av personuppgifter i syfte att upprätthålla allmän ordning och säkerhet

Enligt min mening har utredningen kraftigt beskurit ramlagens till- lämpningsområde när det gäller personuppgiftsbehandling som sker i syfte att (med direktivets lydelse) skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. Utöver brottsbekämp- ning och myndighetsutövning för att mer handgripligen upprätthålla ordning vid demonstrationer och liknande förtydligar direktivets beaktandesats 12 att ”Polisens och andra brottsbekämpande myndig- heters verksamhet […] omfattar också upprätthållande av lag och ordning som en uppgift som anförtros åt polisen eller andra brottsbekämpande myndigheter när det är nödvändigt för att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten och mot i lag skyddade grundläggande allmänna intressen som kan leda till ett brott.”

Att statsmakterna har lagt arbetsuppgifter på Polismyndigheten har i vissa fall med frågor om våldsanvändning att göra, men i många fall motiveras det även utifrån att arbetsuppgiften angränsar till polisens grundläggande brottsförebyggande och ordningshål- lande uppdrag, liksom av det faktum att de informationsunderlag som krävs för att genomföra uppgiften redan finns tillgängliga inom den brottsbekämpande verksamheten. Ofta finns det således

779

Särskilda yttranden

SOU 2017:29

inom sådan verksamhet ett stort behov av att söka och nyttja upp- gifter som finns i myndigheten, men mer sällan ett behov av att samla in och påbörja ny behandling av personuppgifter.

Jag anser att det finns skäl att låta större delar av polisens icke brottsbekämpande verksamhet omfattas av ramlagen, bland annat gränskontrollverksamhet och polisens transport, omhändertagande och förvar av ej brottsmisstänkta personer. Direktivet innehåller inget som förhindrar en sådan implementering, samtidigt som det väsentligen skulle underlätta vid tillämpningen att ha en och samma rättsliga grund för personuppgiftsbehandlingen för dessa och brottsbekämpande syften. Arbetsuppgifterna utförs i många fall sömlöst ihop med brottsbekämpande verksamhet och kräver ofta behandling av personuppgifter som primärt behandlas för brottsbe- kämpande ändamål för att kunna fatta effektiva och rättssäkra beslut för att upprätthålla allmän ordning och säkerhet.

780

Kommittédirektiv 2016:21

Genomförande av EU:s direktiv om skydd av personuppgifter vid brottsbekämpning, brottmålshantering och straffverkställighet

Beslut vid regeringssammanträde den 17 mars 2016

Sammanfattning

Inom kort förväntas EU besluta om ett direktiv med regler om skydd av personuppgifter när behöriga myndigheter behandlar sådana uppgifter vid brottsbekämpning, brottmålshantering eller straffverkställighet. En särskild utredare ska föreslå hur EU- direktivet ska genomföras i svensk rätt. Utredaren ska bl.a.

lämna förslag till en ny ramlagstiftning med bestämmelser om skydd av personuppgifter inom direktivets tillämpningsområde,

lämna de förslag till författningsändringar som krävs för att anpassa vissa centrala författningar om rättsväsendets behand- ling av personuppgifter till de nya förutsättningarna,

bedöma om direktivet ger anledning till ny eller ändrad reglering om tillsyn och vid behov lämna författningsförslag,

bedöma om det finns anledning att reglera Säkerhetspolisens personuppgiftsbehandling separat från den lagstiftning som gäller för Polismyndigheten och vid behov lämna författnings- förslag.

Utredaren ska senast den 1 april 2017 i ett delbetänkande redovisa uppdraget i den del det rör dels en ny ramlagstiftning, dels tillsyn

781

Bilaga 1

SOU 2017:29

inom direktivets tillämpningsområde. Uppdraget ska slutredovisas senast den 30 september 2017.

Den nuvarande regleringen och EU:s dataskyddsreform

Några grundläggande bestämmelser om skydd av personuppgifter vid brottsbekämpning

Grundläggande bestämmelser till skydd för den personliga inte- griteten finns i regeringsformen. I 1 kap. 2 § första stycket slås det fast att den offentliga makten ska utövas med respekt bl.a. för den enskilda människans frihet och i fjärde stycket anges bl.a. att det allmänna ska värna den enskildes privatliv och familjeliv. Enligt 2 kap. 6 § andra stycket är var och en gentemot det allmänna skyd- dad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Behandling av personupp- gifter i brottsbekämpande myndigheters verksamhet kan typiskt sett falla under bestämmelsen. Inskränkningar i det grundlagsfästa skyddet kan endast göras genom lag och bara under de förut- sättningar som anges i 2 kap. regeringsformen.

I EU:s stadga om de grundläggande rättigheterna (EUT C 83, 30.3.2010, s. 389) bekräftas de rättigheter som har sin grund i med- lemsstaternas gemensamma författningstraditioner och internation- ella förpliktelser, Europakonventionen, unionens och Europarådets sociala stadgor samt rättspraxis vid Europeiska unionens domstol och Europeiska domstolen för de mänskliga rättigheterna. Artikel 8 i stadgan reglerar skydd av personuppgifter. Enligt artikeln har var och en rätt till skydd av de personuppgifter som rör honom eller henne. Sådana uppgifter ska behandlas lagenligt för bestämda ända- mål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få dem rättade. En oberoende myndighet ska kontrollera att reglerna efterlevs.

I detta sammanhang bör även artikel 8 i Europakonventionen nämnas. Enligt artikeln har var och en rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Med detta avses bl.a. skyddet av personuppgifter. Rättigheten är dock inte

782

SOU 2017:29

Bilaga 1

absolut. Inskränkningar får göras med stöd av lag och om det är nödvändigt och proportionerligt i ett demokratiskt samhälle med hänsyn till vissa särskilt angivna ändamål, bl.a. förebyggande av oordning och brott.

Den nuvarande EU-regleringen

Den allmänna regleringen om behandling av personuppgifter inom EU finns i dag i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med av- seende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet). Direktivet gäller inte på området för polissamarbete och straffrättsligt samarbete och inte heller på området för nationell säkerhet.

Den nuvarande EU-regleringen i rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behand- las inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsrambeslutet) är tillämplig på informationsutbyte över gränserna. Dataskyddsrambeslutet är alltså tillämpligt på uppgifter som överförs eller görs tillgängliga mellan medlemsstater eller mellan medlemsstater och EU-organ och vissa informationssystem. Data- skyddsrambeslutet gäller däremot inte för rent nationell person- uppgiftsbehandling. Från tillämpningsområdet undantas också personuppgiftsbehandling inom området nationell säkerhet.

Den nuvarande svenska regleringen

Dataskyddsdirektivet har genomförts i svensk rätt huvudsakligen genom personuppgiftslagen (1998:204). Personuppgiftslagen har gjorts generellt tillämplig vilket innebär att den gäller även utanför EU-rättens tillämpningsområde och alltså reglerar behandling av personuppgifter oavsett ändamålet med behandlingen. Person- uppgiftslagen är dock subsidiär i förhållande till andra lagar och förordningar. Inom flera områden, bl.a. när det gäller brotts- bekämpning, finns särlagstiftning i s.k. registerförfattningar som helt eller delvis ersätter personuppgiftslagen. När särregleringen helt ersätter personuppgiftslagen, görs som regel hänvisningar till vissa paragrafer i lagen som ändå ska gälla. Sådana hänvisningar görs

783

Bilaga 1

SOU 2017:29

ofta till personuppgiftslagens bestämmelser om bl.a. information till den registrerade, rättelser, säkerheten vid behandling, över- föring av personuppgifter till tredjeland, tillsynsmyndighetens befogenheter och skadestånd.

Vid genomförandet av dataskyddsrambeslutet bedömdes mer- parten av rambeslutets artiklar motsvaras av bestämmelser i svensk rätt, dels i personuppgiftslagen, dels i berörda myndigheters register- författningar. De kompletterande bestämmelser som krävdes genomfördes i en särskild lag, lagen (2013:329) med vissa bestäm- melser om skydd för personuppgifter vid polissamarbete och straff- rättsligt samarbete inom Europeiska unionen.

EU:s dataskyddsreform

Inom kort väntas en ny EU-förordning antas om skydd för enskilda personer med avseende på behandling av personuppgifter och det fria flödet av sådana uppgifter (nedan dataskyddsförord- ningen).1 Samtidigt väntas ett nytt EU-direktiv antas om skydd för enskilda personer med avseende på behöriga myndigheters behand- ling av personuppgifter för att förebygga, utreda, upptäcka eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter (nedan det nya dataskyddsdirektivet).2

Dataskyddsförordningen utgör en ny generell reglering för personuppgiftsbehandling inom EU och kommer att ersätta data- skyddsdirektivet från år 1995. Den börjar tillämpas två år räknat från den tjugonde dagen efter publicering i Europeiska unionens officiella tidning. Det huvudsakliga syftet med förordningen är att ytterligare harmonisera och effektivisera skyddet för personuppgifter för att förbättra den inre marknadens funktion och öka enskildas kontroll över sina personuppgifter.

Från dataskyddsförordningens tillämpningsområde undantas bl.a. personuppgiftsbehandling som utförs av behöriga myndig- heter i syfte att förebygga, utreda, upptäcka eller lagföra brott eller verkställa straff, inkluderande skydd mot samt förebyggande av hot

1

Kommittédirektiven utgår från den version av förslaget som finns i dok 5455/16 av den

28 januari 2016.

2

Kommittédirektiven utgår från den version av förslaget som finns i dok 5463/16 av den

28 januari 2016.

784

SOU 2017:29

Bilaga 1

mot den allmänna säkerheten. Den personuppgiftsbehandling som görs för dessa syften faller i stället under det nya dataskyddsdirek- tivets tillämpningsområde. Direktivet ska dels skydda fysiska per- soners grundläggande fri- och rättigheter, särskilt deras rätt till skydd av personuppgifter, dels underlätta det informationsutbyte mellan behöriga myndigheter som är nödvändigt enligt unionsrätt eller nationell rätt.

Från både förordningens och direktivets tillämpningsområden undantas personuppgiftsbehandling i verksamhet som inte om- fattas av unionsrätten, däribland området nationell säkerhet.

EU:s dataskyddsreform kommer att kräva en bred översyn av svenska författningar om personuppgiftsbehandling. Bland övrigt utredningsarbete bör nämnas att en särskild utredare har i uppdrag att föreslå de anpassningar och kompletterande författnings- bestämmelser på generell nivå som dataskyddsförordningen ger anledning till (dir. 2016:15). Den utredningen syftar till att säker- ställa att det finns en ändamålsenlig och välbalanserad komplette- rande nationell reglering om personuppgiftsbehandling när förord- ningen börjar tillämpas.

Uppdraget att föreslå hur EU-direktivet ska genomföras i svensk rätt

En väl avvägd balans är nödvändig mellan å ena sidan skyddet för den personliga integriteten och å andra sidan samhällets krav på att brott förebyggs och förhindras, att brott utreds och att personer som begår brott lagförs. Den svenska regleringen om skydd av personuppgifter inom direktivets tillämpningsområde har i stor utsträckning nyligen moderniserats och bedömts ändamålsenlig. En avvägning mellan olika intressen har då gjorts. En allmän utgångs- punkt för uppdraget är därför att utredaren ska sträva efter prin- cipiella lösningar som ansluter till nuvarande systematik i bl.a. polisdatalagen (2010:361), åklagardatalagen (2015:433) och dom- stolsdatalagen (2015:728). Även i övrigt ska utredaren så långt det är lämpligt och möjligt sträva efter principiella lösningar som är förenliga med gällande författningar och systematik. Vid utform- ningen av de författningsförslag som lämnas ska utredaren beakta EU:s stadga om de grundläggande rättigheterna och de inter- nationella konventioner på området som Sverige är förpliktat att

785

Bilaga 1

SOU 2017:29

följa. Liksom vid all lagstiftning ska enkelhet, överskådlighet och konsekvens eftersträvas för det samlade regelverket om skydd av personuppgifter. I detta ligger också att förslagen så långt som möjligt ska vara kostnadseffektiva.

Direktivet kommer att vara ett resultat av förhandlingar och kompromisser i och mellan kommissionen, rådet och Europa- parlamentet, vilket kan medföra oklarheter och otydligheter i text och systematik. Utredaren ska därför eftersträva att innebörden av direktivet vid behov förklaras och tydliggörs.

En ny ramlagstiftning för skydd av personuppgifter vid brottsbekämpning, brottmålshantering och straffverkställighet

Det nya dataskyddsdirektivet innehåller ett antal bestämmelser som innebär förpliktelser för medlemsstaterna. Medlemsstaterna ska vidta de åtgärder som är nödvändiga för att följa bestämmel- serna i direktivet.

I förhållande till nuvarande svensk reglering innehåller direk- tivet en delvis ny eller mer detaljerad reglering om rättigheter för enskilda och om skyldigheter för personuppgiftsansvariga eller biträden när det gäller bl.a. datasäkerhet, dokumentation och logg- ning, konsekvensanalyser och förhandssamråd med tillsynsmyndig- het och regler om underrättelser vid s.k. personuppgiftsincidenter.

Direktivet innehåller också regler som anpassats för rättsaktens tillämpningsområde om överföring av personuppgifter till tredje- land och internationella organisationer. Även när det gäller upp- gifter och befogenheter för en tillsynsmyndighet innehåller direk- tivet särskilt anpassade bestämmelser.

Enligt direktivet har enskilda vissa rättigheter, bl.a. att vända sig till en tillsynsmyndighet med klagomål, att få tillgång till rätts- medel både mot tillsynsmyndighetens beslut och mot åtgärder av en personuppgiftsansvarig eller biträde samt att få ersättning av an- svariga som inte lever upp till direktivets krav. Direktivet förpliktar även medlemsstater att föreskriva regler om påföljder eller sank- tioner vid överträdelser av bestämmelser som genomför direktivet.

Direktivets tillämpningsområde omfattar personuppgiftsbe- handling som utförs av behöriga myndigheter i syfte att förebygga, utreda, upptäcka eller lagföra brott eller verkställa straff, inkluderande skydd mot samt förebyggande av hot mot den all-

786

SOU 2017:29

Bilaga 1

männa säkerheten. Det finns behov av att utifrån svenska för- hållanden analysera och beskriva direktivets tillämpningsområde. Det behöver bl.a. analyseras i vilken utsträckning även person- uppgiftsbehandling vid andra myndigheter än dem som ingår i rättskedjan, exempelvis Statens institutionsstyrelse och Rätts- medicinalverket, omfattas av direktivets förpliktelser.

Som framgått är det personuppgiftslagen som i dag i huvudsak innehåller reglering av motsvarande slag som det nya dataskydds- direktivet kräver. När den nya dataskyddsförordningen börjar tillämpas kommer dock personuppgiftslagen och föreskrifter i anslutning till den lagen att behöva upphävas. Det regelverk som ersätter personuppgiftslagen – förordningen och kompletterande nationella bestämmelser – är inte anpassat till de särskilda förut- sättningar som gäller för personuppgiftsbehandling inom området för brottsbekämpning, brottmålshantering och straffverkställighet. Det bedöms emellertid fortfarande vara lämpligt med ett så långt som möjligt gemensamt regelverk om behandling av personupp- gifter för de myndigheter som bedriver verksamhet inom det aktuella området. Det behövs därför en ny svensk ramlagstiftning för skydd av personuppgifter inom direktivets tillämpningsområde och att utredaren utgår från detta vid analyser, bedömningar och förslag.

Efter en analys av direktivets tillämpningsområde är det möjligt att utredaren bedömer att myndigheter som för närvarande inte omfattas av särreglering i registerförfattningar kommer att om- fattas av direktivets krav. Det finns därför anledning att i första hand undersöka om den nya ramlagstiftningen kan utformas på ett sätt som inte förutsätter att det tas fram nya, kompletterande, registerförfattningar för sådana myndigheter.

Det behöver analyseras hur direktivets förpliktelser förhåller sig till svensk rätt. Förutom en övergripande analys avseende för- hållandet till svensk reglering av personuppgiftsbehandling inom direktivets tillämpningsområde, behöver analysen omfatta för- hållandet till nationell reglering avseende sekretess och arkiv lik- som förvaltningsrätt, processrätt och skadeståndsrätt. Behovet av analys omfattar exempelvis frågan om hur direktivets utrymme för begränsningar av enskildas rätt till information eller tillgång till sina egna personuppgifter förhåller sig till svensk sekretessreglering och hur möjligheterna att anpassa tidpunkten för den enskildes ut-

787

Bilaga 1

SOU 2017:29

övande av rätten till insyn förhåller sig till nationella straff- processuella bestämmelser.

Direktivet innehåller en bestämmelse om att dataskyddsram- beslutet ska upphävas. Frågan är vilka konsekvenser det får för den svenska lagstiftning som delvis genomförde rambeslutet, lagen med vissa bestämmelser om skydd för personuppgifter vid polissam- arbete och straffrättsligt samarbete inom Europeiska unionen.

Utredaren ska alltså

analysera och beskriva direktivets tillämpningsområde,

analysera hur svensk rätt förhåller sig till direktivets för- pliktelser,

bedöma i vilka avseenden ny eller ändrad författningsreglering krävs för att Sverige ska leva upp till förpliktelserna,

lämna förslag till en ny ramlagstiftning för skydd av personupp- gifter inom direktivets tillämpningsområde,

ta ställning till om lagen med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen bör upphävas och vid behov lämna förslag till författningsändringar, och

om det behövs, lämna förslag till författningsändringar även på andra områden än den reglering som närmast rör personupp- giftsbehandling.

Hur behöver centrala författningar om rättsväsendets personuppgiftsbehandling anpassas?

Inom det nya dataskyddsdirektivets tillämpningsområde hanterar rättsväsendet en stor mängd information som innebär behandling av personuppgifter. Ett antal författningar är i detta avseende av central betydelse. Det gäller polisdatalagen, lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar, lagen (2005:787) om behandling av uppgifter i Tullverkets brotts- bekämpande verksamhet, kustbevakningsdatalagen (2012:145), åklagardatalagen, domstolsdatalagen och lagen (2001:617) om behandling av personuppgifter inom kriminalvården. De berörda lagarna kompletteras av förordningar.

788

SOU 2017:29

Bilaga 1

Det krävs en närmare analys och bedömning av i vilken ut- sträckning direktivets förpliktelser medför behov av ändringar av de angivna lagarna och de tillhörande förordningarna. Det kommer också att krävas en anpassning av de angivna författningarna med anledning av en ny ramlagstiftning för skydd av personuppgifter inom direk- tivets tillämpningsområde när personuppgiftslagen upphävs.

Utredaren ska därför

analysera och bedöma behovet av författningsändringar för att anpassa de angivna författningarna till direktivets förpliktelser och de nya förutsättningarna för regleringen, och

lämna förslag till författningsändringar.

Inom direktivets tillämpningsområde berörs, utöver de angivna lagarna och förordningarna, även andra författningar av direktivets förpliktelser eller andra delar av EU:s dataskyddsreform. Det gäller t.ex. lagen (1998:620) om belastningsregister och lagen (1998:621) om misstankeregister. Det ligger dock inte inom ramen för utredarens uppdrag att se över behovet av ändringar när det gäller de lagarna eller andra författningar som inte har angetts här.

Personuppgiftsbehandling vid tillhandahållande av information – bör även dataskyddsförordningens reglering kompletteras?

Polismyndigheten, Skatteverket, Tullverket, Kustbevakningen, åklagarväsendet, domstolsväsendet och Kriminalvården kommer att tillämpa regleringen i dataskyddsförordningen när de behandlar personuppgifter i verksamhet som utförs i annat syfte än att be- kämpa brott, hantera brottmål eller verkställa straff. Som en ut- gångspunkt ingår det inte i utredarens uppdrag att se över eller lämna förslag till förändringar av författningar inom förordningens tillämpningsområde. Det gäller även i den utsträckning t.ex. kust- bevakningsdatalagen eller domstolsdatalagen reglerar behandling av personuppgifter inom förordningens tillämpningsområde.

Enligt det nya dataskyddsdirektivets artikel 7a ska person- uppgifter som samlas in av behöriga myndigheter i syfte att bekämpa brott, hantera brottmål eller verkställa straff inte därefter behandlas för andra ändamål än de som ryms inom direktivets tillämpningsområde, om inte sådan behandling är tillåten enligt

789

Bilaga 1

SOU 2017:29

unionsrätten eller nationell rätt. I sådana fall ska dataskyddsförord- ningen tillämpas på denna behandling, om inte behandlingen utförs som ett led i en verksamhet som inte omfattas av unionsrätten. Förordningens reglering tillämpas alltså redan vid tillhandahållan- det när t.ex. uppgifter som samlats in under en förundersökning överförs för ändamål som faller utanför direktivets tillämpnings- område. Enligt den nuvarande svenska regleringen finns bestäm- melser som reglerar tillåtligheten av behandling för sådant till- handahållande, s.k. sekundära ändamål, i den författning som reglerar myndighetens behandling av personuppgifter för brotts- bekämpande ändamål (se t.ex. 2 kap. 8 § polisdatalagen).

Förordningen ger ett visst utrymme för medlemsstaterna att behålla eller införa mer specifika bestämmelser om hur bestäm- melserna i förordningen ska tillämpas (förordningens artikel 6.2a). Det krävs en analys och bedömning av i vilken utsträckning det är möjligt och lämpligt att utnyttja förordningens utrymme att behålla eller införa specifik reglering i svensk rätt som tar sikte på den typ av situation som beskrivits.

Utredaren ska därför

analysera om det finns utrymme för och behov av att inom förordningens tillämpningsområde införa eller behålla specifik reglering i svensk rätt om behandling av personuppgifter för tillhandahållande av information, och

vid behov föreslå författningsändringar.

Hur behöver reglerna om tillsyn anpassas?

Tillsyn över behandling av personuppgifter inom det nya data- skyddsdirektivets tillämpningsområde utövas i dag av Datainspek- tionen. Säkerhets- och integritetsskyddsnämnden har också ett tillsynsuppdrag och granskar bl.a. brottsbekämpande myndigheters användning av hemliga tvångsmedel och polisens personuppgifts- behandling. Att Datainspektionens tillsyn kompletteras med tillsyn av en myndighet med särskild uppgift att utöva tillsyn över person- uppgiftsbehandling i bl.a. polisens brottsbekämpande verksamhet har ansetts innebära möjligheter att inrikta tillsynen på de områden som kan ge upphov till särskilda risker från integritetssynpunkt (prop. 2009/10:85 s. 273 f.).

790

SOU 2017:29

Bilaga 1

Det nya dataskyddsdirektivet innehåller flera bestämmelser som rör tillsyn, bl.a. tillsynsmyndighetens befogenheter. Det ligger i utredarens uppdrag att föreslå hur direktivets förpliktelser ska genomföras även när det gäller bestämmelserna om tillsyn. Det finns dock några frågor om tillsyn som inte ingår i uppdraget på grund av att de omhändertas av andra utredningar.

Utredningen om tillsynen över den personliga integriteten (Ju 2015:02), som ska redovisa sitt uppdrag senast den 30 september 2016, ska bl.a. lämna de förslag som behövs för att den myndighet för tillsyn som utredningen kommer att föreslå ska kunna fullgöra de uppgifter som den nu aktuella EU-reformen medför. Det får därför anses ligga inom ramen för det uppdraget att omhänderta vissa frågor om genomförandet av direktivet. Hit hör frågor om anpassning till direktivets förpliktelser avseende organisation, utnämningen respektive avsättandet av medlemmar samt resurser och anknytande frågor för den myndigheten. Dessa frågor ingår alltså inte i utredarens uppdrag.

Det ligger vidare inom ramen för uppdraget för den särskilda utredare som har i uppdrag att föreslå anpassningar på generell nivå som förordningen ger anledning till att bl.a. analysera om det finns behov av författningsändringar med avseende på tystnadsplikt hos tillsynsmyndigheten till skydd för enskild. Eftersom direktivets krav i denna del överensstämmer med förordningens ingår inte heller denna fråga i utredarens uppdrag.

Med en utgångspunkt i att Säkerhets- och integritetsskydds- nämnden även i fortsättningen utövar tillsyn inom direktivets tillämpningsområde finns det behov av att också med avseende på nämnden se över om och i vilken utsträckning en ny reglering eller ändringar i svensk rätt krävs med anledning av direktivets för- pliktelser. Detta ingår i sin helhet i utredarens uppdrag.

Utredaren ska alltså, med undantag för de frågor som angetts ingå i andra utredningars uppdrag,

analysera och bedöma om direktivet föranleder behov av ny eller ändrad reglering om tillsyn, och

vid behov föreslå författningsändringar.

791

Bilaga 1

SOU 2017:29

Uppdraget att bedöma hur Säkerhetspolisens personuppgiftsbehandling bör regleras

Den 1 januari 2015 ombildades Säkerhetspolisen till en fristående myndighet. Regleringen av Säkerhetspolisens behandling av per- sonuppgifter har anpassats till de nya förhållandena (se prop. 2014/15:94), men myndighetens behandling av personuppgifter regleras fortfarande i polisdatalagen med tillhörande förordning.

EU:s dataskyddsreform kommer att medföra ett förändrat regelverk för nationell personuppgiftsbehandling. Samtidigt är centrala delar av Säkerhetspolisens verksamhet av sådant slag att unionsrätten inte är tillämplig.

De förändringar i nationell rätt som föranleds av EU:s data- skyddsreform innebär att det behövs en analys och bedömning av på vilket sätt Säkerhetspolisens personuppgiftsbehandling bör regleras och om det finns skäl att separera den regleringen från polisdatalagstiftningen. En utgångspunkt för utredarens analys och bedömning ska vara att regleringen av Säkerhetspolisens person- uppgiftsbehandling nyligen har moderniserats och bedömts ända- målsenlig. Så långt det är lämpligt och möjligt ska principiella lös- ningar som är förenliga med gällande författningar och systematik eftersträvas om författningsförslag lämnas.

Utredaren ska

analysera och bedöma hur Säkerhetspolisens personuppgifts- behandling bör regleras och om regleringen bör separeras från den lagstiftning som gäller för Polismyndigheten, och

vid behov föreslå författningsändringar.

Konsekvensbeskrivningar

Utredaren ska bedöma de ekonomiska konsekvenserna av för- slagen. Om förslagen kan förväntas leda till kostnadsökningar för det allmänna ska utredaren föreslå hur dessa ska finansieras. Utredaren ska också redovisa förslagens konsekvenser för brotts- bekämpningen och för den personliga integriteten.

792

SOU 2017:29

Bilaga 1

Samråd och redovisning av uppdraget

Utredaren ska hålla sig väl informerad om och beakta relevant arbete som bedrivs inom Regeringskansliet, utredningsväsendet och EU. Vid anpassningen av svensk rätt till den nya EU-reg- leringen bör en enhetlig tolkning av regelverket eftersträvas. Utre- daren ska därför följa och i lämplig omfattning samråda med ut- redningen som har i uppdrag att föreslå anpassningar på generell nivå som dataskyddsförordningen ger anledning till och Utred- ningen om tillsynen över den personliga integriteten.

Samråd är särskilt viktigt i processuella frågor och frågor som rör sanktioner, tillsynsmyndigheten och arkivering. Utredaren ska också, i den utsträckning det bedöms lämpligt, hålla sig informerad om och samråda med övriga utredningar som har i uppdrag att anpassa svensk rätt till reformen av EU:s dataskyddsregelverk. Under genomförandet av uppdraget ska utredaren även ha en dialog med och inhämta upplysningar från de myndigheter som kan vara berörda av aktuella frågor.

Utredaren är fri att ta upp och lämna förslag i näraliggande frågor som aktualiseras under utredningsuppdraget men som inte rör genomförandet av eller anpassningen av svensk rätt till EU:s dataskyddsreform.

Uppdraget att föreslå hur direktivet ska genomföras ska redo- visas genom ett delbetänkande senast den 1 april 2017 i den del det rör dels en ny ramlagstiftning för skydd av personuppgifter vid brottsbekämpning, brottmålshantering och straffverkställighet, dels tillsyn inom direktivets tillämpningsområde. Uppdraget ska slutredovisas senast den 30 september 2017.

(Justitiedepartementet)

793

Bilaga 2

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/89

 

 

 

 

DIREKTIV

EUROPAPARLAMENTETS OCH RÅDETS DIREKTIV (EU) 2016/680 av den 27 april 2016

om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF

EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DETTA DIREKTIV

med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artikel 16.2, med beaktande av Europeiska kommissionens förslag,

efter översändande av utkastet till lagstiftningsakt till de nationella parlamenten, med beaktande av Regionkommitténs yttrande (1),

i enlighet med det ordinarie lagstiftningsförfarandet (2), och av följande skäl:

(1)Skyddet för fysiska personer med avseende på behandling av personuppgifter är en grundläggande rättighet. I

artikel

8.1 i

Europeiska unionens stadga om

de grundläggande rättigheterna (nedan kallad stadgan) och

artikel

16.1 i

fördraget om Europeiska unionens

funktionssätt (EUF-fördraget) föreskrivs att var och en har rätt

till skydd av de personuppgifter som rör honom eller henne.

(2)Principerna och reglerna för skyddet för fysiska personer med avseende på behandling av deras personuppgifter bör, oavsett deras medborgarskap eller hemvist, respektera deras rättigheter och grundläggande friheter, särskilt deras rätt till skydd av personuppgifter. Detta direktiv är avsett att bidra till att skapa ett område med frihet, säkerhet och rättvisa.

(3)Den snabba tekniska utvecklingen och globaliseringen har skapat nya utmaningar vad gäller skyddet av personuppgifter. Omfattningen av insamlingen och delningen av personuppgifter har ökat avsevärt. Tekniken gör det möjligt att i en aldrig tidigare skådad omfattning behandla personuppgifter i verksamheter såsom förebyggande, förhindrande, utredning, avslöjande och lagföring av brott eller verkställighet av straffrättsliga påföljder.

(4)Det fria flödet av personuppgifter mellan behöriga myndigheter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot eller förebygga och förhindra hot mot den allmänna säkerheten inom unionen, samt överföringar av sådana personuppgifter till tredjeländer och internationella organisationer, bör underlättas samtidigt som en hög skyddsnivå för personuppgifter säkerställs. Denna utveckling kräver en stark och mer sammanhängande ram för skyddet av personuppgifter inom unionen, uppbackad av kraftfullt tillsynsarbete.

(5)Europaparlamentets och rådets direktiv 95/46/EG (3) är tillämpligt på all behandling av personuppgifter i medlemsstaterna, såväl inom den offentliga som inom den privata sektorn. Det är emellertid inte tillämpligt på behandling av personuppgifter ”som utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten”, t.ex. verksamhet på områdena för straffrättsligt samarbete och polissamarbete.

(1) EUT C 391, 18.12.2012, s. 127.

(2) Europaparlamentets ståndpunkt av den 12 mars 2014 (ännu ej offentliggjord i EUT) och rådets ståndpunkt vid första behandlingen av

den 8 april 2016 (ännu ej offentliggjord i EUT). Europaparlamentets ståndpunkt av den 14 april 2016.

(3) Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 23.11.1995, s. 31).

795

Bilaga 2

SOU 2017:29

L 119/90

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

(6)Rådets rambeslut 2008/977/RIF (1) är tillämpligt på områdena för straffrättsligt samarbete och polissamarbete. Tillämpningsområdet för det rambeslutet begränsas till behandling av sådana personuppgifter som överförs eller görs tillgängliga mellan medlemsstaterna.

(7)Att säkerställa en enhetlig och hög skyddsnivå för fysiska personers personuppgifter och underlätta utbytet av personuppgifter mellan behöriga myndigheter i medlemsstaterna är av avgörande betydelse för att säkerställa ett effektivt straffrättsligt samarbete och polissamarbete. Därför bör skyddet för fysiska personers rättigheter och friheter i samband med behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten, vara likvärdigt i alla medlemsstater. Ett effektivt skydd av personuppgifter i hela unionen förutsätter att de registrerades rättigheter stärks och att skyldigheterna för dem som behandlar personuppgifter, ökar, samt likvärdiga befogenheter för att övervaka och säkerställa efterlevnaden av bestämmelserna om skydd av personuppgifter i medlemsstaterna.

(8)I artikel 16.2 i EUF-fördraget bemyndigas Europaparlamentet och rådet att fastställa bestämmelser om skydd för fysiska personer när det gäller behandling av personuppgifter samt om det fria flödet för personuppgifter.

(9)Med stöd av denna grund fastställs i Europaparlamentets och rådets förordning (EU) 2016/679 (2) allmänna bestämmelser om skydd av fysiska personer i samband med behandling av personuppgifter och om det fria flödet för sådana uppgifter inom unionen.

(10)I förklaring nr 21 om skydd av personuppgifter på området för straffrättsligt samarbete och polissamarbete, fogad till slutakten från den regeringskonferens som antog Lissabonfördraget, bekräftade konferensen att det med hänsyn till dessa områdens särart kan komma att bli nödvändigt att anta särskilda regler om skydd av personuppgifter och om det fria flödet av personuppgifter på områdena för straffrättsligt samarbete och polissamarbete med stöd av artikel 16 i EUF-fördraget.

(11)Det är därför lämpligt att dessa områden behandlas i ett direktiv som fastställer särskilda regler om skydd för fysiska personer i samband med behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten, med respekt för den särskilda karaktären hos denna verksamhet. Sådana behöriga myndigheter kan omfatta inte bara offentliga myndigheter såsom rättsliga myndigheter, polis eller andra brottsbekämpande myndigheter, utan också alla andra organ eller enheter som genom medlemsstaternas nationella rätt har anförtrotts myndighetsutövning enligt detta direktiv. Förordning (EU) 2016/679 bör tillämpas när ett sådant organ eller en sådan enhet behandlar personuppgifter för andra ändamål än de som avses i detta direktiv. Förordning (EU) 2016/679 är därför tillämplig i fall då ett organ eller en enhet samlar in personuppgifter för andra ändamål och behandlar dessa personuppgifter ytterligare för att iaktta sina rättsliga skyldigheter. Exempelvis behåller finansinstitut vissa personuppgifter som de behandlar i syfte att utreda, avslöja eller lagföra brott, och tillhandahåller dessa personuppgifter för behöriga nationella myndigheter endast i särskilda fall och i enlighet med medlemsstaternas nationella rätt. Ett organ eller en enhet som behandlar personuppgifter för sådana myndigheters räkning inom detta direktivs tillämpningsområde bör vara bundet av ett avtal eller annan rättsakt och de bestämmelser som är tillämpliga på personuppgiftsbiträden enligt detta direktiv, medan tillämpningen av förordning (EU) 2016/679 förblir opåverkad när det gäller personuppgiftsbiträdets behandling av personuppgifter som inte omfattas av detta direktivs tillämpningsområde.

(12)Polisens och andra brottsbekämpande myndigheters verksamhet är främst inriktad på att förebygga, förhindra, utreda, avslöja och lagföra brott, inbegripet polisverksamhet där man inte på förhand vet om det inträffade utgör

ett brott eller inte. Sådan verksamhet kan också innefatta myndighetsutövning genom vidtagande av tvångsåtgärder vid demonstrationer, större idrottsevenemang och upplopp. Denna verksamhet omfattar också upprätthållande av lag och ordning som en uppgift som anförtros åt polisen eller andra brottsbekämpande

(1) Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för

polissamarbete och straffrättsligt samarbete (EUT L 350, 30.12.2008, s. 60).

(2) Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskydds­ förordning) (se sidan 1 i detta nummer av EUT).

796

SOU 2017:29

Bilaga 2

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/91

 

 

 

 

myndigheter när det är nödvändigt för att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten och mot i lag skyddade grundläggande allmänna intressen som kan leda till ett brott. Medlemsstaterna får åt behöriga myndigheter anförtro andra uppgifter som inte nödvändigtvis utförs för att förebygga, förhindra, utreda, avslöja eller lagföra brott, inklusive att skydda mot och förebygga hot mot den allmänna säkerheten, så att behandlingen av personuppgifter för dessa andra ändamål, i den mån den omfattas av unionsrätten, omfattas av tillämpningsområdet för förordning (EU) 2016/679.

(13)Ett brott i den mening som avses i detta direktiv bör utgöra ett självständigt begrepp i unionsrätten enligt Europeiska unionens domstols (nedan kallad domstolen) tolkning.

(14)Eftersom detta direktiv inte bör tillämpas på behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten, bör verksamhet som rör nationell säkerhet, verksamhet som utförs av byråer och organ som hanterar nationella säkerhetsfrågor och medlemsstaternas behandling av personuppgifter när de utför verksamhet som omfattas av del V kapitel 2 i fördraget om Europeiska unionen (EU-fördraget) inte betraktas som verksamhet som omfattas av detta direktivs tillämpningsområde.

(15)För att säkerställa en enhetlig skyddsnivå för fysiska personer genom rättsligt verkställbara rättigheter i hela unionen och undvika avvikelser som hämmar utbytet av personuppgifter mellan behöriga myndigheter, bör detta direktiv innehålla harmoniserade bestämmelser om skydd och fri rörlighet för personuppgifter som behandlas för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. Tillnärmningen av medlemsstaternas nationella rätt bör inte leda till försämringar i det personuppgiftsskydd de tillhandahåller, utan i stället ha till syfte att säkerställa en hög skyddsnivå inom unionen. Inget ska hindra medlemsstaterna från att föreskriva starkare skyddsåtgärder än dem som fastställs i detta direktiv för skyddet av den registrerades rättigheter och friheter med avseende på behöriga myndigheters behandling av personuppgifter.

(16)Detta direktiv påverkar inte tillämpningen av principen om allmänhetens rätt att få tillgång till allmänna handlingar. Enligt förordning (EU) 2016/679 får personuppgifter i allmänna handlingar som förvaras av en offentlig myndighet eller ett offentligt eller privat organ för utförande av en uppgift av allmänt intresse lämnas ut av myndigheten eller organet i enlighet med unionsrätten eller medlemsstatens nationella lagstiftning som den offentliga myndigheten eller det offentliga organet omfattas av, för att jämka samman allmänhetens rätt att få tillgång till allmänna handlingar med rätten till skydd av personuppgifter.

(17)Det skydd som ska tillhandahållas enligt detta direktiv bör tillämpas på fysiska personer, oavsett medborgarskap eller hemvist, med avseende på behandling av deras personuppgifter.

(18)För att förhindra att det uppstår en allvarlig risk för att reglerna kringgås bör skyddet för fysiska personer vara teknikneutralt och inte vara beroende av den teknik som används. Skyddet för fysiska personer bör vara tillämpligt på både automatiserad och manuell behandling av personuppgifter, om personuppgifterna ingår i eller är avsedda att ingå i ett register. Akter eller grupper av akter samt omslag till dessa, som inte är ordnade enligt särskilda kriterier, bör inte omfattas av detta direktiv.

(19)Europaparlamentets och rådets förordning (EG) nr 45/2001 (1) är tillämplig på den behandling av personuppgifter som sker i unionens institutioner, organ och byråer. Förordning (EG) nr 45/2001 och de av unionens övriga rättsakter som är tillämpliga på sådan behandling av personuppgifter bör anpassas till principerna och bestämmelserna i förordning (EU) 2016/679.

(20)Detta direktiv bör inte hindra medlemsstaterna från att i nationell straffprocesslagstiftning ange vilken behandling och vilka förfaranden för behandling som berörs när det gäller domstolars och andra rättsliga myndigheters behandling av personuppgifter, särskilt när det gäller personuppgifter som ingår i ett domstolsbeslut eller i protokoll avseende straffrättsliga förfaranden.

(1) Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitu­ tionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (EGT L 8, 12.1.2001, s. 1).

797

Bilaga 2

SOU 2017:29

L 119/92

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

(21)Principerna för dataskydd bör gälla all information som rör en identifierad eller identifierbar fysisk person. För att avgöra om en fysisk person är identifierbar bör man beakta alla hjälpmedel, som t.ex. utgallring, som, antingen av den personuppgiftsansvarige eller av någon annan person, rimligen kan komma att användas för att direkt eller indirekt identifiera den fysiska personen. För att fastställa om hjälpmedel med rimlig sannolikhet kan komma att användas för att identifiera den fysiska personen bör man beakta samtliga objektiva faktorer som kostnader och tidsåtgång för identifiering, med beaktande av såväl tillgänglig teknik vid tidpunkten för behandlingen som den tekniska utvecklingen. Principerna för dataskydd bör därför inte gälla för anonym information, nämligen information som inte hänför sig till en identifierad eller identifierbar fysisk person, eller för personuppgifter som anonymiserats på ett sådant sätt att den registrerade inte längre är identifierbar.

(22)Offentliga myndigheter som för sin myndighetsutövning mottar personuppgifter i enlighet med en rättslig förpliktelse, t.ex. skatte- och tullmyndigheter, finansutredningsgrupper, oberoende administrativa myndigheter eller finansmarknadsmyndigheter med ansvar för reglering och övervakning av värdepappersmarknader, bör inte betraktas som mottagare om de tar emot personuppgifter som är nödvändiga för utförandet av en särskild utredning i allmänhetens intresse, i enlighet med unionsrätten eller medlemstaternas nationella rätt. Offentliga myndigheters begäranden om att uppgifter ska lämnas ut bör alltid vara skriftliga och motiverade, läggas fram i enskilda fall och inte gälla hela register eller leda till att register kopplas samman. Dessa offentliga myndigheters behandling av personuppgifter bör ske i överensstämmelse med de bestämmelser om dataskydd som är tillämpliga på behandlingens ändamål.

(23)Genetiska uppgifter bör definieras som personuppgifter som rör en fysisk persons nedärvda eller förvärvade genetiska kännetecken som ger unik information om denna enskilda persons fysiologi eller hälsa och vilka framgår av en analys av ett biologiskt prov från den fysiska personen i fråga, framför allt kromosom-, DNA- eller RNA-analys eller av en annan form av analys som gör det möjligt att inhämta motsvarande information. Eftersom genetiska uppgifter är komplexa och känsliga finns det en stor risk för att den personuppgiftsansvarige missbrukar och återanvänder dem för olika ändamål. All diskriminering på grundval av genetiska särdrag bör i princip vara förbjuden.

(24)Personuppgifter om hälsa bör innefatta alla uppgifter som hänför sig till en registrerad persons hälsotillstånd som ger information om den registrerades tidigare, nuvarande eller framtida fysiska eller psykiska hälsotillstånd. Detta inbegriper uppgifter om den enskilda personen som samlats in i samband med registrering för eller tillhanda­ hållande av hälso- och sjukvårdstjänster till den fysiska personen enligt Europaparlamentets och rådets direktiv 2011/24/EU (1), ett nummer, en symbol eller ett kännetecken som personen tilldelats för att unikt identifiera den fysiska personen för hälso- och sjukvårdsändamål, uppgifter som härrör från tester eller undersökningar av en kroppsdel eller kroppssubstans, däribland genetiska uppgifter och biologiska prover, och andra uppgifter om exempelvis sjukdom, funktionshinder, sjukdomsrisk, sjukdomshistoria, klinisk behandling, eller den registrerades fysiologiska eller biomedicinska tillstånd oberoende av källan, exempelvis från en läkare eller från annan sjukvårdspersonal, ett sjukhus, en medicinteknisk produkt eller ett diagnostiskt in vitro-test.

(25)Samtliga medlemsstater är anslutna till Internationella kriminalpolisorganisationen (Interpol). För att kunna fullgöra sitt uppdrag mottar, lagrar och cirkulerar Interpol personuppgifter i syfte att hjälpa behöriga myndigheter att förebygga, förhindra och bekämpa internationell brottslighet. Därför är det lämpligt att stärka samarbetet mellan unionen och Interpol genom att främja ett effektivt utbyte av personuppgifter med respekt för de grundläggande rättigheterna och friheterna vid automatiserad behandling av personuppgifter. När personuppgifter överförs från unionen till Interpol samt till länder som har delegerade medlemmar i Interpol bör detta direktiv, framför allt bestämmelserna om internationella överföringar, gälla. Detta direktiv bör inte påverka de särskilda bestämmelserna i rådets gemensamma ståndpunkt 2005/69/RIF (2) och rådets beslut 2007/533/RIF (3).

(26)Varje behandling av personuppgifter måste vara laglig, korrekt och öppen i förhållande till berörda fysiska personer och endast genomföras för särskilda lagstadgade ändamål. Detta hindrar i sig inte brottsbekämpande

myndigheter från att genomföra verksamhet såsom hemliga utredningar eller videoövervakning. Sådan verksamhet kan genomföras i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa

(1) Europaparlamentets och rådets direktiv 2011/24/EU av den 9 mars 2011 om tillämpningen av patienträttigheter vid gränsöverskridande

hälso- och sjukvård (EUT L 88, 4.4.2011, s. 45).

(2) Rådets gemensamma ståndpunkt 2005/69/RIF av den 24 januari 2005 om utbyte av vissa uppgifter med Interpol (EUT L 27, 29.1.2005,

s. 61).

(3) Rådets beslut 2007/533/RIF av den 12 juni 2007 om inrättande, drift och användning av andra generationen av Schengens informationssystem (SIS II) (EUT L 205, 7.8.2007, s. 63).

798

SOU 2017:29

Bilaga 2

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/93

 

 

 

 

straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten, förutsatt att verksamheten har fastställts i lag och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle med hänsyn tagen till den fysiska personens berättigade intressen. Dataskyddsprincipen om korrekt behandling är ett begrepp som är skilt från rätten till en opartisk domstol enligt artikel 47 i stadgan och rätten till en rättvis rättegång enligt artikel 6 i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen). Fysiska personer bör göras medvetna om risker, regler, skyddsåtgärder och rättigheter i samband med behandlingen av personuppgifter och om hur de kan utöva sina rättigheter med avseende på behandlingen. De specifika ändamål som personuppgifterna behandlas för bör vara tydliga och legitima och ha bestämts vid den tidpunkt då personuppgifterna samlades in. Personuppgifterna bör vara adekvata och relevanta för de ändamål som de behandlas för. Det bör i synnerhet säkerställas att de uppgifter som insamlats inte är orimligt omfattande och att de inte sparas längre än vad som är nödvändigt för det ändamål för vilket uppgifterna behandlas. Personuppgifter bör endast behandlas om syftet med behandlingen inte rimligen kan uppnås genom andra medel. För att säkerställa att uppgifter inte sparas längre än nödvändigt bör den personuppgiftsansvarige införa tidsfrister för radering eller för regelbunden kontroll. Medlemsstaterna bör inrätta lämpliga skyddsåtgärder för personuppgifter som lagras under längre perioder, för arkivändamål av allmänt intresse, för vetenskapliga, statistiska eller historiska ändamål.

(27)Om behöriga myndigheter ska kunna förebygga, förhindra, utreda och lagföra brott är det nödvändigt att de behandlar personuppgifter som insamlats inom ramen för förebyggande, förhindrande, utredning och lagföring av specifika brott i ett bredare sammanhang för att utveckla förståelsen för kriminell verksamhet och göra kopplingar mellan olika upptäckta brott.

(28)För att bibehålla behandlingens säkerhet och förhindra behandling som innebär en överträdelse av detta direktiv bör personuppgifter behandlas på ett sätt som säkerställer en lämplig säkerhets- och konfidentialitetsnivå samt förhindrar obehörigt tillträde till eller obehörig användning av personuppgifter och den utrustning som används för behandlingen, med beaktande av tillgänglig teknik och den tekniska utvecklingen samt genomförande­ kostnader i förhållande till riskerna och den typ av personuppgifter som ska skyddas.

(29)Personuppgifter bör samlas in för särskilda, uttryckligt angivna och berättigade ändamål som omfattas av detta direktivs tillämpningsområde och bör inte behandlas för andra ändamål än att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. Om samma eller en annan personuppgiftsansvarig behandlar personuppgifter för ett ändamål som omfattas av detta direktiv men som inte är det ändamål som uppgifterna insamlades för, bör behandlingen vara tillåten, förutsatt att behandlingen har godkänts i enlighet med tillämpliga rättsliga bestämmelser och är nödvändig och står i proportion till det andra ändamålet.

(30)Principen om uppgifters korrekthet bör tillämpas med hänsyn till den typ av behandling det är fråga om och syftet med denna. Särskilt i domstolsförfaranden baseras utsagor som innehåller personuppgifter på fysiska personers subjektiva uppfattning, och kan inte alltid verifieras. Följaktligen bör inte korrekthetskravet röra korrektheten i en utsaga, utan endast det faktum att en viss utsaga har gjorts.

(31)Behandling av personuppgifter på områdena för straffrättsligt samarbete och polissamarbete innebär av naturliga skäl att personuppgifter om olika kategorier av registrerade behandlas. Därför är det viktigt att i tillämpliga fall och i möjligaste mån göra en klar åtskillnad mellan personuppgifter om olika kategorier av registrerade, t.ex. brottsmisstänkta, brottsdömda och brottsoffer samt andra som berörs av ett brottmål, t.ex. vittnen, personer med relevant information eller personer med kontakter eller band till brottsmisstänkta och brottsdömda. Detta bör inte hindra tillämpningen av rätten till oskuldspresumtion som garanteras i stadgan och i Europakonventionen, tolkade enligt rättspraxis från domstolen och Europeiska domstolen för de mänskliga rättigheterna.

(32)De behöriga myndigheterna bör säkerställa att personuppgifter som är felaktiga, ofullständiga eller inaktuella inte överförs eller görs tillgängliga. För att säkerställa skydd för fysiska personer, korrekthet, fullständighet eller i vilken grad personuppgifterna är aktuella och tillförlitlighet i de personuppgifter som överförs eller görs tillgängliga, bör de behöriga myndigheterna i möjligaste mån föra in nödvändiga uppgifter vid all överföring av personuppgifter.

(33)När det i detta direktiv hänvisas till medlemsstaternas nationella rätt, en rättslig grund eller lagstiftningsåtgärd innebär detta inte nödvändigtvis en lagstiftningsakt antagen av ett parlament, med förbehåll för krav i den

799

Bilaga 2

SOU 2017:29

L 119/94

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

berörda medlemsstatens konstitutionella ordning. Medlemsstaternas nationella rätt, den rättsliga grunden eller lagstiftningsåtgärden bör emellertid i dessa fall vara tydlig och precis, och dess tillämpning förutsägbar för dem som omfattas av den i enlighet med rättspraxis från domstolen och Europeiska domstolen för de mänskliga rättigheterna. Medlemsstaternas nationella rätt som reglerar behandlingen av personuppgifter inom tillämpningsområdet för detta direktiv bör åtminstone specificera målen, vilka personuppgifter som ska behandlas, behandlingens ändamål, förfarandena för att bevara personuppgifternas integritet och konfidentialitet samt förfarandena för förstöring av dem så att tillräckliga garantier mot risken för missbruk och godtycklighet ges.

(34)Behöriga myndigheters behandling av personuppgifter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott, verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten, bör omfatta varje åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter som utförs i dessa syften, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, justering eller sammanförande, begränsning av behandlingen, radering eller förstöring. Framför allt bör bestämmelserna i detta direktiv gälla personuppgifter som vid tillämpningen av detta direktiv överförs till en mottagare som inte omfattas av detta direktiv. Med sådana mottagare bör avses fysiska eller juridiska personer, myndigheter, institutioner eller andra organ som den behöriga myndigheten lagligen lämnar ut personuppgifterna till. Om personuppgifter ursprungligen samlats in av en behörig myndighet för något av detta direktivs ändamål, bör förordning (EU) 2016/679 vara tillämplig på behandlingen av dessa uppgifter för andra ändamål än de som anges i detta direktiv om behandlingen är godkänd enligt unionsrätten eller nationell rätt. Framför allt bör bestämmelserna i förordning (EU) 2016/679 gälla överföring av personuppgifter för ändamål som inte omfattas av detta direktiv. Förordning (EU) 2016/679 bör gälla när personuppgifter behandlas av en mottagare som varken är eller agerar i egenskap av behörig myndighet i den mening som avses i detta direktiv och som lagligen mottagit personuppgifter av en behörig myndighet. Vid tillämpningen av detta direktiv bör medlemsstaterna också närmare kunna ange tillämpningen av bestämmelserna i förordning (EU) 2016/679 på de villkor som anges i den förordningen.

(35)För att vara laglig bör behandlingen av personuppgifter enligt detta direktiv vara nödvändig för att utföra en uppgift av allmänt intresse som en behörig myndighet ansvarar för enligt unionsrätten eller medlemsstaternas nationella rätt för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. Denna verksamhet bör omfatta skydd av intressen som är av grundläggande betydelse för den registrerade. Utförandet av uppgifterna att förebygga, förhindra, utreda, avslöja eller lagföra brott, som de behöriga myndigheterna institutionellt har tilldelats enligt lag, gör det möjligt för dem att kräva eller beordra att fysiska personer efterlever de begäranden som gjorts. I detta fall bör den registrerades samtycke, enligt definitionen i förordning (EU) 2016/679, inte utgöra en rättslig grund för behöriga myndigheters behandling av personuppgifter. Om den registrerade är skyldig att fullgöra en rättslig förpliktelse har den registrerade inte någon genuin och fri valmöjlighet, och således är det inte möjligt att betrakta den registrerades reaktion som en frivillig viljeyttring. Detta bör inte hindra medlemsstaterna från att i lag fastställa att den registrerade får tillåta behandling av sina personuppgifter vid tillämpning av detta direktiv, såsom DNA-testning inom ramen för brottsutredningar eller övervakning av var den registrerade befinner sig med elektronisk fotboja för verkställighet av straffrättsliga påföljder.

(36)Medlemsstaterna bör föreskriva att om det i den unionsrätt eller nationella rätt som är tillämplig på den överförande behöriga myndigheten fastställs särskilda villkor som under särskilda omständigheter är tillämpliga på behandlingen av personuppgifter, såsom användning av hanteringskoder, bör den överförande behöriga myndigheten informera den mottagare till vilken uppgifterna överförs om dessa villkor och om kravet att respektera dem. Sådana villkor kan till exempel innefatta ett förbud mot att överföra personuppgifter till andra mottagare eller använda dem i andra syften än de för vilka de överfördes till mottagaren eller att informera den registrerade vid en begränsning av rätten till information utan förhandsgodkännande från den överförande behöriga myndigheten. Dessa skyldigheter bör även gälla för överföringar från den överförande behöriga myndigheten till mottagare i tredjeländer eller internationella organisationer. Medlemsstaterna bör säkerställa att den överförande behöriga myndigheten inte tillämpar dessa villkor på mottagare i andra medlemsstater eller på byråer och organ som inrättats i enlighet med avdelning V kapitlen 4 och 5 i EUF-fördraget, med undantag för sådana villkor som är tillämpliga på motsvarande överföringar av uppgifter inom den medlemsstat där den behöriga myndigheten är belägen.

(37)Personuppgifter som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheter och friheter bör åtnjuta ett särskilt skydd eftersom behandling av sådana uppgifter kan innebära betydande risker för de grundläggande rättigheterna och friheterna. Dessa personuppgifter bör även inbegripa personuppgifter som avslöjar ras eller etniskt ursprung, varvid användningen av termen ras i detta direktiv inte innebär att unionen

800

SOU 2017:29

Bilaga 2

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/95

 

 

 

 

godtar teorier som söker fastställa förekomsten av skilda människoraser. Dessa personuppgifter bör inte behandlas såvida inte behandlingen omfattas av lämpliga skyddsåtgärder för den registrerades lagstadgade rättigheter och friheter och medges i fall som är tillåtna enligt lag, eller behandlingen, om den ännu inte är tillåten enligt lag, är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller en annan person, eller behandlingen rör uppgifter som på ett tydligt sätt har offentliggjorts av den registrerade. Lämpliga skyddsåtgärder för den registrerades rättigheter och friheter kan till exempel inbegripa möjligheten att samla in dessa uppgifter endast i samband med andra uppgifter om den berörda fysiska personen, möjligheten att säkra de insamlande uppgifterna, striktare regler om tillgång till uppgifterna för den behöriga myndighetens personal på lämpligt sätt, och förbud mot att översända sådana uppgifter. Behandling av sådana uppgifter bör även tillåtas enligt lag när den registrerade uttryckligen har gett sitt samtycke i fall där uppgiftsbe­ handlingen är särskilt inkräktande för honom eller henne. Den registrerades samtycke bör dock inte i sig utgöra någon rättslig grund för behöriga myndigheters behandling av sådana känsliga personuppgifter.

(38)Den registrerade bör ha rätt att inte bli föremål för ett beslut angående bedömning av personliga aspekter rörande honom eller henne som uteslutande grundas på automatiserad behandling och som har negativa rättsliga följder eller i betydande grad påverkar honom eller henne. Denna form av uppgiftsbehandling bör under alla omständigheter omfattas av lämpliga skyddsåtgärder, inbegripet skild information till den registrerade och rätt till personlig kontakt, särskilt för framförande av egna synpunkter, rätten att erhålla en förklaring för det beslut som fattats efter sådan bedömning och rätten att överklaga beslutet. Profilering som leder till diskriminering av fysiska personer på grundval av personuppgifter som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheter och friheter är förbjuden på de villkor som fastställs i artiklarna 21 och 52 i stadgan.

(39)För att den registrerade ska kunna utöva sina rättigheter bör all information till denne vara lättåtkomlig, t.ex. via den personuppgiftsansvariges webbplats, och lättbegriplig, på ett klart och tydligt språk. Denna information bör anpassas till de behov som sårbara människor, t.ex. barn, har.

(40)Det bör finnas arrangemang som underlättar för registrerade att utöva sina rättigheter enligt de bestämmelser som antas i enlighet med detta direktiv, bl.a. rutiner för att kostnadsfritt begära och i tillämpliga fall få, särskilt, kostnadsfri tillgång till och rättelse eller radering av personuppgifter och begränsning av behandlingen. Personuppgiftsansvariga bör vara skyldiga att besvara en begäran från den registrerade utan onödigt dröjsmål, om inte de personuppgiftsansvariga tillämpar begränsningar av den registrerades rättigheter i enlighet med detta direktiv. Om en begäran är uppenbart ogrundad eller orimlig, som i fall då en registrerad utan skäl och vid upprepade tillfällen begär uppgifter eller om denne missbrukar sin rätt till information genom att exempelvis i sin begäran tillhandahålla felaktig eller missvisande information, bör den personuppgiftsansvarige dessutom kunna ta ut en rimlig avgift eller vägra att tillmötesgå begäran.

(41)När den personuppgiftsansvarige begär att ytterligare information som är nödvändig för att bekräfta den registrerades identitet ska tillhandahållas bör denna information endast behandlas för detta specifika ändamål och bör inte lagras längre än vad som krävs för detta ändamål.

(42)Åtminstone följande information bör göras tillgänglig för den registrerade: Vem som är personuppgiftsansvarig, att behandling sker, syftena med behandlingen, rätten att lämna in klagomål och rätten att av den personuppgift­ sansvarige begära tillgång till och rättelse eller radering av personuppgifter eller begränsning av behandlingen. Informationen kan anges på den behöriga myndighetens webbplats. Dessutom bör den registrerade, i specifika fall och för att göra det möjligt för honom eller henne att utöva sina rättigheter, informeras om behandlingens rättsliga grund och om hur länge uppgifterna kommer att lagras, i den utsträckning som den ytterligare informationen är nödvändig, med beaktande av de särskilda omständigheter under vilka personuppgifterna behandlas, för att garantera en korrekt behandling när det gäller den registrerade.

(43)Fysiska personer bör ha rätt att få tillgång till uppgifter som insamlats som rör dem samt att på enkelt sätt och med rimliga intervall kunna utöva denna rätt för att hålla sig underrättade om att behandling sker och kunna kontrollera att den är laglig. Därför bör varje registrerad ha rätt att känna till och underrättas om de ändamål för vilka uppgifterna behandlas, hur länge behandlingen kommer att pågå och vilka som kommer att få del av uppgifterna, inbegripet mottagare i tredjeländer. Om denna underrättelse omfattar information om personupp­ gifternas ursprung bör denna information inte avslöja fysiska personers identitet, framför allt konfidentiella källor. För att denna rättighet ska respekteras är det tillräckligt att den registrerade innehar en komplett sammanfattning av dessa uppgifter i begripligt format, det vill säga ett format som gör det möjligt för den registrerade att få kännedom om dessa uppgifter och kontrollera att de är korrekta och behandlade i enlighet med detta direktiv så

801

Bilaga 2

SOU 2017:29

L 119/96

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

att den sökande kan utöva de rättigheter som han eller hon tilldelas enligt detta direktiv. En sådan sammanfattning skulle kunna tillhandahållas i form av en kopia av de personuppgifter som håller på att behandlas.

(44)Medlemsstaterna bör ha möjlighet att genom lagstiftning vidta åtgärder som innebär att informationen till de registrerade senareläggs, begränsas eller utelämnas eller att deras tillgång till sina personuppgifter helt eller delvis begränsas, i den utsträckning och så länge som en sådan åtgärd utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle med hänsyn tagen till den berörda fysiska personens grundläggande rättigheter och berättigade intressen, och syftet är att undvika att hindra officiella eller rättsliga utredningar, undersökningar eller förfaranden, undvika menlig inverkan på förebyggande, förhindrande, utredning, upptäckt eller lagföring av brott eller verkställighet av straffrättsliga påföljder, skydd för allmän eller nationell säkerhet eller skydd för andra personers rättigheter och friheter. Den personuppgiftsansvarige bör genom en konkret och individuell granskning i varje enskilt fall bedöma om rätten till tillgång delvis eller helt bör begränsas.

(45)En vägran eller begränsning av tillgång bör i princip meddelas den registrerade skriftligen och inkludera de faktiska eller rättsliga skäl som beslutet grundar sig på.

(46)All begränsning av den registrerades rättigheter måste vara förenlig med stadgan och med Europakonventionen, tolkade enligt rättspraxis från domstolen respektive Europeiska domstolen för de mänskliga rättigheterna, och i synnerhet respektera kärnan i dessa rättigheter och friheter.

(47)Fysiska personer bör ha rätt att få felaktiga personuppgifter som rör dem rättade, särskilt faktauppgifter, samt rätt att få dem raderade om behandlingen av uppgifterna utgör en överträdelse av detta direktiv. Rätten till rättelse bör emellertid inte påverka exempelvis innehållet i ett vittnesmål. En fysisk person bör också ha rätt till begränsning av behandlingen när han eller hon bestrider korrektheten av en personuppgift och det inte kan fastställas huruvida denna är korrekt eller när personuppgiften måste sparas som bevisning. Framför allt bör behandlingen av personuppgifter begränsas snarare än att uppgifterna raderas om det i ett visst fall finns rimliga skäl att anta att en radering skulle kunna påverka den registrerades legitima intressen. I ett sådant fall bör begränsade uppgifter endast behandlas för det ändamål som hindrade att de raderades. Behandling av personuppgifter kan exempelvis begränsas genom att man flyttar de valda uppgifterna till ett annat databehand­ lingssystem, till exempel för arkivering, eller gör de valda uppgifterna otillgängliga. I automatiserade register bör begränsningen av behandlingen i princip ske med tekniska medel. Att behandlingen av personuppgifter är begränsad bör anges inom systemet på sådant sätt att det tydligt framgår att behandlingen av personuppgifterna är begränsad. Sådan rättelse, radering av personuppgifter eller begränsning av behandlingen bör meddelas till de mottagare till vilka uppgifterna har lämnats ut och till de behöriga myndigheter från vilka de oriktiga uppgifterna härrörde. De personuppgiftsansvariga bör också avstå från vidare spridning av sådana uppgifter.

(48)Om en personuppgiftsansvarig nekar en registrerad dennes rätt till information, tillgång till, rättelse, eller radering av personuppgifter eller till begränsning av behandlingen bör den registrerade ha rätt att begära att den nationella tillsynsmyndigheten kontrollerar behandlingens laglighet. De registrerade bör informeras om denna rättighet. När en tillsynsmyndighet agerar för de registrerades räkning, bör tillsynsmyndigheten åtminstone informera dem om att tillsynsmyndigheten har utfört alla nödvändiga kontroller eller översyner. Tillsynsmyndigheten bör också informera de registrerade om rätten att begära rättslig prövning.

(49)När personuppgifter behandlas inom ramen för en brottsutredning eller domstolsförfaranden vid brottmål, bör medlemsstaterna kunna föreskriva att rätten till information, tillgång, rättelse och radering samt till begränsning av behandlingen utövas i enlighet med nationella bestämmelser om rättsliga förfaranden.

(50)Den personuppgiftsansvarige bör åläggas ansvaret för all behandling av personuppgifter som de utför eller som utförs på deras vägnar. Personuppgiftsansvariga bör särskilt vara skyldiga att vidta lämpliga och effektiva åtgärder och bör kunna visa att behandlingen är förenlig med detta direktiv. I samband med dessa åtgärder bör behandlingens art, omfattning, sammanhang och ändamål samt riskerna för fysiska personers rättigheter och friheter beaktas. De åtgärder som den personuppgiftsansvarige vidtar bör omfatta utarbetande och genomförande av särskilda skyddsåtgärder för behandling av personuppgifter om sårbara fysiska personer, t.ex. barn.

(51)Risker för fysiska personers rättigheter och friheter, av varierande sannolikhetsgrad och allvar, kan uppkomma till följd av uppgiftsbehandling som skulle kunna medföra fysiska, materiella eller immateriella skador, i synnerhet om behandlingen kan leda till diskriminering, identitetsstöld eller identitetsbedrägeri, ekonomisk förlust, skadat anseende, förlust av konfidentialitet när det gäller uppgifter som omfattas av tystnadsplikt, obehörigt hävande av

802

SOU 2017:29

Bilaga 2

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/97

 

 

 

 

pseudonymisering, eller annan betydande ekonomisk eller social nackdel; eller om registrerade kan komma att berövas sina rättigheter och friheter eller hindras att utöva kontroll över sina personuppgifter; om personuppgifter behandlas som avslöjar ras eller etniskt ursprung, politiska åsikter, religion eller övertygelse eller medlemskap i fackförening, om genetiska uppgifter eller biometriska uppgifter behandlas för att unikt identifiera en person eller om uppgifter om hälsa eller uppgifter om sexualliv och sexuell läggning eller fällande domar i brottmål samt brott eller därmed sammanhängande säkerhetsåtgärder behandlas; om det förekommer en bedömning av personliga aspekter, exempelvis analyser och förutsägelser beträffande sådant som rör arbetspres­ tationer, ekonomisk ställning, hälsa, personliga preferenser eller intressen, tillförlitlighet eller beteende, vistelseort eller förflyttningar, i syfte att skapa eller använda personliga profiler; eller om personuppgifter rörande sårbara fysiska personer, framför allt barn, behandlas; eller om behandlingen inbegriper ett stort antal personuppgifter och gäller ett stort antal registrerade.

(52)Riskens sannolikhetsgrad och allvar bör fastställas utifrån behandlingens art, omfattning, sammanhang och ändamål. Risken bör utvärderas enligt en objektiv bedömning, genom vilken det fastställs huruvida uppgiftsbe­ handlingen medför hög risk. Med hög risk avses en särskild risk för menlig inverkan på registrerades rättigheter och friheter.

(53)Skyddet för fysiska personers rättigheter och friheter i samband med behandlingen av personuppgifter kräver lämpliga tekniska och organisatoriska åtgärder för att säkerställa att kraven i detta direktiv uppfylls. Genomförandet av sådana åtgärder bör inte enbart bero på ekonomiska hänsyn. För att kunna visa överensstämmelse med detta direktiv bör den personuppgiftsansvarige anta interna strategier och vidta åtgärder, som i synnerhet följer principerna om inbyggt dataskydd och dataskydd som standard. Om den personuppgift­ sansvarige har genomfört en konsekvensbedömning avseende dataskydd i enlighet med detta direktiv bör resultatet beaktas vid utarbetandet av dessa åtgärder och förfaranden. Sådana åtgärder kan bland annat bestå av pseudonymisering snarast möjligt. Pseudonymisering vid tillämpning av detta direktiv kan utgöra ett verktyg som kan underlätta det fria flödet av personuppgifter inom området med frihet, säkerhet och rättvisa.

(54)Skyddet för de registrerades rättigheter och friheter samt de personuppgiftsansvarigas och registerförarnas ansvar, också i förhållande till tillsynsmyndigheternas övervakning och åtgärder, kräver ett tydligt fastställande av vem som bär ansvaret enligt detta direktiv, bl.a. när personuppgiftsansvariga gemensamt fastställer ändamål och medel för en behandling tillsammans med andra personuppgiftsansvariga eller när en behandling utförs på en personuppgiftsansvarigs vägnar.

(55)Ett personuppgiftsbiträdes behandling bör styras av en rättsakt som omfattar ett avtal som binder personuppgifts­ biträdet till den personuppgiftsansvarige och där det särskilt anges att personuppgiftsbiträdet endast bör agera på instruktion av den personuppgiftsansvarige. Personuppgiftsbiträdet bör beakta principen om inbyggt dataskydd och dataskydd som standard.

(56)För att visa överensstämmelse med detta direktiv bör de personuppgiftsansvariga eller registerförarna föra register över alla kategorier av behandling som sker under deras ansvar. Alla personuppgiftsansvariga och personuppgifts­ biträden bör vara skyldiga att samarbeta med tillsynsmyndigheten och på dennas begäran göra detta register tillgängligt för myndigheten så att det kan tjäna som grund för övervakningen av behandlingen. Personuppgift­ sansvariga eller personuppgiftsbiträden som behandlar personuppgifter i icke-automatiserade behandlingssystem bör ha infört effektiva metoder, t.ex. loggar eller andra typer av register, för att visa att behandlingen är laglig, möjliggöra egenkontroll och säkerställa dataintegritet och datasäkerhet.

(57)Loggar bör åtminstone föras över behandlingar i automatiserade behandlingssystem såsom insamling, ändring, läsning, utlämning, inklusive överföringar, sammanförande eller radering. Identifieringen av den person som läst eller lämnat ut personuppgifter bör loggas och från denna identifiering skulle det kunna vara möjligt att fastställa motiveringen till behandlingen. Loggarna bör endast användas för att kontrollera om behandlingen av uppgifterna är tillåten, för egenkontroll, för att garantera dataintegritet och datasäkerhet samt för straffrättsliga förfaranden. Egenkontroll omfattar även behöriga myndigheters interna disciplinära förfaranden.

(58)En konsekvensbedömning avseende dataskydd bör genomföras av den personuppgiftsansvarige om det är sannolikt att uppgiftsbehandlingen, på grund av sin karaktär, sin omfattning eller sina ändamål, medför en hög risk för de registrerades rättigheter och friheter, vilken i synnerhet bör omfatta planerade åtgärder, skyddsåtgärder och mekanismer för att säkerställa skyddet av personuppgifter och för att styrka efterlevnaden av detta direktiv. Konsekvensbedömningarna bör omfatta relevanta system och processer för behandling men inte enskilda fall.

803

Bilaga 2

SOU 2017:29

L 119/98

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

(59)I syfte att säkerställa ett effektivt skydd av de registrerades rättigheter och friheter bör den personuppgift­ sansvarige eller personuppgiftsbiträdet i vissa fall samråda med tillsynsmyndigheten före behandlingen.

(60)För att upprätthålla säkerheten och förhindra behandling som bryter mot detta direktiv bör personuppgift­ sansvariga eller personuppgiftsbiträden utvärdera de risker som behandlingen är förknippad med och bör vidta åtgärder, såsom kryptering, för att mildra dem. Åtgärderna bör leda till en lämplig säkerhetsnivå, inklusive konfidentialitetsnivå, med beaktande av den senaste utvecklingen och till genomförandekostnaderna med hänsyn till riskerna och vilken typ av personuppgifter som ska skyddas. Vid bedömningen av riskerna när det gäller datasäkerhet bör man beakta de risker som uppgiftsbehandling medför, såsom förstöring, förlust eller ändringar genom olyckshändelse eller olagliga handlingar eller obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats, som framför allt kan leda till fysisk, materiell eller immateriell skada. Den personuppgiftsansvarige och personuppgiftsbiträdet bör säkerställa att behandlingen av personuppgifter inte utförs av obehöriga personer.

(61)En personuppgiftsincident som inte snabbt åtgärdas på lämpligt sätt kan för fysiska personer leda till fysisk, materiell eller immateriell skada, såsom förlust av kontrollen över de egna personuppgifterna eller till begränsning av deras rättigheter, diskriminering, identitetsstöld eller identitetsbedrägeri, ekonomisk förlust, obehörigt hävande av pseudonymisering, skadat anseende, förlust av konfidentialitet när det gäller personuppgifter som omfattas av tystnadsplikt, eller till annan betydande ekonomisk eller social nackdel för den berörda fysiska personen. Så snart en personuppgiftsansvarig blir medveten om en personuppgiftsincident bör den personuppgiftsansvarige därför anmäla personuppgiftsincidenten till tillsynsmyndigheten utan onödigt dröjsmål och, om möjligt, inom 72 timmar efter att ha fått kännedom om denna, om inte den personuppgift­ sansvarige, i enlighet med ansvarsprincipen, kan visa att det är osannolikt att personuppgiftsincidenten kommer att medföra en risk för fysiska personers rättigheter och friheter. Om anmälan inte kan göras inom 72 timmar bör skälen till fördröjningen åtfölja anmälan och informationen får lämnas i omgångar utan otillbörligt vidare dröjsmål.

(62)Fysiska personer bör utan onödigt dröjsmål underrättas om personuppgiftsincidenten sannolikt leder till en högre risk för deras rättigheter och friheter så att de kan vidta nödvändiga försiktighetsåtgärder. Underrättelsen bör innehålla en beskrivning av personuppgiftsincidentens art samt rekommendationer till den berörda fysiska personen om hur de potentiella negativa effekterna kan mildras. De registrerade bör underrättas så snart detta rimligtvis är möjligt, i nära samarbete med tillsynsmyndigheten och i enlighet med den vägledning som lämnats av den eller andra relevanta myndigheter. Exempelvis kräver behovet av att mildra en omedelbar skaderisk att de registrerade underrättas omgående medan behovet att vidta lämpliga åtgärder vid fortlöpande eller likartade uppgiftsincidenter kan motivera längre tid för underrättelsen. Om man inte kan undvika att hindra officiella eller rättsliga utredningar, undersökningar eller förfaranden, undvika menlig inverkan på förebyggande, förhindrande, upptäckt, utredning eller lagföring av brott eller verkställighet av straffrättsliga påföljder eller skydda allmän säkerhet, nationell säkerhet eller andra personers rättigheter och friheter genom att senarelägga eller begränsa informationen till den berörda fysiska personen om en personuppgiftsincident skulle denna information under exceptionella omständigheter kunna utelämnas.

(63)Den personuppgiftsansvarige bör utse en person att hjälpa denne att övervaka den interna efterlevnaden av de bestämmelser som antas i enlighet med detta direktiv, förutom om en medlemsstat beslutar att undanta domstolar och andra oberoende rättsliga myndigheter som behandlar personuppgifter inom ramen för sin dömande verksamhet. Denna person kan vara en av den personuppgiftsansvariges medarbetare som fått särskild utbildning inom dataskyddslagstiftning och praxis i fråga om dataskydd för att förvärva sakkunskap på detta område. Den nödvändiga nivån på sakkunskapen bör särskilt fastställas i enlighet med den uppgiftsbehandling som utförs och det skydd som krävs för de personuppgifter som behandlas av den personuppgiftsansvarige. Hans eller hennes uppgift kan utföras på deltid eller heltid. Flera personuppgiftsansvariga kan, med beaktande av organisationsstruktur och storlek, gemensamt utse ett dataskyddsombud, t.ex. vid gemensamma resurser i centralenheter. Denna person kan också utnämnas till olika befattningar inom de berörda personuppgiftsan­ svarigas struktur. Denna person bör hjälpa den personuppgiftsansvarige och de anställda som behandlar personuppgifter genom att ge information och råd till dem angående efterlevnaden av deras respektive skyldigheter i fråga om dataskydd. Dataskyddsombudet i fråga bör kunna utföra sina uppdrag och uppgifter på ett oberoende sätt i enlighet med medlemsstaternas nationella rätt.

(64)Medlemsstaterna bör säkerställa att överföringar till ett tredjeland eller en internationell organisation endast får äga rum om detta är nödvändigt för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller för att verkställa straffrättsliga påföljder, inklusive för att skydda mot samt förebygga och förhindra hot mot den

804

SOU 2017:29

Bilaga 2

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/99

 

 

 

 

allmänna säkerheten, och den personuppgiftsansvarige i tredjelandet eller den internationella organisationen är en myndighet som är behörig i den mening som avses i detta direktiv. En överföring bör endast utföras av behöriga myndigheter som agerar som personuppgiftsansvariga, utom när personuppgiftsbiträden uttryckligen har getts i uppdrag att göra en överföring för personuppgiftsansvarigas räkning. En sådan överföring kan äga rum när kommissionen har beslutat att skyddsnivån i ett tredjeland eller en internationell organisation är adekvat eller när lämpliga skyddsåtgärder föreligger, eller när undantag för särskilda situationer gäller. Det är viktigt att den skyddsnivå som fysiska personer garanteras inom unionen genom detta direktiv inte undergrävs när personuppgifter överförs från unionen till personuppgiftsansvariga, personuppgiftsbiträden eller andra mottagare i tredjeländer eller internationella organisationer, vilket inbegriper fall av vidare överföring av personuppgifter från tredjelandet eller den internationella organisationen till personuppgiftsansvariga eller personuppgiftsbiträden i samma eller i ett annat tredjeland eller en annan internationell organisation.

(65)Om personuppgifter överförs från en medlemsstat till tredjeländer eller internationella organisationer bör en sådan överföring i princip ske först efter det att den medlemsstat från vilken uppgifterna insamlades har gett sitt tillstånd till överföringen. För ett effektivt samarbete i fråga om brottsbekämpning krävs att, om ett hot mot en medlemsstats eller ett tredjelands allmänna säkerhet eller en medlemsstats väsentliga intressen är så överhängande att det är omöjligt att i tid inhämta ett förhandstillstånd, den behöriga myndigheten bör få överföra de relevanta personuppgifterna till det berörda tredjelandet eller internationella organisationen utan sådant förhandstillstånd. Medlemsstaterna bör föreskriva att eventuella särskilda villkor som rör överföringen bör vidarebefordras till tredjeländer eller internationella organisationer. För vidare överföring av personuppgifter bör det krävas förhandstillstånd från den behöriga myndighet som utförde den ursprungliga överföringen. När den behöriga myndighet som utförde den ursprungliga överföringen fattar beslut om en begäran om tillstånd för vidare överföring bör den vederbörligen beakta alla relevanta faktorer, inklusive hur allvarligt brottet är, de särskilda villkor på vilka, och det ändamål för vilket, uppgifterna ursprungligen överfördes, arten och villkoren för verkställandet av den straffrättsliga påföljden, samt nivån på skyddet av personuppgifter i det tredjeland eller den internationella organisation som personuppgifterna vidare överförs till. Den behöriga myndighet som utförde den ursprungliga överföringen bör också ha möjlighet att tillämpa särskilda villkor för vidare överföring. Dessa särskilda villkor kan beskrivas, t.ex. i hanteringskoder.

(66)Kommissionen bör med verkan för hela unionen kunna fastställa att vissa tredjeländer, ett visst territorium eller en eller flera specificerade sektorer i ett tredjeland eller en internationell organisation kan erbjuda en adekvat dataskyddsnivå, och på så sätt skapa rättssäkerhet och enhetlighet i hela unionen vad gäller dessa tredjeländer eller internationella organisationer som anses erbjuda en sådan skyddsnivå. I dessa fall bör överföringar av personuppgifter till dessa länder kunna ske utan särskilt tillstånd, utom när en annan medlemsstat från vilken uppgifterna insamlades måste ge tillstånd till överföringen.

(67)I enlighet med de grundläggande värderingar som unionen vilar på, särskilt skyddet av de mänskliga rättigheterna, bör kommissionen i sin bedömning av ett tredjeland, ett territorium eller en specificerad sektor i ett tredjeland beakta i vilken omfattning ett visst tredjeland iakttar rättsstatsprincipen, möjligheten till rättslig prövning samt internationella människorättsliga normer och standarder samt landets allmänna lagstiftning och sektorslagstiftning, vilket inbegriper lagstiftning om allmän säkerhet, försvar och nationell säkerhet samt allmän ordning och straffrätt. Vid antagandet av ett beslut om adekvat skyddsnivå avseende ett territorium eller en specificerad sektor i ett tredjeland bör hänsyn tas till tydliga och objektiva kriterier, t.ex. specifik behandling och tillämpningsområdet för tillämpliga rättsliga standarder och gällande lagstiftning i det tredjelandet. Tredjelandet bör erbjuda garantier som säkerställer en tillfredsställande skyddsnivå, som i huvudsak motsvarar den som säkerställs inom unionen, i synnerhet när uppgifter behandlas inom en eller flera specifika sektorer. Tredjelandet bör framför allt säkerställa en effektiv oberoende dataskyddsövervakning samt sörja för mekanismer för samarbete med medlemsstaternas dataskyddsmyndigheter och de registrerade bör tillförsäkras effektiva och verkställbara rättigheter samt effektiva administrativa och rättsliga rättsmedel.

(68)Utöver de internationella åtaganden som tredjelandet eller den internationella organisationen har ingått bör kommissionen också beakta de skyldigheter som följer av tredjelandets eller den internationella organisationens deltagande i multilaterala eller regionala system, särskilt rörande skydd av personuppgifter, samt genomförandet av dessa skyldigheter. Framför allt bör tredjelandets anslutning till Europarådets konvention av den 28 januari 1981 om skydd för fysiska personer vid automatiserad databehandling av personuppgifter och dess tilläggs­ protokoll beaktas. Kommissionen bör samråda med Europeiska dataskyddsstyrelsen, inrättad genom förordning

805

Bilaga 2

SOU 2017:29

L 119/100

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

(EU) 2016/679 (nedan kallad styrelsen) vid bedömningen av skyddsnivån i tredjeländer eller internationella organisationer. Kommissionen bör också beakta alla relevanta kommissionsbeslut om adekvat skyddsnivå som antagits i enlighet med artikel 45 i förordning (EU) 2016/679.

(69)Kommissionen bör övervaka hur beslut om skyddsnivå i ett tredjeland, ett territorium eller en specificerad sektor i ett tredjeland eller en internationell organisation fungerar. I sina beslut om adekvat skyddsnivå bör kommissionen föreskriva en mekanism för periodisk översyn av hur de fungerar. Denna periodiska översyn bör göras i samråd med tredjelandet eller den internationella organisationen i fråga och bör beakta all relevant utveckling i tredjelandet eller den internationella organisationen.

(70)Kommissionen bör även kunna konstatera att ett tredjeland eller ett territorium eller en specificerad sektor inom ett tredjeland, eller en internationell organisation, inte längre säkerställer en adekvat dataskyddsnivå. Följaktligen bör överföringar av personuppgifter till det tredjelandet eller den internationella organisationen förbjudas om inte kraven i detta direktiv rörande överföring som är föremål för lämpliga skyddsåtgärder och undantag i särskilda situationer är uppfyllda. Bestämmelser bör fastställas för förfaranden för samråd mellan kommissionen och dessa tredjeländer eller internationella organisationer. Kommissionen bör i god tid informera tredjelandet eller den internationella organisationen om skälen och inleda samråd med tredjelandet eller organisationen för att avhjälpa situationen.

(71)Överföringar som inte grundar sig på ett sådant beslut om adekvat skyddsnivå bör endast tillåtas om lämpliga skyddsåtgärder garanteras i ett rättsligt bindande instrument, som säkerställer skyddet av personuppgifterna eller om den personuppgiftsansvarige har gjort en bedömning av alla omständigheter kring en uppgiftsöverföring och på grundval av denna bedömning anser att lämpliga skyddsåtgärder föreligger vad avser skyddet av personuppgifter. Sådana rättsligt bindande instrument kan t.ex. vara rättsligt bindande bilaterala avtal som har ingåtts av medlemsstaterna och genomförts inom deras rättsordning och som kan åberopas av registrerade som omfattas av denna och som sörjer för att kraven i fråga om dataskydd uppfylls och att registrerades rättigheter respekteras, inbegripet rätten till en effektiv administrativ eller rättslig prövning. Den personuppgiftsansvarige bör vid bedömningen av alla omständigheter kring uppgiftsöverföringen kunna beakta samarbetsavtal som ingåtts mellan Europol eller Eurojust och tredjeländer, som medger utbyte av personuppgifter. Den personuppgift­ sansvarige bör också kunna beakta att överföringen av personuppgifter kommer att omfattas av tystnadplikt och principen om specificitet, vilket säkerställer att personuppgifterna inte kommer att behandlas i andra syften än för överföringen. Dessutom bör den personuppgiftsansvarige beakta att personuppgifterna inte kommer att användas för att göra framställningar om, meddela eller verkställa dödsstraff eller någon form av grym och omänsklig behandling. Även om dessa villkor kan betraktas som tillräckliga skyddsåtgärder för överföringen av uppgifter bör den personuppgiftsansvarige kunna begära ytterligare skyddsåtgärder.

(72)Om det inte finns något beslut om adekvat skyddsnivå eller lämpliga skyddsåtgärder saknas kan en överföring eller en kategori av överföringar endast äga rum i särskilda situationer om överföringen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller en annan person, eller för att skydda den registrerades berättigade intressen om lagstiftningen i den medlemsstat som överför personupp­ gifterna föreskriver detta, eller för att avvärja ett omedelbart och allvarligt hot mot den allmänna säkerheten i en medlemsstat eller i ett tredjeland, eller om det är nödvändigt i ett enskilt fall för att förebygga, förhindra, avslöja, utreda eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive för att skydda mot eller förebygga och förhindra hot mot den allmänna säkerheten, eller i ett enskilt fall för att fastslå, göra gällande eller försvara rättsliga anspråk. Dessa undantag bör tolkas restriktivt och bör inte möjliggöra upprepade, omfattande eller strukturella överföringar av personuppgifter eller storskaliga överföringar av uppgifter, utan begränsas till uppgifter som är absolut nödvändiga. Sådana överföringar bör dokumenteras och på begäran göras tillgängliga för tillsynsmyndigheten så att man kan övervaka om överföringen är laglig.

(73)Medlemsstaternas behöriga myndigheter tillämpar gällande bilaterala eller multilaterala internationella avtal som ingåtts med tredjeländer på området för straffrättsligt samarbete och polissamarbete för utbyte av relevant information för att de ska kunna fullgöra de uppgifter som de anförtrotts enligt lag. Detta sker i princip genom eller åtminstone i samarbete med tredjeländernas berörda myndigheter, i vissa fall även i avsaknad av ett bilateralt eller multilateralt internationellt avtal. I specifika enskilda fall är emellertid de ordinarie förfaranden som kräver kontakt med myndigheten i tredjelandet ineffektiva eller olämpliga, framför allt för att överföringen inte skulle kunna utföras i tid eller för att myndigheten i tredjelandet inte respekterar rättsstatsprincipen eller internationella människorättsliga normer och standarder, så att medlemsstaternas behöriga myndigheter skulle kunna besluta att överföra personuppgifterna direkt till de mottagare som är etablerade i dessa tredjeländer. Detta kan till exempel vara fallet om det finns ett akut behov av att överföra personuppgifter för att rädda livet på en person som riskerar att utsättas för ett brott eller för att förhindra en överhängande fara för brottslighet, inbegripet terrorism. Även om denna överföring mellan behöriga myndigheter och mottagare som är etablerade i tredjeländer endast

806

SOU 2017:29

Bilaga 2

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/101

 

 

 

 

äger rum i särskilda enskilda fall bör det i detta direktiv föreskrivas villkor för att reglera sådana fall. Dessa bestämmelser bör inte betraktas som undantag från något befintligt bilateralt eller multilateralt internationellt avtal på området för straffrättsligt samarbete och polissamarbete. Dessa bestämmelser bör vara tillämpliga utöver övriga bestämmelser i detta direktiv, särskilt bestämmelserna om när personuppgifter får behandlas och bestämmelserna i kapitel V.

(74)När personuppgifter förs över gränserna kan detta öka risken för att fysiska personer inte ska kunna utöva sina dataskyddsrättigheter för att skydda sig mot olaglig användning eller olagligt utlämnande av dessa uppgifter. Samtidigt kan tillsynsmyndigheter finna att de inte är i stånd att handlägga klagomål eller genomföra utredningar avseende verksamheter utanför sina egna gränser. Deras strävan att samarbeta i ett gränsöverskridande sammanhang kan också försvåras på grund av otillräckliga preventiva eller korrigerande befogenheter och oenhetliga rättsliga regelverk. Närmare samarbete mellan tillsynsmyndigheter bör därför främjas för att hjälpa dem att utbyta information med sina utländska motparter.

(75)För att skydda fysiska personer med avseende på behandling av personuppgifter är det av avgörande betydelse att medlemsstaterna inrättar tillsynsmyndigheter som kan utföra sitt uppdrag fullständigt oberoende. Tillsynsmyndig­ heterna bör övervaka tillämpningen av detta direktiv och bör bidra till enhetlig tillämpning av dessa i hela unionen, för att skydda fysiska personer när deras personuppgifter behandlas. För detta ändamål bör tillsynsmyn­ digheterna samarbeta såväl sinsemellan som med kommissionen.

(76)Medlemsstaterna får anförtro en tillsynsmyndighet som de redan har inrättat i enlighet med förordning (EU) 2016/679 ansvaret för de uppgifter som ska utföras av de nationella tillsynsmyndigheter som ska inrättas i enlighet med detta direktiv.

(77)Medlemsstaterna bör kunna inrätta mer än en tillsynsmyndighet för att återspegla sin konstitutionella, organisatoriska och administrativa struktur. Varje tillsynsmyndighet bör tilldelas de ekonomiska och personella resurser och lokalutrymmen samt den infrastruktur som krävs för att den effektivt ska kunna utföra sina uppgifter, däribland de uppgifter som är knutna till ömsesidigt bistånd och samarbete med övriga tillsynsmyn­ digheter i hela unionen. Varje tillsynsmyndighet bör ha en separat offentlig årlig budget, som kan ingå i den övergripande statsbudgeten eller nationella budgeten.

(78)Tillsynsmyndigheterna bör vara föremål för oberoende kontroll- eller övervakningsmekanismer i fråga om sina utgifter, förutsatt att denna finansiella kontroll inte påverkar deras oberoende.

(79)De allmänna villkoren för tillsynsmyndighetens ledamot eller ledamöter bör fastställas i medlemsstaternas nationella rätt och bör i synnerhet föreskriva att de ska utnämnas antingen av den berörda medlemsstatens parlament eller dess regering eller dess statschef på grundval av ett förslag från regeringen eller en minister eller parlamentet eller dess kammare eller av ett oberoende organ som enligt medlemsstaternas nationella rätt har anförtrotts utnämningen genom ett öppet förfarande. I syfte att säkerställa tillsynsmyndighetens oberoende bör ledamoten eller ledamöterna handla med integritet, bör avstå från alla handlingar som står i strid med deras tjänsteutövning och under sin mandattid avstå från all annan avlönad eller oavlönad yrkesverksamhet som står i strid med deras uppdrag. För att säkerställa tillsynsmyndighetens oberoende bör personalurvalet göras av tillsyns­ myndigheten, och kunna innefatta ett ingripande från ett oberoende organ som enligt medlemsstaternas nationella rätt har anförtrotts uppgiften.

(80)Detta direktiv är visserligen tillämpligt på nationella domstolars och andra rättsliga myndigheters verksamheter, men tillsynsmyndigheterna bör inte ha behörighet att övervaka behandling av personuppgifter inom ramen för domstolars dömande verksamhet. Syftet är att garantera domarnas oberoende när de utför sina rättsliga uppgifter. Detta undantag bör vara inskränkt till rättsliga verksamheter i domstolsmål och inte vara tillämpligt på övriga verksamheter där domare i enlighet med medlemsstaternas nationella rätt kan medverka. Medlemsstaterna bör också kunna föreskriva att tillsynsmyndigheten inte ska vara behörig att övervaka andra oberoende rättsliga myndigheter som behandlar personuppgifter inom ramen för sin rättsliga verksamhet, exempelvis allmänna åklagarmyndigheter. Under alla omständigheter är domstolarnas och andra oberoende rättsliga myndigheters efterlevnad av bestämmelserna i detta direktiv alltid föremål för en oberoende kontroll i enlighet med artikel 8.3 i stadgan.

807

Bilaga 2

SOU 2017:29

L 119/102

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

(81)Tillsynsmyndigheterna bör hantera klagomål som anförs av registrerade och utreda ärendena i fråga eller överföra dem till den behöriga övervakande myndigheten. Utredningen av ett klagomål bör, med förbehåll för eventuell domstolsprövning, ske i den utsträckning som är lämplig i det enskilda fallet. Tillsynsmyndigheten bör i rimlig tid informera den registrerade om hur arbetet med klagomålet fortskrider och vad resultatet blir. Om ärendet kräver ytterligare utredning eller samordning med en annan tillsynsmyndighet bör den registrerade underrättas även om detta.

(82)För att man ska kunna övervaka efterlevnaden av och verkställa detta direktiv på ett effektivt, tillförlitligt och enhetligt sätt i hela unionen enligt EUF-fördraget, i enlighet med den tolkning som domstolen gjort, bör tillsyns­ myndigheterna i alla medlemsstater ha samma uppgifter och effektiva befogenheter, bl.a. undersökningsbefo­ genheter, korrigerande befogenheter och rådgivande befogenheter, som utgör nödvändiga medel för utförandet av deras uppgifter. Emellertid bör deras befogenheter inte inkräkta på särskilda regler för straffrättsliga förfaranden, inbegripet utredning och lagföring av brott, eller domstolsväsendets oberoende. Utan att det påverkar åklagarmyn­ digheternas befogenheter enligt medlemsstaternas nationella rätt bör tillsynsmyndigheterna också ha befogenhet att upplysa de rättsliga myndigheterna om överträdelser av detta direktiv eller delta i rättsliga förfaranden. Tillsynsmyndigheternas befogenheter bör utövas i överensstämmelse med lämpliga rättssäkerhetsgarantier som fastställs i unionsrätten och i medlemsstaternas nationella rätt samt opartiskt, korrekt och inom rimlig tid. Framför allt bör varje åtgärd vara lämplig, nödvändig och proportionell för att säkerställa efterlevnaden av detta direktiv, med beaktande av omständigheterna i varje enskilt fall, samt respektera varje persons rätt att bli hörd innan några enskilda åtgärder som påverkar den berörda personen negativt vidtas, och utformas så att onödiga kostnader och alltför stora olägenheter för denne undviks. Undersökningsbefogenheten när det gäller tillträde till lokaler bör utövas i enlighet med särskilda krav i medlemsstaternas nationella rätt, såsom kravet på att inhämta förhandstillstånd från rättsliga myndigheter. Antagande av ett rättsligt bindande beslut bör bli föremål för domstolsprövning i den medlemsstat där den tillsynsmyndighet som antog beslutet är belägen.

(83)Tillsynsmyndigheterna bör bistå varandra när de utför sina uppgifter och ge ömsesidigt bistånd för att säkerställa att de bestämmelser som antas i enlighet med detta direktiv efterlevs och tillämpas på ett enhetligt sätt.

(84)Styrelsen bör bidra till detta direktivs enhetliga tillämpning i hela unionen, bl.a. genom att lämna råd till kommissionen och främja samarbetet mellan tillsynsmyndigheterna i hela unionen.

(85)Alla registrerade bör ha rätt att lämna in ett klagomål till en enda tillsynsmyndighet och till ett effektivt rättsmedel i enlighet med artikel 47 i stadgan, om den registrerade anser att hans eller hennes rättigheter enligt de bestämmelser som antas i enlighet med detta direktiv har kränkts eller om tillsynsmyndigheten inte reagerar på ett klagomål, helt eller delvis avslår eller avvisar ett klagomål eller inte agerar när så är nödvändigt för att skydda den registrerades rättigheter. Utredningen av ett klagomål bör, med förbehåll för eventuell domstolsprövning, ske

iden utsträckning som är lämplig i det enskilda fallet. Den behöriga tillsynsmyndigheten bör i rimlig tid informera den registrerade om hur arbetet med klagomålet fortskrider och vad resultatet blir. Om ärendet kräver ytterligare utredning eller samordning med en annan tillsynsmyndighet bör den registrerade underrättas även om detta. För att förenkla inlämnandet av klagomål bör varje tillsynsmyndighet vidta åtgärder, såsom att tillhandahålla ett formulär för inlämnande av klagomål som även kan fyllas i elektroniskt, utan att andra kommunikationsformer utesluts.

(86)Varje fysisk eller juridisk person bör ha rätt till ett effektivt rättsmedel vid behörig nationell domstol mot en tillsynsmyndighets beslut som har rättsliga följder för denna person. Ett sådant beslut avser särskilt tillsynsmyn­ dighetens utövande av utrednings-, korrigerings- och godkännandebefogenheter eller avvisande av eller avslag på klagomål. Denna rätt inbegriper dock inte tillsynsmyndigheters övriga åtgärder som inte är rättsligt bindande, såsom yttranden som avgetts eller rådgivning som tillhandahållits av tillsynsmyndigheten. Talan mot en tillsynsmyndighet bör väckas vid domstol i den medlemsstat där tillsynsmyndigheten är etablerad och bör prövas

ienlighet med den nationella rätten i den medlemsstaten. Dessa domstolar bör ha fullständig behörighet, vilket bör omfatta behörighet att rättsligt eller faktiskt pröva alla frågor som rör de tvister som anhängiggjorts vid dem.

(87)Om en registrerad anser att hans eller hennes rättigheter enligt detta direktiv har kränkts bör han eller hon ha rätt att ge ett organ som syftar till att skydda registrerades rättigheter och intressen vad gäller skyddet av deras

808

SOU 2017:29

Bilaga 2

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/103

 

 

 

 

personuppgifter, och som inrättats i enlighet med den nationella rätten i en medlemsstat, i uppdrag att på hans eller hennes vägnar lämna in ett klagomål till en tillsynsmyndighet och utöva rätten till rättsmedel. De registrerades rätt att bli företrädda bör inte påverka medlemsstatens nationella processrätt enligt vilken det kan vara obligatoriskt att registrerade företräds inför nationell domstol av en advokat enligt definitionen i rådets direktiv 77/249/EEG (1).

(88)Personer som lider skada till följd av behandling som står i strid med de bestämmelser som antas i enlighet med detta direktiv bör få ersättning av den personuppgiftsansvarige eller av någon annan myndighet som är behörig enligt medlemsstaternas nationella rätt. Begreppet skada bör tolkas brett mot bakgrund av domstolens rättspraxis och på ett sätt som fullt ut återspeglar detta direktivs mål. Detta påverkar inte skadeståndsanspråk till följd av överträdelser av andra bestämmelser i unionsrätten eller i medlemsstaternas nationella rätt. Vid hänvisning till behandling som är olaglig eller står i strid med de bestämmelser som antas i enlighet med detta direktiv omfattas även behandling som inte är i överensstämmelse med de genomförandeakter som antagits i enlighet med detta direktiv. Registrerade bör få full och effektiv ersättning för den skada de lidit.

(89)Om någon fysisk eller juridisk person överträder detta direktiv bör detta leda till sanktioner, oavsett om personen i fråga omfattas av privaträtt eller offentlig rätt. Medlemsstaterna bör säkerställa att sanktioner är effektiva, proportionella och avskräckande och bör vidta alla åtgärder som krävs för att sanktionerna ska verkställas.

(90)För att säkerställa enhetliga villkor för genomförandet av detta direktiv bör kommissionen tilldelas genomförande­ befogenheter vad gäller adekvata skyddsnivåer i ett tredjeland, ett territorium eller en specificerad sektor inom ett tredjeland eller en internationell organisation och för format och förfaranden för ömsesidigt bistånd samt tillväga­

gångssätten för elektroniskt utbyte av information mellan tillsynsmyndigheter samt mellan tillsynsmyndigheter och styrelsen. Dessa befogenheter bör utövas i enlighet med Europaparlamentets och rådets förordning (EU) nr 182/2011 (2).

(91)Mot bakgrund av att dessa rättsakter har allmän räckvidd bör granskningsförfarandet användas vid antagandet av genomförandeakter om adekvata skyddsnivåer i ett tredjeland, ett territorium eller en specificerad sektor inom detta tredjeland eller en internationell organisation och om format och förfaranden för ömsesidigt bistånd samt tillvägagångssätten för elektroniskt utbyte av information mellan tillsynsmyndigheter samt mellan tillsynsmyn­ digheter och styrelsen.

(92)Kommissionen bör när tvingande skäl till skyndsamhet föreligger i vederbörligen motiverade fall anta omedelbart tillämpliga genomförandeakter avseende ett tredjeland, ett territorium eller en specificerad sektor i ett tredjeland eller en internationell organisation där en adekvat skyddsnivå inte längre kan säkerställas.

(93)Eftersom målen för detta direktiv, nämligen att skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter, och för att säkerställa ett fritt utbyte av personuppgifter mellan behöriga myndigheter inom unionen, inte i tillräcklig utsträckning kan uppnås av medlemsstaterna utan snarare på grund av åtgärdens omfattning eller verkningar, kan uppnås bättre på unionsnivå, kan unionen vidta åtgärder i enlighet med subsidiaritetsprincipen i artikel 5 i EU-fördraget. I enlighet med proportionalitetsprincipen i samma artikel går detta direktiv inte utöver vad som är nödvändigt för att uppnå dessa mål.

(94)Särskilda bestämmelser i unionsakter på området för straffrättsligt samarbete och polissamarbete som antagits före dagen för antagandet av detta direktiv, och som reglerar behandlingen av personuppgifter mellan medlemsstaterna eller tillträdet för utsedda myndigheter i medlemsstaterna till informationssystem som inrättats i

(1) Rådets direktiv 77/249/EEG av den 22 mars 1977 om underlättande för advokater att effektivt begagna sig av friheten att tillhandahålla

tjänster (EGT L 78, 26.3.1977, s. 17).

(2) Europaparlamentets och rådets förordning (EU) nr 182/2011 av den 16 februari 2011 om fastställande av allmänna regler och principer för medlemsstaternas kontroll av kommissionens utövande av sina genomförandebefogenheter (EUT L 55, 28.2.2011, s. 13).

809

Bilaga 2

SOU 2017:29

L 119/104

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

enlighet med fördragen, bör kvarstå oförändrade, till exempel de särskilda bestämmelser om skydd av personuppgifter som tillämpas i enlighet med rådets beslut 2008/615/RIF (1), eller artikel 23 i konventionen om ömsesidig rättslig hjälp i brottmål mellan Europeiska unionens medlemsstater (2). Eftersom artikel 8 i stadgan och artikel 16 i EUF-fördraget kräver att den grundläggande rätten till skydd av personuppgifter bör säkerställas på ett enhetligt sätt i hela unionen bör kommissionen utvärdera situationen vad gäller förhållandet mellan detta direktiv och rättsakter, antagna före dagen för antagandet av detta direktiv, som reglerar behandling av personuppgifter mellan medlemsstaterna eller tillträde för utsedda myndigheter i medlemsstater till informationssystem som inrättats i enlighet med fördragen, i syfte att bedöma om dessa särskilda bestämmelser behöver anpassas till detta direktiv. Vid behov bör kommissionen lägga fram förslag i syfte att säkerställa enhetliga rättsregler angående behandlingen av personuppgifter.

(95)För att säkerställa ett övergripande och enhetligt skydd av personuppgifter i unionen bör internationella avtal som medlemsstaterna ingått före dagen för detta direktivs ikraftträdande, och som överensstämmer med relevant unionsrätt som var tillämplig före den dagen, fortsätta att gälla till dess att de ändras, ersätts eller upphävs.

(96)Medlemsstaterna bör medges en period på högst två år från dagen för ikraftträdandet av detta direktiv för att införliva det. Behandling som redan pågår den dagen bör bringas i överensstämmelse med detta direktiv inom en period av två år från det att detta direktiv träder i kraft. I fall där sådan behandling överensstämmer med unionsrätt som var tillämplig före dagen för ikraftträdandet av detta direktiv bör dock inte kraven i detta direktiv rörande förhandssamråd med tillsynsmyndigheten gälla för behandling som redan pågick vid den tidpunkten, eftersom dessa krav, p.g.a. sin natur, är sådana att de ska uppfyllas före själva behandlingen. Om medlemsstaterna tillämpar den längre genomförandeperioden som löper ut sju år efter detta direktivs ikraftträdande för fullgörandet av loggningsskyldigheterna för automatiserade behandlingssystem som inrättats före den dagen bör den personuppgiftsansvarige eller personuppgiftsbiträdet ha infört effektiva metoder, t.ex. loggar eller andra typer av register, för att visa att behandlingen av uppgifterna är laglig, möjliggöra egenkontroll samt säkerställa dataintegritet och datasäkerhet.

(97)Detta direktiv påverkar inte bestämmelserna om bekämpande av sexuella övergrepp mot barn, sexuell exploatering av barn och barnpornografi i Europaparlamentets och rådets direktiv 2011/93/EU (3).

(98)Rambeslut 2008/977/RIF bör därför upphävas.

(99)I enlighet med artikel 6a i protokoll nr 21 om Förenade kungarikets och Irlands ställning med avseende på området med frihet, säkerhet och rättvisa, fogat till EU-fördraget och EUF-fördraget, är Förenade kungariket och Irland inte bundna av de bestämmelser i detta direktiv som avser medlemsstaternas behandling av personuppgifter när de bedriver verksamhet som omfattas av avdelning V kapitel 4 eller 5 i tredje delen av EUF- fördraget i det fall då Förenade kungariket och Irland inte är bundna av bestämmelserna om formerna för straffrättsligt samarbete eller polissamarbete inom ramen för vilka de bestämmelser måste iakttas som fastställs på grundval av artikel 16 i EUF-fördraget.

(100)I enlighet med artiklarna 2 och 2a i protokoll nr 22 om Danmarks ställning, fogat till EU-fördraget och EUF- fördraget, är Danmark inte bundet av reglerna i detta direktiv och omfattas inte av den tillämpning av regler som avser medlemsstaternas behandling av personuppgifter när dessa utövar verksamhet som omfattas av tillämpningsområdet för kapitlen 4 och 5 i avdelning V i tredje delen i EUF-fördraget. Eftersom detta direktiv bygger på av Schengenregelverket, som omfattas av avdelning V i tredje delen av EUF-fördraget, ska Danmark i enlighet med artikel 4 i protokollet inom en tid av sex månader efter antagandet av detta direktiv besluta huruvida landet ska genomföra det i sin nationella lagstiftning.

(101)När det gäller Island och Norge utgör detta direktiv en vidareutveckling av bestämmelserna i Schengenregelverket i enlighet med avtalet mellan Europeiska unionens råd och Republiken Island och Konungariket Norge om dessa staters associering till genomförandet, tillämpningen och utvecklingen av Schengenregelverket (4).

(1) Rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism

och gränsöverskridande brottslighet (EUT L 210, 6.8.2008, s. 1).

(2) Rådets akt av den 29 maj 2000 om att i enlighet med artikel 34 i Fördraget om Europeiska unionen upprätta konventionen om

ömsesidig rättslig hjälp i brottmål mellan Europeiska unionens medlemsstater (EGT C 197, 12.7.2000, s. 1).

(3) Europaparlamentets och rådets direktiv 2011/93/EU av den 13 december 2011 om bekämpande av sexuella övergrepp mot barn, sexuell

exploatering av barn och barnpornografi samt om ersättande av rådets rambeslut 2004/68/RIF (EUT L 335, 17.12.2011, s. 1). (4) EGT L 176, 10.7.1999, s. 36.

810

SOU 2017:29

Bilaga 2

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/105

 

 

 

 

(102)När det gäller Schweiz utgör detta direktiv, i enlighet med avtalet mellan Europeiska unionen, Europeiska gemenskapen och Schweiziska edsförbundet om Schweiziska edsförbundets associering till genomförandet, tillämpningen och utvecklingen av Schengenregelverket, en utveckling av bestämmelserna i Schengenre­ gelverket (1).

(103)När det gäller Liechtenstein utgör detta direktiv en vidareutveckling av bestämmelserna i Schengenregelverket i enlighet med protokollet mellan Europeiska unionen, Europeiska gemenskapen, Schweiziska edsförbundet och Furstendömet Liechtenstein om Furstendömet Liechtensteins anslutning till avtalet mellan Europeiska unionen, Europeiska gemenskapen och Schweiziska edsförbundet om Schweiziska edsförbundets associering till genomförandet, tillämpningen och utvecklingen av Schengenregelverket (2).

(104)Detta direktiv respekterar de grundläggande rättigheterna och iakttar de principer som erkänns i stadgan som erkänns i EUF-fördraget, särskilt rätten till respekt för privatlivet och familjelivet, rätten till skydd av personuppgifter, rätt till ett effektivt rättsmedel och till en opartisk domstol. De inskränkningar som gjorts av dessa rättigheter överensstämmer med artikel 52.1 i stadgan eftersom de är nödvändiga för att uppnå av unionen erkända mål av allmänt intresse eller för att skydda andras rättigheter och friheter.

(105)I enlighet med den gemensamma politiska förklaringen av den 28 september 2011 från medlemsstaterna och kommissionen om förklarande dokument, har medlemsstaterna åtagit sig att, i de fall detta är berättigat, låta anmälan av införlivandeåtgärder åtföljas av ett eller flera dokument som förklarar förhållandet mellan de olika delarna i direktivet och motsvarande delar i de nationella införlivandeåtgärderna. Med avseende på detta direktiv anser lagstiftaren att översändandet av sådana dokument är berättigat.

(106)Europeiska datatillsynsmannen har hörts i enlighet med artikel 28.2 i Europaparlamentets och rådets förordning (EG) nr 45/2001 och avgav ett yttrande den 7 mars 2012 (3).

(107)Detta direktiv bör inte hindra medlemsstaterna från att i nationell straffprocesslagstiftning genomföra bestämmelser om registrerades utövande av sina rättigheter vad gäller information, tillgång till och rättelse eller radering av personuppgifter och begränsning av behandling i samband med straffrättsliga förfaranden samt eventuella begränsningar av dessa rättigheter.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

KAPITEL I

Allmänna bestämmelser

Artikel 1

Syfte och mål

1.I detta direktiv fastställs bestämmelser om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten.

2.Enligt detta direktiv ska medlemsstaterna

a)skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter, och

b)säkerställa att behöriga myndigheters utbyte av personuppgifter inom unionen, när sådant utbyte krävs enligt unionsrätten eller medlemsstaternas nationella rätt, varken begränsas eller förbjuds av skäl som rör skyddet för fysiska personer med avseende på behandlingen av personuppgifter.

(1) EUT L 53, 27.2.2008, s. 52. (2) EUT L 160, 18.6.2011, s. 21. (3) EGT C 192, 30.6.2012, s. 7.

811

Bilaga 2

SOU 2017:29

L 119/106

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

3. Detta direktiv ska inte hindra medlemsstaterna från att föreskriva starkare skyddsåtgärder än de som fastställs i detta direktiv för skyddet av den registrerades rättigheter och friheter med avseende på behöriga myndigheters behandling av personuppgifter.

Artikel 2

Tillämpningsområde

1.Detta direktiv ska tillämpas på behandling av personuppgifter som utförs av behöriga myndigheter för de ändamål som anges i artikel 1.1.

2.Detta direktiv ska tillämpas på behandling av personuppgifter som helt eller delvis företas på automatiserad väg samt på annan behandling än automatiserad behandling av personuppgifter som ingår i eller kommer att ingå i ett register.

3.Detta direktiv tillämpas inte på behandling av personuppgifter

a)som utgör ett led i en verksamhet som inte omfattas av unionsrätten,

b)som utförs av unionens institutioner, organ och byråer.

Artikel 3

Definitioner

I detta direktiv avses med

1.personuppgifter: varje upplysning som avser en identifierad eller identifierbar enskild person (nedan kallad en registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras, särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidenti­ fikatorer, eller till en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet,

2.behandling: en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring,

3.begränsning av behandling: markering av lagrade personuppgifter med syftet att begränsa behandlingen av dessa i framtiden,

4.profilering: varje form av automatiserad behandling av personuppgifter som består i att dessa personuppgifter används för att bedöma vissa personliga egenskaper hos en fysisk person, i synnerhet för att analysera eller förutsäga aspekter rörande denna fysiska persons arbetsprestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet, beteende, vistelseort eller förflyttningar,

5.pseudonymisering: behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att dessa kompletterande uppgifter förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person,

6.register: en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden,

7.behörig myndighet:

a)en offentlig myndighet som har behörighet att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive skydda mot eller förebygga hot mot den allmänna säkerheten, eller

b)annat organ eller annan enhet som genom medlemsstaternas nationella rätt har anförtrotts myndighetsutövning för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive skydda mot eller förebygga och förhindra hot mot den allmänna säkerheten,

812

SOU 2017:29

Bilaga 2

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/107

 

 

 

 

8.personuppgiftsansvarig: en behörig myndighet som ensam eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivs i unionsrätten eller medlemsstaternas nationella rätt,

9.personuppgiftsbiträde: en fysisk eller juridisk person, myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning,

10.mottagare: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ till vilket personupp­ gifterna utlämnas, vare sig det är en tredje part eller inte; offentliga myndigheter som kan komma att motta personuppgifter inom ramen för ett särskilt uppdrag i enlighet med unionsrätten eller medlemsstaternas nationella rätt ska dock inte betraktas som mottagare; offentliga myndigheters behandling av dessa uppgifter ska vara förenlig med tillämpliga bestämmelser för dataskydd beroende på behandlingens syfte,

11.personuppgiftsincident: en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats,

12.genetiska uppgifter: alla personuppgifter som rör nedärvda eller förvärvade genetiska kännetecken för en fysisk person, vilka ger unik information om denna fysiska persons fysiologi eller hälsa och vilka framför allt härrör från en analys av ett biologiskt prov från den fysiska personen i fråga,

13.biometriska uppgifter: personuppgifter som erhållits genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar unik identifiering av denna fysiska person, såsom ansiktsbilder eller fingeravtrycksuppgifter,

14.uppgifter om hälsa: personuppgifter som rör en fysisk persons fysiska eller psykiska hälsa, inbegripet tillhanda­ hållande av hälso- och sjukvårdstjänster, vilka ger information om dennes hälsostatus,

15.tillsynsmyndighet: en oberoende offentlig myndighet som är utsedd av en medlemsstat i enlighet med artikel 41,

16.internationell organisation: en organisation och dess underställda organ som lyder under folkrätten eller ett annat organ som inrättats genom eller på grundval av en överenskommelse mellan två eller flera länder,

KAPITEL II

Principer

Artikel 4

Principer för behandling av personuppgifter

1.Medlemsstaterna ska föreskriva att personuppgifter ska

a)behandlas på ett lagligt och korrekt sätt,

b)samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte behandlas på ett sätt som står i strid med dessa ändamål,

c)vara adekvata, relevanta och inte för omfattande i förhållande till de syften för vilka de behandlas,

d)vara korrekta och, om nödvändigt, uppdaterade; alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål,

e)inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka de behandlas,

f)behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder.

813

Bilaga 2

SOU 2017:29

L 119/108

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

2. Behandling som utförs av samma eller en annan personuppgiftsansvarig för något annat ändamål som anges i artikel 1.1 än det för vilket personuppgifterna samlas in ska tillåtas om

a)den personuppgiftsansvarige i enlighet med unionsrätten eller medlemsstaternas nationella rätt är bemyndigad att behandla sådana personuppgifter för ett sådant ändamål, och

b)behandlingen är nödvändig och står i proportion till detta andra ändamål i enlighet med unionsrätten eller medlemsstaternas nationella rätt.

3.Behandling som utförs av samma eller en annan personuppgiftsansvarig kan inbegripa arkivändamål av allmänt intresse och vetenskaplig, statistisk eller historisk användning för de ändamål som anges i artikel 1.1 under förutsättning att det finns lämpliga skyddsåtgärder för de registrerades rättigheter och friheter.

4.Den personuppgiftsansvarige ska ansvara för, och kunna visa efterlevnad av, punkterna 1, 2 och 3.

Artikel 5

Tidsgränser för lagring och översyn

Medlemsstaterna ska föreskriva att lämpliga tidsgränser fastställs för radering av personuppgifter eller för periodisk översyn av behovet av att lagra personuppgifter. Procedurrelaterade åtgärder ska säkerställa att tidsgränserna efterlevs.

Artikel 6

Åtskillnad mellan olika kategorier av registrerade

Medlemsstaterna ska föreskriva att den personuppgiftsansvarige, i tillämpliga fall och så långt det är möjligt, ska göra en klar åtskillnad mellan personuppgifter som rör olika kategorier av registrerade, såsom

a)personer avseende vilka det finns tungt vägande skäl att anta att de har begått eller är på väg att begå ett brott,

b)personer som dömts för brott,

c)brottsoffer eller personer avseende vilka det finns vissa omständigheter som ger anledning att anta att de kan vara brottsoffer, och

d)andra som berörs av ett brott, såsom personer som kan komma att kallas att vittna i samband med brottsutredningar eller senare straffrättsliga förfaranden, personer som kan ge information om brott eller personer med kontakter med eller band till någon av de personer som avses i a och b.

Artikel 7

Åtskillnad mellan personuppgifter och kontroll av kvaliteten på personuppgifterna

1.Medlemsstaterna ska föreskriva att personuppgifter som grundar sig på fakta så långt det är möjligt ska åtskiljas från personuppgifter som grundar sig på personliga bedömningar.

2.Medlemsstaterna ska föreskriva att de behöriga myndigheterna ska vidta alla rimliga åtgärder för att se till att personuppgifter som är felaktiga, ofullständiga eller inaktuella inte överförs eller görs tillgängliga. Varje behörig myndighet ska därför i den mån det är praktiskt möjligt kontrollera kvaliteten på personuppgifterna innan dessa överförs eller görs tillgängliga. Vid all överföring av personuppgifter ska, så långt det är möjligt, sådan nödvändig information läggas till som gör det möjligt för den mottagande behöriga myndigheten att bedöma i vilken grad personuppgifterna är korrekta, fullständiga och tillförlitliga samt i vilken utsträckning de är aktuella.

3.Om det visar sig att felaktiga personuppgifter har överförts eller att personuppgifter olagligen har överförts ska mottagaren omedelbart underrättas om detta. I sådana fall ska personuppgifterna rättas eller raderas eller behandlingen begränsas i enlighet med artikel 16.

814

SOU 2017:29

Bilaga 2

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/109

 

 

 

 

Artikel 8

Laglig behandling av personuppgifter

1.Medlemsstaterna ska föreskriva att behandling ska vara laglig endast om och i den mån behandlingen är nödvändig för att utföra en uppgift som utförs av en behörig myndighet för de ändamål som anges i artikel 1.1 och som sker på grundval av unionsrätt eller medlemsstaternas nationella rätt.

2.Medlemsstaternas nationella rätt som reglerar behandling inom tillämpningsområdet för detta direktiv ska åtminstone specificera syftet med behandlingen, vilka personuppgifter som ska behandlas och behandlingens ändamål.

Artikel 9

Särskilda villkor för uppgiftsbehandling

1.Personuppgifter som samlas in av behöriga myndigheter för de ändamål som anges i artikel 1.1. ska inte behandlas för andra ändamål än de som anges i artikel 1.1 såvida inte sådan behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt. När personuppgifter behandlas för andra ändamål ska förordning (EU) 2016/679 tillämpas, såvida inte behandlingen utförs som ett led i en verksamhet som inte omfattas av unionsrätten.

2.Om de behöriga myndigheterna enligt medlemsstaternas nationella rätt anförtros utförandet av andra uppgifter än de som utförs för de ändamål som anges i artikel 1.1, ska förordning (EU) 2016/679 vara tillämplig på behandlingen för dessa ändamål, inklusive för arkivändamål av allmänt intresse, för historiska eller vetenskapliga forskningsändamål eller för statistiska ändamål, såvida inte behandlingen utförs som ett led i en verksamhet som inte omfattas av unionsrätten.

3.Om den unionsrätt eller nationella rätt som är tillämplig på den överförande behöriga myndigheten fastställer särskilda villkor för behandling, ska medlemsstaten föreskriva att den överförande behöriga myndigheten ska informera mottagaren om dessa särskilda villkor och om kravet att respektera dem.

4.Medlemsstaterna ska föreskriva att den överförande behöriga myndigheten inte ska tillämpa villkor enligt punkt 3 på mottagare i andra medlemsstater eller på byråer och organ som inrättats i enlighet med avdelning V kapitlen 4 och 5

iEUF-fördraget, med undantag för de villkor som är tillämpliga på motsvarande överföringar av uppgifter inom den överförande behöriga myndighetens medlemsstat.

Artikel 10

Behandling av särskilda kategorier av personuppgifter

Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, samt behandling av genetiska uppgifter, biometriska uppgifter för att unikt identifiera en fysisk person eller uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska vara tillåten endast om det är absolut nödvändigt och under förutsättning att det finns lämpliga skyddsåtgärder för den registrerades rättigheter och friheter och endast

a)om behandlingen är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt,

b)för att skydda intressen som är av grundläggande betydelse för den registrerade eller en annan fysisk person, eller

c)om behandlingen rör uppgifter som på ett tydligt sätt har offentliggjorts av den registrerade.

Artikel 11

Automatiserat individuellt beslutsfattande

1. Medlemsstaterna ska föreskriva att beslut som enbart grundas på automatiserad behandling, inbegripet profilering, som har negativa rättsliga följder för den registrerade eller i betydande grad påverkar honom eller henne, ska förbjudas om de inte är tillåtna enligt unionsrätten eller medlemsstaternas nationella rätt som den personuppgiftsansvarige lyder under och som föreskriver lämpliga skyddsåtgärder för den registrerades rättigheter och friheter, åtminstone rätten till mänskligt ingripande från den personuppgiftsansvariges sida.

815

Bilaga 2

SOU 2017:29

L 119/110

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

2.Beslut som avses i punkt 1 i den här artikeln får inte grundas på de särskilda kategorier av personuppgifter som avses i artikel 10, såvida inte lämpliga åtgärder för att skydda den registrerades rättigheter och friheter samt berättigade intressen har vidtagits.

3.Profilering som leder till diskriminering av fysiska personer på grundval av särskilda kategorier av personuppgifter enligt artikel 10 ska förbjudas i enlighet med unionsrätten.

KAPITEL III

Den registrerades rättigheter

Artikel 12

Information om och villkor för utövandet av den registrerades rättigheter

1.Medlemsstaterna ska föreskriva att den personuppgiftsansvarige ska vidta rimliga åtgärder för att tillhandahålla den registrerade all information som avses i artikel 13 och alla meddelanden enligt artiklarna 11, 14–18 och 31 som avser behandling i en koncis, begriplig och lättillgänglig form och på ett klart och tydligt språk. Informationen ska tillhandahållas på lämpligt sätt, t.ex. elektroniskt. Som en allmän regel ska den personuppgiftsansvarige tillhandahålla informationen i samma format som begäran.

2.Medlemsstaterna ska föreskriva att den personuppgiftsansvarige ska underlätta utövandet av den registrerades rättigheter enligt artiklarna 11 och 14–18.

3.Medlemsstaterna ska föreskriva att den personuppgiftsansvarige utan onödigt dröjsmål skriftligen ska informera den registrerade om uppföljningen av hans eller hennes begäran.

4.Medlemsstaterna ska föreskriva att den information som tillhandahålls enligt artikel 13 och alla meddelanden eller åtgärder som vidtas enligt artiklarna 11, 14–18 och 31 ska tillhandahållas kostnadsfritt. Om en registrerads begäran är uppenbart ogrundad eller orimlig, särskilt på grund av att den är repetitiv, får den personuppgiftsansvarige antingen

a)ta ut en rimlig avgift med beaktande av de administrativa kostnaderna för tillhandahållandet av informationen eller meddelandet eller vidtagandet av den åtgärd som begärs, eller

b)vägra att tillmötesgå begäran.

Den personuppgiftsansvarige ska visa att begäran är uppenbart ogrundad eller orimlig.

5. Om den personuppgiftsansvarige har rimliga skäl att betvivla identiteten hos den fysiska person som lämnar in en begäran enligt artiklarna 14 eller 16, får den personuppgiftsansvarige begära att ytterligare information som är nödvändig för att bekräfta den registrerades identitet ska tillhandahållas.

Artikel 13

Information som ska göras tillgänglig för eller lämnas till den registrerade

1. Medlemsstaterna ska föreskriva att den personuppgiftsansvarige ska göra åtminstone följande information tillgänglig för den registrerade:

a)Den personuppgiftsansvariges identitet och kontaktuppgifter.

b)Dataskyddsombudets kontaktuppgifter, i tillämpliga fall.

c)Ändamålen med den behandling för vilken personuppgifterna är avsedda.

d)Rätten att lämna in klagomål till en tillsynsmyndighet samt tillsynsmyndighetens kontaktuppgifter.

e)Rätten att av den personuppgiftsansvarige begära tillgång till och rättelse eller radering av personuppgifter och begränsning av behandlingen av personuppgifter som rör den registrerade.

2.Utöver den information som avses i punkt 1, ska medlemsstaterna i lag föreskriva att den personuppgiftsansvarige i specifika fall ska lämna följande information till den registrerade, för att göra det möjligt för honom eller henne att utöva sina rättigheter:

a)Behandlingens rättsliga grund.

b)Den period under vilken personuppgifterna kommer att lagras eller, om det inte är möjligt, de kriterier som används för att fastställa denna period.

816

SOU 2017:29

Bilaga 2

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/111

 

 

 

 

c)I tillämpliga fall, kategorierna av mottagare av personuppgifterna, inbegripet i tredjeländer eller internationella organisationer.

d)Vid behov ytterligare information, i synnerhet om personuppgifterna samlas in utan den registrerades vetskap.

3. Medlemsstaterna får anta lagstiftningsåtgärder som gör att informationen till den registrerade enligt punkt 2 senareläggs, begränsas eller utelämnas, i den utsträckning och så länge som en sådan åtgärd är nödvändig och proportionell i ett demokratiskt samhälle med hänsyn tagen till den berörda fysiska personens grundläggande rättigheter och berättigade intressen, i syfte att

a)undvika att hindra officiella eller rättsliga utredningar, undersökningar eller förfaranden,

b)undvika menlig inverkan på förebyggande, förhindrande, upptäckt, utredning eller lagföring av brott eller verkställighet av straffrättsliga påföljder,

c)skydda den allmänna säkerheten,

d)skydda den nationella säkerheten,

e)skydda andra personers rättigheter och friheter.

4.Medlemsstaterna får anta lagstiftningsåtgärder för att fastställa kategorier av behandling som helt eller delvis kan omfattas av något av leden i punkt 3.

Artikel 14

Den registrerades rätt till tillgång till personuppgifter

Med förbehåll för artikel 15 ska medlemsstaterna föreskriva att den registrerade ska ha rätt att av den personuppgift­ sansvarige få bekräftelse av huruvida personuppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna och följande information:

a)Ändamålen med behandlingen och dess rättsliga grund.

b)De kategorier av personuppgifter som behandlingen gäller.

c)De mottagare eller kategorier av mottagare till vilka personuppgifterna har lämnats ut, särskilt mottagare i tredjeländer eller internationella organisationer.

d)Om möjligt, den förutsedda period under vilken personuppgifterna kommer att lagras eller, om det inte är möjligt, de kriterier som används för att fastställa denna period.

e)Rätten att av den personuppgiftsansvarige begära rättelse eller radering av personuppgifter eller begränsning av behandling av personuppgifter som rör den registrerade.

f)Rätten att lämna in klagomål till tillsynsmyndigheten samt tillsynsmyndighetens kontaktuppgifter.

g)Information om vilka personuppgifter som håller på att behandlas och all tillgänglig information om varifrån dessa uppgifter härstammar.

Artikel 15

Begränsningar av rätten till tillgång

1. Medlemsstaterna får anta lagstiftningsåtgärder som helt eller delvis begränsar den registrerades rätt till tillgång i den utsträckning och så länge en sådan partiell eller fullständig begränsning utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle med hänsyn tagen till den berörda fysiska personens grundläggande rättigheter och berättigade intressen, i syfte att

a)undvika att hindra officiella eller rättsliga utredningar, förundersökningar eller förfaranden,

b)undvika menlig inverkan på förebyggande, förhindrande, upptäckt, utredning eller lagföring av brott eller verkställighet av straffrättsliga påföljder,

c)skydda den allmänna säkerheten,

817

Bilaga 2

SOU 2017:29

L 119/112

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

d)skydda den nationella säkerheten,

e)skydda andra personers rättigheter och friheter.

2.Medlemsstaterna får anta lagstiftningsåtgärder för att fastställa kategorier av behandling som helt eller delvis kan omfattas av undantagen i punkt 1 a–e.

3.I de fall som avses i punkterna 1 och 2 ska medlemsstaterna föreskriva att den personuppgiftsansvarige utan onödigt dröjsmål ska informera den registrerade skriftligen om varje vägran eller begränsning av tillgång och om skälen för vägran eller begränsningen. Denna information kan utelämnas om tillhandahållandet skulle undergräva ett ändamål enligt punkt 1. Medlemsstaterna ska föreskriva att den personuppgiftsansvarige ska underrätta den registrerade om möjligheten att lämna in ett klagomål till en tillsynsmyndighet eller begära rättslig prövning.

4.Medlemsstaterna ska föreskriva att den personuppgiftsansvarige ska dokumentera de sakliga och rättsliga grunderna för beslutet. Denna information ska göras tillgänglig för tillsynsmyndigheterna.

Artikel 16

Rätt till rättelse eller radering av personuppgifter och begränsning av behandling

1.Medlemsstaterna ska föreskriva att den registrerade ska ha rätt att utan onödigt dröjsmål av den personuppgift­ sansvarige få felaktiga personuppgifter som rör honom eller henne rättade. Med beaktande av ändamålet med behandlingen ska medlemsstaterna föreskriva att den registrerade ska ha rätt att få ofullständiga personuppgifter kompletterade, inbegripet genom att tillhandahålla en kompletterande inlaga.

2.Medlemsstaterna ska kräva att den personuppgiftsansvarige utan onödigt dröjsmål ska radera personuppgifter och ge den registrerade rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få till stånd radering av personuppgifter som rör honom eller henne om behandlingen står i strid med de bestämmelser som antas enligt artiklarna 4, 8 och 10 eller om personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse som åvilar den personuppgiftsansvarige.

3.I stället för radering ska den personuppgiftsansvarige begränsa behandling om

a)den registrerade bestrider personuppgifternas korrekthet och korrektheten inte kan fastställas, eller

b)personuppgifterna måste sparas som bevisning.

Om behandlingen begränsas enligt första stycket led a ska den personuppgiftsansvarige underrätta den registrerade innan begränsningen av behandlingen upphävs.

4. Medlemsstaterna ska föreskriva att den personuppgiftsansvarige underrättar den registrerade skriftligen om eventuell vägran att rätta, radera eller begränsa behandlingen och om skälen till vägran. Medlemsstaterna får anta lagstift­ ningsåtgärder som helt eller delvis begränsar skyldigheten att tillhandahålla sådan information i den utsträckning som en sådan begränsning utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle med hänsyn tagen till den berörda fysiska personens grundläggande rättigheter och berättigade intressen, i syfte att

a)undvika att hindra offentliga eller rättsliga utredningar, undersökningar eller förfaranden,

b)undvika menlig inverkan på förebyggande, förhindrande, upptäckt, utredning eller lagföring av brott eller verkställighet av straffrättsliga påföljder,

c)skydda den allmänna säkerheten,

d)skydda den nationella säkerheten,

e)skydda andra personers rättigheter och friheter.

Medlemsstaterna ska föreskriva att den personuppgiftsansvarige ska underrätta den registrerade om möjligheterna att lämna in ett klagomål till en tillsynsmyndighet eller begära rättslig prövning.

818

SOU 2017:29

Bilaga 2

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/113

 

 

 

 

5.Medlemsstaterna ska föreskriva att den personuppgiftsansvarige ska meddela varje rättelse av oriktiga personuppgifter till den behöriga myndighet från vilken de oriktiga personuppgifterna kommer.

6.Medlemsstaterna ska föreskriva att den personuppgiftsansvarige, när personuppgifter har rättats, raderats eller begränsats i enlighet med punkterna 1, 2 och 3, ska underrätta mottagarna och att mottagarna ska rätta eller radera personuppgifterna eller begränsa den behandling som utförs under deras ansvar.

Artikel 17

Den registrerades utövande av rättigheter och kontroll genom tillsynsmyndigheten

1.I de fall som avses i artiklarna 13.3, 15.3 och 16.4 ska medlemsstaterna anta bestämmelser om att den registrerades rättigheter även kan utövas genom den behöriga tillsynsmyndigheten.

2.Medlemsstaterna ska föreskriva att den personuppgiftsansvarige ska underrätta den registrerade om hans eller hennes möjlighet att utöva sina rättigheter genom tillsynsmyndigheten enligt punkt 1.

3.När den rättighet som avses i punkt 1 utövas ska tillsynsmyndigheten åtminstone underrätta den registrerade om att alla nödvändiga kontroller eller en översyn genom tillsynsmyndigheten har ägt rum. Tillsynsmyndigheten ska också informera den registrerade om hans eller hennes rätt att begära rättslig prövning.

Artikel 18

Den registrerades rättigheter i brottsutredningar och straffrättsliga förfaranden

Medlemsstaterna får föreskriva att de rättigheter som avses i artiklarna 13, 14 och 16 ska utövas i enlighet med medlemsstaternas nationella rätt om personuppgifterna ingår i ett domstolsbeslut eller ett rättsligt protokoll eller ärende som behandlas i samband med brottsutredningar och straffrättsliga förfaranden.

KAPITEL IV

Personuppgiftsansvarig och personuppgiftsbiträde

Avsnitt 1

Allmänna skyldigheter

Artikel 19

Den personuppgiftsansvariges skyldigheter

1.Medlemsstaterna ska föreskriva att den personuppgiftsansvarige, med beaktande av behandlingens art, omfattning, sammanhang och ändamål, samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter, ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa, och kunna visa, att behandlingen utförs i enlighet med detta direktiv. Dessa åtgärder ska ses över och uppdateras vid behov.

2.Om det står i proportion till behandlingen, ska de åtgärder som avses i punkt 1 omfatta den personuppgiftsan­ svariges genomförande av lämpliga strategier för dataskydd.

Artikel 20

Inbyggt dataskydd och dataskydd som standard

1. Medlemsstaterna ska föreskriva att den personuppgiftsansvarige, med beaktande av den senaste utvecklingen och genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål, samt de risker, av varierande sannolikhetsgrad och allvar för fysiska personers rättigheter och friheter som behandlingen utgör, både vid tidpunkten för beslut om vilka medel behandlingen ska utföras med och vid tidpunkten för själva behandlingen, ska genomföra lämpliga tekniska och organisatoriska åtgärder, såsom pseudonymisering, vilka är utformade för genomförande av dataskyddsprinciper, såsom uppgiftsminimering, på ett effektivt sätt och för integrering av de nödvändiga skyddsåt­ gärderna i behandlingen, för att uppfylla kraven i detta direktiv och skydda den registrerades rättigheter.

819

Bilaga 2

SOU 2017:29

L 119/114

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

2. Medlemsstaterna ska föreskriva att den personuppgiftsansvarige genomför lämpliga tekniska och organisatoriska åtgärder för att, i standardfallet, säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas. Den skyldigheten gäller mängden insamlade personuppgifter, behandlingens omfattning, tiden för deras lagring och deras tillgänglighet. Framför allt ska dessa åtgärder säkerställa att personuppgifter i standardfallet inte utan den enskildes medverkan görs tillgängliga för ett obegränsat antal fysiska personer.

Artikel 21

Gemensamt personuppgiftsansvariga

1.Medlemsstaterna ska föreskriva att två eller flera personuppgiftsansvariga har gemensamt ansvar för registret, om de gemensamt fastställer behandlingens ändamål och medel. De ska under öppna former fastställa sitt respektive ansvar för efterlevnaden av detta direktiv, särskilt vad gäller utövandet av den registrerades rättigheter och sina respektive skyldigheter att tillhandahålla den information som avses i artikel 13, genom ett inbördes arrangemang, såvida inte och i den mån som de personuppgiftsansvarigas respektive skyldigheter fastställs i unionsrätt eller medlemsstaternas nationella rätt som de personuppgiftsansvariga omfattas av. Inom ramen för arrangemanget ska en kontaktpunkt för de registrerade utses. Medlemsstaterna får fastslå vem av de gemensamt personuppgiftsansvariga som kan fungera som enda kontaktpunkt för de registrerade i fråga om utövandet av deras rättigheter.

2.Oavsett formerna för det arrangemang som avses i punkt 1 får medlemsstaterna föreskriva att den registrerade får utöva sina rättigheter enligt de bestämmelser som antas i enlighet med detta direktiv med avseende på var och en av de personuppgiftsansvariga.

Artikel 22

Personuppgiftsbiträde

1.Medlemsstaterna ska, om en behandling ska genomföras på en personuppgiftsansvarigs vägnar, föreskriva att den personuppgiftsansvarige endast ska anlita personuppgiftsbiträden som ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i detta direktiv och säkerställer att den registrerades rättigheter skyddas.

2.Medlemsstaterna ska föreskriva att personuppgiftsbiträdet inte får anlita ett annat personuppgiftsbiträde utan att ett särskilt eller allmänt skriftligt förhandstillstånd har erhållits av den personuppgiftsansvarige. Om ett allmänt skriftligt tillstånd har erhållits, ska personuppgiftsbiträdet alltid informera den personuppgiftsansvarige om eventuella planer på att anlita nya personuppgiftsbiträden eller ersätta personuppgiftsbiträden, så att den personuppgiftsansvarige har möjlighet att göra invändningar mot sådana förändringar.

3.Medlemsstaterna ska föreskriva att ett personuppgiftsbiträdes behandling ska regleras genom ett avtal eller annan rättsakt enligt unionsrätten eller medlemsstaternas nationella rätt som är bindande för personuppgiftsbiträdet med avseende på den personuppgiftsansvarige och i vilken föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av registrerade samt den personuppgiftsansvariges skyldigheter och rättigheter anges. Avtalet eller den andra rättsakten ska särskilt föreskriva att personuppgiftsbiträdet

a)endast handlar enligt instruktioner från den personuppgiftsansvarige,

b)säkerställer att personer som har tillstånd att behandla personuppgifterna har förbundit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt,

c)på lämpligt sätt ska bistå den personuppgiftsansvarige att säkerställa efterlevnad av bestämmelserna om den registrerades rättigheter,

d)beroende på vad den personuppgiftsansvarige väljer, ska radera eller återlämna alla personuppgifter till den personuppgiftsansvarige efter det att tillhandahållandet av uppgiftsbehandlingstjänster har avslutats och raderar befintliga kopior, såvida inte lagring av personuppgifterna krävs enligt unionsrätten eller medlemsstaternas nationella rätt,

820

SOU 2017:29

Bilaga 2

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/115

 

 

 

 

e)ska ge den personuppgiftsansvarige tillgång till all information som krävs för att visa att denna artikel efterlevs,

f)respekterar de villkor som avses i punkterna 2 och 3 för anlitande av ett annat personuppgiftsbiträde.

4.Det avtal eller den andra rättsakt som avses i punkt 3 ska vara skriftligt, inbegripet i elektronisk form.

5.Om ett personuppgiftsbiträde i strid med detta direktiv fastställer ändamålen och medlen för behandlingen ska personuppgiftsbiträdet anses vara personuppgiftsansvarig med avseende på den behandlingen.

Artikel 23

Behandling under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende

Medlemsstaterna ska föreskriva att personuppgiftsbiträdet och personer som utför arbete under den personuppgiftsan­ svariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, endast får behandla dessa uppgifter enligt instruktion från den personuppgiftsansvarige, såvida han eller hon inte är skyldig att göra det enligt unionsrätten eller medlemsstaternas nationella rätt.

Artikel 24

Register över behandling

1.Medlemsstaterna ska föreskriva att alla personuppgiftsansvariga ska föra ett register över alla kategorier av verksamheter i samband med behandling som de ansvarar för. Detta register ska innehålla samtliga följande uppgifter:

a)Namn och kontaktuppgifter för den personuppgiftsansvarige, samt i tillämpliga fall gemensamt personuppgift­ sansvariga och dataskyddsombudet.

b)Ändamålen med behandlingen.

c)De kategorier av mottagare som personuppgifterna har lämnats ut till eller ska lämnas ut till, inbegripet mottagare i tredjeländer eller internationella organisationer.

d)En beskrivning av kategorierna av registrerade och av kategorierna av personuppgifter.

e)Användning av profilering, i tillämpliga fall.

f)I tillämpliga fall, kategorier av personuppgiftsöverföringar till ett tredjeland eller en internationell organisation.

g)En uppgift om den rättsliga grunden för den behandling, inbegripet överföringar, för vilken personuppgifterna är avsedda.

h)Om möjligt, de planerade tidsfristerna för radering av de olika personuppgiftskategorierna.

i)Om möjligt, en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som avses i artikel 29.1.

2.Medlemsstaterna ska föreskriva att alla personuppgiftsbiträden ska upprätthålla ett register över alla kategorier av behandling som utförts för den personuppgiftsansvariges räkning, vilket ska omfatta följande:

a)Namn och kontaktuppgifter för personuppgiftsbiträdet eller registerförarna, för varje personuppgiftsansvarig för vars räkning personuppgiftsbiträdet agerar samt, i tillämpliga fall, för dataskyddsombudet.

b)De kategorier av behandling som har utförts för varje personuppgiftsansvarigs räkning.

c)I tillämpliga fall, överföringar av personuppgifter till ett tredjeland eller en internationell organisation, inbegripet identifiering av tredjelandet eller den internationella organisationen, om den personuppgiftsansvarige uttryckligen begär detta.

d)Om möjligt, en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som avses i artikel 29.1.

821

Bilaga 2

SOU 2017:29

L 119/116

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

3.De register som avses i punkterna 1 och 2 ska upprättas skriftligen, inbegripet i elektronisk form.

Den personuppgiftsansvarige och personuppgiftsbiträdet ska på begäran göra registren tillgängliga för tillsynsmyndighe­ ten.

Artikel 25

Loggning

1.Medlemsstaterna ska säkerställa att loggar förs över åtminstone följande typer av behandlingar i automatiserade behandlingssystem: insamling, ändring, läsning, utlämning inbegripet överföringar, sammanförande och radering. Loggarna över läsning och utlämning ska göra det möjligt att fastställa motivering, datum och tidpunkt för sådan behandling och i möjligaste mån vem som har läst eller lämnat ut personuppgifter, samt vilka som har fått tillgång till personuppgifterna.

2.Loggarna bör endast användas för att kontrollera om behandlingen är tillåten, för egenkontroll, för att säkerställa personuppgifternas integritet och säkerhet, samt inom ramen för straffrättsliga förfaranden.

3.Den personuppgiftsansvarige och personuppgiftsbiträdet ska på begäran göra loggarna tillgängliga för tillsynsmyn­ digheten.

Artikel 26

Samarbete med tillsynsmyndigheten

Medlemsstaterna ska föreskriva att den personuppgiftsansvarige och personuppgiftsbiträdet på begäran ska samarbeta med tillsynsmyndigheten vid utförandet av dess uppgifter.

Artikel 27

Konsekvensbedömning avseende dataskydd

1.Om en typ av behandling, särskilt med användning av ny teknik och med beaktande av dess art, omfattning, sammanhang och ändamål, sannolikt leder till en hög risk för fysiska personers rättigheter och friheter, ska medlemsstaterna säkerställa att den personuppgiftsansvarige före behandlingen utför en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter.

2.Den bedömning som avses i punkt 1 ska åtminstone innehålla en allmän beskrivning av den planerade behandlingen, en bedömning av riskerna för de registrerades rättigheter och friheter, de åtgärder som planeras för att hantera dessa risker, skyddsåtgärder, säkerhetsåtgärder och rutiner för att säkerställa skyddet av personuppgifter och för att visa att detta direktiv efterlevs, med hänsyn till de registrerades och andra berörda personers rättigheter och berättigade intressen.

Artikel 28

Förhandssamråd med tillsynsmyndigheten

1. Medlemsstaterna ska föreskriva att den personuppgiftsansvarige eller personuppgiftsbiträdet ska samråda med tillsynsmyndigheten före behandling av personuppgifter som kommer att ingå i ett nytt register som ska inrättas, om

a)en konsekvensbedömning avseende dataskydd enligt artikel 27 visar att behandlingen skulle leda till en hög risk om inte den registeransvarige vidtar åtgärder för att minska risken, eller om

b)typen av behandling, särskilt vid användning av ny teknik eller nya rutiner eller förfaranden, medför en hög risk för de registrerades rättigheter och friheter.

2.Medlemsstaterna ska föreskriva att tillsynsmyndigheten ska rådfrågas under utarbetandet av ett förslag till lagstift­ ningsåtgärd som ska antas av ett nationellt parlament eller av en regleringsåtgärd som grundar sig på en sådan lagstift­ ningsåtgärd som rör behandling.

3.Medlemsstaterna ska föreskriva att tillsynsmyndigheten får upprätta en förteckning över de olika typer av uppgifts­ behandling som omfattas av förhandssamråd enligt punkt 1.

822

SOU 2017:29

Bilaga 2

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/117

 

 

 

 

4.Medlemsstaterna ska föreskriva att den personuppgiftsansvarige till tillsynsmyndigheten lämnar in den konsekvens­ bedömning avseende dataskydd som avses i artikel 27 och, på begäran, eventuell övrig information som gör att tillsyns­ myndigheten kan göra en bedömning av behandlingens överensstämmelse och särskilt av riskerna för skyddet av den registrerades personuppgifter och av därmed sammanhängande skyddsåtgärder.

5.Medlemsstaterna ska, om tillsynsmyndigheten anser att den planerade behandling som avses i punkt 1 i denna artikel inte skulle vara förenlig med de bestämmelser som antas i enlighet med detta direktiv, särskilt om den personupp­ giftsansvarige inte i tillräcklig mån har fastställt eller reducerat risken, föreskriva att tillsynsmyndigheten inom en period på högst sex veckor från det att begäran om samråd mottagits ska ge den personuppgiftsansvarige och, i tillämpliga fall, personuppgiftsbiträdet skriftliga råd och får utnyttja alla de befogenheter som den har enligt artikel 47. Denna period får förlängas med en månad beroende på hur komplicerad den planerade behandlingen är. Tillsynsmyndigheten ska informera den personuppgiftsansvarige och, i tillämpliga fall, personuppgiftsbiträdet om en sådan förlängning inom en månad från det att begäran om samråd mottagits, tillsammans med orsakerna till förseningen.

Avsnitt 2

Säkerhet för personuppgif ter

Artikel 29

Säkerhet i samband med behandling

1.Medlemsstaterna ska föreskriva att den personuppgiftsansvarige och personuppgiftsbiträdet, med beaktande av den senaste utvecklingen och genomförandekostnader och med hänsyn till behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter, ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, i synnerhet när det gäller de särskilda kategorier av personuppgifter som avses i artikel 10.

2.När det gäller automatiserad behandling ska varje medlemsstat föreskriva att den personuppgiftsansvarige eller personuppgiftsbiträdet, efter en bedömning av riskerna, ska vidta åtgärder i syfte att

a)vägra varje obehörig person åtkomst till utrustning för behandling som används för behandling (åtkomstskydd för utrustning),

b)förhindra obehörig läsning, kopiering, ändring eller radering av datamedier (kontroll av datamedier),

c)förhindra obehörig registrering av personuppgifter och obehörig kännedom om, ändring eller radering av lagrade personuppgifter (lagringskontroll),

d)förhindra att obehöriga kan använda automatiserade behandlingssystem med hjälp av utrustning för dataöverföring (användarkontroll),

e)säkerställa att personer som är behöriga att använda ett automatiserat behandlingssystem endast har tillgång till personuppgifter som omfattas av deras behörighet (åtkomstkontroll),

f)säkerställa att det kan kontrolleras och fastställas till vilka organ personuppgifter har överförts eller kan överföras och för vilka organ uppgifterna har gjorts tillgängliga eller kan göras tillgängliga med hjälp av utrustning för dataöverföring (kommunikationskontroll),

g)säkerställa att det är möjligt att i efterhand kontrollera och fastställa vilka personuppgifter som förts in i ett automatiserat behandlingssystem, samt när och av vem personuppgifterna infördes (indatakontroll),

h)förhindra obehörig läsning, kopiering, ändring eller radering av personuppgifter i samband med överföring av sådana uppgifter eller under transport av databärare (transportkontroll),

i)säkerställa att de system som används kan återställas vid störningar (återställande),

j)säkerställa att systemet fungerar, att funktionsfel rapporteras (driftsäkerhet) och att de lagrade personuppgifterna inte kan förvanskas genom funktionsfel i systemet (dataintegritet).

823

Bilaga 2

SOU 2017:29

L 119/118

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

Artikel 30

Anmälan av en personuppgiftsincident till tillsynsmyndigheten

1.Medlemsstaterna ska föreskriva att den personuppgiftsansvarige vid en personuppgiftsincident utan onödigt dröjsmål och, om så är möjligt, inte senare än 72 timmar efter att ha fått vetskap om incidenten, anmäler den till tillsynsmyndigheten, såvida det inte är osannolikt att personuppgiftsincidenten medför en risk för fysiska personers rättigheter och friheter. Om anmälan till tillsynsmyndigheten inte görs inom 72 timmar, ska den åtföljas av en motivering till förseningen.

2.Personuppgiftsbiträdet ska underrätta den personuppgiftsansvarige utan onödigt dröjsmål efter att ha fått vetskap om en personuppgiftsincident.

3.Den anmälan som avses i punkt 1 ska åtminstone

a)beskriva personuppgiftsincidentens art, inbegripet, om så är möjligt, de kategorier av och det ungefärliga antal registrerade som berörs samt de kategorier av och det ungefärliga antal personuppgiftsposter som berörs,

b)förmedla namnet på och kontaktuppgifterna för dataskyddsombudet eller annan kontaktpunkt där mer information kan erhållas,

c)beskriva de sannolika konsekvenserna av personuppgiftsincidenten,

d)beskriva de åtgärder som den personuppgiftsansvarige har vidtagit eller föreslagit för att åtgärda personuppgiftsin­ cidenten, inbegripet, i tillämpliga fall, åtgärder för att mildra dess potentiella negativa effekter.

4.Om, och i den utsträckning, det inte är möjligt att tillhandahålla informationen samtidigt, får informationen tillhandahållas i omgångar utan onödigt ytterligare dröjsmål.

5.Medlemsstaterna ska föreskriva att den personuppgiftsansvarige ska dokumentera alla personuppgiftsincidenter som avses i punkt 1, inbegripet omständigheterna rörande personuppgiftsincidenten, dess effekter och de korrigerande åtgärder som vidtagits. Dokumentationen ska göra det möjligt för tillsynsmyndigheten att kontrollera efterlevnaden av denna artikel.

6.Medlemsstaterna ska föreskriva att den information som avses i punkt 3, om personuppgiftsincidenten rör personuppgifter som har överförts av eller till den personuppgiftsansvarige i en annan medlemsstat, utan onödigt dröjsmål ska meddelas den personuppgiftsansvarige i den medlemsstaten.

Artikel 31

Information till den registrerade om en personuppgiftsincident

1.Medlemsstaterna ska föreskriva att den personuppgiftsansvarige, om personuppgiftsincidenten sannolikt kommer att leda till en hög risk för fysiska personers rättigheter och friheter, utan onödigt dröjsmål ska informera den registrerade om personuppgiftsincidenten.

2.Den information till den registrerade som avses i punkt 1 i den här artikeln ska innehålla en tydlig och klar beskrivning av personuppgiftsincidentens art och åtminstone de upplysningar och åtgärder som avses i artikel 30.3 b, c och d.

3.Information till den registrerade i enlighet med punkt 1 ska inte krävas om något av följande villkor är uppfyllda:

a)Den personuppgiftsansvarige har genomfört lämpliga tekniska och organisatoriska skyddsåtgärder och dessa åtgärder har tillämpats på de personuppgifter som påverkades av personuppgiftsincidenten, i synnerhet sådana som gör personuppgifterna oläsbara för alla personer som inte är behöriga att få tillgång till dem, såsom kryptering.

b)Om den personuppgiftsansvarige har vidtagit ytterligare åtgärder som säkerställer att den höga risk för registrerades rättigheter och friheter som avses i punkt 1 sannolikt inte längre kommer att uppstå.

c)Det skulle inbegripa en oproportionell ansträngning. I så fall ska i stället allmänheten informeras eller en liknande åtgärd vidtas genom vilken de registrerade informeras på ett lika effektivt sätt.

824

SOU 2017:29

Bilaga 2

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/119

 

 

 

 

4.Om personuppgiftsbiträdet inte redan har informerat den registrerade om personuppgiftsincidenten får tillsyns­ myndigheten, efter att ha bedömt sannolikheten för att personuppgiftsincidenten medför en hög risk, kräva att personuppgiftsbiträdet gör det, eller besluta att något av de villkor som avses i punkt 3 är uppfyllt.

5.Den information till den registrerade som avses i punkt 1 i den här artikeln kan senareläggas, begränsas eller utelämnas på de villkor och av de skäl som avses i artikel 13.3.

Avsnitt 3

Dataskyddsombud

Artikel 32

Utnämning av dataskyddsombudet

1.Medlemsstaterna ska föreskriva att den personuppgiftsansvarige ska utnämna ett dataskyddsombud. Medlemsstaterna får undanta domstolars och andra oberoende rättsliga myndigheters dömande verksamhet från denna skyldighet.

2.Dataskyddsombudet ska utnämnas på grundval av sina yrkesmässiga kvalifikationer och, i synnerhet, sin sakkunskap om lagstiftning och praxis i fråga om dataskydd samt förmåga att fullgöra de uppgifter som avses i artikel 34.

3.Ett enda dataskyddsombud får utnämnas för flera behöriga myndigheter med hänsyn tagen till organisations­ struktur och storlek.

4.Medlemsstaterna ska föreskriva att den personuppgiftsansvarige ska offentliggöra dataskyddsombudets kontaktupp­ gifter och meddela dessa till tillsynsmyndigheten.

Artikel 33

Dataskyddsombudets ställning

1.Medlemsstaterna ska föreskriva att den personuppgiftsansvarige ska säkerställa att dataskyddsombudet på ett korrekt sätt och i god tid deltar i alla frågor som rör skyddet av personuppgifter.

2.Den personuppgiftsansvarige ska stödja dataskyddsombudet i utförandet av de uppgifter som avses i artikel 34 genom att tillhandahålla de resurser som krävs för att fullgöra dessa uppgifter samt tillgång till personuppgifter och behandlingsförfaranden, samt i upprätthållandet av dennes sakkunskap.

Artikel 34

Dataskyddsombudets uppgifter

Medlemsstaterna ska föreskriva att den personuppgiftsansvarige ska anförtro dataskyddsombudet åtminstone följande uppgifter:

a)Att informera och ge råd till den personuppgiftsansvarige och de anställda som utför behandling om deras skyldigheter enligt detta direktiv och annan unionsrätt eller medlemsstaters bestämmelser om dataskydd.

b)Att övervaka efterlevnaden av detta direktiv, annan unionsrätt eller medlemsstaternas bestämmelser om dataskydd och av den personuppgiftsansvariges strategier för skydd av personuppgifter, inbegripet ansvarstilldelning, information till och utbildning av personal som deltar i behandlingen och tillhörande granskning.

c)Att på begäran ge råd vad gäller konsekvensbedömningen avseende dataskydd och övervaka genomförandet av den enligt artikel 27.

d)Att samarbeta med tillsynsmyndigheten.

e)Att fungera som kontaktpunkt för tillsynsmyndigheten i frågor som rör behandling, inbegripet det förhandssamråd som avses i artikel 28, och, om så är lämpligt, samråda i andra frågor.

825

Bilaga 2

SOU 2017:29

L 119/120

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

KAPITEL V

Överföringar av personuppgifter till tredjeländer eller internationella organisationer

Artikel 35

Allmänna principer för överföringar av personuppgifter

1.Medlemsstaterna ska föreskriva att de behöriga myndigheterna endast ska överföra personuppgifter som håller på att behandlas eller är avsedda att behandlas efter det att de överförts till ett tredjeland eller en internationell organisation, inklusive för vidare överföring till ett annat tredjeland eller en annan internationell organisation, under förutsättning att de nationella bestämmelser som antas i enlighet med andra bestämmelser i detta direktiv respekteras och endast om de villkor som fastställs i detta kapitel uppfylls, nämligen:

a)Överföringen är nödvändig för de ändamål som anges i artikel 1.1.

b)Personuppgifterna överförs till en personuppgiftsansvarig i ett tredjeland eller en internationell organisation som är en behörig myndighet för de ändamål som avses i artikel 1.1.

c)Den aktuella medlemsstaten, om personuppgifter överförs eller görs tillgängliga från en annan medlemsstat, har gett förhandstillstånd till överföringen i enlighet med medlemsstaternas nationella rätt.

d)Kommissionen har antagit ett beslut om adekvat skyddsnivå i enlighet med artikel 36 eller, om inget sådant beslut föreligger, när lämpliga skyddsåtgärder har vidtagits eller föreligger enligt artikel 37 eller, om inget beslut om adekvat skyddsnivå enligt artikel 36 föreligger och inga lämpliga skyddsåtgärder enligt artikel 37 har vidtagits, när undantag för särskilda situationer gäller i enlighet med artikel 38.

e)Att den behöriga myndighet som gjorde den ursprungliga överföringen eller en annan behörig myndighet i samma medlemsstat vid vidare överföring till ett annat tredjeland eller en internationell organisation godkänner vidareöver­ föringen efter vederbörligt beaktande av alla relevanta faktorer, inbegripet brottets allvar, det ändamål för vilket personuppgifterna ursprungligen överfördes och nivån på skyddet av personuppgifter i tredjelandet till vilket eller den internationella organisationen till vilken personuppgifterna förts vidare.

2.Medlemsstaterna ska föreskriva att överföringar utan förhandstillstånd av en annan medlemsstat i enlighet med punkt 1 c tillåts endast om överföringen av personuppgifter är nödvändig för att avvärja ett omedelbart och allvarligt hot mot den allmänna säkerheten i en medlemsstat eller ett tredjeland eller mot en medlemsstats väsentliga intressen och förhandstillstånd inte kan erhållas i tid. Den myndighet som har ansvar för att ge förhandstillstånd ska underrättas utan dröjsmål.

3.Alla bestämmelser i detta kapitel ska tillämpas för att säkerställa att den skyddsnivå för fysiska personer som säkerställs genom detta direktiv inte undergrävs.

Artikel 36

Överföring på grundval av ett beslut om adekvat skyddsnivå

1.Medlemsstaterna ska föreskriva att personuppgifter får överföras till ett tredjeland eller en internationell organisation om kommissionen har beslutat att tredjelandet, ett territorium eller en eller flera specificerade sektorer i tredjelandet, eller den internationella organisationen i fråga säkerställer en adekvat skyddsnivå. En sådan överföring ska inte kräva ett särskilt tillstånd.

2.När kommissionen bedömer om en adekvat skyddsnivå föreligger ska den särskilt beakta

a)rättsstatsprincipen, respekten för de mänskliga rättigheterna och grundläggande friheterna, relevant lagstiftning, både allmän lagstiftning och sektorslagstiftning, inklusive avseende allmän säkerhet, försvar, nationell säkerhet och straffrätt samt offentliga myndigheters tillgång till personuppgifter liksom tillämpningen av denna lagstiftning, dataskyddsregler, yrkesregler och säkerhetsbestämmelser och regler för vidare överföring av personuppgifter till ett annat tredjeland eller en annan internationell organisation, som ska följas i det tredjeland eller inom den internationella organisation som berörs, rättspraxis, och effektiva och verkställbara rättigheter för registrerade och effektiv administrativ och rättslig prövning för de registrerade vars personuppgifter överförs,

b)huruvida det finns en eller flera effektivt fungerande oberoende tillsynsmyndigheter i tredjelandet, eller som utövar tillsyn över den internationella organisationen, med ansvar för att säkerställa och kontrollera att dataskyddsbestäm­ melserna följs, inklusive lämpliga verkställighetsbefogenheter, ge registrerade råd och assistans när det gäller utövandet av deras rättigheter och samarbeta med medlemsstaternas tillsynsmyndigheter, och

826

SOU 2017:29

Bilaga 2

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/121

 

 

 

 

c)vilka internationella åtaganden det berörda tredjelandet eller den berörda internationella organisationen har gjort, eller andra skyldigheter som följer av rättsligt bindande konventioner eller instrument samt av dess deltagande i multilaterala eller regionala system, särskilt rörande skydd av personuppgifter.

3.Kommissionen får, efter att ha bedömt om skyddsnivån är adekvat, genom en genomförandeakt, besluta att ett tredjeland, ett territorium eller en eller flera specificerade sektorer inom ett tredjeland, eller en internationell organisation, säkerställer en adekvat skyddsnivå i den mening som avses i punkt 2 i den här artikeln. Genomförandeakten ska inrätta en mekanism för regelbunden översyn, minst vart fjärde år, som ska beakta all relevant utveckling i det tredjelandet eller den internationella organisationen. Den territoriella och sektoriella tillämpningen ska regleras i genomförandeakten, där det också i förekommande fall ska anges vilken eller vilka myndigheter som är tillsynsmyndighet(er) enligt punkt 2 b i den här artikeln. Genomförandeakten ska antas i enlighet med det gransknings­ förfarande som avses i artikel 58.2.

4.Kommissionen ska fortlöpande övervaka utveckling i tredjeländer och internationella organisationer vilken kan påverka hur beslut som antagits enligt punkt 3 fungerar.

5.Kommissionen ska, när tillgänglig information visar, i synnerhet efter den översyn som avses i punkt 3 i den här artikeln, att ett tredjeland, ett territorium eller en eller flera specificerade sektorer inom tredjelandet i fråga eller en internationell organisation inte längre säkerställer en adekvat skyddsnivå i den mening som avses i punkt 2 i den här artikeln och, i den mån det behövs, genom genomförandeakter dra tillbaka, ändra eller upphäva det beslut som avses i punkt 3 i den här artikeln utan retroaktiv verkan. Dessa genomförandeakter ska antas i enlighet med det gransknings­ förfarande som avses i artikel 58.2.

När det föreligger vederbörligen motiverade och tvingande skäl till skyndsamhet, ska kommissionen anta omedelbart tillämpliga genomförandeakter i enlighet med det förfarande som avses i artikel 58.3.

6.Kommissionen ska samråda med tredjelandet eller den internationella organisationen i fråga för att lösa den situation som lett till beslutet enligt punkt 5.

7.Medlemsstaterna ska föreskriva att ett beslut enligt punkt 5 inte ska påverka överföringar av personuppgifter till tredjelandet, territoriet eller en eller flera specificerade sektorer inom tredjelandet, eller den internationella organisationen i fråga, enligt artiklarna 37–38.

8.Kommissionen ska i Europeiska unionens officiella tidning och på sin webbplats offentliggöra en förteckning över de tredjeländer och de territorier och specificerade sektorer i ett tredjeland samt de internationella organisationer för vilka den har fastställt att en adekvat skyddsnivå inte eller inte längre säkerställs.

Artikel 37

Överföring som omfattas av lämpliga skyddsåtgärder

1. Om det inte föreligger något beslut enligt artikel 36.3 ska medlemsstaterna föreskriva att en överföring av personuppgifter till ett tredjeland eller en internationell organisation får ske om

a)lämpliga skyddsåtgärder för personuppgifter har fastställts i ett rättsligt bindande instrument, eller

b)den personuppgiftsansvarige har bedömt alla omständigheter kring en överföring av personuppgifter och dragit slutsatsen att lämpliga skyddsåtgärder för personuppgifterna föreligger.

2.Den personuppgiftsansvarige ska informera tillsynsmyndigheten om kategorier av överföringar enligt punkt 1 b.

3.När en överföring grundas på punkt 1 b, ska denna överföring dokumenteras, och dokumentationen ska på begäran göras tillgänglig för tillsynsmyndigheten, inbegripet datum och tidpunkt för överföringen, information om den mottagande behöriga myndigheten, skälet till överföringen och de personuppgifter som har överförts.

827

Bilaga 2

SOU 2017:29

L 119/122

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

Artikel 38

Undantag i särskilda situationer

1. Om det inte föreligger något beslut om adekvat skyddsnivå enligt artikel 36 eller lämpliga skyddsåtgärder enligt artikel 37, ska medlemsstaterna föreskriva att en överföring eller en kategori av överföringar av personuppgifter till ett tredjeland eller en internationell organisation får ske endast om överföringen är nödvändig

a)för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan person,

b)för att skydda den registrerades berättigade intressen, om lagstiftningen i den medlemsstat som överför personupp­ gifterna föreskriver detta,

c)för att avvärja en omedelbar och allvarlig fara för den allmänna säkerheten i en medlemsstat eller ett tredjeland,

d)i enskilda fall för de ändamål som anges i artikel 1.1. eller

e)i ett enskilt fall för att fastslå, göra gällande eller försvara rättsliga anspråk som hänför sig till de ändamål som anges i artikel 1.1.

2.Personuppgifter får inte överföras om den överförande behöriga myndigheten fastställer att den berörda registrerades grundläggande rättigheter och friheter väger tyngre än det allmänna intresset av en sådan överföring som avses i punkt 1 d och e.

3.När en överföring grundas på punkt 1, ska denna överföring dokumenteras, och dokumentationen ska på begäran göras tillgänglig för tillsynsmyndigheten, inbegripet datum och tidpunkt för överföringen, information om den mottagande behöriga myndigheten, skälet till överföringen och de personuppgifter som har överförts.

Artikel 39

Överföringar av personuppgifter till mottagare som är etablerade i tredjeländer

1. Genom undantag från artikel 35.1 b och utan att det påverkar tillämpningen av internationella avtal som avses i punkt 2 i den här artikeln, får det i unionsrätten eller medlemsstaternas nationella rätt föreskrivas att de behöriga myndigheter som avses i artikel 3.7 a, i enskilda och särskilda fall, får överföra personuppgifter direkt till mottagare som är etablerade i tredjeländer endast om de övriga bestämmelserna i detta direktiv efterlevs och samtliga följande villkor är uppfyllda:

a)Överföringen är absolut nödvändig för att utföra en uppgift som en överförande behörig myndighet ansvarar för i enlighet med unionsrätten eller medlemsstaternas nationella rätt för de ändamål som anges i artikel 1.1.

b)Den överförande behöriga myndigheten har fastställt att ingen av den berörda registrerades grundläggande rättigheter och friheter väger tyngre än det allmänna intresse som nödvändiggör överföringen i det aktuella fallet.

c)Den överförande behöriga myndigheten anser att överföring till en myndighet som är behörig för de ändamål som avses i artikel 1.1 i tredjelandet är ineffektivt eller olämpligt, i synnerhet eftersom överföringen inte kan göras inom rimlig tid.

d)Den myndighet i tredjelandet som är behörig för de ändamål som avses i artikel 1.1 har utan dröjsmål informerats, såvida detta inte är ineffektivt eller olämpligt.

e)Den överförande behöriga myndigheten har informerat mottagaren om det eller de specifika ändamål för vilka och personuppgifterna ska behandlas av den senare förutsatt att den behandlingen är nödvändig.

2.Med ett internationellt avtal som avses i punkt 1 avses varje gällande bilateralt eller multilateralt internationellt avtal mellan medlemsstater och tredjeländer inom området för straffrättsligt samarbete och polissamarbete.

3.Den överförande behöriga myndigheten ska informera tillsynsmyndigheten om överföringar enligt denna artikel.

4.Överföringar som grundar sig på punkt 1 ska dokumenteras.

828

SOU 2017:29

Bilaga 2

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/123

 

 

 

 

Artikel 40

Internationellt samarbete för skydd av personuppgifter

När det gäller tredjeländer och internationella organisationer ska kommissionen och medlemsstaterna vidta lämpliga åtgärder för att

a)utveckla rutiner för det internationella samarbetet för att underlätta en effektiv tillämpning av lagstiftningen om skydd av personuppgifter,

b)på internationell nivå erbjuda ömsesidigt bistånd för en effektiv tillämpning av lagstiftningen om skydd av personuppgifter, bland annat genom underrättelse, hänskjutande av klagomål, bistånd vid utredningar samt informationsutbyte, med iakttagande av lämpliga skyddsåtgärder för personuppgifter samt skyddet av andra grundläggande rättigheter och friheter,

c)involvera berörda aktörer i diskussioner och åtgärder som syftar till att öka det internationella samarbetet när det gäller tillämpningen av lagstiftningen om skydd av personuppgifter,

d)främja utbyte och dokumentation om lagstiftning och praxis för skydd av personuppgifter, inklusive avseende behörighetskonflikter med tredjeländer.

KAPITEL VI

Oberoende tillsynsmyndigheter

Avsnitt 1

Oberoende ställning

Artikel 41

Tillsynsmyndighet

1.Varje medlemsstat ska föreskriva att en eller flera offentliga myndigheter ska vara ansvariga för att övervaka tillämpningen av detta direktiv, i syfte att skydda fysiska personers grundläggande rättigheter och friheter i samband med behandlingen samt att underlätta det fria flödet av sådana uppgifter inom unionen (tillsynsmyndighet).

2.Varje tillsynsmyndighet ska bidra till en enhetlig tillämpning av detta direktiv i hela unionen. För det ändamålet ska tillsynsmyndigheterna samarbeta såväl sinsemellan som med kommissionen i enlighet med kapitel VII.

3.Medlemsstaterna får föreskriva att en tillsynsmyndighet som har inrättats enligt förordning (EU) 2016/679 ska vara den tillsynsmyndighet som avses i detta direktiv och ta på sig ansvaret för de uppgifter som ska utföras av den tillsynsmyndighet som inrättas enligt punkt 1 i denna artikel.

4.Om det finns fler än en tillsynsmyndighet i en medlemsstat ska medlemsstaten utse den tillsynsmyndighet som ska företräda myndigheterna i fråga i den styrelse som avses i artikel 51.

Artikel 42

Oberoende

1.Varje medlemsstat ska föreskriva att varje tillsynsmyndighet ska vara fullständigt oberoende i utförandet av sina uppgifter och utövandet av sina befogenheter i enlighet med detta direktiv.

2.Medlemsstaterna ska föreskriva att dess tillsynsmyndigheters ledamot eller ledamöter i utförandet av sina uppgifter och i utövandet av sina befogenheter enligt detta direktiv ska stå fria från utomstående påverkan, direkt såväl som indirekt, och varken begära eller ta emot instruktioner av någon.

3.Medlemsstaternas tillsynsmyndigheters ledamot eller ledamöter ska avhålla sig från alla handlingar som står i strid med deras tjänsteutövning och under sin mandattid avstå från all annan avlönad eller oavlönad yrkesverksamhet som står i strid med deras tjänsteutövning.

4.Varje medlemsstat ska säkerställa att varje tillsynsmyndighet förfogar över de personella, tekniska och finansiella resurser samt de lokaler och den infrastruktur som behövs för att myndigheten ska kunna utföra sina uppgifter och utöva sina befogenheter, inklusive inom ramen för det ömsesidiga biståndet, samarbetet och deltagandet i styrelsens verksamhet.

829

Bilaga 2

SOU 2017:29

L 119/124

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

5.Varje medlemsstat ska säkerställa att varje tillsynsmyndighet väljer och förfogar över egen personal, som ska ta instruktioner uteslutande från den berörda tillsynsmyndighetens ledamot eller ledamöter.

6.Varje medlemsstat ska säkerställa att varje tillsynsmyndighet är föremål för finansiell kontroll, utan att detta påverkar tillsynsmyndighetens oberoende och att de förfogar över en separat, offentlig årsbudget som kan ingå i den övergripande statsbudgeten eller nationella budgeten.

Artikel 43

Allmänna villkor för tillsynsmyndighetens ledamöter

1.Medlemsstaterna ska föreskriva att varje ledamot av deras tillsynsmyndigheter ska utses genom ett öppet förfarande

av

deras parlament

deras regering

deras statschef, eller

ett oberoende organ som enligt medlemsstaternas nationella rätt anförtrotts utnämningen.

2.Varje ledamot ska ha de kvalifikationer, den erfarenhet och den kompetens, särskilt på området skydd av personuppgifter, som krävs för att de ska kunna utföra sitt uppdrag och utöva sina befogenheter.

3.En ledamots uppdrag ska upphöra då mandattiden löper ut eller om ledamoten avgår eller avsätts från sin tjänst i enlighet med den nationella rätten i den berörda medlemsstaten.

4.En ledamot ska avsättas endast på grund av allvarlig försummelse eller när ledamoten inte längre uppfyller de krav som ställs för att kunna utföra sina uppgifter.

Artikel 44

Regler för inrättandet av en tillsynsmyndighet

1.Varje medlemsstat ska i lag fastställa samtliga följande:

a)Varje tillsynsmyndighets inrättande.

b)De kvalifikationer och de villkor för lämplighet som krävs för att någon ska kunna utnämnas till ledamot av en tillsynsmyndighet.

c)Regler och förfaranden för att utse varje tillsynsmyndighets ledamot eller ledamöter.

d)Mandattiden för varje tillsynsmyndighets ledamot eller ledamöter, vilken inte får understiga fyra år, utom vid tillsättandet av de första ledamöterna efter den 6 maj 2016, då ett stegvis tillsättningsförfarande med kortare perioder för några av ledamöterna får tillämpas om detta är nödvändigt för att säkerställa myndighetens oberoende.

e)Huruvida varje tillsynsmyndighets ledamot eller ledamöter får ges förnyat mandat, och om så är fallet, för hur många perioder,

f)Vilka villkor som gäller för de skyldigheter som varje tillsynsmyndighets ledamot eller ledamöter och personal har, förbud mot handlingar, yrkesverksamhet och förmåner som står i strid därmed under och efter mandattiden och vilka bestämmelser som gäller för anställningens upphörande.

2.Varje tillsynsmyndighets ledamot eller ledamöter och personal ska i enlighet med unionsrätten eller medlemsstaternas nationella rätt omfattas av tystnadsplikt både under och efter sin mandattid vad avser konfidentiell information som de fått kunskap om under utförandet av deras uppgifter eller utövandet av deras befogenheter. Under mandatperioden ska denna tystnadsplikt i synnerhet gälla rapporter från fysiska personer om överträdelser av detta direktiv.

830

SOU 2017:29

Bilaga 2

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/125

 

 

 

 

Avsnitt 2

Behör ighet, uppgif ter och befogenheter

Artikel 45

Behörighet

1.Varje medlemsstat ska föreskriva att varje tillsynsmyndighet ska vara behörig att utföra de uppgifter och utöva de befogenheter som tilldelas den i enlighet med detta direktiv inom sin egen medlemsstats territorium.

2.Varje medlemsstat ska föreskriva att varje tillsynsmyndighet inte ska vara behörig att utöva tillsyn över domstolar som behandlar personuppgifter inom ramen för sin dömande verksamhet. Medlemsstaterna får föreskriva att deras tillsynsmyndighet inte ska vara behörig att utöva tillsyn över andra oberoende rättsliga myndigheter som behandlar personuppgifter inom ramen för sin rättsliga verksamhet.

Artikel 46

Uppgifter

1.Varje medlemsstat ska föreskriva att varje tillsynsmyndighet inom sitt territorium ska

a)övervaka och verkställa tillämpningen av de bestämmelser som antas i enlighet med detta direktiv och dess genomförandeåtgärder,

b)öka allmänhetens medvetenhet och kunskaper om risker, regler, skyddsåtgärder och rättigheter i samband med behandlingen,

c)i enlighet med medlemsstaternas nationella rätt ge rådgivning åt det nationella parlamentet, regeringen och andra institutioner och organ om lagstiftningsmässiga och administrativa åtgärder rörande skyddet av fysiska personers rättigheter och friheter när det gäller behandling,

d)öka personuppgiftsansvarigas och personuppgiftsbiträdens medvetenhet om sina skyldigheter enligt detta direktiv,

e)på begäran tillhandahålla information till registrerade om hur de ska utöva sina rättigheter enligt detta direktiv, och om så krävs samarbeta med tillsynsmyndigheter i andra medlemsstater för detta ändamål,

f)behandla klagomål från en registrerad eller från ett organ, en organisation eller en sammanslutning enligt artikel 55, och där så är lämpligt undersöka den sakfråga som klagomålet gäller och inom rimlig tid underrätta den enskilde om hur undersökningen fortskrider och om resultatet, i synnerhet om det krävs ytterligare undersökningar eller samordning med en annan tillsynsmyndighet,

g)kontrollera att behandling enligt artikel 17 är laglig och inom en rimlig period informera den registrerade om resultatet av kontrollen enligt artikel 17.3 eller om skälen till att kontrollen inte har genomförts,

h)samarbeta, inbegripet genom att utbyta information, med och ge ömsesidigt bistånd till andra tillsynsmyndigheter för att se till att detta direktiv tillämpas och verkställs på ett enhetligt sätt,

i)utföra undersökningar om tillämpningen av detta direktiv, inbegripet på grundval av information som erhålls från en annan tillsynsmyndighet eller annan offentlig myndighet,

j)följa sådan utveckling som påverkar skyddet av personuppgifter, bland annat inom informations- och kommunika­ tionsteknik,

k)ge råd om sådan behandling av personuppgifter som avses i artikel 28, och

l)bidra till styrelsens verksamhet.

2.Varje tillsynsmyndighet ska underlätta inlämningen av klagomål enligt punkt 1 f genom åtgärder, såsom att tillhandahålla ett särskilt formulär för ändamålet, vilket också kan fyllas i elektroniskt, utan att andra kommunika­ tionsformer utesluts.

831

Bilaga 2

SOU 2017:29

L 119/126

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

3.Utförandet av alla tillsynsmyndigheters uppgifter ska vara avgiftsfritt för den registrerade och för dataskydd­ sombudet.

4.Om en begäran är uppenbart ogrundad eller orimlig, särskilt på grund av att den är repetitiv, får tillsynsmyndighe­ ten ta ut en rimlig avgift grundad på de administrativa kostnaderna eller vägra att tillmötesgå begäran. Det åligger tillsynsmyndigheten att visa att begäran är uppenbart ogrundad eller orimlig.

Artikel 47

Befogenheter

1.Varje medlemsstat ska i lag säkerställa att varje tillsynsmyndighet har effektiva undersökningsbefogenheter. Dessa befogenheter ska minst inbegripa rätten att från den personuppgiftsansvarige och personuppgiftsbiträdet få tillgång till alla personuppgifter som behandlas och all information som tillsynsmyndigheten behöver för att kunna fullgöra sina uppgifter.

2.Varje medlemsstat ska i lag säkerställa att varje tillsynsmyndighet har effektiva korrigerande befogenheter, till exempel för att:

a)Utfärda varningar till den personuppgiftsansvarige eller personuppgiftsbiträdet om att planerade behandlingar sannolikt kommer att stå i strid med de bestämmelser som antas i enlighet med detta direktiv.

b)Beordra den personuppgiftsansvarige eller personuppgiftsbiträdet att se till att uppgiftsbehandlingen är förenlig med de bestämmelser som antas enligt detta direktiv, om lämpligt på ett visst sätt och inom en viss tid, bland annat genom att beordra rättelse, eller radering av personuppgifter eller begränsning av behandling enligt artikel 16.

c)Införa en tillfällig eller definitiv begränsning av, inklusive ett förbud mot, uppgiftsbehandlingen.

3.Varje medlemsstat ska i lag säkerställa att varje tillsynsmyndighet har effektiva befogenheter att ge den personupp­ giftsansvarige råd i enlighet med det förfarande för förhandssamråd som avses i artikel 28 och att på eget initiativ eller på begäran avge yttranden till det nationella parlamentet, medlemsstatens regering eller, i enlighet med dess nationella rätt, till andra institutioner och organ samt till allmänheten, i frågor som rör skydd av personuppgifter.

4.Utövandet av de befogenheter som tillsynsmyndigheten tilldelas enligt denna artikel ska omfattas av lämpliga skyddsåtgärder, inbegripet effektiva rättsmedel och rättssäkerhet, som fastställts i unionsrätten och medlemsstaternas nationella rätt i enlighet med stadgan.

5.Varje medlemsstat ska i lag säkerställa att varje tillsynsmyndighet har befogenhet att göra rättsliga myndigheter uppmärksamma på överträdelser av de bestämmelser som antas i enlighet med detta direktiv och att, när så är lämpligt, inleda eller på annat sätt delta i rättsliga förfaranden, i syfte att säkerställa efterlevnaden av bestämmelser som antas i enlighet med detta direktiv.

Artikel 48

Rapportering av överträdelser

Medlemsstaterna ska föreskriva att de behöriga myndigheterna ska inrätta effektiva mekanismer för att uppmuntra till konfidentiell rapportering av överträdelser av detta direktiv.

Artikel 49

Verksamhetsrapport

Varje tillsynsmyndighet ska upprätta en årlig rapport om sin verksamhet, vilken kan omfatta en förteckning över typer av anmälda överträdelser och typer av ålagda sanktioner. Rapporterna ska översändas till det nationella parlamentet, regeringen och andra myndigheter som utsetts genom medlemsstaternas nationella rätt. Den ska göras tillgänglig för allmänheten, kommissionen och styrelsen.

832

SOU 2017:29

Bilaga 2

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/127

 

 

 

 

KAPITEL VII

Samarbete

Artikel 50

Ömsesidigt bistånd

1.Medlemsstaterna ska föreskriva att tillsynsmyndigheterna ska utbyta relevant information och ge ömsesidigt bistånd i arbetet för att genomföra och tillämpa detta direktiv på ett enhetligt sätt, och ska införa åtgärder som bidrar till ett verkningsfullt samarbete. Det ömsesidiga biståndet ska särskilt omfatta begäranden om information och tillsynsåtgärder, till exempel begäranden om att genomföra samråd, inspektioner och utredningar.

2.Medlemsstaterna ska föreskriva att varje tillsynsmyndighet ska vidta alla lämpliga åtgärder för att kunna besvara en begäran från en annan tillsynsmyndighet utan onödigt dröjsmål och inte senare än en månad efter det att den tagit emot begäran. Till sådana åtgärder hör bland annat att översända relevant information om genomförandet av en pågående utredning.

3.En begäran om bistånd ska innehålla all nödvändig information, inklusive syftet med och skälen till denna. Information som utbytts får endast användas för det syfte för vilket den har begärts.

4.En tillsynsmyndighet som tar emot begäran får bara vägra att tillmötesgå begäran om

a)den inte är behörig att behandla den sakfråga som begäran avser eller de åtgärder som det begärs att den ska utföra, eller

b)det skulle stå i strid med detta direktiv eller med den unionsrätt eller medlemsstatens nationella rätt som den tillsynsmyndighet som mottar begäran omfattas av att tillmötesgå begäran.

5.Den tillsynsmyndighet som tagit emot begäran ska meddela den myndighet som begäran kommer ifrån om resultatet eller, allt efter omständigheterna, om hur de åtgärder som vidtagits för att tillmötesgå begäran fortskrider. Den tillsynsmyndighet som tagit emot begäran ska redogöra för sina skäl för att vägra tillmötesgå begäran i enlighet med punkt 4.

6.Varje tillsynsmyndighet som tar emot begäran ska som regel tillhandahålla den information som begärts av andra tillsynsmyndigheter på elektronisk väg med användning av ett standardiserat format.

7.Tillsynsmyndigheter som tar emot begäran får inte ta ut någon avgift för åtgärder som de vidtagit efter en begäran om ömsesidigt bistånd. Tillsynsmyndigheter får i undantagsfall komma överens med andra tillsynsmyndigheter om regler för ersättning från varandra för vissa utgifter i samband med tillhandahållande av ömsesidigt bistånd.

8.Kommissionen får genom genomförandeakter närmare ange format och förfaranden för sådant ömsesidigt bistånd som avses i denna artikel samt formerna för elektronisk överföring av information tillsynsmyndigheter emellan, samt mellan tillsynsmyndigheter och styrelsen. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 58.2.

Artikel 51

Styrelsens uppgifter

1. Styrelsen som inrättats genom förordning (EU) 2016/679 ska i samband med uppgiftsbehandling som omfattas av detta direktivs tillämpningsområde ha följande uppgifter:

a)Ge kommissionen råd i alla frågor som gäller skydd av personuppgifter inom unionen, till exempel om eventuella förslag till ändring av detta direktiv.

b)På eget initiativ, på begäran av en av sina ledamöter eller av kommissionen behandla frågor om tillämpningen av detta direktiv och utfärda riktlinjer, rekommendationer och bästa praxis i syfte att främja en enhetlig tillämpning av detta direktiv.

c) Utforma riktlinjer för tillsynsmyndigheterna i fråga om tillämpningen av de åtgärder som avses i artikel 47.1 och 47.3.

d)Utfärda riktlinjer, rekommendationer och bästa praxis i enlighet med led b i detta stycke för att konstatera personupp­ giftsincidenter och fastställa det otillbörliga dröjsmål som avses i artikel 30.1 och 30.2 och för de särskilda omständigheter under vilka ett personuppgiftsbiträde eller en personuppgiftsansvarig är skyldig att anmäla personuppgiftsincidenten.

833

Bilaga 2

SOU 2017:29

L 119/128

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

e)Utfärda riktlinjer, rekommendationer och bästa praxis i enlighet med led b i detta stycke angående de omständigheter under vilka en personuppgiftsincident sannolikt kommer att orsaka en hög risk för rättigheterna och friheterna för de fysiska personer som avses i artikel 31.1.

f)Se över den praktiska tillämpningen av de riktlinjer och rekommendationer samt den bästa praxis som avses i leden b och c.

g)Avge ett yttrande till kommissionen för bedömningen av huruvida skyddsnivån i ett tredjeland, ett territorium eller en eller flera specificerade sektorer inom ett tredjeland, eller en internationell organisation är adekvat, inbegripet för en bedömning av huruvida det tredjelandet, det territoriet, den specificerade sektorn eller den internationella organisationen inte längre säkerställer en adekvat skyddsnivå.

h)Främja samarbete och effektivt bilateralt och multilateralt utbyte av bästa praxis och information mellan tillsynsmyn­ digheterna.

i)Främja gemensamma utbildningsprogram och underlätta personalutbyte mellan tillsynsmyndigheterna, och där så är lämpligt även med tillsynsmyndigheter i tredjeland och internationella organisationer.

j)Främja utbyte av kunskap och dokumentation om lagstiftning och bästa praxis på området för dataskydd med tillsynsmyndigheter med ansvar för dataskydd i hela världen.

Vad gäller första stycket led g ska kommissionen lämna all nödvändig dokumentation till styrelsen, inklusive korrespondens med regeringen i tredjelandet, med territoriet eller den specificerade sektorn i det tredjelandet eller med den internationella organisationen.

2.När kommissionen begär rådgivning från styrelsen får den ange en tidsfrist med hänsyn till hur brådskande ärendet

är.

3.Styrelsen ska vidarebefordra sina yttranden, riktlinjer, rekommendationer och exempel på bästa praxis till kommissionen och till den kommitté som avses i artikel 58.1, samt offentliggöra dem.

4.Kommissionen ska hålla styrelsen underrättad om de åtgärder den vidtagit som en följd av styrelsens yttranden, riktlinjer, rekommendationer och bästa praxis.

KAPITEL VIII

Rättsmedel, ansvar och sanktioner

Artikel 52

Rätt att lämna in ett klagomål till en tillsynsmyndighet

1.Utan att det påverkar andra administrativa prövningsförfaranden eller rättsmedel ska medlemsstaterna föreskriva att alla registrerade personer som anser att behandling som avser dem står i strid med de bestämmelser som antas i enlighet med detta direktiv har rätt att lämna in ett klagomål till en enda tillsynsmyndighet.

2.Medlemsstaterna ska föreskriva att den tillsynsmyndighet som mottagit klagomålet ska överlämna det till den behöriga tillsynsmyndigheten utan onödigt dröjsmål, om klagomålet inte inlämnats till den myndighet som är behörig enligt artikel 45.1. Den registrerade ska informeras om överlämnandet.

3.Medlemsstaterna ska föreskriva att den tillsynsmyndighet som mottagit klagomålet ska tillhandahålla ytterligare hjälp på den registrerades begäran.

4.Den registrerade ska underrättas av den behöriga tillsynsmyndigheten om klagomålets handläggning och dess resultat, inbegripet rätten till rättsmedel enligt artikel 53.

Artikel 53

Rätt till ett effektivt rättsmedel mot en tillsynsmyndighets beslut

1. Utan att det påverkar något annat administrativt prövningsförfarande eller prövningsförfarande utanför domstol ska medlemsstater föreskriva att en fysisk eller juridisk person har rätt till ett effektivt rättsmedel mot ett rättsligt bindande beslut som avser dem och som meddelats av en tillsynsmyndighet.

834

SOU 2017:29

Bilaga 2

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/129

 

 

 

 

2.Utan att det påverkar något annat administrativt prövningsförfarande eller prövningsförfarande utanför domstol ska varje registrerad person ha rätt till ett effektivt rättsmedel om den enligt artikel 45.1 behöriga tillsynsmyndigheten inte inom tre månader behandlar ett klagomål eller om tillsynsmyndigheten inte informerar den registrerade om handläggningen eller resultatet av det klagomål som inlämnats enligt artikel 52.

3.Medlemsstaterna ska föreskriva att talan mot en tillsynsmyndighet ska väckas vid domstol i den medlemsstat där tillsynsmyndigheten har sitt säte.

Artikel 54

Rätt till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträde

Utan att det påverkar tillgängliga administrativa prövningsförfaranden eller prövningsförfaranden utanför domstol, inbegripet rätten att lämna in ett klagomål till en tillsynsmyndighet enligt artikel 52, ska medlemsstaterna föreskriva en rätt till effektiva rättsmedel för registrerade om han eller hon anser att deras rättigheter enligt de bestämmelser som antas enligt detta direktiv har kränkts som en följd av att hans eller hennes personuppgifter har behandlats på ett sätt som inte är förenligt med dessa bestämmelser.

Artikel 55

Företrädande av registrerade personer

Medlemsstaterna ska i enlighet med medlemsstaternas nationella processrätt se till att den registrerade har rätt att ge ett organ, en organisation eller en sammanslutning utan vinstsyfte som har inrättats på lämpligt sätt i enlighet med lagen i en medlemsstat, och vars stadgeenliga mål är av allmänt intresse och som är verksam inom området skydd av registrerades rättigheter och friheter vad gäller skyddet av deras personuppgifter, i uppdrag att lämna in klagomålet för hans eller hennes räkning och att utöva de rättigheter som avses i artiklarna 52, 53 och 54 för hans eller hennes räkning.

Artikel 56

Rätt till ersättning

Medlemsstaterna ska föreskriva att var och en som lidit materiell eller immateriell skada till följd av en olaglig behandling av personuppgifter eller av någon annan åtgärd som står i strid med de nationella bestämmelser som antas i enlighet med detta direktiv ska ha rätt till ersättning för denna skada från den personuppgiftsansvarige eller varje annan myndighet som är behörig enligt medlemsstaternas nationella rätt.

Artikel 57

Sanktioner

Medlemsstaterna ska föreskriva sanktioner för överträdelser av bestämmelser som antas enligt detta direktiv och ska vidta de åtgärder som krävs för att säkerställa att dessa sanktioner genomförs. Sanktionerna ska vara effektiva, proportionella och avskräckande.

KAPITEL IX

Genomförandeakter

Artikel 58

Kommittéförfarande

1.Kommissionen ska biträdas av den kommitté som inrättats enligt artikel 93 i förordning (EU) 2016/679. Denna kommitté ska vara en kommitté i den mening som avses i förordning (EU) nr 182/2011.

2.När det hänvisas till denna punkt ska artikel 5 i förordning (EU) nr 182/2011 tillämpas.

3.När det hänvisas till denna punkt, ska artikel 8 i förordning (EU) nr 182/2011 jämförd med artikel 5 i den förordningen tillämpas.

835

Bilaga 2

SOU 2017:29

L 119/130

SV

Europeiska unionens officiella tidning

4.5.2016

 

 

 

 

KAPITEL X

Slutbestämmelser

Artikel 59

Upphävande av rambeslut 2008/977/RIF

1.Rambeslut 2008/977/RIF ska upphöra att gälla från och med den 6 maj 2018.

2.Hänvisningar till det upphävda beslut som avses i punkt 1 ska anses som hänvisningar till detta direktiv.

Artikel 60

Gällande unionsrättsakter

Detta direktiv ska inte påverka särskilda bestämmelser om skydd av personuppgifter i unionsrättsakter på området för straffrättsligt samarbete och polissamarbete som trädde i kraft den 6 maj 2016 eller tidigare, vilka reglerar behandling medlemsstaterna emellan och medlemsstaternas utsedda myndigheters tillgång till informationssystem som inrättats på grundval av fördragen och som är relevanta för detta direktivs tillämpningsområde.

Artikel 61

Förhållande till tidigare ingångna internationella avtal på området för straffrättsligt samarbete och polissamarbete

Internationella avtal som rör överföring av personuppgifter till tredjeländer eller internationella organisationer som ingicks av medlemsstaterna före den 6 maj 2016 och som är förenliga med unionsrätten så som den tillämpades före den dagen ska fortsätta att gälla tills de ändras, ersätts eller återkallas.

Artikel 62

Kommissionens rapporter

1.Kommissionen ska senast den 6 maj 2022 och därefter vart fjärde år överlämna en rapport om utvärderingen och översynen av detta direktiv till Europaparlamentet och rådet. Rapporten ska offentliggöras.

2.Inom ramen för de utvärderingar och översyner som avses i punkt 1 ska kommissionen i synnerhet granska tillämpningen av kapitel V om överföring av personuppgifter till tredjeländer och internationella organisationer samt hur bestämmelserna fungerar, och därvid särskilt beakta beslut som antagits i enlighet med artiklarna 36.3 och 39.

3.För de ändamål som avses i punkterna 1 och 2 får kommissionen begära information från medlemsstaterna och tillsynsmyndigheterna.

4.Kommissionen ska när den utför de utvärderingar och översyner som avses i punkterna 1 och 2 ta hänsyn till ståndpunkter och slutsatser från Europaparlamentet, rådet och andra relevanta organ och källor.

5.Dessa rapporter får vid behov överlämnas tillsammans med lagstiftningsförslag om ändring, i syfte att ändra detta direktiv med särskild hänsyn till informationsteknikens utveckling och informationssamhällets framsteg.

6.Kommissionen ska senast den 6 maj 2019 se över andra rättsakter som antagits av unionen och som reglerar de behöriga myndigheternas behandling för att uppnå de mål som anges i artikel 1.1, inklusive de som avses i artikel 60, i syfte att bedöma om de behöver anpassas till detta direktiv och att, i förekommande fall, lägga fram förslag till ändring av dessa rättsakter för att säkerställa ett enhetligt tillvägagångssätt för skydd av personuppgifter inom detta direktivs tillämpningsområde.

836

SOU 2017:29

Bilaga 2

4.5.2016

SV

Europeiska unionens officiella tidning

L 119/131

 

 

 

 

Artikel 63

Införlivande

1. Medlemsstaterna ska senast den 6 maj 2018 anta och offentliggöra de lagar och andra författningar som är nödvändiga för att följa detta direktiv. De ska genast överlämna texten till dessa bestämmelser till kommissionen. De ska tillämpa dessa bestämmelser från och med den 6 maj 2018.

När en medlemsstat antar dessa bestämmelser ska de innehålla en hänvisning till detta direktiv eller åtföljas av en sådan hänvisning när de offentliggörs. Närmare föreskrifter om hur hänvisningen ska göras ska varje medlemsstat själv utfärda.

2.Genom undantag från punkt 1 får medlemsstaterna föreskriva att de automatiserade behandlingssystem som inrättades före den 6 maj 2016 undantagsvis, när det innebär oproportionella ansträngningar, ska bringas i överensstämmelse med artikel 25.1 senast den 6 maj 2023.

3.Genom undantag från punkterna 1 och 2 i denna artikel får en medlemsstat under exceptionella omständigheter bringa ett automatiserat behandlingssystem som avses i punkt 2 i denna artikel i överensstämmelse med artikel 25.1 inom en specifik tidsperiod efter den period som avses i punkt 2 i den här artikeln om det annars skulle uppstå allvarliga problem för driften av detta specifika automatiserade behandlingssystem. Den berörda medlemsstaten ska underrätta kommissionen om skälen till dessa allvarliga problem och skälen till den angivna tidsperioden inom vilken den ska bringa detta specifika automatiserade databehandlingssystem i överensstämmelse med artikel 25.1. Den angivna perioden ska under inga omständigheter inte vara senare än 6 maj 2026.

4.Medlemsstaterna ska till kommissionen överlämna texten till de centrala bestämmelser i medlemsstaternas nationella rätt som de antar inom det område som omfattas av detta direktiv.

Artikel 64

Ikraftträdande

Detta direktiv träder i kraft dagen efter det att det har offentliggjorts i Europeiska unionens officiella tidning.

Artikel 65

 

Adressater

Detta direktiv riktar sig till medlemsstaterna.

 

 

Utfärdat i Bryssel den 27 april 2016.

 

 

På Europaparlamentets vägnar

 

På rådets vägnar

M. SCHULZ

 

J.A. HENNIS-PLASSCHAERT

Ordförande

 

Ordförande

 

 

 

837

Statens offentliga utredningar 2017

Kronologisk förteckning

1.För Sveriges landsbygder

en sammanhållen politik för arbete, hållbar tillväxt och välfärd. N.

2.Kraftsamling för framtidens energi. M.

3.Karens för statsråd och statssekreterare. Fi.

4.För en god och jämlik hälsa. En utveckling av det folkhälsopolitiska ramverket. S.

5.Svensk social trygghet i en globaliserad värld. Del 1 och 2. S.

6.Se barnet! Ju.

7.Straffprocessens ramar och domstolens beslutsunderlag

i brottmål – en bättre hantering av stora mål. Ju.

8.Kunskapsläget på kärnavfallsområdet 2017. Kärnavfallet – en fråga i ständig förändring. M.

9.Det handlar om oss.

unga som varken arbetar eller studerar. U.

10.Ny ordning för att främja god sed och hantera oredlighet i forskning. U.

11.Vägskatt. Volym 1 och 2. Fi.

12.Att ta emot människor på flykt. Sverige hösten 2015. Ju.

13.Finansiering av infrastruktur med privat kapital? Fi.

14.Migrationsärenden

vid utlandsmyndigheterna. Ju.

15.Kvalitet och säkerhet

på apoteksmarknaden. S.

16.Sverige i Afghanistan 2002–2014. UD.

17.Om oskuldspresumtionen och rätten att närvara vid rättegången. Genomförande av EU:s oskuldspresumtionsdirektiv. Ju.

18.En nationell strategi för validering. U.

19.Uppdrag: Samverkan. Steg på vägen mot fördjupad lokal samverkan

för unga arbetslösa. A.

20.Tillträde för nybörjare – ett öppnare och enklare system för tillträde till högskoleutbildning. U.

21.Läs mig! Nationell kvalitetsplan för vård och omsorg om äldre personer. Del 1 och 2. S.

22.Från värdekedja till värdecykel – så får Sverige en mer cirkulär ekonomi. M.

23.digitalforvaltning.nu. Fi.

24.Ett arbetsliv i förändring – hur påverkas ansvaret för arbetsmiljön? A.

25.Samlad kunskap – stärkt handläggning. S.

26.Delningsekonomi. På användarnas villkor. Fi.

27.Vissa frågor inom fastighets- och stämpelskatteområdet. Fi.

28.Ett nationellt centrum för kunskap om och utvärdering av arbetsmiljö. A.

29.Brottsdatalag. Ju

Statens offentliga utredningar 2017

Systematisk förteckning

Arbetsmarknadsdepartementet

Uppdrag: Samverkan. Steg på vägen mot fördjupad lokal samverkan för unga arbetslösa. [19]

Ett arbetsliv i förändring – hur påverkas ansvaret för arbetsmiljön? [24]

Ett nationellt centrum för kunskap om och utvärdering av arbetsmiljö. [28]

Finansdepartementet

Karens för statsråd och statssekreterare. [3] Vägskatt. Volym 1 och 2. [11]

Finansiering av infrastruktur med privat kapital? [13]

digitalforvaltning.nu. [23]

Delningsekonomi. På användarnas villkor. [26]

Vissa frågor inom fastighets- och stämpel- skatteområdet. [27]

Justitiedepartementet

Se barnet! [6]

Straffprocessens ramar och domstolens beslutsunderlag i brottmål

– en bättre hantering av stora mål. [7]

Att ta emot människor på flykt. Sverige hösten 2015. [12]

Migrationsärenden

vid utlandsmyndigheterna.[14]

Om oskuldspresumtionen och rätten att närvara vid rättegången. Genomförande av EU:s oskuldspresumtionsdirektiv. [17]

Brottsdatalag. [29]

Miljö- och energidepartementet

Kraftsamling för framtidens energi. [2]

Kunskapsläget på kärnavfallsområdet 2017. Kärnavfallet – en fråga i ständig förändring. [8]

Från värdekedja till värdecykel – så får Sverige en mer cirkulär ekonomi. [22]

Näringsdepartementet

För Sveriges landsbygder

– en sammanhållen politik för

arbete, hållbar tillväxt och välfärd. [1]

Socialdepartementet

För en god och jämlik hälsa. En utveckling av det

folkhälsopolitiska ramverket. [4]

Svensk social trygghet i en globaliserad värld. Del 1 och 2.[5]

Kvalitet och säkerhet

på apoteksmarknaden. [15]

Läs mig! Nationell kvalitetsplan

för vård och omsorg om äldre personer. Del 1 och 2. [21]

Samlad kunskap – stärkt handläggning. [25]

Utbildningsdepartementet

Det handlar om oss.

– unga som varken arbetar eller studerar. [9]

Ny ordning för att främja god sed

och hantera oredlighet i forskning. [10] En nationell strategi för validering [18]

Tillträde för nybörjare – ett öppnare och enklare system för tillträde till hög­ skoleutbildning. [20]

Utrikesdepartementet

Sverige i Afghanistan 2002–2014. [16]