Ny dataskyddslag

Kompletterande bestämmelser till EU:s dataskyddsförordning

Betänkande av Dataskyddsutredningen

Stockholm 2017

SOU 2017:39

Innehåll

Förkortningar.....................................................................		15
Sammanfattning ................................................................		19
Summary ..........................................................................		29
1	Författningsförslag.....................................................	39

1.1Förslag till lag med kompletterande bestämmelser

till EU:s dataskyddsförordning..............................................

39

1.2Förslag till lag om ändring i offentlighets-

och sekretesslagen (2009:400)................................................

51

1.3Förslag till förordning om ändring i arkivförordningen

(1991:446)................................................................................

53

1.4Förslag till förordning med kompletterande

	bestämmelser till EU:s dataskyddsförordning		...................... 55
2	Vårt uppdrag och arbete .............................................		59
2.1	Uppdraget................................................................................		59
2.2	Avgränsningar .........................................................................		59
2.3	Utredningsarbetet...................................................................		60
3	Gällande rätt.............................................................		63
3.1	Inledning..................................................................................		63
3.2	Internationella överenskommelser ........................................		64
	3.2.1	Förenta Nationerna.................................................	64

5

Innehåll

SOU 2017:39

	3.2.2	OECD .....................................................................	64
3.3	Europarätt ...............................................................................		65
	3.3.1	Europarådet .............................................................	65
	3.3.2	Europeiska unionen ................................................	66
3.4	Svensk rätt...............................................................................		68
	3.4.1	Regeringsformen.....................................................	68
	3.4.2	Dataskyddsdirektivets genomförande ...................	68
4	EU:s dataskyddsreform...............................................		71
4.1	Allmänt om reformen.............................................................		71
4.2	Dataskyddsförordningen .......................................................		72
	4.2.1	Förordningens syfte................................................	73
	4.2.2	Tillämpningsområdet..............................................	73
	4.2.3	Sakliga förändringar ................................................	75
5	Ett nytt svenskt regelverk om dataskydd .......................		77
5.1	Vårt uppdrag ...........................................................................		77
5.2	Överväganden och förslag......................................................		78
	5.2.1	Personuppgiftslagen,
		personuppgiftsförordningen och
		Datainspektionens föreskrifter ska upphävas .......	78

5.2.2Ett regelverk som kompletterar dataskyddsförordningen på generell nivå ska

		införas ......................................................................	79
	5.2.3	Avvikande bestämmelser i annan lag eller i
		förordning ska ha företräde....................................	83
6	Behandling av personuppgifter utanför
	dataskyddsförordningens tillämpningsområde ...............		87
6.1	Vårt uppdrag ...........................................................................		87
6.2	Gällande rätt ...........................................................................		87
6.3	Dataskyddsförordningen .......................................................		88
6.4	Överväganden och förslag......................................................		89

6

SOU 2017:39

Innehåll

6.4.1Vad faller utanför unionsrättens

tillämpningsområde? ...............................................

90

6.4.2Ska förordningens bestämmelser göras

		gällande utanför deras tillämpningsområde?	......... 91
	6.4.3	Vem ska utöva tillsyn? ............................................	93
7	Förhållandet till yttrande- och informationsfriheten.......		95
7.1	Vårt uppdrag............................................................................		95
7.2	Gällande rätt............................................................................		95
7.3	Dataskyddsförordningen........................................................		98
7.4	Våra överväganden och förslag...............................................		98
8	Rättslig grund för behandling av personuppgifter ........		103
8.1	Vårt uppdrag..........................................................................		103
8.2	Dataskyddsförordningen......................................................		103
	8.2.1	Laglig behandling...................................................	103
	8.2.2	Begreppet nödvändig.............................................	105

8.2.3Förhållandet mellan artiklarna 5 och 6

i dataskyddsförordningen .....................................	106
8.3 Överväganden och förslag....................................................	108

8.3.1Grunden för behandlingen ska i vissa fall vara

fastställd .................................................................

108

8.3.2Behandling för att uppfylla en rättslig

	förpliktelse .............................................................	113
8.3.3	Behandling som ett led i myndighetsutövning ....	119

8.3.4Behandling för att utföra uppgifter av allmänt

intresse ...................................................................

122

8.3.5Särskilda bestämmelser som anpassar

	tillämpningen av dataskyddsförordningen...........	133
8.3.6	Inledande upplysningsbestämmelse .....................	135
8.4 Sammanfattning ....................................................................		135

7

Innehåll

SOU 2017:39

9	Barns samtycke som rättslig grund ............................		137
9.1	Vårt uppdrag .........................................................................		137
9.2	Gällande rätt .........................................................................		137
9.3	Dataskyddsförordningen .....................................................		138
	9.3.1	Samtycke som rättslig grund för behandling
		av personuppgifter ................................................	138

9.3.2Personuppgifter som rör barn förtjänar ett

	särskilt skydd.........................................................	140
9.3.3	Barns samtycke......................................................	141
9.4 Utgångspunkter för vår bedömning....................................		142
9.4.1	Inledning................................................................	142
9.4.2	Barnets bästa och barnets rätt till integritet ........	142

9.4.3När är artikel 8.1 i dataskyddsförordningen

tillämplig? ..............................................................

144

9.4.4Något om olika åldersgränser i svensk

	lagstiftning.............................................................	149
9.4.5	Direktreklam till barn ...........................................	151

9.4.6Yttranden till utredningen angående

		åldersgränsen .........................................................	152
9.5	Överväganden och förslag....................................................		153
10	Känsliga personuppgifter ..........................................		161
10.1	Vårt uppdrag .........................................................................		161
10.2	Dataskyddsförordningen .....................................................		161
10.3	Vad betyder kravet på stöd i nationell rätt?........................		162
10.4	Den registrerades samtycke .................................................		166
	10.4.1	Gällande rätt ..........................................................	166
	10.4.2	Överväganden........................................................	166
10.5	Arbetsrätt, social trygghet och socialt skydd .....................		167
	10.5.1	Gällande rätt ..........................................................	167
	10.5.2	Överväganden och förslag ....................................	167
10.6	Viktigt allmänt intresse ........................................................		171
	10.6.1	Gällande rätt ..........................................................	171

8

SOU 2017:39 Innehåll

	10.6.2	Överväganden och förslag.....................................	172
10.7	Hälso- och sjukvård och social omsorg...............................		182
	10.7.1	Gällande rätt ..........................................................	182
	10.7.2	Överväganden och förslag.....................................	184
10.8	Folkhälsa................................................................................		186
	10.8.1	Gällande rätt ..........................................................	186
	10.8.2	Överväganden ........................................................	187
11	Personuppgifter som rör lagöverträdelser....................		189
11.1	Vårt uppdrag..........................................................................		189
11.2	Gällande rätt..........................................................................		189
11.3	Dataskyddsförordningen......................................................		191
11.4	Överväganden och förslag....................................................		192
12	Personnummer och samordningsnummer...................		197
12.1	Vårt uppdrag..........................................................................		197
12.2	Gällande rätt..........................................................................		197
12.3	Dataskyddsförordningen......................................................		198
12.4	Överväganden och förslag....................................................		199
13	Begränsningar av vissa rättigheter och skyldigheter
	i dataskyddsförordningen .........................................		201
13.1	Vårt uppdrag..........................................................................		201
13.2	Dataskyddsförordningen......................................................		201
13.3	Gällande rätt..........................................................................		203
13.4	Överväganden och förslag....................................................		204

13.4.1Sekretess och tystnadsplikt ska gå före

informationsplikten...............................................

204

13.4.2Löpande text som utgör utkast eller minnesanteckning ska inte omfattas av rätten

till registerutdrag ...................................................	206
13.4.3 Något om rätten att göra invändningar ...............	207

9

Innehåll

SOU 2017:39

13.4.4Regeringen ska få meddela föreskrifter

		om ytterligare undantag........................................	208
14	Arkiv och statistik ....................................................		209
14.1	Vårt uppdrag .........................................................................		209
14.2	Gällande rätt .........................................................................		210
14.3	Dataskyddsförordningen .....................................................		211
	14.3.1	Direkt tillämpliga bestämmelser ..........................	211
	14.3.2 Bestämmelser som ger utrymme för nationella
		undantag ................................................................	213
14.4	Överväganden och förslag – arkivändamål
	av allmänt intresse ................................................................		214
	14.4.1	Allmänt intresse ....................................................	214
	14.4.2 Rättslig grund och tillåten vidarebehandling.......		215

14.4.3Förhållandet till arkivlagstiftningen och

behandling av känsliga personuppgifter...............	220
14.4.4 Lämpliga skyddsåtgärder ......................................	223

14.4.5Undantag från vissa av den registrerades

		rättigheter ..............................................................	228
	14.4.6 Organ som bör jämställas med myndigheter ......		233
14.5	Överväganden och förslag – statistiska ändamål ................		234
	14.5.1	Statistik ..................................................................	234
	14.5.2 Rättslig grund och tillåten vidarebehandling.......		235
	14.5.3	Känsliga personuppgifter......................................	236
	14.5.4	Lämpliga skyddsåtgärder ......................................	238
	14.5.5 Undantag från vissa av den registrerades
		rättigheter ..............................................................	240
15	Förhandstillstånd.....................................................		243
15.1	Vårt uppdrag .........................................................................		243
15.2	Gällande rätt .........................................................................		243
15.3	Dataskyddsförordningen .....................................................		244
15.4	Överväganden .......................................................................		244

10

SOU 2017:39 Innehåll

16	Godkännande av certifieringsorgan............................	247
16.1	Vårt uppdrag..........................................................................	247
16.2	Dataskyddsförordningen......................................................	247
16.3	Överväganden .......................................................................	249
	16.3.1 Certifiering, ackreditering och Swedac ................	249
	16.3.2 Vår bedömning ......................................................	249

17	Sekretess................................................................		253
17.1	Vårt uppdrag..........................................................................		253
17.2	Allmänt om grundlags- och sekretessregleringen...............		253
17.3	Sekretess hos tillsynsmyndigheten ......................................		255
	17.3.1	Gällande rätt ..........................................................	255
	17.3.2	Dataskyddsförordningen ......................................	257
	17.3.3	Överväganden ........................................................	257
17.4	Tystnadsplikt för dataskyddsombud ...................................		259
	17.4.1	Gällande rätt ..........................................................	259
	17.4.2	Dataskyddsförordningen ......................................	259
	17.4.3	Överväganden och förslag.....................................	260
17.5	Sekretess för uppgifter som behandlas i strid mot
	personuppgiftsregleringen....................................................		263
	17.5.1	Gällande rätt ..........................................................	263
	17.5.2	Överväganden och förslag.....................................	265
17.6	Generalklausulen...................................................................		267
	17.6.1	Gällande rätt ..........................................................	267
	17.6.2	Överväganden och förslag.....................................	268
17.7	Sekretess för uppgifter i verksamhet för teknisk
	bearbetning och lagring ........................................................		269
	17.7.1	Gällande rätt ..........................................................	269
	17.7.2	Överväganden och förslag.....................................	270

18	Sanktioner ..............................................................	273
18.1	Vårt uppdrag..........................................................................	273
18.2	Vad är en sanktion?...............................................................	273

11

Innehåll

SOU 2017:39

18.3	Gällande rätt .........................................................................		274
	18.3.1	Skadestånd .............................................................	274
	18.3.2	Straff.......................................................................	275
	18.3.3	Vite.........................................................................	276
18.4	Dataskyddsförordningen .....................................................		277
	18.4.1	Skadestånd .............................................................	277
	18.4.2	Administrativa sanktionsavgifter .........................	278
	18.4.3	Andra sanktioner...................................................	281
18.5	Sanktionsavgifter inom offentlig sektor .............................		281
	18.5.1 Vad är en sanktionsavgift?....................................		281
	18.5.2 Viten och sanktionsavgifter mot det allmänna....		282
	18.5.3	Överväganden och förslag ....................................	287
18.6	Övriga sanktioner och förbudet mot
	dubbelbestraffning................................................................		291
	18.6.1	Medlemsstaternas åligganden...............................	291
	18.6.2	Allmänt om kriminalisering .................................	292
	18.6.3	Dubbelprövningsförbudet....................................	294
	18.6.4	Överväganden och förslag ....................................	294
18.7	Betalning och verkställighet.................................................		298
	18.7.1	Överväganden och förslag ....................................	298
19	Processuella frågor...................................................		299
19.1	Vårt uppdrag .........................................................................		299
19.2	Kapitlets disposition.............................................................		300
19.3	Rättsmedel mot den personuppgiftsansvarige
	eller personuppgiftsbiträdet.................................................		300
	19.3.1	Gällande rätt ..........................................................	300
	19.3.2	Dataskyddsförordningen......................................	301
	19.3.3	Överväganden och förslag ....................................	302
19.4	Klagomål till tillsynsmyndigheten.......................................		305
	19.4.1	Gällande rätt ..........................................................	305
	19.4.2	Dataskyddsförordningen......................................	305
	19.4.3	Överväganden och förslag ....................................	305

12

SOU 2017:39 Innehåll

19.5	En rättssäker handläggning hos tillsynsmyndigheten		........ 308
	19.5.1	Gällande rätt ..........................................................	308
	19.5.2	Dataskyddsförordningen ......................................	309
	19.5.3	Överväganden och förslag.....................................	310
19.6	Gemensamma tillsynsinsatser ..............................................		319
	19.6.1	Gällande rätt ..........................................................	319
	19.6.2	Dataskyddsförordningen ......................................	321
	19.6.3	Överväganden ........................................................	323
19.7	Överklagande av tillsynsmyndighetens beslut....................		324
	19.7.1	Gällande rätt ..........................................................	324
	19.7.2	Dataskyddsförordningen ......................................	325
	19.7.3	Överväganden och förslag.....................................	325
19.8	Överklagande av andra beslut ..............................................		330
	19.8.1	Överväganden och förslag.....................................	330
19.9	Ideella organisationer som är verksamma inom
	dataskyddsområdet ...............................................................		331
	19.9.1	Dataskyddsförordningen ......................................	331
	19.9.2	Överväganden ........................................................	331
19.10	Parallella domstolsförfaranden.............................................		335
	19.10.1	Dataskyddsförordningen ......................................	335
	19.10.2	Överväganden ........................................................	336
20	Ikraftträdande- och övergångsbestämmelser ...............		339
20.1	Vårt uppdrag..........................................................................		339
20.2	Ikraftträdande- och övergångsbestämmelser
	i förordningen .......................................................................		339
20.3	Överväganden och förslag....................................................		340
21	Konsekvenser..........................................................		345
21.1	Vårt uppdrag..........................................................................		345
21.2	Förändringar som följer av våra förslag...............................		346

13

Innehåll

SOU 2017:39

21.3	Ekonomiska konsekvenser...................................................	348
	21.3.1 Ekonomiska konsekvenser för det allmänna.......	348
	21.3.2 Ekonomiska konsekvenser för enskilda ..............	349
21.4	Konsekvenser i övrigt...........................................................	350
22	Författningskommentar ............................................	353
22.1	Förslaget till lag med kompletterande bestämmelser
	till EU:s dataskyddsförordning ...........................................	353
22.2	Förslaget till lag om ändring i offentlighets-
	och sekretesslagen (2009:400) .............................................	387
Bilagor
Bilaga 1 Kommittédirektiv 2016:15 ...............................................		391
Bilaga 2 Dataskyddsförordningen..................................................		417

14

Förkortningar

Artikel 29-gruppen	Artikel 29-arbetsgruppen för skydd
	av personuppgifter
dataskyddsdirektivet	Europaparlamentets och rådets
	direktiv 95/46/EG av den
	24 oktober 1995 om skydd för
	enskilda personer med avseende på
	behandling av personuppgifter och
	om det fria flödet av sådana
	uppgifter
dataskyddsförordningen	Europaparlamentets och rådets
	förordning (EU) 2016/679 av den
	27 april 2016 om skydd för fysiska
	personer med avseende på
	behandling av personuppgifter och
	om det fria flödet av sådana
	uppgifter och om upphävande av
	direktiv 95/46/EG (allmän
	dataskyddsförordning)
dataskyddskonventionen	Europarådets konvention av den
	28 januari 1981 om skydd för
	enskilda vid automatisk data-
	behandling av personuppgifter
dataskyddsrambeslutet	Rådets rambeslut 2008/977/RIF av
	den 27 november 2008 om skydd av
	personuppgifter som behandlas
	inom ramen för polissamarbete och
	straffrättsligt samarbete

15

Förkortningar

SOU 2017:39

DIFS	Datainspektionens
	författningssamling
dir.	direktiv
dnr	diarienummer
Ds	Departementsserien
EU	Europeiska unionen
EU-domstolen	Europeiska unionens domstol/
	Europeiska gemenskapernas
	domstol
Europadomstolen	Europeiska domstolen för de
	mänskliga rättigheterna
Europakonventionen	Europeiska konventionen den
	4 november 1950 angående skydd
	för de mänskliga rättigheterna och
	de grundläggande friheterna
f.	följande sida/sidor
FN	Förenta Nationerna
förordning nr 45/2001	Europaparlamentets och rådets
	förordning (EG) nr 45/2001 av den
	18 december 2000 om skydd för
	enskilda då gemenskapsinstitu-
	tionerna och gemenskapsorganen
	behandlar personuppgifter och om
	den fria rörligheten för sådana
	uppgifter
HFD	Högsta förvaltningsdomstolens
	årsbok
JK	Justitiekanslern
JO	Riksdagens ombudsmän
Ju	Justitiedepartementet
kommissionen	Europeiska kommissionen

16

SOU 2017:39 Förkortningar

LOU	lagen (2016:1145) om offentlig
	upphandling
NJA	Nytt juridiskt arkiv
nya dataskyddsdirektivet	Europaparlamentets och rådets
	direktiv (EU) 2016/680 av den
	27 april 2016 om skydd för fysiska
	personer med avseende på behöriga
	myndigheters behandling av
	personuppgifter för att förebygga,
	förhindra, utreda, avslöja eller
	lagföra brott eller verkställa
	straffrättsliga påföljder, och det fria
	flödet av sådana uppgifter och om
	upphävande av rådets rambeslut
	2008/977/RIF
OECD	Organisationen för ekonomiskt
	samarbete och utveckling
OSL	offentlighets- och sekretesslagen
	(2009:400)
prop.	regeringens proposition
PUF	personuppgiftsförordningen
	(1998:1191)
PUL	personuppgiftslagen (1998:204)
rskr.	riksdagsskrivelse
RÅ	Regeringsrättens årsbok
SOU	Statens offentliga utredningar

17

Sammanfattning

Inledning

EU:s nya dataskyddsförordning ska tillämpas från och med den 25 maj 2018. Dataskyddsförordningen är direkt tillämplig i Sverige men ger utrymme för kompletterande nationella bestämmelser av olika slag.

Vårt övergripande uppdrag har varit att föreslå en ny nationell reglering som på ett generellt plan kompletterar dataskyddsförord- ningen. I vårt uppdrag har däremot inte ingått att se över de s.k. regis- terförfattningarna eller annan sektorsspecifik reglering om behandling av personuppgifter. Vi har inte heller haft i uppdrag att analysera eller beskriva vilka förändringar som dataskyddsförordningen i sig innebär. Det är därmed bara ett fåtal av alla de frågor som regleras i dataskydds- förordningen som behandlas eller ens nämns i detta betänkande.

Vi har, inom ramen för vårt uppdrag, strävat efter att den person- uppgiftsbehandling som är tillåten i dag i möjligaste mån ska kunna fortsätta. Vårt arbete har alltså inte syftat till att vare sig utvidga eller inskränka möjligheterna till behandling av personuppgifter, annat än då dataskyddsförordningen kräver en sådan förändring.

Ett nytt svenskt regelverk om dataskydd

Vi föreslår att personuppgiftslagen (1998:204) och personuppgifts- förordningen (1998:1191) ska upphävas och att de kompletterande bestämmelser som är av generell karaktär samlas i en ny övergripande lag och förordning om dataskydd. För att betona att författningarna inte är heltäckande, utan endast utgör komplement till dataskydds- förordningen, bör de benämnas lagen med kompletterande bestäm- melser till EU:s dataskyddsförordning respektive förordningen med

19

Sammanfattning

SOU 2017:39

kompletterande bestämmelser till EU:s dataskyddsförordning. Vi har valt att kalla den nya lagen dataskyddslagen i detta betänkande.

Dataskyddsförordningen ska gälla även i verksamhet som inte omfattas av unionsrätten

Behandling av personuppgifter som utförs som ett led i en verksamhet som inte omfattas av unionsrätten, t.ex. i verksamhet som rör natio- nell säkerhet, omfattas inte av dataskyddsförordningen. Detsamma gäller behandling av personuppgifter i verksamhet som omfattas av EU:s gemensamma utrikes- och säkerhetspolitik. För att säkerställa att det inom varje verksamhet finns ett fullgott skydd av personupp- gifter anser vi dock att förordningens bestämmelser i tillämpliga delar bör gälla även i dessa fall. Vårt förslag om utsträckt tillämpnings- område hindrar dock inte att det för en viss sådan verksamhet införs en särskild reglering, om det skulle anses mer lämpligt.

Sektorsspecifika bestämmelser ska ha företräde framför dataskyddslagen

De bestämmelser som vi föreslår är av generell karaktär. På vissa områden kommer det att finnas behov av lag- eller förordnings- bestämmelser kring behandling av personuppgifter som avviker från dataskyddslagens reglering. Det kan t.ex. röra sig om bestämmelser som specificerar den rättsliga grunden för en myndighets behandling av personuppgifter, begränsningar av rätten att behandla känsliga personuppgifter i en viss verksamhet eller särskilda förfaranderegler. Vi föreslår att sådana avvikande bestämmelser ska ha företräde framför dataskyddslagen. Det innebär dock inte att de därigenom också får företräde framför dataskyddsförordningen inom det aktuella området. För att en avvikande bestämmelse i exempelvis en registerförfattning ska kunna tillämpas, måste den vara förenlig med dataskyddsförord- ningen och avse en fråga som får särregleras genom nationell rätt.

Annorlunda förhåller det sig när det gäller verksamhet som inte omfattas av unionsrätten, dvs. där dataskyddsförordningen inte är direkt tillämplig men där den har fått ett utsträckt tillämpnings- område genom dataskyddslagen. I det fallet kan det genom ett undantag i lag eller förordning föreskrivas att dataskyddsförord-

20

SOU 2017:39

Sammanfattning

ningen inte ska gälla i verksamheten. Ett sådant undantag kan också ange att endast vissa delar av dataskyddsförordningen inte ska gälla.

Förhållandet till våra grundlagar förändras inte

Våra detaljerade tryck- och yttrandefrihetsgrundlagar är unika i jäm- förelse med hur motsvarande reglering ser ut i övriga Europa. Data- skyddsförordningen inskränker inte möjligheterna att behandla personuppgifter på det grundlagsreglerade området. Det får inte råda någon osäkerhet kring detta, eftersom det skulle kunna få påverkan på vitala och mycket känsliga delar av den opinionsskapande verk- samheten, såsom meddelarfrihet och källskydd. Vi föreslår därför en upplysningsbestämmelse som tydliggör att bestämmelserna i data- skyddsförordningen och i dataskyddslagen inte ska tillämpas i den utsträckning det skulle strida mot grundlagsbestämmelserna om tryck- och yttrandefrihet.

Utanför det grundlagsskyddade området föreslår vi att ett undantag från dataskyddsförordningen införs för sådan behandling av personuppgifter som sker för journalistiska ändamål eller för aka- demiskt, konstnärligt eller litterärt skapande. Vissa av dataskydds- förordningens bestämmelser, bland annat de som rör säkerhet för personuppgifter, ska dock tillämpas även i dessa fall.

Utrymmet för att ge offentlighetsprincipen företräde framför per- sonuppgiftsregleringen är tydligt i dataskyddsförordningen. Tryckfri- hetsförordningens reglering om allmänhetens tillgång till handlingar kan alltså fortsätta att tillämpas, även när det gäller allmänna hand- lingar som innehåller personuppgifter.

Barn som har fyllt 13 år ska i vissa fall kunna samtycka till behandling av personuppgifter

Enligt förordningen ska ett barn ha fyllt 16 år för att självt kunna sam- tycka till behandling av personuppgifter vid erbjudandet av informa- tionssamhällets tjänster, t.ex. sociala medier, söktjänster och s.k. appar för smarta enheter. Vi föreslår att denna åldersgräns ska sänkas till 13 år i Sverige. För barn yngre än så krävs att samtycket lämnas av vårdnadshavaren eller att barnets samtycke godkänns av denne.

21

Sammanfattning

SOU 2017:39

Rättsliga förpliktelser, myndighetsutövning och uppgifter av allmänt intresse ska vara särskilt reglerade för att utgöra rättslig grund

Enligt dataskyddsförordningen måste en rättslig förpliktelse, myndig- hetsutövning eller uppgift av allmänt intresse vara fastställd i enlighet med nationell rätt eller unionsrätt för att kunna utgöra rättslig grund för behandling av personuppgifter. Vi föreslår bestämmelser i data- skyddslagen som förtydligar hur dessa företeelser fastställs i enlighet med svensk rätt. En rättslig förpliktelse är enligt svensk rätt fastställd om den gäller enligt lag eller annan författning eller följer av kollek- tivavtal eller av beslut som har meddelats med stöd av lag eller annan författning. Myndighetsutövning fastställs i svensk rätt genom lag eller annan författning. Uppgifter av allmänt intresse är fastställda i enlighet med svensk rätt om de följer av lag eller annan författning eller av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning.

Med anledning av att vårt uppdrag har omfattat arkivfrågor har vi uppmärksammat att enskilda arkivinstitutioner kan sakna en fast- ställd rättslig grund för behandling av personuppgifter. I avvaktan på den breda översyn av arkivväsendet som regeringen har aviserat, föreslår vi att rättslig grund ska kunna fastställas av Riksarkivet, genom föreskrifter eller beslut i enskilda fall.

Känsliga personuppgifter får behandlas bara om det uttryckligen är tillåtet

Enligt dataskyddsförordningen gäller som huvudregel, liksom tidigare, ett förbud mot behandling av känsliga personuppgifter. Behandling av sådana personuppgifter får ske bara om det finns stöd i någon av förordningens undantagsbestämmelser. Vissa undantag från förbudet följer direkt av förordningen, medan andra förutsätter stöd även i nationell rätt. Vi föreslår att ett sådant stöd ska införas i dataskydds- lagen när det gäller nödvändig behandling av personuppgifter på arbetsrättens område, inom hälso- och sjukvård, i social omsorg, i arkivverksamhet och i statistisk verksamhet. Stödet för behandlingen ska vara förenat med vissa restriktioner.

22

SOU 2017:39

Sammanfattning

Myndigheter ska få behandla känsliga personuppgifter med stöd av ett nytt myndighetsundantag

Myndigheter har ofta berättigade skäl att behandla känsliga person- uppgifter och i många fall sker detta i den registrerades eget intresse. För att säkerställa att nödvändig behandling kan ske även efter det att dataskyddsförordningen börjar gälla bedömer vi att det krävs ett nytt undantag för behandling av känsliga personuppgifter hos myndighe- ter. Vi föreslår att sådan behandling ska få ske

–i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende,

–om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag, eller

–i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt in- trång i den registrerades personliga integritet.

Vi föreslår också att det vid behandling som sker med stöd av det nya myndighetsundantaget ska vara förbjudet att använda sökbegrepp som avslöjar känsliga personuppgifter.

Personuppgifter som rör lagöverträdelser ska få behandlas av myndigheter och annars bara om det uttryckligen är tillåtet

Vi föreslår att behandling av personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel även fortsättningsvis ska få utföras av myndigheter.

För att andra än myndigheter ska få behandla sådana uppgifter föreslår vi att det måste finnas uttryckligt stöd i lag eller förordning eller i föreskrifter eller förvaltningsbeslut från Datainspektionen. Vi föreslår ett sådant stöd i lag när det gäller uppgifter som behandlas för arkivändamål av allmänt intresse, förutsatt att behandlingen sker som en följd av de skyldigheter att bevara och vårda handlingar som anges i arkivlagstiftningen och andra föreskrifter.

23

Sammanfattning

SOU 2017:39

Personnummer får under vissa förutsättningar behandlas även i fortsättningen

Vi föreslår att uppgifter om personnummer eller samordningsnum- mer även fortsättningsvis ska få behandlas när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.

Det finns begränsningar för när arkiverade uppgifter och statistikuppgifter får användas för åtgärder mot den registrerade

Personuppgifter som behandlas enbart för arkivändamål av allmänt intresse eller för statistiska ändamål får enligt vårt förslag inte använ- das för att vidta åtgärder i fråga om den registrerade, annat än om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen.

Begränsningen i fråga om arkiverade uppgifter ska inte gälla för myndigheter. Det ska däremot begränsningen rörande statistikupp- gifter göra.

Rätten till registerutdrag och information m.m. ska i vissa fall vara begränsad

Den registrerades rättigheter stärks genom dataskyddsförordningen. Dessa rättigheter är dock inte ovillkorliga. Vissa viktiga undantag från rättigheterna regleras direkt i förordningen. Vi föreslår där- utöver att rätten till information och s.k. registerutdrag inte ska gälla uppgifter som omfattas av sekretess. Rätten till registerutdrag ska som huvudregel inte heller gälla personuppgifter som finns i löpande text som utgör utkast eller minnesanteckning. Hos Riksarkivet och andra arkivmyndigheter ska rätten till registerutdrag, rättelse m.m. vara begränsad när det gäller personuppgifter som finns i arkiv- material som tagits emot för förvaring av myndigheten.

24

SOU 2017:39

Sammanfattning

Vissa beslut som fattas av en personuppgiftsansvarig myndighet får överklagas till domstol

I likhet med vad som gäller enligt personuppgiftslagen ska vissa beslut som en myndighet fattar i egenskap av personuppgiftsansvarig kunna överklagas till allmän förvaltningsdomstol. Det gäller sådana beslut som myndigheten fattar med anledning av att den registrerade utövar sina rättigheter enligt dataskyddsförordningen. Det kan t.ex. röra sig om avslagsbeslut på begäran om att den registrerade ska få tillgång till sina personuppgifter, att uppgifter ska rättas eller raderas eller att en behandling ska begränsas.

Den registrerade kan begära skadestånd

Den registrerade har enligt dataskyddsförordningen rätt till ersättning från den personuppgiftsansvarige eller ett personuppgiftsbiträde om skada har uppstått på grund av överträdelser av förordningen. Vi före- slår att det i dataskyddslagen förtydligas att denna rätt till skadestånd även gäller vid överträdelser av bestämmelser i dataskyddslagen och andra författningar som kompletterar förordningen.

Datainspektionen ska utöva tillsyn

Datainspektionen ska vara den myndighet som ska utöva tillsyn och övervaka att bestämmelserna i dataskyddsförordningen och data- skyddslagen efterlevs. Inspektionens tillsynsbefogenheter anges i dataskyddsförordningen. Dessa befogenheter ska enligt vårt förslag gälla även vid tillsynen över att dataskyddslagen och annan komplet- terande lagstiftning följs.

Datainspektionens beslut enligt dataskyddsförordningen och data- skyddslagen får överklagas till allmän förvaltningsdomstol.

Datainspektionen ska behandla klagomål inom tre månader

Om en registrerad anser att personuppgifter behandlas på ett sätt som strider mot dataskyddsförordningen kan ett klagomål lämnas in till Datainspektionen. Klagomålet ska behandlas inom tre månader. Om det inte sker får den registrerade enligt vårt förslag begära ett

25

Sammanfattning

SOU 2017:39

besked i frågan om Datainspektionen avser att utöva tillsyn eller inte. Om Datainspektionen behöver mer tid för att behandla klago- målet, får begäran avslås genom ett motiverat beslut. Den registre- rade får överklaga detta beslut till allmän förvaltningsdomstol genom en s.k. dröjsmålstalan.

Sanktionsavgift kan tas ut även av myndigheter som gör fel

Genom dataskyddsförordningen införs en möjlighet för Datainspek- tionen att ta ut en administrativ sanktionsavgift av ett företag eller andra enskilda som bryter mot dataskyddsregleringen. En sådan sank- tionsavgift ska enligt vårt förslag även kunna tas ut av en myndighet.

Vi föreslår inte någon straffbestämmelse motsvarande den som gäller enligt personuppgiftslagen.

Sekretessfrågor

Genom dataskyddsförordningen införs en skyldighet för myndigheter och vissa företag att utse ett dataskyddsombud. Ombudet ska vara bundet av sekretess enligt unionsrätten eller den nationella rätten.

För dataskyddsombud som deltar i det allmännas verksamhet gäller offentlighets- och sekretesslagens bestämmelser om sekretess. För den privata sektorn föreslår vi att tystnadsplikt ska gälla för data- skyddsombud i fråga om sådant som ombudet har fått veta om enskilds personliga eller ekonomiska förhållanden.

Konsekvenser

Dataskyddsförordningens direkt tillämpliga bestämmelser kommer att leda till konsekvenser, både för det allmänna och för enskilda. Vi har dock inte haft i uppgift att bedöma eller redovisa dessa konse- kvenser. I vårt uppdrag ingår däremot att bedöma konsekvenserna av våra förslag, i den mån dessa medför förändringar jämfört med vad som gäller i dag.

Våra förslag innebär att Riksarkivet, Datainspektionen och de allmänna förvaltningsdomstolarna får något fler arbetsuppgifter. Vi

26

SOU 2017:39

Sammanfattning

bedömer dock att kostnadsökningarna för berörda aktörer inte kom- mer att bli större än att de ryms inom de befintliga anslagen.

Våra förslag medför inga nya kostnader eller ökad administrativ börda för enskilda.

Vi anser att förslagen stärker skyddet för enskildas personliga integritet.

27

Summary

Introduction

The EU’s new General Data Protection Regulation begins to apply on 25 May 2018. The General Data Protection Regulation will be directly applicable in Sweden, but it provides scope for supplemen- tary national provisions of various kinds.

Our overarching remit was to propose a new national regulation that supplements the General Data Protection Regulation at a general level. However, our remit did not include reviewing the ‘register statutes’ or other sector-specific regulations on the processing of personal data. Nor did our remit include analysing or describing any changes that the General Data Protection Regulation in itself entails. Therefore, only a few of all the issues regulated in the General Data Protection Regulation are dealt with or even mentioned in this report.

Within the framework of our remit, we have endeavoured to ensure that the personal data processing currently permitted is able to continue as far as possible. Our work was therefore not intended to broaden or restrict the possibilities of processing personal data, other than in cases where the General Data Protection Regulation requires such a change.

A new Swedish regulatory framework on data protection

We propose that the Personal Data Act (1998:204) and the Personal Data Ordinance (1998:1191) should be repealed and that the supple- mentary provisions of a general nature should be collected in a new overall act and ordinance on data protection. To emphasise the fact that the statutes are not comprehensive and that they are simply a supplement to the General Data Protection Regulation, they should

29

Summary

SOU 2017:39

be named the Act containing supplementary provisions to the EU General Data Protection Regulation and the Ordinance containing supplementary provisions to the EU General Data Protection Regu- lation. In this report, we have chosen to refer to the new act as the

Data Protection Act.

The General Data Protection Regulation also to apply to activities not covered by EU law

The processing of personal data carried out as part of an activity not covered by EU law, e.g. activities concerning national security, is not covered by the General Data Protection Regulation. The same applies to the processing of personal data in activities covered by the EU Common Foreign and Security Policy. However, to ensure that there is sufficient protection of personal data in each activity, we consider that the relevant parts of the Regulation’s provisions should apply in these cases as well. Yet our proposal on expanding the field of appli- cation would not preclude the introduction of a separate regulation for a certain activity of this kind, if deemed more appropriate.

Sector-specific provisions to take precedence over the Data Protection Act

The provisions we propose are of a general nature. In certain areas, there will be a need for provisions in acts or ordinances concerning processing of personal data that deviate from the regulations in the Data Protection Act. That may include provisions specifying the legal basis for a public authority’s processing of personal data, restrictions on the right to process sensitive personal data in a certain activity or special procedural rules. We propose that such deviating provisions should take precedence over the Data Protection Act. However, this does not mean that they would thus also take precedence over the General Data Protection Regulation within the area in question. In order for a deviating provision in, for example, a register statute to be applied, it has to be compatible with the General Data Protection Regulation and refer to an issue that is allowed to be subject to special rules in national law.

30

SOU 2017:39

Summary

The situation is different with regard to activities that are not covered by EU law, i.e. when the General Data Protection Regulation is not directly applicable but it has been given a broader field of application through the Data Protection Act. In such cases, it may be prescribed through an exemption in an act or ordinance that the General Data Protection Regulation does not apply to that specific activity. Such an exemption may also state that only certain parts of the General Data Protection Regulation do not apply.

No changes in relation to our constitution

Our detailed Fundamental Law on Freedom of Expression and Free- dom of the Press Act are unique compared with corresponding regulations in the rest of Europe. The General Data Protection Act does not limit the possibilities of processing personal data in the area governed by the constitution. There must be no uncertainty about this, since such uncertainty could have an impact on vital and very sensitive parts of opinion-making activities, such as freedom of communication and protection of sources. We therefore propose an information provision to make clear that the provisions of the General Data Protection Regulation and the Data Protection Act must not be applied to the extent that they contravene the consti- tutional provisions on freedom of the press and freedom of expres- sion.

Beyond the area protected by the constitution, we propose that an exemption from the General Data Protection Regulation be intro- duced for the processing of personal data that occurs for journalistic purposes or for academic, artistic or literary expression. However, some of the provisions in the General Data Protection Regulation, including those concerning the security of personal data, should be applied in these cases as well.

The scope for allowing the principle of public access to official documents to take priority over the personal data regulations is clear in the General Data Protection Regulation. This means that the rules contained in the Freedom of the Press Act on public access to docu- ments can continue to be applied, also when it comes to official documents that contain personal data.

31

Summary

SOU 2017:39

Children who are 13 and above in certain cases to be able to consent to the processing of their personal data

Under the General Data Protection Regulation, a child must be 16 to be able to give their own consent to the processing of personal data in relation to offers of information society services, such as social media, search engines and apps for smart devices. We propose that this age limit be lowered to 13 in Sweden. For younger children, con- sent must be given by a custodial parent or the child’s consent must be approved by the custodial parent.

Legal obligations, exercise of official authority and tasks carried out in the public interest

to be subject to separate regulations to form a legal basis

Under the General Data Protection Regulation, a legal obligation, the exercise of official authority or tasks carried out in the public interest must be laid down by national law or EU law to be able to form a legal basis for the processing of personal data. We propose provisions in the Data Protection Act that clarify how these phenomena are established in line with Swedish law. Under Swedish law, a legal obligation is established if it applies under an act or other statute or follows from collective agreements or decisions issued pursuant to an act or other statute. Exercise of official authority is established under Swedish law through an act or other statute. Under Swedish law, a task carried out in the public interest is established if it follows from an act or other statute or from collective agreements or decisions issued pursuant to an act or other statute.

Because our remit covered archive issues, we have drawn attention to the fact that private archive institutions might lack an established legal basis for processing personal data. Pending the broad review of the archive system that the Government has announced, we propose that it should be possible for the National Archives to establish a legal basis through regulations or decisions in individual cases.

32

SOU 2017:39

Summary

Sensitive personal data may be processed only if explicitly permitted

Under the General Data Protection Regulation, the general rule, as before, is that processing of sensitive personal data is prohibited. Processing of such personal data may only be carried out if there is support for this in one of the Regulation’s exemption clauses. Certain exemptions from the general rule follow directly from the Regu- lation, whereas others require support in national law as well. We propose that this kind of support be introduced in the Data Pro- tection Act with regard to necessary processing of personal data in the area of employment law, health and medical care, social care, archive activities and statistics activities. Support for processing must be linked to certain restrictions.

Authorities to be able to process sensitive personal data under a new authority exception

Authorities often have legitimate reasons for processing sensitive personal data, and in many cases this is done in the data subject’s own interests. To ensure that the necessary processing can be carried out even after the General Data Protection Regulation begins to apply, we consider that there is a need for a new exception regarding the processing of sensitive personal data held by authorities. We propose that such processing may be carried out:

–in running text if the data was provided in a matter or is required to deal with a matter;

–if the data was provided to the authority and processing is required by law; or

–in individual cases, if it is absolutely necessary for the purpose of the processing and the processing does not entail an improper intrusion on the personal privacy of the data subject.

We further propose that when carrying out processing under the new authority exception, using search terms that reveal sensitive personal data it is to be prohibited.

33

Summary

SOU 2017:39

Personal data that concerns criminal offences to be processed by authorities and otherwise only if explicitly permitted

We propose that authorities should continue to be able to process personal data that concerns criminal convictions and offences or coercive measures under criminal law.

For actors other than authorities to be able to process such data, we propose that there must be explicit support in an act or ordinance or in regulations or administrative orders issued by the Swedish Data Protection Authority. We propose that support of this kind be laid down in law with regard to data processed for archiving purposes in the public interest, provided that the processing is carried out as a result of the obligations to protect and preserve documents specified in archive legislation and other provisions.

Under certain circumstances, personal identity numbers to continue to be processed

We propose that data concerning personal identity numbers or coor- dination numbers may continue to be processed when clearly justi- fied with respect to the purpose of the processing, the importance of positive identification or some other significant reason.

There are restrictions on when archived data and statistics may be used for measures against a data subject

Under our proposal, personal data processed exclusively for archiv- ing purposes in the public interest or for statistical purposes may not be used to take action in matters concerning the data subject unless there are exceptional grounds for doing so with respect to the person’s vital interests.

Regarding archived data, this restriction will not apply to authori- ties. However, the restriction regarding statistical data will apply to authorities.

34

SOU 2017:39

Summary

In some cases, the right to access to the personal data and information, etc. to be restricted

The rights of data subjects are strengthened under the General Data Protection Regulation. However, these rights are not unconditional. Certain important exceptions from the rights are regulated directly in the Regulation. In addition, we propose that the right to information and access to the personal data should not apply to data that is subject to secrecy regulations. As a general rule, the right to access to the personal data should not apply to personal data contained in running texts that constitute rough drafts or notes. Furthermore, the right to access to the personal data, rectification, etc. is to be rest- ricted as regards personal data contained in archive material received for storage by the National Archives and other archiving authorities.

Certain decisions taken by an authority acting as controller of personal data may be appealed to a court of law

As is the case with the provisions of the Personal Data Act, it will be possible to appeal certain decisions taken by an authority in its capa- city as controller of personal data to an administrative court. This applies to decisions taken by the authority in response to data sub- jects exercising their rights under the General Data Protection Regu- lation. For example, this may concern the rejection of a request by a data subject to obtain access to the personal data, that data be recti- fied or erased, or that the processing be restricted.

The data subject may seek compensation

Under the General Data Protection Regulation, the data subject is entitled to compensation from the controller or processor for damage suffered as a result of an infringement of the Regulation. We propose that the Data Protection Act should clarify that this right to compensation also applies to infringements of the Data Protection Act and other legislation that supplements the Regulation.

35

Summary

SOU 2017:39

Swedish Data Protection Authority to exercise supervision

The Swedish Data Protection Authority will be the authority tasked with supervising and monitoring compliance with the provisions of the General Data Protection Regulation and the Data Protection Act. The Authority’s supervisory powers are specified in the General Data Protection Regulation. Under our proposal, these powers should also apply to supervising compliance with the Data Protection Act and other supplementary legislation.

A decision taken by the Swedish Data Protection Authority under the General Data Protection Regulation and the Data Protection Act may be appealed to an administrative court.

Swedish Data Protection Authority to consider complaints within three months

Should a data subject consider that personal data is processed in a manner that contravenes the General Data Protection Regulation, they may lodge a complaint with the Swedish Data Protection Authority. Complaints are to be considered within three months. If this does not happen, under our proposal the data subject may request an indication as to whether or not the Swedish Data Protec- tion Authority intends to exercise supervision. If the Swedish Data Protection Authority needs more time to consider the complaint, the request may be rejected through a reasoned decision. The data sub- ject may appeal this decision to an administrative court by submitting a claim of delay.

Administrative fines may also be imposed on authorities that make errors

The General Data Protection Regulation provides the Swedish Data Protection Authority with the option of imposing administrative fines on an enterprise or other private party that violates data protec- tion regulations. Under our proposal, it will also be possible to impose administrative fines on an authority that violates the General Data Protection Regulation.

36

SOU 2017:39

Summary

We do not propose a penalty provision similar to that under the Personal Data Act.

Confidentiality issues

The General Data Protection Regulation introduces an obligation on authorities and certain other bodies to designate a data protection officer. This officer is to be bound by secrecy or confidentiality under EU law or national law.

Data protection officers who participate in public authority activi- ties must abide by the confidentiality provisions of the Public Access to Information and Secrecy Act. Regarding the private sector, we propose that confidentiality should apply to data protection officers where the officer has gained knowledge of a private party’s personal or financial circumstances.

Consequences

The directly applicable provisions of the General Data Protection Regulation will have consequences for both public institutions and private parties. However, it was not our task to assess or report on these consequences. Nonetheless, our remit does include assessing the consequences of our proposals insofar as they entail changes compared with what currently applies.

Our proposals entail a few more duties being assigned to the National Archives, the Swedish Data Protection Authority and the administrative courts. Our assessment, however, is that the increased costs to relevant actors will not exceed the scope of their existing appropriations.

Our proposals do not entail any new costs or increased adminis- trative burden to private parties.

In our view, the proposals strengthen protection for the perso- nal privacy of individuals.

37

Författningsförslag

SOU 2017:39

Förhållandet till tryck- och yttrandefriheten

4 § Bestämmelserna i dataskyddsförordningen och i denna lag ska inte tillämpas i den utsträckning det skulle strida mot bestämmel- serna om tryck- och yttrandefrihet i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen.

Bestämmelserna i kapitel II och III, artiklarna 24–30 och 35–43 och kapitel V i dataskyddsförordningen samt i 2–5 kap. denna lag ska inte tillämpas på behandling av personuppgifter som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litte- rärt skapande.

Organ som ska jämställas med myndigheter

5 § Vid tillämpningen av 3 kap. 3 § 2 och 4 § samt 4 kap. 1 § andra stycket ska andra organ än myndigheter jämställas med myndighe- ter, i den utsträckning bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekre- tesslagen (2009:400) gäller i organets verksamhet.

Tystnadsplikt för dataskyddsombud

6 § Den som utsetts till dataskyddsombud enligt artikel 37 i data- skyddsförordningen får inte obehörigen röja det som han eller hon vid fullgörandet av sin uppgift har fått veta om enskilds personliga och ekonomiska förhållanden.

I det allmännas verksamhet tillämpas offentlighets- och sekre- tesslagen (2009:400) i stället för första stycket.

2 kap. Rättslig grund

1 § Av dataskyddsförordningen framgår att personuppgifter får behandlas endast om minst ett av de villkor som anges i artikel 6.1 i förordningen är uppfyllt.

2 § Vid erbjudande av informationssamhällets tjänster direkt till ett barn, ska vid tillämpningen av artikel 6.1 a i dataskyddsförordningen behandling av personuppgifter som rör ett barn vara tillåten om

40

SOU 2017:39

Författningsförslag

barnet är minst 13 år. Om barnet är under 13 år ska sådan behandling vara tillåten endast om och i den mån samtycke ges eller godkänns av den person som har föräldraansvar för barnet.

Rättslig förpliktelse

3 § Personuppgifter får behandlas med stöd av artikel 6.1 c i data- skyddsförordningen om behandlingen är nödvändig för att den per- sonuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse som

1.gäller enligt lag eller annan författning,

2.följer av kollektivavtal, eller

3.följer av beslut som har meddelats med stöd av lag eller annan författning.

Uppgift av allmänt intresse och myndighetsutövning

4 § Personuppgifter får behandlas med stöd av artikel 6.1 e i data- skyddsförordningen om behandlingen är nödvändig

1.för att den personuppgiftsansvarige ska kunna utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollek- tivavtal eller av beslut som har meddelats med stöd av lag eller annan författning, eller

2.som ett led i den personuppgiftsansvariges myndighetsutöv- ning enligt lag eller annan författning.

Enskilda arkiv

5 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om behandling av personuppgifter för arkivändamål av allmänt intresse, när det gäller andra enskilda organ än de som omfattas av bestämmelserna om allmänna hand- lingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400).

Den myndighet som regeringen bestämmer får även i enskilda fall besluta att sådana enskilda organ som avses i första stycket får behandla personuppgifter för arkivändamål av allmänt intresse.

41

Författningsförslag

SOU 2017:39

3 kap. Vissa kategorier av personuppgifter

Känsliga personuppgifter

1 § Utöver vad som framgår av artikel 9.2 a, c, d, e eller f i data- skyddsförordningen får sådana särskilda kategorier av personupp- gifter som anges i artikel 9.1 i dataskyddsförordningen (känsliga per- sonuppgifter) behandlas om förutsättningarna i någon av 2–8 §§ är uppfyllda.

Arbetsrätt

2 § Känsliga personuppgifter får med stöd av artikel 9.2 b i data- skyddsförordningen behandlas om det är nödvändigt för att den per- sonuppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten.

Personuppgifter som behandlas med stöd av första stycket får lämnas ut till tredje part endast om det inom arbetsrätten finns en skyldighet att göra det eller om den registrerade uttryckligen har samtyckt till utlämnandet.

Myndigheters behandling i vissa fall

3 § Känsliga personuppgifter får med stöd av artikel 9.2 g i data- skyddsförordningen behandlas av en myndighet

1.i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende,

2.om uppgifterna har lämnats till myndigheten och behand- lingen krävs enligt lag, eller

3.i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.

4 § Vid behandling som sker enbart med stöd av 3 § får en myn- dighet inte använda sökbegrepp som avslöjar känsliga personupp- gifter.

42

SOU 2017:39

Författningsförslag

Hälso- och sjukvård och social omsorg

5 § Känsliga personuppgifter får med stöd av artikel 9.2 h i data- skyddsförordningen behandlas om behandlingen är nödvändig av skäl som hör samman med

1.förebyggande hälso- och sjukvård och yrkesmedicin,

2.bedömningen av en arbetstagares arbetskapacitet,

3.medicinska diagnoser,

4.tillhandahållande av hälso- och sjukvård eller behandling,

5.social omsorg, eller

6.förvaltning av social omsorg, hälso- och sjukvårdstjänster samt deras system.

Behandling enligt första stycket får ske under förutsättning att kravet på tystnadsplikt i artikel 9.3 i dataskyddsförordningen är upp- fyllt.

Arkiv

6 § Känsliga personuppgifter får med stöd av artikel 9.2 j i data- skyddsförordningen behandlas för arkivändamål av allmänt intresse om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om bevarande och vård av arkiv.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att känsliga personuppgifter får behandlas för arkivändamål av allmänt intresse även i andra fall än de som avses i första stycket.

Den myndighet som regeringen bestämmer får även i enskilda fall besluta att andra enskilda organ än de som omfattas av bestämmel- serna om allmänna handlingar och sekretess i tryckfrihetsförord- ningen och offentlighets- och sekretesslagen (2009:400) får behandla känsliga personuppgifter för arkivändamål av allmänt intresse.

Statistik

7 § Känsliga personuppgifter får med stöd av artikel 9.2 j i data- skyddsförordningen behandlas om behandlingen är nödvändig för statistiska ändamål och samhällsintresset av det statistikprojekt där

43

Författningsförslag

SOU 2017:39

behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära.

Bemyndigande

8 § Regeringen får meddela föreskrifter om ytterligare undantag från förbudet att behandla känsliga personuppgifter i artikel 9.1 i dataskyddsförordningen om det behövs med hänsyn till ett viktigt allmänt intresse.

Personuppgifter som rör lagöverträdelser

Behandling under kontroll av myndighet

9 § Personuppgifter som rör fällande domar i brottmål, lagöver- trädelser som innefattar brott eller straffprocessuella tvångsmedel får enligt artikel 10 i dataskyddsförordningen behandlas av myndig- heter.

10 § Den myndighet som regeringen bestämmer får i enskilda fall besluta att andra än myndigheter får behandla sådana uppgifter som avses i 9 §.

Arkiv

11 § Behandling av sådana personuppgifter som avses i 9 § får ske om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om bevarande och vård av arkiv.

Bemyndigande

12 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om i vilka fall andra än myndigheter får behandla sådana personuppgifter som avses i 9 §.

44

SOU 2017:39

Författningsförslag

Personnummer och samordningsnummer

13 § Uppgifter om personnummer eller samordningsnummer får behandlas utan samtycke endast när det är klart motiverat med hän- syn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.

14 § Regeringen får meddela ytterligare föreskrifter om i vilka fall behandling av personnummer och samordningsnummer är tillåten.

4 kap. Användningsbegränsningar

Arkiverade personuppgifter

1 § Personuppgifter som behandlas enbart för arkivändamål av all- mänt intresse får inte användas för att vidta åtgärder i fråga om den registrerade, annat än om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen.

Begränsningen i första stycket hindrar dock inte myndigheter från att använda personuppgifter som finns i allmänna handlingar.

Statistikuppgifter

2 § Personuppgifter som behandlas enbart för statistiska ändamål får inte användas för att vidta åtgärder i fråga om den registrerade, annat än om det finns synnerliga skäl med hänsyn till den registre- rades vitala intressen.

5 kap. Begränsningar av vissa rättigheter och skyldigheter

Information och tillgång till personuppgifter

1 § Den registrerades rätt till information och tillgång till person- uppgifter enligt artiklarna 13–15 i dataskyddsförordningen gäller inte sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning.

Om den personuppgiftsansvarige inte är en myndighet gäller undantaget i första stycket även för uppgifter som hos en myndighet

45

Författningsförslag

SOU 2017:39

skulle ha varit sekretessbelagda enligt offentlighets- och sekretess- lagen (2009:400).

2 § Bestämmelsen om den registrerades rätt till tillgång till person- uppgifter i artikel 15 i dataskyddsförordningen gäller inte person- uppgifter i löpande text som inte fått sin slutliga utformning när begäran gjordes eller som utgör minnesanteckning eller liknande.

Undantaget i första stycket gäller inte om personuppgifterna

1.har lämnats ut till tredje part,

2.behandlas enbart för arkivändamål av allmänt intresse eller statistiska ändamål eller,

3.har behandlats under längre tid än ett år i löpande text som inte fått sin slutliga utformning.

Bemyndigande

3 § Regeringen får meddela föreskrifter om ytterligare begräns- ningar av vissa rättigheter och skyldigheter enligt artikel 23 i data- skyddsförordningen.

6 kap. Tillsynsmyndighetens handläggning och beslut

Befogenheter

1 § De	befogenheter som tillsynsmyndigheten har enligt arti-
kel 58.1,	58.2 och 58.3 i dataskyddsförordningen gäller även vid

tillsyn över efterlevnaden av bestämmelserna i denna lag och andra författningar som kompletterar dataskyddsförordningen.

Ansökan hos allmän förvaltningsdomstol

2 § Om tillsynsmyndigheten vid handläggningen av ett ärende fin- ner att det finns skäl att ifrågasätta giltigheten av en unionsrättsakt som påverkar tillämpningen av dataskyddsförordningen i ärendet, får tillsynsmyndigheten hos allmän förvaltningsdomstol ansöka om att en åtgärd enligt artikel 58.2 i dataskyddsförordningen ska vidtas.

Ansökan ska göras hos den förvaltningsrätt som är behörig att pröva ett överklagande av tillsynsmyndighetens beslut.

Prövningstillstånd krävs vid överklagande till kammarrätten.

46

SOU 2017:39

Författningsförslag

Kommunikation

3 § Innan tillsynsmyndigheten fattar ett beslut som avses i arti- kel 58.2 i dataskyddsförordningen, ska den som beslutet gäller ges tillfälle att inom en bestämd tid yttra sig över allt material av bety- delse för beslutet, om det inte är uppenbart obehövligt.

Om saken är brådskande får myndigheten, i avvaktan på ytt- randet, besluta att behandlingen av personuppgifter tillfälligt ska begränsas eller förbjudas i enlighet med artikel 58.2 f i dataskydds- förordningen. Det tillfälliga beslutet ska omprövas, när tiden för yttrande har gått ut.

Delgivning

4 § Ett beslut som avses i 3 § första stycket ska delges, om det inte är uppenbart obehövligt. Delgivning enligt 34–37 §§ delgiv- ningslagen (2010:1932) får användas endast om det finns särskild anledning att anta att mottagaren har avvikit eller på annat sätt hål- ler sig undan.

Besked angående handläggningen av ett klagomål

5 § Om tillsynsmyndigheten inte inom tre månader från den dag då ett klagomål kom in till myndigheten har behandlat klagomålet, ska tillsynsmyndigheten på skriftlig begäran av den registrerade antingen lämna besked i frågan om myndigheten avser att utöva tillsyn med anledning av klagomålet, eller i ett särskilt beslut avslå begäran om besked.

Besked eller beslut enligt första stycket ska meddelas inom två veckor från den dag då begäran om besked kom in till myndig- heten.

Om tillsynsmyndigheten har avslagit en begäran om besked enligt första stycket, har den registrerade inte rätt till ett nytt besked i ärendet förrän tidigast tre månader efter det att myndighetens beslut meddelades.

47

Författningsförslag

SOU 2017:39

7 kap. Administrativa sanktionsavgifter

1 § Sanktionsavgift får tas ut av en myndighet vid överträdelser som avses i artikel 83.4, 83.5 och 83.6 i dataskyddsförordningen, varvid artikel 83.1, 83.2 och 83.3 i förordningen ska tillämpas.

Vid överträdelser som avses i artikel 83.4 i dataskyddsförord- ningen ska avgiften bestämmas till högst 10 000 000 kronor och annars till högst 20 000 000 kronor.

2 § Sanktionsavgift får tas ut vid överträdelser av artikel 10 i data- skyddsförordningen, varvid artikel 83.1, 83.2 och 83.3 i förordningen ska tillämpas. Avgiftens storlek ska bestämmas med tillämpning av artikel 83.5 i förordningen.

3 § Sanktionsavgift får inte beslutas, om den som avgiften ska tas ut av inte har fått tillfälle att yttra sig enligt 6 kap. 3 § inom fem år från den dag då överträdelsen ägde rum.

4 § En sanktionsavgift som beslutats enligt dataskyddsförordningen eller denna lag tillfaller staten.

8 kap. Skadestånd och rättsmedel

Skadestånd

1 § Rätten till ersättning enligt artikel 82 i dataskyddsförord- ningen gäller även vid överträdelser av bestämmelser i denna lag och andra författningar som kompletterar dataskyddsförordningen.

Överklagande av beslut som fattats av en myndighet i egenskap av personuppgiftsansvarig

2 § Beslut enligt artiklarna 12.5, 15–19 eller 21 i dataskyddsför- ordningen som har meddelats av en myndighet i egenskap av per- sonuppgiftsansvarig får överklagas till allmän förvaltningsdomstol.

Prövningstillstånd krävs vid överklagande till kammarrätten. Första stycket gäller inte beslut av riksdagen, regeringen,

Högsta domstolen, Högsta förvaltningsdomstolen eller riksdagens ombudsmän.

48

SOU 2017:39

Författningsförslag

Dröjsmålstalan

3 § Tillsynsmyndighetens beslut att avslå en begäran om besked enligt 6 kap. 5 § får överklagas till allmän förvaltningsdomstol.

Om domstolen bifaller överklagandet, ska den förelägga tillsyns- myndigheten att inom en bestämd tid lämna besked till den registre- rade i frågan om tillsyn kommer att utövas.

Domstolens beslut får inte överklagas.

Överklagande av tillsynsmyndighetens beslut

4 § Tillsynsmyndighetens beslut enligt dataskyddsförordningen och enligt 7 kap. 1 och 2 §§ denna lag får överklagas till allmän förvalt- ningsdomstol.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Överklagande av beslut i enskilda fall

5 § Beslut enligt 2 kap. 5 § andra stycket, 3 kap. 6 § tredje stycket och 3 kap. 10 § denna lag får överklagas till allmän förvaltningsdom- stol.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Överklagandeförbud

6 § Andra beslut enligt denna lag än de som avses i 2–5 §§ och 6 kap. 2 § får inte överklagas.

1.Denna lag träder i kraft den 25 maj 2018.

2.Genom lagen upphävs personuppgiftslagen (1998:204).

3.Den upphävda lagen gäller dock fortfarande i den utsträckning som det i en annan lag eller förordning finns bestämmelser som inne- håller hänvisningar till den lagen.

4.Äldre föreskrifter gäller fortfarande för ärenden hos Data- inspektionen som har inletts men inte avgjorts före ikraftträdandet.

5.Äldre föreskrifter gäller fortfarande för överklagande av beslut som har meddelats med stöd av dessa föreskrifter.

49

Författningsförslag

SOU 2017:39

6.Äldre föreskrifter om skadestånd gäller fortfarande för skada som har orsakats före ikraftträdandet.

7.Äldre föreskrifter gäller fortfarande för överträdelser som har skett före ikraftträdandet.

50

SOU 2017:39

Författningsförslag

1.2Förslag till

lag om ändring i offentlighets- och sekretesslagen (2009:400)

Härigenom föreskrivs att 10 kap. 27	§, 21 kap. 7 § och 40 kap.
5 § samt rubriken närmast före 21 kap. 7	§ offentlighets- och sekre-

tesslagen (2009:400) ska ha följande lydelse.

Nuvarande lydelse	Föreslagen lydelse
	10 kap.
	27 §1

Utöver vad som följer av 2, 3, 5 och 15–26 §§ får en sekretess- belagd uppgift lämnas till en myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda.

Första stycket gäller inte i fråga om sekretess enligt 24 kap. 2 a och 8 §§, 25 kap. 1–8 §§, 26 kap. 1–6 §§, 29 kap. 1 och 2 §§, 31 kap. 1 § första stycket, 2 och 12 §§, 33 kap. 2 §, 36 kap. 3 § samt 40 kap. 2 och 5 §§.

Första stycket gäller inte hel-	Första stycket gäller inte hel-
ler om utlämnandet strider mot	ler om utlämnandet strider mot
lag eller förordning eller föreskrift	lag eller förordning.
som har meddelats med stöd av
personuppgiftslagen (1998:204).
21 kap.
Behandling i strid med person-	Behandling i strid med data-
uppgiftslagen	skyddsregleringen

1 Senaste lydelse 2013:795.

51

Författningsförslag SOU 2017:39

			27 april 2016 om skydd för fysiska
			personer med avseende på behand-
			ling av personuppgifter och om det
			fria flödet av sådana uppgifter och
			om	upphävande			av	direktiv
			95/46/EG		(allmän		dataskydds-
			förordning),		i	den	ursprungliga
			lydelsen, eller lagen (2018:xx) med
			kompletterande			bestämmelser till
			EU:s dataskyddsförordning.
		40 kap.
			5 §
Sekretess	gäller i	verksamhet		Sekretess gäller för uppgift om
för enbart	teknisk	bearbetning	en enskilds personliga eller ekono-
eller teknisk lagring för någon			miska förhållanden				i verksamhet
annans räkning av personupp-			för	enbart	teknisk		bearbetning
gifter som avses i personuppgifts-			eller teknisk lagring för någon
lagen (1998:204) för uppgift om en			annans räkning av sådana person-
enskilds personliga eller ekono-			uppgifter som avses i artikel 4.1 i
miska förhållanden.			Europaparlamentets och rådets för-
			ordning (EU) 2016/679 av den
			27 april 2016 om skydd för fysiska
			personer med avseende på behand-
			ling av personuppgifter och om det
			fria flödet av sådana uppgifter och
			om	upphävande			av	direktiv
			95/46/EG		(allmän		dataskydds-
			förordning).

Denna lag träder i kraft den 25 maj 2018.

52

Författningsförslag

SOU 2017:39

rial som tagits emot för förvaring av myndigheten.

7 c §

En arkivmyndighet behöver inte begränsa behandlingen av personuppgifter enligt artikel 18 i förordning (EU) 2016/679, när det gäller personuppgifter i arkiv- material som tagits emot för förva- ring av myndigheten.

7 d §

Rätten att göra invändningar enligt artikel 21 i förordning (EU) 2016/679 gäller inte vid en arkivmyndighets behandling av personuppgifter i arkivmaterial som tagits emot för förvaring av arkivmyndigheten.

20 §3

Denna förordning träder i kraft den 25 maj 2018.

3 Senaste lydelse 2001:556.

54

SOU 2017:39

Författningsförslag

1.4Förslag till

förordning med kompletterande bestämmelser till EU:s dataskyddsförordning

Regeringen föreskriver följande.

Inledande bestämmelser

1 § I denna förordning finns bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana upp- gifter och om upphävande av direktiv 95/46/EG (allmän data- skyddsförordning), nedan kallad dataskyddsförordningen.

Kompletterande bestämmelser finns också i lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning, nedan kallad dataskyddslagen.

Termer och uttryck som används i denna förordning har samma betydelse som i dataskyddsförordningen och dataskyddslagen.

2 § Denna förordning är meddelad med stöd av

–3 kap. 12 § dataskyddslagen i fråga om 4 § och 5 § första stycket,

–3 kap. 10 § dataskyddslagen i fråga om 5 § andra stycket,

–2 kap. 5 § och 3 kap. 6 § dataskyddslagen i fråga om 6 §, och

–8 kap. 7 § regeringsformen i fråga om övriga bestämmelser.

Tillsynsmyndighet

3 § Datainspektionen är tillsynsmyndighet enligt dataskyddsför- ordningen och dataskyddslagen.

Personuppgifter som rör lagöverträdelser

4 § Personuppgifter som rör fällande domar i brottmål, lagöver- trädelser som innefattar brott eller straffprocessuella tvångsmedel får behandlas av andra än myndigheter om

55

Författningsförslag

SOU 2017:39

1.behandlingen är nödvändig för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras i ett enskilt fall,

2.behandlingen avser enstaka uppgifter och är nödvändig för att till polisen anmäla misstanke om brott, eller

3.behandlingen avser enstaka uppgifter och är nödvändig för att en rättslig förpliktelse enligt lag eller förordning ska kunna fullgöras.

5 § Datainspektionen får meddela ytterligare föreskrifter om i vilka fall andra än myndigheter får behandla personuppgifter som rör fäl- lande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel.

Datainspektionen får även i enskilda fall besluta om att tillåta behandling av sådana personuppgifter som avses i första stycket.

Enskilda arkiv

6 § Riksarkivet får meddela föreskrifter om behandling av person- uppgifter för arkivändamål av allmänt intresse, när det gäller andra enskilda organ än de som omfattas av bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offentlig- hets- och sekretesslagen (2009:400). Sådana föreskrifter får även avse behandling av känsliga personuppgifter.

Riksarkivet får även i enskilda fall besluta att sådana enskilda organ som avses i första stycket får behandla personuppgifter för arkiv- ändamål av allmänt intresse. Sådana beslut får även avse behandling av känsliga personuppgifter.

7 § Innan Riksarkivet meddelar föreskrifter eller fattar beslut enligt 6 § ska Datainspektionen ges tillfälle att yttra sig över Riksarkivets förslag.

Verkställighet av beslut om sanktionsavgift

8 § Sanktionsavgifter ska betalas till X-myndigheten inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft eller inom den längre tid som anges i beslutet.

Om sanktionsavgiften inte betalas inom den tid som anges i första stycket, ska myndigheten lämna den obetalda avgiften för indrivning.

56

SOU 2017:39

Författningsförslag

Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m. Vid indrivning får verkställighet ske enligt utsökningsbalken.

9 § En beslutad sanktionsavgift faller bort till den del beslutet om avgiften inte har verkställts inom tio år från det att beslutet fick laga kraft.

10 § Om betalningsansvaret har upphävts genom ett beslut som fått laga kraft, ska sanktionsavgiften återbetalas. För sanktionsavgift som återbetalas utgår ränta enligt 5 § räntelagen (1975:635) för tiden från den dag då avgiften betalades till och med den dag den återbetalas.

Övriga verkställighetsföreskrifter

11 § Datainspektionen får meddela närmare föreskrifter om

1.klagomål till tillsynsmyndigheten, och

2.begäran om besked rörande handläggningen av klagomål.

1.Denna förordning träder i kraft den 25 maj 2018.

2.Genom förordningen upphävs personuppgiftsförordningen (1998:1191).

3.Den upphävda förordningen gäller dock fortfarande i den utsträckning som det i en annan lag eller förordning finns bestäm- melser som innehåller hänvisningar till den förordningen.

4.Äldre föreskrifter gäller fortfarande för ärenden som har inletts hos Datainspektionen före ikraftträdandet men ännu inte har avgjorts.

5.Äldre föreskrifter gäller fortfarande för överklagande av beslut som har meddelats med stöd av dessa föreskrifter.

57

Vårt uppdrag och arbete

SOU 2017:39

för möjligheten att behandla, och skyldigheten att skydda, person- uppgifter. Det har inte heller varit vår uppgift att bedöma konsekven- serna av förordningens direkt tillämpliga bestämmelser eller av de förändringar som dessa innebär.

I uppdraget har inte ingått att överväga eller lämna förslag till grundlagsändringar. Uppdraget har inte heller omfattat att se över eller lämna förslag till förändringar av sådan sektorsspecifik reglering om behandling av personuppgifter som bland annat finns i de särskil- da registerförfattningarna. Vi har således inte utrett frågor som endast rör vissa typer av verksamheter. Några av de frågor som beskrivs i kommittédirektiven och som behandlats i vår utredning är dock av relevans enbart för den offentliga sektorn, men då på ett generellt plan. Flertalet frågor rörande tillsynsmyndigheten har inte ingått i vår utredning, utan har i stället omhändertagits av Utredningen av till- synen över den personliga integriteten (Ju 2015:02).

Efter det att våra direktiv beslutades har regeringen gett en särskild utredare i uppdrag att bland annat analysera vilken reglering av personuppgiftsbehandling för forskningsändamål som är möjlig och kan behövas, utöver den generella reglering som vi kommer att föreslå, och att analysera vilka anpassningar av lagen (2003:460) om etikpröv- ning av forskning som avser människor som behöver göras. Utred- ningen har tagit namnet Forskningsdatautredningen (U 2016:04). Vi har i samråd med Forskningsdatautredningen konstaterat att samtliga frågor rörande behandling av personuppgifter för forskningsändamål bör behandlas i ett samlat sammanhang och att Forskningsdatautred- ningen är bäst lämpad att göra den analys och de överväganden som krävs. Vi har därför avstått från att i vårt arbete behandla frågan om behandling av personuppgifter för forskningsändamål.

2.3Utredningsarbetet

Utredningsarbetet har bedrivits på sedvanligt sätt med regelbundna expertgruppsammanträden. Utredningen har sammanträtt med de förordnade experterna och den sakkunniga vid sammanlagt elva till- fällen. Utredningsarbetet har även i övrigt bedrivits i nära samarbe- te med experterna och den sakkunniga.

Utredaren och sekreterarna samrådde med Utredningen om 2016 års dataskyddsdirektiv (Ju 2016:06) den 15 april 2016 inför pla-

60

SOU 2017:39

Vårt uppdrag och arbete

neringen av utredningsarbetet. Utredarna har därefter samrått vid flera tillfällen. Sekreterarna har haft fortlöpande kontakter med var- andra i för utredningarna gemensamma frågor. Den mycket begrän- sade tiden för vårt utredningsarbete har dock inte lämnat utrymme för att i tillräcklig utsträckning ta del av Utredningens om 2016 års dataskyddsdirektiv förslag och texter. Det kan därför finnas oavsikt- liga skillnader mellan utredningarnas syn på likartade frågor.

Parallellt med vår utredning har ett flertal andra utredningar också haft i uppdrag att anpassa svensk rätt till dataskyddsrefor- men. Vi har tillsammans med dessa andra utredningar ingått i en informell samordningsgrupp. Under utredningstiden har det hållits nio möten i denna samordningsgrupp. Vi har löpande under utred- ningstiden delat våra texter med samordningsgruppen, men har däremot inte haft tid att ta del av de andra utredningarnas texter. Det kan därför även i förhållande till dessa utredningar finnas oav- siktliga skillnader i synen på likartade frågor.

Vid sidan av samarbetet med Utredningen om 2016 års data- skyddsdirektiv och inom samordningsgruppen har vi dessutom löpande under utredningsarbetet samrått och haft kontakter med bland andra Utredningen om tillsynen över den personliga integri- teten (Ju 2015:02) och Utredningen om kameraövervakningslagen

– brottsbekämpning och integritetsskydd (Ju 2015:14).

Den 24 oktober 2016 närvarade vi vid konferensen Nordic Privacy Arena, som anordnades av organisationen Forum för dataskydd. Vi har även deltagit i ett seminarium i riksdagen den 8 december 2016 om ”Åldersgräns för sociala medier – skydd eller begränsning av barn och ungas rättigheter?”, som anordnades av organisationen Surfa lugnt. Vi har också deltagit i ett nordiskt samrådsmöte i Köpenhamn den 12 december 2016, anordnat av Nordiska ministerrådet. Vidare har vi under utredningstiden haft en dialog med Riksarkivet om frå- gor som rör behandling av personuppgifter för arkivändamål.

Slutligen har vi gett Statens medieråd och Barnombudsmannen tillfälle att lämna yttranden när det gäller frågan om barns samtycke till personuppgiftsbehandling vid erbjudandet av informationssam- hällets tjänster direkt till barn. Svar har inkommit från båda dessa myndigheter.

61

Vårt uppdrag och arbete

SOU 2017:39

62

Gällande rätt

SOU 2017:39

3.2Internationella överenskommelser

3.2.1Förenta Nationerna

Förenta Nationerna (FN) antog 1948 den allmänna förklaringen om de mänskliga rättigheterna. Förklaringen är inte formellt bin- dande för medlemsstaterna, men ses som ett uttryck för sedvane- rättsliga regler. Skyddet för den personliga integriteten behandlas i artikel 12, som anger att ingen må utsättas för godtyckligt ingri- pande i fråga om privatliv, familj, hem eller korrespondens och inte heller för angrepp på sin heder eller sitt anseende. Var och en har rätt till lagens skydd mot sådana ingripanden och angrepp. I artikel 29 anges att en person endast får underkastas sådana in- skränkningar som har fastställts i lag och enbart i syfte att trygga tillbörlig hänsyn till och respekt för andras rättigheter och friheter samt för att tillgodose ett demokratiskt samhälles berättigade krav på moral, allmän ordning och allmän välfärd.

Inom FN har också utarbetats en internationell konvention om medborgerliga och politiska rättigheter, som antogs av generalför- samlingen 1966 och trädde i kraft 1976. Sverige anslöt sig till konventionen 1971. I artikel 17 återupprepas vad som anges i arti- kel 12 i den allmänna förklaringen.

FN:s generalförsamling antog 1990 riktlinjer om datoriserade register med personuppgifter. I riktlinjerna finns tio grundläggande principer som medlemsstaterna ska ta hänsyn till vid lagstiftning avseende datoriserade register med personuppgifter. Det anges bland annat att personuppgifter inte får samlas in eller behandlas i strid med FN:s stadga.

3.2.2OECD

Inom Organisationen för ekonomiskt samarbete och utveckling, OECD, har en expertgrupp utarbetat riktlinjer i fråga om integri- tetsskyddet och personuppgiftsflödet över gränserna. Riktlinjerna antogs 1980 av OECD:s råd tillsammans med en rekommendation till medlemsländernas regeringar om att betrakta riktlinjerna i nationell lagstiftning. Riktlinjerna reviderades år 2013. Samtliga medlemsländer, däribland Sverige, har godtagit rekommendationen och åtagit sig att följa denna.

64

SOU 2017:39

Gällande rätt

Riktlinjerna ska uppfattas som minimiregler och motsvarar i princip de bestämmelser som finns i Europarådets dataskyddskon- vention, se nedan. De är tillämpliga på behandling av personupp- gifter inom både den privata och den offentliga sektorn.

3.3Europarätt

3.3.1Europarådet

Europakonventionen

Sedan den 1 januari 1995 är den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande frihe- terna (Europakonventionen) inkorporerad i svensk rätt och gäller som lag2. Av 2 kap. 19 § regeringsformen framgår att lag eller annan föreskrift inte får meddelas i strid med Sveriges åtaganden på grund av konventionen.

Enligt artikel 8 i Europakonventionen har var och en rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespon- dens. Offentlig myndighet får inte inskränka åtnjutande av denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den all- männa säkerheten, landets ekonomiska välstånd eller till före- byggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter.

Behandling av personuppgifter kan falla inom tillämpningsområdet för artikel 8 i Europakonventionen i de fall behandlingen avser uppgifter om privatliv, familjeliv, hem eller korrespondens. EU- domstolen har slagit fast att bestämmelserna i artikel 8 i Europa- konventionen har viss betydelse vid bedömningen av nationella regler som tillåter behandling av personuppgifter.3 Vidare har Europa- domstolen slagit fast att artikel 8 i Europakonventionen ålägger staten såväl en negativ förpliktelse att avstå från att göra intrång i rätten till respekt för privat- och familjelivet som en positiv för-

2Lagen (1994:1219) om den europeiska konventionen angående skydd för de mänskliga rättig- heterna och de grundläggande friheterna, prop. 1993/94:117.

3Dom Österreichischer Rundfunk m.fl., C-465/00, C-138/01 och C-139/01, EU:C:2003:294.

65

Gällande rätt

SOU 2017:39

pliktelse att skydda enskilda mot att andra enskilda handlar på ett sätt som innebär integritetsintrång.4

Dataskyddskonventionen

Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter, den s.k. dataskyddskonventionen, antogs av Europarådets ministerkommitté 1981. Konventionen trädde i kraft den 1 oktober 1985. Samtliga medlemsstater i EU har ratificerat konventionen.

Konventionens syfte är att säkerställa respekten för grundläg- gande fri- och rättigheter, särskilt den enskildes rätt till personlig integritet i samband med automatiserad behandling av personupp- gifter. Konventionen tar sikte på behandling av personuppgifter i automatiserade personregister och automatiserad personuppgifts- behandling i allmän och enskild verksamhet. Personuppgifterna ska enligt konventionen inhämtas och behandlas på ett korrekt sätt och de ska vara relevanta med hänsyn till ändamålet. Vissa kategorier av personuppgifter får inte behandlas genom automatiserad data- behandling om inte den nationella lagstiftningen ger ett ändamåls- enligt skydd. Till sådana kategorier hör personuppgifter som avslöjar ras, politisk tillhörighet, religiös tro eller övertygelse i övrigt, sexualliv samt uppgifter om brott. En översyn av konventionen pågår för närvarande inom Europarådet.

Det har inom Europarådet även utarbetats flera rekommen- dationer på dataskyddsområdet. Dessa är dock, till skillnad från dataskyddskonventionen, inte bindande.

3.3.2Europeiska unionen

Stadgan

Vid Europeiska rådets möte i Nice år 2000 antog EU:s medlems- stater Europeiska unionens stadga om de grundläggande rättig- heterna. Som en följd av Lissabonfördraget, som trädde i kraft år

4 Se t.ex. Airey mot Irland, nr 6289/73, dom den 9 oktober 1979, X och Y mot Nederländerna, nr 8978/80, dom den 26 mars 1985, K.U. mot Finland, nr 2872/02, dom den 2 december 2008 och Söderman mot Sverige, nr 5786/08, dom den 12 november 2013.

66

SOU 2017:39

Gällande rätt

2009, är stadgan rättsligt bindande för EU-institutionerna och medlemsstaterna när dessa tillämpar unionsrätten.

I artikel 7 i stadgan anges att var och en har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer. Av artikel 8 i stadgan framgår vidare att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Dessa uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem. En oberoende myndighet ska kontrollera att dessa regler efterlevs.

Dataskyddsdirektivet och dataskyddsrambeslutet

Den allmänna regleringen om behandling av personuppgifter inom EU finns i dag i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avse- ende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet). Direktivet syftar till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter, samt att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU.

Dataskyddsdirektivet gäller inte för behandling av personuppgifter på områden som faller utanför unionsrätten, till exempel allmän säkerhet och försvar samt statens verksamhet på straffrättens område. Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsrambeslutet) är, som namnet antyder, tillämpligt på informationsutbyte över gränserna. Data- skyddsrambeslutet gäller däremot inte för rent nationell person- uppgiftsbehandling inom exempelvis polisens område. Från data- skyddsrambeslutets tillämpningsområde undantas också person- uppgiftsbehandling inom området nationell säkerhet. På detta områ- de finns det således inte någon EU-gemensam reglering avseende behandling av personuppgifter.

67

Gällande rätt

SOU 2017:39

3.4Svensk rätt

3.4.1Regeringsformen

Svensk grundlag ger ett grundläggande skydd för den personliga integriteten, utöver det som följer av att lag eller annan föreskrift inte får meddelas i strid med Europakonventionen. Enligt mål- sättningsstadgandet i 1 kap. 2 § första stycket regeringsformen ska den offentliga makten utövas med respekt för den enskilda männi- skans frihet. I fjärde stycket samma paragraf anges att det allmänna ska värna om den enskildes privat- och familjeliv. I 2 kap. 4 och 5 §§ regeringsformen finns bestämmelser om absolut skydd mot allvarliga fysiska integritetsintrång, bland annat döds- och kroppsstraff. Enligt 2 kap. 6 § första stycket regeringsformen är var och en därutöver skyddad gentemot det allmänna mot bland annat påtvingade kroppsliga ingrepp.

För att stärka skyddet för den personliga integriteten infördes den 1 januari 2011 ett nytt andra stycke i 2 kap. 6 § regerings- formen. I bestämmelsen anges att var och en gentemot det all- männa är skyddad mot betydande intrång i den personliga integri- teten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Skyddet får enligt 2 kap. 20 och 21 §§ regeringsformen begränsas genom lag, men endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningen får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens grundvalar. Begräns- ningen får inte göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning.

3.4.2Dataskyddsdirektivets genomförande

Dataskyddsdirektivet har genomförts i svensk rätt huvudsakligen genom personuppgiftslagen (1998:204), förkortad PUL. Bestäm- melserna i personuppgiftslagen har till syfte att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Personuppgiftslagen följer i princip dataskydds- direktivets struktur och innehåller liksom direktivet bestämmelser

68

SOU 2017:39

Gällande rätt

om bland annat personuppgiftsansvar, grundläggande krav för behandling av personuppgifter och information till den registre- rade.

Personuppgiftslagen är tillämplig även utanför EU-rättens område och gäller både för myndigheter och enskilda som behandlar per- sonuppgifter. Personuppgiftslagen är samtidigt subsidiär, vilket inne- bär att lagens bestämmelser inte ska tillämpas om det finns avvikande bestämmelser i en annan lag eller förordning. Det finns en stor mängd sådana bestämmelser i sektorsspecifika författningar som främst reglerar hur olika myndigheter får behandla personuppgifter.

Personuppgiftslagen kompletteras också av bestämmelser i per- sonuppgiftsförordningen (1998:1191), förkortad PUF, som bland annat pekar ut Datainspektionen som tillsynsmyndighet. Datainspek- tionen bemyndigas i förordningen att meddela närmare föreskrifter om bland annat i vilka fall behandling av personuppgifter är tillåten och vilka krav som ställs på den personuppgiftsansvarige.

69

EU:s dataskyddsreform

SOU 2017:39

överenskommelse om regleringen kunde nås den 15 december 2015. Enligt kommissionens pressmeddelande efter den politiska överens- kommelsen var syftet med reformen i huvudsak att stärka enskildas befintliga rättigheter och se till att enskilda får mer kontroll över sina personuppgifter, men också att harmonisera EU:s regler om skydd av personuppgifter och därmed skapa affärsmöjligheter och främja inno- vation.2

4.2Dataskyddsförordningen

Den 27 april 2016 antogs Europaparlamentets och rådets förord- ning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana upp- gifter och om upphävande av direktiv 95/46/EG (allmän dataskydds- förordning). I dagligt tal används ofta den vedertagna engelska för- kortningen, GDPR. Vi har dock valt att i detta betänkande benämna den nya rättsakten dataskyddsförordningen eller kort och gott förord- ningen.

Dataskyddsförordningen kommer från och med den 25 maj 2018 att ersätta det nuvarande dataskyddsdirektivet och utgöra den gene- rella regleringen av personuppgiftsbehandling inom EU. Enligt arti- kel 288 andra stycket i fördraget om Europeiska unionens funktions- sätt ska en EU-förordning ha allmän giltighet och vara till alla delar bindande och direkt tillämplig i varje medlemsstat. Till skillnad från EU-direktiv ska alltså förordningar inte implementeras i nationell rätt. I stället ska förordningsbestämmelser tillämpas av enskilda, myndigheter och domstolar precis som om de vore nationella författ- ningsbestämmelser. Detta innebär att dataskyddsförordningen är direkt tillämplig.

Även om dataskyddsförordningen är direkt tillämplig, till skillnad från dataskyddsdirektivet, innehåller den många bestämmelser som förutsätter eller ger utrymme för kompletterande nationella bestäm- melser av olika slag. Förordningen har därmed i vissa delar en direk- tivliknande karaktär. I skälen till förordningen anges också att om förordningen föreskriver förtydliganden eller begränsningar av dess

2 Europeiska kommissionens pressmeddelande den 15 december 2015 ”Överenskommelse om kommissionens reform av EU:s uppgiftsskydd stärker den digitala inre marknaden”.

72

SOU 2017:39

EU:s dataskyddsreform

bestämmelser genom medlemsstaternas nationella rätt, kan medlems- staterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de per- soner som de tillämpas på, införliva delar av förordningen i nationell rätt.

4.2.1Förordningens syfte

I skälen till förordningen konstateras att dataskyddsdirektivet inte har kunnat förhindra bristande enhetlighet i genomförandet och tillämpningen av dataskyddet i olika delar av unionen. Skillnader i nivån på skyddet av personuppgifter kan enligt skälen förhindra det fria flödet av personuppgifter och kan därför utgöra ett hinder för att bedriva ekonomisk verksamhet på unionsnivå, snedvrida kon- kurrensen och hindra myndigheterna från att fullgöra sina skyldig- heter enligt unionsrätten.

För att säkerställa en enhetlig skyddsnivå över hela unionen och undvika avvikelser som hindrar den fria rörligheten av personuppgif- ter inom den inre marknaden behövs, enligt skälen till förordningen, en förordning som skapar rättslig säkerhet och öppenhet för ekono- miska aktörer och som ger fysiska personer i alla medlemsstater sam- ma rättsligt verkställbara rättigheter och skyldigheter samt ålägger personuppgiftsansvariga och personuppgiftsbiträden samma ansvar. På så sätt blir övervakningen av behandling av personuppgifter enhet- lig, sanktionerna i alla medlemsstater likvärdiga och samarbetet mel- lan tillsynsmyndigheterna i olika medlemsstater effektivt.

4.2.2Tillämpningsområdet

Dataskyddsförordningen ska, precis som dataskyddsdirektivet, till- lämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.

Från dataskyddsförordningens tillämpningsområde undantas be- handling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten eller som utförs av medlemsstaterna när de bedriver verksamhet som omfattas av den gemensamma utrikes- och säkerhetspolitiken. Behandling av personuppgifter som utförs av

73

EU:s dataskyddsreform

SOU 2017:39

en fysisk person som ett led i verksamhet av privat natur eller som har samband med hans eller hennes hushåll omfattas inte heller förord- ningens bestämmelser. Vidare gäller förordningen inte för sådan behandling av personuppgifter som utförs av behöriga myndigheter för ändamålen att förebygga, utreda, upptäcka eller lagföra brott eller verkställa straffrättsliga påföljder. Sådan behandling regleras i stället genom det nya dataskyddsdirektivet, Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska per- soner med avseende på behöriga myndigheters behandling av person- uppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, som ersätter dataskyddsrambeslutet. Slutligen ska förordningens bestämmelser inte tillämpas av EU:s institutioner, organ och byråer. Den behandling av personuppgifter som sker där regleras i stället genom Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar per- sonuppgifter och om den fria rörligheten för sådana uppgifter. Ett förslag till reviderad förordning om skydd för personuppgifter som behandlas av unionens institutioner, organ, kontor och byråer har lagts fram av kommissionen.3

Dataskyddsförordningen ska tillämpas på all behandling av per- sonuppgifter som sker inom ramen för den verksamhet som bedrivs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som är etablerad i unionen, oavsett om behandlingen utförs i unionen eller inte. En skillnad jämfört med dataskyddsdirektivets ordalydelse är att förordningen under vissa omständigheter ska tillämpas även på behandling av personuppgifter som utförs av en personuppgifts- ansvarig eller ett personuppgiftsbiträde som inte är etablerad i unionen. Detta gäller om behandlingen avser registrerade som befin- ner sig i unionen, under förutsättning att behandlingen har anknyt- ning till antingen utbjudande av varor eller tjänster till sådana registrerade i unionen eller övervakning av deras beteende, så länge beteendet sker inom unionen. Slutligen ska dataskyddsförordningen också tillämpas på behandling av personuppgifter som utförs av en

3 COM (2017) 8 final, 2017/0002 (COD).

74

SOU 2017:39

EU:s dataskyddsreform

personuppgiftsansvarig som inte är etablerad i unionen, men på en plats där en medlemsstats nationella rätt gäller enligt folkrätten.

4.2.3Sakliga förändringar

Dataskyddsförordningen baseras till stor del på dataskyddsdirektivets struktur och innehåll, men innebär även en rad förändringar. Några av dessa förtjänar att nämnas särskilt.

Den registrerades rättigheter har förstärkts i syfte att ge den registrerade ökad kontroll över sina personuppgifter. Den informa- tion som ska tillhandahållas den registrerade har preciserats och ut- vidgats och det anges uttryckligen att den personuppgiftsansvarige ska tillhandahålla informationen i en begriplig och lättillgänglig form. Förordningen innebär även en förstärkning av rätten att få åtkomst till sina personuppgifter i syfte att föra över dem till en annan leve- rantör av elektroniska tjänster, s.k. dataportabilitet. Vidare har en tydligare rätt till radering (”rätt att bli bortglömd”) införts.

Det införs ett krav på att i vissa fall inhämta samtycke från vårdnadshavare eller godkännande av barnets samtycke när infor- mationssamhällets tjänster erbjuds direkt till ett barn. Barns särställ- ning och särskilda utsatthet poängteras på flera ställen i förordningen.

Genom förordningen införs en skyldighet för den personupp- giftsansvarige att anmäla till tillsynsmyndigheten om det inträffar en så kallad personuppgiftsincident, dvs. en säkerhetsincident som oavsiktligt påverkar behandlingen av personuppgifter. Även den registrerade ska informeras om incidenten om den sannolikt leder till en hög risk för enskildas rättigheter och friheter.

Det införs krav på konsekvensanalyser om en viss behandling sannolikt kommer att leda till hög risk för enskildas rättigheter eller skyldigheter. Den allmänna anmälningsskyldigheten till tillsyns- myndigheten tas däremot bort. Vidare blir det tydligare regler för kommunikation och ansvar hos de som behandlar personuppgifter. Ett krav på inbyggt dataskydd och dataskydd som standard införs.

Genom förordningen införs ett nytt gemensamt system med administrativa sanktionsavgifter som ska tas ut vid vissa typer av överträdelser av förordningen. Även på andra sätt innebär förord- ningen ett ökat fokus på en enhetlig tillämpning av dataskyddsreg- lerna inom EU, till exempel genom åtgärder som godkännande av

75

EU:s dataskyddsreform

SOU 2017:39

uppförandekoder och certifiering. Det införs även en skyldighet för de nationella tillsynsmyndigheterna att samarbeta med varandra. Det införs samtidigt en ny princip om en enda kontaktpunkt, som ska underlätta för sådana personuppgiftsansvariga som är verksamma i flera medlemsstater genom att de endast ska behöva vara i kontakt med en av de behöriga tillsynsmyndigheterna. Det kommer även att införas ett nytt unionsorgan, Europeiska dataskyddsstyrelsen, som får långtgående befogenheter att uttala sig om tolkningen av förord- ningen även i enskilda fall.

Förhållandet till offentlighetsprincipen

Utrymmet för att ge offentlighetsprincipen företräde framför per- sonuppgiftsregleringen har blivit tydligare i förordningen, genom en uttrycklig och direkt tillämplig bestämmelse i artikel 86. Av bestäm- melsen följer att personuppgifter i allmänna handlingar får lämnas ut i enlighet med nationell rätt, för att jämka samman allmänhetens rätt att få tillgång till handlingar med rätten till skydd för personuppgifter i enlighet med förordningen. Artikeln möjliggör alltså en tillämpning av tryckfrihetsförordningens reglering om allmänhetens tillgång till handlingar när det gäller allmänna handlingar som innehåller person- uppgifter.

76

Ett nytt svenskt regelverk om dataskydd

SOU 2017:39

5.2Överväganden och förslag

Utredningens förslag: Personuppgiftslagen och personuppgifts- förordningen ska upphävas. En ny lag och förordning med bestäm- melser som kompletterar dataskyddsförordningen på ett generellt plan ska införas. Termer och uttryck i dessa författningar ska ha samma betydelse som i dataskyddsförordningen. Sektorsspecifika författningsbestämmelser som rör behandling av personuppgifter ska ha företräde framför den nya lagen.

5.2.1Personuppgiftslagen, personuppgiftsförordningen och Datainspektionens föreskrifter ska upphävas

Dataskyddsförordningen ersätter dataskyddsdirektivet, som på gene- rell nivå har genomförts i svensk rätt genom personuppgiftslagen, personuppgiftsförordningen och Datainspektionens föreskrifter. Dataskyddsförordningen ska däremot inte implementeras i svensk rätt, utan i stället tillämpas av enskilda, myndigheter och domstolar precis som om dess bestämmelser hade funnits i en svensk författ- ning. När dataskyddsförordningen börjar tillämpas kommer alltså den generella regleringen om behandling av personuppgifter att fin- nas i dataskyddsförordningen. Det svenska generella regelverket om dataskydd kan då inte längre finnas kvar, eftersom det skulle leda till en otillåten dubbelreglering. Många av de bestämmelser som finns i personuppgiftslagen och i personuppgiftsförordningen motsvaras nämligen av direkt tillämpliga bestämmelser i dataskyddsförord- ningen.

Det ankommer på riksdagen att fatta beslut om upphävande av personuppgiftslagen, medan personuppgiftsförordningen bör upp- hävas genom regeringsbeslut. Datainspektionens föreskrifter som ansluter till personuppgiftslagen och personuppgiftsförordningen bör lämpligen upphävas av Datainspektionen, innan personuppgiftsför- ordningen upphör att gälla.

78

SOU 2017:39

Ett nytt svenskt regelverk om dataskydd

5.2.2Ett regelverk som kompletterar dataskyddsförordningen på generell nivå ska införas

Den omständigheten att den nya generella unionsrättsakten om data- skydd är en förordning, och inte ett direktiv, innebär omfattande begränsningar av möjligheten att införa eller behålla nationella bestämmelser om dataskydd. Dataskyddsförordningen har emellertid i vissa delar en direktivliknande karaktär, på så sätt att ett förhål- landevis stort antal artiklar förutsätter eller medger nationella bestäm- melser som kompletterar eller föreskriver undantag från förord- ningens regler. I skäl 8 till förordningen anges också att om för- ordningen föreskriver förtydliganden eller begränsningar av dess bestämmelser genom medlemsstaternas nationella rätt, kan medlems- staterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de perso- ner som de tillämpas på, införliva delar av förordningen i nationell rätt.

Vissa av de kompletterande bestämmelser som behövs eller är lämpliga är av generell karaktär, i betydelsen att de rör hela samhället eller flertalet myndigheter och inte bara en viss sektor. Denna typ av generella bestämmelser bör samlas i en ny övergripande lag och för- ordning om dataskydd. För att betona att författningarna inte är hel- täckande, utan endast utgör ett komplement till dataskyddsförord- ningen, bör de benämnas lagen med kompletterande bestämmelser till EU:s dataskyddsförordning respektive förordningen med komplet- terande bestämmelser till EU:s dataskyddsförordning. I det följande kallar vi den nya lagen för dataskyddslagen.

Bestämmelser till skydd för den enskildes personliga integritet har vid normgivningen betraktats som offentligrättsliga föreskrifter av den svenska lagstiftaren. Bestämmelserna utgör ett medel för det allmänna att skydda enskilda mot kränkning av deras personliga integritet genom olämplig behandling av personuppgifter. Genom tillsynsmyndigheten övervakar det allmänna att såväl privaträttsliga som offentligrättsliga organ följer regelverket. Eventuella överträ- delser kan beivras genom offentligrättsliga sanktioner, förbud och begränsningar. Den omständigheten att överträdelser även kan föran- leda civilrättsliga sanktioner i form av skadestånd förtar inte regle- ringen dess offentligrättsliga karaktär.1 Riksdagen kan därmed, enligt

1 Prop. 1997/98:44 s. 58 f.

79

Ett nytt svenskt regelverk om dataskydd

SOU 2017:39

8 kap. 3 § regeringsformen, delegera sin normgivningskompetens på detta område till regeringen. Bestämmelser som meddelas med stöd av ett sådant bemyndigande kan dock aldrig läggas till grund för behandling som innebär sådan övervakning eller kartläggning av enskildas personliga förhållanden som avses i 2 kap. 6 § regerings- formen. Sådana betydande intrång i den personliga integriteten om- fattas nämligen av ett särskilt lagkrav, enligt 2 kap. 20 § regerings- formen. De förordningsbestämmelser som vi föreslår är dock inte av denna karaktär.

Termer och uttryck

Många av de termer och uttryck som används i dataskyddsförord- ningen definieras i artikel 4 i förordningen. Andra begrepp definieras visserligen inte, men är av unionsrättslig karaktär och kan inte ges en särskild betydelse i nationell rätt. Termer och uttryck som används i den dataskyddslag och kompletterande förordning som vi föreslår bör därför ha samma betydelse som i dataskyddsförordningen. I öv- rigt innehåller våra författningsförslag inte några termer eller uttryck som kräver en reglerad definition.

Hänvisningsteknik

Den nya lag och förordning med kompletterande bestämmelser till dataskyddsförordningen som föreslås i detta betänkande innehåller hänvisningar till bestämmelser i EU-förordningen. Hänvisningar till EU-rättsakter kan göras antingen statiska eller dynamiska. En statisk hänvisning innebär att hänvisningen avser EU-rättsakten i en viss angiven lydelse. En dynamisk hänvisning innebär att hänvisningen avser EU-rättsakten i den vid varje tidpunkt gällande lydelsen.

Dataskyddsförordningen är direkt tillämplig. Handlingsutrymmet för medlemsstaterna när det gäller att införa bestämmelser i nationell rätt på detta område är därmed begränsat. För att säkerställa att ändringar i dataskyddsförordningen får omedelbart genomslag är det lämpligt att hänvisningarna dit görs dynamiska. Detta hindrar emel- lertid inte att dataskyddslagen och den kompletterande förordningen kan komma att behöva ändras om dataskyddsförordningens innehåll ändras. De hänvisningar till dataskyddsförordningen som finns i den

80

SOU 2017:39

Ett nytt svenskt regelverk om dataskydd

dataskyddslag och kompletterande förordning som föreslås i detta betänkande är därför med ett enda undantag dynamiska, dvs. avser förordningen i dess vid varje tidpunkt gällande lydelse. Hänvisning- arna kommer således att omfatta även eventuella framtida ändringar i dataskyddsförordningen. Det är en hänvisningsteknik som reger- ingen ofta har använt i senare tids propositioner (se t.ex. prop. 2015/16:156 s. 20 f. och 33 f., prop. 2015/16:160 s. 36 f. och 45, prop. 2016/17:22 s. 96 f. och prop. 2016/17:125 s. 50).

Lagrådet har uttalat att en konsekvensanalys bör göras vid valet av hänvisningsteknik och redovisas för var och en av de hänvisningar som görs. Särskilt bör det enligt Lagrådet belysas hur det nationella regelsystemet faktiskt ändras genom hänvisningen och hur ändringar av rättsakten kan komma att påverka den nationella regleringen.2

Flera av hänvisningarna till dataskyddsförordningen i de bestäm- melser som vi föreslår är av upplysande karaktär. Det gäller främst hänvisningarna i bestämmelserna om rättslig grund, känsliga person- uppgifter och skadestånd. Dynamiska hänvisningar framstår som mest lämpligt i dessa fall. Detsamma gäller hänvisningarna till data- skyddsförordningen avseende betydelsen av de termer och uttryck som används i författningarna. Terminologin som används i den nationella reglering som kompletterar EU-förordningen måste följa den begreppsutveckling som sker inom unionen, även vid en even- tuell ändring av uttryckliga definitioner i dataskyddsförordningen.

Andra hänvisningar till dataskyddsförordningen finns i föreslagna lag- och förordningsbestämmelser som rör bland annat vilka myn- digheter eller andra aktörer som är behöriga att pröva olika frågor eller som har att vidta åtgärder enligt dataskyddsförordningen samt vilka förfarandebestämmelser som ska gälla när förordningen saknar bestämmelser eller hänvisar till att nationell rätt ska tillämpas. Data- skyddsförordningen innebär även att det i svensk rätt måste införas bestämmelser om sanktioner vid överträdelser av förordningen. För- slaget till dataskyddslag innehåller också en bestämmelse om tyst- nadsplikt för den som utsetts till dataskyddsombud enligt data- skyddsförordningen.

Samtliga dessa ovan nämnda författningsförslag avser bestämmel- ser av ett slag som måste finnas i svensk rätt för att Sverige ska upp- fylla sina unionsrättsliga förpliktelser. Statiska hänvisningar till data-

2 Prop. 2015/16:156 s. 34.

81

Ett nytt svenskt regelverk om dataskydd

SOU 2017:39

skyddsförordningen i dessa bestämmelser skulle leda till oklarheter och brister, om dataskyddsförordningen skulle komma att ändras utan att den svenska lagstiftaren hinner vidta åtgärder. Den omstän- digheten att somliga förändringar i dataskyddsförordningen ändå skulle kunna föranleda behov av justeringar av svensk rätt, t.ex. röran- de vilken myndighet eller domstol som ska hantera en viss fråga, utgör inte skäl för att välja någonting annat än dynamiska hänvis- ningar i dessa paragrafer.

Vidare förekommer det i våra författningsförslag bestämmelser som föreskriver undantag från dataskyddsförordningens bestämmel- ser. Undantagen avser de registrerades rättigheter å ena sidan och den personuppgiftsansvariges skyldigheter å den andra. Flera av de före- slagna undantag som innehåller hänvisningar till dataskyddsförord- ningen är nära förknippade med den svenska grundlagsregleringen om tryck- och yttrandefrihet och rätt till tillgång till allmänna hand- lingar. Det råder enligt vår mening inget tvivel om att dessa undantag ska gälla, även om dataskyddsförordningens lydelse skulle komma att ändras i någon detalj. Vi föreslår även undantag som motiveras av behovet av en balans mellan det skydd som dataskyddsförordningen ger den registrerade och det skydd som annan lagstiftning ger den personuppgiftsansvariges verksamhet eller tredje parts personliga integritet, t.ex. i form av sekretess. Även i dessa bestämmelser anser vi att dynamiska hänvisningar behövs för att säkerställa att balansen består även vid en eventuell ändring av dataskyddsförordningen.

I ett fall, rörande behandling av personuppgifter utanför data- skyddsförordningens egentliga tillämpningsområde, anser vi dock att det finns skäl att välja en statisk hänvisningsteknik, innebärande att hänvisningen ska avse den ursprungliga lydelsen av dataskyddsförord- ningen. Skälen för detta ställningstagande utvecklas i avsnitt 6.4.2.

Det kan noteras att detta betänkande även innehåller förslag till ändringar i offentlighets- och sekretesslagen (2009:400), innebärande att hänvisningar till dataskyddsförordningen ska införas i vissa bestämmelser. Frågan om hänvisningarnas karaktär i de fallen behand- las i avsnitt 17.

82

SOU 2017:39

Ett nytt svenskt regelverk om dataskydd

5.2.3Avvikande bestämmelser i annan lag eller i förordning ska ha företräde

Reglering av behandling av personuppgifter har i Sverige sedan lång tid tillbaka skett i form av en generell lag, kompletterad med särregler i s.k. registerförfattningar för viktigare och känsligare register. Vid införlivandet av dataskyddsdirektivet konstaterade Datalagskommit- tén att överväganden avseende de särskilda registerförfattningarna föll utanför deras uppdrag. Samtidigt bedömde kommittén att det även med den nya generella lagstiftningen föreföll nödvändigt att ha sär- regler i vissa fall. Kommittén ansåg därför att den nya lagen om behandling av personuppgifter borde innehålla en bestämmelse som innebär att särregleringen inte berörs.3 Regeringen instämde i denna bedömning.4 Personuppgiftslagen gjordes därför subsidiär på så sätt att om det i en annan lag eller i en förordning finns bestämmelser som avviker från lagen, ska de bestämmelserna gälla (2 § PUL).

I de fall kompletteringar till eller undantag från dataskyddsför- ordningen får och bör göras på generell nivå ingår det i vårt uppdrag att överväga frågan. I några fall ger emellertid förordningen utrymme för undantag eller kompletteringar avseende en särskild typ av verk- samhet, se t.ex. artiklarna 9 och 23. I andra fall ges medlemsstaterna möjlighet att fastställa mer specifika villkor för att anpassa bestäm- melserna i förordningen för att säkerställa en laglig och rättvis be- handling, se t.ex. artikel 6.2 och 6.3 andra stycket. För att lämpliga avvägningar mellan skyddet för den personliga integriteten och beho- vet av att kunna behandla personuppgifter ska kunna göras i dessa situationer krävs överväganden som tar särskild hänsyn till de om- ständigheter som föreligger i en viss typ av verksamhet.

Det ligger inte inom ramen för vårt uppdrag att ta ställning till i vilken mån utrymmet för sektorsspecifik reglering om behandling av personuppgifter bör utnyttjas. Av kommittédirektiven framgår dock inte annat än att regeringen har för avsikt att i vart fall tills vidare hålla fast vid det traditionella systemet för reglering av behandling av per- sonuppgifter i Sverige, dvs. i form av en generell reglering som kom- pletteras av sektorsspecifika författningar med bestämmelser om behandling av personuppgifter.

3SOU 1997:39 s. 205 f.

4Prop. 1997/98:44 s. 40 f.

83

Ett nytt svenskt regelverk om dataskydd

SOU 2017:39

I vissa fall kan lagform krävas enligt 2 kap. 6 och 20 §§ regerings- formen, men många gånger kan sektorsspecifika författningar som rör behandling av personuppgifter beslutas av regeringen, med stöd av dess restkompetens enligt 8 kap. 7 § första stycket 2 regerings- formen eller med stöd av bemyndiganden i lag. Det kommer följakt- ligen även i fortsättningen sannolikt att finnas ett stort antal förord- ningar som innehåller särskilda bestämmelser om behandling av personuppgifter. Bestämmelser i såväl lagar som förordningar bör därför, på motsvarande sätt som gällt hittills, ha företräde framför bestämmelserna i den generella reglering som vi föreslår. Det bör dock tydliggöras i författningstexten att dataskyddslagen är subsidiär endast i förhållande till bestämmelser om sådant som regleras i data- skyddslagen, dvs. som rör behandling av personuppgifter. Det kan t.ex. vara bestämmelser som specificerar den rättsliga grunden för en myndighets behandling av personuppgifter, begränsningar av rätten att behandla känsliga personuppgifter i en viss verksamhet eller särskilda förfaranderegler. Att denna avgränsning gällt även enligt 2 § PUL framgår av förarbetena till den bestämmelsen.5 Eventuella konflikter i rättstillämpningen mellan dataskyddslagens bestämmelser och sådana bestämmelser i andra författningar som avser annat än behandling av personuppgifter ska alltså lösas med hjälp av de allmän- na principerna om till exempel normhierarki, EU-rättens företräde och lex specialis. Om en annan lag eller en förordning innehåller någon bestämmelse om behandling av personuppgifter som avviker från dataskyddslagen, ska däremot den avvikande bestämmelsen till- lämpas.

Det bör betonas att den bestämmelse om subsidiaritet som vi föreslår kommer att få en betydligt mer begränsad betydelse än dess motsvarighet i 2 § PUL, även om dess innebörd är densamma. Detta beror på att dataskyddslagen, till skillnad från personuppgiftslagen, inte är heltäckande. Dataskyddslagen utgör endast ett komplement till dataskyddsförordningen och reglerar bara vissa frågor. Bestäm- melsen om subsidiaritet kan bara aktualiseras i dessa fall och inte om en bestämmelse i en annan författning rörande behandling av person- uppgifter avser en fråga som inte alls regleras i dataskyddslagen.

Bestämmelsen om att annan lag eller förordning ska ha företräde framför dataskyddslagen utvidgar inte heller utrymmet för att göra

5 Prop. 1997/98:44 s. 114 f.

84

SOU 2017:39

Ett nytt svenskt regelverk om dataskydd

nationella undantag från de direkt tillämpliga bestämmelserna i data- skyddsförordningen. Principen om unionsrättens företräde innebär att en bestämmelse i en sektorsspecifik författning får tillämpas endast om den är förenlig med dataskyddsförordningen och avser en fråga som enligt förordningen får särregleras eller specificeras genom nationell rätt.

85

Behandling av personuppgifter utanför dataskyddsförordningens tillämpningsområde

SOU 2017:39

Personuppgiftslagen är däremot generellt tillämplig, vilket innebär att den också gäller för sådan behandling som faller utanför det nu- varande dataskyddsdirektivets tillämpningsområde. Anledningen till att denna lösning valdes var bland annat att det ansågs särskilt viktigt med ett starkt integritetsskydd för personuppgifter inom all offentlig verksamhet. Vidare ansågs den lösningen garantera att behovet av särregler i förhållande till personuppgiftslagen alltid övervägs noga i den ordning som krävs för författningsgivning.1

Vilka verksamheter som omfattas av gemenskapsrättens tillämp- ningsområde framgår inte av dataskyddsdirektivet, utan följer av fördragen och EU-domstolens praxis. Artikel 3.2 första strecksatsen i dataskyddsdirektivet rörande tillämpningsområdet har kunnat tolkas som att undantagets räckvidd begränsas till den kategori av områden som nämns som exempel i bestämmelsen, det vill säga till sådan verksamhet som väsentligen omfattas av vad man brukade kalla den andra och tredje pelaren. En annan tolkning har varit att bestäm- melsen undantar all verksamhet som inte omfattas av gemenskaps- rätten från tillämpningsområdet för dataskyddsdirektivet.

EU-domstolen har funnit att det är den först nämnda tolkningen av bestämmelsens innebörd som gäller. Domstolen har bland annat uttalat att de verksamheter som nämns som exempel i artikel 3.2 första strecksatsen i dataskyddsdirektivet är avsedda att definiera räckvidden av det där föreskrivna undantaget, varför detta undantag endast är tillämpligt på sådan verksamhet som uttryckligen nämns där eller som kan placeras i samma kategori.2

6.3Dataskyddsförordningen

Enligt artikel 2.2 i dataskyddsförordningen ska förordningen inte tillämpas på behandling av personuppgifter som

a)utgör ett led i en verksamhet som inte omfattas av unionsrätten,

b)medlemsstaterna utför när de bedriver verksamhet som omfattas av den gemensamma utrikes- och säkerhetspolitiken,

1Prop. 1997/98:44 s. 40 f.

2Dom Lindqvist, C-101/01, EU:C:2003:596, punkterna 34–35 och 44. Se även EU-dom- stolens tolkning av undantaget som gjordes i dom Österreichischer Rundfunk m.fl., C- 465/00, C-138/01 och C-139/01, EU:C:2003:294.

88

SOU 2017:39 Behandling av personuppgifter utanför dataskyddsförordningens tillämpningsområde

c)utförs av en fysisk person som ett led i verksamhet av privat natur eller som har samband med dennes hushåll, eller

d)utförs av behöriga myndigheter för ändamålen att förebygga, ut- reda, upptäcka eller lagföra brott eller verkställa straffrättsliga på- följder, inkluderande skydd mot samt förebyggande av hot mot allmän säkerhet.

I skäl 16 till dataskyddsförordningen anges verksamhet som rör natio- nell säkerhet som ett exempel på en verksamhet som enligt led a inte omfattas av unionsrättens tillämpningsområde. Sådan behandling av personuppgifter som avses i led d omfattas av det nya dataskydds- direktivets tillämpningsområde.

Förordningen gäller enligt artikel 2.3 inte heller för behandling av personuppgifter som utförs av EU:s institutioner, organ och byråer. Sådan behandling regleras i stället i förordning (EG) nr 45/2001.

6.4Överväganden och förslag

Utredningens förslag: Dataskyddsförordningen och dataskydds- lagen ska i tillämpliga delar gälla även i verksamhet utanför unions- rättens tillämpningsområde och vid Sveriges deltagande i den gemensamma utrikes- och säkerhetspolitiken. Datainspektionen ska utöva tillsyn även över denna personuppgiftsbehandling.

Dataskyddsförordningen ska inte tillämpas på behandling av person- uppgifter som en fysisk person utför som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll (artikel 2.2 c i dataskyddsförordningen). Inte heller ska dataskydds- förordningen tillämpas på behandling av personuppgifter som om- fattas av annan unionsrättslig dataskyddsreglering, dvs. det nya data- skyddsdirektivet eller förordning (EG) nr 45/2001. Det finns emel- lertid behandling av personuppgifter som inte omfattas av någon unionsrättslig dataskyddsreglering överhuvudtaget, nämligen behand- ling som utförs antingen som ett led i en verksamhet som inte omfat- tas av unionsrätten, såsom verksamhet rörande nationell säkerhet, eller i en verksamhet som omfattas av den gemensamma utrikes- och

89

Behandling av personuppgifter utanför dataskyddsförordningens tillämpningsområde

SOU 2017:39

säkerhetspolitiken (dvs. leden a och b i artikel 2.2 i dataskyddsförord- ningen).

6.4.1Vad faller utanför unionsrättens tillämpningsområde?

EU-domstolens tolkning av undantaget i artikel 3.2 första streck- satsen i dataskyddsdirektivet synes innebära att direktivet i vissa fall ska tillämpas trots att behandlingen av personuppgifter utgör ett led i en verksamhet som i andra sammahang skulle anses falla utanför gemenskapsrättens tillämpningsområde. Det går inte att komma till en annan slutsats än att EU-domstolen ansett att dataskyddsdirek- tivet ska ha ett brett tillämpningsområde. Det finns dock fortfarande ett visst utrymme för olika tolkningar av exakt var gränserna går. Frågan är om artikel 2.2 a i dataskyddsförordningen ska tolkas på samma sätt som EU-domstolen tolkat artikel 3.2 första strecksatsen i dataskyddsdirektivet.

Syftet med dataskyddsförordningen är att säkra en enhetlig och hög skyddsnivå för fysiska personer och att undanröja hinder för flödena av personuppgifter inom unionen. Det finns ingenting i data- skyddsförordningen som antyder att unionslagstiftaren har avsett att inskränka det materiella tillämpningsområdet för dataskyddsförord- ningen jämfört med direktivet. Även det förhållandet att reformen syftar till att personuppgiftsbehandlingen inom unionen ska harmo- niseras talar för att undantaget i artikel 2.2 a i dataskyddsförord- ningen inte bör ges en vidare innebörd än motsvarande bestämmelse i dataskyddsdirektivet.

Sedan dataskyddsdirektivet antogs har fördragen ändrats och inne- håller numera en uttrycklig rättslig grund för antagandet av rättsakter till skydd för personuppgifter. Enligt artikel 16 i fördraget om Euro- peiska unionens funktionssätt har EU tilldelats befogenhet att fast- ställa bestämmelser om skydd för enskilda personer när det gäller behandling av personuppgifter i medlemsstaterna, när dessa utövar verksamhet som omfattas av unionsrättens tillämpningsområde, samt om den fria rörligheten för sådana uppgifter. Jämfört med vad som gällde enligt artikel 100a i fördraget om upprättandet av Europeiska gemenskapen har artikel 16 i fördraget om Europeiska unionens funk-

90

SOU 2017:39 Behandling av personuppgifter utanför dataskyddsförordningens tillämpningsområde

tionssätt utvidgat EU:s befogenheter att anta rättsakter för att skydda personuppgifter inom unionen.3

Det faktum att den nya rättsliga grunden för antagandet av unions- rättslig reglering om dataskydd uttryckligen undantar sådan verksam- het som faller utanför unionsrättens tillämpningsområde talar å andra sidan mot att tolka bestämmelsen i artikel 2.2 a i dataskyddsförord- ningen på samma sätt som artikel 3.2 i dataskyddsdirektivet. Därtill kommer att artikel 2.2 i förordningen har en annan utformning än artikel 3.2 i dataskyddsdirektivet. Den exemplifiering som EU-dom- stolen byggt sitt resonemang om vad som faller utanför gemen- skapsrätten på, finns inte i förordningen. Även detta medför att det inte är självklart att bestämmelserna ska tolkas på samma sätt.

Exakt vilka verksamheter som faller utanför unionsrättens tillämp- ningsområde och därmed inte omfattas av förordningens bestäm- melser om behandling av personuppgifter är således oklart, förutom när det gäller sådan verksamhet rörande nationell säkerhet som uttryckligen nämns i skälen. Det är dock enligt vår bedömning rim- ligt att anta att det inom den offentliga sektorn också finns annan verksamhet som på samma sätt som nationell säkerhet kan betraktas som en strikt nationell angelägenhet och därför faller utanför unions- rättens tillämpningsområde även vid en restriktiv tolkning av undan- taget från förordningens tillämpningsområde.

6.4.2Ska förordningens bestämmelser göras gällande utanför deras tillämpningsområde?

Frågan är då om dataskyddsförordningens bestämmelser borde gälla även vid sådan behandling av personuppgifter som enligt artikel 2.2 a och 2.2 b inte omfattas av förordningens tillämpningsområde.

Enligt vår bedömning är det sannolikt bara i den offentliga sektorn som det skulle kunna förekomma verksamhet som faller utanför unionsrättens tillämpningsområde i den mening som avses i arti- kel 2.2 a och där behandling av personuppgifter därmed inte skulle omfattas av dataskyddsförordningens direkt tillämpliga bestämmel- ser. Det är dessutom bara myndigheter och beslutande politiska för-

3 Prop. 2007/08:168 s. 52.

91

Behandling av personuppgifter utanför dataskyddsförordningens tillämpningsområde

SOU 2017:39

samlingar som deltar i den gemensamma utrikes- och säkerhetspoli- tiken, som avses i artikel 2.2 b.

Någon unionsrättslig allmänt gällande princip som innebär att en medlemsstat inte, med stöd av sin nationella kompetens, kan utvidga tillämpningsområdet för en EU-förordning finns inte. Det finns alltså inga formella hinder mot att utvidga tillämpningsområdet för data- skyddsförordningens bestämmelser till att omfatta även sådan per- sonuppgiftsbehandling som faller utanför unionsrättens tillämpnings- område.4

När personuppgiftslagen antogs gjordes den generellt tillämplig. Anledningen till att denna lösning valdes var som ovan angetts bland annat att det ansågs särskilt viktigt med ett starkt integritetsskydd för personuppgifter inom all offentlig verksamhet. Dessa motiv är allt- jämt aktuella.

Sverige har vidare, i enlighet med vad som anges i avsnitt 3.2 och 3.3, genom att anta bland annat Europarådets dataskyddskonvention, gjort vissa internationella åtaganden att skydda enskilda individers personliga integritet. För att säkerställa att det inom varje verksamhet finns ett fullgott skydd anser vi att förordningens bestämmelser om behandling av personuppgifter bör utsträckas till att gälla generellt. Vi anser att detta är ett bättre alternativ än att införa en komplett nationell dataskyddsreglering för verksamhet som inte omfattas av förordningens tillämpningsområde. Det skulle leda till att vissa myn- digheter för sin personuppgiftsbehandling skulle tvingas tillämpa två parallella regelverk, förutom eventuellt förekommande sektorsspeci- fika författningar. Dataskyddsförordningen bör därför, i tillämpliga delar, genom dataskyddslagen utsträckas till att gälla även vid sådan behandling av personuppgifter som enligt artikel 2.2 a och b inte omfattas av dataskyddsförordningens tillämpningsområde.

Det är inte möjligt att i nationell rätt ålägga tillsynsmyndigheter i andra länder att samarbeta med den svenska tillsynsmyndigheten. Det är därför inte möjligt att göra de bestämmelser som ålägger tillsyns- myndigheterna en skyldighet att samarbeta tillämpliga genom en bestämmelse i dataskyddslagen. Inte heller är det i nationell rätt möj- ligt att ge den europeiska dataskyddsstyrelsen behörighet att t.ex. ut- färda riktlinjer och rekommendationer inom det område där EU inte har befogenheter i enlighet med fördragen. Det är inte heller möjligt

4 Jfr prop. 2010/11:80 s. 59 f.

92

SOU 2017:39 Behandling av personuppgifter utanför dataskyddsförordningens tillämpningsområde

att ge kommissionen rätt att anta delegerade akter. Kapitel VII och kapitel X i dataskyddsförordningen kan därför inte göras tillämpliga genom en reglering i dataskyddslagen. Det kan även i övrigt finnas bestämmelser i dataskyddsförordningen som inte kan tillämpas i rent nationell verksamhet. Det får därför i varje enskilt fall göras en bedömning av om förordningens bestämmelser går att tillämpa.

Sverige har inte överlåtit beslutskompetens till EU inom de om- råden där dataskyddsförordningens bestämmelser ska gälla enligt vårt förslag i denna del. Om förordningen ändras bör därför den svenska lagstiftaren ta ställning till om dessa ändringar ska få genomslag även på de områden som är undantagna från förordningens tillämpnings- område. Hänvisningen till förordningen i den nu aktuella bestämmel- sen i dataskyddslagen bör därför vara statisk, dvs. avse den ursprung- liga lydelsen av förordningen.

I avsnitt 5.2.3 har vi föreslagit att dataskyddslagen ska vara sub- sidiär till avvikande bestämmelser i annan lag eller i förordning. Det är således möjligt att genom sektorsspecifik författning göra undantag från den föreslagna bestämmelsen om utsträckt tillämpning av data- skyddsförordningens bestämmelser.5

6.4.3Vem ska utöva tillsyn?

Utredningen om tillsynen över den personliga integriteten har före- slagit att Datainspektionen ska utses till svensk tillsynsmyndighet enligt dataskyddsförordningen och att detta ska regleras i inspek- tionens myndighetsinstruktion.6 Vi utgår i vårt betänkande från att regeringen kommer att besluta i enlighet med det förslaget. Enligt vår bedömning bör en sådan reglering, uttryckligen eller underförstått, medföra att Datainspektionen ska utöva tillsyn även i fråga om efter- levnaden av bestämmelser i nationella författningar som kompletterar dataskyddsförordningen.

Vi föreslår ovan att dataskyddsförordningens bestämmelser i tillämpliga delar ska gälla även i verksamhet utanför unionsrättens tillämpningsområde och vid Sveriges deltagande i den gemensamma utrikes- och säkerhetspolitiken. Det innebär i praktiken att data-

5Jfr 1 kap. 1 § andra stycket lagen (2007:259) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet.

6SOU 2016:65 s. 142 f.

93

Behandling av personuppgifter utanför dataskyddsförordningens tillämpningsområde

SOU 2017:39

skyddsförordningen i dessa delar ska gälla utanför dess egentliga tillämpningsområde. Det är mot denna bakgrund inte självklart att en reglering i myndighetsinstruktionen, som i enlighet med det nämnda förslaget anger att Datainspektionen är tillsynsmyndighet enligt data- skyddsförordningen, även skulle anses omfatta tillsyn över behand- ling av personuppgifter som sker inom det område där förordningen fått utsträckt tillämpningsområde genom dataskyddslagen.

Enligt vår mening bör behandling av personuppgifter utanför dataskyddsförordningens egentliga tillämpningsområde stå under samma tillsyn som sådan behandling som sker med direkt tillämpning av förordningens bestämmelser. Huvudregeln bör vara att det också är samma myndighet som utövar denna tillsyn. Vi föreslår därför att det i förordningen till dataskyddslagen anges att Datainspektionen är tillsynsmyndighet enligt dataskyddslagen. Av tydlighetsskäl bör denna bestämmelse även informera om att Datainspektionen är till- synsmyndighet enligt dataskyddsförordningen. För det fall att reger- ingen, under beredningen av detta betänkande och av SOU 2016:65, skulle finna att regleringen av Datainspektionens tillsynsansvar i stäl- let ska samlas i myndighetsinstruktionen, kan den bestämmelse som vi föreslår i denna del utgå.

94

Förhållandet till yttrande- och informationsfriheten

SOU 2017:39

nödvändigt för att förena rätten till privatlivet med reglerna om ytt- randefriheten.

I 7 § första stycket PUL finns en upplysningsbestämmelse om att bestämmelserna i lagen inte ska tillämpas i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfri- hetsförordningen och yttrandefrihetsgrundlagen. Det innebär bland annat att de grundlagsskyddade rättigheterna att framställa och sprida yttranden samt meddelar- och anskaffarfriheten undantas från till- lämpningsområdet.

I förarbetena gjordes den bedömningen att artikel 9 i direktivet tillåter ett hänsynstagande till bland annat konstitutionella traditioner och principer och att direktivet därför inte lägger hinder i vägen för ett generellt undantag från personuppgiftslagens bestämmelser. Regeringen uppmanade vidare till stor försiktighet vid alla ingripan- den som riktar sig mot företeelser som typiskt sett åtnjuter skydd av grundlagarna. Det ansågs att även ingripanden som inte direkt strider mot någon bestämmelse, men som är oförenliga med grundlagarnas syfte, bör underlåtas.1

Lagrådet avstyrkte bestämmelsen i 7 § första stycket med motive- ringen att det fick anses tveksamt om dåvarande EG-domstolen skulle acceptera att de bestämmelser i direktivet som införlivades genom personuppgiftslagen fick vika i vidare mån än vad som framgick av ordalydelsen i direktivets artikel 9.2

I 7 § andra stycket PUL görs undantag från flertalet av lagens bestämmelser vid personuppgiftsbehandling som inte omfattas av tryckfrihetsförordningen eller yttrandefrihetsgrundlagen men som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande. Undantaget innebär i praktiken att bara de bestäm- melser i lagen som rör tillsyn och säkerhet vid behandling ska tilläm- pas.

Frågan om tolkningen av begreppet journalistiska ändamål har prövats i praxis både nationellt och på EU-nivå. I den så kallade Ramsbro-domen (NJA 2001 s. 409) uttalade Högsta domstolen bland annat att undantaget för journalistiska ändamål utgör ett försök att i mer generella termer ge uttryck för en intresseavvägning mellan intresset av skydd för privatlivet och intresset av yttrandefrihet. Att

1Prop. 1997/98:44 s. 50 f.

2Prop. 1997/98:44 s. 236 f.

96

SOU 2017:39

Förhållandet till yttrande- och informationsfriheten

uttrycket journalistiska ändamål använts kan enligt domstolen under sådana förhållanden inte antas vara i avsikt att privilegiera etablerade massmedier eller personer som är yrkesverksamma inom sådana medier, utan får antas vara avsett att betona vikten av en fri infor- mationsspridning i frågor av betydelse för allmänheten eller för grup- per av människor och en fri debatt i samhällsfrågor. Ramsbro-domen har i doktrinen ansetts visa att en betydande del av det som sker på internet omfattas av undantaget i 7 § andra stycket PUL.3

I domen i det så kallade Satakunnan-målet4 uttalade EU-dom- stolen att de begrepp som hör samman med yttrandefriheten, där- ibland journalistik, måste tolkas vitt. Domstolen fann därför att den verksamhet som företaget Satakunnan bedrev −dvs. att uppgifter om fysiska personers inkomster och förmögenheter samlades in från offentliga källor, sorterades, publicerades i tryck och distribuerades via en sms-tjänst − skulle anses ske uteslutande för journalistiska ändamål om verksamheten endast syftade till att sprida information, åsikter eller idéer till allmänheten. EU-domstolen uttalade vidare att sådan verksamhet inte bara skulle anses förbehållen medieföretag. EU-domstolen överlät dock till den nationella domstolen att avgöra om det i just Satakunnan-fallet var fråga om en verksamhet som endast syftade till att sprida information till allmänheten. Den finska Högsta förvaltningsdomstolen ansåg att så inte var fallet (23.9.2009/ 2303 HFD 2009:82).5

Undantaget för journalistiska ändamål är alltså inte begränsat till journalister eller traditionella massmedier. Även en privatperson kan anses behandla personuppgifter för sådana ändamål, t.ex. på en blogg, förutsatt att uppgifterna inte är av rent privat karaktär.

3Öman och Lindblom, Personuppgiftslagen, (20 december 2016, Zeteo), kommentaren till 7 § PUL. Svahn Starrsjö, Personuppgiftslagen och yttrandefriheten, SvJT 100 år (jubileumsskrift) s. 447.

4Dom Satakunnan Markkinapörssi Oy och Satamedia Oy, C-73/07, EU:C:2008:727.

5Saken är dock fortfarande föremål för prövning, nu i Europadomstolen, Satakunnan Markinnapörsi OY och Satamedia OY v. Finland, nr 931/13, dom den 21 juli 2015, hänskju- ten till Grand Chamber den 14 december 2015.

97

Förhållandet till yttrande- och informationsfriheten

SOU 2017:39

7.3Dataskyddsförordningen

Enligt artikel 85.1 i dataskyddsförordningen ska medlemsstaternas nationella lagstiftning förena rätten till skydd av personuppgifter i enlighet med förordningen med rätten till yttrande- och informa- tionsfrihet, inbegripet personuppgiftsbehandling för journalistiska ändamål samt för akademiskt, konstnärligt eller litterärt skapande. När det gäller behandling för sådana ändamål ska medlemsstaterna enligt artikel 85.2 föreskriva om undantag eller avvikelser från i artikeln angivna delar av förordningens bestämmelser om det behövs för att förena rätten till skydd för personuppgifter med yttrande- och informationsfriheten. Medlemsstaterna ska enligt artikel 85.3 under- rätta kommissionen om de undantagsbestämmelser som de har antagit med stöd av artikel 85.2.

I skäl 153 anges att behandling av personuppgifter endast för journalistiska, akademiska, konstnärliga eller litterära ändamål bör undantas från viss tillämpning för att förena rätten till skydd för per- sonuppgifter med rätten till yttrande- och informationsfrihet som följer av artikel 11 i EU:s stadga om de grundläggande rättigheterna. Av nämnda artikel i stadgan framgår att var och en har rätt till yttrandefrihet, att denna rätt innefattar åsiktsfrihet samt frihet att ta emot och sprida uppgifter och tankar utan offentlig myndighets inblandning och oberoende av territoriella gränser. Artikeln slår också fast att mediernas frihet och mångfald ska respekteras.

I förordningens skäl 153 anges också att medlemsstaterna bör anta lagstiftningsåtgärder som fastställer de olika undantag som behövs för att balansera de två grundläggande rättigheterna, samt att det bör göras en bred tolkning av vad som innefattas i yttrandefriheten.

7.4Våra överväganden och förslag

Utredningens förslag: En upplysningsbestämmelse som tydliggör att bestämmelserna i dataskyddslagen och dataskyddsförordning- en inte ska tillämpas i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihetsför- ordningen eller yttrandefrihetsgrundlagen, ska tas in i dataskydds- lagen.

98

SOU 2017:39

Förhållandet till yttrande- och informationsfriheten

Ett undantag för sådan behandling av personuppgifter som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande ska också införas. Dataskyddsförordning- ens bestämmelser om syfte, tillämpningsområde och definitioner samt bestämmelser om säkerhet för personuppgifter, tillsyn, rätts- medel, ansvar och sanktioner ska dock tillämpas även i dessa fall.

Något om vårt uppdrag

Våra detaljerade tryck- och yttrandefrihetsgrundlagar är unika i jämförelse med hur motsvarande reglering ser ut i övriga Europa. Relationen såväl mellan EU-rätten och de svenska tryck- och ytt- randefrihetsgrundlagarna, som mellan tryck- och yttrandefrihets- grundlagarna och den personliga integriteten, har varit föremål för debatt och en rad utredningar på senare år.6 För en nyligen genom- förd genomgång av EU-rättens förhållande till grundlagsregleringen om tryck- och yttrandefrihet hänvisas till Mediegrundlagskom- mitténs betänkande SOU 2016:58, avsnitt 5.4 och 14.1.

I vår utrednings uppdrag ingår inte att närmare analysera förhål- landet mellan grundlagsskyddet för informations- och yttrande- friheten och rätten till skydd av personuppgifter enligt dataskydds- förordningen. Följaktligen är det inte heller vår uppgift att föreslå bestämmelser som påverkar balansen mellan dessa grundläggande fri- och rättigheter, exempelvis förändrade förutsättningar för jour- nalister, bloggare och innehavare av utgivningsbevis att behandla personuppgifter.

Vårt uppdrag är i stället att analysera hur vi i svensk rätt ska genomföra skyldigheten i förordningens artikel 85 att förena rätten till integritet med yttrande- och informationsfriheten, utan att i sak förändra möjligheterna till behandling av personuppgifter. Uppdraget är begränsat till hur en reglering som balanserar personuppgifts- skyddet mot yttrande- och informationsfriheten utanför tryckfrihets- förordningens och yttrandefrihetsgrundlagens tillämpningsområde

6 Tryck- och yttrandefrihetsberedningen i SOU 2006:96, Yttrandefrihetskommittén i SOU 2012:55 och Mediegrundlagskommittén i SOU 2016:58. Se även Integritet och straff- skydd, SOU 2016:7. Debatt har förts i SvJT på senare tid; se Olle Abrahamsson och Henrik Jermsten i SvJT 2014, s. 201 och 2015, s. 8, Göran Lambertz i SvJT 2014, s. 440 samt Magnus Schmauch i SvJT 2014, s. 520 och 2015, s. 199.

99

Förhållandet till yttrande- och informationsfriheten SOU 2017:39

bör utformas, dvs. en reglering som motsvarar den i 7 § andra stycket PUL.

Utgångspunkter för utredningens överväganden

Som framgår ovan är en utgångspunkt att vi ska undvika att föreslå förändringar i sak när det gäller förutsättningar för personupp- giftsbehandling på det här aktuella området.

Regleringen i förordningen ligger i sak nära den som finns i data- skyddsdirektivet. Förordningens reglering av förhållandet till yttran- de- och informationsfriheten innebär inte några inskränkningar utan ger till sin ordalydelse ett något större utrymme för undantag än direktivet, bland annat på det sättet att det inte längre föreskrivs att behandling ska ske ”uteslutande” för journalistiska ändamål för att undantag ska kunna göras. Undantaget i artikel 85.2 har också fått ett vidare tillämpningsområde genom att akademiskt skapande lagts till. Dessutom uttalas i skäl 153 att begreppet yttrandefrihet ska ges en bred tolkning. I doktrinen har artikel 85 ansetts ge ett relativt stort utrymme för medlemsstaterna att själva välja hur regleringen utfor- mas.7

Mot denna bakgrund är vår bedömning att den reglering vi före- slår kan och bör utformas med den befintliga regleringen i 7 § PUL som förebild.

Behovet av en upplysningsbestämmelse

Som framgår av kommittédirektiven har vi inte i uppdrag att föreslå någon författningsreglering som rör förordningens förhållande till behandling som sker i verksamhet som omfattas av tillämpnings- området för tryckfrihetsförordningen och yttrandefrihetsgrundlagen. Vi anser dock att det är angeläget att dataskyddsförordningens och dataskyddslagens bestämmelser inte ger upphov till osäkerhet kring möjligheterna till personuppgiftsbehandling på det grundlagsregle- rade området, eftersom det kan påverka vitala och mycket känsliga delar av opinionsskapande verksamhet, såsom meddelarfrihet och

7 Wagner och Benecke, National Legislation within the Framework of the GDPR, European Data Protection Law Review 3/2016, s. 356.

100

SOU 2017:39

Förhållandet till yttrande- och informationsfriheten

källskydd. Det faktum att vi nu har att göra med en direkt tillämplig förordning, där överträdelser kan leda till kännbara sanktionsavgifter, gör det än mer angeläget att regleringen av den grundlagsskyddade verksamheten är så tydlig som möjligt när det gäller förhållandet till tryckfrihetsförordningen och yttrandefrihetsgrundlagen.

Den befintliga upplysningsbestämmelsen i 7 § första stycket PUL bedömdes av riksdag och regering som förenlig med dataskydds- direktivets likartade bestämmelser vid införandet av personupp- giftslagen.8 Den har inte varit föremål för domstolsprövning och heller inte ifrågasatts av kommissionen sedan införandet för snart tjugo år sedan. Eftersom förordningen, som nämnts ovan, tycks ge ett ökat utrymme för undantag med hänsyn till yttrande- och infor- mationsfriheten bedömer vi att förordningen inte hindrar att en upp- lysningsbestämmelse motsvarande den i 7 § första stycket PUL införs i dataskyddslagen.

Undantag för journalistiska ändamål m.m.

Ordalydelsen i förordningens artikel 85.2 synes ålägga medlems- staterna att göra vissa undantag från förordningen för behandling som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande. Undantag får dock bara göras om de är nöd- vändiga för att förena rätten till integritet med yttrande- och informa- tionsfriheten. Samma krav på nödvändighet finns i direktivet, och den befintliga bestämmelsen i 7 § andra stycket PUL bedömdes vara nödvändig för att personuppgiftslagens bestämmelser skulle vara för- enliga med yttrande- och informationsfriheten.

Begreppet akademiskt skapande är nytt och definieras inte när- mare i skäl eller artikeltext. Vår bedömning är att det knappast torde vara att likställa med forskning, eftersom forskning är särreglerad på annat sätt i förordningen, exempelvis i artikel 9.2 j och artikel 89. Möjligen skulle behandling i samband med själva färdigställandet och spridningen av texter med vetenskapligt innehåll kunna avses. Inne- börden av begreppet är dock oklar och dess närmare betydelse får utvecklas i praxis.

8 Prop. 1997/98 44 s. 48 f., bet. 1997/98:KU18, rskr.1997/98:180.

101

Förhållandet till yttrande- och informationsfriheten

SOU 2017:39

Undantagsbestämmelsen i 7 § andra stycket PUL har bland annat ansetts tillämplig på journalistisk verksamhet på internet som resul- terar i yttranden som bara sprids där och för kommunikation som inte bedrivs av yrkesverksamma journalister.9 Betydelsen av opinions- bildande genom alternativa kanaler såsom sociala medier, bloggar och liknande har ökat dramatiskt under senare år, vilket innebär att skälen för ett sådant undantag i vart fall inte har minskat. Det ska noteras att viss användning av sociala medier omfattas av det så kallade privat- undantaget, dvs. artikel 2.1 c i dataskyddsförordningen.10

Förordningens artikel 85.2 möjliggör undantag från förordningen i stort sett i samma utsträckning som dataskyddsdirektivet gör. De delar av förordningen som inte räknas upp i artikel 85.2, från vilka undantag alltså inte får göras, är kapitel I om tillämpningsområde och definitioner, kapitel VIII om rättsmedel, ansvar och sanktioner samt kapitel X och XI som innehåller genomförande- och slutbestäm- melser. I linje med de utgångspunkter vi redogjort för ovan menar vi att det är lämpligt att utnyttja möjligheterna till undantag från för- ordningen i väsentligen samma utsträckning som personuppgiftslagen har undantagits i dag. Vi anser därför att undantag från bestämmel- serna i dataskyddslagen och dataskyddsförordningen bör göras så långt förordningen medger, med undantag för de bestämmelser som rör säkerhet för personuppgifter och tillsyn.

Detta innebär enligt vår bedömning att bestämmelserna i förord- ningens kapitel II och III, artiklarna 24–30 och 35–43 och kapitel V i dataskyddsförordningen bör undantas från tillämpning, liksom de delar av dataskyddslagen som har stöd i de bestämmelserna. Kapi- tel IX (bestämmelser om särskilda behandlingssituationer) bedömer vi knappast blir tillämpligt för den behandling som avses här, varför det inte uttryckligen behöver undantas. Detsamma gäller kapitel X (delegerade akter och genomförandeakter) och kapitel XI (slut- bestämmelser).

9Prop. 1997/98:44 s. 52 f. och NJA 2001 s. 409.

10I skäl 18 i dataskyddsförordningen görs vissa uttalanden om privat verksamhet och sociala medier.

102

Rättslig grund för behandling av personuppgifter

SOU 2017:39

a)Den registrerade har lämnat sitt samtycke till att dennes person- uppgifter behandlas för ett eller flera specifika ändamål.

b)Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.

c)Behandlingen är nödvändig för att fullgöra en rättslig förplik- telse som åvilar den personuppgiftsansvarige.

d)Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.

e)Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myn- dighetsutövning.

f)Behandlingen är nödvändig för ändamål som rör den person- uppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.

Artikel 6.1 i dataskyddsförordningen motsvarar i stora drag artikel 7 i dataskyddsdirektivet, som har genomförts i svensk rätt genom 10 § PUL. Den största skillnaden är att det enligt förordningen inte är tillåtet för myndigheter att, när de fullgör sina uppgifter, behandla personuppgifter med stöd av den rättsliga grund som utgår från en avvägning mellan den ansvariges berättigade intressen och den registrerades rättigheter och intressen (jfr 10 § f PUL). Den möj- ligheten kvarstår däremot för privata aktörer som behandlar person- uppgifter. I andra stycket av artikel 6.1 anges nämligen att led f i förs- ta stycket inte ska gälla för behandling som utförs av offentliga myn- digheter när de fullgör sina uppgifter.

Uppräkningen i artikel 6.1 är uttömmande. Om inget av dessa villkor är uppfyllda är behandlingen inte laglig och får därmed inte utföras. De olika villkoren är i viss mån överlappande. Flera rättsliga grunder kan därför vara tillämpliga avseende en och samma behand- ling.

Den omständigheten att behandlingen är laglig enligt artikel 6.1 i dataskyddsförordningen, dvs. att den är rättsligt grundad, innebär

104

SOU 2017:39

Rättslig grund för behandling av personuppgifter

inte att behandling kan ske av vilka uppgifter som helst eller på val- fritt sätt. Den personuppgiftsansvarige måste också uppfylla kraven i övriga bestämmelser i förordningen, t.ex. de allmänna principerna i artikel 5. I artiklarna 7 och 8 anges närmare villkor för tillämp- ningen av artikel 6.1 a, dvs. den rättsliga grund som utgörs av den registrerades samtycke, se avsnitt 9 avseende barns samtycke. När det gäller behandling som avser särskilda kategorier av personuppgifter (känsliga personuppgifter) eller personuppgifter som rör lagöver- trädelser anges ytterligare villkor i artiklarna 9 och 10, utöver dem som anges i artikel 6.1, se närmare avsnitt 10 och 11.

Enligt artikel 6.2 i förordningen får medlemsstaterna behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen med hänsyn till behandling av per- sonuppgifter för att efterleva artiklarna 6.1 c och 6.1 e. Denna typ av mer specifika nationella bestämmelser förekommer ofta i svenska registerförfattningar och kommer framför allt att utgöra en preci- sering av de allmänna principer för behandlingen som anges i artikel 5 i dataskyddsförordningen.

8.2.2Begreppet nödvändig

För att en behandling av personuppgifter ska vara tillåten enligt artikel 6.1 b–f måste den vara nödvändig för att fullgöra, skydda eller utföra den rättsliga grunden. Enligt Svenska Akademiens Ordbok betyder det svenska ordet nödvändig att någonting absolut fordras eller inte kan underlåtas. Det unionsrättsliga begreppet har dock inte riktigt denna strikta innebörd. Nödvändighetsrekvisitet i artikel 7 i dataskyddsdirektivet har inte ansetts utgöra ett krav på att det ska vara omöjligt att fullgöra förpliktelsen eller utföra uppgiften utan att behandlingsåtgärden vidtas.2 Den slutsatsen får stöd av EU-dom- stolens dom i målet Huber mot Tyskland, som rörde tolkningen av motsvarande nödvändighetsrekvisit i artikel 7 e i direktivet.3 EU- domstolen uttalade att en myndighets förande av ett centralt register över uppgifter som redan fanns i regionala register är nödvändigt om det bidrar till att effektivisera tillämpningen av relevanta bestämmel-

2SOU 1997:39 s. 361 f.

3Dom Huber mot Tyskland, C-524/06, EU:C:2008:724.

105

Rättslig grund för behandling av personuppgifter

SOU 2017:39

ser. Domen bör kunna utgöra stöd även vid tolkningen av den nya förordningen. Även om exempelvis en uppgift av allmänt intresse skulle kunna utföras utan att personuppgifter behandlas på visst sätt, kan behandlingen anses vara nödvändig och därmed tillåten enligt artikel 6, om behandlingen leder till effektivitetsvinster. Det bör noteras att rekvisitet nödvändig inte ska förväxlas med rekvisitet absolut nödvändig, som används i andra sammanhang än rörande rättslig grund, se avsnitt 10.6.2.

8.2.3Förhållandet mellan artiklarna 5 och 6 i dataskyddsförordningen

Utöver det grundläggande kravet på att all behandling måste vara laglig, i betydelsen att någon av de rättsliga grunder som anges i artikel 6.1 i dataskyddsförordningen är uppfylld, omgärdas varje behandling av personuppgifter av mer specifika krav. Principerna för behandling av personuppgifter, dvs. vilka allmänna krav som gäller för all personuppgiftsbehandling, anges i artikel 5.1 i dataskyddsförord- ningen. Artikel 5.1 i dataskyddsförordningen motsvarar i stora drag artikel 6 i dataskyddsdirektivet, som har genomförts i svensk rätt genom 9 § PUL.

Den första principen som läggs fast i artikel 5.1 (led a) är att personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. Principen om laglighet utgör en hänvisning till de rättsliga grunderna i artikel 6.1. Såvitt avser prin- cipen om korrekthet kan det vid en jämförelse med andra språk- versioner ifrågasättas om den svenska termen korrekt motsvarar avsikten med bestämmelsen. I den danska språkversionen anges i stället att uppgifterna ska behandlas rimeligt. På motsvarande sätt används i den engelska språkversionen termen fairly, vilket betyder rättvist, skäligt eller rimligt. I den franska språkversionen används termen loyale, vilken har motsvarande betydelse som engelskans fairly. I den tyska språkversionen används uttrycket Treu und Glauben, vilket brukar översättas med god tro eller tro och heder. Alla dessa termer indikerar enligt vår mening, tydligare än den svens- ka termen korrekt, att en intresseavvägning ska göras. I det enskilda fallet kan det således till exempel vara oförenligt med principen om ”korrekthet” att vidta en viss behandlingsåtgärd, även om denna i och

106

SOU 2017:39

Rättslig grund för behandling av personuppgifter

för sig skulle kunna anses vara rättsligt grundad enligt artikel 6, näm- ligen om behandlingen är oskälig i förhållande till den registrerade.

I artikel 5.1 anges vidare att personuppgifterna ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och att de inte senare får behandlas på ett sätt som är oförenligt med dessa ändamål (led b). Principen om att ändamålen ska vara berättigade utgör i likhet med principen om laglighet en direkt koppling till de rättsliga grun- derna i artikel 6.1. Ett ändamål som inte är berättigat i förhållande till den tillämpliga rättsliga grunden är således inte förenligt med artikel 5. Kravet på att ändamålen ska vara berättigade går dock längre än så och omfattar även ett krav på förenlighet med till exempel kon- stitutionella och andra rättsliga principer. Vidare kan även det all- männa sammanhanget och omständigheterna i det aktuella ärendet vara av betydelse för bedömningen av om ändamålen är berättigade.4 Ett tydligt angivet ändamål är för övrigt som regel en förutsättning för att man ska kunna bedöma om en viss behandling är laglig, dvs. om den är nödvändig i något av de sammanhang som räknas upp i artikel 6.1 b–f.

Kopplingen mellan den rättsliga grunden och kravet på särskilda, uttryckligt angivna och berättigade ändamål förstärks genom data- skyddsförordningen, där det i artikel 6.3 andra stycket anges att syftet med behandlingen (the purpose of the processing) i fråga om behandling som grundar sig på en rättslig förpliktelse ska framgå av förpliktelsen. Vad gäller myndighetsutövning och uppgifter av all- mänt intresse anges i stället att ändamålet med behandlingen ska vara nödvändigt för att utföra uppgiften eller myndighetsutövningen.

Vidare ska uppgifterna enligt artikel 5.1 bland annat vara adekvata och korrekta (accurate) och får inte förvaras under en längre tid än vad som är nödvändigt (leden c, d och e). Uppgifterna måste också behandlas på ett sätt som säkerställer lämplig säkerhet (led f).

Förordningen ställer inte något krav på att de särskilda ändamålen ska vara fastställda i författning, men det finns heller ingenting som hindrar att detta görs, förutsatt att bestämmelserna uppfyller ett mål av allmänt intresse och är proportionella mot det legitima mål som eftersträvas (artikel 6.3 andra stycket). Oavsett om ändamålen fast- ställts i författning eller inte är det dock alltid den personuppgifts-

4 Artikel 29-gruppens yttrande 3/2013 om ändamålsbegränsning, s. 11–12 och 19–20.

107

Rättslig grund för behandling av personuppgifter

SOU 2017:39

ansvarige som ansvarar för, och ska kunna visa att, principerna i arti- kel 5 efterlevs (artikel 5.2).

Artiklarna 5 och 6 i dataskyddsförordningen är grundläggande och kumulativa. Dels måste någon av de rättsliga grunder som anges i artikel 6.1 vara tillämplig, dels måste samtliga principer i artikel 5.1 följas. Det är endast om någon av de rättsliga grunder som anges i artikel 6.1 är tillämplig som behandling av personuppgifter över huvud taget får ske. Om behandlingen är laglig enligt artikel 6 ska kraven i artikel 5 uppfyllas. I det följande behandlas enbart artikel 6.

8.3Överväganden och förslag

8.3.1Grunden för behandlingen ska i vissa fall vara fastställd

Utredningens bedömning: Artikel 6.1 c och e i dataskyddsför- ordningen är direkt tillämpliga. Kravet i artikel 6.3 första stycket på att grunden för behandlingen ska vara fastställd i enlighet med unionsrätten eller den nationella rätten utgör ett ytterligare villkor för tillämpning som ska vara uppfyllt. Med grunden för behand- lingen avses den rättsliga förpliktelsen, uppgiften av allmänt intresse respektive myndighetsutövningen. Som en följd av den svenska arbetsmarknadsmodellen kan rättsliga förpliktelser och uppgifter av allmänt intresse vara fastställda genom kollektivavtal.

108

SOU 2017:39

Rättslig grund för behandling av personuppgifter

Vad är grunden för behandlingen?

I artikel 6.3 i dataskyddsförordningen första stycket anges att den grund för behandlingen som avses i punkt 1 c och e ska fastställas i enlighet med a) unionsrätten, eller b) en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av.5

Det står klart att den grund för behandlingen som avses i arti- kel 6.1 a är samtycket och att avtalet är den grund för behandlingen som avses i led b. På motsvarande sätt måste uttrycket ”den grund för behandlingen som avses i punkt 1 c och e” avse den rättsliga förplik- telsen respektive uppgiften av allmänt intresse eller rätten att utöva myndighet. Denna tolkning överensstämmer med Europeiska datatillsynsmannens förslag till förtydligande av bestämmelsen. Han har, bland annat i ett yttrande den 28 juli 2015, rekommenderat att uttrycket The basis for the processing referred to in point (c) and (e) of paragraph 1 skulle ersättas med The legal obligation, task, or official authority referred to in points (c) and (e) of paragraph 1.6

Med grunden för behandlingen kan enligt vår mening inte avses behandlingen i sig. Om själva behandlingen ska fastställas skulle näm- ligen t.ex. myndighetsutövning inte kunna ske och uppgifter av all- mänt intresse inte kunna utföras, om det inte utöver den lag som fastställer befogenheten också uttryckligen reglerades att behandling av personuppgifter får ske. En sådan tolkning av begreppet grunden för behandlingen skulle leda till ett närmast oöverskådligt reglerings- behov, inte minst i de många medlemsstater som inte har den tradi- tion av sektorspecifika registerförfattningar som Sverige har. Detta kan rimligen inte ha varit avsikten, i synnerhet med tanke på data- skyddsreformens harmoniseringssyfte. Det bör också noteras att det i artikel 6.3 inte anges att ”behandlingen” ska fastställas, utan att grun- den för behandlingen ska fastställas.

5I den engelska versionen av artikel 6.3 första stycket i dataskyddsförordningen anges föl- jande. The basis for the processing referred to in point (c) and (e) of paragraph 1 shall be laid down by: (a) Union law; or (b) Member State law to which the controller is subject. I den franska versionen anges följande. Le fondement du traitement visé au paragraphe 1, point c) et e), est défini par: a) le droit de l'Union; ou b) le droit de l'État membre auquel le responsable du traitement est soumis. I kommissionens ursprungliga förslag angavs att grunden för behand- lingen must be provided for, i stället för shall be laid down by. Europaparlamentet drev länge ståndpunkten att detta borde bytas ut mot must be established in accordance with. Under tre- partsdialogen enades parterna om att använda uttrycket shall be laid down by (rådets doku- ment nr 13884/15, s. 2). Det anslutande skäl 45 kompletterades därefter på ordförande- skapets initiativ (rådets dokument 14318/15 s. 5).

6Bilaga till Europeiska datatillsynsmannens yttrande 3/2015 s. 31.

109

Rättslig grund för behandling av personuppgifter

SOU 2017:39

EU-förordningar är direkt tillämpliga i medlemsstaterna och ska till skillnad från direktiv inte genomföras genom nationella författ- ningsåtgärder. Att grunden för behandlingen ska fastställas kan där- för inte heller innebära att de villkor som anges i artikel 6.1 c och e ska upprepas i nationell rätt.

Ett av syftena bakom kravet på fastställande i artikel 6.3 första stycket i dataskyddsförordningen har antagits vara att tydliggöra att den personuppgiftsansvarige inte får finna en rättslig grund för be- handling av personuppgifter i tredje lands lagstiftning.7 Bestämmelsen innebär nämligen att en rättslig förpliktelse som följer av tredje lands lagstiftning inte utgör en rättslig grund för behandling av person- uppgifter, även om behandlingen är nödvändig för att uppfylla för- pliktelsen. På motsvarande sätt utgör det ingen rättslig grund för behandling av personuppgifter att en uppgift av allmänt intresse är fastställd i tredje lands lagstiftning.

Begränsningen till unionsrätten och medlemsstaternas nationella rätt torde främst vara av relevans för dels de personuppgiftsansvariga som har verksamhetsställen både inom och utom unionen, dels de som inte är etablerade i unionen men som har anledning att behandla personuppgifter avseende registrerade som befinner sig i unionen (artikel 3). Skälet till att det uttryckligen hänvisas till unionsrätten och medlemsstaternas nationella rätt kan förmodas vara att förord- ningens territoriella tillämpningsområde är vidare än det som gäller enligt dataskyddsdirektivets ordalydelse. Direktivet gäller nämligen inte för behandling av personuppgifter när den personuppgiftsansva- rige inte är etablerad inom unionen, annat än om denne använder utrustning som befinner sig inom unionens territorium. Direktivet gäller inte heller om sådan utrustning används endast för att låta uppgifter passera genom gemenskapen (artikel 4.1 c). Några sådana begränsningar avseende tillämpningsområdet finns inte i dataskydds- förordningen, som i stället gäller all behandling som avser registrerade som befinner sig i unionen, om behandlingen har anknytning till utbjudande av varor eller tjänster till sådana registrerade i unionen eller övervakning av deras beteende så länge beteendet sker inom unionen (artikel 3.2).

7 D-post: BRYR/2016-05-01/1503.

110

SOU 2017:39

Rättslig grund för behandling av personuppgifter

Vad menas med att grunden ska vara fastställd?

Artikel 6.3 första stycket i dataskyddsförordningen innehåller ett uttryckligt krav på att grunden för behandlingen ska vara fastställd i enlighet med unionsrätten eller den nationella rätten. Något motsva- rande krav finns inte i dataskyddsdirektivet. Det är därför möjligt att med stöd av 10 § d PUL utföra behandling av personuppgifter som är nödvändig för att utföra en arbetsuppgift av allmänt intresse, även om uppgiften inte är fastställd i författning eller liknande. Viss ledning för förståelsen av artikel 6.3 kan möjligen hämtas från förordningens ingress. I skäl 45 anges bland annat att dataskyddsförordningen inte medför något krav på en särskild lag för varje enskild behandling, utan att det kan räcka med en lag som grund för flera behandlingar som bygger på en rättslig förpliktelse som åvilar den personupp- giftsansvarige eller om behandlingen krävs för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning.

I skäl 47 anges bland annat följande, apropå att den rättsliga grund som bygger på en intresseavvägning (artikel 6.1 f) inte är tillämplig för myndigheter när de fullgör sina uppgifter.

Med tanke på att det är lagstiftarens sak att genom lagstiftning tillhanda- hålla den rättsliga grunden för de offentliga myndigheternas behandling av personuppgifter, bör den rättsliga grunden inte gälla den behandling de utför som ett led i fullgörandet av sina uppgifter.

Enligt vår bedömning innebär kravet på att grunden för behandlingen ska fastställas inte att det krävs en särskild reglering med anledning av dataskyddsförordningens ikraftträdande. Förekomsten av reglering avgör dock i vilken utsträckning personuppgiftsansvariga kan åberopa de rättsliga grunder som avses i leden c och e. Kravet på att grunden för behandlingen ska vara fastställd i enlighet med unionsrätten eller den nationella rätten utgör således ett villkor som måste vara uppfyllt för att bestämmelserna i artikel 6.1 c och e ska vara tillämpliga. För- pliktelser, uppgifter av allmänt intresse och myndighetsutövning som inte är rättsligt förankrade i enlighet med unionsrätten eller med- lemsstatens nationella rätt kan därmed inte åberopas som rättsliga grunder för behandling av personuppgifter.

Innebörden av artikel 6.1 c är därmed att behandling av person- uppgifter är laglig om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som är fastställd i enlighet med unionsrätten eller den nationella rätten och som åvilar den personuppgiftsansvarige. På

111

Rättslig grund för behandling av personuppgifter

SOU 2017:39

motsvarande sätt är innebörden av artikel 6.1 e att behandling av personuppgifter är laglig om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som är fastställd i enlighet med unionsrätten eller den nationella rätten eller om behandlingen är nödvändig som ett led i den personuppgiftsansvariges myndighets- utövning som är fastställd i enlighet med unionsrätten eller den nationella rätten.

Vilket slags reglering avses?

Grunden för behandlingen ska enligt artikel 6.3 första stycket i data- skyddsförordningen fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige om- fattas av. Med detta avses inte att den rättsliga grunden nödvändigt- vis måste fastställas i eller i enlighet med en av riksdagen beslutad lag. Däremot måste grunden vara fastställd i laga ordning, på ett konstitutionellt korrekt sätt. Av skäl 41 till förordningen framgår att den rättsliga grunden bör vara tydlig och precis och dess tillämpning förutsägbar för dem som omfattas av den, i enlighet med rättspraxis vid Europeiska unionens domstol och Europeiska domstolen för de mänskliga rättigheterna. Huruvida de rättsliga förpliktelser, de upp- gifter av allmänt intresse och den myndighetsutövning som har fast- ställts i enlighet med svensk rätt är tillräckligt precisa måste bedömas från fall till fall i rättstillämpningen.

Kollektivavtal

Den svenska arbetsmarknadsmodellen innebär att arbetsmarknadens parter i stor utsträckning reglerar arbets- och anställningsvillkor genom kollektivavtal. Kollektivavtalen innehåller en rad bestäm- melser som arbetsmarknadens parter och medlemmarna i de avtals- slutande organisationerna är skyldiga att följa, t.ex. om föräldratillägg, semesterlön, övertidsersättning och ersättning för läkarbesök och läkemedel. Överträdelser av bestämmelserna kan föranleda skade- ståndsansvar. Avtalen har även betydelse för tredje man eftersom de ska tillämpas på samma sätt i förhållande till alla arbetstagare och således även i förhållande till oorganiserade arbetstagare och arbets-

112

SOU 2017:39

Rättslig grund för behandling av personuppgifter

tagare som är medlemmar i en annan arbetstagarorganisation än den som avtalet slutits med.

Reglering i kollektivavtal har i Europadomstolens praxis ansetts i sig förenlig med kravet enligt Europakonventionen att åtgärder med rättighetsbegränsande effekter ska ha stöd i lag. En bedömning får ske i det enskilda fallet med beaktande av de krav på bland annat proportionalitet som gäller vid lagstiftning eller andra åtgärder som inskränker enskildas rättigheter enligt Europakonventionen.8 Denna praxis talar för att samma princip bör gälla vid tillämpningen av EU- lagstiftning som rör fri- och rättigheter, såsom dataskyddsförord- ningen. Grunden för behandlingen av personuppgifter, även avseende oorganiserade arbetstagare, bör därför i princip kunna anses vara fastställd i enlighet med svensk rätt om den fastställts genom kollek- tivavtal.

8.3.2Behandling för att uppfylla en rättslig förpliktelse

Utredningens förslag: Det ska tydliggöras att personuppgifter får behandlas om behandlingen är nödvändig för att den person- uppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse som gäller enligt lag eller annan författning eller som följer av kollek- tivavtal eller av beslut som har meddelats med stöd av lag eller annan författning.

Begreppet rättslig förpliktelse

Bestämmelsen i artikel 6.1 c i dataskyddsförordningen är i sak lika- lydande med artikel 7 c i dataskyddsdirektivet – personuppgifter får behandlas om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Begreppet rätts- lig förpliktelse i de båda rättsakterna bör tolkas och tillämpas på samma sätt.

För att en skyldighet ska utgöra en ”rättslig” förpliktelse måste den ha en legal grund. Detta följer både av begreppet i sig och av kra-

8 Jfr Europadomstolens dom i målet Evaldsson mot Sverige, nr 75252/01, dom den 13 februari 2007.

113

Rättslig grund för behandling av personuppgifter

SOU 2017:39

vet i artikel 6.3 första stycket i dataskyddsförordningen om att grunden för behandlingen ska fastställas i enlighet med unionsrätten eller den nationella rätten. Detta innebär inte att förpliktelsen nödvändigtvis måste framgå av en författning eller liknande. Rättsliga förpliktelser kan också framgå av exempelvis förelägganden, myndig- hetsbeslut och domar som har meddelats med stöd av gällande rätt.

Rent språkligt omfattar begreppet rättslig förpliktelse även sådana skyldigheter som har lagts fast i någon annan av rättsordningen erkänd ordning, t.ex. i ett avtal. Som en följd av den svenska arbets- marknadsmodellen kan således rättsliga förpliktelser följa av kol- lektivavtal, se avsnitt 8.3.1. Förpliktelser som följer av avtal där den registrerade själv är part utgör däremot en separat rättslig grund för personuppgiftsbehandling enligt både dataskyddsdirektivet och dataskyddsförordningen, nämligen led b i respektive artikel. De rätts- liga förpliktelser som avses i led c bör därmed vara av ett annat slag. I första hand leds tanken till offentligrättsliga förpliktelser. Det finns dock även i civilrättsliga författningar bestämmelser som i sig utgör eller kan medföra rättsliga skyldigheter, t.ex. inom arbetsrätten.9

Syftet med behandlingen ska framgå av förpliktelsen

Enligt artikel 6.3 andra stycket första meningen i dataskyddsför- ordningen ska syftet med behandlingen (the purpose of the processing) fastställas i (be determined in) den rättsliga grunden. Den rättsliga grunden i fråga om behandling enligt punkt 1 c är, som framgår ovan, en rättslig förpliktelse som är fastställd i enlighet med unionsrätten eller den nationella rätten. Vad gäller behandling som är nödvändig för att uppfylla en sådan rättslig förpliktelse ska alltså syftet med behandlingen vara bestämd av den författning som anger eller ger stöd för förpliktelsen. En rättslig förpliktelse utgör därmed inte en rättslig grund för behandling av personuppgifter om förpliktelsen är alltför svepande och ger den personuppgiftsansvarige en alltför stor handlingsfrihet i fråga om hur den ska uppfyllas. Som exempel kan nämnas att ett företags skyldighet att lämna uppgift om företagets lönekostnader inte innehåller något angivet syfte för behandling av personuppgifter i form av utlämnande, medan en skyldighet att lämna

9 SOU 1997:39 s. 363.

114

SOU 2017:39

Rättslig grund för behandling av personuppgifter

uppgifter om företagets löneutbetalning till en angiven arbetstagare innehåller ett sådant syfte. Den senare förpliktelsen kan i praktiken inte uppfyllas utan att personuppgifter rörande den angivna arbets- tagaren behandlas.

Detta krav är i sig ingen nyhet, men framgår inte uttryckligen av dataskyddsdirektivet. Artikel 29-gruppen har i ett yttrande avseende begreppet rättslig förpliktelse i artikel 7 c i dataskyddsdirektivet anfört att den bestämmelse som förpliktelsen grundas på ska inne- hålla en uttrycklig hänvisning till arten av och syftet med behand- lingen. Artikel 29-gruppen anför följande.10

Dessutom måste den rättsliga förpliktelsen i sig vara tillräckligt tydlig när det gäller den behandling av personuppgifter som krävs. Artikel 7 c kan således tillämpas på grundval av rättsliga bestämmelser som inne- håller en uttrycklig hänvisning till arten av och syftet med behand- lingen. De registeransvariga bör inte ges en alltför stor handlingsfrihet i fråga om hur de ska uppfylla den rättsliga förpliktelsen.

I vissa fall anger lagstiftningen kanske bara ett allmänt mål, medan mer specifika förpliktelser införs på en annan nivå, till exempel antingen genom sekundärlagstiftning eller genom ett bindande beslut av en offentlig myndighet i ett konkret fall. Detta kan också leda till rättsliga förpliktelser enligt artikel 7 c, förutsatt att arten och syftet med behand- lingen är väl definierade och omfattas av en lämplig rättslig grund.

Hur fastställs rättsliga förpliktelser i enlighet med gällande rätt?

I Sverige följer det av grundlag att den offentliga makten utövas under lagarna (1 kap. 1 § tredje stycket regeringsformen). Offentlig- rättsliga förelägganden och beslut som medför förpliktelser för mot- tagaren ska därför ha sin grund i en författning. Förpliktelser som har en generell räckvidd, och alltså inte riktas mot en specifik mottagare, ska också regleras i författning. Detta gäller både offentligrättsliga och civilrättsliga åligganden. Som tidigare har nämnts bör däremot civilrättsliga förpliktelser som följer av avtal där den registrerade själv är part i stället bedömas i enlighet med den särskilda rättsliga grunden i artikel 6.1 b i dataskyddsförordningen.

Som en följd av den svenska arbetsmarknadsmodellen kan rätts- liga förpliktelser även anges i kollektivavtal. Sådana avtal omfattas

10 Artikel 29-gruppens yttrande 6/2014 om begreppet den registeransvariges berättigade intres- sen enligt artikel 7 i direktiv 95/46/EG, s. 21.

115

Rättslig grund för behandling av personuppgifter

SOU 2017:39

inte av artikel 6.1 b, eftersom den registrerade inte själv är part. Förpliktelser som följer av kollektivavtal måste däremot enligt vår bedömning anses vara fastställda i enlighet med svensk rätt.

Enligt 8 kap. 2 § regeringsformen ska föreskrifter meddelas genom lag bland annat om de avser

1.enskildas personliga ställning och deras personliga och ekono- miska förhållanden inbördes,

2.förhållandet mellan enskilda och det allmänna under förutsätt- ning att föreskrifterna gäller skyldigheter för enskilda eller i öv- rigt avser ingrepp i enskildas personliga eller ekonomiska förhål- landen, eller

3.grunderna för kommunernas organisation och verksamhetsfor- mer och för den kommunala beskattningen samt kommunernas befogenheter i övrigt och deras åligganden.

Enligt 8 kap. 3 § regeringsformen kan riksdagen, med vissa undan- tag, bemyndiga regeringen att meddela föreskrifter enligt 2 § första stycket 2 och 3. Om riksdagen bemyndigar regeringen att meddela föreskrifter i ett visst ämne, kan riksdagen också medge att reger- ingen bemyndigar en förvaltningsmyndighet eller en kommun att meddela föreskrifter i ämnet. Detta framgår av 8 kap. 10 § reger- ingsformen. Enligt 8 kap. 9 § regeringsformen kan riksdagen även bemyndiga en kommun att meddela föreskrifter enligt 2 § första stycket 2, om föreskrifterna avser t.ex. avgifter.

Det står således klart att rättsliga förpliktelser som åligger enskilda eller kommuner alltid ska ha sin grund i lag eller i kollektivavtal. För- pliktelser kan regleras direkt i lag eller i föreskrifter som meddelats med stöd av lag. Förpliktelser kan också anges i domar eller myn- dighetsbeslut som meddelats med stöd av lag eller med stöd av före- skrifter som i sin tur meddelats med stöd av lag.

På samma sätt har unionsrättsliga förpliktelser stöd i svensk lag, t.ex. förpliktelser som följer av direkt tillämpliga EU-förordningar eller som meddelas med stöd av sådana förordningar. Enligt lagen (1994:1500) med anledning av Sveriges anslutning till Europe- iska unionen gäller nämligen EU-rättsakter här i landet med den ver- kan som följer av EU-fördragen.

Även domstolar och statliga myndigheter kan, vid sidan av sina uppgifter och uppdrag, sägas ha rättsliga förpliktelser. Det finns

116

SOU 2017:39

Rättslig grund för behandling av personuppgifter

ingenting i artikel 6.1 c i dataskyddsförordningen som begränsar tillämpningen till den privata sektorn. Datainspektionen har t.ex. an- sett att den skyldighet för myndigheter som följer av offentlig- hetsprincipen är en sådan rättslig skyldighet som avses i motsvarande bestämmelse i personuppgiftslagen.11 Domstolar och myndigheter har också andra författningsreglerade förpliktelser som i sig kräver personuppgiftsbehandling, exempelvis när det gäller personaladmi- nistration. Däremot har Datainspektionen ansett att innehållet i en myndighets arbetsordning normalt inte kan grunda en rättslig skyl- dighet att behandla personuppgifter.12

Enligt 1 kap. 6 § regeringsformen är det regeringen som styr riket. Under regeringen lyder Justitiekanslern och andra statliga förvalt- ningsmyndigheter som inte är myndigheter under riksdagen (12 kap. 1 § regeringsformen). Regeringen styr dessa myndigheter genom regeringsbeslut och genom att med stöd av restkompetensen (8 kap. 7 § första stycket 2 regeringsformen) meddela föreskrifter. En myn- dighets uppdrag enligt myndighetsinstruktionen eller reglerings- brevet kan i vissa fall utgöra en i enlighet med nationell rätt (reger- ingsformen) fastställd rättslig förpliktelse i dataskyddsförordningens mening, t.ex. om myndigheten ges i uppdrag att föra ett visst per- sonuppgiftsregister. I normalfallet torde dock myndighetens uppdrag i första hand utgöra en rättslig grund för behandling av personupp- gifter med stöd av artikel 6.1 e i dataskyddsförordningen, dvs. på grundval av att uppdraget avser en uppgift av allmänt intresse, se avsnitt 8.3.4.

Vår bedömning

Sammanfattningsvis bedömer vi att de rättsliga förpliktelser som krä- ver personuppgiftsbehandling, utan att någon annan rättslig grund är tillämplig, redan framgår av eller meddelas med stöd av gällande rätt. Det behövs därmed inte någon ytterligare nationell reglering på gene- rell nivå för att sådan behandling av personuppgifter som är nöd- vändig för att uppfylla en rättslig förpliktelse ska kunna ske med stöd

11Datainspektionens rapport 2005:3, Övervakning i arbetslivet – Kontroll av de anställdas Internet- och e-postanvändning m.m., s. 15.

12Öman och Lindblom, Personuppgiftslagen, (20 december 2016, Zeteo), kommentaren till

10§ b PUL.

117

Rättslig grund för behandling av personuppgifter

SOU 2017:39

av den rättsliga grunden i artikel 6.1 c i dataskyddsförordningen. Detta gäller oavsett om den personuppgiftsansvarige är en myndighet eller ett privaträttsligt organ.

Det kan dock finnas anledning att ta in en bestämmelse i data- skyddslagen som tydliggör att en förpliktelse utgör en rättslig grund för behandling av personuppgifter endast om förpliktelsen gäller enligt lag eller annan författning eller följer av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning. Detta är enligt skäl 8 till dataskyddsförordningen förenligt med unionsrätten, även om åtgärden kan sägas utgöra ett införlivande av en direkt tillämplig förordningsbestämmelse.

För att en förpliktelse ska kunna läggas till grund för behandling av personuppgifter måste den givetvis vara rättsligt förankrad och giltig. Den måste alltså ha meddelats i laga ordning. Den föreslagna formuleringen ”gäller enligt lag” omfattar även förpliktelser som föl- jer av direkt tillämpliga unionsrättsakter, eftersom lagen med anled- ning av Sveriges anslutning till Europeiska unionen anger att unions- rättsakter gäller här i landet med den verkan som följer av fördragen.

Det bör noteras att bestämmelsen i artikel 6.3 andra stycket första meningen i dataskyddsförordningen anger att syftet med behand- lingen ska fastställas i den rättsliga grunden. Även denna bestämmelse är direkt tillämplig och kan möjligen begränsa tillämpningsområdet för artikel 6.1 c, jämfört med hur 10 § b PUL har tillämpats. Kravet torde enligt vår bedömning innebära att en förpliktelse inte kan läggas till grund för behandling av personuppgifter om syftet med behand- lingen inte framgår av den författning som förpliktelsen grundas på och inte heller, i förekommande fall, kan utläsas av det beslut som anger förpliktelsen. Hur bestämmelsen ska tolkas och tillämpas i praktiken är dock i dagsläget oklart. Den närmare innebörden bör enligt vår uppfattning klargöras i rättspraxis.

118

SOU 2017:39

Rättslig grund för behandling av personuppgifter

8.3.3Behandling som ett led i myndighetsutövning

Utredningens förslag: Det ska tydliggöras att personuppgifter får behandlas om behandlingen är nödvändig som ett led i myn- dighetsutövning som den personuppgiftsansvarige utövar enligt lag eller annan författning.

Begreppet myndighetsutövning

Enligt artikel 6.1 e i dataskyddsförordningen får personuppgifter behandlas bland annat om behandlingen är nödvändig som ett led i den personuppgiftsansvariges myndighetsutövning. Enligt data- skyddsdirektivet ska även behandling som är nödvändig som ett led i myndighetsutövning som utförs av en tredje man till vilken upp- gifterna har lämnats ut tillåtas, men denna rättsliga grund nämns inte i dataskyddsförordningen. Av skäl 45 till dataskyddsförordningen framgår att det på unionsnivå eller nationellt bör regleras om en per- sonuppgiftsansvarig som utför myndighetsutövning ska vara en myn- dighet eller någon annan som omfattas av offentligrättslig lagstiftning eller om denne kan vara en fysisk eller juridisk person som lyder under civilrättslig lagstiftning, t.ex. en yrkesorganisation.

Datalagskommittén bedömde att begreppet myndighetsutövning har en EG-gemensam innebörd, men att man till dess annat fram- kommer bör kunna utgå från att det som i Sverige brukar anses som myndighetsutövning faller under begreppet.13 Vi instämmer i denna bedömning. Termen används flitigt i svenska författningar, även i grundlag, men saknar legaldefinition. Begreppet som sådant har kriti- serats, bland annat av Förvaltningslagsutredningen.14 I förarbetena till den äldre förvaltningslagen (1971:290) finns dock en beskrivning av begreppets innebörd som fortfarande ofta citeras.15

Myndighetsutövning mot enskilda karaktäriseras av beslut eller andra ensidiga åtgärder som ytterst är uttryck för samhällets makt- befogenheter i förhållande till medborgarna. Befogenheten till myn- dighetsutövning måste alltså vara grundad på lag eller annan författ- ning eller på annat sätt kunna härledas ur bemyndiganden från de

13SOU 1997:39 s. 365.

14SOU 2010:29 s. 99 f.

15Prop. 1971:30 s. 331 f.

119

Rättslig grund för behandling av personuppgifter

SOU 2017:39

högsta statsorganen. Myndighetsutövning kan både medföra förplik- telser för enskilda och mynna ut i gynnande beslut. Myndighetsutöv- ning kan också ske i förhållandet mellan myndigheter, t.ex. när en myndighet har tillsyn över en annan myndighets verksamhet. Utan- för begreppet myndighetsutövning faller däremot råd, upplysningar och andra inte bindande uttalanden samt sådan faktisk verksamhet som inte innebär tvång mot den enskilde (t.ex. undervisning). Gräns- dragningen mellan offentligrättsliga och privaträttsliga regler är också av stor vikt när det gäller att bestämma begreppet myndighetsutöv- ning.16

Av naturliga skäl är det i första hand statliga och kommunala myn- digheter som ägnar sig åt myndighetsutövning. Även juridiska och fysiska personer kan dock med stöd av lag anförtros förvaltnings- uppgifter som innefattar myndighetsutövning (12 kap. 4 § reger- ingsformen). Denna möjlighet har bland annat utnyttjats vad gäller betygssättning m.m. i fristående skolverksamhet och fordonsbesikt- ning som utförs av privaträttsliga besiktningsorgan.

Ändamålet med behandlingen måste vara nödvändigt

Enligt artikel 6.3 andra stycket första meningen i dataskyddsförord- ningen ska syftet med behandlingen (the purpose of the processing), i fråga om behandling enligt punkt 1 e, vara nödvändigt som ett led i den personuppgiftsansvariges myndighetsutövning. Ändamålet behö- ver således inte framgå av det sammanhang där den myndighets- utövande befogenheten fastställs. Ändamålet med behandlingen av personuppgifter måste dock vara nödvändigt för att utföra myndig- hetsutövningen. Bestämmelsen uttrycker det samband som måste finnas mellan behandlingen och myndighetsutövningen. Detta sam- band framgår även av kravet i artikel 5.1 b på att de särskilda ända- målen ska vara berättigade.

16 Lundell/Strömberg, Allmän förvaltningsrätt, 26 uppl., s. 19 f.

120

SOU 2017:39

Rättslig grund för behandling av personuppgifter

Är all myndighetsutövning fastställd i enlighet med gällande rätt?

I svensk rätt har myndigheter inte någon generell befogenhet att utöva myndighet. Myndighetsutövning som medför skyldigheter för den enskilde eller i övrigt avser ingrepp i den enskildes personliga eller ekonomiska förhållanden måste härröra från lag (8 kap. 2 § 2 och 3 § regeringsformen). Att meddela föreskrifter om åtgärder som är gynnande för den enskilde ryms däremot inom regeringens restkom- petens (8 kap. 7 § första stycket 2 regeringsformen). Regeringen kan därmed i förordning, utan bemyndigande av riksdagen, ge en myn- dighet befogenheter avseende gynnande myndighetsutövning. Myn- dighetsutövning kan däremot inte ske helt utan stöd av författning. Det bör vidare noteras att myndighetsutövning även kan utövas med stöd av direkt tillämpliga EU-förordningar. Myndighetsutövning kan således även vara fastställd i enlighet med unionsrätten.

Befogenhet att utföra myndighetsutövande förvaltningsuppgifter fastställs i svensk rätt ofta direkt i den författning som reglerar en viss rättighet, skyldighet, åtgärd eller verksamhet.17 Befogenheten kan även framgå genom att en myndighet i lag eller förordning har pekats ut att fullgöra de uppgifter som ankommer på behörig myndighet enligt en viss unionsrättsakt.18 I det sistnämnda fallet kan de myndig- hetsutövande uppgifterna vara uttryckta enbart i unionsrätten. Myn- dighetsutövning kan dock aldrig utövas utan stöd i gällande rätt.

Enligt skäl 45 till dataskyddsförordningen bör unionsrätten eller den nationella rätten också reglera frågan om en personuppgiftsansva- rig som utför myndighetsutövning ska vara ett organ som omfattas av offentligrättslig eller av civilrättslig lagstiftning. I Sverige regleras myndighetsutövande uppgifter i offentligrättslig lagstiftning. Det innebär inte att det bara är myndigheter som har anförtrotts sådana uppgifter. Däremot krävs lagstöd för att förvaltningsuppgifter som innefattar myndighetsutövning ska kunna överlämnas åt andra juridiska personer och enskilda individer (12 kap. 4 § regeringsfor- men). Frågan om vilka organ som har myndighetsutövande uppgifter regleras således redan i svensk rätt.

17Se t.ex. studiestödslagen (1999:1395), skatteförfarandelagen (2011:1244), plan- och bygg- lagen (2010:900) eller lagen (2009:366) om handel med läkemedel.

18Se t.ex. förordningen (2009:93) med instruktion för Finansinspektionen eller förord- ningen (2007:860) med instruktion för Statens haverikommission.

121

Rättslig grund för behandling av personuppgifter

SOU 2017:39

Vår bedömning

I Sverige kan myndighetsutövning inte ske utan stöd i gällande rätt. Det krävs därför inte någon ny nationell reglering på generell nivå för att sådan behandling av personuppgifter som är nödvändig som ett led i den personuppgiftsansvariges myndighetsutövning ska kunna ske med stöd av den rättsliga grunden i artikel 6.1 e i förordningen. Det bör noteras att denna rättsliga grund för behandling av person- uppgifter kan tillämpas av alla personuppgiftsansvariga som tilldelats myndighetsutövande befogenheter.

Det kan dock finnas anledning att ta in en bestämmelse i data- skyddslagen som tydliggör att myndighetsutövning utgör en rättslig grund för behandling av personuppgifter endast om myndighets- utövningen sker enligt lag eller annan författning. Detta är enligt skäl 8 till dataskyddsförordningen förenligt med unionsrätten, även om åtgärden kan sägas utgöra ett införlivande av en direkt tillämplig förordningsbestämmelse.

8.3.4Behandling för att utföra uppgifter av allmänt intresse

Utredningens förslag: Det ska tydliggöras att personuppgifter får behandlas om behandlingen är nödvändig för att den personupp- giftsansvarige ska kunna utföra en uppgift av allmänt intresse som följer av lag eller annan författning eller av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning.

Begreppet uppgift av allmänt intresse

Enligt artikel 6.1 e i dataskyddsförordningen får personuppgifter behandlas om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Av skäl 45 till dataskyddsförordningen framgår att det på unionsnivå eller nationellt bör regleras om en personuppgifts- ansvarig som utför en uppgift av allmänt intresse ska vara en myn- dighet eller någon annan som omfattas av offentligrättslig lagstiftning eller om denne kan vara en fysisk eller juridisk person som lyder un- der civilrättslig lagstiftning, t.ex. en yrkesorganisation.

Begreppet allmänt intresse är ett unionsrättsligt begrepp som inte med enkelhet låter sig avgränsas. Begreppet definieras varken i data-

122

SOU 2017:39

Rättslig grund för behandling av personuppgifter

skyddsdirektivet eller i dataskyddsförordningen och dess innebörd har ännu inte heller utvecklats av EU-domstolen. Artikel 29-gruppen har dock inrättat en arbetsgrupp som har fått i uppgift att utarbeta och revidera vägledande yttranden rörande vissa nyckelbestämmelser och begrepp i förordningen.19 Förhoppningsvis kommer begreppet uppgift av allmänt intresse att belysas i detta arbete.

Som exempel på uppgifter som kan vara av allmänt intresse nämns i Datalagskommitténs betänkande arkivering, forskning och fram- ställning av statistik, etablerade idrottsorganisationers registrering av vilka personer som har vunnit svenska mästerskap eller innehar svenskt rekord i erkända sportgrenar, samt registrering av personer som har fått allmänt erkända utmärkelser såsom Nobelpris. Att någon själv kan tjäna pengar på att utföra uppgiften utesluter enligt Datalagskommittén inte att den ändå kan vara av allmänt intresse, såsom när uppgifter som tidigare skötts av det allmänna läggs ut på privata företag som drivs i vinstsyfte.20

Möjligen har den behandling av personuppgifter som är nödvändig i t.ex. myndigheternas verksamhet i vissa fall ansetts vara tillåten endast efter en intresseavvägning enligt 10 § f PUL. Den motsvarande bestämmelsen i dataskyddsförordningen, artikel 6.1 f, ska dock inte gälla för behandling som utförs av offentliga myndigheter när de utför sina uppgifter. Myndigheternas utrymme för att grunda behandling på samtycke från den registrerade kan också antas minska. I skäl 43 anges nämligen att samtycke inte bör utgöra giltig grund för behandling i de fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den per- sonuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla för- hållanden som denna särskilda situation omfattar. För att myndig- heternas verksamhet ska kunna fungera även i fortsättningen anser vi mot denna bakgrund att mycket talar för att begreppet uppgift av allmänt intresse måste anses ha fått en vidare unionsrättslig betydelse genom dataskyddsförordningen än det hittills har haft.

19Artikel 29-gruppens Work programme 2016–2018, dok. 417/16/EN.

20SOU 1997:39 s. 364.

123

Rättslig grund för behandling av personuppgifter

SOU 2017:39

Myndigheternas uppdrag och åligganden att utföra uppgifterav allmänt intresse

Rent språkligt kan begreppet uppgift av allmänt intresse antas avse något som är av intresse för eller berör många människor på ett bre- dare plan, i motsats till ett särintresse. Av skäl 45 till förordningen följer att allmänintresset inbegriper hälso- och sjukvårdsändamål, folk- hälsa, socialt skydd och förvaltning av hälso- och sjukvårdstjänster.

I avsaknad av vägledande domar från EU-domstolen förefaller det med hänsyn till svensk förvaltningstradition rimligt att anta att alla uppgifter som utförs av statliga myndigheter i syfte att uppfylla ett uttryckligt uppdrag av riksdag eller regering är av allmänt intresse. På motsvarande sätt bör man kunna utgå från att de obligatoriska upp- gifter som utförs av kommuner och landsting, till följd av deras ålig- ganden enligt lag eller förordning, är av allmänt intresse i dataskydds- förordningens mening.

Sådana uppgifter, som alltså utförs i syfte att utföra ett uttryckligt uppdrag eller till följd av ett åliggande, bör anses vara av allmänt intresse oavsett om de faktiskt utförs i myndighetens egen regi, av egna anställda, eller om de genom utkontraktering utförs av någon annan. När en juridisk eller fysisk person, på uppdrag av en kommu- nal eller statlig myndighet, utför en förvaltningsuppgift som åligger kommunen eller myndigheten, bör alltså entreprenören anses utföra en uppgift av allmänt intresse. Den omständigheten att entreprenören bedriver en rent kommersiell verksamhet kan under sådana omstän- digheter inte påverka bedömningen av den aktuella uppgiftens art.21

Andra uppgifter som utförs av myndigheter

Begreppet uppgifter av allmänt intresse omfattar dock inte bara sådant som utförs som en följd av ett offentligrättsligt och uttryckligt åliggande eller uppdrag. Till skillnad från vad som gäller enligt arti- kel 6.1 c i dataskyddsförordningen behöver den personuppgifts- ansvarige inte vara skyldig att utföra uppgiften för att den rättsliga grunden i led e ska vara tillämplig. Däremot måste behandlingen vara nödvändig.

21 För ett liknande resonemang, se artikel 29-gruppens yttrande 6/2014 om begreppet den registeransvariges berättigade intressen enligt artikel 7 i direktiv 95/46/EG, s. 23, not 42.

124

SOU 2017:39

Rättslig grund för behandling av personuppgifter

Som en följd av det kommunala självstyret har kommuner och landsting en vidsträckt möjlighet att göra frivilliga åtaganden. Befo- genheten är emellertid begränsad till angelägenheter av allmänt intresse (2 kap. 1 § kommunallagen [1991:900]). Kommuner och landsting får driva näringsverksamhet, men bara om den drivs utan vinstsyfte och går ut på att tillhandahålla allmännyttiga anläggningar eller tjänster åt medlemmarna i kommunen eller landstinget (2 kap. 7 § kommunallagen). Som exempel på sådana uppgifter av allmänt intresse som kommunerna utför på frivillig grund kan nämnas till- handahållande av bostäder och fritids- och idrottsanläggningar, åtgär- der för att främja ortens näringsliv och annan kulturell verksamhet än bibliotek (som i stället är en obligatorisk uppgift). Fullmäktige ska enligt 6 kap. 32 § första stycket kommunallagen utfärda reglementen med närmare föreskrifter om nämndernas verksamhet och arbets- former. Även sådana frivilliga åtaganden som en kommun gör inom ramen för sin allmänna befogenhet ska således framgå av den ansva- riga nämndens reglemente.

Vissa myndigheter, t.ex. Lantmäteriet, har uttryckligen getts befogenhet att bedriva viss uppdragsverksamhet. 22 Även denna typ av verksamhet kan vara motiverad av ett allmänt intresse.

Uppgifter av allmänt intresse som utförs av privaträttsliga organ

De senaste årens avmonopolisering och konkurrensutsättning av offentlig verksamhet har inneburit att privaträttsliga organ numera utför en inte obetydlig del av de uppgifter som måste anses vara av allmänt intresse, även i begreppets mest snäva bemärkelse. Detta gäller inom den kommunala sektorn exempelvis avseende barnom- sorg och skola, hälso- och sjukvård och stöd och service till funk- tionshindrade. Inom den traditionellt statliga sektorn kan nämnas järnvägstransporter, elektronisk kommunikation, postbefordran och elproduktion. Ibland bedrivs verksamheten alltjämt under kommunal eller statlig styrning, i form av kommunala eller statliga bolag, men på andra områden förekommer också eller enbart privata subjekt som är associationsrättsligt helt fristående från den offentliga sektorn.

22 10 och 12 §§ förordningen (2009:946) med instruktion för Lantmäteriet. Se även t.ex. 2 a § förordningen (2009:1394) med instruktion för Statens veterinärmedicinska anstalt eller 3 § förordningen (2007:1111) med instruktion för Patent- och registreringsverket.

125

Rättslig grund för behandling av personuppgifter

SOU 2017:39

Fysiska personer, ideella och ekonomiska föreningar, stiftelser och företag kan förstås också ägna sig åt annan verksamhet som i princip skulle kunna anses vara av allmänt intresse, t.ex. idrott och kultur, värme- och livsmedelsproduktion och tillhandahållande av finansiella tjänster, kreditupplysning eller transporter.

Genom regleringskravet avgränsas tillämpningsområdet

Vilka uppgifter som ska anses vara av allmänt intresse i dataskydds- förordningens mening är inte helt uppenbart. Den osäkerhet som råder avseende begreppets innebörd är dock ingen nyhet.

Däremot innebär dataskyddsförordningen en väsentlig förändring på så sätt att det inte längre är självklart att en personuppgiftsansvarig som utför en uppgift av allmänt intresse kan utföra nödvändig be- handling av personuppgifter på den grunden. Genom kravet på att grunden för behandlingen ska fastställas i enlighet med unionsrätten eller den nationella rätten begränsas nämligen tillämpningsområdet för artikel 6.1 e. Det räcker inte att en behandling av personuppgifter är nödvändig för att utföra en uppgift av allmänt intresse – uppgiften måste också vara fastställd i enlighet med gällande rätt.

Regleringskravet i artikel 6.3 första stycket i dataskyddsför- ordningen innebär alltså att artikel 6.1 e inte kan åberopas i alla situa- tioner då behandling av personuppgifter är nödvändig för att utföra en uppgift av allmänt intresse. Kravet på att grunden för behand- lingen ska fastställas medför att uppgiften måste vara reglerad i enlig- het med unionsrätten eller den nationella rätten. I skäl 45 till data- skyddsförordningen anges att förordningen inte medför något krav på en särskild lag för varje enskild behandling, utan att det kan räcka med en lag som grund för flera behandlingar som krävs för att utföra en uppgift av allmänt intresse.

Ändamålet med behandlingen måste vara nödvändigt

Enligt artikel 6.3 andra stycket första meningen i dataskyddsförord- ningen ska syftet med behandlingen (the purpose of the processing), i fråga om behandling enligt punkt 1 e, vara nödvändigt för att utföra en uppgift av allmänt intresse. Till skillnad mot vad som gäller av- seende grunden rättslig förpliktelse behöver ändamålet således inte

126

SOU 2017:39

Rättslig grund för behandling av personuppgifter

framgå av den författning eller det beslut där själva uppgiften fast- ställs. Ändamålet med varje enskild behandling måste dock vara nöd- vändigt för att utföra den fastställda uppgiften. Bestämmelsen ut- trycker det samband som måste finnas mellan behandlingen och den fastställda uppgiften och riktar sig till den som bestämmer de sär- skilda ändamålen för behandlingen, vilket i normalfallet är den per- sonuppgiftsansvarige men i vissa fall även kan vara lagstiftaren. Detta krav på samband framgår även av artikel 5.1 b, där det anges att de särskilda ändamålen ska vara berättigade.

Som exempel kan nämnas att det enligt 3 § bibliotekslagen (2013:801) fastställs att kommunerna ansvarar för folkbibliotek. I 9 § bibliotekslagen anges att allmänheten avgiftsfritt ska få låna eller på annat sätt få tillgång till litteratur under en viss tid oavsett publice- ringsform. Man skulle förstås kunna tänka sig att biblioteken skulle låna ut böcker, utan att veta vilka låntagarna är. Det förefaller dock föga lämpligt, eftersom det kan antas att böcker då inte skulle lämnas tillbaka. Det bör därför kunna anses nödvändigt, i unionsrättslig mening, för biblioteken att samla in personuppgifter från dem som lånar böcker, i syfte att föra ett register över låntagare och deras lån. Detta ändamål är därmed nödvändigt för att utföra uppgiften, att bedriva biblioteksverksamhet. Behandlingen av personuppgifter kan således ske enligt artikel 6.1 e, på den rättsliga grund som utgörs av bibliotekslagen.23

Alla myndigheter, såväl statliga som kommunala, utför en rad administrativa uppgifter som krävs för att myndigheten ska fungera, men som varken direkt eller indirekt kan sägas framgå av uppdraget. Som exempel kan nämnas myndigheternas säkerhetsarbete. I skäl 27 till den rättsakt som gäller för EU-institutionernas personuppgifts- behandling, förordning 45/2001, anges att behandling av personupp- gifter för utförandet av de uppgifter av allmänt intresse som gemen- skapsinstitutionerna och gemenskapsorganen utför inbegriper sådan behandling av personuppgifter som är nödvändig för förvaltningen av dessa institutioner och organ för att de ska fungera. Enligt artikel 29-

23 I praktiken måste den personuppgiftsansvarige givetvis även säkerställa att behandlingen uppfyller principerna i artikel 5, bland annat att ändamålet är berättigat enligt led b och att personuppgifterna behandlas fairly enligt led a.

127

Rättslig grund för behandling av personuppgifter

SOU 2017:39

gruppen möjliggör skäl 27 en vid tolkning av begreppet allmänt in- tresse i förordning 45/2001.24

Någon motsvarighet till skäl 27 i förordning 45/2001 finns inte i den nya dataskyddsförordningen. Under förhandlingarna av förord- ningen har dock Artikel 29-gruppen gett uttryck för att grunderna allmänt intresse och myndighetsutövning måste tolkas på samma sätt som i förordning 45/2001, nämligen på ett sådant sätt att de offent- liga myndigheterna ges en viss grad av flexibilitet, åtminstone så att myndigheternas förvaltning och funktion säkerställs.25

Vår bedömning

Myndigheter

Statliga och kommunala myndigheters verksamhet är i allt väsentligt av allmänt intresse. Det är därmed den rättsliga grunden i artikel 6.1 e i dataskyddsförordningen som vanligen bör tillämpas av myndigheter, även utanför området för myndighetsutövning. Viss behandling av personuppgifter är dock även nödvändig med anledning av avtal, t.ex. när det gäller rekryteringsärenden eller inköp, och kan därmed också ske med stöd av den rättsliga grunden avseende just avtal (arti- kel 6.1 b). Denna rättsliga grund kan i vissa fall även tillämpas av de myndigheter som uttryckligen har getts befogenhet att bedriva upp- dragsverksamhet. En myndighet kan också behöva behandla person- uppgifter för att uppfylla en rättslig förpliktelse, t.ex. att föra ett visst register eller gentemot Skatteverket i egenskap av arbetsgivare eller till följd av offentlighetsprincipen (artikel 6.1 c). Undantagsvis kan det även förekomma behov av behandling av personuppgifter för att skydda intressen av grundläggande betydelse för fysisk person (arti- kel 6.1 d). Myndigheter kan däremot inte åberopa den rättsliga grund som utgår från en intresseavvägning (artikel 6.1 f) när de fullgör sina uppgifter.

Myndigheternas uppdrag och åligganden framgår av författningar, regeringsbeslut och kommunala reglementen, antagna i enlighet med grundlagens bestämmelser om normgivningskompetens och kommu-

24Artikel 29-gruppens yttrande 6/2014 om begreppet den registeransvariges berättigade intressen enligt artikel 7 i direktiv 95/46/EG, s. 24.

25Se föregående fotnot.

128

SOU 2017:39

Rättslig grund för behandling av personuppgifter

nalt självstyre. De åtgärder som myndigheterna vidtar i syfte att utföra dessa uppdrag eller uppfylla dessa åligganden har därmed i sig en legal grund, som har offentliggjorts genom tydliga, precisa och förutsebara regler. Nödvändig behandling av personuppgifter kan därmed ske med stöd av artikel 6.1 e i dataskyddsförordningen. Någon ytterligare reglering av myndigheternas obligatoriska uppgifter krävs därmed inte på generell nivå för att myndigheter ska kunna vidta nödvändiga behandlingsåtgärder för att fullgöra sina uppgifter.

I artikel 6.3 andra stycket anges att syftet med behandlingen måste vara nödvändigt för att utföra uppgiften. Den specifika behandlingen måste alltså vara nödvändig för ett ändamål som i sin tur är nöd- vändigt för att myndigheten ska kunna utföra sitt uppdrag. Om myn- digheten inte fungerar kan den inte utföra sina fastställda uppgifter. Även administrativa åtgärder som är nödvändiga för myndighetens förvaltning och funktion är därmed rättsligt grundade i dataskydds- förordningens mening.

Det kan inte nog betonas att rättslig grund inte är en tillräcklig förutsättning för att behandling av personuppgifter ska vara tillåten. Behandlingen är laglig endast i den mån den faktiskt är nödvändig för att utföra uppgiften. Dessutom måste behandlingen följa de övriga krav som ställs i dataskyddsförordningen, till exempel de principer för behandlingen som anges i artikel 5. I sammanhanget vill vi särskilt peka på att behandlingen enligt artikel 5.1 a ska vara korrekt, i bety- delsen skälig eller rimlig (fairly), i förhållande till den registrerade. Behovet av den konkreta behandlingen måste alltså alltid vägas emot den registrerades rätt till skydd för sina personuppgifter.

Privata aktörer

Uppdrag från en myndighet

Som tidigare har nämnts anser vi att de uppgifter av allmänt intresse som utförs i syfte att utföra ett uttryckligt uppdrag eller till följd av ett åliggande, måste anses vara av allmänt intresse oavsett om de fak- tiskt utförs i myndighetens egen regi, av egna anställda, eller om de genom utkontraktering utförs av någon annan. När en juridisk eller fysisk person, på uppdrag av en kommunal eller statlig myndighet, utför en förvaltningsuppgift som åligger kommunen eller myndighe- ten, bör alltså även den privata utföraren, entreprenören eller det

129

Rättslig grund för behandling av personuppgifter

SOU 2017:39

kommunala bolaget anses utföra en uppgift av allmänt intresse. Ett privaträttsligt organ som fullgör ett uppdrag från en myndighet avse- ende en sådan uppgift som är fastställd i författning, regeringsbeslut eller kommunalt beslut i fullmäktige kan därför vidta nödvändiga behandlingsåtgärder på samma rättsliga grund som om myndigheten själv utfört uppgiften, dvs. med stöd av artikel 6.1 e i dataskyddsför- ordningen.

Det bör noteras att en uppdragstagare som utgör personuppgifts- biträde åt myndigheten i stället behandlar personuppgifter med stöd av artikel 28 i dataskyddsförordningen, i enlighet med den person- uppgiftsansvariges instruktioner.

Verksamhet som omfattas av handlingsoffentlighet

I artikel 86 i dataskyddsförordningen anges att personuppgifter i allmänna handlingar som förvaras av en myndighet eller ett offentligt organ eller ett privat organ för utförande av en uppgift av allmänt intresse får lämnas ut av myndigheten eller organet i enlighet med den unionsrätt eller den medlemsstats nationella rätt som myndig- heten eller organet omfattas av, för att jämka samman allmänhetens rätt att få tillgång till allmänna handlingar med rätten till skydd av personuppgifter i enlighet med denna förordning. Bestämmelsen bör enligt vår mening tolkas så att den svenska offentlighetsprincipen har företräde framför dataskyddsförordningen avseende dels handlingar som förvaras hos myndigheter och andra offentliga organ, dels sådana handlingar som förvaras hos privata organ för utförande av en uppgift av allmänt intresse. Offentlighetsprincipen skulle däremot inte kunna ges företräde framför dataskyddsförordningen när det gäller hand- lingar som förvaras hos privata organ av något annat skäl än för utfö- rande av en uppgift av allmänt intresse.

Enligt 2 kap. 2–5 §§ offentlighets- och sekretesslagen (2009:400, förkortad OSL,) ska vad som föreskrivs i tryckfrihetsförordningen om rätt att ta del av allmänna handlingar hos myndigheter i tillämp- liga delar också gälla hos bland annat kommunala bolag och de organ som anges i bilagan till offentlighets- och sekretesslagen, om hand- lingarna hör till den verksamhet som nämns där. Enligt vår mening måste dessa organ, vars handlingar omfattas av handlingsoffentlighet, i motsvarande utsträckning anses utföra uppgifter av allmänt intresse

130

SOU 2017:39

Rättslig grund för behandling av personuppgifter

i den mening som avses i dataskyddsförordningen. De uppgifter som dessa organ utför är fastställda i dataskyddsförordningens mening, i den mån uppgifterna anges i författningar, regeringsbeslut och kom- munala beslut av fullmäktige (t.ex. ägardirektiv). Nödvändig behand- ling av personuppgifter som utförs av dessa organ för att utföra dessa uppgifter har därför en rättslig grund och är laglig enligt artikel 6.1 e i dataskyddsförordningen.

Övrig privaträttsligt bedriven verksamhet av allmänt intresse

Vid en direkt tillämpning av artikel 6.1 c och e spelar det ingen roll om den personuppgiftsansvarige är en offentlig eller en privat aktör. Om den uppgift som den personuppgiftsansvarige utför är av allmänt intresse och denna uppgift är fastställd i enlighet med unionsrätten eller den nationella rätten finns en rättslig grund för nödvändig behandling enligt artikel 6.1 e. Det spelar då heller ingen roll om verksamheten utförs på direkt uppdrag av en myndighet eller på eget initiativ.

Som tidigare har nämnts är uttrycket uppgift av allmänt intresse ett unionsrättsligt begrepp som hittills saknar definition. Det är där- för mycket vanskligt att bedöma i vilken mån privaträttsligt bedriven verksamhet är av allmänt intresse i dataskyddsförordningens mening. De senaste årens avmonopolisering och konkurrensutsättning av offentlig verksamhet i Sverige har dock inneburit att privaträttsliga organ numera utför en inte obetydlig del av de uppgifter som sanno- likt skulle anses vara av allmänt intresse, även i begreppets mest snäva bemärkelse. Detta gäller inom den kommunala sektorn exempelvis avseende barnomsorg och skola, hälso- och sjukvård samt stöd och service till funktionshindrade. Inom den traditionellt statliga sektorn kan nämnas järnvägstransporter, elektronisk kommunikation, post- befordran och eldistribution.

I flera av dessa nämnda fall är verksamheten av kommersiell karaktär och bygger på avtal med den registrerade (t.ex. järnvägstran- sporter eller eldistribution). I den mån behandling av personuppgifter är nödvändig kan den därmed ske med stöd av artikel 6.1 b i data- skyddsförordningen, även om uppgiften inte skulle vara fastställd i lagstiftningen. När det gäller hälso- och sjukvårdsverksamhet, i både offentlig och privat regi, fastställs uppgiften i bland annat hälso- och

131

Rättslig grund för behandling av personuppgifter

SOU 2017:39

sjukvårdslagen (2017:30), medan patientdatalagen (2008:355) speci- ficerar villkoren för laglig behandling av personuppgifter. På motsva- rande sätt regleras uppgiften att tillhandahålla stöd och service till funktionshindrade av lagen (1993:387) om stöd och service till vissa funktionshindrade, som också innehåller ett par dataskyddsbestäm- melser som gäller även för privata utförare. I övrigt återfinns sektors- specifika bestämmelser om behandling av personuppgifter i lagen (2001:454) om behandling av personuppgifter inom social- tjänsten. Skolväsendets uppgifter fastställs i skollagen (2010:800), som gäller för både offentliga och enskilda anordnare av utbildning. Någon särskild registerförfattning som specificerar villkoren för behandling av personuppgifter på skolområdet finns dock inte, vilket innebär att det endast är dataskyddsförordningen som ska tillämpas.

När det är tveksamt om den verksamhet som en privaträttslig aktör bedriver är av allmänt intresse i unionsrättslig mening är det i stället ofta möjligt att grunda nödvändig behandling av personupp- gifter på en intresseavvägning i enlighet med artikel 6.1 f i data- skyddsförordningen eller att inhämta den registrerades samtycke. Detsamma gäller om verksamheten visserligen är av allmänt intresse, men uppgiften inte är fastställd i enlighet med vare sig unionsrätten eller den nationella rätten. Det är dock inte uteslutet att det finns sådana oreglerade områden som bör bli föremål för reglering just med anledning av dataskyddsförordningen.

Behov av förtydligande

För att behandling av personuppgifter ska vara laglig enligt arti- kel 6.1 e i dataskyddsförordningen måste den uppgift som den per- sonuppgiftsansvarige utför dels vara av allmänt intresse (eller utgöra ett led i myndighetsutövning), dels vara fastställd i enlighet med unionsrätten eller den nationella rätten. Vidare måste behandlingen vara nödvändig för ett ändamål som är nödvändigt för att utföra upp- giften. Detta framgår av direkt tillämpliga bestämmelser i dataskydds- förordningen. Det behövs därmed inte någon ytterligare nationell reglering, på generell nivå, för att sådan behandling av personupp- gifter som är nödvändig för att utföra uppgifter av allmänt intresse ska kunna ske med stöd av den rättsliga grunden i artikel 6.1 e i för-

132

SOU 2017:39

Rättslig grund för behandling av personuppgifter

ordningen. Detta gäller oavsett om den personuppgiftsansvarige är en offentlig eller en privat aktör.

Det kan dock finnas anledning att ta in en bestämmelse i data- skyddslagen som tydliggör att begreppet uppgift av allmänt intresse avser en uppgift av allmänt intresse som utförs med stöd av gällande rätt. Uppgiften måste alltså följa av lag eller annan författning eller av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning. En sådan upplysningsbestämmelse bidrar till för- ståelsen av dataskyddsregleringen och kan mot bakgrund av skäl 8 i förordningen inte anses vara en otillåten implementeringsåtgärd.

Det bör noteras att den författning eller det beslut som utgör den rättsliga grunden för behandling av personuppgifter måste uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas (artikel 6.3 andra stycket sista meningen i data- skyddsförordningen). Det finns därmed en bortre gräns för vilka uppgifter som över huvud taget kan läggas till grund för behandling av personuppgifter. Som exempel skulle det inte betraktas som pro- portionellt att ge en myndighet i uppgift att övervaka befolkningens kommunikation på internet, i syfte att upptäcka trakasserier. Ett ålig- gande för kommunerna att t.ex. inrätta särskilda skolor för barn vars föräldrar tillhör en viss religiös grupp, i syfte att förbättra skolresul- taten, skulle på motsvarande sätt inte kunna utgöra rättslig grund för behandling av personuppgifter, eftersom uppgiften inte skulle anses proportionell.

8.3.5Särskilda bestämmelser som anpassar tillämpningen av dataskyddsförordningen

Utrymmet för nationell specificering

Artikel 6.3 andra stycket i dataskyddsförordningen ger, i likhet med artikel 6.2, ett visst utrymme för medlemsstaterna att specificera vill- koren för när behandling av personuppgifter får ske och hur det ska gå till. I artikel 6.3 andra stycket i dataskyddsförordningen anges nämligen att den rättsliga grund som fastställer en rättslig förpliktel- se, myndighetsutövning eller en uppgift av allmänt intresse kan inne- hålla särskilda bestämmelser för att anpassa tillämpningen av bestäm- melserna i förordningen. Som exempel nämns de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ

133

Rättslig grund för behandling av personuppgifter

SOU 2017:39

av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ända- mål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling, däribland för behandling i andra sär- skilda situationer enligt kapitel IX. Av skäl 10 framgår att förord- ningen inte utesluter att det i medlemsstaternas nationella rätt fast- ställs närmare omständigheter för specifika situationer där uppgifter behandlas, inbegripet mer exakta villkor för laglig behandling av per- sonuppgifter.

Bestämmelsen i artikel 6.3 andra stycket innebär ingen skyldighet för medlemsstaterna att införa sådana särskilda nationella bestäm- melser. I svensk rätt finns det dock redan åtskilliga sådana särskilda dataskyddsbestämmelser i sektorspecifika registerförfattningar. Det är mycket vanligt att frågor om behandling av personuppgifter regle- ras i den offentligrättsliga författning som i första hand annars har till syfte att reglera vem som får utföra en viss uppgift eller hur en viss verksamhet ska bedrivas, t.ex. socialförsäkringsbalken, alkohollagen (2010:1622) eller konkurslagen (1987:682).26 Ibland återfinns dock alla dataskyddsbestämmelser avseende en viss verksamhet i särskilda informationshanteringsförfattningar, t.ex. patientdatalagen eller utlän- ningsdatalagen (2016:27). Det förekommer också renodlade register- författningar, t.ex. lagen (2001:558) om vägtrafikregister eller lagen (1996:1156) om receptregister. Samtliga dessa författningstekniker bör enligt vår bedömning kunna användas även fortsättningsvis för att vid behov specificera villkoren för behandling av personuppgifter, enligt både artikel 6.2 och artikel 6.3 andra stycket i dataskyddsför- ordningen.

Det bör noteras att bestämmelser som specificerar villkoren för laglig behandling, om medlemsstaten väljer att behålla eller införa sådana, måste uppfylla ett mål av allmänt intresse och vara proportio- nella mot det legitima mål som eftersträvas (artikel 6.3 andra stycket sista meningen i dataskyddsförordningen). Lagstiftaren måste alltså göra en avvägning mellan å ena sidan behovet av att uppgiften kan utföras på ett effektivt och rättssäkert sätt och, å andra sidan, den enskildes rätt till skydd för sina personuppgifter.

26 Enligt Informationshanteringsutredningen finns det mer än ett hundratal författningar som hör till denna kategori, SOU 2015:39 s. 103 f.

134

SOU 2017:39

Rättslig grund för behandling av personuppgifter

Sådana särskilda bestämmelser som avses i artikel 6.3 andra stycket kräver att lagstiftaren gör avvägningar från fall till fall och kan enligt vår bedömning inte föras in på generell nivå. Vi lämnar därför inget sådant förslag.

8.3.6Inledande upplysningsbestämmelse

Utredningens förslag: Dataskyddslagen ska innehålla en bestäm- melse som erinrar om att dataskyddsförordningen anger att per- sonuppgifter får behandlas endast om minst ett av de villkor som anges i artikel 6.1 i förordningen är uppfyllt.

För förståelsen av de ovan föreslagna bestämmelserna om tillämp- ningen av artikel 6.1 c och e i dataskyddsförordningen behövs det enligt vår bedömning en inledande upplysningsbestämmelse som erinrar läsaren om att personuppgifter får behandlas bara om det finns en rättslig grund, dvs. om minst ett av de villkor som anges i artikel 6.1 i dataskyddsförordningen är uppfyllt.

8.4Sammanfattning

Behandling av personuppgifter måste ske på rättslig grund. De rätts- liga grunder som godtas enligt artikel 6.1 i dataskyddsförordningen är

–samtycke (a)

–avtal (b)

–rättslig förpliktelse (c)

–vitala intressen (d)

–myndighetsutövning (e)

–uppgift av allmänt intresse (e), och

–berättigat intresse (f).

För tillämpning av leden b–f krävs att behandlingen är nödvändig för att fullgöra, skydda eller utföra den rättsliga grunden eller, i fråga om led f, för ändamål som rör den rättsliga grunden.

135

Rättslig grund för behandling av personuppgifter

SOU 2017:39

För led a finns särskilda villkor som måste vara uppfyllda, bland annat när det gäller barns samtycke (artikel 7 och 8).

För leden c och e krävs att den rättsliga grunden, dvs. den rättsliga förpliktelsen, myndighetsutövningen eller uppgiften av allmänt intresse, är fastställd i enlighet med nationell rätt eller unionsrätt (artikel 6.3 första stycket). En rättslig förpliktelse är enligt svensk rätt fastställd om den gäller enligt lag eller annan författning eller följer av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning. Myndighetsutövning fastställs i svensk rätt genom lag eller annan författning. Uppgifter av allmänt intresse är fastställda i enlighet med svensk rätt om de följer av lag eller annan författning eller av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning.

För led f krävs att den rättsliga grunden, dvs. det berättigade intresset, väger tyngre än den registrerades intressen och rättigheter. Led f gäller inte för behandling som utförs av myndigheter när de fullgör sina uppgifter.

Behandling av personuppgifter får bara ske om alla villkor för tillämpning av minst en av de rättsliga grunder som avses i leden a–f är uppfyllda. Dessutom måste den personuppgiftsansvarige bland annat också se till att principerna i artikel 5 följs.

Personuppgifterna ska enligt artikel 5.1 b samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Att ändamålen ska vara berättigade innebär bland annat, men inte enbart, att de ända- mål som den personuppgiftsansvarige är skyldig att ange måste vara berättigade i förhållande till den rättsliga grunden.

Även artikel 6.3 andra stycket innehåller bestämmelser som, i likhet med artikel 5.1 b, kopplar samman de särskilda ändamålen med den rättsliga grunden. Avseende rättslig förpliktelse anges att ända- målen ska vara bestämda i den rättsliga grunden. Vad gäller myndig- hetsutövning och uppgifter av allmänt intresse anges i stället att ända- målen ska vara nödvändiga för myndighetsutövningen eller för att utföra den fastställda uppgiften av allmänt intresse.

136

Barns samtycke som rättslig grund

SOU 2017:39

dock rört behandling av barns personuppgifter generellt.2 I ett sam- rådsyttrande som rörde användande av personnummer som spärr för deltagande på en chattsajt har Datainspektionen funnit att föräldrarnas samtycke till barns registrering av sina personuppgifter måste in- hämtas i vart fall när det gäller barn som inte fyllt 13 år.3

9.3Dataskyddsförordningen

9.3.1Samtycke som rättslig grund

för behandling av personuppgifter

I artikel 5 i dataskyddsförordningen finns grundläggande principer som gäller vid all personuppgiftsbehandling. De krav som uppställs i denna artikel ska alltid följas. För att en personuppgiftsbehandling ska vara laglig krävs också att det finns en rättslig grund för be- handlingen enligt artikel 6 i dataskyddsförordningen. Samtycke från den registrerade utgör en sådan rättslig grund för personuppgifts- behandling enligt artikel 6.1 a.

I artikel 4.11 definieras samtycke av den registrerade som varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne. Vad som avses med frivillig, särskild och informerad viljeyttring i artikel 7 a i dataskyddsdirektivet har arti- kel 29-gruppen uttalat sig om i yttrande 15/2011 om definitionen av begreppet samtycke.4 Artikel 29-gruppen arbetar även med att ta fram ett nytt yttrande om begreppet samtycke som förväntas vara klart under det första halvåret 2017.

Samtycke kan lämnas genom en skriftlig eller muntlig förklaring. Det kan inbegripa att en ruta kryssas i vid besök på en internetsida eller genom val av inställningsalternativ för tjänster på informations- samhällets område. Det kan också ske genom någon annan förklaring

2Datainspektionen, frågor och svar, finns det någon åldersgräns för samtycke, www.datainspektionen.se/fragor-och-svar/personuppgiftslagen/finns-det-nagon- aldersgrans-for-samtycke1/ (hämtad 2017-02-09).

3Datainspektionens samrådsyttrande i december 2002 med anledning av fråga från ett person- uppgiftsombud, se vidare www.datainspektionen.se/personuppgiftsombud/samradsyttranden/registrering-av- personuppgifter-fran-barn-/ (hämtad 2017-03-21).

4Se även artikel 29-gruppens yttrande 2/2013 om appar på smarta enheter, s. 13 f.

138

SOU 2017:39

Barns samtycke som rättslig grund

eller något annat beteende som i sammanhanget tydligt visar att den registrerade godtar den avsedda behandlingen av sina personuppgifter (se skäl 32 till förordningen).

I artikel 7 i dataskyddsförordningen uppställs vissa villkor för sam- tycke. Av artikel 7.1 framgår att det är den personuppgiftsansvarige som ska kunna visa att den registrerade har samtyckt till behandling av sina personuppgifter. Enligt artikel 7.2 ska, om den registrerades sam- tycke lämnas i en skriftlig förklaring som också rör andra frågor, begäran om samtycke läggas fram på ett sätt som klart och tydligt kan särskiljas från de andra frågorna i en begriplig och lätt tillgänglig form, med användning av klart och tydligt språk. I artikel 7.3 anges att de registrerade ska ha rätt att när som helst återkalla sitt samtycke. Det ska vara lika lätt att återkalla som att ge sitt samtycke. Slutligen anges i artikel 7.4 att vid bedömningen av huruvida samtycket är frivilligt ska största hänsyn bland annat tas till huruvida genomförandet av ett avtal, inbegripet tillhandahållandet av en tjänst, har gjorts beroende av samtycke till sådan behandling av personuppgifter som inte är nöd- vändig för genomförandet av det avtalet.5

En förklaring om samtycke som den personuppgiftsansvarige i förväg formulerat bör enligt skäl 42 tillhandahållas i en begriplig och lätt tillgänglig form, med användning av ett klart och tydligt språk och utan oskäliga villkor. För att samtycket ska vara informerat bör den registrerade känna till åtminstone den personuppgiftsansvariges identitet och syftet med den behandling för vilken personuppgif- terna är avsedda. Ett samtycke bör inte betraktas som frivilligt om den registrerade inte har någon genuin eller fri valmöjlighet eller om denne inte utan problem kan vägra eller ta tillbaka sitt samtycke.

Om samtycket inte uppfyller de krav som uppställs i förordningen utgör det inte rättslig grund för behandling av personuppgifter. Om syftet med personuppgiftsbehandlingen t.ex. är orimligt eller opropor- tionerligt har tjänstetillhandahållaren trots användarens samtycke allt- så ingen giltig rättslig grund för behandlingen.6

5Se även skäl 43.

6Jfr artikel 29-gruppens yttrande 2/2013 om appar på smarta enheter, s. 15.

139

Barns samtycke som rättslig grund

SOU 2017:39

9.3.2Personuppgifter som rör barn förtjänar ett särskilt skydd

Att personuppgifter som rör barn anses särskilt skyddsvärda framgår av flera av förordningens bestämmelser och betonas i skälen till för- ordningen. Det finns dock ingen artikel som anger en specifik ålder för när någon ska anses vara ett barn. Det finns inte heller någon annan enhetlig reglering inom EU som definierar när någon ska anses vara ett barn. Frågan får i stället avgöras genom en tolkning med beaktande av andra rättskällor. Samtliga medlemsstater har ratificerat FN:s konvention om barnets rättigheter, den s.k. barnkonventionen, där barn definieras som varje människa under 18 år, om inte barnet blir myndigt tidigare enligt den lag som gäller barnet (artikel 1).

Som exempel på en bestämmelse i dataskyddsförordningen som särskilt rör barn kan nämnas att barns rätt till integritetsskydd sär- skilt ska beaktas när personuppgifter behandlas med stöd av den rättsliga grunden i artikel 6.1 f, dvs. när behandlingen bygger på en intresseavvägning.

Vidare föreskrivs i artikel 12.1 att den information som den per- sonuppgiftsansvarige ska lämna enligt artiklarna 13 och 14 ska ges i en koncis, klar och tydlig, begriplig och lätt tillgänglig form, med använd- ning av klart och tydligt språk, i synnerhet när det gäller information som är särskilt riktad till barn. I skäl 58 anges att det förhållandet att barn förtjänar särskilt skydd, medför att all information och kommu- nikation som riktar sig till barn bör utformas på ett tydligt och enkelt språk som barnet lätt kan förstå.

Enligt artikel 17.1 f har den registrerade rätt att få sina personupp- gifter raderade om de har samlats in med samtycke som rättslig grund i samband med erbjudandet av informationssamhällets tjänster direkt till ett barn i de fall som avses i artikel 8.1 i förordningen. I skäl 65 anges att den registrerades rätt att bli bortglömd är särskilt relevant när den registrerade har gett sitt samtycke som barn, utan att vara fullständigt medveten om riskerna med behandlingen, och senare vill ta bort dessa personuppgifter, särskilt på internet. Den registrerade bör kunna utöva denna rätt även när han eller hon inte längre är barn.

Tillsynsmyndigheten ska också ägna särskild uppmärksamhet åt insatser som riktar sig till barn, när den enligt artikel 57.1 b utför sin uppgift att öka allmänhetens medvetenhet om och förståelse för

140

SOU 2017:39

Barns samtycke som rättslig grund

risker, regler, skyddsåtgärder och rättigheter i fråga om behandling av personuppgifter.

I skäl 38 uttalas att barns personuppgifter förtjänar ett särskilt skydd, eftersom barn kan vara mindre medvetna om risker, skydds- åtgärder och rättigheter. Det särskilda skyddet bör i synnerhet gälla användningen av barns personuppgifter i marknadsföringssyfte, för att skapa personlighets- eller användarprofiler samt för insamling av uppgifter när tjänster som erbjuds direkt till barn utnyttjas. Sam- tycke från den person som har föräldraansvar över ett barn bör enligt uttalandet inte krävas för förebyggande eller rådgivande tjänster som erbjuds direkt till barn.

I skäl 71 till förordningen anges att barns personuppgifter inte bör användas för automatiserat beslutsfattande i form av bland annat profilering. Med profilering avses enligt samma skäl och artikel 4.4 i förordningen automatisk behandling av personuppgifter med be- dömning av personliga aspekter rörande en fysisk person, särskilt för att analysera eller förutse aspekter avseende den registrerades arbets- prestation, ekonomiska situation, hälsa, personliga preferenser eller intressen, pålitlighet eller beteende, vistelseort eller förflyttningar.

9.3.3Barns samtycke

I artikel 8.1 i dataskyddsförordningen anges att vid erbjudande av informationssamhällets tjänster direkt till ett barn, ska behandling av personuppgifter som rör ett barn få ske med stöd av artikel 6.1 a om barnet är minst 16 år. Om barnet är under 16 år ska sådan behandling vara tillåten endast om och i den mån samtycket ges eller godkänns av den person som har föräldraansvar för barnet. Medlemsstaterna får föreskriva en lägre ålder i sin nationella rätt, under förutsättning att denna ålder inte är lägre än 13 år. Bestämmelsen omfattar givetvis endast situationer när personuppgifter behandlas. Om en tjänst till- handahålls utan att personuppgifter behandlas faller den utanför för- ordningens tillämpningsområde.

I artikel 8.2 anges att den personuppgiftsansvarige ska göra rimliga ansträngningar för att kontrollera att samtycket ges eller godkänns av den person som har föräldraansvar för barnet, med hänsyn tagen till tillgänglig teknik. Slutligen anges i artikel 8.3 att punkt 1 i artikeln inte ska påverka tillämpningen av allmän avtalsrätt i medlemsstaterna,

141

Barns samtycke som rättslig grund

SOU 2017:39

såsom bestämmelser om giltigheten, upprättandet eller effekten av ett avtal som gäller ett barn.

Det bör noteras att artikel 8.1 endast hänvisar till artikel 6 och inte till artikel 9. Vid vilken ålder barn kan samtycka till behandling av känsliga personuppgifter framgår alltså inte av förordningen och omfattas inte heller av våra överväganden. Det bör också poängteras att bestämmelsen endast är tillämplig när den rättsliga grunden för personuppgiftsbehandlingen är samtycke och inte när det finns en annan rättslig grund för behandlingen, såsom exempelvis avtal enligt artikel 6.1 b.

9.4Utgångspunkter för vår bedömning

9.4.1Inledning

Det vi har att ta ställning till är vid vilken ålder ett barn bör kunna samtycka till viss behandling av barnets personuppgifter utan föräld- rarnas medgivande. Det förtjänar emellertid redan här att noteras att även i det fall samtycke får inhämtas från ett barn, så kräver data- skyddsförordningen att tjänstetillhandahållaren beaktar barnets be- gränsade förståelse för behandlingen av personuppgifter. På grund av förordningens särskilda fokus på barns sårbarhet bör dessutom princi- perna om uppgiftsminimering och ändamålsbegränsning i artikel 5 tillämpas strikt.7 En personuppgiftsbehandling kan alltså på grund av de övriga bestämmelserna i förordningen vara otillåten, trots att sam- tycke har lämnats av ett barn som har uppnått den i svensk rätt satta åldersgränsen.

9.4.2Barnets bästa och barnets rätt till integritet

Vid bedömningen av vid vilken ålder ett barn själv bör få samtycka till att dess personuppgifter behandlas måste bestämmelserna i FN:s barnkonvention beaktas. Som nämnts ovan avses med barn i konven- tionens mening varje människa under 18 år, om inte barnet blir myndigt tidigare enligt den lag som gäller barnet. I artikel 3 i konven- tionen fastslås att barnets bästa ska komma i främsta rummet vid alla

7 Jfr artikel 29-gruppens yttrande 2/2013 om appar på smarta enheter, s. 25.

142

SOU 2017:39

Barns samtycke som rättslig grund

åtgärder som rör barn, vare sig de vidtas av offentliga eller privata sociala välfärdsinstitutioner, domstolar, administrativa myndigheter eller lagstiftande organ.

Barnkonventionen syftar till att ge barn, oavsett bakgrund, rätt att behandlas med respekt och att få komma till tals. I artikel 12 an- ges bland annat att konventionsstaterna ska tillförsäkra det barn som är i stånd att bilda egna åsikter rätten att fritt uttrycka dessa i alla frå- gor som rör barnet, varvid barnets åsikter ska tillmätas betydelse i förhållande till barnets ålder och mognad. Artikel 13 slår fast att barnet har rätt till yttrandefrihet. Denna rätt innefattar frihet att oberoende av territoriella gränser söka, motta och sprida information och tankar av alla slag, i tal, skrift eller tryck, i konstnärlig form eller genom annat uttrycksmedel som barnet väljer.

Samtidigt som barnet har rätt till yttrande- och informationsfri- het behöver det finnas ett skydd för barnet när dess personuppgifter behandlas. Det ska ske med beaktande bland annat av bestämmelsen om föräldrars ledning i artikel 5 i barnkonventionen. Bestämmelsen ger föräldrar och andra vårdnadshavare rättigheter och skyldigheter att ge barnet lämplig ledning och råd vid utövandet av barnets rättig- heter. Vägledning ska ges på ett sätt som överensstämmer med barnets fortlöpande utveckling. Barnet ska alltså med stigande ålder få större möjlighet att själv styra över på vilket sätt det vill ta vara på sina rättigheter. Eftersom barnet är en person som håller på att utvecklas fysiskt och psykiskt, måste utövandet av barnets rättig- heter anpassas till dess utvecklingsnivå.

Det måste alltså göras en avvägning mellan barnets behov av skydd och dess rätt till informationsfrihet. Ju äldre barnet blir, desto mindre blir dess behov av skydd och desto större tyngd ska tillmätas rätten till yttrande- och informationsfrihet.

Vid avvägningen måste också hänsyn tas till barnets rätt till integ- ritet. Artikel 16 stadgar att inget barn får utsättas för godtyckliga eller olagliga ingripanden i sitt privat- eller familjeliv, sitt hem eller sin korrespondens och inte heller för olagliga angrepp på sin heder och sitt anseende. Detta måste respekteras av alla, även av barnets vårdnadshavare. Barnets rätt till integritet måste således balanseras mot föräldrarnas skyldighet och rättighet att genom insyn i barnets förehavanden tillvarata barnets intressen och se till barnets bästa.

143

Barns samtycke som rättslig grund

SOU 2017:39

9.4.3När är artikel 8.1 i dataskyddsförordningen tillämplig?

För att kunna bedöma vid vilken ålder barn kan tänkas uppnå en till- räcklig mognad och insikt i fråga om personuppgiftsbehandling finns det anledning att närmare analysera innebörden av artikel 8.

Erbjudande av informationssamhällets tjänster

Det är enligt dataskyddsförordningen endast vid erbjudande av infor- mationssamhällets tjänster till någon som är under 16 år som sam- tycket till behandlingen behöver ges eller godkännas av den som har föräldraansvaret för barnet. När det gäller personuppgiftsbehandling som inte sker i samband med att informationssamhällets tjänster er- bjuds får en bedömning, liksom tidigare, göras i varje enskilt fall av den registrerades förmåga att förstå innebörden av ett lämnat sam- tycke.

Begreppet informationssamhällets tjänster definieras i artikel 4.25 i dataskyddsförordningen som alla tjänster enligt definitionen i arti- kel 1.1 b i Europaparlamentets och rådets direktiv (EU) 2015/15358. I sistnämnda artikel anges att informationssamhällets tjänster är tjänster som vanligtvis utförs mot ersättning, på distans, på elektro- nisk väg och på individuell begäran av en tjänstemottagare. I denna definition avses med på distans att tjänsten tillhandahålls utan att parterna är närvarande samtidigt. Med på elektronisk väg avses att tjänsten sänds vid utgångspunkten och tas emot vid slutpunkten med hjälp av utrustning för elektronisk behandling och lagring av uppgifter och som i sin helhet sänds, befordras och tas emot genom tråd, radio, optiska medel eller andra elektromagnetiska medel. Med på individuell begäran av en tjänstemottagare avses att tjänsten tillhandahålls genom överföring av uppgifter på individuell begäran.

Informationssamhällets tjänster är ett EU-rättsligt begrepp som även används i bland annat e-handelsdirektivet9. I ingressen till detta

8Europaparlamentets och rådets direktiv (EU) 2015/1535 av den 9 september 2015 om ett infor- mationsförfarande beträffande tekniska föreskrifter och beträffande föreskrifter för informa- tionssamhällets tjänster.

9Europaparlamentets och rådets direktiv 2000/31/EG av den 8 juni 2000 om vissa rättsliga aspekter på informationssamhällets tjänster, särskilt elektronisk handel, på den inre markna- den (”Direktiv om elektronisk handel”).

144

SOU 2017:39

Barns samtycke som rättslig grund

direktiv hänvisas till definitionen av begreppet i direktiv 98/34/EG10, som nu har kodifierats och ersatts av ovan nämnda direktiv (EU) 2015/1535. Ledning för tolkningen av begreppet informationssam- hällets tjänster bör därför kunna hämtas från e-handelsdirektivet och den tolkning av detta som gjorts av EU-domstolen.

I skäl 18 till e-handelsdirektivet anges följande. Informationssam- hällets tjänster omfattar en mängd näringsverksamheter som bedrivs online. Dessa verksamheter kan särskilt bestå i försäljning av varor online. Själva leveransen av varor eller tillhandahållandet av offline- tjänster omfattas inte. Informationssamhällets tjänster begränsas inte till enbart tjänster som föranleder avtal online utan gäller även tjäns- ter, i den mån de utgör näringsverksamhet, som inte betalas av de som mottar dem, exempelvis tillhandahållande av information eller kommersiella meddelanden online eller tillhandahållande av sök- möjligheter samt åtkomst till och hämtning av data.

Vid tolkningen av begreppet informationssamhällets tjänster i e-handelsdirektivet har EU-domstolen konstaterat att det inte krävs att tjänsten betalas av den som åtnjuter tjänsten för att den ska omfattas av definitionen. Tjänsten kan t.ex. finansieras genom inkomster via reklam som visas på en webbplats.11

När e-handelsdirektivet genomfördes i svensk rätt uttalade reger- ingen att med informationssamhällets tjänster avses – förenklat ut- tryckt – varje aktivitet som sker online, med någon ekonomisk innebörd. Regeringen menade att begreppet omfattar en mängd olika tjänster, däribland informationstjänster och söktjänster.12 Artikel 29- gruppen har uttalat att i rättsligt avseende ingår sociala nätverk, sökmotorer och appar i begreppet informationssamhällets tjänster.13

Mot bakgrund av ovanstående kan enligt vår bedömning begreppet informationssamhällets tjänster innefatta bland annat olika sociala medier, såsom till exempel bloggar, internetforum, webbplatser för videoklipp, chattprogram och sociala nätverk. Även onlinespel och

10Europaparlamentets och rådets direktiv 98/34/EG av den 22 juni 1998 om ett informa- tionsförfarande beträffande tekniska standarder och föreskrifter och beträffande föreskrifter för informationssamhällets tjänster.

11Se dom Papasavvas, C‑291/13, EU:C:2014:2209, punkterna 28–30 och dom Bond van Adverteerders m.fl., 352/85, EU:C:1988:196, punkt 16.

12Prop. 2001/02:150 s. 1 och 19.

13Se artikel 29-gruppens yttrande 5/2009 om sociala nätverk på Internet, s. 4 f., artikel 29- gruppens yttrande 1/2008 om dataskyddsfrågor med anknytning till sökmotorer, s. 5 och not 6 och 7 på samma sida, samt artikel 29-gruppens yttrande 2/2013 om appar på smarta enheter, s. 24 not 46.

145

Barns samtycke som rättslig grund

SOU 2017:39

olika applikationer (appar) med spel eller annat innehåll kan omfattas av definitionen.

Behandling av personuppgifter inom ramen för informationssamhällets tjänster

Det är inte nödvändigt att behandla personuppgifter i samband med erbjudande av informationssamhällets tjänster. I praktiken är det emellertid mycket vanligt att behandling av personuppgifter utgör ett villkor för tillhandahållande av sådana tjänster.

Vilka personuppgifter som samlas in, hur de används av tjänstetill- handahållaren själv och hur dessa uppgifter delas med andra varierar från tjänst till tjänst. Tjänstetillhandahållarna har ibland ett intresse av att samla in så många personuppgifter som möjligt, eftersom de kan ha ett stort ekonomiskt värde.

De uppgifter som samlas in kan vara uppgifter som den enskilde måste lämna ifrån sig för att få använda en tjänst, såsom ett namn, användarnamn, födelsedatum, kön, adress, e-postadress och mobil- telefonnummer. Det kan även vara uppgifter om kreditkorts- och betalningsinformation.

Ofta behandlas också uppgifter vid användningen av en tjänst. Det kan bland annat röra sig om geografiska lokaliseringsuppgifter eller vem användaren interagerar med. Även webbläsarhistorik kan tillskapas och kan bli föremål för senare behandling. Uppgifter kan också synkroniseras med andra användares uppgifter, exempelvis uppgifter från adressboken på en telefon.

Uppgifterna kan användas i olika syften av tillhandahållaren av tjänsten, t.ex. för direktmarknadsföring. Det kan ske på olika sätt. Med s.k. beteendebaserad marknadsföring menas förenklat att använ- dare spåras när de surfar på internet och att det med tiden byggs upp profiler som sedan används för att förse användarna med reklam som passar deras intressen.14 Personuppgifterna tillhandahålls ofta även till andra än den som tillhandahåller tjänsten, t.ex. i marknadsförings- syfte.

14 Jfr artikel 29-gruppens yttrande 2/2010 om beteendebaserad reklam på internet, s. 3 och 5.

146

SOU 2017:39

Barns samtycke som rättslig grund

Direkt till barn

Det framgår inte av dataskyddsförordningen vad som avses med uttrycket att en tjänst ska erbjudas direkt till barn. Begreppet skulle kunna tolkas på flera olika sätt.

En möjlig tolkning av begreppet är att det endast omfattar tjänster som uttryckligen riktar sig till barn. Ett problem med denna tolkning är att det i dag inte finns något krav på att tjänstetillhandahållarna ska ange vilken ålder de anser är lämplig för användning av en tjänst. Inte heller finns det någon standard som anger vilka kriterier som ska vara uppfyllda för en viss åldersgräns. Ytterligare problem som skulle kun- na uppstå med denna tolkning är att en tjänstetillhandahållare skulle kunna kringgå den aktuella bestämmelsen genom att ange att tjänsten endast riktar sig till personer som inte är barn.

En annan möjlig tolkning är att det är användarens faktiska ålder som avgör om tjänsten omfattas av begreppet. Det skulle innebära att den som tillhandahåller en tjänst och hanterar personuppgifter med stöd av samtycke i samtliga fall måste veta om den som använder tjänsten är ett barn eller inte. Alla tjänstetillhandahållare som hanterar personuppgifter skulle i sådant fall behöva kontrollera åldern på alla personer som använder tjänsten. Det kan starkt ifrågasättas om det skydd som kan uppnås motiverar att personuppgifter om ålder samlas in från samtliga användare.

En tredje möjlig tolkning är att artikel 8.1 i dataskyddsförord- ningen tar sikte på sådana tjänster som kan antas användas av barn. Bedömningen blir då inte beroende av hur tjänsteleverantören pre- senterar sin tjänst utåt. Både tjänster som direkt marknadsförs mot barn och tjänster som i och för sig inte marknadsförs som särskilt anpassade för barn, men som på grund av sin utformning eller sitt innehåll och funktion är av det slaget att de typiskt sett kan antas användas av barn, omfattas vid en sådan tolkning av bestämmelsen. Det finns enligt vår mening mycket som talar för denna tolkning.

Begreppet är emellertid EU-rättsligt och det är EU-domstolen som ytterst kan ge vägledning för tolkningen. Artikel 29-gruppen arbetar för närvarande med att ta fram ett yttrande om gruppens syn på innebörden av begreppet samtycke. Yttrandet, som planeras vara klart under det första halvåret 2017, förväntas innehålla klargörande uttalanden även rörande barns samtycke och de olika rekvisiten i

147

Barns samtycke som rättslig grund

SOU 2017:39

artikel 8. Viss vägledning för tolkningen av begreppet bör därför kun- na finnas till hands när förordningen ska börja tillämpas.

Föräldraansvaret

Det är den som har föräldraansvaret för barnet som enligt artikel 8.1 i dataskyddsförordningen ska samtycka till personuppgiftsbehand- lingen eller godkänna barnets samtycke. Vad som avses med föräldra- ansvar framgår dock inte av förordningen.

I artikel 1.2 i 1996 års Haagkonvention15 anges att begreppet föräldraansvar i konventionen omfattar vårdnad eller varje liknande förhållande som avgör föräldrars, förmyndares eller andra rättsliga företrädares rättigheter, befogenheter och ansvar i förhållande till barnets person eller egendom. I artikel 2.7 i Bryssel II-förordningen16 definieras föräldraansvar som alla rättigheter och skyldigheter som en fysisk eller juridisk person har tillerkänts genom en dom, på grund av lag eller genom en överenskommelse med rättslig verkan, med avse- ende på ett barn eller dess egendom. Föräldraansvar omfattar bland annat vårdnad och umgänge.

I Sverige regleras föräldraansvaret främst i föräldrabalken. Vård- nadshavarna har enligt föräldrabalken rätt, och skyldighet, att bestäm- ma i frågor som rör barnets personliga angelägenheter. Vårdnads- havaren ska i takt med barnets stigande ålder och utveckling ta allt större hänsyn till barnets synpunkter och önskemål (6 kap. 11 § för- äldrabalken). Barn står som regel under vårdnad av båda sina föräldrar eller en av dem om inte rätten har anförtrott vårdnaden åt en eller två särskilt förordnade vårdnadshavare. Den som har vårdnaden om ett barn har ett ansvar för barnets personliga förhållanden och ska se till att barnens behov av omvårdnad, trygghet och god fostran blir till- godosedda. Barnets vårdnadshavare svarar även för att barnet får den tillsyn som behövs med hänsyn till dess ålder, utveckling och övriga

15Den i Haag den 19 oktober 1996 dagtecknade konventionen om behörighet, tillämplig lag, erkännande, verkställighet och samarbete i frågor om föräldraansvar och åtgärder till skydd för barn. Artiklarna 1–53 i konventionen gäller i originaltexternas lydelse som lag här i lan- det, jfr 1 § lagen (2012:318) om 1996 års Haagkonvention.

16Rådets förordning (EG) nr 2201/2003 av den 27 november 2003 om domstols behörighet och om erkännande och verkställighet av domar i äktenskapsmål och mål om föräldraansvar samt om upphävande av förordning (EG) nr 1347/2000.

148

SOU 2017:39

Barns samtycke som rättslig grund

omständigheter (6 kap. 1 och 2 §§ föräldrabalken). Vårdnaden om ett barn består till dess att barnet fyllt 18 år.

Artikel 29-gruppen har i ett yttrande påtalat att vårdnadshavarnas ställning inte har någon absolut eller ovillkorlig prioritet över barnets. Principen om att barnets bästa ska komma i främsta rummet kan ibland, enligt artikel 29-gruppen, ge barnet rättigheter som går före vårdnadshavarnas önskemål. Kravet på att barnet ska företrädas av personer som enligt lag har rätt att företräda det påverkar inte det förhållandet att barnet från och med en viss ålder ska ges möjlighet att höras i frågor som berör det.17

Vårdnadshavarna får emellertid inte heller lämna ifrån sig sitt ansvar för barnet genom att låta det själv bestämma i en omfattning som det inte är moget för. Vårdnadshavarna är skyldiga att ingripa om barnet kan komma till skada eller det visar sig inte vara moget för att själv fatta beslut.18

9.4.4Något om olika åldersgränser i svensk lagstiftning

En person under 18 år är omyndig och får som huvudregel inte själv råda över sin egendom eller åta sig förbindelser (9 kap. 1 § föräldra- balken). Detta innebär dock inte att ett avtal som ett barn har ingått per automatik blir ogiltigt. Om ett barn företar en rättshandling som han eller hon inte får företa, är rättshandlingen ogiltig bara om den är ofördelaktig för barnet. Om vårdnadshavare eller förmyndare god- känner avtalet är det ändå giltigt. Godkännandet behöver inte vara uttryckligt, utan kan vara ett så kallat tyst godkännande.19

Det finns dock ett antal undantag från ovan nämnda huvudregel. I vissa sammanhang får barnet självt ingå rättshandlingar och föra sin talan. Dessutom ska ibland barnets samtycke ges avgörande bety- delse. I flera författningar har även föreskrivits att barnets vilja ska tillmätas betydelse med ökad ålder och mognad.

Enligt 21 kap. 5 § föräldrabalken gäller att i det fall barnet har nått en sådan ålder och mognad att dess vilja bör beaktas, får verkställighet

17Artikel 29-gruppens yttrande 2/2009 om skydd för uppgifter om barn (Allmänna riktlinjer och specialfallet skolor), s. 4 f.

18Jfr Walin och Vängby, Föräldrabalken (20 maj 2016, Zeteo), kommentaren till 6 kap. 11 § föräldrabalken, och prop. 1981/82:168.

19Jfr Walin och Vängby, Föräldrabalken, (20 maj 2016, Zeteo), kommentaren till 9 kap. 1 § föräldrabalken.

149

Barns samtycke som rättslig grund

SOU 2017:39

av t.ex. en dom om vårdnad inte ske mot barnets vilja, utom då rätten finner det nödvändigt av hänsyn till barnets bästa.

Inom den frivilliga hälso- och sjukvården krävs enligt 4 kap. 2 § patientlagen (2014:821) som huvudregel patientens samtycke till vården. Det är vårdgivaren som har att avgöra om ett giltigt samtycke har getts.20 När patienten är ett barn ska barnets inställning till den aktuella vården eller behandlingen så långt som möjligt klarläggas. Barnets inställning ska tillmätas betydelse i förhållande till hans eller hennes ålder och mognad (4 kap. 3 §). Krav på ålder och mognads- grad kan variera beroende på om frågan gäller t.ex. preventiv- medelsrådgivning eller allvarlig sjukdom. Olika mognadsgrad kan krävas för olika former av beslut.21

I Sverige har ofta åldersgränsen för barns samtycke och möjlighet att själva agera i rättsliga och andra sammanhang satts vid 15 år. När det gäller forskning som avser människor ska forskningspersonen själv informeras om och samtycka till forskningen, om han eller hon har fyllt 15 år men inte 18 år och inser vad forskningen innebär för hans eller hennes del (18 § lagen om etikprövning av forskning som avser människor).

Barn som har fyllt 15 år har rätt att själv föra sin talan i mål och ärenden enligt socialtjänstlagen (2001:453), lagen (1990:52) med särskilda bestämmelser om vård av unga och lagen (1991:1128) om psykiatrisk tvångsvård. Enligt sistnämnda lag bör även en patient som är yngre än 15 år höras, om det kan vara till nytta för utredningen och det kan antas att patienten inte tar skada av att höras. En underårig kan inte dömas till påföljd för brott som han eller hon begått innan det att han eller hon har fyllt 15 år (1 kap. 6 § brottsbalken). Dess- utom är sexuellt umgänge med barn kriminaliserat såvitt gäller barn under 15 år (6 kap. 4 § brottsbalken). 15 år är alltså en vedertagen åldersgräns som har ansetts vara väl avvägd i många sammanhang.22

När det gäller barnets möjligheter att ingå avtal och andra ange- lägenheter av ekonomisk natur har åldern i svensk rätt ofta satts vid 16 år. Barn får således från det att de fyllt 16 år själva råda över in-

20Rynning, Samtycke till medicinsk vård och behandling, 1994 s. 286 f. och prop. 2002/03:50

s.135.

21Rynning, Samtycke till medicinsk vård och behandling, 1994 s. 286 f., prop. 2002/03:50

s.135, och Socialstyrelsens meddelandeblad nr. 7/2010 om barn under 18 år som söker hälso- och sjukvård.

22Se t.ex. prop. 2002/03:50 s. 136.

150

SOU 2017:39

Barns samtycke som rättslig grund

komster de tjänat (9 kap. 3 § föräldrabalken) och driva rörelse om föräldrarna godkänt detta (13 kap. 13 §). Barn får själva ingå avtal om anställning eller annat arbete, men endast om vårdnadshavaren sam- tycker till avtalet. Barnet får självt säga upp avtalet och, om barnet har fyllt 16 år, utan nytt samtycke avtala om annat arbete av liknande art (6 kap. 12 §).

I svensk lag är det ovanligt att det stipuleras en lägre åldersgräns än 15 år, men när det gäller adoption stadgas att den som har fyllt 12 år som huvudregel inte får adopteras utan eget samtycke (4 kap. 5 § föräldrabalken).

9.4.5Direktreklam till barn

Personuppgifter kan som ovan angetts användas i syfte att rikta direktreklam till användaren när informationssamhällets tjänster utnyttjas. Direktmarknadsföring är ofta ett grundläggande inslag i affärsmodellen för bland annat sociala nätverkstjänster.23

Enligt 5 § marknadsföringslagen (2008:486) ska marknadsföring stämma överens med god marknadsföringssed. Marknadsföring som strider mot god marknadsföringssed är enligt 6 § marknads- föringslagen att anse som otillbörlig om den i märkbar mån påver- kar eller sannolikt påverkar mottagarens förmåga att fatta ett väl- grundat affärsbeslut.

Med god marknadsföringssed förstås god affärssed eller andra vedertagna normer som syftar till att skydda konsumenter och näringsidkare vid marknadsföring av produkter (3 §). Hit hör även det normsystem som har utvecklats inom näringslivet, främst Inter- nationella handelskammarens (ICC) grundregler för reklam, men även andra uppförande- och branschkoder. Förutom god affärssed och god yrkessed innefattar begreppet god marknadsföringssed även andra vedertagna normer för marknadsföring. Därmed avses bland annat speciallagstiftning, Konsumentverkets föreskrifter och allmän- na råd, de normer som Marknadsdomstolen har skapat genom sin praxis samt andra internationella vedertagna normer inom ramen för lagens syfte.24

23Jfr artikel 29-gruppens yttrande 5/2009 om sociala nätverk på Internet, s. 10.

24Prop. 2007/08:115 s. 69 f.

151

Barns samtycke som rättslig grund

SOU 2017:39

Marknadsdomstolen har bedömt att det som huvudregel inte är tillåtet att rikta direktreklam till barn under 16 år eftersom detta anses strida mot god marknadsföringssed. Undantag kan finnas med hän- syn till omständigheterna i det enskilda fallet, t.ex. när vårdnads- havarens samtycke finns. Domstolen har även bedömt att sådan reklam kan vara otillbörlig enligt 6 § marknadsföringslagen. Inte hel- ler får köpuppmaningar, enligt Marknadsdomstolen, riktas direkt till barn, dvs. någon under 18 år, eftersom detta kan anses utgöra sådan aggressiv marknadsföring som enligt 7 § marknadsföringslagen inte får användas.25

Det finns en svensk branschöverenskommelse om direktmark- nadsföring som har granskats av Datainspektionen.26 I branschöver- enskommelsen anges bland annat att direktmarknadsföring normalt inte får riktas till barn, såvida det inte finns en anknytning mellan den minderårige och marknadsföraren där sådana kontakter kan sägas vara förutsatta av omständigheterna. Sådan anknytning kan vara kund- förhållande, medlemskap eller liknande.

9.4.6Yttranden till utredningen angående åldersgränsen

Barnombudsmannen har i ett yttrande till utredningen ansett att åldersgränsen bör vara 15 år och uttalat följande. Hänsyn måste tas till såväl barnets rätt till delaktighet och information som till barnets rätt till skydd. År 2014 hade FN:s kommitté för barnens rättigheter en diskussion om digitala medier och barns rättigheter. Där fram- hävdes hur digitala medier ger barn stora möjligheter att lära, delta, spela arbeta och umgås, men samtidigt ställs barn inför nya risker. Därför måste det finnas en balans mellan barnets självbestämmande och skydd av barn online/på nätet. Huvudfokus bör vara förebyg- gande arbete och att stärka barns kunskaper och förmåga. Först då kan barnet delta fullt ut i samhället och göra sin röst hörd på ett säkert sätt online/på nätet. Det är av stor vikt att barnet kan förutse de konsekvenser som en behandling av personuppgifter kan medföra. En 15-årsgräns – som är en vanligt förekommande åldersgräns i

25Se MD 2012:14 och MD 1999:26.

26SWEDMA:s regler för användningen av personuppgifter m.m. vid direktmarknadsföring för försäljnings-, insamlings- medlemsvärvningsändamål och liknande samt Datainspektio- nens yttrande den 16 juni 1999, dnr 1338-99.

152

SOU 2017:39

Barns samtycke som rättslig grund

Sverige – innebär att barn och unga fortfarande har möjlighet att delta i olika sociala medier med vårdnadshavarens samtycke.

Även Statens medieråd har lämnat ett yttrande till utredningen. Medierådet är kritiskt till bestämmelsen i artikel 8.1 i dataskydds- förordningen och anför följande. Det finns i nuläget inte några funge- rande metoder för säker åldersverifiering. Den som vill kan enkelt kringgå bestämmelsen i artikel 8.1. Förslaget om vårdnadshavares samtycke blir mot denna bakgrund ett slag i luften. Om metoder för åldersverifiering kommer att skapas så kommer det per definition att leda till att tjänsteleverantören inte får tillgång till färre person- uppgifter, utan fler. Föräldrar kommer vidare att tvingas välja mellan att helt neka barnet åtkomst till de digitala tjänsterna eller godkänna ett svårbegripligt avtal som dessutom kan vara skrivet på ett sätt så att det främjar företagets intresse av datainsamling. Mot denna bakgrund bör gränsen för krav på föräldrars samtycke sättas vid en så låg ålder som möjligt, dvs. 13 år.

9.5Överväganden och förslag

Utredningens förslag: Barn som har fyllt 13 år ska själva kunna samtycka till personuppgiftsbehandling i samband med att infor- mationssamhällets tjänster erbjuds direkt till barn.

Inledning

Det finns inget givet svar på frågan vid vilken ålder ett barn själv bör kunna samtycka till att dess personuppgifter behandlas vid erbjudan- det av informationssamhällets tjänster. Det är dessutom, som framgår av avsnitt 9.4.3, fortfarande oklart vilka situationer som kommer att träffas av bestämmelsen i artikel 8.1. Svårigheterna med att sätta en åldersgräns följer också av det faktum att tjänsternas utformning varierar och ständigt utvecklas, även avseende den behandling av per- sonuppgifter som sker inom ramen för sådana tjänster. Dataskydds- förordningen ger dock inget utrymme för en differentierad ålders- gräns eller en situations- eller individanpassad bedömning. Den fråga som vi har att ta ställning till är om åldersgränsen ska vara 16 år eller om den ska vara lägre än så, dock lägst 13 år.

153

Barns samtycke som rättslig grund

SOU 2017:39

Det finns inte någon sedan tidigare lagreglerad åldersgräns inom detta område att jämföra med, vare sig på EU-nivå eller i svensk rätt. Inte heller finns det något närliggande rättsområde som direkt skulle kunna användas som förebild. Det finns däremot andra länder där det har fastställts en åldersgräns för när ett giltigt samtycke till behand- ling av personuppgifter kan ges. Som exempel kan nämnas USA, där gränsen är 13 år.27

I kommissionens förslag till dataskyddsförordning den 25 januari 2012 var åldersgränsen satt till 13 år.28 Även Europaparlamentets lag- stiftningsresolution den 12 mars 2014 utgick från åldersgränsen 13 år.29 Europeiska datatillsynsmannen har också ansett att ålders- gränsen borde vara 13 år.30 I Rådets generella ståndpunkt inför den så kallade trepartsdialogen med parlamentet och kommissionen angavs däremot ingen åldersgräns alls. Rådets ståndpunkt var i stället att det endast skulle vara tillåtet att behandla personuppgifter som rör ett barn om och i den mån sådant samtycke ges eller godkänns av den person som har föräldraansvar över barnet eller ges av barnet självt i situationer där det enligt unionslagstiftningen eller medlemsstaternas lagstiftning behandlas som giltigt.31

Först i ett sent skede av trepartsdialogen kom parterna överens om att höja åldersgränsen i artikel 8.1 till 16 år, med en möjlighet för medlemsstaterna att i nationell rätt sänka åldersgränsen till 13 år. Såvitt vi har kunna utröna föregicks denna ändring inte av någon egentlig diskussion i breda kretsar. Vi har därmed inte heller kunna finna någon dokumentation rörande vilka motiv som låg bakom höjningen till 16 år.

27Jfr Children's Online Privacy Protection Act of 1998, 15 U.S.C. 6501–6505.

28Förslag till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän uppgiftsskyddsförordning) (COM[2012] 11 final av den 25 januari 2012).

29Europaparlamentets lagstiftningsresolution av den 12 mars 2014 om kommissionens för- slag enligt föregående fotnot.

30Se bilaga till yttrande 3/2015, Europas stora möjlighet, Europeiska datatillsynsmannens rekom- mendationer om EU:s alternativ för reform av uppgiftsskyddet, s. 13.

31Rådets dokument 9565/15.

154

SOU 2017:39

Barns samtycke som rättslig grund

Harmonisering som skäl

Dataskyddsförordningen syftar till att harmonisera regelverken rörande personuppgiftsbehandling inom EU. Det kan tyckas anmärk- ningsvärt att medlemsstaterna just när det gäller barns samtycke ges frihet att avvika i så stor utsträckning som förordningen öppnar för. Åldersgränsen kan sättas vid 16, 15, 14 eller 13 år. Vi är tveksamma till att en stor variation på detta område gynnar skyddet för barnens integritet. Dessutom blir regelverken svårare för tjänstetillhandahål- larna att tillämpa om staternas lagstiftning föreskriver olika ålders- gränser. Det finns emellertid, innan vi lämnar vårt betänkande, ingen möjlighet att förutse hur frekvent det kommer att bli att medlems- staterna väljer att använda det utrymme att sänka åldersgränsen som ges i bestämmelsen i artikel 8.1 i förordningen. Även om vi i Sverige skulle välja att behålla den i förordningen satta åldersgränsen, för att så långt som möjligt försöka uppnå en harmonisering, är det alltså i nuläget långt ifrån säkert att detta skulle bli effekten. Detta är således inte i sig ett tungt vägande skäl för att behålla den i förordningen föreskrivna 16-årsgränsen.

Risker och skyddsmekanismer

Integritetskommittén har haft i uppdrag att utifrån ett individper- spektiv kartlägga och analysera sådana faktiska och potentiella risker för intrång i den personliga integriteten som kan finnas i samband med användning av informationsteknik (dir. 2014:65). Kommittén bedömde att användningen av vissa sociala medier innebär en allvarlig risk för den personliga integriteten, bland annat eftersom det i prak- tiken är omöjligt för användare att avgöra för vilka ändamål uppgif- terna som samlas in kommer att användas. Kommittén pekade bland annat på riskerna för att uppgifterna sprids vidare till andra företag men också på att omfattande uppgifter om användarna riskerar att komma underrättelsetjänster i tredje länder till del.32

Integritetsriskerna för barn som använder informationssamhällets tjänster är i första hand kopplade till att ett samtycke i de flesta fall innebär att en stor mängd uppgifter om barnet kan lagras och spridas i marknadsföringssyfte. Direktmarknadsföring är ofta ett grundläg-

32 SOU 2016:41 s. 395 f.

155

Barns samtycke som rättslig grund

SOU 2017:39

gande inslag i affärsmodellen för sociala nätverkstjänster och andra typer av informationssamhällets tjänster.33 Användarnas personupp- gifter samlas in och sparas, bland annat för att beteendebaserad reklam ska kunna riktas till var och en. Detta kan betraktas som en slags kartläggning av användarnas personliga förhållanden, i den mån de kommer till uttryck i deras aktiviteter online, t.ex. vid användning av en söktjänst eller ett socialt media. En sådan kartläggning kan, sär- skilt om den pågår under lång tid, i sig medföra stora risker för intrång i den personliga integriteten.

Att förstå i vilken utsträckning och för vilket syfte person- uppgifter behandlas i samband med att en tjänst erbjuds och används kräver en hög grad av insikt och mognad. Vilka personuppgifter som behandlas och hur dessa sedermera kommer att användas av tjänste- leverantören och andra parter är svårt för tjänsteleverantören att beskriva på ett enkelt och begripligt sätt. Det är som regel komplex och svår information att ta till sig även för en vuxen. Det är också svårt att utifrån den information som ges förstå och värdera riskerna med personuppgiftsbehandlingen. Det finns dessutom en risk att yngre barn, för att inte bli utanför den sociala gemenskapen, sam- tycker till en mycket omfattande personuppgiftsbehandling utan att förstå innebörden av ett sådant beslut.

När det gäller riskerna kopplade till marknadsföring har artikel 29- gruppen ansett att personuppgiftsansvariga särskilt bör avhålla sig från att behandla barns uppgifter för ändamål som direkt eller indi- rekt rör beteendebaserad marknadsföring, eftersom detta skulle ligga utanför ett barns begreppsram och därför överskrida gränsen för laglig uppgiftsbehandling.34 I skäl 38 till dataskyddsförordningen anges vidare att skydd för barns personuppgifter i synnerhet bör gälla när uppgifterna används i marknadsföringssyfte, när personlighets- och användarprofiler skapas samt när personuppgifter om barn sam- las in då tjänster som erbjuds direkt till barn utnyttjas. Det finns också olika branschöverenskommelser som syftar till att hindra att barns personuppgifter används i marknadsföringssyfte. Enligt svensk rätt strider det även som huvudregel mot god marknadsföringssed att rikta direktreklam till barn under 16 år.

33Artikel 29-gruppens yttrande 5/2009 om sociala nätverk på Internet, s. 10, och artikel 29- gruppens yttrande 1/2008 om dataskyddsfrågor med anknytning till sökmotorer.

34Artikel 29-gruppens yttrande 2/2013 om appar på smarta enheter, s. 25.

156

SOU 2017:39

Barns samtycke som rättslig grund

När det gäller barns begränsade förmåga att förstå konsekvenserna av ett samtycke innehåller dataskyddsförordningen som nämnts tidi- gare ett antal bestämmelser och skäl som särskilt syftar till att värna barns intressen vid personuppgiftsbehandling. Artikel 12.1 och skäl 58 ger uttryck för att information och kommunikation som rik- tar sig till barn ska utformas på ett tydligt och enkelt språk som barnet lätt kan förstå. Av definitionen i artikel 4.11 av begreppet sam- tycke samt av skäl 32 till förordningen framgår vidare att ett sam- tycke ska vara ett frivilligt, specifikt, informerat och otvetydigt med- givande från den registrerades sida. Detta innebär att det ställs höga krav på tjänstetillhandahållarna att utforma informationen om vad ett samtycke innebär, särskilt i förhållande till barn, om samtycket ska ses som giltigt i förordningens mening.

Sammantaget bör den lagstiftning och branschpraxis som redan finns på marknadsföringsområdet, tillsammans med dataskyddsför- ordningens allmänna bestämmelser, utgöra relativt effektiva skydds- mekanismer för att förhindra omfattande insamling och annan behandling av barns personuppgifter i marknadsföringssyfte. Förord- ningen tillhandahåller också vissa skyddsmekanismer som balanserar riskerna med att barn lämnar samtycke till omfattande behandling utan att förstå vad det innebär, bland annat genom rätten till radering enligt artikel 17.1 f.

Sammanfattande bedömning

Det förhållandet att en åldersgräns införs innebär normalt inte att barn och unga med en ålder under gränsen kommer att utestängas från möjligheten att använda informationssamhällets tjänster. Ålders- gränsen innebär dock att en förälder kommer att behöva antingen samtycka till att personuppgifter som avser barnet behandlas eller godkänna det av barnet lämnade samtycket. Eftersom ett barn som regel inte kan använda sociala medier och liknande tjänster om inte samtycke till behandling av personuppgifter ges, blir detta krav i praktiken en inskränkning i barnets rätt att fritt söka information och uttrycka sig i olika sammanhang. Det innebär också en begränsning av barnets självbestämmanderätt.

Barn i Sverige har i dag en hög medievana. Tillgången till infor- mation via söktjänster och deltagandet i olika onlineaktiviteter har

157

Barns samtycke som rättslig grund

SOU 2017:39

stor samhällelig och social betydelse för barn och unga. Det är ett sätt att skapa och behålla kontakt med kamrater, delta i politiska och andra diskussionsforum, söka information till skolarbeten, spela spel, se på film och lyssna på musik. En hög åldersgräns för när ett barn själv kan ge giltigt samtycke till personuppgiftsbehandling kan leda till att barn i mitten av sin tonårstid utestängs från möjligheten till social och kulturell samvaro inom ramen för det som avses med informationssamhällets tjänster, om dess vårdnadshavare inte sam- tycker till den personuppgiftsbehandling som krävs för att barnet ska kunna använda tjänsten. Denna oönskade effekt måste vägas emot de integritetsvinster som en hög åldersgräns skulle kunna ge.

Det har varit svårt att, inom den korta tid vi haft till vårt förfo- gande för uppdraget, klarlägga alla de omständigheter som bör påver- ka valet av åldersgräns. Rättsområdet är dessutom outforskat i Sverige eftersom någon liknande reglering, som skulle kunna tjäna som förebild, inte finns. Det saknas därför erfarenhet som skulle kunna ge indikationer på vilka konsekvenser de olika åldersgränserna skulle kunna ge.

En åldersgräns om 15 år är vanlig i svensk rätt när det gäller barns rätt till självbestämmande. Av harmoniseringsskäl framstår det dock inte ändamålsenligt att endast avvika från förordningens reglering med ett år och införa en åldersgräns som det kan befaras endast kom- mer att gälla i Sverige.

Med utgångspunkt i det som hittills har framkommit anser vi dessutom att övervägande skäl talar för att det i nuläget inte bör gälla en hög åldersgräns. Vi har då beaktat det skydd för barns per- sonuppgifter som ges genom dataskyddsförordningens övriga bestäm- melser och annan lagstiftning, t.ex. på marknadsföringsområdet. Vi har också vägt in att det i nuläget är oklart hur äktheten av föräld- rarnas samtycke ska kunna verifieras vilket medför att effektiviteten kan ifrågasättas. Det skulle kunna leda till att integritetsskyddet uteblir, i fall då personuppgifterna borde skyddas men barnet utger sig för att vara föräldern som samtycker. En förslagenhet av barnet i det avseendet kan antas öka med stigande ålder. Detta ska vägas mot att en hög åldersgräns för när föräldrarna måste samtycka kan komma att hindra barn från att använda tjänsterna om barnet lyder föräld- rarna trots att det uteblivna samtycket inte är motiverat av integri- tetsskäl. Vi känner därför tveksamhet i fråga om en hög åldersgräns leder till ett så ökat integritetsskydd att det motiverar den begräns-

158

SOU 2017:39

Barns samtycke som rättslig grund

ning av barns rätt till självbestämmande och yttrande- och informa- tionsfrihet som en sådan åldersgräns skulle föranleda. Därtill kommer att det i dag inte finns någon åldersgräns alls i nu aktuellt avseende, vilket talar för att lagstiftning på området bör införas med försik- tighet och inte omfatta mer än vad som kan anses absolut motiverat.

Vi anser därför att åldersgränsen för när barn ska kunna samtycka till personuppgiftsbehandling vid erbjudande av informationssam- hällets tjänster bör vara så låg som förordningen medger. Vi föreslår således att åldersgränsen i Sverige i nuläget sätts till 13 år.

Om det under den fortsatta beredningen av detta betänkande, eller efter det att dataskyddsförordningen har börjat gälla, skulle visa sig att flertalet av de övriga medlemsstaterna har valt en 16-årsgräns eller en 15-årsgräns, kan det enligt vår mening finnas skäl att överväga frå- gan på nytt. Detsamma gäller om det skulle visa sig att det skydd som förordningens övriga bestämmelser, i kombination med övrig lag- stiftning rörande bland annat marknadsföring, inte i tillräckligt hög grad skyddar barn från det integritetsintrång som kan uppstå på grund av en omfattande personuppgiftsbehandling i samband med erbjudandet av informationssamhällets tjänster direkt till barn.

159

Barns samtycke som rättslig grund

SOU 2017:39

160

Känsliga personuppgifter

SOU 2017:39

I såväl direktivets som förordningens artikeltext omnämns de uppgifter som omfattas av förbudet som särskilda kategorier av per- sonuppgifter. I förordningens skäl 10 och 51 omnämns de i stället som känsliga respektive särskilt känsliga uppgifter. I personuppgifts- lagen har särskilda kategorier av personuppgifter kallats känsliga per- sonuppgifter, utan att detta närmare har kommenterats i motiven. Det begreppet är enligt vår mening tydligare än särskilda kategorier av uppgifter, och får numera anses inarbetat även på EU-nivå.1 Vi kommer därför fortsättningsvis att använda begreppet känsliga per- sonuppgifter.

Förordningens förbud kompletteras liksom i direktivet av en rad undantag som möjliggör behandling av känsliga personuppgifter i vissa fall. Förbudet i sig är direkt tillämpligt genom förordningen och kräver alltså inga åtgärder av medlemsstaterna. Vissa av undantagen innehåller dock hänvisningar till nationell rätt som kan innebära att lagstiftningsåtgärder måste vidtas på nationell nivå för att undantagen ska vara tillämpliga.

10.3Vad betyder kravet på stöd i nationell rätt?

Utredningens bedömning: Kravet på stöd i nationell rätt inne- bär att vissa av undantagen i sig bör föreskrivas i nationell rätt, antingen i generell eller i sektorsspecifik reglering.

Artikel 9 i förordningen lyder i sin helhet som följer. Hänvisningar till reglering på medlemsstatsnivå har kursiverats.

1.Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska vara förbjuden.

2.Punkt 1 ska inte tillämpas om något av följande gäller:

a) Den registrerade har uttryckligen lämnat sitt samtycke till behand-

lingen av dessa personuppgifter för ett eller flera specifika ändamål,

1 Se bland annat artikel 29-gruppens Advice paper on special categories of data (”sensitive data”.

162

SOU 2017:39

Känsliga personuppgifter

utom då unionsrätten eller medlemsstaternas nationella rätt föreskriver att förbudet i punkt 1 inte kan upphävas av den registrerade.

b)Behandlingen är nödvändig för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och på områdena social trygghet och socialt skydd, i den omfattning detta är tillåtet enligt unionsrätten eller medlemsstaternas nationella rätt eller ett kollektivavtal som antagits med stöd av medlemsstaternas nationella rätt, där lämp- liga skyddsåtgärder som säkerställer den registrerades grundläggande rättigheter och intressen fastställs.

c)Behandlingen är nödvändig för att skydda den registrerades eller någon annan fysisk persons grundläggande intressen när den registre- rade är fysiskt eller rättsligt förhindrad att ge sitt samtycke.

d)Behandlingen utförs inom ramen för berättigad verksamhet med lämpliga skyddsåtgärder hos en stiftelse, en förening eller ett annat icke vinstdrivande organ, som har ett politiskt, filosofiskt, religiöst eller fackligt syfte, förutsatt att behandlingen enbart rör sådana organs medlemmar eller tidigare medlemmar eller personer som på grund av organets ändamål har regelbunden kontakt med detta och personupp- gifterna inte lämnas ut utanför det organet utan den registrerades sam- tycke.

e)Behandlingen rör personuppgifter som på ett tydligt sätt har offentliggjorts av den registrerade.

f)Behandlingen är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk eller som en del av domstolarnas dömande verksamhet.

g)Behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

h)Behandlingen är nödvändig av skäl som hör samman med före- byggande hälso- och sjukvård och yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet, medicinska diagnoser, tillhandahållande av hälso- och sjukvård, behandling, social omsorg eller förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system, på grundval av unionsrätten eller medlemsstaternas nationella rätt eller enligt avtal med yrkesverksamma på hälsoområdet och under förut- sättning att de villkor och skyddsåtgärder som avses i punkt 3 är upp- fyllda.

i)Behandlingen är nödvändig av skäl av allmänt intresse på folk- hälsoområdet, såsom behovet av att säkerställa ett skydd mot allvarliga gränsöverskridande hot mot hälsan eller säkerställa höga kvalitets- och säkerhetsnormer för vård och läkemedel eller medicintekniska produk- ter, på grundval av unionsrätten eller medlemsstaternas nationella rätt, där lämpliga och specifika åtgärder för att skydda den registrerades rättigheter och friheter fastställs, särskilt tystnadsplikt.

163

Känsliga personuppgifter

SOU 2017:39

j) Behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ända- mål i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rät- ten till dataskydd och innehålla bestämmelser om lämpliga och sär- skilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

3.Personuppgifter som avses i punkt 1 får behandlas för de ändamål som avses i punkt 2 h, när uppgifterna behandlas av eller under ansvar av en yrkesutövare som omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fastställs av nationella behöriga organ eller av en annan person som också omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fastställs av nationella behöriga organ.

4.Medlemsstaterna får behålla eller införa ytterligare villkor, även begränsningar, för behandlingen av genetiska eller biometriska uppgifter eller uppgifter om hälsa.

Det är alltså i artikel 9.2 a (samtycke), b (arbetsrätt m.m.), g(viktigt allmänt intresse), h (hälso- och sjukvård), i (folkhälsa)och j (arkiv och statistik) samt i artikel 9.3 och 9.4 som hänvisningar finns till medlemsstaternas nationella rätt. Bestämmelserna innehåller också krav på någon form av skyddsåtgärder. Formuleringarna skiljer sig något åt. I vissa fall krävs lämpliga skyddsåtgärder (artikel 9.2 b), i andra lämpliga och särskilda åtgärder (artikel 9.2 g och 9.2 j) eller lämpliga och specifika åtgärder (artikel 9.2 i).

Det är inte helt klart vilken innebörd hänvisningarna till och kra- ven på nationell rätt har eller vilken betydelse det har att de utformats på olika sätt. Det finns några uttalanden i förordningens skäl som rör känsliga personuppgifter och kraven på stöd i nationell rätt. I skäl 10 sägs att förordningen är avsedd att ge medlemsstaterna handlingsut- rymme att specificera bestämmelser för behandlingen av känsliga uppgifter samt att förordningen inte utesluter att det fastställs när- mare omständigheter och mer exakta villkor för laglig behandling av personuppgifter. Skäl 51 och 52 rör också känsliga personuppgifter. Nämnda skäl är inte helt entydiga, men i skäl 52 nämns att vissa undantag från förbudet att behandla känsliga personuppgifter bör tillåtas om de föreskrivs (when provided for) i unionsrätten eller i med- lemsstaternas nationella rätt och underkastas lämpliga skyddsåtgärder.

164

SOU 2017:39 Känsliga personuppgifter

I rådets ståndpunkt inför antagandet av förordningen (dok 5419/1/16 REV 1 ADD 1) sägs angående undantag från förbu- det att behandla känsliga personuppgifter att sådana undantag tillåts om behandlingen i fråga grundar sig på unionsrätten eller med- lemsstaternas nationella rätt.

Inte heller ovan nämnda formuleringar ger något klart och enty- digt svar på frågan vad hänvisningarna till nationell rätt innebär. Texten i skäl 52 skulle kunna tala för att undantagen i sig måste tas in i nationell rätt för att bli tillämpliga, medan en mer enhetlig tolkning av förordningens artikel 6 och artikel 9 möjligen talar för att det sna- rare är verksamheten i sig som ska vara reglerad (jämför avsnitt 8.3.1).

Oavsett hur hänvisningarna till nationell rätt i artikel 9 ska tolkas menar vi, mot bakgrund av uttalandena i skäl 10, att en reglering och specificering av undantagen på nationell nivå inte är oförenlig med förordningen. Här beaktar vi också skrivningarna i skäl 8, där det tyd- liggörs att förordningen medger att medlemsstaterna i viss utsträck- ning införlivar delar av förordningen i nationell rätt. I vissa fall, såsom när det gäller undantaget för viktiga allmänna intressen, talar också förordningens krav på särskilda skyddsåtgärder för att såväl undan- taget som skyddsåtgärderna bör regleras och preciseras i nationell rätt för att få någon substans.

Det är inte självklart att de undantag som i så fall föreskrivs måste finnas i dataskyddslagen. Av formuleringarna i skäl 10 framgår att de närmare villkoren för sådan behandling får regleras på mer detaljerad nivå, vilket öppnar för en sektorsspecifik reglering. Det faktum att förordningens formuleringar angående stödet i nationell rätt och de skyddsåtgärder medlemsstaterna förväntas uppställa varierar i de olika undantagen, liksom undantagens skilda karaktär, gör att det för vart och ett av undantagen bör göras en bedömning av behovet och lämp- ligheten av en generell reglering i dataskyddslagen. För att tydliggöra förhållandet mellan de undantag från förbudet att behandla känsliga personuppgifter som bedöms lämpliga att föra in i dataskyddslagen och de direkt tillämpliga undantag som gäller enligt förordningens artikel 9.2 bör en upplysningsbestämmelse tas in i dataskyddslagen.

Överväganden och förslag när det gäller behandling av känsliga personuppgifter för arkiv- och statistikändamål finns i avsnitt 14.

165

Känsliga personuppgifter

SOU 2017:39

10.4Den registrerades samtycke

10.4.1Gällande rätt

I dataskyddsdirektivets artikel 8.2 a stadgas en möjlighet för medlems- staterna att lagstifta bort verkan av den registrerades samtycke när det gäller känsliga personuppgifter. Vid införandet av personuppgifts- lagen ansåg Datalagskommittén att den enskilde, vars integritet ska skyddas, själv bör få avgöra om en behandling av hans eller hennes uppgifter får ske.2 Regeringen ansåg inte heller att det fanns något integritetsskyddsintresse som gjorde det befogat att förbjuda en behandling som den registrerade och den personuppgiftsansvarige var överens om. Det infördes därför varken någon sådan bestämmelse i lag eller någon möjlighet för regeringen eller Datainspektionen att föreskriva något förbud mot behandling trots den registrerades sam- tycke.3

10.4.2Överväganden

Utredningens bedömning: Den registrerades uttryckliga sam- tycke bör även fortsättningsvis medföra att känsliga personupp- gifter får behandlas.

I förordningens artikel 9.2 a finns liksom i dataskyddsdirektivet en möjlighet för medlemsstaterna att föreskriva att den registrerade inte kan samtycka till behandling av känsliga personuppgifter. Något som talar för att det nu bör införas ett förbud mot behandling trots den registrerades samtycke har inte framkommit. Vi instämmer därför i de skäl som anförts i motiven till personuppgiftslagen. Att behand- ling av känsliga personuppgifter får ske då den registrerade har lämnat sitt samtycke framgår direkt av artikel 9.2 a och behöver inte före- skrivas. Det innebär att vi bedömer att någon nationell reglering inte bör införas på grund av artikel 9.2 a.

2SOU 1997:39 s. 373.

3Prop. 1997/98:44 s. 69.

166

SOU 2017:39

Känsliga personuppgifter

10.5Arbetsrätt, social trygghet och socialt skydd

10.5.1Gällande rätt

Dataskyddsdirektivet föreskriver ett undantag från förbudet mot behandling av känsliga personuppgifter på arbetsrättens område i arti- kel 8.2 b. Artikeln har genomförts i svensk rätt genom punkt a i 16 § första stycket PUL. Där framgår det att känsliga personuppgifter får behandlas om behandlingen är nödvändig för att den registeransvarige ska kunna fullgöra sina skyldigheter eller utöva sina rättigheter inom arbetsrätten.

Datalagskommittén ansåg att i stort sett alla skyldigheter och rättigheter för arbetsgivare beträffande de anställda och deras organi- sationer borde kunna innefattas i uttrycket inom arbetsrätten, exem- pelvis behandling i samband med sjuklön och rehabilitering av arbets- tagare. Även skyldigheter och rättigheter för fackliga organisationer i förhållande till arbetsgivare och deras organisationer borde enligt kommittén innefattas. De skyldigheter och rättigheter som avsågs var enligt kommittén sådana som åligger den personuppgiftsansvarige enligt lag, myndighetsbeslut, kollektivavtal eller andra avtal.4

Enligt artikel 8.2 b i direktivet måste den nationella lagstiftningen också föreskriva lämpliga skyddsåtgärder. Vid genomförandet av direktivet ansågs att en tillräcklig skyddsåtgärd var att föreskriva att de behandlade uppgifterna fick lämnas ut till tredje man bara om det finns en uttrycklig skyldighet för den persondataansvarige att göra det inom arbetsrätten eller den registrerade har samtyckt till utläm- nandet.5 En sådan bestämmelse infördes i 16 § andra stycket PUL.

10.5.2Överväganden och förslag

Utredningens förslag: Känsliga personuppgifter ska få behandlas om det är nödvändigt för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten. Uppgifter ska få lämnas ut till tredje part endast om det finns en skyldighet inom arbetsrätten

4SOU 1997:39 s. 372 f.

5SOU 1997:39 s. 375.

167

Känsliga personuppgifter

SOU 2017:39

för den personuppgiftsansvarige att göra det, eller om den registre- rade uttryckligen har samtyckt till utlämnandet.

Utredningens bedömning: Något undantag för behandling av känsliga personuppgifter på områdena social trygghet och socialt skydd bör inte införas i dataskyddslagen.

I dataskyddsförordningen har direktivets bestämmelse om undantag för att den personuppgiftsansvarige ska kunna fullgöra rättigheter och skyldigheter inom arbetsrätten utvidgats, till att avse även den registrerades rättigheter och skyldigheter samt områdena social trygg- het och socialt skydd (artikel 9.2 b). Förordningen förtydligar också att behandlingen kan vara tillåten enligt kollektivavtal. Förordningen förutsätter liksom direktivet att lämpliga skyddsåtgärder fastställs, med tillägget att skyddsåtgärderna ska säkerställa den registrerades grundläggande rättigheter och intressen. Undantaget gäller i den omfattning behandlingen är tillåten enligt nationell rätt och under för- utsättning att lämpliga skyddsåtgärder som säkerställer den registre- rades grundläggande rättigheter och intressen fastställs.

Arbetsrätt

Undantaget avseende arbetsrätt är tillämpligt generellt i alla sektorer av samhället. Det finns i dag inte någon sektorsspecifik reglering som kan utgöra grund för sådan behandling som avses i artikeln, och inte heller någon generellt tillämplig reglering om tystnadsplikt eller andra bestämmelser som tillgodoser förordningens krav på skyddsåtgärder.

För att möjliggöra sådan nödvändig behandling som avses i arti- keln och samtidigt tillgodose kravet på skyddsåtgärder menar vi att det finns behov av en generell reglering även fortsättningsvis. En begränsning av möjligheten att lämna ut uppgifter till utomstående framstår som en i sammanhanget effektiv och lämplig skyddsåtgärd. Med de justeringar som föranleds av förordningstexten framstår där- för en liknande bestämmelse som den som finns i punkten a i 16 § första stycket PUL samt andra stycket i samma paragraf som lämplig.

Termen arbetsrätt i detta sammanhang har en EU-rättslig inne- börd, men bör enligt vår mening i avvaktan på närmare vägledning ges den tolkning som den har vid tillämpningen av personuppgiftslagen.

168

SOU 2017:39

Känsliga personuppgifter

Den skyldighet att lämna ut personuppgifter som avses i 16 § andra stycket PUL måste enligt motiven framgå av lagstiftning, myndig- hetsbeslut eller av ett muntligt eller skriftligt avtal.6 Detsamma bör gälla även fortsättningsvis. Att undantaget i artikel 9.2 b gäller även behandling som sker enligt kollektivavtal framgår direkt av artikel- texten. Bestämmelsen i artikeln innebär också att lämpliga skydds- åtgärder måste framgå av avtalet.

Begreppet tredje part har i förordningen ersatt begreppet tredje man och bör alltså användas i den reglering vi föreslår. Tredje part definieras i förordningens artikel 4.10 som en fysisk eller juridisk person, offentlig myndighet, institution eller organ som inte är den registrerade, den personuppgiftsansvarige, personuppgiftsbiträdet eller de personer som under den personuppgiftsansvariges eller per- sonuppgiftsbiträdets direkta ansvar är behöriga att behandla per- sonuppgifterna. Detta innebär exempelvis att en arbetsgivares utläm- nande till en facklig organisation omfattas av den föreslagna regle- ringen om utlämnande.

Social trygghet och socialt skydd

Det är inte helt klart vad som avses med tilläggen social trygghet och socialt skydd i artikel 9.2 b (på engelska social security and social protection law, och på franska le droit de la sécurité sociale et de la protection sociale). Skäl 52 i förordningen indikerar att undantaget är avsett att omfatta ”behandling av personuppgifter inom ramen för arbetsrätt och sociallagstiftning, däribland pensioner”.

Begreppet sociallagstiftning brukar i svensk rätt avse lagstiftning som socialtjänstlagen, lagen med särskilda bestämmelser om vård av unga, lagen (1988:870) om vård av missbrukare och lagen om stöd och service till vissa funktionshindrade. Begreppet social trygghet i artikeltexten och omnämnandet av pensioner i skäl 52 skulle också kunna tala för att behandling av personuppgifter på socialförsäkrings- området, dvs. avseende sjukförsäkringar, pensioner och föräldraför- säkring, omfattas av undantaget. Personuppgiftsbehandling på dessa områden är i dag reglerad i sektorsspecifik lagstiftning.7

6Prop. 1997/98:44 s. 124.

7Lagen (2001:454) om behandling av personuppgifter inom socialtjänsten och 114 kap. social- försäkringsbalken.

169

Känsliga personuppgifter

SOU 2017:39

Sociallagstiftning och den lagstiftning som återfinns på socialför- säkringsområdet tycks sakligt sett ligga långt ifrån arbetsrätten, vilket talar emot att det skulle vara behandling av uppgifter i sådan verk- samhet som avses i detta sammanhang. Behandling av känsliga per- sonuppgifter i sådan verksamhet bör kunna ske med stöd av den reglering vi föreslår för myndigheters behandling som är nödvändig med hänsyn till ett viktigt allmänt intresse, i den mån den inte är sektorsspecifikt reglerad. Det kan exempelvis noteras att i direktivets skäl 34 tas sjukförsäkringar upp som ett sådant viktigt allmänt intresse som avses i direktivets motsvarande bestämmelse. Någon lik- nande skrivning finns dock inte i förordningen.

Vi bedömer det mot bakgrund av ovanstående som osannolikt att artikeln skulle vara avsedd att täcka personuppgiftsbehandling inom de områden som motsvarar den svenska sociallagstiftningen eller lagstiftningen på socialförsäkringsområdet.

Med tanke på det sammanhang där begreppen social trygghet och socialt skydd förekommer bedömer vi i stället att avsikten sannolikt är att reglera behandling som är nödvändig för att arbetsgivare, fack- förbund eller arbetsgivarorganisationer ska kunna erbjuda eller för- medla pensioner och försäkringar med anknytning till den registre- rades anställning eller yrkesliv, såsom tjänstepensioner och olika typer av gruppförsäkringar. Den behandling av känsliga personupp- gifter som är nödvändig hos en arbetsgivare för sådana syften torde i dag i många fall kunna ske med stöd av undantaget om arbetsrätt i punkten a i 16 § första stycket PUL.

Vår bedömning är att den behandling som tillåts i artikel 9.2 g inom områdena social trygghet och socialt skydd i många fall kom- mer att kunna ske med stöd av undantaget som rör arbetsrätt eller undantaget som rör viktiga allmänna intressen. Om inget av dessa undantag är tillämpliga torde behandlingen i vissa situationer i stället kunna ske med stöd av samtycke. Vi ser inget behov av att i data- skyddslagen, på generell nivå, införa denna del av det aktuella undantaget. Av förordningens artikel 9.2 b framgår som nämnts ovan att behandling enligt undantaget bara gäller i den omfattning detta är tillåtet enligt unionsrätten eller medlemsstaternas nationella rätt eller enligt ett kollektivavtal. Vår bedömning är därför att förordningen inte hindrar att undantaget endast införs delvis i nationell rätt. Om begreppen social trygghet och socialt skydd skulle visa sig få en annan

170

SOU 2017:39

Känsliga personuppgifter

EU-rättslig innebörd än vad som förutsatts här, får vår nationella reglering ses över för att säkerställa att förordningens krav efterlevs.

10.6Viktigt allmänt intresse

10.6.1Gällande rätt

Av artikel 8.4 i dataskyddsdirektivet framgår att undantag från för- budet mot behandling av känsliga personuppgifter får göras av hän- syn till ett viktigt allmänt intresse, förutsatt att sådana undantag för- ses med lämpliga skyddsåtgärder. Det finns ingen legaldefinition eller exemplifiering av vad som avses med skyddsåtgärder i direktivet. Med stöd av artikeln har olika typer av undantag införts i medlemsstaterna, bland annat för behandling av känsliga personuppgifter i myndig- heters verksamhet, på bankområdet och för att främja jämställdhet och social trygghet.8

I personuppgiftslagen har undantaget som rör viktiga allmänna intressen genomförts dels genom regleringen av behandling för forsknings- och statistikändamål i 19 § PUL, dels genom ett bemyn- digande i 20 § PUL för regeringen eller den myndighet som reger- ingen bestämmer att föreskriva ytterligare undantag om det behövs med hänsyn till ett viktigt allmänt intresse. När det gäller bemyn- digandet i 20 § PUL resoneras inte närmare i motiven kring vilka skyddsåtgärder som krävs när regeringen eller Datainspektionen med- delar föreskrifter. Det konstateras bara att regeringen och inspek- tionen måste hålla sig inom den ram som direktivet ställer upp.9

Bemyndigandet i 20 § PUL har bland annat utnyttjats genom att det har införts en bestämmelse i 8 § PUF om att känsliga person- uppgifter får behandlas av en myndighet i löpande text om uppgif- terna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Bestämmelsen gäller utöver den behandling som är tillåten enligt den så kallade missbruksregeln i 5 a § PUL och undantagen i 15–19 §§ PUL. Bestämmelsen i 8 § PUF har inte ansetts omfatta så kallad faktisk verksamhet som en myndighet bedriver.10 Med faktisk verksamhet kan avses t.ex. viss vård och behandling, rådgivning,

8Artikel 29-gruppens Advice paper on special categories of data (”sensitive data”), s. 7.

9SOU 1997:39 s. 329.

10SOU 2015:39 s. 304.

171

Känsliga personuppgifter

SOU 2017:39

uppföljning eller samverkan utan ärendeanknytning. Behandling av känsliga personuppgifter som förekommer i sådan verksamhet häm- tar sannolikt sitt stöd i missbruksregeln i 5 a § PUL.

Det finns också andra exempel än 8 § PUF på när bemyndigandet har utnyttjats för att på förordningsnivå föreskriva att myndigheter får behandla känsliga personuppgifter, t.ex. i 9 § förordning- en (2002:710) med instruktion för Folke Bernadotteakademin, samt 6 och 7 §§ förordningen (2006:275) om behandling av personuppgifter i utrikesförvaltningens konsulära verksamhet. Det har också före- kommit att regeringen beslutat om bestämmelser om privata aktörers behandling av känsliga personuppgifter på grund av viktiga allmänna intressen med stöd av 20 § PUL, exempelvis 3 kap. 13 § läkemedels- förordningen (2015:458), där det stadgas att innehavare av ett godkännande eller en registrering för försäljning av läkemedel får utföra behandling av personuppgifter som rör hälsa om det är nöd- vändigt för att de ska kunna fullgöra vissa skyldigheter.

Även i övrigt har artikel 8.4 i direktivet utgjort grund för bestäm- melser i en mängd sektorsspecifika författningar, vilka medger be- handling av känsliga personuppgifter på olika områden. Bland annat har tillsynsverksamheten hos Inspektionen för socialförsäkringen ansetts utgöra ett viktigt allmänt intresse, liksom att socialtjänsten kan utföra sina arbetsuppgifter på ett tillfredsställande sätt.11 I svensk rätt har alltså begreppet viktigt allmänt intresse ansetts omfatta även sådan verksamhet som innefattar myndighetsutövning.

10.6.2Överväganden och förslag

Utredningens förslag: Särskilda undantag från förbudet mot behandling av personuppgifter bör införas för myndigheter.

Myndigheter ska få behandla känsliga personuppgifter i löpan- de text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Vidare ska myndigheter och andra organ som omfattas av offentlighetsprincipen få behandla känsliga personuppgifter om dessa har lämnats till myndigheten eller orga- net och behandlingen krävs enligt lag. Dessutom ska myndigheter i enstaka fall få behandla känsliga personuppgifter om det är abso-

11 Prop. 2000/01:80 s.144 och SOU 2014:67 s. 112.

172

SOU 2017:39

Känsliga personuppgifter

lut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.

Ett förbud för myndigheter att använda sökbegrepp som av- slöjar känsliga personuppgifter ska också införas, i fall då behand- lingen sker enbart med stöd av de nämnda undantagen.

Regeringen ska få meddela föreskrifter om ytterligare undantag från förbudet mot behandling av känsliga personuppgifter om det behövs med hänsyn till ett viktigt allmänt intresse.

Begreppet viktigt allmänt intresse

Av artikel 9.2 g framgår att känsliga personuppgifter får behandlas om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av nationell rätt. Samtidigt förekommer begrep- pet allmänt intresse i artikel 6.1 e. Båda begreppen är unionsrättsliga, och finns även i dataskyddsdirektivet (artiklarna 7 e och 8.4). Olika varianter på begreppen återfinns, förutom i de nämnda artiklarna, i artikel 23.1 e och artikel 49 d i dataskyddsförordningen. Vad som är ett allmänt intresse respektive ett viktigt allmänt intresse är dock inte definierat i vare sig dataskyddsdirektivet eller dataskyddsförord- ningen, och begreppens innebörd har inte heller utvecklats av EU- domstolen.

I avsnitt 8.3.4 bedömer vi att det med hänsyn till svensk förvalt- ningstradition är rimligt att anta att alla uppgifter som utförs av stat- liga myndigheter i syfte att uppfylla ett uttryckligt uppdrag av riksdag eller regering är av allmänt intresse, och att de obligatoriska uppgifter som utförs av kommuner och landsting till följd av deras åligganden enligt lag eller förordning, är av allmänt intresse i dataskyddsförord- ningens mening.

Det kan noteras att i kommissionens ursprungliga förordnings- förslag föreslogs att begreppet allmänt intresse skulle användas i artikel 9, i stället för viktigt allmänt intresse. Ordet ”viktigt” fördes dock tillbaka under förhandlingarna i rådet. Detta talar för att begreppet i artikel 9 är något snävare än begreppet i artikel 6.

Det är svårt att på ett generellt plan definiera vad som skiljer en uppgift av allmänt intresse enligt artikel 6.1 e från sådana viktiga all- männa intressen som kan motivera behandling av känsliga person-

173

Känsliga personuppgifter

SOU 2017:39

uppgifter enligt artikel 9.2 g. Utgångspunkten för våra fortsatta över- väganden när det gäller myndigheters behandling är att det måste anses utgöra ett viktigt allmänt intresse att svenska myndigheter kan bedriva den verksamhet som tydligt faller inom ramen för deras upp- drag på ett korrekt, rättssäkert och effektivt sätt. Vilken behandling av känsliga personuppgifter som är nödvändig av hänsyn till detta intresse får bedömas när myndigheternas behandling av personupp- gifter blir föremål för författningsreglering nationellt. Vi avser att återkomma till den frågan nedan, när det gäller hur ett generellt till- lämpligt undantag för myndigheter bör utformas i dataskyddslagen. Det kan dock finnas anledning att erinra om att även om viss behand- ling av känsliga personuppgifter är tillåten enligt dataskyddslagen eller sektorsspecifik reglering måste den i det enskilda fallet också leva upp till dataskyddsförordningens krav i övrigt, exempelvis prin- ciperna för behandling i artikel 5.

Förordningens krav på skyddsåtgärder förklaras inte närmare i förordningstext eller skäl. Artikel 29-gruppen har inför dataskydds- reformen efterfrågat en definition av begreppet och exemplifieringar av sådana åtgärder, men någon definition har inte införts i förord- ningen.

En särskild myndighetsreglering

Myndigheter har ofta berättigade skäl att behandla känsliga person- uppgifter, och i många fall sker behandlingen i den registrerades eget intresse. Det finns därför ett behov av en tydlig reglering som tillåter viss behandling av känsliga personuppgifter hos myndigheterna. I många fall finns sådana regler i sektorsspecifika författningar. Det behov av att behandla känsliga personuppgifter som därutöver finns hos myndigheter är i dag tillgodosett genom att viss behandling är tillåten enligt 8 § PUF och genom missbruksregeln i 5 a § PUL. Vi bedömer att det även fortsättningsvis finns behov av generellt tillämpliga undantag, som ska gälla i de fall där sektorsspecifik regle- ring saknas.

Förordningens krav på att behandlingen ska vara nödvändig för ett viktigt allmänt intresse utgör en grundläggande begränsning av myn- digheternas möjligheter till behandling. Det är inte helt klart i vilken mån kravet på nödvändighet innebär något ytterligare för myndig-

174

SOU 2017:39

Känsliga personuppgifter

heternas del än det nödvändighetskrav som återfinns redan i villkoren för laglig behandling i artikel 6.1 c och e i dataskyddsförordningen. Sannolikt innebär kravet på nödvändighet i artikel 9 enbart en erinran om att behovet av att behandla just de känsliga personuppgifterna ska prövas mot det något striktare kravet på ”viktigt allmänt intresse”. I detta sammanhang förtjänar det att påpekas att unionsrättsligt har nödvändighetsrekvisitet inte ansetts utgöra ett krav på att det ska vara omöjligt att fullgöra förpliktelsen eller utföra uppgiften utan att behandlingsåtgärden vidtas.12

Informationshanteringsutredningen föreslog en bestämmelse om behandling av känsliga personuppgifter hos myndigheter av följande lydelse. 13

Utöver vad som följer av 15, 16, 18 och 19 §§ personuppgiftslagen (1998:204) får känsliga personuppgifter behandlas om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggning av det eller om uppgifterna behandlas endast i löpande text.

Utredningen menade bland annat att förslaget skulle tillgodose beho- vet av en reglering som möjliggör behandling av känsliga person- uppgifter inom ramen för ett ärendehanteringssystem, oavsett om de förekommer i löpande text eller inte. Förslaget innebar också att missbruksregeln inte skulle tillämpas på myndigheters behandling av känsliga personuppgifter.

Förslaget kritiserades av flera remissinstanser, bland andra Data- inspektionen och Advokatsamfundet. Datainspektionen ansåg att begränsningen till vad som är nödvändigt för handläggningen av ett ärende inte innebar en tillräckligt restriktiv utformning av bestäm- melsen eftersom det potentiella integritetsintrånget skulle bero på hur myndigheterna väljer att avgränsa sina ärenden. Inspektionen kritiserade också att förslaget inte innehöll någon begränsning till uppgifter i löpande text. Advokatsamfundet menade att den nuva- rande regleringen i 8 § PUF borde ha tagits in oförändrad i förslaget.

Mot bakgrund av den remisskritik som uttalats mot Informations- hanteringsutredningens förslag är vår utgångspunkt att någon större utvidgning av myndigheternas möjligheter att behandla känsliga per- sonuppgifter inte bör införas genom den dataskyddslag vi föreslår. En

12Dom Huber mot Tyskland, C-524/06, EU:C:2008:724.

13SOU 2015:39 s. 39, 10 § i förslaget till myndighetsdatalag.

175

Känsliga personuppgifter

SOU 2017:39

tydligt utvidgad möjlighet att behandla känsliga personuppgifter hos myndigheter måste föregås av en mer ingående analys av kon- sekvenserna ur ett integritetsperspektiv, som vi inte bedömer är möj- lig att genomföra inom ramen för vårt uppdrag.

Behandling i löpande text

I dag har myndigheter enligt 8 § PUF möjlighet att behandla känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Detta möj- liggör till exempel att känsliga personuppgifter får finnas i skälen till ett beslut, när det krävs för att beslutet ska uppfylla kraven enligt för- valtningslagen (1986:223). Med de avgränsningar bestämmelsen har till myndigheters ärendehandläggning bedömer vi att sådan behand- ling får anses nödvändig av hänsyn till ett viktigt allmänt intresse och att den bör möjliggöras genom en bestämmelse i dataskyddslagen.14 Begränsningen till löpande text bör dock inte utesluta att handlingar med ostrukturerade känsliga personuppgifter lagras elektroniskt i ärendehanteringssystem eller liknande. Skyddet för uppgifterna bör i stället upprätthållas genom ett sökförbud, se nedan.

Behandling som krävs på grund av annan lag

Att myndigheterna ska kunna sköta sitt uppdrag på ett korrekt, rätts- säkert och effektivt sätt måste som vi konstaterat tidigare anses vara ett viktigt allmänt intresse. Detta förutsätter att den grundlagsstad- gade handlingsoffentligheten och andra lagstadgade skyldigheter upp- rätthålls. Viss behandling av känsliga personuppgifter är oundviklig i myndigheternas verksamhet som en direkt följd av exempelvis tryck- frihetsförordningens, offentlighets- och sekretesslagens och förvalt- ningslagens krav när det gäller inkomna handlingar, såsom krav på diarieföring och skyldighet att ta emot e-post. Myndigheternas skyl- digheter enligt nämnda lagar är inte begränsade till behandling som sker inom ramen för ärendehandläggning eller i löpande text. Samma skyldigheter gäller i viss utsträckning för vissa andra organ än myn- digheter, som en följd av att dessa organ jämställs med myndigheter

14 En liknande bedömning gjordes i SOU 2004:6 s. 115 f.

176

SOU 2017:39

Känsliga personuppgifter

enligt offentlighets- och sekretesslagen. Sådan behandling bör ut- tryckligen tillåtas i dataskyddslagen så att det inte råder någon tvek- samhet kring lagligheten av behandlingen.

Absolut nödvändig behandling i andra fall

Behandling av känsliga personuppgifter kan vidare vara berättigad även i vissa situationer utöver behandling i löpande text med koppling till ett visst ärende, eller då behandlingen inte direkt krävs enligt annan lag. Så kan exempelvis vara fallet i faktisk verksamhet såsom i kommunikation mellan skola och föräldrar eller inom en myndighet i samband med utvärdering. Enligt nuvarande ordning ges möjlighet till sådan behandling med stöd av missbruksregeln i 5 a § PUL, vilken bland annat innebär att behandling får ske i ostrukturerat material om den inte innebär en kränkning av den registrerades personliga integri- tet. Denna formulering i 5 a § PUL innebär att bedömningen ska ta sin utgångspunkt i vilket sammanhang uppgifterna förekommer, för vilket syfte de behandlas och vilken spridning uppgifterna har fått.15 Formuleringen har också ansetts medföra att en intresseavvägning måste ske i det enskilda fallet.16

Vår utgångspunkt är att dataskyddslagen bör ge utrymme för behandling i motsvarande situationer efter en prövning i det enskilda fallet. Behandlingen måste dock regleras på ett sätt som beaktar för- ordningens krav på proportionalitet och skyddsåtgärder. För att upp- nå detta i en bestämmelse som avser samtliga myndigheter är det vår bedömning att regleringen bör innehålla vissa klart begränsande rekvisit. Det bör därför framgå av författningstexten att undantaget ska gälla för behandling i enstaka fall.

Ett rekvisit som använts såväl i unionsrätten som i svensk rätt för att markera restriktivitet är begreppet absolut nödvändigt. Begreppet ska inte förväxlas med det unionsrättsliga begreppet nödvändigt, vilket som nämnts tidigare har fått en något annorlunda betydelse än det har i svenskt språkbruk (jfr avsnitt 8.2.2).

Begreppet absolut nödvändigt återfinns bland annat i artikel 10 och artikel 39.1 a i det nya dataskyddsdirektivet (”strictly necessary” i

15Prop. 2005/06:173 s. 59.

16Öman och Lindblom, Personuppgiftslagen (20 december 2016, Zeteo), kommentaren till

5a § PUL.

177

Känsliga personuppgifter

SOU 2017:39

den engelska versionen). Av skäl 72 i nya dataskyddsdirektivet fram- går att man med rekvisitet absolut nödvändigt i artikel 39.1 a – som rör överföring av uppgifter till mottagare som är etablerade i tredje- länder − avsett att regleringen ska tillämpas restriktivt ochinte möj- liggöra upprepade, omfattande, strukturella eller storskaliga över- föringar. Det finns också ett flertal exempel på hur begreppet absolut nödvändigt har använts i svensk rätt i sektorsspecifika författningar som har antagits på senare tid, exempelvis i 2 kap. 8 § åklagardata- lagen (2015:433) och 15 § utlänningsdatalagen, för att markera sär- skild restriktivitet och betona vikten av en prövning i det enskilda fal- let.

Vår avsikt är att markera att behandling av känsliga personupp- gifter i här aktuella fall bara ska ske efter en noggrann prövning i det enskilda fallet. Enligt vår bedömning ger rekvisitet absolut nöd- vändigt uttryck för den avsikten på ett rättvisande sätt.

Prövningen bör också ske med beaktande av vilket intrång be- handlingen utgör i den registrerades integritet. Vi föreslår därför att en avvägning ska göras av om en i och för sig absolut nödvändig behandling av känsliga personuppgifter ändå innebär ett otillbörligt intrång i den registrerades identitet. Begreppet otillbörligt intrång används bland annat i 19 § andra stycket PUL, och förekom redan i 3 § datalagen (1973:289).

Av 3 § datalagen och motiven till den bestämmelsen framgår att det vid bedömningen av om en behandling utgjorde ett otillbörligt intrång skulle läggas vikt vid sådana aspekter som uppgifternas känslighet, den inställning de registrerade kunde antas ha till att upp- gifter om dem behandlades, den spridning de skulle komma att få och risken för vidarebehandling för andra ändamål än insamlingsända- målet.17 Sådana aspekter bör vara vägledande även vid tillämpningen av den bestämmelse vi föreslår. Den närmare betydelsen av begreppet otillbörligt intrång bör dock inte slås fast, utan ges utrymme att utvecklas i rättstillämpningen. Om en domstol skulle bedöma att en absolut nödvändig behandling ändå utgör ett otillbörligt intrång och därmed inte är tillåten, bör lagstiftaren överväga om ett sektors- specifikt undantag med mer precisa avvägningar och begränsningar behövs för att myndigheten ska kunna bedriva sin verksamhet på det aktuella området.

17 Prop. 1973:33 s. 94 f.

178

SOU 2017:39

Känsliga personuppgifter

Sökförbud

Eftersom den reglering vi föreslår för myndigheters behandling av känsliga personuppgifter inte är avgränsad till visst område, viss verk- samhet eller en viss typ av ärenden bedömer vi att ytterligare åtgärder bör införas för att leva upp till förordningens krav på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

En vanligt förekommande skyddsåtgärd i befintliga sektorsspeci- fika författningar är sökbegränsningar. Vi menar att en sökning som avslöjar och sammanställer känsliga personuppgifter är en åtgärd som i sig innebär en integritetskränkning. Företeelsen ligger nära det som ursprungligen har motiverat förbudet mot behandling av känsliga personuppgifter, nämligen möjligheten att kartlägga personer på grundval av exempelvis etnicitet eller politiska åsikter. Med ett sökförbud uppnås ett relativt effektivt skydd av just de intressen som bestämmelserna om känsliga personuppgifter ska värna.

Ett sådant sökförbud innebär i svensk rätt också att offent- lighetsprincipen inskränks enligt den så kallade begränsningsregeln i 2 kap. 3 § tredje stycket tryckfrihetsförordningen. En begäran att få tillgång till en sammanställning av uppgifter som är resultatet av en sådan förbjuden sökning ska alltså avslås på den grunden att samman- ställningen inte anses förvarad hos myndigheten. Att sammanställ- ningar av känsliga personuppgifter inte lämnas ut framstår som en inte obetydlig integritetsvinst för de registrerade. Det bör dock under- strykas att begränsningsregeln inte hindrar att sökningar görs i fär- diga elektroniska handlingar vid en begäran om tillgång till allmänna handlingar. Sökning får alltså på begäran ske i upptagningar där myn- digheten eller den som lämnat in handlingen till myndigheten har gett upptagningen ett bestämt, fixerat, innehåll som går att återskapa gång på gång.

Med beaktande av vad som nämnts ovan om skyddseffekterna av ett sökförbud föreslår vi att myndigheters möjligheter att använda sökbegrepp som avslöjar känsliga personuppgifter ska begränsas. Ett alternativ vi har övervägt är att föreslå ett generellt sökförbud för myndigheter, oavsett på vilket undantag de stödjer sin behandling. Konsekvenserna av ett generellt tillämpligt sökförbud är dock svåra att överblicka, såväl vad gäller effekterna på handlingsoffentligheten som när det gäller myndigheternas praktiska verksamhet. Det är

179

Känsliga personuppgifter

SOU 2017:39

vidare tveksamt om ett sökförbud som gäller även för behandling som sker med stöd av direkt tillämpliga undantag i artikel 9 skulle vara förenligt med förordningen.

Vi har mot denna bakgrund bedömt att sökförbudet bör begränsas till fall då behandlingen sker enbart med de generella myndighets- undantagen som grund. Det innebär exempelvis att sökförbudet inte kommer att gälla när behandling sker i myndigheters personal- administrativa verksamhet med stöd av det föreslagna undantaget på arbetsrättens område. I praktiken kan sökförbudets utformning där- för komma att få effekter på hur myndigheterna organiserar sin per- sonuppgiftsbehandling, genom att hanteringen av personaladmi- nistrativa uppgifter skiljs från behandling som huvudsakligen sker med stöd av de generella myndighetsundantagen. Detta torde dock vara fallet redan i dag, eftersom uppgifter i den personaladministrativa verksamheten omfattas av särskilda sekretessregler och som regel behandlas av en begränsad krets personer. Vår bedömning är att mer- parten av den behandling av känsliga personuppgifter som sker i myndigheternas verksamhet i övrigt kommer att behöva ske med stöd av de föreslagna myndighetsundantagen, när sektorsspecifik reg- lering inte finns.

Sökförbudet bör omfatta alla typer av tekniska åtgärder som inne- bär att uppgifter används för att strukturera eller systematisera infor- mation så att känsliga personuppgifter avslöjas.

Sektorsspecifik reglering och normnivå

De här föreslagna undantagen är avsedda att vara generellt tillämpliga regler som ska gälla för myndigheter i verksamhet som inte har någon sektorsspecifik reglering av sin behandling av känsliga personupp- gifter. Det kan finnas anledning att för vissa sektorer närmare preci- sera och avgränsa möjligheterna att behandla känsliga personupp- gifter mer än i de här föreslagna undantagen. Ett berättigat behov av att behandla känsliga personuppgifter i större omfattning än vad dessa undantag medger, exempelvis ett behov av att använda sök- begrepp som avslöjar känsliga personuppgifter, kommer också att finnas i vissa verksamheter. Det finns då, precis som i dag, möjlighet att införa sektorsspecifik reglering som är mer tillåtande − exempelvis genom undantag från sökförbudet − så länge dessa undantag utfor-

180

SOU 2017:39

Känsliga personuppgifter

mas så att de är förenliga med regeringsformens och dataskyddsför- ordningens bestämmelser. En viktig aspekt att beakta är då givetvis förordningens krav på proportionalitet, förenlighet med det väsent- liga innehållet i rätten till dataskydd och kravet på skyddsåtgärder. I detta sammanhang förtjänar det återigen att påpekas att all behand- ling, även sådan behandling av känsliga personuppgifter som har stöd i sektorsspecifik författning, måste leva upp till förordningens krav i det enskilda fallet, exempelvis de grundläggande kraven på behandling i artikel 5.

Den enda generella reglering av myndigheternas behandling av känsliga personuppgifter som finns i dag är föreskriven på förord- ningsnivå (8 § PUF). Vi anser dock att de undantag vi föreslår för myndigheters behandling av känsliga personuppgifter bör regleras i lag. Vi bedömer i och för sig inte att de nu föreslagna undantagen är av sådant slag att de måste regleras i lag enligt 2 kap. 6 och 20 §§ regeringsformen. Bestämmelsen i 8 kap. 2 § 2 regeringsformen ger vidare möjlighet att meddela undantag från förbudet mot behandling av känsliga personuppgifter med stöd i ett bemyndigande, se avsnittet nedan. Med tanke på att de undantag vi föreslår för myndigheternas behandling av känsliga personuppgifter gäller generellt, utan begräns- ning till viss typ av verksamhet eller vissa typer av ärenden, är det ändå lämpligt att regleringen får lagform.

Bemyndigande som möjliggör ytterligare undantag

Bemyndigandet i 20 § PUL har som nämnts ovan utnyttjats i flera fall för att föreskriva i förordning att behandling för viktiga allmänna intressen får ske utöver undantaget för myndigheters behandling i 8 § PUF, bland annat för att reglera privata aktörers behandling av känsliga personuppgifter. Det kommer att finnas ett fortsatt behov av att i förordning kunna föreskriva undantag för viktiga allmänna intressen för vissa tydligt avgränsade ändamål eller för vissa särskilda verksamheter, utöver de generella undantag för myndigheter som vi föreslår. På grund av att den så kallade missbruksregeln i 5 a § PUL inte längre kommer att kunna utgöra stöd för behandling när förord- ningen börjar tillämpas, kommer sannolikt behovet av ytterligare undantag att öka.

181

Känsliga personuppgifter SOU 2017:39

Frågan är då om ett bemyndigande krävs för att åstadkomma en sådan möjlighet. I motiven till personuppgiftslagen har det ansetts att reglering som rör i vilka konkreta fall viktiga allmänna intressen gör det befogat att känsliga personuppgifter behandlas trots det gene- rella förbudet mot behandling av sådana uppgifter, är sådana offent- ligrättsliga föreskrifter som tillhör det primära lagområdet men som kan meddelas efter delegation enligt nuvarande 8 kap. 2 § 2 och 3 § regeringsformen.18

Vi instämmer i den bedömning som har gjorts tidigare. Eftersom ett principiellt förbud mot behandling av känsliga personuppgifter gäller till skydd för enskilda, innebär en reglering som möjliggör behandling av just känsliga personuppgifter enligt vår mening ett sådant ingrepp i enskildas personliga förhållanden som enligt 8 kap. 2 § 2 regeringsformen ska ha stöd i ett bemyndigande. Några problem med det befintliga bemyndigandet till regeringen har inte framkom- mit. Vi föreslår därför att ett bemyndigande för regeringen att före- skriva om undantag förs in i dataskyddslagen. Eftersom regeringen hittills inte har sett anledning att utnyttja möjligheten i 20 § PUL att bemyndiga Datainspektionen att meddela föreskrifter och något behov av sådan vidaredelegation inte har framkommit, föreslår vi ingen sådan möjlighet.

När nya undantag övervägs med stöd av bemyndigandet måste en noggrann bedömning göras av om lagform ändå krävs enligt 2 kap. 6 och 20 §§ regeringsformen. Det måste också säkerställas att förord- ningens krav i övrigt, bland annat när det gäller skyddsåtgärder, är uppfyllda.

10.7Hälso- och sjukvård och social omsorg

10.7.1Gällande rätt

Dataskyddsdirektivets undantag för behandling av känsliga person- uppgifter på hälso- och sjukvårdsområdet (artikel 8.3) har följande lydelse.

Punkt 1 gäller inte när behandlingen av uppgifterna är nödvändig med hänsyn till förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälso- eller sjukvård eller

18 Prop. 1997/98:44 s. 59 f och SOU 1997:39 s. 328.

182

SOU 2017:39

Känsliga personuppgifter

när dessa uppgifter behandlas av någon som är yrkesmässigt verksam på hälso- och sjukvårdsområdet och som enligt nationell lagstiftning eller bestämmelser som antagits av behöriga nationella organ är under- kastad tystnadsplikt eller av en annan person som är ålagd en liknande tystnadsplikt.

Bestämmelsen har genomförts i 18 § PUL. I första stycket stadgas att känsliga personuppgifter får behandlas för hälso- och sjukvårdsända- mål, om behandlingen är nödvändig för förebyggande hälso- och sjuk- vård, medicinska diagnoser, vård eller behandling, eller administration av hälso- och sjukvård. Bestämmelsen anses täcka nästan all behand- ling av personuppgifter som förekommer inom hälso- och sjukvårds- området. Bland annat har internationellt folkhälsoarbete, kvali- tetshöjande behandling av personuppgifter, debitering av avgifter och tillsyn över hälso- och sjukvård ansetts omfattas av bestämmelsen.

I andra stycket första meningen samma paragraf stadgas att den som är yrkesmässigt verksam inom hälso- och sjukvårdsområdet och har tystnadsplikt även får behandla sådana känsliga personuppgifter som omfattas av tystnadsplikten. Detsamma gäller enligt andra meningen i samma stycke den som är underkastad en liknande tyst- nadsplikt och som har fått känsliga personuppgifter från verksamhet inom hälso- och sjukvårdsområdet. I bestämmelsen uppställs inget krav på att uppgifterna ska behandlas för hälso- och sjukvårds- ändamål. Det krav som ställs i praktiken är alltså i stället att den person som behandlar uppgifterna omfattas av tystnadsplikt enligt 25 kap. 1 § OSL, eller enligt 12 § patientsäkerhetslagen (2010:659), antingen direkt eller genom att tystnadsplikten överförts i sådana fall som avses i 11 kap. OSL. Den svenska implementeringen av direk- tivet genom 18 § andra stycket PUL har fått kritik för att den innebär en väsentlig utvidgning i förhållande till direktivet. Detta kan bero på att den svenska versionen av direktivet är felöversatt. Enligt de engelsk- och franskspråkiga versionerna av direktivet gäller kravet på tystnadsplikt utöver kravet på att behandlingen ska ske för de särskilt angivna hälso- och sjukvårdsändamålen.19

Bestämmelsen i 18 § andra stycket andra meningen PUL om den som har fått uppgifter från en verksamhet inom hälso- och sjukvårds- området infördes efter remissynpunkter för att genomföra direktivets bestämmelse om behandling av en annan person som är ålagd en

19 SOU 2006:82 s. 175 och Rynning, Förvaltningsrättslig tidskrift 2003 s. 112.

183

Känsliga personuppgifter

SOU 2017:39

liknande tystnadsplikt som yrkesverksamma på hälso- och sjukvårds- området. Syftet var att reglera situationer när känsliga personupp- gifter lämnas av en myndighet inom hälso- och sjukvården till forsk- ningsverksamhet eller verksamhet för tillsyn eller revision hos annan myndighet.20

I dag regleras behandling av personuppgifter inom hälso- och sjukvården framför allt i patientdatalagen. Behandling av uppgifter om känsliga personuppgifter i den verksamheten anses ske med stöd av ändamålsbestämmelserna i 2 kap. 4 och 7 §§ nämnda lag.21 I 2 kap. 8 § patientdatalagen finns också en bestämmelse som reglerar möj- ligheterna att använda känsliga personuppgifter som sökbegrepp. Patientdatalagen reglerar inte behandling av känsliga personuppgifter som sker hos tillsynsmyndigheterna på hälso- och sjukvårdsområdet, dvs. exempelvis Datainspektionen, Socialstyrelsen och Inspektionen för vård och omsorg. Sådan behandling sker direkt med stöd av 18 § PUL.

10.7.2Överväganden och förslag

Utredningens förslag: Känsliga personuppgifter ska få behandlas för sådana ändamål relaterade till hälso- och sjukvård samt social omsorg som avses i dataskyddsförordningen, under förutsättning att förordningens krav på tystnadsplikt är uppfyllt.

I artikel 9.2 h i dataskyddsförordningen har några ytterligare verk- samhetstyper lagts till den uppräkning av verksamheter som anges i direktivets motsvarande artikel i hälso- och sjukvårdsundantaget, nämligen yrkesmedicin, bedömningen av en arbetstagares arbetskapa- citet och social omsorg. Sannolikt omfattar tillägget avseende arbets- kapacitet behandling av uppgifter relaterade till sjukskrivning och rehabilitering på arbetet och begreppet social omsorg snarast uppgif- ter som utförs av socialtjänsten.

Vissa justeringar i artikeltexten i övrigt har också gjorts. Begreppet vård har ersatts med tillhandahållande av hälso- och sjukvård och begreppet administration av hälso- och sjukvård har ersatts med för-

20Prop. 1997/98:44 s. 125.

21Prop. 2007/08:126 s. 63 och 230 f.

184

SOU 2017:39

Känsliga personuppgifter

valtning av hälso- och sjukvårdstjänster och deras system. Av dataskyddsförordningens skäl 53 framgår att avsikten är att begreppet förvaltning av hälso- och sjukvårdstjänster ska tolkas vitt och bland annat inbegripa behandling som utförs av centrala nationella hälso- vårdsmyndigheter samt vid tillsyn över hälso- och sjukvård och social omsorg. Dessutom har direktivets formulering att behandlingen ska vara nödvändig med hänsyn till sådan verksamhet som omnämns i artikeln, bytts ut till att behandlingen ska vara nödvändig av skäl som hör samman med sådan verksamhet.

Av artikel 9.3, som är direkt tillämplig, framgår att behandling av känsliga personuppgifter som avses i artikel 9.2 h får utföras av, eller under ansvar av, personer som omfattas av tystnadsplikt enligt unions- rätten, medlemsstaternas nationella rätt eller bestämmelser som fast- ställs av nationella behöriga organ. I artikeln tydliggörs också att sådan behandling ska ske för de ändamål som nämns i artikel 9.2 h. Förordningens reglering tycks alltså sammanfattningsvis innebära att all behandling enligt artikel 9.2 h förutsätter såväl tystnadsplikt som att behandlingen sker för de särskilt angivna hälso- och sjukvårds- relaterade ändamålen.

Det är av stor vikt att förutsättningarna för att behandla känsliga personuppgifter för hälso- och sjukvårdsändamål är reglerade på ett så tydligt sätt som möjligt. Det finns sannolikt även fortsättningsvis ett behov av att detaljreglera de närmare förutsättningarna för behand- ling av personuppgifter på dessa områden, även känsliga person- uppgifter, i sektorsspecifik författning. Det är dock inte självklart att sådana författningar kan och bör reglera även exempelvis tillsyns- myndigheternas behandling. Det har inte framkommit annat under utredningens arbete än att den nuvarande regleringen behövs. Vi menar därför att ett grundläggande undantag när det gäller behand- ling av känsliga personuppgifter i verksamhet på hälso- och sjuk- vårdsområdet och inom social omsorg även fortsättningsvis bör fin- nas i generell reglering, dvs. i dataskyddslagen.

Vi föreslår att den befintliga regleringen i 18 § första stycket PUL används som utgångspunkt, men att ordalydelsen anpassas till de tillägg och justeringar som har gjorts i förordningstexten i arti- kel 9.2 h jämfört med direktivstexten. Känsliga personuppgifter ska alltså få behandlas om behandlingen är nödvändig av skäl som hör samman med förebyggande hälso- och sjukvård och yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet, medicinska diagno-

185

Känsliga personuppgifter

SOU 2017:39

ser, tillhandahållande av hälso- och sjukvård eller behandling, social omsorg samt förvaltning av social omsorg, hälso- och sjukvårdstjäns- ter och deras system.

Det framgår enligt vår mening tydligt av förordningstexten i arti- kel 9.2 h och artikel 9.3 att all behandling måste ske för de närmare specificerade hälso- och sjukvårdsrelaterade ändamål som nämns i artikel 9.2 h, och att sådan behandling bara får ske av eller under ansvar av en person som omfattas av tystnadsplikt enligt gällande rätt. Eftersom artikel 9.3 i förordningen är direkt tillämplig får den när- mare innebörden av kravet på tystnadsplikt ytterst uttolkas av EU- domstolen. I Sverige regleras tystnadsplikt inom de områden som täcks av artikeln i bland annat 25 och 26 kap. OSL och 6 kap. 12– 16 §§ patientsäkerhetslagen.

Enligt förordningens skäl 53 omfattas behandling av känsliga personuppgifter inom tillsyn över hälso- och sjukvård av artikel 9.2 h. Därmed bör enligt vår bedömning den behandling som åsyftas i 18 § andra stycket PUL kunna omfattas av ordalydelsen i artikel 9.2 h och

9.3i förordningen.

10.8Folkhälsa

10.8.1Gällande rätt

Något särskilt undantag från förbudet mot behandling av känsliga personuppgifter i fråga om behandling för folkhälsoändamål finns inte i dataskyddsdirektivet. I skäl 34 i direktivet nämns i stället folk- hälsa som ett sådant område där ett undantag kan vara motiverat av hänsyn till viktiga allmänna intressen. Internationellt folkhälsoarbete har i svensk rätt ansetts falla in under formuleringen förebyggande hälsovård i 18 § PUL, dvs. det så kallade hälso- och sjukvårdsundan- taget.22

22 Prop. 2005/06:215 s. 47.

186

SOU 2017:39

Känsliga personuppgifter

10.8.2Överväganden

Utredningens bedömning: Något undantag för behandling av känsliga personuppgifter på folkhälsoområdet bör inte införas i dataskyddslagen.

I förordningens artikel 9.2 i finns ett särskilt undantag från förbudet att behandla känsliga personuppgifter som tar sikte på behandling som är nödvändig av skäl av allmänt intresse på folkhälsoområdet, såsom behovet av att säkerställa ett skydd mot allvarliga gränsöver- skridande hot mot hälsan eller säkerställa höga kvalitets- och säker- hetsnormer för vård och läkemedel eller medicintekniska produkter. Artikeln innehåller en hänvisning till nationell rätt och ett krav på att lämpliga och specifika åtgärder fastställs för att skydda den registre- rades fri- och rättigheter. Tystnadsplikt framhålls särskilt som en sådan åtgärd som ska fastställas.

I förordningens skäl 54 anges att termen folkhälsa bör tolkas i enlighet med förordning 1338/2008 om gemenskapsstatistik om folk- hälsa och hälsa och säkerhet i arbetet.23 Den definition som anges där är mycket vid och omfattar ”alla aspekter som rör hälsosituationen, dvs. allmänhetens hälsotillstånd, inbegripet sjuklighet och funktions- hinder, hälsans bestämningsfaktorer, hälso- och sjukvårdsbehov, resurser inom hälso- och sjukvården, tillhandahållande av och allmän tillgång till hälso- och sjukvård, utgifter för och finansiering av hälso- och sjukvården samt dödsorsaker”.

Folkhälsoarbete anses i Sverige vara tvärsektoriellt och involverar såväl Folkhälsomyndighetens arbete som arbete inom kommuner, landsting och länsstyrelser. Hos Folkhälsomyndigheten ligger en stor del av arbetet med att säkerställa ett skydd mot allvarliga gräns- överskridande hot mot hälsan.24 Uppgiften att säkerställa kvalitets- och säkerhetsnormer för vård och läkemedel eller medicintekniska produkter ligger i Sverige främst hos Läkemedelsverket och Social- styrelsen.

Det är oklart om förordningens undantag på folkhälsoområdet egentligen innebär ökade möjligheter att behandla känsliga person-

23Europaparlamentets och rådets förordning (EG) nr 1338/2008 av den 16 december 2008 om gemenskapsstatistik om folkhälsa och hälsa och säkerhet i arbetet.

242 § förordningen (2013:1021) med instruktion för Folkhälsomyndigheten.

187

Känsliga personuppgifter

SOU 2017:39

uppgifter jämfört med direktivet. Undantaget infördes under förord- ningens behandling i rådet, och fanns alltså inte med i kommissionens ursprungliga förslag. Något liknande förslag har inte heller framförts av Europaparlamentet eller den europeiska datatillsynsmannen under arbetet med förordningen.

Behandling av känsliga personuppgifter på folkhälsoområdet sker i dag antingen med stöd av undantaget avseende behandling inom hälso- och sjukvården eller med stöd av undantaget som avser be- handling av hänsyn till ett viktigt allmänt intresse. En stor del av den verksamhet som bedrivs på folkhälsoområdet i Sverige innebär till exempel behandling för statistikändamål, och har ansetts kunna ske med stöd av 19 § PUL, som i sin tur har införts med stöd av direk- tivets undantag av hänsyn till ett viktigt allmänt intresse. Det har inte framkommit att Folkhälsomyndigheten, Läkemedelsverket, Social- styrelsen eller kommuner och landsting har upplevt att stöd saknas för den behandling av känsliga personuppgifter som måste ske inom nationellt eller internationellt folkhälsoarbete.

Med det krav som finns i artikel 9.2 i på att specifika skyddsåtgär- der ska fastställas bedömer vi att undantaget måste genomföras i nationell rätt för att vara tillämpligt. Vår bedömning är emellertid att den behandling av känsliga personuppgifter som är nödvändig på folkhälsoområdet i många fall kan ske med stöd av de undantag vi föreslår avseende behandling för viktiga allmänna intressen, för statistiska ändamål samt på hälso- och sjukvårdsområdet. Vi bedömer därför att något behov inte finns av ett särskilt undantag i data- skyddslagen för behandling av känsliga personuppgifter på folkhälso- området. Om det finns behov för någon av de myndigheter som arbe- tar inom folkhälsoområdet att ha ytterligare möjligheter att behandla känsliga personuppgifter, bör detta enligt vår mening i första hand övervägas i sektorsspecifik reglering, där en bedömning av befintligt sekretesskydd och behov av andra specifika skyddsåtgärder kan bedö- mas för varje myndighet för sig.

188

Personuppgifter som rör lagöverträdelser

SOU 2017:39

I direktivet regleras behandling av uppgifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder i artikel 8.5. Där stadgas att sådan behandling endast får utföras under kontroll av en myndighet eller med stöd av nationella bestämmelser som innehåller lämpliga och speci- fika skyddsåtgärder. Det stadgas också att ett fullständigt register över brottmålsdomar bara får föras under kontroll av en myndighet. Enligt artikelns andra stycke får medlemsstaterna föreskriva att uppgifter som rör administrativa sanktioner eller avgöranden i tvistemål också ska behandlas under kontroll av en myndighet.

Bestämmelsen har genomförts i svensk rätt genom 21 § PUL. Enligt paragrafens första stycke gäller ett förbud för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Som framgår av 21 § PUL har direktivets formulering ”under kontroll av en myndighet” tolkats som att ett förbud ska gälla för andra än myndigheter att behandla uppgifter om lagöverträdelser.2

I 21 § tredje och fjärde styckena PUL finns bemyndiganden för regeringen eller den myndighet regeringen bestämmer att meddela före- skrifter eller beslut i enskilda fall om undantag från förbudet för enskilda att behandla sådana uppgifter. Datainspektionen har med stöd av ett bemyndigande i 9 § PUF meddelat sådana föreskrifter bland annat för att möjliggöra behandling av enstaka uppgifter som är nödvändig för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras i ett enskilt fall, liksom behandling av enstaka uppgifter som är nödvändig för att anmälningsskyldighet enligt lag ska kunna fullgöras.3

Begreppet överträdelser i direktivet har bedömts innebära att det ska vara fråga om överträdelser som är straffsanktionerade, vilket uttryckts i lagtexten som lagöverträdelser som innefattar brott.4 Det är inte helt klart i vilken utsträckning uppgifter som rör misstankar om brott om- fattas. Datalagskommittén menade att uppgifter om faktiska iakttagelser om en persons handlande inte rimligen kunde anses som uppgifter om lagöverträdelser i alla fall.5 Högsta förvaltningsdomstolen har dock utta- lat att behandling av uppgifter om fordon som förekommit i samband

2SOU 1997:39 s. 382 och prop. 1997/98:44 s. 74 f.

3DIFS 2010:1, Datainspektionens föreskrifter om ändring av Datainspektionens föreskrifter (DIFS 1998:3) om undantag från förbudet för andra än myndigheter att behandla personuppgif- ter om lagöverträdelser m.m.

4SOU 1997:39 s. 383.

5SOU 1997:39 s. 383.

190

SOU 2017:39

Personuppgifter som rör lagöverträdelser

med obetalda tankningar ska ses som en behandling av personuppgifter om lagöverträdelser.6

Uttrycken straffprocessuella tvångsmedel och administrativa frihets- berövanden i 21 § PUL är avsedda att motsvara uttrycken säkerhets- åtgärder och administrativa sanktioner i direktivet.7 Med administrativa frihetsberövanden avses exempelvis frihetsberövanden enligt lagen om psykiatrisk tvångsvård, lagen om vård av missbrukare och lagen med sär- skilda bestämmelser om vård av unga, liksom uppgifter om frihets- berövande av utlänningar enligt 10 kap. utlänningslagen (2005:716). Möj- ligheten att reglera uppgifter om avgöranden i tvistemål har inte utnytt- jats. Den reglering som fanns i kreditupplysningslagen ansågs tillräcklig.8

11.3Dataskyddsförordningen

I förordningen används delvis andra formuleringar än i dataskydds- direktivet. Artikel 10 lyder som följer.

Behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder enligt arti- kel 6.1 får endast utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fast- ställs. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet.

Inledningsvis kan konstateras att tillämpningsområdet begränsats till enbart fällande brottmålsdomar. Behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed samman- hängande säkerhetsåtgärder får enligt artikeln utföras under kontroll av myndighet. Begreppet ”under kontroll av myndighet” definieras inte. Det används också i sista meningen i artikel 10, där det stadgas att full- ständiga register över fällande domar i brottmål endast får föras under sådan kontroll. Utöver behandling under kontroll av en myndighet kan ytterligare behandling tillåtas i unionsrätten eller medlemsstaternas nationella rätt om lämpliga skyddsåtgärder för de registrerades rättig- heter och friheter fastställs.

6HFD 2016 ref. 8.

7Prop. 1997/98:44 s. 74 f.

8Prop. 1997/98:44 s. 75.

191

Personuppgifter som rör lagöverträdelser

SOU 2017:39

Begreppet lagöverträdelser har ersatts med överträdelser i den svenska språkversionen. I den engelska versionen används begreppet criminal convictions and offences och i den franska versionen condamnations pénales et aux infractions. Inga skäl finns i förordningen, som skulle kunna klargöra om avsikten är någon saklig skillnad jämfört med direk- tivet. Såväl den engelska som den franska textversionen av förordningen talar för att det som avses med termen överträdelser är överträdelser som innefattar brott.

Innebörden av det tillägg i form av en hänvisning till artikel 6.1 som införts i artikeltexten är oklar, men kan möjligen tolkas som en erinran om att behandlingen i fråga måste uppfylla kraven i nämnda artikel i förordningen.

En betydande skillnad i förordningen jämfört med direktivet är att någon möjlighet för medlemsstaterna att på denna grund begränsa behandlingen av personuppgifter om avgöranden i tvistemål och admi- nistrativa sanktioner inte finns.

11.4Överväganden och förslag

Utredningens förslag: Personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel ska få behandlas av myndigheter. Datainspektionen ska i enskilda fall få besluta om att tillåta sådan behandling för andra än myndigheter.

Vissa bestämmelser som tillåter andra än myndigheter att behand- la motsvarande uppgifter ska föras in i förordningen till dataskydds- lagen. Regeringen eller, efter bemyndigande från regeringen, Data- inspektionen ska få meddela ytterligare sådana föreskrifter.

Utredningens bedömning: Det finns inte stöd i förordningen för att föreskriva ett förbud mot behandling av personuppgifter om admi- nistrativa frihetsberövanden.

De delar av artikel 10 som rör behandling av uppgifter om fällande domar i brottmål, överträdelser och därmed sammanhängande säker- hetsåtgärder under kontroll av en myndighet är direkt tillämpliga. Det är emellertid av stor vikt att regleringen i artikel 10, även vad avser myn- digheters behandling, tydliggörs så långt möjligt i nationell rätt. Behand-

192

SOU 2017:39

Personuppgifter som rör lagöverträdelser

ling av sådana uppgifter torde allmänt anses som integritetskänslig, och risken för missbruk, exempelvis genom otillbörlig spridning på internet, framstår som stor. Behandling i strid med artikel 10 kommer enligt vårt förslag vidare att kunna föranleda att sanktionsavgifter påförs (se av- snitt 18.6.4).

Förordningens skäl 8 ger uttryck för att medlemsstaterna får inför- liva delar av förordningen i nationell rätt, om det krävs för att göra de nationella bestämmelserna begripliga för de personer de tillämpas på. Vi menar att ett sådant införlivande skulle fylla en viktig funktion när det gäller myndigheters behandling av uppgifter om lagöverträdelser, bland annat för att tydliggöra att myndigheter inte behöver uttryckligt stöd i föreskrifter eller särskilda beslut för att få behandla uppgifter om lagöverträdelser. Vår bedömning är därför att första ledet i för- ordningens artikel 10 bör införlivas i svensk rätt.

Begreppet överträdelser bedömer vi som nämnts ovan som likvärdigt med direktivets begrepp lagöverträdelser, vilket i personuppgiftslagen tolkades som lagöverträdelser som innefattar brott. Detta överens- stämmer också med den engelska och franska versionen av förordningen. För att inte riskera en alltför vid tolkning av ordet överträdelser i svensk rätt bör därför begreppet lagöverträdelser som innefattar brott användas även fortsättningsvis. I vilken utsträckning misstankar om brott om- fattas av begreppet överträdelser i förordningen framgår inte av artikel- text eller skäl. I avvaktan på klargörande EU-rättslig praxis bedömer vi att misstankar om brott bör omfattas i samma utsträckning som de gör enligt personuppgiftslagen.

Begreppet säkerhetsåtgärder bedömdes i nu aktuellt avseende som likvärdigt med straffprocessuella tvångsmedel vid genomförandet av direktivet.9 Slutsatsen motiverades inte närmare, men ligger språkligt väl i linje med i vart fall den engelska språkversionen av förordningen. Efter- som säkerhetsåtgärder används i en annan betydelse på flera håll i förordningen − exempelvis i artiklarna30.1 g och 35.7 d − anser vi att begreppet straffprocessuella tvångsmedel bör användas i författnings- texten även fortsättningsvis.

Som nämnts ovan är innebörden av begreppet under kontroll av en myndighet inte helt klar. Vår bedömning är att det inte kan avse enbart ett krav på att den personuppgiftsansvarige allmänt står under tillsyn av en myndighet. All behandling av personuppgifter enligt förordningen är

9 Prop. 1997/98:44 s. 74.

193

Personuppgifter som rör lagöverträdelser

SOU 2017:39

föremål för tillsyn såväl på nationell som på EU-nivå. Eftersom förande av regelrätta register över fällande domar i brottmål enligt förordningen får ske under kontroll av en myndighet kan begreppet rimligen inte tolkas alltför vitt.

Vi menar att det finns goda skäl att anta att uttrycket framför allt är avsett att begränsa rätten att behandla uppgifter till behandling av upp- gifter som utförs av myndigheter och att detta tydligt bör framgå av den svenska regleringen. Liksom när det gäller behandling av känsliga per- sonuppgifter förtjänar det att påpekas i detta sammanhang att all behandling av personuppgifter, även behandling av uppgifter om lag- överträdelser hos myndigheter, måste leva upp till förordningens krav i det enskilda fallet, exempelvis de grundläggande kraven på behandling i artikel 5. Att det tydliggörs i dataskyddslagen att myndigheter generellt tillåts behandla uppgifter om lagöverträdelser innebär alltså inte att sådan behandling alltid är tillåten i det enskilda fallet.

Uttrycket ”under kontroll av myndighet” utesluter inte enligt sin ordalydelse att behandling får ske utanför myndighetssfären. För sådan behandling kan den kontroll av myndighet som förutsätts enligt förord- ningen enligt vår mening upprätthållas genom att den får ske med stöd av särskilda beslut som fattas av tillsynsmyndigheten. Besluten bör lämp- ligen förenas med villkor såsom återkallelseförbehåll, tidsbegränsningar eller krav på återrapportering. Behandlingen blir därmed föremål för särskilda tillsynsinsatser, och kan således anses ske under kontroll av en myndighet. Ett beslut om att tillåta behandling av uppgifter om lagöver- trädelser i enskilda fall bör, mot bakgrund av uppgifternas integritets- känsliga karaktär, bara meddelas om intresset av sådan behandling väger tyngre än de registrerades intresse av att behandling inte sker. Vidare innebär inte ett sådant beslut att den personuppgiftsansvarige fritas från sitt ansvar att se till att behandlingen i det enskilda fallet lever upp till förordningens krav, exempelvis de grundläggande kraven på behandling i artikel 5.

Dataskyddsförordningen ger ett alternativ till att behandlingen får ske under kontroll av myndighet, nämligen att behandlingen på annan grund är tillåten enligt nationell rätt förutsatt att lämpliga skyddsåt- gärder fastställs. Enligt vår mening är det inte lämpligt eller ens möjligt att i den generella lagen föreskriva närmare vilken reglering som skulle behövas på detta område. I stället bör det övervägas i särskild ordning där behovet särskilt kan analyseras från fall till fall. En lämplig lösning är därför ett bemyndigande för regeringen och vidare till Datainspektionen att meddela föreskrifter om i vilka fall andra än myndigheter får behandla

194

SOU 2017:39

Personuppgifter som rör lagöverträdelser

uppgifter om lagöverträdelser. För att sådana ska vara förenliga med förordningen förutsätts att lämpliga skyddsåtgärder fastställs i föreskrif- terna.

Sammanfattningsvis menar vi att bestämmelser som så långt data- skyddsförordningen medger motsvarar de som finns i 21 § första, tredje och fjärde stycket PUL bör föras in i dataskyddslagen. Som framgått ovan föreslår vi emellertid en reglering som inte längre uttrycks som ett generellt förbud med möjligheter till undantag, på det sätt som 21 § PUL har utformats. Denna skillnad mot personuppgiftslagen sammanhänger med den något ändrade tolkningen av begreppet ”under kontroll av myndighet”, som vi alltså menar bör ges en självständig betydelse när det gäller möjligheten att behandla uppgifter om lagöverträdelser utanför myndighetssfären. I ljuset av detta delvis förändrade synsätt framstår det enligt vår mening som naturligt att utrymmet för att tillåta andra än myndigheter att behandla uppgifter om lagöverträdelser blir något mindre begränsat än tidigare. I detta sammanhang bör nämnas att beho- ven av särskilda föreskrifter eller beslut torde öka som en följd av att den så kallade missbruksregeln i 5 a § PUL försvinner.

Vi bedömer till exempel att det kan finnas behov av tydligare stöd för behandling av uppgifter om lagöverträdelser i brottsanmälningar och i viss advokatverksamhet. Det har under utredningen också framkommit behov av en föreskrift som tillåter behandling av sådana uppgifter om lagöverträdelser som måste behandlas till följd av rättsliga förpliktelser. I det sammanhanget har det nämnts att sådana förpliktelser exempelvis skulle kunna förekomma i reglering som syftar till att bekämpa t.ex. korruption, terrorism, finansiering av grov brottslighet och olämplig spridning av vapenteknologi. Vi har visserligen inte haft möjlighet att närmare utreda i vilken utsträckning sådana rättsliga förpliktelser redan förekommer och om de i så fall står i strid med dataskyddsförordningens och de föreslagna bestämmelserna i dataskyddslagen om behandling av personuppgifter som rör lagöverträdelser. Vi kan dock konstatera att den typen av normkonflikt skulle vara problematisk. Mot denna bakgrund föreslår vi att bestämmelserna i 1 § d) och e) i Datainspektionens före- skrifter (DIFS 1998:3) om undantag från förbudet för andra än myn- digheter att behandla personuppgifter om lagöverträdelser m.m., i den lydelse som fastställts genom DIFS 2010:1, bör utvidgas något och föras in i förordningen till dataskyddslagen, tillsammans med en ny bestäm- melse som tillåter nödvändig behandling av motsvarande uppgifter vid polisanmälningar om misstanke om brott.

195

Personuppgifter som rör lagöverträdelser

SOU 2017:39

Som framgått ovan finns det inte stöd i förordningens artikel 10 för något förbud motsvarande det som nu gäller för andra än myndigheter att behandla uppgifter om administrativa frihetsberövanden. Vissa såda- na uppgifter skulle kunna omfattas av förbudet mot att behandla käns- liga personuppgifter i artikel 9.1, exempelvis om de också avslöjar upp- gifter om etniskt ursprung eller psykisk ohälsa. Regleringen i artiklarna 5 och 6 innebär vidare att privata subjekt i praktiken ändå torde ha begrän- sade möjligheter att behandla sådana uppgifter.

196

Personnummer och samordningsnummer

SOU 2017:39

För en personuppgiftsansvarig som inte fått samtycke till behand- ling av personnummer eller samordningsnummer innebär bestäm- melsen att denne själv måste göra den intresseavvägning som framgår av bestämmelsen. Den personuppgiftsansvarige torde också ha bevis- bördan för att det finns sådana omständigheter som gör att uppgifter om personnummer eller samordningsnummer får behandlas.

Exempel på hur lagstiftaren har gjort motsvarande avvägningar finns i flera av de lagstiftningsärenden rörande sektorspecifika för- fattningar där en hänvisning till 22 § PUL har tagits in. Med hänsyn framför allt till vikten av en säker identifiering har det exempelvis ansetts motiverat att behandla personnummer i polisens, Migrations- verkets och domstolarnas verksamhet, liksom i vårdregister, rätts- psykiatriska forskningsregister och inom socialtjänsten.1

I 50 § c PUL finns ett bemyndigande för regeringen eller den myndighet som regeringen bestämmer, dvs. Datainspektionen enligt 16 § PUF, att meddela närmare föreskrifter om i vilka fall använd- ning av personnummer är tillåten. Några sådana föreskrifter har inte meddelats av Datainspektionen. Det är däremot relativt vanligt med sektorsspecifika förordningsbestämmelser om behandling av personnummer och samordningsnummer, såsom till exempel 3 § 1 förordningen (2002:623) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten. Det är dock inte helt klart om den bestämmelsen har ansetts stödja sig på bemyndigandet i 50 § c PUL, eller om den har föreskrivits med stöd av regeringens restkompetens enligt 8 kap. 7 § 2 regeringsformen.

12.3Dataskyddsförordningen

Dataskyddsförordningen ger medlemsstaterna möjlighet att bestäm- ma särskilda villkor för när ett nationellt identifikationsnummer eller annat vedertaget sätt för identifiering får behandlas (artikel 87). Enligt förordningen ska villkoren i sådana fall säkerställa att identifikations- uppgifterna bara får användas med iakttagande av lämpliga skydds- åtgärder för de registrerades fri- och rättigheter. Något uttryckligt sådant krav fanns inte enligt dataskyddsdirektivet.

1 Prop. 1997/98:108 s. 73 f., prop. 1998/99:72 s. 44, prop. 2000/01:80 s. 144, prop. 2009/10:85 s. 84, prop. 2014/15:148 s. 51 och prop. 2015/16:65 s. 49 f.

198

SOU 2017:39

Personnummer och samordningsnummer

12.4Överväganden och förslag

Utredningens förslag: Uppgifter om personnummer eller sam- ordningsnummer ska få behandlas utan samtycke endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Regeringen ska få meddela ytterligare föreskrifter om behandling av uppgifter om personnummer och samordningsnummer.

Den nuvarande regleringen i 22 § PUL ger uttryck för att behand- lingen av personnummer och samordningsnummer bör vara restrik- tiv och föregås av en intresseavvägning mellan behovet av behand- lingen och de integritetsrisker som den innebär.

Dataskyddsförordningen uppställer inget krav på reglering i detta avseende, men om medlemsstaterna bestämmer särskilda villkor för sådan behandling måste lämpliga skyddsåtgärder för de registrera- des fri- och rättigheter enligt förordningen säkerställas. Det finns inga uttalanden i skälen som konkretiserar vilken typ av skyddsåt- gärder det bör vara frågan om. Sannolikt kan kraven på skyddsåt- gärder inte ställas särskilt högt, eftersom det är upp till medlems- staterna själva att bedöma om några särskilda villkor ska införas över huvud taget. I denna del ges alltså medlemsstaterna ett stort utrymme att själva bedöma vilka skyddsåtgärder som behövs.

Personnummer och samordningsnummer har inte bedömts som känsliga personuppgifter i förordningens mening, men har ändå getts en särställning genom att medlemsstaterna medgetts möjlighet att införa särskilda villkor för behandlingen.

Regeringen har i äldre förarbeten uttalat att själva personnumret inte i sig är en integritetskränkande uppgift, men att viss användning av det, såsom samköring av register och liknande, kan uppfattas som integritetskränkande. Regeringen har också uttalat att ”onödig” användning ska betraktas som ett integritetsintrång.2 Kammarrätten i Stockholm har nyligen bedömt att integritetsintresset väger tungt vid mer omfattande behandling av personnummer.3

2Prop. 1990/91:60 s. 69.

3Kammarrättens i Stockholm dom av den 11 mars 2016 i mål nr 6352-15. Högsta förvalt- ningsdomstolen har beslutat att inte meddela prövningstillstånd, beslut den 12 oktober 2016 i mål nr 1684-16.

199

Personnummer och samordningsnummer

SOU 2017:39

Vår bedömning mot bakgrund av ovanstående är att en särreg- lering av personnummer och samordningsnummer i dataskyddsla- gen är motiverad. Den nuvarande lydelsen i 22 § PUL, som innebär att en intresseavvägning ska ske, ligger väl i linje med förordning- ens intentioner. Det har inte framkommit att regleringen har mötts av kritik eller annars inte fungerat. Tvärtom har den i lagstiftnings- ärenden under de senaste åren bedömts vara flexibel och väl avpas- sad för att förhindra omotiverad behandling av personnummer och samordningsnummer.4 Vi bedömer därför att en bestämmelse mot- svarande den i 22 § PUL bör införas i dataskyddslagen.

Den nationella reglering som åsyftas i artikel 87 i dataskyddsför- ordningen kan enligt förordningens skäl 41 även beslutas i förord- nings- eller föreskriftsform. Som nämnts finns i dag bestämmelser på förordningsnivå som reglerar behandlingen av personnummer och samordningsnummer i sektorsspecifika författningar. Vi bedö- mer att det finns behov av en möjlighet för regeringen att meddela sådana föreskrifter även fortsättningsvis. Visserligen torde vissa typer av föreskrifter som preciserar i vilka situationer personnummer eller samordningsnummer får behandlas av statliga myndigheter kunna meddelas av regeringen med stöd av 8 kap. 7 § 2 regeringsformen. Det kan dock inte uteslutas att det finns behov av föreskrifter som går utöver regeringens kompetens enligt nämnda lagrum, varför vi bedö- mer att ett bemyndigande behövs. Eftersom Datainspektionen hit- tills inte har sett anledning att utnyttja möjligheten enligt 16 § PUF att meddela föreskrifter och något behov av sådan vidaredelegation inte har framkommit, föreslår vi ingen sådan möjlighet.

En reglering av behandling av personnummer och samordnings- nummer kan, oavsett om den tas in direkt i sektorsspecifik lag eller i förordning med stöd av bemyndigandet, tillåta behandling i andra fall än de som tillåts enligt den föreslagna bestämmelsen i data- skyddslagen. Detta förutsätter att regleringen i så fall lever upp till förordningens krav på lämpliga skyddsåtgärder för de registrerades fri- och rättigheter.

4 Se exempelvis prop. 2014/15:148 s. 51.

200

Begränsningar av vissa rättigheter och skyldigheter i dataskyddsförordningen

SOU 2017:39

a)den nationella säkerheten,

b)försvaret,

c)den allmänna säkerheten,

d)förebyggande, förhindrande, utredning, avslöjande eller lagföring av brott eller verkställande av straffrättsliga sanktioner, inbegripet skydd mot samt förebyggande och förhindrande av hot mot den allmänna säkerheten,

e)andra av unionens eller en medlemsstats viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet,

f)skydd av rättsväsendets oberoende och rättsliga åtgärder,

g)förebyggande, förhindrande, utredning, avslöjande och lagföring av överträdelser av etiska regler som gäller för lagreglerade yrken,

h)en tillsyns-, inspektions- eller regleringsfunktion som, även i enstaka fall, har samband med myndighetsutövning i fall som nämns i a–e och g,

i)skydd av den registrerade eller andras rättigheter och friheter, och

j)verkställighet av civilrättsliga krav.

I artikel 23.2 anges att sådana begränsningar ska innehålla specifika bestämmelser åtminstone, när så är relevant, avseende

a)ändamålen med behandlingen eller kategorierna av behandling,

b)kategorierna av personuppgifter,

c)omfattningen av de införda begränsningarna,

d)skyddsåtgärder för att förhindra missbruk eller olaglig tillgång eller överföring,

e)specificeringen av den personuppgiftsansvarige eller kategorier- na av personuppgiftsansvariga,

202

SOU 2017:39

Begränsningar av vissa rättigheter och skyldigheter i dataskyddsförordningen

f)lagringstiden samt tillämpliga skyddsåtgärder med beaktande av behandlingens art, omfattning och ändamål eller kategorierna av behandling,

g)riskerna för de registrerades rättigheter och friheter, och

h)de registrerades rätt att bli informerade om begränsningen, såvi- da detta inte kan inverka menligt på begränsningen.

13.3Gällande rätt

I dataskyddsdirektivet finns motsvarigheten till förordningens arti- kel 23 i artikel 13.1. Bestämmelser i registerförfattningar som utgör undantag från de rättigheter och skyldigheter som föreskrivs i per- sonuppgiftslagen har ofta sin grund i denna artikel. Det finns dock även några bestämmelser i personuppgiftslagen som har införts med stöd av artikel 13 i direktivet.

I 8 a § PUL finns ett generellt bemyndigande som anger att reger- ingen får meddela föreskrifter om undantag från 9, 23–26 och 28 §§ samt 29 § andra stycket och 42 §, om det är nödvändigt med hänsyn till de intressen som räknas upp i artikel 13.1 i dataskyddsdirektivet.

Enligt 26 § tredje stycket PUL behöver s.k. registerutdrag enligt första stycket samma paragraf inte lämnas om personuppgifter i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör minnesanteckning eller liknande. Undantaget gäller dock inte om uppgifterna har lämnats ut till tredje man eller om uppgifterna behandlas enbart för historiska, statistiska eller veten- skapliga ändamål eller, när det gäller löpande text som inte fått sin slutliga utformning, om uppgifterna har behandlats under längre tid än ett år. Bestämmelsen har införts med stöd av artikel 13.1 i direk- tivet, med hänsyn till skyddet av fri- och rättigheter.1

I 27 § PUL anges att bestämmelserna i 23–26 §§ om den registrerades rätt till information inte gäller i den utsträckning det är särskilt föreskrivet i lag eller annan författning eller annars framgår av beslut som har meddelats med stöd av författning att uppgifter inte får lämnas ut till den registrerade. En personuppgiftsansvarig som inte är en myndighet får därvid i motsvarande fall som avses i offent-

1 Prop. 1997/98:44 s. 81 f.

203

Begränsningar av vissa rättigheter och skyldigheter i dataskyddsförordningen

SOU 2017:39

lighets- och sekretesslagen vägra att lämna ut uppgifter till den registrerade. Även denna bestämmelse har införts med stöd av arti- kel 13.1 i direktivet, med hänsyn till skyddet av fri- och rättigheter.2

13.4Överväganden och förslag

Utredningens förslag: Skyldigheten att ge den registrerade infor- mation om och tillgång till de personuppgifter som behandlas ska inte gälla uppgifter som på grund av sekretess eller tystnadsplikt inte får lämnas ut till den registrerade.

Den registrerades rätt att på begäran få information om pågå- ende personuppgiftsbehandling ska inte omfatta uppgifter som behandlas i löpande text som utgör utkast eller minnesanteckning. Undantaget ska dock inte gälla om uppgifterna har lämnats ut till tredje part, om uppgifterna behandlas enbart för arkivändamål av allmänt intresse eller för statistiska ändamål eller, när det gäller utkast, om uppgifterna har behandlats under mer än ett år.

Regeringen ska få meddela föreskrifter om ytterligare undan- tag från vissa av förordningens skyldigheter och rättigheter.

Utredningens bedömning: Rätten att göra invändningar bör inte inskränkas genom ett undantag i dataskyddslagen. Sådana undan- tag bör i stället övervägas på sektorspecifik nivå, om villkoren för behandling av personuppgifter specificeras genom författning.

13.4.1Sekretess och tystnadsplikt ska gå före informationsplikten

Den personuppgiftsansvariges skyldighet att självmant tillhandahålla den registrerade information om behandlingen av personuppgifter framgår av 23–25 §§ PUL. Motsvarande bestämmelser finns i artik- larna 13 och 14 i dataskyddsförordningen. Den registrerade har vidare enligt 26 § första stycket PUL rätt att på begäran få information om och tillgång till de personuppgifter som behandlas. Motsvarande rätt, bland annat till s.k. registerutdrag, finns i artikel 15 i dataskyddsför-

2 Prop. 1997/98:44 s. 83 f.

204

SOU 2017:39

Begränsningar av vissa rättigheter och skyldigheter i dataskyddsförordningen

ordningen. Denna rätt ska enligt artikel 15.4 inte inverka menligt på andra rättigheter och friheter.

Personuppgiftslagens informationsskyldighet, och motsvarande rättighet för den registrerade, gäller enligt 27 § PUL inte om sekre- tess eller tystnadsplikt innebär att informationen inte ska lämnas ut till den registrerade. Frågan är om motsvarande undantag bör tas in i den generella lag som ska komplettera dataskyddsförordningen.

I artikel 14.5 föreskrivs flera direkt tillämpliga undantag från rätten till information, bland annat om personuppgifterna måste för- bli konfidentiella till följd av tystnadsplikt enligt unionsrätt eller nationell rätt, inbegripet lagstadgade sekretessförpliktelser (led d). I artikel 15.4 anges endast att rätten till registerutdrag inte ska påverka menligt på andras friheter och rättigheter.

Det befintliga undantaget i 27 § PUL är något vidare än de direkt tillämpliga undantagen i artiklarna 14 och 15. Bestämmelsen i arti- kel 23 möjliggör dock ytterligare undantag på samma sätt som data- skyddsdirektivet. Det bör därför inte finnas något formellt hinder mot att en bestämmelse som motsvarar 27 § PUL tas in i dataskydds- lagen.

Av det direkt tillämpliga undantaget i artikel 14.5 d i dataskydds- förordningen följer att den personuppgiftsansvarige inte på eget ini- tiativ behöver förse den registrerade med information, om uppgif- terna omfattas av sekretess eller tystnadsplikt. Det finns dock skäl att klargöra i dataskyddslagen att sekretess eller tystnadsplikt också kan medföra att en begäran om bekräftelse och information enligt artikel 15 ska avslås. Vidare finns det situationer då även en privat- rättslig aktör, som inte omfattas av författningsreglerad sekretess eller tystnadsplikt, har berättigad anledning att hemlighålla uppgifter i förhållande till den registrerade. Det kan t.ex. röra sig om informa- tion som samlats in inför en domstolsprocess, om det kan antas att ett utlämnande av informationen skulle försämra den personuppgifts- ansvariges ställning som part i rättegången.3

Dataskyddslagen bör därför förses med ett undantag från infor- mationsplikten som i sak motsvarar 27 § PUL i dess helhet. Bestäm- melsen respekterar enligt vår mening andemeningen i de grundläg- gande rättigheterna och friheterna och utgör en nödvändig och pro- portionell åtgärd i ett demokratiskt samhälle. Förarbetsuttalanden

3 Prop. 1997/98:44 s. 83 f.

205

Begränsningar av vissa rättigheter och skyldigheter i dataskyddsförordningen

SOU 2017:39

och praxis rörande 27 § PUL bör kunna vara vägledande även vid tillämpningen av den nya bestämmelsen.4

13.4.2Löpande text som utgör utkast eller minnesanteckning ska inte omfattas av rätten till registerutdrag

Den registrerade har enligt 26 § första stycket PUL rätt att på begäran få information om och tillgång till de personuppgifter som behandlas. Bestämmelsen motsvarar artikel 12 a i dataskyddsdirek- tivet. Denna bestämmelse innebär dock enligt EU-domstolen inte en rätt att få del av den handling där personuppgifterna förekommer.5 Motsvarande rätt, bland annat till s.k. registerutdrag, finns i artikel 15 i dataskyddsförordningen. Denna rätt ska enligt artikel 15.4 inte inverka menligt på andra rättigheter och friheter.

Som nämns ovan anges i 26 § tredje stycket PUL att register- utdrag inte behöver lämnas om personuppgifter i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör minnesanteckning eller liknande. I förarbetena till detta undantag angavs, bland annat med hänvisning till regleringen i 2 kap. tryck- frihetsförordningen, att det på såväl den offentliga som den privata sidan finns goda skäl för en ordning som innebär att ofärdiga alster, minnesanteckningar och liknande inte behöver lämnas ut. Att under en rimlig tid få ha sina ofärdiga alster och minnesanteckningar i fred kunde enligt regeringens mening anses som en sådan fri- och rättighet som enligt artikel 13.1 i dataskyddsdirektivet berättigar till en begränsning av informationsskyldigheten. Men om uppgifterna behandlats under så lång tid som ett år utan att texten färdigställts, ansåg regeringen dock att den registrerades intresse av att få ta del av sina uppgifter skulle anses väga tyngre än den personuppgiftsansva- riges intresse av att utan insyn få ytterligare fördröja färdigställandet av texten.6

Detta resonemang är enligt vår mening fortfarande relevant. Bestämmelsen respekterar enligt vår mening andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle. Mot den bak-

4Se främst prop. 1997/98:44 s. 81 f.

5Dom YS mot Minister voor Immigratie, C-141/12, EU:C:2014:2081, punkt 58.

6Prop. 1997/98:44 s. 81 f.

206

SOU 2017:39

Begränsningar av vissa rättigheter och skyldigheter i dataskyddsförordningen

grunden anser vi att det i den generella lagen bör tas in en bestäm- melse som på motsvarande sätt som 26 § tredje stycket PUL gör undantag från rätten till information enligt artikel 15 i dataskydds- förordningen avseende personuppgifter i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör minnes- anteckning eller liknande. Undantaget bör i likhet med gällande rätt inte gälla om uppgifterna har lämnats ut till tredje part eller om upp- gifterna behandlas enbart för arkivändamål av allmänt intresse eller för statistiska ändamål eller, när det gäller löpande text som inte fått sin slutliga utformning, om uppgifterna har behandlats under längre tid än ett år. Frågan om huruvida undantaget ska gälla vid behandling för forskningsändamål bör däremot övervägas av Forskningsdata- utredningen.

13.4.3Något om rätten att göra invändningar

I artikel 21 i dataskyddsförordningen föreskrivs att den registrerade i vissa fall ska ha rätt att invända mot behandling av personuppgifter. Bestämmelsen är direkt tillämplig. En motsvarande rättighet före- skrivs även i dataskyddsdirektivet, men är genomförd i personupp- giftslagen endast såvitt avser direkt marknadsföring (11 § PUL). Dataskyddsförordningen innebär därmed att rätten att göra invänd- ningar utvidgas jämfört med vad som följer av gällande svensk rätt.

Rätten att göra invändningar enligt artikel 21.1 i dataskydds- förordningen avser behandling av personuppgifter som grundar sig på artikel 6.1 e eller f. Rättigheten gäller alltså inte vid behandling av personuppgifter som exempelvis är nödvändig för att den person- uppgiftsansvarige ska kunna uppfylla en rättslig förpliktelse (arti- kel 6.1 c), såsom när en myndighet genom författning ålagts att föra ett offentligt register. Följden av att en invändning görs enligt arti- kel 21.1 är att den personuppgiftsansvarige inte längre får behandla personuppgifterna, såvida inte denne kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intres- sen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk.

Enligt gällande svensk rätt har den registrerade inte någon generell rätt att göra invändningar mot den behandling av personuppgifter som sker hos myndigheter. Det finns mot den bakgrunden skäl att

207

Begränsningar av vissa rättigheter och skyldigheter i dataskyddsförordningen

SOU 2017:39

särskilt överväga om dataskyddsförordningens rätt att göra invänd- ningar bör inskränkas när det gäller sådan behandling som sker med stöd av artikel 6.1 e, dvs. med en fastställd uppgift av allmänt intresse som rättslig grund. Vi anser dock att denna rättighet fyller en viktig funktion ur rättssäkerhetssynpunkt, i synnerhet i de fall då de när- mare villkoren för behandlingen inte har reglerats i en sektorsspecifik författning. Vi anser därför att rätten att göra invändningar mot myndigheters behandling av personuppgifter inte bör inskränkas på ett generellt plan genom ett undantag i dataskyddslagen. Sådana undantag bör i stället övervägas på sektorspecifik nivå, om villkoren för behandling av personuppgifter med stöd av artikel 6.1 e speci- ficeras genom författning.

Jämfört med vad som gäller enligt personuppgiftslagen utgör det en nyhet också att den registrerade ges rätt att göra invändningar vid behandling som sker med stöd av artikel 6.1 f, dvs. med ett berättigat intresse som rättslig grund. Enligt vår mening skapar denna rättighet en bra balans mellan den personuppgiftsansvarige och den registre- rade som inte bör rubbas genom ett generellt undantag. Vi lämnar därför inte något sådant förslag.

13.4.4Regeringen ska få meddela föreskrifter om ytterligare undantag

Som redan har nämnts ger artikel 23 i dataskyddsförordningen, inom vissa angivna ramar, utrymme för att i sektorsspecifika författningar föreskriva undantag från förordningens bestämmelser. I den mån sådana undantag kan medföra ytterligare skyldigheter för enskilda eller kommuner eller innebära ingrepp i enskildas personliga förhål- landen ska de enligt 8 kap. 2 § första stycket 2 och 3 regeringsformen föreskrivas genom lag. Den omständigheten att dataskyddslagen föreslås vara subsidiär till avvikande bestämmelser i lag eller förord- ning förändrar inte detta. Det krävs därför i vissa fall ett bemyndi- gande i lag för att sektorsspecifik särreglering i förordningsform även i fortsättningen ska kunna innehålla föreskrifter om undantag. Det bör därför införas ett bemyndigande i dataskyddslagen som i sak motsvarar det bemyndigande som finns i 8 a § PUL.

208

Arkiv och statistik

SOU 2017:39

14.2Gällande rätt

I personuppgiftslagen finns vissa centrala bestämmelser som rör lagens förhållande till myndigheters arkivering av allmänna handlingar och sådan personuppgiftsbehandling som sker för historiska, statis- tiska eller vetenskapliga ändamål.

Av 8 § andra stycket första meningen PUL framgår att lagens bestämmelser inte hindrar att en myndighet arkiverar och bevarar all- männa handlingar eller att arkivmaterial tas om hand av en arkivmyn- dighet. I förarbetena till personuppgiftslagen bedömdes att myndig- heternas bevarande av allmänna handlingar är tillåtet enligt de grund- läggande bestämmelserna i dataskyddsdirektivet, så länge de inte innehåller känsliga personuppgifter. Ett särskilt undantag ansågs dock nödvändigt för att myndigheterna skulle kunna bevara också känsliga personuppgifter. Det aktuella undantaget i 8 § andra stycket första meningen PUL omfattar även den insamling och det långtidsbeva- rande av personuppgifter som sker hos de särskilda arkivmyndig- heterna.1

I 9 § PUL – där de grundläggande kraven på behandlingen av per- sonuppgifter regleras – finns vissa bestämmelser som särskilt rör behandling för historiska, statistiska eller vetenskapliga ändamål. Här framgår exempelvis att en behandling av personuppgifter för sådana ändamål inte ska anses oförenlig med insamlingsändamålen (andra stycket). Det finns vidare regler om hur länge personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål (tredje stycket) och begränsningar av när personuppgifter som behandlas för sådana ändamål får användas för att vidta åtgärder i fråga om den registrerade (fjärde stycket). Sådana åtgärder får bara ske om den registrerade lämnat sitt samtycke eller det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Begränsningen har be- dömts vara en sådan lämplig skyddsåtgärd som krävs enligt artikel 6 i dataskyddsdirektivet. Enligt 8 § andra stycket PUL gäller dock inte denna begränsning för myndigheters användning av personuppgifter i allmänna handlingar. Detta undantag bygger på att det för sådana personuppgifter finns andra lämpliga skyddsåtgärder i form av bestämmelser om sekretess och skydd för arkiv.2

1Prop. 1997/98:44 s. 47 f.

2Prop. 1997/98:44 s. 63.

210

SOU 2017:39

Arkiv och statistik

Som tidigare har nämnts utgör bestämmelsen i 8 § andra stycket första meningen PUL ett undantag från förbudet mot att behandla känsliga personuppgifter. Känsliga personuppgifter får enligt 19 § första stycket PUL även behandlas för forskningsändamål, om be- handlingen har godkänts enligt lagen om etikprövning av forskning som avser människor. I andra stycket samma paragraf anges att käns- liga personuppgifter får behandlas också för statistikändamål, om behandlingen är nödvändig på sätt som sägs i 10 § och om samhälls- intresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära. Har behandlingen godkänts av en forskningsetisk kommitté, ska dessa förutsättningar enligt tredje stycket samma paragraf anses uppfyllda.

I 7 a § arkivförordningen (1991:446) föreskrivs undantag för arkivmyndigheten när det gäller den personuppgiftsansvariges skyl- dighet att lämna s.k. registerutdrag på begäran av den registrerade. I bestämmelsen anges att en arkivmyndighet inte behöver lämna be- sked och information enligt 26 § PUL när det gäller personuppgifter i arkivmaterial som tagits emot för förvaring av myndigheten, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Avgränsningen till arkivmaterial som tagits emot för förvaring innebär att undantaget inte är tillämpligt på arkivmaterial som kommer från arkivmyndighetens egen verksamhet.

14.3Dataskyddsförordningen

14.3.1Direkt tillämpliga bestämmelser

I dataskyddsförordningen finns ett antal bestämmelser som särskilt rör personuppgiftsbehandling för arkivändamål av allmänt intresse samt för vetenskapliga eller historiska forskningsändamål eller för statistiska ändamål. Enligt artikel 5.1 b gäller exempelvis att ytter- ligare behandling (i det följande används den mer vedertagna termen vidarebehandling, om inte förordningstexten citeras) av person- uppgifter för sådana ändamål, i enlighet med artikel 89.1, inte ska anses oförenlig med de ursprungliga ändamålen. Av artikel 5.1 e följer att personuppgifter får lagras under en längre tid än vad som normalt gäller, om uppgifterna enbart kommer att behandlas för arkivändamål i allmänhetens intresse eller för vetenskapliga eller historiska forsk-

211

Arkiv och statistik

SOU 2017:39

ningsändamål eller för statistiska ändamål. Den förlängda bevarande- tiden gäller i den mån som lämpliga tekniska och organisatoriska åtgärder vidtas i enlighet med kraven i artikel 89.1 för att säkerställa de registrerades fri- och rättigheter. Bestämmelserna i artikel 5 är direkt tillämpliga och kräver därmed inga nationella författnings- åtgärder.

Bestämmelserna i artikel 14.1–4 om den personuppgiftsansva- riges informationsplikt när personuppgifter inte har erhållits från den registrerade ska enligt artikel 14.5 b inte tillämpas i den mån tillhandahållandet av sådan information visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning, särskilt vid behand- ling för arkivändamål av allmänt intresse, vetenskapliga eller histo- riska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1. I sådana fall ska den personuppgiftsansvarige vidta lämpliga åtgärder för att skydda den registrerades rättigheter och friheter och berättigade intressen, inbegripet göra uppgifterna tillgängliga för allmänheten. På motsvarande sätt anges i arti- kel 17.3 d att rätten till radering (”att bli bortglömd”) inte gäller i den utsträckning som behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsända- mål eller statistiska ändamål enligt artikel 89.1, i den utsträckning som rätten att bli bortglömd sannolikt omöjliggör eller avsevärt försvårar uppnåendet av syftet med den behandlingen. Undantagen i artikel 14.5 b och 17.3 d är direkt tillämpliga.

Behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål ska enligt artikel 89.1 omfattas av lämpliga skyddsåtgärder för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säker- ställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Dessa åtgärder får inbegripa pseudonymisering, under förutsättning att ändamålen kan uppfyllas på det sättet. När ändamålen kan uppfyllas genom vidarebehandling av uppgifter som inte medger eller inte längre medger identifiering av de registrerade ska dessa ändamål upp- fyllas på det sättet.

212

SOU 2017:39

Arkiv och statistik

14.3.2Bestämmelser som ger utrymme för nationella undantag

I artikel 9.1 i dataskyddsförordningen anges att behandling som avslöjar känsliga personuppgifter ska vara förbjuden, se avsnitt 10. Utrymmet för undantag från detta förbud, vid behandling som är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, regleras i artikel 9.2 j. Där anges att förbudet inte gäller om behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstater- nas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till data- skydd och innehålla bestämmelser om lämpliga och särskilda åtgär- der för att säkerställa den registrerades grundläggande rättigheter och intressen.

Om personuppgifter behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål får det enligt arti- kel 89.2 i dataskyddsförordningen föreskrivas undantag från de rättigheter som avses i artiklarna 15, 16, 18 och 21, med förbehåll för de villkor och skyddsåtgärder som avses i artikel 89.1. Detta får emellertid bara göras i den utsträckning som sådana rättigheter san- nolikt kommer att göra det omöjligt eller mycket svårare att upp- fylla de särskilda ändamålen och sådana undantag krävs för att uppnå dessa ändamål. Möjligheten att föreskriva sådana undantag gäller enligt artikel 89.3 även avseende behandling av personuppgifter för arkivändamål av allmänt intresse. I detta fall får det dessutom före- skrivas undantag från de rättigheter som avses i artiklarna 19 och 20.

I artikel 15 regleras den registrerades rätt att få bekräftelse på om personuppgifter rörande honom eller henne behandlas och i så fall få viss information, bland annat ett s.k. registerutdrag (jfr 26 § PUL). Artikel 16 reglerar den registrerades rätt att få felaktiga personuppgifter rättade (jfr delar av 28 § PUL), medan artikel 18 ger den registrerade rätt att under vissa förutsättningar kräva att behandlingen begränsas. Om eventuella rättelser eller radering av personuppgifter eller begränsningar av behandling skett i enlighet med artiklarna 16, 17.1 och 18, ska den personuppgiftsansvarige enligt artikel 19 underrätta varje mottagare till vilken personuppgif-

213

Arkiv och statistik

SOU 2017:39

terna har lämnats ut, om inte detta visar sig vara omöjligt eller med- föra en oproportionell ansträngning (jfr delar av 28 § PUL). Den personuppgiftsansvarige ska dessutom, på den registrerades begä- ran, informera denne om vilka dessa mottagare är.

Artikel 20, som saknar motsvarighet i personuppgiftslagen, reg- lerar rätten till dataportabilitet, dvs. den registrerades rätt att under vissa förutsättningar få ut sina personuppgifter i ett strukturerat, allmänt använt och maskinläsbart format och sedan överföra dessa till en annan personuppgiftsansvarig.

I artikel 21 i dataskyddsförordningen föreskrivs att den registre- rade ska ha rätt att göra invändningar mot behandling av personupp- gifter. Denna rätt gäller enligt artikel 21.1 bland annat vid behandling av personuppgifter som grundar sig på artikel 6.1 e eller f. Enligt arti- kel 21.6 får den registrerade motsätta sig behandling för vetenskapliga eller historiska forskningsändamål eller för statistiska ändamål av skäl som rör hans eller hennes personliga situation, om inte behand- lingen är nödvändig för utförandet av en arbetsuppgift av allmänt intresse.

14.4Överväganden och förslag – arkivändamål av allmänt intresse

14.4.1Allmänt intresse

I dataskyddsförordningen används begreppet arkivändamål av all- mänt intresse, i stället för det som i dataskyddsdirektivet benämns historiska ändamål. Begreppet allmänt intresse är ett unionsrättsligt begrepp som inte med enkelhet låter sig avgränsas. Begreppet defi- nieras varken i dataskyddsdirektivet eller i dataskyddsförordningen och dess innebörd har ännu inte heller utvecklats av EU-domsto- len. Rent språkligt kan begreppet allmänt intresse antas avse något som är av intresse för eller berör många människor på ett bredare plan, i motsats till ett särintresse. Den närmare innebörden av be- greppet arkivändamål av allmänt intresse, särskilt i förhållande till begreppet historiska forskningsändamål, behöver dock klargöras i rättstillämpningen, inte minst genom EU-domstolens praxis.

Det står emellertid enligt vår mening klart att den behandling av personuppgifter som sker för att uppfylla krav på bevarande för andra syften, såsom exempelvis kravet på arkivering av räkenskaps-

214

SOU 2017:39

Arkiv och statistik

information enligt bokföringslagen (1999:1078), inte utgör behand- ling för arkivändamål av allmänt intresse.

14.4.2Rättslig grund och tillåten vidarebehandling

Utredningens förslag: Regeringen och Riksarkivet ska få meddela föreskrifter om behandling av personuppgifter för arkivändamål av allmänt intresse utanför arkivlagstiftningens tillämpningsområde. Riksarkivet ska även i förvaltningsbeslut få fastställa rättslig grund för ett enskilt organs behandling av personuppgifter för arkivända- mål av allmänt intresse.

Utredningens bedömning: Myndigheter och andra organ som omfattas av arkivlagstiftningen har redan enligt gällande rätt rätts- lig grund för behandling av personuppgifter för arkivändamål av allmänt intresse.

Vidarebehandling av personuppgifter för arkivändamål av all- mänt intresse ska enligt dataskyddsförordningen inte anses vara oförenlig med de ursprungliga ändamålen. Någon rättslig grund behöver inte fastställas för sådan vidarebehandling.

Vad gäller för de organ som omfattas av arkivlagstiftningen?

Svenska myndigheter och vissa andra organ är enligt arkivlagen (1990:782) skyldiga att bevara sina allmänna handlingar. Myndig- heternas arkiv är enligt 3 § arkivlagen en del av det nationella kultur- arvet och ska bevaras, hållas ordnade och vårdas så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt forskningens behov. För till- synen av att myndigheterna och andra organ fullgör sina skyldigheter enligt arkivlagen finns det arkivmyndigheter. Inom den statliga för- valtningen är Riksarkivet arkivmyndighet. En arkivmyndighet har enligt 9 § arkivlagen rätt att överta arkivmaterial från en myndighet som står under dess tillsyn, antingen efter överenskommelse eller på grund av ett ensidigt beslut från arkivmyndigheten.

Behandling av en viss personuppgift för andra ändamål än den ursprungligen samlades in är enligt artikel 5.1 b i dataskyddsförord-

215

Arkiv och statistik

SOU 2017:39

ningen tillåten endast om vidarebehandlingen är förenlig med de ändamål som uppgiften ursprungligen samlades in för. I sådana fall, dvs. när vidarebehandlingen är förenlig med de ursprungliga ända- målen, krävs det enligt skäl 50 inte någon annan rättslig grund än den som gav legitimitet till att personuppgiften samlades in. Om behand- lingen är nödvändig för att fullgöra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som den personuppgiftsansvarige har i uppgift att utföra kan det enligt skäl 50 närmare föreskrivas för vilka uppgifter och syften ytterligare behandling bör anses som för- enlig och laglig. Att ytterligare behandling för bland annat arkivända- mål av allmänt intresse ska betraktas som förenlig och laglig behand- ling av uppgifter följer dock direkt av artikel 5.1 b.

Det står enligt vår mening klart att den behandling av personupp- gifter som myndigheter och andra organ utför när de som en följd av arkivlagens bestämmelser arkiverar sina allmänna handlingar utgör en vidarebehandling som sker för arkivändamål av allmänt intresse. Behandlingen ska därmed enligt artikel 5.1 b inte anses som oförenlig med de ursprungliga ändamålen. Det krävs då inte någon annan sepa- rat rättslig grund än den med stöd av vilken insamlingen av person- uppgifter medgavs (skäl 50).

Vidarebehandling är det bara fråga om när ett och samma organ, eller dennes personuppgiftsbiträde, utför ytterligare behandlingar avseende en viss uppgift. När en arkivmyndighet, t.ex. Riksarkivet, övertar arkivmaterial från en annan myndighet övergår hela ansvaret för det materialet till arkivmyndigheten (9 § tredje stycket arkiv- lagen). Den myndighet som har överlämnat materialet förfogar där- efter inte längre över detta. Den myndigheten bestämmer inte heller längre över ändamålen och medlen för arkivmyndighetens behandling av de personuppgifter som förekommer i materialet. I dataskydds- förordningens mening kan arkivmyndigheten därför inte betraktas som ett personuppgiftsbiträde, som endast vidarebehandlar uppgifter för den andra myndighetens räkning. Arkivmyndigheten bär i stället personuppgiftsansvaret för de behandlingar som sker därefter (se definitionen av begreppet personuppgiftsansvarig i artikel 4.7 i data- skyddsförordningen). En arkivmyndighet är givetvis även, precis som alla andra myndigheter, personuppgiftsansvarig för all annan behand- ling av personuppgifter som utförs i den egna verksamheten.

Detta innebär att det behövs en rättslig grund för arkivmyndig- heternas insamling och annan behandling av de personuppgifter som

216

SOU 2017:39

Arkiv och statistik

finns i det material som övertas från andra myndigheter. Den behand- lingen sker för att utföra en i arkivlagstiftningen fastställd uppgift av allmänt intresse (se avsnitt 8.3.4). Nödvändig behandling hos arkiv- myndigheterna kan därmed ske med dessa bestämmelser som rättslig grund, enligt artikel 6.1 e i dataskyddsförordningen.

Vad gäller för enskilda arkiv?

Organ som inte omfattas av arkivlagstiftningen kan i vissa fall också ha anledning att behandla personuppgifter för arkivändamål av all- mänt intresse. Om syftet med behandlingen är just detta, och inte t.ex. historiska forskningsändamål, måste dock bedömas från fall till fall. Av skäl 158 till dataskyddsförordningen framgår att ett sådant organ bör ha en rättslig skyldighet att förvärva, bevara, bedöma, orga- nisera, beskriva, kommunicera, främja, sprida och ge tillgång till upp- gifter av bestående värde för allmänintresset. Medlemsstaterna bör enligt samma skäl också ha rätt att föreskriva att personuppgifter får vidarebehandlas för arkivering, exempelvis i syfte att tillhandahålla specifik information om politiskt beteende under tidigare totalitära regimer, folkmord, brott mot mänskligheten, särskilt Förintelsen, eller krigsförbrytelser.

Det bör noteras att dataskyddsförordningen inte gäller för behandling av personuppgifter som avser avlidna personer (skäl 27). Detta innebär i praktiken att många enskilda arkiv inte berörs av dataskyddsregleringen, såsom historiska släktarkiv eller liknande sam- lingar som inte innehåller några uppgifter om nu levande personer.

Insamling av arkivmaterial som innehåller personuppgifter

Det finns i Sverige ett antal enskilda arkivinstitutioner, såväl regionala som nationella, som samlar in personuppgifter enbart för arkivända- mål av allmänt intresse. Den rättsliga grunden för denna behandling torde i normalfallet vara att verksamheten är av allmänt intresse. Det är dock oklart om denna uppgift alltid är fastställd i enlighet med svensk rätt. När dataskyddsförordningen börjar tillämpas kan därmed den rättsliga grunden för de enskilda arkivinstitutionernas behandling av personuppgifter komma att ifrågasättas. Det bör därför införas en bestämmelse i dataskyddslagen som gör det möjligt för regeringen

217

Arkiv och statistik

SOU 2017:39

eller den myndighet som regeringen bestämmer att meddela före- skrifter som tillåter behandling av personuppgifter för arkivändamål av allmänt intresse också utanför arkivlagstiftningens tillämpnings- område. Föreskriftsrätten bör enligt vår mening delegeras till Riks- arkivet.

Det är tänkbart att det kan uppstå enstaka situationer där före- skriftsformen inte är lämplig, men där det ändå finns skäl att tillåta behandling för arkivändamål av allmänt intresse. Det kan till exempel röra sig om behandling som ska ske av ett enskilt organ under en begränsad tid eller i ett mycket begränsat avseende. I likhet med den ordning som gäller avseende behandling av personuppgifter om lagöverträdelser enligt 21 § PUL, och som föreslås i avsnitt 11.4, bör därför Riksarkivet i enskilda fall kunna pröva om den behandling som sker hos en enskild aktör är arkivverksamhet av allmänt intresse i dataskyddsförordningens mening. De närmare kriterierna för denna prövning skulle vid behov kunna fastställas i föreskrifter på lägre normnivå. Om arkivverksamheten uppfyller dataskyddsförordning- ens krav kan det enskilda organet genom ett särskilt beslut medges rätt att behandla personuppgifter för arkivändamål av allmänt intres- se. Den personuppgiftsbehandling som är nödvändig för detta ändamål kan då ske med beslutet som rättslig grund. Ett förvaltnings- beslut som går organet emot bör kunna överklagas, se avsnitt 19.8.

Det bör noteras att regeringen, i propositionen om kulturarvs- politik, har bedömt att det finns anledning att genomföra en bred översyn av arkivväsendet i landet och att denna översyn även ska tydliggöra de enskilda arkivens viktiga roll som en del av det gemen- samma kulturarvet.3 Vi välkomnar en sådan översyn och förutsätter att frågor kring de enskilda arkivens behandling av personuppgifter då kommer att utredas närmare.

3 Prop. 2016/17:116, s. 174 f.

218

SOU 2017:39

Arkiv och statistik

Vidarebehandling av personuppgifter

Det förekommer att enskilda organ har skäl att bevara uppgifter under en längre tid än vad som krävs för det ursprungliga ändamålet. En sådan vidarebehandling skulle bland annat kunna ske för arkiv- ändamål av allmänt intresse eller för historiska forskningsändamål. Behandling av personuppgifter för forskningsändamål omfattas emel- lertid inte av våra överväganden, utan tas om hand av Forskningsdata- utredningen.

Vidarebehandling av personuppgifter för arkivändamål av allmänt intresse ska enligt artikel 5.1 b inte anses som oförenlig med de ursprungliga ändamålen. Det krävs därmed i och för sig inte någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs (skäl 50). Det kan dock i det enskilda fallet vara svårt för den personuppgiftsansvarige, den registrerade och till- synsmyndigheten att bedöma om arkivverksamheten är av allmänt intresse på det sätt som avses i dataskyddsförordningen. I de fall detta inte följer direkt av de föreskrifter som har meddelats bör den per- sonuppgiftsansvarige ha samma möjlighet som enskilda arkivinstitu- tioner att få frågan prövad och fastställd genom förvaltningsbeslut.

Enskilda arkiv som överlämnas till Riksarkivet

Enskilda arkiv som överlämnas till Riksarkivet för förvaring utgör en kategori som bör beröras särskilt. Enligt 6 § andra stycket förord- ningen (2009:1593) med instruktion för Riksarkivet får Riksarkivet ta emot arkivhandlingar från enskilda om de är av särskild betydelse för forskning och kulturarv. Enligt vår bedömning innebär detta att sådana arkiv måste anses vara av allmänt intresse. Handlingar som har tagits emot för förvaring ska dessutom enligt 7 § samma förordning hållas tillgängliga. Som exempel på enskilda arkiv som överlämnats till Riksarkivet på denna grund kan nämnas de s.k. idrottsarkiven, som härrör från bland annat Riksidrottsförbundets verksamhet.

Den vidarebehandling som utförs för att bilda denna typ av enskil- da arkiv ska enligt artikel 5.1 b i dataskyddsförordningen, på grund av att den sker för arkivändamål av allmänt intresse, anses vara förenlig med det ändamål för vilket uppgifterna ursprungligen samlades in. Den insamling av personuppgifter som Riksarkivet utför i samband med att en sådant enskilt arkiv lämnas in sker med stöd av myn-

219

Arkiv och statistik

SOU 2017:39

dighetens instruktion och utgör därmed en fastställd uppgift av all- mänt intresse. Riksarkivets behandling av de personuppgifter som finns i de enskilda arkiven kan därmed ske på denna rättsliga grund, enligt artikel 6.1 e i dataskyddsförordningen.

Det förekommer också att enskilda arkiv överlämnas till Riks- arkivet som deposition, dvs. utan att äganderätten övergår. I sådana fall kan parterna avtala om att Riksarkivet ska ges ett privaträttsligt uppdrag att i egenskap av personuppgiftsbiträde förvara och vårda materialet för deponentens räkning.

14.4.3Förhållandet till arkivlagstiftningen och behandling av känsliga personuppgifter

Utredningens förslag: Känsliga personuppgifter och uppgifter om lagöverträdelser ska få behandlas om behandlingen är nödvän- dig för att den personuppgiftsansvarige ska kunna följa föreskrif- ter om bevarande och vård av arkiv.

Regeringen och Riksarkivet ska få meddela föreskrifter som också i andra fall tillåter behandling av känsliga personuppgifter för arkivändamål av allmänt intresse. Riksarkivet ska även i enskil- da fall få besluta att ett enskilt organ får behandla sådana person- uppgifter för arkivändamål av allmänt intresse.

Bestämmelsen i 8 § andra stycket första meningen PUL tydliggör att personuppgiftslagen inte hindrar att en myndighet, i enlighet med arkivbestämmelserna, arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. I praktiken inne- bär detta att arkivlagstiftningen har företräde framför personupp- giftslagen. Detta är en nödvändig utgångspunkt för att den svenska offentlighetsprincipen fullt ut ska kunna fylla sin funktion. Det finns ingenting i dataskyddsförordningen som förhindrar att ett sådant synsätt bibehålls. Tvärtom säkerställs offentlighetsprincipens ställ- ning genom artikel 86 i förordningen.

Lagring och annan behandling av personuppgifter för arkivända- mål av allmänt intresse är dessutom särskilt gynnad i dataskydds- förordningen, precis som i dataskyddsdirektivet. Det är till exempel tillåtet att bevara personuppgifter under längre tid än vad som annars är nödvändigt, i den mån uppgifterna enbart behandlas för arkivända-

220

SOU 2017:39

Arkiv och statistik

mål av allmänt intresse och under förutsättning att lämpliga tekniska och organisatoriska åtgärder genomförs (artiklarna 5.1 e och 89.1).

Vad gäller behandling av känsliga personuppgifter ger artikel 9.2 j i dataskyddsförordningen ett tydligare utrymme för undantag än data- skyddsdirektivet. I bestämmelsen anges att behandling får ske för arkivändamål av allmänt intresse, på grundval av unionsrätten eller nationell rätt som står i proportion till det eftersträvade syftet, är förenlig med det väsentliga innehållet i rätten till dataskydd och inne- håller bestämmelser om lämpliga och särskilda åtgärder för att säker- ställa den registrerades rättigheter och intressen.

Behandling för arkivändamål av allmänt intresse av person- uppgifter som inte utgör känsliga personuppgifter regleras av direkt tillämpliga bestämmelser i dataskyddsförordningen. Vidare följer det direkt av förordningen att vidarebehandling av personuppgifter för arkivändamål av allmänt intresse inte ska anses som oförenlig med de ursprungliga ändamålen. Det behövs därmed, enligt skäl 50, inte någon separat rättslig grund för en sådan behandling. Det faktum att behandling av känsliga personuppgifter för arkivändamål särbehand- las i artikel 9.2 j i dataskyddsförordningen talar dock för att all behandling av känsliga personuppgifter för arkivändamål, även vidare- behandling, måste omfattas av en särskild undantagsreglering för att vara tillåten. Denna bestämmelse förutsätter nämligen att gällande rätt innehåller bestämmelser om lämpliga och särskilda skyddsåtgär- der för att säkerställa den registrerades rättigheter och intressen. Den vidarebehandling av känsliga personuppgifter som myndigheter och andra organ utför som en följd av arkivlagens bestämmelser är där- med inte tillåten enbart på grundval av det undantag från förbudet som tillämpats vid behandlingen för det ursprungliga ändamålet.

Vi bedömer därför att det i dataskyddslagen behövs en bestäm- melse som i likhet med 8 § andra stycket första meningen PUL till- låter att en myndighet arkiverar och bevarar allmänna handlingar som innehåller känsliga personuppgifter samt att arkivmaterial som inne- håller känsliga personuppgifter tas om hand av en arkivmyndighet. Den svenska lagstiftningen på detta område, med beaktande av de skyddsåtgärder som föreskrivs i form av sekretess och i register- författningar och genom gallringsföreskrifter, måste i sig anses vara proportionell till det eftersträvade syftet och förenlig med det väsent- liga innehållet i rätten till dataskydd.

221

Arkiv och statistik

SOU 2017:39

Eftersom behandling för arkivändamål av allmänt intresse av per- sonuppgifter som inte utgör känsliga personuppgifter regleras av direkt tillämpliga bestämmelser i dataskyddsförordningen bör bestäm- melsen i dataskyddslagen utformas som ett undantag från förbudet mot behandling av känsliga personuppgifter. Vi föreslår således att dataskyddslagen ska innehålla en bestämmelse som anger att känsliga personuppgifter får behandlas om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om beva- rande och vård av arkiv. Bestämmelsen medför att dataskyddsförord- ningen och dataskyddslagen inte hindrar att allmänna handlingar arkiveras och bevaras eller att arkivmaterial tas om hand av en arkiv- myndighet. Den författningstekniska skillnaden mellan 8 § andra stycket första meningen PUL och den bestämmelse som vi föreslår innebär således ingen saklig förändring i denna del.

Arkivlagstiftningen omfattar inte bara myndigheter utan även vissa utpekade enskilda organ. För dessa organ skulle det i enstaka fall kunna uppstå en normkonflikt mellan arkivlagstiftningen och begränsningen i artikel 10 i dataskyddsförordningen avseende enskil- das behandling av personuppgifter om lagöverträdelser (se kapi- tel 11). Dataskyddslagen bör därför även innehålla en bestämmelse som, på motsvarande sätt som avseende känsliga personuppgifter, tillåter behandling av personuppgifter om lagöverträdelser, om be- handlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om bevarande och vård av arkiv.

När det gäller enskilda arkiv som inte omfattas av arkivlagstift- ningen finns det inga föreskrifter om bevarande och vård av arkiv som ska följas. Det kan dock även hos dessa organ finnas ett allmänt intresse av att känsliga personuppgifter bevaras. Sådant bevarande bör enligt vår bedömning också tillåtas under vissa förutsättningar. Risken är annars uppenbar att viktig information om vår samtid för alltid går förlorad. Det bör därför införas en bestämmelse i data- skyddslagen som anger att regeringen eller den myndighet som reger- ingen bestämmer får meddela föreskrifter som tillåter att känsliga personuppgifter får behandlas för arkivändamål av allmänt intresse. Föreskriftsrätten bör delegeras till Riksarkivet. Riksarkivet bör även i enskilda fall få besluta att ett enskilt organ får behandla sådana per- sonuppgifter för arkivändamål av allmänt intresse. Ett sådant förvalt- ningsbeslut bör lämpligen meddelas i samband med att den rättsliga grunden fastställs för organets behandling av personuppgifter för

222

SOU 2017:39

Arkiv och statistik

arkivändamål av allmänt intresse. Beslutet kan även meddelas som komplement till en tidigare antagen föreskrift som ger organet rättslig grund för behandling av personuppgifter för detta ändamål.

För enskilda arkiv finns det inte några generella föreskrifter om särskilda skyddsåtgärder, utöver dem som följer direkt av dataskydds- förordningen och den som vi föreslår i följande avsnitt. Mot bak- grund av att de enskilda arkiven sinsemellan uppvisar stora olikheter är det heller inte lämpligt att i lag slå fast att en viss typ av ytterligare skyddsåtgärd alltid ska gälla vid behandling av känsliga personupp- gifter. Det bör i stället ankomma på regeringen eller Riksarkivet att bedöma om beslut som tillåter ett enskilt organ att behandla känsliga personuppgifter och personuppgifter om lagöverträdelser ska vill- koras av att den personuppgiftsansvarige vidtar särskilda åtgärder och i så fall vilka. Vidare följer det givetvis direkt av dataskyddsförord- ningen att ett beslut som tillåter behandling av känsliga person- uppgifter bara kan tillämpas om behandlingen i sig vilar på rättslig grund eller utgör en tillåten vidarebehandling.

14.4.4Lämpliga skyddsåtgärder

Utredningens förslag: Personuppgifter som behandlas enbart för arkivändamål av allmänt intresse ska inte få användas för att vidta åtgärder i fråga om den registrerade annat än om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Denna begränsning ska inte hindra en myndighet från att använda personuppgifter som finns i allmänna handlingar.

Behandling av personuppgifter för arkivändamål av allmänt intresse ska enligt artikel 89.1 i dataskyddsförordningen omfattas av lämpliga skyddsåtgärder för den registrerades rättigheter och friheter. Denna bestämmelse, som är direkt tillämplig, är den personuppgiftsansvarige skyldig att följa. För att behandling av känsliga personuppgifter ska vara tillåten för arkivändamål av allmänt intresse krävs dessutom, enligt artikel 9.2 j, att unionsrätten eller den nationella rätten inne- håller bestämmelser om sådana åtgärder.

I 9 § fjärde stycket PUL anges, som en generell skyddsåtgärd, att personuppgifter som behandlas för historiska, statistiska eller veten- skapliga ändamål får användas för att vidta åtgärder i fråga om den

223

Arkiv och statistik

SOU 2017:39

registrerade bara om den registrerade har lämnat sitt samtycke eller det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Enligt 8 § andra stycket PUL gäller dock denna begräns- ning inte för en myndighets användning av personuppgifter i allmänna handlingar.

När en personuppgift inte längre behöver behandlas för det ursprungliga ändamålet ska den, enligt huvudregeln i artikel 5.1 e i dataskyddsförordningen, gallras eller anonymiseras. Undantag gäller dock om det finns ett berättigat arkivändamål av allmänt intresse. Möjligheten till förlängd bevarandetid förutsätter att uppgiften ”enbart” behandlas för arkivändamål. Det kan emellertid inte uteslu- tas att en arkiverad uppgift åter kan komma att behövas även för andra ändamål, t.ex. i den personuppgiftsansvariges kärnverksamhet. Begränsningen i 9 § fjärde stycket PUL förhindrar sådan återanvänd- ning i vissa situationer. Frågan är om en motsvarande skyddsåtgärd bör införas även i dataskyddslagen. För att kunna ta ställning till denna fråga är det nödvändigt att först analysera innebörden av den s.k. finalitetsprincipen.

Finalitetsprincipen

Dataskyddsförordningen bygger, precis som dataskyddsdirektivet och personuppgiftslagen, på förutsättningen att varje ny behandling ska prövas mot det ändamål för vilket uppgifterna ursprungligen sam- lades in av den personuppgiftsansvarige. I artikel 5.1 b i förordningen anges nämligen att uppgifter inte får behandlas på ett sätt som är oförenligt med de ändamål för vilka uppgifterna samlades in. Bestäm- melsen ger uttryck för den s.k. finalitetsprincipen. Denna begräns- ning är relevant i förhållande till varje behandling som den person- uppgiftsansvarige eller dennes biträde utför efter själva insamlingen. Varje efterföljande behandlingsåtgärd, inklusive den tekniska bearbet- ning och lagring som ofta är oundviklig när uppgifter har samlats in, utgör nämligen en ytterligare behandling (dvs. vidarebehandling) i förordningens mening. Detta gäller enligt artikel 29-gruppen oavsett om denna behandling sker för samma ändamål som det för vilka upp- gifterna samlades in eller för något annat ändamål.4

4 Jfr Artikel 29-gruppens yttrande 3/2013 om ändamålsbegränsning, s. 21.

224

SOU 2017:39

Arkiv och statistik

En uppgift som bevaras hos en personuppgiftsansvarig endast för arkivändamål av allmänt intresse, t.ex. som en följd av arkivlagstift- ningen, har normalt inte samlats in för just detta ändamål (utom hos Riksarkivet och andra arkivmyndigheter). Uppgiften har i stället sam- lats in för något helt annat ändamål, såsom för handläggning av ett ärende i den personuppgiftsansvariges kärnverksamhet. Arkiveringen utgör därför en vidarebehandling, som är tillåten eftersom den inte ska anses oförenlig med det ursprungliga ändamål för vilket uppgiften samlades in. Det är viktigt att notera att det är i förhållande till detta ursprungliga insamlingsändamål som varje vidarebehandling även av en arkiverad uppgift ska prövas. Finalitetsprincipen innebär nämligen inte att behandlingen ska prövas mot det ändamål för vilket den senaste vidarebehandlingen utfördes, i detta fall arkivändamålet. Dataskyddsförordningen, liksom dataskyddsdirektivet, förbjuder endast vidarebehandling som är oförenlig med det ursprungliga insam- lingsändamålet. Detta innebär att vidarebehandling kan ske för nya ändamål som är oförenliga med varandra, så länge de nya ändamålen var för sig inte är oförenliga med det ursprungliga insamlingsända- målet.

Finalitetsprincipen utgör således inte i sig något hinder mot att en uppgift som har bevarats hos den personuppgiftsansvarige enbart för arkivändamål återförs till kärnverksamheten för vidarebehandling, förutsatt att den nya behandlingen är förenlig med det ursprungliga insamlingsändamålet. I en sådan situation behöver den personupp- giftsansvarige varken samla in uppgiften på nytt eller inhämta den registrerades samtycke till behandlingen. Den nya behandlingen krä- ver enligt dataskyddsförordningen inte heller någon annan rättslig grund än den med stöd av vilken den ursprungliga insamlingen med- gavs (skäl 50). Det är alltså endast förenligheten med insamlingsända- målet som måste bedömas. Detta skiljer sig från det synsätt som har gällt hittills, nämligen att varje vidarebehandling måste kunna hän- föras till något av de tillåtna fall av behandling som anges i 10 § PUL.

En arkiverad uppgift kan lika lite som någon annan uppgift behandlas för ett ändamål som är oförenligt med det ursprungliga insamlingsändamålet. Uppgiften måste i ett sådant fall samlas in på nytt, trots att den faktiskt redan finns hos den personuppgiftsansva- rige. I vissa fall kan det dock vara tillräckligt att hämta in den registre- rades samtycke till att den arkiverade uppgiften behandlas för nya

225

Arkiv och statistik

SOU 2017:39

ändamål.5 Ett sådant nytt samtycke utgör då rättslig grund för den nya behandlingen.

Bör dataskyddslagen innehålla en användningsbegränsning?

Enligt 9 § fjärde stycket PUL, läst tillsammans med 8 § andra stycket andra meningen PUL, får inga andra än myndigheter använda arkiverade personuppgifter för att vidta en åtgärd i fråga om den registrerade, om inte den registrerade själv har lämnat sitt samtycke eller det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Bestämmelsen utgör därmed en begränsning av möjlighe- ten att behandla arkiverade uppgifter för andra ändamål än arkivända- målet. Denna begränsning gäller oavsett om den nya behandlingen skulle ske för det ursprungliga insamlingsändamålet eller för något annat därmed förenligt ändamål. Av förarbetena framgår dock att bestämmelsen inte aktualiseras om en arkiverad uppgift även behand- las för andra ändamål, dvs. inte enbart för arkivändamål.6 En uppgift som fortfarande behövs i kärnverksamheten och därför behandlas där kan alltså användas för att vidta åtgärder i fråga om den registrerade, även om samma uppgift också förekommer i en arkiverad handling hos den personuppgiftsansvarige.

Förarbetena till 9 § fjärde stycket PUL ger ingen vägledning rörande vad som avses med uttrycket ”åtgärder i fråga om den registrerade”. I doktrinen har dock framförts att enbart ett utläm- nande av personuppgifterna till tredje man inte torde innebära att en åtgärd vidtas i fråga om den registrerade, ens om tredje man avser att vidta en sådan åtgärd.7

Som exempel på när det skulle kunna finnas synnerliga skäl med hänsyn till den registrerades vitala intressen nämns i förarbetena att en forskare som har upptäckt ett samband mellan en medicin och en allvarlig sjukdom måste kunna använda arkiverade personupp- gifter för att varna dem som tagit medicinen.8

5Artikel 29-gruppens yttrande 3/2013 om ändamålsbegränsning, s. 26.

6SOU 1997:39 s. 359 f.

7	Öman och Lindblom, Personuppgiftslagen (20 december 2016, Zeteo), kommentaren till
9 § fjärde stycket PUL.
8	Prop. 1997:98:44 s. 120.

226

SOU 2017:39

Arkiv och statistik

Enligt vår bedömning utgör bestämmelsen i 9 § fjärde stycket PUL en väl avvägd skyddsåtgärd. En motsvarande begränsning bör därför införas även i dataskyddslagen och bör, precis som den nu gällande bestämmelsen, inte bara avse känsliga personuppgifter. Den nya bestämmelsen bör dock utformas så att det tydligare än i dag framgår att användningsbegränsningen bara gäller personuppgifter som enbart behandlas för arkivändamål av allmänt intresse. Det finns vidare inget skäl att ange i paragrafen att uppgifter får användas med den registre- rades samtycke. Om samtycke inhämtas till att en arkiverad uppgift används för nya ändamål, kan behandlingen nämligen jämställas med personuppgiften samlas in på nytt med stöd av artikel 6.1 a i data- skyddsförordningen.9 Någon saklig skillnad mellan vårt förslag och 9 § fjärde stycket PUL är inte avsedd.

Vad gäller myndigheternas arkiv utgör de nationella författnings- bestämmelserna om sekretess en särskild skyddsåtgärd, eftersom dessa har utformats noggrant efter en avvägning mellan behovet av skydd och intresset av insyn. Dessutom omfattas myndigheternas arkiv av allmänna bestämmelser om skydd av arkiv, bland annat Riks- arkivets föreskrifter, och krav på avskiljande i registerförfattningar. Ytterligare skyddsåtgärder, t.ex. i form av användningsbegränsningar som förhindrar återanvändning av arkiverade uppgifter, bör vid behov införas i sektorsspecifika författningar och inte i den generella lagen. Den föreslagna bestämmelsen om begränsningar av möjligheten att vidta åtgärder i fråga om den registrerade ska därför inte hindra myndigheter från att använda personuppgifter som finns i allmänna handlingar. Förslaget medför därmed ingen förändring i förhållande till vad som gäller enligt personuppgiftslagen.

9 Jfr Artikel 29-gruppens yttrande 3/2013 om ändamålsbegränsning, s. 27.

227

Arkiv och statistik

SOU 2017:39

14.4.5Undantag från vissa av den registrerades rättigheter

Utredningens förslag: Hänvisningen till personuppgiftslagen i arkivförordningens bestämmelse om undantag från rätten till s.k. registerutdrag ska ersättas med en hänvisning till dataskyddsför- ordningen.

En arkivmyndighet ska inte behöva rätta, komplettera eller begränsa behandlingen av personuppgifter i arkivmaterial som tagits emot för förvaring av myndigheten.

Rätten att göra invändningar ska inte gälla vid arkivmyndig- heters behandling av personuppgifter i arkivmaterial som tagits emot för förvaring av myndigheten.

Om personuppgifter behandlas för arkivändamål av allmänt intresse får det enligt artikel 89.3 i dataskyddsförordningen föreskrivas undantag från de rättigheter som avses i artiklarna 15, 16, 18, 19, 20 och 21, med förbehåll för de villkor och skyddsåtgärder som avses i artikel 89.1 (se avsnitt 14.3.2). Detta får emellertid bara göras i den utsträckning som sådana rättigheter sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla de särskilda ändamålen och sådana undantag krävs för att uppnå detta ändamål.

Såväl offentliga som enskilda arkiv fyller en viktig samhällsfunk- tion. I synnerhet är väl fungerande myndighetsarkiv av grundläg- gande betydelse för forskning och utveckling, insyn och delaktig- het, ansvarsutkrävande och demokrati. Detta intresse kan i vissa situationer väga tyngre än den enskildes intresse av att kunna utöva sina rättigheter enligt dataskyddsförordningen. Det finns därför skäl att överväga om Sverige bör utnyttja det utrymme som förord- ningen ger för att föreskriva undantag från vissa av dessa rättighe- ter, om det annars skulle bli omöjligt eller mycket svårare att upp- fylla arkivändamålet. Vår allmänna utgångspunkt är dock att de registrerades rättigheter inte bör inskränkas i större utsträckning än vad som gäller enligt gällande rätt.

228

SOU 2017:39

Arkiv och statistik

Rätten till tillgång (s.k. registerutdrag)

Motsvarigheten till artikel 15 i dataskyddsförordningen, rörande den registrerades rätt att på begäran få besked om huruvida personupp- gifter som rör honom eller henne behandlas (s.k. registerutdrag), finns i 26 § PUL. I tredje stycket i denna paragraf anges att sådan information inte behöver lämnas om personuppgifter i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör minnesanteckning eller liknande. Detta undantag gäller dock inte om uppgifterna har lämnats ut till tredje man eller om uppgif- terna behandlas enbart för historiska, statistiska eller vetenskapliga ändamål eller, när det gäller löpande text som inte fått sin slutliga utformning, om uppgifterna har behandlats under längre tid än ett år.

Undantaget i 26 § tredje stycket PUL är därmed inte tillämpligt vid sådan behandling som sker för arkivändamål av allmänt intresse. Den registrerades rätt till registerutdrag enligt personuppgiftslagen omfattar således alla typer av arkiverade uppgifter, även i form av minnesanteckningar eller liknande. Denna ordning bör enligt vår bedömning bestå. Vi ser således inte skäl att föreslå något generellt undantag från rätten till information enligt artikel 15 i dataskydds- förordningen vid behandling av personuppgifter för arkivändamål av allmänt intresse. Frågan om behovet i övrigt av undantag från rätten till registerutdrag behandlas i avsnitt 13.

I 7 a § arkivförordningen anges emellertid att en arkivmyndighet inte behöver lämna besked och information enligt 26 § PUL när det gäller personuppgifter i arkivmaterial som tagits emot för förvaring av myndigheten, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Vi anser att ett liknande undantag från artikel 15 i dataskyddsförordningen krävs för att arkivändamålet för behandling av personuppgifter i Riksarkivets och andra arkivmyn- digheters verksamhet även i fortsättningen ska kunna uppnås. Vi föreslår därför att 7 a § arkivförordningen ändras på så sätt att hänvis- ningen till 26 § PUL byts ut mot artikel 15 i dataskyddsförordningen. Det bör noteras att undantaget kan tillämpas endast under förutsätt- ning att de direkt tillämpliga villkoren i artikel 89.1 i dataskydds- förordningen om bland annat skyddsåtgärder och uppgiftsmini- mering efterlevs.

229

Arkiv och statistik

SOU 2017:39

Rätten till rättelse av personuppgifter och begränsning av behandling

Enligt artikel 16 i dataskyddsförordningen har den registrerade rätt att få felaktiga personuppgifter rättade och ofullständiga personupp- gifter kompletterade. Artikel 18 ger den registrerade rätt att under vissa omständigheter kräva att behandlingen av personuppgifter begränsas. Bestämmelsernas motsvarighet finns i 28 § PUL första meningen, som anger att den personuppgiftsansvarige är skyldig att på begäran av den registrerade snarast bland annat rätta eller blockera sådana personuppgifter som inte har behandlats i enlighet med per- sonuppgiftslagen eller föreskrifter som har utfärdats med stöd av den lagen. Personuppgiftslagen innehåller inte något undantag från dessa rättigheter och det gör inte heller arkivlagstiftningen. Vi anser att det inte heller i förhållande till artiklarna 16 och 18 i dataskyddsförord- ningen bör införas något generellt undantag från den registrerades rättigheter vid behandling av personuppgifter för arkivändamål av allmänt intresse.

Riksarkivet och andra arkivmyndigheter utför inte några rättelser i de handlingar som bevaras där, bland annat eftersom det skulle utgöra en otillåten förvanskning av allmänna handlingar. En rättelse kan i det enskilda fallet även riskera att försämra den enskildes rättigheter, om den medför att det inte längre är möjligt att i efterhand kontrollera myndigheternas verksamhet och ge upprättelse om ett fel har begåtts. Riksarkivet blockerar inte heller personuppgifter i arkiven. Enligt vår bedömning krävs det ett uttryckligt undantag från artiklarna 16 och 18 i dataskyddsförordningen för att denna etablerade hantering ska kunna fortgå, vilket i sin tur är en förutsättning för att offentlighets- principen ska kunna upprätthållas.

Det bör därför införas en bestämmelse i arkivförordningen som anger att en arkivmyndighet inte behöver rätta eller komplettera personuppgifter enligt artikel 16 i dataskyddsförordningen, när det gäller personuppgifter i arkivmaterial som tagits emot för förvaring av myndigheten. På motsvarande sätt bör arkivmyndigheten inte vara skyldig att begränsa behandlingen av personuppgifterna enligt artikel 18 i dataskyddsförordningen. Avgränsningen till arkivmaterial som tagits emot för förvaring av myndigheten innebär, precis som i 7 a § arkivförordningen, att undantagen inte är tillämpliga avseende personuppgifter i arkivmaterial som härrör från arkivmyndighetens

230